УДК 681.324
Автор оставляет в стороне все моральные вопросы, связанные с использованием данного материала, т.к. считает, что только знание способов реализации удаленных сетевых атак поможет их предотвратить.
Повышение интереса к TCP/IP-сетям [1] обусловлено бурным ростом сети Internet. Однако это заставляет задуматься над тем, как защитить свои информационные ресурсы от атак из внешней сети. Если Вы подключены к Internet, Ваша система может быть атакована.
Протоколы семейства IP являются основой построения сетей Intranet и глобальной сети Internet. Несмотря на то, что разработка TCP/IP финансировалась Министерством обороны США, TCP/IP не обладает абсолютной защищенностью и допускает различные типы удаленных атак, рассмотренные ниже.
Идея выявления атаки заключается в следующем: любой атаке соответствует определенный сетевой трафик, поэтому анализ трафика позволяет определить атаку и засечь "следы" атакующего, т.е. определить IP-адреса, с которых осуществлялось информационное воздействие.
Описания сетевых атак, приведенных
ниже, получены автором в результате сбора,
систематизации, и анализа информации с большого
количества сайтов и эхоконференций сетей Internet и
Fidonet.
При передаче пакета данных протокола IP
по сети может осуществляться деление этого
пакета на несколько фрагментов. Впоследствии,
при достижении адресата, пакет
восстанавливается из этих фрагментов.
Злоумышленник может инициировать посылку
большого числа фрагментов, что приводит к
переполнению программных буферов на приемной
стороне и, в ряде случаев, к аварийному
завершению системы.
Данная атака требует от злоумышленника доступа к быстрым каналам в Internet.
Вспомним, как работает ping. Программа посылает ICMP-пакет типа ECHO REQUEST, выставляя в нем время и его идентификатор. Ядро машины-получателя отвечает на подобный запрос пакетом ICMP ECHO REPLY. Получив его, ping выдает скорость прохождения пакета.
При стандартном режиме работы пакеты высылаются через некоторые промежутки времени, практически не нагружая сеть. Но в "агрессивном" режиме поток ICMP echo request/reply-пакетов может вызвать перегрузку небольшой линии, лишив ее способности передавать полезную информацию.
Пакет IP содержит поле, определяющее
протокол инкапсулированного пакета (TCP, UDP, ICMP [2]).
Злоумышленники могут использовать
нестандартное значение данного поля для
передачи данных, которые не будут фиксироваться
стандартными средствами контроля
информационных потоков.
Атака smurf заключается в передаче в сеть широковещательных ICMP запросов от имени компьютера-жертвы. В результате компьютеры, принявшие такие широковещательные пакеты, отвечают компьютеру-жертве, что приводит к существенному снижение пропускной способности канала связи и, в ряде случаев, к полной изоляции атакуемой сети. Атака smurf исключительно эффективна и широко распространена.
Противодействие: для
распознавания данной атаки необходимо
анализировать загрузку канала и определять
причины снижения пропускной способности.
Результатом данной атаки является внесение навязываемого соответствия между IP адресом и доменным именем в кэш DNS сервера. В результате успешного проведения такой атаки все пользователи DNS севера получат неверную информацию о доменных именах и IP адресах. Данная атака характеризуется большим количеством DNS пакетов с одним и тем же доменным именем. Это связано с необходимостью подбора некоторых параметров DNS обмена.
Противодействие: для выявления
такой атаки необходимо анализировать содержимое
DNS трафика.
Большое количество атак в сети Internet связано с подменой исходного IP адреса. К таким атакам относится и syslog spoofing, которая заключается в передаче на компьютер-жертву сообщения от имени другого компьютера внутренней сети. Поскольку протокол syslog используется для ведения системных журналов, путем передачи ложных сообщений на компьютер-жертву можно навязать информацию или замести следы несанкционированного доступа.
Противодействие: выявление
атак, связанных с подменой IP адресов, возможно
при контроле получения на одном из интерфейсов
пакета с исходным адресом этого же интерфейса
или при контроле получения на внешнем интерфейсе
пакетов с IP адресами внутренней сети.
Злоумышленник отправляет в сеть пакеты с ложным обратным адресом. С помощью этой атаки злоумышленник может переключать на свой компьютер соединения, установленные между другими компьютерами. При этом права доступа злоумышленника становятся равными правам того пользователя, чье соединение с сервером было переключено на компьютер злоумышленника.
Практически все сетевые карты
поддерживают возможность перехвата пакетов,
передаваемых по общему каналу локальной сети.
При этом рабочая станция может принимать пакеты,
адресованные другим компьютерам того же
сегмента сети. Таким образом, весь
информационный обмен в сегменте сети становится
доступным злоумышленнику. Для успешной
реализации этой атаки компьютер злоумышленника
должен располагаться в том же сегменте локальной
сети, что и атакуемый компьютер.
Сетевое программное обеспечение маршрутизатора имеет доступ ко всем сетевым пакетам, передаваемым через данный маршрутизатор, что позволяет осуществлять перехват пакетов. Для реализации этой атаки злоумышленник должен иметь привилегированный доступ хотя бы к одному маршрутизатору сети. Поскольку через маршрутизатор обычно передается очень много пакетов, тотальный их перехват практически невозможен. Однако отдельные пакеты вполне могут быть перехвачены и сохранены для последующего анализа злоумышленником. Наиболее эффективен перехват пакетов FTP, содержащих пароли пользователей, а также электронной почты.
В сети Internet существует специальный
протокол ICMP (Internet Control Message Protocol), одной из
функцией которого является информирование
хостов о смене текущего маршрутизатора. Данное
управляющее сообщение носит название redirect.
Существует возможность посылки с любого хоста в
сегменте сети ложного redirect-сообщения от имени
маршрутизатора на атакуемый хост. В результате у
хоста изменяется текущая таблица маршрутизации
и, в дальнейшем, весь сетевой трафик данного
хоста будет проходить, например, через хост,
отославший ложное redirect-сообщение. Таким образом
возможно осуществить активное навязывание
ложного маршрута внутри одного сегмента сети
Internet.
Hаpяду с обычными данными пеpесылаемыми по TCP соединению cтандаpт пpедусматpивает также пеpедачу сpочных (Out Of Band) данных. Hа уpовне фоpматов пакетов TCP это выpажается в ненулевом urgent pointer. У большинства PC с установленным Windows пpисутствует сетевой пpотокол NetBIOS, котоpый использует для своих нужд 3 IP поpта: 137, 138, 139. Если соединиться с Windows машиной в 139 поpт и послать туда несколько байт OutOfBand данных, то pеализация NetBIOS-а не зная, что делать с этими данными, попpосту вешает или пеpезагpужает машину. Для Windows 95 это обычно выглядит как синий текстовый экpан, сообщающий об ошибке в дpайвеpе TCP/IP и невозможность pаботы с сетью до пеpезагpузки ОC. NT 4.0 без сеpвис-паков пеpезагpужается, NT 4.0 со втоpым сеpвис паком выпадает в синий экpан. Cудя по инфоpмации из сети подвеpжены такой атаке и Windows NT 3.51 и Windows 3.11 for Workgropus.
Посылка данных в 139-й порт приводит к
перезагрузке NT 4.0, либо выводу "синего экрана
смерти" с установленным 2-м Service Pack'ом.
Аналогичная посылка данных в 135 и некоторые
другие порты приводит к значительной загрузке
процессора RPCSS.EXE. На Windows NT WorkStation это приводит к
существенному замедлению работы, Windows NT Server
практически замораживается [3].
Успешное осуществление удаленных атак
этого типа позволит злоумышленнику вести сеанс
работы с сервером от имени доверенного хоста.
(Доверенный хост - станция легально
подключившаяся к серверу). Реализация данного
вида атак обычно состоит в посылке пакетов
обмена со станции злоумышленника от имени
доверенной станции.
В связи с ограниченным объемом статьи
здесь рассмотрены далеко не все возможные
сетевые атаки, но даже знание рассмотренных
позволяет предотвратить многие действия
потенциальных злоумышленников.
ЛИТЕРАТУРА
Кафедра вычислительной техники
Смоленский филиал Московского энергетического института
(Технический университет)
Поступила в редакцию 2.07.99.