Раздел: Документация
0 ... 18 19 20 21 22 23 24 ... 125 Атаки типа «отказ от обслуживания» Не все хакеры пытаются проникнуть в сеть с целью похищения данных. Некоторые просто хотят нарушить ее работу. Атаками типа «отказ от обслуживания» (denial-of-service, DOS) называются различные методы, расстраивающие работу всей сети целиком или отдельного ее участка. При этом злоумышленник обычно ставит перед собой одну из следующих задач: О перегрузить какой-либо из ограниченных ресурсов; О вызвать отказ какого-либо сетевого устройства или компьютера; О изменить настройки ресурса, сделав его непригодным для использования. Перегрузка ограниченного ресурса может проявляться по-разному. Один из простых методов заключается в переполнении жесткого диска, что помешает нормальной работе с ним других пользователей и программ. Чтобы предотвратить подобную ситуацию, следует ограничивать свободное пространство, доступное службе анонимного FTP, позволяющей пользователям загружать файлы. Не следует помещать корневой каталог этой службы на диск с операционной системой или на другой диск, применяемый приложением или службой, которые рискуют пострадать в результате подобной атаки. К другим ценным ресурсам относятся память, пропускная способность канала сети и процессорное время. Такие ресурсы не обязательно должны быть физическими компонентами компьютера. Действие атаки SYN flooding (Синхронная лавина пакетов) связано с переполнением очереди входящих запросов на подключение к определенному порту TCP. Даже если на компьютере более чем достаточно свободной памяти, размер этой очереди ограничивается реализацией стека TCP/ IP в данной системе. В результате отказа сервера он перестает обслуживать запросы клиентов. Некоторые атаки добиваются результата за счет эксплуатации ошибок в операционной системе или реализации сетевых служб. Иногда для этого достаточно аварийного завершения работы соответствующего приложения. Проникнувший в сеть нарушитель способен изменить конфигурационные файлы операционной системы или приложений, перенастроив их работу. Поэтому очень важно, чтобы работающие компьютеры были защищены также при помощи стандартных механизмов операционной системы. В главе 2 были рассмотрены поля IP-заголовка. Вспомним, что для задания маршрута пакета служило поле Options. Такая маршрутизация, называемая маршрутизацией от источника (source routing), была разработана для диагностики ошибок в сети и других подобных применений. Хакеры эксплуатируют эту возможность для передачи внешнего пакета с фиктивным IP-адресом, который кажется пришедшим из локальной сети. При этом доставка пакета осуществляется посредством маршрутизации от источника. Брандмауэр следует настроить так, чтобы он отбрасывал все пакеты, в которые включена маршрутизация от источника. С помощью протокола ICMP нарушитель в состоянии изменить и настройки сети, например таблицы маршрутизации. При этом может показаться, что какой-либо узел недоступен, хотя на самом деле это не так. Если соответствующая запись в таблице маршрутизации неверна, сетевой трафик не дойдет до узла независимо от того, включен он или выключен. Основная проблема DOS-атак заключается в невозможности контролировать весь Internet. Некоторые из подобных атак могут быть остановлены при помощи межсетевого экрана. Атаки SYN flood Перед началом обмена данными протокол TCP устанавливает соединение методом трехэтапного подтверждения. Для установки соединения и управления им служат несколько полей в заголовке TCP, а для контроля порядка пакетов при обмене - поле Sequence Number (Последовательный номер). Флаг SYN обозначает начало запроса на установку соединения. Флагом АСК подтверждается получение пакета. Флаг FIN предназначен для разрыва соединения после завершения передачи. Как видно из рис. 3.1, метод трехэтапного подтверждения установки соединения заключается в простом обмене пакетами.
Рис. 3.1 Для установки соединения TCP используется трехэтапное подтверждение События происходят в такой последовательности: 1.Узел А посылает пакет узлу В, установив в нем бит SYN равным 1. Полю Sequence Number присваивается начальное значение. 2.На узле В создаются структуры данных, предназначенные для управления соединением, после чего он отвечает на запрос соединения и направляет узлу А пакет с флагом АСК, равным 1, подтверждая прием пакета от узла А. Флаг SYN в этом втором пакете также равен 1, поэтому узел А знает, что поле Sequence Number в пакете содержит начальное значение последовательности для узла В. 3.Наконец (после получения подтверждения от узла В) узел А подтверждает прием начального значения последовательности от узла В. .--.----.- —,-,--.- Создать защищенный узел вам поможет информация, приведенная в главах 6 и 8. Атаки ICMP Протокол 1С MP обеспечивает возможность управления протоколом IP. Например, чтобы сообщить другому узлу, что он передает пакеты со слишком высокой скоростью, сервер пошлет ему сообщение Source Quench. Еще одна полезная функция, которая реализуется посредством ICMP, - возможность проверять доступность сети при помощи команды PING, использующей для этого сообщения Echo Request и Echo Reply. Список типов сообщений ICMP и описание их назначения см. в разделе «Протокол 1СМР» главы 2. К сожалению, сообщения некоторых типов могут эксплуатироваться хакерами. В особенности это относится к сообщениям Redirect. Этот тип сообщений создавался для того, чтобы маршрутизаторы информировали друг друга о существовании оптимального маршрута к месту назначения. Рассмотрим следующий пример. Допустим, X, Y и Z - маршрутизаторы. Y получает от X пакет, предназначенный для Z. Y собирается переслать пакет в следующий сегмент, но после анализа таблицы маршрутов обнаруживает, что существует При обычных условиях в результате устанавливается соединение, и два узла могут начать обмен данными. Но что произойдет, если в первом пакете с запросом на установку соединения, пришедшем от узла А, будет указан неверный IP-адрес? Подтверждение, которое узел В попытается послать, не вернется к узлу А. Узел В будет безуспешно ожидать установки соединения в течение заданного промежутка времени, после чего освободит память, выделенную для поддержки соединения. Этот метод и используется для атаки типа SYN flood. Атакующий компьютер непрерывно посылает сообщения с запросами на установку соединения с несуществующим IP-адресом. При этом принимающий узел создает новые динамические структуры данных и запускает таймеры при каждой новой попытке соединения, пока не исчерпает ресурсы, после чего он перестает реагировать на дальнейшие попытки подключения. Важно, чтобы фиктивный IP-адрес был недоступен для атакуемого компьютера. В противном случае реальный узел с таким адресом передаст пакет с установленным флагом сброса, и атакуемый компьютер сразу же разорвет соединение. Такая ситуация противоречила бы цели атаки, которая состоит как раз в том, чтобы ресурсы оставались занятыми максимально долго. Для предотвращения атак этого типа применяется интеллектуальный фильтр пакетов, проверяющий входящие пакеты с установленным флагом SYN и сравнивающий IP-адреса, номера портов и другую информацию в заголовке. При обнаружении попытки подобной атаки следующие пакеты, поступающие от этого внешнего сетевого интерфейса, будут отбрасываться и не достигнут атакуемого внутреннего компьютера. 0 ... 18 19 20 21 22 23 24 ... 125
|