5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов

^ 5. Несанкционированный обмен данными
С целью обеспечения безопасности внутренней (корпоративной) сети на шлюзе могут употребляться фильтры, препятствующие прохождению определенных типов датаграмм. Датаграммы могут фильтроваться по Айпишникам отправителя либо получателя, по протоколу (поле Protocol IP 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов-датаграммы), по номеру порта TCP либо UDP, по другим характеристикам, также по композиции этих характеристик. Злодей может использовать последующие два приема для проникания через некие фильтры.
Туннелирование
Представим, злодей желает выслать данные 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов с узла Х узлу А, находящемуся за пределами его сети, но правила фильтрации на маршрутизаторе воспрещают отправку датаграмм узлу А (рис.7). В то же время разрешена отправка датаграмм узлу В, также 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов находящемуся за пределами охраняемой сети.



Рис.7. Туннелирование через фильтрующий маршрутизатор

Злодей употребляет узел В как ретранслятор датаграмм, направленных в А. Для этого он делает датаграмму, направленную из Х в В, в поле Protocol которой 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов помещается значение 4 («IP»), а в качестве данных эта датаграмма несет другую IP-датаграмму, направленную из Х в А. Фильтрующий маршрутизатор пропускает сформированную датаграмму, так как она адресована разрешенному узлу В, а IP-модуль узла 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов В извлекает из нее вложенную датаграмму. Видя, что вложенная датаграмма адресована не ему, узел В посылает ее по предназначению, другими словами узлу А (рис.5). Описанная операция именуется туннелированием.

Адресок отправителя 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов датаграммы скрыть нельзя, потому, если маршрутизатор не пропускает также датаграммы, идущие из А, другими словами производит фильтрацию по адресу отравителя, то одурачить его вышеперечисленным методом нереально. В данном случае злодей имеет только одностороннюю связь 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов с узлом А.

Туннелирование может употребляться и в оборотном направлении, другими словами, для проникания из Веба вовнутрь охраняемой сети. При всем этом узел Х находится в Вебе, а узлы А 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов и В — в охраняемой сети и узлу В разрешено получение датаграмм из наружных сетей.

Для защиты от туннелирования следует запретить маршрутизатору передавать во внешнюю сеть датаграммы с полем Protocol=4 и датаграммы с 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов опциями.
Атака крохотными кусками (Tiny Fragment Attack)
В случае, когда на вход фильтрующего маршрутизатора поступает фрагментированная датаграмма, маршрутизатор производит досмотр только первого куска датаграммы (1-ый кусок определяется по значению поля IP-заголовка 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов Fragment Offset=0). Если 1-ый кусок не удовлетворяет условиям пропуска, он уничтожается. Другие куски можно безболезненно пропустить, не затрачивая на их вычислительные ресурсы фильтра, так как без первого куска датаграмма все равно не может 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов быть собрана на узле предназначения.



Рис.8. Фрагментированный TCP-сегмент

Данный прием проникания через фильтр именуется «Tiny Fragment Attack» (RFC-1858). Внедрение его в других случаях (для обхода других критерий фильтрации) не имеет смысла 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов, потому что все другие «интересные» поля в заголовке TCP и других протоколов находятся в первых 8 октетах заголовка и, как следует, не могут быть перемещены во 2-ой кусок.
^ 6. Принуждение к ускоренной передаче 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов данных
Механизм реагирования на заторы сети (congestion control), реализуемый протоколом TCP (RFC-2581), позволяет злоумышленнику-получателю данных приневолить отправителя высылать данные с неоднократно увеличенной скоростью. В итоге злодей отбирает для собственных нужд ресурсы сервера-отправителя 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов и компьютерной сети, замедляя либо заблокируя соединения иных участников сетевого взаимодействия. Атаки производятся методом специально организованной посылки злоумышленником подтверждений приема данных (ACK-сегментов).
Расщепление подтверждений
Узел В, заместо того, чтоб ответить одним доказательством 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов о получении всего сектора (ACK SN=1001), отправляет несколько подтверждений с вырастающими номерами ACK SN (к примеру, 300, 600 и, в конце концов, 1001), вроде бы подтверждая получение сектора по частям. Узел В, отослав три доказательства 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов заместо 1-го, вынуждает узел А прирастить значение cwnd до 4 и выслать 4 сектора заместо 2-ух.

Обычный размер поля данных сектора — 1460 октетов. Более брутальное поведение получателя (1460 подтверждений на каждый сектор) на 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов теоретическом уровне приведет к тому, что уже после третьего шага узел В может получить 2,9 Гбайт данных и сделать заторы в сети.
Неверные дубликаты подтверждений
Если узел В будет отвечать серией сфабрикованных подтверждений ACK SN 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов, практически узел А будет отправлять данные со скоростью, с которой В генерирует дубликаты подтверждений.
Досрочные доказательства
Еще одна разновидность атаки строится на том, что получатель может заблаговременно высылать доказательства еще не принятых 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов им, находящихся в пути частей, заставляя отправителя поверить, что данные уже доставлены, результатом чего будет повышение cwnd и ранняя отправка новых данных.

В отличие от 2-ух прошлых атак атака ранними доказательствами 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов разрушает механизм обеспечения надежности передачи данных: если какой-нибудь из частей с данными, отправленный из А в В, потеряется в пути, повторной передачи этого сектора не будет, так как он был уже заблаговременно доказан 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов получателем. Но прикладные протоколы HTTP и FTP, при помощи которых и передается большая часть данных в Вебе, предоставляют возможность запрашивать у сервера не весь файл, а его определенные части 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов (большая часть серверов поддерживают эту возможность). Потому, применив описанную атаку и получив основной объем данных с HTTP- либо FTP-сервера на завышенной скорости, злодей может потом при помощи запросов на частичную передачу 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов «залатать дыры», образовавшиеся из-за потерянных частей.

^ Описанные атаки в особенности эффективны при передаче сравнимо маленьких объемов данных (файлов), когда весь файл может быть передан за одно время воззвания. Скорость загрузки файла 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов возрастает в пару раз. Работа конкурирующих TCP-соединений (имеющихся в том же коммуникационном канале) фактически блокируется, так как из-за резко возросшей интенсивности трафика другие соединения диагностируют состояние затора и принимают надлежащие меры по 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов уменьшению скорости передачи данных, практически освобождая канал для злодея.

В заключение можно сказать о довольно ординарном методе ускоренного получения файлов от отправителя по протоколам HTTP и FTP. Для этого получатель 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов употребляет программку, способную получать файл по частям (сервер также должен поддерживать надлежащие расширения протоколов HTTP и FTP); пример таковой программки для ОС Windows — Flashget. Для загрузки файла с сервера программка сразу открывает несколько 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов соединений, каждое из которых запрашивает собственный кусок файла. Куски потом будут состыкованы на локальном диске получателя.

Представим, что в коммуникационном канале сразу передают данные 10 TCP-соединений. В итоге работы алгоритмов реагирования 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов на заторы они приблизительно поровну делят меж собой полосу пропускания канала, и каждое получает 1/10 его часть. Но если программка загрузки файла открывает не одно, а, к примеру, 5 соединений, то общее число соединений равно 14, из 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов их получением частей 1-го файла занято 5 соединений, другими словами, на получение файла отведено 5/14 = 36% канала, а не 10%, как было ранее.
^ 7. Отказ в обслуживании
Атаки типа «отказ в обслуживании» (DoS, denial of service) являются более 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов всераспространенными и ординарными в выполнении. Целью атаки является приведение атакуемого узла либо сети в такое состояние, когда передача данных другому узлу (либо передача данных вообщем) становится невозможна либо очень 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов затруднена. Вследствие этого юзеры сетевых приложений, работающих на атакуемом узле, не могут быть обслужены — отсюда заглавие этого типа атак. Атаки DoS употребляются как в комплексе с другими (имперсонация), так и сами по 5. Несанкционированный обмен данными - Конспект курса бир структура Тема Часов для себя.

DoS-атаки можно условно поделить на три группы:


5-rabota-s-literaturoj-metodicheskie-ukazaniya-po-diplomnomu-proektirovaniyu-dlya-studentov-specialnosti-080502.html
5-raschet-normativov-dopustimogo-vozdejstviya-po-privnosu-v-vodnie-obekti-himicheskih-i-vzveshennih-veshestv.html
5-raspolozhenie-seti-obektov-biznes-plan-investicionnogo-proekta-sozdaniya.html