ARP-протокол

28-11-2024

Кроме того, довольно простым и, в то же время, изящным решением является «принимать только один ARP-ответ на каждый отправленный запрос» и не принимать ответы, если запросы не отправлялись.

Благодаря этой особенности реализации TCP/IP-стека в Windows NT, разработчики «активных сетевых анализаторов» или sniffer’ов имеют возможность осуществлять перехват сетевого трафика, используя тактику «Man-In-The-Middle» — с помощью специально сформированных ARP-ответов пропускать весь Ethernet-трафик через себя.

Другая интересная особенность, некогда описанная в статье «Core Protocol Stack Components» на сайте Microsoft Technet, «Duplicate IP Address Detection», имеет не менее разрушительные побочные эффекты. Узел Windows NT, получив запрос, в котором удаленный узел с помощью ARP-запроса проверяет, не занят ли его IP-адрес, выполняет два довольно опасных действия: выдает сообщение интерактивному пользователю (если он есть) и производит запись о событии в EventLog.

По каждому полученному ARP-запросу производится запись в журнал. Учитывая малый размер ARP-запроса, через 100 Мбитную сеть можно отправить довольно большое количество таких запросов, тем самым вынуждая узел получателя расходовать процессорные ресурсы и память на запись их в EventLog.


Смотрите также:
 Cтроим мосты: запуск WIN-программ в среде UNIX
 Сертификаты Oracle
 Общая проверка безопасности при проведении внутренних аудитов
 Пароли
 Определение информационной безопасности

Добавить комментарий:
Введите ваше имя:

Комментарий:

Защита от спама - решите пример: