2.3.2 Внедрение в сеть ложного объекта путем навязывания ложного маршрута
Для осуществления этой удаленной атаки необходимо подготовить ложное ICMP Redirect Host сообщение, в котором указать конечный IP-адрес маршрута (адрес хоста, маршрут к которому будет изменен) и IP-адрес ложного маршрутизатора. Далее это сообщение передается на атакуемый хост от имени маршрутизатора. Для этого в IP-заголовке в поле адреса отправителя указывается IP-адрес маршрутизатора. Можно предложить два варианта данной удаленной атаки.
В первом случае атакующий находится в том же сегменте сети, что и цель атаки. Тогда, послав ложное ICMP-сообщение, он в качестве IP-адреса нового маршрутизатора может указать либо свой IP-адрес, либо любой из адресов данной подсети. Это даст атакующему возможность изменить маршрут передачи сообщений, направляемых атакованным хостом на определенный IP-адрес, и получить контроль над трафиком между атакуемым хостом и интересующим атакующего сервером. После этого атака перейдет во вторую стадию, связанную с приемом, анализом и передачей пакетов, получаемых от атакованного хоста [2, 40].
В случае осуществления второго варианта удаленной атаки атакующий находится в другом сегменте относительно цели атаки. Тогда, в случае передачи на атакуемый хост ложного ICMP Redirect сообщения, сам атакующий уже не сможет получить контроль над трафиком, так как адрес нового маршрутизатора должен находиться в пределах подсети атакуемого хоста. Однако в этом случае атака достигает другой цели: нарушается работоспособность хоста, поскольку связь между данным хостом и указанным в ложном ICMP-сообщении сервером будет нарушена. Это произойдет из-за того, что все пакеты, направляемые хостом на этот сервер, будут отправлены на IP-адрес несуществующего маршрутизатора [40, 48].
Смоделируем данную атаку с помощью сети Петри-Маркова. Обозначения элементов этой сети приведены ниже, si — позиции, tj — переходы.
s1 — A готов,
s2 — C активен,
t1 — настройка программы,
s3 — программа настроена,
t2 — передача ложных ICMP-redirect-сообщений на A,
s4 — ложное ICMP-redirect-сообщение принято A,
t3 — изменение таблицы маршрутизации A,
s5 — таблицы маршрутизации A изменена,
t4 — перехват и анализ трафика A (для внутрисегментной атаки),
t4 — нарушение маршрутизации для A (для межсегментной атаки),
s6 — трафик перехвачен и проанализирован (для внутрисегментной атаки),
s6 — связь между атакуемым хостом и сервером нарушена (для межсегментной атаки).
Вид данной сети представлен на рисунке 2.10.
Рисунок 2.10 — Вид сети Петри-Маркова для внедрения ложного объекта путем навязывания ложного маршрута
На этой сети позиции не имеют инцидентные дуги, поэтому вероятности перемещения из них в переходы равны единице.
Элементы матрицы, определяющие логические функции срабатывания сети, могут быть записаны (без учета направленности дуг графа) следующим образом:
|
|
t1 |
t2 |
t3 |
t4 |
s1 |
0 |
1 |
0 |
0 |
|
s2 |
1 |
0 |
0 |
0 |
|
s3 |
1 |
1 |
0 |
0 |
|
s4 |
0 |
s1t2∩s3t2 |
1 |
0 |
|
s5 |
0 |
0 |
1 |
1 |
|
s6 |
0 |
0 |
0 |
1 |
Для данной сети Петри-Маркова имеет место следующая система интегро-дифференциальных уравнений [60, 62]:
(2.15)
Полагаем, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид:
где λij=1/τij, где τij (i = 1..6, j = 1..4) — средние времена вышеперечисленных действий соответственно.
Применяя пуассоновское приближение, получаем среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:
,
,
,
,
(2.16)
,
.
Выберем следующие исходные параметры атаки:
Среднее время запуска и настройки программы τ21 = 15 с.
Среднее время формирования и передачи одного ложного ICMP-сообщения T = 0,05 c.
Вероятность подбора неизвестного злоумышленнику внутреннего адреса маршрутизатора равна 1/254, поскольку существует 254 возможных варианта этого адреса [40], следовательно, среднее число попыток, которое необходимо сделать для подбора n=254. τ32 = nT.
При отсутствии запрета на прием ICMP-redirect-сообщений хост находится в постоянном их ожидании.
В случае внутрисегментной атаки после изменения таблиц трафик хоста A проходит через машину злоумышленника. Среднее время получения злоумышленником необходимой информации зависит от интенсивности трафика атакуемого хоста. Для достаточно активной сети с учетом проведения анализа пакетов τ54 = 2 с.
В случае межсегментной атаки целью злоумышленника является нарушение маршрутизации сети, и после изменения таблиц маршрутизации атаку можно считать успешно выполненной [3, 29].
Зависимость вероятности реализации внутрисегментной атаки от времени приобретает вид, представленный на рисунке 2.11.
. (2.17)
Рисунок 2.11 — Зависимость вероятности реализации внедрения ложного объекта путем навязывания ложного маршрута для внутрисегментной атаки от времени
Зависимость вероятности реализации межсегментной атаки от времени представлена на рисунке 2.12.
. (2.18)
Рисунок 2.12 — Зависимость вероятности реализации внедрения ложного объекта путем навязывания ложного маршрута для межсегментной атаки от времени
Рассмотрим вероятностные характеристики реализации данной атаки с учетом применения мер противодействия.
1) Статические таблицы маршрутизации, запрет использования ICMP-redirect
При запрете на использование redirect-сообщений возникает необходимость поддерживать и периодически вручную обновлять таблицы маршрутизации для динамически изменяющихся сетей. Однако для сети с достаточно постоянной топологией данный способ может быть весьма эффективным. В случае запрета на прием ICMP-redirect-сообщений π12 → 0,
2) Фильтрация адресов (для межсегментной атаки)
Существует возможность настроить межсетевой экран таким образом, чтобы он не пропускал во внутреннюю сеть пакеты, приходящие извне, но имеющие внутренний для этой сети обратный адрес. В этом случае ложные ICMP-сообщения просто не смогут дойти до атакуемого хоста. π22 → 0.
3) Криптозащита (шифрование пакетов)
В случае шифрования трафика злоумышленнику не удастся за приемлемое время проанализировать содержимое перехваченных пакетов, а следовательно, применить перехваченную информацию в своих целях [53]. Для данной сети шифрование пакетов влечет стремление среднего времени перехода d55 τ55, а следовательно, и времени прохождения по всей сети к бесконечности.