Атаки в компютърни мрежи. Вируси и приложения за троянски кон. Методи за анализиране на мрежова информация

Процедура при откриване мрежови атаки.

1. Класификация на мрежовите атаки

1.1. Снифери на пакети

Пакетният снифър е приложна програма, която използва мрежова карта, работещ в безразборен режим ( в този режим всички пакети, получени по физически канали, се изпращат от мрежовия адаптер към приложението за обработка). В този случай снифърът прихваща всички мрежови пакети, които се предават през определен домейн.

1.2. IP спуфинг

IP spoofing възниква, когато хакер, вътре или извън системата, се представя за оторизиран потребител. Това може да стане по два начина. Първо, хакер може да използва IP адрес, който е в обхвата на разрешените IP адреси, или разрешен външен адрес, на който е разрешен достъп до определени мрежови ресурси. IP spoofing атаките често са отправна точка за други атаки. Класически пример е DoS атака, която започва с нечий друг адрес, скривайки истинската самоличност на хакера.

Обикновено IP спуфингът е ограничен до вмъкване на невярна информация или злонамерени команди в нормалния поток от данни, предавани между клиентско и сървърно приложение или по комуникационен канал между равностойни устройства. За двупосочна комуникация хакерът трябва да промени всички таблици за маршрутизиране, за да насочи трафика към фалшивия IP адрес. Някои хакери обаче дори не се опитват да получат отговор от приложенията. Ако основната задача е да се получи от системата важен файл, отговорите на приложението нямат значение.

Ако хакер успее да промени таблиците за маршрутизиране и да насочи трафика към фалшив IP адрес, хакерът ще получи всички пакети и ще може да отговори на тях, сякаш е оторизиран потребител.

1.3. Отказ на услуга ( Отказ от услуга - DoS)

DoS е най-известната форма на хакерски атаки. Тези видове атаки са най-трудни за създаване на 100% защита срещу.

Най-известните видове DoS:

TCP SYN Flood Ping на Death Tribe Flood Network ( TFN);
Tribe Flood Network 2000 ( TFN2K);
Тринко;
Stacheldracht;
Троица.

DoS атаките се различават от другите видове атаки. Те не са насочени към получаване на достъп до мрежата или получаване на информация от тази мрежа. DoS атака прави мрежата недостъпна за нормална употреба чрез превишаване на допустимите граници на мрежата, операционната система или приложението.

Когато използвате някои сървърни приложения (като уеб сървър или FTP сървър) DoS атаките могат да бъдат толкова прости, колкото превземането на всички връзки, достъпни за тези приложения, и поддържането им заети, предотвратявайки обслужването на нормални потребители. DoS атаките могат да използват общи интернет протоколи като TCP и ICMP ( Протокол за контролни съобщения в Интернет). Повечето DoS атаки разчитат не на софтуерни грешки или дупки в сигурността, а на общи слабости в системната архитектура. Някои атаки осакатяват производителността на мрежата, като я наводняват с нежелани и ненужни пакети или подвеждаща информация за текущото състояние на мрежовите ресурси. Този тип атака е трудна за предотвратяване, защото изисква координация с ISP. Ако трафикът, предназначен да наводни вашата мрежа, не може да бъде спрян при доставчика, тогава на входа на мрежата вече няма да можете да направите това, защото цялата честотна лента ще бъде заета. Когато този тип атака се извършва едновременно през много устройства, атаката е разпределен DoS ( DDoS - разпределен DoS).

1.4. Атаки с парола

Хакерите могат да извършват атаки с пароли, като използват редица методи, като например груба сила ( атака с груба сила), троянски кон, IP спуфинг и снифинг на пакети. Въпреки че данните за вход и паролата често могат да бъдат получени чрез IP spoofing и пакетно снифинг, хакерите често се опитват да отгатнат паролата и да влязат чрез множество опити за достъп. Този подход се нарича просто изброяване (атака с груба сила). Често се използва за такава атака специална програмакойто се опитва да получи достъп до ресурс обща употреба (например към сървъра). Ако в резултат на това хакерът получи достъп до ресурси, той го получава с права редовен потребител, чиято парола беше позната. Ако този потребител има значителни привилегии за достъп, хакерът може да създаде "пропуск" за бъдещ достъп, който ще остане валиден, дори ако потребителят промени паролата и данните си за вход.

Друг проблем възниква, когато потребителите използват същото ( дори да е много добро) парола за достъп до много системи: корпоративни, лични и интернет системи. Тъй като паролата е толкова силна, колкото и най-слабият хост, хакер, който научи паролата през този хост, получава достъп до всички други системи, които използват същата парола.

1.5. Човекът по средата атакува

За атака Man-in-the-Middle хакерът се нуждае от достъп до пакети, предавани по мрежата. Такъв достъп до всички пакети, предавани от доставчик към всяка друга мрежа, може да бъде получен например от служител на този доставчик. Пакетни снифъри, транспортни протоколи и протоколи за маршрутизиране често се използват за този тип атака. Атаките се извършват с цел кражба на информация, прихващане на текущата сесия и получаване на достъп до частни мрежови ресурси, анализ на трафика и получаване на информация за мрежата и нейните потребители, извършване на DoS атаки, изкривяване на предадени данни и въвеждане на неоторизирана информация в мрежови сесии.

1.6. Атаки на ниво приложение

Атаките на ниво приложение могат да бъдат извършени по няколко начина. Най-често срещаният е да се използват слабостите на сървъра софтуер (sendmail, HTTP, FTP). Използвайки тези слабости, хакерите могат да получат достъп до компютър като потребител, който изпълнява приложението ( обикновено това не е обикновен потребител, а привилегирован администратор с права за достъп до системата). Информацията за атаките на ниво приложение е широко публикувана, за да позволи на администраторите да коригират проблема с помощта на коригиращи модули ( лепенки). Основният проблем с атаките на приложния слой е, че те често използват портове, на които е разрешено да преминават през защитната стена. Например, хакер, използващ известна слабост на уеб сървър, често ще използва порт 80 при TCP атака, тъй като уеб сървърът предоставя уеб страници на потребителите, защитната стена трябва да разреши достъп до този порт. От гледна точка на защитната стена атаката се третира като стандартен трафик на порт 80.

1.7. Мрежова интелигентност

Мрежовото разузнаване се отнася до събирането на мрежова информация с помощта на публично достъпни данни и приложения. Когато подготвя атака срещу мрежа, хакерът обикновено се опитва да получи възможно най-много информация за нея. Мрежовото разузнаване се извършва под формата на DNS заявки, ping sweep и сканиране на портове. DNS заявките ви помагат да разберете кой притежава определен домейн и какви адреси са присвоени на този домейн. Ехо тестване ( пинг почистване) адресите, разрешени с помощта на DNS, ви позволяват да видите кои хостове действително работят в дадена среда. След като получи списък с хостове, хакерът използва инструменти за сканиране на портове, за да компилира пълен списъкуслуги, поддържани от тези хостове. Накрая хакерът анализира характеристиките на приложенията, работещи на хостовете. В резултат на това се получава информация, която може да се използва за хакване.

1.8. Злоупотреба с доверие

Този тип действия не са "атака"или "нападение". Той представлява злонамерена експлоатация на доверителни отношения, които съществуват в мрежата. Пример е система, инсталирана от външната страна на защитна стена, която има доверителна връзка със система, инсталирана от вътрешната страна на защитната стена. Ако външна система е компрометирана, хакерът може да използва връзката на доверие, за да проникне в системата, защитена от защитната стена.

1.9. Пренасочване на портове

1.10. Неоторизиран достъп

Неоторизираният достъп не може да се счита за отделен вид атака. Повечето мрежови атаки се извършват с цел получаване на неоторизиран достъп. За да познае влизане в telnet, хакерът трябва първо да получи подкана за telnet в системата си. След свързване към telnet порта на екрана се появява съобщение "изисква се разрешение за използване на този ресурс" (За да използвате тези ресурси, имате нужда от разрешение). Ако след това хакерът продължи да прави опити за достъп, те ще бъдат взети предвид "неоторизиран". Източникът на такива атаки може да бъде както в мрежата, така и извън нея.

1.11. Вируси и подобни приложения "Троянски кон"

Клиентските работни станции са много уязвими към вируси и троянски коне. "Троянски кон"- това не е вмъкване на програма, а истинска програма, която изглежда като полезно приложение, но всъщност изпълнява вредна роля.

2. Методи за противодействие на мрежови атаки

2.1. Можете да намалите заплахата от подслушване на пакети, като използвате следните инструменти:

2.1.1. Удостоверяване - Силното удостоверяване е първата защита срещу подслушване на пакети. Под "силен"Разбираме, че това е метод за удостоверяване, който е труден за заобикаляне. Пример за такова удостоверяване са еднократните пароли ( OTP - Еднократни пароли). OTP е технология за двуфакторно удостоверяване, която съчетава това, което имате, с това, което знаете. Под "карта" ( жетон) се отнася за хардуер или софтуерен инструмент, генериране ( на случаен принцип) уникална еднократна еднократна парола. Ако хакер открие тази парола с помощта на снифър, тази информация ще бъде безполезна, защото в този момент паролата вече ще е била използвана и оттеглена. Този метод за борба с подслушването е ефективен само срещу прихващане на пароли.

2.1.2. Комутирана инфраструктура - Друг начин за борба с подслушването на пакети в мрежова среда е да се създаде комутирана инфраструктура, където хакерите имат достъп само до трафика, пристигащ на порта, към който са свързани. Комутираната инфраструктура не елиминира заплахата от снифтинг, но значително намалява нейната тежест.

2.1.3. Анти-снифъри – Третият начин за борба със снифърите е да инсталирате хардуер или софтуер, който разпознава снифърите, работещи във вашата мрежа. Тези инструменти не могат напълно да премахнат заплахата, но като много други инструменти за мрежова сигурност, те са включени в обща системазащита. Така наречен "анти-снифъри"измервайте времето за отговор на хоста и определяйте дали хостовете трябва да обработват "екстра"трафик.

2.1.4. Криптография - Повечето ефективен методАнтипакетното снифиране не предотвратява прихващането и не разпознава работата на снифърите, но прави тази работа безполезна. Ако комуникационният канал е криптографски защитен, това означава, че хакерът не прихваща съобщението, а шифрования текст (т.е. неразбираема последователност от битове).

2.2. Заплахата от подправяне може да бъде смекчена ( но не и елиминиран)използвайки следните мерки:

2.2.1. Контрол на достъпа - Най-лесният начин да предотвратите IP spoofing е да правилна настройкаконтрол на достъпа. За да се намали ефективността на IP spoofing, контролът на достъпа е конфигуриран да отхвърля всеки трафик, идващ от външна мрежа с адрес на източник, който трябва да се намира във вашата мрежа. Това помага в борбата с фалшифицирането на IP, при което са разрешени само вътрешни адреси. Ако някои външни мрежови адреси също са разрешени, този методстава неефективен.

2.2.2. Филтриране RFC 2827 - спиране на опити за подправяне на мрежи на други хора от потребители на корпоративна мрежа. За да направите това, е необходимо да отхвърлите всеки изходящ трафик, чийто адрес на източник не е един от IP адресите на Банката. Този тип филтриране, известен като "RFC 2827", може да се извърши и от ISP ( интернет доставчик). В резултат на това целият трафик, който няма адрес на източник, очакван на определен интерфейс, се отхвърля.

2.2.3. Най-ефективният метод за борба с подправянето на IP адреси е същият като при снифинг на пакети: трябва да направите атаката напълно неефективна. IP spoofing може да работи само ако удостоверяването се основава на IP адреси. Следователно въвеждането на допълнителни методи за удостоверяване прави този тип атака безполезна. Най-добрата гледкаДопълнителното удостоверяване е криптографско. Ако това не е възможно, двуфакторното удостоверяване с еднократни пароли може да даде добри резултати.

2.3. Заплахата от DoS атаки може да бъде намалена по следните начини:

2.3.1. Функции против спуфинг – Правилното конфигуриране на функциите против спуфинг на вашите рутери и защитни стени ще помогне за намаляване на риска от DoS. Тези функции трябва да включват най-малко RFC 2827 филтриране. Ако хакерът не може да прикрие истинската си самоличност, той едва ли ще извърши атака.

2.3.2. Anti-DoS функции – Правилната конфигурация на anti-DoS функции на рутери и защитни стени може да ограничи ефективността на атаките. Тези функции ограничават броя на полуотворените канали във всеки даден момент.

2.3.3. Ограничаване на обема на трафика ( ограничаване на трафика) – споразумение с доставчика ( интернет доставчик) за ограничаване на обема на трафика. Този тип филтриране ви позволява да ограничите количеството некритичен трафик, преминаващ през мрежата. Често срещан примере да ограничи обема на ICMP трафика, който се използва само за диагностични цели. Атаки ( д) DoS често използват ICMP.

2.3.4. Блокиране на IP адреси - след като анализирате DoS атаката и идентифицирате диапазона от IP адреси, от които се извършва атаката, свържете се с вашия доставчик, за да ги блокира.

2.4. Атаките с парола могат да бъдат избегнати, като не се използват пароли с обикновен текст. Еднократните пароли и/или криптографското удостоверяване могат на практика да премахнат заплахата от подобни атаки. Не всички приложения, хостове и устройства поддържат горните методи за удостоверяване.

Когато използвате обикновени пароли, трябва да измислите парола, която е трудна за отгатване. Минималната дължина на паролата трябва да бъде поне осем знака. Паролата трябва да включва главни букви, цифри и Специални символи (#, %, $ и т.н.). Най-добрите паролитрудни за отгатване и трудни за запомняне, принуждавайки потребителите да записват пароли на хартия.

2.5. Атаките Man-in-the-Middle могат да се борят ефективно само с помощта на криптография. Ако хакер прихване данни от криптирана сесия, това, което ще се появи на неговия екран, не е прихванатото съобщение, а безсмислен набор от знаци. Имайте предвид, че ако хакер получи информация за криптографска сесия ( например сесиен ключ), това може да го направи възможно Атака "човек по средата".дори в криптирана среда.

2.6. Невъзможно е напълно да се премахнат атаките на ниво приложение. Хакерите непрекъснато откриват и публикуват нови уязвимости в приложните програми в Интернет. Най-важното е добрата системна администрация.

Мерки, които можете да предприемете, за да намалите уязвимостта си към този тип атака:

четене и/или анализ на лог файлове на операционна система и мрежови лог файлове с помощта на специални аналитични приложения;
навременно актуализиране на версии на операционни системи и приложения и инсталиране на най-новите коригиращи модули ( лепенки);
използване на системи за откриване на атаки ( IDS).

2.7. Невъзможно е напълно да се отървете от мрежовия интелект. Ако деактивирате ICMP ехо и ехо отговор на периферни рутери, вие се отървавате от ping тестване, но губите данните, необходими за диагностициране на мрежови повреди. Освен това можете да сканирате портове без предварително тестване на ping. Това просто ще отнеме повече време, тъй като ще трябва да сканирате несъществуващи IP адреси. IDS системите на ниво мрежа и хост обикновено се справят добре с уведомяването на администратора за текущо мрежово разузнаване, което им позволява да се подготвят по-добре за предстояща атака и да уведомят ISP ( интернет доставчик), в чиято мрежа има инсталирана система, която проявява прекомерно любопитство.

2.8. Рискът от нарушаване на доверието може да бъде намален чрез по-строг контрол на нивата на доверие във вашата мрежа. Системите, разположени извън защитната стена, никога не трябва да имат абсолютно доверие от системи, защитени от защитната стена. Доверителните взаимоотношения трябва да бъдат ограничени до конкретни протоколи и, ако е възможно, удостоверени чрез параметри, различни от IP адреси.

2.9. Основният начин за борба с пренасочването на портове е използването на силни модели на доверие ( виж клауза 2.8 ). В допълнение, IDS хост системата може да попречи на хакер да инсталира своя софтуер на хоста ( КРИЙ).

2.10. Методите за борба с неоторизиран достъп са доста прости. Основното тук е да се намали или напълно да се премахне възможността на хакера да получи достъп до системата, използвайки неоторизиран протокол. Като пример, помислете за предотвратяване на хакери от достъп до telnet порта на сървър, който предоставя уеб услуги на външни потребители. Без достъп до този порт, хакер няма да може да го атакува. Що се отнася до защитната стена, основната й задача е да предотврати най-простите опити за неоторизиран достъп.

2.11. Борбата с вирусите и троянските коне се осъществява с помощта на ефективен антивирусен софтуер, който работи на ниво потребител и на ниво мрежа. Антивирусните продукти откриват повечето вируси и троянски коне и спират разпространението им.

3. Алгоритъм на действие при откриване на мрежови атаки

3.1. Повечето мрежови атаки се блокират от автоматично инсталирани инструменти за защита на информацията ( защитни стени, доверени инструменти за зареждане, мрежови рутери, антивирусни инструменти и др.).

3.2. Атаките, които изискват намеса на персонал, за да ги блокират или да намалят сериозността на последствията, включват DoS атаки.

3.2.1. DoS атаките се откриват чрез анализиране на мрежовия трафик. Началото на атаката се характеризира с „ изчукване» комуникационни канали, използващи ресурсоемки пакети с фалшиви адреси. Такава атака срещу уебсайт за онлайн банкиране усложнява достъпа за легитимни потребители и уеб ресурсът може да стане недостъпен.

3.2.2. Ако бъде открита атака Системен администраторизвършва следните действия:

ръчно превключва рутера към резервния канал и обратно, за да идентифицира по-малко натоварен канал (канал с по-широка честотна лента);
идентифицира диапазона от IP адреси, от които се извършва атаката;
изпраща заявка до доставчика за блокиране на IP адреси от посочения диапазон.

3.3. DoS атаката обикновено се използва за прикриване на успешна атака срещу клиентски ресурси, за да се затрудни откриването й. Следователно, при откриване на DoS атака е необходимо да се анализират последните транзакции, за да се идентифицират необичайни транзакции, да се блокират (ако е възможно) и да се свържат с клиентите чрез алтернативен канал, за да се потвърдят транзакциите.

3.4. При получаване на информация за неразрешени действия от клиента се записват всички налични доказателства, извършва се вътрешно разследване и се подава заявление до правоприлагащите органи.

Изтегли ZIP файл (24151)

Ако документите са били полезни, моля, харесайте ги:

От особен интерес за разглеждане са отдалечените мрежови атаки. Интересът към този тип атаки се дължи на факта, че разпределените системи за обработка на данни стават все по-разпространени в света. Повечето потребители работят с отдалечени ресурси, използвайки ИНТЕРНЕТ мрежата и протоколния стек TCP/IP. ИНТЕРНЕТ първоначално е създаден за комуникация между правителствени агенции и университети, за да подпомогне образованието и научните изследвания, и създателите на тази мрежа не са имали представа колко широко ще се разпространи. В резултат на това спецификациите по-ранни версииИнтернет протоколът (IP) няма изисквания за сигурност. Ето защо много реализации на IP по своята същност са уязвими.

Курсът обхваща следните атаки и как да се борите с тях.

Атака от смъркане.Пакетният снифър е приложна програма, която използва мрежова карта, работеща в безразборен режим (в този режим мрежовият адаптер изпраща всички пакети, получени по физически канали, към приложението за обработка). В този случай снифърът прихваща всички мрежови пакети, които се предават през определен домейн. В момента снифърите работят в мрежите на напълно законна основа. Те се използват за диагностика на повреди и анализ на трафика. Въпреки това, поради факта, че някои мрежови приложения предават данни в текстов формат (Telnet, FTP, SMTP, POP3 и т.н.), с помощта на снифър можете да намерите полезни и понякога конфиденциална информация(например потребителски имена и пароли).

Прихващането на вход и парола представлява сериозна заплаха, тъй като потребителите често използват едно и също потребителско име и парола за множество приложения и системи. Много потребители обикновено имат една парола за достъп до всички ресурси и приложения. Ако приложението работи в режим клиент/сървър и данните за удостоверяване се предават по мрежата в четим текстов формат, тази информация вероятно може да се използва за достъп до други корпоративни или външни ресурси. В най-лошия случай нападателят получава достъп на системно ниво до потребителски ресурс и го използва, за да създаде нов потребител, който може да бъде използван по всяко време за достъп до мрежата и нейните ресурси.

Можете да намалите заплахата от подслушване на пакети, като използвате следните инструменти:

Удостоверяване. Силното удостоверяване е първата защита срещу подслушване на пакети. Под „силен“ имаме предвид метод за удостоверяване, който е труден за заобикаляне. Пример за такова удостоверяване са еднократните пароли (OTP - One-Time Passwords). OTP е технология за двуфакторна автентификация. Типичен пример за двуфакторна автентификация е работата на обикновен банкомат, който ви идентифицира, първо, чрез вашата пластмасова карта и, второ, чрез въведения ПИН код. Удостоверяването в OTP системата също изисква ПИН код и вашата лична карта. „Карта“ (токен) се разбира като хардуерен или софтуерен инструмент, който генерира (на случаен принцип) уникална еднократна, еднократна парола. Ако нападател открие тази парола с помощта на снифър, тази информация ще бъде безполезна, защото в този момент паролата вече ще бъде използвана и оттеглена. Имайте предвид, че този метод за борба с подслушването е ефективен само срещу прихващане на пароли. Сниферите, които прихващат друга информация (като имейл съобщения), остават ефективни.

Комутирана инфраструктура. Друг начин за борба с подслушването на пакети в мрежова среда е създаването на комутирана инфраструктура. Ако, например, цялата организация използва dial-up Ethernet, нападателите могат да имат достъп само до трафика, пристигащ на порта, към който са свързани. Комутираната инфраструктура не елиминира заплахата от снифтинг, но намалява значително нейната тежест.

Антиснифъри. Третият начин за борба със снифърите е инсталирането на хардуер или софтуер, който разпознава снифъри, работещи в мрежата. Тези инструменти не могат напълно да премахнат заплахата, но, както много други инструменти за мрежова сигурност, те са включени в цялостната система за защита. Така наречените „анти-снифери“ измерват времето за реакция на хоста и определят дали хостовете трябва да обработват „ненужен“ трафик.

Криптография. Най-ефективният начин за борба с подслушването на пакети не предотвратява прихващането или разпознава работата на снифърите, но прави тази работа безполезна. Ако комуникационният канал е криптографски защитен, това означава, че нападателят не прихваща съобщението, а шифрования текст (т.е. неразбираема последователност от битове).

IP spoofing атака.Тази атака възниква, когато нападател, вътре или извън корпорация, се представя за оторизиран потребител. Най-простата причина за използването на фалшиви IP адреси е желанието на атакуващия да скрие дейността си в океана от мрежова активност. Например, инструментът за диаграми на мрежата NMAP3 изпраща допълнителни последователности от пакети, всеки от които използва свой собствен подправен IP адрес на източника. В този случай нападателят знае кои IP адреси са фалшиви и кои пакети във всяка последователност са истински. Администраторът по сигурността на система, която е атакувана, ще бъде принуден да анализира много фалшиви IP адреси, преди да може да определи истинския IP адрес на нападателя.

Друга причина, поради която нападателят използва подправяне на IP адрес, е да скрие своята самоличност. Факт е, че е възможно да се проследи IP адрес до отделна система, а понякога дори до отделен потребител. Следователно, с помощта на IP фалшификация, нападателят се опитва да избегне откриването. Използването на фалшив IP адрес обаче създава редица трудности за подателя.

Всички отговори от атакуваната система се изпращат на фалшив IP адрес. За да види или получи тези отговори, нападателят трябва да е на път от компрометираната машина към фалшивия IP адрес (поне на теория). Тъй като отговорът не е непременно по същия маршрут като изпратения фалшив пакет, нападателят може да загуби обратния трафик. За да избегне това, атакуващият може да се намеси в един или повече междинни рутери, чиито адреси ще бъдат използвани като фалшиви за пренасочване на трафика към друго място.

Друг подход е атакуващият да отгатне предварително TCP последователните номера, които се използват от атакуваната машина. В този случай не е необходимо да получава SYN-ACK пакет, тъй като той просто генерира и изпраща ACK пакет с предвиден пореден номер. Ранните реализации на IP стекове използваха схеми за изчисляване на предсказуем пореден номер и следователно бяха чувствителни към фалшиви TCP потоци от данни. В съвременните реализации вече е по-трудно да се предвиди поредният номер. Инструментът за мрежови диаграми на NMAP има способността да оцени трудността при предсказване на поредните номера на системите, които се сканират.

При трети вариант атакуващият може да се намеси в работата на един или повече рутери, разположени между неговия сървър и сървъра, който е атакуван. Това прави възможно насочването на трафика на отговор, предназначен за фалшив IP адрес, към системата, от която произхожда проникването. След като хакването приключи, рутерът се освобождава, за да покрие следите си.

И накрая, нападателят може да няма намерение да отговори на SYN-ACK пакета, който е върнат от жертвата. Може да има две причини за това. Нападателят може да извършва сканиране на полуотворен порт, известно като SYN сканиране.В този случай той се интересува само от първоначалния отговор на машината, която е атакувана. Комбинацията от флаг RST-ACK означава, че сканираният порт е затворен, а комбинацията SYN-ACK означава, че е отворен. Целта е постигната, следователно няма нужда да отговаряте на този SYN-ACK пакет. Възможно е също така да се извърши лавиноподобен SYN хак. В този случай атакуващият не само не отговаря на SYN-ACK или RST-ACK пакети, но като цяло не се интересува от вида на пакетите, получени от компрометираната система.

IP spoofing атаките често са отправна точка за други атаки. Класически пример е DoS атака, която започва от нечий друг адрес, скривайки истинската самоличност на нападателя.

Както беше отбелязано, за двупосочна комуникация, атакуващият трябва да промени всички таблици за маршрутизиране, за да насочи трафика към фалшив IP адрес. Някои нападатели обаче дори не се опитват да получат отговор от приложенията. Ако основната задача е да получите важен файл от системата, отговорите на приложението нямат значение. Ако атакуващият успее да промени таблиците за маршрутизиране и да насочи трафика към фалшив IP адрес, атакуващият ще получи всички пакети и ще може да отговори на тях, сякаш е оторизиран потребител.

Заплахата от подправяне може да бъде смекчена (но не и елиминирана) чрез следните мерки:

Контрол на достъпа. Най-лесният начин за предотвратяване на IP spoofing е правилното конфигуриране на контролите за достъп. За да намалите ефективността на IP spoofing, трябва да конфигурирате контрола на достъпа, за да отхвърлите всеки трафик, идващ от външна мрежа с адрес на източник, който трябва да се намира във вашата мрежа. Обърнете внимание, че това помага в борбата срещу IP спуфинг, при който само вътрешните адреси са разрешени. Ако някои външни мрежови адреси също са разрешени, този метод става неефективен.

RFC 2827 филтриране Опитите за подправяне на чужди мрежи от потребителите на защитената мрежа се спират, ако изходящият трафик, чийто адрес на източник не е един от IP адресите на защитената организация, бъде отхвърлен. Този тип филтриране, известно като RFC 2827, може да се извърши и от вашия доставчик на интернет услуги (ISP). В резултат на това целият трафик, който няма адрес на източник, очакван на определен интерфейс, се отхвърля. Например, ако ISP предоставя връзка към IP адрес 15.1.1.0/24, той може да конфигурира филтъра така, че на този интерфейсСамо трафик, идващ от адрес 15.1.1.0/24, беше разрешен в ISP рутера. Имайте предвид, че докато всички доставчици не внедрят този тип филтриране, неговата ефективност ще бъде много по-ниска от възможното. Освен това, колкото по-далеч сте от устройствата, които се филтрират, толкова по-трудно е да се извърши точно филтриране. Например филтрирането на RFC 2827 на ниво рутер за достъп изисква преминаване на целия трафик от главния мрежов адрес (10.0.0.0/8), докато на ниво разпространение (в тази архитектура) е възможно трафикът да се ограничи по-точно (адрес - 10.1 .5.0/24 ).

IP spoofing може да работи само ако удостоверяването се основава на IP адреси. Следователно въвеждането на допълнителни методи за удостоверяване прави този тип атака безполезна. Най-добрият тип допълнителна автентификация е криптографската. Ако това не е възможно, двуфакторното удостоверяване с еднократни пароли може да даде добри резултати.

Отказ от услуга (DoS). DoS без съмнение е най-известната форма на атака. Освен това тези видове атаки са най-трудни за създаване на 100% защита срещу тях. Простотата на внедряване и огромната причинена вреда привличат вниманието на отговорните администратори мрежова сигурност. Най-известните видове атаки са: TCP SYN Flood; Пинг на смъртта; Tribe Flood Network (TFN) и Tribe Flood Network 2000 (TFN2K); Тринко; Stacheldracht; Троица.

Източникът на информация за тези атаки е екипът за спешно реагиране компютърни проблеми(CERT - Computer Emergency Response Team), който публикува работа за борба с DoS атаките.

DoS атаките се различават от другите видове атаки. Те не са насочени към получаване на достъп до вашата мрежа или получаване на информация от тази мрежа. DoS атака прави мрежата недостъпна за нормална употреба чрез превишаване на допустимите граници на мрежата, операционната система или приложението. В случай на някои сървърни приложения (като уеб сървър или FTP сървър), DoS атаките могат да включват превземане на всички достъпни за тези приложения връзки и поддържането им заети, предотвратявайки обслужването на нормални потребители. DoS атаките могат да използват общи интернет протоколи като TCP и ICMP (Internet Control Message Protocol).

Повечето DoS атаки разчитат не на софтуерни грешки или дупки в сигурността, а на общи слабости в системната архитектура. Някои атаки осакатяват производителността на мрежата, като я наводняват с нежелани и ненужни пакети или подвеждаща информация за текущото състояние на мрежовите ресурси. Този тип атака е трудна за предотвратяване, защото изисква координация с ISP. Ако трафикът, предназначен да наводни мрежата, не бъде спрян при доставчика, тогава вече няма да е възможно да се направи това на входа на мрежата, тъй като цялата честотна лента ще бъде заета. Когато този тип атака се извършва едновременно през много устройства, говорим за разпределена DoS атака (DDoS).

Заплахата от DoS атаки може да бъде смекчена по три начина:

Анти-спуфинг функции. Правилното конфигуриране на функциите против фалшифициране на вашите рутери и защитни стени ще помогне за намаляване на риска от DoS. Тези функции трябва да включват най-малко RFC 2827 филтриране, ако нападателят не може да прикрие истинската си самоличност, е малко вероятно да извърши атака.

Anti-DoS функции. Правилната конфигурация на анти-DoS функции на рутери и защитни стени може да ограничи ефективността на атаките. Тези функции често ограничават броя на полуотворените канали във всеки даден момент.

Ограничаване на скоростта на трафика. Една организация може да поиска от своя доставчик на интернет услуги (ISP) да ограничи количеството трафик. Този тип филтриране ви позволява да ограничите количеството некритичен трафик, който преминава през вашата мрежа. Често срещан пример е ограничаването на количеството ICMP трафик, който се използва само за диагностични цели. (D)DoS атаките често използват ICMP.

Атаки с парола.Нападателите могат да извършват атаки с пароли, като използват различни методи, като атаки с груба сила, троянски коне, IP спуфинг и пакетно снифинг. Въпреки че данните за вход и паролата често могат да бъдат получени чрез IP spoofing и пакетно снифинг, хакерите често се опитват да отгатнат паролата и да влязат чрез множество опити за достъп. Този подход се нарича проста атака с груба сила.

Често такава атака използва специална програма, която се опитва да получи достъп до публичен ресурс (например сървър). Ако в резултат на това нападателят получи достъп до ресурси, той го получава като обикновен потребител, чиято парола е позната. Ако този потребител има значителни привилегии за достъп, атакуващият може да създаде „пропуск“ за себе си за бъдещ достъп, който ще остане в сила дори ако потребителят промени паролата и данните си за вход.

Друг проблем възниква, когато потребителите използват една и съща (дори много добра) парола за достъп до много системи: корпоративни, лични и интернет системи. Тъй като паролата е толкова силна, колкото и най-слабият хост, нападател, който научи паролата през този хост, получава достъп до всички други системи, които използват същата парола.

На първо място, атаките с парола могат да бъдат избегнати, като не се използват пароли в текстова форма. Еднократните пароли и/или криптографското удостоверяване могат на практика да премахнат заплахата от подобни атаки. За съжаление, не всички приложения, хостове и устройства поддържат горните методи за удостоверяване.

Когато използвате обикновени пароли, опитайте се да измислите парола, която е трудна за отгатване. Минималната дължина на паролата трябва да бъде поне осем знака. Паролата трябва да включва главни букви, цифри и специални знаци (#, %, $ и др.). Най-добрите пароли са трудни за отгатване и запомняне, което принуждава потребителите да записват паролите на хартия. За да избегнат това, потребителите и администраторите могат да се възползват от редица скорошни технологични постижения. Например, има приложни програми, които криптират списък с пароли, които могат да се съхраняват в джобен компютър. В резултат на това потребителят трябва да запомни само един сложна парола, докато всички други пароли ще бъдат сигурно защитени от приложението.

Човекът по средата атакува.За атака Man-in-the-Middle нападателят се нуждае от достъп до пакети, предавани по мрежата. Такъв достъп до всички пакети, предавани от доставчик към всяка друга мрежа, може да бъде получен например от служител на този доставчик. Пакетни снифъри, транспортни протоколи и протоколи за маршрутизиране често се използват за този тип атака. Атаките се извършват с цел кражба на информация, прихващане на текущата сесия и получаване на достъп до частни мрежови ресурси за анализ на трафика и получаване на информация за мрежата и нейните потребители, за извършване на DoS атаки, изкривяване на предадени данни и въвеждане на неоторизирана информация в мрежови сесии.

Атаките Man-in-the-Middle могат да се борят ефективно само с помощта на криптография. Ако нападател прихване данни от криптирана сесия, това, което ще се появи на неговия екран, не е прихванатото съобщение, а безсмислен набор от знаци. Обърнете внимание, че ако атакуващият получи информация за криптографската сесия (например ключа на сесията), това може да направи възможна атака Man-in-the-Middle дори в криптирана среда.

Атаки на ниво приложение.Атаките на ниво приложение могат да бъдат извършени по няколко начина. Най-често срещаният е да се използват добре известни слабости в сървърния софтуер (sendmail, HTTP, FTP). Използвайки тези слабости, атакуващите могат да получат достъп до компютър от името на потребителя, който изпълнява приложението (обикновено това не е обикновен потребител, а привилегирован администратор с права за достъп до системата). Информацията за атаките на ниво приложение е широко публикувана, за да позволи на администраторите да коригират проблема с помощта на коригиращи модули (пачове, кръпки). За съжаление, много нападатели също имат достъп до тази информация, което им позволява да учат.

Основният проблем с атаките на приложния слой е, че те често използват портове, на които е разрешено да преминават през защитната стена. Невъзможно е напълно да се премахнат атаките на ниво приложение.

1. Прихващане на пакети.

Пакет снифър (от англ. sniff - подушвам) е приложна програма, която използва мрежов интерфейс, работещ в безразборен режим. В този режим мрежовият адаптер ви позволява да получавате всички пакети, получени по физически канали, независимо от това до кого са адресирани, и ги изпраща на приложението за обработка. В момента снифърите се използват в мрежите на напълно законна основа. Те се използват за диагностика на повреди и анализ на трафика. Въпреки това, поради факта, че някои мрежови приложения прехвърлят данни в текстов формат (Telnet, FTP, SMTP, POP3 и т.н.), използването на снифър може да разкрие полезна и понякога поверителна информация (например потребителски имена и пароли).

Прихващането на влизания и пароли създава голяма опасност. Ако приложението работи в режим клиент-сървър и данните за удостоверяване се предават по мрежата в четим текстов формат, тогава тази информация най-вероятно може да се използва за достъп до други корпоративни или външни ресурси. В най-лошия случай нападателят ще получи достъп до потребителски ресурс на системно ниво и ще го използва, за да създаде нов потребител, който може да бъде използван по всяко време за достъп до мрежата и нейните ресурси.

2. IP spoofing.

IP spoofing (от английското spoof - измама) възниква, когато нападател, вътре или извън корпорация, се представя за оторизиран потребител. Това може да се постигне по два начина:

а) използване на IP адрес, който е в обхвата на разрешените IP адреси;

Ако атакуващият успя да промени таблиците за маршрутизиране и да насочи мрежовия трафик към фалшив IP адрес, тогава той ще получи всички пакети и ще може да отговори на тях, сякаш е оторизиран потребител.

3. Отказ от услуга.

Отказът от услуга (Denial of Service, съкратено DoS) без съмнение е най-известната форма на мрежови атаки. Освен това тези видове атаки са най-трудни за създаване на 100% защита срещу тях. За организиране на DoS са необходими минимум знания и умения. Независимо от това, простотата на изпълнение и огромният мащаб на причинените вреди привличат нападателите към DoS атаки.

Тази атака е значително различна от другите видове атаки. Нападателите не възнамеряват да получат достъп до мрежата или да получат каквато и да е информация от тази мрежа, но DoS атака прави вашата мрежа недостъпна за нормална употреба чрез превишаване на допустимите граници на мрежата, операционната система или приложението. В случай на някои сървърни приложения (като уеб сървър или FTP сървър), DoS атаките могат да включват превземане на всички връзки, достъпни за тези приложения, и поддържането им заети, предотвратявайки обслужването на обикновени потребители. DoS атаките могат да използват общи интернет протоколи като TCP и ICMP.

Някои атаки осакатяват производителността на мрежата, като я наводняват с нежелани и ненужни пакети или подвеждаща информация за текущото състояние на мрежовите ресурси. Когато атака от този тип се извършва едновременно през много устройства, говорим за разпределена DoS атака (от англ. distributed DoS, съкратено DDoS).

4. Атаки с парола.

Нападателите могат да извършват атаки с пароли, като използват различни методи, като атака с груба сила, троянски кон, подправяне на IP и подслушване на пакети. Въпреки факта, че данните за вход и паролата често могат да бъдат получени с помощта на IP spoofing и packet sniffing, нападателите често се опитват да отгатнат паролата и данните за влизане чрез многократни опити за достъп. Този подход се нарича просто изброяване.

За такава атака се използва специална програма, която се опитва да получи достъп до публичен ресурс (например сървър). Ако в резултат на това атакуващият получи достъп до ресурси, той го получава като потребител, чиято парола е избрана. Ако този потребителима значителни привилегии за достъп, атакуващият може да създаде шлюз за бъдещ достъп, който ще остане в сила дори ако потребителят промени паролата си.

5. Човек по средата атаки.

За атака Man-in-the-Middle нападателят се нуждае от достъп до пакети, предавани по мрежата. Такъв достъп до всички пакети, предавани от доставчик към всяка друга мрежа, може да бъде получен например от служител на този доставчик. Пакетни снифъри, транспортни протоколи и протоколи за маршрутизиране често се използват за този тип атака. Атаките се извършват с цел кражба на информация, прихващане на текущата сесия и получаване на достъп до частни мрежови ресурси, анализ на трафика и получаване на информация за мрежата и нейните потребители, извършване на DoS атаки, изкривяване на предадени данни и въвеждане на неоторизирана информация в мрежови сесии.

6. Атаки на ниво приложение.

Атаките на ниво приложение могат да бъдат извършени по няколко начина. Най-често срещаният от тях е използването на добре известни слабости в сървърния софтуер (sendmail, HTTP, FTP). Използвайки тези слабости, атакуващите могат да получат достъп до компютър от името на потребителя, който изпълнява приложението (обикновено това не е обикновен потребител, а привилегирован администратор с права за достъп до системата). Информацията за атаките на ниво приложение е широко публикувана, за да даде възможност на администраторите да коригират проблема с помощта на коригиращи модули (пачове). За съжаление много хакери също имат достъп до тази информация, което им позволява да се подобряват.

Основният проблем с атаките на ниво приложение е, че атакуващите често използват портове, на които е разрешено да преминават през защитната стена. Например, нападател, използващ известна слабост в уеб сървър, често ще използва порт 80 при TCP атака, тъй като уеб сървърът предоставя уеб страници на потребителите, защитната стена трябва да осигури достъп до този порт. От гледна точка на защитната стена атаката се третира като стандартен трафик на порт 80.

7. Мрежова интелигентност.

Мрежовото разузнаване се отнася до събирането на мрежова информация с помощта на публично достъпни данни и приложения. Когато подготвя атака срещу мрежа, нападателят обикновено се опитва да получи възможно най-много информация за нея. Мрежовото разузнаване се извършва под формата на DNS заявки, ping и сканиране на портове. DNS заявките ви помагат да разберете кой притежава определен домейн и какви адреси са присвоени на този домейн. Пинг адресите, разкрити от DNS, ви позволяват да видите кои хостове действително работят в дадена среда. След като получи списък с хостове, нападателят използва инструменти за сканиране на портове, за да състави пълен списък с услуги, поддържани от тези хостове. И накрая, той анализира характеристиките на приложенията, работещи на хостовете. В резултат на това той получава информация, която може да се използва за хакване.

8. Нарушение на доверието.

Строго погледнато, този вид действие не е в пълния смисъл на думата нападение или нападение. Той представлява злонамерена експлоатация на доверителни отношения, които съществуват в мрежата. Класически пример за подобна злоупотреба е ситуацията в периферната част на корпоративната мрежа. Този сегмент често се намира DNS сървъри, SMTP и HTTP. Тъй като всички те принадлежат към един и същ сегмент, хакването на всеки един от тях води до хакване на всички останали, тъй като тези сървъри се доверяват на други системи в тяхната мрежа. Друг пример е система, инсталирана от външната страна на защитната стена, която има доверителна връзка със система, инсталирана от вътрешната страна на защитната стена. Ако външна система е компрометирана, нападателят може да използва доверителни отношения, за да проникне в защитената със защитна стена система.

9. Пренасочване на портове.

Пренасочването на портове е форма на злоупотреба с доверие, при която компрометиран хост се използва за преминаване на трафик през защитна стена, която иначе би била отхвърлена. Нека си представим защитна стена с три интерфейса, всеки от които е свързан към определен хост. Външен хост може да се свързва с хост публичен достъп(DMZ), но не към този, който е инсталиран от вътрешната страна на защитната стена. Споделеният хост може да се свързва както с вътрешен, така и с външен хост. Ако нападател превземе споделен хост, той може да инсталира на него софтуер, който пренасочва трафика от външния хост директно към вътрешния. Въпреки че това не нарушава нито едно от правилата на екрана, външният хост получава директен достъп до защитения хост в резултат на пренасочването. Пример за приложение, което може да осигури такъв достъп е netcat.

10. Неоторизиран достъп.

Неоторизираният достъп не може да бъде идентифициран като отделен тип атака, тъй като повечето мрежови атаки се извършват именно с цел получаване на неоторизиран достъп. За да познае влизане в Telnet, атакуващият трябва първо да получи подсказка за Telnet в своята система. След свързване към Telnet порта на екрана се появява съобщението „изисква се разрешение за използване на този ресурс“. Ако нападателят продължи да опитва достъп след това, той ще се счита за неоторизиран. Източникът на такива атаки може да бъде както в мрежата, така и извън нея.

11. Вируси и приложения на троянски кон

Работните станции на крайните потребители са много уязвими към вируси и троянски коне. Те се наричат вируси зловреден софтуер, които са вградени в други програми, за да изпълняват конкретна нежелана функция работна станциякраен потребител. Пример е вирус, който е записан във файла command.com (основният интерпретатор Windows системи) и изтрива други файлове, а също така заразява всички други версии на command.com, които намери.

Троянският кон не е софтуерна вложка, а реална програма, която изглежда на пръв поглед полезно приложение, но всъщност играе вредна роля. Пример за типичен троянски кон е програма, която изглежда като проста игра за работната станция на потребителя. Въпреки това, докато потребителят играе играта, програмата изпраща копие на себе си чрез електронна пощадо всеки абонат, посочен в адресната книга на този потребител. Всички абонати получават играта по пощата, което води до по-нататъшното й разпространение.

Класът мрежови атаки включва атаки, които причиняват подозрително, аномално поведение на мрежовия трафик в корпоративна мрежа. Това са така наречените мрежови аномалии. Мрежовите аномалии също могат да бъдат класифицирани. Те могат да бъдат разделени на две основни групи: хардуерни и софтуерни отклонения и проблеми със сигурността (фиг. 1.2.1.)

1. Софтуерни и хардуерни отклонения.

Грешки в компонентния софтуер информационна системаможе да доведе до прехвърляне в авариен режим с последващо прекратяване на услугите.

Грешките в конфигурацията се превеждат функционалносткомпоненти на информационната система в несъответствие със стандартните проектни параметри, което нарушава цялостната работа.

Нарушенията на работата водят до отклонение на параметрите на информационната система извън изчислените стойности, което е придружено от нарушение на предоставянето на услуги.

Хардуерните неизправности могат да доведат както до пълна повреда на отделни компоненти на информационната система, така и до деградиращо влияние на отделна подсистема върху целия комплекс.

2. Нарушения на сигурността.

Сканирането на мрежата се извършва, за да се анализира топологията на мрежата и да се открият услуги, налични за атака. По време на процеса на сканиране се прави опит за свързване към мрежови услугиметод на обръщение от конкретно пристанище. При отворено сканиране скенерът извършва процедура за тристранно ръкостискане, а при затворено (стелт) сканиране не завършва връзката. Тъй като при сканиране на единичен хост възниква изброяване на услуги (портове), тази аномалия се характеризира с опити за достъп от един IP адрес на скенера до конкретен IP адрес на множество портове. Най-често обаче се сканират цели подмрежи, което се изразява в наличието в атакуваната мрежа на множество пакети от един IP адрес на скенера към множество IP адреси на изследваната подмрежа, понякога дори чрез метод на последователно търсене. Най-известният мрежови скенериса: nmap, ISS, satan, strobe, xscan и други.

Трафик анализаторите или сниферите са предназначени да прихващат и анализират мрежовия трафик. В най-простия случай това става чрез превод мрежов адаптерхардуерен комплекс в режим на слушане и потоците от данни в сегмента, към който е свързан, стават достъпни за по-нататъшно проучване. Тъй като много приложни програми използват протоколи, които предават информация в ясна, некриптирана форма, работата на снифърите драстично намалява нивото на сигурност. Имайте предвид, че снифърите не причиняват изразени аномалии в работата на мрежата. Най-известните снифери са: tcpdump, ethereal, sniffit, Microsoft network monitor, netxray, lan explorer.

IN компютърна сигурностТерминът уязвимост се използва за обозначаване на компонент от информационна система, който е слабо защитен от неоторизирано влияние. Уязвимостта може да е резултат от грешки в дизайна, програмирането или конфигурацията. Една уязвимост може да съществува само теоретично или да има възможност за използване софтуерна реализация- експлоатация. В мрежов аспект информационните ресурси като напр операционна системаи софтуерни услуги.

Вирусен мрежова активносте резултат от опити за разпространение на компютърни вируси и червеи с помощта на мрежови ресурси. По-често компютърен вирусизползва една уязвимост в услуга на мрежово приложение, така че вирусният трафик се характеризира с наличието на множество повиквания от един заразен IP адрес към много IP адреси на конкретен порт, съответстващ на потенциално уязвима услуга.

По естеството на въздействието:

Пасивен;

Активен.

Пасивното въздействие върху разпределена изчислителна система (DCS) е въздействие, което не засяга пряко работата на системата, но в същото време може да наруши нейната политика за сигурност. Липсата на пряко влияние върху работата на RVS води именно до факта, че пасивното дистанционно въздействие (RPI) е трудно забележимо. Възможен пример за типичен PUV в DCS е прослушването на комуникационен канал в мрежа.

Активно въздействие върху DCS е въздействие, което има пряко въздействие върху работата на самата система (нарушаване на функционалността, промяна в конфигурацията на DCS и др.), което нарушава приетата в нея политика за сигурност. Почти всички видове дистанционни атаки са активни влияния. Това се дължи на факта, че самото естество на увреждащия ефект включва активно вещество. Ясната разлика между активното и пасивното влияние е основната възможност за неговото откриване, тъй като в резултат на неговото прилагане настъпват някои промени в системата. При пасивно влияние не остават абсолютно никакви следи (поради факта, че нападателят вижда съобщението на някой друг в системата, нищо няма да се промени в същия момент).

По цел на въздействие:

нарушаване на функционирането на системата (достъп до системата);

нарушение на целостта информационни ресурси(IR);

нарушаване на IR поверителността.

Този признак, по който е направена класификацията, всъщност е директна проекция на три основни вида заплахи – отказ на услуга, разкриване и нарушаване на целостта.

Основната цел, преследвана при почти всяка атака, е получаването на неоторизиран достъп до информация. Има два основни варианта за получаване на информация: изкривяване и прихващане. Възможността за прихващане на информация означава получаване на достъп до нея без възможност за промяна. Следователно прихващането на информация води до нарушаване на нейната поверителност. Слушането на канал в мрежа е пример за прихващане на информация. В този случай е налице нелегитимен достъп до информация без възможни вариантинейната подмяна. Очевидно нарушаването на поверителността на информацията се отнася до пасивни влияния. Способността за замяна на информация трябва да се разбира или като пълен контрол върху потока информация между системните обекти, или като способността да се предават различни съобщения от името на някой друг. Следователно е ясно, че подмяната на информация води до нарушаване на нейната цялост. Такова информационно деструктивно въздействие е типичен пример за активно въздействие. Пример за отдалечена атака, предназначена да наруши целостта на информацията, е отдалечената атака (RA) на „Фалшив RVS обект“.

Според наличността обратна връзкас атакувания обект:

с обратна връзка;

без обратна връзка (еднопосочна атака).

Нападателят изпраща някои заявки към атакувания обект, на които очаква да получи отговор. В резултат на това се появява обратна връзка между атакуващия и атакувания, което позволява на първия да реагира адекватно на всякакви промени в атакувания обект. Това е същността на дистанционната атака, осъществявана при наличие на обратна връзка от атакуващия обект. Такива атаки са най-характерни за RVS. Атаките с отворен цикъл се характеризират с факта, че не е необходимо да реагират на промени в атакувания обект. Такива атаки обикновено се извършват чрез изпращане на единични заявки до атакувания обект. Нападателят не се нуждае от отговори на тези заявки. Такава UA може също да се нарече еднопосочна UA. Пример за еднопосочни атаки е типична DoS атака.

Според условието за начало на удара. Дистанционното влияние, както всяко друго, може да започне да се проявява само при определени условия. Има три вида такива условни атаки в RVS:

атака по заявка от атакувания обект;

атака при настъпване на очаквано събитие върху атакувания обект;

безусловна атака.

Въздействието на нападателя ще започне, ако потенциалната цел на атаката предаде заявка от определен тип. Такава атака може да се нарече атака по заявка от атакувания обект. Този виддистанционната атака е най-типична за RVS. Пример за такива заявки в Интернет са DNS и ARP заявки, а в Novell NetWare – SAP заявка.

Атака при настъпване на очаквано събитие върху атакувания обект. Нападателят непрекъснато следи състоянието на ОС на отдалечената цел на атаката и започва да влияе, когато настъпи конкретно събитие в тази система. Самият атакуван обект е инициатор на атаката. Пример за такова събитие би било, че сесията на потребител със сървъра е прекъсната без подаване на командата LOGOUT в Novell NetWare. Безусловната атака се извършва незабавно и независимо от състоянието на ОС и атакувания обект. Следователно нападателят е инициатор на атаката в в такъв случай. Ако нормалната работа на системата е нарушена, се преследват други цели и нападателят получава незаконен достъпне са предназначени за данни. Целта му е да деактивира ОС на атакувания обект и да направи невъзможен достъпът на други системни обекти до ресурсите на този обект. Пример за този тип атака е DoS атака.

Въз основа на местоположението на обекта на атака спрямо атакувания обект:

междусегментни;

интрасегментен.

Източникът на атаката (субектът на атаката) е програмата (евентуално операторът), водеща атаката и имаща пряко въздействие.

Хост - компютър, който е елемент от мрежа.

Рутерът е устройство, което маршрутизира пакети в мрежа.

Подмрежата е група от хостове, които са част от глобална мрежа, като се различават по това, че рутерът разпределя един и същ номер на подмрежа за тях. Можем също да кажем, че подмрежата е логическа асоциация на хостове чрез рутер. Хостове в една и съща подмрежа могат да комуникират директно един с друг, без да използват рутер. От гледна точка на дистанционна атака изключително важно е относителното разположение на субекта и обекта на атаката, тоест дали са в различни или идентични сегменти. По време на вътрешносегментна атака обектът и целта на атаката се намират в един и същи сегмент. В случай на междусегментна атака, обектът и целта на атаката се намират в различни мрежови сегменти. Тази функция за класификация позволява да се прецени така наречената „степен на отдалеченост“ на атаката.

По-долу ще бъде показано, че вътрешносегментна атака е много по-лесна за изпълнение от междусегментна атака. Междусегментната отдалечена атака е по-опасна от вътрешносегментната атака. Това се дължи на факта, че в случай на междусегментна атака, нейният обект и нападателят могат да се намират на разстояние много хиляди километри един от друг, което може значително да попречи на мерките за отблъскване на атаката.

Според нивото на референтния модел ISO/OSI, на което се извършва въздействието:

физически;

канал;

транспорт;

сесиен;

Представител;

приложено.

Международната организация по стандартизация (ISO) прие стандарта ISO 7498, който описва взаимодействието отворени системи(OSI), към които принадлежат и RVS. Всеки мрежов протокол за обмен, както и всяка мрежова програма, могат по един или друг начин да бъдат проектирани върху референтно 7-ниво OSI модел. Тази многостепенна проекция позволява да се опишат функциите, използвани в мрежовия протокол или програма по отношение на OSI модела. UA е мрежова програма и е логично да се разглежда от гледна точка на проекцията й върху референтния модел ISO/OSI.

Локални атаки

Източници на локални атаки са потребители и/или програми локална система. За определяне на най-вероятните атаки срещу информационна сигурност, е необходимо да се установи върху какви теоретични принципи, необвързани с реални средства, е изграден моделът на сигурност. Например, ако една от ключовите разпоредби е, че само упълномощено лице може физически да се приближи до компютъра и не са инсталирани системи за физическо ограничаване на физическия достъп, тогава атаките срещу физическата сигурност са най-вероятни:

Отметки в хардуер;

Достъп на етапа на зареждане на ОС;

Атаки срещу средства за удостоверяване;

Софтуерни атаки на трети страни;

Достъп на ниво фърмуер;

Помощни програми за локална атака.