ARP-протокол |
28-11-2024 |
Кроме того, довольно простым и, в то же время, изящным решением является «принимать только один ARP-ответ на каждый отправленный запрос» и не принимать ответы, если запросы не отправлялись.
Благодаря этой особенности реализации TCP/IP-стека в Windows NT, разработчики «активных сетевых анализаторов» или sniffer’ов имеют возможность осуществлять перехват сетевого трафика, используя тактику «Man-In-The-Middle» — с помощью специально сформированных ARP-ответов пропускать весь Ethernet-трафик через себя.
Другая интересная особенность, некогда описанная в статье «Core Protocol Stack Components» на сайте Microsoft Technet, «Duplicate IP Address Detection», имеет не менее разрушительные побочные эффекты. Узел Windows NT, получив запрос, в котором удаленный узел с помощью ARP-запроса проверяет, не занят ли его IP-адрес, выполняет два довольно опасных действия: выдает сообщение интерактивному пользователю (если он есть) и производит запись о событии в EventLog.
По каждому полученному ARP-запросу производится запись в журнал. Учитывая малый размер ARP-запроса, через 100 Мбитную сеть можно отправить довольно большое количество таких запросов, тем самым вынуждая узел получателя расходовать процессорные ресурсы и память на запись их в EventLog.
Смотрите также: Cтроим мосты: запуск WIN-программ в среде UNIX Сертификаты Oracle Общая проверка безопасности при проведении внутренних аудитов Пароли Определение информационной безопасности |