Удаленные атаки на хосты
Internet |
В связи с большой популярностью сети Internet огромное значение
приобретает проблема информационной безопасности в сети. Из-за
сложной инфраструктуры сети Internet, большого числа различных
протоколов обмена на базе TCP/IP, спроектированных без учета
требований к их безопасности, возможны различные способы нарушения
безопасности компьютерной сети со стеком протоколов TCP/IP.
Рассмотрим следующие виды удаленных атак на хосты
Internet:
Исследование сетевого трафика Данное
воздействие широко используется хакерами в сети Internet для
получения статических паролей, используемых пользователями для
доступа к удаленным хостам по протоколам FTP и TELNET. В данных
протоколах обмена не предусмотрено шифрование пароле й перед
передачей их по сети, следовательно, простой перехват имени
пользователя и пароля позволит хакеру получить несанкционированный
доступ к удаленному хосту.
Навязывание хосту ложного
маршрута с помощью протокола ICMP В сети Internet существует
специальный протокол ICMP (Internet Control Message Protocol), одной
из функцией которого является информирование хостов о смене текущего
маршрутизатора. Данное управляющее сообщение носит название
redirect. Существует в озможность посылки с любого хоста в сегменте
сети ложного redirect-сообщения от имени маршрутизатора на атакуемый
хост. В результате у хоста изменяется текущая таблица маршрутизации
и, в дальнейшем, весь сетевой трафик данного хоста будет проходить,
напр имер, через хост, отославший ложное redirect-сообщение. Таким
образом возможно осуществить активное навязывание ложного маршрута
внутри одного сегмента сети Internet.
Ложный ARP
сервер В сети Internet каждый хост имеет уникальный IP-адрес,
на который поступают все сообщения из глобальной сети. Однако
протокол IP это не столько сетевой, сколько межсетевой протокол
обмена, предназначенный для связи между объектами в глобальной сет
и. На канальном уровне пакеты адресуются по аппаратным адресам
сетевых карт. В сети Internet для взаимно однозначного соответствия
IP и Ethernet адресов используется протокол ARP (Address Resolution
Protocol). Первоначально хост может не иметь информации о
Ethernet-адресах других хостов, находящихся с ним в одном сегменте,
в том числе и о Ethernet-адресе маршрутизатора. Соответственно, при
первом обращении к сетевым ресурсам хост отправляет
широковещательный ARP-запро с, который получат все станции в данном
сегменте сети. Получив данный запрос, маршрутизатор отправляет на
запросивший хост ARP-ответ, в котором сообщает свой Ethernet-адрес.
Данная схема работы позволяет злоумышленнику послать ложный
ARP-ответ, в котором объявить себя искомым хостом, (например,
маршрутизатором), и, в дальнейшем, активно контролировать весь
сетевой трафик “обманутого” хоста.
Ложный DNS
сервер Для обращения к хостам Internet по именам, а не по
IP-адресам, в сети Internet существует протокол DNS (Domain Name
System). Основная задача службы DNS, для которой в сети создаются
специальные DNS-серверы, состоит в получении от хоста DNS-запроса на
поиск сервера, поиска по полученному в DNS-запросе имени IP-адреса
сервера и его передача на запросивший хост. При анализе безопасности
данного протокола выяснилось, что при перехвате хакером DNS-запроса
на поиск с ервера существует возможность послать ложный DNS-ответ, в
котором в качестве искомого IP-адреса указать IP-адрес станции
злоумышленника, что приведет к тому, что, в дальнейшем, весь трафик
между запросившем хостом и сервером будет перехвачен ложным DNS-с
ервером. Данная атака возможна в случае нахождения в одном сегменте
с настоящим DNS-сервером и позволяет организовать межсегментную
атаку на хосты Internet.
|