Запитайте Ви, навіщо нам ця інформація? Адже про модель OSI ми знаємо ще з інститутської лави, адже це давно пройдений етап, а якщо знадобитися, то «Віка» завжди під рукою! Давайте, все ж подивимося на стек протоколів TCP / IP c точки зору зловмисника.
Як відомо базова концепція TCP / IP дозволяє організувати взаємодію раз-особистих комп'ютерних систем і описує внутрішню роботу мережі Internet.
На сьогодні під набором протоколів TCP / IP найчастіше мають на увазі чотири основні протоколи:
- IP (Internet Protocol - мережевий протокол);
- TCP (Transmission Control Protocol - протокол управління передачею);
- UDP (User Datagram Protocol - протокол призначених для користувача дейтаграм);
- ICMP (Internet Control Message Protocol - протокол керуючих повідомлень Internet).
Ці протоколи забезпечують передачу даних для протоколів більш високого рівня при-пропозицій, таких як:
- SMTP (Simple Mail Transfer Protocol - простий протокол електронної поч-ти);
- HTTP (Hypertext Transfer Protocol - протокол передачі гіпертексту);
- FTP (File Transfer Protocol - протокол передачі файлів).
Протокол IP описаний в документі RFC 791. Протокол IP не орієнтований на установку соеди-нений. Це означає, що кожен пакет передається по мережі незалежно від інших. Тобто не га-рантіруется, що пакети прийдуть в пункт призначення і збережеться порядок, в якому вони б-ли відправлені.
Поле TTL (time-to-live - час життя) запобігає створення замкнутих маршрутів пе-редачі пакетів. При проходженні пакета через мережевий пристрій (маршрутизатор) значення цього поля зменшується на одиницю. Коли значення поля досягне нуля, пакет буде Відкинь-шен і джерела пакета буде відправлено повідомлення «час минув» ( «time exceded»). Поле TTL може використовуватися для визначення маршруту передачі повідомлення. Програма tracerote відправляє пакет з встановленим полем TTL, рівним 1. Перший маршрутизатор відповість повідомленням «час минув». Потім один за іншим будуть відправлені пакети, в каж-будинок з яких значення поля TTL буде збільшуватися на одиницю до тих пір, поки пакет не досягне пункту призначення. Таким чином збирається інформація про всі проміжних вузлах трансляції пакета.
Якщо пакети передаються по мережах, в яких розмір IP-пакетів перевищує максимально допустиме значення розміру кадру, то виконується фрагментація пакетів. Ця операція необхідна для передачі інформації в різних фізичних мережах, але вона також може бути використана в незаконних цілях. Поле MF вказує, є (MF = 0) чи ні (MF = l) дан-ний пакет останнім фрагментом послідовності. Поле «fragment onset» ( «зсув фрагмента») вказує на положення фрагмента у вихідному пакеті. Фрагменти можуть бути вико-вани для спроби обдурити брандмауер. Наприклад, перший фрагмент відправляється з цілком «безневинним» TCP-заголовком (в блоці даннихIP-пакета). Другий фрагмент «затінює» дані першого і заменяетTCP-заголовок. В результаті можна провести атаку в обхід брандмауера.
У современнихIP-мережах фрагментація пакетів виконується досить рідко. Тому присутність фрагментованих пакетів, швидше за все, оз-начає або наявність будь-яких проблем в мережі, або спробу проведення атаки, наприклад, атаки в обхід брандмауера (в результаті різної збірки пакетів на брендмауерах і на комп'ютері-получатале) або атаки від-каза в обслуговуванні.
Блок даних IP-пакета містить заголовок протоколу більш високого рівня (TCP, UDP і т.д.), а також безпосередньо самі дані.
Формат заголовка TCP-пакета також визначено в документі RFC 793. На відміну від IP, протокол TCP є орієнтованим на встановлення з'єднань.
За заголовком TCP можна визначити тип відправленого пакета. Тип пакета залежить від на-бору встановлених прапорів, яких всього шість: Urgent, Ack, Push, Reset, Syn і Fin. Прапори Urgent і Push використовуються досить рідко. Більшість прапорів і їх комбінацій использу-ються при встановленні і розриві з'єднань.
Інші набори прапорів можуть примі-няться хакерами для виявлення працюючих комп'ютерів або визначення типу операційної систе-ми віддаленого комп'ютера.
Як визначено в документі RFC 768, протокол UDP є еквівалентом TCP, не кричи-ентірованним на встановлення з'єднань. Як і IP, UDP не гарантує доставки пакетів одержувачу і правильність їх порядку. Заголовок UDP-пакета дуже простий і не містить прапорів або порядкових номерів
Як і TCP, протокол UDP базується на можливостях, що надаються протоколом IP для доставки пакетів конкретного комп'ютера. Номери портів використовуються для доставки па-кетів певним прикладним програмам, запушеному на віддаленому комп'ютері.
Для створення інтерактивних сеансів зв'язку з помощьюICMP-пакетів зло-умишленнік може скористатися програмою, наподобіеISHELL. БлокірованіеICMP-пакетів унеможливить такий «утаємничений» сеанс зв'язку.