7. Базовые принципы сетевого взаимодействия. Модель osi

Для организации обмена данными между компьютерами сетевое программное обеспечение должно иметь широкий набор функций, таких как, например, перенаправление ввода/вывода, межпроцессные коммуникации и т.п. Для того, чтобы уменьшить сложность разработки сетей, эти функции организованы в несколько групп, находящихся на различных уровнях. Каждый уровень предоставляет сервис вышележащему уровню и использует сервис, предоставляемый нижележащим уровнем (рис. 2.1).

Многоуровневая архитектура сетевого взаимодействия

Рис. 2.1

Одноимённые уровни на различных компьютерах сообщаются с использованием определённых протоколов. Например, уровень 2 на одном компьютере общается с уровнем 2 на другом компьютере.

Протокол – совокупность правил и соглашений, используемых при взаимодействии между одноимёнными уровнями (рис 2.2) взаимодействующих систем.

Взаимодействие с использованием протоколов

Рис. 2.2

Каждый уровень взаимодействует с одноимённым уровнем на другом компьютере, но данные не перемещаются между уровнями напрямую. Вместо этого данные передаются на смежный нижележащий уровень до тех пор, пока не достигнут самого низкого уровня, откуда они передаются в сетевую среду.

На принимающем компьютере данные также передаются от уровня к уровню, только снизу вверх. Правила взаимодействия между смежными уровнями называются интерфейсом.

Для успешного обмена данными между различными компьютерными системами разработана модель взаимодействия открытых систем (Open Systems Interconnection - OSI), в которой средства сетевого взаимодействия делятся на семь уровней, для которых определены стандартные названия и функции.

8. Сетевые анализаторы и "снифферы"

Физический уровень определяет электрические, функциональные и другие параметры физической связи.

Канальный уровень обеспечивает надежную передачу данных через физический канал.

Конкретные реализации функций канального и физического уровней зависят от сетевой технологии.

В настоящее время самой распространённой сетевой технологией является Ethernet (около 80% сетей). Все популярные операционные системы и стеки протоколов поддерживают Ethernet.

Главный недостаток технологии Ethernet - незащищенность передаваемой информации Метод доступа положенный в основу этой технологии требует от узлов, подключенных к сети, непрерывного прослушивания всего трафика. Узлы такой сети могут перехватывать информацию, адресованную своим соседям. Данная уязвимость делает возможным проведение атак, использующих механизм «пассивного прослушивания» Средства для проведения таких атак - это анализаторы протоколов или снифферы.

«Cниффер» обозначает устройство, подключенное к компьютерной сети и записывающее весь ее трафик. Так же «сниффер» - программа, запущенная на подключенном к сети узле и просматривающая весь трафик сетевого сегмента.

Работа "сниффера" использует основной принцип технологии Ethernet - общую среду передачи, то есть любое устройство, подключенное к сетевому сегменту, может слышать и принимать все сообщения, в том числе предназначенные не ему. Сетевые адаптеры Ethernet могут работать в двух режимах:

- селективном (non-promiscuous). Принимаются только сообщения предназначенные только данному узлу. Фильтрация осуществляется на основе MAC-адреса фрейма.

- неселективном (promiscuous). Фильтрация не осуществляется, и узел принимает все фреймы, передаваемые по сегменту.

«Снифферы» переводят сетевой адаптер в неселективный режим и собирают весь трафик сети для последующего анализа. Собранный трафик сегмента может быть отображен на экране, записан в файл и т. п. Так как обмен информации происходит обычно в двоичном формате, в обязанности "сниффера" обычно входит расшифровка (декодирование) и вывод информации в удобном (читаемом) виде.

Тот же принцип пассивного прослушивания трафика лежит в основе работы средств обнаружения атак.

С помощью анализатора протоколов перехват информации в случае нахождения злоумышленника в другом сегменте осуществить невозможно, однако для этого используются другие методы, позволяющие перенаправить трафик из другого сегмента на узел нарушителя и реализующие атаки типа «создание ложного объекта-посредника» на сетевом и транспортном уровнях модели OSI

Так как сниффер - это пассивное устройство, обнаружить его достаточно сложно. Обычно присутствие сниффера можно обнаружить по каким-либо косвенным признакам, свойственным конкретному снифферу или по неселективному режиму работы сетевой карты на узле.

Меры защиты от снифферов следуют из принципа их работы и цели атак:

1. Шифрование информации.

2. Построение сетей на основе интеллектуальных коммутаторов (switches) и их грамотная конфигурация.

3. Использование сетевых адаптеров, не поддерживающих неселективный режим.

4. Обнаружение несанкционированно используемых на компьютерах анализаторов протоколов.