Denna slogan förutsätter en attack för att samla information om informationssystemet genom en mellanhand, en användare. Ett enkelt exempel, när en angripare visas för användaren som en auktoriserad person, lär han sig av användaren sitt lösenord och inloggning. Om en angripare lyckas får han tillgång till information utan kunskap om systemets tekniska aspekter eller några sårbarheter. Allmänt angreppssätt samhällsteknik implementeras med hjälp av psykologiska metoder som tillit, latskap eller ouppmärksamhet. Naturligtvis måste alla anställda varnas för möjliga tillvägagångssätt av inkräktare eller andra medel. Alla dessa punkter bör beskrivas i. I praktiken finns det många fall där till exempel en anställd undertecknar handlingar om ett tystnadsplikt personligt lösenord Till lokalt nätverk, han talar omedelbart till sin kollega eller talar högt i ett nytt team. Det finns också ett antal situationer där avdelningar i företaget och den administrativa avdelningen ligger på avstånd. Och du måste använda kommunikationsverktyg för att få ett lösenord, vilket innebär nya. Antingen presenterar angriparen sig för de anställda och ber om hans lösenord, eller så hörs han telefon konversation och hör lösenordet. Varje situation bör ha sin egen.

Attackmodeller

Genom attack på ett informationssystem kännetecknar avsiktliga handlingar från en angripare som utnyttjar sårbarheten i ett sådant system och leder till en kränkning av konfidentialiteten, tillgängligheten och integriteten hos den behandlade eller lagrade informationen.

Standard attackmodell utifrån principen en till en(fig. 1) eller en till många(fig. 2). Dessa attacker kommer från en enda källa. Nätverksmetoder försvar (skärmar, DLP) är baserade på just en sådan attackmodell. I olika noder i det skyddade nätverket installeras sensorer i skyddssystemet som överför data till den centrala styrmodulen. En sådan modell klarar dock inte av distribuerade attacker.

Ritning - 2

Den distribuerade attackmodellen implementerar olika principer. I sådana attacker, förhållandet många till en(fig. 3) och många till många(fig. 4). Sådana attacker bygger på attacker som t.ex. förnekande av tjänsten... Principen för sådana attacker går ut på att skicka flera paket till den attackerade värden. En sådan nod kan hänga eller misslyckas, så länge den inte hinner behandla alla inkommande paket. Huvudkanonen för en sådan attack är det genomströmning attackerade den attackerade noden överskred bandbredden för den attackerade noden.

Figur - 4

Stadier av genomförandet av attacker

När man talar om en handling som en attack, betyder det bara attackimplementering men glöm två huvudåtgärder: Förutsättningar för genomförandet av attacken och Slutförande av attacken... Datainsamling är det viktigaste steget i att skapa en attack. I detta skede beror hela arbetseffektiviteten på utmärkt resultat i detta skede. Först väljs attackens mål och data om objektet samlas in. öppna portar, OS -typ, programvara och konfiguration, etc.). Sedan bestäms de mest sårbara punkterna i ett sådant system, som, när de attackeras, ger det önskade resultatet. Sådant arbete låter dig välja typ av attack och källa till dess genomförande.

Konventionella försvarsmetoder fungerar bara i det andra stadiet av att skapa en attack, men de skyddar inte helt mot det första och tredje stadiet. De tillåter inte heller att upptäcka redan begångna attacker och analysera skador. Angriparen, beroende på resultatet, koncentrerar sig på aspekten av attacken:

• för denial of service analyseras det angripna nätverket, man letar efter svaga punkter
• för att stjäla data bestäms uppmärksamheten av en osynlig attack

Insamling av information... Detta skede inkluderar insamling av data om nätverkstopologin, OS -versionen av den attackerade värden, etc. En angripare kan försöka bestämma adresser betrodd system och noder som är direkt anslutna till attackens mål. Det finns två metoder för att bestämma nätverkstopologin som en angripare kan använda:

• TTL -förändring
• ruttrekord

Den första metoden används av tracert för Windows och traceroute för Unix. De implementerar TIME to Live -fältet i rubriken på IP -paketet, vilket varierar i förhållande till dem som routern skickar. nätverkspaket... Nätverkstopologin kan också bestämmas med SNMP eller RIP.

Värdidentifieringar bestäms vanligtvis med hjälp av verktyget ping -kommandon ECHO_REQUEST ICMP -protokoll... Noden är tillgänglig när ECHO_REPLY -svarsmeddelandet kommer. Denna identifieringsmetod har två nackdelar:

• Användningen av ICMP -förfrågningar gör att du enkelt kan identifiera deras källa och därför upptäcka en inkräktare.
• Många nätverksenheter blockerar ICMP -paket, släpper inte in dem eller släpper inte ut dem.

En annan metod för att identifiera noder är möjlig om angriparen är på offrets lokala nätverk med sitt nätverkskort... Det är också möjligt att identifiera värdar med DNS.

Portskanning... Tjänstidentifiering implementeras genom att detektera öppna portar. Skanningsprogram kan visas i Scan Till exempel:

• öppen port 80 säger att det finns webbservrar tillgängliga
• 25: e hamnen - Mejl server SMTP
• 31377 - BackOrifice trojansk hästbackend
• 12345 eller 12346 - - // - NetBus

Definition av OS... Varje operativsystem implementerar TCP / IP -protokollstacken på sitt eget sätt, så att när du ställer speciella frågor är det möjligt att analysera svaren. Mindre effektiv metod definition är det en analys av en nättjänst.

Nodrolldefinitioner... Nästa steg är att definiera funktionerna för noden som angriparen vill attackera. Med hjälp av automatiserade metoder eller manuellt söker en angripare efter sårbarheter. De program som beskrivs i artikeln kan vara lämpliga som sådana metoder. nätverkstestprogram.

Attackimplementering... Detta steg bestämmer angriparens handlingar eller försök, som riktas till den attackerade värden. Genomslag definierar kringgående omkretsskyddsmetoder. Ett exempel på specifika algoritmer kommer inte att vara enkelt, eftersom ämnet för webbplatsen är att skydda information. Efter penetration kommer angriparen att försöka behålla kontrollen över den attackerade noden.

Syften med attackimplementering... Det bör noteras att en angripare kan försöka uppnå två mål, detta är att få NSD -åtkomst till själva noden och informationen i den. Det andra målet är att få NSD från en nod för ytterligare attacker mot andra noder. Skede komplettering attacker bygger på att täcka sina spår. Detta innebär vanligtvis att radera vissa poster i olika platsloggar, samt att webbplatsen ska återgå till sitt ursprungliga tillstånd.

Attack klassificering

Angrepp kan delas in i aktiva och passiva, avsiktliga och oavsiktliga eller interna eller externa. För att inte förvirra dessa pseudoklassificeringar finns det en universell uppdelning av attacker:

• Lokal penetration - En attack som implementerar ett manipuleringssystem mot noden som den körs på
• Fjärrpenetration - Angrepp som får implementeras fjärrkontroll dator via nätverk
• Nätverksskannrar - applikationer som analyserar och upptäcker tjänster som kan utnyttjas som sårbarheter
• Local denial of service (ddos) attacker är attacker som kan överbelasta eller störa datorns funktion.
• Password Crackers - Program som hämtar användarlösenord
• Sårbarhetsskannrar - Program som analyserar sårbarheter på nätverksnoder
• Protokollanalysatorer (sniffare) - program som lyssnar på nätverkstrafik

Företag internet säkerhet Systems Inc. minskade klassificeringen till:

• Insamling av information
• NSD: s försök
• Förnekande av tjänsten
• Misstänkt aktivitet
• Systemattacker

De fyra första kategorierna kan hänföras till fjärranfall, och den sista till lokala. Det bör noteras att hela klassen inte ingick i denna klassificering. passiv attacker - lyssnande, falsk DNS, ARP -spoofing, etc.).

Hårdvarubokmärken

Den överväldigande majoriteten av IS: er fungerar utifrån axiomet som Hårdvara- utgör inget hot. I detta fall utförs inte ens den första inspektionen av enheten med avseende på förekomsten av bokmärken. Bokmärke- en enhet på mjukvaru- eller hårdvarunivå som genomför obehöriga åtgärder (vanligtvis en kränkning av sekretessen) till nackdel för detta system. Det är klart att inte alla företag har den personal som behövs för att identifiera maskinvaruflikar. Nedan är listan olika sätt standardkontroll material och andra resurser i företaget.

• Periodisk inspektion av hårdvaran av inbjudna specialister från utvalda företag.
• Automatisk inventering av hårdvaruposter i företaget.
• Fixering serie nummer separata delar Utrustning.
• Tätning av hopfällbara utrustningsfodral, med verifiering.

Om du kommer ännu närmare denna fråga använder de utrustning som övervakar radiosändningar, trådbundna nätverk, El i nätet mat, ljudutsändning etc. Eftersom alla avvikelser från arbetsnormen ger anledning till eftertanke. I denna fråga spelar användaren också en viktig roll, eftersom han i så fall måste signalera omedelbart till säkerhetstjänsten.

Lokala attacker på en dator som är ansluten till ett lokalt nätverk spelar också en viktig roll. De kan skapa. Sådana attacker kan vara på firmware eller få åtkomst vid OS -start. Det vill säga att du kan ladda live-cd / usb-versionen av operativsystemet med lite olika parametrar som gör att du kan komma in i nätverket.

Också på plats en autentiseringsattack kan göras. Om du har rätt att installera programvara kan användaren också installera dålig programvara eller skadlig programvara. Nedan finns en lista över pannplåtprogram som är skadliga.

• Ett höjdprogram, genom att installera ett dåligt program, ger det dig tillgång till slutna resurser.
• Lösenord gissning programvara, kan fungera i bakgrund medan den anställde gör sina affärer medan han använder kraften i själva datorn.
• Sniffer - avlyssning av paket från nätverket.
• Chiffer crackers () är också ett program som fungerar på ett lokalt nätverk, med kraft från en dator, letar efter sårbarheter i chiffer eller andra platser.
• Demonterare - analysera operativ system eller ett program för att förstå logiken och sårbarheterna. Eller ändra steget för robotarna.
• Buffertöverflödesattacker.
• Konstruktörer och generatorer av virus / nätverkspaket - låter dig skapa program på en dator för att skada hela IP: n.

En kort lista över åtgärder för att förbättra skyddet av informationssystemet mot lokala attacker

• Använd de säkraste konfigurerade konfigurationerna
• Analysera förekomsten av en portskanningsprocess
• Blockera eller ta bort standardkonton
• Uppdatera systemelement i tid
• Behåll en policy med regler för lösenordskomplexitet och begränsningar för inmatningsförsök
• Ge användarna exakt den åtkomstnivå de behöver för att arbeta
• Skydda användarlösenordsdatabasen från olika typer av exponering
• Spara programvara och dess inställningar på alla datorer
• Gör regelbundna säkerhetskopior
• Implementera sparade loggar i ett läge som utesluter möjligheten att redigera dem

Det skulle inte finnas några sårbarheter i systemelement, och de flesta attacker skulle inte vara möjliga. Men försvar skrivs av människor som tenderar att göra misstag. För att sammanfatta nedan är rekommendationerna som kommer till nytta:

• Implementera skydd mot en specifik attack, men en typ av attack.
• Du måste hålla koll på nyheterna om nya attacker och om deras motåtgärder.
• Installation av skydd på olika nivåer så att säga echelonskydd.

Föreläsningen diskuterar några typer av attacker mot informationsresurser företag som utnyttjar vissa sårbarheter. Ganska ofta är ingångspunkten för en attack offentligt internet en webbplats som en angripare kan använda för att få åtkomst till områden på webbplatsen avsedd för begränsat antal personer och till sekretessbelagda uppgifter.

Urval – automatiserad process trial and error används för att gissa användarnamn, lösenord, nummer kreditkort, krypteringsnyckel, etc. Det finns två typer av val: direkt och omvänd. Direkt urval använder olika alternativ lösenord för ett användarnamn. Om det motsatta är sant går de över olika namn användare och lösenordet förblir oförändrat.

Traditionell metod kampen mot gissning av lösenord är begränsningen för antalet felaktiga lösenordsposter. Det finns många alternativ för att implementera denna idé, från det enklaste - en statisk begränsning, till exempel högst tre fel, till komplexa dynamiska, med ett ökande förbudstidsintervall mellan förfrågningar.

Osäker återställning av lösenord. Sårbarheten uppstår när en webbserver tillåter en angripare att obehörigt skaffa, ändra eller återställa andra användares lösenord. Till exempel kräver många servrar att användaren anger sin e -postadress i kombination med sin hemadress och telefonnummer. Denna information kan enkelt erhållas från onlinekataloger. Som ett resultat är data som används för verifiering inte en stor hemlighet. Dessutom kan denna information erhållas av en angripare med andra metoder, till exempel skript över webbplatser eller nätfiske.

Den mest effektiva lösningen är följande: användaren klickar på knappen "Återställ lösenord" och förs till en sida där han blir ombedd att logga in i systemet och den postlåda som anges under registreringen. Därefter skickas ett meddelande om begäran om återställning av lösenord och en unik pseudo-slumpmässigt genererad länk till sidan för lösenordsändring till brevlådan. I det här fallet kan bara ägaren verkligen ändra lösenordet. brevlåda till vilket kontot är registrerat.

Otillräckligt tillstånd. Uppstår när en webbserver låter en angripare få åtkomst till viktig information eller funktioner till vilka åtkomst bör begränsas. Bara för att en användare är autentiserad betyder det inte att de måste komma åt alla serverns funktioner och innehåll.

Till exempel, vissa servrar, efter autentisering, lagrar i cookies eller dolda fält identifieraren för användarens "roll" i webbprogrammet. Om åtkomstkontroll är baserad på verifiering denna parameter utan att verifiera rollmedlemskapet på varje begäran kan en angripare höja sina privilegier genom att helt enkelt ändra cookie -värdet. Kampmetoder - en tydlig avgränsning av användarrättigheter och deras möjligheter.

Ingen sessionstimeout. Om det inte finns någon timeout för sessions -ID eller referenser, eller om dess värde är för högt, kan en angripare använda gamla data för auktorisering.

Till exempel, när du använder en offentlig dator, när flera användare har obegränsat fysisk åtkomst till maskinen, tillåter frånvaron av en session timeout en angripare att se sidorna som besöks av en annan användare. Kampmetoden är att begränsa sessionstiden.

Cross-site scripting (XSS). Närvaron av en XSS -sårbarhet gör att en angripare kan överföra till servern körbar kod som kommer att omdirigeras till användarens webbläsare. Denna kod är vanligtvis skriven i HTML / JavaScript, men VBScript, ActiveX, Java, Flash eller andra webbläsarstödda tekniker kan användas. Den skickade koden körs i säkerhetssammanhanget (eller säkerhetszonen) för den sårbara servern. Genom att använda dessa privilegier kan koden läsa, ändra eller överföra känslig data som är tillgänglig via webbläsaren.

Det finns två typer av skriptattacker över flera platser: permanent(sparad) och ombytlig(återspeglas). Den största skillnaden mellan dem är att i den reflekterade versionen utförs överföringen av koden till servern och dess retur till klienten inom en HTTP -begäran och i den lagrade - i olika. För att genomföra en icke-beständig attack krävs att användaren följer länken som genereras av angriparen (länken kan skickas via e-post, ICQ, etc.). Under laddningen av webbplatsen kommer koden som är inbäddad i webbadressen eller begäranhuvudena att överföras till klienten och köras i hans webbläsare. En beständig sårbarhet uppstår när kod överförs till en server och lagras där under en viss tid. De mest populära målen för attacker i detta fall är forum, webbmail och chattrum. För en attack behöver användaren inte följa länken; det räcker med att besöka den sårbara webbplatsen.

Kolla webbplatsen på XSS -sårbarhet Du kan genom att skicka HTML -kod som innehåller JavaScript till valfritt inmatningsfält. Till exempel:

">

Om en dialogruta visas har JavaScript -varning () körts, vilket innebär att någon skadlig kod kan köras.

På det här ögonblicket den vanligaste typen av attack, på grund av den växande populariteten för Web 2.0, har Internet fyllts med olika former respons tyvärr är många av dem inte filtrerade ordentligt, formerna där vissa taggar eller vissa formateringskonstruktioner är tillåtna är särskilt svåra, och du kan bara skydda dig från XSS genom att noggrann analys och filtrera data som kom i förfrågningar.

Genomförande SQL -satser(SQL -injektion). Dessa attacker riktar sig mot webbserver som skapar SQL -fråga s till DBMS -servrar baserat på användarinmatning. Om informationen från klienten inte är korrekt verifierad kan angriparen ändra begäran till SQL -servern som skickas av programmet. Begäran körs med samma behörighetsnivå som applikationskomponenten som kör begäran (DBMS -server, webbserver, etc.). Som ett resultat kan en angripare få fullständig kontroll över DBMS -servern och till och med dess operativsystem.

Möjligheten till en attack uppstår när en SQL -fråga till en databas bildas i koden på en webbsida genom att lägga till huvuddelen och ett värde som tillhandahålls av användaren. Till exempel finns följande kod i webbsidans kod:

“Välj * från studenter där firstneme =” + namn + “; "

I ett vanligt användningsfall bör frågan returnera all information från tabellen Studenter för eleverna med namnet lagrat i namnvariabeln. Men vad händer om variabelnamnet i stället för ett namn innehåller en SQL -fråga som ändrar data och databasschemat?

Ett annat exempel från området automatiskt igenkänning bilnummer:

Kampmedel - kompetent filtrering av mottagna data, differentiering av åtkomsträttigheter till databasen.

Denial of Service (DoS). Denna klass av attacker syftar till att störa tillgängligheten för en webbserver. Vanligtvis genomförs denial of service -attacker på nätverkslager de kan dock också riktas mot applikationsnivå... Genom att använda webbapplikationens funktioner kan en angripare ta ut kritiska systemresurser eller utnyttja en sårbarhet som leder till att systemet avslutas. Vanligtvis är DoS -attacker inriktade på att utmattande kritiska systemresurser, Till exempel beräkningskraft, Bagge, disk utrymme eller kommunikationskanalernas bandbredd. Om någon av resurserna når den maximala belastningen är hela applikationen otillgänglig. Attacker kan riktas till någon av komponenterna i webbprogrammet, till exempel DBMS -servern, autentiseringsservern etc.

Skyddsmedlen är optimering av koden och införandet av begränsningar för mängden data som skickas per tidsenhet.

Lägg till. litteratur: http://www.intuit.ru/department/internet/mwebtech/

Det finns fyra huvudkategorier av attacker:

· Åtkomstattacker;

· Modifieringsattacker;

· Denial of service -attacker;

• förnekelse av engagemangsattacker.

Låt oss titta närmare på varje kategori. Det finns många sätt att utföra attacker: med hjälp av specialdesignade verktyg, socialtekniska metoder, genom sårbarheter i datorsystem. Social engineering använder inte tekniska medel för att få obehörig åtkomst till systemet. Angriparen får information genom det vanliga telefonsamtal eller infiltrerar en organisation förklädd som anställd. Denna typ av attack är den mest destruktiva.

Angrepp som syftar till att kapa information som lagras i i elektroniskt format har en intressant funktion: Information stjäls inte, utan kopieras. Det finns kvar hos den ursprungliga ägaren, men angriparen får det också. Således drabbas ägaren av informationen av förluster, och det är mycket svårt att hitta det ögonblick då detta hände.

Åtkomstattacker

ÅtkomstattackÄr ett försök av en angripare att få information som han inte har tillstånd att se. En sådan attack är möjlig varhelst det finns information och sätt att överföra den. En åtkomstattack syftar till att kränka sekretessen för information. Det finns följande typer av åtkomstattacker:

· Kikar;

· Tjuvlyssning;

· Avlyssning.

Kikar(snokning) är visning av filer eller dokument för att hitta information av intresse för angriparen. Om dokument lagras i form av utskrifter öppnar en angripare skrivbordslådor och rotar igenom dem. Om informationen finns i datorsystem då skannar den fil för fil tills den hittar den information den behöver.

Tjuvlyssning(avlyssning) är en obehörig avlyssning av en konversation där angriparen inte är en part. För att få obehörig åtkomst till information måste i detta fall en angripare vara i närheten av den. Han använder ofta elektroniska enheter... Genomförande trådlösa nätverkökade sannolikheten för ett framgångsrikt lyssnande. Nu behöver angriparen inte vara inne i systemet eller fysiskt ansluta avlyssningsenheten till nätverket.

Till skillnad från avlyssning uppsnappande(avlyssning) är aktiv attack... En angripare kapar information när den reser till sin destination. Efter att ha analyserat informationen fattar han ett beslut om att tillåta eller förbjuda dess vidare passage.

Åtkomstattacker tar olika former beroende på metod för lagring av information: i form av pappersdokument eller i elektronisk form på en dator. Om den information som angriparen behöver lagras i form av pappersdokument behöver han tillgång till dessa dokument. De kan hittas på följande platser: i arkivskåp, i skrivbordslådor eller på skrivbord, i ett fax eller en skrivare i papperskorgen, i ett arkiv. Därför måste en angripare fysiskt infiltrera alla dessa platser.

Således är fysisk åtkomst nyckeln till att erhålla data. Det bör nämnas att pålitligt skydd lokaler kommer endast att hålla data borta från utomstående, och inte från organisationens anställda eller interna användare.

Information i elektronisk form lagras: på arbetsstationer, på servrar, i bärbara datorer, på disketter, på CD -skivor, på reservmagnetband.

En angripare kan helt enkelt stjäla ett lagringsmedium (diskett, CD, backuptejp eller bärbar dator). Detta är ibland lättare än att komma åt filer som lagras på datorer.

Om angriparen har laglig åtkomst till systemet kommer han att analysera filerna genom att helt enkelt öppna dem en efter en. Med rätt kontroll över behörigheter nekas åtkomst för en olaglig användare och åtkomstförsök registreras i loggarna.

Korrekt konfigurerade behörigheter förhindrar oavsiktlig informationsläckage. En seriös angripare kommer dock att försöka kringgå kontrollsystemet och få tillgång till den information de behöver. Det är många sårbarheter som hjälper honom i detta.

När information passerar över nätverket kan den nås genom att lyssna på överföringen. Angriparen gör detta genom att installera på datorsystemet nätverksanalysator paket (sniffer). Vanligtvis är detta en dator konfigurerad för att fånga all nätverkstrafik (inte bara trafik som adresseras till den här datorn). För att göra detta måste angriparen höja sin auktoritet i systemet eller ansluta till nätverket. Analysatorn är konfigurerad för att fånga all information som passerar över nätverket, men särskilt användar -ID och lösenord.

Avlyssning utförs också i globala datanät som hyrda linjer och telefonanslutningar. Denna typ av avlyssning kräver dock lämplig utrustning och särskild kunskap.

Avlyssning är möjlig även i fiberoptiska kommunikationssystem med specialutrustning, vanligtvis utförd av en kvalificerad angripare.

Informationsåtkomst med avlyssning är en av de svåraste uppgifterna för en angripare. För att lyckas måste han placera sitt system på överföringslinjen mellan avsändaren och mottagaren av informationen. På Internet görs detta genom att ändra namnupplösningen, vilket översätter datornamnet till fel adress... Trafik omdirigeras till angriparens system istället för den riktiga destinationen. Med lämplig konfiguration av ett sådant system kommer avsändaren aldrig att veta att hans information inte har nått mottagaren.

Avlyssning är också möjlig under en giltig kommunikationssession. Denna typ av attack är bäst lämpad för att fånga interaktiv trafik. I det här fallet måste angriparen befinna sig i samma nätverkssegment där klienten och servern finns. Angriparen väntar på att en legitim användare ska öppna en session på servern och sedan, med hjälp av specialiserad programvara, tar över sessionen medan den körs.

Modifieringsattacker

ModifieringsattackÄr ett försök till obehörig ändring av information. En sådan attack är möjlig varhelst information finns eller överförs. Den syftar till att kränka informationens integritet.

En typ av modifieringsattack är ersättning befintlig information till exempel en förändring av lönen för en anställd. En ersättningsattack riktar sig mot både sekretessbelagd och offentlig information.

En annan typ av attack är tillägg ny data, till exempel information om tidigare perioders historia. I detta fall utför en angripare en operation i banksystemet, vilket leder till att medel från kundens konto överförs till hans eget konto.

Ge sig på Tar bort betyder att flytta befintliga data, till exempel att avbryta en transaktionspost från en banks balansräkning, vilket resulterar i att jag drar tillbaka kontot kontanter stanna kvar på den.

Precis som åtkomstattacker utförs modifieringsattacker mot information som lagras som pappersdokument eller elektroniskt på en dator.

Det är svårt att ändra dokument så att ingen märker: om det finns en signatur (till exempel i ett kontrakt) måste du ta hand om dess förfalskning, det förseglade dokumentet måste försiktigt sättas ihop igen. Om det finns kopior av dokumentet måste de också göras om, precis som det ursprungliga. Och eftersom det är nästan omöjligt att hitta alla kopior, är det väldigt lätt att upptäcka en falsk.

Det är mycket svårt att lägga till eller ta bort poster från aktivitetsloggarna. För det första är informationen i dem ordnad i kronologisk ordning, så alla förändringar kommer att märkas omedelbart. Det bästa sättet- dra tillbaka dokumentet och ersätt det med ett nytt. Denna typ av attack kräver fysisk åtkomst till information.

Det är mycket lättare att ändra information som lagras elektroniskt. Med tanke på att angriparen har tillgång till systemet, lämnar en sådan operation ett minimum av bevis. I avsaknad av auktoriserad åtkomst till filer måste angriparen först försäkra sig om en inloggning eller ändra parametrarna för åtkomstkontrollen till filen.

Ändra databasfiler eller listan över transaktioner måste göras mycket noggrant. Transaktioner numreras sekventiellt och radering eller tillägg av felaktiga transaktionsnummer kommer att märkas. I dessa fall är det nödvändigt att arbeta noggrant i hela systemet för att förhindra upptäckt.

DDoS är för närvarande en av de mest tillgängliga och utbredda typerna av nätverksattacker. För några veckor sedan publicerades resultaten av DDoS -prevalensstudier av Arbor Networks, Verisign Inc.

Forskningsresultaten är imponerande:
Cyberkriminella genomför över 2000 DDoS -attacker varje dag;
Kostnaden för en veckovis attack mot ett genomsnittligt datacenter är bara $ 150;
Mer än hälften av undersökningsdeltagarna upplevde problem på grund av DDoS;
En tiondel av de tillfrågade i undersökningen sa att deras företag drabbades av DDoS -attacker mer än sex gånger på året;
Ungefär hälften av företagen upplevde problem på grund av DDoS, den genomsnittliga attacktiden var cirka 5 timmar;
Denna typ av attack är en av huvudorsakerna till serveravstängning och driftstopp.

Huvudtyperna av DDoS -attacker

Rent generellt, sorter av DDoS ganska många, och nedan har vi försökt lista de flesta typiska attacker, med en beskrivning av funktionsprincipen för varje typ av attack.

UDP -översvämning

En av de mest effektiva, och samtidigt, enkla arter attacker. Använd av UDP -protokoll, där det inte är nödvändigt att upprätta en session med att skicka någon typ av svar. I en slumpmässig ordning attackerar angriparen serverportarna och skickar ut en enorm mängd datapaket. Som ett resultat börjar maskinen kontrollera om porten som paketet kommer till används av någon applikation. Och eftersom det finns många sådana paket, kan en maskin med vilken kraft som helst inte klara uppgiften. Som ett resultat "äts" alla maskinens resurser och servern "lägger sig".

Det enklaste sättet att försvara sig mot denna typ av attack är att blockera UDP -trafik.

ICMP översvämning

Angriparen pingar ständigt offrets server, under vilken den senare ständigt svarar. Det finns många pingar, och som ett resultat förbrukas serverresurser och maskinen blir inte tillgänglig.

Som en säkerhetsåtgärd kan du använda blockerande ICMP -förfrågningar på brandväggsnivån. Tyvärr, i detta fall kommer du inte att kunna pinga maskinen av uppenbara skäl.

SYN översvämning

Denna typ av attack innebär att ett SYN -paket skickas till offrets server. Som ett resultat svarar servern med ett SYN-ACK-paket, och angriparens maskin måste skicka ett ACK-svar, men det skickas inte. Resultat - öppning och frysning stor mängd anslutningar som stängs först när tidsgränsen löper ut.

När gränsen för antalet förfrågningar / svar överskrids, slutar offrets server att acceptera paket av vilken typ som helst och blir otillgänglig.

MAC översvämning

En ovanlig typ av attack där många typer av nätverksutrustning är riktade. Angriparen börjar skicka ett stort antal Ethernet -paket med helt andra MAC -adresser. Som ett resultat börjar omkopplaren att reservera en viss mängd resurser för vart och ett av paketen, och om det finns många paket, väljer omkopplaren alla tillgängliga förfrågningar och fryser. Det värsta scenariot är ett fel på routingtabellen.

Ping av döden

Denna typ av attack är inte ett allvarligt problem idag, även om det tidigare var en vanlig attack. Innebörden av denna typ av attack är ett minnesbuffertflöde på grund av överskridande av den maximala tillgängliga IP -paketstorleken, och som ett resultat - serverfel och nätverksutrustning från att servera någon typ av paket.

Slowloris

En fokuserad attack av denna typ gör att små krafter kan uppnå stora resultat. Med andra ord, om du använder en server som inte är den mest kraftfulla kan du "lägga" mycket mer produktiv utrustning. Detta kräver inte användning av andra protokoll. I denna typ av attack öppnas angriparens server maximibelopp HTTP -anslutningar och försöker hålla dem öppna så länge som möjligt.

Naturligtvis tar antalet anslutningar på den attackerade servern slut, och användbara frågor sluta accepteras och bearbetas.

Reflekterade attacker

En ovanlig typ av attack, när angriparens server skickar paket med en falsk avsändar -IP, och sändningen går till så många maskiner som möjligt. Alla servrar som påverkas av sådana åtgärder skickar ett svar till den IP som anges i paketet, vilket resulterar i att mottagaren inte klarar belastningen och "fryser". Samtidigt kan angriparens server prestanda vara 10 gånger lägre än den planerade attacken. En server som skickar ut 100 Mbps falska förfrågningar kan helt döda offrets servers gigabit -kanal.

Degradering

I denna typ av attack simulerar angriparens server handlingar riktig person eller en hel publik. Som ett exempel på sig själv enkelt alternativ- du kan skicka förfrågningar om samma resurssida och göra det tusentals gånger. Det enklaste sättet att lösa problemet är att tillfälligt rapportera ett fel med blockeringen av den angripna sidan.

En mer komplex typ av attack är en begäran om ett stort antal olika serverresurser, inklusive mediefiler, sidor och allt annat, vilket leder till att offrets server slutar fungera.

Komplexa attacker av denna typ är ganska svåra att filtrera bort, vilket gör att du måste använda specialiserade program och tjänster.

Noll-dagars attack

Detta är namnet på attacker som utnyttjar hittills okända sårbarheter / tjänstesvagheter. För att bekämpa problemet är det nödvändigt att studera denna typ av attacker så att något kan göras.

Slutsats: den svåraste typen av attack kombineras, var olika sorter DDoS. Ju svårare kombinationen desto svårare är det att försvara sig mot den. Ett vanligt problem för DDoS, eller snarare för DDoS -offer, är den allmänna tillgängligheten för denna typ av attack. Det finns ett stort antal applikationer och tjänster på webben som gör att kraftfulla attacker kan utföras gratis eller nästan gratis.

Typer av attacker

Penetration i ett datornätverk utförs i form av attacker.

En attack är en händelse där utomstående försöker komma in i någon annans nätverk. Moderna nätverksattacker involverar ofta utnyttjande av programvarusårbarheter. Några av de vanliga attackerna i början av 2000-talet var denial-of-service, DoS (Dental of Service) och distribuerade DDoS -attacker(Distribuerat DoS). En DoS -attack gör målet otillgängligt för normal användning genom att överskrida de tillåtna gränserna för drift av sådana nätverksenhet... DoS - en attack hänvisar till en punkt (fokuserad), eftersom den kommer från en enda källa. I fallet med en distribuerad DDoS -attack utförs attacken från många källor fördelade över rymden, ofta tillhörande olika nätverk. För några år sedan kom termen skadlig till användning. programkod MIC, som står för virus, maskar, trojaner, verktyg för nätverksattacker, sändning av skräppost och andra oönskade åtgärder för användaren. Med tanke på hotens olika karaktär, moderna system försvar har blivit flerskiktade och komplexa. Nätverksmaskar distribuerar kopior av sig själva dator nätverk genom att använda E-post, meddelanden. De vanligaste trojanerna idag som begår obehöriga åtgärder: de förstör data, använder datorresurser för skadliga ändamål. Bland de farligaste trojanerna finns spionprogram programvara... Den samlar in information om alla användaråtgärder och överför sedan obemärkt för honom denna information till angripare. 2007 kan kallas året för icke-kommersiell skadlig programvaras död. Ingen utvecklar dessa program för självuttryck längre. Det kan noteras att under 2007 inte en enda skadlig programvara skulle inte ha en ekonomisk bakgrund. Ett av de nya skadliga programmen är Storm Worm, som dök upp i januari 2007. För att sprida, använde masken både traditionella metoder, till exempel e-post och distribution i form av videofiler. Tekniken att dölja sin närvaro i systemet (rootkits) kan användas inte bara i Trojaner, men också i filvirus. Skadlig programvara försöker nu överleva på systemet även efter att ha upptäckts.

Ett av de farliga sätten att dölja deras närvaro är att använda infektionsteknik startsektor hårddisk- de så kallade "bootkits". Ett sådant skadligt program kan få kontroll redan innan huvuddelen av operativsystemet laddas.

Utbudet av säkerhetsproblem är inte längre begränsat till det skydd mot virus som vi fick hantera för ungefär fem år sedan. Risken för interna informationsläckor har blivit allvarligare än yttre hot... Dessutom har stöld sedan början av 2000 -talet blivit målet för datorbrott. ekonomisk information, bankkonton, fel informationssystem konkurrenter, massutskick av reklam. Inte mindre, och ibland till och med ett större hot mot företagets IT -system, utgörs av insiders - företagsanställda som har tillgång till konfidentiell information och använder den för ogynnsamma ändamål. Många experter tror att skadan som orsakas av insiders är inte mindre betydande än den som orsakas av skadlig kod. Det är karakteristiskt att en betydande del av informationsläckage inte sker på grund av anställdas onda handlingar utan på grund av deras slarv. Den huvudsakliga tekniska medel För att bekämpa sådana faktorer måste det finnas medel för autentisering och administrering av dataåtkomst. Ändå fortsätter antalet incidenter att öka (över senaste åren med cirka 30% per år). Gradvis börjar läckage- / insiderskyddsverktyg integreras i gemensamt system informationsskydd. Sammanfattningsvis presenterar vi en generaliserad klassificering av nätverkshot (Fig.11.3)