Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4625 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Пензенский Государственный Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
БВС 7.doc
Скачиваний:
6
Добавлен:
15.12.2018
Размер:
1.23 Mб
Скачать
►Содержание►

Атаки на сетевом уровне

1) микрофрагменты

Атака позволяет установить соединении на уровне ТСР с узлом, находящимся под защитой пакетного фильтра, отбрасывающего ТСР пакеты с флагом SYN.

Атака реализуется следующим образом: минимальный размер пакета IP, который можно передать без фрагментации, равен 68 байтам.

Пакетные фильтры работают следующим образом: если они принимают фрагментированный IP пакет, то правила, установленные для 1-го фрагмента будут применяться по всем остальным пакетам по умолчанию.

Следовательно, флаг SYN будет пропущен фильтром и остальные пакеты с флагом SYN. Пакет из фрагментов будет собран на узле жертвы и исполнен, тогда, с узлом жертвы будет установлено соединение на уровне ТСР.

2) перекрытие пакетов

Правило фрагментации таково, что если последующий фрагмент по смещению перекрывает ранее полученный, он его перезаписывает поверх.

1-й фрагмент содержит нулевое значение флагов. 2-й – часть заголовка ТСР, начиная с Data offset с установленным флагом SYN, причем смещение фрагментов в заголовке IPуказывает, что смещение начинается с 13 байта.

1-й пакет пропускается, 2-й поверх 1-го, а при сборе формируется SYN, тогда с узлом жертвы образуется соединение на уровне ТСР.

3) IP Spoofing (подмена IP)

Целью данной атаки является посылка пакетов, содержащих чужой адрес отправителя с целью сокрытия источника атаки, либо с целью извлечь выгоду из доверительно связи двух узлов, использующих в качестве идентификатора IP адреса.

а) предсказание ТСР Sequence Number – данная атака позволяет нарушителю установить соединение с сервером под видом законного пользователя, используя его IP адреса в качестве идентификатора.

  1. Нарушитель должен добиться неработоспособности клиента (Reset клиента, или собственными действиями);

  2. Нарушитель из-под своего имени пытается установить соединение с сервером. Нарушитель не использует – 1, 2 и 3 могут использоваться несколько раз для вычисления алгоритма ISN сервера для каждого соединения;

  3. Как клиент, нарушитель отсылает запрос на установление соединения. Сервер отсылает «клиенту» нет ответа. Пакет от сервера нарушитель не получает;

  4. Как клиент, нарушитель отсылает пакет с подтверждением установления соединения с клиентом, используя предсказанное значение ISN сервера. Для сервера в случае угадывания ISN соединение установлено.

  5. Нарушитель от имени клиента может повредить, запросить сведения клиента, используя альтернативный способ.

Нарушитель не может получать сведения, адресованных клиенту, по сети.

б) ARP Spoofing – ARP позволяет определить МАС-адрес компьютера по его IP для последующего установления соединения на канальном уровне. Полученные данные хранятся в ARP КЭШе

Реализация данной атаки позволяет нарушителю указать не существующее соответствие между его МАС-адресов и IP жертве, в результате все пакеты отправляются жертве на сетевом уровне попадают нарушителю.

Атака реализуется следующим образом:

а) дожидается запрос от Сервера на получение МАС-адреса жертвы, а в ответ отсылается ложный ARP ответ;

б) серверы формируют ARP таблицу по ответам на сервер отсылает ложный ARP ответ, который будет включен в таблицу.

4) Затопление ICMP пакетами (ping flood). Т.к. для проверки работоспособности узлов используется диалог обмена пакетами ICMP, все узлы по умолчанию должны принимать данные пакеты и обрабатывать их с повышенным приоритетом, чтобы избежать корректной оценки времени доступа к узлу. Атака ping flood заключается в генерации нарушителем большого числа ICMP запросов на узел жертвы с минимальным интервалом между пакетами, что приводит к затоплению каналов узла жертвы, либо повышенная трата вычислительных ресурсов на обработку данных пакетов. Это так называемая Dos атака, т.е. атака на доступность.

Для реализации в сети Internet используется разновидность DDoS – распределенная атака на отказуемость в сервисе. Направление только на затопления каналов узла жертвы. Реализуется отсылает пакет с ICMP запросом на широковещательный адрес крупной сети. В качестве адреса получателя указывается адрес узла жертвы. В результате в ответ на один запрос возникает большое количество ответов, что и затопляет канал жертвы.

Для защиты: большинство критичных узлов или маршрутизаторов запрещают прием и маршрутизацию ICMP трафика вообще.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности