лабораторная работа

КОНСТАНТИН ГАВРИЛЕНКО

Спецвыпуск: Хакер, номер #066, стр. 066-018-2

[IGRP] — протокол маршрутизации, разработанный и запатентованный Cisco. До появления его модифицированной версии (EIGRP) считался лучшим протоколом, в котором используется алгоритм по вектору расстояния. Из недостатков отмечу невозможность аутентификации, отсутствие поддержки масок произвольной длинны и пересылку всей таблицы маршрутизации. Из преимуществ — быстрое время конвергенции, составную метрику маршрута, которая использует факторы загруженности канала, латентность, и проч. Рассылка происходит путем отсылки пакетов обновлений на широковещательный адрес 255.255.255.255. IGRP-протоколу присвоен порядковый номер 9.

[классификация типов атак на протоколы маршрутизации.] Атаки на протоколы маршрутизации можно разделить на три вида:

1 ИСПОЛЬЗУЕТСЯ ВЗЛОМАННЫЙ МАРШРУТИЗАТОР (САМЫЙ БЫСТРЫЙ И ЛЕГКИЙ ПУТЬ ИЗМЕНЕНИЯ МАРШРУТОВ). АТАКУЮЩИЙ ПОЛУЧАЕТ ПОЛНЫЙ ИЛИ ЧАСТИЧНЫЙ ДОСТУП К МАРШРУТИЗАТОРУ.

2 ИСПОЛЬЗУЕТСЯ ПИРАТСКИЙ МАРШРУТИЗАТОР. ТИПИЧНЫЙ ПРИМЕР: УСТАНАВЛИВАЮТ ОДИН ИЗ ПАКЕТОВ МАРШРУТИЗАЦИИ, ПОДКЛЮЧАЮТСЯ К ДОМЕНУ МАРШРУТИЗАЦИИ И ОПОВЕЩАЮТ СОСЕДЕЙ О НОВЫХ МАРШРУТАХ.

3 ИСПОЛЬЗУЕТСЯ ЗАМАСКИРОВАННЫЙ МАРШРУТИЗАТОР, ЧТО, КАК ПРАВИЛО, НУЖНО ЧТОБЫ ПОДМЕНИТЬ АДРЕС ПОСЫЛАЮЩЕГО НА ЛЕГИТИМНЫЙ, ТО ЕСТЬ ЧТОБЫ ОБОЙТИ ЛИСТЫ КОНТРОЛЯ, УСТАНОВЛЕННЫЕ СИСТЕМНЫМ АДМИНИСТРАТОРОМ НА КОНКРЕТНОМ МАРШРУТИЗАТОРЕ.

Какой бы вид атаки ни был выбран, цель злоумышленника всегда одна и та же — изменить таблицы маршрутизации по своему усмотрению, ради чего идет по одному из четырех путей (по какому именно, подскажет ситуация):

— ИЗМЕНИТЬ МЕТРИКУ МАРШРУТА НА МЕНЬШЕЕ ЗНАЧЕНИЕ. ПРИ ВЫБОРЕ МАРШРУТА ПРЕДПОЧТЕНИЕ ОТДАЕТСЯ МАРШРУТУ С МЕНЬШЕЙ МЕТРИКОЙ.

— ИЗМЕНИТЬ ОПОВЕЩАЕМУЮ МАСКУ МАРШРУТА НА БОЛЕЕ СПЕЦИФИЧНУЮ. НАПРИМЕР, МАСКА 255.255.255.255 БУДЕТ ПРЕДПОЧТЕНА МАСКЕ 255.255.255.128, КОТОРАЯ, В СВОЮ ОЧЕРЕДЬ, БУДЕТ ПРЕДПОЧТЕНА МАСКЕ 255.255.255.0.

— ИЗМЕНИТЬ ПОЛИТИКУ МАРШРУТИЗАЦИИ, ПЕРЕРАСПРЕДЕЛИТЬ МАРШРУТЫ ИЛИ АДМИНИСТРАТИВНУЮ ДИСТАНЦИЮ (НА ПРАКТИКЕ ТАКОЕ ТВОРЯТ РЕДКО, ТАК КАК ТРЕБУЕТСЯ ВОЗМОЖНОСТЬ ИЗМЕНЯТЬ КОНФИГУРАЦИЮ МАРШРУТИЗАТОРА, ЧТО СЛОЖНО).

— АТАКОВАТЬ ОТКАЗ В ОБСЛУЖИВАНИИ, ЧТОБЫ УДАЛИТЬ ОПОВЕЩЕНИЕ О МАРШРУТЕ, ЗАТЕМ ОПОВЕСТИТЬ ДОМЕН О ПРОХОЖДЕНИИ МАРШРУТА ЧЕРЕЗ СОБСТВЕННЫЙ МАРШРУТИЗАТОР.

[ИНСТРУМЕНТЫ]

Обычно под рукой администратора сети и атакующего лежит tcpdump — их лучший инструмент. Возможно, более продвинутые люди позовут на помощь себе tethereal — часть пакета ethereal, которая умеет отображать более детальную информацию из пакета. Однако наши нужды достаточно скромны, поэтому вполне обойдемся и tcpdump’ом.

Для посылки произвольных запросов можно использовать специальную утилиту rprobe (www.packetstormsecurity.org/groups/horizon/rprobe.c) или генератор произвольных пакетов типа sendip (www.earth.li/projectpurple/progs/sendip.html).