- •Н. М. Радько а. Н. Мокроусов
- •1. Принципы и основные типы
- •1.1. Протоколы с арбитражем.
- •1.2. Протокол с судейством.
- •1.3. Самоутверждающийся протокол.
- •1.4. Разновидности атак на протоколы.
- •1.5. Доказательство с нулевым разглашением
- •1.6. Параллельные доказательства с нулевым
- •1.7. Неинтерактивные протоколы доказательства с нулевым разглашением конфиденциальной информации.
- •1.8. Удостоверение личности с нулевым разглашением
- •1.9. Неосознанная передача информации.
- •1.10. Анонимные совместные вычисления.
- •1.11. Вычисление средней зарплаты.
- •1.12. Как найти себе подобного.
- •1.13. Депонирование ключей.
- •2. Криптографические протоколы
- •2.1 Основные определения и понятия
- •2.1.1. Основные определения
- •2.1.2. Используемые в протоколах термины и обозначения
- •2.2. Протоколы аутентичного обмена ключами
- •2.2.1. Протоколы a-dh, gdh.2 и a-gdh.2
- •Теорема 2.1.1 Протокол a-dh обеспечивает свойство pfs.
- •Рассмотрим теперь протокол Диффи-Хеллмана для групп [27].
- •2.2.2 Протокол sa-gdh.2
- •Для выполнения этого определения можно модифицировать протокол a-gdh.2 в следующий:
- •2.2.3. Особенности ключей протоколов a-gdh.2 и sa-gdh.2
- •2.2.4 Сравнение эффективности
- •2.3. Проект cliques
- •2.3.1. Присоединение
- •2.3.2. Слияние
- •2.3.3. Выход из группы
- •2.3.4. Обновление ключа
- •2.4. Перспективы использования.
- •Безопасность сетей на базе семейства протоколов tcp/ip
- •3.1. Особенности безопасности компьютерных сетей
- •3.2. Классификация компьютерных атак
- •3.3. Статистика самых распространенных атак
- •3.4. Анализ сетевого трафика сети Internet
- •3.5. Ложный arp-сервер в сети Internet
- •3.6. Навязывание хосту ложного маршрута с использованием
- •3.7. Подмена одного из субъектов tcp-соединения
- •3.8. Направленный шторм ложных tcp-запросов на создание соединения.
- •3.9.Атаки, использующие ошибки реализации сетевых служб.
- •3.10. Атака через www.
- •3.11. Методы защиты от удалённых атак в сети Internet.
- •4. Протоколы квантовой криптографии
- •4.1. Природа секретности квантового канала связи.
- •4.2. Проблемы и решения
- •4.3. Распределение/передача ключей
- •4.4. Введение в квантовую криптографию
- •4.5. Основы квантовой криптографии
- •4.5.1. Протокол bb84
- •4.5.2. Протокол b92
- •4.5.3. Уточнение чернового варианта ключа
- •4.6. Системы с квантовой передачей ключа
- •4.6.1. Системы с поляризационным кодированием
- •4.6.2. Системы с фазовым кодированием
- •4.8. Общие характеристики протоколов для квантово-криптографических систем распределения
- •4.9. Технологические проблемы и перспективы роста.
- •394026 Воронеж, Московский просп., 14
3.6. Навязывание хосту ложного маршрута с использованием
протокола ICMP с целью создания в сети Internet
ложного маршрутизатора.
Это ещё одна атака, связанная с внедрением в РВС ложного объекта. Маршрутизация в Internet осуществляется на сетевом уровне (IP-уровень). Для её обеспечения в памяти сетевой ОС каждого хоста существуют таблицы маршрутизации, содержащие данные о возможных маршрутах. Каждый сегмент сети подключен к глобальной сети Internet как минимум через один маршрутизатор. Все сообщения, адресованные в другие сегменты сети, направляются на маршрутизатор, который, в свою очередь, перенаправляет их далее по указанному в пакете IP-адресу, выбирая при этом оптимальный маршрут.
Как говорилось ранее, в сети Internet существует управляющий протокол ICMP, одно из назначений которого состоит в динамическом изменении таблицы маршрутизации оконечных сетевых систем. Удалённое управление маршрутизацией реализовано в виде передачи на хост управляющего ICMP-сообщения Redirect Message.
Для осуществления данной атаки необходимо подготовить ложное ICMP-сообщение Redirect Datagrams for the Host, где указать адрес хоста, маршрут к которому будет изменён, и IP-адрес ложного маршрутизатора. Затем это сообщение передаётся на атакуемый хост от имени маршрутизатора. Эта атака позволяет получить контроль над трафиком между этим хостом и интересующим взломщика сервером, если хост и взломщик находятся в одном сегменте, или нарушить работоспособность хоста, если они располагаются в разных сегментах.
Защититься от этого воздействия можно фильтрацией проходящих ICMP-сообщений при помощи систем Firewall. Другой способ заключается в изменении сетевого ядра ОС, чтобы запретить реакцию на ICMP-сообщение Redirect.
3.7. Подмена одного из субъектов tcp-соединения
в сети Internet (hijacking).
Протокол TCP (Transmission Control Protocol) является одним из базовых протоколов транспортного уровня сети Internet. Он позволяет исправлять ошибки, которые могут возникнуть в процессе передачи пакетов, устанавливая логическое соединение – виртуальный канал. По этому каналу передаются и принимаются пакеты с регистрацией их последовательности, осуществляется управление информационным потоком, организовывается повторная передача искаженных пакетов, а в конце сеанса канал разрывается. При этом протокол TCP является единственным базовым протоколом из семейства TCP/IP, имеющим дополнительную систему идентификации сообщений и соединения.
Для идентификации TCP-пакета в TCP-заголовке существуют два 32-разрядных идентификатора, которые также играют роль счетчика пакетов. Их названия - Sequence Number (номер последовательности) и Acknowledgment Number (номер подтверждения).
Для формирования ложного TCP-пакета атакующему необходимо знать текущие идентификаторы для данного соединения. Это значит, что ему достаточно, подобрав соответствующие текущие значения идентификаторов TCP-пакета для данного TCP-соединения послать пакет с любого хоста в Сети от имени одного из участников данного соединения, и данный пакет будет воспринят как верный.
При нахождении взломщика и объекта атаки в одном сегменте, задача получения значений идентификаторов решается анализом сетевого трафика. Если же они находятся в разных сегментах, приходится пользоваться математическим предсказанием начального значения идентификатора экстраполяцией его предыдущих значений.
Для защиты от таких атак необходимо использовать ОС, в которых начальное значение идентификатора генерируется действительно случайным образом. Также необходимо использовать защищённые протоколы типа SSL, S-HTTP, Kerberos и т.д.