Спуффинг

Спуффинг - это способ НСД к компьютерам, использующий подмену адресов IР-пакетов (syslog). Этот способ достаточно рас­пространен и эффективен. Для его осуществления используются два уровня сетевой модели ОSI: сетевой IР и транспортный ТСР. На сетевом уровне происходит подмена адресов IР-пакета, а на транспортном - подбор начального номера последовательности ТСР-сегментов и задание портов адресации. Конечным результа­том спуффинга является возможность посылки данных (в том чис­ле выполняемых команд) в выбранный злоумышленником порт атакуемого компьютера.

Спуффинг обычно используется как первая часть плана по не­санкционированному получению прав администратора атакуемого

компьютера. Рассмотрим подробнее стандартный план действий злоумыш­ленника X по получению НСД. Предполагается, что в сети суще­ствует некоторый доверительный компьютер, пользователи кото­рого имеют расширенный доступ к атакуемому серверу S.

Этапы спуффинга таковы:

1) злоумышленник определяет IР-адрес доверенного компью­тера Т;

2) злоумышленник легальным образом устанавливает связь с S (для этого не нужно быть зарегистрированным пользователем, так как аутентификация происходит позднее и на более высоком уров­не) и получает начальный номер последовательности "сервер-зло­умышленник" (ISNs1). Этот номер необходим для того, чтобы вы­числить начальный номер последовательности "сервер-доверен­ный компьютер" (ISNs2). Дело в том, что начальный номер после­довательности носит не случайный характер, а изменяется по стро­го определенному закону (правда, сейчас для устранения этой слабости, например, в Windows NТ или Linux, от генерации на­чального номера последовательности неслучайным образом уже отказались). Поэтому, зная начальный номер последовательности одного соединения, можно вычислить начальный номер последо­вательности другого соединения;

3) злоумышленник временно выводит из строя Т (например, направленным штормом запросов), делая это для того, чтобы не дать Т послать S пакет о том, что соединение не было запрошено, иначе S закроет соединение, установленное злоумышленником;

4) злоумышленник инициирует связь с сервером от имени Т (в заголовке IР-пакетов, в поле отправителя сообщения проставляет адрес доверительного компьютера) и вычисляет начальный номер последовательности "сервер-доверительный компьютер" (ISNs2):

X -> S:SYN(ISNx), (обратный адрес: Т);

5) сервер S шлет ответный сигнал компьютеру Т с подтвер­ждением ISNх и своим начальным номером ISNs2:

S -> Т: SYN(ISNs2), АСК(ISNх);

6) злоумышленник, вычисливший ISNs2, отвечает вместо Т: X -> S: АСК(ISNs2), (обратный адрес:T);

7) теперь злоумышленник получил одностороннюю связь с вы­бранным портом сервера и, в принципе, может дистанционно управлять компьютером-целью. Единственное, что ему остается делать, это посылать подтверждения серверу о непреходящих к нему данных, увеличивая каждый раз на единицу значение ISNs2.

Технически более сложным, но и значительно более эффектив­ным, является вариант спуффинга, когда ПК злоумышленника на­ходится на пути трафика между атакуемым сервером и довери­тельным компьютером. В этом случае злоумышленник помещает cвой ПК вблизи одного из участников диалога и перенаправляет маршрут IР-пакетов так, чтобы они шли через его узел. После это­го он производит стандартную процедуру спуффинга, в результате которой получает возможность не только посылать данные серве­ру, но и принимать ответные пакеты.

Спуффинг относится к достаточно изученным способам НСД в систему. Стандартными мерами профилактики спуффинга являют­ся: запрещение сервисов, основанных на аутентификации по IР-адресу источника, и применение пакетных фильтров со следующей настройкой — недопущение в сеть пакетов, посланных извне с ПК, имеющего внутренний сетевой адрес.