Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Programlama modeli genellikle bir uzak yordam çağrısı (RPC) aracılığıyla bir istemciye sunucu geri çağırması veya güvenilmeyen bir sunucuya istemci çağrıları yapılmasını gerektirmektedir. Bu birçok olası tuzakları tanıtır.
İlk olarak, istemciye geri çağırma yeterince düşük kimliğe bürünme düzeyiyle yapılmalıdır. Sunucu yüksek ayrıcalıklı bir sistem hizmetiyse, kimliğine bürünme düzeyi veya daha yüksek bir yerel istemciyi geri çağırmak, istemciye sistemi devralmak için yeterli ayrıcalıklar sağlayabilir. Gerektiğinden daha yüksek kimliğe bürünme düzeyine sahip bir uzak istemcinin geri çağrılması da istenmeyen sonuçlara yol açabilir.
İkincisi, bir saldırgan hizmetinize geri çağırma gerçekleştirmeye neden olursa, kara delik(hizmet reddi saldırısı) olarak adlandırılan şeyi başlatabilir. Bu tür saldırılar RPC'ye özgü değildir; bu saldırılarda, bir makine sizi bu makineye trafik göndermeye iter, ancak isteklerinize yanıt vermez. Kara deliği çağırmak için daha fazla kaynak batıyor ama bir daha geri gelmiyorlar. Bu tür bir saldırının genel bir örneği, TCP/IP SYN sel saldırısı olarak adlandırılan TCP düzeyinde bir saldırıdır.
RPC düzeyinde, bir saldırgan bir arabirimi çağırdığında ve sunucudan arabirimi geri çağırmasını istediğinde basit bir kara delik saldırısı gerçekleşir. Arabirim uyumlu olur, ancak saldırgan hiçbir zaman çağrıyı döndürmez: sunucudaki bir iş parçacığı bağlanır. Saldırgan bunu 100 kez yapar ve sunucudaki 100 iş parçacığını bağlır. Sonunda sunucunun belleği tükeniyor. Sunucunun hata ayıklaması kara delik arayan kimliğini ortaya çıkarabilir, ancak genellikle sunucu hatalı bir oyundan şüphelenmeden yeniden başlatılır veya saldırganı belirlemek için yeterli uzmanlık sağlanmayabilir.
Üçüncü tuzak istemcide. Genellikle istemci, sunucuyu nasıl geri çağıracağını bildiren bir çağrı yapar (genellikle bir dize bağlaması) ve ardından sunucudan gelen bir çağrının gelmesini bekler ve bu uç nokta üzerinde sunucudan geldiğini iddia eden çağrıları körü körüne kabul eder. Sunucudan istemciye geri çağırma protokolü, geri çağırma istemciye geldiğinde aslında sunucudan geldiğinden emin olmak için bazı doğrulama mekanizması içermelidir.