Средства борьбы с вирусными атаками. Методика применения средств борьбы с вирусами.

Основным средством борьбы с вирусами были и остаются антивирусные программы.

Антивирус может работать в непрерывном режиме или запускаться периодически. Возможно использование антивирусного комплекса, включающего средства для защиты рабочих станций, файловых серверов, почтовых систем, шлюзов (сканер HTTP, FTP, SMTP потока).

Помимо установки антивируса, средствами борьбы с вредоносными программами и вирусными атаками являются:

- межсетевые экраны, защищающие от атак по сети (определение диапазона допустимых адресов, закрытие портов, etc)

- средства борьбы со спамом (спам фильтры, etc)

- регулярные обновления системы и ПО

- организационные методы (правила работы за компьютером - правила обработки информации и использования программ, политики безопасности)

- отключение автозапуска со съемных носителей.

Сегодня используется несколько основополагающих методик обнаружения и защиты от вирусов:

· Сканирование. Антивирусная программа последовательно просматривает проверяемые файлы в поиске сигнатур известных вирусов. Под сигнатурой понимается уникальная последовательность байт, принадлежащая вирусу, и не встречающаяся в других программах. Применение простых программ-сканеров не защищает компьютер от проникновения новых вирусов.

· Эвристический анализ. Эвристический анализ позволяет обнаруживать ранее неизвестные вирусы, причем для этого не надо предварительно собирать данные о файловой системе

Антивирусные программы, реализующие метод эвристического анализа, проверяют программы и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для вирусов. Эвристический анализатор может обнаружить, например, что проверяемая программа устанавливает резидентный модуль в памяти или записывает данные в исполнимый файл программы. Если это возможно, антивирус вылечивает файл, восстанавливая его содержимое. В противном случае предлагается только одна возможность — удалить зараженный файл и затем восстановить его из резервной копии (если она есть).

· использование антивирусных мониторов. Антивирусный монитор или сторож - антивирусная программ, которая постоянно находится в памяти компьютера, и отслеживает все подозрительные действия, выполняемые другими программами. Монитор автоматически проверяет все запускаемые программы, создаваемые, открываемые и сохраняемые документы, файлы программ и документов, полученные через Интернет или скопированные на жесткий диск с дискеты и компакт диска. Антивирусный монитор сообщит пользователю, если какая-либо программа попытается выполнить потенциально опасное действие.

· Обнаружение изменений. Антивирусные программы, называемые ревизорами диска, не выполняют поиск вирусов по сигнатурам. Они запоминают предварительно характеристики всех областей диска, которые подвергаются нападению вируса, а затем периодически проверяют их (отсюда происходит название программы-ревизоры). Ревизор может найти изменения, сделанные известным или неизвестным вирусом.

· использование антивирусов, встроенных в BIOS компьютера.

В системные платы компьютеров тоже встраивают простейшие средства защиты от вирусов. Эти средства позволяют контролировать все обращения к главной загрузочной записи жестких дисков, а также к загрузочным секторам дисков и дискет. Если какая-либо программа попытается изменить содержимое загрузочных секторов, срабатывает защита и пользователь получает соответствующее предупреждение.

Однако эта защита не очень надежна. Существуют вирусы, которые пытаются отключить антивирусный контроль BIOS, изменяя некоторые ячейки в энергонезависимой памяти компьютера.

 

5. Безопасность ресурсов сети (система Kerberos). Маршрутизация. Адресация в IP сетях (IPv4, IPv6, CIDR, NAT). Распределенные файловые системы. Распределенная обработка данных (способы разделения приложений, синхронизация).

Безопасность ресурсов сети (система Kerberos).

Kerberos - это аутентификационный сервис, разработанный в MIT. Предположим, что существует открытое распределенное окружение, в котором пользователи, работающие за своими компьютерами, хотят получить доступ к распределенным в сети серверам. Серверы могут предоставлять доступ только авторизированным пользователям. Рабочая станция не может быть доверенной системой, потому что существуют угрозы — получения физического доступа и входа под другим именем, изменения сетевого адреса станции, просмотр трафика и replay атаки. Для того, чтобы не встраивать усиленные протоколы аутентификации на каждый сервер Kerberos создает сервер аутентификации, в чьи функции входит аутентификация пользователей для серверов и серверов для пользователей. Применяется только симметричное шифрование, не используется шифрование с открытым ключом. Безопасность протокола в значительной мере основывается на том, что системные часы участников более-менее синхронны и на временных утверждениях подлинности, называемых билетами Kerberos.

Ниже приведено упрощенное описание протокола. Следующие аббревиатуры будут использованы:

- AS = Сервер аутентификации

- TGS = Сервер предоставления билетов

- SS = Ресурс, предоставляющий некий сервис, к которому требуется получить доступ

- TGT = Билет для получения билета

В двух словах клиент авторизуется на AS, используя свой долгосрочный секретный ключ, и получает билет от AS. Позже клиент может использовать этот билет для получения дополнительных билетов на доступ к ресурсам SS без необходимости прибегать к использованию своего секретного ключа.

Более детально:

Шаги входа пользователя в систему:

- Пользователь вводит имя и пароль на клиентской машине.

- Клиентская машина выполняет над паролем одностороннюю функцию (обычно хэш), и результат становится секретным ключом клиента/пользователя.

Шаги аутентификации клиента:

1. Клиент посылает простым текстом сообщение серверу AS, запрашивая сервисы от имени пользователя. Например так: «Пользователь АБВ хочет запросить сервисы». Обратите внимание, что ни секретный ключ, ни пароль не посылаются на AS.

2. AS проверяет, есть ли такой клиент в базе. Если есть, то назад AS отправляет следующие два сообщения:

o Сообщение A: Сессионный Ключ Client/TGS зашифрованный секретным ключом клиента/пользователя.

o Сообщение B: TGT (который включает ID клиента, сетевой адрес клиента, период действия билета, и Сессионный Ключ Сlient/TGS) зашифрованный секретным ключом TGS.

3. Как только клиент получает сообщения A и B, он расшифровывает сообщение A, чтобы получить Сессионный Ключ Client/TGS. Этот сессионный ключ используется для дальнейшего обмена с сервером TGS. (Важно: Клиент не может расшифровать сообщение B, так как оно зашифровано секретным ключом TGS.) В этот момент у пользователя достаточно данных, чтобы авторизироваться на TGS.

Шаги авторизации клиента для получения сервиса:

1. При запросе сервисов клиент отправляет следующие два сообщения на TGS:

o Сообщение C: Содержит TGT, полученный в сообщении B и ID требуемого сервиса.

o Сообщение D: Аутентикатор (составленный из ID клиента и временного штампа), зашифрованный на Сессионном Ключе Client/TGS.

2. После получения сообщений C и D, TGS извлекает сообщение B из сообщения C и расшифровывает его используя секретный ключ TGS. Это дает ему Сессионный Ключ Client/TGS. Используя его TGS расшифровывает сообщение D и посылает следующие два сообщения клиенту:

o Сообщение E: Client-to-server ticket (который содержит ID клиента, сетевой адрес клиента, время действия билета и Сессионный Ключ Client/server) зашифрованный секретным ключом сервиса.

o Сообщение F: Сессионный ключ Client/server, зашифрованный на Сессионном Ключе Client/TGS.

Шаги клиента при запросе сервиса:

1. При получении сообщений E и F от TGS, у клиента достаточно информации для авторизации на SS. Клиент соединяется с SS и посылает следующие два сообщения:

• Сообщение E из предыдущего шага (client-to-server ticket, зашифрованный секретным ключом сервиса).

• Сообщение G: новый аутентикатор, который включающий ID клиента, временной штамп и зашифрованный на client/server session key.

2. SS расшифровывает билет используя свой секретный ключ для получения Сессионного Ключа Client/Server. Используя сессионный ключ, SS расшифровывает аутентикатор и посылает клиенту следующее сообщение для подтверждения готовности обслужить клиента и показать, что сервер действительно является тем, за кого себя выдает:

• Сообщение H: Временной штамп, указанный клиентом + 1, зашифрованный на Сессионном Ключе Client/Server.

3. Клиент расшифровывает подтверждение, используя Сессионный Ключ Client/Server и проверяет, действительно ли временной штамп корректно обновлен. Если это так, то клиент может доверять серверу и может начать посылать запросы на сервер.

4. Сервер предоставляет клиенту требуемый сервис.

Маршрутизация

Маршрутизация— процесс определения маршрута следования информации в сетях связи. Маршруты могут задаваться административно (статические маршруты), либо вычисляться с помощью алгоритмов маршрутизации, базируясь на информации о топологии и состоянии сети, полученной с помощью протоколов маршрутизации (динамические маршруты).

Статические маршруты могут быть:

- маршруты, не изменяющиеся во времени

- маршруты, изменяющиеся по расписанию

- маршруты, изменяющиеся по ситуации — административно в момент возникновения стандартной ситуации

Процесс маршрутизации в компьютерных сетях выполняется программно-аппаратными средствами — маршрутизаторами. В дополнение к маршрутизации, маршрутизаторы осуществляют и коммутацию каналов/сообщений/пакетов/ячеек, так же, как и коммутатор компьютерной сети выполняет маршрутизацию (определение на какой порт отправить пакет на основании таблицы MAC адресов), а называется в честь основной его функции — коммутации.

Маршрутизируемые протоколы

Протокол маршрутизации может работать только с пакетами, принадлежащими к одному из маршрутизируемых протоколов, например, IP, IPX или Xerox Network System. Маршрутизируемые протоколы определяют формат пакетов (заголовков), важнейшей информацией из которых для маршрутизации является адрес назначения. Протоколы, не поддерживающие маршрутизацию, могут передаваться между сетями с помощью туннелей. Подобные возможности обычно предоставляют программные маршрутизаторы и некоторые модели аппаратных маршрутизаторов. В сети желательно использовать какой-либо один маршрутизируемый протокол, так как некоторые маршрутизаторы допускают совмещение разных протоколов, и это всегда снижает производительность сети.

Аппаратная маршрутизация

Выделяют два типа аппаратной маршрутизации: со статическими шаблонами потоков и с динамически адаптируемыми таблицами. Статические шаблоны потоков подразумевают разделение всех входящих в маршрутизатор IP-пакетов на виртуальные потоки; каждый поток характеризуется набором признаков для пакета: IP-адресами отправителя/получателя, TCP/UDP-порт отправителя/получателя (в случае поддержки маршрутизации на основании информации 4 уровня), порт, через который пришёл пакет. Оптимизация маршрутизации при этом строится на идее, что все пакеты с одинаковыми признаками должны обрабатываться одинаково (по одинаковым правилам), при этом правила проверяются только для первого пакета в потоке (при появлении пакета с набором признаков, не укладывающимся в существующие потоки, создаётся новый поток), по результатам анализа этого пакета формируется статический шаблон, который и используется для определения правил коммутации приходящих пакетов (внутри потока). Обычно время хранения неиспользующегося шаблона ограничено (для освобождения ресурсов маршрутизатора). Ключевым недостатком подобной схемы является инерциональность по отношению к изменению таблицы маршрутизации (в случае существующего потока изменение правил маршрутизации пакетов не будет " замечено" до момента удаления шаблона).

Динамически адаптированные таблицы используют правила маршрутизации " напрямую", используя маску и номер сети из таблицы маршрутизации для проверки пакета и определения порта, на который нужно передать пакет. При этом изменения в таблице маршрутизации (в результате работы, например, протоколов маршрутизации/резервирования) сразу же влияют на обработку всех новопришедших пакетов. Динамически адаптированные таблицы так же позволяют легко реализовывать быструю (аппаратную) проверку списков доступа.

Программная маршрутизация

Программная маршрутизация выполняется либо специализированным ПО маршрутизаторов (в случае, когда аппаратные методы не могут быть использованы, например, в случае организации туннелей), либо программным обеспечением на компьютере. В общем случае, любой компьютер осуществляет маршрутизацию своих собственных исходящих пакетов (как минимум, для разделения пакетов, отправляемых на шлюз по умолчанию и пакетов, предназначенных узлам в локальном сегменте сети). Для маршрутизации чужих IP-пакетов, а так же построения таблиц маршрутизации используется различное ПО.

Адресация в IP сетях

IPv4

Каждый компьютер в сети TCP/IP имеет адреса трех уровней:

- Локальный адрес узла, определяемый технологией, с помощью которой построена отдельная сеть, в которую входит данный узел. Для узлов, входящих в локальные сети - это МАС-адрес сетевого адаптера или порта маршрутизатора, например, 11-А0-17-3D-BC-01. Для всех существующих технологий локальных сетей МАС-адрес имеет формат 6 байтов: старшие 3 байта - идентификатор фирмы производителя, а младшие 3 байта назначаются уникальным образом самим производителем. Для узлов, входящих в глобальные сети, такие как Х.25 или frame relay, локальный адрес назначается администратором глобальной сети.

- IP-адрес, состоящий из 4 байт, например, 109.26.17.100. Этот адрес используется на сетевом уровне. Он назначается администратором во время конфигурирования компьютеров и маршрутизаторов. IP-адрес состоит из двух частей: номера сети и номера узла. Номер сети может быть выбран администратором произвольно, либо назначен по рекомендации специального подразделения Internet (Network Information Center, NIC), если сеть должна работать как составная часть Internet.

- Символьный идентификатор-имя, например, SERV1.IBM.COM. Этот адрес назначается администратором и состоит из нескольких частей, например, имени машины, имени организации, имени домена. Такой адрес, называемый также DNS-именем, используется на прикладном уровне, например, в протоколах FTP или telnet.

IP-адрес

IP-адрес имеет длину 4 байта и обычно записывается в виде четырех чисел, представляющих значения каждого байта в десятичной форме, и разделенных точками: 128.10.2.30.

Адрес состоит из двух логических частей - номера сети и номера узла в сети. Какая часть адреса относится к номеру сети, а какая к номеру узла, определяется значениями первых битов адреса:

- Если адрес начинается с 0, то сеть относят к классу А, и номер сети занимает один байт, остальные 3 байта интерпретируются как номер узла в сети. Сети класса А имеют номера в диапазоне от 1 до 126. (Номер 0 не используется, а номер 127 зарезервирован для специальных целей). В сетях класса А количество узлов должно быть больше 216, но не превышать 224.

- Если первые два бита адреса равны 10, то сеть относится к классу В и является сетью средних размеров с числом узлов 28 - 216. В сетях класса В под адрес сети и под адрес узла отводится по 16 битов, то есть по 2 байта.

- Если адрес начинается с последовательности 110, то это сеть класса С с числом узлов не больше 28. Под адрес сети отводится 24 бита, а под адрес узла - 8 битов.

- Если адрес начинается с последовательности 1110, то он является адресом класса D и обозначает особый, групповой адрес - multicast. Если в пакете в качестве адреса назначения указан адрес класса D, то такой пакет должны получить все узлы, которым присвоен данный адрес.

- Если адрес начинается с последовательности 11110, то это адрес класса Е, он зарезервирован для будущих применений.

В таблице приведены диапазоны номеров сетей, соответствующих каждому классу сетей.

Класс Наименьший адрес Наибольший адрес

A 01.0.0 126.0.0.0

B 128.0.0.0 191.255.0.0

C 192.0.1.0 223.255.255.0

D 224.0.0.0 239.255.255.255

E 240.0.0.0 247.255.255.255

Номер узла в протоколе IP назначается независимо от локального адреса узла. Маршрутизатор по определению входит сразу в несколько сетей. Поэтому каждый порт маршрутизатора имеет собственный IP-адрес. Конечный узел также может входить в несколько IP-сетей. В этом случае компьютер должен иметь несколько IP-адресов, по числу сетевых связей. Таким образом, IP-адрес характеризует не отдельный компьютер или маршрутизатор, а одно сетевое соединение.

IPv6

IPv6 представляет собой новую версию протокола Интернет (RFC-1883), являющуюся преемницей версии 4 (IPv4; RFC-791). Изменения IPv6 по отношению к IPv4 можно поделить на следующие группы:

- Расширение адресации. В IPv6 длина адреса расширена до 128 бит (против 32 в IPv4), что позволяет обеспечить больше уровней иерархии адресации, увеличить число адресуемых узлов, упростить авто-конфигурацию. Для расширения возможности мультикастинг-маршрутизации в адресное поле введено субполе " scope" (группа адресов). Определен новый тип адреса " anycast address", который используется для посылки запросов клиента любой группе серверов. Эникаст адресация предназначена для использования с набором взаимодействующих серверов, чьи адреса не известны клиенту заранее.

- Спецификация формата заголовков. Некоторые поля заголовка IPv4 отбрасываются или делаются опционными, уменьшая издержки, связанные с обработкой заголовков пакетов с тем, чтобы уменьшить влияние расширения длины адресов в Ipv6.

- Улучшенная поддержка расширений и опций. Изменение кодирования опций IP-заголовков позволяет облегчить переадресацию пакетов, ослабляет ограничения на длину опций, и делает более доступным введение дополнительных опций в будущем.

- Возможность пометки потоков данных. Введена возможность помечать пакеты, принадлежащие определенным транспортным потокам, для которых отправитель запросил определенную процедуру обработки, например, нестандартный тип TOS (вид услуг) или обработка данных в реальном масштабе времени.

- Идентификация и защита частных обменов. В IPv6 введена спецификация идентификации сетевых объектов или субъектов, для обеспечения целостности данных и при желании защиты частной информации.

IP версия 6 архитектуры адресации

Существует три типа адресов:

unicast:	Идентификатор одиночного интерфейса. Пакет, посланный по уникастному адресу, доставляется интерфейсу, указанному в адресе.
anycast:	Идентификатор набора интерфейсов (принадлежащих разным узлам). Пакет, посланный по эникастному адресу, доставляется одному из интерфейсов, указанному в адресе (ближайший, в соответствии с мерой, определенной протоколом маршрутизации).
multicast:	Идентификатор набора интерфейсов (обычно принадлежащих разным узлам). Пакет, посланный по мультикастинг-адресу, доставляется всем интерфейсам, заданным этим адресом.

 

В IPv6 не существует широковещательных адресов, их функции переданы мультикастинг-адресам. Все нули и все единицы являются допустимыми кодами для любых полей, если не оговорено исключение.

Модель адресации

IPv6 адреса всех типов ассоциируются с интерфейсами, а не узлами. Так как каждый интерфейс принадлежит только одному узлу, уникастный адрес интерфейса может идентифицировать узел.

IPv6 уникастный адрес соотносится только с одним интерфейсом. Одному интерфейсу могут соответствовать много IPv6 адресов различного типа (уникастные, эникастные и мультикстные). Существует два исключения из этого правила:

1. Одиночный адрес может приписываться нескольким физическим интерфейсам, если приложение рассматривает эти несколько интерфейсов как единое целое при представлении его на уровне Интернет.

2. Маршрутизаторы могут иметь ненумерованные интерфейсы (например, интерфейсу не присваивается никакого IPv6 адреса) для соединений точка-точка, чтобы исключить необходимость вручную конфигурировать и объявлять (advertise) эти адреса. Адреса не нужны для соединений точка-точка маршрутизаторов, если эти интерфейсы не используются в качестве точки отправления или назначения при посылке IPv6 дейтограмм. Маршрутизация здесь осуществляется по схеме близкой к используемой протоколом CIDR в IPv4.

IPv6 соответствует модели IPv4, где субсеть ассоциируется с каналом. Одному каналу могут соответствовать несколько субсетей.

Представление записи адресов (текстовое представление адресов)

Существует три стандартные формы для представления ipv6 адресов в виде текстовых строк:

1. Основная форма имеет вид x: x: x: x: x: x: x: x, где 'x' шестнадцатеричные 16-битовые числа.

Примеры: fedc: ba98: 7654: 3210: FEDC: BA98: 7654: 3210, 1080: 0: 0: 0: 8: 800: 200C: 417A

2. Из-за метода записи некоторых типов IPv6 адресов, они часто содержат длинные последовательности нулевых бит. Для того чтобы сделать запись адресов, содержащих нулевые биты, более удобной, имеется специальный синтаксис для удаления лишних нулей. Использование записи ":: " указывает на наличие групп из 16 нулевых бит. Комбинация ":: " может появляться только при записи адреса. Последовательность ":: " может также использоваться для удаления из записи начальных или завершающих нулей в адресе. Например:

1080: 0: 0: 0: 8: 800: 200c: 417a	уникаст-адрес
ff01: 0: 0: 0: 0: 0: 0: 43	мультикаст адрес
0: 0: 0: 0: 0: 0: 0: 1	адрес обратной связи
0: 0: 0: 0: 0: 0: 0: 0	неспецифицированный адрес

может быть представлено в виде:

1080:: 8: 800: 200c: 417a	уникаст-адрес
ff01:: 43	мультикаст адрес
:: 1	адрес обратной связи
::	не специфицированный адрес

3. Альтернативной формой записи, которая более удобна при работе с ipv4 и IPv6, является x: x: x: x: x: x: d.d.d.d, где 'x' шестнадцатеричные 16-битовые коды адреса, а 'd' десятичные 8-битовые, составляющие младшую часть адреса (стандартное IPv4 представление). Например:

0: 0: 0: 0: 0: 0: 13.1.68.3, 0: 0: 0: 0: 0: FFFF: 129.144.52.38, или в сжатом виде: :: 13.1.68.3, :: FFFF: 129.144.52.38

CIDR

Беcклассовая адресация (Classless InterDomain Routing) — метод IP-адресации, позволяющий гибко управлять пространством IP-адресов, не используя жёсткие рамки классовой адресации. Использование этого метода позволяет экономно использовать ограниченный ресурс IP-адресов, поскольку возможно применение различных масок подсетей к различным подсетям.

Принцип IP-адресации — выделение множества IP-адресов, в котором некоторые битовые разряды имеют фиксированные значения, а остальные разряды пробегают все возможные значения. Блок адресов задаётся указанием начального адреса и маски подсети. Беcклассовая адресация основывается на переменной длине маски подсети (Variable Length Subnet Mask — VLSM), в то время, как в классовой адресации длина маски строго фиксирована 0, 1, 2 или 3 установленными октетами.

Вот пример записи IP-адреса с применением беcклассовой адресации: 192.0.2.32/27. Число 27 означает количество единиц в маске: 11111111.11111111.11111111.11100000 = 255.255.255.224. В таком случае множество всех адресов обозначается как /0, а конкретный адрес IPv4 — как /32.

Для упрощения таблиц маршрутизации можно объединять блоки адресов, указывая один большой блок вместо ряда мелких. Например, 4 смежные сети класса C (4 × 255 адресов, маска 255.255.255.0 или /24) могут быть объединены в одну сеть /22. И напротив, сети можно разбивать на более мелкие подсети, и так далее.

В Интернете используются только маски вида «n единиц, дальше все нули». Для таких (и только для таких) масок получающиеся множества IP-адресов будут смежными.

NAT

От англ. Network Address Translation — «преобразование сетевых адресов» — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов.

Преобразование адресов методом NAT может производиться почти любым маршрутизирующим устройством — маршрутизатором, сервером доступа, межсетевым экраном. Суть механизма состоит в замене адреса источника при прохождении пакета в одну сторону и обратной замене адреса назначения в ответном пакете. Наряду с адресами источника/назначения могут также заменяться номера портов источника/назначения.

Помимо предоставления пользователям локальной сети с внутренними адресами доступа к сети Интернет часто применяется обращения извне транслируются межсетевым экраном на сервер в локальной сети, имеющий внутренний адрес и потому недоступный извне сети непосредственно (без NAT).

Существует 3 базовых концепции трансляции адресов: статическая (Static Network Address Translation), динамическая (Dynamic Address Translation), маскарадная (NAPT, PAT).

Достоинства:

1. Позволяет сэкономить IP-адреса, транслируя несколько внутренних IP-адресов в один внешний публичный IP-адрес (или в несколько, но меньшим количеством, чем внутренних).

2.Позволяет предотвратить или ограничить обращение снаружи ко внутренним хостам, оставляя возможность обращения изнутри наружу. При инициации соединения изнутри сети создаётся трансляция. Ответные пакеты, поступающие снаружи, соответствуют созданной трансляции и поэтому пропускаются. Если для пакетов, поступающих снаружи, соответствующей трансляции не существует (а она может быть созданной при инициации соединения или статической), они не пропускаются.

Недостатки

1. Не все протоколы могут «преодолеть» NAT. Некоторые не в состоянии работать, если на пути между взаимодействующими хостами есть трансляция адресов. Некоторые межсетевые экраны, осуществляющие трансляцию IP-адресов, могут исправить этот недостаток, соответствующим образом заменяя IP-адреса не только в заголовках IP, но и на более высоких уровнях.

2. Из-за трансляции адресов «много в один» появляются дополнительные сложности с идентификацией пользователей и необходимость хранить полные логи трансляций.

3. DoS со стороны узла, осуществляющего NAT — если NAT используется для подключения многих пользователей к одному и тому же сервису, это может вызвать иллюзию DoS атаки на сервис (множество успешных и неуспешных попыток). Например, избыточное количество пользователей ICQ за NAT’ом приводит к проблеме подключения некоторых пользователей из-за превышения допустимой скорости коннектов к серверу. Частичным решением проблемы является использование пула адресов (группы адресов), для которых осуществляется трансляция.

⇐ Предыдущая53545556575859606162Следующая ⇒

Поделиться:

Популярное:

1. A. эксплуатируемые вручную или с применением ручного труда; без применения ручного труда (механические, автоматические и др.).
2. B. Специфика восприятия выразительных средств театра
3. CASE-средства проектирования баз данных
4. CASE-средства. Общая характеристика и классификация
5. I. Объект и средства исследования
6. I. Средства, стимулирующие эритропоэз, или противоанемические средства
7. II. НЕПОСРЕДСТВЕННОЕ ОБСЛЕДОВАНИЕ ДЫХАТЕЛЬНОЙ СИСТЕМЫ У ДЕТЕЙ
8. III. Электронные средства информации
9. IV. Показатели использования материальных ресурсов, оборотных производственных фондов и оборотных средств
10. Автоматизация применения метода Саати
11. Акт применения норм права: понятие, структура , виды. Соотношение нормативно-правовых и правоприменительных актов.
12. Акты применения норм административного права.