«Незаметные» ARP и ICMP

Стандартизация и широкое распространение сети Internet, по которой сегодня передается много интересной, но иногда не предназначенной для посторонних глаз информации вызывает у некоторых участников коммуникационного пространства Сети соблазн нарушить конфиденциальность. Для этого, например, используется ложный ARP-сервер или реакция сетевой ОС на ICMP сообщение Redirect datagrams for the Host. Цель данной статьи разбор некоторых опасных лазеек в сетевом окружении, через которые могут пролезть хакеры и рассмотрение некоторых способов их блокировки.

В вычислительных сетях связь между двумя удаленными хостами осуществляется путем передачи по сети сообщений, заключенных в пакеты обмена. В общем случае, передаваемый по сети пакет, вне зависимости от используемого протокола и типа сети (Token Ring, Ethernet, X.25 и др.), состоит из заголовка пакета и поля данных. В заголовок пакета обычно заносится служебная информация, определяемая используемым протоколом обмена и необходимая для адресации пакета, его идентификации, преобразования и т. д. В поле данных помещаются либо непосредственно данные, либо другой пакет более высокого уровня OSI. Так, например, пакет транспортного уровня может быть вложен в пакет сетевого уровня, который, в свою очередь, вложен в пакет канального уровня. Спроецировав это утверждение на сетевую ОС, использующую протоколы TCP/IP, можно утверждать, что пакет TCP (транспортный уровень) вложен в пакет IP (сетевой уровень), который, в свою очередь, вложен в пакет Ethernet (канальный уровень). Рис.1 наглядно иллюстрирует то, как выглядит, например, TCP пакет в сети Internet:

Рассмотрим схему адресации пакетов в сети Internet и возникающие здесь проблемы с безопасностью. Как известно, базовым сетевым протоколом обмена в сети Internet является протокол IP (Internet Protocol) межсетевой протокол, позволяющий передавать пакеты в любую точку глобальной сети. Для адресации на сетевом уровне (IP уровне) каждый хост имеет уникальный 32 разрядный IP адрес. Для передачи IP пакета на хост необходимо указать в IP заголовке пакета в поле Destination Address IP адрес данного хоста. Однако, как видно из рис. 1, IP пакет находится внутри аппаратного пакета (в случае среды передачи Ethernet Ethernet пакета). Поэтому, каждый пакет в сетях любого типа и с любыми протоколами обмена в конечном счете адресуется на аппаратный адрес сетевого адаптера, непосредственно осуществляющего прием и передачу пакетов в сеть (в дальнейшем, рассматриваются только Ethernet сети).

Рис. 1. Структура TCP пакета

Из этого следует, что для адресации IP пакетов в сети Internet кроме IP адреса хоста необходим еще либо Ethernet адрес его сетевого адаптера (в случае адресации внутри одной подсети) либо Ethernet адрес маршрутизатора (в случае межсетевой адресации). Первоначально хост может не иметь информации о Ethernet адресах других хостов, находящихся с ним в одном сегменте, в том числе и о Ethernet адресе маршрутизатора. Следовательно, перед хостом встает стандартная проблема, решаемая с помощью алгоритма удаленного поиска .

Среди прочих в стеке TCP/IP определен управляющий протокол ICMP (Internet Control Message Protocol) , одной из функций которого является удаленное управление таблицей маршрутизации на хостах внутри сегмента сети. Динамическое удаленное управление маршрутизацией изначально задумывалось для предотвращения возможной передачи сообщений по неоптимальному маршруту и для повышения отказоустойчивости сети в целом. Предполагалось, что сетевой сегмент может быть подключен к глобальной сети не через один (как это обычно происходит на сегодняшний день), а через несколько маршрутизаторов. В это случае адресоваться во внешнюю сеть можно через любой из ближайших узлов. Это достаточно удобно, как с точки зрения оптимальности маршрута (например, к хосту www.example.one оптимальный (кратчайший) маршрут проходит через первый маршрутизатор, а к хосту www.example.two через второй марщрутизатор), так и с точки зрения повышения надежности работы сети (при выходе из строя одного из маршрутизаторов связь с внешним миром возможна через другой маршрутизатор). В обоих случаях (при изменении оптимального маршрута и при выходе из строя маршрутизатора) необходимо изменение таблицы маршрутизации в памяти сетевой операционной системы. Одно из назначений протокола ICMP состоит именно в динамическом изменении таблицы маршрутизации оконечных сетевых систем.

ARP-spoofing или ложный ARP-сервер

В сети Internet для нахождения адреса сетевого адаптера используется протокол ARP (Address Resolution Protocol) , который позволяет получить взаимно однозначное соответствие IP и Ethernet адресов для хостов, находящихся внутри одного сегмента. Это достигается следующим образом: при первом обращении к сетевым ресурсам хост отправляет широковещательный ARP запрос на Ethernet адрес FFFFFFFFFFFFh, в котором указывает IP адрес маршрутизатора и просит сообщить его свой Ethernet адрес (IP адрес маршрутизатора обязательный параметр, который всегда устанавливается вручную при настройке любой сетевой ОС в сети Internet). Этот широковещательный запрос получат все станции в данном сегменте сети, в том числе, и маршрутизатор. Получив данный запрос, маршрутизатор внесет запись о запросившем хосте в свою ARP таблицу, а, затем, отправит на запросивший хост ARP ответ, в котором сообщит свой Ethernet адрес. Полученный в ARP ответе Ethernet адрес будет занесен в ARP таблицу, находящуюся в памяти операционной системы на запросившем хосте и содержащую записи соответствия IP и Ethernet адресов для хостов внутри одного сегмента. Отметим, что в случае адресации к хосту, расположенному в той же подсети также используется ARP протокол и рассмотренная схема полностью повторяется.

17.04.1998г

Также в разделе: