Файловый архив студентов. Файловый архив студентов.
1267 вузов, 4648 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Уфимский Государственный Авиационный Технический Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Otvety_37-57.doc
Скачиваний:
26
Добавлен:
18.03.2015
Размер:
2.89 Mб
Скачать
►Содержание►

54. Мэ сеансового уровня. Nat.

Они следят за квитированием связи между авторизованным клиентом и внешним хостом или наоборот, определяя, является ли сеанс допустимым. Анализируется информация из заголовков пакетов сеансового уровня. При запросе от клиента, шлюз проверяет, удовлетворяет ли клиент базовым правилам фильтрации, например, может ли DNS сервер определить ip адрес клиента и связанное с ним имя, затем, действуя от имени клиента, шлюз устанавливает соединение с внешним хостом и следит за квитированием связи по протоколу TCP. Данная процедура состоит из обмена пакетами с флагами SYN и ACK.

Первый пакет сеанса содержит флаг SYN и произвольное число. Это запрос клиента на открытие сеанса. Внешний хост в ответ посылает пакет с флагом ACK и числом на единицу больше, подтверждая прием запроса. Затем, обратная процедура.

хост (SYN ххх) клиент

клиент (ACK ххх+1) хост

Шлюз сеансового уровня считает сеанс допустимым, если при квитировании пакет с SYN, ACK, числа является логически связанным.

После установления соединения, МЭ перенаправляет пакеты, не проводя фильтрации. Поддерживается таблица установленного соединения, и пропускаются данные, относящиеся к одному сеансу, указанному в данной таблице. После завершения сеанса соответствующий элемент из таблицы удаляется, и цепь разрывается.

Данные МЭ позволяют бороться с атаками «отказ в обслуживании».

Так же, к МЭ сеансового уровня относится прокси-сервер с NAT. При этом внутренняя сеть имеет серые адреса.

При обращении внутреннего компьютера в интернет, МЭ перехватывает запрос и выступает от имени клиента, подставляя свой белый ip. Полученный ответ МЭ передает внутреннему компьютеру, подставляя его серый ip. Это позволяет уменьшить число белых ip и контролировать поток информации, запрещая доступ в интернет определенным компьютерам. Имеется несколько режимов NAT:

  • динамический (PAT). Ретранслируется на уровне потоков. Шлюз имеет один ip адрес. При обращении клиента, шлюз выделяет ему уникальный порт транспортного протокола TCP\UDP для данного внешнего ip. Он используется компьютерами, которые выступают в роли клиентов в сети интернет. Все исходящие пакеты отправляются с ip шлюза;

  • статический. Внешнему интерфейсу шлюза назначается несколько внешних ip, соответствующих числу интернет серверов, которые должны быть доступны. Соответствующий шлюз транслирует белый в серый и наоборот, обеспечивая доступ из интернета к серверу корпоративной сети, который имеет серый ip.

Возможен «гибридный» режим – комбинированный.

Недостатки:

-Фильтрует пакеты только на сеансовом уровне, т.е. не проверяют содержимое пакетов.

-После завершения процедуры квитирования и установки соединения МЭ будет просто перенаправлять пакеты независимо от содержимого

  • не поддерживается аутентификация на уровне пользователей, а только на уровне айпи адресо

-Они фильтруют информацию на прикладном уровне. Используются программы посредники (proxy), которые перенаправляют информацию через шлюз и исключают прямое соединение между клиентом и сервером.

55. DOS-атаки, средства борьбы с ними.

Данные МЭ позволяют бороться с атаками «отказ в обслуживании». Например DOS, Denial of Servia, атака наплыва SYN пакета. При этом комп продолжает работать , но оказывается недоступен по сети. Это связано с тем, что при получении SYN комп выделяет память, а во многих ОС на нее установлен лимит. Пока не получит RST или не наступит тайм-аут, соединение продолжит резервировать память.

Атака SYN flooding - отправка множества пакетов SYN от не существующих\не работающих компов с подменов ip адреса. Отправка должна быть именно от не существующих\не работающих хостов, иначе в ответ на пакет SYN, ACK сервер ответит пакетом с флагом RESET и соединение сбросится.

При данной атаке, выделенная для нового соединения память быстро исчерпывается и сервер "виснет». Для борьбы с ними используются фильтры с многоступенчатой установкой соединения.

Например, SYN Defender.

Клиент посылает пакет с флагом SYN. Он передается на втором шаге на сервер. На третьем шаге сервер отвечает пакетом с флагами SYN, ACK.

МЭ посылает ACK от имени клиента. За счет быстрого ответа память, выделенная для нового соединения, не исчерпывается.

Если клиент действительно запросил соединение, то он пошлет пакет с флагом ACK, который проходит через ? на сервер. Если же МЭ не получит флаг ACK от клиента, то МЭ пошлет на сервер пакет с флагом RESET.

SYN Defender

Может использоваться еще один вариант фильтра SYN Defender Relay. Сервер не отвечает. МЭ устанавливает соединение с клиентом. После подтверждения клиента, МЭ устанавливает соединение с сервером.

SYN Defender Relay

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности