ICMP – Internet Control Message Protocol хаттамасы
І. ТЕОРИЯЛЫҚ БӨЛІМ
1.1 Интернет желісінің хаттамасы
1.2 Топтық таратудың МАС.адрестері
1.3 Топқа жазылу және қызмет ету
1.4 Жалған ICMP Redirect хабарының алдын .алу, қорғау
ІІ.ЕСЕПТІК БӨЛІМ
2.1 Курстық жұмысқа тапсырманы орындаудың реті
2.2 Корпоративтік желілерді жобалау
2.3 Операциялық жүйені таңдау
2.4 Linux операциялық жүйенің негізгі қасиеттері
2.5 ТЕЖ жобалау реті
2.6 Мәліметтер қорғауының қажетті деңгейін қамтамасыз ету
ҚЫСҚАРТУЛАР ТІЗІМІ
ҚОРЫТЫНДЫ
1.1 Интернет желісінің хаттамасы
1.2 Топтық таратудың МАС.адрестері
1.3 Топқа жазылу және қызмет ету
1.4 Жалған ICMP Redirect хабарының алдын .алу, қорғау
ІІ.ЕСЕПТІК БӨЛІМ
2.1 Курстық жұмысқа тапсырманы орындаудың реті
2.2 Корпоративтік желілерді жобалау
2.3 Операциялық жүйені таңдау
2.4 Linux операциялық жүйенің негізгі қасиеттері
2.5 ТЕЖ жобалау реті
2.6 Мәліметтер қорғауының қажетті деңгейін қамтамасыз ету
ҚЫСҚАРТУЛАР ТІЗІМІ
ҚОРЫТЫНДЫ
Көп адрестерді тарату (Multicast) – бұл бір ақпарат ағынын көптеген корпоративті немесе жеке абоненттерге жіберу арқылы трафикті қысқартуға
қолайлы өткізу жолагының технологиясы болып табылады. Оның артықшылығы: бейне конференцияны орнатады, корпоративті байланыс пен дистанционды оқытуды орындай алады.
Көп адресті таратудың мақсаты бірнеше тұтынушыға әрбір тарату доменіне деректерді таратпай-ақ деректерді қабылдауға мүмкіндік бере алады.
Көп адресті таратудың ерекшелігі, ІР-адресіті топқа ақпараттарды немесе деректерді жіберу мүмкіндігін орындай алады. Бұл топтың физикалық немесе географиясына шеек қойылмайды: байланыс тораптары әлемнің кез-келген жерінде болуы мүмкін.
Локалды желіде орналасқан жұмысшы станциялары дестенің жіберілетін МАС-адресімен өзінің МАС – адресі сәйкес келгенде ғана дестелерді қабылдап, өңдей алады. Көп адресті ІР таратуы үшінші деңгейдегі
топтық ІР тарату адресі базасында МАС-адресті өңдей алады. МАС кадрлары 24 биттік стандартты префиксті құрайды. Бұл префикс –01-00-05 – ғаламторда қолданылатын көп адресті таратудағы барлық адрестер үшін арналған.г24-ші бит көп адресті таратудағы МАС – адрес үшін қолданылады. МАС-адрес орнатылғаннан соң 25-ші бит нөлге (жоғарғы деңгейлі бит) тең болады, қалған 23 бит ИАС-адресіне арналған. Оның сұлбасы 1-ші суретте көрсетілген.
қолайлы өткізу жолагының технологиясы болып табылады. Оның артықшылығы: бейне конференцияны орнатады, корпоративті байланыс пен дистанционды оқытуды орындай алады.
Көп адресті таратудың мақсаты бірнеше тұтынушыға әрбір тарату доменіне деректерді таратпай-ақ деректерді қабылдауға мүмкіндік бере алады.
Көп адресті таратудың ерекшелігі, ІР-адресіті топқа ақпараттарды немесе деректерді жіберу мүмкіндігін орындай алады. Бұл топтың физикалық немесе географиясына шеек қойылмайды: байланыс тораптары әлемнің кез-келген жерінде болуы мүмкін.
Локалды желіде орналасқан жұмысшы станциялары дестенің жіберілетін МАС-адресімен өзінің МАС – адресі сәйкес келгенде ғана дестелерді қабылдап, өңдей алады. Көп адресті ІР таратуы үшінші деңгейдегі
топтық ІР тарату адресі базасында МАС-адресті өңдей алады. МАС кадрлары 24 биттік стандартты префиксті құрайды. Бұл префикс –01-00-05 – ғаламторда қолданылатын көп адресті таратудағы барлық адрестер үшін арналған.г24-ші бит көп адресті таратудағы МАС – адрес үшін қолданылады. МАС-адрес орнатылғаннан соң 25-ші бит нөлге (жоғарғы деңгейлі бит) тең болады, қалған 23 бит ИАС-адресіне арналған. Оның сұлбасы 1-ші суретте көрсетілген.
Пән: Информатика, Программалау, Мәліметтер қоры
Жұмыс түрі: Курстық жұмыс
Тегін: Антиплагиат
Көлемі: 21 бет
Таңдаулыға:
Жұмыс түрі: Курстық жұмыс
Тегін: Антиплагиат
Көлемі: 21 бет
Таңдаулыға:
І. ТЕОРИЯЛЫҚ БӨЛІМ
1.1 Интернет желісінің хаттамасы
Интернет желісінің хаттамасы (Протокол интерсети; Internet Protocol (IP) -- желінің бір жұмыс станциясынан келесісіне хабарлар дестесін жеткізуді қамтамасыз ететін негізгі хаттама. Желідегі мәліметгерді дер кезінде тиімді маршрут таңдап, дұрыс жеткізу мақсатында АҚШ Қорғаныс министрлігі жасап шығарған. Ол жергілікті желілер мен хосткомпьютерлерді жалғастырып, Internet желісінде, UNIX ортасында кең қолданылатын TCPIP хаттамалары тобына кіреді.
1.2 Топтық таратудың МАС-адрестері
Көп адрестерді тарату (Multicast) - бұл бір ақпарат ағынын көптеген корпоративті немесе жеке абоненттерге жіберу арқылы трафикті қысқартуға
қолайлы өткізу жолагының технологиясы болып табылады. Оның артықшылығы: бейне конференцияны орнатады, корпоративті байланыс пен дистанционды оқытуды орындай алады.
Көп адресті таратудың мақсаты бірнеше тұтынушыға әрбір тарату доменіне деректерді таратпай-ақ деректерді қабылдауға мүмкіндік бере алады.
Көп адресті таратудың ерекшелігі, ІР-адресіті топқа ақпараттарды немесе деректерді жіберу мүмкіндігін орындай алады. Бұл топтың физикалық немесе географиясына шеек қойылмайды: байланыс тораптары әлемнің кез-келген жерінде болуы мүмкін.
Локалды желіде орналасқан жұмысшы станциялары дестенің жіберілетін МАС-адресімен өзінің МАС - адресі сәйкес келгенде ғана дестелерді қабылдап, өңдей алады. Көп адресті ІР таратуы үшінші деңгейдегі
топтық ІР тарату адресі базасында МАС-адресті өңдей алады. МАС кадрлары 24 биттік стандартты префиксті құрайды. Бұл префикс - 01-00-05 - ғаламторда қолданылатын көп адресті таратудағы барлық адрестер үшін арналған.г24-ші бит көп адресті таратудағы МАС - адрес үшін қолданылады. МАС-адрес орнатылғаннан соң 25-ші бит нөлге (жоғарғы деңгейлі бит) тең болады, қалған 23 бит ИАС-адресіне арналған. Оның сұлбасы 1-ші суретте көрсетілген.
Сурет 1. Топтық ІР-адресінің ғаламтор адресіне түрленуі
0.3 Топқа жазылу және қызмет ету
Топқа жазылу үшін хаттама керек. IСMP хаттамасы (Internet Group Management Protocol, топты басқарудағы желі аралық хаттама) локалды желідегі көп адресті топты тіркеу үшін қолданылады. Желі түйіндері өзінің локалды желі маршрутизаторына IСMP ақпаратын жібере отырып топты
анықтайды. IСMP хаттамасы арқылы маршрутизатор IСMP-ақпаратын қабылдайды және топтың қайсысы желіге қосылғанын анықтайды.
IСMP v1 хаттамасы. IСMP хаттамасының екі IСMP-ақпарат түрі қолданылады: топ туралы ақпарат сұрайды; топ туралы ақпарат қабылдайды.
IСMP v2 хаттамасы. IСMP хаттамасының төрт IСMP-ақпарат түрі болады:
топ туралы ақпарат сұрайды;
1-ші нұсқа бойынша топ туралы ақпаратты қабылдайды;
2-ші нұсқа бойынша топ туралы ақпаратты қабылдайды;
топты босатады.
IСMP 2 нұсқасының IСMP 1 нұсқасынан айырмашылығы тек топты босатуда. Енді түйіндер өздері көп адресті маршрутизатордан топтан шығуына хабар жібереді. Маршрутизатор желідегі басқа түйіндерден топтан шығатынынын немесе шықпайтыны туралы сұрау жібереді. Егер жауап болмаса топтан шығатын түйіндерді босатады. Бұл кідірісті тудыруы мүмкін.
Cурет 2. IСMP хаттамасының жұмыс істеу үрдісі.
Бірінші суретті топқа жазылу, ал екіншісінде топтан шығу көрсетілген
2-ші деңгейдегі көп адресті таратуды басқару
2-ші деңгейдегі коммутаторлардың ерекшелігі көп адресті трафикті әрбір портқ тарату болып табылады. Бұл коммутатордың өзінің кестесінде топтық таратудың МАС- адрестері туралы жазылмағанын айқындайды. Сондықтан дестелерді барлық порттарға таратады.
Коммутатордағы көп адресті таратуды басқару екі тәсілмен орындалады: біріншісі, виртуалды локалды желі VLAN көп адрестіт оптың шекарасын анықтайды. Бұл әдіс қарапайым, бірақ ол динамикалық қосымшаларды немесе топтан шығуды қолдамайды. Екіншісі, D-Link-коммутаторларының IСMP тыңдау. IСMP тыңдау - бұл тексеру немесе IСMP дестелерінің локалды желіде бар екенін тыңдау. Коммутатор жауап алса, онда ол сол түйінді өзінің көп адресті кестесіне жазады. Ал егер коммутатор ол түйіннің желіден шыққанын естісе, онда оны өзінің көп адресті кестесінен өшіріп тастайды.
Cурет 3. IСMP-snooping қолдайтын көп адресті трафикті тарату
Интернет хабарларын басқару хаттамасы (ICMP - Internet Control Message Protocol) əр түрлі кездесетін ақаулардың орнын толтыру үшін құрылған. Бұл IP - хаттамасының серігі. ICMP -- желілік деңгейдегі хаттама. Бірақ ол өзі каналдық деңгейдегі деректерге сай хабарларды бере алмайды. Бұл хабарлар өзінен төмен деңгейге өтуден бұрын IP дейтаграммаларына
инкапсуляцияланады. (4 сурет).
4 сурет - ICMP хабарларын инкапсуляциялау
IP дейтаграммасындағыхаттамамəні -- "1" болса, ондаол IP
деректерінің-ICMP-хабар екенін көрсетеді. ICMP-хабарлары екі кең категорияға бөлінген: хабарлар қатесі туралы есеп және сұрату. Хабарлар қатесі туралы есепте маршрутизатор немесе хост (жетуорны) IP паектін өңдеу кезінде кездесетін проблемалар жайлы көрсетіледі. Ал сұрату хабарлары хост немесе желілік менеджерге маршрутизатор немесе басқа хосттан қажетті ақпаратты алуға көмектеседі.
ICMP негізгі басты міндеттерінің бірі қателер жайлы мəлімет беру болып табылады. Қазіргі заманғы жіберу технологиялары ақпаратты жіберуде
жетілдіріліп отырған орталарды пайдаланып отырса да, қателер бəрібір
туындап отырады жəне оларды үнемі өңдеу қажеттігі бар болып тұрады. IP,
алдыңғыда көрсетіп өткеніміздей онша сенімді хаттама түріне жатпайды.
Айтып отырған ICMP хаттамасы осы жетіспеушілікті толықтыруға бағытталғанболатын. Дегенмен ICMP қателерді жөндемейді, ол тек ол туралы мағлұматбереді. Қателерді жөндеу қызметін жоғарғы деңгейдегі хаттамалар іске37асырады. Қателер жайлы хабарлар үнемі бастапқы ақпарат көздеріне
жіберіледі, өйткені дейтаграммадағы маршрут жайлы ең сенімді ақпарат - ол
қабылдау орны мен жіберу көздерінің IP адрестері. ICMP хаттамасы дейтаграмма көздеріне қателер жайлы хабарды жіберу үшін бастапқы IP
адресін пайдаланады. Бұл жағдайда қателердің бес түрлі типтері өңдеуге
ұшырайды :
- қабылдау орнына жету мүмкіндігі жоқ;
- жіберу көздері жабық;
- уақыт өткен;
- параметрлер проблемасы бар;
- қайта тағайындау бар.
Егер маршрутизатор дейтаграммаға немесе хостқа маршрутты таңдайалмаса жəне дейтаграмманы жеткізе алмаса ол жолынан ауытқиды да, маршрутизатор немесе хостқа, яғни дейтаграмманы енгізген хост көзінеқабылдау орнына жету мүмкіндігі жоқ деген хабар жібереді. Желіаралық топтарды басқару хаттамасы -- бұл топтық жіберугеенетін қажетті (бірақ жеткілікті емес, біз оны кейін байқаймыз) хаттамалардыңбірі. IGMP IP хаттамасымен өзара бірігіп әрекет жасайды.
Қажетті хабарларды Интернеттегі көптеген адрестерге жіберу үшін бізге
осы адрестреге пакеттерді таратып отыратын маршрутизаторлар қажет. Осы
маршрутизаторлардың жолдарын көрсететін кестелер желіаралық топтарды
басқару хаттамаларының бірінің көмегімен өзгертілуі керек. IGMP хаттамасы
топтық жіберу маршрутизаторларына желіге қосылған хостардың (маршрутизаторлардың) мүшелік күйі жайлы ақпарат береді. Топтық жіберу маршрутизаторлары əр күн сайын əр түрлі топтарға арналған мыңдаған пакеттер алуы мүмкін. Егер маршрутизаторда хостардың мүшелік күйі жайлы ақпарат болмаса, онда ол барлық жаққа жіберуші адрес бойынша хаттамасы көмегімен аталған барлық пакеттерді жібереді. Бұндай жіберу үлкен трафик жасап, өткізу қабылетін азайтады. Ең жақсы шешім мынада: құрамында ең аз дегенде бір белгілі мүше бар желідеге топтар тізімін сақтау. IGMP хаттамасы топтық жіберу маршрутизаторына осы тізімді құруға жəне жаңартып отыруға көмектеседі. IGMP хаттамасының екі версиясы бар. Біз қазіргі қолданылып жүрген ағымдағы IGMPv2, версиясын талдаймыз. Бұл IGMPv2 версиясында хабарлардың үш түрлі типтері бар: сұрату, мүшелік жайлы есеп жəне шығу жайлы хабар.
IGMP хаттамасы жергілікті жағдайда жұмыс істейді. Желіге қосылғантоптық жіберу маршрутизаторларында топтық жіберу адрестерінің тізімі бар.
Бұл тізімде ең аз дегенде желідегі белгілі мүшенің біреуінің адресі болады.
Əр топ үшін осы топқа арналған пакеттерді үлестіруші режимінде жұмыс істейтін бір маршрутизатор бар. Ол деген егер желіге қосылған үш топтық жіберу маршрутизаторлары бар болса, онда олардың топтық идентификаторлары (groupids) -- жалғыз болады. Хост немесе топтық жіберу маршрутизаторлары топта мүшеде болуы мүмкін.
Егер хост мүше болса, ол деген мынаны білдіреді: оның процестерінің бірі 38 (қолданба программа) топта мүше болса, онда ол белгілі бір топтан желі арқылы топтық жіберу пакетін алады. Егер маршрутизатор мүше болса, онда оның бір интерфейстеріне қосылған желі арқылы белгілі бір топтан топтық жіберу пакетін алады. Екі жағдайда да, -- хоста жəне маршрутизаторда -- топтық идентификаторлар тізімі сақталады жəне олардың сұратулары
үлестіргіш маршрутизаторға жіберіледі.
Хост немесе маршрутизатор топқа қосылуы да мүмкін. Хост топта
мүшелігі бар процесстер тізімін ұстайды. Егер процес жаңа топқа қосылғысы
келсе, ол сұратуды хостқа жібереді. Хост процесс атауын жəне қажетті топ
атауын оның тізіміне қосады. Егер бұл аталған нақты топ үшін бірінші ену
болса, онда мүшелікке өткен туралы хабарды жібереді. Егер ол біріншірет ену болмаса, онда бұл хабарды жібермеуге де болады, өйткені аталған хост - топ мүшесі болып табылады; ол осы топқа арналған топтық жіберуден хабаралады.
Маршрутизатор сонымен бірге, топтық идентификаторларға да қызмет
жасайды, ол оның əр интерфейстеріне қосылған желіде мүше екенін көрсетеді. Егер топта осы аталған интерфейстер үшін жаңа мақсаттар пайда болса, онда маршрутизатор мүшелік хабарды қайтарып алады. Басқаша айтқанда, бұл жерде маршрутизатор хост сияқты əрекет жасайды, бірақ оның топ тізімінің ауқымы кең, өйткені ол интерфейстер арқылы біріккен мүшелерді жинап отырады. Мынаған көңіл аударыңыз: мүшелік жайлы хабар сұрату жасаған барлық интерфейстерге жіберіледі.
Егер хост желідегі бірде бір процес көрсетілген топқа қызығушылық танытпайтынын анықтаса, онда ол шығу хабарын береді. Тура осылай егер
интерфейске қосылған желілердің бір де біреуі аталған топқа қызығушылық
танытпаса, онда ол осы топтан шығу хабарын жібереді.
Дегенмен, егер топтық жіберу маршрутизаторы топтан шығу хабарын
алса, ол осы топтың тізімнен алып тастау əрекетін жасайды, өйткені хабар тек
бір хосттан немесе маршрутизатордан шығуы мүмкін; немесе осы топқа
қызығушылық білдірген басқа хосттан немесе маршрутизаторлардан болуы
мүмкін. Бұған көз жеткізу үшін маршрутизатор арнайы сұрату хабарын
жібереді, жəне топпен байланысқан топтық идентификаторды (топтық жіберу
адресін) енгізеді. Маршрутизатор берілген жауап уақытын кез келген хост
немесе маршрутизатор үшін дайындайды. Егер осы уақыт ішінде қызығушылық жайлы сигнал (мүшелік жайлы хабар) түспесе, онда маршрутизатор желіде ешқандай заңды мүше жоқ деп есептеп, топты өз тізімінен алып тастайды.
Хост немесе маршрутизатор топқа қосылуы үшін оған мүше болуы
жайлы хабарды береді. Сонымен қатар, олар топтан шығу жайлы хабар беруі
арқылы топтан кетулеріне де болады. Бірақ осындай екі түрлі хабарлар типін
жіберу жеткіліксіз. Мынандай жағдайды қарастырайық. Топқа қызығушылық
танытқан бір хост бар деп есептейік. Бірақ бұл хост жабық немесе жүйеден
өшірілген. Бұл жағдайда топтық жіберу маршрутизаторы ешуақытта топтан
шығу жайлы хабарды алмайды. Топтық жіберу маршрутизаторы LAN
жүйесіндегі барлық хостар немесе маршрутизаторларды бақылауға жауапты,
39 ол олардың топта мүше болып қалғысы келетіні туралы мағлұматты білуі
қажет.Маршрутизатор периодты түрде (үнсіз келісім бойынша, əрбір 125с.
сайын) жалпы сұрату хабарларын жіберіп отырады. Бұл хабарда адрестік өрісі
0.0.0.0. деген мəнге орнатылған топ болады. Бұл мынаны білдіреді:
мүшелікті ары қарай жалғастыру сұратуы барлық топтарға қатысты болады.
Бұл топтардағы хостар саны бірден көп болуы да мүмкін.
Маршрутизатор оның тізіміндегі əр топқа арналған жауапты күтеді; тіпті, жаңа топтар да жауап беруі мүмкін. Сұрату хабарының ең үлкен жауап уақыты10 с. (өріс мəні -- іс жүзінде 100, бірақ ол секундтың ондық бөлігімен
есептеледі) тең. Хост немесе маршрутизатор сұратудың жалпы хабарын
алғанда, олар егер топқа қызығушылық танытса, онда ол жалпы сұрату хабарыналады. Дегенмен, егер, жалпы қызығушылық болса, мысалы, екі хост бір топқақызығушылық танытса, онда бұл топ үшін қажет емес трафикті болдырмауүшін тек бір ғана жауап жіберіледі. Бұл уақыты ұзартылған жауап деп аталады.
Мынаған көңіл аударыңыз, сұрату хабарын бір ғана маршрутизатор (əдетте онысұрату маршрутизаторы деп атайды) жібереді, ол да қажет емес трафиктіболдырмау үшін орындалады.Қажет емес трафикті болдырмау үшін IСMP ұзартылған жауапстратегиясын пайдаланады. Хост немесе маршрутизатор сұрату хабарыналғанда олар бірден жауап бермейді, олар жауапты кешіктіреді. Əрбір хостнемесе маршрутизатор 1 жəне 10 секунд аралығындағы таймер құру үшінкездейсоқ санды пайдаланады. Өту уақытының аралығы 1 секунд немесе оданда кем болады. Таймер тізімдегі əр топ үшін орнатылған. Мысалы, бірінші топүшін орнатылған таймер 2 секундаттан соң аяқталса, үшінші топтың таймері 5секундтан соң аяқталуы мүмкін.Əрбір хост немесе маршрутизатор мүшелік жайлы хабарлар есебін жібермес бұрын, оның таймер уақыты өткенше күтеді.Осы күту аралығында, осы топтағы басқа хост немесе маршрутизатордың таймері ертерек аяқталса, онд хост немесе маршрутизатор мүшелік жайлы хабарды жібереді.
Есеп барлық жаққа тарату хаттамасы бойынша жіберіледі, күтуші хост немесе маршрутизатор есепті алған соң, осы топқа арналған тағы бір есепті жібермеуге болатынын біледі; сондықтан күту станциясы белгіленген таймерді алып тастайды.
ICMP (Интернеттегі басқарушы хабарлар хаттамасы) - танымал әрі кеңінен пайдаланылатын интернет хаттамасы. Ол негізінен желідегі компьютерлермен түрлі қате туралы хабарларды жіберу үшін пайдаланылады.
Қашықтағы шабуылдаушылар ICMP протоколының осалдығын пайдалануға әрекет жасайды. ICMP хаттамасы түпнұсқалық растама деректерін қажет етпейтін бір бағыттық байланысқа арналған. Бұл қашықтағы шабуылдаушылардың DoS (Қызметті қабылдамау) деп аталатын шабуылдарды немесе авторизацияланбаған тұлғалардың кіретін және шығатын бумаларға кіруіне рұқсат беретін шабуылдарды бастауына мүмкіндік береді.
ICMP шабуылының әдеттегі үлгілері - дыбыс басуы, ICMP_ECHO құйылуы және смарф шабуылы. ICMP шабуылына ұшыраған компьютерлердің жұмыс едәуір баяулап (бұл интернетті пайдаланатын барлық бағдарламарға қатысты), интернет қосылу кезінде ақаулықтар шығады.
Жалған ICMP Redirect хабары
Қаскөй бұл шабуылды өзінің Х түйіні орналасқан желідегі А түйіннен басқа бір желіде орналасқан (мысалы, В) түйінге бағытталған деректер ағынын жолай ұстау үшін пайдалануы мүмкін. Бұл кезде қаскөй Х мекен- жайын А түйіннің деректері жіберілуге тиісті бағдарғалауыштың мекен-жайы ретінде көрсетеді. Сөйтіп А түйінді, өзінің деректер ағынын Х түйінге (жалған бағдарлауышқа) жіберуге міндеттейді. Қаскөйдің түйінінде бұл деректерге талдау жасалынып, керек болса оларға өзгеріс енгізіледі және одан кейін әрі қарай нағыз бағдарлауышқа жіберілуі мүмкін.
Бұл шабуыл әдетте жалған ICMP Redirect хабары арқылы жүзеге асырылады.
8-bit Type 8-bit Code 16-bit Checksum
32-bit Gateway Internet Address
Internet Header + 64 bits of Original Data Datagram
А түйінінің бағдарғылар кестесінде жалған redirect-хабарын жіберетін түйін В түйініне баратын жолдағы бірінші бағдарғылауыш болуы тиісті және В түйіні А түйіні орналасқан желінің ішіне кірмеуі керек, ал жаңадан пайда болған жалған бағдарғылауыш Х, керісінше, А түйінімен бір IP-желіде болуы қажет.
А түйіні келген redirect-хабарды алдында В түйініне жіберілген дестеге жауап деп санайды. Осы хабардан А түйіні В түйініне жіберілетін дестелердің бағытын ауыстыру керектігін анықтайды да өзінің бағдарғылау кестесіне енді деректер тасымалдауды redirect-хабарда көрсетілген бағдарғылауыш арқылы жүзеге асыру жайында өзгеріс енгізеді.
Сонымен, А және В түйіндері арасындағы деректер ағынын жолай ұстау мақсатымен жалған redirect-хабарын ұйымдастыру үшін қаскүнем А түйінімен бір IP-желіде болуы және А түйінінен В түйініне жіберілген дейтаграмма өтетін бағдарғылауыштың мекен-жайын білуі керек.
Егер желіде бір-ақ ретқақпа болса, онда ол осы керекті бағдарғылауыш болып табылады. Одан кейін қаскөй хабар жіберушінің мекен-жайы ретінде ретқақпаның IP мекен-жайы көрсетілген, ал А түйіні қабылдаушысы болып табылатын IP-десте қалыптастырады. Осы IP-дестенің ішіне redirect-хабары орналастырылады.Бұл redirect-хабарының жаңа бағдарғылауыш мекен-жайы алаңшасында қаскөйдің IP мекен-жайы көрсетіледі, ал одан кейін (А түйінінен В түйініне бұрын жіберілген сымақты) кез келген дестенің бастамасы орналасады. IP жекебөлшегі бұрын жіберілген дестелер туралы ақпаратты сақтамайтын болғандықтан, бұл жерде нақты дестенің бастамасын келтірудің қажеттігі жоқ..Осылайша қалыптастырылғн хабар қабылдаушыға (А түйініне) жіберіледі.А түйіні бұл хабарды ретқақпадан келген деп санайды да өзінің бағдарға\ылау кестесін өзгертеді.В түйініне Х арқылы салынған жаңа бағдарғы бірнеше минут бойы іске жарайтын болғандықтан, қаскөй оны сақтап тұру үшін мезгіл-мезгіл жалған redirect-хабарын жіберуді қайталап тұруы керек.
Айтып кететін тағы бір жайт - В түйінінің деректер ағыны бұрынғысынша тікелей А түйініне жіберіліп тұрады (яғни жартылай жолай ұстау жүзеге асырылған). Себебі: ретқақпа мен А түйіні бір желіде орналасқан, сондықтан, дестелерді А түйініне жеткізу үшін ретқақпаға аралық түйіндерді пайдаланудың қажеттігі жоқ. Сондай-ақ қаскөй В түйініне арналып А түйінінен келген дестені әрі қарай В түйініне жібермей, В түйінінің орнына өзі жалған дестемен жауап қайтаруына да болады.
Кейбір жағдайларда жалған бағдарлауышты міндеттеу шабуылын, түйінді пішінүйлесімдіру кезінде, қаскүнем шабуыл жасалынатын түйінге (ICMP Router Advertisement хабары немесе DHCP хаттамасының жалған DHCPOFFER хабары көмегімен ) өзінің IP мекен-жайын бағдарғылауыш ретінде көрсету арқылы жүзеге асыра алады.
ICMP Router Advertisement хабары. ICMP хаттамасының Router Advertisement хабарын түйіндер үнсіз келісім бойынша бағдарғы тағайындау үшін қолданы мүмкін (бұл - өте сирек кездесетін жағдай, әдетте түйінді пішінүйлесімдіру үшін DHCP хаттамасы пайдаланылады). Егер түйін Router Advertisement хабарын өңдейтін болса, онда қаскөй жалған хабар қалыптастырып, А түйіннің (тек В түйініне арналған ғана емесе, онымен қатар А түйіні желісінің сыртына шығатын) барлық деректер ағынын өзіне бағыттауы мүмкін.Бұл шабуыл кезінде де жалған ICMP Redirect хабары көмегімен жасалған шабуылдағы сияқты В түйінінің деректер ағыны бұрынғысынша (қаскөйдің Х түйінін орай өтіп) тікелей А түйініне жіберіліп тұрады.
DHCP DHCPOFFER хабары.Егер түйін өзін пішінүйлесімдіру үшін DHCP хаттамасын қолданатын болса, онда қаскөй DHCPDISCOVER сұратуына (қосымша параметрлер қатарында өзін үнсіз келісім бойынша бағдарғылауыш ретінде көрсетіп) жалған DHCPOFFER хабарымен жедел түрде жауап қайтарады.Бұл шабуыл кезінде де жартылай жолай ұстау жүзеге асырылады.
1.4 Жалған ICMP Redirect хабарының алдын - алу, қорғау
Жалған ICMP Redirect хабары арқылы ұйымдастырылған шабуылды болдырмау үшін түйіндерде (RFC-1122 құжатының талабына қарсы болса да) Redirect хабарын өңдеуге тыйым салу керек. Екінші жағынан қабылданып алынған жалған Redirect хабары бағдарғылау кестесінде кенеттен пайда болған қатар ретінде көрсетімделеді.Сондай-ақ, traceroute бағдарламасы В түйініне баратын жолда қосымша аралық түйін пайда болғанын көрсетеді.Сондықтан, егер пайдаланушы түйіннің бағдарғылау кестесіне назар аударса немесе traceroute бағдарламасын іске қосатын болса, онда қаскөйдің бұл шабуылы байқалып қалар еді.
Мұндай шабуылдан қорғанудың бір әдісі берілген хабарды сүзгілеу(Firewal-ды пайдалана немесе сүзгілейтін бағдарғылауыш), қажет немесе бұл хабарды игноризациялайтын сәйкес желілік ОЖ таңдау қажет. Жалғыз ғана әдіс (мысалға, Linux ОЖ немесе FreeBSD жағдайында) шыққан мәтінді өзгерту және ОЖ ядросын қайта компиляциялау қажет. Мұндай экзотикалық ... жалғасы
Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
1.1 Интернет желісінің хаттамасы
Интернет желісінің хаттамасы (Протокол интерсети; Internet Protocol (IP) -- желінің бір жұмыс станциясынан келесісіне хабарлар дестесін жеткізуді қамтамасыз ететін негізгі хаттама. Желідегі мәліметгерді дер кезінде тиімді маршрут таңдап, дұрыс жеткізу мақсатында АҚШ Қорғаныс министрлігі жасап шығарған. Ол жергілікті желілер мен хосткомпьютерлерді жалғастырып, Internet желісінде, UNIX ортасында кең қолданылатын TCPIP хаттамалары тобына кіреді.
1.2 Топтық таратудың МАС-адрестері
Көп адрестерді тарату (Multicast) - бұл бір ақпарат ағынын көптеген корпоративті немесе жеке абоненттерге жіберу арқылы трафикті қысқартуға
қолайлы өткізу жолагының технологиясы болып табылады. Оның артықшылығы: бейне конференцияны орнатады, корпоративті байланыс пен дистанционды оқытуды орындай алады.
Көп адресті таратудың мақсаты бірнеше тұтынушыға әрбір тарату доменіне деректерді таратпай-ақ деректерді қабылдауға мүмкіндік бере алады.
Көп адресті таратудың ерекшелігі, ІР-адресіті топқа ақпараттарды немесе деректерді жіберу мүмкіндігін орындай алады. Бұл топтың физикалық немесе географиясына шеек қойылмайды: байланыс тораптары әлемнің кез-келген жерінде болуы мүмкін.
Локалды желіде орналасқан жұмысшы станциялары дестенің жіберілетін МАС-адресімен өзінің МАС - адресі сәйкес келгенде ғана дестелерді қабылдап, өңдей алады. Көп адресті ІР таратуы үшінші деңгейдегі
топтық ІР тарату адресі базасында МАС-адресті өңдей алады. МАС кадрлары 24 биттік стандартты префиксті құрайды. Бұл префикс - 01-00-05 - ғаламторда қолданылатын көп адресті таратудағы барлық адрестер үшін арналған.г24-ші бит көп адресті таратудағы МАС - адрес үшін қолданылады. МАС-адрес орнатылғаннан соң 25-ші бит нөлге (жоғарғы деңгейлі бит) тең болады, қалған 23 бит ИАС-адресіне арналған. Оның сұлбасы 1-ші суретте көрсетілген.
Сурет 1. Топтық ІР-адресінің ғаламтор адресіне түрленуі
0.3 Топқа жазылу және қызмет ету
Топқа жазылу үшін хаттама керек. IСMP хаттамасы (Internet Group Management Protocol, топты басқарудағы желі аралық хаттама) локалды желідегі көп адресті топты тіркеу үшін қолданылады. Желі түйіндері өзінің локалды желі маршрутизаторына IСMP ақпаратын жібере отырып топты
анықтайды. IСMP хаттамасы арқылы маршрутизатор IСMP-ақпаратын қабылдайды және топтың қайсысы желіге қосылғанын анықтайды.
IСMP v1 хаттамасы. IСMP хаттамасының екі IСMP-ақпарат түрі қолданылады: топ туралы ақпарат сұрайды; топ туралы ақпарат қабылдайды.
IСMP v2 хаттамасы. IСMP хаттамасының төрт IСMP-ақпарат түрі болады:
топ туралы ақпарат сұрайды;
1-ші нұсқа бойынша топ туралы ақпаратты қабылдайды;
2-ші нұсқа бойынша топ туралы ақпаратты қабылдайды;
топты босатады.
IСMP 2 нұсқасының IСMP 1 нұсқасынан айырмашылығы тек топты босатуда. Енді түйіндер өздері көп адресті маршрутизатордан топтан шығуына хабар жібереді. Маршрутизатор желідегі басқа түйіндерден топтан шығатынынын немесе шықпайтыны туралы сұрау жібереді. Егер жауап болмаса топтан шығатын түйіндерді босатады. Бұл кідірісті тудыруы мүмкін.
Cурет 2. IСMP хаттамасының жұмыс істеу үрдісі.
Бірінші суретті топқа жазылу, ал екіншісінде топтан шығу көрсетілген
2-ші деңгейдегі көп адресті таратуды басқару
2-ші деңгейдегі коммутаторлардың ерекшелігі көп адресті трафикті әрбір портқ тарату болып табылады. Бұл коммутатордың өзінің кестесінде топтық таратудың МАС- адрестері туралы жазылмағанын айқындайды. Сондықтан дестелерді барлық порттарға таратады.
Коммутатордағы көп адресті таратуды басқару екі тәсілмен орындалады: біріншісі, виртуалды локалды желі VLAN көп адрестіт оптың шекарасын анықтайды. Бұл әдіс қарапайым, бірақ ол динамикалық қосымшаларды немесе топтан шығуды қолдамайды. Екіншісі, D-Link-коммутаторларының IСMP тыңдау. IСMP тыңдау - бұл тексеру немесе IСMP дестелерінің локалды желіде бар екенін тыңдау. Коммутатор жауап алса, онда ол сол түйінді өзінің көп адресті кестесіне жазады. Ал егер коммутатор ол түйіннің желіден шыққанын естісе, онда оны өзінің көп адресті кестесінен өшіріп тастайды.
Cурет 3. IСMP-snooping қолдайтын көп адресті трафикті тарату
Интернет хабарларын басқару хаттамасы (ICMP - Internet Control Message Protocol) əр түрлі кездесетін ақаулардың орнын толтыру үшін құрылған. Бұл IP - хаттамасының серігі. ICMP -- желілік деңгейдегі хаттама. Бірақ ол өзі каналдық деңгейдегі деректерге сай хабарларды бере алмайды. Бұл хабарлар өзінен төмен деңгейге өтуден бұрын IP дейтаграммаларына
инкапсуляцияланады. (4 сурет).
4 сурет - ICMP хабарларын инкапсуляциялау
IP дейтаграммасындағыхаттамамəні -- "1" болса, ондаол IP
деректерінің-ICMP-хабар екенін көрсетеді. ICMP-хабарлары екі кең категорияға бөлінген: хабарлар қатесі туралы есеп және сұрату. Хабарлар қатесі туралы есепте маршрутизатор немесе хост (жетуорны) IP паектін өңдеу кезінде кездесетін проблемалар жайлы көрсетіледі. Ал сұрату хабарлары хост немесе желілік менеджерге маршрутизатор немесе басқа хосттан қажетті ақпаратты алуға көмектеседі.
ICMP негізгі басты міндеттерінің бірі қателер жайлы мəлімет беру болып табылады. Қазіргі заманғы жіберу технологиялары ақпаратты жіберуде
жетілдіріліп отырған орталарды пайдаланып отырса да, қателер бəрібір
туындап отырады жəне оларды үнемі өңдеу қажеттігі бар болып тұрады. IP,
алдыңғыда көрсетіп өткеніміздей онша сенімді хаттама түріне жатпайды.
Айтып отырған ICMP хаттамасы осы жетіспеушілікті толықтыруға бағытталғанболатын. Дегенмен ICMP қателерді жөндемейді, ол тек ол туралы мағлұматбереді. Қателерді жөндеу қызметін жоғарғы деңгейдегі хаттамалар іске37асырады. Қателер жайлы хабарлар үнемі бастапқы ақпарат көздеріне
жіберіледі, өйткені дейтаграммадағы маршрут жайлы ең сенімді ақпарат - ол
қабылдау орны мен жіберу көздерінің IP адрестері. ICMP хаттамасы дейтаграмма көздеріне қателер жайлы хабарды жіберу үшін бастапқы IP
адресін пайдаланады. Бұл жағдайда қателердің бес түрлі типтері өңдеуге
ұшырайды :
- қабылдау орнына жету мүмкіндігі жоқ;
- жіберу көздері жабық;
- уақыт өткен;
- параметрлер проблемасы бар;
- қайта тағайындау бар.
Егер маршрутизатор дейтаграммаға немесе хостқа маршрутты таңдайалмаса жəне дейтаграмманы жеткізе алмаса ол жолынан ауытқиды да, маршрутизатор немесе хостқа, яғни дейтаграмманы енгізген хост көзінеқабылдау орнына жету мүмкіндігі жоқ деген хабар жібереді. Желіаралық топтарды басқару хаттамасы -- бұл топтық жіберугеенетін қажетті (бірақ жеткілікті емес, біз оны кейін байқаймыз) хаттамалардыңбірі. IGMP IP хаттамасымен өзара бірігіп әрекет жасайды.
Қажетті хабарларды Интернеттегі көптеген адрестерге жіберу үшін бізге
осы адрестреге пакеттерді таратып отыратын маршрутизаторлар қажет. Осы
маршрутизаторлардың жолдарын көрсететін кестелер желіаралық топтарды
басқару хаттамаларының бірінің көмегімен өзгертілуі керек. IGMP хаттамасы
топтық жіберу маршрутизаторларына желіге қосылған хостардың (маршрутизаторлардың) мүшелік күйі жайлы ақпарат береді. Топтық жіберу маршрутизаторлары əр күн сайын əр түрлі топтарға арналған мыңдаған пакеттер алуы мүмкін. Егер маршрутизаторда хостардың мүшелік күйі жайлы ақпарат болмаса, онда ол барлық жаққа жіберуші адрес бойынша хаттамасы көмегімен аталған барлық пакеттерді жібереді. Бұндай жіберу үлкен трафик жасап, өткізу қабылетін азайтады. Ең жақсы шешім мынада: құрамында ең аз дегенде бір белгілі мүше бар желідеге топтар тізімін сақтау. IGMP хаттамасы топтық жіберу маршрутизаторына осы тізімді құруға жəне жаңартып отыруға көмектеседі. IGMP хаттамасының екі версиясы бар. Біз қазіргі қолданылып жүрген ағымдағы IGMPv2, версиясын талдаймыз. Бұл IGMPv2 версиясында хабарлардың үш түрлі типтері бар: сұрату, мүшелік жайлы есеп жəне шығу жайлы хабар.
IGMP хаттамасы жергілікті жағдайда жұмыс істейді. Желіге қосылғантоптық жіберу маршрутизаторларында топтық жіберу адрестерінің тізімі бар.
Бұл тізімде ең аз дегенде желідегі белгілі мүшенің біреуінің адресі болады.
Əр топ үшін осы топқа арналған пакеттерді үлестіруші режимінде жұмыс істейтін бір маршрутизатор бар. Ол деген егер желіге қосылған үш топтық жіберу маршрутизаторлары бар болса, онда олардың топтық идентификаторлары (groupids) -- жалғыз болады. Хост немесе топтық жіберу маршрутизаторлары топта мүшеде болуы мүмкін.
Егер хост мүше болса, ол деген мынаны білдіреді: оның процестерінің бірі 38 (қолданба программа) топта мүше болса, онда ол белгілі бір топтан желі арқылы топтық жіберу пакетін алады. Егер маршрутизатор мүше болса, онда оның бір интерфейстеріне қосылған желі арқылы белгілі бір топтан топтық жіберу пакетін алады. Екі жағдайда да, -- хоста жəне маршрутизаторда -- топтық идентификаторлар тізімі сақталады жəне олардың сұратулары
үлестіргіш маршрутизаторға жіберіледі.
Хост немесе маршрутизатор топқа қосылуы да мүмкін. Хост топта
мүшелігі бар процесстер тізімін ұстайды. Егер процес жаңа топқа қосылғысы
келсе, ол сұратуды хостқа жібереді. Хост процесс атауын жəне қажетті топ
атауын оның тізіміне қосады. Егер бұл аталған нақты топ үшін бірінші ену
болса, онда мүшелікке өткен туралы хабарды жібереді. Егер ол біріншірет ену болмаса, онда бұл хабарды жібермеуге де болады, өйткені аталған хост - топ мүшесі болып табылады; ол осы топқа арналған топтық жіберуден хабаралады.
Маршрутизатор сонымен бірге, топтық идентификаторларға да қызмет
жасайды, ол оның əр интерфейстеріне қосылған желіде мүше екенін көрсетеді. Егер топта осы аталған интерфейстер үшін жаңа мақсаттар пайда болса, онда маршрутизатор мүшелік хабарды қайтарып алады. Басқаша айтқанда, бұл жерде маршрутизатор хост сияқты əрекет жасайды, бірақ оның топ тізімінің ауқымы кең, өйткені ол интерфейстер арқылы біріккен мүшелерді жинап отырады. Мынаған көңіл аударыңыз: мүшелік жайлы хабар сұрату жасаған барлық интерфейстерге жіберіледі.
Егер хост желідегі бірде бір процес көрсетілген топқа қызығушылық танытпайтынын анықтаса, онда ол шығу хабарын береді. Тура осылай егер
интерфейске қосылған желілердің бір де біреуі аталған топқа қызығушылық
танытпаса, онда ол осы топтан шығу хабарын жібереді.
Дегенмен, егер топтық жіберу маршрутизаторы топтан шығу хабарын
алса, ол осы топтың тізімнен алып тастау əрекетін жасайды, өйткені хабар тек
бір хосттан немесе маршрутизатордан шығуы мүмкін; немесе осы топқа
қызығушылық білдірген басқа хосттан немесе маршрутизаторлардан болуы
мүмкін. Бұған көз жеткізу үшін маршрутизатор арнайы сұрату хабарын
жібереді, жəне топпен байланысқан топтық идентификаторды (топтық жіберу
адресін) енгізеді. Маршрутизатор берілген жауап уақытын кез келген хост
немесе маршрутизатор үшін дайындайды. Егер осы уақыт ішінде қызығушылық жайлы сигнал (мүшелік жайлы хабар) түспесе, онда маршрутизатор желіде ешқандай заңды мүше жоқ деп есептеп, топты өз тізімінен алып тастайды.
Хост немесе маршрутизатор топқа қосылуы үшін оған мүше болуы
жайлы хабарды береді. Сонымен қатар, олар топтан шығу жайлы хабар беруі
арқылы топтан кетулеріне де болады. Бірақ осындай екі түрлі хабарлар типін
жіберу жеткіліксіз. Мынандай жағдайды қарастырайық. Топқа қызығушылық
танытқан бір хост бар деп есептейік. Бірақ бұл хост жабық немесе жүйеден
өшірілген. Бұл жағдайда топтық жіберу маршрутизаторы ешуақытта топтан
шығу жайлы хабарды алмайды. Топтық жіберу маршрутизаторы LAN
жүйесіндегі барлық хостар немесе маршрутизаторларды бақылауға жауапты,
39 ол олардың топта мүше болып қалғысы келетіні туралы мағлұматты білуі
қажет.Маршрутизатор периодты түрде (үнсіз келісім бойынша, əрбір 125с.
сайын) жалпы сұрату хабарларын жіберіп отырады. Бұл хабарда адрестік өрісі
0.0.0.0. деген мəнге орнатылған топ болады. Бұл мынаны білдіреді:
мүшелікті ары қарай жалғастыру сұратуы барлық топтарға қатысты болады.
Бұл топтардағы хостар саны бірден көп болуы да мүмкін.
Маршрутизатор оның тізіміндегі əр топқа арналған жауапты күтеді; тіпті, жаңа топтар да жауап беруі мүмкін. Сұрату хабарының ең үлкен жауап уақыты10 с. (өріс мəні -- іс жүзінде 100, бірақ ол секундтың ондық бөлігімен
есептеледі) тең. Хост немесе маршрутизатор сұратудың жалпы хабарын
алғанда, олар егер топқа қызығушылық танытса, онда ол жалпы сұрату хабарыналады. Дегенмен, егер, жалпы қызығушылық болса, мысалы, екі хост бір топқақызығушылық танытса, онда бұл топ үшін қажет емес трафикті болдырмауүшін тек бір ғана жауап жіберіледі. Бұл уақыты ұзартылған жауап деп аталады.
Мынаған көңіл аударыңыз, сұрату хабарын бір ғана маршрутизатор (əдетте онысұрату маршрутизаторы деп атайды) жібереді, ол да қажет емес трафиктіболдырмау үшін орындалады.Қажет емес трафикті болдырмау үшін IСMP ұзартылған жауапстратегиясын пайдаланады. Хост немесе маршрутизатор сұрату хабарыналғанда олар бірден жауап бермейді, олар жауапты кешіктіреді. Əрбір хостнемесе маршрутизатор 1 жəне 10 секунд аралығындағы таймер құру үшінкездейсоқ санды пайдаланады. Өту уақытының аралығы 1 секунд немесе оданда кем болады. Таймер тізімдегі əр топ үшін орнатылған. Мысалы, бірінші топүшін орнатылған таймер 2 секундаттан соң аяқталса, үшінші топтың таймері 5секундтан соң аяқталуы мүмкін.Əрбір хост немесе маршрутизатор мүшелік жайлы хабарлар есебін жібермес бұрын, оның таймер уақыты өткенше күтеді.Осы күту аралығында, осы топтағы басқа хост немесе маршрутизатордың таймері ертерек аяқталса, онд хост немесе маршрутизатор мүшелік жайлы хабарды жібереді.
Есеп барлық жаққа тарату хаттамасы бойынша жіберіледі, күтуші хост немесе маршрутизатор есепті алған соң, осы топқа арналған тағы бір есепті жібермеуге болатынын біледі; сондықтан күту станциясы белгіленген таймерді алып тастайды.
ICMP (Интернеттегі басқарушы хабарлар хаттамасы) - танымал әрі кеңінен пайдаланылатын интернет хаттамасы. Ол негізінен желідегі компьютерлермен түрлі қате туралы хабарларды жіберу үшін пайдаланылады.
Қашықтағы шабуылдаушылар ICMP протоколының осалдығын пайдалануға әрекет жасайды. ICMP хаттамасы түпнұсқалық растама деректерін қажет етпейтін бір бағыттық байланысқа арналған. Бұл қашықтағы шабуылдаушылардың DoS (Қызметті қабылдамау) деп аталатын шабуылдарды немесе авторизацияланбаған тұлғалардың кіретін және шығатын бумаларға кіруіне рұқсат беретін шабуылдарды бастауына мүмкіндік береді.
ICMP шабуылының әдеттегі үлгілері - дыбыс басуы, ICMP_ECHO құйылуы және смарф шабуылы. ICMP шабуылына ұшыраған компьютерлердің жұмыс едәуір баяулап (бұл интернетті пайдаланатын барлық бағдарламарға қатысты), интернет қосылу кезінде ақаулықтар шығады.
Жалған ICMP Redirect хабары
Қаскөй бұл шабуылды өзінің Х түйіні орналасқан желідегі А түйіннен басқа бір желіде орналасқан (мысалы, В) түйінге бағытталған деректер ағынын жолай ұстау үшін пайдалануы мүмкін. Бұл кезде қаскөй Х мекен- жайын А түйіннің деректері жіберілуге тиісті бағдарғалауыштың мекен-жайы ретінде көрсетеді. Сөйтіп А түйінді, өзінің деректер ағынын Х түйінге (жалған бағдарлауышқа) жіберуге міндеттейді. Қаскөйдің түйінінде бұл деректерге талдау жасалынып, керек болса оларға өзгеріс енгізіледі және одан кейін әрі қарай нағыз бағдарлауышқа жіберілуі мүмкін.
Бұл шабуыл әдетте жалған ICMP Redirect хабары арқылы жүзеге асырылады.
8-bit Type 8-bit Code 16-bit Checksum
32-bit Gateway Internet Address
Internet Header + 64 bits of Original Data Datagram
А түйінінің бағдарғылар кестесінде жалған redirect-хабарын жіберетін түйін В түйініне баратын жолдағы бірінші бағдарғылауыш болуы тиісті және В түйіні А түйіні орналасқан желінің ішіне кірмеуі керек, ал жаңадан пайда болған жалған бағдарғылауыш Х, керісінше, А түйінімен бір IP-желіде болуы қажет.
А түйіні келген redirect-хабарды алдында В түйініне жіберілген дестеге жауап деп санайды. Осы хабардан А түйіні В түйініне жіберілетін дестелердің бағытын ауыстыру керектігін анықтайды да өзінің бағдарғылау кестесіне енді деректер тасымалдауды redirect-хабарда көрсетілген бағдарғылауыш арқылы жүзеге асыру жайында өзгеріс енгізеді.
Сонымен, А және В түйіндері арасындағы деректер ағынын жолай ұстау мақсатымен жалған redirect-хабарын ұйымдастыру үшін қаскүнем А түйінімен бір IP-желіде болуы және А түйінінен В түйініне жіберілген дейтаграмма өтетін бағдарғылауыштың мекен-жайын білуі керек.
Егер желіде бір-ақ ретқақпа болса, онда ол осы керекті бағдарғылауыш болып табылады. Одан кейін қаскөй хабар жіберушінің мекен-жайы ретінде ретқақпаның IP мекен-жайы көрсетілген, ал А түйіні қабылдаушысы болып табылатын IP-десте қалыптастырады. Осы IP-дестенің ішіне redirect-хабары орналастырылады.Бұл redirect-хабарының жаңа бағдарғылауыш мекен-жайы алаңшасында қаскөйдің IP мекен-жайы көрсетіледі, ал одан кейін (А түйінінен В түйініне бұрын жіберілген сымақты) кез келген дестенің бастамасы орналасады. IP жекебөлшегі бұрын жіберілген дестелер туралы ақпаратты сақтамайтын болғандықтан, бұл жерде нақты дестенің бастамасын келтірудің қажеттігі жоқ..Осылайша қалыптастырылғн хабар қабылдаушыға (А түйініне) жіберіледі.А түйіні бұл хабарды ретқақпадан келген деп санайды да өзінің бағдарға\ылау кестесін өзгертеді.В түйініне Х арқылы салынған жаңа бағдарғы бірнеше минут бойы іске жарайтын болғандықтан, қаскөй оны сақтап тұру үшін мезгіл-мезгіл жалған redirect-хабарын жіберуді қайталап тұруы керек.
Айтып кететін тағы бір жайт - В түйінінің деректер ағыны бұрынғысынша тікелей А түйініне жіберіліп тұрады (яғни жартылай жолай ұстау жүзеге асырылған). Себебі: ретқақпа мен А түйіні бір желіде орналасқан, сондықтан, дестелерді А түйініне жеткізу үшін ретқақпаға аралық түйіндерді пайдаланудың қажеттігі жоқ. Сондай-ақ қаскөй В түйініне арналып А түйінінен келген дестені әрі қарай В түйініне жібермей, В түйінінің орнына өзі жалған дестемен жауап қайтаруына да болады.
Кейбір жағдайларда жалған бағдарлауышты міндеттеу шабуылын, түйінді пішінүйлесімдіру кезінде, қаскүнем шабуыл жасалынатын түйінге (ICMP Router Advertisement хабары немесе DHCP хаттамасының жалған DHCPOFFER хабары көмегімен ) өзінің IP мекен-жайын бағдарғылауыш ретінде көрсету арқылы жүзеге асыра алады.
ICMP Router Advertisement хабары. ICMP хаттамасының Router Advertisement хабарын түйіндер үнсіз келісім бойынша бағдарғы тағайындау үшін қолданы мүмкін (бұл - өте сирек кездесетін жағдай, әдетте түйінді пішінүйлесімдіру үшін DHCP хаттамасы пайдаланылады). Егер түйін Router Advertisement хабарын өңдейтін болса, онда қаскөй жалған хабар қалыптастырып, А түйіннің (тек В түйініне арналған ғана емесе, онымен қатар А түйіні желісінің сыртына шығатын) барлық деректер ағынын өзіне бағыттауы мүмкін.Бұл шабуыл кезінде де жалған ICMP Redirect хабары көмегімен жасалған шабуылдағы сияқты В түйінінің деректер ағыны бұрынғысынша (қаскөйдің Х түйінін орай өтіп) тікелей А түйініне жіберіліп тұрады.
DHCP DHCPOFFER хабары.Егер түйін өзін пішінүйлесімдіру үшін DHCP хаттамасын қолданатын болса, онда қаскөй DHCPDISCOVER сұратуына (қосымша параметрлер қатарында өзін үнсіз келісім бойынша бағдарғылауыш ретінде көрсетіп) жалған DHCPOFFER хабарымен жедел түрде жауап қайтарады.Бұл шабуыл кезінде де жартылай жолай ұстау жүзеге асырылады.
1.4 Жалған ICMP Redirect хабарының алдын - алу, қорғау
Жалған ICMP Redirect хабары арқылы ұйымдастырылған шабуылды болдырмау үшін түйіндерде (RFC-1122 құжатының талабына қарсы болса да) Redirect хабарын өңдеуге тыйым салу керек. Екінші жағынан қабылданып алынған жалған Redirect хабары бағдарғылау кестесінде кенеттен пайда болған қатар ретінде көрсетімделеді.Сондай-ақ, traceroute бағдарламасы В түйініне баратын жолда қосымша аралық түйін пайда болғанын көрсетеді.Сондықтан, егер пайдаланушы түйіннің бағдарғылау кестесіне назар аударса немесе traceroute бағдарламасын іске қосатын болса, онда қаскөйдің бұл шабуылы байқалып қалар еді.
Мұндай шабуылдан қорғанудың бір әдісі берілген хабарды сүзгілеу(Firewal-ды пайдалана немесе сүзгілейтін бағдарғылауыш), қажет немесе бұл хабарды игноризациялайтын сәйкес желілік ОЖ таңдау қажет. Жалғыз ғана әдіс (мысалға, Linux ОЖ немесе FreeBSD жағдайында) шыққан мәтінді өзгерту және ОЖ ядросын қайта компиляциялау қажет. Мұндай экзотикалық ... жалғасы
Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
Ұқсас жұмыстар
Пәндер
- Іс жүргізу
- Автоматтандыру, Техника
- Алғашқы әскери дайындық
- Астрономия
- Ауыл шаруашылығы
- Банк ісі
- Бизнесті бағалау
- Биология
- Бухгалтерлік іс
- Валеология
- Ветеринария
- География
- Геология, Геофизика, Геодезия
- Дін
- Ет, сүт, шарап өнімдері
- Жалпы тарих
- Жер кадастрі, Жылжымайтын мүлік
- Журналистика
- Информатика
- Кеден ісі
- Маркетинг
- Математика, Геометрия
- Медицина
- Мемлекеттік басқару
- Менеджмент
- Мұнай, Газ
- Мұрағат ісі
- Мәдениеттану
- ОБЖ (Основы безопасности жизнедеятельности)
- Педагогика
- Полиграфия
- Психология
- Салық
- Саясаттану
- Сақтандыру
- Сертификаттау, стандарттау
- Социология, Демография
- Спорт
- Статистика
- Тілтану, Филология
- Тарихи тұлғалар
- Тау-кен ісі
- Транспорт
- Туризм
- Физика
- Философия
- Халықаралық қатынастар
- Химия
- Экология, Қоршаған ортаны қорғау
- Экономика
- Экономикалық география
- Электротехника
- Қазақстан тарихы
- Қаржы
- Құрылыс
- Құқық, Криминалистика
- Әдебиет
- Өнер, музыка
- Өнеркәсіп, Өндіріс
Қазақ тілінде жазылған рефераттар, курстық жұмыстар, дипломдық жұмыстар бойынша біздің қор #1 болып табылады.
Ақпарат
Қосымша
Email: info@stud.kz