Файл: Системы управления, связи и безопасности 4. 2018 Systems of Control, Communication and Security.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 04.12.2023
Просмотров: 94
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
i-м и j-м абонентами
ИСС ВН. Порядок формирования деревьев графа известен и описан (см., например, [34]).
Системы управления, связи и безопасности
№4. 2018
Systems of Control, Communication and Security
sccs.intelgr.com
URL: http://sccs.intelgr.com/archive/2018-04/08-Sherstobitov.pdf
158
Построение маршрутов связи между абонентами на основе деревьев гра- фа сети связи обеспечивает нахождение всех возможных маршрутов связи и их незамкнутость, т.е. исключает неприемлемые для передачи сообщений замкну- тые маршруты.
Для обоснования и объективного выбора безопасного, допустимых и мас- кирующих маршрутов связи из совокупности N
ij
возможных маршрутов связи между i-м и j-м абонентами сети вычисляют средние показатели безопасности ср
ij
k
как среднее арифметическое комплексных показателей безопасности
n
k
узлов сети, входящих в n-ый маршрут связи: ср
1
z
n
n
ij
l
k
k
z
(10)
Используя результаты, полученные при вычислении комплексных пока- зателей безопасности узлов сети разными способами, вычисляются средние по- казатели безопасности ср
ij
k
маршрутов связи сформированных между i-м и j-м абонентами сети. В качестве безопасного маршрута выбирают и запоминают маршрут n с максимальным средним показателем безопасности.
Далее сравнивают значения средних показателей безопасности маршру- тов ср
ij
k
с предварительно заданным допустимым значением доп
ij
k
. Те маршру- ты, значения средних показателей безопасности которых удовлетворяют усло- вию ср доп
ij
ij
k
k
, запоминают как допустимые маршруты доп
ij
N
. Далее форми- руют совокупность возможных допустимых маршрутов связи L между каждой парой абонентов сетии запоминают сформированные L маршрутов.
Такие маршруты используют для передачи по ним конструктивного тра- фика. В том случае, если по результатам сравнения комплексных показателей безопасности маршрутов ср
ij
k
с предварительно заданным допустимым значе- нием доп
ij
k
выявляют те маршруты, что удовлетворяют условию ср доп
ij
ij
k
k
, то такие маршруты запоминают как маскирующие маск
ij
N
маршруты.
Такие маршруты используют для передачи по ним маскирующих (лож- ных) сообщений. Таким образом, формируют множество маскирующих марш- рутов между всеми абонентами сети.
Для иллюстрации примера расчетов в соответствии с предложенной ранее структурой сети связи сформируем совокупность возможных маршрутов связи между абонентами А
i
, А
j
и выявим среди них маскирующие (см. табл. 3).
В данном случае маскирующими маршрутами между абонентами А
i
или
А
j
предлагается использовать маршруты №№ 7, 9, 12, 13.
После запоминаниямаскирующих маршрутов маск
ij
N
со значениями сред- них показателей безопасности ср доп
ij
ij
k
k
, строят карту сети со значениями
MTU узлов сети, принадлежащих маскирующему маршруту, для чего вычисля-
Системы управления, связи и безопасности
№4. 2018
Systems of Control, Communication and Security
sccs.intelgr.com
URL: http://sccs.intelgr.com/archive/2018-04/08-Sherstobitov.pdf
159 ют значения MTU каждого узла сети, принадлежащего маскирующему марш- руту маск
ij
N
, и запоминают их в массиве памяти
MTU
ij
M
Таблица 3 – Расчет средних показателей безопасности маршрутов связи
Маршруты
Nij=15
Номера узлов в n-м маршруте
Количество узлов zn в n-м маршруте
Средний показатель безопасности k
cp
ijn
n-ого маршрута
n = 1 1-5-11 3
2,3 0,45 0,8
n = 2 1-8-11 3
2,0 0,34 0,7
n = 3 1-6-11 3
2,0 0,34 0,7
n = 4 1-7-11 3
1,9 0,33 0,6
n = 5 1-5-8-11 4
2,0 0,35 0,7
n = 6 1-8-6-11 4
1,8 0,27 0,6
n = 7 1-3-4-9-11 5
1,5 0,21 0,5
n =8 1-5-8-6-11 5
1,9 0,30 0,6
n = 9 1-3-10-2-11 5
1,5 0,21 0,5
n = 10 1-5-10-2-11 5
1,8 0,29 0,6
n = 11 1-3-10-5-11 5
1,7 0,28 0,6
n = 12 1-3-4-10-2-11 6
1,4 0,18 0,5
n = 13 1-3-10-4-9-11 6
1,4 0,18 0,5
n = 14 1-5-10-4-9-11 6
1,7 0,24 0,6
n = 15 1-5-10-4-9-11 6
1,7 0,2 0,6
Каждому каналу сети связи (определяется по передающему интерфейсу узла сети – маршрутизатора) соответствует максимальный размер передаваемо- го блока данных (MTU, Maximum Transmission Unit). Каждый сегмент переда- ваемых данных должен помещаться в MTU, чтобы он мог передаваться в одном пакете, не разделенном на фрагменты [35]. Для вычисления значения MTU каждого узла сети, принадлежащего маскирующему маршруту, применяют процедуру Path MTU Discovery, как это описано, например, в технических спе- цификациях (RFC, Request for Comments) сети Интернет [31].
Для передачи маскирующих (ложных) сообщений с целью введения нарушителей в заблуждение относительно структуры сети связи формируют совокупность возможных маскирующих маршрутов связи G между каждой па- рой абонентов сетии запоминают сформированные G маршруты.
После запоминания сформированных G маскирующих маршрутов связи выбирают для каждого маскирующего маршрута связи G узел-терминатор мас- кирующего сообщения G
T
и запоминают его. Выбор узла-терминатора маски- рующего сообщения G
T
необходим для того, чтобы улучшить показатель свое- временности доставки пакетов сообщений принимающему абоненту. Этого до- стигают тем, что пакеты маскирующих сообщений не будут доставляться при- нимающему абоненту (если он не является ложным), а будут уничтожаться на узле-терминаторе. В результате принимающий абонент не будет перегружен маскирующими сообщениями, и показатель своевременности доставки ему конструктивных (не маскирующих) сообщений будет улучшен.
В том случае, если принимающий абонент является ложным, то в каче-
Системы управления, связи и безопасности
№4. 2018
Systems of Control, Communication and Security
sccs.intelgr.com
URL: http://sccs.intelgr.com/archive/2018-04/08-Sherstobitov.pdf
160 стве узла-терминатора маскирующего сообщения G
T
выбирают принимающего абонента.
Затем считывают из массива памяти
MTU
ij
M
значение MTU узла- терминатора маскирующего сообщения G
T
и запоминают его. В качестве узла- терминатора маскирующего сообщения G
T
выбирают узел сети, принадлежа- щий маскирующему маршруту связи, который прекращает дальнейшую пере- дачу пакетов маскирующих сообщений, если длина g-го фрагмента сообщения больше принятого на узле-терминаторе значения MTU. При сравнении длины
g-го фрагмента сообщения с принятым значением MTU узла-терминатора мас- кирующего сообщения G
T
учитывают длину служебной части пакета сообще- ния, добавляемую при передаче адресату к каждому пакету сообщений.
С одной стороны значение MTU маскирующего пакета сообщений долж- но быть меньшим или равным минимальному значению MTU на всем маршру- те следования пакета до узла-терминатора. С другой стороны значение MTU маскирующего пакета сообщений должно быть большим чем значение MTU узла-терминатора, чтобы маскирующий трафик не доходил до получателя. При использовании только Path MTU Discovery возможно нахождение наименьшего значения MTU на промежуточном интервале. В этом случае маскирующий трафик будет терминироваться на транзитном узле, не доходя до узла- терминатора.
В связи с этим, если минимальное значение MTU находится не на узле, где мы планируем назначить узел-терминатор маскирующего трафика, предла- гается дополнительно согласовывать между абонентами TCP MSS и задавать необходимое его значение. Суть процедуры TCP MSS заключается в определе- нии максимального размера данных, который машина готова получить через один TCP сегмент. Сам TCP сегмент инкапсулируется в IP-пакет. Значение
MSS передается в заголовке TCP SYN при установлении соединения между двумя узлами (через механизм трехэтапного установления соединения).
Далее формируют сообщения, включающие запомненные безопасные б
ij
N
, допустимые и маскирующие маршруты между i-м и всеми j-ми абонентами, идентификаторы ID
аj
и адреса IP
аj
всех j-х абонентов, а также значение MTU уз- ла-терминатора маскирующего сообщения G
T
между i-м и всеми j-ми абонен- тами. Отправляют сформированные сообщения по безопасным маршрутам всем
i-м абонентам сети и принимают их абонентами сети. Для передачи сообщений между абонентами по безопасному маршруту по идентификатору абонента- получателя сообщения ID
а
выбирают его адрес IP
а
и безопасный маршрут б
ij
N
Таким образом, каждого абонента сети уведомляют о безопасных, допу- стимых и маскирующих маршрутах ко всем остальным абонентам, а также о значениях MTU, которые необходимо устанавливать для маскирующих сооб- щений, чтобы они уничтожались на выбранном узле-терминаторе каждого мас- кирующего маршрута.
Исходящие сообщения фрагментируют на L фрагментов и передают фрагменты сообщения по L возможным допустимым маршрутам связи. При подключении нового абонента к сети связи ему доводятся сообщения о безопас-
Системы управления, связи и безопасности
№4. 2018
Systems of Control, Communication and Security
sccs.intelgr.com
URL: http://sccs.intelgr.com/archive/2018-04/08-Sherstobitov.pdf
161 ном, допустимых L и маскирующих G маршрутах ко всем абонентам сети, а остальных абонентов уведомляют о безопасном, допустимых L и маскирующих
G маршрутах к новому абоненту.
Для формирования маскирующих сообщений генерируют ложные исход- ные пакеты данных, в информационную часть которых записывают случайную или произвольную цифровую последовательность (случайную последователь- ность сигналов логический «0» и логическая «1»).
После формированиямаскирующих сообщений, содержащих маскирую- щую информацию, фрагментируют маскирующие сообщения на g фрагментов.
Фрагментация маскирующих сообщений необходима для уменьшения среднего времени нахождения в очереди конструктивных (немаскирующих) пакетов, имеющих больший приоритет при отправке в сеть. Однако фрагментированные маскирующие сообщения могут иметь длину меньшую, чем MTU узла- терминатора или большую чем MTU транзитных узлов. Следовательно, маски- рующий трафик будет доходить до конечного абонента или будет терминиро- ваться на другом транзитном узле, что не будет соответствовать замыслу вве- дения в заблуждение противника.
Для устранения этого противоречия необходимо сравнивать длину каж- дого g-го фрагмента с принятым значением MTU узла-терминатора маскирую- щего сообщения G
T
, а также MTU транзитных узлов. Сравнение необходимо для того, чтобы определить, будет ли уничтожен пакет маскирующего сообще- ния на узле-терминаторе. При сравнении длины g-го фрагмента маскирующего сообщения с принятыми значениями MTU узла-терминатора и транзитных уз- лов учитывают длину служебной части пакета сообщения, добавляемую при передаче адресату к каждому пакету сообщений. И в случае, если длина g-го фрагмента больше принятого значения MTU узла-терминатора маскирующего сообщения G
T
и меньше или равна значений MTU транзитных узлов, то запре- щают последующую фрагментацию IP-пакета сообщений при его передаче по сети связи. Для запрещения фрагментации IP-пакета сообщений при его пере- даче по сети связи устанавливают в единицу значение флага DF (Do not
Fragment) «не фрагментировать» в заголовке IP-пакета сообщений. Установка этого флага в единицу означает запрет последующей фрагментации [36], что приводит к запрету ретрансляции пакета сообщений дальше узла-терминатора.
Затем передают сформированные маскирующие сообщения по выбранному маскирующему маршруту связи.
В противном случае, то есть, если длина g-го фрагмента меньше или рав- на принятому значению MTU узла-терминатора маскирующего сообщения G
T
, то дефрагментируют маскирующее сообщение. Для чего объединяют между собой два или более фрагмента маскирующих сообщений, но с таким условием, что длина g-го фрагмента маскирующего сообщения будет меньше или равна значений MTU транзитных узлов.
Таким образом, за счет динамического изменения длины пакетов маски- рующих сообщений, достигают уменьшения среднего времени ожидания в оче- реди пакетов сообщений у передающего абонента.
Системы управления, связи и безопасности
№4. 2018
Systems of Control, Communication and Security
sccs.intelgr.com
URL: http://sccs.intelgr.com/archive/2018-04/08-Sherstobitov.pdf
162
Маскирующий обмен реализуется между каждой парой абонентов УС ПУ или от точек истока по T
M
до G
T
. При этом маскирование между абонентами может осуществляться в зависимости от замысла обмана: как по одному маршруту, так и по нескольким (тогда заданную интенсив- ность МО необходимо разделить на количество задействованных в обмене маршрутов); в специально выделенный промежуток времени (в этом случае необходи- мо иметь уверенность в том, что именно в этот момент времени был обеспечен контакт технического средства разведки с каналом связи), или постоянно, но не превышая рассчитанной максимальной нагрузки.
Итоговая схема связи между абонентами А
i
или А
j
, включающая допу- стимые и маскирующие маршруты представлена на рис. 9. допустимые маршруты связи между абонентами
УС (ПУ)
узлы связи пунктов управления
СБ
сервер безопасности абоненты сети маскирующие маршруты связи между абонентами
(G
T
)
узел-терминатор маскирующих сообщений компьютерная разведка противника
А i
А j
(G
T
)
(G
T
)
УС 5
транзитные узлы связи
MTU = 4464
MTU = 1400
MTU = 1400
MTU = 4352
MTU = 1300
MTU = 4352
MTU = 1400
MTU = 1300
Пакет МС
MTU=1400
Пакет МС
MTU=1400
Пакет МС
MTU=1400
После TSP
MSS
MTU = 1240 1
2
УС (ПУ)
1, СБ
УС (ПУ)
11
УС 5
УС 8
УС 6
УС 7
УС 4
УС 3
УС 10
УС 2
УС 9
Рис. 9. Итоговая схема связи между абонентами А
i
или А
j
Результаты моделирования
Результаты использования методики могут быть проверены при помощи эксперимента на имитационной модели. Это необходимо для того, чтобы учесть случайные помехи среды ССОП, и получить численную оценку выиг- рыша от ее применения.
В качестве программного обеспечения которой используется объектно- ориентированная среда моделирования UNetLab, где все объекты сети задаются и настраиваются по параметрам.
Экспериментальный макет ИСС ВН представлен 9-ю абонентами УС ПУ и объединяющей их сетью (рис. 10). Абоненты УС соответствующих ПУ обме- ниваются двумя видами трафика в обоих направлениях. Один вид трафика представляет собой полезную нагрузку, другой – маскирующий обмен.
ИСС ВН. Порядок формирования деревьев графа известен и описан (см., например, [34]).
Системы управления, связи и безопасности
№4. 2018
Systems of Control, Communication and Security
sccs.intelgr.com
URL: http://sccs.intelgr.com/archive/2018-04/08-Sherstobitov.pdf
158
Построение маршрутов связи между абонентами на основе деревьев гра- фа сети связи обеспечивает нахождение всех возможных маршрутов связи и их незамкнутость, т.е. исключает неприемлемые для передачи сообщений замкну- тые маршруты.
Для обоснования и объективного выбора безопасного, допустимых и мас- кирующих маршрутов связи из совокупности N
ij
возможных маршрутов связи между i-м и j-м абонентами сети вычисляют средние показатели безопасности ср
ij
k
как среднее арифметическое комплексных показателей безопасности
n
k
узлов сети, входящих в n-ый маршрут связи: ср
1
z
n
n
ij
l
k
k
z
(10)
Используя результаты, полученные при вычислении комплексных пока- зателей безопасности узлов сети разными способами, вычисляются средние по- казатели безопасности ср
ij
k
маршрутов связи сформированных между i-м и j-м абонентами сети. В качестве безопасного маршрута выбирают и запоминают маршрут n с максимальным средним показателем безопасности.
Далее сравнивают значения средних показателей безопасности маршру- тов ср
ij
k
с предварительно заданным допустимым значением доп
ij
k
. Те маршру- ты, значения средних показателей безопасности которых удовлетворяют усло- вию ср доп
ij
ij
k
k
, запоминают как допустимые маршруты доп
ij
N
. Далее форми- руют совокупность возможных допустимых маршрутов связи L между каждой парой абонентов сетии запоминают сформированные L маршрутов.
Такие маршруты используют для передачи по ним конструктивного тра- фика. В том случае, если по результатам сравнения комплексных показателей безопасности маршрутов ср
ij
k
с предварительно заданным допустимым значе- нием доп
ij
k
выявляют те маршруты, что удовлетворяют условию ср доп
ij
ij
k
k
, то такие маршруты запоминают как маскирующие маск
ij
N
маршруты.
Такие маршруты используют для передачи по ним маскирующих (лож- ных) сообщений. Таким образом, формируют множество маскирующих марш- рутов между всеми абонентами сети.
Для иллюстрации примера расчетов в соответствии с предложенной ранее структурой сети связи сформируем совокупность возможных маршрутов связи между абонентами А
i
, А
j
и выявим среди них маскирующие (см. табл. 3).
В данном случае маскирующими маршрутами между абонентами А
i
или
А
j
предлагается использовать маршруты №№ 7, 9, 12, 13.
После запоминаниямаскирующих маршрутов маск
ij
N
со значениями сред- них показателей безопасности ср доп
ij
ij
k
k
, строят карту сети со значениями
MTU узлов сети, принадлежащих маскирующему маршруту, для чего вычисля-
Системы управления, связи и безопасности
№4. 2018
Systems of Control, Communication and Security
sccs.intelgr.com
URL: http://sccs.intelgr.com/archive/2018-04/08-Sherstobitov.pdf
159 ют значения MTU каждого узла сети, принадлежащего маскирующему марш- руту маск
ij
N
, и запоминают их в массиве памяти
MTU
ij
M
Таблица 3 – Расчет средних показателей безопасности маршрутов связи
Маршруты
Nij=15
Номера узлов в n-м маршруте
Количество узлов zn в n-м маршруте
Средний показатель безопасности k
cp
ijn
n-ого маршрута
n = 1 1-5-11 3
2,3 0,45 0,8
n = 2 1-8-11 3
2,0 0,34 0,7
n = 3 1-6-11 3
2,0 0,34 0,7
n = 4 1-7-11 3
1,9 0,33 0,6
n = 5 1-5-8-11 4
2,0 0,35 0,7
n = 6 1-8-6-11 4
1,8 0,27 0,6
n = 7 1-3-4-9-11 5
1,5 0,21 0,5
n =8 1-5-8-6-11 5
1,9 0,30 0,6
n = 9 1-3-10-2-11 5
1,5 0,21 0,5
n = 10 1-5-10-2-11 5
1,8 0,29 0,6
n = 11 1-3-10-5-11 5
1,7 0,28 0,6
n = 12 1-3-4-10-2-11 6
1,4 0,18 0,5
n = 13 1-3-10-4-9-11 6
1,4 0,18 0,5
n = 14 1-5-10-4-9-11 6
1,7 0,24 0,6
n = 15 1-5-10-4-9-11 6
1,7 0,2 0,6
Каждому каналу сети связи (определяется по передающему интерфейсу узла сети – маршрутизатора) соответствует максимальный размер передаваемо- го блока данных (MTU, Maximum Transmission Unit). Каждый сегмент переда- ваемых данных должен помещаться в MTU, чтобы он мог передаваться в одном пакете, не разделенном на фрагменты [35]. Для вычисления значения MTU каждого узла сети, принадлежащего маскирующему маршруту, применяют процедуру Path MTU Discovery, как это описано, например, в технических спе- цификациях (RFC, Request for Comments) сети Интернет [31].
Для передачи маскирующих (ложных) сообщений с целью введения нарушителей в заблуждение относительно структуры сети связи формируют совокупность возможных маскирующих маршрутов связи G между каждой па- рой абонентов сетии запоминают сформированные G маршруты.
После запоминания сформированных G маскирующих маршрутов связи выбирают для каждого маскирующего маршрута связи G узел-терминатор мас- кирующего сообщения G
T
и запоминают его. Выбор узла-терминатора маски- рующего сообщения G
T
необходим для того, чтобы улучшить показатель свое- временности доставки пакетов сообщений принимающему абоненту. Этого до- стигают тем, что пакеты маскирующих сообщений не будут доставляться при- нимающему абоненту (если он не является ложным), а будут уничтожаться на узле-терминаторе. В результате принимающий абонент не будет перегружен маскирующими сообщениями, и показатель своевременности доставки ему конструктивных (не маскирующих) сообщений будет улучшен.
В том случае, если принимающий абонент является ложным, то в каче-
Системы управления, связи и безопасности
№4. 2018
Systems of Control, Communication and Security
sccs.intelgr.com
URL: http://sccs.intelgr.com/archive/2018-04/08-Sherstobitov.pdf
160 стве узла-терминатора маскирующего сообщения G
T
выбирают принимающего абонента.
Затем считывают из массива памяти
MTU
ij
M
значение MTU узла- терминатора маскирующего сообщения G
T
и запоминают его. В качестве узла- терминатора маскирующего сообщения G
T
выбирают узел сети, принадлежа- щий маскирующему маршруту связи, который прекращает дальнейшую пере- дачу пакетов маскирующих сообщений, если длина g-го фрагмента сообщения больше принятого на узле-терминаторе значения MTU. При сравнении длины
g-го фрагмента сообщения с принятым значением MTU узла-терминатора мас- кирующего сообщения G
T
учитывают длину служебной части пакета сообще- ния, добавляемую при передаче адресату к каждому пакету сообщений.
С одной стороны значение MTU маскирующего пакета сообщений долж- но быть меньшим или равным минимальному значению MTU на всем маршру- те следования пакета до узла-терминатора. С другой стороны значение MTU маскирующего пакета сообщений должно быть большим чем значение MTU узла-терминатора, чтобы маскирующий трафик не доходил до получателя. При использовании только Path MTU Discovery возможно нахождение наименьшего значения MTU на промежуточном интервале. В этом случае маскирующий трафик будет терминироваться на транзитном узле, не доходя до узла- терминатора.
В связи с этим, если минимальное значение MTU находится не на узле, где мы планируем назначить узел-терминатор маскирующего трафика, предла- гается дополнительно согласовывать между абонентами TCP MSS и задавать необходимое его значение. Суть процедуры TCP MSS заключается в определе- нии максимального размера данных, который машина готова получить через один TCP сегмент. Сам TCP сегмент инкапсулируется в IP-пакет. Значение
MSS передается в заголовке TCP SYN при установлении соединения между двумя узлами (через механизм трехэтапного установления соединения).
Далее формируют сообщения, включающие запомненные безопасные б
ij
N
, допустимые и маскирующие маршруты между i-м и всеми j-ми абонентами, идентификаторы ID
аj
и адреса IP
аj
всех j-х абонентов, а также значение MTU уз- ла-терминатора маскирующего сообщения G
T
между i-м и всеми j-ми абонен- тами. Отправляют сформированные сообщения по безопасным маршрутам всем
i-м абонентам сети и принимают их абонентами сети. Для передачи сообщений между абонентами по безопасному маршруту по идентификатору абонента- получателя сообщения ID
а
выбирают его адрес IP
а
и безопасный маршрут б
ij
N
Таким образом, каждого абонента сети уведомляют о безопасных, допу- стимых и маскирующих маршрутах ко всем остальным абонентам, а также о значениях MTU, которые необходимо устанавливать для маскирующих сооб- щений, чтобы они уничтожались на выбранном узле-терминаторе каждого мас- кирующего маршрута.
Исходящие сообщения фрагментируют на L фрагментов и передают фрагменты сообщения по L возможным допустимым маршрутам связи. При подключении нового абонента к сети связи ему доводятся сообщения о безопас-
Системы управления, связи и безопасности
№4. 2018
Systems of Control, Communication and Security
sccs.intelgr.com
URL: http://sccs.intelgr.com/archive/2018-04/08-Sherstobitov.pdf
161 ном, допустимых L и маскирующих G маршрутах ко всем абонентам сети, а остальных абонентов уведомляют о безопасном, допустимых L и маскирующих
G маршрутах к новому абоненту.
Для формирования маскирующих сообщений генерируют ложные исход- ные пакеты данных, в информационную часть которых записывают случайную или произвольную цифровую последовательность (случайную последователь- ность сигналов логический «0» и логическая «1»).
После формированиямаскирующих сообщений, содержащих маскирую- щую информацию, фрагментируют маскирующие сообщения на g фрагментов.
Фрагментация маскирующих сообщений необходима для уменьшения среднего времени нахождения в очереди конструктивных (немаскирующих) пакетов, имеющих больший приоритет при отправке в сеть. Однако фрагментированные маскирующие сообщения могут иметь длину меньшую, чем MTU узла- терминатора или большую чем MTU транзитных узлов. Следовательно, маски- рующий трафик будет доходить до конечного абонента или будет терминиро- ваться на другом транзитном узле, что не будет соответствовать замыслу вве- дения в заблуждение противника.
Для устранения этого противоречия необходимо сравнивать длину каж- дого g-го фрагмента с принятым значением MTU узла-терминатора маскирую- щего сообщения G
T
, а также MTU транзитных узлов. Сравнение необходимо для того, чтобы определить, будет ли уничтожен пакет маскирующего сообще- ния на узле-терминаторе. При сравнении длины g-го фрагмента маскирующего сообщения с принятыми значениями MTU узла-терминатора и транзитных уз- лов учитывают длину служебной части пакета сообщения, добавляемую при передаче адресату к каждому пакету сообщений. И в случае, если длина g-го фрагмента больше принятого значения MTU узла-терминатора маскирующего сообщения G
T
и меньше или равна значений MTU транзитных узлов, то запре- щают последующую фрагментацию IP-пакета сообщений при его передаче по сети связи. Для запрещения фрагментации IP-пакета сообщений при его пере- даче по сети связи устанавливают в единицу значение флага DF (Do not
Fragment) «не фрагментировать» в заголовке IP-пакета сообщений. Установка этого флага в единицу означает запрет последующей фрагментации [36], что приводит к запрету ретрансляции пакета сообщений дальше узла-терминатора.
Затем передают сформированные маскирующие сообщения по выбранному маскирующему маршруту связи.
В противном случае, то есть, если длина g-го фрагмента меньше или рав- на принятому значению MTU узла-терминатора маскирующего сообщения G
T
, то дефрагментируют маскирующее сообщение. Для чего объединяют между собой два или более фрагмента маскирующих сообщений, но с таким условием, что длина g-го фрагмента маскирующего сообщения будет меньше или равна значений MTU транзитных узлов.
Таким образом, за счет динамического изменения длины пакетов маски- рующих сообщений, достигают уменьшения среднего времени ожидания в оче- реди пакетов сообщений у передающего абонента.
Системы управления, связи и безопасности
№4. 2018
Systems of Control, Communication and Security
sccs.intelgr.com
URL: http://sccs.intelgr.com/archive/2018-04/08-Sherstobitov.pdf
162
Маскирующий обмен реализуется между каждой парой абонентов УС ПУ или от точек истока по T
M
до G
T
. При этом маскирование между абонентами может осуществляться в зависимости от замысла обмана: как по одному маршруту, так и по нескольким (тогда заданную интенсив- ность МО необходимо разделить на количество задействованных в обмене маршрутов); в специально выделенный промежуток времени (в этом случае необходи- мо иметь уверенность в том, что именно в этот момент времени был обеспечен контакт технического средства разведки с каналом связи), или постоянно, но не превышая рассчитанной максимальной нагрузки.
Итоговая схема связи между абонентами А
i
или А
j
, включающая допу- стимые и маскирующие маршруты представлена на рис. 9. допустимые маршруты связи между абонентами
УС (ПУ)
узлы связи пунктов управления
СБ
сервер безопасности абоненты сети маскирующие маршруты связи между абонентами
(G
T
)
узел-терминатор маскирующих сообщений компьютерная разведка противника
А i
А j
(G
T
)
(G
T
)
УС 5
транзитные узлы связи
MTU = 4464
MTU = 1400
MTU = 1400
MTU = 4352
MTU = 1300
MTU = 4352
MTU = 1400
MTU = 1300
Пакет МС
MTU=1400
Пакет МС
MTU=1400
Пакет МС
MTU=1400
После TSP
MSS
MTU = 1240 1
2
УС (ПУ)
1, СБ
УС (ПУ)
11
УС 5
УС 8
УС 6
УС 7
УС 4
УС 3
УС 10
УС 2
УС 9
Рис. 9. Итоговая схема связи между абонентами А
i
или А
j
Результаты моделирования
Результаты использования методики могут быть проверены при помощи эксперимента на имитационной модели. Это необходимо для того, чтобы учесть случайные помехи среды ССОП, и получить численную оценку выиг- рыша от ее применения.
В качестве программного обеспечения которой используется объектно- ориентированная среда моделирования UNetLab, где все объекты сети задаются и настраиваются по параметрам.
Экспериментальный макет ИСС ВН представлен 9-ю абонентами УС ПУ и объединяющей их сетью (рис. 10). Абоненты УС соответствующих ПУ обме- ниваются двумя видами трафика в обоих направлениях. Один вид трафика представляет собой полезную нагрузку, другой – маскирующий обмен.