Лекция №11. Несанкционированное подключение к сети

Цель лекций: ознакомить студентов с методами  несанкционированного 

подключения к сети и вариантами защиты. 

Для  незаконного  подключения  к  сети  злоумышленник  должен  иметь 

особенно  университетских  сетях  такая  возможность  часто  имеется. 

Следующим  шагом  для  злоумышленника  является  конфигурирование 

параметров стека TCP/IP его компьютера. 

Прослушивая  сеть  (сегмент  сети)  злоумышленник  может  определить, 

какие IP-адреса имеют узлы сети, с помощью ICMP Echo-запросов (программа 

ping)  определить,  какие  адреса  не  используются  (или  компьютеры 

выключены),  найти  IP-адрес  маршрутизатора  по  умолчанию.  После  этого 

злоумышленник может присвоить себе неиспользуемый адрес. 

Если  в  сети  имеется  сервер  DHCP,  который  предоставляет  IP-адреса 

всем желающим, то он полностью сконфигурирует узел злоумышленника без 

всяких усилий со стороны последнего. Это событие будет зарегистрировано в 

журнале сервера. 

Для  предотвращения  несанкционированного  подключения  к  сети 

администратор  должен  использовать  статическую  ARP-таблицу  на 

маршрутизаторе  (и  ключевых  хостах-серверах)  и  программу  arpwatch. 

Статическая  ARP-таблица  не  позволит  злоумышленнику  получить  ни  одну 

датаграмму  от  узла,  который  ее  использует,  поскольку  MAC-адрес 

злоумышленника,  естественно,  не  значится  в  таблице.  Программа  arpwatch 

уведомит администратора о появлении узла с неизвестным MAC-адресом. 

Однако, если злоумышленник, определив IP- и MAC-адреса какого-либо 

компьютера  в  своей  сети,  дождется  его  выключения  (или  проведет  против 

него атаку «отказ в обслуживании», приводящую к неспособности атакуемого 

хоста  работать  в  сети),  а  потом  присвоит  себе  его  MAC-  и  IP-адреса,  то 

обнаружить  такого  злоумышленника  будет  невозможно  и  все  его  действия 

будут приписаны атакованному хосту. 

Несанкционированный обмен данными. 

С целью обеспечения безопасности внутренней (корпоративной) сети на 

шлюзе  могут  использоваться  фильтры,  препятствующие  прохождению 

определенных  типов  датаграмм.  Датаграммы  могут  фильтроваться  по  IP-

адресам  отправителя  или  получателя,  по  протоколу  (поле  Protocol  IP-

датаграммы), по номеру порта TCP или UDP, по другим параметрам, а также 

по  комбинации  этих  параметров.  Злоумышленник  может  использовать 

следующие два приема для проникновения через некоторые фильтры. 

 

 

 

 

40 

жүктеу/скачать 0,74 Mb.

Достарыңызбен бөлісу: