Уязвимости популярных операционных систем

Уязвимости Уязвимости популярных популярных

операционных системоперационных систем

Оценка уязвимостиОценка уязвимости

Несовершенство операционных систем и Несовершенство операционных систем и программного обеспечения — едва ли не программного обеспечения — едва ли не главная причина колоссального ущерба, главная причина колоссального ущерба, нанесенного мировой экономике нанесенного мировой экономике компьютерными злоумышленниками. компьютерными злоумышленниками. Большинство хакерских атак становится Большинство хакерских атак становится возможными из-за наличия уязвимостей в возможными из-за наличия уязвимостей в существующих ОС и ПО. В Сети появляется все существующих ОС и ПО. В Сети появляется все больше вредоносного кода, который использует больше вредоносного кода, который использует их для проникновения в компьютеры, их для проникновения в компьютеры, выполнения запрограммированных действий и выполнения запрограммированных действий и дальнейшего своего распространения.дальнейшего своего распространения.


Одним из основных элементов безопасности Одним из основных элементов безопасности является операционная система компьютера, так является операционная система компьютера, так как именно она аккумулирует в себе подавляющую как именно она аккумулирует в себе подавляющую часть используемых механизмов защиты. Поэтому часть используемых механизмов защиты. Поэтому именно эффективность механизмов защиты ОС именно эффективность механизмов защиты ОС определяет уровень безопасности корпоративной определяет уровень безопасности корпоративной сети и информационной системы предприятия в сети и информационной системы предприятия в целом.целом.

Текущее состояние защищенности системы может Текущее состояние защищенности системы может иметь одно из двух состояний: полностью иметь одно из двух состояний: полностью защищена, либо полностью незащищена. Переход защищена, либо полностью незащищена. Переход системы из одного состояние в другое системы из одного состояние в другое осуществляется при обнаружении хотя бы одной осуществляется при обнаружении хотя бы одной уязвимости защиты, возвращение в исходное уязвимости защиты, возвращение в исходное состояние — при устранении известной уязвимости. состояние — при устранении известной уязвимости.


Под Под уязвимостьюуязвимостью системы защиты понимается системы защиты понимается такое ее свойство (недостаток), которое может такое ее свойство (недостаток), которое может быть использовано злоумышленником для быть использовано злоумышленником для осуществления несанкционированного доступа осуществления несанкционированного доступа (НСД) к информации. При этом любая уязвимость (НСД) к информации. При этом любая уязвимость системы защиты несет в себе угрозу системы защиты несет в себе угрозу осуществления злоумышленником НСД к осуществления злоумышленником НСД к информации, посредством реализации атаки на информации, посредством реализации атаки на уязвимость в системе защиты. Таким образом, уязвимость в системе защиты. Таким образом, уязвимость системы защиты — это признак уязвимость системы защиты — это признак системы, а наличие (отсутствие) известных системы, а наличие (отсутствие) известных уязвимостей (известных, так как уязвимости в уязвимостей (известных, так как уязвимости в любой системе защиты присутствуют всегда) любой системе защиты присутствуют всегда) является характеристикой защищенности является характеристикой защищенности (текущего состояния защищенности) системы.(текущего состояния защищенности) системы.


Как следствие, характеристикой защищенности Как следствие, характеристикой защищенности системы следует считать не только системы следует считать не только реализованный в ней набор механизмов реализованный в ней набор механизмов защиты, который должен быть достаточным защиты, который должен быть достаточным для условий применения системы, но и для условий применения системы, но и продолжительность устранения известной продолжительность устранения известной уязвимости разработчиком системы. Причем уязвимости разработчиком системы. Причем каждый механизм защиты должен быть каждый механизм защиты должен быть реализован корректно, как с точки зрения реализован корректно, как с точки зрения идеологической продуманности решения, так и идеологической продуманности решения, так и с точки зрения ошибок программирования при с точки зрения ошибок программирования при реализации. Недостаточность и некорректность реализации. Недостаточность и некорректность реализации механизмов защиты — две реализации механизмов защиты — две основные причины уязвимости системы.основные причины уязвимости системы.


Считая, что обнаружение каналов НСД к Считая, что обнаружение каналов НСД к информации (уязвимостей) — (или в информации (уязвимостей) — (или в терминологии теории надежности — отказов терминологии теории надежности — отказов системы защиты), и процесс их устранения системы защиты), и процесс их устранения являются пуассоновскими потоками являются пуассоновскими потоками (соответственно, с интенсивностями (соответственно, с интенсивностями λλ и и μμ), можно ), можно оценить с использованием простейшей формулы:оценить с использованием простейшей формулы:

Ρ=1-λ/μΡ=1-λ/μ Уязвимости устраняются по мере их обнаружения, Уязвимости устраняются по мере их обнаружения,

иначе нельзя обеспечить высокую интенсивность иначе нельзя обеспечить высокую интенсивность исправлений. Надежность системы защиты — исправлений. Надежность системы защиты — вероятность того, что в любой момент времени вероятность того, что в любой момент времени система защищена (определяется тем условием, система защищена (определяется тем условием, что число не устраненных уязвимостей равно 0).что число не устраненных уязвимостей равно 0).


Отказов Отказов

ВосстанВосстано-о-влениевление

1 в 1 в годгод



10 в год10 в год

1 нед.1 нед. 0,98 0,98 0,96 0,96 0,93 0,93 0,810,81

2 нед.2 нед. 0,96 0,96 0,92 0,92 0,82 0,82 0,620,62

1 мес.1 мес. 0,92 0,92 0,85 0,85 0,620,62 0,230,23

2 мес.2 мес. 0,85 0,85 0,690,69 0,240,24 --

3 мес.3 мес. 0,770,77 0,540,54 -- --

4 мес.4 мес. 0,690,69 0,39 0,39 -- --


Значение 0,98 - лучшее значение надежности Значение 0,98 - лучшее значение надежности системы защиты в таблице. Оно достигается в том системы защиты в таблице. Оно достигается в том случае, если в среднем обнаруживается одна случае, если в среднем обнаруживается одна уязвимость в год при среднем времени ее уязвимость в год при среднем времени ее восстановления разработчиком, составляющим одну восстановления разработчиком, составляющим одну неделю. При этом вероятность того, что в любой неделю. При этом вероятность того, что в любой момент времени система защищена, равна 0,98, т.е. момент времени система защищена, равна 0,98, т.е. в любой момент времени с вероятностью 0,02 в любой момент времени с вероятностью 0,02 систему защиты можно считать отказавшей. Для систему защиты можно считать отказавшей. Для современных систем это практически идеальная современных систем это практически идеальная ситуация. Сегодня во многих современных ситуация. Сегодня во многих современных системных средствах за год находится отнюдь не системных средствах за год находится отнюдь не одна уязвимость, а продолжительность устранения одна уязвимость, а продолжительность устранения уязвимости разработчиком может составлять уязвимости разработчиком может составлять несколько месяцев.несколько месяцев.


Используя данный подход, можно оценить Используя данный подход, можно оценить защищенность современных ОС, с учетом защищенность современных ОС, с учетом того, что средняя задержка появления того, что средняя задержка появления исправлений — один-два месяца. исправлений — один-два месяца. Обнаружение лишь 5 уязвимостей в год уже Обнаружение лишь 5 уязвимостей в год уже является достаточным для вывода о является достаточным для вывода о незащищенности системы.незащищенности системы.

Таким образом, безопасность ОС Таким образом, безопасность ОС характеризуется не только достаточностью и характеризуется не только достаточностью и корректностью реализации механизмов корректностью реализации механизмов защиты, но и ошибками программирования, защиты, но и ошибками программирования, приводящими к уязвимостям, а также приводящими к уязвимостям, а также способностью разработчика системы быстро и способностью разработчика системы быстро и качественно устранять подобные ошибки.качественно устранять подобные ошибки.

Статистика уязвимостей Статистика уязвимостей ОС семейства WindowsОС семейства Windows

Используя статистику успешных атак, их можно Используя статистику успешных атак, их можно сгруппировать на основании используемых сгруппировать на основании используемых уязвимостей. Объединение по различным уязвимостей. Объединение по различным признакам позволяет получить следующую признакам позволяет получить следующую классификацию :классификацию :

получение имени и пароля ОС или БД (7%)получение имени и пароля ОС или БД (7%).. В эту В эту группу входят уязвимости позволяющие узнать из группу входят уязвимости позволяющие узнать из файлов и реестра имена и пароли пользователей файлов и реестра имена и пароли пользователей системы, включая имя и пароль администратора;системы, включая имя и пароль администратора;

получение имени и пароля других служб и получение имени и пароля других служб и приложений (13%).приложений (13%). Такие уязвимости позволяют Такие уязвимости позволяют сделать тоже, что и в первой группе, но с учетом сделать тоже, что и в первой группе, но с учетом того, что несистемные имена и пароли могут того, что несистемные имена и пароли могут совпадать с системными;совпадать с системными;


крах системы (крах системы (77%).%). Уязвимости, приводящие к Уязвимости, приводящие к аварийному завершению работы системы в аварийному завершению работы системы в результате ошибки в ядре. Типичная результате ошибки в ядре. Типичная настройка ОС Windows генерирует файл дампа настройка ОС Windows генерирует файл дампа памяти, в котором могут содержаться имена и памяти, в котором могут содержаться имена и пароли пользователей в том или ином виде;пароли пользователей в том или ином виде;

использование некорректных настроек использование некорректных настроек безопасности реестра (8%).безопасности реестра (8%). Позволяет Позволяет беспрепятственно читать и записывать беспрепятственно читать и записывать информацию из/в реестр ОС. Поскольку реестр информацию из/в реестр ОС. Поскольку реестр — это системная БД ОС, которой также — это системная БД ОС, которой также пользуются и другие приложения, получив к пользуются и другие приложения, получив к нему полный доступ можно получить полный нему полный доступ можно получить полный доступ и к ОС;доступ и к ОС;


использование некорректных настроек файловой использование некорректных настроек файловой системы (4%)системы (4%).. Для ОС Windows применяются Для ОС Windows применяются файловые системы FAT и NTFS. Одни абсолютно не файловые системы FAT и NTFS. Одни абсолютно не защищены (FAT), другие включают большое защищены (FAT), другие включают большое количество возможностей по защите (NTFS). количество возможностей по защите (NTFS). Разрешения на чтение и запись в файловой системе Разрешения на чтение и запись в файловой системе позволяет узнавать конфиденциальную информацию позволяет узнавать конфиденциальную информацию и менять конфигурации ОС и приложений;и менять конфигурации ОС и приложений;

подмена адреса программы (4%)подмена адреса программы (4%) становится становится возможной, если получен доступ к реестру или возможной, если получен доступ к реестру или файловой системе. Замена стандартных программ с файловой системе. Замена стандартных программ с известными именами на вредоносные, возможно известными именами на вредоносные, возможно скрытые программы, позволяет незаметно скрытые программы, позволяет незаметно внедряться в систему, расширяя права до прав внедряться в систему, расширяя права до прав системы или администратора;системы или администратора;


получение доступа к временным файлам (2%)получение доступа к временным файлам (2%) Позволяет получить имена и пароли Позволяет получить имена и пароли пользователей из временных файлов;пользователей из временных файлов;

использование ошибок программирования (4%).использование ошибок программирования (4%). Уязвимости, в результате наличия которых Уязвимости, в результате наличия которых некорректно изменяются настройки некорректно изменяются настройки безопасности после изменения состояния ОС, безопасности после изменения состояния ОС, например переход в ждущий режим или запуск например переход в ждущий режим или запуск заставки. Некорректные настройки позволяют заставки. Некорректные настройки позволяют злоумышленнику расширить свои права в ОС;злоумышленнику расширить свои права в ОС;

перехват информации пользователя (1%)перехват информации пользователя (1%).. Позволяет получить имена и пароли, вводимые с Позволяет получить имена и пароли, вводимые с клавиатуры или прочитать конфиденциальную клавиатуры или прочитать конфиденциальную информацию, вводимую пользователем; информацию, вводимую пользователем;


использование ошибки каталога «..» (4%)использование ошибки каталога «..» (4%) (две (две точки). Полное имя файла включает в себя точки). Полное имя файла включает в себя имена вложенных каталогов. Часто в имена вложенных каталогов. Часто в конфигурациях безопасности явно конфигурациях безопасности явно указываются каталоги, к которым разрешен указываются каталоги, к которым разрешен или запрещен доступ. Системный каталог «..» или запрещен доступ. Системный каталог «..» означает ссылку на родительский каталог означает ссылку на родительский каталог данного каталога. Указав в пути к файлу данного каталога. Указав в пути к файлу системный каталог «..», из-за этого типа системный каталог «..», из-за этого типа уязвимостей, можно получить доступ к уязвимостей, можно получить доступ к файлам, изначально не подлежащим доступу. файлам, изначально не подлежащим доступу. Кроме этого, уязвимость позволяет подменять Кроме этого, уязвимость позволяет подменять одни файлы другими, включая исполняемые;одни файлы другими, включая исполняемые;


определение имени пользователя (3%)определение имени пользователя (3%) (information leak). Часто удаленные атаки, (information leak). Часто удаленные атаки, совершаемые злоумышленниками, имеют своей совершаемые злоумышленниками, имеют своей целью сбор первичной информации об атакуемой целью сбор первичной информации об атакуемой системе, а ряд уязвимостей позволяет удаленно системе, а ряд уязвимостей позволяет удаленно получать список пользователей системы или имя получать список пользователей системы или имя текущего пользователя. Это позволяет более текущего пользователя. Это позволяет более осмысленно искать недостающие пароли;осмысленно искать недостающие пароли;

дезинформация пользователя (9%)дезинформация пользователя (9%).. Эти Эти уязвимости позволяют совершать с системой уязвимости позволяют совершать с системой вредоносные манипуляции, о которых система вредоносные манипуляции, о которых система или приложения либо не сообщают или приложения либо не сообщают пользователю, либо явно дезинформируют его в пользователю, либо явно дезинформируют его в результате программных ошибок;результате программных ошибок;


удаление и перезапись (3%)удаление и перезапись (3%).. Уязвимости этой Уязвимости этой группы позволяют удалять следы пребывания в группы позволяют удалять следы пребывания в системе злоумышленника, позволяя системе злоумышленника, позволяя некорректно стирать и перезаписывать некорректно стирать и перезаписывать системные журналы событий;системные журналы событий;

отождествлениеотождествление правправ сс правамиправами системысистемы (26%) (26%) (priveledge escalation/elevation, protection (priveledge escalation/elevation, protection bypass, buffer overflow). bypass, buffer overflow). Ошибки компонентов Ошибки компонентов системного ПО связанные с передачей или системного ПО связанные с передачей или расширением прав приводят к выполнению расширением прав приводят к выполнению произвольного кода с привилегиями системы произвольного кода с привилегиями системы или администратора.или администратора.

Соотношение этих уязвимостей приведено на Соотношение этих уязвимостей приведено на диаграмме.диаграмме.


Эти уязвимости известны, и должны устраняться Эти уязвимости известны, и должны устраняться разработчиком. Одна и та же уязвимость не должна разработчиком. Одна и та же уязвимость не должна из года в год присутствовать в системе. Если из года в год присутствовать в системе. Если уязвимости присутствуют, возникает вопрос, почему уязвимости присутствуют, возникает вопрос, почему они не устраняются разработчиками системы? они не устраняются разработчиками системы?

Причина в том, что разработчикам приложений Причина в том, что разработчикам приложений предоставляется возможность запуска приложения предоставляется возможность запуска приложения под административными учетными записями. Это под административными учетными записями. Это приводит к тому, что ошибка программирования в приводит к тому, что ошибка программирования в приложении может привести к несанкционирован-приложении может привести к несанкционирован-ному получению системных прав, как следствие, к ному получению системных прав, как следствие, к возможности полного управления компьютером. В возможности полного управления компьютером. В частности, эти уязвимости используются атаками частности, эти уязвимости используются атаками «на переполнение буферов приложений», «на переполнение буферов приложений», «некорректного олицетворение прав» и др. «некорректного олицетворение прав» и др.


Любая атака, позволяющая получить управление Любая атака, позволяющая получить управление приложением в этом случае приводит к приложением в этом случае приводит к преодолению системы защиты. Ошибка в преодолению системы защиты. Ошибка в приложении, в котором априори не должно приложении, в котором априори не должно присутствовать механизмов защиты, приводит к присутствовать механизмов защиты, приводит к преодолению защиты ОС. Таким образом, за преодолению защиты ОС. Таким образом, за безопасность ОС в общем случае отвечают не только безопасность ОС в общем случае отвечают не только разработчики ОС, но и разработчики приложений.разработчики ОС, но и разработчики приложений.

Ясно, что наиболее критичными являются именно Ясно, что наиболее критичными являются именно уязвимости, основанные на архитектурных уязвимости, основанные на архитектурных недостатках ОС. Устранение подобных уязвимостей недостатках ОС. Устранение подобных уязвимостей весьма проблематично для разработчиков ОС, как весьма проблематично для разработчиков ОС, как следствие, подобные уязвимости «переносятся» ими следствие, подобные уязвимости «переносятся» ими в последующие версии системы.в последующие версии системы.

Проблемы безопасности Проблемы безопасности протоколов TCP/IPпротоколов TCP/IP

Классифицируем действия злоумышленника — Классифицируем действия злоумышленника — атаки, направленные против какого-либо узла атаки, направленные против какого-либо узла (или целой сети). Злоумышленник ставит перед (или целой сети). Злоумышленник ставит перед собой определенную цель:собой определенную цель:

1. перехват (и, возможно, модификация) данных, 1. перехват (и, возможно, модификация) данных, передаваемых через сеть от одного узла другому; передаваемых через сеть от одного узла другому;

2. имперсонация (обезличивание, spoofing) (узел 2. имперсонация (обезличивание, spoofing) (узел злоумышленника выдает себя за другой узел, злоумышленника выдает себя за другой узел, чтобы воспользоваться какими-либо привилегиями чтобы воспользоваться какими-либо привилегиями имитируемого узла); имитируемого узла);

3. несанкционированное подключение к сети; 3. несанкционированное подключение к сети; 4. несанкционированная передача данных (обход 4. несанкционированная передача данных (обход

правил фильтрации IP-трафика в сетях, правил фильтрации IP-трафика в сетях, защищенных брандмауэрами); защищенных брандмауэрами);


5. принуждение узла к передаче данных на 5. принуждение узла к передаче данных на завышенной скорости; завышенной скорости;

6. приведение узла в состояние, когда он не 6. приведение узла в состояние, когда он не может нормально функционировать, может нормально функционировать, передавать и принимать данные (так передавать и принимать данные (так называемый DoS — denial of service, отказ в называемый DoS — denial of service, отказ в обслуживании).обслуживании).

Для достижения своих целей злоумышленник Для достижения своих целей злоумышленник использует:использует:

1. прослушивание сети (sniffing);1. прослушивание сети (sniffing); 2. сканирование сети;2. сканирование сети; 3. генерация пакетов. 3. генерация пакетов.


1. 1. Прослушивание сетиПрослушивание сети Прослушивание сети Ethernet является тривиальной Прослушивание сети Ethernet является тривиальной

задачей. Легко доступны программы, не только задачей. Легко доступны программы, не только записывающие весь трафик в сегменте Ethernet, но и записывающие весь трафик в сегменте Ethernet, но и выполняющие его отбор по установленным выполняющие его отбор по установленным критериям, например, программа tcpdump.критериям, например, программа tcpdump.

Подвержены прослушиванию сети FDDI и радиосети Подвержены прослушиванию сети FDDI и радиосети (например Radio Еthernet). Несколько сложнее для (например Radio Еthernet). Несколько сложнее для злоумышленника извлечь трафик из телефонных злоумышленника извлечь трафик из телефонных выделенных и коммутируемых линий. Однако выделенных и коммутируемых линий. Однако злоумышленник может оккупировать промежуточный злоумышленник может оккупировать промежуточный маршрутизатор и таким образом получить доступ ко маршрутизатор и таким образом получить доступ ко всему транзитному трафику, независимо от всему транзитному трафику, независимо от используемых технологий на уровне доступа к сети.используемых технологий на уровне доступа к сети.


Ограничить область прослушивания в сети Ethernet Ограничить область прослушивания в сети Ethernet можно разбиением сети на сегменты с помощью можно разбиением сети на сегменты с помощью коммутаторов. В этом случае злоумышленник, не коммутаторов. В этом случае злоумышленник, не прибегая к активным действиям, может перехватить прибегая к активным действиям, может перехватить только кадры, получаемые или отправляемые только кадры, получаемые или отправляемые узлами сегмента, к которому он подключен. узлами сегмента, к которому он подключен. Единственным способом борьбы с прослушиванием Единственным способом борьбы с прослушиванием сегмента Ethernet является шифрование данных.сегмента Ethernet является шифрование данных.

Злоумышленник, прослушивающий сеть, может быть Злоумышленник, прослушивающий сеть, может быть обнаружен с помощью дополнительного ПО, обнаружен с помощью дополнительного ПО, например, утилиты AntiSniff, которая выявляет в сети например, утилиты AntiSniff, которая выявляет в сети узлы, чьи интерфейсы переведены в режим узлы, чьи интерфейсы переведены в режим прослушивания. AntiSniff выполняет три вида тестов прослушивания. AntiSniff выполняет три вида тестов узлов сегмента Ethernet. Тесты основаны на анализе узлов сегмента Ethernet. Тесты основаны на анализе реакции сетевых интерфейсов.реакции сетевых интерфейсов.


2. 2. Сканирование сетиСканирование сети Сканирование сети имеет своей целью Сканирование сети имеет своей целью

выявление подключенных к сети компьютеров и выявление подключенных к сети компьютеров и определение работающих на них сетевых определение работающих на них сетевых сервисов (открытых портов TCP или UDP). Первая сервисов (открытых портов TCP или UDP). Первая задача выполняется посылкой ICMP-сообщений задача выполняется посылкой ICMP-сообщений Echo с помощью программы ping с Echo с помощью программы ping с последовательным перебором адресов узлов в последовательным перебором адресов узлов в сети. сети.

Администратор сети может обнаружить попытки Администратор сети может обнаружить попытки сканирования путем анализа трафика в сети и сканирования путем анализа трафика в сети и отслеживания Echo-сообщений, за короткий отслеживания Echo-сообщений, за короткий промежуток времени посылаемых промежуток времени посылаемых последовательно по всем адресам сети.последовательно по всем адресам сети.


Программа traceroute поможет в определении Программа traceroute поможет в определении топологии сети и обнаружении топологии сети и обнаружении маршрутизаторов.маршрутизаторов.

Для определения того, какие UDP- или TCP-Для определения того, какие UDP- или TCP-приложения запущены на обнаруженных приложения запущены на обнаруженных компьютерах, используются программы-сканеры, компьютерах, используются программы-сканеры, например, программа nmap. Поскольку номера например, программа nmap. Поскольку номера портов всех основных сервисов Интернета портов всех основных сервисов Интернета стандартизованы, то, определив, например, что стандартизованы, то, определив, например, что порт 25/TCP открыт, можно сделать вывод о том, порт 25/TCP открыт, можно сделать вывод о том, что данный хост является сервером электронной что данный хост является сервером электронной почты, и т. д. Полученную информацию почты, и т. д. Полученную информацию злоумышленник может использовать для злоумышленник может использовать для развертывания атаки на уровне приложения.развертывания атаки на уровне приложения.


Сканирование TCP-портов хоста производится Сканирование TCP-портов хоста производится несколькими способами. Наиболее простой способ несколькими способами. Наиболее простой способ — — установление TCP-соединения с установление TCP-соединения с тестируемым портомтестируемым портом с помощью стандартной с помощью стандартной программой telnet. Если соединение удалось программой telnet. Если соединение удалось установить, значит, порт открыт и к нему установить, значит, порт открыт и к нему подсоединено серверное приложение. подсоединено серверное приложение.

Существенный недостаток — возможность Существенный недостаток — возможность отслеживания и регистрации такого отслеживания и регистрации такого сканирования: при анализе системного журнала сканирования: при анализе системного журнала сканируемого хоста будут обнаружены сканируемого хоста будут обнаружены многочисленные открытые и сразу же многочисленные открытые и сразу же прерванные соединения, в результате чего могут прерванные соединения, в результате чего могут быть приняты меры по повышению уровня быть приняты меры по повышению уровня безопасности.безопасности.


Сканирование в режиме половинного открытияСканирование в режиме половинного открытия (half-open scanning) и (half-open scanning) и сканирование с помощью сканирование с помощью FIN-сегментовFIN-сегментов дают злоумышленнику больше дают злоумышленнику больше шансов остаться незамеченными.шансов остаться незамеченными.

Программа tcplogd может зарегистрировать Программа tcplogd может зарегистрировать попытки сканирования в различных режимах.попытки сканирования в различных режимах.

Для определения открытых портов UDP Для определения открытых портов UDP злоумышленник может отправить на тестируемый злоумышленник может отправить на тестируемый порт UDP-сообщение.порт UDP-сообщение.

Программа-сканер может определить Программа-сканер может определить операционную систему сканируемого узла по тому, операционную систему сканируемого узла по тому, как узел реагирует на нестандартные пакеты: как узел реагирует на нестандартные пакеты: например, TCP-сегменты с бессмысленными например, TCP-сегменты с бессмысленными сочетаниями флагов или ICMP-сообщения сочетаниями флагов или ICMP-сообщения некоторых типов, и др.некоторых типов, и др.


Для определения адресов работающих в сети Для определения адресов работающих в сети компьютеров и запущенных на них UDP- или компьютеров и запущенных на них UDP- или TCP-сервисов злоумышленник, TCP-сервисов злоумышленник, непосредственно подключенный к сегменту непосредственно подключенный к сегменту сети, может использовать простое сети, может использовать простое прослушивание. Такая форма сканирования прослушивание. Такая форма сканирования сети является более скрытной, чем рассылка сети является более скрытной, чем рассылка тестирующих датаграмм.тестирующих датаграмм.


3. 3. Генерация пакетовГенерация пакетов Под генерацией пакетов понимается создание Под генерацией пакетов понимается создание

и отправка специально сконструированных и отправка специально сконструированных датаграмм или кадров, позволяющих датаграмм или кадров, позволяющих злоумышленнику выполнить ту или иную атаку. злоумышленнику выполнить ту или иную атаку. Особо выделим здесь фальсификацию пакетов, Особо выделим здесь фальсификацию пакетов, то есть создание IP-датаграмм или кадров то есть создание IP-датаграмм или кадров уровня доступа к сети, направленных якобы от уровня доступа к сети, направленных якобы от другого узла (spoofing).другого узла (spoofing).

На многочисленных сайтах Интернета На многочисленных сайтах Интернета злоумышленник может найти уже готовые злоумышленник может найти уже готовые программы, генерирующие пакеты программы, генерирующие пакеты целенаправленно для выполнения какой-либо целенаправленно для выполнения какой-либо атаки или сканирования сети. атаки или сканирования сети.


Вернемся к целям злоумышленников и Вернемся к целям злоумышленников и рассмотрим способы их достижения.рассмотрим способы их достижения.

1. 1. Перехват данныхПерехват данных Простейшей формой перехвата данных Простейшей формой перехвата данных

является прослушивание сети. В этом случае является прослушивание сети. В этом случае злоумышленник может получить массу злоумышленник может получить массу полезной информации: имена пользователей и полезной информации: имена пользователей и пароли (передаваемые в открытом виде), пароли (передаваемые в открытом виде), адреса компьютеров в сети, в том числе адреса адреса компьютеров в сети, в том числе адреса серверов и запущенные на них приложения, серверов и запущенные на них приложения, адрес маршрутизатора, собственно адрес маршрутизатора, собственно передаваемые данные, которые могут быть передаваемые данные, которые могут быть конфиденциальными (например, тексты конфиденциальными (например, тексты электронных писем) и т. п.электронных писем) и т. п.


Однако, если сеть разбита на сегменты с Однако, если сеть разбита на сегменты с помощью коммутаторов, то злоумышленник помощью коммутаторов, то злоумышленник может перехватить только кадры, получаемые может перехватить только кадры, получаемые или отправляемые узлами сегмента, к или отправляемые узлами сегмента, к которому он подключен. Простое которому он подключен. Простое прослушивание также не позволяет прослушивание также не позволяет злоумышленнику модифицировать злоумышленнику модифицировать передаваемые между двумя другими узлами передаваемые между двумя другими узлами данные. Для решения этих задач данные. Для решения этих задач злоумышленник должен перейти к активным злоумышленник должен перейти к активным действиям, чтобы внедрить себя в тракт действиям, чтобы внедрить себя в тракт передачи данных в качестве промежуточного передачи данных в качестве промежуточного узла. (Такие атаки в англоязычной литературе узла. (Такие атаки в англоязычной литературе называют называют man-in-the-middle attackman-in-the-middle attack.).)


1.1. 1.1. Ложные ARP-ответыЛожные ARP-ответы Для перехвата трафика между узлами А и В, Для перехвата трафика между узлами А и В,

расположенными в одной IP-сети, расположенными в одной IP-сети, злоумышленник использует протокол ARP. Он злоумышленник использует протокол ARP. Он рассылает сфальсифи-цированные ARP-рассылает сфальсифи-цированные ARP-сообщения так, что каждый из атакуемых узлов сообщения так, что каждый из атакуемых узлов считает MAC-адрес злоумышленника адресом считает MAC-адрес злоумышленника адресом своего собеседника (см. рис.).своего собеседника (см. рис.).

Для обнаружения ARP-атак администратор Для обнаружения ARP-атак администратор должен вести базу данных соответствия MAC- и должен вести базу данных соответствия MAC- и IP-адресов всех узлов сети и использовать IP-адресов всех узлов сети и использовать программу arpwatch, которая прослушивает программу arpwatch, которая прослушивает сеть и уведомляет администратора о сеть и уведомляет администратора о замеченных нарушениях. замеченных нарушениях.


Если сеть разделена на сегменты Если сеть разделена на сегменты коммутаторами, то администратор должен коммутаторами, то администратор должен настроить их таким образом, чтобы в сегмент, настроить их таким образом, чтобы в сегмент, где находится станция администратора, где находится станция администратора, перенаправлялись кадры из всех сегментов перенаправлялись кадры из всех сегментов сети вне зависимости от того, кому они сети вне зависимости от того, кому они предназначены.предназначены.

Использование статических ARP-таблиц, по Использование статических ARP-таблиц, по крайней мере — на ключевых узлах (серверах, крайней мере — на ключевых узлах (серверах, маршрутизаторах), защитит их от ARP-атаки, маршрутизаторах), защитит их от ARP-атаки, правда, за счет накладных расходов на правда, за счет накладных расходов на поддержку этих таблиц в актуальном поддержку этих таблиц в актуальном состоянии.состоянии.


1.2. 1.2. Навязывание ложного маршрутизатораНавязывание ложного маршрутизатора Для перехвата трафика, направленного от Для перехвата трафика, направленного от

некоторого узла А в другую сеть, злоумышленник некоторого узла А в другую сеть, злоумышленник может навязать хосту свой адрес в качестве может навязать хосту свой адрес в качестве адреса маршрутизатора, которому должны быть адреса маршрутизатора, которому должны быть переданы отправляемые узлом А данные. В этом переданы отправляемые узлом А данные. В этом случае узел А будет направлять трафик на узел случае узел А будет направлять трафик на узел злоумышленника, который после анализа и, злоумышленника, который после анализа и, возможно, модификации данных, отправит их возможно, модификации данных, отправит их далее настоящему маршрутизатору.далее настоящему маршрутизатору.

Как правило, навязывание ложного Как правило, навязывание ложного маршрутизатора выполняется с помощью маршрутизатора выполняется с помощью фальсифицированных ICMP-сообщений Redirect, фальсифицированных ICMP-сообщений Redirect, так как RFC-1122 требует, чтобы хосты так как RFC-1122 требует, чтобы хосты обязательно обрабатывали такие сообщения. обязательно обрабатывали такие сообщения.


1.2. 1.2. Навязывание ложного маршрутизатораНавязывание ложного маршрутизатора В подложном сообщении злоумышленник В подложном сообщении злоумышленник

объявляет свой собственный адрес в качестве объявляет свой собственный адрес в качестве адреса маршрутизатора (см. рис.). Для адреса маршрутизатора (см. рис.). Для устранения возможности описываемой атаки устранения возможности описываемой атаки необходимо отключить на хосте обработку необходимо отключить на хосте обработку сообщений Redirect, однако не все операционные сообщений Redirect, однако не все операционные системы могут поддерживать такое отключение.системы могут поддерживать такое отключение.

На атакуемом узле сообщение Redirect На атакуемом узле сообщение Redirect отобразится в виде появившейся строки в отобразится в виде появившейся строки в таблице маршрутов, направляющей данные для таблице маршрутов, направляющей данные для хоста В через узел Х. Кроме того, программа хоста В через узел Х. Кроме того, программа traceroute скорее всего покажет дополнительный traceroute скорее всего покажет дополнительный промежуточный узел на пути к В.промежуточный узел на пути к В.


Атака при конфигурировании хостаАтака при конфигурировании хоста В некоторых случаях навязывание ложного В некоторых случаях навязывание ложного

маршрутизатора может быть произведено с маршрутизатора может быть произведено с помощью ICMP-сообщения Router Advertisement или помощью ICMP-сообщения Router Advertisement или через протокол DHCP.через протокол DHCP.

Атака на протоколы маршрутизацииАтака на протоколы маршрутизации Если злоумышленник хочет перехватить трафик Если злоумышленник хочет перехватить трафик

между узлами сети Р и узлами сети Q, и при этом между узлами сети Р и узлами сети Q, и при этом не находится ни в одной из сетей P или Q, но не находится ни в одной из сетей P или Q, но расположен на пути между ними, он может расположен на пути между ними, он может попытаться ввести в заблуждение попытаться ввести в заблуждение маршрутизаторы. Они не реагируют на сообщения маршрутизаторы. Они не реагируют на сообщения ICMP Redirect, поэтому для успешной атаки ICMP Redirect, поэтому для успешной атаки необходимо, чтобы они использовали какой-либо необходимо, чтобы они использовали какой-либо протокол маршрутизации. протокол маршрутизации.


В этом случае злоумышленник может В этом случае злоумышленник может сформировать подложные сообщения сформировать подложные сообщения протокола маршрутизации с целью протокола маршрутизации с целью переключения требуемых маршрутов на себя. переключения требуемых маршрутов на себя. Например (см. рис.) узел Х, приняв Например (см. рис.) узел Х, приняв широковещательные RIP-сообщения, широковещательные RIP-сообщения, рассылаемые узлами А (вектор P=3) и В рассылаемые узлами А (вектор P=3) и В (вектор Q=2), отправляет сообщение с (вектор Q=2), отправляет сообщение с вектором Q=1 на индивидуальный адрес вектором Q=1 на индивидуальный адрес маршрутизатора А, а сообщение P=2 — на маршрутизатора А, а сообщение P=2 — на индивидуальный адрес В. Аутентификация индивидуальный адрес В. Аутентификация TCP-сегментов с помощью алгоритма MD5 TCP-сегментов с помощью алгоритма MD5 поможет исключить данную атаку.поможет исключить данную атаку.


2. 2. ИмперсонацияИмперсонация Предположим, что узел А обменивается IP-Предположим, что узел А обменивается IP-

датаграммами с узлом В, при этом узлы датаграммами с узлом В, при этом узлы идентифицируют друг друга по IP-адресам, идентифицируют друг друга по IP-адресам, указываемым в датаграммах. Предположим указываемым в датаграммах. Предположим далее, что узел В имеет особые привилегии далее, что узел В имеет особые привилегии при взаимодействии с А: то есть А при взаимодействии с А: то есть А предоставляет В некоторый сервис, предоставляет В некоторый сервис, недоступный для других хостов Интернета. недоступный для других хостов Интернета. Злоумышленник на узле Х, желающий Злоумышленник на узле Х, желающий получить такой сервис, должен имитировать получить такой сервис, должен имитировать узел В — такие действия называются узел В — такие действия называются имперсонацией узла В узлом Х.имперсонацией узла В узлом Х.


Под сервисами имеются в виду приложения UDP Под сервисами имеются в виду приложения UDP или TCP, поэтому речь идет об имперсонации или TCP, поэтому речь идет об имперсонации UDP-сообщений или TCP-соединений UDP-сообщений или TCP-соединений (соответственно, UDP-spoofing и TCP-spoofing). (соответственно, UDP-spoofing и TCP-spoofing). Часто одновременно с имперсонацией Часто одновременно с имперсонацией злоумышленник начинает атаки типа «отказ в злоумышленник начинает атаки типа «отказ в обслуживании» против узла В для исключения обслуживании» против узла В для исключения его из процесса взаимодействия.его из процесса взаимодействия.

Хосты А, В и Х могут располагаться друг Хосты А, В и Х могут располагаться друг относительно друга различным образом, от относительно друга различным образом, от этого зависит, какие методы имперсонации этого зависит, какие методы имперсонации применит злоумышленник. В некоторых случаях применит злоумышленник. В некоторых случаях злоумышленник не может перехватить данные, злоумышленник не может перехватить данные, передаваемые из А в В.передаваемые из А в В.


Но ничто не мешает ему отправлять в адрес А Но ничто не мешает ему отправлять в адрес А сфальсифицированные датаграммы от имени В, а сфальсифицированные датаграммы от имени В, а ответные пакеты А будет отправлять узлу В, минуя ответные пакеты А будет отправлять узлу В, минуя злоумышленника. Важным обстоятельством в этих злоумышленника. Важным обстоятельством в этих условиях является то, имеет ли узел Х возможность условиях является то, имеет ли узел Х возможность подслушивать эти ответные пакеты, или же подслушивать эти ответные пакеты, или же злоумышленник вынужден работать вслепую.злоумышленник вынужден работать вслепую.

Имперсонация с помощью десинхронизации Имперсонация с помощью десинхронизации является простой и эффективной атакой. Она является простой и эффективной атакой. Она позволяет злоумышленнику установить контроль позволяет злоумышленнику установить контроль над TCP-соединением без использования ложных над TCP-соединением без использования ложных сообщений ARP, ICMP или протоколов сообщений ARP, ICMP или протоколов маршрутизации, без атак типа «отказ в маршрутизации, без атак типа «отказ в обслуживании», которые могут быть обнаружены обслуживании», которые могут быть обнаружены администратором атакуемого узла. администратором атакуемого узла.


Обнаружить такие атаки можно, прослушивая сеть Обнаружить такие атаки можно, прослушивая сеть на предмет ACK-штормов. В общем случае только на предмет ACK-штормов. В общем случае только шифрование данных или аутентификация шифрование данных или аутентификация сегментов могут гарантировать защиту от сегментов могут гарантировать защиту от имперсонации.имперсонации.

2.1. Имперсонация без обратной связи2.1. Имперсонация без обратной связи Самый сложный случай: перехват и Самый сложный случай: перехват и

прослушивание данных, отправляемых из А в В прослушивание данных, отправляемых из А в В невозможны(см. рис.6). Узел Х находится в сети, не невозможны(см. рис.6). Узел Х находится в сети, не имеющей отношения к узлам А и В и не лежащей имеющей отношения к узлам А и В и не лежащей между ними. Имперсонация без обратной связи между ними. Имперсонация без обратной связи имеет смысл лишь тогда, когда злоумышленнику имеет смысл лишь тогда, когда злоумышленнику для достижения своей цели достаточно только для достижения своей цели достаточно только передать данные на узел А от имени узла В, и передать данные на узел А от имени узла В, и последующий ответ узла А уже не имеет значения.последующий ответ узла А уже не имеет значения.


2.2. Десинхронизация TCP-соединения2.2. Десинхронизация TCP-соединения Злоумышленник Х, находящийся в одном сегменте Злоумышленник Х, находящийся в одном сегменте

сети с узлами А и В или на пути между А и В, сети с узлами А и В или на пути между А и В, может произвести десинхронизацию TCP-может произвести десинхронизацию TCP-соединения между А и В для установления полного соединения между А и В для установления полного контроля над соединением, то есть, контроля над соединением, то есть, злоумышленник получит возможность действовать злоумышленник получит возможность действовать как от имени А, так и от имени В. Такая как от имени А, так и от имени В. Такая имперсонация в англоязычной литературе имперсонация в англоязычной литературе называется называется TCP hijackingTCP hijacking..

В десинхронизированном состоянии любая попытка В десинхронизированном состоянии любая попытка обмена данными вызывает только ACK-шторм, а обмена данными вызывает только ACK-шторм, а сами сегменты с данными участниками соединения сами сегменты с данными участниками соединения уничтожаются. В это время злоумышленник берет уничтожаются. В это время злоумышленник берет на себя функции посредника.на себя функции посредника.


Ранняя десинхронизацияРанняя десинхронизация В этом варианте злоумышленник, прослушивая В этом варианте злоумышленник, прослушивая

сеть, обнаруживает момент установления сеть, обнаруживает момент установления соединения между А и В, от имени А сбрасывает соединения между А и В, от имени А сбрасывает соединение RST-сегментом и тут же открывает соединение RST-сегментом и тут же открывает его заново, но уже с новыми номерами ISN.его заново, но уже с новыми номерами ISN.

Десинхронизация нулевыми даннымиДесинхронизация нулевыми данными В данном варианте злоумышленник, дожидаясь В данном варианте злоумышленник, дожидаясь

момента, когда соединение находится в момента, когда соединение находится в неактивном состоянии (данные не передаются), неактивном состоянии (данные не передаются), посылает узлу А от имени В и узлу В от имени А посылает узлу А от имени В и узлу В от имени А фальсифицированные сегменты с данными, фальсифицированные сегменты с данными, вызывая тем самым десинхронизацию. вызывая тем самым десинхронизацию.


Посылаемые данные должны быть «нулевыми» — то Посылаемые данные должны быть «нулевыми» — то есть приложение-получатель должно их игнориро-есть приложение-получатель должно их игнориро-вать и не посылать никаких данных в ответ. Этот вать и не посылать никаких данных в ответ. Этот метод десинхронизации подходит для Telnet-метод десинхронизации подходит для Telnet-соединений: в протоколе Telnet имеется команда «нет соединений: в протоколе Telnet имеется команда «нет операции» (IAC NOP). Сегмент, содержащий операции» (IAC NOP). Сегмент, содержащий произвольное число таких команд (IAC NOP IAC NOP произвольное число таких команд (IAC NOP IAC NOP …), будет принят приложением и полностью …), будет принят приложением и полностью проигнорирован.проигнорирован.

В начале Telnet-сеанса производится аутентификация В начале Telnet-сеанса производится аутентификация пользователя. Разумно (с точки зрения пользователя. Разумно (с точки зрения злоумышленника) произвести десинхронизацию злоумышленника) произвести десинхронизацию после того, как введен пароль, а не в самом начале после того, как введен пароль, а не в самом начале соединения. Использование одноразовых паролей в соединения. Использование одноразовых паролей в этом случае пользователю не поможет. этом случае пользователю не поможет.


3. 3. Несанкционированное подключение к сетиНесанкционированное подключение к сети Для незаконного подключения к сети Для незаконного подключения к сети

злоумышленник должен иметь физическую злоумышленник должен иметь физическую возможность. В крупных корпоративных и возможность. В крупных корпоративных и университетских сетях такая возможность часто университетских сетях такая возможность часто имеется. Следующим шагом для злоумышленника имеется. Следующим шагом для злоумышленника является конфигурирование параметров стека TCP/IP является конфигурирование параметров стека TCP/IP его компьютера.его компьютера.

Прослушивая сеть злоумышленник может Прослушивая сеть злоумышленник может определить, какие IP-адреса имеют узлы сети, с определить, какие IP-адреса имеют узлы сети, с помощью ICMP Echo-запросов (программа ping) помощью ICMP Echo-запросов (программа ping) определить, какие адреса не используются (или определить, какие адреса не используются (или компьютеры выключены), найти IP-адрес компьютеры выключены), найти IP-адрес маршрутизатора. После этого злоумышленник может маршрутизатора. После этого злоумышленник может присвоить себе неиспользуемый адрес.присвоить себе неиспользуемый адрес.


Если в сети имеется сервер DHCP, который Если в сети имеется сервер DHCP, который предоставляет IP-адреса, то он полностью предоставляет IP-адреса, то он полностью сконфигурирует узел злоумышленника. Это сконфигурирует узел злоумышленника. Это событие будет зарегистрировано в журнале событие будет зарегистрировано в журнале сервера.сервера.

Для предотвращения несанкционированного Для предотвращения несанкционированного подключения к сети необходимо использовать подключения к сети необходимо использовать статическую ARP-таблицу на маршрутизаторе и статическую ARP-таблицу на маршрутизаторе и программу arpwatch. Статическая ARP-таблица не программу arpwatch. Статическая ARP-таблица не позволит злоумышленнику получить ни одну позволит злоумышленнику получить ни одну датаграмму от узла, который ее использует, датаграмму от узла, который ее использует, поскольку MAC-адрес злоумышленника, поскольку MAC-адрес злоумышленника, естественно, не значится в таблице. Программа естественно, не значится в таблице. Программа arpwatch уведомит администратора о появлении arpwatch уведомит администратора о появлении узла с неизвестным MAC-адресом.узла с неизвестным MAC-адресом.


Однако, если злоумышленник, определив IP- и Однако, если злоумышленник, определив IP- и MAC-адреса какого-либо компьютера в своей MAC-адреса какого-либо компьютера в своей сети, дождется его выключения (или проведет сети, дождется его выключения (или проведет против него атаку «отказ в обслуживании», против него атаку «отказ в обслуживании», приводящую к неспособности атакуемого приводящую к неспособности атакуемого хоста работать в сети), а потом присвоит себе хоста работать в сети), а потом присвоит себе его MAC- и IP-адреса, то обнаружить такого его MAC- и IP-адреса, то обнаружить такого злоумышленника будет невозможно и все его злоумышленника будет невозможно и все его действия будут приписаны атакованному действия будут приписаны атакованному хосту.хосту.


4. 4. Несанкционированный обмен даннымиНесанкционированный обмен данными С целью обеспечения безопасности локальной С целью обеспечения безопасности локальной

сети на шлюзе могут использоваться сети на шлюзе могут использоваться фильтры, препятствующие прохождению фильтры, препятствующие прохождению определенных типов датаграмм. Датаграммы определенных типов датаграмм. Датаграммы могут фильтроваться по IP-адресам могут фильтроваться по IP-адресам отправителя или получателя, по протоколу отправителя или получателя, по протоколу (поле Protocol IP-датаграммы), по номеру (поле Protocol IP-датаграммы), по номеру порта TCP или UDP, по другим параметрам, а порта TCP или UDP, по другим параметрам, а также по комбинации этих параметров. также по комбинации этих параметров. Злоумышленник может использовать Злоумышленник может использовать следующие два приема для проникновения следующие два приема для проникновения через некоторые фильтры.через некоторые фильтры.


4.1. Туннелирование4.1. Туннелирование Предположим, злоумышленник хочет отправить Предположим, злоумышленник хочет отправить

данные с узла Х узлу А, находящемуся за данные с узла Х узлу А, находящемуся за пределами его сети, однако правила фильтрации пределами его сети, однако правила фильтрации на маршрутизаторе запрещают отправку на маршрутизаторе запрещают отправку датаграмм узлу А (см. рис.). В то же время датаграмм узлу А (см. рис.). В то же время разрешена отправка датаграмм узлу В, также разрешена отправка датаграмм узлу В, также находящемуся за пределами охраняемой сети.находящемуся за пределами охраняемой сети.

Злоумышленник использует узел В как Злоумышленник использует узел В как ретранслятор датаграмм, направленных в А. Для ретранслятор датаграмм, направленных в А. Для этого он создает датаграмму, направленную из Х в этого он создает датаграмму, направленную из Х в В, в поле Protocol которой помещается значение 4 В, в поле Protocol которой помещается значение 4 («IP»), а в качестве данных эта датаграмма несет («IP»), а в качестве данных эта датаграмма несет другую IP-датаграмму, направленную из Х в А.другую IP-датаграмму, направленную из Х в А.


Фильтрующий маршрутизатор пропускает Фильтрующий маршрутизатор пропускает сформированную датаграмму, поскольку она сформированную датаграмму, поскольку она адресована разрешенному узлу В, а IP-модуль узла адресована разрешенному узлу В, а IP-модуль узла В извлекает из нее вложенную датаграмму. Видя, В извлекает из нее вложенную датаграмму. Видя, что вложенная датаграмма адресована не ему, что вложенная датаграмма адресована не ему, узел В отправляет ее по назначению, то есть узлу узел В отправляет ее по назначению, то есть узлу А (рис.5). Описанная операция называется А (рис.5). Описанная операция называется туннелированием.туннелированием.

Адрес отправителя датаграммы скрыть нельзя, Адрес отправителя датаграммы скрыть нельзя, поэтому, если маршрутизатор не пропускает поэтому, если маршрутизатор не пропускает также датаграммы, идущие из А, то есть также датаграммы, идущие из А, то есть осуществляет фильтрацию по адресу отравителя, осуществляет фильтрацию по адресу отравителя, то обмануть его вышеописанным способом то обмануть его вышеописанным способом невозможно. В этом случае злоумышленник имеет невозможно. В этом случае злоумышленник имеет только одностороннюю связь с узлом А.только одностороннюю связь с узлом А.


Туннелирование может использоваться и в Туннелирование может использоваться и в обратном направлении, то есть, для обратном направлении, то есть, для проникновения из Интернета внутрь проникновения из Интернета внутрь охраняемой сети. При этом узел Х находится в охраняемой сети. При этом узел Х находится в Интернете, а узлы А и В — в охраняемой сети Интернете, а узлы А и В — в охраняемой сети и узлу В разрешено получение датаграмм из и узлу В разрешено получение датаграмм из внешних сетей.внешних сетей.

Для защиты от туннелирования следует Для защиты от туннелирования следует запретить маршрутизатору транслировать во запретить маршрутизатору транслировать во внешнюю сеть датаграммы с полем Protocol=4 внешнюю сеть датаграммы с полем Protocol=4 и датаграммы с опциями.и датаграммы с опциями.


4.2. Атака крошечными фрагментами (Tiny 4.2. Атака крошечными фрагментами (Tiny Fragment Attack)Fragment Attack)

В случае, когда на вход фильтрующего В случае, когда на вход фильтрующего маршрутизатора поступает фрагментированная маршрутизатора поступает фрагментированная датаграмма, маршрутизатор производит досмотр датаграмма, маршрутизатор производит досмотр только первого фрагмента датаграммы (первый только первого фрагмента датаграммы (первый фрагмент определяется по значению поля IP-фрагмент определяется по значению поля IP-заголовка Fragment Offset=0). Если первый заголовка Fragment Offset=0). Если первый фрагмент не удовлетворяет условиям пропуска, фрагмент не удовлетворяет условиям пропуска, он уничтожается. Остальные фрагменты можно он уничтожается. Остальные фрагменты можно безболезненно пропустить, не затрачивая на них безболезненно пропустить, не затрачивая на них вычислительные ресурсы фильтра, поскольку без вычислительные ресурсы фильтра, поскольку без первого фрагмента датаграмма все равно не первого фрагмента датаграмма все равно не может быть собрана на узле назначения.может быть собрана на узле назначения.


Фрагментами TCP являются пакеты, используемые для установки соединений, передачи данных, отправки ACK, и закрытия соединений. Сегмент состоит из трех частей: Заголовка 20 байт, Опционального заголовка переменной длины, кратного 4-м байтам, и данных. Заголовок TCP, передает управляющую информацию. Поля SOURCE PORT и DESTINATION PORT, содержат номера портов TCP, идентифицирующих приложения на конечных точках. Поле SEQUENCE NUMBER определяет позицию первого байта прикрепленных данных. В поле ACKNOWLEDGEMENT NUMBER указывается байт, содержащий номер последовательности, которую должен получить получатель.


Поле ACKNOWLEDGEMENT NUMBER используется, только когда в поле CODE BITS выставлен бит ACK. 6-ти битное поле CODE BITS определяет цель и назначение сегмента. В поле WINDOW указывается количество данных, которое будет передано далее. Данное поле используется для резервирования буфера в приложении получателе. Поле CHECKSUM содержит 16-ти битное целочисленное значение контрольной суммы, и используется для подтверждения целостности заголовков и опций, указанных в них. Далее идут нулевые значения (Padding), для того, чтобы отделить заголовок и начало сегмента данных.


Здесь установленный битЗдесь установленный бит MF (More Fragments) MF (More Fragments) говорит о том, что данный пакет является говорит о том, что данный пакет является промежуточным (не последним) фрагментом. промежуточным (не последним) фрагментом. Поле Поле Смещение фрагмента (Fragment Offset)Смещение фрагмента (Fragment Offset) задает задает смещение в байтах поля данных этого пакета от смещение в байтах поля данных этого пакета от начала общего поля данных исходного пакета, начала общего поля данных исходного пакета, подвергнутого фрагментации. подвергнутого фрагментации.

Данный прием проникновения сквозь фильтр Данный прием проникновения сквозь фильтр называется «Tiny Fragment Attack» (RFC-1858). называется «Tiny Fragment Attack» (RFC-1858). Использование его в других случаях (для обхода Использование его в других случаях (для обхода других условий фильтрации) не имеет смысла, так других условий фильтрации) не имеет смысла, так как все остальные «интересные» поля в заголовке как все остальные «интересные» поля в заголовке TCP и других протоколов находятся в первых 8 TCP и других протоколов находятся в первых 8 октетах заголовка и, следовательно, не могут быть октетах заголовка и, следовательно, не могут быть перемещены во второй фрагмент.перемещены во второй фрагмент.


5.5.Принуждение к ускоренной передаче Принуждение к ускоренной передаче данныхданных

Механизм реагирования на заторы сети Механизм реагирования на заторы сети (congestion control), реализуемый протоколом TCP (congestion control), реализуемый протоколом TCP (RFC-2581), позволяет злоумышленнику-(RFC-2581), позволяет злоумышленнику-получателю данных принудить отправителя получателю данных принудить отправителя высылать данные с многократно увеличенной высылать данные с многократно увеличенной скоростью. В результате злоумышленник отбирает скоростью. В результате злоумышленник отбирает для своих нужд ресурсы сервера-отправителя и для своих нужд ресурсы сервера-отправителя и компьютерной сети, замедляя или блокируя компьютерной сети, замедляя или блокируя соединения прочих участников сетевого соединения прочих участников сетевого взаимодействия. Атаки выполняются путем взаимодействия. Атаки выполняются путем специально организованной посылки специально организованной посылки злоумышленником подтверждений приема данных злоумышленником подтверждений приема данных (ACK-сегментов).(ACK-сегментов).


Расщепление подтвержденийРасщепление подтверждений Узел В, вместо того, чтобы ответить одним Узел В, вместо того, чтобы ответить одним

подтверждением о получении всего сегмента подтверждением о получении всего сегмента (ACK SN=1001), высылает несколько (ACK SN=1001), высылает несколько подтверждений с возрастающими номерами подтверждений с возрастающими номерами ACK SN (например, 300, 600 и, наконец, 1001), ACK SN (например, 300, 600 и, наконец, 1001), как бы подтверждая получение сегмента по как бы подтверждая получение сегмента по частям. Узел В, выслав три подтверждения частям. Узел В, выслав три подтверждения вместо одного, вынуждает узел А увеличить вместо одного, вынуждает узел А увеличить значение параметра перегрузкизначение параметра перегрузки cwnd до 4 и cwnd до 4 и отправить 4 сегмента вместо двух.отправить 4 сегмента вместо двух.


Типичный размер поля данных сегмента — Типичный размер поля данных сегмента — 1460 октетов. Наиболее агрессивное 1460 октетов. Наиболее агрессивное поведение получателя (1460 подтверждений поведение получателя (1460 подтверждений на каждый сегмент) теоретически приведет к на каждый сегмент) теоретически приведет к тому, что уже после третьего шага узел В тому, что уже после третьего шага узел В может получить 2,9 Гбайт данных и создать может получить 2,9 Гбайт данных и создать заторы в сети.заторы в сети.

Ложные дубликаты подтвержденийЛожные дубликаты подтверждений Если узел В будет отвечать серией Если узел В будет отвечать серией

сфабрикованных подтверждений ACK SN, сфабрикованных подтверждений ACK SN, фактически узел А будет отправлять данные фактически узел А будет отправлять данные со скоростью, с которой В генерирует со скоростью, с которой В генерирует дубликаты подтверждений.дубликаты подтверждений.


Преждевременные подтвержденияПреждевременные подтверждения Получатель может заранее высылать Получатель может заранее высылать

подтверждения еще не принятых им, подтверждения еще не принятых им, находящихся в пути сегментов, заставляя находящихся в пути сегментов, заставляя отправителя поверить, что данные уже отправителя поверить, что данные уже доставлены, результатом чего будет увеличение доставлены, результатом чего будет увеличение cwnd и преждевременная отправка новых данных.cwnd и преждевременная отправка новых данных.

Атака преждевременными подтверждениями Атака преждевременными подтверждениями разрушает механизм обеспечения надежности разрушает механизм обеспечения надежности передачи данных: если какой-либо из сегментов с передачи данных: если какой-либо из сегментов с данными, отправленный из А в В, потеряется в данными, отправленный из А в В, потеряется в пути, повторной передачи этого сегмента не пути, повторной передачи этого сегмента не будет, поскольку он был уже заранее будет, поскольку он был уже заранее подтвержден получателем. подтвержден получателем.


Описанные атакиОписанные атаки особенно эффективны при особенно эффективны при передаче сравнительно небольших объемов передаче сравнительно небольших объемов данных (файлов), когда весь файл может быть данных (файлов), когда весь файл может быть передан за одно время обращения. Скорость передан за одно время обращения. Скорость загрузки файла увеличивается в несколько загрузки файла увеличивается в несколько раз. Работа конкурирующих TCP-соединений раз. Работа конкурирующих TCP-соединений (имеющихся в том же коммуникационном (имеющихся в том же коммуникационном канале) практически блокируется, поскольку канале) практически блокируется, поскольку из-за резко возросшей интенсивности трафика из-за резко возросшей интенсивности трафика другие соединения диагностируют состояние другие соединения диагностируют состояние затора и принимают соответствующие меры затора и принимают соответствующие меры по уменьшению скорости передачи данных, по уменьшению скорости передачи данных, фактически освобождая канал для фактически освобождая канал для злоумышленника.злоумышленника.


6. 6. Отказ в обслуживанииОтказ в обслуживании Атаки типа «отказ в обслуживании» (DoS, Атаки типа «отказ в обслуживании» (DoS,

denial of service) являются наиболее denial of service) являются наиболее распространенными и простыми в исполнении. распространенными и простыми в исполнении. Целью атаки является приведение атакуемого Целью атаки является приведение атакуемого узла или сети в такое состояние, когда узла или сети в такое состояние, когда передача данных другому узлу (или передача передача данных другому узлу (или передача данных вообще) становится невозможна или данных вообще) становится невозможна или крайне затруднена. Вследствие этого крайне затруднена. Вследствие этого пользователи сетевых приложений, пользователи сетевых приложений, работающих на атакуемом узле, не могут быть работающих на атакуемом узле, не могут быть обслужены — отсюда название этого типа обслужены — отсюда название этого типа атак. Атаки DoS используются как в комплексе атак. Атаки DoS используются как в комплексе с другими (имперсонация), так и сами по себе.с другими (имперсонация), так и сами по себе.


DoS-атаки можно условно поделить на три группы:DoS-атаки можно условно поделить на три группы: атаки большим числом формально корректных, но, атаки большим числом формально корректных, но,

возможно, сфальсифицированных пакетов, возможно, сфальсифицированных пакетов, направленные на истощение ресурсов узла или направленные на истощение ресурсов узла или сети; сети;

атаки специально сконструированными пакетами, атаки специально сконструированными пакетами, вызывающие общий сбой системы из-за ошибок в вызывающие общий сбой системы из-за ошибок в программах; программах;

атаки сфальсифицированными пакетами, атаки сфальсифицированными пакетами, вызывающими изменения в конфигурации или вызывающими изменения в конфигурации или состоянии системы, что приводит к невозможности состоянии системы, что приводит к невозможности передачи данных, сбросу соединения или резкому передачи данных, сбросу соединения или резкому снижению его эффективности. снижению его эффективности.


6.1. 6.1. Истощение ресурсов узла или сети (Smurf)Истощение ресурсов узла или сети (Smurf) Атака smurf состоит в генерации шквала ICMP Атака smurf состоит в генерации шквала ICMP

Echo-ответов, направленных на атакуемый узел, Echo-ответов, направленных на атакуемый узел, для чего злоумышленник направляет несколько для чего злоумышленник направляет несколько сфальсифици-рованных Echo-запросов от имени сфальсифици-рованных Echo-запросов от имени жертвы на широковещательные адреса жертвы на широковещательные адреса нескольких сетей. Узлы, находящихся в этих сетях нескольких сетей. Узлы, находящихся в этих сетях (усилителях) и поддержи-вающие обработку (усилителях) и поддержи-вающие обработку широковещательных Echo-запросов, отправляют широковещательных Echo-запросов, отправляют ответы на атакуемый узел. В результате атаки ответы на атакуемый узел. В результате атаки сеть, в которой находится жертва, сам атакуемый сеть, в которой находится жертва, сам атакуемый узел, а также и сети-усилители могут быть узел, а также и сети-усилители могут быть временно заблокированы шквалом ответных временно заблокированы шквалом ответных сообщений. Для атакуемого узла и его сети нет сообщений. Для атакуемого узла и его сети нет адекватных способов защиты от этой атаки.адекватных способов защиты от этой атаки.


SYN flood и NapthaSYN flood и Naptha Распространенная атака SYN flood (она же Распространенная атака SYN flood (она же

Neptune) состоит в посылке злоумышленником Neptune) состоит в посылке злоумышленником SYN-сегментов TCP на атакуемый узел в SYN-сегментов TCP на атакуемый узел в количестве большем, чем тот может обработать количестве большем, чем тот может обработать одновременно (обычно несколько десятков).одновременно (обычно несколько десятков).

При получении каждого SYN-сегмента модуль TCP При получении каждого SYN-сегмента модуль TCP выделяет определенные ресурсы для выделяет определенные ресурсы для обслуживания будущего соединения, и отправляет обслуживания будущего соединения, и отправляет свой SYN-сегмент. Ответа на него он не получит. свой SYN-сегмент. Ответа на него он не получит. (Чтобы замести следы злоумышленник будет (Чтобы замести следы злоумышленник будет посылать свои SYN-сегменты от имени посылать свои SYN-сегменты от имени несуществующего отправителя или нескольких несуществующего отправителя или нескольких случайно выбранных несуществующих случайно выбранных несуществующих отправителей.) отправителей.)


Через несколько минут модуль TCP ликвидирует Через несколько минут модуль TCP ликвидирует так и не открытое соединение, но если так и не открытое соединение, но если одновременно злоумышленник сгенерирует одновременно злоумышленник сгенерирует большое число SYN-сегментов, то он заполнит все большое число SYN-сегментов, то он заполнит все ресурсы, выделенные для обслуживания ресурсы, выделенные для обслуживания открываемых соединений, и модуль TCP не открываемых соединений, и модуль TCP не сможет обрабатывать новые SYN-сегменты, пока сможет обрабатывать новые SYN-сегменты, пока не освободится от запросов злоумышленника. не освободится от запросов злоумышленника. Постоянно посылая новые запросы, Постоянно посылая новые запросы, злоумышленник может продолжительно злоумышленник может продолжительно удерживать жертву в блокированном состоянии. удерживать жертву в блокированном состоянии. Чтобы снять воздействие атаки, злоумышленник Чтобы снять воздействие атаки, злоумышленник посылает серию сегментов с флагом RST, которые посылает серию сегментов с флагом RST, которые ликвидируют полуоткрытые соединения и ликвидируют полуоткрытые соединения и освобождают ресурсы атакуемого узла.освобождают ресурсы атакуемого узла.


Целью атаки является приведение узла (сервера) в Целью атаки является приведение узла (сервера) в состояние, когда он не может принимать запросы состояние, когда он не может принимать запросы на открытие соединений.на открытие соединений.

Полной защиты от описанных атак не существует. Полной защиты от описанных атак не существует. Чтобы уменьшить подверженность узла атаке Чтобы уменьшить подверженность узла атаке администратор должен использовать программное администратор должен использовать программное обеспечение, позволяющее установить обеспечение, позволяющее установить максимальное число открываемых соединений, а максимальное число открываемых соединений, а также список разрешенных клиентов. Только также список разрешенных клиентов. Только необходимые порты должны быть открыты, необходимые порты должны быть открыты, остальные сервисы следует отключить. остальные сервисы следует отключить. Операционная система должна иметь устойчивость Операционная система должна иметь устойчивость к атакам Naptha — не должно возникать отказа в к атакам Naptha — не должно возникать отказа в обслуживании пользователей и сервисов, не обслуживании пользователей и сервисов, не имеющих отношения к атакуемым.имеющих отношения к атакуемым.


Должен также проводиться анализ трафика в Должен также проводиться анализ трафика в сети для выявления начавшейся атаки, признаком сети для выявления начавшейся атаки, признаком чего является большое число однотипных чего является большое число однотипных сегментов, и блокирование сегментов сегментов, и блокирование сегментов злоумышленника фильтром на маршрутизаторе, злоумышленника фильтром на маршрутизаторе, если он имеет механизм TCP Intercept, который если он имеет механизм TCP Intercept, который служит посредником между внешним TCP-служит посредником между внешним TCP-клиентом и TCP-сервером, находящимся в клиентом и TCP-сервером, находящимся в защищаемой сети. При получении SYN-сегмента из защищаемой сети. При получении SYN-сегмента из Интернета маршрутизатор не ретранслирует его Интернета маршрутизатор не ретранслирует его во внутреннюю сеть, а сам отвечает на этот во внутреннюю сеть, а сам отвечает на этот сегмент от имени сервера. Если соединение с сегмент от имени сервера. Если соединение с клиентом устанавливается, то маршрутизатор клиентом устанавливается, то маршрутизатор устанавливает соединение с сервером от имени устанавливает соединение с сервером от имени клиента. клиента.


При дальнейшей передаче сегментов в этом При дальнейшей передаче сегментов в этом соединении маршрутизатор действует как соединении маршрутизатор действует как прозрачный посредник. Если ответ от клиента так прозрачный посредник. Если ответ от клиента так и не поступил, то оригинальный SYN-сегмент не и не поступил, то оригинальный SYN-сегмент не будет передан получателю.будет передан получателю.

Если SYN-сегменты начинают поступать в большом Если SYN-сегменты начинают поступать в большом количестве и на большой скорости, то количестве и на большой скорости, то маршрутизатор переходит в «агрессивный» маршрутизатор переходит в «агрессивный» режим: время ожидания ответа от клиента резко режим: время ожидания ответа от клиента резко сокращается, а каждый вновь прибывающий SYN-сокращается, а каждый вновь прибывающий SYN-сегмент приводит к исключению из очереди сегмент приводит к исключению из очереди одного из ранее полученных SYN-сегментов. При одного из ранее полученных SYN-сегментов. При снижении интенсивности потока запросов на снижении интенсивности потока запросов на соединения маршрутизатор возвращается в соединения маршрутизатор возвращается в «дежурный» режим.«дежурный» режим.


Отметим, что применение TCP Intercept Отметим, что применение TCP Intercept фактически переносит нагрузку по борьбе с фактически переносит нагрузку по борьбе с SYN-атакой с атакуемого хоста на SYN-атакой с атакуемого хоста на маршрутизатор, который лучше подготовлен маршрутизатор, который лучше подготовлен для этой борьбы.для этой борьбы.

UDP floodUDP flood Атака состоит в затоплении атакуемой сети Атака состоит в затоплении атакуемой сети

шквалом UDP-сообщений. Для генерации шквалом UDP-сообщений. Для генерации шквала злоумышлен-ник использует сервисы шквала злоумышлен-ник использует сервисы UDP, посылающие сообщение в ответ на любое UDP, посылающие сообщение в ответ на любое сообщение.сообщение.

Использование промежуточных систем для Использование промежуточных систем для реализации атак называют распределенными реализации атак называют распределенными (Distributed DoS, DDoS) атаками. (Distributed DoS, DDoS) атаками.


Для их реализации злоумышленниками Для их реализации злоумышленниками создаются программы-демоны, захватывающие создаются программы-демоны, захватывающие промежуточные системы и координирующие промежуточные системы и координирующие создание направленных на атакуемый узел создание направленных на атакуемый узел шквалов пакетов (ICMP Echo, UDP, TCP SYN). шквалов пакетов (ICMP Echo, UDP, TCP SYN).

Ложные DHCP-клиентыЛожные DHCP-клиенты Атака состоит в создании злоумышленником Атака состоит в создании злоумышленником

большого числа сфальсифицированных запросов большого числа сфальсифицированных запросов от различных несуществующих DHCP-клиентов. от различных несуществующих DHCP-клиентов. Если DHCP-сервер выделяет адреса динамически Если DHCP-сервер выделяет адреса динамически из некоторого пула, то все адресные ресурсы из некоторого пула, то все адресные ресурсы могут быть истрачены на фиктивных клиентов, могут быть истрачены на фиктивных клиентов, вследствие чего легитимные хосты не смогут вследствие чего легитимные хосты не смогут сконфигурироваться и лишатся доступа в сеть.сконфигурироваться и лишатся доступа в сеть.


Для защиты от этой атаки администратору Для защиты от этой атаки администратору следует поддерживать на DHCP-сервере следует поддерживать на DHCP-сервере таблицу соответствия MAC- и IP-адресов (если таблицу соответствия MAC- и IP-адресов (если это возможно); сервер должен выдавать IP-это возможно); сервер должен выдавать IP-адреса в соответствии с этой таблицей.адреса в соответствии с этой таблицей.

6.2. 6.2. Сбой системыСбой системы DoS-атаки этой группы не связаны с какими-DoS-атаки этой группы не связаны с какими-

либо проблемами протоколов стека TCP/IP, а либо проблемами протоколов стека TCP/IP, а используют ошибки в их программной используют ошибки в их программной реализации. Для защиты от подобных атак реализации. Для защиты от подобных атак необходимо использовать последние версии необходимо использовать последние версии операционных систем и следить за операционных систем и следить за обновлениями к ним.обновлениями к ним.

Примеры таких атак:Примеры таких атак:


1. 1. Ping of deathPing of death ( (посылка на атакуемый узел посылка на атакуемый узел фрагментированной датаграммы, размер которой фрагментированной датаграммы, размер которой после сборки превысит 65 535 октетов),после сборки превысит 65 535 октетов),

2. 2. TeardropTeardrop (атака использует ошибку, (атака использует ошибку, возникающую при подсчете длины фрагмента во возникающую при подсчете длины фрагмента во время сборки датаграммы),время сборки датаграммы),

3. 3. LandLand (посылка на атакуемый узел SYN-сегмента (посылка на атакуемый узел SYN-сегмента TCP, у которого IP-адрес и порт отправителя TCP, у которого IP-адрес и порт отправителя совпадают с адресом и портом получателя),совпадают с адресом и портом получателя),

4. 4. NukeNuke (посылка на атакуемый TCP-порт срочных (посылка на атакуемый TCP-порт срочных данных (поле Urgent Pointer) и поражение через данных (поле Urgent Pointer) и поражение через порт 139 Windows-систем, в которых не порт 139 Windows-систем, в которых не предусмотрена возможность приема срочных предусмотрена возможность приема срочных данных, что приводит к краху системы).данных, что приводит к краху системы).


6.3. 6.3. Изменение конфигурации или состояния узлаИзменение конфигурации или состояния узла Перенаправление трафика на несуществующий узелПеренаправление трафика на несуществующий узел Методы перехвата трафика злоумышленником Методы перехвата трафика злоумышленником

могут быть использованы также и для могут быть использованы также и для перенаправления посылаемых атакуемым узлом перенаправления посылаемых атакуемым узлом (или целой сетью) данных «в никуда», результатом (или целой сетью) данных «в никуда», результатом чего будет потеря связи жертвы с выбранными чего будет потеря связи жертвы с выбранными злоумышленником узлами или сетями.злоумышленником узлами или сетями.

При использовании в сети любого протокола При использовании в сети любого протокола маршрутизации злоумышленник может маршрутизации злоумышленник может генерировать сфальсифицированные сообщения генерировать сфальсифицированные сообщения протокола, содержащие некорректные значения протокола, содержащие некорректные значения некоторых полей (порядковых номеров, возраста некоторых полей (порядковых номеров, возраста записи, метрики), что приведет к нарушениям в записи, метрики), что приведет к нарушениям в системе маршрутизации.системе маршрутизации.


Навязывание длинной сетевой маскиНавязывание длинной сетевой маски Если хост получает маску для своей сети через Если хост получает маску для своей сети через

ICMP-сообщение Address Mask Reply, то, ICMP-сообщение Address Mask Reply, то, сформировав ложное сообщение с длинной маской сформировав ложное сообщение с длинной маской (например, 255.255.255.252), злоумышленник (например, 255.255.255.252), злоумышленник существенно ограничит способность атакуемого существенно ограничит способность атакуемого хоста к соединениям (коннективность). Если в хоста к соединениям (коннективность). Если в «суженной» злоумышленником сети не окажется «суженной» злоумышленником сети не окажется маршрутизатора по умолчанию, то жертва сможет маршрутизатора по умолчанию, то жертва сможет посылать данные только узлам, попадающим под посылать данные только узлам, попадающим под навязанную маску. В настоящее время хосты навязанную маску. В настоящее время хосты динамически конфигурируются с помощью динамически конфигурируются с помощью протокола DHCP. Тем не менее, следует проверить, протокола DHCP. Тем не менее, следует проверить, как система отреагирует на получение ICMP Address как система отреагирует на получение ICMP Address Mask Reply.Mask Reply.


Десинхронизация TCP-соединенияДесинхронизация TCP-соединения Если после выполнения десинхронизации злоумышленник Если после выполнения десинхронизации злоумышленник

не будет функционировать в качестве посредника, то не будет функционировать в качестве посредника, то передача данных по атакованному TCP-соединению будет передача данных по атакованному TCP-соединению будет невозможна.невозможна.

Сброс TCP-соединенияСброс TCP-соединения Если узел А установил соединение с узлом В, то Если узел А установил соединение с узлом В, то

злоумышленник может принудить узел А преждевременно злоумышленник может принудить узел А преждевременно закрыть это соединение. Для этого злоумышленник может закрыть это соединение. Для этого злоумышленник может послать узлу А от имени В сфальсифицированный RST-послать узлу А от имени В сфальсифицированный RST-сегмент или ICMP-сообщение Destination Unreachable.сегмент или ICMP-сообщение Destination Unreachable.

Принуждение к передаче данных на заниженной Принуждение к передаче данных на заниженной скоростискорости

Злоумышленник может несколькими способами вынудить Злоумышленник может несколькими способами вынудить модуль TCP узла А снизить скорость передачи данных узлу модуль TCP узла А снизить скорость передачи данных узлу В в TCP-соединении.В в TCP-соединении.

Уязвимости популярных операционных систем

Documents