Воздействия нарушителя, направленные на блокирование доступа к ЦУС

Воздействия нарушителя, направленные на нарушение работоспособности ЦУС

ВН, направленные на нарушение работоспособности ЦУС, базируются на использования ошибок реализации стека протоколов TCP/IP, допущенных разработчиками ПО ЦУС. Рассмотрим данный тип ВН на примере воздействий, получивших названия «WinNuke» и «Land» [14].

Для реализации ВН «WinNuke» нарушителю необходимо установить с ЦУС TCP-соединение по любому открытому порту и инициировать передачу TCP-сегментов, в заголовке которых необходимо установить указатель на неотложные данные. Получив такие TCP-сегменты, ПО ЦУС может неправильно их обработать, что приведёт к нарушению работоспособности ЦУС. Аналогичная уязвимость присутствует во всех ранних версиях ОС семейства Windows.

Процедура реализации ВН «Land» заключается в отправке ЦУС специального TCP-сегмента, в котором IP-адрес отправителя совпадает с IP-адресом получателя, а номер порта отправителя равен значению номера порта получателя. Получив такой TCP-сегмент, ПО ЦУС попытается сформировать ответ, направив его как бы «самому себе», в результате чего в работе ПО ЦУС может произойти сбой, что приведёт к нарушению его работоспособности. Примеры IP-пакета и TCP-сегмента, которые могут быть использованы для реализации ВН «Land», приведены на рис. 3.37 и рис. 3.38 соответственно.

Рис. 3.37. Пример IP-пакета, реализующего ВН «Land»

Рис. 3.38. Пример TCP-сегмента, реализующего ВН «Land»

В приведённом примере искомый TCP-сегмент (см. рис. 3.38) содержится в поле данных IP-пакета (см. рис. 3.37) и отправляется нарушителем в ЦУС по IP-адресу: 195.164.125.16, на 80-й порт. При этом IP-адрес отправителя совпадает с адресом получателя (т.е. с IP-адресом ЦУС), а номер порта отправителя идентичен номеру порта получателя.

ВН типа «Land» подвержены большинство версий ОС семейства Windows.

Одним из способов реализации ВН, направленных на блокирование доступа к ЦУС, является передача нарушителем в ЦУС большого числа TCP-сегментов, содержащих запросы на установление ТСР-соединения. При этом все TCP-сегменты направляются нарушителем в ЦУС с сфальсифицированных IP-адресов различных маршрутизаторов. В ответ на каждый полученный запрос на установление ТСР-соединения, ЦУС формирует TCP-сегмент с командами SYN и АСК, предназначенный для подтверждения установления ТСР-соединения. После этого ЦУС некоторое время сохраняет параметры предполагаемого ТСР-соединения с маршрутизатором и ожидает от него TCP-сегмента, завершающего процедуру установления соединения. Однако, учитывая тот факт, что ЦУС получает запросы на установления ТСР-соединения от имени несуществующих маршрутизаторов, по истечении определённого периода времени ЦУС вынужден закрыть соединение. Таким образом, отправка нарушителем в ЦУС большого числа запросов на установление ТСР-соединения приводит к переполнению очереди на приём запросов, к уменьшению свободных вычислительных ресурсов ЦУС и, наконец, к блокированию доступа к ЦУС. Такой метод реализации ВН получил название «TCP SYN Flooding». Рассмотрим более подробно алгоритм реализации этого ВН.

На первом этапе реализации ВН «TCP SYN Flooding» [22, 23] нарушитель посылает в ЦУС серию TCP-сегментов, содержащих запросы на установление ТСР-соединения, от имени несуществующих маршрутизаторов, IP-адреса которых генерируются нарушителем случайным образом. Каждый такой TCP-сегмент в поле «Флаги» содержит команду SYN, а в поле «Порядковый номер» - начальное значение порядкового номера ISNa.

Нарушитель («Маршрутизатор 1») —-— SYN, ISNa-----------------------àЦУС

Нарушитель («Маршрутизатор 2») —-— SYN, ISNa-----------------------àЦУС

Нарушитель («Маршрутизатор 3») —-— SYN, ISNa-----------------------àЦУС

……………………………….…………………………….………………………

Нарушитель («Маршрутизатор n») —-— SYN, ISNa-----------------------àЦУС

ЦУС, на который осуществляется ВН, обрабатывает поступившие запросы и посылает в ответ TCP-сегменты, подтверждающие установление TCP-соединения. Каждый TCP-сегмент, сформированный ЦУС, в поле «Флаги» содержит команды SYN и АСК, в поле «Номер подтверждения» - увеличенное на единицу значение ISNa, а в поле «Порядковый номер» — ISNb.

ЦУС —----------- SYN, АСК, ISNb, ISNa+1--------------------> Маршрутизатор 1

ЦУС —----------- SYN, АСК, ISNb, ISNa+1--------------------> Маршрутизатор 2

ЦУС —----------- SYN, АСК, ISNb, ISNa+1--------------------> Маршрутизатор 3

……………………………….…………………………….………………………

ЦУС —----------- SYN, АСК, ISNb, ISNa+1--------------------> Маршрутизатор n

Поскольку IP-адреса маршрутизаторов 1,..., n, которым предназначаются TCP-сегменты ЦУС, были сгенерированы нарушителем случайным образом и эти маршрутизаторы не могут ответить на отосланные им запросы, то по истечении определённого тайм-аута ЦУС завершает соединение с этими маршрутизаторами и посылает им TCP-сегмент с командой RST.

ЦУС------------------------ RST--------------- > Маршрутизатор 1

ЦУС------------------------ RST--------------- > Маршрутизатор 2

ЦУС —-—---------------- RST ———---- > Маршрутизатор 3

……………………………….…………………………….………………………

ЦУС ——————--- RST —— —--- --> Маршрутизатор n

Учитывая тот факт, что ЦУС, подвергшийся ВН, должен постоянно обрабатывать и сохранять в памяти информацию о создаваемых ложных TCP-соединениях с маршрутизаторами, через некоторое время будет либо нарушена работоспособность ЦУС, либо доступ к его информационным ресурсам и инфраструктурам будет полностью заблокирован.

Другим способом блокирования доступа к ЦУС является реализация ВН, получившего название «RST/FIN» [34]. Реализация данного ВН заключается в посылке нарушителем в ЦУС большого числа ТСР-сегментов с командами RST или FIN с целью несанкционированного блокирования TCP-соединений, установленных с ЦУС.

Рассмотрим механизм осуществления ВН этого типа более подробно. Предположим, что маршрутизаторы 1 и 2 установили TCP-соединение с ЦУС и обмениваются с ним ТСР-сегментами, посредством которых передаются сообщения, содержащие информацию управления. Нарушитель с целью блокирования доступа к ЦУС путём закрытия созданных TCP-соединений посылает в ЦУС от имени маршрутизаторов 1 и 2 TCP-сегменты с командами RST или FIN.

Нарушитель («Маршрутизатор 1»)--ACK,ISNb,ISNa,RST/FIN------------>ЦУС

Нарушитель («Маршрутизатор 2»)--ACK,ISNb,ISNa,RST/FIN------------>ЦУС

После получения таких TCP-сегментов ЦУС закрывает ТСР-соединения, установленные с маршрутизаторами 1 и 2. Периодическое формирование ВН такого типа приведёт к блокированию доступа к ЦУС.

Необходимо также отметить, что, для того чтобы поступившие ТСР-сегменты, предназначенные для несанкционированного закрытия TCP-соединения, были корректно обработаны в ЦУС, нарушитель должен правильно указать значения порядкового номера и номера подтверждения, характеризующие закрываемое TCP-соединение (т.е. значения ISNa и ISNb). Значения этих номеров могут быть получены нарушителем методом полного перебора или путём их извлечения из TCP-сегментов, перехваченных в процессе их передачи между ЦУС и маршрутизаторами.

Рассмотренные выше ВН «TCP Flooding» и «RST/FIN» могут также быть использованы для блокирования доступа ЦУС к маршрутизаторам IP-сети.

3.8.4. Воздействия нарушителя на прикладном уровне сте¬ка протоколов TCP/IP.

ВН на прикладном уровне стека протоколов TCP/IP направлены на активизацию уязвимостей протоколов SNMP, FTP и Telnet. В качестве основного протокола системы управления IP-сети, используемого на прикладном уровне, выступает протокол SNMP, описание которого было приведено ранее. В настоящее время существует три различные версии протокола SNMP, причём первая из них не предусматривает никаких средств защиты от ВН. Тем не менее, несмотря на это, именно первая версия протокола SNMP в настоящее время поддерживается в большинстве типов маршрутизаторов IP-сети. Ниже приведены примеры ВН, направленных на активизацию уязвимостей первой версии протокола SNMP.

3.8.4.1. Воздействия нарушителя, направленные на блокирование процесса передачи сообщений, содержащих информацию управления.

Дата добавления: 2014-01-14; Просмотров: 491; Нарушение авторских прав?; Мы поможем в написании вашей работы!