Рис. 99 три этапа установления сеанса – Инструкция по эксплуатации Zyxel P-2602H
Страница 201
Руководство пользователя cерии P-2602H/HW EE
Глава 13 Межсетевые экраны
201
5 “Атаки типа “Ping of Death” и “Teardrop”, эксплуатирующие распространенные
ошибки в реализациях TCP/IP, присутствующие на разных компьютерах и хост-
системах.
• Для атаки “Ping of Death” с помощью утилиты “ping” создается IP-пакет, длина
которого превышает допустимую длину 65 536 байт, предусмотренную
спецификацией IP. Пакет недопустимо большого размера отправляется на
незащищенную систему, в результате чего она может дать сбой, зависнуть или
перезагрузиться.
• Атака “Teardrop” нацелена на ошибки в механизме повторной сборки IP-пакетов.
При передаче данных через сеть IP-пакеты часто разбиваются на фрагменты
меньшего размера. Каждый фрагмент имеет тот же формат, что и исходный IP-
пакет, но отличается наличием особого поля смещения, которое указывает: этот
фрагмент содержит байты 200 – 400 из исходного (нефрагментированного) IP-
пакета. Программа “Teardrop” создает множество фрагментов IP-пакетов с
перекрывающимися значениями в поле смещения. При повторной сборке этих
фрагментов на компьютере-получателе некоторые системы дают сбои, зависают
или перезагружаются.
6 Недостаточная проработка спецификаций TCP/IP создала возможности для атак,
известных как “SYN Flood” и “LAND”. Эти атаки производятся на этапе
установления связи, при подготовке сеанса обмена данными между двумя
приложениями.
Рис. 99 Три этапа установления сеанса
Обычно приложение, открывающее сеанс, направляет серверу-получателю пакет SYN
(синхронизация). Получатель отвечает пакетом ACK (подтверждение) и посылает
собственный SYN, на который инициатор также должен ответить пакетом ACK. После
этого подготовительного этапа соединение считается установленным.
• Атака “SYN Flood” выводит из строя жертву с помощью большого числа пакетов
SYN. Каждый пакет заставляет систему-жертву направлять отклик SYN-ACK. Пока
жертва ожидает подтверждения, которое должно прийти в ответ на SYN-ACK, она
накапливает в так называемой невыполненной очереди все текущие запросы SYN-
ACK. SYN-ACK удаляются из этой очереди только после прихода подтверждения
или в результате отмены трехэтапной операции установления связи по