Нав'язування хосту хибного маршруту з використанням протоколу IСМР

Нав'язування хосту хибного маршруту з використанням протоколу IСМР

Мал. 4.9. Таблиця маршрутизації хоста

Трохи про IСМР

Отже, в Internet віддалене управління маршрутизацією реалізовано у вигляді передачі з маршрутизатора на хост керуючого ICMP-повідомлення Redirect Message (Переспрямувати повідомлення). Тема повідомлення представлений на рис. 4.10.

32-bit
Gateway Internet Address

Internet Header + 64 bits of Original Data Datagram

Мал. 4.10. Тема повідомлення ICMP Redirect Message

Поля повідомлення приймають наступні значення: поле Type - 5, поле Code - 0 = Redirect datagrams for the Network, 1 = Redirect datagrams for the Host, 2 = Redirect datagrams for the Type of Service and Network або 3 = Redirect datagrams for the Type of Service and Host.

Наведені вище факти дозволяють здійснити типову віддалену атаку "впровадження в розподілену ЗС помилкового об'єкта шляхом нав'язування помилкового маршруту".

Мал. 4.11. Внутрисегментного нав'язування хосту хибного маршруту при використанні протоколу ICMP

Мал. 4.12. Міжсегментного нав'язування хосту хибного маршруту при використанні протоколу ICMP, що приводить до відмови в обслуговуванні

Експеримент показав, що обидва варіанти розглянутої віддаленої атаки вдається здійснити як межсегмеітно, так і внутрисегментного на ОС Linux 1.2.8, ОС Windows 95 і ОС Windows NT 4.0. Решта мережеві ОС, досліджені нами (Linux версії вище 2.0.0 і CX / LAN / SX, защіщен- ная по класу Bl UNIX), ігнорували ICMP-сообщеніс Redirect, що здається цілком логічним з точки зору забезпечення безпеки.

Захиститися від цього впливу можна фільтрацією проходять ICMP-повідомлень Redirect за допомогою систем Firewall. Інший спосіб захисту полягає в зміні вихідних текстів мережевого ядра операційних систем з подальшою його перекомпиляцией, щоб заборонити реакцію на ICMP-повідомлення Redirect. Однак це можливо тільки в разі вільного поширення вихідних текстів ОС (як у випадку з ОС Linux або ОС FreeBSD).