4.3. Моделирование процессов реализации внедрения в сеть ложного объекта

4.3.1. Внедрение в сеть ложного объекта на основе недостатков алгоритмов удаленного поиска (arp-spoofing)

Для реализации данной атаки злоумышленнику необходимо наличие доступа к компьютеру, подключенному к сети к сети и заранее приготовленное программное обеспечение для осуществления атаки.

Происходит настройка приложения для осуществления сканирования сети для выявления соответствия MAC-адресов с IP-адресами хостов. После следует настройка параметров программы для проведения перехвата трафика между двумя или более хостами. Далее происходит подмена таблиц MAC-адресов и ожидание подключения к удаленному компьютеру, для перехвата имени и пароля [28,40].

Смоделируем данную атаку с помощью сети Петри-Маркова. Обозначения элементов этой сети приведены ниже, s_i — позиции, t_j — переходы:

s₁ — A формирует широковещательный ARP-запрос,

s₂ — C находится внутри сегмента сети хоста A,

t₁ — подготовка к проведению атаки (сканирование MAC-адресов хостов сети и настройка программы),

s₃ — С готов к проведению атаки,

t₂ — отправка ложного ARP-ответа,

s₄ — ложный ARP-ответ принят A,

t₃ — изменение ARP-таблицы A,

s₅ — ARP-таблицы A изменена,

t₄ — перехват и анализ трафика A,

s₆ — результат: трафик перехвачен и проанализирован.

Вид данной сети представлен на рис. 4.8.

Рис. 4.8. Вид сети Петри-Маркова для атаки «ARP-спуфинг»

В этой сети позиции не имеют инцидентных дуг, поэтому вероятности перемещения из них в переходы равны единице.

Элементы матрицы, определяющие логические функции срабатывания сети, могут быть записаны (без учета направленности дуг графа) следующим образом:

Для данной сети Петри-Маркова имеет место следующая система интегро-дифференциальных уравнений [60,62]:

(4.8)

Полагаем, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид (4.2) при i1,...,6; j1,...,4.

Применяя пуассоновское приближение, получаем среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:

₁₂₁₃₂,

₃₂₄₃₅₄, (4.9)

где исходные параметры атаки принимают следующие значения:

₂₁11 с — среднее время сканирования MAC-адресов хостов сети и настройки программы для проведения ARP-спуфинга; среднее время отправки ложного ARP-ответа хосту с учетом прохождения его по сети не превышает ₃₂0,5 с, а атакуемый хост в стандартном режиме обновления ARP-таблиц находится в постоянном ожидании ответов;

₄₃1 с — среднее время обновления таблицы без проведения операции верификации адресов. После изменения таблиц трафик хоста A проходит через машину злоумышленника. Среднее время получения злоумышленником необходимой информации зависит от интенсивности трафика атакуемого хоста. Для достаточно активной сети с учетом проведения анализа пакетов ₅₄2 с.

Таким образом, среднее время перехода по всей сети 15,5 с, и зависимость вероятности реализации атаки от времени приобретает вид, представленный на рис. 4.9.

P(t)1e_t/15,5

P(t)

Рис. 4.9. Зависимость вероятности реализации атаки ARP-spoofing от времени

Рассмотрим вероятностные характеристики реализации данной атаки с учетом применения мер противодействия.

1. Применение статических ARP-таблиц. При использовании статических ARP-таблиц в качестве меры противодействия данной атаке вероятность ₁₁ срабатывания перехода d₁₁ равна вероятности нахождения в сети узла с динамическими ARP-таблицами, что зависит от предназначения и реализации конкретной сети. Данный подход не распространяется на клиентские хосты, динамически присоединяющиеся к рассматриваемой сети [49].

2. Верификация адресов. В системах семейства UNIX возможна так называемая верификация адресов. При получении ARP-ответа хост опрашивает узлы с указанными IP-адресами на соответствие их MAC-адресов вносимым в таблицу. В этом случае, если несколько машин ответят на этот запрос, изменения в таблицу вноситься не будут [51].

3. Криптозащита (шифрование пакетов). В случае шифрования трафика злоумышленнику не удастся за приемлемое время проанализировать содержимое перехваченных пакетов, а, следовательно, применить перехваченную информацию в своих целях [54]. Для данной сети шифрование пакетов влечет стремление среднего времени ₅₄ перехода d₅₄ (а, следовательно, и времени прохождения по всей сети) к бесконечности.