Поиск
Категории
Случайные новости
Архив
Статистика
Интересное
Протокол аутентификации ар 2.0
Автор: adm
В том случае, если у Алисы есть известный сетевой адрес, используемый ею при связи (например, IP-адрес), Боб может попытаться аутентифицировать Алису по ее IP-адресу. Однако это может остановить только очень наивного злоумышленника, но не защитит от целеустремленного студента, читающего эту книгу, а также от многих других!
Поскольку мы уже изучили сетевой и канальный уровни, мы знаем, что узнать сетевой адрес не так уж и трудно (например, если у злоумышленника есть доступ к исходным текстам операционной системы, что, например, характерно для Linux и некоторых других операционных систем, он может построить собственное ядро операционной системы). В этом случае злоумышленник сможет создавать IP-дейтаграммы и указывать в них IP-адрес нужного источника (например, IP-адрес Алисы). Эти дейтаграммы злоумышленник может отправлять в сеть ближайшему маршрутизатору по протоколу канального уровня. С этого момента сеть послушно переправит Бобу дейтаграмму с фиктивным адресом отправителя. Этот метод, который иллюстрирует рис.8, представляет собой хорошо известную разновидность атаки с поддельным адресом отправителя. Избежать подобной атаки можно, если настроить первый маршрутизатор в сети злоумышленника на отправку только тех дейтаграмм, которые содержат настоящие IP-адреса (см. RFC 2827). Однако такой метод борьбы со злоумышленниками, к сожалению, применяется не везде. Поэтому Бобу не следует полагаться на то, что сетевой администратор злоумышленника (которым, кстати, может быть сам злоумышленник) установил подобную защиту от подделки IP-адресов.
Поскольку мы уже изучили сетевой и канальный уровни, мы знаем, что узнать сетевой адрес не так уж и трудно (например, если у злоумышленника есть доступ к исходным текстам операционной системы, что, например, характерно для Linux и некоторых других операционных систем, он может построить собственное ядро операционной системы). В этом случае злоумышленник сможет создавать IP-дейтаграммы и указывать в них IP-адрес нужного источника (например, IP-адрес Алисы). Эти дейтаграммы злоумышленник может отправлять в сеть ближайшему маршрутизатору по протоколу канального уровня. С этого момента сеть послушно переправит Бобу дейтаграмму с фиктивным адресом отправителя. Этот метод, который иллюстрирует рис.8, представляет собой хорошо известную разновидность атаки с поддельным адресом отправителя. Избежать подобной атаки можно, если настроить первый маршрутизатор в сети злоумышленника на отправку только тех дейтаграмм, которые содержат настоящие IP-адреса (см. RFC 2827). Однако такой метод борьбы со злоумышленниками, к сожалению, применяется не везде. Поэтому Бобу не следует полагаться на то, что сетевой администратор злоумышленника (которым, кстати, может быть сам злоумышленник) установил подобную защиту от подделки IP-адресов.
Комментарии
Нет комментариев. Вы можете быть первым!