Учебное пособие Ставрополь сф мггу им. М. А. Шолохова 2009

201 маршрутизации существуют не только у маршрутизаторов, но и у любых хостов в глобальной сети. Для обеспечения эффективной и оптимальной маршрутизации в РВС применяются специальные управляющие протоколы, позволяющие маршрутизаторам:
- обмениваться информацией друг с другом: (RIP (Routing Internet
Protocol), OSPF (Open Shortest Path First)),
- уведомлять хосты о новом маршруте - ICMP (Internet Control
Message Protocol),
- удаленно управлять маршрутизаторами (SNMP (Simple Network
Management Protocol)).
Важно отметить, что все описанные выше протоколы позволяют удаленно изменять маршрутизацию в сети Internet, то есть являются протоколами управления сетью.
Поэтому абсолютно очевидно, что маршрутизация в глобальных сетях играет важнейшую роль и, как следствие этого, может подвергаться атаке.
Основная цель атаки, связанной с навязыванием ложного маршрута,
состоит в том, чтобы изменить исходную маршрутизацию на объекте РВС
так, чтобы новый маршрут проходил через ложный объект - хост
атакующего. Реализация данной типовой удаленной атаки состоит в
несанкционированном использовании протоколов управления сетью для
изменения исходных таблиц маршрутизации.
Данная атака проходит в две стадии:
1. Для атакующему необходимо послать
Рассылка по сети определенные данными протоколами управления сетью специальные служебные сообщения от имени сетевых управляющих устройств (например, маршрутизаторов), что приводит к изменению маршрутизации в сети. В результате успешного изменения маршрута атакующий получит полный контроль над потоком информации, которой обмениваются два объекта РВС.
2. прием, анализ и передача сообщений, получаемых от дезинформированных объектов РВС.
Навязывание объекту РВС ложного маршрута - активное воздействие
(класс 1.2), совершаемое с любой из целей из класса 2, безусловно по отношению к цели атаки (класс 3.3). Данная типовая удаленная атака может осуществляться как внутри одного сегмента (класс 5.1), так и межсегментно
(класс 5.2), как с обратной связью (класс 4.1), так и без обратной связи с атакуемым объектом (класс 4.2) на транспортном (класс 6.3) и прикладном
(класс 6.7) уровне модели OSI.

202
15.3.3.2 Внедрение ложного объекта путем использования недостатков
алгоритмов удаленного поиска
В РВС часто оказывается, что ее удаленные объекты изначально не имеют достаточно информации, необходимой для адресации сообщений.
Обычно такой информацией являются аппаратные (адрес сетевого адаптера) и логические (IP-адрес, например) адреса объектов РВС. Для получения подобной информации в распределенных ВС используются различные
алгоритмы удаленного поиска, заключающиеся в передаче по сети специального вида поисковых запросов, и в ожидании ответов на запрос с искомой информацией. После получения ответа на запрос, запросивший субъект РВС обладает всеми необходимыми данными для адресации.
Руководствуясь полученными из ответа сведениями об искомом объекте, запросивший субъект РВС начинает адресоваться к нему. Примером подобных запросов, на которых базируются алгоритмы удаленного поиска, могут служить ARP- и DNS-запросы в сети Internet.
В случае использования распределенной ВС механизмов удаленного
поиска существует возможность на атакующем объекте перехватить
посланный запрос и послать на него ложный ответ, где указать данные,
использование которых приведет к адресации на атакующий ложный
объект. В дальнейшем весь поток информации между субъектом и объектом взаимодействия будет проходить через ложный объект РВС.
Другой вариант внедрения в РВС ложного объекта использует
недостатки алгоритма удаленного поиска и состоит в периодической
передаче на атакуемый объект заранее подготовленного ложного ответа
без приема поискового запроса. В самом деле, атакующему для того, чтобы послать ложный ответ, не всегда обязательно дожидаться приема запроса (он может, в принципе, не иметь подобной возможности перехвата запроса). При этом атакующий может спровоцировать атакуемый объект на передачу поискового запроса, и тогда его ложный ответ будет немедленно иметь успех. Данная типовая удаленная атака чрезвычайно характерна для глобальных сетей, когда у атакующего из-за нахождения его в другом сегменте относительно цели атаки просто нет возможности перехватить поисковый запрос.
Ложный объект РВС - активное воздействие (класс 1.2), совершаемое с целью нарушения конфиденциальности (класс 2.1) и целостности информации (класс 2.2), которое может являться атакой по запросу от атакуемого объекта (класс 3.1), а также безусловной атакой (класс 3.3).
Данная удаленная атака является как внутрисегментной (класс 5.1), так и межсегментной (класс 5.2), имеет обратную связь с атакуемым объектом
(класс 4.1) и осуществляется на канальном (класс 6.2) и прикладном (класс
6.7) уровнях модели OSI.

203
15.3.4 Использование ложного объекта для организации удаленной атаки
на систему
Получив контроль над проходящим потоком информации между объектами, ложный объект РВС может применять различные методы воздействия на перехваченную информацию. В связи с тем, что внедрение в распределенную ВС ложного объекта является целью многих удаленных атак и представляет серьезную угрозу безопасности РВС в целом, выделяют
нижерасмотренные методы воздействия на информацию, перехваченную
ложным объектом.
15.3.4.1 Селекция потока информации и сохранение его на ложном
объекте системы
Одной из атак, которую может осуществлять ложный объект РВС, является перехват передаваемой между субъектом и объектом взаимодействия информации. Важно отметить, что факт перехвата информации (файлов, например) возможен из-за того, что при выполнении некоторых операций над файлами (чтение, копирование и т. д.) содержимое этих файлов передается по сети, а, значит, поступает на ложный объект.
Простейший способ реализации перехвата - это сохранение в файле всех получаемых ложным объектом пакетов обмена.
Тем не менее, данный способ перехвата информации оказывается недостаточно информативным. Это происходит вследствие того, что в пакетах обмена кроме полей данных существуют служебные поля, не представляющие в данном случае для атакующего непосредственного интереса. Следовательно, для того, чтобы получить непосредственно передаваемый файл, необходимо проводить на ложном объекте динамический семантический анализ потока информации для его селекции.
15.3.4.2 Модификация информации
Одной из особенностей любой системы воздействия, построенной по принципу ложного объекта, является то, что она способна модифицировать перехваченную информацию. Следует особо отметить, что это один из
способов, позволяющих программно модифицировать поток информации
между объектами РВС с другого объекта.Ведь для реализации перехвата информации в сети необязательно атаковать распределенную ВС по схеме
«ложный объект». Эффективней будет атака, осуществляющая анализ сетевого трафика, позволяющая получать все пакеты, проходящие по каналу связи, но, в отличие от удаленной атаки по схеме «ложный объект», она не способна к модификации информации.
Рассматривают два вида модификации информации.
1. Модификация передаваемых данных. В результате селекции потока перехваченной информации и его анализа система может распознавать тип

204 передаваемых файлов (исполняемый или текстовый). Соответственно, в случае обнаружения текстового файла или файла данных появляется возможность модифицировать проходящие через ложный объект данные.
Особую угрозу эта функция представляет для сетей обработки конфиденциальной информации.
2. Модификация передаваемого кода. Ложный объект РВС, проводя семантический анализ проходящей через него информации, может выделять из потока данных исполняемый код. Известный принцип неймановской архитектуры гласит, что не существует различий между данными и командами. Следовательно, для того, чтобы определить, что передается по сети - код или данные, необходимо использовать определенные особенности, свойственные реализации сетевого обмена в конкретной распределенной ВС или некоторые особенности, присущие конкретным типам исполняемых файлов в данной локальной ОС.
Представляется возможным выделить два различных по цели вида модификации кода:
2.1 Внедрение в РПС разрушающих программных средств - при передачи в РПС исполняемый файл модифицируется по вирусной технологии: к исполняемому файлу одним из известных способов дописывается тело РПС, а также одним из известных способов изменяется точка входа так, чтобы она указывала на начало внедренного кода РПС.
Описанный способ, в принципе, ничем не отличается от стандартного заражения исполняемого файла вирусом, за исключением того, что файл
оказался поражен вирусом или РПС в момент передачи его по сети!
Такое возможно лишь при использовании системы воздействия, построенной по принципу «ложный объект».
2.2 Изменение логики работы исполняемого файла - происходит модификация исполняемого кода с целью изменения логики его работы.
Данное воздействие требует предварительного исследования работы исполняемого файла.
15.3.4.3 Подмена информации
Ложный объект позволяет не только модифицировать, но и подменять перехваченную им информацию. При возникновении в сети определенного
контролируемого ложным объектом события одному из участников обмена
посылается заранее подготовленная дезинформация. При этом такая дезинформация в зависимости от контролируемого события может быть воспринята либо как исполняемый код, либо как данные.
Рассмотрим пример подобного рода дезинформации. Предположим, что ложный объект контролирует событие, которое состоит в подключении пользователя к серверу. В этом случае он ожидает, например, запуска соответствующей программы входа в систему. В случае, если эта программа находится на сервере, то при ее запуске исполняемый файл передается на

205 рабочую станцию. Вместо того, чтобы выполнить данное действие, ложный объект передает на рабочую станцию код заранее написанной специальной программы - захватчика паролей. Эта программа выполняет визуально те же действия, что и настоящая программа входа в систему, например, запрашивая имя и пароль пользователя, после чего полученные сведения посылаются на ложный объект, а пользователю выводится сообщение об ошибке. При этом пользователь, посчитав, что он неправильно ввел пароль (пароль обычно не отображается на экране) снова запустит программу подключения к системе
(на этот раз настоящую) и со второго раза получит доступ. Результат такой атаки - имя и пароль пользователя, сохраненные на ложном объекте.
15.3.5 Отказ в обслуживании
В общем случае в РВС каждый субъект системы должен иметь возможность подключиться к любому объекту РВС и получить в соответствии со своими правами удаленный доступ к его ресурсам.
Обычно в вычислительных сетях возможность предоставления удаленного доступа реализуется следующим образом: на объекте РВС в сетевой ОС запускаются на выполнение ряд программ-серверов (например,
FTP-сервер, WWW-сервер и т.п.), предоставляющих удаленный доступ к ресурсам данного объекта. В случае получения запроса на соединение сервер должен по возможности передать на запросивший объект ответ, в котором либо разрешить подключение, либо нет. Очевидно, что сетевая ОС способна отвечать лишь на ограниченное число запросов. Эти ограничения зависят от параметров ОС и ЭВМ, основными из которых являются быстродействие
ЭВМ, объем оперативной памяти и пропускная способность канала связи.
Различают три типа удаленных атак «отказа в обслуживании»:
- Если инфраструктура РВС позволяет с одного объекта системы передавать на другой атакуемый объект бесконечное число анонимных запросов на подключение от имени других объектов, то в этом случае будет иметь успех типовая удаленная атака «Отказ в
обслуживании». Результат применения этой удаленной атаки - нарушение на атакованном объекте работоспособности соответствующей службы предоставления удаленного доступа, то есть невозможность получения удаленного доступа с других объектов РВС - отказ в обслуживании!
- Вторая разновидность этой типовой удаленной атаки состоит в передаче с одного адреса такого количества запросов на атакуемый объект, какое позволяет пропускная способность канала связи
(направленный «шторм» запросов). В этом случае, если в системе не предусмотрены правила, ограничивающие число принимаемых запросов с одного объекта (адреса) в единицу времени, то результатом этой атаки может являться как переполнение очереди запросов и отказа одной из телекоммуникационных служб, так и

206 полная остановка компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов.
- Третьей разновидностью атаки «Отказ в обслуживании» является передача на атакуемый объект некорректного, специально подобранного запроса. В этом случае при наличии ошибок в удаленной системе возможно зацикливание процедуры обработки
запроса, переполнение буфера с последующим зависанием системы.
Типовая удаленная атака «Отказ в обслуживании» является активным воздействием
(класс
1.2), осуществляемым с целью нарушения работоспособности системы (класс 2.3), безусловно относительно цели атаки
(класс 3.3). Данная УА является однонаправленным воздействием (класс 4.2), как межсегментным (класс 5.1), так и внутрисегментным (класс 5.2), осуществляемым на транспортном (класс 6.4) и прикладном (класс 6.7) уровнях модели OSI.
Соответствие рассматренных типовых удаленных атак классификации приведена в таблице 15.1.
Таблица 15.1 - Классификация типовых удаленных атак на РВС
Типовая удаленная
атака
Х
ара к
те р в
оз д
ей ст в
и я
Ц
ел ь в
оз д
ей ст в
и я
У
сл ов и
е н
ач ал а ос ущ ес тв л
ен и
я в
оз д
ей ст в
и я
Н
ал и
ч и
е об ра тн ой с
в я
зи с ат ак уе м
ы м
об ъ
ек том
Р
ас п
ол ож ен и
е суб ъ
ек та ат ак и
от н
ос и
те л
ьн о
ат ак уе м
ог о об ъ
ек та
Уровень модели OSI
Класс воздействия
1.1 1.2 2.1 2.2 2.3 3.1 3.2 3.3 4.1 4.2 5.1 5.2 6.1 6.2 6.3 6.4 6.5 6.6 6.7
Анализ сетевого трафика
+
-
+
-
-
-
-
+
-
+ +
-
-
+
-
-
-
-
-
Подмена доверенного объекта РВС
-
+ + +
-
-
+
-
+ + + +
-
-
+ +
-
-
-
Внедрение в РВС ложного объекта путем навязывания ложного маршрута
-
+ + + +
-
-
+ + + + +
-
-
+
-
-
-
-
Внедрение в РВС ложного объекта за счет недостатков алгоритмов удаленного поиска
-
+ + +
-
+
-
+ +
-
+ +
-
+ + +
-
-
-
Отказ в обслуживании
-
+
-
-
+
-
-
+
-
+ + +
-
+ + + + + +

207
15.4 Анализ типовых уязвимостей позволяющих реализовать
успешные удаленные атаки
Анализ механизмов реализации типовых УА и их практическое осуществление на примере сети Internet позволили сформулировать набор типовых уязвимостей и причин, по которым данные удаленные атаки оказались возможными. Особо отметим, что рассматриваемые ниже уязвимости основываются на базовых принципах построения сетевого взаимодействия объектов РВС.
Для устранения причин атак зачастую необходимо либо отказаться от определенных служб (DNS, например), либо изменить конфигурацию системы (наличие широковещательной среды приводит к возможности прослушивания канала, осуществляемого программным образом), либо изменить систему в целом. Все дело в том, что причины успеха удаленных атак данного типа кроются в инфраструктуре РВС, поэтому создание таксономии причин их успеха представляется весьма важной задачей, решение которой позволит выработать принципы построения защищенного взаимодействия в РВС.
Итак, рассмотрим возможные причины успеха УА на инфраструктуру и базовые протоколы распределенных ВС.
15.4.1 Отсутствие выделенного канала связи между объектами системы
Атака «Анализ сетевого трафика» заключается в прослушивании канала передачи сообщений в сети. Результат этой атаки во-первых, выяснение логики работы распределенной ВС и, во-вторых, перехват потока информации, которой обмениваются объекты системы. Такая атака программно возможна только в случае, если атакующий находится в сети с физически широковещательной средой передачи данных как, например, всем известная и получившая широкое распространение среда Ethernet. Очевидно, что данная УА была бы программно невозможна, если бы у каждого объекта системы существовал для связи с любым другим объектом выделенный канал
(вариант физического прослушивания выделенного канала не рассматривается, так как без специфических аппаратных средств подключение к выделенному каналу невозможно).
Следовательно, причина успеха данной типовой УА - наличие широковещательной среды передачи данных или отсутствие выделенного канала связи между объектами РВС.