Безопасность и Internet - статьи




Результаты


Действительно существуют различия в реализации стеков протоколов целевых систем и IDS. Эти различия, прежде всего, основаны на неполном описании межсетевого взаимодействия и ошибках проектирования. Большинство таких различий основывается на разном порядке обработки фрагментированного трафика. Также встречались явные недоработки в IDS, например, IDS Snort и Dragon принимают IP-пакеты с неправильной контрольной суммой, а IDS RealSecure 6.0 и eTrust 1.0 — с неправильной версией протокола IP.

Очень много различий основано на некорректной реализации стеков. Это приводит к тому, что одни и те же ситуации обрабатываются по-разному различными системами. В качестве примера можно привести недостатки в работе IDS Dragon при анализе трафика, направленного ОС Linux RedHat.

  • Прием пакетов, направленных на неправильный Ethernet-адрес.
  • Прием пакетов с неправильной контрольной суммой IP.
  • Прием TCP-сегментов со смещением данных меньше 20 октетов или равным 0.
  • Отсутствие обработки данных, если они пришли в TCP-сегменте, с установленным флагом FIN.
  • Прием данных полностью, если они пришли в пакете с неправильным номером очереди. (Согласно спецификации протокола TCP, место полезной информации, передаваемой конкретным TCP-сегментом, строго определяется его номером очереди; в случае неправильного номера, целевая система "отрезала" лишние данные.)
  • Прием IP-фрагментов, направленных на неверный Ethernet-адрес.
  • Прием IP-фрагментов с неправильной контрольной суммой IP.
  • IDS не обрабатывает поток TCP-фрагментов, в случае посылки в потоке повторяющихся фрагментов. После проведения таких действий, IDS выходит из строя и уже не в состоянии обработать любые TCP-фрагменты.
  • IDS не обрабатывает поток TCP-фрагментов, пришедших в обратном порядке.
  • IDS оставляет новые данные при посылке частично перекрывающихся TCP-фрагментов, тогда как операционная система оставляет старые.
  • Также интересны результаты работы IDS RealSecure 6.0, анализирующей трафик для Windows 2000.

  • RealSecure 6.0 принимает пакеты, направленные на неправильный Ethernet-адрес.
  • IDS принимает пакеты с неправильной версией IP-протокола.
  • IDS принимает данные полностью в случае посылки их в TCP-сегменте с неправильным номером очереди, тогда как операционная система "отрезает" лишние данные.
  • IDS принимает IP-фрагменты, направленные на неправильный Ethernet-адрес.
  • IDS принимает IP-фрагменты с неправильной версией IP-протокола.
  • IDS принимает TCP-фрагменты, направленные на неверный Ethernet-адрес.
  • IDS принимает TCP-фрагменты с неправильной версией IP-протокола.
  • IDS не в состоянии обработать поток TCP-фрагментов в случае посылки их в произвольном порядке.



  • Содержание  Назад  Вперед