Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Сборная ответов к госэкзаменам.doc
Скачиваний:
122
Добавлен:
02.09.2019
Размер:
7 Mб
Скачать

"Летучая смерть"

"Летучая смерть" (Ping о“Death) - такое название получил достаточно простой способ выведения из строя узлов сети Internet, широко распространенный в последнее время. Результатом атаки является зависание атакуемого сервера, иначе называемого "сервер пели". Примечательно, что для осуществления атаки нужно знать только IР-адрес атакуемого устройства, который в подавляющем большинстве случаев не является секретным. Смысл атаки основан на том факте, что согласно RFС-791 (Request for Comment -специальные документы, выпускаемые Сетевым информационным центром Network Information Center) максимальный размер IР-пакета ограничен размером в 65535 байт. Для хранения такого максимального размера пакета в IР-заголовке отведено 16 бит и на такую максимальную величину рассчитано существующее ПО. Это ограничение максимальной длины злоумышленник может по­пробовать обойти. Дело в том, что более нижний, чем сетевой уро­вень IР, уровень соединения инкапсулирует IР-датаграммы в кад­ры собственной спецификации (например, Еthernet). Датаграмма, один из двух возможных способов межкомпьютерного обмена данными - это сообщение, которое не требует подтверждения о приеме от принимающей стороны. При этом сетевой уровень (IР) фрагментирует IР-датаграмму на несколько пакетов, соответст­вующих максимальному размеру пакета уровня соединения, раз­мер которого ограничен спецификацией уровня соединения (1500 байт в Еthernet). В поле заголовка IР-пакета имеется флаг "фраг­мент-продолжение", который во время фрагментации IР устанав­ливает в "1" во всех фрагментах, кроме последнего. В последнем фрагменте данных бит равен нулю. Кроме того, IР размещает в за­головке фрагмента - в поле смещения фрагмента - смещение дан­ного фрагмента от начала исходного IР-пакета. Максимальное смещение при этом равно 65528 байт. Таким образом, если во фрагменте IР-датаграммы выставить флаг продолжения и подце­пить вторую датаграмму, то можно получить результирующую датаграмму, размер которой будет превышать максимально допус­тимый (например: смещение 65528 + продолжение 1500 = 67028 > 65535). Как правило, принимающие устройства обрабатывают по­ступающие IР-пакеты только после прихода последнего фрагмента текущего пакета, поэтому превышение размеров максимально ожидаемой длины приводит к переполнению буферов и зависа­нию ПК.

SYN-бомбардировка

SYN-бомбардировка (SYN-flooding) - способ нарушения работы Internet-сервера. Он достаточно прост в использовании и достаточ­но трудно предотвращается. Но в отличие от "летучей смерти" он основан на слабости транспортного протокола ТСР, т.е. является более высокоуровневым. Смысл SYN-бомбардировки в том, что транспортный протокол ТСР, в отличие от сетевого IР, является надежным протоколом и гарантирует доставку сегмента данных получателю. Это означает, что в случае отсутствия за определен­ный промежуток времени подтверждения от клиента о получении сегмента данных сервер будет посылать этот сегмент снова и сно­ва, пока не получит подтверждение. Этим свойством и пользуются взломщики для вывода из строя узлов Internet.

Данная атака активизируется при запросах с наполовину от­крытыми соединениями и направляется на конкретную службу (telnet или FTP). Результатом осуществления атаки является резкое снижение производительности или аварийное завершение работы системы.

Все ТСР-соединения являются дуплексными: данные следуют в обоих направлениях одновременно. В силу дуплексной природы соединения оба модуля ТСР должны учитывать и нумеровать дан­ные в каждом направлении по-разному, а значит, обрабатывать два начальных номера последовательности. Стандартный клиент, что­бы обратиться к серверу, посылает по его адресу ТСР-сегмент, в заголовке которого присутствует флаг синхронизации (SYN) и 32-битный начальный номер последовательности. Сервер в ответ по­сылает сегмент ТСР с флагом подтверждения (АСК.) и номером подтверждения, кроме того, в этом сегменте содержится флаг син­хронизации (SYN) и начальный номер последовательности на со­единение в направлении сервер-клиент. При получении этого сег­мента клиент отправляет очередной свой сегмент с флагом под­тверждения и номером подтверждения последовательности серве­ра. И только после прихода на сервер подтверждения последова­тельности сервера между сервером и клиентом устанавливается дуплексная ТСР-связь. Однако можно достаточно легко модифи­цировать стандартный драйвер ТСР-протокола на клиентском компьютере, так чтобы он постоянно посылал на сервер сегменты с проставленным флагом синхронизации и различными начальны­ми номерами последовательностей. Тогда в ответ на каждый такой сегмент сервер открывает отдельный канал связи и посылает от­ветные сегменты. ПК злоумышленника же не отвечает на прихо­дящие данные, а только посылает и посылает новые запросы на установление дополнительных каналов связи. В результате чего загрузка атакованного сервера через некоторое время становится пиковой. Легальные пользователи уже не могут свободно пользо­ваться его ресурсами. Сервер становиться полностью недееспосо­бен, т.е. "зависает".