Читаем Защита от хакеров корпоративных сетей полностью

Тем не менее если злоумышленник может при желании уничтожать (блокировать) пакеты, то он может прекрасно справиться с эмуляцией другого конца канала связи для любого хоста. (Теоретически он может прекрасно эмулировать любую из двух сторон, участвующих в соединении. Это зависит от качества программного обеспечения эмуляции TCP-хоста, имеющего в распоряжении злоумышленника. Были проведены исследования в области пассивной идентификации операционной системы. Если эмуляция злоумышленником характерных для операционной системы признаков несовершенна, то при использовании хостом средств пассивного обнаружения операционной системы у него есть шансы выявить изменения в TCP-соединении и сообщить об аномалии.) Имея возможность удалять пакеты, можно устранить перегрузку сети пакетами уведомления об успешном приеме данных ACK (ACK storm), дублирование пакетов и т. д.

В действительности системы, способные осуществлять прием-передачу сетевых данных описанным способом, уже существуют. Их называют прозрачными брандмауэрами ((transparent firewalls). Брандмауэр – аппаратно-программные средства межсетевой защиты. В данном случае прозрачность означает, что клиент не нуждается в специализированных настройках.) Некоторые из подобных средств межсетевой защиты могут осуществлять кэширование файлов, перенаправление портов, дополнительные возможности аутентификации, а также ряд других уловок из арсенала злоумышленника.

Обычно злоумышленник может создать такую ситуацию, в которой он сможет блокировать пакеты. Блокировать пакеты он может тремя способами. Во-первых, модифицируя таблицы маршрутизации таким образом, чтобы поток пакетов проходил через контролируемую им систему (перенаправление на сетевом уровне Layer 3). (Layer 3 – сетевой уровень (network layer) в модели OSI. Сетевой уровень отвечает за адресацию и маршрутизацию при межсетевом обмене.) Во-вторых, изменяя таблицы мостов путем работы с кадрами связующего дерева сети (перенаправление на уровне канала передачи данных Layer 2). И наконец, в-третьих – перекоммутируя физические кабели таким образом, чтобы кадры проходили через систему злоумышленника (перенаправление на физическом уровне Layer 1). (Layer 1 – первый (физический) уровень в модели OSI. Он определяет связь на уровне аппаратуры.) В последнем случае подразумевается физический доступ к системе кабелей жертвы. Возможно, что в этом случае придется столкнуться с гораздо более серьезными проблемами, нежели в случае с перехватом TCP-сеанса.

В большинстве случаев злоумышленник будет пытаться удаленно изменить таблицы маршрутизации. Был проведен ряд исследований в области широкомасштабного изменения таблиц маршрутизации, основанных на экспериментах с пограничным межсетевым протоколом BGP. (Протокол BGP – Border Gateway Protocol, пограничный межсетевой протокол. Усовершенствованный внешний шлюзовой протокол, основанный на опыте использования протокола EGP в магистральной сети NSFNET.) Протокол BGP используется большинством поставщиков услуг Интернет для обмена маршрутами передачи информации между собой. Инсайдеры (лица, имеющие доступ к внутренней информации о корпорации. Обычно инсайдерами являются директора и старшие менеджеры, а также владельцы более 10 % голосов компании) утверждают, что большинство из поставщиков услуг Интернета слишком доверчивы друг к другу, что позволяет одним вносить изменения в маршруты передачи данных других. Обращение Lopht к американскому конгрессу несколько лет назад по большей части основывалось на результатах экспериментов с протоколом BGP. В обращении утверждалось, что в результате манипуляций с протоколом BGP Интернет может быть выведен из строя в течение 30 мин.