- •Вопрос 1. Сравнение возможностей реализации функций защиты на различных уровнях стека tcp/ip.
- •Вопрос 2. Протокол ipSec. Сервисы ipSec. Вопрос 3. Защищенные связи. Режим функционирования ipSec.
- •Вопрос 4. Заголовок аутентификации (ан).
- •Вопрос 5. Защищенный полезный груз (esp). Комбинации защищенных связей.
- •Вопрос 6. Способы защиты потока данных в глобальной сети. Стек протоколов ssl.
- •Вопрос 7. Стек протоколов ssl. Протокола записи. Протокол извещения. Протокол изменения параметров шифрования.
- •Вопрос 8. Стек протоколов ssl. Протокол квитирования. Этапы согласования параметров соединения.
- •Вопрос 9. Классификация сетевых атак.
- •Вопрос 10. Сетевые атаки. Пассивные атаки, sniffing. Методы защиты.
- •Вопрос 12. Сетевые атаки. Разновидности Spoofing’a.
- •Вопрос 13. Сетевые атаки. Атаки на транспортном уровне. Сканирование портов.
- •Вопрос 14. Сетевые атаки. Атаки на транспортном уровне. Предсказание sn. Вопрос 15. Сетевые атаки. Атаки на транспортном уровне. Десинхронизация tcp соединения.
- •Вопрос 16. Сетевые атаки. Dos-атаки. Flooding.
- •Вопрос 17. Защита от сетевых атак. Классификация мсэ.
- •Вопрос 18. Защита от сетевых атак. Различные типы окружений для мсэ. Места установки мсэ.
- •Вопрос 19. Kerberos. Простой диалог аутентификации. Вопрос 20. Kerberos. Защищенный диалог аутентификации.
- •Вопрос 21. Kerberos. Диалог аутентификации Kerberos V.4.
- •Вопрос 22. Kerberos. Диалог аутентификации Kerberos V.5.
- •Вопрос 23. Kerberos. Области взаимодействия.
Вопрос 12. Сетевые атаки. Разновидности Spoofing’a.
IP Spoofing (подмена IP)
Целью данной атаки является посылка пакетов, содержащих чужой адрес отправителя с целью сокрытия источника атаки, либо с целью извлечь выгоду из доверительно связи двух узлов, использующих в качестве идентификатора IP адреса.
а) предсказание ТСР Sequence Number – данная атака позволяет нарушителю установить соединение с сервером под видом законного пользователя, используя его IP адреса в качестве идентификатора.
Нарушитель должен добиться неработоспособности клиента (Reset клиента, или собственными действиями);
Нарушитель из-под своего имени пытается установить соединение с сервером. Нарушитель не использует – 1, 2 и 3 могут использоваться несколько раз для вычисления алгоритма ISN сервера для каждого соединения;
Как клиент, нарушитель отсылает запрос на установление соединения. Сервер отсылает «клиенту» нет ответа. Пакет от сервера нарушитель не получает;
Как клиент, нарушитель отсылает пакет с подтверждением установления соединения с клиентом, используя предсказанное значение ISN сервера. Для сервера в случае угадывания ISN соединение установлено.
Нарушитель от имени клиента может повредить, запросить сведения клиента, используя альтернативный способ.
Нарушитель не может получать сведения, адресованных клиенту, по сети.
б) ARP Spoofing – ARP позволяет определить МАС-адрес компьютера по его IP для последующего установления соединения на канальном уровне. Полученные данные хранятся в ARP КЭШе
Реализация данной атаки позволяет нарушителю указать не существующее соответствие между его МАС-адресов и IP жертве, в результате все пакеты отправляются жертве на сетевом уровне попадают нарушителю.
Атака реализуется следующим образом:
1) дожидается запрос от Сервера на получение МАС-адреса жертвы, а в ответ отсылается ложный ARP ответ;
2) серверы формируют ARP таблицу по ответам на сервер отсылает ложный ARP ответ, который будет включен в таблицу.
Вопрос 13. Сетевые атаки. Атаки на транспортном уровне. Сканирование портов.
Сканирование портов
В результате сканирования портов злоумышленник получает сведения о запущенных на узле приложениях, что позволяет ему в дальнейшем спланировать конкретные сетевые атаки, нарушающие Д, К, Ц нескольких служб или узла в целом.
ТСР: установка соединения SYN→SYN, ACK →ACK
UDP: нет установки соединения
Методы сканирования:
1) synstealth – на каждый порт отправляется пакет ТСР с флагом SYN. Если порт открыт возвращается SYN ACK, если закрыт, то RST. 3-й шаг установления соединения не осуществляется;
2) connect – то же самое, только 3-й шаг есть;
3) UDP-scan – сканирование – если в ответ на посланный пакет не пришло ответа, то порт открыт, если ошибка, то порт закрыт;
4) NULL-Scan – отсылается пакет, заведомо неправильный с несуществующими (обнуленными) флагами, в ответ на такой пакет запущенная служба может сработать неадекватно и вернуть какое-то сообщение об ошибке, что позволит сделать вывод о запуске на порте слудбы;
5) XMAS-Scan – пакет ТСР, флаги устанавливаются в разном порядке (главное чтобы не было существующих комбинаций). Результат сканирования, как в предыдущем методе.
6) Fin-Scan – часто пакетный фильтр, защищающий порты, не допускает прохождение пакетов с флагом SYN, а с FIN успешно проходят до порта, и если в ответ на данный пакет придет АСК, то порт открыт.