В беспроводных сетях, где переносящие кадры радиоволны могут распространяться намного дальше, чем это необходимо, вопрос безопасности стоит особенно остро. Был такой интересный эксперимент. Автор в течение полутора лет ездил по Сан-Франциско с лэптопом и сетевой картой 802.11 и искал беспроводные сети, «видимые» за пределами офисных зданий.

Безопасность на сетевом уровне обеспечивает протокол IPsec (IP security — безопасный протокол IP), по сути представляющий собой набор протоколов. Протокол IPsec довольно сложен, различные его аспекты описывают более десятка документов RFC. В этом разделе мы обсудим протокол IPsec в весьма специфическом контексте, а именно исходя из предположения, что его поддерживают все хосты Интернета. Хотя реальная ситуация уже много лет иная, данный контекст упростит наше обсуждение и поможет понять ключевые особенности протокола IPsec. Основные документы, описывающие протокол IPsec, — это RFC 2401, в котором описывается общая архитектура протокола IPsec, и RFC 2411, содержащий обзор составляющих IPsec протоколов и перечень документов, их описывающих.

В случае атаки распределенного отказа в обслуживании (Distributed Denial of Service, DDoS) злоумышленник сначала получает доступ к множеству хостов Интернета (например, путем анализа пакетов), затем, как показано на рис.26, устанавливает и запускает на каждом узурпированном им хосте подчиненную программу, ожидающую команды от управляющей программы. Когда количество взломанных хостов достигает определенного уровня, управляющая программа связывается с подчиненными программами, давая им команду начать атаку на выбранный хост. В результате атакуемый хост попадает под шквал пакетов, обработать которые он не в состоянии.

Атаки отказа в обслуживании (Denial of Service, DoS) составляют целый класс угроз безопасности. Как можно догадаться по названию, атаки отказа в обслуживании переводят сеть, хост или другой фрагмент сетевой инфраструктуры в состояние, в котором он не может использоваться легитимными пользователями. Как правило, атака отказа в обслуживании настолько повышает нагрузку на атакуемую инфраструктуру, что инфраструктура просто не успевает выполнять задачи, для которых она предназначена.