Работа с фрагментированными пакетами

Одна из наиболее сложных задач для любой реализации стека TCP/IP — это корректная сборка фрагментов при получении. Windows NT в этом отношении не является исключением. Реализации TCP/IP-стеков, которые присутствовали в Windows NT 3.51 и Windows NT 4.0, печально известны целыми группами проблем, позволявшими использовать аномалии фрагментации для DoS-атак на эти системы.

Даже Windows 2000 SP4 обладает некоторым количеством проблем в сетевом стеке при сборке фрагментированных пакетов, которые могут приводить к DoS-атакам. К счастью, для их воспроизведения нужен достаточно большой объем данных и их проявление не так заметно – это не «синий экран», а просто полная потеря возможности работать с сетью до перезагрузки системы. Windows Server 2003 уже при своем выпуске была лишена этих проблем и является значительно более устойчивой к DoS-атакам.

Сейчас можно утверждать, что качество написанного «с нуля» стека Windows Vista значительно выше. Windows Vista не только легко переносит разнообразные аномалии IPv4-фрагментации, но и значительно лучше принимает IP-пакеты, пришедшие в произвольном порядке, что должно положительным образом отразиться на качестве работы в условиях ненадежных или медленных каналов связи. Единственным исключением является реализация печально известного протокола IGMP. По невыясненным причинам, сборка фрагментированных пакетов IGMP-протокола происходит довольно тяжело для системы, поэтому иллюстрации приходится делать с помощью фотографирования монитора. В этом случае может радовать только то, что протокол IGMP блокируется многими маршрутизаторами.

С реализацией IPv6, к сожалению, тоже пока еще не все в порядке. Элементарное добавление специально сформированного «Fragmentation Header» может приводить к серьезным проблемам быстродействия системы в случае большого потока данных, изобилующего такими заголовками. К чести разработчиков сетевого стека Windows Vista, в реализации IPv6 нет лежащих на поверхности проблем, которые могли бы приводить к более серьезным последствиям.

Как можно заметить, проблеме обработки фрагментированных IP-пакетов столько же лет, сколько и самой реализации IP-протокола. Практически до настоящего времени многие производители персональных firewall’ов совершенно не обращали на нее внимание. Продукт Outpost Firewall с момента своего появления уже обладал модулем, который занимался анализом пакетов еще до того, как они начинали обрабатываться сетевым стеком Windows, и не пропускал ошибочно или заведомо неверно сформированные пакеты. Задача грамотно созданного firewall’а — помочь стеку операционной системы корректно справиться с любыми ситуациями, которые могут произойти в ходе работы в интернете. Однако в последнее время среди производителей firewall’ов начали встречаться довольно «дикие» методы борьбы с этой проблемой, такие как отбрасывание любых фрагментированных пакетов или отбрасывание фрагментированных пакетов в случае, если был нарушен порядок приема фрагментов (например, второй фрагмент пришел раньше, чем первый). К счастью, в большинстве случаев включаются они опционально.

Собирая эти данные воедино, можно утверждать, что производители high-end firewall’ов отчасти занимаются тем, на что не хватает времени команде разработчиков Microsoft. А конечным пользователям остается надеяться на низкую квалификацию злоумышленников, которых может заинтересовать работоспособность их систем, или искать сторонние средства для обеспечения безопасности.

Есть ли прогресс?

Безусловно, Windows Vista по сравнению с предыдущими версиями операционных систем Windows NT показывает очень значительный прогресс в безопасности и качестве реализации сетевой инфраструктуры. Как и любая другая сложная система, она не лишена определенных недостатков, которые уже длительное время игнорируются производителем. Практика разработки операционной системы показала, что даже значительное время на ее создание не позволило появиться на свет системе, которая могла бы свободно обходиться без сторонних средств защиты.

Скорее всего, стандартные средства защиты вряд ли когда-нибудь будут действительно серьезной линией обороны на пути опытного злоумышленника.

Комплексный подход от Agnitum

В мае 2007 года официально появился Outpost Security Suite Pro — первое комплексное проактивное решение для Windows XP, основанное на сочетании персонального брандмауэра Outpost Firewall Pro с антишпионом, антивирусом и антиспамом. Преимущество при использовании комплексного решения заключается в том, что все компоненты будут хорошо работать вместе. А иначе всегда существует риск, что хотя бы одна из установленных на ПК программ (если пользоваться набором специализированных утилит, пусть даже лучших в своем классе) вступит в конфликт с другими приложениями — просто потому, что они не были спроектированы для совместной работы.

Среди технологических нововведений — технология SmartScan. Вы можете выбрать опцию быстрого сканирования с помощью технологии кэширования SmartScan. В процессе начального сканирования система Suite создает скрытые файлы, индексирующие файлы и папки. Если файл изменяется или база данных вредоносного ПО обновляется, Suite может быть сконфигурирован так, чтобы сканировать только эти измененные файлы. Файлы, остающиеся неизмененными, не сканируются заново, что ускоряет процесс проверки и улучшает производительность.

Так же в Outpost Security Suite Pro реализована технология внутренней защиты — «защитник» обнаруживает, когда какое-либо приложение пытается вмешаться в его собственные процессы. Это предохраняет защиту от деактивации или иного способа остановки брандмауэра вредоносным кодом.