КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Транспортный уровеньстека протоколов системы управления IP-cemu
|
|
|
|
Транспортный уровень стека протоколов TCP/IP системы управления выполняет функции, обеспечивающие два типа передачи блоков данных, сформированных на основе протоколов прикладного уровня:
• передача блоков данных прикладного уровня с предварительным установлением логического соединения. Такой способ передачи реализуется при помощи протокола TCP (Transport Control Protocol), информационной единицей которого является сегмент. Протокол TCP обеспечивает проверку и восстановление правильной последовательности передаваемых сегментов, а также повторную передачу тех сегментов, содержимое которых было искажено;
• дейтаграммная передача блоков данных прикладного уровня, реализуемая при помощи протокола UDP (User Datagram Protocol). Информационной единицей протокола UDP является дейтаграмма. Протокол UDP, в отличие от протокола TCP, не обеспечивает проверку правильности последовательности передаваемых дейтаграмм, а также не предусматривает повторную передачу дейтаграмм, содержимое которых было искажено.
Выбор одного из этих двух протоколов осуществляется в соответствии с информацией, сформированной на прикладном уровне стека протоколов TCP/IP. Рассмотрим каждый из протоколов транспортного уровня стека TCP/IP более подробно.
Протокол TCP обеспечивает передачу блоков данных прикладного уровня через создаваемое этим протоколом логическое соединение, которое ликвидируется сразу же после завершения передачи всех блоков данных. Структура TCP-сегмента показана на рис. 3.34.
| Порт отправителя (16 бит) | Порт получателя (16 бит) | |||
| Порядковый номер (32 бита) | ||||
| Номер подтверждения (32 бита) | ||||
| Смещение данных (4 бита) | Зарезервировано (6 бит) | Флаги (6 бит) | Размер окна (16 бит) | |
| Контрольная сумма (16 бит) | Указатель на неотложные данные (16 бит) | |||
| Параметры (переменная длина) | Выравнивание (переменная длина) | |||
| Поле данных (переменная длина) | ||||
Рис. 3.34. Структура ТСР-сегмента
Рассмотрим каждое из полей TCP-сегмента более подробно.
Номера портов отправителя и получателя выступают в роли идентификаторов, позволяющих получателю TCP-сегмента определить, при помощи какого протокола прикладного уровня стека TCP/IP должен быть обработан блок данных, содержащийся в поле данных этого ТСР-сегмента
Для идентификации ТСР-сегмента всозданном логическом соединении используются два 4-байтовых номера, хранящихся в полях «Порядковый номер» (Sequence Number) и «Номер подтверждения» (Acknowledgment Number). Значения этих полей выступают в роли счётчиков TCP-сегментов и используются для проверки и восстановления правильной последовательности передаваемых сегментов.
Поле «Смещение данных» содержит количество четырёхбайтовых слов в заголовке ТСР-сегмента.
Поле «Контрольная сумма» содержит инвертированную сумму всех 16-битных слов в заголовке и поле данных ТСР-сегмента. Значение этого поля используется для выявления случайных ошибок в заголовке и поле данных ТСР-сегмента. При обнаружении ошибки получатель искажённого ТСР-сегмента сформирует запрос на его повторную передачу.
«Поле данных» ТСР-сегмента содержит блоки данных, сформированные при помощи протоколов прикладного уровня стека TCP/IP.
Поле «Флаги» содержит команды, которыми могут обмениваться отправитель и получатель TCP-сегментов в рамках логического соединения. Для формирования определённой команды субъект должен установить в единицу соответствующий бит флагового поля. Протокол TCP предусматривает наличие шести различных команд, описание которых приведено в табл. 3.13.
Таблица 3.13. Команды протокола TCP
| Номер бита, отвечающего за команду | Описание команды | сокращение, используемое для обозначения команды |
| Команда передачи неотложных данных | URG | |
| Команда подтверждения успешного получения данных | АСК | |
| Команда передачи данных вне очереди | PSH | |
| Команда закрытия логического соединения | RST | |
| Команда синхронизации значений счетчиков ТСР-сегментов | SYN | |
| Команда, сигнализирующая о завершении передаваемых данных | FIN |
Для того, чтобы в рамках установленного TCP-соединения можно было проверять правильность последовательности передаваемых сегментов, а также организовать повторную передачу тех сегментов, заголовок которых был искажён, отправитель номерует отправляемые им ТСР-сегменты (номера содержатся в поле «Порядковый номер»). Для каждого отправленного ТСР-сегмента отправитель ожидает от получателя TCP-сегмент, подтверждающий успешное получение данных. ТСР-сегмент, подтверждающий успешное получение сегмента с номером n,содержит команду АСК, а поле «Номер подтверждения» заголовка этого сегмента содержит значение n+1. Время ожидания получения подтверждающего ТСР-сегмента ограничено - при отправке каждого ТСР-сегмента на стороне отправителя запускается так называемый таймер, и в случае, если по его истечении отправитель не получит подтверждения, то отосланный TCP-сегмент будет считаться утерянным и отправитель сформирует запрос на его повторную передачу.
При этом при передаче каждого нового TCP-сегмента старый таймер сбрасывается и запускается новый. Для TCP-сегментов, подтверждающих успешный приём данных, характерно свойство кумулятивности. Другими словами, TCP-сегмент, в котором содержится команда АСК и номер подтверждения которого равен п, отражает успешный приём ТСР-сегментов с порядковыми номерами вплоть до п-1. В случае неполучения одного из TCP-сегментов автоматически формируется запрос на повторную передачу путём отправки TCP-сегмента с командой АСК и номером подтверждения того сегмента, который необходимо передать повторно.
Для ускорения процесса передачи данных при помощи ТСР-протокола назначается так называемое окно, которое определяет количество TCP-сегментов, которое может быть отправлено без получения подтверждения. Значение размера окна определяется в соответствующем поле заголовка TCP-сегмента (рис. 3.34).
Далее рассмотрим пример установления TCP-соединения между ЦУС и маршрутизатором, предназначенного для последующей передачи информации управления.
На первом этапе установления соединения ЦУС направляет маршрутизатору TCP-сегмент, который в поле «Флаги» содержит команду SYN, а в поле «Порядковый номер» - начальное значение порядкового номера - ISNa. Таким образом, ЦУС формирует запрос на установление TCP-соединения с маршрутизатором.
ЦУС---------------------------- SYN, ISNa-------------------------à Маршрутизатор
В качестве ответа на полученный запрос маршрутизатор посылает в ЦУС TCP-сегмент, в котором содержатся команды SYN и АСК в поле «Флаги», в поле «Номер подтверждения» указывается значение ISNa, увеличенное на единицу, а в поле «Порядковый номер» маршрутизатор определяет начальное значение счётчика своих сегментов - ISNb.
ЦУС <------------ SYN, АСК, ISNb, ISNa+1--------------------- Маршрутизатор
Завершая процесс установления соединения, ЦУС посылает маршрутизатору TCP-сегмент, в котором содержится команда АСК, поле «Порядковый номер» содержит значение ISNa+1, а поле «Номер подтверждения» - ISNb+1.
ЦУС--------------- АСК, ISNb+1, ISNa+1---------------------- > Маршрутизатор
После установления соединения ЦУС и маршрутизатор начинают обмениваться TCP-сегментами, содержащими блоки данных прикладного уровня.
В IP-сетях протокол TCP используется для обработки блоков данных, сформированных на прикладном уровне при помощи протоколов FTP и Telnet.
Как уже отмечалось выше, помимо протокола TCP на транспортном уровне стека TCP/IP также используется протокол UDP, обеспечивающий дейтаграммную передачу блоков данных прикладного уровня. Структура дейтаграммы, сформированной при помощи протокола UDP, показана на рис. 3.35.
| Номер порта отправителя (16 бит) | Номер порта получателя (16 бит) |
| Длина (16 бит) | Контрольная сумма (16 бит) |
| Поле данных (переменная длина) |
Рис. 3.35. Структура UDP-дейтаграммы
Номера портов отправителя и получателя, содержащиеся в UDP-дейтаграмме, предназначены для определения протокола прикладного уровня стека TCP/IP, который должен быть использован для обработки блоков данных прикладного уровня, содержащихся в поле данных дейтаграммы.
Поле «Контрольная сумма» представляет собой инвертированную сумму 16-битовых слов заголовка и поля данных дейтаграммы. Это поле используется для обнаружения случайных ошибок в заголовке и поле данных дейтаграммы. В случае обнаружения ошибки в дейтаграмме получатель не формирует запрос на её повторную передачу, а просто отбрасывает искажённую дейтаграмму
Поле «Длина» содержит длину дейтаграммы в байтах, включая заголовок и поле данных. Максимальная длина дейтаграммы может достигать 65535 байт.
«Поле данных» дейтаграммы содержит блоки данных, сформированные при помощи протоколов прикладного уровня. В случае если блок данных прикладного уровня превышает максимально допустимую длину поля данных дейтаграммы, то на прикладном уровне этот блок данных фрагментируется на несколько блоков меньшей длины.
В IP-сети протокол UDP используется для обработки блоков данных, сформированных на прикладном уровне при помощи протокола SNMP.
3.8. Анализ уязвимостей технологии ТСР/IР
Уязвимость технологии TCP/IP будет рассмотрена в соответствии с ВН, направленными на активизацию уязвимостей протоколов уровня сетевых интерфейсов и уровня межсетевого взаимодействия, реализуемых IP-сетью, а также в соответствии с ВН, направленными на активизацию уязвимостей протоколов транспортного и прикладного уровней, реализуемых системой управления IP-сети. В соответствии с классификациями ВН, приведённой в п. 2.3, рассмотрим ВН на различных уровнях стека протоколов TCP/IP.
Для реализации ВН на информационную сферу IP-сети нарушителю первоначально необходимо получить НСД к информационной сфере сети на уровне сетевых интерфейсов.
3.8.1. Воздействия нарушителя науровне интерфейсов стека протоколов TCP/IP
ВН на уровне сетевых интерфейсов направлены на получение НСД к информационной сфере IP-сети на физическом уровне модели ЭМ ВОС и могут быть реализованы (при отсутствии соответствующих средств защиты от НСД на этом уровне) при помощи установки специализированного оборудования в каналы доступа или в магистральные каналы связи IP-сети.
К ВН, реализуемым на уровне сетевых интерфейсов модели ЭМ ВОС и направленным на получение НСД к информационной сфере IP-сети, можно отнести воздействия, реализуемые двумя способами:
1) путём получения НСД к функциям маршрутизатора, ЦУС или терминального оборудования пользователя посредством ложной аутентификации нарушителя с консоли управления;
2) посредством получения НСД к функциям маршрутизатора или ЦУС путём активизации «закладок», внедрённых в ресурсы и инфраструктуры этих объектов IP-сети. Активизация «закладок» может осуществляться при помощи команд, сформированных нарушителем по радиоканалам связи.
Учитывая тот факт, что на уровне сетевых интерфейсов IP-сети могут использоваться протоколы сетей Х.25, Frame Relay и ATM, нарушитель также может получить НСД к информационной сфере IP-сети при помощи способов, описанных в пп.3.2.1, 3.4.1 и 3.6.1.
На рис. 3.36 схематично показаны возможные источники ВН на уровне сетевых интерфейсов стека протоколов TCP/IP.
Рис. 3.36. Источники ВН, направленных на получение НСД к информационной сфере IP-сети на уровне сетевых интерфейсов
В случае, если в качестве нарушителя выступает пользователь IP-сети, он автоматически получает доступ к информационной сфере сети на уровне сетевых интерфейсов посредством своего терминального оборудования. Если в качестве нарушителя выступает оператор IP-сети, то он также имеет доступ к информационной сфере сети посредством ЦУС и маршрутизаторов.
Получение нарушителем НСД к информационной сфере IP-сети на уровне сетевых интерфейсов позволяет ему выполнять следующие несанкционированные действия на вышележащих уровнях стека протоколов TCP/IP:
1) осуществлять несанкционированное ознакомление с содержимым передаваемых IP-пакетов, пакетов данных ICMP, RSVP, пакетов данных, сформированных при помощи протоколов маршрутизации OSPF, IS-IS, ВОР или EGP, ТСР-сегментов, UDP-дейтаграмм, а так же пакетов данных FTP, Telnet и SNMP;
2) выполнять несанкционированную модификацию, удаление, задержку или формирование новых информационных единиц уровня межсетевого взаимодействия, а также транспортного или прикладного уровня.
3.8.2. Воздействия нарушителя на уровне межсетевого взаимодействия стека протоколов TCP/IP
На уровне межсетевого взаимодействия нарушитель может осуществлять воздействия, направленные на активизацию уязвимостей протоколов IP, ICMP или протоколов маршрутизации IS-IS, OSPF, EGP и BGP. Примеры таких ВН приведены ниже.
3.8.2.1. Воздействия нарушителя, направленные на активизацию «закладок»
ВН, направленные на активизацию «закладок», внедрённых в информационную сферу IP-сети, подразумевают формирование нарушителем специальных команд, содержащихся в IP-пакетах, пакетах данных ICMP или пакетах данных протоколов маршрутизации, передаваемых в маршрутизаторы или ЦУС, куда внедрена «закладка». Команда активизации «закладки» может содержаться в заголовке или поле данных информационных единиц соответствующих протоколов уровня межсетевого взаимодействия. «Закладка» может быть активизирована как при помощи одной команды, так и при помощи последовательности команд, содержащихся в нескольких пакетах данных.
Последствиями активизации «закладки» в маршрутизаторе или ЦУС могут, например, являться:
1) нарушение работоспособности ЦУС или маршрутизатора с активизированной «закладкой»;
2) нарушение целостности IP-пакетов, пакетов данных ICMP, RSVP или пакетов данных протоколов маршрутизации, проходящих через ЦУС или маршрутизаторы, в которых активизирована «закладка»;
3) формирование нарушителем в ЦУС или маршрутизаторах новых пакетов данных с целью выполнения несанкционированных действий.
|
|
|
|
|
Дата добавления: 2014-01-14; Просмотров: 429; Нарушение авторских прав?; Мы поможем в написании вашей работы!