Читаем Защита от хакеров корпоративных сетей полностью

· Злоумышленник может удаленным способом модифицировать таблицы маршрутизации для переадресации пакетов или размещения своей системы на пути пересылки пакетов между двумя хостами по выбранному маршруту.

· Злоумышленник может обмануть протокол управляющих сообщений в сети Интернет ICMP и переадресовать пакеты, убедив нужные ему хосты в наличии наилучшего маршрута пересылки данных, проходящего через его IP-адрес. Модификацией исходных текстов злоумышленник может добиться того, что операционные системы типа UNIX не будут уменьшать счетчик предписанного времени жизни пересылаемого пакета TTL и не посылать ICMP-сообщения о недостижимости адресата, что может иметь большое значение для уклонения от обнаружения средствами трассировки маршрута типа утилиты traceroute.

· При атаке на протокол разрешения адресов ARP во время выдачи машиной жертвы широковещательного запроса для определения МАС-адресов, соответствующих выделенным IP-адресам (возможно, заданному по умолчанию IP-адресу шлюза жертвы), все, что потребуется от злоумышленника, – это ответить раньше реально запрашиваемой машины.

· Программа Juggernaut, написанная редактором журнала «Phrack», была пионерской работой в области создания инструментальных средств снифинга и перехвата сеансов. Она обладает обширными функциональными возможностями и может обслуживать произвольные порты протокола TCP. Программа Juggernaut очень интересна, но ее разработка в настоящее время прекращена.

· Программа Hunt, написанная Паулем Краузом (Pavel Krauz), по своим функциональным возможностям схожа с программой Juggernaut, но в ней добавлены средства имитации соединения (спуфинга) по протоколу ARP; Ettercap – многоцелевая программа, используемая прежде всего для снифинга, захвата и регистрации трафика в коммутируемых локальных сетях LAN. Она поддерживает пассивный и активный анализы различных протоколов.

· SMBRelay – программа, написанная SirDystic cDc, которая позволяет перехватывать данные протокола блока серверных сообщений SMB, разрывая соединение клиента после его аутентификации и занимая существующий SMB-сеанс с тем же самым мандатом.

· Эксперименты с протоколом ARP и перехват сеанса TCP могут создавать излишний трафик в сети и помехи. Синхронизация и дублирование обмениваемых между хостами уведомлений ACK в перехваченном сеансе приводят к перегрузке сети уведомлениями ACK. Можно написать программу, которая бы наблюдала за ответами, вычисляла бы кэш-величину пакета и затем сохраняла ее на определенный срок времени. Получение пакета с приблизительно соответствующими характеристиками, но с отличающейся кэш-величиной свидетельствует о возможных проблемах в сети.

· Широкое использование шифрования является одним из самых простых способов укрепления защиты от многих сетевых атак перехвата сессии. SSH2 по своим функциональным возможностям может заменить Telnet, FTP, rlogin и rcp. Кроме того, можно туннелировать протоколы типа HTTP или X Windows поверх SSH2-соединения.

· Атаки типа MITM («человек (злоумышленник) посередине») являются, вероятно, наиболее эффективным типом атак, используемых сегодня злоумышленниками при перехвате зашифрованных протоколов и сессий типа SSH1 и SSL.

Наиболее часто авторы книги отвечали на приведенные ниже вопросы. Вопросы интересны тем, что позволяют читателю лучше усвоить изложенный в главе материал и реализовать его на практике для обеспечения безопасности вычислительных систем. Если у читателя возникли вопросы по главе, зайдите на сайт www.syngress.com/solutions и щелкните мышкой на кнопке «Ask the Author».

Вопрос: Существуют ли какие-либо решения проблемы повторной синхронизации и появления команд на экране жертвы? Ответ: Несмотря на развитие в течение нескольких лет технологических средств, так или иначе относящихся к перечисленным вопросам, провести исследование в области методов перехвата довольно легко. Пока еще не было выпущено каких-либо инструментальных средств решения проблемы повторной синхронизации и появления команд на экране жертвы. Но автор, исходя из собственного исследования, проведенного во время написания этой главы, подозревает о существовании некоторых подходов к решению перечисленных проблем, основанных на объявлении размеров окон. По мере получения новых результатов в этой области и появления соответствующих инструментальных средств на сайте internettradecraft.com site будут указаны ссылки на первоисточники по этой теме.