Детектирование и защита

Детектирование и защита. Есть несколько путей.

Например, можно реализовать TCPIP-стэк, которые будут контролировать переход в десинхронизированное состояние, обмениваясь информацией о sequence numberacknowledge number. Однако в данному случае мы не застрахованы от крэкера, меняющего и эти значения. Поэтому более надежным способом является анализ загруженности сети, отслеживание возникающих ACK-бурь. Это можно реализовать при помощи конкретных средств контроля за сетью.

Если крэкер не потрудиться поддерживать десинхронизированное соединение до его закрытия или не станет фильтровать вывод своих команд, это также будет сразу замечено пользователем. К сожалению, подавляющее большинство просто откруют новую сессию, не обращаясь к администратору. Стопроцентную защиту от данной атаки обеспечивает, как всегда, шифрование TCPIP-трафика на уровне приложений - secure shell или на уровн протокола - IPsec. Это исключает возможность модификации сетевого потока.

Для защиты почтовых сообщений может применяться PGP. Следует заметить, что метод также не срабатывает на некоторых конкретных реализациях TCPIP. Так, несмотря на rfc который требует молчаливого закрытия сесии в ответ на RST-пакет, некоторые системы генерируют встречный RST-пакет. Это делает невозможным раннюю десинхронизацию. Для более глубокого ознакомления с этой атакой рекомендуется обратиться к IP Hijacking CERT. 2.7. Пассивное сканирование Сканирование часто применяется крэкерами для того, чтобы выяснить, на каких TCP-портах работают демоны, отвечающие на запросы из сети. Обычная программа-сканер последовательно открывает соединения с различными портами.

В случае, когда соединение устанавливается, программа сбрасывает его, сообщая номер порта крэкеру. Данный способ легко детектируются по сообщениям демонов, удивленных мгновенно прерваным после установки соединением, или с помощью использования специальных программ. Лучшие из таких программ обладают некоторыми попытками внести элементы искуственного элемента в отслеживание попыток соединения с различными портами.

Однако крэкер может воспользоваться другим методом пассивным сканированием английский термин passive scan. При его использовании крэкер посылает TCPIP SYN-пакет на все порты подряд или по какому-то заданному алгоритму. Для TCP-портов, принимающих соединения извне, будет возвращен SYNACK-пакет, как приглашение продолжить 3-way handshake. Остальные вернут RST-пакеты. Проанализировав данные ответ, крэкер может быстро понять, на каких портах работают программа.

В ответ на SYNACK-пакеты он может также ответить RST-пакетами, показывая, что процесс установки соединения продолжен не будет в общем случае RST-пакетами автоматический ответит TCPIP-реализация крэкера, если он не предпримет специальных мер. Метод не детектируется предыдущими способами, поскольку реальное TCPIP-соединение не устанавливается. Однако в зависимости от поведения крэкера можно отслеживать резко возросшее количество сессий, находящихся в состоянии SYNRECEIVED при условии, что крэкер не посылает в ответ RST прием от клиента RST-пакета в ответ на SYNACK. К сожалению, при достаточно умном поведении крэкера например, сканирование с низкой скоростью или проверка лишь конкретных портов детектировать пассивное сканирование невозможно, поскольку оно ничем не отличается от обычных попыток установить соединение.

В качестве защиты можно лишь посоветовать закрыть на firewall все сервисы, доступ к которым не требуется извне.