33648

Атаки сетевого уровня на протокол IP и его защита

Доклад

Информатика, кибернетика и программирование

В качестве примера можно привести известную утилиту Nmp некоторые режимы которой позволяют задать поддельные адреса отправителя пакетов. Посылка специфических пакетов где определённым образом заполнены поля заголовка отвечающие за фрагментацию может приводить к зависанию или понижению производительности узла. Исправление этих ошибок это установка пакетов обновления программного обеспечения. Большое число одинаковых фрагментированных пакетов вызывают замораживание машины на время атаки.

Русский

2013-09-06

119 KB

17 чел.

13. Атаки сетевого уровня на протокол IP и его защита

2.6.1. Аутентификация на основе IP-адреса (Address Masquerading)

Аутентификация (подтверждение подлинности) на уровне IP относится к компьютерам, а не к пользователям. Поскольку IP-адрес конфигурируется программно, обычно бывает легко задать для узла другой IP-адрес, так что узел будет корректно работать в сети. Если аутентификация осуществляется по IP-адресу узла, это позволит атакующему получить доступ к ресурсам, к которым он при обычных условиях доступа иметь не должен. Такое действие называется Address Masquerading (Адресный маскарад). Протоколы прикладного уровня, как, например, Network File System (NFS), могут быть уязвимыми к подобного рода атакам, если нет дополнительной аутентификации на основе, например имени и пароля пользователя.

Атака «Address Masquerading»

Рис. 2.6

На рис. 2.6 нарушитель, дождавшись отключения легального NFS клиента, присваивает себе его IP-адрес.

2.6.2. Address Spoofing

Address Spoofing в простейшем варианте представляет собой замену адреса отправителя или получателя пакета и отправку такого пакета в сеть.

Более продвинутый вариант техники Address Spoofing называется TCP sequence number attack.

Средства программирования под UNIX позволяют легко манипулировать сетевыми пакетами, например, формировать их заголовки. В качестве примера можно привести известную утилиту Nmap, некоторые режимы которой позволяют задать поддельные адреса отправителя пакетов. Под Windows это осуществить несколько сложнее.

2.6.3. Ошибки фрагментации

Большое количество атак на протокол IP связано с одной из его функций -фрагментацией. Посылка специфических пакетов, где определённым образом заполнены поля заголовка, отвечающие за фрагментацию, может приводить к зависанию или понижению производительности узла. Как правило, используемыми уязвимостями во всех случаях являются ошибки реализации. Исправление этих ошибок – это установка пакетов обновления программного обеспечения. В качестве примера можно привести ошибку, обнаруженную в мае 2000 г. Большое число одинаковых фрагментированных пакетов вызывают "замораживание" машины на время атаки. Уязвимыми оказались машины с Windows 95/98/NT/2000. Узлу посылается большое количество пакетов с одинаковым полем Identification, помеченных как последний фрагмент со смешением 65520. Это приводит к падению производительности узла практически до нуля.

Защитится можно путем установки соответствующего обновления ПО.

АТАКИ СЕТЕВОГО УРОВНЯ IP.

1) Атака на основе аутентификации.

При включении сознательно меняем IP на адрес атакуемого. Но если он в сети, на консоли администратора должно появиться предупреждение. Т. е. атаку нужно проводить, при отсутствии атакуемого в сети.

Защита: сравнивать MAC и IP, которые записаны в таблице и присутствуют в сети.

2) IP-spoofing

Это замена адреса получателя или отправителя. Специальные программы для win – wincap, для UNIX – nmap. Именно с их помощью меняются форматы пакетов.

3) Ошибки фрагментации

Используются поля пакетов DF и MF. Пакет помечается как фрагментированный и последний в очереди. Машина будет ждать предыдущих, что ведёт к:

- потере нормальных пакетов

- падению производительности

Бороться с этим можно, запретив фрагментацию пакетов.

4) Teardrop

Данная уязвимость основана на ошибках разработчиков операционной системы в модуле, отвечающем за сборку фрагментироваиных IP-пакетов. Разработчики ввели проверку на слишком большой объем копируемой информации (чтобы ядро не переносило такой объем данных), но не предусмотрели проверку на копирование слишком маленького фрагмента (фрагмента отрицательной длины). Нас интересует ситуация, когда новый фрагмент имеет смещение, лежащее внутри уже полученного фрагмента.

Во-первых, вычисляется размер пересечения: смещение старого фрагмента плюс длина старого фрагмента есть смещение нового фрагмента. А затем в буфер копируется только та часть нового фрагмента, которая "выступает за границу" старого фрагмента. Все просто и очевидно. Однако возможна ситуация, когда новый фрагмент не только начинается внутри старого, но и заканчивается в нем же.

По идее, такой фрагмент должен быть просто пропущен.

Проследим действия принимающей стороны по шагам. Начало нового фрагмента лежит внутри имеющегося. Пересекающаяся часть имеет смещение A_offs + A_len - B_offs. А тот кусочек, что нужно добавить в буфер, начинается с A_offs + A_len и имеет длину (B_offs + B_len) - (A_offs + A_len).

Длина-то меньше нуля или (если вспомнить о машинной зацикленной арифметике) является очень большим числом.  Такого большого размера блок памяти будет копироваться, уничтожая при этом все встречающееся на пути (чаще под "горячую руку" попадает операционная система). Это действует на NT и ранний Linux.

Таким образом, для реализации данной атаки пакеты формируются по следующему правилу (рассмотрим атаку из двух пакетов):

  1.  Посылается пакет, предполагающий фрагментацию (флаг MF = 1), со смещением фрагмента 0, блоком данных длиной N.
  2.  Посылается последний фрагмент сообщения (флаг MF = 0) с положительным смещением фрагмента offset < N и блоком данных, длина кот-го меньше N-offset.

Последовательная передача таких пакетов приводит к возникновению рассмотренной выше ситуации, когда копирование блока отрицательной длины вызывает выход компьютера из строя.

Борьба: ставим заплатки.


1      2    =   3     4


 

А также другие работы, которые могут Вас заинтересовать

77719. Интерфейс IDE 832.5 KB
  Интерфейс IDE широко используемый в запоминающих устройствах современных компьютеров разрабатывался как интерфейс жесткого диска. Правильный выбор интерфейса очень важен поскольку от этого зависит тип и быстродействие жесткого диска который можно установить в компьютер. Обычно при оценке быстродействия накопителя особенно жесткого диска в первую очередь обращают внимание на среднее время поиска т.
77720. Интерфейс SATA 2.12 MB
  Диски с интерфейсом Serial ATA разработаны для упрощения процедуры установки. Чтобы обеспечить правильную работу этих дисков, не требуется производить установку каких-либо перемычек, терминаторов или выполнять другие настройки. Блок перемычек, расположенный рядом с разъемом
77721. Кодирование данных с ограничением длины поля записи 64.5 KB
  Для жестких дисков вскоре был изобретен более эффективный метод кодирования информации: RLL. В случае с гибкими дисками новые методы уже не использовались в силу отсутствия необходимости в переносе больших объемов данных на гибких дисках это было бы достаточно не надежно а также в случае с гибкими дисками требуется совместимость новых стандартов кодирования и старых: любой современный дисковод может читать как FM так и MFMкодированные диски в то время как принцип RLLкодирования принципиально отличается от двух предыдущих. Этот тип...
77722. Накопители со сменными носителями 206.5 KB
  Помимо постоянно растущего желания увеличить объем доступной памяти существует также необходимость защиты и создания резервных копий имеющихся данных для чего может с успехом использоваться технология стационарных или переносных запоминающих устройств со сменными носителями. Эти устройства имеют довольно высокую эффективность и применяются как для записи нескольких файлов данных или редко используемых программ так и для создания полной копии жесткого диска на сменном диске или магнитной ленте. По мере роста объема и возможностей различных...
77723. Накопитель на жёстких магнитных дисках 76.5 KB
  В отличие от гибкого диска дискеты информация в НЖМД записывается на жёсткие алюминиевые или стеклянные пластины покрытые слоем ферромагнитного материала чаще всего двуокиси хрома. Расстояние между головкой и диском составляет несколько нанометров в современных дисках 510 нм а отсутствие механического контакта обеспечивает долгий срок службы устройства. Название Винчестер Название винчестер накопитель получил благодаря фирме IBM которая в 1973 году выпустила жёсткий диск модели 3340 впервые объединивший в одном неразъёмном...
77725. Подключение жестких дисков к компьютеру 119 KB
  Неправильное подключение разъемов кабеля к жесткому диску или системной плате не ведет с необходимостью к повреждению электроники диска или платы жесткий диск просто не распознается и не инициализируется BIOS. Включить компьютер и войти в SetupBIOS программу настройки BIOS бапзовой системы вводавывода нажав комбинацию клавиш высвечиваемую на экране компьютера во время его загрузки обычно клавиша Del. Сконфигурировать или убкдится в правильной конфигурации установленный жесткий диск задав параметры Type Cylinder Heds Sectors и...
77726. Интерфейсы внешних запоминающих устройств 200.5 KB
  ATA (Advanced Technology Attachment — присоединение по передовой технологии) — параллельный интерфейс подключения накопителей (жёстких дисков и оптических приводов) к компьютеру. В 1990-е годы был стандартом на платформе IBM PC; в настоящее время вытесняется своим последователем — SATA и с его появлением получил название PATA (Parallel ATA).
77727. Программное обеспечение для записи оптических дисков 342 KB
  Используются свободные проприетарные или встроенные в ОС средства для работы с оптическими дисками. Программы для записи оптических дисков shmpoo Burning Studio Free VS Dietor Burn4Free Brsero CDBurnerXP Cdrtools CloneCD Growisofs InfrRecorder ImgBurn k3b Nero Burning ROM ONES Opticl new edge Storge Roxio sonic Esy Medi Cretor WinOnCd WinOnCd для немецкого рынка то есть полный аналог программы Esy Medi Cretor Smll CDWriter TOST для Mc OS X JetBee FREE Complex Evolution и др. Рассмотрим использование ПО для записи...