Тому абсолютно очевидно, що маршрутизація в глобальних мережах виконує найважливішу роль і, як наслідок цього, може піддаватися атаці. Основна мета атаки, пов'язаної з нав'язуванням помилкового маршруту, полягає в тому, щоб змінити початкову маршрутизацію на об'єкті розподіленої ОС так, щоб новий маршрут проходив через помилковий об'єкт - хост атакуючого.
Реалізація даної типової видаленої атаки полягає в несанкціонованому використовуванні протоколів управління мережею для зміни початкових таблиць маршрутизації.
Для зміни маршрутизації атакуючому необхідно послати по мережі визначені даними протоколами управління мережею спеціальні службові повідомлення від імені мережних управляючих пристроїв (напрі-мер, маршрутизаторів). В результаті успішної зміни маршруту атакуючий одержить повний контроль над потоком інформації, якій обмінюються два об'єкти розподіленої ОС, і атака перейде в другу стадію, пов'язану з прийомом, аналізом і передачею повідомлень, одержуваних від дезинформованих об'єктів РОС.
Нав'язування об'єкту РОС помилкового маршруту - активна дія (клас 1.2), скоювана з будь-якою з цілей з класу 2, безумовно по відношенню до мети атаки (клас 3.3). Дана типова видалена атака може здійснюватися як усередині одного сегменту (клас 5.1), так і міжсегментний (клас 5.2), як із зворотним зв'язком (клас 4.1), так і без зворотного зв'язку з об'єктом (клас 4.2), що атакується, на транспортному (клас 6.3) і прикладному (клас 6.7) рівні моделі OSI.
Упровадження в розподілену ОС помилкового об'єкту шляхом використовування недоліків алгоритмів видаленого пошуку
У розподіленій ОС часто виявляється, що її видалені об'єкти спочатку не мають досить інформації, необхідної для адресації повідомлень. Звичайно такою інформацією є апаратні (адреса мережного адаптера) і логічні (IP-адреса, наприклад) адреси об'єктів РОС. Для отримання подібної інформації в розподілених ОС використовуються різні алгоритми видаленого пошуку, полягаючі в передачі по мережі спеціального виду пошукових запитів, і в очікуванні відповідей на запит з шуканою інформацією. Після отримання відповіді на запит, суб'єкт РОС, що запитав, володіє всіма необхідними даними для адресації. Керуючись одержаними з відповіді відомостями про шуканий об'єкт, суб'єкт РОС, що запитав, починає адресуватися до нього. Прикладом подібних запитів, на яких базуються алгоритми видаленого пошуку, можуть служити SAP-запит в ОС Novell NetWare, ARP- і DNS-запит в мережі Internet.
У разі використовування розподіленої ОС механізмів видаленого пошуку існує можливість на атакуючому об'єкті перехопити посланий запит і послати на нього помилкову відповідь, де вказати дані, використовування яких приведе до адресації на атакуючий помилковий об'єкт. Надалі весь потік інформації між суб'єктом і об'єктом взаємодії проходитиме через помилковий об'єкт РОС.
Інший варіант упровадження в РОС помилкового об'єкту використовує недоліки алгоритму видаленого пошуку і полягає в періодичній передачі на об'єкт наперед підготовленої помилкової відповіді, що атакується, без прийому пошукового запиту. Насправді, атакуючому для того, щоб послати помилкову відповідь, не завжди обов'язково чекати прийому запиту (він може, у принципі, не мати подібної нагоди перехоплення запиту). При цьому атакуючий може спровокувати об'єкт, що атакується, на передачу пошукового запиту, і тоді його помилкова відповідь негайно матиме успіх. Дана типова видалена атака надзвичайно характерна для глобальних мереж, коли у атакуючого через знаходження його в іншому сегменті щодо мети атаки просто немає можливості перехопити пошуковий запит.
Помилковий об'єкт РОС - активна дія (клас 1.2), скоювана з метою порушення конфіденційності (клас 2.1) і цілісності інформації (клас 2.2), яке може бути атакою за запитом від об'єкту (клас 3.1), що атакується, а також безумовною атакою (клас 3.3). Дана видалена атака є як внутрішньосегментною (клас 5.1), так і міжсегментною (клас 5.2), має зворотний зв'язок з об'єктом (клас 4.1), що атакується, і здійснюється на канальному (клас 6.2) і прикладному (клас 6.7) рівнях моделі OSI.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.