Вопрос 14. Сетевые атаки. Атаки на транспортном уровне. Предсказание sn. Вопрос 15. Сетевые атаки. Атаки на транспортном уровне. Десинхронизация tcp соединения.

Предсказание Sequence Number – данная атака позволяет нарушителю установить соединение с сервером под видом законного пользователя, используя его IP адреса в качестве идентификатора.

1. Нарушитель должен добиться неработоспособности клиента (Reset клиента, или собственными действиями);

2. Нарушитель из-под своего имени пытается установить соединение с сервером. Нарушитель не использует – 1, 2 и 3 могут использоваться несколько раз для вычисления алгоритма ISN сервера для каждого соединения;

3. Как клиент, нарушитель отсылает запрос на установление соединения. Сервер отсылает «клиенту» нет ответа. Пакет от сервера нарушитель не получает;

4. Как клиент, нарушитель отсылает пакет с подтверждением установления соединения с клиентом, используя предсказанное значение ISN сервера. Для сервера в случае угадывания ISN соединение установлено.

5. Нарушитель от имени клиента может повредить, запросить сведения клиента, используя альтернативный способ.

Нарушитель не может получать сведения, адресованных клиенту, по сети

Ранняя десинхронизация – атака, направленная на нарушение доступности при соединении К-С.

Начальные условия:

Нарушитель находится на пути трафика от К к С, имеет возможность его прослушивать и выполнять роль его посредника, генерирующего корректные пакеты для К и С.

1. К отправляет запрос на установку соединения;

2. С отвечает. К считает соединение установленным;

3. Н отправляет серверу RST (сброс)

4. От имени К Н отсылает запрос на установление соединения с новым значением ASN;

5. С возвращает К подтверждение установления соединения;

6. Н от имени К подтверждает установление соединения.

В результате атаки у К и С соединения считается установленным, однако, оно десинхронное из-за того, что у них не совпадают начальные порядковые номера сегментов протокола ТСР, т.е. любой пакет в рамках соединения будет не попадать в диапазон окна, т.е. будет считаться запрещенным. В ответ на него будет сформирован пакет переспроса, который будет запрещен для другой стороны, т.е. такое соединение спровоцирует «АСК - бурю». Узлы будут постоянно обмениваться запрещенными пакетами АСК. Это будет продолжаться до тех пор пока один из пакетов не будет утерян.

Вопрос 16. Сетевые атаки. Dos-атаки. Flooding.

Затопление ICMP пакетами (ping flood). Т.к. для проверки работоспособности узлов используется диалог обмена пакетами ICMP, все узлы по умолчанию должны принимать данные пакеты и обрабатывать их с повышенным приоритетом, чтобы избежать корректной оценки времени доступа к узлу. Атака ping flood заключается в генерации нарушителем большого числа ICMP запросов на узел жертвы с минимальным интервалом между пакетами, что приводит к затоплению каналов узла жертвы, либо повышенная трата вычислительных ресурсов на обработку данных пакетов. Это так называемая Dos атака, т.е. атака на доступность.

Для реализации в сети Internet используется разновидность DDoS – распределенная атака на отказуемость в сервисе. Направление только на затопления каналов узла жертвы. Реализуется отсылает пакет с ICMP запросом на широковещательный адрес крупной сети. В качестве адреса получателя указывается адрес узла жертвы. В результате в ответ на один запрос возникает большое количество ответов, что и затопляет канал жертвы.

Для защиты: большинство критичных узлов или маршрутизаторов запрещают прием и маршрутизацию ICMP трафика вообще.

Локальная буря

7 – echo, любой пакет возвращается обратно

19 – chargen, возвращает пакет со строкой символов.

Нарушитель посылает единственный пакет UDP, где в качестве исходного порта указан 7, а в качестве порта получателя 19, а в качестве адресов, либо адрес двух атакуемых машин локальной сети, либо адрес одной и той же машины. В результате, попав на порт 19, пакет будет отработан и в ответ послана строка на порт 7, а 7 отразит ее на 19. Бесконечный цикл добавляет нагрузку канала и машины.

Затопление SYN пакетами (SYN flood)

SYN-запрос на установление соединения. В ответ на пакет SYN узел отвечает пакетом SYN ASK и переводит соединение из состояния Listen в состоянии SYN-Received. Соединение в этом состоянии переводится в специальную очередь соединений, ожидающих установления. У большинства узлов эта очередь конечна и при ее заполнении все следующие соединения будут отброшены, т.е. нарушителю достаточно генерировать не очень большое количество SYN запросов, не отвечая на подтверждения, чтобы полностью исключить возможность подключения к узлу легальных пользователей.