}w!"#$%&'()+,-./012345<ya

Size: px
Start display at page:

Download "}w!"#$%&'()+,-./012345<ya"

Transcription

1 MASARYKOVA UNIVERZITA FAKULTA INFORMATIKY }w!"#$%&'()+,-./012345<ya Detekce anomálií v ICMP provozu BAKALÁRSKA PRÁCA Miroslav Piter Brno, jeseň 2010

2 Prehlásenie Prehlasujem, že táto bakalárska práca je mojím pôvodným autorským dielom, ktoré som vypracoval samostatne. Všetky zdroje, pramene a literatúru, ktoré som pri vypracovaní používal alebo z nich čerpal, v práci riadne citujem s uvedením úplného odkazu na príslušný zdroj. Vedúci práce: RNDr. Pavel Minařík ii

3 Zhrnutie Ciel om je popísat anomálie a cielené zneužitia protokolu ICMP, navrhnút postupy ich detekcie a tieto postupy overit v praxi. V teoretickej časti tejto bakalárskej práce popisujem základné protokoly, z ktorých vychádzam, ich zaradenie do referenčných modelov TCP/IP a ISO OSI, hlavičky a vlastnosti. Len krátko načrtávam princíp filtrovania NetFlow dát pomocou nástroja nfdump. V praktickej časti popisujem vybrané anomálie a cielené zneužitia protokolu ICMP, spôsoby ako vznikajú, dopady na fungovanie siete a možnosti ich detekovania pomocou technológie NetFlow. Výsledkom praktickej časti sú nfdump filtre, ktoré tieto anomálie detekujú. iii

4 Pod akovanie Moje pod akovanie patrí RNDr. Pavlovi Minaříkovi za odborné vedenie a podporu pri tvorbe tejto práce a poskytnutú literatúru. Taktiež chcem pod akovat rodine a blízkym za pomoc a podporu počas bakalárskeho štúdia. iv

5 Kl účové slová TCP/IP, ICMP, anomálie, NetFlow, nfdump, bezpečnost v

6 Obsah Úvod ICMP protokol ISO OSI model TCP/IP model Zaradenie protokolov v ISO OSI a TCP/IP modeloch TCP UDP IP História ICMP Hlavička ICMP Funkcia ICMP Typy ICMP paketov ICMPv4 a ICMPv NetFlow Nfdump NfSen Anomálie ICMP protokolu Horizontálne skenovanie ICMP (D)DoS útok Ping záplava ICMP Smurf útok Ping of death Tear drop ICMP Redirect Winfreeze Záver Literatúra Zoznam obrázkov Zoznam tabuliek

7 Úvod Protokol ICMP (Internet Control Message Protocol) je jeden zo základných protokolov používaných v počítačových siet ach. Hlavný rozdiel oproti protokolom TCP (Transmition Control Protocol) a UDP (User Datagram Protocol) je ten, že ICMP protokol sa nepoužíva na prenášanie užívatel ských dát medzi koncovými stanicami, ale len na zasielanie chybových správ [1]. Na základe týchto správ sa siet oví administrátori dozvedajú, či je aktívny prvok v sieti dostupný alebo nedostupný. S výnimkou aplikácií Traceroute a Ping dostupných v balíku iputils 1 tento protokol nie je používaný v bežných užívatel ských programoch. Celý popis návrhu protokolu sa nachádza v RFC 792 [2]. Začal sa vyvíjat začiatkom 80. rokov. V tej dobe nebol na bezpečnost kladený dôraz neriešila sa žiadna integrita, ktorá by predchádzala zneužívaniu správ. Tak sa nástroj, ktorý mal slúžit administrátorom, premenil na možnost získavania informácií, ku ktorým by z hl adiska bezpečnosti mal mat prístup len správca. Za 30 rokov používania sa objavil nejeden problém, ktorý bolo potrebné promptne riešit [3][4]. Táto bakalárska práca sa venuje analýze nižšie uvedených problémov zneužívania chybových správ ICMP protokolu, ktoré sa vyskytli v minulosti. Ďalej uvádza návrh riešení, resp. spôsob detekovania takýchto anomálií v počítačovej sieti nevyskytujúcich sa pri bežnom využívaní siete, a overenie navrhnutých postupov odhal ovania anomálií v praxi. Na zhromažd ovaní informácií o siet ovom prenose dát sa podiel a technológia NetFlow [5]. Sondy zbierajú informácie o jednotlivých tokoch a následne ich posielajú do kolektorov, ktoré vytvárajú štatistiky siet ového prenosu dát. Podl a typu anomálie môžeme použit rôzne techniky na ich odhalenie. Rozlišujeme dva typy cieleného zneužitia ICMP protokolu zneužitie jednej správy alebo súboru správ. Tieto typy anomálií, konkrétne poslanie správy väčšej ako bajtov (Ping of death), využitie chyby v implementácii fragmentovania (Tear drop), sú dnes už minulost ou. Z dôvodu absencie zabezpečenia integrity 1. balík dostupný na < alebo online verzia na < 2

8 správ by mali aktívne prvky kontrolovat, či adresa odosielatel a korešponduje s adresou podsiete. Stretávame sa aj s prípadmi, ked do vnútornej siete smeruje packet so zdrojovou IP adresou patriacej do tejto siete. Na ich odhalenie je potrebné analyzovat každú správu samostatne. Útoky znemožnenia služieb (Denial of service) sú zistitel né až v pokročilej fáze útoku. Zo získavaných informácií sond a ich následným analyzovaním sa vytvára určitý model normálneho správania sa siete. Na základe štatistických metód sa vytvára predpoved nasledujúcich siet ových tokov. Pri prekročení stanovených limitov môžeme predpokladat, že v sieti prebieha nepredvídané množstvo tokov. Na druhej strane pri presmerovaní prenosu dát z dôvodu odpočúvania sa anomália zistí už po odoslaní niekol kých správ, pretože je netypické, aby medzi dvomi pracovnými stanicami prebiehala dlhší čas ICMP komunikácia [4]. Aj napriek tomu, že ICMP protokol má len 1% zastúpenie v komunikácii, hl adanie takýchto anomálií nie je o nič l ahšie ako pri protokoloch TCP či UDP. Práca obsahuje vlastné vytvorené ukážky dát siet ovej komunikácie s výskytom jednotlivých anomálií. Praktická čast rozoberá prečo a akým spôsobom dochádza k abnormalnému správaniu sa siete v komunikácii protokolom ICMP a ako tomu predchádzat. Ku každému prípadu som uviedol popis, za akých okolností by tieto anomálie nemuseli byt detekované. 3

9 Kapitola 1 ICMP protokol Protokol je sada pravidiel, pomocou ktorých počítačové zariadenia komunikujú. Formálne definuje formát správ a princíp dorozumievania (často reprezentovaný grafom stavov, v ktorých sa komunikácia môže nachádzat ) koncových zariadení. Kvôli nehomogenite uzlov v sieti museli byt pravidla komunikácie explicitne určené boli vytvorené modely na štandardizovanie pravidiel sietí. Riešili sa problémy typu: ako zariadenia posielajú dáta do siete, ako vedia kedy a kde ich poslat, kedy a ako ich prijat, či skontrolovat ich neporušitel nost. 1.1 ISO OSI model V roku 1977 ISO (International Organization for Standardization 1 ) začala popisovat OSI (Open Systems Interconnection) referenčný model [6]. V roku 1984 ho prijala ako medzinárodnú normu ISO Model má 7 vrstiev, číslované od 1 do 7 v tomto poradí: fyzická, linková, siet ová, transportná, relačná, prezentačná a aplikačná vrstva. Každá z nich rieši špecifickú funkcionalitu. Využíva pritom služby nižšej vrstvy a pritom sama poskytuje služby vrstve vyššej [7]. 1. fyzická vrstva definuje fyzikálne vlastnosti zariadení, prenosové médium metalické, bezdrôtové, optické a spôsob kódovania bitov, teda fyzický prenos signálu. 2. linková vrstva zabezpečuje prístup zariadení k sieti, ktoré sú identifikovatel né na základe fyzickej adresy. Bity z fyzickej vrstvy člení na logické jednotky rámce. 3. siet ová vrstva zabezpečuje logickú identifikáciu zariadení v sieti. Rieši výber cesty a smerovanie paketov. Informuje o (ne)doručitel nosti, prípadne iných problémoch na sieti. 1. medzinárodná organizácia pre normalizáciu < 4

10 1. ICMP PROTOKOL 4. transportná vrstva spája koncové zariadenia, zabezpečuje (ne)spol ahlivý prenos dát v závislosti na protokole. 5. relačná vrstva vytvára unikátne spojenie medzi dvomi stranami a zabezpečuje správny prenos dát. 6. prezentačná vrstva transformuje dáta do tvaru, ktorý používajú aplikácie (šifrovanie, kompresia, atd.) 7. aplikačná vrstva zabezpečuje spojenie medzi aplikáciou a siet ou. Je zriedkavé nájst siet používajúcu všetkých sedem vrstiev. Štandard nedovol uje žiadnu vrstvu vynechat, avšak často sa niektoré vrstvy nezapájajú aktívne, potom ich označujeme ako transparentné vrstvy. Napriek tomu to je najrozšírenejší model popisujúci siet. 1.2 TCP/IP model TCP/IP [8] je alternatívny model siet ovej komunikácie. Je menej členený ako ISO OSI model a lepšie zobrazuje hlavné úlohy siete pri prenose dát. Delí sa na 4 vrstvy: vrstva linkového (siet ového) rozhrania, siet ová, transportná a aplikačná vrstva. Model používa 3 hlavné protokoly na prenos dát, na základe ktorých je odvodený názov modelu. Na transportnej vrstve protokoly TCP a UDP, na siet ovej vrstve protokol IP. Prvá vrstva vytvára fyzickú topológiu a zapája PC do siete, štvrtá vrstva zase rieši spracovanie dát pre služby. 1. vrstva linkového/siet ového rozhrania umožňuje prístup k fyzickému prenosu dát 2. siet ová vrstva zabezpečuje logické adresovanie a smerovanie paketov 3. transportná vrstva poskytuje služby na prenos komunikácie cez siet 4. aplikačná vrstva vytvára a manažuje unikátne spojenia medzi aplikáciami komunikujúcich cez siet 1.3 Zaradenie protokolov v ISO OSI a TCP/IP modeloch Porovnanie modelov TCP/IP a ISO OSI s najčastejšie používanými protokolmi zobrazuje obrázok 1.1. Prvá vrstva TCP/IP modelu korešponduje 5

11 1. ICMP PROTOKOL s L1 a L2 ISO OSI fyzický prenos dát. Druhá vrstva zabezpečuje logické adresovanie L3 ISO OSI. Tretia vrstva zase vytváranie a riadenie spojenia L4 ISO OSI. Posledná štvrtá vrstva vytvára a manažuje unikátne spojenia medzi aplikáciami komunikujúcich cez siet L5, L6 a L7 ISO OSI modelu. Na každej vrstve sa používajú rôzne protokoly v závislosti na požadovanej kvalite a poskytovanej službe. Protokol ICMP poskytujúci informácie o dostupnosti jednotlivých uzlov a stave sietí je na siet ovej vrstve (L3). Obrázok 1.1: Zaradenie protokolu ICMP v TCP/IP a ISO OSI modeli V následujúcich kapitolách sa opisujú základné informácie o protokoloch transportnej vrstvy (TCP, UDP) a protokole siet ovej vrstvy (IP). Protokol ICMP je rozoberaný podrobnejšie v kapitole 1.4 a d alej TCP Transmission control protocol (TCP) je popísaný v norme RFC 793 [9]. Pracuje na transportnej vrstve (L4) a je to spojovo orientovaný protokol so zaručeným doručovaním správ. Aplikácia na strane A predáva dátový tok transportnej vrstve, ktorá ho segmentuje na menšie časti (pridáva k ním sekvenčné čísla) a tieto segmenty predáva siet ovej vrstve. Na druhej strane siet ová vrstva predáva segmenty transportnej vrstve, tá kontroluje ich integritu a zasiela potvrdenia o prijatí. Následne predáva dátový tok aplikácii B. Každá komunikácia začína ustanovením spojenia prostredníctvom trojkrokového dojednania (threeway handshake). Stanica A pošle paket o za- 6

12 1. ICMP PROTOKOL čatí komunikácie prostredníctvom príznaku SYN. Na to stanica B odpovie paketom s príznakmi SYN,ACK. Ked stanica A prijme potvrdenie o nadviazaní spojenia, pošle potvrdzujúci paket s príznakom ACK. Pre obe stanice platí, že ak správa nedôjde do stanoveného limitu, paket sa pošle ešte raz. Po určitom počte neúspešných pokusov sa na vyššej vrstve generuje chybová správa. Hlavička TCP segmentu je zobrazená na obrázku 1.2. Obrázok 1.2: Hlavička TCP segmentu (zdroj: nmap.org) UDP User Datagram Protocol (UDP) je popísaný v norme RFC 768 [10]. Podobne ako TCP pracuje na transportnej vrstve (L4). Je to jednoduchý protokol nezaručujúci doručenie správ. Z tohto dôvodu aplikácie počítajú s možnost ou straty dát. V niektorých prípadoch, ako je napríklad stream videa, by čakanie na opätovné preposlanie poškodených alebo stratených dát malo neželané vedl ajšie efekty. Preto sa tento protokol používa tam, kde sa aplikácie vedia vysporiadat s poškodenými dátami, alebo ich stratu vedia zakryt. Na druhú stranu, nároky na prenos dát cez siet sú ovel a menšie. Tým, že protokol nepotvrdzuje doručenie dát, užívatelia majú väčšiu šírku pásma 7

13 1. ICMP PROTOKOL pre skutočné dáta. Najdôležitejšia informácia v hlavičke je checksum, ktorú kontroluje ciel ová stanica, či dáta, ktoré aj ked dorazili, nie sú poškodené. Medzi typické služby, ktoré využívajú protokol UDP, patrí SNMP, DNS, SNTP, DHCP. Sú to práve tie, ktoré na komunikáciu používajú krátke požiadavka odpoved správy. Hlavička UDP segmentu, zobrazujúci obrázok 1.3, je ovel a jednoduchšia. Obrázok 1.3: Hlavička UDP segmentu (zdroj: nmap.org) IP Internet protokol (IP) je protokol siet ovej vrstvy (L3) popísaný v norme RFC 791 [11]. Negarantuje ani doručenie správ, ani zachovanie poradia, v akom boli poslané. Jeho prioritou je pridelit jednotlivým paketom IP adresu, aby smerovače v sieti vedeli, kam tieto pakety smerovat. Ked sa stanica pripojí do siete, má pridelenú IP adresu od svojho poskytovatel a pripojenia (ISP), prípadne dostane privátnu IP adresu, ktorá je prekladaná. Množstvo služieb je postavených práve na funkcionalite IP protokolu. Momentálne internet funguje na protokole IP verzie 4 označovanej ako IPv4 a IP verzie 6 označovanej ako IPv6. Primárna funkcia adresovania staníc v sieti zostala nezmenená. Zmenila sa dĺžka pridel ovanej IP adresy z 32 na 128 bitov a d alšie funkcie úzko späté s bezpečnost ou prenosu dát, hlavne zaistenie integrity a autentizácie. Taktiež kvôli lepšej implementácii hlavičiek sa zrýchlil proces smerovania. Každý počítač v sieti má pridelenú IP adresu. Rozlišujeme súkromné ( /8, /12 a /16) a verejné IP adresy [12]. O pridel ovanie IP adries sa stará organizácia IANA 2. Administrátori majú možnost si pridelený adresný pristor d alej d elit na podsiete. Týmto spôsobom 2. Internet Assigned Numbers Authority < 8

14 1. ICMP PROTOKOL vznikajú siete a podsiete, v ktorých hlavnú úlohu zohravajú smerovače. V hlavičke IP paketu, zobrazenej na obrázku 1.4, je informácia o zdrojovej (v prípade použitia protokolu TCP na vyššej vrstve) a ciel ovej stanici najdôležitejšia. Obrázok 1.4: Hlavička IP paketu (zdroj: nmap.org) 1.4 História ICMP Internet control message protocol (ICMP) je protokol siet ovej vrstvy (L3) popísaný v RFC 792 z roku Jedná sa o relatívne starý protokol vznikajúci popri protokoloch TCP, UDP a IP. Postupne sa podl a potrieb upravoval a dopĺňal, ale v základe zostal podl a pôvodnej normy. Na webovej stránke Network Sorcery 3 nájdeme postupný vývoj zmien s príslušnými dokumentami RFC, z ktorých sa niektoré stali normami. Už v roku 1985 vyšlo RFC 950, ktoré opisovalo potrebné zmeny v prípade podsiet ovania. A následne v roku 1989 v RFC 1122 sa popisovali požiadavky na správanie sa uzlov v sieti. Vel mi dôležité bolo, aby každá stanica fungujúca na TCP/IP sade podporovala IP a ICMP protokol. V kapitole 3. < 9

15 1. ICMP PROTOKOL dokumentu RFC 1122 sú zhrnuté možnosti, ako jednotlivé uzly majú pracovat s ICMP paketmi a ako na nich reagovat, prípadne nereagovat vôbec. Ďalšie a d alšie doplnenia pribúdali, či už sa to týkalo špecifikovania ICMP paketov na základe bezpečnosti pre potreby U.S. Department of Defense [13], testovania nových hodnôt [14], alebo špecifikovania vlastností správania sa protokolu pre potreby NAT 4 [15]. 1.5 Hlavička ICMP Hlavička ICMP paketu je dlhá 32 bitov zložená z nasledujúcich údajov. Typ 8bitové pole pre označenie typu správy Kód 8bitové pole pre označenie kódu (podtypu) správy Checksum 16bitové pole pre kontrolný súčet Na obrázku 1.5 je zobrazená hlavička ICMP paketu. Obrázok 1.5: Hlavička ICMP paketu (zdroj: nmap.org) Avšak vel kost paketov ICMP je na rôznych operačných systémoch (OS) iná. Program ping na linuxových OS implicitne posiela paket o dĺžke 64 bajtov (4 bajty hlavička a 60 bajtov telo), na OS Microsoft Windows je to 40 bajtov (4 bajty hlavička a 36 bajtov telo). Avšak dĺžka paketu je variabilná v závislosti od dĺžky tela, a tak môže dosahovat vel kost až bajtov. 4. Network address translation < protocols/nat.php> 10

16 1. ICMP PROTOKOL 1.6 Funkcia ICMP The Internet layer of host software MUST implement both IP and ICMP. Protokol ICMP sám o sebe nemá vel ký význam. Vznikal v spojení s protokolom IP, ktorý plní len funkciu doručovania správ. Správy protokolu ICMP delíme na 2 skupiny: chybové správy, ktoré vznikajú ako reakcia na chyby v doručovaní paketov prostredníctvom protokolu IP. Či už je koncová stanica nedostupná, hodnota TTL nadobudla hodnotu 0, alebo smerovač bol natol ko zahltený, že už nedokázal prijat d alší paket na spracovanie. informačné diagnostické správy. Protokol ICMP používa nezaručený prenos podobne ako protokol UDP. To znamená, že aj ked k nejakej chybe dôjde a správa sa vygeneruje, nemusí byt doručená naspät do zdrojovej stanice. Chybové správy o zahodení alebo poškodení ICMP paketu sa už d alej negenerujú. Protokol ICMP používa vel a správ, ktoré sú rozlíšitel né podl a pol a typ a kód v hlavičke. Zoznam všetkých typov správ je uvedený v následujúcej tabul ke. typ správa referencia 0 Echo reply RFC792 1 Unassigned 2 Unassigned 3 Destination unreachable RFC792 4 Source Quench RFC792 5 Redirect RFC792 6 Alternate Host Address JBP 7 Unassigned JBP 8 Echo RFC792 9 Router Advertisement RFC Router Selection RFC Time Exceeded RFC Parameter Problem RFC Timestamp RFC Timestamp Reply RFC Information Request RFC Information Reply RFC Address Mask Request RFC Address Mask Reply RFC950 11

17 1. ICMP PROTOKOL typ správa referencia 19 Reserved (for Security) Reserved (for Robustness Experiment) 30 Traceroute RFC Datagram Conversion Error RFC Mobile Host Redirect 33 IPv6 Where-Are-You 34 IPv6 I-Am-Here 35 Mobile Registration Request 36 Mobile Registration Reply 39 SKIP 40 Photuris RFC ICMP messages utilized by experimental RFC4065 mobility protocols such as Seamoby Reserved Tabul ka 1.1: Tabul ka typov ICMP správ (zdroj: Každá z týchto typov ICMP správ má svoje špecifické použitie. Tie najpoužívanejšie sú popísané v nasledujúcej kapitole. 1.7 Typy ICMP paketov ICMP echo reply (typ 0) a ICMP echo request (typ 8) Najpoužívanejší spôsob použitia ICMP správ je na testovanie staníc, či dokážu medzi sebou komunikovat prostredníctvom aplikácie ping. Stanica A pošle ICMP echo request správu stanici B a tá na ňu odpovie ICMP echo reply správou. ICMP Host unreachable (typ 3) Je to typ chybovej správy, ktorá sa generuje, ak smerovač nedokáže určit, kde má paket poslat. V prípade, že by IP adresa nebola priradená stanici, vygeneruje sa správa ICMP Destination unreachable, ktorá sa pošle odosielatel ovi pôvodneho IP paketu. Tento typ správy má viacero (16 používaných) variant rozlíšených podl a kódu správy v hlavičke paketu. net unreachable (kód 0) siet nie je dostupná. 12

18 host unreachable (kód 1) stanica nie je dostupná. 1. ICMP PROTOKOL protocol unreachable (kód 2) protokol na stanici nie je podporovaný. port unreachable (kód 3) port na stanici nie je podporovaný. fragmentation needed and DF set (kód 4) na doručenie je potrebná fragmentácia paketu, ale je nastavený príznak, aby sa správa nefragmentovala atd. Správy s kódmi 0, 1 a 4 sú generované smerovačmi, kódy 2 a 3 sú generované stanicami. ICMP Source Quench (typ 4) Smerovače v sieti majú svoje limity. Ked dôjde k zahĺteniu buffera smerovača, smerovač vygeneruje ICMP Source Quench paket a pošle ho odosielatel ovi pôvodného paketu, aby znížil rýchlost posielania dát. Za každý odoslaný paket mu príde nová správa ICMP Source Quench. Ked mu tieto správy prestanú chodit, môže naspät zvýšit rýchlost posielania. ICMP Redirect (typ 5) Smerovače si medzi sebou vymieňajú informácie o jednotlivých siet ach, aby sa prispôsobovali zmenám v sieti. Udržujú si aktuálne smerovacie tabul ky. Koncové stanice toto nerobia. Vedia iba IP adresu brány, kde všetky pakety posielajú. V prípade vyššieho zat aženia smerovača a existencie inej cesty, môže smerovač poslat ICMP Redirect paket, aby si koncová stanica zmenila IP adresu brány. IP adresa je limitovaná na príslušnú podsiet. Správy ICMP Redirect majú 4 varianty: Redirect datagrams for the Network (kód 0) presmerováva sa komunikácia pre danú siet Redirect datagrams for the Host (kód 1) presmerováva sa komunikácia s danou stanicou Redirect datagrams for the Type of Service and Network (kód 2) presmerováva sa komunikácia pre určený typ služby a siet Redirect datagrams for the Type of Service and Host (kód 3) presmerováva sa komunikácia pre určený typ služby s danou stanicou 13

19 1. ICMP PROTOKOL ICMP Time Exceeded (typ 11) Protokol IP používa v hlavičke parameter TTL, ktorý zaist uje, aby paket neblúdil po sieti a po určitom počte smerovaní bol zahodený. Smerovač, ktorý paket smeruje, zníži hodnotu TTL o jedna a pošle paket d alej. Ak TTL dosiahne hodnotu 0, smerovač paket zahodí a vygeneruje správu ICMP Time to live exceeded a pošle ju odosielatel ovi zahodeného paketu. ICMP Timestamp (typ 13) a ICMP Timestamp Reply (typ 14) Tieto správy sa používajú na časovú synchronizáciu. ICMP Traceroute (typ 30) Program Traceroute používal na zistenie cesty správy ICMP echo request s upravenými hodnotami TTL. Prvýkrát poslal správu s TTL hodnotou 1, potom 2, atd. Ako odpovede mu prichádzali správy ICMP Time Exceeded. To sa opakovalo, až kým ciel ová stanica odpovedala správou ICMP echo reply. Tento spôsob hl adania cesty sa nevedel vysporiadat s meniacou sa konfiguráciou siete. Pri tom bolo použitých 2n správ, kde n je počet odoslaných ICMP echo request správ. Dokument RFC 1393 popisuje zavedenie správy ICMP Traceroute a algoritmus, ktorý sa vysporiada s meniacou sa cestou zdrojovej stanice od ciel ovej [16]. Pri tom je použitých len n+1 správ. 1.8 ICMPv4 a ICMPv6 ICMPv6 [17] je implementácia ICMP protokolu pre IPv6 [18]. Hlavička protokolu pozostáva z rovnakých polí ako u protokolu ICMPv4, teda 8bitové pole na typ správy, 8bitové pole na kód správy a 16bitové pole na checksum. Typy správ sú rozdelené na chybové (0 127) a informačné ( ). Protokol sa vyvíja spolu s IPv6, a preto poskytuje rovnakú funkcionalitu ako ICMPv4 pre IPv4. Navyše však má aj funkcionalitu protokolov ARP (Address Resolution Protocol) a IGMP (Internet Group Membership Protocol). 14

20 Kapitola 2 NetFlow Netflow je protokol vyvinutý spoločnost ou Cisco Systems [19]. Pôvodne mal slúžit len ako doplnková služba k Cisco smerovačom. Momentálne je široko využívaný pri monitorovaní siet ovej komunikácie založenej na IP tokoch. V reálnom čase poskytuje prehl ad využitia siet ového pásma. To využívajú najmä siet oví administrátori na sledovanie siet ovej komunikácie jednotlivých hostov prípadne aplikácií, bezpečnostné monitorovanie, odhal ovanie anomálií, úzkych miest v sieti, ale i pre potreby efektívnejšieho plánovania a rozšírovania sieti v budúcnosti. Základ celého monitorovania tvorí IP tok sedmica najzákladnejších informácií o smerovaní paketov: zdrojová IP adresa ciel ová IP adresa zdrojové číslo portu ciel ové číslo portu IP protokolu typ služby rozhranie Ked je paket, ktorý má unikátnu sedmicu údajov, poslaný do siete, vytvorí sa na sledovanom rozhraní nový záznam o IP toku. V prípade, že host A komunikuje s hostom B, vytvorí sa IP tok, ktorý je zaznamenaný. Pri odpovedi hosta B sa vytvorí nový záznam (kvôli zmene zdrojovej a ciel ovej IP adresy). Obojsmerná komunikácia = 2 IP toky. Spolu so sedmicou údajov sa ukladajú aj d alšie informácie ako je čas vytvorenia a ukončenia IP toku, sekvenčné čísla, počet správ daného toku, počet prenesených bajtov, príznaky TCP správ, ap. 15

21 2. NETFLOW Tieto informácie sú zbierané na miestach, ktoré chceme sledovat, či už na smerovačoch alebo NetFlow sondami, a preposielané do kolektorov prostredníctvom protokolu UDP. Tie následne vytvárajú databázu tokov, nad ktorými môžeme pomocou filtrov 1 sledovat a analyzovat špecifickú komunikáciu. V súčasnosti je vel mi rozšírená 5. verzia protokolu. Jej použitie je obmedzené len na siete IPv4. Posledná 9. verzia [20] už podporuje aj IPv6 a na jej základe vznikol protokol IPFIX (Internet Protocol Flow Information export) [21] ako potreba zjednotenia formátu ukladaných dát a ich preposielania z exportérov do kolektorov. Dnešné možnosti poskytujú dve možnosti monitorovania siete. Klasické prostredníctvom Cisco smerovačov, ktoré okrem smerovania čast výkonu používajú na preposielanie dát do kolektorov. Týmto spôsobom sú zariadenia navyše zat ažované. Riešením je monitorovat každý n-tý paket. Na druhej strane je moderné riešenie pomocou FlowMon sond. Tie sa vložia na vhodné miesta do siete, ktoré chceme monitorovat. V Českej republike takéto riešenie ponúka firma INVEA-TECH 2. Čo sa týka softvérových riešení, existujú rozličné verzie na rôzne účely. Vel mi rozšírená je sada flow-tools vyvijaná Ohio State University, neskôr projektom Google code project Nfdump NfDump 4 je sada nástrojov tvoriacich základ analýzy. Skladá sa z následujúcich: nfcapd je démon, ktorý číta NetFlow dáta zo siete. Počúva zvyčajne na porte 9995 a ukladá NetFlow dáta do súborov. Pre každý exportér má vlastný port. Ďalšie často používané porty sú a nfdump zobrazuje NetFlow dáta z uložených súborov, generuje TOP N štatistiky nfprofile zobrazuje NetFlow dáta uložené v súboroch, filtruje ich podl a zadaných dotazov a ukladá do súborov na d alšie spracovanie. nfreplay číta NetFlow dáta a preposiela ich d alej (napr. do d alších kolektorov). 1. popis vytvárania filtrov je v kapitole 3.1 Nfdump 2. < 3. < 4. balík nástrojov dostupný na < 16

22 2. NETFLOW nfclean.pl skript na mazanie starých NetFlow dát. ft2dump číta NetFlow dáta zo súborov a prevádza ich do nfdump formátu na d alšie spracovanie. Obrázok 2.1 zobrazuje klasickú alternatívu monitorovania siete prostredníctvom smerovačov. Obrázok 2.1: Spracovanie dát z exportérov (zdroj: nfdump.sourceforge.net) Približné nároky na kapacitu kolektorov závisí od vel kosti monitorovanej siete. Sondy ukladajú z komunikácie základné informácie o IP tokoch, čo predstavuje 1 MB dát na 2 Gb siet ovej komunikácie. Filtre Filter je logický výraz. Jednoduché výrazy sa môžu spájat pomocou logických spojok OR, AND a negovat pomocou NOT do zložitejších. Tie základne potom pozostávajú z kl účových slov, ktoré môžu porovnávat na určitú hodnotu pomocou komparátorov (=, ==, >, <, EQ, LT, GT) alebo na vlastnost : verzia protokolu: inet alebo ipv4, inet6 alebo ipv6 protokol: PROTO <číslo protokolu> alebo uvedením skratky protokolu TCP, UDP, ICMP typ/kód správy: ICMP-TYPE <číslo>, ICMP-CODE <číslo> 17

23 2. NETFLOW IP hosta: IP a.b.c.d, HOST a.b.c.d IP siete: NET a.b.c.d m.n.r.s, NET a.b.c.d / maska zdroj/ciel : SRC a DST určuje, či ide o zdrojovú alebo ciel ovú adresu či port port: PORT [komparátor] číslo príznaky: flags f, kde f môže byt jeden z týchto príznakov (A)CK, (S)YN, (F)IN, (R)ESET, (P)USH, (U)RGENT, X všetky príznaky. typ služby: tos číslo, kde číslo je od 0 do 255. počet paketov: packets [komparátor] počet paketov za sekundu: pps [komparátor] počet počet bajtov: bytes [komparátor] počet bajtov za sekundu: bps [komparátor] počet a d alšie. V prípade vynechania komparátora sa výraz vyhodnotí na rovnost, napríklad port 21 znamená port = 40. Napríklad (TCP or UDP) and (not ip and net /24) and dst port 400 vyselektuje všetky IP toky, ktoré používajú protokol TCP alebo UDP, sú z podsiete /24 okrem hosta s IP adresou a používajú ciel ový port 400. Výstup z filtra sa dá formátovat podl a potreby. Implicitné sa vypisujú informácie o začiatku toku, dobe trvania, použitom protokole, zdrojovej IP adrese a porte, ciel ovej IP adrese a porte, počte packetov, bajtov a tokov. Existujú rozšírené formáty, ktoré sú preddefinované -o long (rozšírené o príznaky a typ použitej služby) a -o extended (rozšírené o počet paketov za sekundu, počet bajtov za sekundu a počte bajtov na paket). Výstupný formát si môžeme definovat aj sami možnosti vlastného formátovania sú dostupné stránke < sourceforge.net/> 18

24 2. NETFLOW 2.2 NfSen NfSen 6 je grafická nadstavba balíka nfdump využívajúca webové rozhranie. Hlavné menu ponúka zobrazenie grafov z NetFlow dát, ich výber podl a zadaných filtrov a možnosti detekovania anomálií a reakcie na nich pomocou pluginov. Záložka Graphs prehl adne zobrazuje NetFlow dáta podl a počtu tokov, paketov a bajtov s dobou zobrazenia deň, týždeň, mesiac a rok. Detailnejší pohl ad s rozdelením na jednotlivé protokoly TCP, UDP, ICMP a ostatné zobrazuje záložka Details. Ďalej je v záložke Alerts možnost nastavenia automatických upozornení na neštandardné správanie sa siete a v záložke Plugins možnost pomocou pluginov na tieto anomálie reagovat. Obrázok 2.2 poukazuje na rozloženie hlavných prvkov v záložke Home. Obrázok 2.2: NfSen - hlavné zobrazenie (zdroj: nfsen.sourceforge.net) 6. dostupné na < 19

25 2. NETFLOW V záložke Details môžeme filtrovat NetFlow dáta podl a vyššie uvedených filtrov. Základné údaje môžeme aj vyklikat, špecifickejšie filter definujeme pomocou výrazu do okna Filter. Obrázok 2.3: NfSen - filtrovanie IP tokov (zdroj: nfsen.sourceforge.net) 20

26 Kapitola 3 Anomálie ICMP protokolu Každý deň sú útoky dômyselnejšie. Preto je potrebné chránit siet proti napadnutiu nielen z vonku, ale i z vnútra. Siet ové útoky v minulosti využívali hlavne nezabezpečenie komunikácie na získanie hesiel a tajných informácií. V súčasnosti je ciel om útokov skôr obmedzit alebo poškodit čast siete. Vývoj útokov je zobrazený na obrázku 3.1. Protokol ICMP nepoužíva žiadnu autentizáciu odosielatel ov, dovol uje zachytávanie (a následne preposielanie) paketov a navádza útočníkov k útokom DoS 1. Obrázok 3.1: Vývoj siet ových útokov Zopár anomálií protokolu ICMP a útokov pomocou neho je popísaných d alej. 1. Denial of Service < 21

27 3. ANOMÁLIE ICMP PROTOKOLU 3.1 Horizontálne skenovanie Popis Horizontálne skenovanie nepatrí medzi bežné správanie sa siete. Občas sa vyskytne prípad, ked administrátor potrebuje zmapovat aktívne stanice na lokálnej sieti, ich IP adresy alebo MAC adresy. Skenovanie je pre také potreby ideálne riešenie. Na druhú stranu, útočníkovi ponúka približné informácie o vel kosti aktívnej časti siete. Princíp fungovania Na uskutočnenie tejto anomálie nepotrebujeme žiadne špecifické požiadavky. V programe Ping odošleme ICMP echo request správu s ciel ovou IP adresou broadcastu 2 siete. Správa sa rozošle na všetky aktívne IP adresy danej podsiete a stanice vygenerujú správy ICMP echo reply. V prípade, že nám nepríde ICMP echo reply správa, dochádza k filtrovaniu ICMP správ alebo je ciel ová stanica nedostupná. Detekovanie anomálie a obrana Skenovanie je l ahko detekovatel né vzniká vel a (v závislosti na vel kosti skenovanej siete) tokov, ktoré obsahujú len jeden packet. IP adresa odosielatel a však môže byt pozmenená, a preto identifikácia útočníka nie je vždy zistitel ná. Horizontálne skenovanie je možné zachytávat pomocou nfdump filtra: proto ICMP and ICMP-TYPE 8 and packets < 2. Následne vyberieme množinu tokov s rovnakou zdrojovou IP adresou a rôznymi ciel ovými IP adresami. Obrázok 3.2: IP toky pre horizotálny scan 2. posledná IP adresa (pod)siete 22

28 3. ANOMÁLIE ICMP PROTOKOLU 3.2 ICMP (D)DoS útok DoS útoky sú štatisticky najpoužívanejšie útoky zo všetkých. Útočník sa snaží: spojenie medzi dvomi komunikujúcimi stranami prerušit ICMP správami o nedostupnosti staníc medzi sebou zaplnit celú šírku pásma, aby stanica nemohla odpovedat na požiadavky poskytovaných služieb využit chyby v implementáciach bufferov a smerovania paketov Využíva pritom správy ICMP Time exceeded alebo ICMP Destination unreachable. Oba typy ICMP správ spôsobia, že stanice prerušia medzi sebou komunikáciu a snažia sa nadviazat nové spojenie. Správy ICMP Redirect sú používané hlavne bránami a útočník ich používa na zmätenie stanice s informáciou o výhodnejšej ceste s druhou komunikujúcou stanicou. V prípade použitia distribuovaného DoS útoku sa sila útoku zväčšuje. Útočník si vopred pripraví celé siete aktívnych staníc a koordinovane s nimi pracuje ako s jednotným systémom. Použitím rôzne adresovaných staníc je detekcia obtiažnejšia. Často nie je možné rozlíšit legitímne požiadavky od útočných. Dôležitá je včasná detekcia, pretože nárast zát aže na útočenú stanicu sa rapídne zvyšuje. 3.3 Ping záplava Popis Ping zaplavenie (Ping flood) je typ DoS útoku. Útočník sa sústred uje na konktrétnu stanicu, ktorú sa snaží zaplavit ICMP echo request správami, aby nebola schopná komunikovat. Ak obet nemá dostatočné hardvérové vybavenie na spracovanie všetkých požiadaviek, dôjde navyše k poklesu procesorového výkonu. Princíp fungovania Predpokladom pre podarený útok je, aby obet mala nižšiu šírku pásma ako má útočník. Polovicu pásma zahltia samotné ICMP echo request správy a druhú polovicu snaha obete odpovedat ICMP echo reply správy. 23

29 3. ANOMÁLIE ICMP PROTOKOLU Správa ICMP echo reply má rovnaký obsah tela ako pôvodná ICMP echo request správa. Útok tak môžeme zosilit posielaním správ s väčšou dĺžkou tela. Detekovanie anomálie a obrana Ping zaplavenie detekujeme tak, že si vyfiltrujeme množinu tokov, ktoré by mohli byt útočné pomocou filtra proto ICMP and ICMP-TYPE 8. Na základe získaných tokov sa snažíme nájst toky s vymenenými zdrojovými a ciel ovými IP adresami. Aby sme predišli zámene útoku s regulárnou odpoved ou ICMP echo reply na správu ICMP echo request, budeme vyberat len toky proto ICMP and packets > 2. V prípade, že množina tokov po odstránení regulárnych požiadaviek nie je prázdna, môžeme s vel kou pravdepodobnost ou tvrdit, že sa jedná o útok záplavou. Na obrázku 3.3 je vyfiltrovaný útok. Navyše sú posielané správy s vel - kou dĺžkou tela, čo je viditel né na stĺpci Bpp. Obrázok 3.3: IP toky pre Ping flood 3.4 ICMP Smurf útok Popis Smurf útok je typ DoS útoku využívajúci možnost posielat packety na broadcastovú IP adresu. Vytvorením paketu ICMP echo request so zdrojovou IP adresou obete a ciel ovou IP adresou broadcastu siete sa docieli, že každá aktívna stanica v tejto podsieti sa bude snažit poslat správu ICMP echo reply obeti. Výsledkom je záplava paketmi a zúženie priepustnosti pripojenia obete. 24

30 3. ANOMÁLIE ICMP PROTOKOLU Princíp fungovania Praktický útok sa skladá z dvoch hlavných zmien v pakete a jednej volitel - nej. Prebieh útoku je takýto: Útočník pošle ICMP echo request packet, kde svoju zdrojovú IP adresu vymení za IP adresu obete. Následne do ciel ovej adresy zadá IP adresu LAN siete, ktorá je dostatočne vel ká a má približnú znalost o počte aktívnych staníc v nej. Všetky stanice, ktoré sú aktívne v LAN sieti, vezmú zdrojovú IP adresu a na ňu sa snažia poslat ICMP echo reply paket mysliac si, že práve z tejto adresy prišiel ICMP echo request paket. Útočník navyše môže znásobit silu útoku nastavením d alších parametrov. Implicitne vytvorený ICMP paket (v linuxových OS) má dĺžku tela 56 bajtov, a s prirátaním hlavičiek 64 bajtov. Avšak IP paket môže dosahovat až dĺžku bajtov. Ak útočník disponuje čo i len rovnakou šírkou pásma ako siet obete, môže spôsobit citel né zahĺtenie siete obete a samozrejme obete samotnej. Obrázok 3.4: ICMP Smurf Detekovanie anomálie a obrana Je zopár riešení ako Smurf útoku predchádzat. Blokovanie ICMP echo request paketov s ciel ovou broadcastovou adresou na hraničnom smero- 25

31 3. ANOMÁLIE ICMP PROTOKOLU vači. Až do roku 1999 štandard RFC 1122 vyžadoval, aby aj tieto packety boli smerované. Od tohto roku štandard bol zmenený a vyžaduje implicitne nesmerovat tieto pakety 3. Pomocou nfdump filtra proto ICMP and ICMP-TYPE 8 si vyberieme množinu tokov, ktoré by mohli byt potencionalnými útokmi v najjednoduchšom prípade hl adáme pakety so ciel ovou IP adresou broadcastu. K nim pomocou filtra proto ICMP and ICMP-TYPE 0 hl adáme toky s vymenenými zdrojovými a ciel ovými IP adresami. Ak počet týchto tokov je väčší ako 1, ide o Smurf útok. Počet tokov zodpovedá počtu aktívných staníc. Obrázok 3.5: IP toky pre Smurf útok 3.5 Ping of death Popis ICMP Ping of death je útok využívajúci chybu v implementácii protokolu TCP/IP. Útočník vytvára a posiela ICMP správy (zabalené v IP pakete) väčšej vel kosti ako je buffer schopný prečítat. IP paket môže mat vel kost až bajtov. V ethernetovej sieti je maximálna vel kost fragmentu bajtov. Každý fragment prenášaný siet ou nesie so sebou informáciu, na aké miesto v pakete patrí. Táto informácia sa nachádza v 13bitov dlhej časti IP hlavičky nazvanej Fragment Offset. Obsahuje informáciu o posune (offset) v jednotkách 8 bajtov, teda maximálny offset je To znamená, že posledný fragment nemôže byt dlhší ako 7 bajtov, inak prekročí maximálnu dĺžku IP paketu. Systém sa snaží z jednotlivých prijatých paketov poskladat pôvodnú ICMP správu, ale pri takto dlhej správe buffer pretečie, čo môže spôsobit dokonca pád systému. Pritom útočník potrebuje vediet len IP adresu obete. 3. RFC 2644, Changing the Default for Directed Broadcasts in Routers < tools.ietf.org/html/rfc2644> 26

32 3. ANOMÁLIE ICMP PROTOKOLU Prvé správy o chybe sa objavili v polovici roku Zranitel né boli systémy Microsoft Windows 95, Windows NT 4.0, Windows XP, Windows Server 2003, tak i unixové systémy. Princíp fungovania Na rozdiel od klasického testovania, či je ciel ová stanica aktívna, pri ICMP Ping of death sa vytvorí správa ICMP echo request dlhšia ako bajtov a to tak, že v programe Ping sa zadá direktíva -l číslo, kde číslo je väčšie ako Detekovanie anomálie a obrana Vychádzam z toho, že sa vytvorí jeden tok, na ktorý už obet nie je schopná odpovedat. Z potenciálnej množiny útočných tokov proto ICMP and ICMP-TYPE 8 hl adáme také toky, ktoré majú vel a bajtov a pritom len zopár paketov proto ICMP and bytes > Nápomocná je aj informácia o počte bajtov na paket. V dôsledku toho, že protokol ICMP na prenos po sieti používa protokol UDP, a teda nezaručuje doručenie správ, útočník môže posielat aj viac paketov pre útok ICMP Ping of death. Obrázok 3.6: IP toky pre Ping of death 3.6 Tear drop Popis Tear drop útok využíva podobnú chybu ako Ping of death, ale pracuje na trochu inom princípe. IP packet môže byt fragmentovaný na menšie časti, ktoré sú prenášané na L2 vrstve. Pomocou pol a Fragment Offset v hlavičke IP paketu sa na ciel ovej strane vyskladávajú do pôvodného IP paketu. V tomto prípade sú offsety nastavené tak, aby sa dáta prekrývali a nebolo možné zrekonštruovat pôvodný paket. 27

33 3. ANOMÁLIE ICMP PROTOKOLU Princíp fungovania ICMP správa je fragmentovaná na menšie časti. Za normálnych okolností sa posielajú fragmety takto: fragment 1 má nastavený offset pre dáta fragment 2 má nastavený offset pre dáta fragment 3 má nastavený offset pre dáta atd. Pri tejto anomálii sú však offsety pre jednotlivé fragmenty nastavené inak. fragment 1 má nastavený offset pre dáta fragment 2 má nastavený offset pre dáta fragment 3 má nastavený offset pre dáta atd. Detekovanie anomálie a obrana Detekovat tento útok pomocou NetFlow dát nie je možný, pretože tieto dáta neobsahujú informácie o offsetoch v jednotlivých fragmentoch. 3.7 ICMP Redirect Popis Počítačové stanice tvoriace siete nemusia mat práve jednu cestu smerom von. Smerovače, ktoré riadia ich komunikáciu s vonkajším okolím môžu celkovú zát až vyvažovat, prípadne celkom presmerovat, pomocou správ ICMP Redirect (typ 5). Táto správa informuje stanicu o výhodnejšej ceste na ciel ovú IP adresu. Útočník sa snaží byt centrálnou bránou pre stanicu v sieti a celá komunikácia, ktorá je mu doručovaná, preposiela d alej von. Aby sa dobre maskoval, odpovede z vonkajšej siete preposiela naspät obetnej stanici. 28

34 3. ANOMÁLIE ICMP PROTOKOLU Princíp fungovania Ak stanica A posiela dáta cez smerovač B a ten preposiela d alej na smerovač A, tak v prípade, že existuje priama cesta zo stanice A na smerovač A, stanica A obdrží od smerovača B správu ICMP Redirect. Zneužitie je založené na dôvere smerovačov. Útočník sa vydáva za bod v sieti, cez ktorú vedie najvýhodnejšia cesta a sám posiela ICMP Redirect stanici A. Podl a RFC 1122 [8] správy ICMP Redirect by mali posielat len brány a nie stanice. Obrázok 3.7: ICMP Redirect Detekovanie anomálie a obrana Ak si zoberieme LAN siet, pokusy o presmerovanie vyfiltrujeme pomocou proto ICMP and ICMP-TYPE 5. Pretože na takej sieti by nemalo dochádzat k presmerovávaniam, filtrujeme každú správu. V prípade väčších sietí je potrebné mat zoznam všetkých IP adries smerovačov a odstránit takéto toky z už získaných dát. Obrázok 3.8: IP toky pre ICMP Redirect 29

35 3. ANOMÁLIE ICMP PROTOKOLU 3.8 Winfreeze Popis Útok s pomenovaním Winfreeze je typ DoS útoku, ale využíva ICMP Redirect trošku iným spôsobom ako predchádzajúca anomália. Hlavným ciel om je zamedzit komunikácii obete s kýmkol vek na sieti. Princíp fungovania Základ celého útoku je jeden packet s nastavením najlepšej cesty na IP adresu (loopback). Obet si teda posiela pakety v nekonečnej slučke. Detekovanie anomálie a obrana Detekovat tento útok pomocou NetFlow dát nie je možný, pretože tieto dáta neobsahujú informácie o tele paketov. 30

36 Záver Táto bakalárska práca sa venuje analýze ICMP protokolu pre potreby detekcie anomálií ICMP správ v sieti. Ponúka siet ovým administrátorom informácie ako tieto anomálie detekovat a navrhuje postupy ako sa voči ním bránit. Pri každej anomálii (ak je detekovatel ná) sú vzorové vyfiltrované NetFlow dáta s danou anomáliou. Poukazujem na to, že aj ked možnosti detekovania anomálií existujú, v prípade DoS útokov by nemuseli byt efektívne. Niektoré by sa detekovali ovel a t ažšie a možnosti obrany by boli obmedzené potreba odlíšit regulárnu požiadavku od tej útočnej. Navrhnuté postupy detekovania anomálií ponúkajú možnost implementacie pluginu pre webové rozhranie NfSen na detekciu popisovaných ICMP útokov. 31

37 Literatúra [1] HALL, Erik A. Internet Core Protocols: The Definitive Guide. 1st ed. Sebastopol, California : O Reilly Media, s. ISBN [2] POSTEL, J. Internet Control Message Protocol [online]. September 1981 [cit ]. Dostupné na: < html/rfc0792> [3] Network dictionary. ICMP Attacks [online]. [cit ]. Dostupné na: < ICMPAttacks.php> [4] MCCLURE, Stuart, SCAMBRAY, Joel a KURTZ, George. Hacking Exposed: Network Security Secrets & Solutions. 5th ed. Emeryville, California : McGraw-Hill/Osborne, s. ISBN [5] Network Dictionary. NetFlow: Cisco Network Traffic Monitoring and Management Protocol [online]. [cit ]. Dostupné na: < NetFlow.php> [6] International Telecommunication Union. Open Systems Interconnection Basic Reference Model [online] [cit ]. Dostupné na: < [7] SOSINSKY, Barrie. Networking Bible. Wiley Publishing, Inc., s. ISBN [8] BRADEN, R. Requirements for Internet Hosts Communication Layers [online]. Internet Engineering Task Force, October 1989 [cit ]. Dostupné na: < rfc1122> [9] Information Sciences Institute. Transmission control protocol [online]. September 1981 [cit ]. Dostupné na: < ietf.org/html/rfc0793> 32

38 LITERATÚRA [10] POSTEL, J. User datagram protocol [online]. August 1980 [cit ]. Dostupné na: < html/rfc0768> [11] Information Sciences Institute. Internet protocol [online]. September 1981 [cit ]. Dostupné na: < html/rfc0791> [12] REKHTER, Y. et al. Address Allocation for Private Internets [online]. February 1996 [cit ]. Dostupné na: < ietf.org/html/rfc1918> [13] KENT, S. Security Options for the Internet Protocol [online]. November 1991 [cit ]. Dostupné na: < org/html/rfc1108> [14] FENNER, B. Experimental Values in IPv4, IPv6, ICMPv4, ICMPv6, UDP, and TCP Headers [online]. November 2006 [cit ]. Dostupné na: < [15] SRISURESH, P. et al. NAT Behavioral Requirements for ICMP [online]. April 2009 [cit ]. < rfc5508> [16] MALKIN, G. Traceroute using an IP option [online]. January 1993 [cit ]. Dostupné na: < rfc1393> [17] CONTA, A., DEERING, S., Gupta, M. Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification [online]. The Internet Society, March 2006 [cit ]. Dostupné na: < [18] DEERING, S., HINDEN, R. Internet Protocol, Version 6 (IPv6) Specification [online]. The Internet Society, December 1998 [cit ]. Dostupné na: < [19] Cisco Systems. Cisco IOS NetFlow [online] [cit ]. Dostupné na: < ps6601/products_ios_protocol_group_home.html> 33

39 LITERATÚRA [20] CLAISE, B. Specification of the IP Flow Information Export (IPFIX) Protocol for the Exchange of IP Traffic Flow Information [online]. Cisco Systems, January 2008 [cit ]. Dostupné na: <http: //tools.ietf.org/html/rfc5101> [21] QUITTEK, J.,ZSEBY, T., CLAISE, B. a ZANDER, S. Requirements for IP Flow Information Export (IPFIX) [online]. October 2004 [cit ]. Dostupné na: < rfc3917> [22] LinuxManPages. PING [online]. September 2002 [cit ]. Dostupné na: < 34

40 Zoznam obrázkov 1.1 Zaradenie protokolu ICMP v TCP/IP a ISO OSI modeli Hlavička TCP segmentu (zdroj: nmap.org) Hlavička UDP segmentu (zdroj: nmap.org) Hlavička IP paketu (zdroj: nmap.org) Hlavička ICMP paketu (zdroj: nmap.org) Spracovanie dát z exportérov (zdroj: nfdump.sourceforge.net) NfSen - hlavné zobrazenie (zdroj: nfsen.sourceforge.net) NfSen - filtrovanie IP tokov (zdroj: nfsen.sourceforge.net) Vývoj siet ových útokov IP toky pre horizotálny scan IP toky pre Ping flood ICMP Smurf IP toky pre Smurf útok IP toky pre Ping of death ICMP Redirect IP toky pre ICMP Redirect 29 35

41 Zoznam tabuliek 1.1 Tabul ka typov ICMP správ (zdroj:

Spájanie tabuliek. Jaroslav Porubän, Miroslav Biňas, Milan Nosáľ (c)

Spájanie tabuliek. Jaroslav Porubän, Miroslav Biňas, Milan Nosáľ (c) Spájanie tabuliek Jaroslav Porubän, Miroslav Biňas, Milan Nosáľ (c) 2011-2016 Úvod pri normalizácii rozdeľujeme databázu na viacero tabuliek prepojených cudzími kľúčmi SQL umožňuje tabuľky opäť spojiť

More information

Anycast. Ľubor Jurena CEO Michal Kolárik System Administrator

Anycast. Ľubor Jurena CEO Michal Kolárik System Administrator Anycast Ľubor Jurena CEO jurena@skhosting.eu Michal Kolárik System Administrator kolarik@skhosting.eu O nás Registrátor Webhosting Serverové riešenia Správa infraštruktúry Všetko sa dá :-) Index Čo je

More information

VLSM a CIDR. CCNA2 Kapitola Cisco Systems, Inc. All rights reserved. Cisco Public 1

VLSM a CIDR. CCNA2 Kapitola Cisco Systems, Inc. All rights reserved. Cisco Public 1 VLSM a CIDR CCNA2 Kapitola 6 1 Trošku histórie Pred rokom 1981 IP adresy používali na špecifikáciu siete len prvých 8 bitov Rok1981, RFC 791 Zaviedol adresný priestor s tromi triedami adries Polovica 90

More information

Copyright 2016 by Martin Krug. All rights reserved.

Copyright 2016 by Martin Krug. All rights reserved. MS Managed Service Copyright 2016 by Martin Krug. All rights reserved. Reproduction, or translation of materials without the author's written permission is prohibited. No content may be reproduced without

More information

Ochrana proti DDoS za použitia open-source software. Katarína Ďurechová

Ochrana proti DDoS za použitia open-source software. Katarína Ďurechová Ochrana proti DDoS za použitia open-source software Katarína Ďurechová katarina.durechova@nic.cz 30.11.2013 Distributed Denial of Service odopretie služby dosiahnutím limitu pripojenia sieťovej karty CPU

More information

Registrácia účtu Hik-Connect

Registrácia účtu Hik-Connect Registrácia účtu Hik-Connect Tento návod popisuje postup registrácie účtu služby Hik-Connect prostredníctvom mobilnej aplikácie a webového rozhrania na stránke www.hik-connect.comg contents in this document

More information

Aplikačný dizajn manuál

Aplikačný dizajn manuál Aplikačný dizajn manuál Úvod Aplikačný dizajn manuál je súbor pravidiel vizuálnej komunikácie. Dodržiavaním jednotných štandardov, aplikácií loga, písma a farieb pri prezentácii sa vytvára jednotný dizajn,

More information

Smerovacie algoritmy OSPF a BGP. OSPF (Open Shortest Path First) BGP (Border Gateway Protocol)

Smerovacie algoritmy OSPF a BGP. OSPF (Open Shortest Path First) BGP (Border Gateway Protocol) Smerovacie algoritmy OSPF a BGP OSPF (Open Shortest Path First) BGP (Border Gateway Protocol) AS, vnútorné a vonkajšie smerovacie protokoly autonómny systém AS skupina sietí a smerovačov, ktorá je pre

More information

Layer 4: UDP, TCP, and others. based on Chapter 9 of CompTIA Network+ Exam Guide, 4th ed., Mike Meyers

Layer 4: UDP, TCP, and others. based on Chapter 9 of CompTIA Network+ Exam Guide, 4th ed., Mike Meyers Layer 4: UDP, TCP, and others based on Chapter 9 of CompTIA Network+ Exam Guide, 4th ed., Mike Meyers Concepts application set transport set High-level, "Application Set" protocols deal only with how handled

More information

}w!"#$%&'()+,-./012345<ya

}w!#$%&'()+,-./012345<ya MASARYKOVA UNIVERZITA FAKULTA INFORMATIKY }w!"#$%&'()+,-./012345

More information

Configuring attack detection and prevention 1

Configuring attack detection and prevention 1 Contents Configuring attack detection and prevention 1 Overview 1 Attacks that the device can prevent 1 Single-packet attacks 1 Scanning attacks 2 Flood attacks 3 TCP fragment attack 4 Login DoS attack

More information

Configuring attack detection and prevention 1

Configuring attack detection and prevention 1 Contents Configuring attack detection and prevention 1 Overview 1 Attacks that the device can prevent 1 Single-packet attacks 1 Scanning attacks 2 Flood attacks 3 TCP fragment attack 4 Login DoS attack

More information

TCP /IP Fundamentals Mr. Cantu

TCP /IP Fundamentals Mr. Cantu TCP /IP Fundamentals Mr. Cantu OSI Model and TCP/IP Model Comparison TCP / IP Protocols (Application Layer) The TCP/IP subprotocols listed in this layer are services that support a number of network functions:

More information

Databázové systémy. SQL Window functions

Databázové systémy. SQL Window functions Databázové systémy SQL Window functions Scores Tabuľka s bodmi pre jednotlivých študentov id, name, score Chceme ku každému doplniť rozdiel voči priemeru 2 Demo data SELECT * FROM scores ORDER BY score

More information

Kategória školenia Školenia Cisco obsahuje kurzy:

Kategória školenia Školenia Cisco obsahuje kurzy: Kategória školenia Školenia Cisco obsahuje kurzy: Cisco CCNA I - Úvod do počítačových sietí Školenie Cisco CCNA I - Úvod do počítačových sietí je určený záujemcom o počítačové siete a ich budúcim administrátorom.

More information

Recipient Configuration. Štefan Pataky MCP, MCTS, MCITP

Recipient Configuration. Štefan Pataky MCP, MCTS, MCITP Recipient Configuration Štefan Pataky MCP, MCTS, MCITP Agenda Mailbox Mail Contact Distribution Groups Disconnected Mailbox Mailbox (vytvorenie nového účtu) Exchange Management Console New User Exchange

More information

Using ICMP to Troubleshoot TCP/IP Networks

Using ICMP to Troubleshoot TCP/IP Networks Laura Chappell Using ICMP to Troubleshoot TCP/IP Networks Illustration: Norman Felchle Editor s Note: This article is based on Laura Chappell s upcoming book TCP/IP Analysis and Troubleshooting, which

More information

kucharka exportu pro 9FFFIMU

kucharka exportu pro 9FFFIMU požiadavky na export kodek : Xvid 1.2.1 stable (MPEG-4 ASP) // výnimočne MPEG-2 bitrate : max. 10 Mbps pixely : štvorcové (Square pixels) rozlíšenie : 1920x1080, 768x432 pre 16:9 // výnimočne 1440x1080,

More information

Spôsoby zistenia ID KEP

Spôsoby zistenia ID KEP Spôsoby zistenia ID KEP ID KEP (kvalifikovaný elektronický podpis) je možné zistiť pomocou napr. ovládacieho panela, prostredíctvom prehliadača Internet Expolrer, Google Chrome alebo Mozilla Firefox. Popstup

More information

Packet Header Formats

Packet Header Formats A P P E N D I X C Packet Header Formats S nort rules use the protocol type field to distinguish among different protocols. Different header parts in packets are used to determine the type of protocol used

More information

Textový formát na zasielanie údajov podľa 27 ods. 2 písm. f) zákona

Textový formát na zasielanie údajov podľa 27 ods. 2 písm. f) zákona Popis textového formátu a xsd schémy na zasielanie údajov podľa 27 ods. 2 písm. f) zákona (formu na zaslanie údajov si zvolí odosielateľ údajov) Textový formát na zasielanie údajov podľa 27 ods. 2 písm.

More information

K2289: Using advanced tcpdump filters

K2289: Using advanced tcpdump filters K2289: Using advanced tcpdump filters Non-Diagnostic Original Publication Date: May 17, 2007 Update Date: Sep 21, 2017 Topic Introduction Filtering for packets using specific TCP flags headers Filtering

More information

CHAPTER-2 IP CONCEPTS

CHAPTER-2 IP CONCEPTS CHAPTER-2 IP CONCEPTS Page: 1 IP Concepts IP is a very important protocol in modern internetworking; you can't really comprehend modern networking without a good understanding of IP. Unfortunately, IP

More information

Obsah. SOA REST REST princípy REST výhody prest. Otázky

Obsah. SOA REST REST princípy REST výhody prest. Otázky REST Peter Rybár Obsah SOA REST REST princípy REST výhody prest Otázky SOA implementácie WEB (1990) CORBA (1991) XML-RPC (1998) WS-* (1998) SOAP RPC/literal SOAP Document/literal (2001) REST (2000) SOA

More information

Hands-On Ethical Hacking and Network Defense

Hands-On Ethical Hacking and Network Defense Hands-On Ethical Hacking and Network Defense Chapter 2 TCP/IP Concepts Review Last modified 1-11-17 Objectives Describe the TCP/IP protocol stack Explain the basic concepts of IP addressing Explain the

More information

Interconnecting Networks with TCP/IP

Interconnecting Networks with TCP/IP Chapter 8 Interconnecting s with TCP/IP 1999, Cisco Systems, Inc. 8-1 Introduction to TCP/IP Internet TCP/IP Early protocol suite Universal 1999, Cisco Systems, Inc. www.cisco.com ICND 8-2 TCP/IP Protocol

More information

TP-LINK 150Mbps Wireless AP/Client Router Model TL-WR743ND Rýchly inštalačný sprievodca

TP-LINK 150Mbps Wireless AP/Client Router Model TL-WR743ND Rýchly inštalačný sprievodca TP-LINK 150Mbps Wireless AP/Client Router Model TL-WR743ND Rýchly inštalačný sprievodca Obsah balenia TL-WR743ND Rýchly inštalačný sprievodca PoE injektor Napájací adaptér CD Ethernet kábel Systémové požiadavky

More information

Interconnecting Networks with TCP/IP. 2000, Cisco Systems, Inc. 8-1

Interconnecting Networks with TCP/IP. 2000, Cisco Systems, Inc. 8-1 Interconnecting Networks with TCP/IP 2000, Cisco Systems, Inc. 8-1 Objectives Upon completion of this chapter you will be able to perform the following tasks: Identify the IP protocol stack, its protocol

More information

REPREZENTACE OBSAHU SÍŤOVÉHO PROVOZU V XML

REPREZENTACE OBSAHU SÍŤOVÉHO PROVOZU V XML VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY FAKULTA INFORMAČNÍCH TECHNOLOGIÍ ÚSTAV INFORMAČNÍCH SYSTÉMŮ FACULTY OF INFORMATION TECHNOLOGY DEPARTMENT OF INFORMATION SYSTEMS REPREZENTACE

More information

Internet Layers. Physical Layer. Application. Application. Transport. Transport. Network. Network. Network. Network. Link. Link. Link.

Internet Layers. Physical Layer. Application. Application. Transport. Transport. Network. Network. Network. Network. Link. Link. Link. Internet Layers Application Application Transport Transport Network Network Network Network Link Link Link Link Ethernet Fiber Optics Physical Layer Wi-Fi ARP requests and responses IP: 192.168.1.1 MAC:

More information

Komunikačné protokoly 2005 KP 2005 #3 - IP v02.doc

Komunikačné protokoly 2005 KP 2005 #3 - IP v02.doc Smerovanie a prepájanie v sieťach Dátové siete zabezpečujú prenos dát od zdoja k cieľu. Aby mohol takýto prenos fungovať, musia byť zavedené mená a adresy. Každému koncovému bodu je priradená jednoznačná

More information

4. prednáška ( ) Transportná vrstva

4. prednáška ( ) Transportná vrstva 4. prednáška (8.3.2017) Transportná vrstva 1 Osnova rozprávania o transportnej vrstve 3.1 Služby transportnej vrstvy 3.2 Delenie správ a adresácia soketov 3.3 UDP: bezstavový transportný protokol 3.4 Princípy

More information

network security s642 computer security adam everspaugh

network security s642 computer security adam everspaugh network security s642 adam everspaugh ace@cs.wisc.edu computer security today Announcement: HW3 to be released WiFi IP, TCP DoS, DDoS, prevention 802.11 (wifi) STA = station AP = access point BSS = basic

More information

TCP/IP Protocol Suite

TCP/IP Protocol Suite TCP/IP Protocol Suite Computer Networks Lecture 5 http://goo.gl/pze5o8 TCP/IP Network protocols used in the Internet also used in today's intranets TCP layer 4 protocol Together with UDP IP - layer 3 protocol

More information

Single Network: applications, client and server hosts, switches, access links, trunk links, frames, path. Review of TCP/IP Internetworking

Single Network: applications, client and server hosts, switches, access links, trunk links, frames, path. Review of TCP/IP Internetworking 1 Review of TCP/IP working Single Network: applications, client and server hosts, switches, access links, trunk links, frames, path Frame Path Chapter 3 Client Host Trunk Link Server Host Panko, Corporate

More information

TCP/IP and the OSI Model

TCP/IP and the OSI Model TCP/IP BASICS TCP/IP and the OSI Model TCP/IP BASICS The network protocol of the Internet Composed of six main protocols IP Internet Protocol UDP User Datagram Protocol TCP Transmission Control Protocol

More information

ICS 451: Today's plan

ICS 451: Today's plan ICS 451: Today's plan ICMP ping traceroute ARP DHCP summary of IP processing ICMP Internet Control Message Protocol, 2 functions: error reporting (never sent in response to ICMP error packets) network

More information

Komunikačné protokoly

Komunikačné protokoly Komunikačné protokoly Základným predpokladom na to, aby mohli dva počítače navzájom komunikovať, je ich vzájomné prepojenie do spoločnej siete, alebo navzájom prepojených sietí. Avšak ani tento fakt nezabezpečí,

More information

TSIN02 - Internetworking

TSIN02 - Internetworking Lecture 2: Internet Protocol Literature: Forouzan: ch (4-6), 7-9 and ch 31 2004 Image Coding Group, Linköpings Universitet Lecture 2: IP Goals: Understand the benefits Understand the architecture IPv4

More information

Internet Control Message Protocol (ICMP)

Internet Control Message Protocol (ICMP) Internet Control Message Protocol (ICMP) 1 Overview The IP (Internet Protocol) relies on several other protocols to perform necessary control and routing functions: Control functions (ICMP) Multicast signaling

More information

Počítačová sieť. počítačová sieť. Internet World Wide Web. distribuovaný systém middleware. KIS, M.Oravec, KTL FEI STU

Počítačová sieť. počítačová sieť. Internet World Wide Web. distribuovaný systém middleware. KIS, M.Oravec, KTL FEI STU Počítačová sieť počítačová sieť Internet World Wide Web distribuovaný systém middleware Model klient-server zdieľanie prostriedkov server a klient prepojené v sieti 2 procesy: požiadavka a odpoveď Komunikácia

More information

Sieťová vrstva. sieťová vrstva Internetu (IP, ICMP, ARP, RARP, BOOTP, smerovanie prepojovanie sietí v sieťovej vrstve riadenie preťaženia QoS

Sieťová vrstva. sieťová vrstva Internetu (IP, ICMP, ARP, RARP, BOOTP, smerovanie prepojovanie sietí v sieťovej vrstve riadenie preťaženia QoS Sieťová vrstva sieťová vrstva Internetu (IP, ICMP, ARP, RARP, BOOTP, DHCP, ) smerovanie prepojovanie sietí v sieťovej vrstve riadenie preťaženia QoS Sieťová vrstva linková vrstva prenos rámcov medzi 2

More information

BGP - duálne prepojenie AS. (primary + backup spoj), s IBGP, cez virtuální L2 linky

BGP - duálne prepojenie AS. (primary + backup spoj), s IBGP, cez virtuální L2 linky BGP - duálne prepojenie AS (primary + backup spoj), s IBGP, cez virtuální L2 linky Peter Jašica Abstrakt: Cieľom tohto projektu je zhotoviť a otestovať funkčnosť BGP s dvojitým prepojením Autonómnych systémov.

More information

Komunikačné protokoly 2004 KP 2004 #3 - IP v03.doc

Komunikačné protokoly 2004 KP 2004 #3 - IP v03.doc Smerovanie a prepájanie v sieťach Dátové siete zabezpečujú prenos dát od zdoja k cieľu. Aby mohol takýto prenos fungovať, musia byť zavedené mená a adresy. Každému koncovému bodu je priradená jednoznačná

More information

IPv6. Copyright 2017 NTT corp. All Rights Reserved. 1

IPv6. Copyright 2017 NTT corp. All Rights Reserved. 1 IPv6 IPv6 NTT IPv6 Copyright 2017 NTT corp. All Rights Reserved. 1 IPv6 IPv4 IPv6 Copyright 2017 NTT corp. All Rights Reserved. 2 IPv4 http://www.potaroo.net/tools/ipv4/ 2018.3.5 Copyright 2017 NTT corp.

More information

Ochrana koncových staníc pomocou Cisco Security Agent 6.0. Ľubomír Varga.

Ochrana koncových staníc pomocou Cisco Security Agent 6.0. Ľubomír Varga. Ochrana koncových staníc pomocou Cisco Security Agent 6.0 Ľubomír Varga lubomir.varga@lynx.sk Agenda CSA 6.0 refresh Vybrané vlastnosti CSA 6.0 Application Trust levels Notify User Rule Actions User Justifications

More information

Crestron Mercury. Univerzálny Videokonferenčný a Kolaboračný systém

Crestron Mercury. Univerzálny Videokonferenčný a Kolaboračný systém Crestron Mercury Univerzálny Videokonferenčný a Kolaboračný systém Tradičná malá zasadacia miestnosť CRESTRON Mercury Videokonferenčná miestnosť Možnosť rezervácie miestnosti: Prostredníctvom MS Outlook

More information

DDoS Testing with XM-2G. Step by Step Guide

DDoS Testing with XM-2G. Step by Step Guide DDoS Testing with XM-G Step by Step Guide DDoS DEFINED Distributed Denial of Service (DDoS) Multiple compromised systems usually infected with a Trojan are used to target a single system causing a Denial

More information

Network and Security: Introduction

Network and Security: Introduction Network and Security: Introduction Seungwon Shin KAIST Some slides are from Dr. Srinivasan Seshan Some slides are from Dr. Nick Mckeown Network Overview Computer Network Definition A computer network or

More information

Počítačové siete Bezpečnosť

Počítačové siete Bezpečnosť Počítačové siete Bezpečnosť Bezpečnostné problémy v sieťach dôvernosť integrita a autentickosť dostupnosť autentifikácia používateľov systémov riadenie prístupu 2 Bezpečnostné mechanizmy fyzická ochrana

More information

Introduction to Computer Networks. CS 166: Introduction to Computer Systems Security

Introduction to Computer Networks. CS 166: Introduction to Computer Systems Security Introduction to Computer Networks CS 166: Introduction to Computer Systems Security Network Communication Communication in modern networks is characterized by the following fundamental principles Packet

More information

Základná(umelecká(škola(Jána(Albrechta Topoľčianska(15

Základná(umelecká(škola(Jána(Albrechta Topoľčianska(15 Základná(umelecká(škola(Jána(Albrechta Topoľčianska(15 851(01(Bra@slava Titl.: Ján(Hrčka Bohrova(11 851(01(Bra@slava V(Bra@slave(21.11.2013 Vec:(Odpoveď(na(informácie(ohľadom(mandátnej(zmluvy(na(základe(Zákona(č.(211/2000(Zb.

More information

Network layer: Overview. Network layer functions IP Routing and forwarding NAT ARP IPv6 Routing

Network layer: Overview. Network layer functions IP Routing and forwarding NAT ARP IPv6 Routing Network layer: Overview Network layer functions IP Routing and forwarding NAT ARP IPv6 Routing 1 Network Layer Functions Transport packet from sending to receiving hosts Network layer protocols in every

More information

Ing. Michal Halás, PhD.

Ing. Michal Halás, PhD. KOMUNIKAČNÉ A INFORMAČNÉ SIETE SIEŤOVÁ VRSTVA Ing. Michal Halás, PhD. halas@ktl.elf.stuba.sk, B 514, http://www.ktl.elf.stuba.sk/~halas OBSAH základné funkcie protokoly kl IP, ARP, RARP, ICMP, IGMP IPv4,

More information

IP - The Internet Protocol. Based on the slides of Dr. Jorg Liebeherr, University of Virginia

IP - The Internet Protocol. Based on the slides of Dr. Jorg Liebeherr, University of Virginia IP - The Internet Protocol Based on the slides of Dr. Jorg Liebeherr, University of Virginia Orientation IP (Internet Protocol) is a Network Layer Protocol. IP: The waist of the hourglass IP is the waist

More information

Network layer: Overview. Network Layer Functions

Network layer: Overview. Network Layer Functions Network layer: Overview Network layer functions IP Routing and forwarding NAT ARP IPv6 Routing 1 Network Layer Functions Transport packet from sending to receiving hosts Network layer protocols in every

More information

ICS 351: Networking Protocols

ICS 351: Networking Protocols ICS 351: Networking Protocols IP packet forwarding application layer: DNS, HTTP transport layer: TCP and UDP network layer: IP, ICMP, ARP data-link layer: Ethernet, WiFi 1 Networking concepts each protocol

More information

internet technologies and standards

internet technologies and standards Institute of Telecommunications Warsaw University of Technology 2017 internet technologies and standards Piotr Gajowniczek Andrzej Bąk Michał Jarociński Network Layer The majority of slides presented in

More information

KOMUNIKAČNÉ A INFORMAČNÉ SIETE

KOMUNIKAČNÉ A INFORMAČNÉ SIETE KOMUNIKAČNÉ A INFORMAČNÉ SIETE VRSTVOVÝ PROTOKOLOVÝ MODEL, REFERENČNÉ MODELY RM OSI A TCP/IP Ing. Michal Halás, PhD. michal.halas@stuba.sk, B- 514, hjp://www.ut.fei.stuba.sk/~halas OBSAH Protokolové hierarchie

More information

Internet Protocols (chapter 18)

Internet Protocols (chapter 18) Internet Protocols (chapter 18) CSE 3213 Fall 2011 Internetworking Terms 1 TCP/IP Concepts Connectionless Operation Internetworking involves connectionless operation at the level of the Internet Protocol

More information

Komunikačné protokoly. Základné komunikačné protokoly. NetBEUI. Mgr. Ján Guniš, PF UPJŠ, Košice

Komunikačné protokoly. Základné komunikačné protokoly. NetBEUI. Mgr. Ján Guniš, PF UPJŠ, Košice Komunikačné protokoly Základným predpokladom na to, aby mohli dva počítače navzájom komunikovať, je ich vzájomné prepojenie do spoločnej siete, alebo navzájom prepojených sietí. Avšak ani tento fakt nezabezpečí,

More information

Riešenia a technológie pre jednotnú správu používateľov

Riešenia a technológie pre jednotnú správu používateľov Riešenia a technológie pre jednotnú správu používateľov Radovan Semančík Agenda Úvod: Identity Crisis Technológie správy používateľov Postup nasadenia Záver Súčasný stav IT Security Nekonzistentné bezpečnostné

More information

ECE4110 Internetwork Programming. Introduction and Overview

ECE4110 Internetwork Programming. Introduction and Overview ECE4110 Internetwork Programming Introduction and Overview 1 EXAMPLE GENERAL NETWORK ALGORITHM Listen to wire Are signals detected Detect a preamble Yes Read Destination Address No data carrying or noise?

More information

Transport: How Applications Communicate

Transport: How Applications Communicate Transport: How Applications Communicate Week 2 Philip Levis 1 7 Layers (or 4) 7. 6. 5. 4. 3. 2. 1. Application Presentation Session Transport Network Link Physical segments packets frames bits/bytes Application

More information

Operational Security Capabilities for IP Network Infrastructure

Operational Security Capabilities for IP Network Infrastructure Operational Security Capabilities F. Gont for IP Network Infrastructure G. Gont (opsec) UTN/FRH Internet-Draft September 1, 2008 Intended status: Informational Expires: March 5, 2009 Status of this Memo

More information

Mesačná kontrolná správa

Mesačná kontrolná správa Mesačná kontrolná správa Štrukturálna štúdia mar.18 feb.18 jan.18 dec.17 nov.17 okt.17 sep.17 aug.17 júl.17 jún.17 máj.17 apr.17 mar.17 Internetová populácia SR 12+ 3 904 509 3 802 048 3 870 654 3 830

More information

CPSC 826 Internetworking. The Network Layer: Routing & Addressing Outline. The Network Layer

CPSC 826 Internetworking. The Network Layer: Routing & Addressing Outline. The Network Layer 1 CPSC 826 Intering The Network Layer: Routing & Addressing Outline The Network Layer Michele Weigle Department of Computer Science Clemson University mweigle@cs.clemson.edu November 10, 2004 Network layer

More information

IPv6 Protocols and Networks Hadassah College Spring 2018 Wireless Dr. Martin Land

IPv6 Protocols and Networks Hadassah College Spring 2018 Wireless Dr. Martin Land IPv6 1 IPv4 & IPv6 Header Comparison IPv4 Header IPv6 Header Ver IHL Type of Service Total Length Ver Traffic Class Flow Label Identification Flags Fragment Offset Payload Length Next Header Hop Limit

More information

CS475 Networks Lecture 8 Chapter 3 Internetworking. Ethernet or Wi-Fi).

CS475 Networks Lecture 8 Chapter 3 Internetworking. Ethernet or Wi-Fi). Assignments Reading for Lecture 9: Section 3.3 3.2 Basic Internetworking (IP) Bridges and LAN switches from last section have limited ability CS475 Networks Lecture 8 Chapter 3 Internetworking is a logical

More information

Network Management & Monitoring

Network Management & Monitoring Network Management & Monitoring NfSen These materials are licensed under the Creative Commons Attribution-Noncommercial 3.0 Unported license (http://creativecommons.org/licenses/by-nc/3.0/) What is NfSen

More information

TCP/IP Networking. Training Details. About Training. About Training. What You'll Learn. Training Time : 9 Hours. Capacity : 12

TCP/IP Networking. Training Details. About Training. About Training. What You'll Learn. Training Time : 9 Hours. Capacity : 12 TCP/IP Networking Training Details Training Time : 9 Hours Capacity : 12 Prerequisites : There are no prerequisites for this course. About Training About Training TCP/IP is the globally accepted group

More information

IPv4. Christian Grothoff.

IPv4. Christian Grothoff. IPv4 christian@grothoff.org http://grothoff.org/christian/ Sites need to be able to interact in one single, universal space. Tim Berners-Lee 1 The Network Layer Transports datagrams from sending to receiving

More information

KOMUNIKAČNÉ A INFORMAČNÉ SIETE

KOMUNIKAČNÉ A INFORMAČNÉ SIETE KOMUNIKAČNÉ A INFORMAČNÉ SIETE TRANSPORTNÁ VRSTVA RELAČNÁ VRSTVA PREZENTAČNÁ VRSTVA Ing. Michal Halás, PhD. michal.halas@stuba.sk, B- 514, hbp://www.ut.fei.stuba.sk/~halas OBSAH Transportná vrstva UDP

More information

Lesson 5 TCP/IP suite, TCP and UDP Protocols. Chapter-4 L05: "Internet of Things ", Raj Kamal, Publs.: McGraw-Hill Education

Lesson 5 TCP/IP suite, TCP and UDP Protocols. Chapter-4 L05: Internet of Things , Raj Kamal, Publs.: McGraw-Hill Education Lesson 5 TCP/IP suite, TCP and UDP Protocols 1 TCP/IP Suite: Application layer protocols TCP/IP Suite set of protocols with layers for the Internet TCP/IP communication 5 layers: L7, L4, L3, L2 and L1

More information

5.1 KOMPONENTY SIETE A ICH FUNKCIA V SIETI

5.1 KOMPONENTY SIETE A ICH FUNKCIA V SIETI 5 SKÚMANIE SIETE Táto kapitola predstavuje platformu dátových sietí, na ktorých stále viac závisia naše sociálne a obchodné vzťahy. Je úvodným krokom k objavovaniu dátových služieb, sieťových technológií

More information

Master Course Computer Networks IN2097

Master Course Computer Networks IN2097 Chair for Network Architectures and Services Prof. Carle Department for Computer Science TU München Master Course Computer Networks IN2097 Prof. Dr.-Ing. Georg Carle Christian Grothoff, Ph.D. Chair for

More information

Vorlesung Kommunikationsnetze

Vorlesung Kommunikationsnetze Picture 15 13 Vorlesung Kommunikationsnetze Prof. Dr. H. P. Großmann mit B. Wiegel sowie A. Schmeiser und M. Rabel Sommersemester 2009 Institut für Organisation und Management von Informationssystemen

More information

Chapter 4: outline. 4.5 routing algorithms link state distance vector hierarchical routing. 4.6 routing in the Internet RIP OSPF BGP

Chapter 4: outline. 4.5 routing algorithms link state distance vector hierarchical routing. 4.6 routing in the Internet RIP OSPF BGP Chapter 4: outline 4.1 introduction 4.2 virtual circuit and datagram networks 4.3 what s inside a router 4.4 IP: Internet Protocol datagram format IPv4 addressing ICMP 4.5 routing algorithms link state

More information

Internetworking/Internetteknik, Examination 2G1305 Date: August 18 th 2004 at 9:00 13:00 SOLUTIONS

Internetworking/Internetteknik, Examination 2G1305 Date: August 18 th 2004 at 9:00 13:00 SOLUTIONS Internetworking/Internetteknik, Examination 2G1305 Date: August 18 th 2004 at 9:00 13:00 SOLUTIONS 1. General (5p) a) The so-called hourglass model (sometimes referred to as a wine-glass ) has been used

More information

Your Name: Your student ID number:

Your Name: Your student ID number: CSC 573 / ECE 573 Internet Protocols October 11, 2005 MID-TERM EXAM Your Name: Your student ID number: Instructions Allowed o A single 8 ½ x11 (front and back) study sheet, containing any info you wish

More information

CS 356: Computer Network Architectures. Lecture 10: IP Fragmentation, ARP, and ICMP. Xiaowei Yang

CS 356: Computer Network Architectures. Lecture 10: IP Fragmentation, ARP, and ICMP. Xiaowei Yang CS 356: Computer Network Architectures Lecture 10: IP Fragmentation, ARP, and ICMP Xiaowei Yang xwy@cs.duke.edu Overview Homework 2-dimension parity IP fragmentation ARP ICMP Fragmentation and Reassembly

More information

Introduction to Internetworking

Introduction to Internetworking Introduction to Internetworking Introductory terms Communications Network Facility that provides data transfer services An internet Collection of communications networks interconnected by bridges and/or

More information

CSCI 1800 Cybersecurity and Interna4onal Rela4ons. Design and Opera-on of the Internet John E. Savage Brown University

CSCI 1800 Cybersecurity and Interna4onal Rela4ons. Design and Opera-on of the Internet John E. Savage Brown University CSCI 1800 Cybersecurity and Interna4onal Rela4ons Design and Opera-on of the Internet John E. Savage Brown University Outline Network security The link layer The network layer The transport layer Denial

More information

Aplikácia pre analýzu a spracovanie základných typov protokolov komunikačných sietí DIPLOMOVÁ PRÁCA. Bc. MICHAL PTAČIN

Aplikácia pre analýzu a spracovanie základných typov protokolov komunikačných sietí DIPLOMOVÁ PRÁCA. Bc. MICHAL PTAČIN Aplikácia pre analýzu a spracovanie základných typov protokolov komunikačných sietí DIPLOMOVÁ PRÁCA Bc. MICHAL PTAČIN ŽILINSKÁ UNIVERZITA V ŽILINE Elektrotechnická fakulta Katedra telekomunikácií Študijný

More information

Lecture 8. Basic Internetworking (IP) Outline. Basic Internetworking (IP) Basic Internetworking (IP) Service Model

Lecture 8. Basic Internetworking (IP) Outline. Basic Internetworking (IP) Basic Internetworking (IP) Service Model Lecture 8 Basic Internetworking (IP) Reminder: Homework 3, Programming Project 2 due on Tuesday. An example internet is shown at right. Routers or gateways are used to connect different physical networks.

More information

The Internet Protocol (IP)

The Internet Protocol (IP) The Internet Protocol (IP) The Blood of the Internet (C) Herbert Haas 2005/03/11 "Information Superhighway is really an acronym for 'Interactive Network For Organizing, Retrieving, Manipulating, Accessing

More information

Slovenská technická univerzita v Bratislave. Fakulta informatiky a informačných technológií Ilkovičova 3, Bratislava 4.

Slovenská technická univerzita v Bratislave. Fakulta informatiky a informačných technológií Ilkovičova 3, Bratislava 4. Slovenská technická univerzita v Bratislave Fakulta informatiky a informačných technológií Ilkovičova 3, 842 16 Bratislava 4 Bezpečnosť v IPv6 Roman Panenka Študijný program: Počítačové komunikačné systémy

More information

Žilinská univerzita v Žiline. Generátor paketov. Elektrotechnická fakulta Katedra telekomunikácií. Diplomová práca

Žilinská univerzita v Žiline. Generátor paketov. Elektrotechnická fakulta Katedra telekomunikácií. Diplomová práca Žilinská univerzita v Žiline Elektrotechnická fakulta Katedra telekomunikácií Generátor paketov Diplomová práca Žilina, September 2006 Peter Bandzi Abstarkt Diplomová práca sa zaoberá generovaním paketov,

More information

Chapter 2 - Part 1. The TCP/IP Protocol: The Language of the Internet

Chapter 2 - Part 1. The TCP/IP Protocol: The Language of the Internet Chapter 2 - Part 1 The TCP/IP Protocol: The Language of the Internet Protocols A protocol is a language or set of rules that two or more computers use to communicate 2 Protocol Analogy: Phone Call Parties

More information

Communication Networks ( ) / Fall 2013 The Blavatnik School of Computer Science, Tel-Aviv University. Allon Wagner

Communication Networks ( ) / Fall 2013 The Blavatnik School of Computer Science, Tel-Aviv University. Allon Wagner Communication Networks (0368-3030) / Fall 2013 The Blavatnik School of Computer Science, Tel-Aviv University Allon Wagner Kurose & Ross, Chapter 4 (5 th ed.) Many slides adapted from: J. Kurose & K. Ross

More information

Rýchlosť Mbit/s (download/upload) 15 Mbit / 1 Mbit. 50 Mbit / 8 Mbit. 80 Mbit / 10 Mbit. 10 Mbit / 1 Mbit. 12 Mbit / 2 Mbit.

Rýchlosť Mbit/s (download/upload) 15 Mbit / 1 Mbit. 50 Mbit / 8 Mbit. 80 Mbit / 10 Mbit. 10 Mbit / 1 Mbit. 12 Mbit / 2 Mbit. Fiber 5 Mbit ** 5 Mbit / Mbit 5,90 Fiber 50 Mbit * 50 Mbit / 8 Mbit 9,90 Fiber 80 Mbit * 80 Mbit / Mbit 5,90 Mini Mbit* Mbit / Mbit 9,90 Klasik 2 Mbit* 2 Mbit / 2 Mbit Standard 8 Mbit* 8 Mbit / 3Mbit Expert

More information

Lecture 8. Reminder: Homework 3, Programming Project 2 due on Thursday. Questions? Tuesday, September 20 CS 475 Networks - Lecture 8 1

Lecture 8. Reminder: Homework 3, Programming Project 2 due on Thursday. Questions? Tuesday, September 20 CS 475 Networks - Lecture 8 1 Lecture 8 Reminder: Homework 3, Programming Project 2 due on Thursday. Questions? Tuesday, September 20 CS 475 Networks - Lecture 8 1 Outline Chapter 3 - Internetworking 3.1 Switching and Bridging 3.2

More information

On Distributed Communications, Rand Report RM-3420-PR, Paul Baran, August 1964

On Distributed Communications, Rand Report RM-3420-PR, Paul Baran, August 1964 The requirements for a future all-digital-data distributed network which provides common user service for a wide range of users having different requirements is considered. The use of a standard format

More information

Introduction to TCP/IP networking

Introduction to TCP/IP networking Introduction to TCP/IP networking TCP/IP protocol family IP : Internet Protocol UDP : User Datagram Protocol RTP, traceroute TCP : Transmission Control Protocol HTTP, FTP, ssh What is an internet? A set

More information

Internet Protocol. Outline Introduction to Internet Protocol Header and address formats ICMP Tools CS 640 1

Internet Protocol. Outline Introduction to Internet Protocol Header and address formats ICMP Tools CS 640 1 Internet Protocol Outline Introduction to Internet Protocol Header and address formats ICMP Tools CS 640 1 Internet Protocol Runs on all hosts in the Internet and enables packets to be routed between systems

More information

Applied Networks & Security

Applied Networks & Security Applied Networks & Security TCP/IP Networks with Critical Analysis http://condor.depaul.edu/~jkristof/it263/ John Kristoff jtk@depaul.edu IT 263 Spring 2006/2007 John Kristoff - DePaul University 1 Critical

More information

Internet Control Message Protocol (ICMP), RFC 792. Prof. Lin Weiguo Copyleft 2009~2017, School of Computing, CUC

Internet Control Message Protocol (ICMP), RFC 792. Prof. Lin Weiguo Copyleft 2009~2017, School of Computing, CUC Internet Control Message Protocol (ICMP), RFC 79 Prof Lin Weiguo Copyleft 009~07, School of Computing, CUC Oct 07 Overview } The IP (Internet Protocol) relies on several other protocols to perform necessary

More information

OPTIMIZATION OF IPV6 PACKET S HEADERS OVER ETHERNET FRAME

OPTIMIZATION OF IPV6 PACKET S HEADERS OVER ETHERNET FRAME OPTIMIZATION OF IPV6 PACKET S HEADERS OVER ETHERNET FRAME 1 FAHIM A. AHMED GHANEM1, 2 VILAS M. THAKARE 1 Research Student, School of Computational Sciences, Swami Ramanand Teerth Marathwada University,

More information

! ' ,-. +) +))+, /+*, 2 01/)*,, 01/)*, + 01/+*, ) 054 +) +++++))+, ) 05,-. /,*+), 01/-*+) + 01/.*+)

! ' ,-. +) +))+, /+*, 2 01/)*,, 01/)*, + 01/+*, ) 054 +) +++++))+, ) 05,-. /,*+), 01/-*+) + 01/.*+) ! "#! # $ %& #! '!!!( &!)'*+' '(,-. +) /,*+), 01/-*+) + 01/.*+) ) 05,-. +))+, /+*, 2 01/)*,, 01/)*, + 01/+*, ) 054 +) +++++))+,3 4 +. 6*! ) ) ) ) 5 ) ) ) ) + 5 + + ) ) ) 5 9 + ) ) + 5 4 ) ) + ) 5, ) )

More information

Table of Contents. 1 Intrusion Detection Statistics 1-1 Overview 1-1 Displaying Intrusion Detection Statistics 1-1

Table of Contents. 1 Intrusion Detection Statistics 1-1 Overview 1-1 Displaying Intrusion Detection Statistics 1-1 Table of Contents 1 Intrusion Detection Statistics 1-1 Overview 1-1 Displaying Intrusion Detection Statistics 1-1 i 1 Intrusion Detection Statistics Overview Intrusion detection is an important network

More information