Необхідність захисту даних. Класифікація видалених атак на розподілені обчислювальні системи. Характеристика і механізми реалізації типових видалених атак. Принципи створення захищених систем зв'язку в розподілених обчислювальних системах, страница 24

Як захист варто ще раз порекомендувати не пропускати в мережі пакети з внутрішніми адресам, але що прийшли ззовні. Також рекомендується закрити на firewall використовування більшості сервісів.

Затоплення SYN-пакетами

Мабуть, затоплення SYN-пакетами ("SYN flooding") - найвідоміший спосіб напаскудити ближньому, з того часу, як електронний журнал хакера "2600" опублікував початкові тексти програми, що дозволяють занятьсе цим навіть некваліфікованим користувачам. Слід помітити, що вперше ця атака була згадана ще в 1986 році все тим же Робертом Т. Морісом.

Пригадаємо, як працює TCP/IP у разі вхідних з'єднань. Система відповідає на C-SYN-пакет S-SYN/C-ACK-пакетом, що прийшов, переводить сесію в стан SYN_RECEIVED і заносить її в чергу. Якщо в перебігу заданого часу від клієнта не прийде S-ACK, з'єднання віддаляється з черги, інакше з'єднання переводиться в стан ESTABLISHED.

Розглянемо випадок, коли черга вхідних з'єднань вже заповнена, а система одержує SYN-пакет, що запрошує до установки з'єднання. По RFC він буде мовчки проігнорований.

Затоплення SYN-пакетами засноване на переповнюванні черги серверу, після чого сервер перестає відповідати на запити користувачів. Найвідоміша атака такого роду - атака на Panix, нью-йоркського провайдера. Panix не працював в перебігу 2-х тижнів.

У різних системах робота з чергою реалізована по різному. Так, в BSD-системах, кожен порт має свою власну чергу розміром в 16 елементів. У системах SunOS, навпаки, такого розділення і немає і система просто має в своєму розпорядженні велику загальну чергу. Відповідно, для того, що б заблокувати, наприклад, WWW-порт на BSD достатньо 16 SYN-пакетів, а для Solaris 2.5 їх кількість буде набагато більше.

Після закінчення деякого часу (залежить від реалізації) система видаляє запити з черги. Проте нічого не заважає крекеру послати нову порцію запитів. Таким чином, навіть знаходячись на з'єднання 2400 bps, крекер може посилати кожні півтори хвилини по 20-30 пакетів на FreeBSD-сервер, підтримуючи його в неробочому стані (природно, ця помилка була скоректована в останніх версіях FreeBSD)

Як завжди, крекер може скористатися випадковими зворотними IP-адресами при формуванні пакетів, що утрудняє його виявлення і фільтрацію його трафіку.

Детектування нескладне -- велика кількість з'єднань в стані SYN_RECEIVED, ігнорування спроб з'єднається з даним портом. Як захист можна порекомендувати патчи, які реалізують автоматичне "прореженіє" черзі, наприклад, на основі алгоритму Early Random Drop. Для того, що б взнати, якщо до Вашої системи захист від SYN-затоплення, зверніться до постачальника системи.

Інший варіант захисту - набудувати firewall так, що б що всі входять TCP/IP-соединения встановлював він сам, і лише після цього перекидав їх всередину мережі на задану машину. Це дозволить Вам обмежити syn-затоплення і не пропустити його всередину мережі.


IPSec - протокол захисту мережного трафіку на IP-рівні

Коротка історична довідка появи протоколу

У 1994 році Рада з архітектури Інтернет (IAB) випустила звіт "Безпека архітектури Інтернет". У цьому документі описувалися основні області застосування додаткових засобів безпеки в мережі Інтернет, а саме захист від несанкціонованого моніторингу, підміни пакетів і управління потоками даних. У числі першочергових і найважливіших захисних заходів указувалася необхідність розробки концепції і основних механізмів забезпечення цілісності і конфіденційності потоків даних. Оскільки зміна базових протоколів сімейства TCP/IP викликала б повну перебудову мережі Інтернет, була поставлена задача забезпечення безпеки інформаційного обміну у відкритих телекомунікаційних мережах на базі існуючих протоколів. Таким чином, почала створюватися специфікація Secure IP, додаткова по відношенню до протоколів IPv4 і IPv6.

Архітектура IPSec

IP Security - це комплект протоколів, що стосуються питань шифрування, аутентифікації і забезпечення захисту при транспортуванні IP-пакетів; у його склад зараз входять майже 20 пропозицій за стандартами і 18 RFC.