Основы построения и технологии локальных компьютерных сетей



Pdf көрінісі
бет13/24
Дата07.01.2022
өлшемі0,74 Mb.
#19409
түріКонспект
1   ...   9   10   11   12   13   14   15   16   ...   24
Байланысты:
kt 2

Генерация пакетов. 

Под  генерацией  пакетов  понимается  создание  и  отправка  специально 

сконструированных  датаграмм  или  кадров,  позволяющих  злоумышленнику 

выполнить ту или иную атаку. Особо выделим здесь фальсификацию пакетов, 




 

 

 



 

30 


то  есть  создание  IP-датаграмм  или  кадров  уровня  доступа  к  сети, 

направленных якобы от другого узла (spoofing). 

Генерация датаграмм или кадров произвольного формата и содержания 

производится  не  менее  просто,  чем  прослушивание  сети  Ethernet.  На 

многочисленных сайтах Интернета злоумышленник может найти уже готовые 

программы,  генерирующие  пакеты  целенаправленно  для  выполнения  какой-

либо  атаки  или  сканирования  сети.  Применение  таких  программ  часто  не 

требует  от  злоумышленника  ни  квалификации  программиста,  ни  понимания 

принципов работы сети, что делает многие из описанных атак, особенно атаки 

типа «отказ в обслуживании», широко доступными для исполнения. 



Перехват данных. 

Простейшей формой перехвата данных является прослушивание сети. В 

этом  случае  злоумышленник  может  получить  массу  полезной  информации: 

имена пользователей и пароли (многие приложения передают их в открытом 

виде), адреса компьютеров в сети, в том числе адреса серверов и запущенные 

на них приложения, адрес маршрутизатора, собственно передаваемые данные, 

которые  могут  быть  конфиденциальными  (например,  тексты  электронных 

писем) и т. п. 



Ложные ARP-ответы. 

Для перехвата трафика между узлами А и В, расположенными в одной 

IP-сети, 

злоумышленник  использует  протокол  ARP.  Он  рассылает 

сфальсифицированные  ARP-сообщения  так,  что  каждый  из  атакуемых  узлов 

считает  MAC-адрес  злоумышленника  адресом  своего  собеседника  (рисунок 

1). 

Для  обнаружения  ARP-атак  администратор  должен  вести  базу  данных 



соответствия  MAC-  и  IP-адресов  всех  узлов  сети  и  использовать  программу 

arpwatch,  которая  прослушивает  сеть  и  уведомляет  администратора  о 

замеченных нарушениях. Если сеть разделена на сегменты коммутаторами, то 

администратор  должен  настроить  их  таким  образом,  чтобы  в  сегмент,  где 

находится  станция  администратора,  перенаправлялись  кадры  из  всех 

сегментов сети вне зависимости от того, кому они предназначены. 

Использование  статических  ARP-таблиц,  по  крайней  мере  —  на 

ключевых  узлах  (серверах,  маршрутизаторах),  защитит  их  от  ARP-атаки, 

правда, за счет накладных расходов на поддержку этих таблиц в актуальном 

состоянии. 

Пользователю  на  атакуемом  хосте,  не  снабженном  статической  ARP-

таблицей,  крайне  сложно  заметить,  что  он  подвергся  ARP-атаке,  поскольку 

представляется маловероятным, что пользователь помнит MAC-адреса других 

узлов своей сети и периодически проверяет ARP-таблицу своего компьютера. 




 

 

 



 

31 


  

Рисунок 6.1 - Схема ARP-атаки 

 

Навязывание ложного маршрутизатора. 

Для  перехвата  трафика,  направленного  от  некоторого  узла  А  в  другую 

сеть,  злоумышленник  может  навязать  хосту  свой  адрес  в  качестве  адреса 

маршрутизатора,  которому  должны  быть  переданы  отправляемые  узлом  А 

данные.  В  этом  случае  узел  А  будет  направлять  трафик  на  узел 

злоумышленника, который после анализа и, возможно, модификации данных, 

отправит их далее настоящему маршрутизатору. 

 

  



Рисунок 6.2 - Навязывание ложного маршрутизатора с помощью  

ICMP Redirect 

 

На атакуемом узле сообщение Redirect отобразится в виде появившейся 



строки в таблице маршрутов, направляющей данные для хоста В через узел Х. 

Кроме  того,  программа  traceroute  скорее  всего  покажет  дополнительный 

промежуточный узел на пути к В. 

Атака при конфигурировании хоста. 

В некоторых случаях навязывание ложного маршрутизатора может быть 

произведено  с  помощью  ICMP-сообщения  Router  Advertisement  или  через 

протокол DHCP. 



Атака на протоколы маршрутизации. 

Если злоумышленник хочет перехватить трафик между узлами сети Р и 

узлами  сети  Q,  и  при  этом  не  находится  ни  в  одной  из  сетей  P  или  Q,  но 

расположен на пути между ними, он может попытаться ввести в заблуждение 

маршрутизаторы.  Маршрутизаторы  не  реагируют  на  сообщения  ICMP 

Redirect,  поэтому  для  успешной  атаки  необходимо,  чтобы  они  использовали 

какой-либо  протокол  маршрутизации.  В  этом  случае  злоумышленник  может 



 

 

 



 

32 


сформировать  подложные  сообщения  протокола  маршрутизации  с  целью 

переключения  требуемых  маршрутов  на  себя.  Например  (рисунок  3)  узел  Х, 

приняв  широковещательные  RIP-сообщения,  рассылаемые  узлами  А  (вектор 

P=3)  и  В  (вектор  Q=2),  отправляет  сообщение  с  вектором  Q=1  на 

индивидуальный  адрес  маршрутизатора  А,  а  сообщение  P=2  —  на 

индивидуальный  адрес  В.  Аутентификация  TCP-сегментов  с  помощью 

алгоритма MD5 поможет изсключить данную атаку. 

  

Рисунок 6.3 - Навязывание ложного RIP-маршрутизатора X для перехвата 



трафика между сетями P и Q 

 



Достарыңызбен бөлісу:
1   ...   9   10   11   12   13   14   15   16   ...   24




©emirsaba.org 2024
әкімшілігінің қараңыз

    Басты бет