שיעור 10: אבטחת מידע בשכבת הנתונים והרשת
פרוטוקולי הליבה של האינטרנט — ARP, IP, TCP, UDP — תוכננו במקור בהנחה שגויה שכל רכיבי הרשת אמינים. אין בהם אימות מובנה ואין הצפנה כברירת מחדל. השיעור הזה עולה שכבה מעל השכבה הפיזית: נראה איך חוסר האימות הזה מנוצל בתוך רשת מקומית (Layer 2) וברמת הרשת והתעבורה (Layer 3/4), ולמה זה פוגע בכל שלושת עקרונו
בקצרה: ARP לא בודק מי שולח, IP לא בודק מי באמת מקור החבילה, ו-UDP לא זוכר שום שיחה. כל זה הופך זיוף (Spoofing) לקל להפתיע — הן בתוך הרשת המקומית והן ברמת האינטרנט.
- ARP Spoofing ו-ARP Poisoning
- שליחת תגובות ARP מזויפות כדי לגרום למחשב (Spoofing) או לרשת שלמה (Poisoning) להאמין שכתובת ה-MAC של התוקף שייכת לגורם לגיטימי, כמו הראוטר.
- MAC Flooding
- הצפת טבלת ה-CAM של מתג ברשת באלפי כתובות MAC מזויפות, עד שהיא מתמלאת והמתג נכנס למצב 'Fail Open' ומתחיל לשדר הכל לכולם, כמו Hub.
- Session Hijacking (חטיפת שיחה)
- השתלטות על שיחת TCP קיימת ומאומתת, בדרך כלל על ידי חיזוי או לכידת מספר הרצף (Sequence Number), ניתוק הקורבן, והמשך השיחה במקומו.
- SYN Flood
- הצפת שרת בבקשות SYN רבות מבלי להשלים את לחיצת היד המשולשת, עד שתור ה-SYN שלו מתמלא בחיבורים 'פתוחים למחצה' והוא מפסיק לקבל חיבורים חדשים.
- UDP Amplification
- ניצול שרתים ציבוריים (DNS, NTP) שמחזירים תשובה גדולה בהרבה מהבקשה, כאשר כתובת המקור המזויפת בבקשה היא כתובת הקורבן — כך תשובה ענקית מוצפת עליו במקום על התוקף.