napadi na komunikacijske protokole mrežnog sloja_moj
TRANSCRIPT
Univerzitet u SarajevuElektrotehniki fakultetOdsjek za telekomunikacijeakademska godina: 2011/2012Kriptografija i sigurnost sistemaNapadi na protokole mrenog nivoa
ELEKTROTEHNIKI FAKULTET UNIVERZITET U SARAJEVU
Odsjek za telekomunikacijeMSc studij, I godinaakademska godina 2011/2012.Predmet: Kriptografija i sigurnost sistema
Napadi na komunikacijske protokole mrenog slojaKSS 2011/2012 005
TKstudentbroj indexa
1.olak Elbisa489/15317
2.Duli Meliha
3.Zujovi Irma
Sarajevo, maj 2012. godine
SAETAKRazvojem Interneta i raunarske tehnlogije dolazi do porasta i broja korisnika . Samim tim, sve je vei broj ljudi koji su potencijalni napadai informacionih sistema, tako da je pitanje same sigurnosti dovedeno u nezavidnu poziciju.Ovaj rad, u svom prvom dijelu, sadri injenice vezane za ugroenost sigurnosti raunarskih mrea, koja je posljedica, prije svega, razvoja i proirenja Interneta, zatim porasta broja korisnika, te pojeftinjenja raunarske opreme. Mreni administratori, umjesto da se bave unaprjeenjem cjelokupnog mrenog sistema, uglavnom se bave izgradnjom sigurnosnih okvira mree.Drugi dio se bazira na opisivanje mrenog sloja OSI referentnog modela i njegovih karakteristika. Takoer je dat osvrt na komunikacijske protokole mrenog sloja, koji se dijele na routed i routing protokole. Za svaki podtip protokola, dat je detaljan opis njegovih osnovnih koncepata rada.U treem dijelu rada je objanjen princip izvoenja napada na ve pomenute protokole mrenog sloja. Napadai obino iskoritavaju slabe take rada protokola, da bi onemoguili komunikaciju izmeu korisnika ili doli do odreenih podataka, koje legalnim putem ne mogu dobiti. Obraene su razne vrste DoS napada, zatim usmjerivaki (RIP) napadi, vrste IP Spoofing napada, te napad Packet Sniffing.
1. UVODPotreba za informacijama natjerala je ovjeka da uspostavlja veze sa raznim izvorima informacija i da stvara mree preko kojih e sebi olakati prikupljanje, prenos, skladitenje i obradu podataka. Naglim razvojem raunarske tehonologije posljednjih godina i sa pravom eksplozijom Interneta, broj korisnika raunara i raunarskih mrea raste vrtoglavom brzinom. Sa sve monijom raunarskom opremom svakodnevno se uvode novi servisi , a istovremeno se u umreavanju postavljaju vii standardi. Vremenom su se mreni sistemi razvijali da bi danas dostigli nivo praktinog efikasnog okruenja za razmjenu podataka. Dostupnost i fleksibilnost tehnologija dananjih savremenih raunarskih mrea omoguava da se sa bilo koje take na planeti moe povezati na mreu i doi do eljenih infomacija.
Slika 1. Porast broja korisnika interneta
Sve vei problem i ograniavajui faktor razvoja i primjene raunarskih sistema postaje bezbjednost informacionih sistema.
injenice koje poveavaju opasnost od zloupotrebe su: Stalno uveanje broja osoba koje koriste raunarske sisteme; Stalno uveanje broja osoba koje se koluju i posjeduju znanje iz informatike; Vrijednost informacija koje se danas nalaze u raunasrkim sitemima je velika.
Oblici komunikacijskog kriminala su raznovrsni i brojni: Kraa raunarske opreme; Kraa internet vremena; Kraa sofvera radi neovlatenog koritenja; Upadi u komunikacionu mreu radi kopiranja i mijenjanja podataka; Pronevjere zaposlenog osoblja u komunikacionim centrima.
Razvojem i irenjem raunarskih mrea te pojeftinjenjem opreme i njenim irenjem u sve pore drutva, poeli su i sigurnosni problemi. Domena koja je do tada bila rezervisana za uski krug naunika, tehnologa, tehniara i privilegiranih korisnika, u kratkom vremenu se otvorila za iroke mase koje su u nju donijele i svoje oblike ponaanja. Stoga je bilo potrebno i razviti mrenu sigurnost. Mrena sigurnost je jako komplicirana tema, historijski gledano tema koja je razmatrana samo od strane dobro treniranih i iskusnih raunarskih strunjaka. Kako u dananjem svijetu sve vie i vie raunara postaje povezano u globalnu mreu, dolazi do sve veeg broja interesanata za raunarsku i mrenu sigurnost. Javila se potreba za dobro osmiljenom organizacijom sigurnosti u mreama.
Brim razvojem globalne mree Internet, mrena sigurnost postaje sve vie znaajnija i zastupljenija tema. Trenutno, mreni administratori uglavnom provode vie vremena gradei sigurnu okolinu nego to potroe vemena na doslovno podeavanje cjelokupnog mrenog sistema. Oni moraju razrijeiti sljedea pitanja: Ko e imati dozvolu na informacije? Na koje resurse e korisnici imati dozvolu? Kad mogu koristiti te dozvole:
Odgovor na ta pitanja uveliko zavise od organizacije u kojoj se definira i provodi sigurnosna politika.
U nastavku rada je dat osvrt na mreni nivo OSI modela, njegove protokole ukljuujui principe njihovog rada, njihove prednosti i nedostatke, te su detaljno objanjeni mogui napadi na prokole mrenog nivoa.
2. MRENI SLOJ OSI REFERENTNOG NIVOA I NJEGOVI PROTOKOLI
OSI (Open Systems Interconnection) model je referentni model protokola za komunikaciju u mreama za prenos podatka, razvijen od strane ISO 1978. godine. Ovaj model pruio je proizvoaima skup standarda koji osiguravaju veu kompatibilnost i meufunkcionalnost izmeu razliitih mrenih tehnologija koje su stvorene od velikog broja kompanija irom svijeta.
Uloga OSI referentnog modela: Omoguavanje komunikacije izmeu bilo kojih raunara, bilo gdje u svijetu, sve dok se pridravaju OSI standarda; Standardizacija pravila za komunikaciju izmeu razliitih raunarskih mrea.
OSI referentni model sastoji se od 7 slojeva, a svaki od njih vri odreenu mrenu funkciju:
Slika 2.1 Arhitektura OSI referentnog modela
Trei sloj OSI modela je mreni sloj. Ovaj sloj je kompleksan sloj i omoguava povezivanje i odabir puta izmeu dva mrena sistema koji mogu biti geografski dislocirani. Mreni sloj treba da obezbjedi prenos podataka izmeu entiteta transportnog sloja, bez obzira na strukturu mrea kojima pripadaju. Ovaj sloj uspostavlja, odrava i raskida veze izmeu korisnika. Za prenos informacije sa kraja na kraj, mreni sloj koristi 4 koraka: adresiranje, enkapsulaciju, rutiranje i dekapsulaciju.
Mreni protokoli su pravila i upute koje ureaji koriste kako bi se omoguilo dijeljenje podataka izmeu krajnjih korisnika. Na mrenom nivou razlikujemo routed i routing protokole. Protokoli koji definiu izvornu i odredinu adresu, tj. adresu sa koje paket odlazi i na koju dolazi se nazivaju routed protokoli. Ureaji (kao ruter) koji ovu adresu koriste da bi pronali optimani put izmeu izvora i odredita kroz mreu koriste routing protokole. Routed protokol nadzire metodu isporuke paketa, a routing protokol nadzire put paketa kroz mreu.
Slika 2.2 Routed i routing protokoli
U routed protkole ubrajamo IPv4, IPv6, IPX protokole.U routing protokole ubrajamo RIP, IGRP, EIGRP, OSPF, BGP, IS-IS, itd.
Osnovne razlike izmeu dinamikog rutiranja, kojeg koriste routing protokoli i statikog rutiranja, koje je bazirano na routed protokolima su prikazane u tabeli 1.
Dinamiko rutiranjeStatiko rutiranje
Kompleksnost konfiguracijeOpenito, ne zavisi od veliine mreeRaste sa veliinom mree
Zahtjevanje administratorskog znanjaPotrebna napredna znanjaNema potrebe za dodatnim znanjima
Promjena topologijeAutomatsko prilagoavanjeZahtjeva administratorsku intervenciju
SkaliranjePogodno za jednostavne i sloene topologijePogodno za jednostavne topologije
SigurnostManjaVea
Koritenje resursaKoristi CPU, memoriju i propusni opsegNe zahtjeva extra resurse
PredvidivostRuta zavisi od topologijeRuta do odredita je uvijek ista
Tabela 1. Statiko rutiranje vs. dinamiko rutiranje
2.1 Routed protokoli Internet protokol
IP (Internet Protocol) je najee koriteni protokol mrenog nivoa. Ne zavisi od tehnologije protokola koja lei ispod njega i potencijalno se moe pokretati na bilo kojoj mrenoj tehnologiji (ATM, Ethernet, WDM). IP je nekonekcijski protokol, to znai da za prenos podataka izmeu hostova prethodno ne uspostavlja vezu izmeu istih. On prua samo funkcije koje su potrebne da se paket prenese od izvora do odredita, ali ne i praenje i upravljanje tokovima paketa, za ta su zadueni protokoli drugih nivoa. Osnove karakteristike IP protokola su: Univerzalno adresiranje kako bi se izvrio prijenos podataka iz tae A u taku B, potrebno je osigurati da ureaji u mrei znaju odrediti koji ureaj predstavlja taku B. IP protokpl definira mehanizam adresiranja za mreu i koristi ove adrese za prijenos podataka. Nezavisan od implementacije niih protokola IP je dizajniran da omogui prijenos podataka preko bilo kojeg tipa mrea koji podravaju TCP/IP stog. U sebi ukljuuje operacije kojim se moe prilagoditi zahtjevima raznih protokola nieg sloja. Prijenos bez vrste veze IP radi bez uspostavljanja veze izmeu taki koje komuniciraju preko mree.To znai da kad ureaj A eli poslati podatke ureaju B, on prethodno ne stvara vezu sa takom B. Nepouzdana isporuka za IP se kae da je nepouzdan, to znai da prilikom slanja datagrama sa ureaja A prema ureaju B, ureaj A alje jedan datagram i onda prelazi na sljedei, pri emu ne prati one koje je ve poslao. IP ne prua mehanizam za zatitu od greaka, kontrolu toka ili ponovno slanje izgubljenih datagrama. Isporuka bez potvrde - IP ne koristi potvrde o isporuci. Kada ureaj B primi datagram od ureaja A, on ne alje potvrdu o prijemu kojom bi rekao ureaju A da je primio datagram.Osnovne funkcije IP protokola se mogu podijeliti na: ADRESIRANJE da bi mogao vriti prijenos i isporuku datagrama, IP mora znati gdje je potrebno da ih isporui. Iz ovog razloga on ukljuuje mehanizam za adresiranje ureaja na mrei, pri emu se koristi jedinstveno adresiranje ureaja na proizvoljno velikim mreama. ENKAPSULACIJA PODATAKA I FORMATIRANJE/PAKIRANJE - kao protokol mrenog sloja, IP prima podatke od protokola transportnog sloja UDP-a i TCP-a. On tada vri enkapsulaciju ovih podataka koristei poseban format u IP datagrame, prije samog prenosa. FRAGMENTIRANJE I PONOVNO SPAJANJE IP datagrami se prosljeuju sloju fizike veze za prijenos na lokalnoj mrei. Maksimalna veliina okvira na fizikoj vezi koja koristi IP se moe razlikovati. Iz ovog razloga, IP u sebi ukljuuje mogunost fragmentiranja IP datagrama u dijelove, kako bi se oni mogli prenijeti preko lokalne mree. Prijemni ureaj koristi funkciju za ponovno spajanje IP datagrama. RUTIRANJE/INDIREKTNA ISPORUKA kada se IP datagram mora poslati na destinaciju koja se nalazi na lokalnoj mrei, njegov prijenos se moe izvriti jednostavno koritenjem niih LAN/WLAN/WAN protokola. U veini sluajeva, krajnja destinacija se nalazi na udaljenoj mrei koja nije direktno povezana na izvor. U ovoj situaciji se koristi isporuka datagrama pomou posrednikih ureaja routera.
Slika 2.3 Izgled IP paketa
Rutiranje paketa se vri na nain da ruter uzima adresu odredita (Destination Address) iz IP zaglavlja i rutira dalje do odgovarajueg rutera.
Nepouzdanost IP protokola moe dovesti do: oteenja dijelova paketa; gubitka cijelih paketa; duplicirani dolazak paketa na odredite. Paketi se mogu otetiti usljed prolaska kroz linkove loeg kvaliteta na kojima postoji veliki utjecaj umova, dok se paketi mogu izgubiti usljed, na primjer, nestanka napajanja, ili kvara usputnih ureaja. Duplirani dolazak moe se javiti zbog raznih softverskih greaka i protokolnih nedostataka na usputnoj infrastrukturi.
Jedinu zatitu koju IP protokol prua je zatita od oteenja dijelova paketa. Ovo je postignuto time to izvor u header IP paketa, pored IP adresa, umee i CRC checksum za dati paket. Na odreditu se ponovo rauna checksum primljenog paketa i ako se checksum-e slau, paket je prenijet bez greaka. Meutim, ako paket sadri greke, odredite ga odbacuje bez obavetavanja izvora da je paket odbaen.
Razlog zato je IP dizajniran na ovaakv nain, bez funkcija za uspostavu veza, garantiranom isporukom, ispravkom greki i drugim funkcijama, lei u tome to sve ove funkcije imaju odreenu cijenu. Potrebno je dosta vremena, raunarskih resursa i mrene propusnosti da bi se izvrile ove funkcije, a one nisu uvijek potrebne. Sve ove nedostatke IP protokola rjeavaju protokoli viih nivoa, naroito transportni sloj.
2.1.1 ICMP
ICMP (Internet Control Message Protocol) je obavezni dio implementacije IP protokola jer nadopunjuje nedostatke samog IP protokola, tj. alje obavetenje o potencijalnom problemu koji se desio u procesu isporuke podataka. U osnovi, to je skup poruka za ispitivanje stanja povezanosti mree i izvjetavanja o grekama. Budui da, kao i sam IP protokol, funkcionira na principu najboljeg pokuaja (best effort), ovaj protokol ne osigurava pouzdan prenos podataka. To trebaju osigurati protokoli viih nivoa. Tipine ICMP poruke javljaju greke u procesiranju datagrama. Da bi se izbjeglo beskonano slanje poruka ne alju se nikakve poruke o ICMP porukama.
Standardno je da i ruteri u sebi imaju implementaciju ICMP protokola. Na primjer, ako se poalje paket na neki raunar i taj paket ne moe biti isporuen raunaru usljed toga to je iskljuen, ili ne radi mrena kartica ili je prekid u kablu i slino, posljednji ruter u komunikaciji je zaduen da poalje obavetenje o tome da raunar nije on-line (dostupan).ICMP poruke se alju koristei osnovno IP zaglavlje. Prvi oktet polja podataka IP paketa definira tip ICMP poruke. Svaka poruka sadri i IP zaglavlje poruke o ijem gubitku izvjetava, te prvih 64 bita podataka originalnog paketa.
Slika 2.4 Izgled ICMP datagrama
Neke od najeih ICMP poruka su:
SOURCE QUENCH Router alje ovu poruku kada u njegovom spremniku nema dovoljno mjesta. Poiljatelj mora reagirati smanjenjem brine generiranja novih datagrama. TIME EXCEEDED Generira se kada je usmjerenik spustio TTL (Time To Live) na nulu ili kada host pri ponovnom sklapanju fragmentirane poruke prekorai Reasembly Timer. DESTINATION UNREACHABLE alje se kada ruter ustanovi da se datagram ne moe isporuiti na svoje odredite. Iskazuje se razlika izmeu nedostupnog hosta i nedostupne mree. REDIRECT Ukoliko ruter utvrdi da bi datagram trebao biti poslan po drugoj ruti, alje ovu poruku. Moe zahtijevati promjenu za host ili za mreu. ECHO REQUEST/REPLAY Echo request poruka se moe slati ICMP software-u na bilo kojem voru. ICMP software mora reagirati slanjem echo replay poruke. Odgovor sadri iste podatke kao i zahtjev. ADDRESS MASK REQUEST/REPLAY Prilikom svog boot-anja, host alje broadcast upit o adresnoj maski. Ruter koji primi poruku alje korektni 32-bitni broj koji sadri adresnu masku za tu mreu.
Iako sam prijenos podataka putem IP-a funkcione na principu najboljeg pokuaja, ICMP protokol, putem obavijesti o greakama, daje IP-u dovoljnu kontrolu da taj najbolji pokuaj bude prilino dobar. Putem echo reply poruka, koje omoguavaju ping i trace route aplikacije, ICMP nam je koristan za provjeru u kakvom je stanju mrea, tj. da li moemo doi do nekog udaljenog ureaja i koji je put do njega.
U Windows operativnim sistemima se najmanje tri programa zasnivaju na radu ICMP protokola i to su: PING, PATHPING i TRACERT. PING program je osmiljen sa namjerom detekcije dostupnosti udaljene maine, PATHPING je ustvari viestruki ping koji dodatno kalkulie procentualnu uspjenost slanja podataka (primenjuje se pri identifikaciji tane lokacije problema u komunikaciji izmeu dva udaljena raunara), TRACERT je slian program ali funkcionie na malo drugaiji nain i namena mu je brza provera problematinih rutera na putanji do destinacije.
Nadzor mree putem ICMP protokola se odvija na dva naina: praenjem propusnosti veze do vora; mjerenjem vremena odziva vora.
Praenje propusnosti se zasniva na mjerenju broja paketa koji se uspiju vratiti od prozivanog vora. Uobiajeno je da se alje 100 paketa duine 100 B, u jednom pokuaju, uz zadano vrijeme izmeu pokuaja od 4 s, te dva ponavljanja. Takva sonda daje poprilino dobar pregled veze. To je ujedno i standardni nain rada ping komande.
Mjerenje vremena odziva je jednostavniji postupak, koji manje optereuje sistem u odnosu na prethodnu metodu, ali manje taan. Vrijeme odziva daje vremensku karakteristiku veze, pri emu je najvaniji parametar promjena vreemna odziva, sve dok je odziv u dozvoljenom podruju. Za stvarno praenje ponaanja sistema potrebno je provoditi oba naina mjerenja.
2.2 Routing protokoli
Za razliku od routed protokola, koji pruaju informacije za prosljeivanje paketa na osnovu adresne eme, routing protokoli odreuju kojim putem e se prenositi podaci.
Routing protokoli se mogu podijeliti na osnovu oblasti rutiranja na interne (IGRP) i eskterne (EGRP), pri emu se interni protokoli prema nainu raunanja optimalnog puta dijele na distance vector (vektor udaljenosti) i link state (stanje protokola) protokole. Evolucija i klasifikacija routing protokola je prikazana na narednoj slici.
Slika 2.5 Evolucija i klasifikacija routing protokola
2.2.1 RIP
RIP (Routing Information Protocol) je prvi i najjednostavniji protokol rutiranja. Danas se koristi u mreama sa malim brojem rutera, zbog svoje jednostavnosti. RIP je interni protokol rutiranja. Koristei Belman-Fordov algoritam (Bellman-Ford Algorithm), dinamiki aurira tabele rutiranja rutera unutar istog autonomnog sistema. Kao metriku uzima skok (engl. hop), tj. udaljenost od mree, to ga svrstava u grupu protokola rutiranja na osnovu vektora udaljenosti.RIP alje nove usmjerivake poruke u pravilnim intervalima ili kada se promjeni topologija mree. Kada router dobije usmjerivaku poruku koja ukljuuje promjene, nadograuje tablicu usmjeravanja da bi prikazao novi put. Vrijednost metrike za put se uveava za 1 i poiljatelj se smatra sljedeim korakom. Kod RIP protokola routeri uvaju samo najbolji put, tj. put sa najmanjom vrijednou metrike, prema odreditu, tj. ako nova informacija nudi bolji put ona zamjenjuje staru. Nakon nadogradnje tablice usmjeravanja, usmjernik informira susjedne usmjernike o promjeni.RIP kao metriku koristi broj skokova tj. odabire smjer s najmanjim brojem skokova kao najbolji. Broj skokova je broj usmjernika koji paket treba proi na putu do odredita. Svaki skok na putu od izvorita do odredita vrijedi 1, ako nije drugaije definirano. Kada router dobije usmjerivaku poruku koja sadri novi ili promijenjeni odredini mreni interfejs, dodaje 1 vrijednosti metrike naznaenoj u usmjerivakoj poruci i unosi mreu u tablicu usmjeravanja. Unutar RIP tablice usmjeravanja najdui put moe biti 15 skokova. Ako je broj skokova vei od 15 smatra se da je odredite nedohvatljivo.Kada usmjernik detektira prekid jedne od svojih veza korigira svoju tablicu usmjeravanja tako da postavi broj koraka za taj smjer na 16 i susjednim usmjernicima alje svoju tablicu usmjeravanja. Svaki usmjernik koji primi ovu poruku korigira vlastitu tablicu usmjeravanja i alje ju dalje. Promjena se tako propagira mreom.RIPv1 je razvijen 1980 - ih godina u kompaniji Ziroks iz ranije verzije protokola GWINF ( Gateway Information Protocol). Primjena ovog protokola u mrenim sistemima razliitih proizvoaa dovela je do njegove standardizacije 1988. godine.
RIPv1 ima sljedee kljune karakteristike: za metriku uzima udaljenost izraenu u broju rutera do odredine rute (IP mree): svaki preeni ruter predstavlja jedan skok; najvie skokova do destinacije moe biti 15, iznad ega se dotina mrea smatra nedostinom; RIPv1 informacije o rutama se alju po svim interfejsima (kao broadcast poruke); poruke se alju periodino na svakih 30 sekundi ili pri promeni topologije; kao adrese mrea, koristi klasne IP adrese (u porukama se ne alje maska).
RIPv2 uvodi sljedea poboljanja u odnosu na RIPv1: predstavlja besklasan protokol rutiranja, pored adrese mree navodi i podmrenu masku; poseduje mehanizme autentikacije, uvedene radi sigurnosti; podrava podmrene maske promenljive duine VLSM (engl. Variable Length Subnet Masking); umjesto broadcast adresa koristi multicast adrese; podrava manuelno sumiranje ruta.
RIPng (Routing Information Protocol next generation) definisan je u dokumentu RFC 2080, predstavlja jednostavan protokol rutiranja, kao i njegovi prethodnici. RIPng je interni protokol rutiranja na osnovu vektora udaljenosti i ima sljedee karakteristike: slian je RIPv2, na njemu je baziran; koristi grupu multicast adresa FF02::9 za slanje paketa; koristi IPv6 za transport, sadri pored IPv6 adrese mree i prefiks; za slanje izmjena uzima UDP port 521.
Jednostavnost RIP-a se esto daje kao glavni razlog njegove popularnosti. Ali cijena jednostavnosti je pojavljivanje problema u specijalnim situacijama i ne uobiajenim sluajevima. Tako da RIP veinu vremena radi veoma dobro, ali posjeduje neke znaajne slabosti:
SPORA KONVERGENCIJA - Algoritam vektora udaljenosti koji koristi RIP je dizajniran tako da svi ruteri dijele sve njihove informacije o rutiranju redovito. Tokom vremena, svi ruteri e dobiti identine informacije o lokaciji mrea i koje su najbolje rute za njihovo povezivanje. Na nesreu, osnovni algoritam RIP-a je prilino spor u postizanju konvergencije. Potrebno je mnogo vremena da bi svi ruteri dobili identine informacije, i posebno, potrebno je dosta vremena za propagaciju informacija o promjeni topologije. Ovaj problem je jo vie izraen kod propagacije informacija o prekidima ruta. Prekid u ruti se primjeuje tek nakon isteka timera od 180 sekundi, iz ega slijedi da je potrebno protei 3 minute prije nego to uope pone konvergencija. BROJANJE DO BESKONANOSTI - Poseban sluaj spore konvergencije moe dovesti do petlje u rutiranju, gdje jedan ruter predaje lou informaciju o ruti drugom ruteru, koji onda alje vie loih informacija sljedeem ruteru i tako dalje. Ovo proizvodi situaciju gdje se protokol nekad opisuje kao nestabilan. Kao primjer ove situacije moe se navesti prijenos informacija o rutiranju koja se deava izmeu dva rutera od kojih jedan nakon to je primijetio prekid rute bude prevaren da moe doi do odredita preko drugog rutera na osnovu informacija koje je primio. Proces, tokom kojeg se oba rutera napokon sloe da je ruta u prekidu, se naziva brojanje do beskonanosti. PROBLEMI SA METRIKOM - Broj skokova kao mjera trokova prijenosa podataka je lo izbor. Izbor ove metode unutar RIP-a vjerovatno ima svoj uzrok u pokuaju odravanja to vee jednostavnosti protokola zajedno sa njegovom starosti. U vrijeme kada je protokol dizajniran, veina kanjenja se deavala prilikom obrade datagrama u ruteru, pa je ovakva metrika bila puno blia stvarnim vremenima nego to je sad. U dananjim sistemima broj skokova nema nikakve veze sa stvarnom brzinom prijenosa podataka. Kao nedostatak moe se navesti i nepostojanje podrke za dinamiku metriku (metriku u realnom vremenu). ak kada bi protokol koristio metriku koja bolje odgovara stvarnosti, implementacija protokola zahtjeva da ona bude fiksna za svaku pojedinu rutu. Ne postoji nain na koji bi se mogla izraunati najbolja ruta na osnovu trenutnih informacija o pojedinim vezama.
2.2.2 IGRP
IGRP (Interior Gateway Routing Protocol) je interni ruting protokol, razvijen od strane kompanije Cisco. IGRP je napravljen djelimino da prevazie ogranienja RIP-a kada se koristi u velikim mreama (maksimalni broj skokova samo 15). IGRP podrava vie metrika za svaku rutu, ukljuujui protok, kanjenje, optereenja, MULTICAST MTU i pouzdanost. Maksimalan broj skokova IGRP paketima je 255 , kao i to da se tabele sa rutama emituju svakih 90 sekundi. IGRP se smatra klasnim ruting protokolom, jer protokol nema polje za mrenu masku, ruter pretpostavlja da su sve adrese interfejsa u okviru iste klase A, B ili C. Klasni protokoli su postali manje popularni zbog rasipajna adresnog prostora.
2.2.3 EIGRP
EIGRP (Enhanced Interior Gateway Routing Protocol) je razvijen 1992. godine i predstavlja interni,besklasni protokol rutiranja, koji radi po algoritmu na osnovu vektora udaljenosti. Razvio se kao nadogradnja klasnog IGRP. Za razliku od veine ostalih standardizovanih protokola, ovi protokoli su vlasnitvo Cisco Systems korporacije, podrani samo u njihovim mrenim ureajima (ruterima). Umjesto broj skokova (udaljenost izraena u broju rutera do mree), EIGRP kao metriku uzima broj skokova pri emu svakom, do odredine rute, daje teinu formiranu na osnovu propusnih opsega, kanjenja, pouzdanosti i optereenosti. Mehanizam pomou kojeg razmjenjuje i obrauje informacije o putanjama je DUAL (Diffusing Update Algorithm), umjesto Belman-Fordovog algoritma.
2.2.4. OSPF
OSPF (Open Shortest Path First) predstavlja interni protokol rutiranja stanja linka. OSPF je bezklasni protokol rutiranja, koji je uveo koncept podjele autonomnog sistema na zone radi vee skalabilnosti. Baziran je na Dijkstra algoritmu i koristi besklasno rutiranje. Za metriku koristi cijenu putanje koja se pamti u 16 - bitnom broju, to je cijena manja - to je bolja putanja. Ima bru konvergenciju nego protokoli koji koriste distance vector algoritam. Podrava autentifikaciju korisnika, balansiranje saobraaja i koristi neadresirane interfejse za serijske linkove. Cijena putanje je obrnuto proporcionalna protoku na linku (108/ protok). U sluaju velike mree, proraun tabele rutiranja i SPF algoritma zahtjeva znaajne resurse. U cilju smanjenja potrebnih resursa za rad OSPF protokola, velika mrea se dijeli na oblasti. Unutar oblasti se koristi LSA i SPF algoritam; izmeu oblasti se oglaavaju rute po principu distance vector protokola. Podjelom na oblasti, postie se da se ponovni proraun prilikom promjene topologije obavlja samo unutar jedne oblasti. Izmeu oblasti se koristi i agregacija ruta u cilju smanjenja tabele rutiranja. Jedna oblast se proglaava za backbone oblast i ona ima identifikaciju 0 (nula). Ostale oblasti dobijaju identifikacije od 1 pa nadalje (32-bitna identifikacija). Sve oblasti moraju da imaju direktnu vezu sa backbone oblau. Razmjena informacija o dostupnosti pojedinih mrea se obavlja kroz backbone oblast. Ako sluajno postoji oblast koja nije vezana za backbone oblast, tada se formira virtuelni link (tunel) do backbone oblasti. Kroz ovaj tunel se alju informacije o dijelu mree u oblasti ka backbone-u.
Format OSPF paketa je prikazan na slici:
81632 bita
VerzijaTip paketaDuina paketa
Router ID
Area ID
ChecksumTip Au
Autentifikacija (64 bita)
Slika 2.6 OSPF paketZnaenja polja su: Verzija Verzija OSPF protokola koja se koristi. Tip paketa Tip OSPF paketa. Valjani paketi su: 1. "Hello" paketi 2. Paketi za opis baze (engl. Database Description) 3. Paketi za zahtjev stanja veze (engl. Link State Request) 4. Paketi za osvjeavanje stanja veze (engl. Link State Update) 5. Paketi za potvrdu stanja veze (engl. Link State Acknowledgment) Duina paketa Duina paketa u oktetima. Router ID Identifikator routera koji je izvorite paketa. Area ID Identifikator podruja kojemu paket pripada. Checksum- Kontrolni zbroj zaglavlja, ne ukljuuje 64-bitno autentikacijsko polje. Tip Au Autentikacijska shema koja se koristi. Autentifikacija- 64-bitno autentikacijsko polje.
Nasuprot RIP-u, OSPF moe raditi hijerarhjiski. Najvea jedinica bez hijerarhije je autonomni sisitem (AS). Autnomni sistem je mrea ili skupina mrea pod javnom upravom koje dijele zajedniku usmjeravaku upravu. Iako je OSPF unutarnji usmjerivaki protokol, sposoban je primati smjerove od drugih AS-ova i slati ih njima. Autonomni sistemi mogu biti podjeljeni u vie podruja kao to su skupine graninih mrea i glavnih raunala (host-ovi). Routeri sa vie interfejsa mogu uestvovatii u vie podruja. Ovi routeri koji se zovu routeri za granina podruja (area border routers) vode zasebnu topoloku bazu podataka za svako podruje. Topoloka baza podataka sadri skupinu LSA-ova od svih rutera u istom podruju. S obzirom na to da routeri unutar istog podruja dijele istu informaciju, imaju jednake topoloke baze podataka. Termin domena se ponekad koristi za opisivanje dijela mree u kojem svi routeri imaju identine topoloke baze podataka. Domena se esto vee s AS-om. Topologija podruja je nevidljiva entitetima izvan podruja. Drei topologije podruja razdvojene, OSPF proputa manje prometa nego to bi da AS-ovi nisu razdvojeni. Razdvajanje podruja stvara dva razliita tipa OSPF usmjeravanja, ovisno o tome jesu li izvor i odredite u istom ili razliitim podrujima. Intraprostorno usmjeravanje se javlja kada su izvor i odredite u istom podruju, a meuprostorno usmjeravanje kada su u razliitim podrujima. Osnova OSPF-a je odgovorna za distribuiranje usmjerivakiih informacija meu podrujima. Sastoji se od area border routera, mrea koje u cijelosti ne pripadaju nijednom podruju i njihovih rutera.
Slika 2.7 Princip rutiranja OSPF protokola
Na slici , vanjski routeri 4, 5, 6, 10, 11 i 12 ine glavnu mreu (backbone). Ako glavni host H1 u podruju 3 eli poslati paket host-u H2 u podruju 2, paket se alje routeru 13, koji ga prosljeuje routeru 12, koji alje paket routeru 11. Router 11 tada alje paket area border routeru 10 koji ga opet prosljeuje intraprostornim routerima 9 i 7 preko kojih paket dolazi do H2. Sama okosnica je OSPF podruje tako da svi backbone ruteri koriste iste procedure i algoritme da provedu informaciju. Backbone topoligija je nevidljiva intraprostornim ruterima, kao to su i njihove topologije nevidljive backbone-u.
Nedostaci OSPF protokola: OSPF je sloeni protokol koji zahtjeva strukturiranu mrenu topologiju. Neorganiziranost mree, bez dobre IP adresne eme, agregacije puteva, veliine baze ili performansi routera, rezultirat e haosom u mrei; Potrebno je struno osoblje koje e brinuti o izgradnji i odravanju mree; OSPF odrava bazu koja treba dosta prostora u memoriji routera, a ni procesorski zahtjevi nisu zanemarivi. Smanjivanje OSPF podruja kako bi se ti zahtjevi smanjili nije uvijek jednostavno; Protokol zahtjeva hijerarhijsku organizaciju mree, pa e migracija s nekog drugog usmjerivakog protokola na OSPF traiti vrlo kvalitetno planiranje i reorganizaciju.
2.5.5 IS IS
IS-IS (Intermediate System to Intermediate System) je mreni protokol rutiranja. Osnovna uloga ovog protokola je raunanje najkrae putanje za mreni paket unutar autonomnog sistema, a ne izmeu autonomnih sistema. Zbog ovoga, IS-IS je interni protokol rutiranja. Zasniva se na Dijkstrinom algoritmu. Osmiljen je da se koristi u sloenim mreama koje se mogu dinamiki razvijati. Iz tog razloga, autonomni sistem, tj. IS-IS mreni domen, organizovan je hijerarhijski po zonama. To omoguava bolju kontrolu domena, manju tabelu ruta (mrea) i samim tim bre funkcionisanje rutera. IS-IS zone se mogu smatrati kao mali podskupovi autonomnog sistema. Pritom, zone su mreni domeni u tehnikom, a ne administrativnom smislu, jer nisu rezultat polisa, ve su jednostavno granica jedne grupe rutera.
IS-IS ruter moe funkcionisati unutar jedne zone ili izmeu vie zona. Analogija se moe pronai u odnosu izmeu IGP-EGP protokola rutiranja. Za razliku od OSPF rutera, IS-IS ruter pripada jednoj i samo jednoj zoni.
2.2.6 EGP
EGP (Exterior Gateway Protocol) je prvi inter-AS protokol namjenjen povezivanju AS-ova sa jednim sredinjim AS-om. On pretpostavlja da sredinji AS zna sam kako upuivati podatke drugim AS-ovima. EGP uzima u obzir samo dostupnost, a ne i brzinu i optereenje veze. EGP postoji u svrhu prijenosa mreno dokuivih informacija izmeu susjednih vrata, po mogunosti u razliitim autonomnim sistemima. Protokol je baziran na periodikom prozivanju koristei Hello/I-heard you (I-H-U) razmjene poruka.
2.2.7 BGP
BGP (Border Gateway Protocol) je noviji protokol koji je nadogradnja EGP protokola. Podrava sloenije topologije mree od zvjezdaste kakvu odrava EGP. BGP je interautonomni sistemski routing protokol, standard za razmjenu informacija izmeu pruatelja internetskih usluga (ISP - Internet service provider), te izmeu ISP-ova i veih korisnika. BGP je vrlo kompleksan, koji omoguava mrenom administratoru detaljan utjecaj na tokove informacija. Korisnike mree se prikljuuju na ISP-ove i koriste BGP za razmjenu ruta izmeu korisnika i ISP-a. Kada se BGP protokol koristi izmeu dva ili vie autonomnih sistema onda ga jo nazivamo i EBGP (External BGP), dok su oni unutar jednog AS-a poznati pod nazivom IBGP (Interior BGP). IBGP se koristi samo za koordinaciju i sinhronizaciju BGP informacija kroz autonomni sistem, ali ne kao klasini unutarnji usmjeravaki protokol (jer je spor).
Slika 2.8 Usporedba IBGP i EBGPRouteri koji podravaju BGP obino su najjai i najskuplji ureaji u cijeloj mrei, a mogu sadravati kompletne routing tablice cijelog Interneta (preko 100 000 ruta). BGP je upravo zbog toga spor i trom protokol, kako mreni ureaji ne bi trpili velike kalkulacije ruta zbog kratkotrajnih ispada pojedinih lokalnih mrea.
Jako je puno kriterija koje BGP provjerava da bi odabrao najprihvatljiviju putanju za pakete. BGP koristi ove kriterije da bi odredio destinacijsku stazu:
ako je next hop nedostupan paket se odbacuje; preferira se najvei weight; ako je weight isti gleda se najvei local preference; ako su local preference isti, preferira se put koji ima poetak(origin) na BGP pokretanju na ovom ruteru; ako nikakva ruta nema origin, preferira se ruta koja ima najkrai AS_path; ako sve rute imaju isti AS_path,preferira se ruta koja ima niu origin klasu; ako su origin klase iste, preferira se staza sa manjim MED atributom; ako staze imaju isti MED, preferiraju se vanjske nad unutarnjim; ako su staze i dalje iste,preferira se staza prema najbliem IGP susjedu; preferira se staza sa manjom IP adresom.
Dakle BGP najveu primjenu nalazi van oblasti IGP-ova, npr. unutar neke velike mree koja je unutar sebe podijeljena na vie segmenata, koji pak unutar sebe vrte neki od IGP protokola, te preko BGP-a razmjenjuju routing informacije.
3. NAPADI NA PROTOKOLE MRENOG NIVOAU posljednje vrijeme vidljivo je kako pojam sigurnosne prijetnje predstavlja mnogo vie nego nekad. Napadai mjesecima, pa ak i godinama pripremaju teren skupljajui maksimalno irok spektar informacija o specifinoj meti, testiraju svoj maliciozni softver u simuliranim uvjetima, pokuavaju pridobiti na svoju stranu osoblje blisko meti ili pak treniraju svoje vlastite pijune koji im mogu pomoi u svojem naumu.
Mreni napadi koriste razne sigurnosne propuste u operacijskim sistemima i korisnikim programima. Nakon izvrenog napada preuzimaju potpunu kontrolu nad raunarom. Takvi ukradeni raunari u argonu se nazivaju zombiji. Prosjeni korisnici ne brinu se previe oko napada, jer su pod dojmom da nisu zanimljivi potencijalnim napadaima. Meutim, to je upotpunosti krivo. Napadai obino imaju za cilj iskoristiti ukradeni raunar (zombi) za slanje spama, distribuciju ilegalnog sadraja i slinih ilegalnih radnji. Takoer, za same trokove koji pri tome nastanu odgovara vlasnik raunara. Ti trokovi su obino promet ostvaren Internet vezom, meutim isto tako korisnik se moe nai u neugodnoj pravnoj situaciji ukoliko je njegov zombi raunar iskoriten za napad na primjerice neki javni posluitelj. Zadnjih desetak godina, mogu se vidjeti razliiti primjeri napada koji su nagovijestili pojavu sofisticiranih sigurnosnih prijetnji.
Vrijeme kada se korisnicima Interneta moglo vjerovati je prolo. Naalost, uz tako velik broj korisnika svakodnevno prikljuenih na Internet, meu njima se razotkriva sve vei broj zlonamjerno orijentiranih korisnika. Ti pojedinci kojima je u interesu onemoguavati normalno koritenje raunala i Interneta, ine to razliitim oblicima devijantnog ponaanja.
Na mrenom sloju se javljaju sljedei tipovi napada:
3.1 Denial of Service DOS
Napadi uskraivanja resursa (eng. DoS - Denial of Service) su aktivnosti poduzete od strane zlonamjernih korisnika sa ciljem onemoguavanja ispravnog funkcionisanja razliitih raunarskih i/ili mrenih resursa ime odreene usluge postaju nedostupne. esto koriten izraz je i DoS stanje, a odnosi se na vremenske trenutke nepravilnog rada ili potpune onemoguenosti funkcionisanja aplikacija i raunarskih ili mrenih usluga. Klasini napad temelji se na generisanju velike koliine prometa na segmentu raunarske mree na kojoj se nalazi rtva ili preoptereenjem raunarskih resursa napadnutog raunara.
Osnovne metode ovog napada su: poremeaj ili preoptereenje mrenog ili raunarskog sistema; poremeaj informacija poslanih od strane rutera; poremeaj fizike ili dijela fizike mrene komponente;
Najei oblici DOS napada sastoje se od vie napadaa koji alju ogromne koliine prometa prema odredinom raunaru tj. rtvi. Paketi koje alje napada sadre lane izvorine adrese i konstantno se mijenjaju tako da mu je jako teko ui u trag. Kada govorimo o ovakvom tipu napada onda ga nazivamo ditribuirani DOS napad, jer zapoinje s vie od jednog izvorita. Obino su u pitanju raunari koju su prethodno bili rtva napada na kojem je ostavljen stranji ulaz (eng. backdoor) kao poligon za slijedei napad.
Jedan od razloga za provoenje DoS napada je i prikrivanje nekih drugih zlonamjernih aktivnosti koje izvoai DoS napada paralelno izvode. Tako na primjer napadai mogu izvriti DoS napad na raunare koji prikupljaju log zapise ili detektuju neovlatene aktivnosti. Da bi uzrokovali uvjete nedostupnih resursa, napadai mogu izvriti razliite oblike destruktivnih aktivnosti:
ruenjem pojedinih aplikacijskih servisa (HTTP, elektrina pota, itd.), napadai onemoguavaju legitimne korisnike u pristupanju istima, onemoguavanje pristupa pojedinim aplikacijskim servisima napadai mogu obaviti i postavljanjem izrazito velikog broja zahtjeva na ciljane servise ime posluitelj nije u mogunosti odgovoriti na sve upite ili su odgovori toliko spori pa se servis moe proglasiti nefunkcionalnim, napadima na komunikacijske ureaje napadai mogu ili onemoguiti komunikacijski link ili ga usporiti na granicu neupotrebljivosti, neovlatenom izmjenom konfiguracijskih podataka napadai uzrokuju neispravno ponaanje servisa ili raunara (npr. neovlatenom promjenom tabela usmjeravanja na usmjerivaima, napadai uzrokuju nepravilno usmjeravanje mrenih paketa), itd
Od iznimne vanosti je napomenuti da se DoS napadi mogu dogoditi i spontano (nenamjerno), iako su rijetki. Konkretno, specifikacija nekog protokola moe biti korektno izvedena, ali se tek dugotrajnim funkcionisanjem istog primijeti da kod npr. poveanog broja zahtjeva za nekim resursom, sistem bez razloga biva optereen due nego je to potrebno. Rezultat je stanje onemoguenog koritenja resursa, ali nije uzrokovano osmiljenim napadom.Napadi uskraivanjem usluga najee se obavljaju od strane udaljenih napadaa pa se globalno dijele na dvije skupine prema sloju OSI modela na kojeg su usmjereni. Na taj nain mogue ih je podijeliti u dvije skupine:
napadi usmjereni na aplikacijski sloj i napadi usmjereni na mrene resurse, odnosno mreni sloj.
Cilj DoS napada na mrenom sloju je onemoguavanje ispravnog funkcionisanja mrenih usluga i komunikacijskih kanala. Navedeno je mogue postii na dva naina:
pretrpavajui komunikacijske kanale (eng. Flooding attacks ) i iskoritavanjem ranjivosti mrenih usluga i protokola (eng. Vulnerability attacks ).
Napadi su uglavnom usmjereni na zauzee komunikacijskog kanala i onemoguavanja uspostave veze pa su to napadi koji za cilj imaju pretrpavanje raunarslih i mrenih resursa. Drugi najei tip su napadi koji iskoritavaju ranjivosti u mrenim uslugama.
Napadi pretrpavanjem komunikacijskog kanala izvode se slanjem velike koliine podataka na mreu to uzrokuje nemogunost normalnog prenoenja legitimnih podataka. Slanje velike koliine zahtjeva za uspostavom veze onemoguit e rad raunarskim resursima i raunar vie nee biti u mogunosti obraivati legitimne zahtjeve niti uspostaviti vezu s legitimnim korisnikom. Pri tome napadai uobiajeno lairaju izvorne IP adrese ili ignoriraju odgovore.Najjednostavniji oblik napada, s obzirom na broj raunara ukljuenih u napad, jest situacija u kojoj se napad izvodi s jednog raunara, a odredite je takoer jedan raunar. Efektivnije mogunosti zasnovane su na koritenju vie raunara kao izvora napada, pri emu jedan raunar predstavlja rtvu. Meutim, napadi iz vie izvora na vie ciljeva, kao ni napadi na vie ciljeva iz jednog izvora, nisu rijetkost.
3.1.1 Napadi koritenjem posebno oblikovanih mrenih paketa
Opis napada zasnovanih na posebnom oblikovanju mrenih paketa pretpostavlja poznavanje vanijih mrenih protokola i pojmova vezanih uz njih. Ovdje su pojanjeni samo najznaajniji pojmovi.
TCP (eng. Transmission Control Protocol) oznaava protokol koji odreuje nain komuniciranja izmeu raunara. Protokol je zaduen za uspostavu, odravanje i prekid veze. Uspostavljanje veze koritenjem TCP protokola naziva se Three-Way Handshake, a odvija se postavljanjem odgovarajuih zastavica (eng. flag ) u mrenim paketima. Uloga zastavica upravo je odreivanje sadraja i tipa paketa. Primjerice, zastavica SYN (eng. synchronize) koristi se kod uspostave veze, ACK (eng. acknowledge) se koristi kao potvrda za primljeni paket, a zastavica FIN (eng. finish ) se koristi za prekid uspostavljene veze.
Uspostava veze odvija se na nain da klijent poalje posluitelju paket s postavljenom zastavicom SYN. Ukoliko posluitelj moe uspostaviti vezu s klijentom, posluitelj mu vraa paket s postavljenim SYN i ACK zastavicama kao potvrdu o otvaranju veze s njegove strane. Ako pak nije u mogunosti uspostaviti vezu, vraa ICMP paket ili paket s postavljenim RST (eng. reset) i ACK zastavicama. Konano, kada klijent primi paket sa SYN/ACK zastavicama, odgovara paketom s postavljenom ACK zastavicom i razmjena podataka moe poeti. Uspostavljanje veze izmeu klijenta i posluitelja prikazano je na slici 3.1, a prikaz mrenog prometa dat je na slici Slika 3.2.
Slika 3.1 Three-Way Handshake
Slika 3.2 Uspotava TCP konekcije sa www.etf.unsa.ba (linije 7,8 i 9)
3.1.1.1 Napadi pretrpavanja paketima s postavljenom SYN zastavicom
Primanjem paketa s postavljenom SYN zastavicom, posluitelj je upozoren na stvaranje nove veze prema njemu. Pripremanje za prihvat nove veze obuhvata alokaciju memorijskog prostora za primanje i slanje podataka te za podatke vezane uz opis veze. Posluitelj potom ale klijentu SYN/ACK paket i eka na odgovor. Na taj nain je posluitelj spreman za primanje klijentskog ACK paketa i za razmjenu podataka. Ukoliko ne primi odgovor u nekom roku, posluitelj ponovo alje SYN/ACK paket smatrajui kako se prethodni izgubio na putu do odredita. Upravo je ova injenica omoguila napade pretrpavanja posluitelja paketima s postavljenom SYN zastavicom i lanom izvornom IP adresom. Ukoliko lana adresa nije dodijeljena niti jednom raunaru na Internetu, posluitelj alje SYN/ACK paket na nepostojeu adresu ekajui odgovor koji nikad nee dobit. Resursi napadnutog raunara nisu beskonani i nakon dovoljne koliine takvih zahtjeva, posluitelju je onemogueno normalno funkcioniranje i odgovaranje na legitimne zahtjeve. Ukoliko je pak lana izvorna adresa sluajno odabrana i to tako da postoji raunar na Internetu kojem je dodijeljena, tada e taj raunar poslati napadnutom posluitelju paket s postavljenom RST zastavicom i na taj nain dati mu do znanja da ono nije zatrailo uspostavu veze.
Ne postoji jednostavan nain za pronalaenje izvora ovih napada jer im je izvorna adresa lana. Odbrana se moe temeljiti na detektovanju poveanog broja primljenih SYN paketa. U tom sluaju se stvaraju privremene datoteke na raunaru unutar kojih se biljee podaci o moguim uspostavama veza, a datoteke se nazivaju SYN-kolaiima (eng. SYN-cookie). Ukoliko se primi odgovarajui ACK paket, alociraju se potrebni resursi za omoguavanje nove veze. Drugo rjeenje je konfigurisanje vatrozida kao tzv. SYN-proxy posluitelja. Tada vatrozid umjesto posluitelja prima veze i tek kada je veza uspjeno uspostavljena, vatrozid prosljeuje zahtjeve posluitelju simulirajui proces uspostave veze u tri koraka.
3.1.1.2 Napadi pretrpavanja otvorenim vezama
Ovaj napad je proirenje napada pretrpavanjem SYN paketima. Izvorna zamisao je ostvariti to vei broj uspostavljenih veza prema napadnutom sistemu, najee je rije o web posluiteljima, kako bi ih onemoguili u ispravnom funkcionisanju. Cilj ostvarivanja velikog broja uspjeno otvorenih veza je iscrpljivanje ogranienog broja mrenih prikljuaka (eng. socket) na napadnutom raunaru. Odbrana se temelji na brojanju otvorenih veza i ograniavanju koliine uspjeno ostvarenih veza u sekundi. Drugi nain za odbranu ne postoji, jer je koliina mrenog prometa generisana ovim napadima vrlo mala i veza se uspostavlja na potpuno ispravan nain.
3.1.1.3 Napadi pretrpavanja paketima s postavljenom ACK zastavicom
Iz navedene procedure uspostavljanja veze u tri koraka mogue je iskoristiti jo jedan nain napada, a to je generisanjem paketa s postavljenom ACK zastavicom. Napadnuti raunar dodijelit e odreeno procesorsko vrijeme obradi pristiglog paketa, kako bi na kraju ustanovio da se radi o paketu koji mu nije namijenjen, odnosno kojem nije prethodio SYN paket. Velika koliina primljenih paketa onemoguava ispravno funkcionisanje raunara.
3.1.1.4 Napadi pretrpavanja ICMP paketima (Ping poplava)
U sluaju kada velika koliina ICMP paketa, tipa ECHO REQUEST, optereti posluitelj zahtijevajui povratne odgovore, resursi napadnutog sistema se u odreenom trenutku opterete u tolikoj mjeri da nisu u mogunosti zadovoljiti pristigle legitimne mrene pakete. Ukoliko se napadaev raunar nalazi na sporijoj vezi nego je napadnuti raunar, te ukoliko se napad izvede na pogrean nain, mogui ishod napada moe biti pretrpavanje raunara zlonamjernog korisnika velikim koliinama ICMP odgovora. Jedno od moguih rjeenja nalazi se u ograniavanju broja ICMP paketa u jedinici vremena pri emu se svi ostali odbacuju kada je prag preen. Takoer, mogue je i u potpunosti zabraniti ICMP pakete na ulazu u mreni segment. Ovakvi napadi esto se izvravaju na DNS posluitelje kako bi onemoguili legitimne korisnike u pristupu eljenim odreditima preko naziva tih odredita (web, ftp, ). Ovo je jednostavan napad, jer mnogi ping programi podravaju ovu operaciju, a haker ne treba puno znanja.
3.1.1.5 Napadi pretrpavanja UDP paketima
UDP (eng. User Datagram Protocol) je izvorno zamiljen i implementiran kao protokol koji ne zahtijeva prethodnu uspostavu veze izmeu dviju take Interneta kako bi mogao prenositi podatke. Stoga ovakvim napadima nije mogue jednostavno izvoditi pretrpavanje paketima koje bi onemoguilo stabilan rad sistema. Meutim, usmjeravanje paketa na nepostojeu (sluajno generiranu) pristupnu taku (port), uzrokuje od strane odredinog sistema provjeru postoji li neka usluga koja je otvorila taj port. Ukoliko ne postoji, napadnuti sistem odgovara ICMP Destination Unreachable paketom kako ne moe dosegnuti traeni port. Paket odgovora usmjeren je na adresu proitanu iz zahtjeva. Ukoliko je ona lana, paket e nakon nekog vremena biti odbaen. Dovoljno velika koliina ovakvih paketa ne samo da moe onemoguiti napadnuti raunar u izvravanju uobiajenih funkcija, nego je mogua i situacija u kojoj e se i koliina prometa mreom drastino poveati te e se oteati legitimno prometovanje mreom.
Slika 3.3 Napad pretrpavanja UDP paketima
3.1.1.6 Smurf napadi
Smurf napad je jedan od DoS napada koji je svoje ime dobio po aplikaciji koja izvrava ovaj tip napada. Rije je o stvaranju ICMP ECHO REQUEST paketa s lanom izvornom adresom (koja je zapravo adresa rtve ), koji se alju na sve raunare unutar mrenog segmenta, koristei tzv. broadcast adresu, da bi generisali ogroman broj ICMP ECHO REPLAY paketa . Razlog koritenja navedene adrese kao ciljne jest to takav paket biva isporuen svim raunarima u mrei, a to pridonosi pojaanju intenziteta napada, odnosno koliine paketa koji kolaju mreom pa se ti napadi esto nazivaju napadima pojaavanja (eng. amplification attacks). Ishod je velika koliina ICMP ECHO REPLAY paketa usmjerenih na raunar rtve i velika koliina prometa na mrenom segmentu. Tada je rtva, tj. ureaj kojeg napada napada, podvrgnuta zaguenju koje moe uiniti mreu potpuno neupotrebljivom.
Odbrana od Smurf napada se sastoji od pravilnog konfigurisanja usmjerivaa na mrei: onemoguavanjem broadcast usmjeravanja ili podeavanjem vatrozida da ne proputa ECHO REQUEST pakete. Izbjegavanje primanja velike koliine paket odgovora lako se moe izvesti neproputanjem ECHO REPLY paketa ili ograniavanjem njihovog broja u odnosu na ukupan broj paketa koji prometuju mreom po jedinici vremena. Odabrani raunar koji je dio mree i koji je naveden kao izvor ICMP zahtjeva ne moe utjecati ni na koji nain u sprjeavanju ovih napada. Na stranicama http://www.powertech.no/smurf/ mogue je izvriti provjeru ranjivosti na ovaj tip napada.
Napadai su razvili automatizirane alate koji mogu initi ovakve vrste napada na vie mrea istovremeno i tako natjerati sve ureaje iz svih napadnutih mrea da alju svoje odgovore samo jednom ureaju kojeg e oni hakovati, tj. rtvi.
Slika 3.4 Smurf napad
3.1.1.7 Fraggle napadi
Ideja Fraggle napada preuzeta je od Smurf napada, ali za razliku od Smurf napada koji koriste ICMP pakete, Fraggle koristi UDP pakete. UDP paketi se pri tome alju na broadcast adresu mree. Uklanjanje ovog napada je oteano jer koritenje UDP protokola esto nije mogue zabraniti kao to je sluaj s ICMP protokolom. UDP se esto koristi kod razliitih aplikacija koje ne trae potvrdu o prjenosu ve prvenstveno trae brz prijenos. Stoga nije mogue efikasno koristiti niti metode obrane zasnovane na ograniavanju brzine proputanja UDP mrenih paketa.
3.1.1.8 Targa3 napadi
Targa3 napadi se zasnivaju na oblikovanju neispravnih paketa bilo kojeg protokola. Izvorno su zamiljeni za izvoenje napada na raunare s Windows operativnim sistemima, ali su se kasnije poeli primjenjivati i za ostale operativne sisteme. Ukoliko posebno oblikovani paket stigne na odredite, operativni sistem alocira potrebnu koliinu memorije i ostalih resursa za njegovu obradu, a u konanici je posao uzaludan jer paket nikad i nije bio ispravan. Danas vrlo malo ovakvih paketa uope dosegne odredite jer bivaju odbaeni ve pri odlasku od ISP-a (eng. Internet Service Provider).
3.1.1.9 Napadi fragmentacijom paketa
Svaka poruka koju je potrebno prenijeti komunikacijskim kanalima Interneta, ukoliko prelazi podrazumijevanu maksimalnu veliinu (MTU), dijeli se u manje pakete. Ti manji paketi ne moraju doi na odredite pravilnim redoslijedom, jer je to dozvoljeno od strane definicije protokola. Napadi zasnovani na fragmentaciji paketa koriste upravo tu osobinu razdjeljivanja poruke u vie paketa pri emu paketi ne moraju doi pravilnim redoslijedom. Da di se sakupljanje fragmenata na odreditu lake odvijalo, nekoliko informacija mora biti prisutno u header-u fragmeta. Te informacije su: fragment ID, fragment offset, duina payload i pokazatelj da li je dati fragment zadnji fragment u lancu. Treba ukazati na injenicu da samo prvi fragment fragmentiranog paketa ima protokol header.Izmeu ostalih, jedan od poznatijih napada zasnovan na fragmentaciji napada naziva se Rose napadom. Ovim napadom se stvaraju samo prvi i zadnji paket. Ranjivi sistem oekuje i ostale pakete pa rezervie resurse za obradu i postavlja se u stanje ekanja. Ukoliko su svi resursi u tom stanju, niti jedan legitiman zahtjev nee biti obraen. Ciljni port pri tome uope nije vaan jer se prikupljanje paketa radi na nioj razini od one na kojoj se radi interpretacija njegovog sadraja. Slino vrijedi za izvornu IP adresu ijim se lairanjem moe samo dodatno oteati detektovanje izvora napada.
New Dawn napad se zasniva na prethodno opisanom Rose napadu, ali radi se o neto sloenijoj izvedbi. Fragmenti se generiu poevi od prvog do zadnjeg, ali uz manji broj proputenih dijelova poruke. Raunar koji prima takav nepotpuni niz paketa alocira dovoljno mjesta za itavu poruku, ali je nikada ne primi u potpunosti. Ishod napada je poveano koritenje resursa sistema na tetu legitimnih zadataka koje sistem obavlja.
Starije verzije operativnih sistema imale su prilino loe implementacije sklapanja primljenih paketa u izvornu poruku pa se esto ovim napadima moglo uzrokovati prestanak rada sistema ili ponovno pokretanje istog (Teardrop napad). Kod ovog napada, napada koristi program Teardrop da alje IP fragmente, koji se ne mogu adekvatno reasemblirati, manipuliranjem offset vrijednosti paketa to moe izazvati ponovno pokretanje ili obustavu sistema rtve. Vrijednosti fragment offseta se postavljaju na toliko malu vrijednost tako da umjesto da se fragment zakai na prethodni, IP prepisuje podatke i moda dio headera paketa u prethodni fragment. Koristei ovu tehniku napada moe prenositi pogrene pakete koji mogu biti detektovani pri dolasku gdje nisu podijeljeni u fragmente. Ova tehnika je pokazana ispod:
hacker.net 22 > target.org 33: UDP (frag 123:64@0++)hacker.net > target.org(frag 123:20@24)
Hakerov ureaj alje dva UDP paketa nekom ureaju. Fragment ID je 123 u oba sluaja. Prvi paket kae: Ovaj paket sadri 64 bita, poevi sa offsetom 0..Drugi paket kae: Ovaj paket sadri 24 bita, poevi sa offsetom 24..
Kako se ponovno sakupljanje fragmenata odvija po redu , drugi UDP paket prepisuje bite 21-45 u originalni paket. Ova tehnika se koristi za kamufliranje potpisa u paketima koji bi inae bili oznaeni statinim vatrozidima i starijim sistemima za detekciju upada koji zapravo nadgledaju pakete pojedinano, ali ne itav fragmentirani lanac. Ovim napadom ugroeni su Windows 3.1.x, Windows 95 i Windows NT operativni sistemi, kao i verzije Linux operativnog sistema s jezgrom (eng. kernel) starijom od 2.0.32 i 2.1.63.
Mogue rjeenje za suzbijanje napada zasnovanih na fragmentaciji paketa, nalazi se u ograniavanju vremena tokom kojeg se eka dok nepotpuni niz paketa bude odbaen te u ograniavanju broja ponovljenih zahtjeva za slanjem neprimljenih paketa. Novije implementacije sastavljanja poruke iz paketa ne rezerviraju unaprijed memoriju nego pridole pakete spremaju u vezanu listu sve dok ne pristignu svi koji ine poruku.
Ostale varijante ovih napada su SYNdrop, Boink, Nestea Boink , TearDrop2 i New Tear.
3.1.1.10 Ping of Death napad (Ping smrti)
Jedan od poznatijih DoS napada je Ping of Death. Ovaj napad se temeljinanemogunosti obrade ping paketa veliine vee od najvee doputene veliine paketa unutar IPv4 definicije. Napada alje ICMP ECHO REQUEST paket, koji je mnogo vei od maximalne veliine IP paketa (MTU), prema rtvi. Pretpostavljena veliina ICMP paketa je 56 okteta. Starije verzije operativnih sistema, poput Mac OS i Windows 95 nisu bile u stanju obraditi ICMP ECHO pakete vee od 1024 okteta. Prijem ovakvih paketa je kod Windows 95 operativnih sistema uzrokovao pojavu tzv. Blue Screen of Death (BSoD), plavog ekrana s prijavom nemogunosti nastavka rada.
Jedan od naina obrane od ovih napada je zasnovan na nedozvoljavanju prolaska ICMP ECHO (tip 8) paketa na vatrozidu. Meutim, kada je to postao uestao nain obrade, napadai su se dosjetili slanju ECHO REPLAY paketa te su na taj nain zaobilazili odbranu i uspjeno pretrpavali raunare nepotrebnim i beskorisnim podacima. Ovaj napad je uticao na veinu sistema ukljuujui Linux, Unix, Mac, Windows, printere i routere. Danas je jedino od historijske vanosti, jer je greka u implementaciji davno sanirana.
3.1.1.11 Land napadi
Ukoliko napada poalje paket s istom odredinom i izvornom IP adresom radi se o Land napadu. Operativni sistemi koji bi primili ovakav paket, najee su prestajali s radom i automatski bi se resetovali. Takoer, mogue je i uzrokovanje kontinuirane meusobne razmjene paketa izmeu dva odredita. Odbrana od ovih napada nije jednostavna kao to bi se u prvi mah zakljuilo. Obrana se sastoji od pravilne konfiguracije vatrozida koja spreava dolazak ovakvog paketa do sistema kojem je namijenjen.
3.1.2 Raspodijeljeni napadi
Raspodijeljeni napadi su oni napadi koji su zasnovani na koritenju vie raunara kao izvora napada, pri emu jedan raunar predstavlja rtvu. Napada pri tome moe na odreeni nain preuzeti kontrolu nad posrednim raunarima, ali to nije nuno. Detaljni opis raspoloiv je u nastavku ovog poglavlja.
3.1.2.1 DDoS napadi
DDoS (eng. Distributed DoS) su napadi izvreni od strane raspodijeljenih napadaa, odnosnoveeg broja napadaa. Najee su to raunari zvani zombijima (eng. zombie) iji vlasnici nisu upoznati s injenicom da njihov raunar generie DoS napade na neki raunar ili raunare na Internetu. Na ovaj nain je mogue stvarati velike koliine prometa na napadnutim mrenim segmentima iji dio jest i napadnuti raunar ili mreni ureaj. Cijela ideja je prikazana na sljedeoj slici.
Slika 3.5 Zombi raunari kontrolisani od strane napadaaRaspodijeljeni napadi nisu namijenjeni aplikacijskom sloju iz jednostavnog razloga to je za napade na aplikacije dovoljno iskoristiti ranjivosti istih, a za to nije potrebna vea koliina mrenog prometa. Ideja ostvarena ovim napadima je ispunjavanje komunikacijskih kanala beskorisnim prometom koji onemoguava prometovanje legitimnih mrenih paketa, te iskoritavanje velikih koliina resursa posluitelja, raunara korisnika i dugih mrenih ureaja. Navedeno se realizira sticanjem kontrole nad raunarima korisnika Interneta kako bi ih se iskoristilo u svrhu stvaranja mrenog prometa.
Neki od poznatih alata koriteni za izvravanje DDoS napada su MyDoom, Sub7Server, Trin00, Stacheldraht i TFN (Tribe flood network). Na narednoj slici prikazan je naelan rad napada uz koritenje Sub7Server alata na zombi raunarima pri koritenju IRC posluitelja kao veza izmeu napadaa i zlonamjernog alata.
Slika 3.6 Koritenje IRC posluitelja kao veze izmeu napadaa i izvoaa napada (zombi raunara)
Slika 3.7 prikazuje odnose koliina prometa generisanih DDoS napadima te primjenu na napadnuti raunar, odnosno usmjeriva kojim je napadnuti raunar povezan na Internet. Na slici je debljina strelica izmeu pojedinih raunara i usmjerivaa proporcionalna koliini mrenog prometa izmeu njih.
Slika 3.7 Koliine mrenog prometa na pojedinim segmentima
Iz prethodne slike je oito kako velike koliine prometa s Interneta dolaze do usmjerivaa mree kojoj pripada rtva. Svi oni paketi koji ne budu bili proslijeeni u bilo kojem smjeru, biti e odbaeni. U navedeno su ukljueni i legitimni paketi to dovodi napadnutu mreu u stanje neispravnog funkcionisanja.SYN, ACK i Fragment napadi, opisani u prethodnim poglavljima, izvode se koritenjem raspodijeljenih izvora te na taj nain stvaraju mnogo vee koliine prometa nego bi to mogao samo jedan napada ak i uz veliku brzinu veze prema Internetu.
Napadi mogu ukljuivati i slanje poruka elektronike pote na jednu ili vie adresa (navedeno kod napada na aplikacijskom sloju), a tada im najee nije potrebna kontrola napadaa. Primjer su brojni crvi (eng. worm) koji se ire razliitim nainima i alju poruke elektronike pote nekom specifinom korisniku ili ee svim korisnicima naenim pretraivanjem primljenih poruka i adresara. Na ovaj nain ne samo da je generisan neeljen skup elektronikih poruka nego je i povean promet Internetom zbog potrebe za isporukom istih.
Problemu raspodijeljenih napada mogli bi ISP ureaji stati na kraj ukoliko bi vodili rauna o prometu koga stvaraju njihovi korisnici. Naalost, najee oni to ne ine. Ovisno o vrsti napada mogu se stvoriti filteri na usmjerivaima koji povezuju napadnuti mreni segment i Internet. Zadatak tih filtera bio bi odbacivanje neeljenog prometa koji mu pristie s Interneta i namijenjen je nekom raunaru na njegovoj mrei. Pravilna konfiguracija vatrozida, koritenje antivirusnih aplikacija na korisnikim raunarima (potencijalnim zombijima) i izbjegavanje javnog objavljivanja adrese elektronike pote, koraci su koji mogu sprijeiti ili barem umanjiti ishode napada.
Na napad se moe poeti sumnjati ve pri prvim pojavama usporenja mrenog prometa, nedostupnosti neke web stranice, nemogunosti pristupa bilo kojoj web stranici i slino.
3.1.2.1 DRDoS napadi
DRDoS (eng. Distributed Reflection DoS) napadi su vrlo slini DDoS napadima prema djelovanju na kranju rtvu i koliinu generisanog prometa. Razlika ipak postoji i vrlo je vana. Na slici 3.8 je grafiki prikazana ema ovih napada u sluaju jednog napadaa.
Slika 3.8 Shema izvravanja DRDoS napada
DRDoS napadi se zasnivaju na uspostavi veze u tri koraka. Napada (ili skupina napadaa) stvara TCP paket s postavljenom SYN zastavicom kako bi inicirao vezu prema nekom postojeem raunaru na Internetu. Meutim, paket je tako oblikovan da je na mjesto izvorne adrese postavljena IP adresa rtve. SYN paket dospijeva na odredite, a ono odgovara na adresu iz izvorinog polja. Ukoliko posluitelj moe uspostaviti vezu, paket s postavljenim SYN i ACK zastavicama biva poslan prema rtvi. Jednako tako mogue je za slanje ICMP paketa koristiti potpuno istu logiku. Tada e ECHO REPLAY paketi zatrpavati rtvu. Razlog uspjeha ovih napada se nalazi u tome to se ne generie vea koliina podataka na pojedinim posrednim raunarima od kojih se odbijaju paketi pa nema nikakve sumnje u odvijanje napada. Privremeno rjeenje u sluaju napada bila bi izmjena IP adrese rtve ukoliko se radi o posluitelju i promjeni odgovarajuih zapisa u DNS posluiteljima. Mogue je i postaviti filtriranje na odgovarajuim usmjerivaima ukoliko dolazni paketi imaju neko zajedniko svojstvo. Ukoliko je napad privremeni i jednokratni, isplati se i poveati resurse i odolijevati napadu dok ne prestane iako to nije optimalno rjeenje. Najbolja opcija je pripremiti se za napade unaprijed ukoliko se radi o vanoj usluzi koja mora biti neprekidno dostupna, rezervirati rang IP adresa kako bi se relativno brzo nakon detektovanja napada moglo prei na koritenje novih adresa i sl.
3.2 Usmjerivaki (RIP) napadi
RIP prokol nema izgraenu autentikaciju i informacije koje se nalaze u RIP paketu se esto koriste bez vrerifikacije istih. Napada moe krivotvoriti RIP paket, tvrdei da njegov host X ima najbri put iz mree. Svi paketi koji se alju van te mree, e biti preusmjereni kroz X, gdje se mogu modificirati ili ispitivati. Napada takoer moe iskoristiti RIP efikasnim utjelovljenjem hostova, uzrokujuu da e sav saobraaj koji se poalje na te hostove, ustvari biti poslan na napadaev ureaj, umjesto na odredini ureaj.
3.3 IP Spoofing ( IP podvala )
Pojam spoofinga oznaava bilo kakvu pojavu u kojoj se pokuava prevara korisnika. IP spoofing je pokuaj neautoriziranog entiteta da dobije autoriziran pristup sistemu pretvarajui se da je autoriziran korisnik. IP Spoofing se ubraja u jedan od najrairenijih oblika online kamuflae. Termin se odnosi i na krivotvorenje zaglavlja, ubacivanje lanog sadraja u e-mail ili netnews zaglavlja. U akademskim krugovima ideja IP spoofinga razmatrana je jo u 80-im godinama prolog stoljea, a irenjem interneta i njegove primjene, IP spoofing je poprimio znaajne razmjere.
Napada koji je lociran na Internetu ili privatnoj mrei, predstavlja se kao povjerljivi, legitimni korisnik neke druge mree. Ovo je mogue ukoliko napada stvara IP pakete sa lanom izvorinom IP adresom, te alje te pakete prema ciljanoj mrei. Naime, u zaglavlju svakog paketa se nalazi njegova izvorina adresa i obino je rije o adresi sa koje je IP paket i poslan, dok je odredina adresa, adresa rtve. Napada moe krivotovoriti zagavlje, tako to za izvorinu adresu stavi adresu nekog drugog raunara koji je lan ste mree kao i rtva i time stvoriti dojam da je paket poslan sa drugog raunara (Slika 3.9).
Slika 3.9 IP spoofingVano je primijetiti da je za lanu adresu raunara izvan sistema postavljena izvorina adresa 200.1.1.2, a koja je ispravna adresa od povjerljivog, legitimnog raunara sistema. Kada paketi stignu do usmjerivaa (eng. router), usmjeriva e proslijediti pakete na odredite mislei da paketi stiu od povjerljivog raunara. Naravno, sve ovo podrazumijeva da na usmerivau nije postavljeno filtriranje prometa prema izvorinim adresama.
Postoji nekoliko tipova napada koji uspjeno koriste IP spoofing. Iako su neki ve zastarjeli, drugi jo uvijek predstavljaju prijetnju za sadanje sigurnosne postupke.
3.3.1 Spoofing na vieno (non-blind)
Ovaj napad se odvija kad je napada na istoj strani podmree (subnet) kao i rtva. Seq (Sequence Number slijedni broj) i Ack (Acknowldgement Number potvrdni broj) brojevi mogu se njukati, pri tome eleminirajui potencijalne potekoe koje se javljaju za njihovo tano izraunavanje. Otimanje sesije (period razmjene podataka) je najvea prijetnja ovog tipa spoofing-a. Radi se na taj nain da se pokvari prenos podataka ve uspostavljene veze te ponovo uspostavi veza bazirana na tanim Seq i Ack brojevima sa stranom koja napada. Pomou ove tehnike, napada je u stanju zaobii bilo koju mjeru utvrivanja vjerodostojnosti koje se koriste pri uspostavi veze.
3.3.2 Spoofing na nevieno (blind)
Ovo je sofisticiraniji napad jer su nedostupni Seq i Ack brojevi. Kako bi se to izbjeglo, poalje se nekoliko paketa s namjerom prikupljanja Seq brojeva. Prije su se koristile osnovne tehnike za generisanje Seq brojeva. Bilo je jednostavno otkriti formulu za generisanje ako su se samo posmatrali paketi i TCP veze. Danas veina operativnih sistema ima implementirano nasumino generisanje Seq brojeva pa ih je teko predvidjeti. Prije nekoliko godina mnogo je ureaja koristilo tzv. Rlogin - autorizaciju na sredinjem raunaru (host-based authentication service). Napadom su se dodavali potrebni podaci u sistem (npr. novi korisniki raun) naslijepo, omogucavajui potpuni pristup napadau koji se pretvarao da je autorizirani korisnik.
3.3.3 ovjek u sredini (Man In The Middle attack, MITM)
U ovim napadima, zlonamjerna strana presree zakonitu komunikaciju izmedu dvije prijateljske strane. Upada tada kontolira protok podataka i ima mogunost odstraniti ili izmijeniti informacije koje alju originalni uesnici, a bez ikakvog znanja poiljaoca ili primaoca kojima je informacija namjenjena. U tom sluaju, napada moe lahko prevariti rtvu da mu otkrije povjerljive informacije.
3.3.4 Smurf IP DoS
Najpoznatijiraunarski napad ove tehnike napada jest tzv. Smurf IP DoS. Napad se sastoji od dvije osnovne komponente, krivotvorenje paketa ICMP ECHO REQUEST i usmjeravanje paketa na IP broadcastadresu. ICMP najee je koriten za utvrivanje dostupnosti raunara na mrei, na nain da se poalje ICMP ECHO REQUEST te raunar, nakon to primi zahtjev, uzvraa ICMP ECHO REPLY poruku. Najea implementacija ovog procesa jest PING komanda koja jesadrana u veini operativnih sistema i mrenih programskih paketa. Kod raunarskih mrea zasnovanih na IP protokolu, paketi mogu biti usmjereni na pojedinanu IP adresu ili na IP broadcastadresu, tj. na sva dostupna raunalaunutar mree. Sljedeom slikom prikazan je tok napada, tesu opisani pojedini koraci napada.
Slika 3.10 Smurf IP DoS
1. Napada upuuje broadcast PING na privatnu mreu koristei lairanu IP adresu ciljanog raunara. 2. Broadcast PING na sve raunare privatne mree.3. Svaki pojedini raunar salje ICMP ECHO REPLAY na ciljani raunar.4. Ciljani raunar zasut je PING odgovrima.
Zatita raunarskog sistema od ove vrste napada je jednostavna, a sastoji se od konfiguracije usmjerivaa (eng. router) na nain da usmjereni IP broadcastbude onemoguen.
IP spoofing-om se estalo koriste napadai koji ele stei neovlateni pristup nad mrenom infrastrukturom pokuavajui zavarati sisteme za autentikaciju koji se temelje na IP adresama. Ovaj nain napada je prilino sloen i obino ga je nemogue izvesti sa raunara na kojime se nalazi instaliran operativni sistem Microsoft Windows.
3.4 Packet Sniffing ( Njukanje paketa )
Iz razloga to veina mrea rasporeuju pakete u vidu istog teksta, njukalo paketa moe omoguiti svom korisniku znaajne i obino osjetljive informacije, kao to su korisnikov username ili password. Njukalo paketa moe napadau obezbijediti traene informacije iz baze podataka, kao i informacije o kosnikom accountu i passwordu, koje su potrebne za pristup bazi podataka. Ovo uzrokuje velike probleme vezane za sigurnost i privatnost informacija, a predstavlja i jedan od alata za ozbiljne kriminalne aktivnosti.
ZAKLJUAK (Za napade)
Kao za veinu sigurnosnih problema u mreama, nema jednostavnog rjeenja za ove probleme, ali ipak postoje tehnologije i rjeenja koja umanjuju gore navedene sigurnosne probleme i koje omoguavaju praenje mree u cilju smanjivanja oteenja mree ako se napad desi.
Problemi kao to su Ping Flood (Ping poplava) mogu biti efikasno reducirani razvijanjem firewall-a u kritinim lokacijama u mrei, da bi se filtrirao neeljeni saobraaj sa sumnjivih destinacija. Koritenjem IPsec VPN u mrenom sloju i kortenjem sesija, kao i autentifikacije korisnika ili hosta i enkripcije podataka na podatkovnom sloju, rizik za IP Spoofing i Packet Sniffing je znaajno smanjen.IPv6 u kombinaciji sa IPsec omoguava bolje sigurnosne mehanizme za komunikaciju na mrenom sloju i viim slojevima.
LITERATURA
[1]
[2]
[3]
[4]
[5]
[6]
[7]
5