ΘΕΜΑ ΠΤΥΧΙΑΚΗΣ:DNS SERVER ΣΕ ΠΕΡΙΒΑΛΛΟΝ WINDOWS

Transcript

1 ΘΕΜΑ ΠΤΥΧΙΑΚΗΣ:DNS SERVER ΣΕ ΠΕΡΙΒΑΛΛΟΝ WINDOWS Υπεύθυνος καθηγητής: κος Γεώργιος Παπαμώκος Σπουδάστρια: Χρυστάλλα Χρίστου ΑΡΤΑ 2005

2 ΕΥΧΑΡΙΣΤΙΕΣ Με την ολοκλήρωση της πτυχιακής μου εργασίας θα ήθελα να ευχαριστήσω τον καθηγητή μου κύριο Γεώργιο Παπαμώκο για την βοήθεια που μου πρόσφερε στην πτυχιακή μου εργασία. Επί της ευκαιρίας θα ήθελα να ευχαριστήσω τους γονείς μου για την ψυχολογική υποστήριξη που μου πρόσφεραν κατά την διάρκεια των σπουδών μου 2

3 ΠΕΡΙΕΧΟΜΕΝΑ ΚΕΦΑΛΑΙΟ 1 1. Εισαγωγή στους DNS server..07 (α) Τι είναι DNS serve.. 09 (β) Η λειτουργία του DNS ΚΕΦΑΛΑΙΟ 2 1. Εγκατάσταση DNS server Διαμορφωση DNS server..20 ΚΕΦΑΛΑΙΟ 3 1. Διαχείριση DNS server..24 3

4 (α) Το Term Address resolution Χώρος ονομάτων του DNS 26 (α) Εγγραφές πόρων 29 (αi) Εναποθήκευση και χρόνος να ζήσει.30 (αii) Χρόνος διάδοσης.. 30 (β) Εξυπηρετητές ονομάτων Το DDNS Server 32 ΚΕΦΑΛΑΙΟ 4 1. Χρήστες του DNS..34 (α) Μεταφορά πακέτου Ασφάλεια κατά την σύνδεση των χρηστών.35 4

5 ΚΕΦΑΛΑΙΟ 5 1. Ασφάλεια DNS Προστασία DNS Τύποι επιθέσεων.41 (α) Μη_ Τεχνολογικές επιθέσεις.43 (β) Επιθέσεις άρνησης υπηρεσίας (Denial of service) Ιοί.45 (α) Κατηγορίες ιών 45 (β) Δημιουργία ιών 47 5.Ανιχνευτές (Scanners) Σπάσιμο κωδικών (Password crackers) Προγράμματα Υποκλοπής (Sniffers).49 5

6 8. Δούρειοι ίπποι (Trojan horses) Spoofing Επιθέσεις βασισμένες σε κενά ασφαλείας νέων τεχνολογιών.54 ΚΕΦΑΛΑΙΟ 6 1. Τα Domain των Windows Server και τα Domain του Internet Σχέσεις Εμπιστοσύνης Μεταξύ των Domain των Windows 56 (α) Βασικά οργανωτικά σχήματα για τις σχέσεις εμπιστοσύνης Εφαρμογές Server 59 ΚΕΦΑΛΑΙΟ 7 1.Μελλοντικα Σχέδια 62 ΒΙΒΛΙΟΓΡΑΦIA 63 6

7 ΚΕΦΑΛΑΙΟ 1 (1)Εισαγωγή στους DNS servers Πολύ γρήγορα έγινε αντιληπτό ότι δεν ήταν καθόλου πρακτικό να απομνημονεύει κανείς ατελείωτες σειρές αριθμών προκειμένου να συνδεθεί σε έναν άλλο υπολογιστή, οπότε δημιουργήθηκε ένας στοιχειώδης ονομαστικός κατάλογος, ο οποίος αντιστοιχούσε τα ονόματα των υπολογιστών στις IP διευθύνσεις τους. Οι διαχειριστές των τοπικών δικτύων συνδέονταν στον υπολογιστή, που περιείχε τον κατάλογο, ώστε να έχουν ενημερωμένα τα δικά τους αρχεία. Ωστόσο, καθώς ο αριθμός των δικτυωμένων υπολογιστών μεγάλωνε, η παραπάνω μέθοδος ήταν κουραστική και χρονοβόρα. Έτσι, αποφασίστηκε η δημιουργία του Domain Name System (DNS), του οποίου πλεονεκτήματα είναι η αποκεντρωμένη διαχείριση και η ευκολία στην προσθήκη νέων εγγραφών. Το DNS είναι ένα σύστημα που αποθηκεύει τις πληροφορίες για τα ονόματα οικοδεσποτών (host) και τα ονόματα περιοχών στα δίκτυα. Επιπλέον, παρέχει μια διεύθυνση IP για κάθε όνομα οικοδεσποτών (host), και απαριθμεί τους κεντρικούς υπολογιστές ανταλλαγής ταχυδρομείου δεχόμενος το ηλεκτρονικό ταχυδρομείο για κάθε περιοχή. Το DNS αποτελεί ένα ζωτικής σημασίας μέρος του Διαδικτύου, επειδή το υλικό απαιτεί τις διευθύνσεις IP για να εκτελέσει τη δρομολόγηση, αλλά οι άνθρωποι χρησιμοποιούν τα ονόματα οικοδεσποτών (host) και τα ονόματα περιοχών, παραδείγματος χάριν στις διευθύνσεις URLs και ηλεκτρονικού ταχυδρομείου. 7

8 Οι σχεδιαστές του DNS δημιούργησαν μια συγκεκριμένη ιεραρχία για τα ονόματα των υπολογιστών, η οποία είναι της μορφής mycomputer.mydomain.com Οι διευθύνσεις διαβάζονται πάντα από τα δεξιά προς τα αριστερά, με το δεξιότερο μέρος να αποτελεί το ανώτερο domain. H τελεία (dot) χρησιμοποιείται ως διαχωριστικό των επιπέδων των domains. Πέρα από το com τα υπόλοιπα domains ανώτερου επιπέδου είναι: Gov: κυβερνητικοί οργανισμοί Mil: στρατιωτικοί οργανισμοί Net: οργανισμοί που παρέχουν υπηρεσίες Διαδικτύου Org: οργανισμοί μη κερδοσκοπικού χαρακτήρα Edu: εκπαιδευτικοί οργανισμοί όπως πανεπιστήμια xx: χαρακτηρίζει domain μιας χώρας όπως gr για την Ελλάδα, it για την Ιταλία κοκ. Υπεύθυνη για την ονοματοδοσία (παροχή domain) για gov, mil, net, org και edu είναι ο ICANN αν και υπάρχει πλήθος οργανισμών όπως η InterNIC (Internet Network Information Center) και η Network Solutions που παρέχουν domain names, ενώ τα domain κάθε χώρας ελέγχονται από κρατικούς φορείς. Στην Ελλάδα ο έλεγχος αυτός γίνεται από το Τμήμα Διαχείρισης Ονομάτων Internet του Ινστιτούτου Πληροφορικής του Ιδρύματος Τεχνολογίας και Έρευνας, υπό την εποπτεία της Εθνικής Επιτροπής Τηλεπικοινωνιών και Ταχυδρομείων ( ). 8

9 Οι κατάλογοι του DNS που προαναφέρθηκαν βρίσκονται σε dedicated servers, οι οποίοι ονομάζονται DNS servers ή name servers. Τέτοιους servers διαθέτουν όλοι οι μεγάλοι ISP s αλλά και οι οργανισμοί που διαχειρίζονται την ονοματοδοσία. Μάλιστα, για μεγαλύτερη ασφάλεια, υπάρχουν δύο DNS servers ένας primary και ένας secondary, ο οποίος υπάρχει για την περίπτωση που ο primary για κάποιο λόγο τεθεί εκτός λειτουργίας. Επίσης, DNS servers διαθέτουν και εταιρίες με εκτεταμένο εσωτερικό δίκτυο για να καλύπτουν τις δικές τους ανάγκες (α) Τι είναι DNS server Όπως έχουμε προαναφέρει κάθε υπολογιστής στο Διαδίκτυο (Internet) έχει μία μοναδική IP διεύθυνση και ένα μοναδικό όνομα. Δηλαδή η IP διεύθυνση είναι η ταυτότητα του Η/Υ στο Διαδίκτυο(Internet). Επειδή είναι ευκολότερο να θυμόμαστε λέξεις παρά αριθμούς, η αντιστοιχία του ονόματος του υπολογιστή μας με την IP διεύθυνση γίνεται από το DNS (Domain Name System). Κάθε δίκτυο που είναι συνδεδεμένο με το Διαδίκτυο (Internet) έχει έναν ή περισσότερους υπολογιστές (name servers) οι οποίοι έχουν τις απαραίτητες πληροφορίες για το τομέα που εξυπηρετούν. Έτσι αν θέλουμε να δούμε κάποιον υπολογιστή στο Διαδίκτυο(Internet) (είτε στέλνοντας είτε βλέποντας σελίδες Web σε κάποιον υπολογιστή με Netscape ή Internet Explorer) ερωτάται ο name server ο οποίος και απαντάει για την ταυτότητα του υπολογιστή που ζητήσαμε. Ανάλογα μας εντοπίζουν και οι άλλοι χρήστες του Διαδικτύου (Internet). 9

10 Το DNS είναι υπεύθυνο να μετατρέπει τα μνημονικά ονόματα (host names) στις σχετικές IP. Για παράδειγμα η MANBIZ έχει καταχωρήσει το domain MANBIZ.gr για να ονομάσει μοναδικά την ύπαρξή της στο Internet.Ένα domain name είναι η κατάληξη η οποία χρησιμοποιείται για να ονομάσει μοναδικά στο internet μια σειρά συστημάτων στον ίδιο οργανισμό. Το domain name κάθε συστήματος πρέπει να συσχετίζεται με μια IP διεύθυνση μέσω του συστήματος DNS. Τα domain names είναι οργανωμένα σε μια ιεραρχία η οποία συνήθως περιλαμβάνει το όνομα του συστήματος (π.χ. mail), το όνομα της εταιρείας (π.χ. MANBIZ) και έναν κωδικό χώρας (π.χ.. gr) ή ένα από τα top level domains (π.χ..com,net,infoκλπ). Ένα web site που φιλοξενείται σε έναν server ουσιαστικά λαμβάνει υπόσταση μέσω μιας διεύθυνσης IP, ένα όνομα συστήματος (π.χ. www) και ένα domain name. Τα παραπάνω μαζί αποτελούν την ταυτότητα του web site στο Internet (π.χ. Κάθε όνομα χώρου, απαιτεί έναν πρωτεύοντα και έναν δευτερεύοντα εξυπηρετητή DNS. DNS Servers είναι συστήματα που υλοποιούν το κατανεμημένο σύστημα ονοματοδοσίας. Ο πρωτεύων DNS server έχει την πρωτογενή πληροφορία των ονομάτων για το domain name, ενώ ο δευτερεύον έχει αντίγραφο. Σε περίπτωση που δεν λειτουργεί για οποιοδήποτε λόγο ο πρωτεύον DNS Server απαντάει ο δευτερεύων DNS Server μέχρι να αποκατασταθεί το πρόβλημα. Η ιεραρχία μπορεί να επεκταθεί και σε περισσότερα επίπεδα (δεύτερος δευτερεύων κλπ). Συνοπτικά ο DNS Server καθιστά την πρόσβαση Διαδικτύου πολύ ευκολότερη. Dns είναι το σύστημα από το οποίο κάθε περιοχή διατηρεί μόνο τη χαρτογράφησή της διεύθυνσης IP στα ονόματα μηχανών. Ένας dns κεντρικός υπολογιστής είναι επίσης γνωστός ως nameserver. Κάθε περιοχή βάζει αυτήν την χαρτογράφηση σε μια δημόσια προσιτή βάση δεδομένων, έτσι καθεμία μπορεί να βρει τη διεύθυνση IP σε ένα hostname στην περιοχή απλά με τη βάση δεδομένων της περιοχής. Έτσι, αντί του δοσίματος , μπορούμε απλά να δακτυλογραφήσουμε 10

11 (β) H λειτουργία του DNS Οι DNS Servers υποστηρίζουν την υπηρεσία που αφορά την αντιστοίχηση των ονομάτων των υπολογιστών του δικτύου σε διευθύνσεις IP και το αντίστροφο. Είναι η υπηρεσία που μας επιτρέπει να συνδεθούμε στον Web server του ΕΔΕΤ εισάγοντας την διεύθυνση αντί να είμαστε υποχρεωμένοι να γνωρίζουμε (ή να θυμόμαστε) την διεύθυνση IP αυτού του συστήματος. Στο επίπεδο του πρωτοκόλλου IP, η δρομολόγηση όλων των πληροφοριών γίνεται με διευθύνσεις και όχι με ονόματα. Παρά το γεγονός ότι το IP δεν χρησιμοποιεί ονόματα για την μεταφορά πληροφοριών, τα ονόματα είναι πολύ πιο εύκολα για τους ανθρώπους για να διευκολύνει την πρόσβαση των ανθρώπων σε απομακρυσμένα συστήματα (το DNS αναπτύχθηκε γι' αυτόν ακριβώς τον σκοπό ). Η υπηρεσία DNS επιτρέπει σε ένα άτομο να εισάγει ένα ευκολομνημόνευτο όνομα, ενώ ταυτόχρονα δίνει στον υπολογιστή την δυνατότητα να μεταφράσει αυτό το όνομα στην σωστή διεύθυνση που χρειάζεται για να δρομολογήσει κατάλληλα τα ζητούμενα δεδομένα. Το σύστημα DNS έχει ιεραρχική, κατανεμημένη δομή που θυμίζει δένδρα τα οποία στέκονται ανάποδα - με την ρίζα επάνω και τα κλαδιά κάτω. Δεν υπάρχει ένας μεμονωμένος DNS Server που να είναι υπεύθυνος για την παρακολούθηση των ονομάτων όλων των υπολογιστών στο Internet. Κάθε φορέας διαθέτει τον δικό του Server που είναι υπεύθυνος μόνο για τον δικό του τομέα υποδομής. Ο Server του κάθε φορέα ενημερώνεται από κάποιον Server που βρίσκεται ιεραρχικά πάνω από αυτόν δημιουργώντας την μορφή του ανάποδου δένδρου που αναφέραμε πιο πάνω. 11

12 Ποιο αναλυτικά κάθε φορά που πληκτρολογούμε τη διεύθυνση ενός site στον browser του υπολογιστή μας, αποστέλλεται σχετικό αίτημα στον DNS server του ISP μας. Αυτός εάν έχει τη σχετική καταχώρηση στον κατάλογό του επιστρέφει τη διεύθυνση IP, του site και ο υπολογιστής μας στη συνέχεια απευθύνει αίτημα στο web server για πρόσβαση στο site. Εάν δεν έχει αυτήν την καταχώρηση θα αποστείλει στον υπολογιστή μας τη διεύθυνση ενός DNS server, ο οποίος θα γνωρίζει τη ζητούμενη διεύθυνση IP. Έτσι, μετά από μια σειρά ερωταποκρίσεων το site εμφανίζεται στον browser χωρίς όλα αυτά βέβαια να γίνονται αντιληπτά στο χρήστη. Σε συντομία, το DNS χρησιμοποιείται κατά τον ακόλουθο τρόπο.για να αντιστοιχισθεί ένα όνομα σε μια IP διεύθυνση, το πρόγραμμα εφαρμογής καλεί μια συνάρτηση βιβλιοθήκης που ονομάζεται επιλυτης (resolver) και στην οποία περνά το όνομα ως παράμετρο. Ο επιλυτης στέλνει ένα πακέτο UDP στον τοπικό εξυπηρετητή DNS, που αναζητά το όνομα και επιστρέφει την IP διεύθυνση στον επιλυτη, ο οποίος την επιστρέφει με τη σειρά του στον καλούντα. Διαθέτοντας την IP διεύθυνση, το πρόγραμμα μπορεί να εγκαταστήσει μια σύνδεση TCP με τον προορισμό η να του στέλλει πακέτα UDP. 12

13 ΚΕΦΑΛΑΙΟ 2 (1) Εγκατάσταση DNS server Aρχικά ελέγχουμε από το administrative tools->services εάν υπάρχει το service DNS Server. 13

14 Αν δεν είναι εγκατεστημένη η υπηρεσία DNS προχωράμε στην εγκατάσταση της. Για την εγκατάσταση θα πρέπει να υπάρχει διαθέσιμο το CD των Windows Server. Από το πλήκτρο Start των Windows επιλέγουμε Settings->Control Panel.Κάνουμε διπλό κλικ στο Add/Remove Programs, έπειτα πατάμε Add/Remove Windows Components οπότε εμφανίζεται το παρακάτω παράθυρο: 14

15 Πατάμε Details, οπότε εμφανίζεται το πλαίσιο της επόμενης εικόνας. Επιλέγουμε το check box Domain Name System (DNS). Αν είναι ήδη check box Domain Name System (DNS) επιλεγμένο σημαίνει ότι η υπηρεσία DNS είναι εγκατεστημένη όποτε εγκαταλείπουμε την διαδικασία με Cancel: 15

16 Και πατάμε το πλήκτρο OK οπότε επιστρέφουμε στην προηγούμενη εικόνα, στην οποία συνεχίζουμε την εγκατάσταση με το πλήκτρο Next: Βάζουμε το CD windows server και συνεχίζεται η διαδικασία εγκατάστασης της υπηρεσίας DNS: 16

17 Αν δεν έχουμε εγκαταστήσει στον server TCP/IP setting στατική ip θα εμφανιστεί το παρακάτω παράθυρο στο οποίο θα πρέπει να αναθέσουμε στατική διεύθυνση και preffered dns server. 17

18 Και με αυτό τον τρόπο ολοκληρώνεται η εγκατάσταση dns. 18

19 Για να ελέγξουμε αν έχει ξεκινήσει το service πηγαίνουμε στα services (administrativetools->services) όπου πρέπει να δούμε τον dns server όπως παρακάτω: 19

20 (2) Διαμόρφωση DNS Server Για να Διαμορφώσουμε dns από τα διοικητικά εργαλεία του dns κάνουμε τα εξής: Μέσο του control panel πηγαίνουμε στο "Network and Dial-Up Connections" και επιλέγουμε "Local Area Connections" και με δεξί κλικ επιλέγουμε "Properties" 20

21 Στην συνέχεια επιλέγουμε "Internet Protocol (TCP/IP)". Εισάγουμε τη διεύθυνση IP του dns server για τον επιθυμητό dns server. 21

22 Για να συνεχίσουμε πατάμε οκ όπως φαίνετε πιο κάτω Κάνουμε κλικ στο "Advanced and "DNS" που βρίσκεται στο "Advanced TCP/IP Settings". Πληκτρολογούμε το FQDN του DNS Server. Διαμορφώνουμε έναν root server (αν είναι απαραίτητο) εάν η πρόσβαση στο διαδίκτυο δεν είναι εφικτή ή η σύνδεση είναι μέσω ενός proxy server. Αυτό γίνεται από τη επιλογή "dns" των "Administrative Tools". Δίνουμε έμφαση στον υπολογιστή, επιλέγοντας "Action", και "Configure the Server". 22

23 Για να διαμορφώσουμε τις ιδιότητες εκτελούμε την ίδια διαδικασία όπως παραπάνω, με την διαφορά ότι επιλέγουμε "Properties" μετά από την επιλογή "Action". Εδώ οι διεπαφές (interfaces) (κάρτες δικτύων) παρέχουν ότι η dns υπηρεσία μπορεί να τεθεί ή να περιοριστεί Για να διαμορφώσουμε άλλες ιδιότητες πηγαίνουμε "έναρξη" μετά "Administrative Tools", "dns, ακολούθως επιλέγουμε το όνομα του DNS Server. Eπειτα επιλέγουμε + δίπλα στο Forward or Reverse Lookup Zones. 23

24 Κεφάλαιο 3 (1) Διαχείριση DNS server Η δρομολόγηση των πακέτων γίνεται με βάση την διεύθυνση IP του παραλήπτη. Όταν λοιπόν ζητάμε να επικοινωνήσουμε με έναν απομακρυσμένο υπολογιστή δίνοντας το όνομά του, ο υπολογιστής μας πρέπει να μάθει την αντίστοιχη διεύθυνση IP. Αν π.χ. πληκτρολογήσουμε macedonia.uom.gr, το όνομα πρέπει να μεταφραστεί στην αντίστοιχη διεύθυνση IP (δηλ ). Η μετάφραση αυτή, είναι δουλειά ενός υπολογιστή που ονομάζεται εξυπηρετητής DNS (DNS server). Σε κάθε δίκτυο υπάρχει τουλάχιστον ένας υπολογιστής που παρέχει αυτή την υπηρεσία. Ανάλογα με τη θέση του υπολογιστή-παραλήπτη, η αίτηση για μετάφραση του ονόματός του μπορεί να περάσει από έναν ή περισσότερους DNS servers μέχρις ότου εντοπιστεί η αντίστοιχη διεύθυνση IP. Η υπηρεσία DNS μας βοηθά στο να μπορούμε να έχουμε ένα μνημονικό όνομα για κάποιους Η/Υ με σκοπό να το θυμόμαστε πιο εύκολα. Η μόνη πραγματική διεύθυνση στο Internet είναι η IP που έχει την μορφή (4 αριθμοί από 0 έως 255). Επειδή όμως δεν είναι εύκολο να θυμάται κανείς αυτή την ακολουθία αριθμών, η υπηρεσία DNS αντιστοιχίζει την IP με ένα όνομα. Έτσι η παραπάνω IP αντιστοιχεί στο Υπάρχουν συγκεκριμένοι υπολογιστές που κάνουν αυτή τη μετατροπή και ονομάζονται Name servers. Σε κάθε Η/Υ μας δίνεται η δυνατότητα να ορίσουμε έναν ή και περισσότερους Name servers. O λόγος είναι ότι αν ο πρώτος Name server δεν απαντήσει για την αντιστοιχία που τον ρωτάμε, τότε 24

25 μπορεί να μας απαντήσει ο δεύτερος ή ο τρίτος. Έτσι το όλο σύστημα γίνεται πιο αξιόπιστο. (α) Το Term address resolution Το term address resolution αναφέρεται στη διαδικασία μιας διεύθυνσης ενός υπολογιστή σε ένα δίκτυο. Η διεύθυνση "επιλύεται" χρησιμοποιώντας ένα πρωτόκολλο στο οποίο ένα κομμάτι των πληροφοριών στέλνεται με μια διαδικασία πελατών εκτελώντας στον τοπικό υπολογιστή μια διαδικασία κεντρικών υπολογιστών που εκτελεί σε έναν μακρινό υπολογιστή. Οι πληροφορίες που παραλαμβάνονται από τον κεντρικό υπολογιστή επιστρέφουν στον κεντρικό υπολογιστή για να προσδιορίσουν μεμονωμένα το σύστημα δικτύων για το οποίο η διεύθυνση απαιτήθηκε και επομένως για να παρέχει την απαραίτητη διεύθυνση. Η διαδικασία ψηφίσματος διευθύνσεων ολοκληρώνεται όταν λαμβάνει ο πελάτης μια απάντηση από τον κεντρικό υπολογιστή που περιέχει την απαραίτητη διεύθυνση. Η υπηρεσία ονόματος περιοχών (DNS) είναι ένα παράδειγμα ενός συστήματος πελατών/κεντρικών υπολογιστών που χρησιμοποιείται από την ακολουθία πρωτοκόλλου (IP) Διαδικτύου για να επιλύσει τα λογικά ονόματα των κόμβων σε ένα δίκτυο IP σε μια διεύθυνση IP. 25

26 (2) Χώρος ονομάτων του DNS Η διαχείριση ενός μεγάλου και συνεχώς μεταβαλλόμενου συνόλου ονομάτων αποτελεί σημαντικό πρόβλημα. Στο ταχυδρομικό σύστημα, η διαχείριση ονομάτων πραγματοποιείται με το να απαιτείται στις επιστολές να διευκρινίζετε (αμέσως ή εμμέσως ) η χώρα, η πολιτεία η επαρχία, η πόλη και η οδός του παραλήπτη. Με την χρήση αυτού του είδους ιεραρχικής διεύθυνσης, δεν υπάρχει καμία συνχυση ανάμεσα στον Marvin Anderson στη Main St στο Austin,Texas.Το DNS λειτουργεί με τον ίδιο τρόπο. 26

27 Το internet είναι χωρισμένο νοητά σε εκατοντάδες διαφορετικές περιοχές(domains) υψηλού επιπέδου, καθεμία από τις οποίες καλύπτει πολλούς host. Κάθε περιοχή διαιρείται σε υπό-περιοχές(sub-domains),που διαιρούνται παραπέρα. Όλες αυτές οι περιοχές μπορούν να αναπαρασταθούν με ένα δέντρο,όπως φαίνετε στο Σχ. 1. Τα φύλλα του δέντρου αναπαριστούν περιοχές που δεν έχουν υπόπεριοχές.μια περιοχή φύλλων μπορεί να περιλαμβάνει ένα απλό host ή μπορεί να αντιπροσωπεύει μια εταιρεία και να περιέχει χιλιάδες host. Οι περιοχές υψηλού επιπέδου είναι δυο ειδών : γένη και χώρες.οι περιοχές γενών είναι com(εμπορικές), edu(εκπαιδευτικοί οργανισμοί), gov(η ομοσποντιακη κυβέρνηση των ΗΠΑ), int(συγκεκριμένες διεθνείς οργανώσεις), mil(ο ομοσπονδιακός στρατός των ΗΠΑ), net(παροχής δικτύου) και org (μη κερδοσκοπικές οργανώσεις). Οι περιοχές περιλαμβάνουν μια καταχώρηση για κάθε χώρα,όπως καθορίζεται από το IS0. Σχ.1Ενα τμήμα του χώρου ονομάτων περιοχών στο internet 27

28 Τα ονόματα περιοχών μπορεί να είναι είτε απόλυτα είτε σχετικά. Ένα απόλυτο όνομα τελειώνει με μια τελεία, ενώ μια σχετική ονομασία δεν τελειώνει με τελεία. Οι σχετικές ονομασίες πρέπει να μεταφράζονται σύμφωνα με τα συμφραζόμενα ώστε να καθορίζετε με μοναδικό τρόπο η πραγματική τους σημασία. Και στις δυο περιπτώσεις, η κατονομαζόμενη περιοχή αναφέρετε σε ένα συγκεκριμένο κόμβο του δέντρου και σε όλους τους κόμβους κάτω από αυτό. Τα ονόματα των στοιχείων μπορούν να φτάνου τους 63 χαρακτήρες σε μήκος και το όνομα ολόκληρης της διαδρομής δεν πρέπει να υπερβαίνει τους 255 χαρακτήρες. Οι περιοχές μπορούν να εισαχθούν μέσα στο δέντρο με δυο διαφορετικούς τρόπους. Για παράδειγμα, το cs.yale.edu μπορεί εξίσου καλά να μπει στον κατάλογο της περιοχής χώρας us ως cs.yale.ct.us. Δεν υπάρχει κανόνας που να απαγορεύει την εγγραφή σε δυο περιοχές υψηλού επιπέδου, αλλά αν γίνει κάτι τέτοιο μπορεί να προκαλέσει μπέρδεμα και έτσι πολύ λίγοι οργανισμοί το κάνουν. Για να δημιουργηθεί μια καινούργια περιοχή απαιτείται άδεια από την περιοχή στην οποία θα περιληφθεί. Με αυτό τον τρόπο αποφεύγονται οι συγκρούσεις των ονομάτων και κάθε περιοχή είναι σε θέση να κρατά ένα κατάλογο με όλες τις υπόπεριοχες της. Κάθε φορά που δημιουργείται και καταχωρείται μια νέα περιοχή μπορεί να σχηματίσει υπόπεριοχες, χωρείς να πάρει άδεια από οποιοδήποτε βρίσκετε υψηλότερα στο δέντρο. 28

29 (α)εγγραφές πόρων Κάθε περιοχή μπορεί να έχει ένα σύνολο εγγράφων πόρων(resource records)που την αφορά. Για ένα απλό host, η ποιο συνηθισμένη εγγραφή πόρων του είναι η IP διεύθυνση του αλλά ύπαρχου και πολλά αλλά είδη εγγράφων πόρων. Όταν ο επιλυτης δίνει μια ονομασία περιοχής στο DNS αυτό που του επιστρέφετε είναι οι έγραφες πόρων που σχετίζονται με αυτό το όνομα. Συνεπώς η πραγματική λειτουργία του DNS είναι να αντιστοιχίζει τα ονόματα περιοχών με τις εγγραφές πόρων. Το domain name (όνομα περιοχής)ορίζει την περιοχή όπου αναφέρετε η εγγραφή αυτή. Συνήθως υπάρχουν πολλές εγγραφές για κάθε περιοχή και κάθε αντίγραφο της βάσης δεδομένων κρατάει πληροφορίες για πολλές περιοχές. Το πεδίο Time-to-live (χρόνος ζωής)δίνει μια ένδειξη ως προς το ποσό σταθερή είναι η εγγραφή. Στις πληροφορίες που είναι πολύ σταθερές καταχωρείται μια μεγάλη τιμή και στις πληροφορίες που είναι πολύ ευμετάβλητες καταχωρείται μια μικρή τιμή. Το πεδίο Type(τύπος)αναφέρετε στο είδος της εγγραφής. Οι πιο σημαντικοί τύποι είναι : (α) Α(address-διεύθυνση) περιέχει μια διεύθυνση IP των 32 bit για κάποιο host.κάθε host στο internet πρέπει να έχει τουλάχιστο μια διεύθυνση IP ώστε να μπορούν οι άλλες μηχανές να επικοινωνούν μαζί του. Μερικοί host έχουν δυο ή περισσότερες συνδέσεις με το δίκτυο οπότε θα έχουν μια εγγραφή πόρων τύπου Α για κάθε σύνδεση. (β) MX το οποίο είναι για ταχυδρομικά κέντρα καθορίζει το όνομα της περιοχής που προορίζετε να δέχεται το ηλεκτρονικό ταχυδρομείο για την καθοριζόμενη περιοχή. Μια συνηθισμένη χρήση της εγγραφής αυτής είναι να μπορεί να δέχεται ηλεκτρονικό ταχυδρομείο μια μηχανή που δεν είναι συνδεδεμένη στο internet. 29

30 (γ) CNAME : επιτρέπουν την δημιουργία ψευδωνύμων (aliases) (δ) NS:προσδιορίζουν εξυπηρετητές ονομάτων. κάθε βάση δεδομένων DNS έχει συνήθως μια εγγραφεί NS για κάθε μια από τις περιοχές υψηλού επιπέδου ώστε να μπορεί να σταλεί ηλεκτρονικό ταχυδρομείο προς απομακρυσμένα μέρη του δέντρου ονοματοδοτησης. (i) Εναποθήκευση και χρόνος να ζήσει Λόγω του τεράστιου όγκου των αιτημάτων που παρήχθησαν από ένα σύστημα όπως dns, θεωρήθηκε πρακτικό να παρασχεθεί ένας μηχανισμός για να μειώσει το φορτίο στους μεμονωμένους dns κεντρικούς υπολογιστές. Ο μηχανισμός που επινοήθηκε ήταν ότι όταν ο dns resolver (δηλ. πελάτης) έλαβε μια dns απάντηση, θα εναποθήκευε εκείνη την απάντηση για μια δεδομένη χρονική περίοδο. Εκείνη η χρονική περίοδος καθορίζεται από μια αξία (θέστε από το διοικητή της dns παράδοσης κεντρικών υπολογιστών μας την απάντηση) αποκαλούμενη ο χρόνος να ζήσει, ή TTL. Μόλις εναποθηκευτεί μια απάντηση, κατά τη διάρκεια του TTL, το resolver θα συμβουλευθεί την εναποθηκευμένη (αποθηκευμένη) απάντησή του μόνο όταν το TTL λήγει. (ii) Χρόνος διάδοσης Μια σημαντική συνέπεια αυτής της διανεμημένης και εναποθηκεύοντας αρχιτεκτονικής είναι ότι οι αλλαγές dns δεν είναι απαραιτήτως αμέσως αποτελεσματικές συνολικά. Αυτό εξηγείται καλύτερα με ένα παράδειγμα: Εάν ένας διοικητής έχει θέσει ένα TTL 6 ωρών για τον οικοδεσπότη και αλλάζει έπειτα τη διεύθυνση IP στην οποία επιλύει κατά 12:01pm, ο διοικητής πρέπει να θεωρήσει ότι ένα πρόσωπο που εναποθήκευσε μια απάντηση με την παλαιά αξία κατά 12:00pm δεν θα συμβουλευθεί το dns κεντρικό υπολογιστή πάλι 30

31 μέχρι 6:00pm. Η περίοδος μεταξύ 12:01pm και 6:00pm σε αυτό το παράδειγμα καλείται χρόνος διάδοσης, που ορίζεται καλύτερα ως μια χρονική περίοδος που αρχίζει μεταξύ όποτε κάνετε μια αλλαγή σε ένα dns αρχείο, και τελειώνει αφότου λήγει το μέγιστο χρονικό διάστημα που διευκρινίζεται από το TTL. Αυτό οδηγεί ουσιαστικά σε μια σημαντική λογιστική εκτίμηση κατά την παραγωγή των αλλαγών DNS. (β) εξυπηρετητές ονομάτων Ο χώρος ονομάτων του DNS διαιρείται σε μη επικαλυπτόμενες ζώνες(zones). Κάθε ζώνη περιλαμβάνει κάποιο τμήμα του δέντρου και επίσης περιλαμβάνει εξυπηρετητές ονομάτων που περιέχουν τις επίσημες πληροφορίες γύρο από αυτή την ζώνη. Συνήθως μια ζώνη διαθέτει ένα κύριο εξυπηρετητή ονομάτων που παίρνει τις πληροφορίες του από αρχείο στον δίσκο του, και ένα ή περισσότερους δευτερεύοντες εξυπηρετητές ονομάτων που παίρνουν τις πληροφορίες του από τον βασικό εξυπηρετητή ονομάτων. Σχ.2Μερος του χώρου ονομάτων DNS όπου φαίνετε η διαίρεση σε ζώνες 31

32 Το που θα βρίσκονται τα σύνορα μιας ζώνης επαφίεται στον διαχειριστή της ζώνης αυτής. Η απόφαση αυτή βασίζετε κατά κύριο λόγο στον αριθμό και στην θέση των επιθυμητών εξυπηρετητών ονομάτων. Όταν ο επιλυτης λάβει μια ερώτηση για ένα όνομα περιοχής περνά την ερώτηση σε ένα από τους τοπικούς εξυπηρετητές ονομάτων.μια επίσημη έγγραφη προέχετε από την εξουσία που διαχειρίζεται την εγγραφή και για αυτόν τον λόγο είναι πάντα σωστή.οι επίσημες έγγραφες σε αντίθεση με τις προσωρινές εγγραφές δεν μπορεί να είναι ποτέ παρωχημένες Εάν η περιοχή είναι απομακρυσμένη και δεν υπάρχει καμία διαθέσιμη πληροφορία για την ζητούμενη περιοχή τότε ο εξυπηρετητής ονομάτων στέλνει ερώτηση στον εξυπηρετητή ονομάτων του υψηλού επιπέδου όπου ανήκει η αναζητούμενη περιοχή. (3) Tο DDNS server Οι DDNS server παρέχουν στις μηχανές πελατών ένα στατικό dns όνομα ακόμα κι αν η διεύθυνση IP τους ορίζεται δυναμικά. Το δυναμικό dns παρακάμπτει τις περισσότερες ανάγκες για τις στατικές διευθύνσεις IP. Σχεδόν όλες οι διευθύνσεις IP ορίζονται δυναμικά. Κάθε ένα από τα τέσσερα μέρη στη διεύθυνση μπορεί μόνο να είναι μεταξύ 0 και 255. Η κατοχή μιας δυναμικής διεύθυνσης IP είναι όπως να πρέπει να αλλαχτεί ο τηλεφωνικός αριθμός σας μία φορά την ημέρα, εάν άλλοι άνθρωποι χρειαστούν να συνδέσουν στον υπολογιστή σας δεν θα γνωρίζουν με κανέναν τρόπο τον τρέχοντα αριθμό σας. Η ανάγκη για μια στατική διεύθυνση IP προέρχεται από εκείνους τους 32

33 χρήστες που θέλουν να τρέξουν το λογισμικό κεντρικών υπολογιστών όπως οι web servers, FTP servers, game servers, servers ή να τρέξουν σε σχετικές με την επιχείρηση υπηρεσίες όπως VPN s. Δυναμικό DNS εμφανίζετε όταν επιθυμεί να κερδίσει ένας χρήστης Διαδικτύου είτε χρήματα που θα ξόδευε σε μια στατική διεύθυνση IP, ή είναι ανίκανος να αποκτήσει μια στατική διεύθυνση IP από τον isp του. Εργάζεται σαν έναν παλαιό τηλεφωνικό χειριστή ύφους. Το δυναμικό DNS επιτρέπει σε έναν χρήστη να ενημερώσει ένα DNS server αυτόματα κάθε φορά που αλλάζει η IP διεύθυνση. Έτσι ο καθένας που θέλει να συνδεθεί με τον υπολογιστή χρηστών μπορεί σχεδόν πάντα να φθάσει στον κεντρικό υπολογιστή του/της με την είσοδο του ονόματος περιοχών χρηστών. Ολόκληρη η διαδικασία λειτουργεί παρά τις μεταβαλλόμενες διευθύνσεις IP. 33

34 Κεφάλαιο 4 (1) Xρήστες του DNS Για την απαρίθμηση όλων των host και IP διευθύνσεων παλαιότερα υπήρχε απλός ένα αρχείο, το host.txt. Κάθε βράδυ όλοι οι host το έφερναν από μια θέση όπου κάποιοι το συντηρούσαν. Για ένα δίκτυο με λίγες εκατοντάδες μεγάλες μηχανές καταμερισμού χρόνου, η μέθοδος αυτή δούλευε σχετικά καλά. Όταν συνδέθηκαν στο δίκτυο χιλιάδες σταθμών εργασίας όλοι διαπίστωσαν ότι αυτή η μέθοδος δεν μπορούσε να εφαρμοστή για πάντα. Καταρχήν το μέγεθος του αρχείου θα γινόταν υπερβολικά μεγάλο. Ωστόσο ακόμα πιο σημαντικό θα προέκυπταν συνεχώς συγκρούσεις μεταξύ των ονομάτων host. (α) Μεταφορά Πακέτου Όταν ένας χρήστης του internet πληκτρολογεί στο κατάλληλο πρόγραμμα (web browser) του υπολογιστή του, το δικό σας domain name, τότε στέλνεται αυτόματα σε ένα από τους διάφορους κεντρικούς Name Servers στο internet που έχουν αποθηκεύσει και εξυπηρετούν μια λίστα με domain names. Αυτός ο server μετατρέπει το όνομα του website σας σε μια καθορισμένη IP διεύθυνση (για παράδειγμα ), έναν αριθμό ο οποίος λειτουργεί ακριβώς όπως ένας αριθμός τηλεφώνου που εκφράζει το website της εταιρίας σας. 34

35 Ο Name Server στέλνει την αίτηση στο Domain Name Server (DNS) του παροχέα που είναι υπεύθυνος για τη διαχείριση των αιτημάτων επίσκεψης στη συγκεκριμένη διεύθυνση. Για παράδειγμα, το DNS που καταγράφεται στον Name Server ενός web hosting provider αποθηκεύει τις διευθύνσεις από όλα τα sites που βρίσκονται στις εγκαταστάσεις και στους web servers του και τα οποία μπορεί να είναι χιλιάδες. Όταν το DNS του host λαμβάνει κλήση για μια διεύθυνση που αναγνωρίζει, στέλνει μια θετική αναγνώριση στην κύρια λίστα του server και στη συνέχεια καθοδηγεί το αίτημα επίσκεψης στο server που φιλοξενεί το web site προκειμένου να αποστείλει τα αντίστοιχα πακέτα στον χρήστη του internet. (2) Ασφάλεια κατά την συνδέσει των χρηστών Τα domain υπάρχουν για ένα σκοπό: για να διασφαλίζουν ότι οι χρήστες θα μπορούν να προσπελάσουν αξιόπιστα τους πόρους που χρειάζονται. Αλλά υπάρχουν πολλές κατηγορίες χρηστών από τους χρήστες του τοπικού δικτύου με σχετικά λίγα δικαιώματα, έως τα μέλη της ομάδας εποπτών, της οποίας τα δικαιώματα εκτείνονται σε σχεδόν κάθε πόρο του δικτύου. Κάθε χρήστης πρέπει να έχει τα κατάλληλα δικαιώματα, ανάλογα με τις απαιτήσεις της εργασίας του. Ποία είναι η καλύτερη μέθοδος για την αποτελεσματική διαχείριση των χρηστών? Η απάντηση των Windows σ αυτή την ερώτηση είναι οι ομάδες χρηστών (user groups). Μία ομάδα χρηστών είναι μία συλλογή χρηστών ενός domain, οι οποίοι έχουν ομαδοποιηθεί για σκοπούς απλούστερης διαχείρισης. Η δημιουργία και διαχείριση των ομάδων γίνετε με την εφαρμογή User Manager for Domains. Στους χρηστές μπορούν να ανατίθεται συγκεκριμένα προνομία και να γίνονται διαθέσιμοι συγκεκριμένοι πόροι σαν απόρροια της συμμετοχής τους σε μια ομάδα. Για παράδειγμα, η ομάδα χρηστών ACCOUNTING μπορεί να έχει πρόσβαση στα αρχεία και στις εφαρμογές λογιστηρίου. Οι χρηστές που δεν συμμετέχουν στην ομάδα ACCOUNTING δεν έχουν πρόσβαση σε αυτούς τους πόρους. 35

36 Υπάρχουν δυο είδη ομάδων χρηστών :οι τοπικές ομάδες (local groups),οι οποίες μπορούν να περιέχουν πληροφορίες ασφάλειας χρηστών προερχόμενες από πολλαπλά domain και server αλλά μπορούν να προσπελάζουν μόνο πόρους οι οποίοι βρίσκονται μέσα στα όρια του δικού τους domain,και οι γενικές ομάδες (global groups)οι οποίες μπορούν να έχουν δικαιώματα είτε στο τοπικό domain,είτε σε οποιοδήποτε domain εμπιστεύεται το τοπικό domain. Τοποθετώντας έναν χρηστή σε μια τοπική ή γενική ομάδα η οποία έχει προκαθορισμένα δικαιώματα,μπορούμε να διασφαλίσουμε εύκολα και γρήγορα ότι ο χρηστής αυτός θα έχει τα κατάλληλα δικαιώματα. Αλλά πως ελέγχει ο server ότι η ταυτότητα του χρήστη είναι σωστή όταν ο χρήστης πρέπει να προσπέλαση πόρους του δικτύου; Στην πραγματικότητα, ο έλεγχος είναι πολύ απλός. Όταν συνδεόμαστε σε ένα υπολογιστή με τα Windows (οποιαδήποτε Windows)συνδεόμαστε πρώτα στον τοπικό μας υπολογιστή. Όταν χρησιμοποιούμε πόρους του δικτύου(π.χ έναν κοινόχρηστο δίσκο σε έναν server του ίδιου domain ).στην πραγματικότητα συνδεόμαστε στο domain για να χρησιμοποιήσουμε αυτό τον συγκεκριμένο πόρο. 36

37 ΚΕΦΑΛΑΙΟ 5 (1 ) Ασφάλεια DNS Ένας νέος κύκλος "pharming" επιθέσεων έχει ως στόχο τις διευθύνσεις του Internet που λήγουν σε.com. Μέσω των επιθέσεων "pharming", ο χρήστης κατευθύνεται σε ιστοσελίδες ελεγχόμενες από hackers, ενώ ο ίδιος αναζητεί μία γνώριμη.com διεύθυνση στο Διαδίκτυο Σύμφωνα με στοιχεία που παρουσίασε το Κέντρο ανίχνευσης του Διαδικτύου, Internet Storm Center (ISC) του SANS Institute, οι πρόσφατες επιθέσεις στοχεύουν DNS servers ( Domain Name System servers) και όχι μεμονωμένες σελίδες στο Internet. Με τον τρόπο αυτό, όταν ένας χρήστης ζητά να κατεβάσει μία συγκεκριμένη σελίδα από τον "χτυπημένο" server αυτόματα μεταφέρεται σε ιστοσελίδες ελεγχόμενες από κακόβουλους χρήστες. Τα στοιχεία του Κέντρου ISC αναφέρουν τουλάχιστον επιθέσεις σε Internet domains στις αρχές Μαρτίου. Το DNS αποτελεί ένα παγκόσμιο δίκτυο υπολογιστών που μεταφράζει την φιλική προς το χρήστη διεύθυνση μίας σελίδας (π.χ. σε μία αριθμητική IP διεύθυνση την οποία χρησιμοποιούν τα μηχανήματα στο Internet για την μεταξύ τους επικοινωνία. Οι πρόσφατες επιθέσεις είναι γνωστές ως DNS cache poisoning. Κακόβουλοι χρήστες χρησιμοποιούν ένα δικό τους DNS server, προκειμένου να προωθήσουν λανθασμένες πληροφορίες σε άλλους DNS servers. 37

38 Στην πιο πρόσφατη επίθεση που καταγράφηκε, ένας ψευδής DNS server αντικατέστησε τον server ολόκληρου του.com Web domain. Αποτέλεσμα αυτού ήταν όλοι οι DNS servers να προωθούν κάθε προσπάθεια προβολής.com σελίδων στον ψευδή server από όπου εμφανιζόταν μία μηχανή αναζήτησης και μία διαφήμιση για το website Η σελίδα αυτή δεν είναι πλέον διαθέσιμη. Οι pharming επιθέσεις είναι όμοιες με τις phising επιθέσεις, όπου ο χρήστης παραπλανάται να δώσει προσωπικά του δεδομένα και στοιχεία πιστωτικής κάρτας μέσω Internet σε "ύποπτες" υπηρεσίες. Ωστόσο, οι pharming επιθέσεις δεν απαιτούν την εξαπάτηση του χρήστη. Καθώς οι χρήστες έχουν γίνει πλέον πολύ πιο καχύποπτοι σε phising επιθέσεις, οι hackers αναζητούν νέους τρόπους, για τις απάτες τους. Ένας από αυτούς είναι και το pharming, όπως αναφέρει το Anti- Phising Working Group. 38

39 (2) ΠΡΟΣΤΑΣΙΑ DNS Η υπηρεσία DNS είναι μια από τις βασικότερες υπηρεσίες που παρέχονται στο διαδίκτυο, και έχει ως αντικείμενο την αντιστοιχήσει των ονομάτων των υπολογιστών με τις IP διευθύνσεις τους (ευθεία αντιστοιχήσει) και το αντίστροφο, IP διευθύνσεις με ονόματα (αντίστροφη αντιστοιχήσει). Ουσιαστικά, η μετάφραση των ονομάτων των τομέων (domains) του Internet σε ηλεκτρονικές διευθύνσεις διαδικτύου (διευθύνσεις IP), επιτυγχάνεται με την εν λόγω υπηρεσία. Η υπηρεσία «ρίζας» DNS είναι υπεύθυνη για τις λεγόμενες περιοχές ονομάτων πρώτου επιπέδου (top-level domains). Σήμερα υπάρχουν παγκοσμίως 13 εξυπηρετητές ρίζας DNS οι οποίοι υλοποιούν την υπηρεσία ρίζας DNS. Ο οργανισμός RIPE (Reseaux IP Europeens) είναι υπεύθυνος για έναν από τους παραπάνω 13 εξυπηρετητές, τον εξυπηρετητή K-root. Για την υλοποίηση της υπηρεσίας K-root, το RIPE χρησιμοποιεί ένα σύνολο κατανεμημένων αντιγράφων του εξυπηρετητή K-root. Κάθε αντίγραφο του εξυπηρετητή K-root αποτελείται από ένα σύμπλεγμα (cluster) εξυπηρετητών (server) που τρέχουν λογισμικό. Κάθε αντίγραφο ανακοινώνει το δίκτυο του RIPE, στο οποίο ανήκει η διεύθυνση IP του εξυπηρετητή K-root, χρησιμοποιώντας την τεχνική δρομολόγησης anycast. Έτσι, η κίνηση προς την υπηρεσία K-root ακολουθεί το μονοπάτι προς το «κοντινότερο» αντίγραφο και στη συγκεκριμένη περίπτωση, τον κόμβο που εγκαταστάθηκε στο AIX. 39

40 Η χρήση της τεχνολογίας anycast μειώνει σημαντικά τον χρόνο απόκρισης σε αναζητήσεις DNS, αφού η αναζήτηση γίνεται χρησιμοποιώντας τον κοντινότερο «τοπικό» κόμβο. Με τον νέο κόμβο, η απόκριση του εξυπηρετητή K-root από το δίκτυο του ΕΔΕΤ είναι της τάξης του 1ms, ενώ παλαιότερα ήταν της τάξης των 100ms. Ακόμη πρέπει να σημειωθεί ότι η χρήση πολλαπλών αντιγράφων κάνει την υπηρεσία ρίζας DNS πιο ανθεκτική σε δικτυακά προβλήματα και επιθέσεις. Η τοποθέτηση του κόμβου του εξυπηρετητή K-root στο στρατηγικό σημείο του AIX προσφέρει σε όλο το ελληνικό Internet σημαντικά πλεονεκτήματα στα πλαίσια της ασφάλειας στο διαδίκτυο, της παροχής καλής ποιότητας υπηρεσίας (Quality of Service), και εξοικονόμησης χρόνου, και καθιστά την Ελλάδα την δεύτερη χώρα μετά την Γερμανία που αποκτά τοπικό αντίγραφο της υπηρεσίας K- root, σε σύνολο τεσσάρων αντιγράφων παγκόσμια. 40

41 (3) Τύποι επιθέσεων Αυτή η ενότητα εξετάζει μερικούς από τους τρόπους με τους οποίους διαπράττονται παράνομες δραστηριότητες στο Internet. Αυτές κυμαίνονται από ενέργειες οι οποίες απλά εκμεταλλεύονται την απλή ανθρώπινη αδυναμία έως αυτές που απαιτούν εξειδικευμένες τεχνολογικές γνώσεις και βαθιά κατανόηση της δομής του Internet. Ωστόσο, πριν εξετάσουμε αυτούς τους τρόπους με τους οποίου μπορεί να απειληθεί ένα σύστημα, αξίζει να δούμε τους τύπους απειλών που μπορεί να αντιμετωπίσει ένα Web site. Ο Stallings [2] τις κατέταξε ως εξής: Απειλές ακεραιότητας δεδομένων. Αυτές οι απειλές αφορούν την παραποίηση αποθηκευμένων δεδομένων από έναν εισβολέα όπως την αλλαγή στοιχείων πιστωτικών καρτών σε μια βάση δεδομένων ή την παραποίηση στοιχείων κατά την μεταφορά τους όπως την μεταβολή ενός μηνύματος κατά τη μεταφορά του. Απειλές εμπιστευτικών δεδομένων. Αυτές οι απειλές αφορούν την ανάγνωση σημαντικών αποθηκευμένων δεδομένων από μη εξουσιοδοτημένα άτομα όπως π.χ. διοικητικά μυστικά εταιρειών κ.λ.π. Απειλές άρνησης υπηρεσιών (Denial of Service - DoS). Αυτές οι απειλές αφορούν το πλημμύρισμα ενός Web server με μεγάλο αριθμών αιτημάτων Απειλές πιστοποίησης χρηστών. Σε τέτοιου είδους απειλές ο εισβολέας προσποιείται πως είναι ένας χρήστης ενώ δεν είναι, για παράδειγμα κάποιος ο οποίος έχει κάποιο συγκεκριμένο τραπεζικό λογαριασμό. 41

42 Αυτά οδηγούν σε μια σειρά απαιτήσεων για ασφαλείς εφαρμογές ηλεκτρονικού εμπορίου [2]: Εμπιστευτικότητα. Αυτό σημαίνει πως πληροφορίες οι οποίες αποθηκεύονται σε κάποιο σύστημα δεν μπορούν να είναι προσβάσιμες από μη εξουσιοδοτημένους χρήστες. Πιστοποίηση. Αυτό σημαίνει πως η πηγή ενός μηνύματος ή συναλλαγής προσδιορίζεται σωστά και ότι η πηγή του μηνύματος ή της συναλλαγής είναι αυτός που λέει πως είναι. Για παράδειγμα, κάποιος ο οποίος μπορεί να χρησιμοποιήσει μια δικτυακή υπηρεσία και πλήρωσε για αυτή πρέπει να αναγνωρίζεται με σωστό τρόπο από το σύστημα. Ακεραιότητα. Αυτό σημαίνει ότι μόνο εξουσιοδοτημένη χρήστες μπορούν να αλλάξουν τα δεδομένα που χρησιμοποιεί ένα σύστημα. Μη άρνηση αναγνώρισης ανταλλαγής μηνύματος. Αυτό σημαίνει πως ούτε ο αποστολέας είτε ο παραλήπτης κάποιου μηνύματος θα μπορεί να αρνηθεί ότι έγινε η ανταλλαγή κάποιου μηνύματος. Έλεγχος πρόσβασης. Αυτό σημαίνει πως οι υπηρεσίες σε ένα σύστημα ηλεκτρονικού εμπορίου ελέγχονται ώστε οι χρήστες επιτρέπεται μόνο να χρησιμοποιήσουν τους πόρους που χρειάζονται και είναι εξουσιοδοτημένοι να χρησιμοποιήσουν. Διαθεσιμότητα συστήματος. Αυτό σημαίνει ότι οι υπηρεσίες του συστήματος είναι διαθέσιμες στους εξουσιοδοτημένους χρήστες όποτε αυτές χρειάζονται. 42

43 (α) Μη-τεχνολογικές επιθέσεις Αυτές είναι επιθέσεις οι οποίες είτε βασίζονται σε κάποια αδυναμία μιας επιχείρησης ή οργανισμού είτε απαιτούν ελάχιστες γνώσεις υπολογιστών για να γίνουν. Μερικά παραδείγματα είναι: Να μαντέψει κανείς το password κάποιου άλλου και να αποκτήσει έτσι πρόσβαση στα αρχεία του. Συχνά τα passwords επιλέγονται ώστε να είναι ευκολομνημόνευτα, για παράδειγμα το όνομα της συζύγου του κατόχου του λογαριασμού, των παιδιών του κ.λ.π. Όταν τα password είναι ευκολομνημόνευτα, μπορεί να μην είναι τελικά τόσο δύσκολο για κάποιον να το μαντέψει. Να κλέψει κανείς password το οποίο είναι εύκολο να βρεθεί με φυσικό τρόπο, π.χ. θα μπορούσε να είναι γραμμένο σε ένα πίνακα, σε ένα ημερολόγιο ή σε ένα κομμάτι χαρτί στο συρτάρι σας. Να εκμεταλλευτεί κανείς ελλιπείς φυσικούς η λειτουργικούς ελέγχους. Υπάρχουν για παράδειγμα αρκετές ιστορίες υπαλλήλων τραπεζών οι οποίοι εκδίδανε πιστωτικές κάρτες σε μη υπάρχοντες πελάτες, κρατούσαν την κάρτα οι ίδιοι και την χρησιμοποιούσαν. Αυτός ο τύπος απειλής είναι βέβαια πολύ μακριά από μια τεχνολογική απειλή και απλά βασίζεται σε εσωτερικές αδυναμίες ενός οργανισμού. Να γράψει ένα μικρό πρόγραμμα το οποίο παρουσιάζει ένα παράθυρο το οποίο ζητά από τον χρήστη κάποιες σημαντικές πληροφορίες όπως στοιχεία πιστωτικών καρτών, password κ.λ.π. Ένα συνηθισμένο παράθυρο ήταν κάποιο το οποίο έλεγε πως έχει πέσει η σύνδεση τους και ότι πρέπει να συνδεθούν ξανά δίνοντας ένα password. Οι γλώσσες Java και JavaScript μπορούν να κάνουν τη συγγραφή ενός τέτοιου προγράμματος αρκετά εύκολη. 43

44 (β) Επιθέσεις άρνησης υπηρεσίας (Denial of service) Όταν έχουμε μια επίθεση άρνησης υπηρεσίας, ένας εισβολέας εκτελεί κάποια ενέργεια η οποία είτε σταματά κάποια υπηρεσία του συστήματος είτε υποβαθμίζει την ποιότητα της. Για παράδειγμα, η εκτέλεση ενός προγράμματος το οποίο στη συνέχεια θα ξεκινήσει κάποια άλλα προγράμματα, τα οποία με τη σειρά τους θα ξεκινήσουν κάποια άλλα κ.ο.κ. θα προκαλέσει συμφόρηση στο σύστημα και συνεπώς θα εμποδίσει την παροχή των πραγματικών υπηρεσιών για τις οποίες είναι υπεύθυνο.. Μια από τις πρώτες επιθέσεις της μορφής άρνησης υπηρεσίας που εμφανίστηκαν στο Internet ήταν το διάσημο "σκουλήκι" (Worm) του Robert Morris. O Morris, ένας αμερικανός φοιτητής, έριξε στο Internet το συγκεκριμένο πρόγραμμα το Το "σκουλήκι" είχε φτιαχτεί με τέτοιο τρόπο ώστε αντέγραφε τον εαυτό του σε άλλους υπολογιστές στο Internet, ώστε τελικά πολλές χιλιάδες υπολογιστές είχαν μολυνθεί. Ένα από τα προβλήματα με τις επιθέσεις άρνησης υπηρεσίας που εμφανίζονται στο Internet είναι πως αφού το λογισμικό υλοποιείται με περίπου τον ίδιο τρόπο, κάθε λειτουργικό σύστημα που χρησιμοποιεί το TCP-IP είναι ευάλωτο σε τέτοιου είδους επιθέσεις. 44

45 (4) Ιοί Οι ιοί είναι ένα είδος κακόβουλα γραμμένου κώδικα που θέτει σε κίνδυνο την ασφαλή λειτουργία του συστήματος και μπορούν να χρησιμοποιηθούν για μια ποικιλία διαφορετικών επιθέσεων. Περιγράφονται ξεχωριστά εδώ καθώς απαιτούν αρκετά υψηλό επίπεδο τεχνικών γνώσεων. Οι συνηθισμένες επιθέσεις άρνησης υπηρεσιών είναι απλές και όχι ιδιαίτερα εξεζητημένες ενώ η επίθεση με ιό απαιτεί μεγαλύτερο βαθμό τεχνικών γνώσεων. Ένας ιός είναι ένα πρόγραμμα το οποίο επισυνάπτει τον εαυτό του σε αρχεία τα οποία υπάρχουν στον υπολογιστή - μια διαδικασία που είναι γνωστή ως μόλυνση Αφού ένας ιός εγκατασταθεί σε έναν υπολογιστή, μπορεί να αντιγράψει τον εαυτό του και σε άλλα αρχεία στον υπολογιστή. (α) Κατηγορίες ιών Υπάρχουν τρεις κύριες κατηγορίες ιών: εκτελέσιμοι ιοί, ιοί δεδομένων και ιοί οδηγών συσκευών. Ένας εκτελέσιμος ιός είναι ένας ιός ο οποίος προστίθεται σε ένα εκτελέσιμο αρχείο, το οποίο όταν εκτελεστεί θα έχει ως αποτέλεσμα να εκτελεστεί και ο κώδικας του ιού. Αυτός ο κώδικας στη συνέχεια θα κάνει κάποια κακόβουλη ενέργεια όπως να διαγράψει κάποια σημαντικά αρχεία. Ένας ιός δεδομένων είναι ένας ιός ο οποίος μολύνει ένα αρχείο που περιέχει δεδομένα αντί για εκτελέσιμο κώδικα. Συχνά τα δεδομένα αυτά είναι συνδεδεμένα με κάποιο πρόγραμμα, το οποίο χρειάζεται τα δεδομένα για να εκτελέσει τη λειτουργία του. Για παράδειγμα, πολλά προγράμματα χρειάζονται ένα startup αρχείο το οποίο αρχικοποιεί το πρόγραμμα και ορίζει βασικές παραμέτρους της λειτουργίας του. Ένας ιός δεδομένων θα μπορούσε να μολύνει ένα τέτοιο αρχείο και να αλλάξει τα δεδομένα σε ένα τέτοιο αρχείο ώστε το πρόγραμμα δεν θα μπορεί να λειτουργήσει ή η λειτουργία του θα τεθεί σε κίνδυνο. 45

46 Ένας άλλος τύπος ιού δεδομένων θα μπορούσε να προσθέσει μια καταχώρηση σε ένα αρχείο με password κι έτσι θα επέτρεπε πρόσβαση σε ένα εισβολέα. Άλλο ένα παράδειγμα είναι αυτό ενός ιού δεδομένων για έναν επεξεργαστή κειμένου, που θα μπορούσε επίσης να γραφτεί και εύκολα και που θα μπορούσε να αλλάζει τα περιεχόμενα κάθε αρχείου που ανοίγει από τον επεξεργαστή κειμένου ή ακόμη χειρότερα να το σβήνει. Μια τρίτη κατηγορία είναι οι ιοί οδηγών συσκευών. Αυτοί επηρεάζουν τους οδηγούς συσκευών ενός λειτουργικού συστήματος που χρησιμοποιούνται για τον χειρισμό διαφόρων στοιχείων του υπολογιστή όπως δίσκος. Ευτυχώς αυτός ο τύπος ιού εμφανιζόταν κυρίως σε παλιότερα λειτουργικά συστήματα όπως το MSDOS. Υπάρχει επίσης ένας τρόπος κατηγοριοποίησης των ιών βάσει του τρόπου που χρησιμοποιούν για να κρύψουν την παρουσία τους στον υπολογιστή. Βάσει του κριτηρίου αυτού υπάρχουν δυο ειδών ιοί, οι stealth ιοί και οι πολυμορφικοί ιοί. Πριν περιγράψουμε αυτούς τους δυο τύπους ιών είναι χρήσιμο να μιλήσουμε για το πως τα προγράμματα εντοπισμού ιών λειτουργούν. Τα προγράμματα αυτά λειτουργούν ελέγχοντας τα αρχεία που υπάρχουν αποθηκευμένα ψάχνοντας σε αυτά είτε γνωστούς ιούς είτε αλλαγές σε σημαντικά αρχεία, π.χ. αλλαγές σε αρχεία κώδικα του λειτουργικού συστήματος παρότι δεν υπήρξε άμεση αναβάθμιση του. Οι ιοί Stealth κρύβουν την παρουσία τους χρησιμοποιώντας μερικές διάφορες τεχνικές, για παράδειγμα αλλάζοντας τις ημερομηνίες αλλαγής ή το πραγματικό μέγεθος των αρχείων ώστε το πρόγραμμα εντοπισμού ιών να μην μπορεί να εντοπίσει κάποια αλλαγή και να μην θεωρεί ύποπτα αρχεία τα οποία στην πραγματικότητα είναι μολυσμένα. 46

47 Οι πολυμορφικοί ιοί μπορούν να αλλάζουν συχνά τα χαρακτηριστικά τους - για παράδειγμα το μέγεθος τους - μια διαδικασία που είναι γνωστή ως μετάλλαξη. Αυτό σημαίνει ότι είναι πολύ πιο δύσκολο για τα προγράμματα εντοπισμού ιών να τους εντοπίσουν βασιζόμενοι μόνο στα γνωστά χαρακτηριστικά τους. (β) Δημιουργία ιών Υπάρχουν διάφοροι τρόποι δημιουργίας ιών. Μπορούν να δημιουργηθούν από την αρχή χρησιμοποιώντας μια γλώσσα όπως η C ή assembly. Χρησιμοποιούνται τέτοιες γλώσσες γιατί πρέπει ο κώδικας του ιού να είναι όσο το δυνατόν μικρότερο για να μπορεί να αποφεύγει τον εντοπισμό από προγράμματα anti-virus. Οι γλώσσες αυτές επίσης παρέχουν αρκετές δυνατότητες σχετικά χαμηλού επιπέδου που δεν προσφέρονται από άλλες γλώσσες όπως κάποιες λειτουργίες εισόδου / εξόδου. Υπάρχουν επίσης κάποια εργαλεία κατασκευής ιών τα οποία μπορούν να βρεθούν σε διάφορα μέρη στο internet. (5) Ανιχνευτές (Scanners) Ένα scanner είναι ένα πρόγραμμα το οποίο ανιχνεύει αδυναμίες ασφάλεια σε υπολογιστικά συστήματα. Είναι λίγο αμφιλεγόμενο αν θα έπρεπε να μπει αυτό το θέμα σε μια ενότητα σχετική με επιθέσεις αφού τα προγράμματα αυτά αναπτύχθηκαν για να βοηθήσουν τους διαχειριστές συστημάτων να εντοπίσουν αδυναμίες. Ωστόσο κάποια από αυτά μπορούν να χρησιμοποιηθούν για να διερευνήσουν τρόπους εισβολής σε ένα δίκτυο. 47

48 Ένα scanner είναι ένα πρόγραμμα το οποίο ερευνά τα διάφορα στοιχεία ενός λειτουργικού συστήματος και ελέγχει αν είναι ασφαλή, για παράδειγμα μερικοί scanners για το UNIX μπορούν να ελέγχουν αν η δημοφιλής εφαρμογή sendmail είναι αρκετά ασφαλής για να αποτρέψει την εισβολή; άλλοι scanners μπορούν να ελέγξουν την ανθεκτικότητα ενός ftp server, για παράδειγμα βρίσκοντας αν ένα πολύ μεγάλο password θα μπλοκάρει τον ftp server. Τα scanners συνήθως είναι γραμμένα στο UNIX, αλλά τα τελευταία χρόνια έχουν δημιουργηθεί αντίστοιχα και για άλλα λειτουργικά συστήματα όπως τα Windows (6) Σπάσιμο κωδικών (Password crackers) Ένα password cracker είναι ένα πρόγραμμα το οποίο προσπαθεί να βρει το password κάποιου χρήστη ή το όνομα του χρήστη που αντιστοιχεί σε κάποια passwords που υπάρχουν αποθηκευμένα σε ένα αρχείο με passwords σε κάποιο υπολογιστή. Τα εργαλεία αυτά χρησιμοποιήθηκαν αρχικά από διαχειριστές συστημάτων ώστε να σιγουρευτούν ότι τα passwords που επέλεξαν οι χρήστες τους δεν μπορούσαν να εντοπιστούν εύκολα. Ωστόσο, χρησιμοποιήθηκαν επίσης κακόβουλα, για παράδειγμα για να αποκτήσουν πρόσβαση σε συστήματα όπου οι χρήστες είχαν εύκολα passwords όπως 'system' ή 'admin' Τα περισσότερα password crackers είτε προσπαθούν να ανακαλύψουν ένα password χρησιμοποιώντας μια μεγάλη λίστα λέξεων που επιλέγουν συχνά οι χρήστες ως passwords και δοκιμάζουν πολλά από αυτά είτε επιχειρούν να αποκτήσουν απευθείας πρόσβαση στο αρχείο των password. 48

49 (7) Προγράμματα Υποκλοπής (Sniffers) Αυτά είναι εργαλεία τα οποία υποκλέπτουν πακέτα δεδομένων τα οποία ταξιδεύουν στο δίκτυο. Υπάρχει μια νόμιμη χρήση τους από τους διαχειριστές συστημάτων καθώς μπορούν να χρησιμοποιηθούν για να εντοπίσουν αδυναμίες ενός δικτύου, για παράδειγμα μπορούν να χρησιμοποιηθούν για να εντοπίσουν σημεία πολύ έντονης κυκλοφορίας όπου μπορεί να υπάρχει πρόβλημα. Χρησιμοποιούνται επίσης από προγραμματιστές κατανεμημένων συστημάτων για να πάρουν μια ιδέα της αναμενόμενης κυκλοφορίας στο δίκτυο και να προσαρμόσουν την εφαρμογή τους σε αυτή. Ωστόσο, έχουν συχνά επίσης χρησιμοποιηθεί για την υποκλοπή σημαντικών δεδομένων. Ένας εισβολέας μπορεί να εγκαταστήσει ένα sniffer σε ένα σημαντικό σημείο ενός δικτύου, για παράδειγμα σε μια πύλη και να διαβάσει τα μηνύματα καθώς αυτά περνάνε από αυτή. Ένας πετυχημένος sniffer μπορεί να εντοπίσει εκατοντάδες, αν όχι χιλιάδες passwords μέσα σε λίγες ώρες και να τα στείλει σε ένα απομακρυσμένο υπολογιστή από όπου κάποιος μη εξουσιοδοτημένος χρήστης θα μπορεί να τα χρησιμοποιήσει για να εισβάλει στο σύστημα. Οι επιθέσεις με sniffer είναι παραδόξως όχι πολύ συνηθισμένες, ωστόσο όταν συμβαίνουν μπορεί να θέσουν σε κίνδυνο την ασφάλεια πολλών υπολογιστών και χρηστών. Για παράδειγμα, μια πρόσφατη επίθεση με sniffer είχε ως αποτέλεσμα 268 sites (όχι υπολογιστές αλλά sites!) να έχουν σοβαρά προβλήματα ασφάλειας.. (8) Δούρειοι ίπποι (Trojan horses) Ένας δούρειος ίππος είναι ένα κακόβουλο κομμάτι κώδικα το οποίο υπάρχει μέσα σε ένα κατά τα άλλα αθώο πρόγραμμα και το οποίο επιχειρεί να κάνει κάτι το οποίο ο χρήστης δεν περιμένει να κάνει. 49

50 Για παράδειγμα, ένα ελεύθερης πρόσβασης πρόγραμμα το οποίο παρέχει σε ένα διαχειριστή συστημάτων πληροφορίες σχετικά με τη χρήση των αρχείων σε ένα δικτυακό σύστημα, αλλά το οποίο μετά από κάποια στιγμή υποκλέπτει πληροφορίες ή αλλάζει αρχεία είναι ένας δούρειος ίππος. Οι δούρειοι ίπποι μπορούν να χρησιμοποιηθούν για διάφορους λόγους όπως την υποκλοπή passwords και άλλων πληροφοριών ή για να καταστρέψουν πόρους (π.χ. αρχεία) και να προκαλέσουν κατάρρευση ενός συστήματος. Το κύριο πρόβλημα με τους δούρειους ίππους είναι ότι είναι πολύ δύσκολο να εντοπιστούν. Οι λόγοι είναι δυο: ο πρώτος είναι ότι συχνά παίρνουν τη μορφή ιδιαίτερα συνηθισμένων εργαλείων ή εργαλείων που απαιτούν την χειροκίνητη εγκατάσταση τους από το χρήστη. Για παράδειγμα, το 1997 ένας δούρειος ίππος κυκλοφόρησε με τη μορφή του δημοφιλούς προγράμματος συμπίεσης αρχείων Stuffit που χρησιμοποιείται στους υπολογιστές Macintosh. Αυτός ο συγκεκριμένος δούρειος ίππος έσβηνε σημαντικά αρχεία μετά την εγκατάσταση του σε έναν υπολογιστή. Ο δεύτερος λόγος για τον οποίο είναι δύσκολο να εντοπιστούν είναι ότι υπάρχουν σε κάποιο υπολογιστή με τη μορφή ενός μεταφρασμένου προγράμματος το οποίο είναι δύσκολο να ελεγχθεί τι ακριβώς κάνει. (9) Spoofing Αυτός είναι ένας όρος ο οποίος χρησιμοποιείται για να περιγράψει την κατάσταση κατά την οποία ένας εισβολέας χρησιμοποιεί κάποιο υπολογιστή προσποιούμενος στο σύστημα στο οποίο επιτίθεται ότι ο υπολογιστής που χρησιμοποιεί είναι κάποιος άλλος τον οποίο το σύστημα εμπιστεύεται και συνεπώς μπορεί να εκτελέσει λειτουργίες που κανονικά δεν θα επιτρεπόταν. Το spoofing δεν 50

51 απαιτεί πολλές γνώσεις σχετικά με passwords και μεθόδους πιστοποίησης χρηστών όπως οι προηγούμενες μέθοδοι. Έχει σχέση μόνο με το να νομίζει το δίκτυο ότι ο υπολογιστής που χρησιμοποιεί ο εισβολέας είναι κάποιος άλλος υπολογιστής που το δίκτυο εμπιστεύεται. Για να καταλάβουμε πως λειτουργεί το spoofing μπορούμε να δούμε μια συγκεκριμένη μορφή της τεχνικής αυτής που λέγεται IP spoofing. Αυτή η επίθεση χρησιμοποιεί το πρωτόκολλο TCP-IP για να παρακάμψει τις κανονικές λειτουργίες πιστοποίησης σε ένα σύστημα και γίνεται χρησιμοποιώντας έναν υπολογιστή που ισχυρίζεται πως έχει μια έμπιστη IP διεύθυνση. Όταν ένας υπολογιστής ανοίγει μια σύνδεση με έναν άλλο χρησιμοποιώντας TCP-IP, ο πελάτης στέλνει ένα TCP πακέτο με έναν αρχικό ακέραιο αριθμό. Ο λαμβάνων υπολογιστής (ο διακομιστής) επιστρέφει ένα πακέτο το οποίο περιλαμβάνει έναν άλλο ακέραιο, οι αριθμοί αυτοί είναι γνωστοί ως αριθμοί ακολουθίας. Επίσης στέλνει μια επιβεβαίωση η οποία είναι ο αριθμός ακολουθίας του πελάτη συν ένα. Ο πελάτης στη συνέχεια πρέπει να επιστρέψει μια επιβεβαίωση η οποία περιλαμβάνει τον αριθμό του ακολουθίας του διακομιστή στην ένα. Από τη στιγμή αυτή, ο πελάτης και ο διακομιστής μπαίνουν σε μια διαδικασία διαλόγου στην οποία ο πελάτης και ο διακομιστής στέλνουν πακέτα τα οποία περιέχουν αριθμούς ακολουθίας τους οποίους η άλλη πλευρά πρέπει να επιστρέψει για να πιστοποιήσει ότι είναι αυτή που ισχυρίζεται. Οι αριθμοί ακολουθίας προσδιορίζονται από έναν αλγόριθμο του TCP-IP. Το κύριο πρόβλημα για να επιτευχθεί το IP spoofing είναι ότι ο εισβολέας θα πρέπει να γνωρίζει τους αριθμούς ακολουθιών που δημιούργησε και έστειλε ο διακομιστής κατά την αρχική εγκατάσταση της επικοινωνίας: ο διακομιστής θα λαμβάνει πακέτα από έναν υπολογιστή που ισχυρίζεται ότι έχει μια IP διεύθυνση 51

52 αλλά τα πακέτα που στέλνει θα μεταφέρονται από το δίκτυο στον υπολογιστή που πραγματικά έχει την διεύθυνση αυτή και συνεπώς ο εισβολέας δεν θα παίρνει τις απαντήσεις για να δει τον αριθμό ακολουθίας που πρέπει να στείλει. Επειδή ο εισβολέας πρέπει να απαντήσει με πακέτα τα οποία περιέχουν τον κατάλληλο αριθμό ακολουθίας, κάθε πακέτο το οποίο θα λαμβάνεται στον διακομιστή και δεν περιέχει τον κατάλληλο αριθμό ακολουθίας θα θεωρείται ύποπτο και θα παρουσιάζεται το κατάλληλο μήνυμα. Για να κάνει μια επίθεση IP spoofing, ο εισβολέας πρέπει να πετύχει τα εξής: Ο πραγματικός υπολογιστής που θα προσποιηθείτε ότι είστε πρέπει να είναι εκτός λειτουργίας. Αυτό συνήθως επιτυγχάνεται με μια επίθεση άρνησης υπηρεσίας. Ο υπολογιστής που θα χρησιμοποιηθεί για την επίθεση πρέπει να πάρει την IP διεύθυνση του υπολογιστή που θα προσποιηθεί ότι είναι. Ο υπολογιστής του εισβολέα τότε θα πρέπει να συνδεθεί με τον διακομιστή και να ξεκινήσει έναν διάλογο προσποιούμενος ότι είναι κάποιος άλλος υπολογιστής. Ο υπολογιστής του εισβολέα πρέπει με κάποιο τρόπο να ανακαλύψει τον αριθμό ακολουθίας που δημιούργησε ο διακομιστής. Αυτό είναι αρκετά δύσκολο αλλά όχι ακατόρθωτο. Σε μερικά τοπικά δίκτυα μπορεί επίσης να γίνει αρκετά εύκολα. 52