Информационная безопасность. Макаренко С.И. - 215 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

215
заголовке пакета в поле Destination Address IP-адрес данного хоста. Однако,
как видно из рис. 16.2, IP-пакет находится внутри Ethernet-пакета, поэтому
каждый пакет в конечном счете адресуется на аппаратный адрес сетевого
адаптера, непосредственно осуществляющего прием и передачу пакетов в
сеть (при рассмотрении Ethernet-сети).
То есть, для адресации IP-пакетов в сети Internet кроме IP-адреса хоста
необходим еще либо Ethernet-адрес его сетевого адаптера (в случае
адресации внутри одной подсети), либо Ethernet-адрес маршрутизатора
случае межсетевой адресации). Первоначально хост может не иметь
информации о Ethernet-адресах других хостов, находящихся с ним в одном
сегменте, в том числе и о Ethernet-адресе маршрутизатора. Следовательно,
перед хостом встает стандартная проблема, решаемая с помощью алгоритма
удаленного поиска.
В сети Internet для решения проблемы удаленного поиска Ethernet-
адресов используется протокол ARP (Address Resolution Protocol). Протокол
ARP позволяет получить взаимно однозначное соответствие IP- и Ethernet-
адресов для хостов, находящихся внутри одного сегмента.
Это достигается следующим образом:
- При первом обращении к сетевым ресурсам хост отправляет
широковещательный ARP-запрос на Ethernet-адрес
FFFFFFFFFFFFh, в котором указывает IP-адрес маршрутизатора и
просит сообщить его Ethernet-адрес. Этот широковещательный
запрос получат все станции в данном сегменте сети, в том числе и
маршрутизатор.
- Получив данный запрос, маршрутизатор внесет запись о
запросившем хосте в свою ARP-таблицу, а затем отправит на
запросивший хост ARP-ответ, в котором сообщит свой Ethernet-
адрес.
- Полученный в ARP-ответе Ethernet-адрес будет занесен в ARP-
таблицу, находящуюся в памяти операционной системы на
запросившем хосте и содержащую записи соответствия IP- и
Ethernet-адресов для хостов внутри одного сегмента.
В случае использования в РВС алгоритмов удаленного поиска
существует возможность осуществления в такой сети типовой удаленной
атаки «Ложный объект РВС». Из анализа безопасности протокола ARP
становится ясно, что, перехватив на атакующем хосте внутри данного
сегмента сети широковещательный ARP-запрос, можно послать ложный
ARP-ответ, в котором объявить себя искомым хостом (например,
маршрутизатором), и в дальнейшем активно контролировать и
воздействовать на сетевой трафик «обманутого» хоста по схеме «Ложный
объект РВС».
Рассмотрим обобщенную функциональную схему ложного ARP-
сервера (рис. 16.3):
- ожидание ARP-запроса; 
заголовке пакета в поле Destination Address IP-адрес данного хоста. Однако,
как видно из рис. 16.2, IP-пакет находится внутри Ethernet-пакета, поэтому
каждый пакет в конечном счете адресуется на аппаратный адрес сетевого
адаптера, непосредственно осуществляющего прием и передачу пакетов в
сеть (при рассмотрении Ethernet-сети).
      То есть, для адресации IP-пакетов в сети Internet кроме IP-адреса хоста
необходим еще либо Ethernet-адрес его сетевого адаптера (в случае
адресации внутри одной подсети), либо Ethernet-адрес маршрутизатора (в
случае межсетевой адресации). Первоначально хост может не иметь
информации о Ethernet-адресах других хостов, находящихся с ним в одном
сегменте, в том числе и о Ethernet-адресе маршрутизатора. Следовательно,
перед хостом встает стандартная проблема, решаемая с помощью алгоритма
удаленного поиска.
      В сети Internet для решения проблемы удаленного поиска Ethernet-
адресов используется протокол ARP (Address Resolution Protocol). Протокол
ARP позволяет получить взаимно однозначное соответствие IP- и Ethernet-
адресов для хостов, находящихся внутри одного сегмента.
      Это достигается следующим образом:
      - При первом обращении к сетевым ресурсам хост отправляет
         широковещательный          ARP-запрос         на      Ethernet-адрес
         FFFFFFFFFFFFh, в котором указывает IP-адрес маршрутизатора и
         просит сообщить его Ethernet-адрес. Этот широковещательный
         запрос получат все станции в данном сегменте сети, в том числе и
         маршрутизатор.
      - Получив данный запрос, маршрутизатор внесет запись о
         запросившем хосте в свою ARP-таблицу, а затем отправит на
         запросивший хост ARP-ответ, в котором сообщит свой Ethernet-
         адрес.
      - Полученный в ARP-ответе Ethernet-адрес будет занесен в ARP-
         таблицу, находящуюся в памяти операционной системы на
         запросившем хосте и содержащую записи соответствия IP- и
         Ethernet-адресов для хостов внутри одного сегмента.
      В случае использования в РВС алгоритмов удаленного поиска
существует возможность осуществления в такой сети типовой удаленной
атаки «Ложный объект РВС». Из анализа безопасности протокола ARP
становится ясно, что, перехватив на атакующем хосте внутри данного
сегмента сети широковещательный ARP-запрос, можно послать ложный
ARP-ответ, в котором объявить себя искомым хостом (например,
маршрутизатором), и в дальнейшем активно контролировать и
воздействовать на сетевой трафик «обманутого» хоста по схеме «Ложный
объект РВС».
      Рассмотрим обобщенную функциональную схему ложного ARP-
сервера (рис. 16.3):
      - ожидание ARP-запроса;

                                     215

Страницы