4.3.2. Внедрение в сеть ложного объекта путем навязывания ложного маршрута

Для осуществления этой удаленной атаки необходимо подготовить ложное ICMP Redirect Host сообщение, в котором указать конечный IP-адрес маршрута (адрес хоста, маршрут к которому будет изменен) и IP-адрес ложного маршрутизатора. Далее это сообщение передается на атакуемый хост от имени маршрутизатора. Для этого в IP-заголовке в поле адреса отправителя указывается IP-адрес маршрутизатора. Можно предложить два варианта данной удаленной атаки.

В первом случае атакующий находится в том же сегменте сети, что и цель атаки. Тогда, послав ложное ICMP-сообщение, он в качестве IP-адреса нового маршрутизатора может указать либо свой IP-адрес, либо любой из адресов данной подсети. Это даст атакующему возможность изменить маршрут передачи сообщений, направляемых атакованным хостом на определенный IP-адрес, и получить контроль над трафиком между атакуемым хостом и интересующим атакующего сервером. После этого атака перейдет во вторую стадию, связанную с приемом, анализом и передачей пакетов, получаемых от атакованного хоста [2,40].

В случае осуществления второго варианта удаленной атаки атакующий находится в другом сегменте относительно цели атаки. Тогда, в случае передачи на атакуемый хост ложного ICMP Redirect сообщения, сам атакующий уже не сможет получить контроль над трафиком, так как адрес нового маршрутизатора должен находиться в пределах подсети атакуемого хоста. Однако в этом случае атака достигает другой цели: нарушается работоспособность хоста, поскольку связь между данным хостом и указанным в ложном ICMP-сообщении сервером будет нарушена. Это произойдет из-за того, что все пакеты, направляемые хостом на этот сервер, будут отправлены на IP-адрес несуществующего маршрутизатора [40,48].

Смоделируем данную атаку с помощью сети Петри-Маркова. Обозначения элементов этой сети приведены ниже, s_i — позиции, t_j — переходы:

s₁ — A готов,

s₂ — C активен,

t₁ — настройка программы,

s₃ — программа настроена,

t₂ — передача ложных ICMP-redirect-сообщений на A,

s₄ — ложное ICMP-redirect-сообщение принято A,

t₃ — изменение таблицы маршрутизации A,

s₅ — таблицы маршрутизации A изменена,

t₄ — перехват и анализ трафика A (для внутрисегментной атаки),

t₄ — нарушение маршрутизации для A (для межсегментной атаки),

s₆ — трафик перехвачен и проанализирован (для внутрисегментной атаки),

s₆ — связь между атакуемым хостом и сервером нарушена (для межсегментной атаки).

Вид данной сети представлен на рис. 4.10.

Рис. 4.10. Вид сети Петри-Маркова для внедрения ложного объекта путем навязывания ложного маршрута

На этой сети позиции не имеют инцидентные дуги, поэтому вероятности перемещения из них в переходы равны единице.

Элементы матрицы, определяющие логические функции срабатывания сети, могут быть записаны (без учета направленности дуг графа) следующим образом:

Для данной сети Петри-Маркова имеет место следующая система интегрально-дифференциальных уравнений [60,62]:

(4.10)

Полагаем, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид (4.2) при i1,…,6; j1,...,4.

Применяя пуассоновское приближение, получаем среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:

₁₂₁₃₂,

₃₂nT,

(4.11)

₃₂₄₃₅₄,

где исходные параметры атаки принимают следующие значения:

₂₁15 с — среднее время запуска и настройки программы,

T0,05 c — среднее время формирования и передачи одного ложного ICMP-сообщения,

вероятность подбора неизвестного злоумышленнику внутреннего адреса маршрутизатора равна 1/254, поскольку существует 254 возможных варианта этого адреса [40], следовательно, среднее число попыток, которое необходимо сделать для подбора равно n254.

В отсутствие запрета на прием ICMP-redirect-сообщений хост находится в постоянном их ожидании.

В случае внутрисегментной атаки после изменения таблиц трафик хоста A проходит через машину злоумышленника. Среднее время получения злоумышленником необходимой информации зависит от интенсивности трафика атакуемого хоста. Для достаточно активной сети с учетом проведения анализа пакетов ₅₄2 с.

В случае межсегментной атаки целью злоумышленника является нарушение маршрутизации сети, и после изменения таблиц маршрутизации атаку можно считать успешно выполненной [3,29].

Зависимость вероятности реализации внутрисегментной атаки от времени приобретает вид, представленный на рис. 4.11.

P(t)1e_t/29,7

P(t)

Рис. 4.11. Зависимость вероятности реализации внедрения ложного объекта путем навязывания ложного маршрута для внутрисегментной атаки от времени

Зависимость вероятности реализации межсегментной атаки от времени представлена на рис. 4.12.

Рассмотрим вероятностные характеристики реализации данной атаки с учетом применения мер противодействия.

1. Статические таблицы маршрутизации, запрет использования ICMP-redirect. При запрете на использование redirect-сообщений возникает необходимость поддерживать и периодически вручную обновлять таблицы маршрутизации для динамически изменяющихся сетей. Однако для сети с достаточно постоянной топологией данный способ может быть весьма эффективным. В случае запрета на прием ICMP-redirect-сообщений ₁₂→0.

2. Фильтрация адресов (для межсегментной атаки). Существует возможность настроить межсетевой экран таким образом, чтобы он не пропускал во внутреннюю сеть пакеты, приходящие извне, но имеющие внутренний для этой сети обратный адрес. В этом случае ложные ICMP-сообщения просто не смогут дойти до атакуемого хоста, и ₂₂→0.

3. Криптозащита (шифрование пакетов). В случае шифрования трафика злоумышленнику не удастся за приемлемое время проанализировать содержимое перехваченных пакетов, а следовательно, применить перехваченную информацию в своих целях [53]. Для данной сети шифрование пакетов влечет стремление среднего времени ₅₅ перехода d₅₅ (а, следовательно, и времени прохождения по всей сети) к бесконечности.

P(t)1e_t/26,7

P(t)

Рис. 4.12. Зависимость вероятности реализации внедрения ложного объекта путем навязывания ложного маршрута для межсегментной атаки от времени