Глоссарий

B

bridge

Мостом называют устройство канального уровня, которое соединяет два сегмента сети. Мост должен на основании MAC-адреса назначения принять решение о том надо ли пропустить ethernet-кадр из одного сегмента сети в другой. Коммутатор (switch) можно считать многопортовым мостом.

Мостом, так же, часто называют брандмауэр канального уровня: интерфейсам не присваиваются IP-адреса. При этом Ethernet кадры копируются с интерфейса на интерфейс, но проходят через фильтр. Таким образом, мост, как устройство канального уровня, не может быть детектирован злоумышленником. Он совершенно прозрачен для протоколов сетевого уровня OSI.

BSDA

BSD Associate — совокупность операционных систем семейства BSD: DragonFly BSD, FreeBSD, NetBSD и OpenBSD.

D

DOS атака

Атака типа Deny Of Service — отказ в обслуживании. Возможна в том случае, если атакующий производит при атаке мЕньшую работу, чем атакуемый. Например, если непрерывно запрашивать WEB-ресурс, для генерирования которого на сервере выполняется сложный сценарий, можно добиться того, что сервер окажется перенапряжён и перестанет отвечать на запросы, либо будет отвечать с непозволительно большими задержками, т.е. произойдёт отказ в обслуживании.

DDOS атака

Атака типа Distributed DOS — распределённая атака типа DOS. Атакующий выстраивает «бот-сеть» и производит DOS атаку одновременно с большого числа компьютеров. За счёт распределённости ресурсов при таком способе атаки снимается требование на то, чтобы атакующий выполнял работу меньше чем атакуемый. При DDOS атаке можно обрушить сеть простым ping(8)ом.

DMZ

Demilitarized Zone — Демилитаризованная зона, так же называемая PSN (Private Service Network) это сеть содержащая в себе серверы, защищённая брандмауэром (возможно не одним) как от внешней сети Интернет, так и от внутренней локальной сети. Используется для защиты серверов от атак из внутренней, локальной сети, а так же для защиты локальной сети от взломщиков, которые могут захватить контроль над сервером используя различные уязвимости в его програмном обеспечении.

U

GNU

GNU is Not Unix — рекурсивный акроним. Сообщество программистов разрабатывающих свободное програмное обеспечение под лицензией GPL. Многие продукты GNU вошли в состав различных BSD систем (например компилятор gcc(1)). Однако многие утилиты входящие в поставку BSD (например find(1)) не являются продуктом GNU, ведут себя несколько иначе, имеют слегка иной синтаксис.

GPL

General Public License. Лицензия под которой распространяются продукты GNU. Основное отличие от лицензии BSD состоит в том, что код защищённый лицензией GPL не может быть включён в другой (в том числе коммерческий) проект, без того, чтобы на него тоже была распространена лицензия GPL.

M

MDA

Mail Delivery Agent — агент подачи почты. Предназначен для предварительной обработки почты перед передачей её MTA. Устанавливается на нагруженных системах. Обычно работает на 587 порту.

MTA

Mail Transfer Agent — агент доставки почты. Програмный комплекс предназначенный для пересылки почты между хостами. Пример: sendmail, postfix, qmail, Microsoft Exchange.

MTU

Maximum Transmission Unit — максимальный размер (в байтах) кадра (на канальном уровне модели OSI).

MUA

Mail User Agent — Пользовательская программа, предназначенная для чтения почты и взаимодействия с MTA локально или удалённо при помощи протокола SMTP. Пример: mail, pine, mutt; графические варианты evolution, kmail, tunderbird, M2; в Windows известны такие MUA как TheBAT!, Outlook Express.

N

NAT

Network Adress Translation — трансляция сетевых адресов. Один из способов скрыть целую сеть за одним адресом. Использование NAT необходимо в ситуации когда провайдер выделил адресов меньше чем компьютеров в сети. NAT описан в [RFC-1631].

NAT позволяет использовать блоки приватных адресов описанных в [RFC-1918]:

10.0.0.0/8(от 10.0.0.0 до 10.255.255.255)
172.16.0.0/12(от 172.16.0.0 до 172.31.255.255)
192.168.0.0/16(от 192.168.0.0 до 192.168.255.255)

В процессе трансляции у исходящего пакета исходящий адрес IP подменяется на адрес сетевого интерфейса шлюза, а так же при необходимости меняется номер порта источника (если у шлюза данный порт уже занят). С ответными пакетами проделывается обратное преобразование.

Ни внутренняя машина, ни внешняя не знают о существовании NAT. Всё происходит прозрачно. Для внутренней машины NAT это просто шлюз, а внешняя машина ничего не знает о внутренней и считает, что соединение открыто шлюзом. NAT можно попытаться засечь только по косвенным признакам.

O

OSI

Сетевая модель OSI (англ. Open Systems Interconnection Reference Model — модель взаимодействия открытых систем) — абстрактная модель для сетевых коммуникаций и разработки сетевых протоколов.

Модель разбивает сетевые протоколы на семь уровней:

  1. Прикладной уровень (Application layer);
  2. Уровень представления (Presentation layer);
  3. Сеансовый уровень (Session layer);
  4. Транспортный уровень (Transport layer);
  5. Сетевой уровень (Network layer);
  6. Канальный уровень (Data Link layer);
  7. Физический уровень (Physical layer).

Данную модель удобно использовать в учебных целях для классификации. В текущем пособии сетевая модель обсуждается в Раздел B.1, «Классификация сетевых протоколов». В сети Интернет о модели OSI можно почитать здесь: [url://wiki-OSI-ru].

P

POD

Ping of Death — смертельный пинг. В норме, размер ICMP пакета echo request составляет 64 байта (84 байта с заголовком IP). Многие системы не могут обработать пакет ICMP echo request, длина которого превышает допустимый размер пакета IP (65535 байт). Отправка такого пакета может привести к падению системы на атакуемой машине. Такой пакет противоречит протоколу, однако отправить его довольно просто. Длинный ICMP пакет передаётся в фрагментированном виде и собираясь на атакуемой машине переполняет в ней буфер, что приводит к крушению операционной системы. Эта уязвимость была распространена повсеместно в UNIX, Linux, Windows, Mac, принтерах и маршрутизаторах. Однако она была исправлена практически во всех ситемах примерно в 1997-1998 годах.

В последние годы более актуальной стала другая атака основанная на пакетах ICMP echo request: ping flooding (см. DOS атака)

POSIX

Portable Operating System — последние буквы добавлены для созвучия со словом UNIX. POSIX это стандарт, которому должна отвечать операционная система для того, чтобы в ней могли запускаться программы предназначенные для UNIX.

PSN

Private Service Network — см. DMZ.

S

shebang

«Магическая строка» с которой должны начинаться скрипты в UNIX. Первые два символа строки: #!, затем идёт название интерпретатора, которому будет подан на вход текст скрипта.

spoofing

Спуфинг — в заголовке IP пакета подделывается адрес источника. Спуфинг применяется для обхода аутентификации по IP адресу, а так же для выполнения сетевых атак. (Часто администраторы защищают систему от атак изнутри слабее, чем от атак снаружи, поэтому злоумышленник может попробовать прикинуться инсайдером.) Для борьбы со спуфингом применяют пакетные фильтры. Различают «ingress filtering» — запрет на прохождение внутрь системы пакетов с исходящими внутренними адресами; и «egress filtering» — запрет на выход из сети пакетов с исходящими адресами находящимися вне внутренней сети.

Протокол TCP имеет встроенный механизм для предотвращения спуфинга — так называемые номера последовательности и подтверждения (sequence number, acknowledgement number). Протокол UDP не имеет такого механизма, следовательно, построенные на его основе приложения более уязвимы для спуфинга. См. так же [url://buggzy-2002].

Термин «спуфинг» так же применяют применительно к подделке исходящих адресов в заголовках электронной почты и др.

stateful inspection

Фильтрация трафика с учётом состояния соединений. (См. так же stateless inspection.)

В реализации более сложна, чем фильтрация без учёта состояний. stateful inspection трактует трафик не как множество независящих друг от друга пакетов, а как совокупность потоков, каждый из которых, принадлежит некоторому соединению. Все соединения в большинстве протоколов используют некоторое число, указывающее в каком порядке должны собираться пакеты в сокете назначения. Брандмауэр, использующий stateful inspection, на основании этого числа может опознать пакеты как принадлежащие одному соединению. В особенности это относится к протоколам поддерживающим информацию о соединениях. Таким как TCP.

Stateful брандмауэр может:

  • определять состояние соединения
  • определить, правильно ли открывается соединение и фильтровать трафик соответственно этому.
stateless inspection

Фильтрация трафика без учёта состояния соединений. (См. так же stateful inspection.)

Каждый пакет брандмауэр фильтрует индивидуально, без учёта других пакетов. Такой брандмауэр прост в реализации и может быть эффективно использован для:

  • Фильтрации испорченных, фрагментированных пакетов;
  • Фильтрации пакетов принадлежащих протоколам не образующим соединений: ICMP, UDP, IGMP и т.п.
  • Фильтрации на основе критериев сетевого, и более низких уровней модели OSI (см. OSI). Например по IP адресам.

U

UFS

Unix File System. Файловая система принятая в BSD. Существует множество разновидностей UFS.