Иваненко М.П.
ФГБОУ ВО «Липецкий государственный педагогический университет имени П. П. Семёнова-Тян-Шанского»
e-mail: [email protected]
Устойчивость локальных вычислительных сетей.
Аннотация: в данной статье рассматриваются основные проблемы, связанные с проблемами устойчивости локальных вычислительных сетей, и их виды. Приводятся аргументы
касательно актуальности анализаторов трафика. Рассматриваются методы определения
сетевых ошибок, на основании которых, в том числе, можно определить уязвимость локальной сети.
Ключевые слова: устойчивость локальных вычислительных сетей, анализатор трафика,
сетевые ошибки, уязвимости ЛВС.
Stability of local area networks.
Abstract: this article discusses the main problems associated with the stability of local area networks, and their types. Argues the relevance of the traffic analyzers. The methods of determining
network errors on the basis of which it is possible to determine the vulnerability of the local network are considered.
Keywords: stability of local area networks, traffic analyzer, network errors, vulnerabilities of
LAN.
Под устойчивостью локальных вычислительных сетей понимается стабильная работа компьютеров в сети без утечки конфиденциальной информации, возобновление потоков данных в сети после сбоя. Для этого сетевой трафик должен быть выявлен и распознан на 100%. Детальный разбор трафика осуществляется посредствам программанализаторов (снифферов). Основная задача сниффера обнаружить подозрительные пакеты данных, выявить ошибки в работе сети.
Основные виды атак направленные дестабилизацию устойчивости ЛВС:
1. DDoS-атака.
DDoS-атака. Довольно серьезную опасность представляют распределенные DoS атаки –
DdoS (Distributed Denial of Service). Такая атака исходит одновременно от большого числа
компьютеров. Существует множество видов DDoS, но все они работают по одному принципу, направленному на перенасыщение пропускной способности атакуемого сервера. В
общем виде суть метода в том, что ICMP эхо запрос, посылаемый на определенный домен
или сервер, требует от устройства принятия и обработки запроса, а затем формирования и
отправки ответа на него. В случае атаки сервера объем действий, а так же вес, формируемого пакета, в данной ситуации превышает объем при маршрутизации обычного пакета,
так как в запрос заложен пакет, который требует в ответ от сервера, отличающийся от исходного в сторону увеличения объема. В результате при постоянной необходимости обрабатывать эхо-запросы происходит перегрузка по количеству ответов, отсылаемых сервером назад. Также атакуемый сервер начнет терять другие пакеты, из-за дестабилизации и
перегруженности системы, что и вызовет отказ в обслуживании.
2. Атака DNS spoofing.
Результатом данной атаки является внесение заведомо ложного соответствия между IPадресом и доменным именем в кэш DNS сервера. В результате успешного проведения такой атаки все пользователи DNS сервера получат фальшивую информацию о доменных
именах и IP-адресах. Данная атака характеризуется большим количеством DNS пакетов с
одним и тем же доменным именем. Это связано с необходимостью подбора некоторых параметров DNS обмена. В результате, кэш целевого DNS-сервера будет содержать соответствие, необходимое злоумышленнику и следующим клиентам запрашивающим адрес будет сообщен адрес машины злоумышленника. На ней может быть размещена копия настоящего сайта, с помощью которого злоумышленник может красть конфиденциальную информацию.
3. Атака smurf.
Атака smurf является одной из разновидностей DDoS-атак и заключается в передаче в сеть
широковещательных ICMP запросов от имени компьютера-жертвы. В результате компьютеры, принявшие такие широковещательные пакеты, отвечают компьютеру-жертве, что
приводит к существенному снижение пропускной способности канала связи и, как следствие 100% отказ в обслуживании компьютера-жертвы. Атака smurf очень эффективна поскольку имеет эффект усиления, являющийся результатом отправки прямых широковещательных запросов к системам, которые обязаны послать ответ.
4. Ложные ARP-ответы.
Разновидность атаки «man in the middle». Применяется в локальных сетях. Атака возможна из-за уязвимости в протоколе ARP, который не проверяет достоверность ARP-запросов
и ответов. Злоумышленник отсылает два ARP запроса к узлам сети на атакуемый компьютер, чей трафик будет перехватываться. Тем самым он подменяет MAC-адрес адресата на
свой собственный. После получения такого ARP-ответа жертвы изменят свои ARP таблицы, и теперь все пакеты между двумя узлами будут проходить через атакующий компьютер.
Данные виды атак могут нанести серьезный ущерб как устойчивости и ЛВС, так и
конфиденциальности передаваемой информации. Для обеспечения надежной работы ЛВС,
необходимо периодически улавливать и анализировать весь как входящий, так и исходящий трафик.
Каждая из атак вносит изменения в трафик, передаваемый по ЛВС, что приводит к
ошибкам в работе сети, которые создают аномалии в работе сети. Как раз эти ошибки будет улавливать анализатор трафика рассматривая их как отклонение он нормы.
В качестве сетевой ошибки будем рассматривать любую совокупность битовых
критериев, которая не генерируется для решения какой-либо полезной задачи в локальной
вычислительной сети (ЛВС).
Рис 1. Принципиальная схема анализатора трафика
Для обнаружения ошибок используют следующие основные методы.
1. Метод сравнения со статическим шаблоном. При этом обнаружение ошибки основано на поиске заданной совокупности байтов в очередном элементе потока данных сетевого трафика. Эти совокупности содержат некоторые ключевые позиции, идентификация которых и приводит к регистрации сетевой ошибки.
2. Метод сравнения с шаблоном состояния. В качестве образца состояние потока
данных принимается представление определенного пакета из этого пакета. Регистрация
другого пакета или совокупности пакетов, не отвечающих заданному состоянию, считается ошибкой.
3. Метод сравнения с шаблоном применяемого протокола. Подобный шаблон создается путем декодирования отдельных элементов протокола. В процессе декодирования
протокола выполняется сравнение с правилами, которые определены как ошибки. В некоторых случаях такие ошибки могут располагаться в отдельных полях высокосегментированного протокола. Поэтому для их выявления потребуется более детальный анализ.
Структурная схема анализатора трафика представлена на рис. 1.
Процедура анализа включает два этапа [3]:
селективный сбор фрагментов пакетов;
распознавание ошибок по шаблонам.
Рис 2. Блок-схема алгоритма работы анализатора сетевого трафика
Завершающим аккордом поиска сетевых ошибок является конечный сигнал регистратора и оповещения. На вход данного модуля подается сигнал, который оповещает о
полученном значении. Значений может быть два («0» – есть совпадение, «1» – нет совпадения).
На основании данного доклада можно сделать вывод касательно актуальности анализа сетевого трафика. Рассмотрев детально выявленные ошибки можно понять, какие
проблемы и уязвимости имеет локальная сеть. Необходимо быстро реагировать на различные аномалии, ошибки, выявленные анализатором, дабы сохранить целостность, конфиденциальность, доступность передаваемой информации.
Литература
1. Олифер, В.Г. Компьютерные сети. Принципы, технологии, протоколы. Издание 4-е
[Текст] / В.Г. Олифер, Н.А. Олифер. – СПб.: Питер, 2010. – 918 с.
2. Мешков, В. Анализатор сетевого трафика. [Электронный ресурс] / В. Мешков. – URL:
http://www.samag.ru/archive/article/31 (дата обращения: 15.03.2018).
3. Шаньгин, В.Ф. Защита информации в компьютерных системах и сетях / В.Ф. Шаньгин.
- М.: ДМК Пресс, 2012. - 592 c.
4. Максимов, К. Сниффер: щит и меч. [Электронный ресурс] / К. Сниффер. – URL:
http://rsdn.org/article/net/sniffer.xml (дата обращения: 14.03.2018).
