1. ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ – ВАРНА
Курсова работа
по
Безопасност и защита на компютърни системи и
приложения
на тема:
“Проблеми със сигурността при
протокол TCP/IP – теория и практика”
Разработили: Проверили:
Ралица Христова ф.н. 090041; СИН 400463 Доц. д-р Ст. Дражев
спец. „IT иновации в бизнеса ” ас. Р. Начева
V курс, 10гр.,дистанционно обучение
1

2. Съдържание
Увод……………………………………………………………………………………………………… стр.3
I. Какво разбираме под мрежова сигурност…...………………..……..стр.3-
4
II. Проблеми със сигурността при TCP/IP протокол…………….….стр.4-
6
1.Видове атаки при TCP/IP протокола – теория и практика… стр.4-6
 Атака с TCP/IP поредни номера……………………………….…….. стр.5-
6
 Отвличане на TCP/IP сесия …………………………………….……….стр. 6-
6
 TCP SYN атака ……………………………………………….………………….стр.6-
8
Заключение…………………………………………………………………………………………… стр.8
2

3. Използвана литература/интернет източници…………..…...……….……
стр.9
УВОД
Главното предназначение на множеството от Internet протоколи е
свързването на разнообразни мрежови технологии и поддържане на стабилна
комуникация между тях. Протоколите, съставящи това множество, се намират в
различни слоеве и тяхното предназначение се разделя на две основни части –
протоколи ориентирани към пренасянето на информацията – Transfer Control
Protocol (TCP) и неговите приложения – SMTP, FTP и др.
TCP/IP представлява многослойното множество от протоколи. Той се
основава на свързан мрежов модел. Този модел предполага съществуването
на един значителен брой независим мрежи
Или по-просто казано, TCP/IP е езикът на Интернет, не можете да се
свържете към интернет без да го изпозвате. Всяка мрежа свързана към
интернет говори TCP/IP. Познаването на TCP/IP е фундамента към
разбирането на компютърните мрежи.
3

4. TCP/IP е моделът за комуникация между компютрите, който се използва
в интернет и в почти всички други съвременни компютърни мрежи.
Моделът TCP/IP е създаден през 1980 г. заради необходимостта от
единен начин за комуникация между компютрите, като по този начин
предоставя възможност мрежите да бъдат свързвани помежду си.
I. Какво разбираме под мрежова сигурност?
Компютърната и мрежова сигурност е свойство на компютърните системи
и мрежи да противодействат на опитите за несанкциониран достъп до
обработваната и съхраняваната информация, водещи до деструктивни
действия и получаване на лъжлива информация. Мрежовата сигурност е горещ
проблем в света на информационните технологии. Често опoвестявани в
медиите са прониквания в мрежи на правителствени и големи бизнес
организации, широко разпространените атаки на компютърни вируси и
квалифицираните криминални случаи с компютърни хакери. От
администраторите на многофукционални корпоративни мрежи до
потребителите на домашни компютри с достъп до Интернет, почти всеки , който
е "онлайн" е заинересован до някаква степен от проследяването на
възможността за неоторизиран достъп посредством слабите места на
компютърната мрежа. Под слабо или уязвимо място се разбира всяка точка на
компютърните и комуникационните системи и на системата за тяхната защита,
където те са слабо защитени срещу заплахи и атаки, свързани с тяхната
сигурност.
II. Проблеми със сигурността при TCP/IP протокола
Проблемите със сигурността при TCP/IP протокола са така наречените
Външни заплахи.
В една локална мрежа, която не е свързана към Интернет, този вид
заплахи не са сериозен проблем. Единственият вариант за включване на
4

5. външен потребител към мрежата е да се прикачи с кабел към мрежата или да
се включи с помощта на модем. Но днес, когато почти всяка локална мрежа има
достъп до Интернет, външните заплахи са основен проблем за мрежовата
сигурност. Вариантите за проникване в една система могат да бъдат различни
– неоторизиран достъп, различни видове атаки и др.
1. Видове атаки при ТCP/IP протокола – теория и практика
Атаките се възползват от слабости в системите. Добро правило е да се
попречи на всякакви неоторизирани системи да получат достъп до мрежата,
където могат да се използват слабости в продукти и технологии.
* В темата ще се представят само 4 вида атаки:
Атаките с измама са добре известни в Интернет света. Измамването
включва предоставянето на фалшива информация за идентичността на дадена
личност или хост, за да се получи неоторизиран достъп до някоя система.
Измамването може да се постигне дори и само чрез генерирането на
пакети с лъжливи адреси на източниците или чрез възползването от известно
поведение на някоя слабост на ТCP/IP протокола.
 Атака с TCP/IP поредни номера
5

6. фиг. Подправяне на TCP/IP поредни номера
Когато някой атакуващ знае шаблона за поредните номера, е доста
лесно да се представи за друг хост. Фигура 1 показва подобен сценарий.
Тъй като поредните номера не се избират случайно (и не нарастват
случайно), тази атака проработва - въпреки че са необходими известни умения,
за да се извърши.
Съществува поправка за TCP в RFC 1948, включваща разделянето на
областта за поредните номера. Всяка връзка притежава собствена област с
поредни номера. Поредните номера все още нарастват, както преди, но вече
няма очевидна или подразбираща се връзка между номерирането в тези
области.
Най-добрата защита срещу фалшифициране е да се включат филтри на
пакети на входните и изходните точки на мрежите. Филтрите по външните
входни точки трябва изрично да отхвърлят всякакви входящи пакети (пакети,
идващи от външния Интернет), които твърдят, че са изпратени от хост от
вътрешната мрежа. Филтрите по вътрешните изходни точки трябва да
разрешават само изходящи пакети (пакети, насочени от вътрешната мрежа към
Интернет), които са издадени от хост във вътрешната мрежа.
 Отвличане на TCP/IP сесия
6

7. Отвличането на сесия е специален случай на TCP/IP измама и е много
по-лесно от фалшифицирането на поредни номера. Нарушителят следи сесия
между два комуникиращи хоста и инжектира трафик, който изглежда все едно
идва от един от тези хостове, открадвайки на практика сесията от един от
хостовете. Законният хост е отхвърлен от връзката и нарушителят продължава
сесията със същите права за достъп, както законния хост.
Отвличането на сесия е много трудно за засичане. Най-добрата защита е
да се използват услуги за поверителност и да се криптират данните, за да се
подсигурят сесиите.
 ТСР SYN атака
Тези атаки са базирани на механизма на установяване на TCP сесия (TCP
three-way handshake). Установяването на връзката при TCP се извършва от
размяна на пакети.
При TCP SYN претоварването се получава претоварване на мишената на
атаката чрез използване на множество подправени (spoofed) SYN пакети
(изпращат се от фалшиви IP адреси – IP spoofing) , които имитират валидни
заявки за връзки. Тези пакети биват изпратени до сървъра, който отговаря със
SYN-ACK пакети, но последната стъпка от процеса (потвърждаването с ACK
пакети) не настъпва. Изградените връзки са в т.н. полуотворено състояние. При
достатъчно голямо количество SYN пакети, изпратени от нарушителя, обектът
на атаката се претоварва и спира да отговаря на всички постъпващи заявки за
връзки, включително и на реалните. Получава се отказ на обслужване.
Подправянето на SYN пакетите най-често се състои в подмяна на адреса на
подателя, с цел да се прикрие самоличността на атакуващия или да се
заобиколи дадена защитна стена, като се използва адрес, който е разрешен от
нейният лист за контрол на достъпа. Допълнително тази техника нанася двойна
вреда, защото освен мишената, и машините, чиито IP адреси са използвани при
атаката, получават множество пакети от самата мишена. Всяка полуотворена
връзка (използва се термина ембрионална връзка) заема ресурс, и
следователно броят на тези връзки е краен. След достигане на този брой,
7

8. устройството спира комуникациите с потребителите, докато тези ембрионални
връзки не се затворят и изчистят от стека.
SYN атаките са прости атаки, но те все още се използват масово и имат успех.
Някои от факторите за това са:
- SYN пакетите са част от нормалния мрежови трафик, и следователно е много
трудно да се филтрират;
- За изпращането на SYN пакети не е необходим канал с голяма пропускливост,
т.е. всеки обикновен потребител разполага с ресурса да извърши такава атака;
- Лесно се променя адреса на подателя, поради факта, че не се изисква отговор
от мишената. В следствие на това за администраторите е много трудно да
филтрират тази атака.
Противодействието на SYN атаките може да се реализира в няколко
плана :
- Лимит на броя на полуотворените връзки, както и дефиниране на
максималния интервал от време, в което те да са полуотворени. След изтичане
на това време, те се прекратяват и се подменят с нови.
- Използване на SYN cookies. При отговор на SYN пакета хостът, отговарящ
със SYN/ACK пакет криптира поредния номер (Sequence Number). При това не
се стартира полуотворена връзка. Едва след получаване на пакет с правилния
пореден номер се започва с three – way hand shake процедура.
Заключение
Настоящата тема разгледа различните заплахи за корпоративната мрежа
чрез детайлното представяне на обичайните видове атаки и слабости, както и
мерките, които могат да бъдат предприемат на ниво политика, за да се
гарантира някаква степен на по-сигурна мрежа.
8

9. Видовете заплахи обикновено са под формата на неоторизиран достъп,
въплъщаване или DoS. Ако разберете някои от подбудите за дадена атака,
може да разберете кои части от мрежата са уязвими и какви действия може да
предприеме нарушителя.
Представянето на най-обичайните слабости със сигурността може да се
окаже безценно при определянето на стъпките, които администраторите трябва
да предприемат, за да се предпазят най-изложените области на сигурността
при протокола TCP/IP.
Използвана литература/интернет източници
1. http://shumen-xc.org/upload/Administration_Book.pdf
2. http://vmrejata.info/tcpip/319-tcpipandinternet.html
9

10. 3. http://www.geology.bas.bg/doclan/tcpip.pdf
4. http://web.uniplovdiv.bg/victorivanov/pdf/compnets/lections/Module_2
_Network_fundamentals.pdf
5. http://ebox.nbu.bg/dtk08-09/Mrejovi%20atakiGodishnikDTK.pdf
10