Пакет использующийся в атаке

минута на чтение

Пакет использующийся в атакеПакет, использующийся в атаке, отличается от обычного тем, что в нем производится Подмена (spoofing) IP-адреса реального отправителя на несуществующий или нетрассируемый адрес. Архитектура 1Ру4-протокола сильно затрудняет обратную трассировку (маршрутизацию) такого адреса, что автоматически облегчает задачу злоумышленника. Итак, SYN-пакет, отправленный хакером на первом этапе, не содержит настоящего адреса источника. IP-адрес источника может быть заменен одним из не поддающихся маршрутизации адресов. Скорее всего, таким адресом будет зарезервированный адрес локальной сети1. После получения SYN-паке — та сервер попытается послать ответный SYN/ACK-пакет на несуществующий адрес. У TCP/IP-протокола есть определенное время, в течение которого сервер будет ждать со стороны клиента АСК-подтверждения, но так как адрес отправителя фальшивый, то соответствующий АСК-пакет не придет никогда. Другими словами, в случае SYN-атаки третий этап (рис. 2.1) не начнется, и инициализация соединения останется в Полуоткрытом состоянии. Очередь соединений, которая отвечает за регулирование попыток установления новых сессий, позволяет образовываться только ограниченному числу полуоткрытых соединений. Если это число превышено, последующие соединения с портом игнорируются. Значит, если очередь полностью заполнена, то ни один пользователь уже не сможет установить ТСР-соединение с сервером. Продолжительная атака SYN-переполнением позволяет постоянно заполнять очередь полуоткрытых соединений. Для этого нападения хакеру не потребуется высокоскоростной канал. Еще одно преимущество атаки: SYN — пакеты не содержат настоящего адреса отправителя, так что отследить хакера практически невозможно. Примечательно, что взломщик может заменить адрес отправителя SYN — пакета реально существующим адресом. В этом случае администратору атакуемой сети придется столкнуться с проблемой фильтрации трафика, так как по этому адресу может быть расположен клиент компании, ее подразделение или сервер делового партнера.

Facebook Vk Ok Twitter Telegram

Похожие записи:

Как я уже говорил, работа фильтрующего экрана основана на анализе заголовка пакета. Экран пропускает пакет, только если адреса отправителя, адреса получателя и номеров задействованных портов не противоречат установленным правилам фильтрации. В любом другом слу...
Работа фильтрующего экрана основана на анализе заголовка пакета. Экран пропускает пакет, только если адреса отправителя, адреса получателя и номеров задействованных портов не противоречат установленным правилам фильтрации. В любом другом случае пакет блокирует...
Эффективность IDS прежде всего зависит от местоположения ее Сенсоров (датчиков). Обычно они размещаются за экраном в DMZ или на особо чувствительных к атаке сегментах защищенной сети (см. рис. 5.5). Датчик, расположенный за экраном, контролирует этот экран, ул...