Методика выявления сетевых атак класса «человек посередине» на основе анализа транзитного трафика
Аннотация
Дата поступления статьи: 08.09.2017Статья посвящена проблеме защиты данных от перехвата в результате выполнения атак типа «человек посередине». Предлагаемая методика выявления данных атак основывается на анализе заголовков транзитных пакетов, проходящих через шлюз по умолчанию. На основе полученных данных строится таблица соответствия IP и MAC адресов, для которой программными средствами обеспечивается актуальность и достоверность. Адреса пакетов, проходящих через шлюз, сравниваются с записями в данной таблице и, в случае несовпадения и невозможности подтверждения правильности адресов в заголовках канального и сетевого уровней, делается вывод о наличии в сети дополнительного промежуточного узла, появившегося в результате подмены шлюза по умолчанию. В статье приводятся подходы к программной реализации данной методики, описывается алгоритм анализа пакетов.
Ключевые слова: локальная сеть, «человек посередине», DHCP-spoofing, ARP-poisoning, анализ трафика, шлюз, сетевой адрес, пакет, ARP-таблица
05.13.01 - Системный анализ, управление и обработка информации (по отраслям)