Информационная безопасность

Дипломная работа - Компьютеры, программирование

Другие дипломы по предмету Компьютеры, программирование



на 2 группы - ошибки и запросы [3]. Библиотека Windows Sockets v2.0 не может регистрировать ICMP-пакеты типа ошибка, сгенерированные на том же компьютере, а только ICMP-пакеты типа запрос (также за некоторыми исключениями).

2.3 Атакующие воздействия для программного средства

Разрабатываемое в рамках данной дипломной работы программное средство будет работать исключительно с протоколом ICMP, т.к. только этот протокол допускает полноценную работу с ним на одном компьютере. Поэтому мы рассмотрим сетевые атаки на базе протокола ICMP [6] и разработаем способы их обнаружения. К таким атакам относятся: лавинное затопление ICMP-пакетами, атака Smurf, подмена IP-адреса и другие.

2.3.1 Атака Smurf

Атака Smurf (рис. 1) основана на использовании возможности протокола ICMP рассылать дейтаграммы по нескольким адресам. Ответить на один широковещательный эхо-запрос ICMP может большое количество хостов. Эта возможность используется для проведения атаки отказа в обслуживании на избранный хост или сеть.

Сначала злоумышленник должен сформировать широковещательный эхо-запрос ICMP к хостам атакуемой сети, подменив при этом действительный IP-адрес своего компьютера.

Рис. 1. Схема атаки Smurf

В качестве этого IP-адреса используется адрес атакуемого хоста (или сети). Чтобы запрос попал ко всем хостам сети, его должен пропустить внешний маршрутизатор. Успешным завершением атаки является отправка всеми работающими хостами эхо-ответов на адрес атакуемого хоста. Атакованный хост (или сеть, в которой он находится) может пострадать от такой внезапной активности и перестанет выполнять возложенные на него задачи при следующих условиях:

нарушитель отправляет большое количество широковещательных эхо-запросов;

внешний узел (маршрутизатор) позволяет прохождение входящего трафика с указанием широковещательного адреса;

маршрутизатор работает в крупной сети, хосты которой одновременно отправляют большое количество эхо-ответов (с другой стороны, того же результата можно добиться, использовав несколько маршрутизаторов более мелких сетей);

канал, с помощью которого атакуемый узел соединен с Internet, имеет низкую пропускную способность. Точнее, количество одновременно отправленных пакетов должно превысить максимальную пропускную способность этого канала. Хотя можно затопить пакетами любое Internet-соединение при наличии достаточного трафика, но для соединений с меньшей пропускной способностью сделать это будет проще.

Вот еще одна причина, по которой следует запретить вхождение извне пакетов с широковещательным адресом - это не позволит использовать вашу сеть для распространения атаки Smurf.

2.3.2 Атака Tribe Flood Network

Атака Tribe Flood Network (TFN) является еще одной атакой отказа в обслуживании, в которой используются ICMP-сообщения (рис. 2). В отличие от атаки Smurf, организуемой с одного компьютера с применением одной сети для ее распространения, атака TFN использует большое количество распределенных хостов. Эти хосты часто называют хостами-демонами. Поэтому термин распределенная атака отказа в обслуживании (DDoS) наиболее точно определяет использование нескольких рассредоточенных в Internet хостов для совместного осуществления атаки.

Рис. 2. Схема атаки Tribe Flood Network

Для проведения этой атаки требуется установка программы на ведущем компьютере - мастере TFN и на нескольких агентах - хостах-демонах TFN. Как правило, в качестве хостов-демонов используются скомпрометированные компьютеры. Мастер TFN дает хостам-демонам команду на атаку (часто одновременную) избранной цели. Взаимодействие между мастером и хостами-демонами осуществляется с помощью эхо-ответов ICMP. Демоны TFN могут организовать UDP-наводнение, SYN-наводнение, наводнение эхо-запросами ICMP или атаку Smurf.

Мастер информирует хосты-демоны о начале атаки с помощью эхо-ответов ICMP. При этом тип атаки определяется по значению поля идентификации в ICMP-заголовке эхо-ответа. В области данных такого эхо-ответа передаются необходимые аргументы.

Почему для организации атаки вместо эхо-запросов применяются эхо-ответы? Дело в том, что на многих узлах в целях обеспечения безопасности блокируются внешние эхо-запросы ICMP. В то же время, прохождение эхо-ответов часто разрешается. Это дает возможность локальным пользователям узнать о доступности внешних хостов, но весьма опасно с точки зрения рассылки неконтролируемых эхо-запросов ICMP.

Одновременное использование нескольких распределенных хостов для наводнения пакетами избранной цели позволит провести успешную атаку отказа в обслуживании против хоста или сети. Чтобы получить более подробную информацию об атаке TFN, зайдите на сайт www.cert.org и обратитесь к отчету об инциденте IN-99-07.

2.3.3 Атака WinFreeze

Атака WinFreeze, по существу, заставляет избранный компьютер атаковать самого себя.

victim.com:icmp:redirect243.148.16.61tohostvictim.com>victim.com:icmp:redirect110.161.152.156tohostvictim.com>victim.com:">router > victim.com: icmp: redirect 243.148.16.61 to host victim.com> victim.com: icmp: redirect 110.161.152.156 to host victim.com> victim.com:icmp:victim.com:">redirect 245.211.87.115 to host victim.com> victim.com:icmp:victim.com:">redirect 49.130.233.15 to host victim.com> victim.com:icmp:victim.com:">redirect 149.161.236.104 to host victim.com> victim.com:icmp:victim.com:">redirect 48.35.126.189 to host victim.com> victim.com:icmp:victim.com:">redirect 207.172.122.197 to host victim.com> victim.com:icmp:victim.com:">redirect 113.27.175.38 to host victim.com> victim.com:icmp:redirect 114.102.175.168 to host victim.com

С помощью ICMP-сообщения redirect хост-отправитель уведомляется о выборе для доставки сообщения неоптимального маршрутиз?/p>