Отказом в обслуживании (DOS — Denial Of Service ) называют любые условия, в которых некоторая часть (или части) сети становится недоступной. Как правило, это результат умышленного использования программы, генерирующей настолько много "бессмысленных данных", что они начинают препятствовать нормальной работе сети. Можно привести такие примеры.
● Генерирование бессмысленных данных и направление их на почтовый сервер не
позволяет войти в него законным пользователям.
● Захват всех циклов работы процессора сервера.
● Повреждение сервера.
● Многократное направление команды Ping на сервер создает значительный шум в
сети, поскольку серверу приходится отвечать на эти команды.
Итак, если вы не можете использовать вашу сеть, поскольку кто-то уже
выполняет подобные действия, значит вы подверглись DOS-атаке.
Хорошо известны два типа DOS-атаки: Teardrop и Land. В обоих случаях для
вмешательства в работу сети, подключенной к Internet, используются недостатки
протокола TCP/IP.
Использовав один из методов атаки, удаленный пользователь может разрушить
уязвимый сервер (vulnerable server). Так, во время Land-атаки атакующий
пользователь может посылать повторяющиеся широковещательные сообщения на
маршрутизатор, подсоединенный к локальной сети Ethernet. Затем маршрутизатор
будет повторять этот запрос во всей локальной сети, таким образом перегружая
трафик.
Примечание:
Известно несколько типов Land-атаки, однако всем им присуще использование
фальшивого (spoofing) IP адреса источника.
Большинство DOS-атак выполняется из компьютеров, находящихся вне локальной сети, поэтому для защиты от них наиболее эффективны брандмауэры. Так называют аппаратный или программный маршрутизатор, установленный между вашей внутренней и остальной сетью общедоступной или частной (private). Этот маршрутизатор путем входной фильтрации (ingress filtering) проверяет пакеты и отбрасывает неприемлемые. Как показано в гл. 14, некоторые средства обслуживания для внесения сообщений в список используют порты. Например, в SNMP применяют порт с номером 161. В зависимости от типа сети, можно заблокировать внешний доступ к управляющим портам (administrative ports), с тем чтобы управлять маршрутизатором только изнутри локальной сети.
Примечание:
На практике можно сначала заблокировать все порты, а затем открывать их только
по мере необходимости. Таким образом вы можете обеспечить начальную защиту
сети. Кроме того, вас будут считать отличным парнем, который предоставляет
доступ к ресурсам, а не сквалыгой, который отнимает ресурсы.
Чтобы гарантировать корректную работу брандмауэра, его программное обеспечение следует регулярно обновлять пакетами, выпускаемыми производителями, для исключения "уязвимых мест".
Совет:
Обязательно отслеживайте пакеты, которые отбрасывает ваш брандмауэр, если их
характер позволяет заподозрить намеренные попытки взлома сети.
Предусмотрите резервы
Никогда не планируйте закупку кабеля "в обрез". Напротив,
предусмотрите некоторый его запас. Во-первых, он понадобится просто потому, что
вы не сможете громоздить компьютеры один на другой ...
Глава 3. Сетевые протоколы и интерфейсы прикладных программ
Чтобы передать по локальной сети (LAN) данные из пункта А в пункт к,
необходимо не только оборудование (гл. 1), организованное в одну из
конфигураций (гл. 2), но и сетевое программное обеспечение, к ...
Как установить сетевой адаптер?
Для того чтобы установить на своем компьютере «внутренний» сетевой адаптер, подключаемый к шине ISA или PCI, вам необходимо проделать предложенную далее последовательность действий.
1. Вы ...