ホストアイデンティティ
ホストネットワークアイデンティティは密接にバインドされます。 ホストの任意のネットワークに接続していないことがすべての名前は、名前は、ローカルでのみ使用されます。 ホスト、ネットワークに接続するには多くの名前、または1つの名前に応じて、どのようにインターフェイスをネットワークに接続しているコンテキストでは、構造化され、その名前が使用されます。 そのiso / osiモデルのコンテキストを提供するための問題を命名します。 リコールして、そのiso / osiモデルは、シリーズのレイヤで構成されます。 各ホストは、概念的には、それぞれの層には、校長が他のホストと通信するピアします。 校長校長は、これらのコミュニケーションを同じ層を他のホストします。 各校長が異なることができて、個別のホスト名(とも呼ばれる"アドレス" )の各層します。 すべて同じホスト名を識別し、それぞれの1つを指している特定のホストのコンテキストで機能します。
shoch示唆してある"名前"を識別して、校長と"アドレス"を識別して校長はどこに位置します。 身分証明書のホストのコンテキストで、 "アドレス"を示し、ネットワーク上のどこに(そして、時折、特定のネットワーク)のホストがあります。 "名前"を示すには、何のドメインのホストに居住して、特定のアドレスに対応しています。 もののshochの用語では、多くの有益な文脈では、この文脈での場所を識別するだけであると同様、校長の名前です。 区別することはありません2つのコンテキストで識別します。 になりすますことができた場合、攻撃者の身元別のホスト、すべてのプロトコルに頼ることにしてカードに頼っているため、不完全な前提とは、なりすまします。 ときには、ホスト名の順序は、それぞれ、上記の名前に頼って、そして、攻撃者が偽装の最初のカードの他のすべての身元が妥協します。 たとえば、ホストのipアイデンティティアイデンティティに基づいています。 同様に、個人情報のipを基にしてイーサネットカードです。 エントリを変更することができた場合、攻撃者のデータベースのマッピングを含む下位レベルのアイデンティティをより高いレベルの個人情報は、 1つのホストなりすますことができ、攻撃のトラフィックを別のルーティングされます。 静的および動的な識別子識別子静的または動的いずれかをすることができます。 静的な識別子はありません経時変化;識別子のどちらかを動的に変化するイベントの結果として(のような接続を確立するネットワーク)またはそれ以上の時間です。 データベース間のマッピング別の名前が含まれます。 よく知られているのは、これらのドメイン名サービス( dns )の、これアソシエイツのホスト名とipアドレスです。 での不在のホストの認証暗号化、整合性を提供するためには、 dnsの弱い認証します。
その信念は、信頼性のホスト名に依存してこのような場合は、 dnsデータベースの整合性 フローティング識別子が割り当てられている校長は、限られた時間です。 通常、サーバーを維持するプールの識別子です。 クライアントの連絡先を使用してサーバの間で合意した2つの識別子(ローカル識別子)します。 サーバーがクライアントに送信される固有の識別子を使用することができ、他のコンテキスト(グローバル識別子)および任意の中間に通知ホスト(ゲートウェイなど)の同協会の間で、ローカルとグローバル識別子です。
ゲートウェイ間の翻訳することができ、ローカルアドレスとグローバルアドレスです。
での不在の暗号化、認証を使って動的なネーミングとは違うネーミング静的な認証を使用します。 主な問題は、校長協会の身元をやり直す時間が異なりますので、任意の認証に基づいて、アカウントの名前でもなければ、時間をします。 たとえば、次のエントリをdnsの記録に対応していません名前を動的に更新するたびに再割り当ての名前は、ドメインの逆ルックアップ法の認証に失敗します。
逆ルックアップドメイン認証技術に対応し、校長の財産をチェックする(それが何か)と命名静的なので、そのことを校長の名前は永久に縛られました。 しかし、それに対応するテクニックをチェックするの所持校長(どのようなことが)に、動的なネーミングため、校長は、ある時点での名前を放棄しています。 安全保障問題で、ドメイン名のサービス理解したときの中心は、データベースの信頼して個人情報が記録会では、校長の重要な個人情報の正確性を理解しています。 この例では、 dnsを提供します。 その信念は、信頼性をこのような場合は、ホスト名に頼っているの整合性dnsデータベースします。 もし同協会の間でのホスト名とipアドレスが破損することができ、問題の識別されるホストに関連付けられて間違っています。 攻撃には、いくつかのdnsしています。 の目標は、これらの攻撃の原因となるの犠牲者を誤って特定のアドレスに関連付けることで、ホスト名とします。 彼らを制御することができ、攻撃を想定して、権威のドメインネームサーバーからの応答をします。 "コントロール"を意味し、攻撃者が制御するサーバーの名前を問い合わせることができますクエリを傍受して、独自のサーバーとの回答を返しました。 レコードを関連付けることができ、攻撃者のアドレスを変更するには、ホスト名、 1つのクエリを返すようにするために、他の答えが間違っています。 2つ目の手法として知られる"キャッシュ中毒"に依存して、サーバーの能力を追加するレコードをクエリの回答をします。 このケースでは、余分なレコードを追加しました協会の情報が間違っています。 シューバはこの逆の方法を実証するname lookupを侵害することができます。 攻撃の犠牲者に接続します。 クエリの犠牲者のためには、ホスト名のdns ipアドレスに関連付けられています。 攻撃することにより、 2つのレコードが返されます:偽のホスト名を記録すると、関連付けられているipアドレス、およびその逆を記録します。 ピギーバッキングdnsプロトコルを使用して、このキャッシュを有効にするにクライアントを記録します。 キャッシュがオンにする前にすべてのレコードはサーバーから要求されるため、この可能性を保存するネットワークリクエストします。 第3の技法( "聞いて" )は、似たような:攻撃する準備をして犠牲者のリクエストが解決されなければなら照会して攻撃します。 クエリの犠牲者を攻撃したとき、その答えを返し、攻撃だけでなく、 2つの記録をマッピングしようとして彼はパロディー(フォワードマッピングのための1つは、 1つはその逆)します。 連結ベースの暗号化技術の賢明な使い方を注意深くdnsサーバーの管理を効果的に制限することができ、このような攻撃を使用する能力を攻撃します。 インフラストラクチャの下では、設計と開発をサポートします。 これは、記事を追加したフレッドフォスター
|
|||||||
|