Читаем Защита от хакеров корпоративных сетей полностью

«Используй силу, Лука…»

Стандарты – лучшие друзья злоумышленника. Он получает доступ к той же информации, что и пользователь. Фактически все, что происходит в сети пользователя, злоумышленник знает как свои пять пальцев. Если пользователь не знаком c Запросами на комментарии RFC (RFC – Requests for Comments, Запросы на комментарии. Серия документов IETF, начатая в 1969 году и содержащая описания набора протоколов Интернет и связанную с ними информацию) так же хорошо, как ее знает злоумышленник, пользователя ждут большие неприятности. Пользователю следует потратить некоторое время на сосредоточенное изучение руководящей информации по использованию протоколов своей сети, особенно новых стандартов. Хороший источник Запросов на комментарии RFC -rfc-editor.org. Необходимо время на отслеживание последних найденных уязвимостей и слабых мест в системе безопасности компьютеров, так что пользователю следует выделить достаточно времени в своем расписании для лабораторных исследований. В Интернете можно найти много различной информации по изъянам систем защиты. Вот постоянные места встреч злоумышленников:

• конференции (сетевые службы, рассылающие информацию по определенной теме) типа: alt.hackers.malicious, alt.2600 и alt.hacking;

• чаты, посвященные обсуждению проблем взлома компьютерных систем.

Кроме того, полезными могут оказаться такие машины поиска в сети Интернет (инструментальные средства, предназначенные для отсеивания информации, не относящейся к теме запроса), или, другими словами, поисковики, как, например, astalavistabox.sk и securityfocus.com. Они содержат множество ссылок на новейшие сайты. Эти сайты имеют тенденцию постоянно перемещаться, что объясняется расположенной на них информацией. Поэтому ссылки на них должны все время обновляться.

Другим способом удостовериться злоумышленнику в том, что все пакеты атакованной машины проходят через его машину, является модификация ARP таблицы на машине жертвы (машинах жертв). ARP-таблицы обеспечивают преобразование MAC-адресов (MAC – Media Access Control, протокол управления доступом к передающей среде. Подуровень канального уровня, задающий методы доступа к среде, формат кадров, способ адресации) в IP-адреса на каждой машине. ARP разработан как динамический протокол, поэтому при добавлении новых машин к сети или при присваивании машинам по разным причинам новых MAC-адресов адреса машин в сети обновляются автоматически в течение сравнительно короткого периода времени. В этом протоколе не предусмотрено никакой аутентификации.

Когда машина жертвы выдает широковещательный запрос (передает одно сообщение сразу всем станциям сети) определения MAC-адреса, соответствующего какому-либо IP-адресу (возможно, это IP-адрес шлюза по умолчанию на машине жертвы), все, что нужно сделать злоумышленнику, – это успеть ответить на него до того, как ответит настоящая машина. Это – классическое состояние гонок. Злоумышленник может повысить свои шансы на успех, загрузив истинный шлюз дополнительной работой, чтобы он не смог слишком быстро ответить.