Виды атак в ip сетях. Сетевые атаки


Под этим слоганом предполагается атака по сбору информации об информационной системе через посредника, пользователя. Простой пример, когда злоумышленник представляется пользователю уполномоченным лицом узнает у пользователя его пароль и логин. Если злоумышленнику это удалось, он получает доступ к информации без знаний технических аспектов системы, или каких либо уязвимостей. Общий подход атак социальной инженерии реализован на психологических методах таких как доверие, лень или невнимательность. Конечно, все сотрудники должны быть предупреждены о возможных подходов злоумышленников или других средств. Все эти моменты должны быть описаны в . На практике очень много случаев, когда к примеру сотрудник подписывает документы обязательства о неразглашении личного пароля к локальной сети, он тут же говорит его коллеге или произносит в слух в новом коллективе. Также существует ряд ситуаций, когда отделы предприятия и административный отдел находятся на расстоянии. И приходится использовать средства коммуникации для получения пароля, что влечет за собой новые . Или злоумышленник представится сотрудников и спросит свой пароль, или он подслушает телефонный разговор и услышит пароль. Для каждых ситуаций должен быть свои .

Модели атак

Атакой на информационную систему характеризуют намеренные действия злоумышленника, который использует уязвимости такой системы и приводящие к нарушению конфиденциальности, доступности и целостности обрабатываемой или хранящейся информации.

Стандартная модель атаки основана на принципе один к одному (рис.1) или же один ко многим (рис.2). Такие атаки реализуются от одного источника. Сетевые методы защиты (экраны, DLP) основаны как раз на такую модель атаки. В разных узлах защищаемой сети ставятся сенсоры системы защиты, которые передают данные на центральный модуль управления. Однако такая модель не справится с распределенными атаками.

Рисунок — 2

В модели распределенных атак реализуются другие принципы. В таких атаках реализовано отношение многие к одному (рис.3) и многие к многим (рис.4). Такие атаки основаны на атаках типа отказ в обслуживании . Принцип таких атак сводится к посылке множеству пакетов на атакуемый узел. Такой узел может зависнуть или выйти из строя, по сколько он не будет успевать обработать все входящие пакеты. Главный канон такой атаки, это что бы пропускная способность атакующего атакуемый узел превышал пропускную способность атакуемого узла.

Рисунок — 4

Этапы реализации атак

Когда говорят а действии таком как атака, то подразумевают только реализацию атаки , но забывают о двух главных действиях: Предпосылки реализации атаки и Завершение атаки . Сбор данных — это основной этап для создании атаки. На этом этапе вся эффективность работы зависит от отличного результата на даном этапе. Сначала выбирается цель атаки и собираются данные о объекте открытые порты, тип ОС, ПО и конфигурация и др). Затем определяются самые уязвимые места такой системы, которые при атаке дадут необходимый результат. Такая работа разрешит выбрать тип атаки и источник ее реализации.

Обычные методы защиты, работают только на втором этапе создании атаки, однако не защищают совершенно от первого и третьего этапа. Также они не разрешают обнаружить уже совершенные атаки и проанализировать ущерб. Злоумышленник в зависимости от результата, концентрируется на аспекте атаки:

  • для отказа в обслуживании, анализируется атакуемая сеть, ищутся слабые места
  • для хищения данных, определяется внимание незаметной атаке

Сбор информации . Этот этап включает сбор данных о сетевой топологии, версии ОС атакуемого узла и др. Злоумышленник может попробовать определить адреса доверенных систем и узлов, которые напрямую соединены с цель атаки. Есть два метода определения топологии сети, которыми может воспользоваться злоумышленник:

  • изменение TTL
  • запись маршрута

По первому способу работают программы tracert для Windows и traceroute для Unix. Они реализуют поле TIME to Live в заголовке IP-пакета, которое меняется относительно пройденных маршрутизатором сетевым пакетом. Также сетевую топологию можно определить с помощью протокола SNMP или же протокола RIP.

Идентификации узла обычно определяют с помощью утилиты ping команды ECHO_REQUEST протокола ICMP. Узел доступен, когда придет ответное сообщение ECHO_REPLY. Такой метод идентификации имеет два недостатка:

  • Использование ICMP-запросов разрешает с легкость выявить их источник, а значит и обнаружить злоумышленника.
  • Множество сетевых устройств блокируют ICMP-пакеты, не пропускают во внутрь, или не выпускают наружу.

Еще один метод идентификации узлов возможен, если нападающий находится в локальной сети жертвы с помощью своей сетевой карты. Также можно идентифицировать узлы сети с помощью DNS.

Сканирование портов . Идентификация сервисом реализуется путем обнаружения открытых портов. Программы для сканирования можно посмотреть в Сканировать К примеру:

  • открытый 80-й порт говорит, что в наличии есть Web-сервера
  • 25-й порт — почтовый сервер SMTP
  • 31377 — серверной части троянского коня BackOrifice
  • 12345 или 12346 — -//- NetBus

Определение ОС . В каждой операционной системе по-своему реализован стек протоколов ТСР/IP, что при задавании специальных вопросов, можно будет проанализировать ответы. Менее эффективный метод определения, это анализ сетевых сервисом.

Определения роли узла . Следующим шагом это определение функций узла, на который злоумышленник хочет провести атаку. Также с помощью автоматизированных методов или же вручную злоумышленник ищет уязвимости. В качестве таких методов могут подойти программы, которые описаны в статье программы для тестирования сети .

Реализация атаки . Этот этап определяет действия или попытки злоумышленника, которые направлены на атакуемый узел. Проникновение определяет обход методов защиты периметра. Пример конкретных алгоритмов проводить будет не кореткно, так как тематика сайта на защиту информации. После проникновения злоумышленник постарается удержать контроль над атакуемым узлом.

Цели реализации атак . Нужно отметить, что злоумышленник может пытаться достигнуть две цели, это получение НСД доступ к самому узлу и находящейся в ней информации. Вторая цель, это получение НСД у узлу для совершение дальнейших атак на другие узлы. Этап завершения атаки основан на заметании следов. Обычно это удаление определенных записей в различных журналах узла, а также возвращение узел в исходное — рабочее состояние.

Классификация атак

Атаки можно делить на активные и пассивные, умышленные и неумышленные или внутренние или внешние. Что бы не путать эти псевдо классификации, есть универсальное деление атак:

  • Локальное проникновение — Атака, которая реализует НСД к узлу на котором она запущена
  • Удаленное проникновение — Атаки, которые разрешают реализовать удаленное управление компьютером через сеть
  • Сетевые сканеры — приложения, которые анализируют и обнаруживают сервисы, которые можно использовать как уязвимые места
  • Локальные отказ в обслуживании (ddos) — атаки, разрешающие перегрузить или нарушить функционирование компьютера.
  • Взломщики паролей — Программы которые подбирают пароли пользователей
  • Сканеры уязвимостей — Программы, которые анализируют уязвимости на узлах сет
  • Анализаторы протоколов (sniffers) — программы прослушивают сетевой трафик

Компания Internet Security Systems Inc. сократила классификацию до:

  • Сбор информации
  • Попытки НСД
  • Отказ в обслуживании
  • Подозрительная активность
  • Системные атаки

Первые 4 категории можно отнести к удаленным атакам, а последнюю к локальным. Нужно отметить, что в такую классификацию не отнесли целый класс пассивных атак — прослушивание, ложный DNS, подмена ARP и др.).

Закладки в аппаратном обеспечении

Подавляющее большинство ИС работают исходя из аксиомы, что аппаратное обеспечение — не создает угрозы. При этом не проводится даже первичный осмотр аппарата на наличие закладок. Закладка — устройство на программном или аппаратном уровне, которые реализует несанкционированные действия(обычно нарушение конфиденциальности) в ущерб данной системы. Ясно, что не все предприятия обладают нужным штатом сотрудников, по данным вопросам, что бы выявить аппаратные закладки. Ниже наведен список различных способов стандартной проверки материальных и других ресурсов предприятия.

  • Периодическая проверка аппаратных средств приглашенными специалистами отдельных предприятий.
  • Автоматическая инвентаризация элементов аппаратного обеспечения на предприятии.
  • Фиксация серийных номеров отдельных частей оборудования.
  • Опечатывание разборных корпусов оборудования, с проверкой.

Если подойди еще ближе к этому вопросу, используют оборудование которые мониторят радио эфир, проводные сети, электрические сети питания, звуковой эфир и тд. Так как любые отклонение от нормы работы дают поводы для размышления. Также в данном вопросе пользователь играет важную роль, так как он в случае чего должен сигнализировать сразу в службу безопасности.

Также локальные атаки на ПК который соединен с локальной сетью играют важную роль. Они могут создавать . Такие атаки могут быть на firmware, или получение доступа на этапе загрузке ОС. То есть можно загрузить live-cd/usb версию ОС с чутка другими параметрами, которые разрешат войти в сеть.

Также на месте можно произвести атаку на аутентификацию. Также если есть права на установку ПО, пользователь может установить плохое ПО или зловредное. Ниже список шаблонных программ, которые есть зловредными.

  • Программа повышения прав, установив плохую программку, она дает доступ к закрытым ресурсам.
  • Программы подбора паролей, может работать в фоновом режиме, пока сотрудник делает свои дела при этом используя мощности самого ПК.
  • Сниффер — перехват пакетов из сети.
  • Взломщики шифров() — также программа которая работает в локальной сети, используя мощность ПК, ищет уязвимости в шифрах или других местах.
  • Дизассемблеры — проводят анализ операционной системы или программы, что бы понять логику и уязвимости. Либо изменить шаг роботы.
  • Атаки на переполнение буфера.
  • Конструкторы и генераторы вирусов/сетевых пакетов — позволяет создавать программы на ПК для нанесения ущерба всей ИС.
Краткий список действий для повышения защиты информационной системы от локальных атак
  • Использовать максимально безопасные настроенные конфиги
  • Проводить анализ присутствия процесса сканирования портов
  • Блокировать или удалять аккаунты по умолчанию
  • Вовремя обновлять элементы системы
  • Поддерживать политику с правилами к сложности пароля и ограничениями попыток ввода
  • Наделять пользователей ровно тем уровнем доступа, что ему нужен для работы
  • Защитить базу паролей пользователей от разного рода воздействия
  • Вести учет ПО и его настроек на всех компьютерах
  • Регулярно делать резервные копии
  • Реализовать сохранение регистрационных журналов в режиме, который исключает возможность их редактирования

Не было бы уязвимостей в элементах систем, не можно было бы реализовать большинство атак. Однако защиты пишут люди, которым свойственно делать ошибки. .Подведем итоги, ниже описаны рекомендации, которые пригодятся:

  • Реализуйте защиту на противостоянии не конкретной атаке, а одного типу атак.
  • Нужно следить за новинками о новых атаках, и о противодействиях их.
  • Установка защиты на разных уровнях, так сказать эшелонная защита.

В лекции рассматриваются некоторые виды атак на информационные ресурсы предприятия, использующие определенные уязвимости. Довольно часто входной точкой для атаки служит общедоступный интернет сайт, используя который злоумышленник может получить доступ к областям сайта, предназначенным для ограниченного числа лиц, и к закрытым данным.

Подбор – автоматизированный процесс проб и ошибок, использующийся для того, чтобы угадать имя пользователя, пароль, номер кредитной карточки, ключ шифрования и т.д. Существует два вида подбора: прямой и обратный. При прямом подборе используются различные варианты пароля для одного имени пользователя. При обратном перебираются различные имена пользователей, а пароль остается неизменным.

Традиционным методом борьбы с подбором пароля является, ограничение на количество ошибочных вводов пароля. Существует множество вариантов реализаций этой идеи, от самых простых – статическое ограничение, например не более трех ошибок, до сложно реализованных динамических, с увеличивающимся промежутком времени запрета между запросами.

Небезопасное восстановление паролей. Эта уязвимость возникает, когда Веб-сервер позволяет атакующему несанкционированно получать, модифицировать или восстанавливать пароли других пользователей. Например, многие серверы требуют от пользователя указать его email в комбинации с домашним адресом и номером телефона. Эта информация может быть легко получена из сетевых справочников. В результате, данные, используемые для проверки, не являются большим секретом. Кроме того, эта информация может быть получена злоумышленником с использованием других методов, таких как межсайтовое выполнение сценариев или фишинг (phishing).

Наиболее эффективным является следующее решение: пользователь нажимает кнопку "Восстановить пароль" и попадает на страницу, где у него спрашивают его логин в системе и почтовый ящик, указанный при регистрации. Далее на почтовый ящик высылается уведомление о запросе восстановления пароля и уникальная псевдослучайно сгенерированная ссылка на страницу смены пароля. В таком случае пароль изменить может действительно только владелец почтового ящика, на который зарегистрирован аккаунт.

Недостаточная авторизация. Возникает, когда Веб-сервер позволяет атакующему получать доступ к важной информации или функциям, доступ к которым должен быть ограничен. То, что пользователь прошел аутентификацию не означает, что он должен получить доступ ко всем функциям и содержимому сервера.

Например, некоторые серверы, после аутентификации, сохраняют в cookie или скрытых полях идентификатор "роли" пользователя в рамках Веб-приложения. Если разграничение доступа основывается на проверке данного параметра без верификации принадлежности к роли при каждом запросе, злоумышленник может повысить свои привилегии, просто модифицировав значение cookie. Методы борьбы – четкое разграничение прав пользователей и их возможностей.



Отсутствие таймаута сессии. В случае если для идентификатора сессии или учетных данных не предусмотрен таймаут или его значение слишком велико, злоумышленник может воспользоваться старыми данными для авторизации.

Например, при использовании публичного компьютера, когда несколько пользователей имеют неограниченный физический доступ к машине, отсутствие таймаута сессии позволяет злоумышленнику просматривать страницы, посещенные другим пользователем. Метод борьбы – ограничение таймаута сессии.

Межсайтовое выполнение сценариев (Cross-site Scripting, XSS). Наличие уязвимости XSS позволяет атакующему передать серверу исполняемый код, который будет перенаправлен браузеру пользователя. Этот код обычно создается на языках HTML/JavaScript, но могут быть использованы VBScript, ActiveX, Java, Flash, или другие поддерживаемые браузером технологии. Переданный код исполняется в контексте безопасности (или зоне безопасности) уязвимого сервера. Используя эти привилегии, код получает возможность читать, модифицировать или передавать важные данные, доступные с помощью браузера.

Существует два типа атак, приводящих к межсайтовому выполнению сценариев: постоянные (сохраненные) и непостоянные (отраженные). Основным отличием между ними является то, что в отраженном варианте передача кода серверу и возврат его клиенту осуществляется в рамках одного HTTP-запроса, а в хранимом – в разных. Осуществление непостоянной атаки требует, чтобы пользователь перешел по ссылке, сформированной злоумышленником (ссылка может быть передана по email, ICQ и т.д.). В процессе загрузки сайта код, внедренный в URL или заголовки запроса, будет передан клиенту и выполнен в его браузере. Сохраненная разновидность уязвимости возникает, когда код передается серверу и сохраняется на нем на некоторый промежуток времени. Наиболее популярными целями атак в этом случае являются форумы, почта с Веб-интерфейсом и чаты. Для атаки пользователю не обязательно переходить по ссылке, достаточно посетить уязвимый сайт.

Проверить сайт на XSS уязвимость можно, передав в любое поле ввода HTML-код, содержащий JavaScript. Например:

">alert()

Если появится диалоговое окно, то JavaScript alert() выполнился, а значит, может выполниться любой вредоносный код.

На данный момент самый распространенный вид атаки, в связи с ростом популярности Веб 2.0 интернет наполнился различными формами обратной связи, к сожалению многие из них не фильтруются должным образом, особую сложность представляют формы, в которых разрешены некоторые теги или какие-либо конструкции форматирования, защитится же от XSS можно только путем тщательного анализа и фильтрации пришедших в запросах данных.

Внедрение операторов SQL (SQL Injection). Эти атаки направлены на Веб-серверы, создающие SQL запросы к серверам СУБД на основе данных, вводимых пользователем. Если информация, полученная от клиента, должным образом не верифицируется, атакующий получает возможность модифицировать запрос к SQL-серверу, отправляемый приложением. Запрос будет выполняться с тем же уровнем привилегий, с каким работает компонент приложения, выполняющий запрос (сервер СУБД, Веб-сервер и т.д). В результате злоумышленник может получить полный контроль на сервере СУБД и даже его операционной системой.

Возможность атаки возникает, когда SQL запрос к базе данных формируется в коде Веб-страницы посредством сложения основной части и переданного пользователем значением. Например, в коде Веб-страницы присутствует следующий код:

“Select * from Students where firstneme = ” + name + “; “

При стандартном варианте использования, запрос должен вернуть всю информацию из таблицы Students для учеников с именем, хранящимся в переменной name. Но что произойдет, если вместо имени переменная name будет содержать SQL-запрос, модифицирующий данные и схему базы данных?

Еще один пример из области автоматического распознавания автомобильных номеров:

Средства борьбы – грамотная фильтрация получаемых данных, разграничение прав доступа к базе данных.

Отказ в обслуживании (Denial of Service, DoS). Данный класс атак направлен на нарушение доступности Веб-сервера. Обычно атаки, направленные на отказ в обслуживании реализуются на сетевом уровне, однако они могут быть направлены и на прикладной уровень. Используя функции Веб-приложения, злоумышленник может исчерпать критичные ресурсы системы, или воспользоваться уязвимостью, приводящий к прекращению функционирования системы. Обычно DoS атаки направлены на исчерпание критичных системных ресурсов, таких как вычислительные мощности, оперативная память, дисковое пространство или пропускная способность каналов связи. Если какой-то из ресурсов достигнет максимальной загрузки, приложение целиком будет недоступно.Атаки могут быть направлены на любой из компонентов Веб-приложения, например, такие как сервер СУБД, сервер аутентификации и т.д.

Средствами защиты является оптимизация кода и ввод ограничений на количество посылаемых данных в единицу времени.

Доп. литература: http://www.intuit.ru/department/internet/mwebtech/

Существуют четыре основных категории атак:

· атаки доступа;

· атаки модификации;

· атаки на отказ в обслуживании;

· атаки на отказ от обязательств.

Рассмотрим подробнее каждую категорию. Существует множество способов выполнения атак: при помощи специально разработанных средств, методов социального инжиниринга, через уязвимые места компьютерных систем. При социальном инжиниринге для получения несанкционированного доступа к системе не используются технические средства. Злоумышленник получает информацию через обычный телефонный звонок или проникает внутрь организации под видом ее служащего. Атаки такого рода наиболее разрушительны.

Атаки, нацеленные на захват информации, хранящейся в электронном виде, имеют одну интересную особенность: информация не похищается, а копируется. Она остается у исходного владельца, но при этом ее получает и злоумышленник. Таким образом, владелец информации несет убытки, а обнаружить момент, когда это произошло, очень трудно.

Атаки доступа

Атака доступа – это попытка получения злоумышленником информации, для просмотра которой у него нет разрешений. Осуществление такой атаки возможно везде, где существует информация и средства для ее передачи. Атака доступа направлена на нарушение конфиденциальности информации. Различают следующие виды атаки доступа:

· подсматривание;

· подслушивание;

· перехват.

Подсматривание (snooping) – это просмотр файлов или документов для поиска интересующей злоумышленника информации. Если документы хранятся в виде распечаток, то злоумышленник будет вскрывать ящики стола и рыться в них. Если информация находится в компьютерной системе, то он будет просматривать файл за файлом, пока не найдет нужные сведения.

Подслушивание (eavesdropping) – это несанкционированное прослушивание разговора, участником которого злоумышленник не является. Для получения несанкционированного доступа к информации, в этом случае, злоумышленник должен находиться поблизости от нее. Очень часто при этом он использует электронные устройства. Внедрение беспроводных сетей увеличило вероятность успешного прослушивания. Теперь злоумышленнику не нужно находиться внутри системы или физически подключать подслушивающее устройство к сети.

В отличие от подслушивания перехват (interception) – это активная атака. Злоумышленник захватывает информацию в процессе ее передачи к месту назначения. После анализа информации он принимает решение о разрешении или запрете ее дальнейшего прохождения.

Атаки доступа принимают различные формы в зависимости от способа хранения информации: в виде бумажных документов или в электронном виде на компьютере. Если необходимая злоумышленнику информация хранится в виде бумажных документов, ему потребуется доступ к этим документам. Они, возможно, отыщутся в следующих местах: в картотеках, в ящиках столов или на столах, в факсе или принтере в мусоре, в архиве. Следовательно, злоумышленнику необходимо физически проникнуть во все эти места.

Таким образом, физический доступ – это ключ к получению данных. Следует заметить, что надежная защита помещений оградит данные только от посторонних лиц, но не от служащих организации или внутренних пользователей.

Информация в электронном виде хранится: на рабочих станциях, на серверах, в портативных компьютерах, на флоппи-дисках, на компакт-дисках, на резервных магнитных лентах.

Злоумышленник может просто украсть носитель данных (дискету, компакт-диск, резервную магнитную ленту или портативный компьютер). Иногда это сделать легче, чем получить доступ к файлам, хранящимся в компьютерах.

Если злоумышленник имеет легальный доступ к системе, он будет анализировать файлы, просто открывая один за другим. При должном уровне контроля над разрешениями доступ для нелегального пользователя будет закрыт, а попытки доступа зарегистрированы в журналах.

Правильно настроенные разрешения предотвратят случайную утечку информации. Однако серьезный злоумышленник постарается обойти систему контроля и получить доступ к нужной информации. Существует большое количество уязвимых мест, которые помогут ему в этом.

При прохождении информации по сети к ней можно обращаться, прослушивая передачу. Злоумышленник делает это, устанавливая в компьютерной системе сетевой анализатор пакетов (sniffer). Обычно это компьютер, сконфигурированный для захвата всего сетевого трафика (не только трафика, адресованного данному компьютеру). Для этого злоумышленник должен повысить свои полномочия в системе или подключиться к сети. Анализатор настроен на захват любой информации, проходящей по сети, но особенно – на пользовательские идентификаторы и пароли.

Подслушивание выполняется и в глобальных компьютерных сетях типа выделенных линий и телефонных соединений. Однако такой тип перехвата требует наличия соответствующей аппаратуры и специальных знаний.

Перехват возможен даже в системах оптико-волоконной связи с помощью специализированного оборудования, обычно выполняется квалифицированным злоумышленником.

Информационный доступ с использованием перехвата – одна из сложнейших задач для злоумышленника. Чтобы добиться успеха, он должен поместить свою систему в линии передачи между отправителем и получателем информации. В Internet это выполняется посредством изменения разрешения имени, в результате чего имя компьютера преобразуется в неправильный адрес. Трафик перенаправляется к системе атакующего вместо реального узла назначения. При соответствующей настройке такой системы отправитель так и не узнает, что его информация не дошла до получателя.

Перехват возможен и во время действительного сеанса связи. Такой тип атаки лучше всего подходит для захвата интерактивного трафика. В этом случае злоумышленник должен находиться в том же сегменте сети, где расположены клиент и сервер. Злоумышленник ждет, когда легальный пользователь откроет сессию на сервере, а затем с помощью специализированного программного обеспечения занимает сессию уже в процессе работы.

Атаки модификации

Атака модификации – это попытка неправомочного изменения информации. Такая атака возможна везде, где существует или передается информация. Она направлена на нарушение целостности информации.

Одним из видов атаки модификации является замена существующей информации, например, изменение заработной платы служащего. Атака замены направлена как против секретной, так и общедоступной информации.

Другой тип атаки – добавление новых данных, например, в информацию об истории прошлых периодов. В этом случае злоумышленник выполняет операцию в банковской системе, в результате чего средства со счета клиента перемещаются на его собственный счет.

Атака удаления означает перемещение существующих данных, например, аннулирование записи об операции из балансового отчета банка, в результате чего снятые со счета денежные средства остаются на нем.

Как и атаки доступа, атаки модификации выполняются по отношению к информации, хранящейся в виде бумажных документов или в электронном виде на компьютере.

Документы сложно изменить так, чтобы этого никто не заметил: при наличии подписи (например, в контракте) нужно позаботиться о ее подделке, скрепленный документ необходимо аккуратно собрать заново. При наличии копий документа их тоже нужно переделать, как и исходный. А поскольку практически невозможно найти все копии, подделку заметить очень легко.

Очень трудно добавлять или удалять записи из журналов операций. Во-первых, информация в них расположена в хронологическом порядке, поэтому любое изменение будет сразу замечено. Лучший способ - изъять документ и заменить новым. Для атак такого рода необходим физический доступ к информации.

Модифицировать информацию, хранящуюся в электронном виде, значительно легче. Учитывая, что злоумышленник имеет доступ к системе, такая операция оставляет после себя минимум улик. При отсутствии санкционированного доступа к файлам атакующий сначала должен обеспечить себе вход в систему или изменить параметры разграничения доступа к файлу.

Изменение файлов базы данных или списка транзакций должно выполняться очень осторожно. Транзакции нумеруются последовательно, и удаление или добавление неправильных операционных номеров будет замечено. В этих случаях необходимо основательно поработать во всей системе, чтобы воспрепятствовать обнаружению.

В настоящее время DDoS — один из наиболее доступных и распространенных видов сетевых атак. Несколько недель назад были опубликованы результаты исследований о распространенности DDoS, проведенных компаниями Arbor Networks, Verisign Inc.

Результаты исследований впечатляют:
Каждый день злоумышленники проводят более 2000 DDoS-атак;
Стоимость недельной атаки на средней величины ЦОД составляет всего 150 долларов США;
Более половины участников опроса испытывали проблемы из-за DDoS;
Десятая часть участников опроса ответила, что их компании страдали от DDoS-атак более шести раз за год;
Около половины компаний испытывали проблемы из-за DDoS, время средней атаки — около 5 часов;
Атаки такого типа являются одной из основных причин остановки и простоя серверов.

Основные виды DDoS-атак

В общем-то, разновидностей DDoS довольно много, и ниже мы постарались перечислить большинство типовых атак, с описанием принципа действия кажого типа атаки.

UDP флуд

Один из наиболее действенных, и в то же время, простых видов атак. Используется UDP протокол, где не требуется установление сессии с отправкой любого типа ответа. В случайном порядке злоумышленник атакует порты сервера, отсылая огромное количество пакетов данных. В результате машина начинает проверять, используется ли порт, на который приходит пакет, каким-либо приложением. А поскольку таких пакетов — масса, то машина любой мощности просто не справляется с задачей. Как результат — все ресурсы машины «съедены», и сервер «ложится».

Наиболее простой способ защиты от такого типа атак — это блокирование UDP трафика.

ICMP флуд

Злоумышленник постоянно пингует сервер жертвы, в ходе чего последний постоянно отдает ответы. Пингов огромное количество, и, как результат — съедаются ресурсы сервера, и машина становится недоступной.

В качестве меры защиты можно использовать блокировку ICMP-запросов, на уровне брандмауэра. К сожалению, в таком случае пинговать машину не получится по понятным причинам.

SYN флуд

В этом типе атаки используется отправка SYN-пакета серверу жертвы. Как результат — сервер отвечает пакетом SYN-ACK, а машина злоумышленника должна отправить ACK-ответ, но он не отправляется. Результат — открытие и подвисание огромного количества соединений, которые закрываются только по истечению таймаута.

При превышении граничного количества запросов/ответов сервер жертвы перестает принимать пакеты любого типа, и становится недоступным.

MAC флуд

Необычный тип атаки, в котором объектом становится сетевое оборудование многих типов. Злоумышленник начинает отправлять большое количество Ethernet-пакетов с совершенно различными MAC-адресами. Как результат — свитч начинает резервировать под каждый из пакетов определенное количество ресурсов, и если пакетов много, то свитч выделяет все доступные запросы, и подвисает. Худший вариант — сбой таблицы маршрутизации.

Ping of Death

Сейчас этот тип атак не является сколько-нибудь серьезной проблемой, хотя раньше это был распространенный вариант атаки. Смысл такого типа атаки — переполнение буфера памяти из-за превышения максимально доступного размера IP пакета, и как результат — отказ сервера и сетевого оборудования от обслуживания любого типа пакетов.

Slowloris

Сфокусированная атака такого типа позволяет малыми силами добиться крупных результатов. Другими словами, используя не самый мощный сервер, можно «положить» гораздо более производительное оборудование. При этом не требуется задействовать другие протоколы. При таком типе атак сервер злоумышленника открывает максимальное количество НТТР-соединений, и старается держать их открытыми также как можно дольше.

Само собой, количество подключений на сервере, подверженному атаке, заканчивается, и полезные запросы перестают приниматься и обрабатываться.

Отражённые атаки

Необычный тип атаки, когда сервер злоумышленника отправляет пакеты с фальшивым IP отправителя, причем отправка идет по максимально возможному количеству машин. Все затронутые такими действиями сервера отправляют ответ на укзанный в пакете IP, в результате чего получатель не справляется с нагрузкой и «подвисает». При этом производительность сервера атакующего может быть в 10 раз ниже планируемой мощности атаки. Сервер, рассылающий 100 Мбит/сек ложных запросов, может полностью положить гигабитный канал сервера жертвы.

Деградация

При таком типе атаки сервер злоумышленника симулирует действия реального человека или целой аудитории. Как пример самого простого варианта — можно отсылать запросы для одной и той же страницы ресурса, причем делать это тысячи раз. Наиболее простой способ решения проблемы — временное сообщение об ошибки с блокированием атакуемой страницы.

Более сложный тип атаки — запрос большого количества различных ресурсов сервера, включая медиафайлы, страницы и все прочее, в результате чего сервер жерты перестает работать.

Сложные атаки такого типа довольно сложно отфильтровать, как результат — приходится использовать специализированные программы и сервисы.

Атака нулевого дня

Так называют атаки, где используются неизвестные доселе уязвимости/слабые места сервиса. Для борьбы с проблемой необходимо изучить такой тип атаки, чтобы можно было что-то предпринять.

Вывод: наиболее сложным типом атаки являются комбинированные, где используются различные виды DDoS. Чем сложнее комбинация, тем сложнее от нее защититься. Общей проблемой для DDoS, вернее, для жертв DDoS, является общедоступность такого типа атак. В Сети есть большое количество приложений и сервисов, позволяющих бесплатно или почти бесплатно осуществлять мощнейшие атаки.

Виды атак

Проникновение в компьютерную сеть осуществляется в форме атак.

Атака – это такое событие, при котором посторонние лица пытаются проникнуть внутрь чужых сетей. Современная сетевая атака зачастую предполагает использование уязвимых мест программного обеспечения. Одними из распространенных в начале 2000-х годов были точечные атаки по типу «отказ в обслуживании», DoS (Dental of Service) и распределенные атаки DDoS (Distributed DoS). Атака DoS делает объект нападения недоступным для обычного применения за счет превышения допустимых пределов функционирования такого сетевого устройства. DoS – атака относится к точечной (сосредоточенной), так как поступает от одного источника. В случае распределенной DDoS, нападение осуществляется из множества источников, распределенных в пространстве, зачастую принадлежащим к различным сетям. Несколько лет назад стал применяться термин вредоносный программный код ВПК, который обозначает вирусы, черви, троянские системы, средства для сетевых атак, рассылку спама и другие нежелательные для пользователя действия. Учитывая разнообразный характер угроз, современные системы защиты стали многоуровневыми и приобрели комплексный характер. Сетевые черви распространяют свои копии по компьютерным сетям с помощью электронной почты, обмена сообщениями. Наиболее распространенные сегодня троянские программы, совершающие несанкционированные действия: они разрушают данные, используют ресурсы компьютеров в злонамеренных целях. К числу наиболее опасных троянских программ относятся шпионское программное обеспечения. Оно собирает информацию о всех действиях пользователя, а затем незаметно для него передает эту информацию злоумышленникам. Год 2007 можно назвать годом «смерти» некоммерческих вредоносных программ. Никто уже не разрабатывает эти программы для самовыражения. Можно отметить, что в 2007 году ни одна вредоносная программа не имела бы под собой финансовой подоплеки. Одной из новых вредоносных программ считается «Штормовой червь» (Storm Worm), который появился в январе 2007 года. Для распространения червь использовал как традиционные возможности, например, e-mail, так и распространение в виде видеофайлов. Техника сокрытия своего присутствия в системе (руткиты) могут применяться не только в троянских программах, но и в файловых вирусах. Вредоносные программы теперь стремятся выжить в системе даже после их обнаружения.

Одним из опасных способов сокрытия их присутствия - использование технологии заражения загрузочного сектора жесткого диска – так называемые «буткиты». Такая вредоносная программа может получить управление еще до загрузки основной части ОС.

Круг проблем безопасности уже не ограничивается задачей защиты от вирусов, с которыми приходилось сталкиваться примерно пять лет назад. Опасность внутренних утечек в информации стала более серьезной, чем внешние угрозы. Кроме того, с началом XXI века целью компьютерной преступности стало хищение экономической информации, банковых счетов, нарушение работоспособности информационных систем конкурентов, массовая рассылка рекламы. Не меньшую, а порой даже большую угрозу для корпоративных IT-систем представляют инсайдеры – работники компаний, имеющие доступ к конфиденциальной информации и использующие ее в неблагоприятных целях. Многие эксперты считают, что ущерб, наносимый инсайдерами не менее значительный, чем приносимый вредоносным ПО. Характерно, что значительная часть утечек информации происходит не по вине злоумышленных действий сотрудников, а из-за их невнимательности. Главными техническими средствами борьбы с подобными факторами должны быть средства аутентификации и администрирования доступа к данным. Тем не менее, число инцидентов продолжает расти (за последние годы примерно на 30% в год). Постепенно средства защиты от утечек/инсайдеров начинают интегрироваться в общую систему защиты информации. В заключении приведем обобщенную классификацию сетевых угроз (Рис. 11.3)


2024 © gtavrl.ru.