Универзитет Сингидунум
Факултет за информатику и рачунарство

Рачунарске мреже

Младен Веиновић, Александар Јевремовић

4.2.3. Фрагментовање података


Током свог пута од извора ка одредишту пакети Интернет протокола често путују кроз више посредних рачунарских мрежа. Ове мреже се могу знатно разликовати по пропусној моћи комуникационих канала и њиховој поузданости. У складу са тим, у неким мрежама може бити ограничена величина јединице података која се преноси (енгл. Maximum Transmission Unit, MTU). Ово ограничење може дефинисати мању дозвољену величину датаграма од величине актуелног датаграма који том мрежом треба да се пренесе. За решавање овог проблема развијена је функција Интернет протокола која се назива фрагментовањем података.


Слика 3.1.5-1. Пренос датаграма мрежама са различитим MTU параметром

Фрагментовање података је процес којим се датаграми деле на фрагменте да би се задовољило MTU ограничење мреже којим датаграм треба да се пренесе. На пример, на слици 1 приказана је ситуација у којој пошиљалац шаље датаграм чија је величина већа од највеће дозвољене величине датаграма у мрежи 2. Функцијом фрагментовања датаграм ће на рутеру који повезује мреже 1 и 2 бити подељен у одговарајући број фрагмената чија величина не прелази задато MTU ограничење мреже 2. Са друге стране, рутер који повезује мреже 2 и 3 извршиће реверзну функцију, односно, на основу добијених фрагмената реконструисаће оригинални датаграм и проследиће га ка одредишту кроз мрежу 3 (за коју величина датаграма не прелази постављено MTU ограничење).

За функцију фрагментовања датаграма значајни су битови од тридесет трећег до шездесет четвртог, односно поља са идентификацијом, назнакама и одступањем фрагмента (Identification, Flags,и Fragment Offset) у заглављу датаграма Интернет протокола. На основу поља за идентификацију датаграма спречава се мешање фрагмената различитих датаграма на пријемном рутеру. Друга назнака има задатак да забрани фрагментовање специфичних датаграма док трећа назнака указује да ли је у питању последњи фрагмент датаграма. На основу одступања датаграма одређује се позиција на којој ће садржај фрагмента бити укључен у садржај реконструисаног датаграма. Током преноса сваки од фрагмената третира се као засебан датаграм.

У одређеним ситуацијама потребно је забранити фрагментовање датаграма током његовог пута ка одредишту. За те потребе се користи раније поменути други индикатор у заглављу датаграма. У случају да је тај индикатор постављен, а да датаграм у току пута наиђе на мрежу чију највећу дозвољену величину јединице преноса његова величина прелази, рутер неће извршити фрагментовање већ ће датаграм одбацити а пошиљаоцу путем ICMP протокола послати поруку да је фрагментовање неопходно. Овакво понашање може се искористити за утврђивање „најужег грла“ на путу до одредишта путем итеративног повећавања величине датаграма ICMP протокола и његовог слања са укљученом назнаком да је забрањено фрагментовање. У итерацији у којој величина датаграма пређе најмању дозвољену величину на свим сегментима пута, пошиљалац ће добити ICMP поруку о немогућности даљег прослеђивања датаграма.

Иако фрагментовање датаграма представља неопходну функционалност Интернет протокола за пренос података посредством мрежа са ограниченом величином јединице преноса, коришћење фрагментовања може створити одређене безбедносне проблеме, односно, простор за онемогућавање нормалног рада рутера који врше фрагментовање. У најчешће нападе на мрежне уређаје, базиране на фрагментовању датаграма, спадају:

  • Слање фрагмената уз изостављање иницијалног фрагмента. На тај начин се рутер који прима фрагменте доводи у ситуацију да заузима ресурсе у ишчекивању иницијалног фрагмента.

  • Слање фрагмената са истим параметром одступања и довођење рутера у ситуацију да троши ресурсе на преписивање садржаја.

  • Слање фрагмената са одступањима мањим од дужине већ послатог садржаја. Овај напад се назива и Teardrop а код ранијих верзија UNIX, Windows и Линукс оперативних система могао је да доведе до њиховог обарања.

  • Слање фрагмената датаграма ICMP протокола са последњим фрагментом чије је одступање повећано тако да укупна величина прелази 65.536 бајтова. Овај напад се назива и Ping of Death а код ранијих верзија UNIX, Windows и Линукс оперативних система могао је да доведе до њиховог обарања.

  • Константно слање фрагмената без назнаке да је у питању последњи фрагмент. На тај начин се заузима радна меморија рутера и угрожава његов нормалан и ефикасан рад.

Ефекат већине наведених напада, базираних на фрагментовању датаграма Интернет протокола, на савременим мрежним уређајима и оперативним системима је неутралисан или у великој мери умањен развојем одговарајућих процедура за препознавање и обраду.

 
Internet marketing
Преузмите ПДФ целе књиге
Заштита у рачунарским мрежама
Овладајте Веб развојем и РНР програмирањем
Овладајте савременим базама података
Обратите се ауторима:
Ваша имејл адреса:
Ваше име:
Порука:
Безбедносни код:
Captcha
Research Gate
Слика [Chapter:Number]