Filozofia jest sztuką życia. Cyceron

Ochrona sieci komputerowych na ...

Ochrona sieci komputerowych na bazie stacjonarnych oraz zdarzeniowych kanałów IP, Haking

[ Pobierz całość w formacie PDF ]
Temat numeru
Ochrona sieci komputerowych
na bazie stacjonarnych oraz
zdarzeniowych kanałów IP
Victor Oppleman
stopień trudności
Niniejszy artykuł prezentuje stosunkowo słabo rozpowszechnioną
technikę zabezpieczania sieci komputerowych, która w
rzeczywistości okazuje się być jednym z najbardziej efektywnych
narzędzi do walki z atakami typu DoS.
chanizm ochrony klientów indywidu-
alnych, stosowany przez podmioty
ISP (ang.
Internet Service Providers
). W niniej-
szym artykule przedstawiona jest technika po-
kazująca jak wykorzystać kanały IP w celu uzy-
skania wartościowych informacji na temat nie-
bezpieczeństw, na które narażona jest każda
sieć komputerowa. Implementując kanały moż-
na skutecznie bronić się przed wspomnianymi
zagrożeniami, i jednocześnie zbierać informa-
cje na ich temat oraz wykrywać istotne błędy w
koniguracji sieci.
Artykuł adresowany jest w ogólnym przy-
padku do czytelników zaznajomionych z tech-
nologiami sieciowymi i prezentuje następujące
zagadnienia:
iniltracji oraz innych ataków – również w
kontekście mechanizmów monitorowania
systemów sieciowych i wykrywania wła-
mań.
• Obrona przed atakami typu DoS – Przed-
stawienie w jaki sposób organizacje oraz
obsługujący je dostawcy Internetu wypra-
cowali metody obrony przed atakami DoS,
poprzez intensywne, bazujące na zdarze-
niach rozprzestrzenianie kanałów IP.
Czego się nauczysz...
• Czytając niniejszy artykuł nauczysz się jak uży-
wać kanałów IP i dowiesz się jak przy ich użyciu
bronić się przed atakami polegającymi na bloko-
waniu usług – popularnie określanymi jako DoS
(ang.
Denial of Service
).
• Pojęcia podstawowe oraz przykłady za-
stosowania – Ogólne wyjaśnienie koncep-
cji kanałów IP oraz przykłady wykorzysta-
nia tej technologii w kontekście istniejących
organizacji.
• Budowanie sieci wabików (ang.
Decoy Ne-
twork
) – Analiza możliwości wykorzystania
sieci typu
darknet
i
honeynet
, w celu wyła-
pania i analizy złośliwego skanowania, prób
Co powinieneś wiedzieć...
• Powinieneś posiadać podstawową wiedzę na
temat specyiki ataków DoS.
• Powinieneś orientować się w jaki sposób do-
stawcy Internetu obsługują przepływ danych w
sieciach komputerowych.
2
hakin9 Nr 4/2006
www.hakin9.org
O
bsługa ta stanowi podstawowy me-
Ochrona sieci komputerowych
Rysunek 1:
Atak na adres IP 192.0.2.13 (przed użyciem kanału)
Taka taktyka powoduje przekie-
rowanie ofensywnego przepływu da-
nych na kanał podmiotu ISP, uwalnia-
jąc pozostałych klientów dostawcy od
negatywnych, ubocznych skutków ata-
ku. Niestety, atakowany adres IP, a w
rezultacie – urządzenie oferujące pod
tym adresem określone usługi, jest za-
blokowane i nie może komunikować
się ze światem zewnętrznym. Sytu-
acja ta trwa aż do czasu kiedy kanał
komunikacyjny będzie przywrócony
do oryginalnego stanu (co przypusz-
czalnie nastąpi dopiero po zmniejsze-
niu się aktywności ataku). Oczywiście,
serwis udostępniany pod atakowanym
adresem może być przeniesiony na
alternatywne urządzenie o innym IP.
Niestety, zabieg taki może być z wielu
przyczyn kłopotliwy w realizacji, cho-
ciażby ze względu na wygasanie cza-
su życia rekordu DNS (ang.
DNS Ti-
me To Live
)
Pokazany przykład to zaledwie je-
den z podstawowych sposobów za-
stosowania kanału: tak zwana
„dro-
ga do czarnej dziury wywołana przez
dostawcę”
(ang.
ISP-induced blackho-
le route
) – jednak powinien być on wy-
starczający do zapoznania się z ogól-
ną koncepcją wykorzystania kanałów
przy blokowaniu ataków DoS.
• Rozproszenie Wsteczne (ang.
Backscatter
) oraz metody
IP Tra-
ceback
– Wyjaśnienie pojęcia
„Rozproszenie Wsteczne” oraz
wytłumaczenie na czym polega-
ją metody wstecznego śledzenia
pakietów IP (ang.
IP Traceback
),
służące do identyikacji punktu
wejścia ataku DoS w dużej sieci.
kres 192.0.2.0/24 jako swój blok adre-
sowy, który jest obsługiwany przez od-
powiedni podmiot ISP. Atak obniża ja-
kość usług biznesowych oferowanych
przez docelową organizację, powodu-
jąc jednocześnie potencjalne zwięk-
szenie kosztów tej organizacji, zwią-
zane z rosnącym wykorzystaniem łą-
cza oraz potrzebą podjęcia akcji przez
dostawcę Internetu. Podmiot ISP jest
w tym przypadku również zagrożony,
gdyż wzmożony ruch w sieci będący
skutkiem ubocznym ataku, może nie-
korzystnie wpływać na innych klien-
tów, wykorzystujących to samo łącze.
Dostawca Internetu w ramach re-
akcji inicjuje tymczasowo kanał typu
„czarna dziura” (ang.
blackhole)
, kieru-
jąc ruch pod nowy adres (192.0.2.13/
32), na którego ujściu znajduje się in-
terfejs odrzucający (znany jako
null0
,
lub „
bit bucket
”) – sytuacja ta pokaza-
na jest na Rysunku 2.
Podstawowe pojęcia i
przykład zastosowania
W kontekście niniejszego tekstu, poje-
cie
„kanał”
może być zdeiniowane ja-
ko uogólniony sposób przekierowania
ruchu w sieci – dla specyicznego ad-
resu IP, w celu uruchomienia mecha-
nizmów bezpieczeństwa, takich jak:
zbieranie i analiza śladów włamań,
przeprowadzanie dywersji ataków czy
detekcja niepożądanych działań. Wy-
sokiej klasy dostawcy Internetu (okre-
ślani jako
Tier-1 ISPs
) byli pioniera-
mi w implementacji tego typu me-
chanizmów. Ich główną motywacją
do podjęcia tego rodzaju kroków, by-
ła ochrona własnych klientów indywi-
dualnych. W dalszej kolejności, wspo-
mniane techniki zostały zaadaptowa-
ne do gromadzenia istotnych z punk-
tu widzenia bezpieczeństwa informa-
cji na temat pojawiających się zagro-
żeń. Aby zobrazować najprostszą for-
mę kanału prześledźmy następujący
scenariusz.
Złośliwy, destrukcyjny przepływ
danych jest skierowany z różnych
źródeł do sieci 192.0.2.13, jak poka-
zano na Rysunku 1. Organizacja bę-
dąca źródłem ataku wykorzystuje za-
Używanie kanałów w
celu rozmieszczania
sieci wabików
Bardziej nowoczesnym sposobem
wykorzystania kanałów jest roz-
mieszczanie sieci wabików, w celu
Rysunek 2:
Atak na adres IP 192.0.2.13 (zastosowanie kanału)
www.hakin9.org
hakin9 Nr 4/2006
3
  Praktyka
Listing.1 Przykładowa
koniguracja BGP
tecznych analiz – zarówno w czasie
rzeczywistym jak i przy późniejszym
szukaniu śladów elektronicznych
nadużyć w sieci.
Bardzo istotnym jest fakt, iż ża-
den pakiet traiający do strefy
dark-
net
nie jest oczekiwany. Wynika to
niejako z samej deinicji tej strefy.
Konkludując, ponieważ żaden legal-
ny pakiet nie powinien nigdy poja-
wić się wewnątrz sieci
darknet
, więc
w rezultacie ruch pojawiający się w
tej streie musi być siłą rzeczy zjawi-
skiem niepożądanym – wynikającym
z potencjalnie błędnej koniguracji,
bądź posiadającym swoje źródło w
zewnętrznym ataku ze strony jakie-
goś złośliwego oprogramowania.
Właśnie ten ostatni przypadek sta-
nowi najczęstszą przyczynę pojawia-
nia się niepożądanych pakietów w
„ciemnej streie”
. Wspomniane złośli-
we oprogramowanie skanuje zazwy-
czaj zakres dostępnych adresów IP
w celu odnalezienia niezabezpieczo-
nych urządzeń – i takie pakiety traiają
właśnie do sieci
darknet
– wystawiając
jednocześnie na próbę mechanizmy
bezpieczeństwa systemu. Stosowanie
takiego mechanizmu stanowi niemal-
że niezawodne podejście przy wyszu-
kiwaniu robaków sieciowych i różnego
rodzaju samo-propagującego się zło-
śliwego oprogramowania. Dzięki wy-
korzystaniu sieci
darknet
(nawet bez
korzystania z żadnych dodatkowych
pomocy) administrator systemu może
łatwo i szybko zlokalizować występo-
wanie zjawiska skanowania (np. próby
wykrycia przylegających hostów sta-
nowiących potencjalne ścieżki dalszej
propagacji) w sieci o dowolnym roz-
miarze. Jest to potężne narzędzie przy
budowaniu systemu zabezpieczeń.
Dodatkowo – jak już wcześniej wspo-
minałem – sieci typu
darknet
pozwala-
ją uwypuklić potencjalne luki i błędy w
koniguracji sieci, co umożliwia admi-
nistratorowi podjęcie szybkich działań
w celu usunięcia tych niedogodności.
Technika ta ma szerokie zastosowa-
nie w dziedzinie bezpieczeństwa sie-
ci – może być wykorzystana przy kon-
troli przepływu ruchu między hostami,
wykrywaniu zjawiska wstecznego roz-
proszenia, badaniu pakietów czy bu-
dowaniu systemów detekcji intruzów.
router
bgp
XXX
redistribute
static
route
-
map
static
-
to
-
bgp
# Korzystamy z mapy przekierowań
# w celu określenia strategii modyikacji
# atrybutów danego preiksu, oraz polityki
# iltrowania
route
-
map
static
-
to
-
bgp
permit
10
match
tag
199
set
ip
next
-
hop
192.0
.
2.1
set
local
-
preference
50
set
community
no
-
export
set
origin
igp
Listing 2.
Przykładowa koniguracja BGP po stronie ISP
router
bgp
XXX
# Korzystamy z mapy przekierowań
# w celu przekazywania informacji na temat
# przekierowań
neighbor
<
customer
-
ip
>
route
-
map
customer
-
in
in
# preix-list to statyczna lista klienckich preiksów;
# klient powinien mieć możliwość określenia
# konkretnego hosta na tej liście
neighbor
<
customer
-
ip
>
preix
-
list
10
in
# wpis ebgp-multihop jest konieczny w celu
# zapobiegnięcia ciągłemu rozsyłaniu i odrzucaniu
# informacji o preiksach
neighbor
<
customer
-
ip
>
ebgp
-
multihop
2
# Deiniujemy mapę przekierowań oraz strategię
# rozpoznawania i ustawiania czarnych dziur
# przy następnym przeskoku
route
-
map
in
-
customer
permit
5
# Klient ustawia parametr community po swojej stronie,
# zaś IPS sprawdza go po swojej stronie;
# XXXX może być ASN-em klienta,
# zaś NNNN dowolnym numerem określonym
# przez obie strony
match
ip
community
XXXX
:
NNNN
set
ip
next
-
hop
<
blackhole
-
ip
>
set
community
additive
no
-
export
schwytania i zdemaskowanie prze-
ciwnika, a także do zbierania infor-
macji na jego temat.
Według słownika, słowo
„wabik”
opisuje dowolny przedmiot którego
celem jest doprowadzenie do pułap-
ki, element pokusy – której zadaniem
jest omamić przeciwnika i wystawić
go na niebezpieczeństwo, wydać na
pastwę wroga. Mówiąc krótko, wabik
jest to pewien rodzaj przynęty.
W niniejszym tekście będę opisy-
wał dwa rodzaje sieci wabików: sie-
ci typu
darknet
oraz
honeynet
. Oby-
dwie technologie można wykorzy-
stywać w celu gromadzenia wiado-
mości związanych z występowaniem
ataków, aczkolwiek pierwszy z wy-
mienionych typów jest szczególnie
przydatny przy opracowywaniu bez-
piecznych sieci komputerowych.
Rozmieszczanie sieci
typu darknet
W ogólności, sieć typu
darknet
sta-
nowi zakres zaalokowanej przestrze-
ni adresów IP, do którego nie są pod-
pięte żadnych reagujące serwisy.
Tego typu sieci są sklasyikowane
jako
„ciemne”
(ang.
dark
), ze wzglę-
du na to, że wewnątrz ich nie ma nic,
co mogło by się
„zapalić”
. Sieć ty-
pu
darknet
zawiera w sobie co naj-
mniej jeden serwer, zaprojektowa-
ny jako
„wsysacz”
pakietów. Serwer
ten składuje i organizuje dane, któ-
re wchodzą w przestrzeń
darknet
, co
umożliwia mu przeprowadzanie uży-
4
hakin9 Nr 4/2006
www.hakin9.org
     Ochrona sieci komputerowych
Figure 3:
Referencyjna izyczna topologia sieci typu darknet.
dobór wewnętrznego lub zewnętrzne-
go urządzenia (a nawet obydwu naraz
– chociaż podejście takie nie jest za-
lecane). Sieci typu
darknet
o bardziej
biznesowym charakterze są zazwy-
czaj lokowane wewnątrz DMZ-tów da-
nej organizacji i wydzielone z pozosta-
łej części infrastruktury sieciowej.
Można również rozważyć uży-
cie zapory, która będzie wykonywa-
ła wymagane czynności zamiast ru-
tera. Ja osobiście rekomenduję uży-
wanie rutera sterującego ruchem
przychodzącym – w przypadku im-
plementacji zewnętrznych sieci
dark-
net
. Przy tworzeniu niepublicznej
„ciemnej strefy”
zalecam wykorzy-
stanie wewnętrznego switch’a. Nie-
zależnie od doboru topologii, pod-
stawową kwestią do rozważenia jest
koniguracja urządzenia odpowie-
dzialnego za przekierowywanie pa-
kietów, które docelowo mają traić
do strefy
darknet
w celu obsłużenia
przez dedykowany serwer. Serwer
składujący dane musi być oczywi-
ście wyposażony w interfejs umożli-
wiający przechwytywanie nadcho-
dzących pakietów. Bardzo mile wi-
dziany jest też przynajmniej jeden
interfejs do obsługi Ethernetu. Inter-
fejs taki znacznie ułatwia zarządza-
nie siecią typu
darknet
. Cały podsys-
tem obsługujący
„ciemną strefę”
mu-
si być zaprojektowany bardzo uważ-
nie – szczególnie w kontekście me-
chanizmów bezpieczeństwa – jako
że z deinicji do sieci tej będą tra-
iać różnego rodzaju szkodniki. War-
to również poświęcić trochę czasu
na wykorzystanie istniejącego swit-
ch’a DMZ, w celu poprawnego pod-
łączenia omawianych komponentów.
Aby osiągnąć zamierzony efekt moż-
na się również pokusić o odpowied-
nią konigurację VLAN, tak aby wła-
ściwa transmisja przychodząca nie
traiała do sieci
darknet
. Należy pa-
miętać, że
„ciemna strefa”
dedyko-
wana jest tylko i wyłącznie do ob-
sługi pakietów nielegalnych i niespo-
dziewanych. Na Rysunku 3 pokaza-
na jest referencyjna koniguracja ob-
sługująca sieć typu
darknet
. W tym
konkretnym przypadku użyto rutera
bądź switch’a obsługiwanego przez
oprogramowania Cisco IOS z licen-
Siła i elegancja tego rozwiązania po-
lega na tym, że sieci
darknet
opiera-
ją się jedynie na analizie występowa-
nia negatywnych zdarzeń – pozosta-
jąc niezależnymi od konkretnych tech-
nologii czy urządzeń.
Implementacja sieci
darknet
jest
stosunkowo prosta. Można tu wyod-
rębnić pięć podstawowych kroków,
które należy wykonać:
Należy wybrać jeden lub kil-
ka nieużywanych zakresów w prze-
strzeni adresów IP w danej sieci, któ-
re będą stanowić ścieżkę do
„ciem-
nej strefy”
. Może to być zakres adre-
sów z preiksem /16 lub większym, a
nawet cały zakres pojedynczego ad-
resu (/32). Im większy jest zakres
używanych adresów, tym dokład-
niejsze (w sensie statystycznym) są
uzyskane informacje na temat nie-
pożądanej aktywności w docelowej
sieci. Osobiście polecam wykorzy-
stywanie różnych segmentów adre-
su, na przykład /29 dla każdej pod-
sieci wewnętrznej i /25 dla puli pu-
blicznych (dostępnych z zewnątrz)
wejść do sieci. Nie ma również prze-
ciwwskazań do wykorzystania we-
wnętrznej, prywatnej przestrzeni ad-
resowej przy budowaniu sieci
dark-
net
(może być to na przykład prze-
strzeń 10.0.0.0/8 określona w doku-
mencie RFC 1918). W rzeczywisto-
ści jest to wręcz zalecane: poprzez
włączenie wewnętrznych, prywat-
nych regionów swojej sieci do
„ciem-
nej strefy”
mamy możliwość anali-
zy skanowania z wewnątrz – co mo-
gło by umknąć naszej uwadze – gdy-
byśmy zbudowali
darknet
jedynie na
bazie adresów publicznych.
Inna strategia doboru adresów do
sieci typu
darknet
, szczególnie cie-
kawa dla organizacji wykorzystują-
cych specyiczne sposoby sterowania
przepływem pakietów w swoich we-
wnętrznych sieciach, polega na stoso-
waniu zasady
„najbardziej specyicz-
na ścieżka przepływu danych wygry-
wa”
. Wygląda to w ten sposób, że je-
śli używamy adresów 10.1.1.0/24 oraz
10.2.1.0/24 wewnętrznie, to możemy
przekierować całą sieć 10.0.0.0/8 do
swojej
„ciemnej strefy”
. Jeśli wiemy, że
nasza sieć jest poprawnie skoniguro-
wana to
darknet
odbierze cały ruch w
sieci 10.0.0.0/8, z wyjątkiem podsie-
ci, które są wykorzystywane w specy-
iczny sposób lub bezpośrednio prze-
kierowywane (takie podsieci mają za-
zwyczaj statyczne wpisy do rejestru
przekierowań w infrastrukturze sieci).
Kolejnym krokiem jest konigura-
cja izycznej topologii. Potrzebny jest
nam w tym przypadku ruter lub switch
(
layer-3
) przekierowujący ruch do sie-
ci
darknet
, serwer z dużym zapasem
przestrzeni dyskowej – służący jako
składnica danych, oraz switch ether-
netowy, wykorzystany do połączenia
tych komponentów (a w przyszłości
również do podłączenia dodatkowych
mechanizmów – na przykład sensora
IDS lub analizatora protokołów). Jeśli
chodzi o ruter, to możliwy jest zarówno
www.hakin9.org
hakin9 Nr 4/2006
5
 Praktyka
cją softwareową trzeciego poziomu
(layer-3), oraz serwera opartego na
systemie FreeBSD. Do połączenia
urządzeń wykorzystano switch dru-
giego poziomu (layer-2).
Jako że serwer składujący dane
nie powinien korzystać z ARP (ang.
address resolution protocol
), dlatego
dla każdego adresu w zakresie sieci
darknet
należy tak skonigurować ru-
ter, aby automatycznie przekierowy-
wał ruch należący do
„ciemnej stre-
fy”
na unikalny adres IP, znajdujący
się na interfejsie ethernetowym wspo-
mnianego serwera. W celu uzyska-
nia takiego efektu polecam wykorzy-
stanie dedykowanej sieci (/30) służą-
cej jako bezpośrednie połączenie po-
między ruterem oraz interfejsem sie-
ci
darknet
– może być to na przykład
sieć 192.0.2.0/30. W takim przypad-
ku interfejs ethernetowy rutera byłby
umieszczony pod adresem 192.0.2.1/
30, zaś dostęp do serwera składują-
cego dane można by uzyskać odwo-
łując się do 192.0.2.2/30. Koniguracja
interfejsu jest mocno zależna od doce-
lowej platformy i generalnie każdy ad-
ministrator sieci musi uporać się z tym
problemem samodzielnie. W kontek-
ście prezentowanego wcześniej przy-
kładu (oprogramowanie Cisco IOS z
licencją layer-3) wystarczy skonigu-
rować switch’a tak, aby przekazywał
ruch predestynowany do sieci
darknet
na adres 192.0.2.2 – do dedykowane-
go serwera:
Kolejne interesujące nas zagad-
nienie to sposób obsługi pakietów,
które traiają do
„ciemnej strefy”
. Do-
celowy serwer powinien być skoni-
gurowany w taki sposób, aby nie wy-
syłał żadnych odpowiedzi w związku
z pojawiającymi się danymi. Oczywi-
ście, serwer musi wysyłać komunikaty
ARP (na skonigurowany adres, w na-
szym przypadku: 192.0.2.2/30) w ce-
lu nawiązania komunikacji z ruterem,
jednak wszystkie inne pakiety powinny
być odrzucane, najlepiej przy użyciu
zapory – podobnej jaką stosuje się na
zwykłych hostach. Jak już wcześniej
wspominałem, na interfejsie
„ciemnej
strefy”
nie należy udostępniać żad-
nych usług związanych z zarządza-
niem. Do tego celu należy skonigu-
rować odrębny interfejs ethernetowy i
przez niego wykonywać wszelkie ope-
racje administracyjne. Ze względu na
potrzebę stosowania irewall’a, wy-
bór platformy zależy w dużej mierze
od preferowanego rozwiązania w tym
zakresie. Osobiście polecam systemy
oparte na BSD oraz oprogramowanie
pf
lub
ipfw2
jako zaporę. Bez względu
na ostateczny wybór narzędzia, war-
to zastanowić się nad włączeniem me-
chanizmu logowania zapory. Ja za-
wsze zostawiam logowanie włączone
– głównie ze względu na stosowanie
narzędzi do analizy logów, które potra-
ią parsować pojawiające się informa-
cje i w sytuacji kryzysowej wygenero-
wać odpowiednie ostrzeżenie. Z dru-
giej strony, włączone logowanie może
w znaczący, negatywny sposób wpły-
nąć na wydajność całego podsyste-
mu. Jako dodatkowy mechanizm bez-
pieczeństwa (zapory również potra-
ią się psuć, lub mogą być przez przy-
padek wyłączone) warto skoniguro-
wać przekierowanie ruchu w
„ciemnej
streie”
na interfejs odrzucający (czar-
ną dziurę). Przekierowanie to powinno
być aktywowane w sytuacji, gdy z ja-
kiejś niezależnej przyczyny nadcho-
dzące pakiety nie są iltrowane. Przy-
kładowa koniguracja takiego mecha-
nizmu w systemie FreeBSD wygląda
następująco:
route add –net 10.0.0.0/8
§
127.0.0.1 –blackhole
Mając działającą i zabezpieczoną
sieć typu
darknet
, należy pomyśleć
o mechanizmie składowania prze-
chwytywanych informacji – najlepiej
w takim formacie, który będzie ade-
kwatny do narzędzi wykorzystywa-
nych przy analizie. Najbardziej po-
wszechnym wyborem jest zapisy-
wanie danych w binarnym formacie
pcap
, jako że format ten jest obsłu-
giwany przez lwią część aplikacji de-
dykowanych do analizy ruchu w sie-
ci. Zdanie to można wykonać bar-
dzo łatwo stosując program
tcp-
dump
, stworzony przez grupę bada-
jącą technologie sieciowe w Lawren-
ce Berkeley National Laboratory. Oto
prosty przykład wykorzystania tego
narzędzia z poziomu linii komend:
tcpdump -i en0 -n -w darknet_dump –C125
W tym przykładzie narzędzie
tcpdump
jest skonigurowane tak, aby prze-
chwytywać dane z interfejsu
en0
, przy
wyłączonej obsłudze DNS. Po odczy-
taniu kolejnych 125 milionów bajtów
dane są zapisywane w pliku o nazwie
darknet_dumpN
(wartość N jest inkre-
mentowana po każdym zapisie, w ce-
lu zachowania unikalności nazw). Da-
ne zapisywane są w binarnym forma-
cie
pcap
. Wynikowe plik mogą być wy-
korzystane jako wejście dla dedyko-
wanych narzędzi, które wykonają po-
trzebną analizę. W większości sce-
nariuszy program
tcpdump
może być
też wykorzystany do przeszukiwania
przechwyconych zasobów – w czasie
rzeczywistym – robi się to za pomo-
cą wyrażeń BPF (ang.
Berkeley Pac-
ket Filter
). Oczywiście, mając zacho-
wany cały przepływ informacji z sieci
darknet
w plikach nie trzeba obawiać
się, że utracimy jakieś istotne informa-
cje.
W późniejszym czasie można na
router#conf t
router(conig)# ip route 10.0.0.0
§
255.0.0.0 192.0.2.2
router(conig)# ^Z
router# wr
Przykład logicznej topologii systemu
pokazano na Rysunku 4.
Listing 3.
Przykładowa koniguracja po stronie klienta
router
bgp
XXXX
(
ASN
klienta
)
# klient określa statyczne przekierowanie,
# które jest dystrybuowane poprzez BGP
route
-
map
static
-
to
-
bgp
permit
5
# sprawdzanie numeru,
# ustalonego po obu stronach
match
tag
NNNN
set
community
additive
XXX
:
NNNN
ip
route
192.168
.
0.1
255.255
.
255.255
Null0
tag
NNNN
6
hakin9 Nr 4/2006
www.hakin9.org
      [ Pobierz całość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • happyhour.opx.pl
  • Tematy

    Cytat


    Facil(e) omnes, cum valemus, recta consili(a) aegrotis damus - my wszyscy, kiedy jesteśmy zdrowi, łatwo dajemy dobre rady chorym.
    A miłość daje to czego nie daje więcej niż myślisz bo cała jest Stamtąd a śmierć to ciekawostka że trzeba iść dalej. Ks. Jan Twardowski
    Ad leones - lwom (na pożarcie). (na pożarcie). (na pożarcie)
    Egzorcyzmy pomagają tylko tym, którzy wierzą w złego ducha.
    Gdy tylko coś się nie udaje, to mówi się, że był to eksperyment. Robert Penn Warren