телевизори. Конзоли. Проектори и аксесоари. Технологии. Цифрова телевизия

Видове атаки в компютърни мрежи. Алгоритъм на действие при откриване на мрежови атаки. Етапи на изпълнение на атаката

Процедура при откриване мрежови атаки.

1. Класификация на мрежовите атаки

1.1. Снифери на пакети

Пакетният снифър е приложна програма, която използва мрежова карта, работеща в безразборен режим ( в този режим всички пакети, получени по физически канали мрежов адаптеризпраща на приложение за обработка). В този случай снифърът прихваща всички мрежови пакети, които се предават през определен домейн.

1.2. IP спуфинг

IP spoofing възниква, когато хакер, вътре или извън системата, се представя за оторизиран потребител. Това може да стане по два начина. Първо, хакерът може да използва IP адрес, който е в обхвата на оторизирани IP адреси, или оторизиран външен адрес, на който е разрешен достъп до определени мрежови ресурси. IP spoofing атаките често са отправна точка за други атаки. Класически пример е DoS атака, която започва с нечий друг адрес, скривайки истинската самоличност на хакера.

Обикновено IP spoofing се ограничава до вмъкване на невярна информация или злонамерени команди в нормалния поток от данни, предавани между клиентско и сървърно приложение или по комуникационен канал между равноправни устройства. За двупосочна комуникация хакерът трябва да промени всички таблици за маршрутизиране, за да насочи трафика към фалшивия IP адрес. Някои хакери обаче дори не се опитват да получат отговор от приложенията. Ако основната задача е да се получи от системата важен файл, отговорите на приложението нямат значение.

Ако хакер успее да промени таблиците за маршрутизиране и да насочи трафика към фалшив IP адрес, хакерът ще получи всички пакети и ще може да отговори на тях, сякаш е оторизиран потребител.

1.3. Отказ на услуга ( Отказ от услуга - DoS)

DoS е най-известната форма на хакерски атаки. Тези видове атаки са най-трудни за създаване на 100% защита срещу.

Най-известните видове DoS:

  • TCP SYN Flood Ping на Death Tribe Flood Network ( TFN);
  • Tribe Flood Network 2000 ( TFN2K);
  • Тринко;
  • Stacheldracht;
  • Троица.

DoS атаките се различават от другите видове атаки. Те не са насочени към получаване на достъп до мрежата или получаване на информация от тази мрежа. DoS атака прави мрежата недостъпна за нормална употреба чрез превишаване на допустимите граници на работа на мрежата, операционна системаили приложения.

Когато използвате някои сървърни приложения (като уеб сървър или FTP сървър) DoS атаките могат да бъдат толкова прости, колкото превземането на всички връзки, достъпни за тези приложения, и поддържането им заети, предотвратявайки обслужването на нормални потребители. DoS атаките могат да използват общи интернет протоколи като TCP и ICMP ( Протокол за контролни съобщения в Интернет). Повечето DoS атаки разчитат не на софтуерни грешки или дупки в сигурността, а на общи слабости в системната архитектура. Някои атаки осакатяват производителността на мрежата, като я наводняват с нежелани и ненужни пакети или подвеждаща информация за текущото състояние на мрежовите ресурси. Този тип атака е трудна за предотвратяване, защото изисква координация с ISP. Ако трафикът, предназначен да наводни вашата мрежа, не може да бъде спрян при доставчика, тогава на входа на мрежата вече няма да можете да направите това, защото цялата честотна лента ще бъде заета. Когато този тип атака се извършва едновременно през много устройства, атаката е разпределен DoS ( DDoS - разпределен DoS).

1.4. Атаки с пароли

Хакерите могат да извършват атаки с пароли, като използват редица методи, като например груба сила ( атака с груба сила), троянски кон, IP спуфинг и снифинг на пакети. Въпреки че данните за вход и паролата често могат да бъдат получени чрез IP спуфинг и пакетно снифинг, хакерите често се опитват да отгатнат паролата и да влязат чрез множество опити за достъп. Този подход се нарича просто изброяване (атака с груба сила). Често се използва за такава атака специална програмакойто се опитва да получи достъп до ресурс обща употреба (например към сървъра). Ако в резултат на това хакерът получи достъп до ресурси, той го получава с права редовен потребител, чиято парола беше позната. Ако този потребител има значителни привилегии за достъп, хакерът може да създаде "пропуск" за бъдещ достъп, който ще остане валиден, дори ако потребителят промени паролата и данните си за вход.

Друг проблем възниква, когато потребителите използват същото ( дори да е много добро) парола за достъп до много системи: корпоративни, лични и интернет системи. Тъй като паролата е толкова силна, колкото и най-слабият хост, хакер, който научи паролата през този хост, получава достъп до всички други системи, които използват същата парола.

1.5. Човекът по средата атакува

За атака Man-in-the-Middle хакерът се нуждае от достъп до пакети, предавани по мрежата. Такъв достъп до всички пакети, предавани от доставчик към всяка друга мрежа, може да бъде получен например от служител на този доставчик. Пакетни снифъри, транспортни протоколи и протоколи за маршрутизиране често се използват за този тип атака. Атаките се извършват с цел кражба на информация, прихващане на текущата сесия и получаване на достъп до частни мрежови ресурси, анализ на трафика и получаване на информация за мрежата и нейните потребители, извършване на DoS атаки, изкривяване на предадени данни и въвеждане на неоторизирана информация в мрежови сесии.

1.6. Атаки на ниво приложение

Атаките на ниво приложение могат да бъдат извършени по няколко начина. Най-често срещаният от тях е да се използват слабости в сървърния софтуер ( sendmail, HTTP, FTP). Използвайки тези слабости, хакерите могат да получат достъп до компютър като потребител, който изпълнява приложението ( обикновено това не е обикновен потребител, а привилегирован администратор с права за достъп до системата). Информацията за атаките на ниво приложение е широко публикувана, за да позволи на администраторите да коригират проблема с помощта на коригиращи модули ( лепенки). Основният проблем с атаките на приложния слой е, че те често използват портове, на които е разрешено да преминават през защитната стена. Например, хакер, използващ известна слабост в уеб сървър, често ще използва порт 80 при TCP атака.Тъй като уеб сървърът предоставя уеб страници на потребителите, защитната стена трябва да разреши достъп до този порт. От гледна точка на защитната стена атаката се третира като стандартен трафик на порт 80.

1.7. Мрежова интелигентност

Мрежовото разузнаване се отнася до събирането на мрежова информация с помощта на публично достъпни данни и приложения. Когато подготвя атака срещу мрежа, хакерът обикновено се опитва да получи възможно най-много информация за нея. Мрежовото разузнаване се извършва под формата на DNS заявки, ping sweep и сканиране на портове. DNS заявките ви помагат да разберете кой притежава определен домейн и какви адреси са присвоени на този домейн. Ехо тестване ( пинг почистване) адресите, разкрити от DNS, ви позволяват да видите кои хостове действително работят в дадена среда. След като получи списък с хостове, хакерът използва инструменти за сканиране на портове, за да компилира пълен списъкуслуги, поддържани от тези хостове. Накрая хакерът анализира характеристиките на приложенията, работещи на хостовете. В резултат на това се получава информация, която може да се използва за хакване.

1.8. Злоупотреба с доверие

Този тип действия не са "атака"или "нападение". Той представлява злонамерена експлоатация на доверителни взаимоотношения, които съществуват в мрежата. Пример е система, инсталирана от външната страна на защитна стена, която има доверителна връзка със система, инсталирана от вътрешната страна на защитната стена. Ако външна система е компрометирана, хакерът може да използва връзката на доверие, за да проникне в системата, защитена от защитната стена.

1.9. Пренасочване на портове

Пренасочването на портове е форма на злоупотреба с доверие, при която компрометиран хост се използва за преминаване на трафик през защитна стена, която иначе би била отхвърлена. Пример за приложение, което може да осигури такъв достъп е netcat.

1.10. Неоторизиран достъп

Неоторизираният достъп не може да се счита за отделен тип атака. Повечето мрежови атаки се извършват с цел получаване на неоторизиран достъп. За да познае влизане в telnet, хакерът трябва първо да получи подкана за telnet в системата си. След свързване към telnet порта на екрана се появява съобщение "изисква се разрешение за използване на този ресурс" (За да използвате тези ресурси, имате нужда от разрешение). Ако след това хакерът продължи да прави опити за достъп, те ще бъдат взети предвид "неоторизиран". Източникът на такива атаки може да бъде както в мрежата, така и извън нея.

1.11. Вируси и подобни приложения "Троянски кон"

Клиентските работни станции са много уязвими към вируси и троянски коне. "Троянски кон"- това не е вмъкване на програма, а истинска програма, която изглежда като полезно приложение, но всъщност изпълнява вредна роля.

2. Методи за противодействие на мрежови атаки

2.1. Можете да намалите заплахата от подслушване на пакети, като използвате следните инструменти:

2.1.1. Удостоверяване - Силното удостоверяване е първата защита срещу подслушване на пакети. Под "силен"Разбираме, че този метод за удостоверяване е труден за заобикаляне. Пример за такова удостоверяване са еднократните пароли ( OTP - Еднократни пароли). OTP е технология за двуфакторно удостоверяване, която съчетава това, което имате, с това, което знаете. Под "карта" ( жетон) означава хардуер или софтуер, който генерира ( на случаен принцип) уникална еднократна еднократна парола. Ако хакер открие тази парола с помощта на снифър, тази информация ще бъде безполезна, защото в този момент паролата вече ще е била използвана и оттеглена. Този метод за борба с подслушването е ефективен само срещу прихващане на пароли.

2.1.2. Комутирана инфраструктура - Друг начин за борба с подслушването на пакети в мрежова среда е създаването на комутирана инфраструктура, където хакерите имат достъп само до трафика, пристигащ на порта, към който са свързани. Комутираната инфраструктура не елиминира заплахата от снифтинг, но значително намалява нейната тежест.

2.1.3. Анти-снифъри – Третият начин за борба със снифърите е да инсталирате хардуер или софтуер, който разпознава снифърите, работещи във вашата мрежа. Тези инструменти не могат напълно да премахнат заплахата, но, както много други средства мрежова сигурност, те са включени в обща системазащита. Така наречен "анти-снифъри"измервайте времето за отговор на хоста и определяйте дали хостовете трябва да обработват "екстра"трафик.

2.1.4. Криптография - Най-ефективният начин за борба със снифъра на пакети не предотвратява прихващането или разпознава работата на снифърите, но прави тази работа безполезна. Ако комуникационният канал е криптографски защитен, това означава, че хакерът не прихваща съобщението, а шифрования текст (т.е. неразбираема последователност от битове).

2.2. Заплахата от подправяне може да бъде смекчена ( но не е елиминиран)използвайки следните мерки:

2.2.1. Контрол на достъпа - Най-лесният начин да предотвратите IP spoofing е правилно да конфигурирате контролите за достъп. За да се намали ефективността на IP spoofing, контролът на достъпа е конфигуриран да отхвърля всеки трафик, идващ от външна мрежа с адрес на източник, който трябва да се намира във вашата мрежа. Това помага в борбата с фалшифицирането на IP адреси, при което са разрешени само вътрешни адреси. Ако някои външни мрежови адреси също са разрешени, този метод става неефективен.

2.2.2. RFC 2827 филтриране - предотвратяване на потребителите от подправяне на мрежи на други хора корпоративна мрежа. За да направите това, е необходимо да отхвърлите всеки изходящ трафик, чийто адрес на източник не е един от IP адресите на Банката. Този тип филтриране, известен като "RFC 2827", може да се извърши и от ISP ( интернет доставчик). В резултат на това целият трафик, който няма адрес на източник, очакван на определен интерфейс, се отхвърля.

2.2.3. Най-ефективният метод за борба с подправянето на IP адреси е същият като при снифинг на пакети: трябва да направите атаката напълно неефективна. IP spoofing може да работи само ако удостоверяването се основава на IP адреси. Следователно въвеждането на допълнителни методи за удостоверяване прави този тип атака безполезна. Най-добрата гледкадопълнителното удостоверяване е криптографско. Ако това не е възможно, двуфакторното удостоверяване с еднократни пароли може да даде добри резултати.

2.3. Заплахата от DoS атаки може да бъде намалена по следните начини:

2.3.1. Функции против спуфинг – Правилното конфигуриране на функциите против спуфинг на вашите рутери и защитни стени ще помогне за намаляване на риска от DoS. Тези функции трябва да включват най-малко филтриране RFC 2827. Ако хакерът не може да прикрие истинската си самоличност, той едва ли ще извърши атака.

2.3.2. Anti-DoS функции – Правилната конфигурация на anti-DoS функции на рутери и защитни стени може да ограничи ефективността на атаките. Тези функции ограничават броя на полуотворените канали във всеки даден момент.

2.3.3. Ограничаване на обема на трафика ( ограничаване на трафика) – споразумение с доставчика ( интернет доставчик) за ограничаване на обема на трафика. Този тип филтриране ви позволява да ограничите количеството некритичен трафик, преминаващ през мрежата. Често срещан примере да ограничи обема на ICMP трафика, който се използва само за диагностични цели. Атаки ( д) DoS често използват ICMP.

2.3.4. Блокиране на IP адреси - след като анализирате DoS атаката и идентифицирате диапазона от IP адреси, от които се извършва атаката, свържете се с вашия доставчик, за да ги блокира.

2.4. Атаките с парола могат да бъдат избегнати, като не се използват пароли с обикновен текст. Еднократните пароли и/или криптографското удостоверяване могат на практика да премахнат заплахата от подобни атаки. Не всички приложения, хостове и устройства поддържат горните методи за удостоверяване.

Когато използвате обикновени пароли, трябва да измислите парола, която е трудна за отгатване. Минималната дължина на паролата трябва да бъде поне осем знака. Паролата трябва да включва главни букви, цифри и специални знаци ( #, %, $ и т.н.). Най-добрите паролитрудни за отгатване и трудни за запомняне, принуждавайки потребителите да записват пароли на хартия.

2.5. Атаките Man-in-the-Middle могат да се борят ефективно само с помощта на криптография. Ако хакер прихване данни от криптирана сесия, това, което ще се появи на неговия екран, не е прихванатото съобщение, а безсмислен набор от знаци. Имайте предвид, че ако хакер получи информация за криптографска сесия ( например сесиен ключ), това може да направи възможна атака Man-in-the-Middle дори в криптирана среда.

2.6. Атаките на ниво приложение не могат да бъдат напълно елиминирани. Хакерите постоянно откриват и публикуват нови уязвимости в приложните програми в Интернет. Най-важното е добрата системна администрация.

Мерки, които можете да предприемете, за да намалите уязвимостта си към този тип атака:

  • четене и/или анализ на лог файлове на операционна система и мрежови лог файлове с помощта на специални аналитични приложения;
  • навременно актуализиране на версии на операционни системи и приложения и инсталиране на най-новите коригиращи модули ( лепенки);
  • използване на системи за откриване на атаки ( IDS).

2.7. Невъзможно е напълно да се отървете от мрежовия интелект. Ако деактивирате ICMP ехо и ехо отговор на крайни рутери, вие се отървавате от ping тестване, но губите данните, необходими за диагностициране на мрежови повреди. Освен това можете да сканирате портове без предварително тестване на ping. Това просто ще отнеме повече време, тъй като ще трябва да сканирате несъществуващи IP адреси. IDS системите на ниво мрежа и хост обикновено се справят добре с уведомяването на администратора за текущо мрежово разузнаване, което им позволява да се подготвят по-добре за предстояща атака и да уведомят ISP ( интернет доставчик), в чиято мрежа има инсталирана система, която проявява прекомерно любопитство.

2.8. Рискът от нарушаване на доверието може да бъде намален чрез по-строг контрол на нивата на доверие във вашата мрежа. Системите, разположени извън защитната стена, никога не трябва да имат абсолютно доверие от системи, защитени от защитната стена. Връзките на доверие трябва да бъдат ограничени до конкретни протоколи и, ако е възможно, удостоверени с параметри, различни от IP адреси.

2.9. Основният начин за борба с пренасочването на портове е използването на силни модели на доверие ( виж клауза 2.8 ). В допълнение, IDS хост системата може да попречи на хакер да инсталира своя софтуер на хоста ( КРИЕ).

2.10. Методите за борба с неоторизиран достъп са доста прости. Основното тук е да се намали или напълно да се премахне възможността на хакера да получи достъп до системата, използвайки неоторизиран протокол. Като пример, помислете за предотвратяване на хакери от достъп до telnet порта на сървър, който предоставя уеб услуги на външни потребители. Без достъп до този порт, хакер няма да може да го атакува. Що се отнася до защитната стена, основната й задача е да предотврати най-простите опити за неоторизиран достъп.

2.11. Борбата с вирусите и троянските коне се осъществява с помощта на ефективен антивирусен софтуер, който работи на ниво потребител и на ниво мрежа. Антивирусните продукти откриват повечето вируси и троянски коне и спират разпространението им.

3. Алгоритъм на действие при откриване на мрежови атаки

3.1. Повечето мрежови атаки се блокират от автоматично инсталирани инструменти за защита на информацията ( защитни стени, доверени инструменти за зареждане, мрежови рутери, антивирусни инструменти и др.).

3.2. Атаките, които изискват намесата на персонала, за да ги блокира или намали тежестта на последствията, включват DoS атаки.

3.2.1. DoS атаките се откриват чрез анализиране на мрежовия трафик. Началото на атаката се характеризира с „ изчукване» комуникационни канали, използващи ресурсоемки пакети с фалшиви адреси. Такава атака срещу уебсайт за онлайн банкиране усложнява достъпа за законни потребители и уеб ресурсът може да стане недостъпен.

3.2.2. Ако бъде открита атака Системен администраторизвършва следните действия:

  • ръчно превключва рутера към резервния канал и обратно, за да идентифицира по-малко натоварен канал (канал с по-широка честотна лента);
  • идентифицира диапазона от IP адреси, от които се извършва атаката;
  • изпраща заявка до доставчика за блокиране на IP адреси от посочения диапазон.

3.3. DoS атаката обикновено се използва за прикриване на успешна атака срещу клиентски ресурси, за да се затрудни откриването й. Следователно, при откриване на DoS атака е необходимо да се анализират последните транзакции, за да се идентифицират необичайни транзакции, да се блокират (ако е възможно) и да се свържат с клиентите чрез алтернативен канал, за да се потвърдят транзакциите.

3.4. При получаване на информация за неразрешени действия от клиента се записват всички налични доказателства, извършва се вътрешно разследване и се подава заявление до правоприлагащите органи.

Изтегли ZIP файл (24151)

Ако документите са били полезни, моля, харесайте ги:

Проблеми със сигурността на IP мрежата

Анализ на заплахи за мрежовата сигурност.

За организиране на комуникации в разнородна мрежова среда се използва набор от TCP/IP протоколи, осигуряващи съвместимост между компютрите различни видове. Съвместимостта е едно от основните предимства на TCP/IP, поради което повечето компютърни мрежи поддържат тези протоколи. Освен това TCP/IP протоколите осигуряват достъп до ресурсите на глобалната Интернет.

Поради своята популярност TCP/IP се превърна в де факто стандарт за работа в мрежа. Но повсеместното разпространение на протоколния стек TCP/IP също го разкри. слаби страни. Когато създаваха своето плод на въображението, архитектите на TCP/IP стека не виждаха причина да се тревожат особено за защитата на мрежите, изградени върху него. Следователно в спецификациите по-ранни версии IP протоколът нямаше изисквания за сигурност, което доведе до присъщата уязвимост на неговото изпълнение.

Бързото нарастване на популярността на интернет технологиите е придружено от увеличаване на сериозните заплахи за разкриване на лични данни, критични корпоративни ресурси, държавни тайни и др.

Всеки ден хакери и други злонамерени лица заплашват онлайн информационните ресурси, като се опитват да получат достъп до тях чрез специални атаки. Тези атаки стават все по-сложни като въздействие и по-лесни за изпълнение. Два основни фактора допринасят за това.

Първо, това е широкото навлизане на Интернет. Днес милиони компютри са свързани към тази мрежа. С много милиони компютри, свързани с интернет в близко бъдеще, вероятността хакерите да получат достъп до уязвими компютри и компютърни мрежи нараства. В допълнение, широкото използване на интернет позволява на хакерите да обменят информация в глобален мащаб.

Второ, има широко разпространено разпространение на лесни за използване операционни системи и среди за разработка. Този фактор рязко намалява изискванията към нивото на познания на нападателя. Преди това хакерът се нуждаеше от добри познания и умения по програмиране, за да създава и разпространява зловреден софтуер. Сега, за да получите достъп до хакерски инструмент, трябва само да знаете IP адреса на желания сайт, а за да извършите атака, просто щракнете с мишката.

Проблемите с осигуряването на информационна сигурност в корпоративните компютърни мрежи са причинени от заплахи за сигурността на локални работни станции, локални мрежи и атаки срещу корпоративни мрежи, които имат достъп до обществени мрежи за данни.

Мрежовите атаки са толкова разнообразни, колкото и системите, към които са насочени. Някои атаки са много трудни. Други могат да бъдат извършени от обикновен оператор, който дори не си представя какви последствия могат да имат неговите дейности.



Нарушителят, когато извършва атака, обикновено си поставя следните цели:

v нарушаване на поверителността на предаваната информация;

v нарушаване на целостта и надеждността на предаваната информация;

v нарушаване на системата като цяло или на отделни нейни части.

От гледна точка на сигурността разпределените системи се характеризират преди всичко с наличието дистанционни атаки , тъй като компонентите на разпределените системи обикновено използват отворени канали за предаване на данни и нарушителят може не само пасивно да подслушва предаваната информация, но и да променя предавания трафик (активно влияние). И ако активното въздействие върху трафика може да бъде записано, то пасивното въздействие е практически неоткриваемо. Но тъй като по време на работа разпределени системиобменът на служебна информация между компонентите на системата също се извършва чрез отворени канали за предаване на данни, след което служебната информация става същият обект на атака като потребителските данни.

Трудността при откриване на факта на дистанционна атака поставя този вид незаконно действие на първо място по отношение на степента на опасност, тъй като възпрепятства навременната реакция на заплахата, в резултат на което нарушителят увеличава шансовете за успешно извършване извън атаката.

Безопасност локална мрежаВ сравнение със сигурността на мрежата, тя се различава по това, че в този случай е на първо място по важност нарушения на регистрирани потребители , тъй като по принцип каналите за предаване на данни в локалната мрежа се намират в контролирана зона и защитата срещу неоторизирано свързване към тях се осъществява чрез административни методи.

На практика IP мрежите са уязвими към редица методи за неоторизирано проникване в процеса на обмен на данни. С развитието на компютърните и мрежовите технологии (например с появата на мобилни Java приложения и ActiveX контроли) списъкът с възможни видове мрежови атаки срещу IP мрежи непрекъснато се разширява [Galitsky A.V., Ryabko S.D., Shangin V.F. Защита на информацията в мрежата - анализ на технологиите и синтез на решения. М.: DMK Press, 2004].

Нека да разгледаме най-често срещаните видове мрежови атаки.

Подслушване (душене). Голяма част от данните в компютърните мрежи се предават в незащитен формат (обикновен текст), което позволява на нападател с достъп до линиите за данни във вашата мрежа да подслушва или чете трафика. За подслушване на компютърни мрежи, които използват снифър Снифър за пакети е приложна програма, която прихваща всички мрежови пакети, предавани през определен домейн.

В момента снифърите работят в мрежите на напълно законна основа. Те се използват за диагностика на повреди и анализ на трафика. Въпреки това, тъй като някои мрежови приложения прехвърлят данни в текстов формат (Telnet, FTP, SMTP, POP3 и т.н.), използването на снифър може да разкрие полезна и понякога поверителна информация (например потребителски имена и пароли).

Проучване на паролапредавани по мрежа в некриптирана форма чрез „подслушване“ на канала е вид атака за подслушване. Прихващането на вход и парола представлява сериозна заплаха, тъй като потребителите често използват едно и също потребителско име и парола за множество приложения и системи. Много потребители обикновено имат една парола за достъп до всички ресурси и приложения. Ако приложението работи в режим клиент/сървър и данните за удостоверяване се предават по мрежата в четим текстов формат, тази информация вероятно може да се използва за достъп до други корпоративни или външни ресурси.

В най-лошия случай хакерът получава достъп на системно ниво до потребителски ресурс и го използва, за да създаде нови потребителски атрибути, които могат да се използват за достъп до мрежата и нейните ресурси по всяко време.

Можете да предотвратите заплахата от подслушване на пакети, като използвате следното:
мерки и средства:

v използване на еднократни пароли за удостоверяване;

v инсталиране на хардуер или софтуер, който разпознава
душички;

v приложение криптографска защитакомуникационни канали.

Промяна на данни.Нападател, който можеше да чете
вашите данни ще могат да правят и Следваща стъпка- сменете ги. Данни в
пакетът може да бъде променен, дори ако атакуващият не знае нищо
относно подателя или получателя. Дори и да не се нуждаете от строг
поверителността на всички предадени данни, вероятно не искате,
така че да се променят по пътя.

Анализ на мрежовия трафик.Целта на атаки като тази
тип са слушане на комуникационни канали и анализиране на предаваното
информация за данни и услуги за изучаване на топология и архитектура
изграждане на система, получаване на крит потребителска информация
(например предадени потребителски пароли или номера на кредитни карти
в отворена форма). Протоколи като FTP са податливи на този тип атака.
или Telnet, чиято особеност е, че потребителското име и паролата
предавани в рамките на тези протоколи в ясен текст.

Замяна на доверен субект.Повечето мрежи и работят
системите използват IP адреса на компютъра, за да определят дали
това е адресатът, който е необходим. В някои случаи може да е неправилно
присвояване на IP адрес (замяна на IP адреса на подателя с друг адрес) – т.н
методът за атака се нарича фалшификация на адрес(IP спуфинг).

IP spoofing възниква, когато нападател, вътре или извън корпорация, се представя за легитимен потребител. Нападателят може да използва IP адрес, който е в обхвата на разрешените IP адреси, или разрешен външен адрес, на който е разрешен достъп до определени мрежови ресурси. Нападателят може също да използва специални програми, които оформят IP пакети, така че да изглеждат като идващи от оторизирани вътрешни адреси в корпоративната мрежа.

IP spoofing атаките често са отправна точка за други атаки. Класически пример еатака като " отказ на услуга"(DoS), който започва с нечий друг адрес, скривайки истинската самоличност на хакера. Обикновено IP spoofing се ограничава до вмъкване на невярна информация или злонамерени команди в нормалния поток от данни, предавани между клиентско и сървърно приложение или по комуникационен канал между равноправни устройства.

Заплахата от подправяне може да бъде смекчена (но не и елиминирана) чрез следните мерки:

v правилна настройкаконтрол на достъпа от външна мрежа;

v потискане на опити за фалшификация на мрежи на други хора от потребители на тяхната мрежа.

Трябва да се има предвид, че може да възникне IP спуфинг, ако потребителите са удостоверени на базата на IP адреси, така че въвеждането на допълнителни методи за удостоверяване на потребителя (на базата на еднократни пароли или други криптографски методи) може да предотврати атаките на IP спуфинг.

Посредничество.Атаката "човек по средата" включва активно подслушване, прихващане и контрол на предаваните данни от невидим междинен възел. Когато компютрите си взаимодействат на ниско ниво мрежови нива, те не винаги могат да определят с кого точно обменят данни.

Посредничество при обмен на некриптирани ключове (атака Man-in-the-Middle).За Човекът по средата атакува(човек в средата) Нападателят се нуждае от достъп до пакети, предавани по мрежата. Такъв достъп до всички пакети, предавани от интернет доставчик към всяка друга мрежа, може да бъде получен например от служител на този доставчик. Пакетни снифъри, транспортни протоколи и протоколи за маршрутизиране често се използват за този тип атака.

В повече общ случайАтаките Man-in-the-Middle се извършват за кражба на информация, прихващане на текущата сесия и получаване на достъп до частни мрежови ресурси, за анализиране на трафика и получаване на информация за мрежата и нейните потребители, за извършване на DoS атаки, изкривяване на предавани данни и въвеждане на неоторизирана информация в мрежови сесии.

Атаките Man-m-the-Middle могат ефективно да се борят само с помощта на криптография. За противодействие на този тип атака се използва инфраструктура за управление. публични ключове PKI (инфраструктура с публичен ключ).

Отвличане на сесия. След приключване на първоначалната процедура за удостоверяване връзката, установена от легитимния потребител, например с пощенски сървър, се превключва от атакуващия към нов хост и първоначалният сървър получава команда да прекрати връзката. В резултат на това „събеседникът“ на законния потребител тихо се заменя.

След като получи достъп до мрежата, нападателят има големи възможности:

v може да изпраща неправилни данни към приложения и мрежови услуги, причинявайки срив или неизправност;

v може също така да наводни компютър или цяла мрежа с трафик, докато системата се срине поради претоварване;

v И накрая, атакуващият може да блокира трафика, което ще доведе до загуба на достъп до мрежовите ресурси за оторизирани потребители.

Отказ от услуга (DoS).Тази атака е различна от другите видове атаки. Не е насочен към получаване на достъп до вашата мрежа или извличане на информация от тази мрежа. DoS атака прави мрежата на организацията недостъпна за нормална употреба чрез превишаване на допустимите граници на мрежата, операционната система или приложението. По същество тази атака отказва на нормалните потребители достъп до ресурси или компютри в мрежата на организацията.

Повечето DoS атаки разчитат на общи слабости в системната архитектура. В случай на някои сървърни приложения (като уеб сървър или FTP сървър), DoS атаките могат да включват превземане на всички достъпни за тези приложения връзки и поддържането им заети, предотвратявайки

услуги за обикновени потребители. DoS атаките могат да използват общи интернет протоколи като TCP и ICMP (Internet Control Message Protocol).

DoS атаките са трудни за предотвратяване, защото изискват координация с вашия интернет доставчик. Ако трафикът, предназначен да претовари вашата мрежа, не може да бъде спрян при доставчика, тогава на входа на мрежата вече няма да можете да направите това, тъй като цялата честотна лента ще бъде заета.

Ако този тип атака се извършва едновременно през много устройства, казваме относно разпределената DDoS атака за отказ на услуга(разпространен DoS).

Лесното прилагане на DoS атаките и огромната вреда, която те причиняват на организации и потребители, привличат голямото внимание на администраторите за мрежова сигурност към тези атаки.

Атаки с парола.Целта на тези атаки е да се получи паролата и данните за вход на легитимния потребител. Нападателите могат да извършват атаки с парола, като използват методи като:

v O подмяна на IP адрес (1P spoofing);

v подслушване (душене);

v просто търсене.

IP spoofing и packet sniffing бяха обсъдени по-горе. Тези методи ви позволяват да прихванете потребителска парола и логин, ако се предават в ясен текст по несигурен канал.

Често хакерите се опитват да отгатнат паролата и данните за вход, като използват многобройни опити за достъп. Този подход се нарича атака с груба сила(атака с груба сила). Тази атака използва специална програма, която се опитва да получи достъп до публичен ресурс (например сървър). Ако в резултат на това атакуващият успее да отгатне паролата, той получава достъп до ресурсите като обикновен потребител. Ако този потребител има значителни привилегии за достъп, атакуващият може да създаде „пропуск“ за себе си за бъдещ достъп, който ще остане в сила дори ако потребителят промени паролата и данните си за вход.

Инструментите за прихващане, избор и разбиване на пароли в момента се считат за практически законни и се произвеждат официално от доста голям брой компании. Те се предлагат на пазара като софтуер за проверка на сигурността и възстановяване забравени паролии могат да бъдат закупени законно от разработчиците.

Атаките с парола могат да бъдат избегнати, като не се използват пароли с обикновен текст. Използването на еднократни пароли и криптографско удостоверяване може на практика да премахне заплахата от подобни атаки. За съжаление, не всички приложения, хостове и устройства поддържат тези методи за удостоверяване.

Когато използвате обикновени пароли, трябва да измислите парола, която е трудна за отгатване. Минималната дължина на паролата трябва да бъде поне осем знака. Паролата трябва да включва главни букви, цифри и специални знаци (#, $, &, % и т.н.).

Отгатване на ключа.Криптографският ключ е код или номер, необходим за дешифриране на защитена информация. Въпреки че откриването на ключа за достъп е трудно и изисква много ресурси, все пак е възможно. По-специално, за да се определи стойността на ключ, може да се използва специална програма, която прилага метода на изчерпателно търсене. Ключът, до който нападателят получава достъп, се нарича компрометиран. Нападателят използва компрометирания ключ, за да получи достъп до защитени предадени данни без знанието на подателя и получателя. Ключът дава възможност за дешифриране и промяна на данни.

Атаки на ниво приложение.Тези атаки могат да бъдат извършени по няколко начина. Най-често срещаният от тях е да се използват известни слабости в сървърния софтуер (FTP, HTTP, уеб сървъри).

Основният проблем с атаките на приложния слой е, че те често използват портове, на които е разрешено да преминават през защитната стена.

Информацията за атаките на ниво приложение е широко публикувана, за да позволи на администраторите да коригират проблема с помощта на коригиращи модули (пачове). За съжаление, много хакери също имат достъп до тази информация, което им позволява да учат.

Невъзможно е напълно да се премахнат атаките на ниво приложение. Хакерите непрекъснато откриват и публикуват нови уязвимости в приложните програми на своите интернет сайтове.

Тук е важна добрата системна администрация. За да намалите уязвимостта си към този тип атака, можете да предприемете следните стъпки:

v анализирайте регистрационните файлове на операционната система и мрежовите регистрационни файлове с помощта на специални аналитични приложения;

v наблюдава CERT данни за слабости на приложния софтуер;

v използвайте най-много най-новите версииоперационни системи и приложения и най-новите коригиращи модули (пачове);

v използвайте системи за откриване на атаки IDS (системи за откриване на проникване).

Мрежова интелигентносте събирането на мрежова информация, използваща публично достъпни данни и приложения. Когато подготвя атака срещу мрежа, хакерът обикновено се опитва да получи възможно най-много информация за нея.

Мрежовото разузнаване се извършва под формата на DNS заявки,
ехо тестване (ping sweep) и сканиране на портове. DNS заявките ви помагат да разберете кой притежава определен домейн и какви адреси са присвоени на този домейн. Пинг адресите, разкрити от DNS, ви позволяват да видите кои хостове действително работят в дадена среда. След като получи списък с хостове, хакерът използва инструменти за сканиране на портове, за да състави пълен списък с услуги, поддържани от тези хостове. В резултат на това се получава информация, която може да се използва за хакване.

Невъзможно е напълно да се отървете от мрежовия интелект. Ако, например, деактивирате ICMP ехо и ехо отговор на крайни рутери, вие се отървавате от ping тестване, но губите данните, необходими за диагностициране на мрежови повреди. Освен това можете да сканирате портове без предварително тестване на ping. Просто ще отнеме повече време, тъй като ще трябва да сканирате несъществуващи IP адреси.

IDS системите на мрежово и хост ниво обикновено вършат добра работа, като предупреждават администраторите за текущо мрежово разузнаване, което им позволява да се подготвят по-добре за предстояща атака и да предупреждават ISP, в чиято мрежа дадена система е прекалено любопитна.

Злоупотреба с доверие.Този виддействието не е атака в пълния смисъл на думата. Той представлява злонамерена експлоатация на доверителни взаимоотношения, които съществуват в мрежата. Типичен пример за подобна злоупотреба е ситуацията в периферната част на корпоративната мрежа. Този сегмент обикновено съдържа DNS, SMTP и HTTP сървъри. Тъй като всички те принадлежат към един и същи сегмент, хакването на един от тях води до хакване на всички останали, тъй като тези сървъри се доверяват на други системи в тяхната мрежа.

Рискът от нарушаване на доверието може да бъде намален чрез по-строг контрол на нивата на доверие във вашата мрежа. Системите, разположени извън защитната стена, никога не трябва да имат абсолютно доверие от системи, защитени от защитната стена.

Доверителните отношения трябва да бъдат ограничени до конкретни протоколи и, ако е възможно, удостоверени не само чрез IP адреси, но и чрез други параметри. Злонамерени програми.Такива програми включват компютърни вируси, мрежови червеи и програми за троянски коне.

Вирусиса злонамерени програми, които се вмъкват в други програми, за да изпълнят специфична нежелана функция на работната станция на крайния потребител. Вирусът обикновено се разработва от нападателите по такъв начин, че да остане незабелязан възможно най-дълго. компютърна система. Началният период на латентност на вирусите е механизъм за тяхното оцеляване. Вирусът се проявява напълно в определен момент от време, когато се случи някакво обаждане, например петък 13-ти, известна дата и т.н.

Вид вирусна програма е мрежов червей,който се разпространява в глобалната мрежа и не оставя свое копие на магнитен носител. Този термин се използва за назоваване на програми, които подобно на тении се движат наоколо компютърна мрежаот една система към друга. Червеят използва механизми за мрежова поддръжка, за да определи кой хост може да бъде засегнат. След това, използвайки същите механизми, червеят прехвърля тялото си в този възел и или се активира, или изчаква подходящи условия за активиране. Мрежовите червеи са опасен вид зловреден софтуер, тъй като целта на тяхната атака може да бъде всеки от милионите компютри, свързани с глобалната интернет мрежа. За да се предпазите от червей, трябва да вземете предпазни мерки срещу неоторизиран достъп до вашата вътрешна мрежа.

ДА СЕ компютърни вирусив непосредствена близост до т.нар "троянски коне"(троянски програми). Троянският кон е програма, която изглежда като полезно приложение I, но всъщност изпълнява вредни функции (унищожаване на софтуер
предоставяне, копиране и изпращане на файлове с поверителни данни до нападателя и др.). Опасността от троянски кон се крие в допълнителен блок от команди, вмъкнат в оригиналната безвредна програма, която след това се предоставя на потребителите на AS. Този блок от команди може да бъде задействан при настъпване на всяко условие (дата, състояние на системата) или при външна команда. Потребител, който изпълнява такава програма, застрашава както своите файлове, така и цялата система като цяло.

Според доклада за управление на заплахите за сигурността на Sophos, троянските коне са повече от вирусите и червеите с четири към едно през първата половина на 2006 г. спрямо удвояването през първите шест месеца на 2005 г. Sophos съобщава също за появата на нов тип " троянски програми , наречен ransomware. Такива програми крадат данни от заразени компютри и след това от потребителя се иска да плати определен откуп за това.

Работните станции на крайните потребители са силно уязвими към вируси, червеи и троянски коне.

Характеристика на съвременния злонамерен софтуер е неговият фокус върху специфичен приложен софтуер, който се превърна в де факто стандарт за повечето потребители, предимно Microsoft Internet ExplorerИ Microsoft Outlook. Масово създаване на вируси под продукти на Microsoftсе обяснява не само с ниското ниво на сигурност и надеждност на програмите, важна роляиграе роля в глобалното разпространение на тези продукти. Авторите на злонамерен софтуер все повече започват да изследват „дупки“ в популярните СУБД, междинния софтуер и корпоративните бизнес приложения, изградени върху тези системи.

Вирусите, червеите и троянските коне непрекъснато се развиват, като основната тенденция в развитието им е полиморфизмът. Днес вече е доста трудно да се направи граница между вирус, червей и троян, те използват почти едни и същи механизми, малката разлика е само в степента на това използване. Дизайнът на зловреден софтуер днес е станал толкова унифициран, че например е почти невъзможно да се разграничи имейл вирус от червей с разрушителни функции. Дори „троянските“ програми имат функция за репликация (като едно от средствата за противодействие на антивирусните инструменти), така че при желание могат да бъдат наречени вируси (с механизъм за разпространение под формата на маскиране като приложни програми).

За защита срещу тези злонамерени програми е необходимо да се предприемат редица мерки:

v предотвратяване на неоторизиран достъп до изпълними файлове;

v тестване на закупен софтуер;

v наблюдение на целостта на изпълними файлове и системни области;

v създаване на затворена среда за изпълнение на програма.

Вирусите, червеите и троянските коне се борят с помощта на ефективен антивирусен софтуер, който работи на потребителско ниво и евентуално на мрежово ниво. С появата на нови вируси, червеи и троянски коне е необходимо да се инсталират нови бази данни с антивирусни инструменти и приложения.

Спам и фишингсе отнасят за несофтуерни заплахи. Разпространението на тези две заплахи в напоследъке нараснал значително.

Спам,чийто обем вече надвишава 80% от общия обем на пощенския трафик, може да представлява заплаха за достъпността на информация чрез блокиране на пощенски сървъри или да се използва за разпространение на зловреден софтуер.

Фишинг(phishing) е сравнително нов вид интернет измама, чиято цел е получаване на потребителски идентификационни данни. Това включва кражба на пароли, номера на кредитни карти, банкови сметки, ПИН кодове и друга поверителна информация, която дава достъп до парите на потребителя. Фишингът не използва техническите недостатъци на софтуера, а по-скоро лековерността на интернет потребителите. Самият термин phishing, съзвучен с fishing, означава password harvesting fishing - риболов за парола. Всъщност фишингът е много подобен на риболова. Нападателят хвърля стръв в интернет и „хваща всички риби“ - интернет потребители, които ще захапят тази стръв.

Нападателят създава почти точно копиеуебсайт на избраната банка (електронен платежна система, търг и др.). След това, използвайки спам технология, електронна пощаизпраща се писмо, съставено така, че да прилича максимално на истинско писмо от избраната банка. При съставянето на писмото се използват лога на банката, имена и фамилии на реални банкови мениджъри. Такова писмо, като правило, информира, че поради промяна в софтуера в системата за интернет банкиране, потребителят трябва да потвърди или промени своите идентификационни данни. Причината за промяна на данните може да е повреда в софтуера на банката или атака от хакери. Наличието на правдоподобна легенда, която насърчава потребителя да предприеме необходимите действия, е незаменим компонент на успеха на измамните фишъри. Във всички случаи целта на такива писма е една и съща - да принудят потребителя да кликне върху предоставената връзка и след това да въведе своите поверителни данни (пароли, номера на сметки, ПИН кодове) на уебсайта на банката за наслагване (система за електронни плащания, търг) . След като посети фалшив сайт, потребителят въвежда своите поверителни данни в съответните редове и след това измамниците получават достъп, в най-добрия случай, до неговия пощенска кутия, в най-лошия - към електронна сметка.

Фишър технологиите се усъвършенстват и се използват методи на социално инженерство. Те се опитват да изплашат клиента и да му измислят критична причина да се откаже от поверителните си данни. Обикновено съобщенията съдържат заплахи, като например блокиране на акаунт, ако получателят не спазва изискванията, посочени в съобщението.

Появи се конюгат с фишинг концепция - фармация . Това също е измама, чиято цел е получаване на лични данни на потребителите, но не чрез поща, а директно през официални уеб сайтове. Фермерите заменят с DNS сървърицифрови адреси на легитимни уеб сайтове към тези на фалшиви, в резултат на което потребителите се пренасочват към измамни сайтове. Този вид измама е още по-опасен, тъй като е почти невъзможно да забележите фалшификат.

В наши дни измамниците често използват троянски коне. В този случай задачата на фишъра е значително опростена - достатъчно е да принудите потребителя да отиде на сайта за фишинг и да „вземе“ програма, която самостоятелно ще намери всичко необходимо на твърдия диск на жертвата. Заедно с троянските програми те започнаха да се използват кийлогъри.Във фалшивите сайтове шпионски софтуер, който проследява натискането на клавиши, се изтегля на компютрите на жертвите. Когато използвате този подход, не е необходимо да намирате достъп до клиенти на конкретна банка или компания и следователно фишърите започнаха да фалшифицират уебсайтове с общо предназначение, като емисии с новини и търсачки.

Какво прави фишинг измамите успешни? ниско нивоинформираност на потребителите за правилата за работа на компаниите, от името на които действат престъпниците. По-конкретно, около 5% от потребителите не знаят един прост факт: банките не изпращат писма с молба да потвърдят номера на кредитната си карта и ПИН онлайн.

Според анализатори (www.cnews.ru) щетите, причинени от фишърите на световната икономика, възлизат на 14 милиарда долара през 2003 г., а година по-късно достигат 44 милиарда долара. Според статистиката на Symantec в средата на 2004 г. филтрите на компанията са блокирали всяка седмица до 9 милиона имейла с фишинг съдържание. До края на годината 33 милиона вече са били отсеяни през същия период.

Филтрите за спам остават основната защита срещу фишинг. За съжаление софтуерните инструменти против фишинг имат ограничена ефективност, тъй като нападателите използват предимно човешката психология, а не софтуерните недостатъци. Активно се развива технически средствасигурност, предимно добавки за популярни браузъри. Същността на защитата е да блокира сайтове, които са включени в „черните списъци“ на измамни ресурси. Следващата стъпка може да бъде системите за генериране на еднократни пароли за интернет достъп до банкови сметки и сметки в платежни системи, както и широкото разпространение на допълнителни нива на защита чрез комбинация от въвеждане на парола с помощта на USB хардуерен ключ.

Изброените атаки срещу IP мрежи са възможни поради редица причини:

v използване на обществени канали за предаване на данни. Критичните данни се предават по мрежата в некриптирана форма;

v уязвимости в процедурите за удостоверяване, внедрени в TCP/IP стека. Информацията за самоличност на IP слоя се предава в чист текст;

v липсата в основната версия на протоколния стек TCP/IP на механизми, които гарантират поверителността и целостта на предаваните съобщения;

v подателят е удостоверен чрез своя IP адрес. Процедурата по автентификация се извършва само на етапа на установяване на връзка, като впоследствие автентичността на получените пакети не се проверява;

v липса на контрол върху маршрута на съобщенията в Интернет, което прави отдалечените мрежови атаки практически безнаказани.

Този слоган предполага атака за събиране на информация за информационна система чрез посредник, потребителя. Прост пример, когато нападател се представя на потребителя като упълномощено лице, пита потребителя за неговата парола и вход. Ако нападателят успее, той получава достъп до информация, без да знае за техническите аспекти на системата или каквито и да е уязвимости. Общ атакуващ подход социално инженерствоприлагани с помощта на психологически методи като доверие, мързел или невнимание. Разбира се, всички служители трябва да бъдат предупредени за възможни подходи от нарушители или други средства. Всички тези точки трябва да бъдат описани в. В практиката има много случаи, когато например служител подписва задължения за неразкриване на информация лична паролакъм локалната мрежа, той веднага го казва на колега или го произнася на глас в нов екип. Има и редица ситуации, когато отделите на предприятието и административният отдел са разположени на разстояние. И вие трябва да използвате средства за комуникация, за да получите парола, което води до нови. Или нападателят ще се представи на служителите и ще поиска паролата си, или ще подслушва телефонен разговори чуйте паролата. Трябва да има по един за всяка ситуация.

Модели на атака

Атакаинформационната система се характеризира с умишлени действия на нападател, който използва уязвимостите на такава система и води до нарушаване на поверителността, наличността и целостта на обработваната или съхранявана информация.

Стандартен модел на атакавъз основа на принципа едно към едно(фиг. 1) или един към много(фиг. 2). Такива атаки се извършват от един източник. Методите за мрежова защита (екрани, DLP) се основават точно на такъв модел на атака. В различни възли на защитената мрежа са инсталирани сензори на системата за сигурност, които предават данни към централния контролен модул. Такъв модел обаче не може да се справи с разпределени атаки.

Фигура - 2

Моделът на разпределената атака прилага различни принципи. Такива атаки реализират връзката много към едно(фиг.3) и много към много(фиг. 4). Тези атаки се основават на атаки като отказ на услуга. Принципът на подобни атаки се свежда до изпращане на множество пакети към атакувания възел. Такъв възел може да замръзне или да се повреди, докато има време да обработи всички входящи пакети. Основният канон на такава атака е, че честотната лента на атакуващия на атакувания възел надвишава пропускателна способностатакуван възел.

Фигура - 4

Етапи на изпълнение на атаката

Когато казват за действие като нападение, те имат предвид само изпълнение на атаката, но забравят за две основни действия: Предпоставки за атакатаИ Завършване на атаката. Събирането на данни е основната стъпка за създаване на атака. На този етап цялата ефективност на работата зависи от отличен резултатна този етап. Първо се избира целта на атаката и се събират данни за обекта отворени портове, тип на операционната система, софтуер и конфигурация и др.). След това се определят най-уязвимите точки на такава система, които по време на атака ще дадат необходимия резултат. Тази работа ще ви позволи да изберете вида на атаката и източника на нейното изпълнение.

Конвенционалните методи за защита работят само на втория етап от създаването на атака, но не защитават изобщо от първия и третия етап. Те също така не ви позволяват да откривате вече извършени атаки и да анализирате щетите. Нападателят, в зависимост от резултата, се концентрира върху аспекта на атаката:

  • за отказ от услуга се анализира атакуваната мрежа, търсят се слаби места
  • за кражба на данни се определя вниманието към стелт атака

Събиране на информация. Този етап включва събиране на данни за топологията на мрежата, версията на ОС на атакувания хост и т.н. Нападателят може да се опита да определи адреси доверенсистеми и възли, които са директно свързани с целта на атаката. Има два метода за определяне на мрежовата топология, която атакуващият може да използва:

  • Промяна на TTL
  • запис на маршрута

Първият метод се използва от tracert за Windows и traceroute за Unix програми. Те прилагат поле TIME to Live в заглавката на IP пакета, което варира в зависимост от мрежовия пакет, преминал през рутера. Също така мрежовата топология може да се определи с помощта на протокола SNMP или протокола RIP.

Идентичностите на хоста обикновено се определят с помощта на помощната програма ping на командата ECHO_REQUEST на ICMP протокола. Възелът е достъпен, когато пристигне съобщението за отговор ECHO_REPLY. Този метод на идентификация има два недостатъка:

  • Използването на ICMP заявки улеснява идентифицирането на техния източник и следователно откриването на нападателя.
  • Няколко мрежови устройстваблокирайте ICMP пакети, не ги пускайте вътре или не ги пускайте навън.

Друг метод за идентифициране на възли е възможен, ако нападателят е в локалната мрежа на жертвата, използвайки неговата мрежова карта. Можете също да идентифицирате мрежови хостове с помощта на DNS.

Сканиране на портове. Идентифицирането от услугата се осъществява чрез откриване на отворени портове. Програмите за сканиране могат да се видят в Scan. Например:

  • отворен порт 80 показва, че има налични уеб сървъри
  • 25-то пристанище - пощенски сървър SMTP
  • 31377 - сървърна част от троянския кон BackOrifice
  • 12345 или 12346 — -//- NetBus

Определение на ОС. Всяка операционна система внедрява протоколния стек TCP/IP по свой собствен начин, така че при задаване на специални въпроси ще бъде възможно да се анализират отговорите. По-малко ефективен метод за определяне е анализът от мрежова услуга.

Дефиниции на ролята на възел. Следващата стъпка е да се определят функциите на възела, върху който нападателят иска да атакува. Освен това, използвайки автоматизирани методи или ръчно, нападателят търси уязвимости. Програмите, описани в статията, могат да бъдат подходящи като такива методи. програми за мрежово тестване.

Осъществяване на атаката. Този етап определя действията или опитите на нападателя, които са насочени към атакувания възел. ПроникванеОпределя обход на методите за защита на периметъра. Пример за конкретни алгоритми няма да бъде даден накратко, тъй като темата на сайта е защита на информацията. След проникването нападателят ще се опита да запази контрола над атакувания възел.

Цели на атаките. Трябва да се отбележи, че атакуващият може да се опита да постигне две цели: получаване на достъп до самия възел и информацията, съдържаща се в него. Втората цел е да се получи NSD от възел за извършване на по-нататъшни атаки срещу други възли. сцена завършванеатаките се основават на прикриване на следи. Обикновено това включва изтриване на определени записи в различни регистрационни файлове на възли, както и връщане на възела в първоначалното му работно състояние.

Класификация на атаките

Атаките могат да бъдат класифицирани като активни или пасивни, умишлени или непреднамерени, вътрешни или външни. За да не се объркват тези псевдо класификации, има универсално разделение на атаките:

  • Локално проникване - Атака, която прилага NSD към възела, на който е стартирана
  • Дистанционно проникване - Атаки, които позволяват внедряване дистанционнокомпютър чрез мрежа
  • Мрежовите скенери са приложения, които анализират и откриват услуги, които могат да бъдат използвани като уязвимости
  • Локален отказ на услуга (ddos) е атака, която ви позволява да претоварите или нарушите функционирането на компютъра.
  • Кракери на пароли - Програми, които отгатват потребителски пароли
  • Скенери за уязвимости - Програми, които анализират уязвимости в мрежови възли
  • Анализатори на протоколи (снифери) - програмите слушат мрежовия трафик

Компания интернет сигурност Systems Inc. намали класификацията до:

  • Събиране на информация
  • NSD опити
  • Отказ на услуга
  • Подозрителна дейност
  • Системни атаки

Първите 4 категории могат да бъдат класифицирани като отдалечени атаки, а последната като локални. Трябва да се отбележи, че целият клас не е включен в тази класификация пасивенатаки – подслушване, фалшив DNS, ARP спуфинг и др.).

Отметки в хардуера

По-голямата част от информационните системи работят въз основа на аксиомата, че Хардуер- не представлява заплаха. В този случай не се извършва дори първоначална проверка на устройството за наличие на отметки. Отметка- устройство на софтуерно или хардуерно ниво, което изпълнява неразрешени действия (обикновено нарушение на поверителността) в ущърб на дадена система. Ясно е, че не всички предприятия разполагат с необходимия персонал за тези проблеми, за да идентифицират хардуерни проблеми. По-долу има списък по различни начинистандартна проверка на материалните и други ресурси на предприятието.

  • Периодична проверка на хардуера от поканени специалисти от отделни предприятия.
  • Автоматична инвентаризация на артикулите хардуерв предприятието.
  • Фиксиране серийни номера отделни частиоборудване.
  • Уплътняване на корпуси на разглобяема техника с проверка.

Ако се доближите още повече до този проблем, те използват оборудване, което следи радиопредаванията, кабелни мрежи, Електричество на мрежатазахранване, излъчване на звук и др. Тъй като всякакви отклонения от нормата на работа дават повод за размисъл. също в този проблемПотребителят играе важна роля, тъй като ако нещо се случи, той трябва незабавно да уведоми службата за сигурност.

Освен това локалните атаки срещу компютър, който е свързан към локална мрежа, играят важна роля. Те могат да създават. Такива атаки могат да бъдат срещу фърмуера или получаване на достъп по време на етапа на зареждане на ОС. Тоест можете да изтеглите live-cd/usb версия на ОС с малко по-различни параметри, които ще ви позволят да влезете в мрежата.

Също така на мястоможе да се извърши атака за удостоверяване. Освен това, ако имате права да инсталирате софтуер, потребителят може да инсталира лош или злонамерен софтуер. По-долу е даден списък на шаблонни програми, които са злонамерени.

  • Програмата за повишаване на правата, след инсталиране на лоша програма, дава достъп до затворени ресурси.
  • Програмите за отгатване на пароли могат да работят заден пландокато служителят върши бизнеса си, използвайки мощността на самия компютър.
  • Sniffer - прихващане на пакети от мрежата.
  • Cipherbreakers() също е програма, която работи в локална мрежа, използвайки мощността на компютър, търсейки уязвимости в шифри или други места.
  • Disassemblers - анализирайте операционната система или програма, за да разберете логиката и уязвимостите. Или променете стъпката на робота.
  • Атаки при препълване на буфер.
  • Дизайнери и генератори на вируси/мрежови пакети - позволява ви да създавате програми на компютър, които да причинят щети на целия IP.

Кратък списък от действия за подобряване на защитата на информационна система от локални атаки

  • Използвайте най-сигурните конфигурирани конфигурации
  • Анализирайте наличието на процес на сканиране на портове
  • Блокирайте или изтрийте акаунти по подразбиране
  • Актуализирайте системните елементи своевременно
  • Поддържайте политика с правила за сложност на паролите и ограничения за опити за въвеждане
  • Дайте на потребителите точно нивото на достъп, от което се нуждаят, за да си вършат работата
  • Защитете базата данни с потребителски пароли от различни видовевъздействие
  • Съхранявайте записи на софтуера и неговите настройки на всички компютри
  • Правете резервни копия редовно
  • Реализирайте запазване на регистрационните журнали в режим, който изключва възможността за редактирането им

Ако нямаше уязвимости в системните елементи, повечето атаки не биха били възможни. Защитите обаче се пишат от хора, които са склонни да грешат. .За да обобщим, по-долу са дадени препоръки, които ще бъдат полезни:

  • Приложете защита, базирана на противодействие не на конкретна атака, а на един вид атака.
  • Трябва да следите новините за нови атаки и контрамерки.
  • Инсталиране на защита на различни нива, така да се каже, защита в дълбочина.

Дистанционната мрежова атака е информационно разрушително въздействие върху разпределена изчислителна система (DCS), което се осъществява чрез комуникационни канали.

Поради факта, че отдалечена атака е доста трудна за откриване, но е относително лесна за изпълнение (поради излишна функционалност модерни системи) този вид противоправно действие е на първо място по степен на опасност. В зависимост от характера на въздействието си атаките могат да бъдат пасивни и активни. Първите включват тези, които не засягат пряко работата на RVS, но са в състояние да нарушат политиката му за сигурност. Именно поради липсата на пряко въздействие върху системата подобна атака е трудно разкриваема. Активно въздействие върху RVS е това, което има пряко въздействие върху работата на системата, нарушава нейната работа, променя конфигурацията и др. При активен тип атака настъпват някои промени в системата, докато при пасивна атака не остават видими следи.

При всяка атака основната цел обикновено е да се получи неоторизиран достъп до информация. Има два вида получаване на информация: прихващане и изкривяване. При прихващане се получава информация без възможност за промяна. Изкривяването или подмяната на данни води до нарушаване на тяхната цялост. Така според целта на въздействие мрежовите атаки могат да бъдат разделени на такива, които нарушават функционирането на системата, целостта информационни ресурсиили тяхната поверителност.

Информация и мрежови технологиисе развиват и променят толкова бързо, че статичните защитни механизми, като контрол на достъпа и системи за удостоверяване, в много случаи не могат да осигурят ефективна защита. Необходими са динамични методи, които дават възможност за бързо откриване и предотвратяване на нарушения на сигурността. Една такава система, която може да открие нарушения, които не се идентифицират от традиционните модели за контрол на достъпа, е технологията за откриване на проникване.

Откриването на атаки е процес на разпознаване и реагиране на подозрителна дейност, насочена към мрежа или компютърни ресурси. Ефективността на технологията до голяма степен зависи от това какви методи за анализ на получената информация се използват. В момента, наред със статистическия метод, се използват редица нови техники, като експертни системи и невронни мрежи. Нека разгледаме всеки метод поотделно.

Статистически анализ. Този подход има две основни предимства: използването на доказан апарат на математическата статистика и адаптирането към поведението на субекта. В самото начало на употреба този методсе определят профили за всеки субект от анализираната система. Всяко отклонение на използвания профил от стандарта се счита за неоторизирана дейност. Статистическите методи са универсални, защото не изискват познания за възможни атаки и уязвимости на системата. Въпреки това, когато ги използвате, могат да възникнат някои трудности, свързани например с факта, че те могат да бъдат „обучени“ да възприемат неразрешените действия като нормални. Следователно, наред със статистическия анализ се използват допълнителни техники.

Експертни системи. Този метод за откриване на атаки е доста често срещан. Когато се използва, информацията за атаките се формулира под формата на правила, които често се записват под формата на последователност от действия или под формата на подпис.

Ако някое от тези правила е изпълнено, веднага се взема решение за наличие на неразрешена дейност. Едно от основните предимства на този метод е почти пълната липса на фалшиви аларми. За да бъдат експертните системи винаги актуални, е необходимо постоянно да се актуализират използваните бази данни. Недостатъкът на този метод е невъзможността да се отблъснат непознати атаки. Дори ако атаката към базата данни е леко модифицирана, това може да се превърне в сериозна пречка за нейното откриване.

Невронни мрежи. Поради факта, че всеки ден има все повече и повече хакери и опции за атака, експертни системи, дори и при условия постоянна актуализациябазите данни не могат да гарантират точното идентифициране на всяко възможно проникване. Невронните мрежи се използват като един от начините за преодоляване на този проблем. Невронната мрежа анализира информацията и дава възможност да се оцени доколко данните са в съответствие с характеристиките, които разпознава. За да направи това, невронната мрежа се обучава да идентифицира точно с помощта на избрана извадка от примери от предметната област. Анализира се реакцията на невронната мрежа, след което системата се настройва така, че да се постигнат задоволителни резултати. Докато невронната мрежа анализира данните, тя натрупва допълнителен опит.

Едно от важните предимства невронни мрежие способността им да вземат предвид характеристиките на атаките, идентифицирайки елементи, които не са подобни на изследваните.

Поради факта, че тези методи за откриване на атаки имат своите недостатъци, те обикновено се използват заедно, за да осигурят по-надеждна защита.

За да гарантирате сигурността на вашия компютър, трябва да знаете какви мрежови атаки могат да го застрашат. Всички известни заплахи могат да бъдат разделени на три групи:

Сканиране на портове– тези заплахи сами по себе си не са атака, но по правило я предхождат, тъй като това е един от начините за получаване на информация за отдалечен компютър. Същността на този метод е да сканира UDP/TCP портове, които се използват от мрежовите услуги на желания компютърза идентифициране на състоянието им. Този процес помага да се разбере какво атакува тази системанякои може да са успешни, а други не. Освен това сканирането предоставя на атакуващия необходимата информация за операционната система, което му позволява да избере още по-подходящи видове атаки.

DOS- атаки– те са известни още като „отказ от услуга“. Това са атаки, които водят до нестабилност или пълна неработоспособност на атакуваната система. Техните последици могат да включват повреда или унищожаване на информационни ресурси и невъзможност за тяхното използване.

Има два вида DOS атаки. :

— специално създадени пакети се изпращат до компютъра жертва, което води до рестартиране или изключване на системата

— голям брой пакети се изпращат на жертвения компютър за единица време, той не може да се справи с тяхната обработка. Последствието е изчерпване на системните ресурси.

Атаки на нашествие.Целта им е да „превземат“ системата. Този тип атака е най-опасната, тъй като ако бъде изпълнена успешно, нападателят получава максимума пълна информацияза системата Атаките за проникване се използват в случаите, когато е необходимо да се получат поверителни данни от отдалечен компютър, като пароли и достъп до кредитни карти. Освен това целта на такива атаки може да бъде получаване на достъп до системата, за да се използват впоследствие нейните изчислителни ресурси за целите на нападателя. Тази група включва най-голям брой атаки.

По-често срещаните видове атаки, които използват мрежови услугиоперационна система:

— Атаки при препълване на буфера. Този тип уязвимости в софтуер, което възниква поради липсата или недостатъчните мерки за контрол при работа с набори от данни.

— Атаки, базирани на грешки във форматния низ. Този тип възниква поради недостатъчна степен на контрол върху стойностите на входните параметри на I/O функциите на формата. Ако такава уязвимост е в софтуера, тогава атакуващият може да получи абсолютен контрол над системата.

За да защитите вашите Персонален компютър(PC) от мрежови атаки трябва да инсталирате висококачествена антивирусна програма, както и защитна програма, наречена FireWall. Тази програма следи всичко, което минава и идва през мрежата, защитава вашия компютър от хакерство и мрежови атаки, а също така предотвратява прехвърлянето на лична информация. FireWall решава проблема със сканирането на портове, който беше споменат по-горе: софтуерът прави компютъра невидим в мрежата, затваряйки всички портове. В допълнение, тази програма не позволява лични данни да влизат в мрежата, дори ако системата е заразена. Троянски вируси(чиято цел е именно кражба на поверителна информация). Дори и да смятате, че на вашия компютър няма нищо, от което престъпникът може да се нуждае, все пак не трябва да пренебрегвате инсталирането на гореспоменатия софтуер, тъй като вашият компютър след атака може да бъде използван от хакер за извършване на атаки или хакване на други машини .

По естеството на въздействието:

Пасивен;

Активен.

Пасивното въздействие върху разпределена изчислителна система (DCS) е въздействие, което не засяга пряко работата на системата, но в същото време може да наруши нейната политика за сигурност. Липсата на пряко влияние върху работата на RVS води именно до факта, че пасивното дистанционно въздействие (RPI) е трудно забележимо. Възможен пример за типичен PUV в DCS е прослушването на комуникационен канал в мрежа.

Активно въздействие върху DCS е въздействие, което има пряко въздействие върху работата на самата система (нарушаване на функционалността, промяна в конфигурацията на DCS и др.), което нарушава приетата в нея политика за сигурност. Почти всички видове дистанционни атаки са активни влияния. Това се дължи на факта, че самото естество на увреждащия ефект включва активно вещество. Ясната разлика между активното и пасивното влияние е основната възможност за неговото откриване, тъй като в резултат на неговото прилагане настъпват някои промени в системата. При пасивно влияние не остават абсолютно никакви следи (поради факта, че нападателят вижда съобщението на някой друг в системата, нищо няма да се промени в същия момент).

По цел на въздействие:

нарушаване на функционирането на системата (достъп до системата);

нарушаване на целостта на информационните ресурси (IR);

нарушаване на IR поверителността.

Този признак, по който е направена класификацията, всъщност е директна проекция на три основни вида заплахи – отказ на услуга, разкриване и нарушаване на целостта.

Основната цел, преследвана при почти всяка атака, е получаването на неоторизиран достъп до информация. Има два основни варианта за получаване на информация: изкривяване и прихващане. Възможността за прихващане на информация означава получаване на достъп до нея без възможност за промяна. Следователно прихващането на информация води до нарушаване на нейната поверителност. Слушането на канал в мрежа е пример за прихващане на информация. В този случай е налице нелегитимен достъп до информация без възможни вариантинейната подмяна. Очевидно нарушаването на поверителността на информацията се отнася до пасивни влияния. Способността за замяна на информация трябва да се разбира или като пълен контрол върху потока от информация между системните обекти, или като способността да се предават различни съобщения от името на някой друг. Следователно е ясно, че подмяната на информация води до нарушаване на нейната цялост. Такова информационно деструктивно въздействие е типичен пример за активно въздействие. Пример за отдалечена атака, предназначена да наруши целостта на информацията, е отдалечената атака (RA) на „Фалшив RVS обект“.

Според наличността обратна връзкас атакувания обект:

с обратна връзка;

без обратна връзка (еднопосочна атака).

Нападателят изпраща някои заявки към атакувания обект, на които очаква да получи отговор. В резултат на това се появява обратна връзка между атакуващия и атакувания, което позволява на първия да реагира адекватно на всякакви промени в атакувания обект. Това е същността на дистанционната атака, осъществявана при наличие на обратна връзка от атакуващия обект. Такива атаки са най-характерни за RVS. Атаките с отворен цикъл се характеризират с факта, че не е необходимо да реагират на промени в атакувания обект. Такива атаки обикновено се извършват чрез изпращане на единични заявки до атакувания обект. Нападателят не се нуждае от отговори на тези заявки. Такава UA може също да се нарече еднопосочна UA. Пример за еднопосочни атаки е типична DoS атака.

Според условието за начало на удара. Дистанционното влияние, както всяко друго, може да започне да се проявява само при определени условия. Има три вида такива условни атаки в RVS:

атака по заявка от атакувания обект;

атака при настъпване на очаквано събитие върху атакувания обект;

безусловна атака.

Въздействието на нападателя ще започне, ако потенциалната цел на атаката предаде заявка от определен тип. Такава атака може да се нарече атака по заявка от атакувания обект. Този тип отдалечена атака е най-типичен за RVS. Пример за такива заявки в Интернет са DNS и ARP заявки, а в Novell NetWare – SAP заявка.

Атака при настъпване на очаквано събитие върху атакувания обект. Нападателят непрекъснато следи състоянието на ОС на отдалечената цел на атаката и започва да влияе, когато настъпи конкретно събитие в тази система. Самият атакуван обект е инициатор на атаката. Пример за такова събитие би било, когато сесията на потребителя със сървъра е прекъсната без подаване на командата LOGOUT в Novell NetWare. Безусловната атака се извършва незабавно и независимо от състоянието на ОС и атакувания обект. Следователно нападателят е инициатор на атаката в в такъв случай. Ако нормалната работа на системата е нарушена, се преследват други цели и нападателят получава незаконен достъпне е предназначен за данни. Целта му е да деактивира ОС на атакувания обект и да направи невъзможен достъпът на други системни обекти до ресурсите на този обект. Пример за този тип атака е DoS атака.

Въз основа на местоположението на обекта на атака спрямо атакувания обект:

междусегментни;

интрасегментен.

Източникът на атаката (субектът на атаката) е програмата (евентуално операторът), водеща атаката и имаща пряко въздействие.

Хост - компютър, който е елемент от мрежата.

Рутерът е устройство, което маршрутизира пакети в мрежа.

Подмрежата е група от хостове, които са част от глобална мрежа, като се различават по това, че рутерът разпределя един и същ номер на подмрежа за тях. Можем също да кажем, че подмрежата е логическа асоциация на хостове чрез рутер. Хостове в една и съща подмрежа могат да комуникират директно един с друг, без да използват рутер. От гледна точка на дистанционна атака изключително важно е относителното разположение на субекта и обекта на атаката, тоест дали са в различни или идентични сегменти. По време на вътрешносегментна атака обектът и целта на атаката се намират в един и същи сегмент. В случай на междусегментна атака, обектът и целта на атаката се намират в различни мрежови сегменти. Тази функция за класификация позволява да се прецени така наречената „степен на отдалеченост“ на атаката.

По-долу ще бъде показано, че вътрешносегментна атака е много по-лесна за изпълнение от междусегментна атака. Междусегментната отдалечена атака е по-опасна от вътрешносегментната атака. Това се дължи на факта, че в случай на междусегментна атака, нейният обект и нападателят могат да се намират на разстояние много хиляди километри един от друг, което може значително да попречи на мерките за отблъскване на атаката.

Според нивото на референтния модел ISO/OSI, на което се извършва въздействието:

физически;

канал;

транспорт;

сесиен;

Представител;

приложено.

Международната организация по стандартизация (ISO) прие стандарта ISO 7498, който описва взаимодействието отворени системи(OSI), към които принадлежат и RVS. Всеки мрежов протокол за обмен, както и всяка мрежова програма, могат по един или друг начин да бъдат проектирани върху референтно 7-ниво OSI модел. Тази многостепенна проекция дава възможност да се опишат функциите, използвани в мрежовия протокол или програма по отношение на OSI модела. UA -- мрежова програма, и е логично да се разглежда от гледна точка на проекцията върху референтния модел ISO/OSI.

Локални атаки

Източници на локални атаки са потребители и/или програми локална система. За определяне на най-вероятните атаки срещу информационна сигурност, е необходимо да се установи върху какви теоретични принципи, необвързани с реални средства, е изграден моделът на сигурност. Например, ако една от ключовите разпоредби е, че само упълномощено лице може да се приближи физически до компютъра и не са инсталирани системи за физическо ограничаване на физическия достъп, тогава атаките срещу физическата сигурност са най-вероятни:

Отметки в хардуер;

Достъп на етапа на зареждане на ОС;

Атаки срещу средства за удостоверяване;

Софтуерни атаки на трети страни;

Достъп на ниво фърмуер;

Помощни програми за локална атака.



Сподели с приятели:
Свързани публикации