7.6.3. Удаленная атака «ложный объект»
Принципиальная возможность реализации данного вида удаленной атаки в вычислительных сетях также обусловлена недостаточно надежной идентификацией сетевых управляющих устройств (например, маршрутизаторов). Целью данной атаки является внедрение в сеть ложного объекта путем изменения маршрутизации пакетов, передаваемых в сети. Внедрение ложного объекта в распределенную сеть может быть реализовано навязыванием ложного маршрута, проходящего через ложный объект.
Современные глобальные сети представляют собой совокупность сегментов сети, связанных между собой через сетевые узлы. При этом маршрутом называется последовательность узлов сети, по которой данные передаются от источника к приемнику. Каждый маршрутизатор имеет специальную таблицу, называемую таблицей маршрутизации, в которой для каждого адресата указывается оптимальный маршрут. Таблицы маршрутизации существуют не только у маршрутизаторов, но и у любых хостов (узлов) в глобальной сети. Для обеспечения эффективной и оптимальной маршрутизации в распределенных ВС применяются специальные управляющие протоколы, позволяющие маршрутизаторам обмениваться информацией друг с другом (RIP (Routing Internet Protocol), OSPF (Open Shortest Path First)), уведомлять хосты о новом маршруте – ICMP (Internet Control Message Protocol), удаленно управлять маршрутизаторами (SNMP (Simple Network Management Protocol)). Эти протоколы позволяют удаленно изменять маршрутизацию в сети Интернет, то есть являются протоколами управления сетью.
Реализация данной типовой удаленной атаки заключается в несанкционированном использовании протоколов управления сетью для изменения исходных таблиц маршрутизации. В результате успешного изменения маршрута атакующий получит полный контроль над потоком информации, которой обмениваются объекты сети, и атака перейдет во вторую стадию, связанную с приемом, анализом и передачей сообщений, получаемых от дезинформированных объектов вычислительной сети.
Навязывание ложного маршрута – активное воздействие (класс 1.2), совершаемое с любой из целей из класса 2, безусловно по отношению к цели атаки (класс 3.3). Данная типовая удаленная атака может осуществляться как внутри одного сегмента (класс 5.1), так и межсегментно (класс 5.2), как с обратной связью (класс 4.1), так и без обратной связи с атакуемым объектом (класс 4.2) на транспортном (класс 6.3) и прикладном (класс 6.7) уровне модели OSI.
Получив контроль над проходящим потоком информации между объектами, ложный объект вычислительной сети может применять различные методы воздействия на перехваченную информацию, например:
селекция потока информации и сохранение ее на ложном объекте (нарушение конфиденциальности);
модификация данных (нарушение целостности),
модификация исполняемого кода и внедрение разрушающих программных средств – программных вирусов (нарушение доступности, целостности);
подмена информации (нарушение целостности).
7.6.4. Удаленная атака «отказ в обслуживании»
Одной из основных задач, возлагаемых на сетевую операционную систему, функционирующую на каждом из объектов распределенной вычислительной сети, является обеспечение надежного удаленного доступа с любого объекта сети к данному объекту. В общем случае в сети каждый субъект системы должен иметь возможность подключиться к любому объекту сети и получить в соответствии со своими правами удаленный доступ к его ресурсам. Обычно в вычислительных сетях возможность предоставления удаленного доступа реализуется следующим образом: на объекте в сетевой операционной системе запускаются на выполнение ряд программ-серверов (например, FTP-сервер, WWW-сервер и т. п.), предоставляющих удаленный доступ к ресурсам данного объекта. Данные программы-серверы входят в состав телекоммуникационных служб предоставления удаленного доступа. Задача сервера состоит в том, чтобы постоянно ожидать получения запроса на подключение от удаленного объекта и, получив такой запрос, передать на запросивший объект ответ, в котором либо разрешить подключение, либо нет. По аналогичной схеме происходит создание виртуального канала связи, по которому обычно взаимодействуют объекты сети. В этом случае непосредственно операционная система обрабатывает приходящие извне запросы на создание виртуального канала и передает их в соответствии с идентификатором запроса (номер порта) прикладному процессу, которым является соответствующий сервер. В зависимости от различных параметров объектов вычислительной сети, основными из которых являются быстродействие ЭВМ, объем оперативной памяти и пропускная способность канала связи – количество одновременно устанавливаемых виртуальных подключений ограничено, соответственно, ограничено и число запросов, обрабатываемых в единицу времени. С этой особенностью работы вычислительных сетей связана типовая удаленная атака «отказ в обслуживании». Реализация этой угрозы возможна, если в вычислительной сети не предусмотрено средств аутентификации (проверки подлинности) адреса отправителя. В такой вычислительной сети возможна передача с одного объекта (атакующего) на другой (атакуемый) бесконечного числа анонимных запросов на подключение от имени других объектов.
Результат применения этой удаленной атаки – нарушение на атакованном объекте работоспособности соответствующей службы предоставления удаленного доступа, то есть невозможность получения удаленного доступа с других объектов вычислительной сети – отказ в обслуживании. Одна из разновидностей этой типовой удаленной атаки заключается в передаче с одного адреса такого количества запросов на атакуемый объект, какое позволяет трафик. В этом случае, если в системе не предусмотрены правила, ограничивающие число принимаемых запросов с одного объекта (адреса) в единицу времени, то результатом этой атаки может являться как переполнение очереди запросов и отказа одной из телекоммуникационных служб, так и полная остановка компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов. И последней, третьей разновидностью атаки «отказ в обслуживании» является передача на атакуемый объект некорректного, специально подобранного запроса. В этом случае при наличии ошибок в удаленной системе возможно зацикливание процедуры обработки запроса, переполнение буфера с последующим зависанием системы.
Типовая удаленная атака «отказ в обслуживании» является активным (класс 1.2) однонаправленным воздействием (класс 4.2), осуществляемым с целью нарушения работоспособности системы (класс 2.3) на транспортном (класс 6.4) и прикладном (класс 6.7) уровнях модели OSI.
Вопрос 2. Ложный объект компьютерной сети
Ложный объект РВС — активное воздействие, совершаемое с целью нарушения конфиденциальности и целостности информации, являющееся удаленной атакой на запрос от атакуемого объекта или безусловной атакой. Данная атака может быть как внутрисегментной, так и межсегментной, предполагает наличие обратной связи с атакуемым объектом и осуществляется на канальном, сетевом и транспортном уровнях модели OSI.
Если в компьютерной сети не решены проблемы идентификации сетевых управляющих устройств (например, маршрутизаторов), возникающие при взаимодействии этих устройств с объектами системы, то КС может подвергнуться типовой удаленной атаке, связанной с изменением маршрутизации и внедрением в систему ложного объекта. Внедрить ложный объект можно и в том случае, если КС предусматривает использование алгоритмов удаленного поиска.
Итак, существуют две принципиально разные причины, обусловливающие появление типовой угрозы «ложный объект КС»:
· внедрение в распределенную ВС ложного объекта путем навязывания ложного маршрута;
· внедрение в распределенную ВС ложного объекта путем использования недостатков алгоритмов удаленного поиска.
Современные глобальные сети представляют собой совокупность сегментов, связанных между собой через сетевые узлы. Каждый узел сети имеет специальную таблицу, называемую таблицей маршрутизации, в которой для каждого адресата указывается оптимальная последовательность узлов. Для обеспечения эффективной маршрутизации в компьютерных сетях применяются специальные управляющие протоколы, позволяющие маршрутизаторам:
· обмениваться информацией друг с другом – RIP (Routing Internet Protocol), OSPF (Open Shortest Path First);
· уведомлять узлы о новом маршруте – ICMP (Internet Control Message Protocol)
· удаленно управлять маршрутизаторами – SNMP (Simple Network Management Protocol).
Эти протоколы позволяют удаленно изменять маршрутизацию в Internet, то есть являются протоколами управления сетью.
Основная цель атаки, связанной с навязыванием ложного маршрута, – изменить исходную маршрутизацию на объекте компьютерной сети так, чтобы новый маршрут проходил через ложный объект – узел атакующего.
Реализация типовой угрозы «внедрение в компьютерную сеть ложного объекта путем навязывания ложного маршрута», состоит в несанкционированном использовании протоколов управления сетью для изменения исходных таблиц маршрутизации. Для этого исследователю КС (злоумышленнику) необходимо послать по сети специальные служебные сообщения, созданные в соответствии с названными протоколами. В результате успешного изменения маршрута исследователь (нарушитель) получит полный контроль над потоком информации, которой обмениваются два объекта сети, и атака перейдет во вторую стадию, связанную с приемом, анализом и обработкой сообщений, получаемых от этих объектов сети.
Рассмотрим теперь внедрение в КС ложного объекта путем использования недостатков алгоритмов удаленного поиска.
Объекты компьютерных сетей обычно имеют не всю необходимую для адресации сообщений информацию, под которой понимаются физические (адрес сетевого адаптера) и логические (IP-адрес) адреса объектов сети. Для получения подобной информации в компьютерных сетях используются различные алгоритмы удаленного поиска, заключающиеся в передаче по сети специального вида поисковых запросов, в ожидании и получении ответов на них. Полученных таким образом сведений об искомом объекте запросившему узлу КС достаточно для последующего обращения к нему. Примером сообщений, на которых базируются алгоритмы удаленного поиска, могут служить ARP- и DNS-запросы в Internet.
Существуют два типа поисковых запросов: широковещательный и направленный. Широковещательный поисковый запрос доставляется всем объектам сети, но только искомый объект отсылает в ответ нужную информацию. Поэтому, во избежание перегрузки сети, подобный механизм запросов используется обычно внутри одного сетевого сегмента, если не хватает информации для адресации на канальном уровне OSI. Направленный поисковый запрос передается на один (или несколько) специально выделенный для обработки подобных запросов сетевой объект (DNS-сервер) и применяется при межсегментном поиске в том случае, когда не хватает информации для адресации на сетевом уровне OSI.
При использовании компьютерной сетью механизмов удаленного поиска реализация данной типовой угрозы состоит в перехвате поискового запроса и передаче в ответ на него ложного сообщения, где указываются данные, использование которых приведет к адресации на атакующий ложный объект. Таким образом, в дальнейшем весь поток информации между субъектом и объектом взаимодействия будет проходить через ложный объект сети.
Другой вариант реализации данной угрозы состоит в периодической передаче на атакуемый объект заранее подготовленного ложного ответа (без приема поискового запроса). Для того чтобы послать ложный ответ, исследователю (хакеру, злоумышленнику) не всегда требуется дожидаться приема запроса. В некоторых случаях он может спровоцировать атакуемый объект на передачу поискового сообщения, обеспечив тем самым успех своему ложному ответу. Данная типовая удаленная атака характерна для глобальных сетей, когда атакующий и его цель находятся в разных сегментах, и нет возможности перехватить поисковый запрос.
Вопрос 3. Использование ложного объекта для организации удаленной