Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
Рис. 3.9
Установление ТСР-соединения
Последовательность действий для установления ТСР-соединения такова:
1. Участник А посылает участнику В сообщение с установленным управляющим битом SYN, содержащее в поле SN некоторое начальное значение (IS S А).
2. Участник В отвечает сообщением с установленными контрольными битами SYN и АСК, содержащим в поле SN свое начальное значение (ISSB), а в поле AN - ISSA+ 1.
3. Участник А, получая сообщение 2, проверяет значение поля AN и в случае успешной проверки отправляет участнику В сообщение с установленным управляющем битом АСК, содержащее в поле SN значение ISSA+ 1, а В поле AN - ISSB + 1.
4. Теперь участники А и В могут обмениваться TCP-сообщениями, содержащими полноценные данные, и при этом в подобных сообщениях установлен управляющий бит АСК, а в полях SN и AN должны быть значения ISSA+ 1 и ISSB+ 1 соответственно.
_1;SYN, ISSA
^ 2: SYN, АСК,ISSB, 1SSA+1 3:АСК, 1SSA+1, 'SSB+1 4: АСК, ISSA+1, ISS8+1
266 Компьютерная безопасность и практическое применение криптографии
Атакующему для проведения атаки на конкретное TCP-соединение необходимо только получить текущие начальные значения ISSA и ISSB. Если нарушитель имеет возможность анализировать трафик, очевидно, что задача получения начальных значений представляется предельно простой -они берутся из перехваченных сообщений. В случае, если атакующий находится в другом сегменте и не имеет возможности анализировать трафик атакуемой стороны, задача подмены сводится к угадыванию начальных значений. Решение этой задачи облегчается тем, что разработчики сетевых компонентов ОС почему-то отказались от использования принципа случайности данных значений. Более того, даже в рекомендациях RFC 793 предложено получать начальные значения по счетчику, который должен увеличиваться каждые 4 мкс на 1 (единицу). В большинстве ОС закон генерации начальных значений зависит от системного времени, поэтому угадать начальные значения очень легко.
Теперь рассмотрим пример удаленной атаки подобного типа. Пусть сервер А находится в доверительных отношениях с хостом В. Целью злоумышленника в данном случае может служить установление ТСР-соеди-нения с сервером А от имени хоста В. Нарушитель, прежде чем провести атаку на сервер А, должен установить с ним легальное соединение с целью узнать закон генерации начальных значений. При проведении атак происходит следующая последовательность действий:
1. Хост нарушителя отправляет запрос на сервер А для установления TCP-соединения от имени хоста В. Запрос имеет следующий вид: SYN, ISSx.
2. Получая данный запрос, сервер А анализирует IP-адрес отправителя (нарушитель вставляет IP-адрес хоста В) и, полагая, что запрос пришел от хоста В, отправляет ему следующий ответ: SYN, АСК, ISS0, ISSx+ 1. Данное сообщение никогда не дойдет до нарушителя, поскольку оно будет направлено на IP-адрес хоста В, но для того, чтобы хост В, получив ответ на запрос, которого он не посылал, не направил серверу А сообщение о закрытии соединения (с установленным битом RTS), нарушитель должен заблокировать на время работу хоста В (проведя атаку типа «отказ в обслуживании»).
3. Нарушитель, имея представление о законе формирования начальных значений, может произвести угадывание ISN13. Затем он отправляет серверу А следующее сообщение: АСК, ISSx+ 1, ISSB+ 1.
После чего сервер А решает, что он установил соединение с хостом В, но сообщения от сервера А не дойдут до нарушителя, поскольку направляются
Защита информации при межсетевом взаимодействии_267
на IP-адрес хоста В, однако нарушитель сможет выполнять на сервере А удаленные команды.
Возможности проведения перечисленных выше удаленных атак в распределенных системах базируются на:
• использовании общедоступных каналов передачи данных. Например, большинство локальных сетей в Internet имеют топологию с общей шиной, что облегчает задачу по перехвату передаваемых сообщений. Следует отметить, что топология построения локальной сети типа «звезда» устойчива к некоторым удаленным атакам, например к внедрению ложного ARP-сервера;
• уязвимости в процедурах идентификации, реализованных в стеке протоколов TCP/IP. Идентифицирующая информация на уровне IP передается в открытом виде, что приводит к неконтролируемому ее искажению. Дальнейшая идентификация хостов в сети Internet возложена на транспортный уровень, однако протокол UDP не содержит дополнительных средств идентификации, и как следствие - протоколы более высокого уровня, применяющие UDP, потенциально подвержены удаленным атакам, использующим уязвимости в идентификации. Единственным протоколом, предназначенным для решения подобных задач, является TCP (о недостатках процедуры идентификации в протоколе TCP сказано в примере удаленной атаки в Internet);
• отсутствии возможности контроля за маршрутом прохождения сообщений в сети Internet. Это приводит к следующему: истинный IP-адрес отправителя нельзя определить, что делает удаленные атаки практически иенаказываемыми, поскольку проследить маршрут передачи IP-пакета является в существующей версии протокола IPv4 серьезной проблемой;
