3. Хешування паролів.

Хешування паролів – метод, що дозволяє користувачам запам`ятовувати , наприклад, не 128 байт, тобто 256 шестнадцатірічний цифр ключа, а деякий осмислений вираз, слово чи послідовність символів, що називається паролем.

Дійсно, при розробці будь-якого криптоалгоритмами слід враховувати, що в половині випадків кінцевим користувачем системи є людина, а не автоматична система. Це ставить питання про те, зручно, і взагалі чи реально людині запам'ятати 128-бітний ключ. Насправді межа запам'ятовуваності лежить на кордоні 8-12 подібних символів, а, отже, якщо ми будемо примушувати користувача оперувати саме ключем, тим самим ми практично змусимо його до запису ключа на будь-якому листку паперу або електронному носії, наприклад, в текстовому файлі. Це, звичайно, різко знижує захищеність системи. Для вирішення цієї проблеми були розроблені методи, які перетворюють осмислений рядок довільної довжини – пароль, у вказаний ключ заздалегідь заданої довжини. У переважній більшості випадків для цієї операції використовуються так звані хеш-функції. Хеш-функцією в даному випадку називається таке математичне або алгоритмічне перетворення заданого блоку даних, яке володіє наступними властивостями:

-хеш-функція має нескінченну область визначення,

-хеш-функція має кінцеву область значень,

-вона незворотня,

-зміна вхідного потоку інформації на один біт змінює близько половини всіх біт вихідного потоку, тобто результату хеш-функції.

Ці властивості дозволяють подавати на вхід хеш-функції паролі, тобто текстові рядки довільної довжини на будь-якою національною мовою і, обмеживши область значень функції діапазоном 0 .. 2N-1, де N - довжина ключа в бітах, отримувати на виході досить рівномірно розподілені по області значення блоки інформації – ключі.

4. Основні атаки на мережеві компоненти.

1. Фрагментація даних На комп'ютер-жертву передається кілька

фрагментованих IP пакетів, які при складанні утворюють один пакет розміром більше 64К (максимальний розмір IP пакета дорівнює 64К мінус довжина заголовка). Дана атака була ефективна проти комп'ютерів з ОС Windows. При отриманні такого пакета Windows NT, не має спеціального патча icmp-fix, "зависає" або аварійно завершується

Протидія: для виявлення таких атак необхідно здійснювати і аналізувати збірку пакетів "на льоту", а це істотно підвищить вимоги до апаратного забезпечення.

2. Атака Ping flooding запити надсилаються з максимально можливою

швидкістю і програма дозволяє оцінити, як працює мережа при максимальному навантаженні. Дана атака вимагає від зловмисника доступу до швидких каналах в Internet. Згадаймо, як працює ping. Програма посилає ICMP-пакет типу ECHO REQUEST, виставляючи в ньому час і його ідентифікатор. Ядро машини-одержувача відповідає на подібний запит пакетом ICMP ECHO REPLY. Отримавши його, ping видає швидкість проходження пакета. При стандартному режимі роботи пакети висилаються через деякі проміжки часу, практично не навантажуючи мережу. Але в "агресивному" режимі потік ICMP echo request / reply-пакетів може викликати перевантаження невеликий лінії, позбавивши її здатності передавати корисну інформацію

Протидія: Для того щоб переконатися, що Ваші машини не можуть служити джерелом ping flood'а, обмежте доступ до ping.

3. PingOfDeath або SSPing на машину жертви надсилається сильно

рагментіpованний ICMP пакет великого діаметра (64KB). Реакцією Windows-систем на отримання такого пакету є беззастережне повісаніе, включаючи мишу і клавіатуру. Програма для атаки широко доступна в мережі у вигляді исходника на C і у вигляді запускаються файлів для деяких версій Unix.

Недолік PingOfDeath в тому, що для однієї атаки треба переслати більш 64KB по мережі, що робить взагалі його кажучи малопpіменімим для шіpокомасштабних дівеpсій.

4. Атака Land полягає в передачі на відкритий порт комп'ютера-жертви TCP

пакета з встановленим прапором SYN, причому вихідний адресу і порт такого пакета відповідно рівні адресою і порту атакується комп'ютера. Це призводить до того, що комп'ютер-жертва намагається встановити з'єднання сам з собою, в результаті чого сильно зростає завантаження процесора і може статися "підвисання" або перезавантаження.

Протидія: захиститися від даної атаки можна, наприклад, встановивши фільтр пакетів між внутрішньою мережею і Internet, задавши на ньому правило фільтрації , яке вказує придушувати пакети, що прийшли з Internet, але з вихідними IP адресами комп'ютерів внутрішньої мережі.