Лабораторная работа Исследование системы анализа рисков и проверки политики информационной безопасности предприятия
жүктеу/скачать 7,35 Mb. Pdf көрінісі
|
Зертханалық жұмыстар
|
266 Smurf-атака Smurf-атака – это разновидность атаки «brute force» (атаки грубой силой), использующая тот же метод, что и ping-лавина, но направляющая лавину ICMP- пакетов эхо-запросов на маршрутизатор сети. Адресом назначения ping-пакетов В ЭТОМ случае служит широковещательный адрес сети, вынуждающий маршрутизатор рассылать пакет всем компьютерам сети или ее сегмента. Это может привести к большому объему сетевого трафика, если имеется много компьютеров-хостов, способных создать перегрузку, вызывающую отказ от обслуживания законных пользователей. ПРИМЕЧАНИЕ Широковещательный адрес обычно в идентификаторе хоста представляется всеми единицами. Это означает, что, например, в сети класса С 192.168.1.0 широковещательный адрес будет 192.168.1.255 (255 в десятичной системе счисления и 1111111 — в двоичной), а идентификатор хоста в сети класса С представляется последним или z- октетом. Сообщение, посланное на широковещательный адрес, немедленно отправляется на все хосты сети. Самая коварная форма – применение Smurf-атакующим ложного IP- адреса подтверждения получения ping-пакетов. В этом случае и сеть, в которую посланы пакеты, и сеть, которой принадлежит IP-адрес ложного источника будут перегружены трафиком. Сеть, к которой относится адрес ложного источника, будет наводнена ответами на команду ping, когда все хосты, которым послана эта команда, ответят на эхо-запрос эхо-ответом. Smurf-атаки могут нанести гораздо больший ущерб, чем некоторые другие разновидности DoS-атак, такие как SYN-лавины. Последние воздействуют только на способность других компьютеров устанавливать соединения по TCP-протоколу с атакованным сервером, а Smurf-атака может полностью нарушить работу ISP (провайдер интернет-услуг) на несколько минут или часов. Это объясняется тем, что один злоумышленник может легко 267 отправить 40 или 50 ping-пакетов в секунду даже с помощью медленного модемного соединения. Поскольку каждый запрос пересылается каждому компьютеру в сети-адресате, число ответов в секунду равно от 40 до 50, помноженным на число компьютеров в сети, т. е. может достигать сотен или тысяч. Этих данных достаточно, чтобы перегрузить даже канал Т-1. Один из способов предотвращения Smurf-атаки на сеть как цель широковещательной рассылки – отключение возможности передачи широковещательного трафика на маршрутизатор. Большинство маршрутизаторов позволяют сделать это. Для того чтобы помешать сети стать жертвой, IP-адрес который используется для ложного подтверждения, необходимо конфигурировать брандмауэр для отфильтровывания входящих ping-пакетов. жүктеу/скачать 7,35 Mb. Достарыңызбен бөлісу:
|