RFC (Request for Comments, Запрос на комментарии) - серия документов, публикуемая сообществом исследователей и разработчиков, руководствующихся практическими интересами, в которой описывается набор протоколов и обобщается опыт функционирования Интернет.
Мостом называют устройство канального уровня, которое соединяет два сегмента сети. Мост должен на основании MAC-адреса назначения принять решение о том надо ли пропустить ethernet-кадр из одного сегмента сети в другой. Коммутатор (switch) можно считать многопортовым мостом.
Мостом, так же, часто называют брандмауэр канального уровня: интерфейсам не присваиваются IP-адреса. При этом Ethernet кадры копируются с интерфейса на интерфейс, но проходят через фильтр. Таким образом, мост, как устройство канального уровня, не может быть детектирован злоумышленником. Он совершенно прозрачен для протоколов сетевого уровня OSI.
BSDA
BSD Associate — совокупность операционных систем семейства BSD: DragonFly BSD, FreeBSD, NetBSD и OpenBSD.
D
DOS атака
Атака типа Deny Of Service — отказ в обслуживании. Возможна в ом случае, если атакующий производит при атаке мЕньшую работу, чем атакуемый. Например, если непрерывно запрашивать WEB-ресурс, для генерирования которого на сервере выполняется сложный сценарий, можно добиться того, что сервер окажется перенапряжён и перестанет отвечать на запросы, либо будет отвечать с непозволительно большими задержками, т.е. произойдёт отказ в обслуживании.
DDOS атака
Атака типа Distributed DOS — распределённая атака типа DOS. Атакующий выстраивает «бот-сеть» и производит DOS атаку одновременно с большого числа компьютеров. За счёт распределённости ресурсов при таком способе атаки снимается требование на то, чтобы атакующий выполнял работу меньше чем атакуемый. При DDOS атаке можно обрушить сеть простым ping(8)ом.
DMZ
Demilitarized Zone — Демилитаризованная зона, так же называемая PSN (Private Service Network) это сеть содержащая в себе серверы, защищённая брандмауэром (возможно не одним) как от внешней сети Интернет, так и от внутренней локальной сети. Используется для защиты серверов от атак из внутренней, локальной сети, а так же для защиты локальной сети от взломщиков, которые могут захватить контроль над сервером используя различные уязвимости в его програмном обеспечении.
U
GNU
GNU is Not Unix — рекурсивныйакроним. Сообщество программистов разрабатывающих свободное програмное обеспечение под лицензией GPL. Многие продукты GNU вошли в состав различных BSD систем (например компилятор gcc(1)). Однако многие утилиты входящие в поставку BSD (например find(1)) не являются продуктом GNU, ведут себя несколько иначе, имеют слегка иной синтаксис.
GPL
General Public License. Лицензия под которой распространяются продукты GNU. Основное отличие от лицензии BSD состоит в том, что код защищённый лицензией GPL не может быть включён в другой (в том числе коммерческий) проект, без того, чтобы на него тоже была распространена лицензия GPL.
M
MDA
Mail Delivery Agent — агентподачипочты. Предназначен для предварительной обработки почты перед передачей её MTA. Устанавливается на нагруженных системах. Обычно работает на 587 порту.
MTA
Mail Transfer Agent — агент доставки почты. Програмный комплекс предназначенный для пересылки почты между хостами. Пример: sendmail, postfix, qmail, Microsoft Exchange.
MTU
Maximum Transmission Unit — максимальный размер (в байтах) кадра (на канальном уровне модели OSI).
MUA
Mail User Agent — Пользовательская программа, предназначенная для чтения почты и взаимодействия с MTA локально или удалённо при помощи протокола SMTP. Пример: mail, pine, mutt; графические варианты evolution, kmail, tunderbird, M2; в Windows известны такие MUA как TheBAT!, Outlook Express.
N
NAT
Network Adress Translation — трансляциясетевыхадресов. Один из способов скрыть целую сеть за одним адресом. Использование NAT необходимо в ситуации когда провайдер выделил адресов меньше чем компьютеров в сети. NAT описан в [RFC-1631].
NAT позволяет использовать блоки приватных адресов описанных в [RFC-1918]:
10.0.0.0/8
(от 10.0.0.0 до 10.255.255.255)
172.16.0.0/12
(от 172.16.0.0 до 172.31.255.255)
192.168.0.0/16
(от 192.168.0.0 до 192.168.255.255)
В процессе трансляции у исходящего пакета исходящий адрес IP подменяется на адрес сетевого интерфейса шлюза, а так же при необходимости меняется номер порта источника (если у шлюза данный порт уже занят). С ответными пакетами проделывается обратное преобразование.
Ни внутренняя машина, ни внешняя не знают о существовании NAT. Всё происходит прозрачно. Для внутренней машины NAT это просто шлюз, а внешняя машина ничего не знает о внутренней и считает, что соединение открыто шлюзом. NAT можно попытаться засечь только по косвенным признакам.
O
OSI
Сетевая модель OSI (англ. Open Systems Interconnection Reference Model — модель взаимодействия открытых систем) — абстрактная модель для сетевых коммуникаций и разработки сетевых протоколов.
Модель разбивает сетевые протоколы на семь уровней:
Ping of Death — смертельныйпинг. В норме, размер ICMP пакета echo request составляет 64 байта (84 байта с заголовком IP). Многие системы не могут обработать пакет ICMP echo request, длина которого превышает допустимый размер пакета IP (65535 байт). Отправка такого пакета может привести к падению системы на атакуемой машине. Такой пакет противоречит протоколу, однако отправить его довольно просто. Длинный ICMP пакет передаётся в фрагментированном виде и собираясь на атакуемой машине переполняет в ней буфер, что приводит к крушению операционной системы. Эта уязвимость была распространена повсеместно в UNIX, Linux, Windows, Mac, принтерах и маршрутизаторах. Однако она была исправлена практически во всех ситемах примерно в 1997-1998 годах.
В последние годы более актуальной стала другая атака основанная на пакетах ICMP echo request: ping flooding (см. DOS атака)
POSIX
Portable Operating System — последние буквы добавлены для созвучия со словом UNIX. POSIX это стандарт, которому должна отвечать операционная система для того, чтобы в ней могли запускаться программы предназначенные для UNIX.
«Магическая строка» с которой должны начинаться скрипты в UNIX. Первые два символа строки: #!, затем идёт название интерпретатора, которому будет подан на вход текст скрипта.
spoofing
Спуфинг — в заголовке IP пакета подделывается адрес источника. Спуфинг применяется для обхода аутентификации по IP адресу, а так же для выполнения сетевых атак. (Часто администраторы защищают систему от атак изнутри слабее, чем от атак снаружи, поэтому злоумышленник может попробовать прикинуться инсайдером.) Для борьбы со спуфингом применяют пакетные фильтры. Различают «ingress filtering» — запрет на прохождение внутрь системы пакетов с исходящими внутренними адресами; и «egress filtering» — запрет на выход из сети пакетов с исходящими адресами находящимися вне внутренней сети.
Протокол TCP имеет встроенный механизм для предотвращения спуфинга — так называемые номера последовательности и подтверждения (sequence number, acknowledgement number). Протокол UDP не имеет такого механизма, следовательно, построенные на его основе приложения более уязвимы для спуфинга. См. так же [url://buggzy-2002].
Термин «спуфинг» так же применяют применительно к подделке исходящих адресов в заголовках электронной почты и др.
stateful inspection
Фильтрация трафика с учётом состояния соединений. (См. такжеstateless inspection.)
В реализации более сложна, чем фильтрация без учёта состояний. stateful inspection трактует трафик не как множество независящих друг от друга пакетов, а как совокупность потоков, каждый из которых, принадлежит некоторому соединению. Все соединения в большинстве протоколов используют некоторое число, указывающее в каком порядке должны собираться пакеты в сокете назначения. Брандмауэр, использующий stateful inspection, на основании этого числа может опознать пакеты как принадлежащие одному соединению. В особенности это относится к протоколам поддерживающим информацию о соединениях. Таким как TCP.
Stateful брандмауэр может:
·определять состояние соединения
·определить, правильно ли открывается соединение и фильтровать трафик соответственно этому.
stateless inspection
Фильтрация трафика без учёта состояния соединений. (См. такжеstateful inspection.)
Каждый пакет брандмауэр фильтрует индивидуально, без учёта других пакетов. Такой брандмауэр прост в реализации и может быть эффективно использован для: