Информационная безопасность » Атаки на маршрутизацию http://www.microfinance.uz Бухгалтерский и налоговый учёт Thu, 26 Jan 2012 14:59:26 +0000 en hourly 1 http://wordpress.org/?v=3.1.2 Атаки на маршрутизацию http://www.microfinance.uz/ataki-na-marshrutizaciyu/ http://www.microfinance.uz/ataki-na-marshrutizaciyu/#comments Mon, 06 Oct 2008 07:16:42 +0000 admin http://www.microfinance.uz/ataki-na-marshrutizaciyu/ Возможно, читатель обратил внимание, что иногда в сфере интересов злоумышленника находится не только собственно хост жертвы, но и некоторые промежуточные узлы. В связи с этим рассмотрим еще один класс атак — атаки на маршрутизацию пакетов. Довольно часто для достижения атакующим пакетом хоста-жертвы может существовать альтернативный путь, либо путь, игнорирующий и изменяющий правила доступа к хосту-жертве. Кроме того, сам хост-жертва может по-разному реагировать на пакеты, поступившие различными путями. В любом из этих случаев в область интересов злоумышленника попадают промежуточные устройства доставки пакетов — маршрутизаторы. Учитывая то, что некоторые организации вместо полноценных межсетевых экранов используют маршрутизаторы с фильтрующими функциями либо без таковых, интерес злоумышленников будет вполне обоснованным.
Наиболее удобным с точки зрения атакующего вариантом будет получение доступа на редактирование таблиц маршрутизации — в этом случае он получает полный контроль над способами направления пакетов данным устройством. Однако получение такого доступа — задача нетривиальная, так как маршрутизаторы обычно находятся под пристальным вниманием администраторов и соответствующим образом защищены.
Одним из вариантов атаки на маршрутизацию без получения доступа к таблицам маршрутизации является возможность, заложенная в IP пакетах и называемая маршрутизацией от источника (англ. source routing). Данная опция позволяет отправителю управлять движением пакета, предоставляя промежуточным шлюзам маршрутизирующую информацию и игнорируя тем самым настройки, определенные администратором сети. При этом возможны два варианта: гибкий (англ. loose source route), когда между двумя соседними адресами в пути маршрутизации может стоять несколько других шлюзов, и жесткий (англ. strict source route), когда два соседних адреса должны находится в сетях, соединенных напрямую. Сама опция состоит из добавления к стандартному IP-заголовку набора из нескольких IP-адресов и указателя смещения, определяющего следующий адрес, который должен быть обработан.

Это свойство дает возможность реализации, например, такой атаки, которая реализуема в некоторых сервисах TCP/IP. Злоумышленник формирует пакет, в котором смещение уже больше длины. Хост назначения, получив пакет, считает маршрут исполненным и формирует пакет ответа, выстраивая обратную цепочку промежуточных узлов и направляя пакет первому хосту в этой цепочке. Поскольку эта цепочка была сформирована злоумышленником, то первым хостом в ней может стоять хост из внутренней сети, на границе которой стоит хост назначения, то есть внутренний хост, достижимый только через внутренний сетевой интерфейс хоста назначения.

]]> http://www.microfinance.uz/ataki-na-marshrutizaciyu/feed/ 0