Какие сетевые атаки с использованием маршрутизации актуальны?

migel

лучше тут, потому что Нетворк я так понял это больше техподдержка
актуальны — имеется ввиду еще морально не устарели (в след за тем как устарели например слабости стека протоколов которые они юзали)
например, интересует атака типа "внедрение ложного объекта ЛВС" (ТМ ) описанная у Медведовского и Ко в 95м году (называется "Атака на Интернет", кажись) и с тех пор удачно растиражированная всеми говнокурсами по сетевой безопасности.
Неужели она морально не устарела и описанная фича сработает в хоть сколько-нибудь администрируемой сети?
это первая часть вопроса.
а вторая — это собственно сабж: какие нетривиальные атаки (где по существу — как например в приведенном примере — используется маршрутизация между компами в сети и на ней идет игра) вы знаете? (или по каким кивордсам их можно найти)

evgen5555

А зачем интересуешься?

migel

Пишу рецензию на одну статью.

migel

ап
спецы по сетям у нас перевелись что ли? )

Marinavo_0507

маза твоего медведковского никто не читал

family

Скрытые пассивные каналы by Жанна Рутковская. Хотя это не атака, а метод сокрытия руткитов.

migel

хм..
ну хорошо, приведу выдержки)

3.2.3.1. Внедрение в распределенную ВС ложного объекта путем навязывания ложного маршрута
<несущественный мусор>
Основная цель атаки, связанной с навязыванием ложного маршрута, состоит в том, чтобы изменить исходную маршрутизацию на объекте распределенной ВС так, чтобы новый маршрут проходил через ложный объект - хост атакующего.
Реализация данной типовой удаленной атаки состоит в несанкционированном использовании протоколов управления сетью для изменения исходных таблиц маршрутизации.
Для изменения маршрутизации атакующему необходимо послать по сети определенные данными протоколами управления сетью специальные служебные сообщения от имени сетевых управляющих устройств (напри-мер, маршрутизаторов). В результате успешного изменения маршрута атакующий получит полный контроль над потоком информации, которой обмениваются два объекта распределенной ВС, и атака перейдет во вторую стадию, связанную с приемом, анализом и передачей сообщений, получаемых от дезинформированных объектов РВС. Методы воздействия на перехваченную информацию приведены в п. 3.2.3.3. Пример атаки данного типа в сети Internet рассмотрен в п. 4.4.

3.2.3.2. Внедрение в распределенную ВС ложного объекта путем использования недостатков алгоритмов удаленного поиска
В распределенной ВС часто оказывается, что ее удаленные объекты изначально не имеют достаточно информации, необходимой для адресации сообщений. Обычно такой информацией являются аппаратные (адрес сетевого адаптера) и логические (IP-адрес, например) адреса объектов РВС. Для получения подобной информации в распределенных ВС используются различные алгоритмы удаленного поиска, заключающиеся в передаче по сети специального вида поисковых запросов, и в ожидании ответов на запрос с искомой информацией. После получения ответа на запрос, запросивший субъект РВС обладает всеми необходимыми данными для адресации. Руководствуясь полученными из ответа сведениями об искомом объекте, запросивший субъект РВС начинает адресоваться к нему. Примером подобных запросов, на которых базируются алгоритмы удаленного поиска, могут служить SAP-запрос в ОС Novell NetWare [9], ARP- и DNS-запрос в сети Internet (п. 4.2 и 4.3).
В случае использования распределенной ВС механизмов удаленного поиска существует возможность на атакующем объекте перехватить посланный запрос и послать на него ложный ответ, где указать данные, использование которых приведет к адресации на атакующий ложный объект. В дальнейшем весь поток информации между субъектом и объектом взаимодействия будет проходить через ложный объект РВС.
Другой вариант внедрения в РВС ложного объекта использует недостатки алгоритма удаленного поиска и состоит в периодической передаче на атакуемый объект заранее подготовленного ложного ответа без приема поискового запроса. В самом деле, атакующему для того, чтобы послать ложный ответ, не всегда обязательно дожидаться приема запроса (он может, в принципе, не иметь подобной возможности перехвата запроса). При этом атакующий может спровоцировать атакуемый объект на передачу поискового запроса (п. 4.3.3 и тогда его ложный ответ будет немедленно иметь успех. Данная типовая удаленная атака чрезвычайно характерна для глобальных сетей, когда у атакующего из-за нахождения его в другом сегменте относительно цели атаки просто нет возможности перехватить поисковый запрос.

Вот атаки, по поводу которых я бы хотел чтобы вы высказались:
Ложный ARP-сервер в сети Internet
Ложный DNS-сервер в сети Internet
Навязывание хосту ложного маршрута с использованием протокола ICMP с целью создания в сети Internet ложного маршрутизатора

Marinavo_0507

всё актуально
сам лично проводил атаки обоих типов

Natusik09

всё актуальносам лично проводил атаки обоих типов

Что касается атаки "Ложный ARP-сервер в сети Internet", то оборудвание сейчас позволяет привязывать на порт не только мак, но и мак-айпи связку (выражая длинковскими терминами - ip-mac binding к тому же мона на коммутаторах 3-го уровня сделать статическую арп таблицу, тогда нифига не выдет... вообще максимум злоумышленник просто внесет сумятицу в работу сети...
Или ты получал какой-то другой эффект?
з.ы. а названия глав медведского заставляют улубнуться
*** в сети Internet
*** в сети Internet
старенькая эта книжка, старенькая...

Marinavo_0507

Что касается атаки "Ложный ARP-сервер в сети Internet", то оборудвание сейчас позволяет привязывать на порт не только мак, но и мак-айпи связку (выражая длинковскими терминами - ip-mac binding к тому же мона на коммутаторах 3-го уровня сделать статическую арп таблицу, тогда нифига не выдет...

Так делают только в сетях доступа для физ. лиц, где оные лица реально будут пробовать разные методы получения халявного инета. А в других случаях как правило не делают, так как дорого.

Marinavo_0507

з.ы. а названия глав медведского заставляют улубнуться
*** в сети Internet
*** в сети Internet

Видел сегодня на двери табличку: "АДМИНИСТРАТОР СЕТИ ИНТЕРНЕТ".