Видове атаки и заплахи в компютърни мрежи
Логически бомби (Logic Bombs)
Изтегляне 6.18 Mb.
|
- Навигация на страницата:
- 1.5. Атаки насочени към комуникационен слой.
- 1.5.2. ARP spoofing.
1.4.3. Логически бомби (Logic Bombs).Те са програмен код или програма, които се изявяват спонтанно при определени условия. Пример. Програма се пуска в експлоатация през 2004 г. В част от кода на програмата, която реализира определена функцоналност се поставя условие. Пример за такава функционалност е настройка на определена опция. При активиране и констатиране на дата от системен часовник 2005 г. се преустановява работата на програмата и всички съхранени данни се изтриват. 1.5. Атаки насочени към комуникационен слой.1.5.1. Sniffing.Sniffing е процес на улавяне на пакети в компютърна мрежа, а програмите за следене на трафик се наричат снифери (sniffer) или протоколни анализатори. В случай че в мрежа се използва хъб за комуникация е възможна успешна атака. При получен пакет на определен порт на хъба ще го изпрати към всички портове. Атакуващият поставя в отворен режим на мрежова карта (promiscuous mode) и по този начин подслушва целия трафик в мрежата. Различен случай ще се наблюдава ако в мрежата се използва суич (switch) . Всеки суич притежава маршрутизираща таблица, в която се съдържат MAC адрес и IP адрес на получателя. При получаване на пакет от определен порт той ще се препрати към точно определен друг порт, съответстващ на MAC и IP адреси. Когато маршрутизиращата таблица бъде препълнена, комутиращото устройство има нужда да я обнови. Това е възможно при преминаване в режим на хъб. Прекратява се комутиране на постъпващи пакети и те се изпращат до всички портове. По този начин пакетите могат да бъдат подслушани. Друг вариант за успешно подслушване на пакети е да бъде атакувано маршрутизиращото устройство и да се промени режимът му на работа. На фиг.1.8. е представена примерна схема на атаката. фиг.1.8. Sniffing след атака на суич. 1.5.2. ARP spoofing.Всяка крайна система, използваща технологиите Ethernet/IP, притежава два адреса : хардуерен MAC адрес; софтуерно зададен IP адрес. В вслучай че крайната система ще предава данни към друга крайна система, формира пакет (фрейм), в който записва : собствен МАС адрес; собствен IP адрес; МАС адрес на получателя; IP адрес на получателя. В момента на формиране на пакет е известен IP адресът на получателя, но не и неговият МАС адрес. За да бъде открит МАС адресът на получателя, ARP (Adress Resolution Protocol) изпраща запитване под формата на пакет (ARP request). Пакетът се изпраща до всички хостове в локалната мрежа (broadcast) . Преведно на литературен език има следния смисъл : <<Този, който притежава търсения от мен IP адрес, моля да ми изпрати като отговор стойността на хардуерния си адрес>>. След като бъде открит търсеният МАС адрес, запитаният хост изпраща отговор под формата на ARP пакет (ARP replay). За да се минимизират запитванията, операционната система поддържа локален списък на съответствията (кеш, cache) (ARP таблица). ARP spoofing e атака свързана с подмяна на съдържанието на ARP таблицата. Чрез подмяна МАС адрес на компютъра-жертва се препращат пакетите към атакуващия компютър. На фигури 1.9. и 1.10. са представени примерни схеми на атаката. фиг.1.9. Състояние на мрежа преди атака. В този случай атакуващият компютър 192.168.1.243 има за цел да подслушва всички пакети от компютър с адрес 192.168.1.30, чрез рутера на мрежата 192.168.1.1, но с МАС адрес АА:АА:АА:АА:АА:АА. За да бъде усшешна тази атака е необходимо на атакувания компютър 192.168.1.30 да бъде променена собствената ARP таблица. Това е възможно чрез изпращане на фалшиви ARP съобщения под формата на broadcast или директно насочени под формата на ARP replay към 192.168.1.30. Краят на атака е представена на на фигура 1.10. фиг.1.10. Състояние на мрежа след края на атака. Изтегляне 6.18 Mb. Сподели с приятели:
|