Цель любой атаки – это устранение конкурента, отбирающего клиентов, ну или просто уникальных посетителей. Многие вебмастера не всегда используют для продвижения своего детища только «белые» методы. Не обходиться и без «черных». За счет продвижения черными методами, владелец компании или просто сайта продвигается в ТОП выдачи за счет уничтожения своих конкурентов.

Но самое страшно, что жертвой атаки могут стать ни в чем неповинные сайты, возможно даже те которые только недавно были созданы, такое может случиться, если атакуют весь сервер. Кстати говоря, это та самая причина по которой нужно покупать выделенный IP для своего сайта. И даже не смотря на то, что данные атаки караются по закону, большинство это не останавливает.

Защитить свой сайт на 100% нельзя. Если у злоумышленников имеется большой бюджет на это дело и сильное желание, то их вряд ли что-то может остановить.

Цели атак

Выделяют несколько основных целей:

— Кража паролей пользователей, доступ в закрытые разделы;

— «Уничтожение» сервера. Цель, довести до нерабочего состояния;

— Получить неограниченный доступ к серверу;

— Вживление в код ссылок, различных вирусов и прочего;

— Понижение сайта в поисковой выдаче до полного его выпадения.

Помимо выше перечисленного атаки делятся на внутренние и внешние. К внутренним можно отнести различные взломы для доступа к сайту или серверу, а к внешним , клевету или спам.

Вести борьбу с внутренними видами атак можно и довольно активно. Что же касается внешних, то тут все гораздо сложнее. Все дело в том, что владелец сервера не может взять ситуацию под контроль, что делает его очень уязвимым.

Виды атак

Ddos атака

Это самая, извиняюсь, поршивая разновидность. Следствием такой атаки будет являться полная остановка сервера, а может даже и нескольких серверов. Самое плохое заключается в том, что 100% полной защиты от DDoS не существует. Если атака не из слабых, то сервер будет находиться в нерабочем состоянии пока не будет прекращена атака.

Очередной характерной чертой DDoS-атак, является её доступность. Чтобы «завалить» сервер конкурента, не нужно быть в этом деле профи хакером. Для этого нужны всего лишь деньги или собственный ботнет (Ботнет- сеть зараженных компьетеров). А для слабенького ддоса хватит нескольких компьютеров.

Ddos – перевод данной аббревиатуры звучит как «распределенный отказ от обслуживания». Смысл атаки, заключается в одновременном, огромном обращении к серверу, которое происходит с многочисленных компьютеров.

Читайте также: Как определить время по солнцу

Как мы знаем у любого сервера есть максимальный предел нагрузки, и если эту нагрузку превысить, что и делает ддос-атака, то сервер «погибает».

Самое интересное, что в атаках участвуют обычные пользователи сети, сами того не зная. И чем больше новых юзеров в сети интернет, тем более армия ботнета, и как следствие сила атаки будет расти в геометрической прогрессии. Но сегодня хакеры перенаправили свои силы с ддос атак на мошеннические проделки для непосредственного заработка денег.

Мощность атак измеряется объемом трафика, направляемого на сервер конкурента в секунду. Атакам, объем трафика которых более нескольких ГБ/сек, противостоять очень сложно. Такой объем трафа очень сложно отфильтровать, практически невозможно. Такие мощные атаки, как правило не длятся долго, но даже и одни сутки простоя крупной компании может нанести серьезный ущерб в виде падения продаж и репутации.

Кстати атакуют не только отдельные сервера, а так же национальные сети, в результате чего отрубается сеть в целых регионах.

Для профилактики следует размещать свои сайты на серверах, на которых есть внушительный запас ресурсов, для того чтобы у вас было время принять меры.

В качестве простых методов против слабых атак можно порекомендовать:
— отдавать вместо главной страницы сайта (если атака идет на нее) страницу с редиректом. Так как ее размер намного меньше, то и нагрузка на сервер будет несравненно меньше; — если количество соединений с одного айпи превышает определенное число, заносить его в черный список;
— уменьшить число клиентов (MaxClients), одновременно подключенных к серверу;
— заблокировать зарубежный трафик, так как чаще всего атаки идут из стран Азии;

Нужно иметь отдельный независимый канал к серверу, через который можно будет получить к нему доступ в случае недоступности основного. Все серверное программное обеспечение нужно регулярно обновлять, ставить все выходящие патчи.

Некое подобие ддос-атаки могут спровоцировать поисковые или иные роботы, активно индексирующие сайт. Если движок сайта не оптимизирован, большое количество обращений к страницам за короткий промежуток времени вызовет слишком высокую нагрузку на сервер.

Взлом сервера и размещение ссылок или вирусов

Многие начинающие вебмастера обнаруживают скрытые ссылки на своих сайтах лишь тогда, когда эти ссылки уже привели к негативным последствиям – например, блокировка сайта хостером, выпадение из индекса поисковых систем, жалоба на домен. Тогда и обнаруживается, что сайт был взломан, и на нем размещены ссылки или с целью продвижения других ресурсов, или для распространения вирусов и троянов.

Читайте также: Как распознать взлом в социальной Сети

Есть вероятность, что был осуществлен взлом непосредственно сервера хостинга. Но в большинстве случаев подобные гадости на сайты попадают через дыры в движках сайта или как следствие халатности вебмастера при хранении паролей.

Скрытые ссылки являются одной из популярных причин санкций поисковиков, в частности, может быть значительная пессимизация (падение всех позиций на несколько сотен пунктов), выйти из-под которой будет крайне сложно. Если вставлены будут не просто ссылки, а код вируса, то хостер может просто удалить сайт без предупреждения. Ресурс и его айпи-адрес могут также попасть в черные списка сомнительной (если не сказать мошеннической) конторы Спамхаус, что означает конец, так как выйти оттуда практически невозможно.

Профилактика простая – следить за обновлениями движков, устанавливать все новые версии и выходящие регулярные дополнения. А пароли просто не хранить у себя на компьютере в открытом виде. Это же касается и всего серверного программного обеспечения.

Определенную опасность представляет предсказуемые названия служебных папок и файлов. (Predictable Resource Location). Путем простого перебора хакер определит их нахождение – и у него будет преимущество. Тут стоит пожертвовать удобством ради безопасности.

SQL-инъекция

Исполнение злоумышленником sql-запроса на чужом сервере, используя уязвимости движков, несовершенство программного кода. Суть бреши безопасности заключается в том, что в GET-параметре можно передать произвольный sql-запрос. Поэтому все строковые параметры необходимо экранировать (mysql_real_escape_string) и обрамлять кавычками.

Использовав инъекцию, хакер может совершить практически любое действие с базой данных – удалить ее, получить доступ к пользовательским данным и паролям и т. п.

Суть XSS-атаки заключается во внедрении в страницу, которая генерируется скриптом, произвольного кода. Это работает, если переменная, передаваемая в адресе страницы, не проверяется на присутствие в ней символов типа кавычек.

Основная опасность – кража cookies, и, следовательно, получение доступа к аккаунтам пользователей. Также хакер может получить информацию о системе посетителя, об истории посещенных сайтов и т. п. Внедрить также можно не только java-скрипт, а и ссылку на php-скрипт, размещенный на стороннем сервере, что намного опаснее.

Одно время этот метод применялся в «черном» СЕО для получения бесплатных ссылок. Владельцам сайтов это не особо вредило.

Спам с адресом сайта и реквизитами

Метод, по большому счету, безобидный, но тут опять же вступает вышеупомянутый Спамхаус. Буквально по одной жалобе сайт и его айпи могут быть занесены в черный список, и хостер будет вынужден отказать в обслуживании. А разослать несколько сотен тысяч писем с адресом любого сайта стоит копейки. Спамить также могут форумы, комментарии и т. п., и крайне сложно будет доказать, что этим занимались конкуренты.

Во время работы компьютерных систем часто возникают различные проблемы. Некоторые - по чьей-то оплошности, а некоторые являются результатом злоумышленных действий. В любом случае при этом наносится ущерб . Поэтому будем называть такие события атаками, независимо от причин их возникновения.

Существуют четыре основных категории атак:

  • атаки доступа;
  • атаки модификации;
  • атаки на отказ в обслуживании;
  • атаки на отказ от обязательств.

Давайте подробно рассмотрим каждую категорию. Существует множество способов выполнения атак: при помощи специально разработанных средств, методов социального инжиниринга, через уязвимые места компьютерных систем. При социальном инжиниринге для получения несанкционированного доступа к системе не используются технические средства. Злоумышленник получает информацию через обычный телефонный звонок или проникает внутрь организации под видом ее служащего. Атаки такого рода наиболее разрушительны.

Атаки, нацеленные на захват информации, хранящейся в электронном виде, имеют одну интересную особенность: информация не похищается, а копируется. Она остается у исходного владельца, но при этом ее получает и злоумышленник . Таким образом, владелец информации несет убытки, а обнаружить момент, когда это произошло, очень трудно.

Определение атаки доступа

Атака доступа - это попытка получения злоумышленником информации, для просмотра которой у него нет разрешений. Осуществление такой атаки возможно везде, где существует информация и средства для ее передачи (рис. 2.1). Атака доступа направлена на нарушение конфиденциальности информации.


Рис. 2.1.

Подсматривание

Подсматривание ( snooping ) - это просмотр файлов или документов для поиска интересующей злоумышленника информации. Если документы хранятся в виде распечаток, то злоумышленник будет вскрывать ящики стола и рыться в них. Если информация находится в компьютерной системе, то он будет просматривать файл за файлом, пока не найдет нужные сведения.

Подслушивание

Когда кто-то слушает разговор, участником которого он не является, это называется подслушиванием ( eavesdropping ). Для получения несанкционированного доступа к информации

В настоящее время DDoS — один из наиболее доступных и распространенных видов сетевых атак. Несколько недель назад были опубликованы результаты исследований о распространенности DDoS, проведенных компаниями Arbor Networks, Verisign Inc.

Результаты исследований впечатляют:
Каждый день злоумышленники проводят более 2000 DDoS-атак;
Стоимость недельной атаки на средней величины ЦОД составляет всего 150 долларов США;
Более половины участников опроса испытывали проблемы из-за DDoS;
Десятая часть участников опроса ответила, что их компании страдали от DDoS-атак более шести раз за год;
Около половины компаний испытывали проблемы из-за DDoS, время средней атаки — около 5 часов;
Атаки такого типа являются одной из основных причин остановки и простоя серверов.

Основные виды DDoS-атак

В общем-то, разновидностей DDoS довольно много, и ниже мы постарались перечислить большинство типовых атак, с описанием принципа действия кажого типа атаки.

UDP флуд

Один из наиболее действенных, и в то же время, простых видов атак. Используется UDP протокол, где не требуется установление сессии с отправкой любого типа ответа. В случайном порядке злоумышленник атакует порты сервера, отсылая огромное количество пакетов данных. В результате машина начинает проверять, используется ли порт, на который приходит пакет, каким-либо приложением. А поскольку таких пакетов — масса, то машина любой мощности просто не справляется с задачей. Как результат — все ресурсы машины «съедены», и сервер «ложится».

Наиболее простой способ защиты от такого типа атак — это блокирование UDP трафика.

ICMP флуд

Злоумышленник постоянно пингует сервер жертвы, в ходе чего последний постоянно отдает ответы. Пингов огромное количество, и, как результат — съедаются ресурсы сервера, и машина становится недоступной.

В качестве меры защиты можно использовать блокировку ICMP-запросов, на уровне брандмауэра. К сожалению, в таком случае пинговать машину не получится по понятным причинам.

SYN флуд

В этом типе атаки используется отправка SYN-пакета серверу жертвы. Как результат — сервер отвечает пакетом SYN-ACK, а машина злоумышленника должна отправить ACK-ответ, но он не отправляется. Результат — открытие и подвисание огромного количества соединений, которые закрываются только по истечению таймаута.

При превышении граничного количества запросов/ответов сервер жертвы перестает принимать пакеты любого типа, и становится недоступным.

MAC флуд

Необычный тип атаки, в котором объектом становится сетевое оборудование многих типов. Злоумышленник начинает отправлять большое количество Ethernet-пакетов с совершенно различными MAC-адресами. Как результат — свитч начинает резервировать под каждый из пакетов определенное количество ресурсов, и если пакетов много, то свитч выделяет все доступные запросы, и подвисает. Худший вариант — сбой таблицы маршрутизации.

Ping of Death

Сейчас этот тип атак не является сколько-нибудь серьезной проблемой, хотя раньше это был распространенный вариант атаки. Смысл такого типа атаки — переполнение буфера памяти из-за превышения максимально доступного размера IP пакета, и как результат — отказ сервера и сетевого оборудования от обслуживания любого типа пакетов.

Slowloris

Сфокусированная атака такого типа позволяет малыми силами добиться крупных результатов. Другими словами, используя не самый мощный сервер, можно «положить» гораздо более производительное оборудование. При этом не требуется задействовать другие протоколы. При таком типе атак сервер злоумышленника открывает максимальное количество НТТР-соединений, и старается держать их открытыми также как можно дольше.

Само собой, количество подключений на сервере, подверженному атаке, заканчивается, и полезные запросы перестают приниматься и обрабатываться.

Отражённые атаки

Необычный тип атаки, когда сервер злоумышленника отправляет пакеты с фальшивым IP отправителя, причем отправка идет по максимально возможному количеству машин. Все затронутые такими действиями сервера отправляют ответ на укзанный в пакете IP, в результате чего получатель не справляется с нагрузкой и «подвисает». При этом производительность сервера атакующего может быть в 10 раз ниже планируемой мощности атаки. Сервер, рассылающий 100 Мбит/сек ложных запросов, может полностью положить гигабитный канал сервера жертвы.

Деградация

При таком типе атаки сервер злоумышленника симулирует действия реального человека или целой аудитории. Как пример самого простого варианта — можно отсылать запросы для одной и той же страницы ресурса, причем делать это тысячи раз. Наиболее простой способ решения проблемы — временное сообщение об ошибки с блокированием атакуемой страницы.

Более сложный тип атаки — запрос большого количества различных ресурсов сервера, включая медиафайлы, страницы и все прочее, в результате чего сервер жерты перестает работать.

Сложные атаки такого типа довольно сложно отфильтровать, как результат — приходится использовать специализированные программы и сервисы.

Атака нулевого дня

Так называют атаки, где используются неизвестные доселе уязвимости/слабые места сервиса. Для борьбы с проблемой необходимо изучить такой тип атаки, чтобы можно было что-то предпринять.

Вывод: наиболее сложным типом атаки являются комбинированные, где используются различные виды DDoS. Чем сложнее комбинация, тем сложнее от нее защититься. Общей проблемой для DDoS, вернее, для жертв DDoS, является общедоступность такого типа атак. В Сети есть большое количество приложений и сервисов, позволяющих бесплатно или почти бесплатно осуществлять мощнейшие атаки.

Mailbombing
Старейший вид атак. Значительно увеличивается трафик и количество присылаемых сообещний, что генерирует сбой в работе сервиса. Это вызывает паралич не только Вашей почты, но и работы самого почтового сервера. Эффективность таких атак в наши дни считается нулевой, поскольку теперь провайдер имеет возможность установить ограничение трафика от одного отправителя.

Переполнение буфера
Принцип этого вида атак - программные ошибки , при которых память нарушает свои же границы. Это, в свою очередь, вынуждает либо завершить процесс аварийно, либо выполнить произвольный бинарный код, где используется текущая учетная запись. Если учётная запись - администраторская, то данные действия разрешают получить полный доступ к системе.

Вирусы, трояны, почтовые черви, снифферы
Данный тип атак объединяет различные сторонние программы . Назначение и принцип действия такой программы может быть чрезвычайно разнообразным, поэтому нет смысла подробно останавливаться на каждой из них. Все эти программы объединяет то, что их главная цель - доступ и "заражение " системы .

Сетевая разведка
Данный тип атаки сам по себе не предусматривает какое-либо разрушительное действие. Разведка подразумевает лишь сбор информации злоумышленником - сканирование портов , запрос DNS , проверка защиты компьютера и проверка системы . Обычно разведка проводится перед серьёзной целенаправленной атакой.

Сниффинг пакетов
Принцип действия основан на особенностях работы сетевой карты. Пакеты, полученные ей, пересылаются на обработку, где с ними взаимодействют специальные приложения. В результате злоумышленник получает доступ не только к информация о структуре вычислительной системы, но и непосредственно передаваемая информация - пароли , сообщения и другие файлы.

IP-спуфинг
Тип атак на локальные сети , когда компьютер злоумышленника использует IP-адрес , входящий в данную локальную сеть . Атака возможна, если система безопасности предусматривает идентификацию типа IP-адрес, исключая дополнительные условия.

Man-in-the-middle
Злоумышленник перехватывает канал связи между двумя приложениями, в результате чего получает доступ ко всей информации, идущей через данный канал. Цель атаки - не только кража , но и фальсификация информации . Примером такой атаки может служить использование подобного приложения для мошенничества в онлайн-играх: информация об игровом событии, порождаемом клиентской частью, передаётся на сервер. На её пути ставится программа -перехватчик , которая изменяет информацию по желанию злоумышленника и отправляет на сервер вместо той, которую отправила программа-клиент игры.

Инъекция
Также довольно широкий тип атак, общий принцип которых - внедрение информационных систем со сторонними кусками программного кода в ход передачи данных, где код фактически не мешает работе приложения, но одновременно производит необходимое злоумышленнику действие.

Отказ в обслуживании
DoS (от англ. Denial of Service ) — атака , имеющая своей целью заставить сервер не отвечать на запросы. Такой тип атаки не подразумевает непосредственно получение некоторой секретной информации, но используется для того, чтобы парализовать работу целевых сервисов. Например, некоторые программы из-за ошибок в своем коде могут вызывать исключительные ситуации, и при отключении сервисов способны исполнять код, предоставленный злоумышленником или атаки лавинного типа, когда сервер не в состоянии обработать все входяще пакеты.

DDoS (от англ. Distributed Denial of Service — распределённая DoS ) — подтип DoS атаки , имеющий ту же цель что и DoS , но производимой не с одного компьютера, а с нескольких компьютеров в сети . В данных типах атак используется либо возникновение ошибок, генерирущих отказ сервиса , либо срабатывание защиты , вызывающей блокирование работы сервиса , а в результате также и отказ в обслуживании . DDoS используется там, где обычный DoS неэффективен. Для этого несколько компьютеров объединяются, и каждый производит DoS атаку на систему жертвы. Вместе это называется DDoS-атака .

Способы защиты от сетевых атак .
Существует множество способов защиты от злоумышленников, в том числе антивирусы , фаерволлы , различные встроенные фильтры и пр. Самым же эффективным является профессионализм пользователя. Не следует открывать подозрительные сайты (ссылки) , файлы в письмах от отправителя типа "таинственный незнакомец". Перед открытием вложений со знакомых адресов следует запрашивать подтверждение каким-либо иным, нежели почта, способом. Как правило, в этом могут помочь курсы повышения компьютерной квалицикации и грамотности, проводимые практически в любой организации. Это, впрочем, не заменит защитные механизмы и программы. Стоит помнить, что технология сетевых атак не стоит на месте и поэтому следует как можно чаще осуществлять обновление антивируса , а также проводить полные проверки компьютеров.

Проконсультируйтесь со специалистами компьютерной компании "КЛиК", чтобы предупредить все возможные хакерские атаки и заражения вирусами.

Лекция 33 Виды и типы сетевых атак

Лекция 33

Тема: Виды и типы сетевых атак

Удалённая сетевая атака - информационное разрушающее воздействие на распределённую вычислительную систему, осуществляемое программно по каналам связи.

Введение

Для организации коммуникаций в неоднородной сетевой среде применяются набор протоколов TCP/IP, обеспечивая совместимость между компьютерами разных типов. Данный набор протоколов завоевал популярность благодаря совместимости и предоставлению доступа к ресурсам глобальной сети Интернет и стал стандартом для межсетевого взаимодействия. Однако повсеместное распространение стека протоколов TCP/IP обнажило и его слабые стороны. В особенности из-за этого удалённым атакам подвержены распределённые системы, поскольку их компоненты обычно используют открытые каналы передачи данных, и нарушитель может не только проводить пассивное прослушивание передаваемой информации, но и модифицировать передаваемый трафик.

Трудность выявления проведения удалённой атаки и относительная простота проведения (из-за избыточной функциональности современных систем) выводит этот вид неправомерных действий на первое место по степени опасности и препятствует своевременному реагированию на осуществлённую угрозу, в результате чего у нарушителя увеличиваются шансы успешной реализации атаки.

Классификация атак

По характеру воздействия

Пассивное

Активное

Пассивное воздействие на распределённую вычислительную систему (РВС) представляет собой некоторое воздействие, не оказывающее прямого влияния на работу системы, но в то же время способное нарушить её политику безопасности. Отсутствие прямого влияния на работу РВС приводит именно к тому, что пассивное удалённое воздействие (ПУВ) трудно обнаружить. Возможным примером типового ПУВ в РВС служит прослушивание канала связи в сети.

Активное воздействие на РВС - воздействие, оказывающее прямое влияние на работу самой системы (нарушение работоспособности, изменение конфигурации РВС и т. д.), которое нарушает политику безопасности, принятую в ней. Активными воздействиями являются почти все типы удалённых атак. Связано это с тем, что в саму природу наносящего ущерб воздействия включается активное начало. Явное отличие активного воздействия от пассивного - принципиальная возможность его обнаружения, так как в результате его осуществления в системе происходят некоторые изменения. При пассивном же воздействии, не остается совершенно никаких следов (из-за того, что атакующий просмотрит чужое сообщение в системе, в тот же момент не изменится собственно ничего).

По цели воздействия

Нарушение функционирования системы (доступа к системе)

Нарушение целостности информационных ресурсов (ИР)

Нарушение конфиденциальности ИР

Этот признак, по которому производится классификация, по сути есть прямая проекция трех базовых разновидностей угроз - отказа в обслуживании, раскрытия и нарушения целостности.

Главная цель, которую преследуют практически при любой атаке - получение несанкционированного доступа к информации. Существуют два принципиальных варианта получения информации: искажение и перехват. Вариант перехвата информации означает получение к ней доступа без возможности ее изменения. Перехват информации приводит, следовательно, к нарушению ее конфиденциальности. Прослушивание канала в сети - пример перехвата информации. В этом случае имеется нелегитимный доступ к информации без возможных вариантов ее подмены. Очевидно также, что нарушение конфиденциальности информации относится к пассивным воздействиям.

Возможность подмены информации следует понимать либо как полный контроль над потоком информации между объектами системы, либо возможность передачи различных сообщений от чужого имени. Следовательно, понятно, что подмена информации приводит к нарушению её целостности. Такое информационное разрушающее воздействие есть характерный пример активного воздействия. Примером же удалённой атаки, предназначенной для нарушения целостности информации, может послужить удалённая атака (УА) «Ложный объект РВС».

По наличию обратной связи с атакуемым объектом

С обратной связью

Без обратной связи (однонаправленная атака)

Атакующий отправляет некоторые запросы на атакуемый объект, на которые ожидает получить ответ. Следовательно между атакующим и атакуемым появляется обратная связь, позволяющая первому адекватно реагировать на всяческие изменения на атакуемом объекте. В этом суть удалённой атаки, осуществляемой при наличии обратной связи с атакующим объектом. Подобные атаки наиболее характерны для РВС.

Атаки без обратной связи характерны тем, что им не требуется реагировать на изменения на атакуемом объекте. Такие атаки обычно осуществляются при помощи передачи на атакуемый объект одиночных запросов. Ответы на эти запросы атакующему не нужны. Подобную УА можно назвать также однонаправленной УА. Примером однонаправленных атак является типовая УА «DoS-атака».

По условию начала осуществления воздействия

Удалённое воздействие, также как и любое другое, может начать осуществляться только при определённых условиях. В РВС существуют три вида таких условных атак:

Атака по запросу от атакуемого объекта

Атака по наступлению ожидаемого события на атакуемом объекте

Безусловная атака

Воздействие со стороны атакующего начнётся при условии, что потенциальная цель атаки передаст запрос определённого типа. Такую атаку можно назвать атакой по запросу от атакуемого объекта. Данный тип УА наиболее характерен для РВС. Примером подобных запросов в сети Интернет может служить DNS- и ARP-запросы, а в Novell NetWare - SAP-запрос.

Атака по наступлению ожидаемого события на атакуемом объекте. Атакующий непрерывно наблюдает за состоянием ОС удалённой цели атаки и начинает воздействие при возникновении конкретного события в этой системе. Атакуемый объект сам является инициатором начала атаки. Примером такого события может быть прерывание сеанса работы пользователя с сервером без выдачи команды LOGOUT в Novell NetWare.

Безусловная атака осуществляется немедленно и безотносительно к состоянию операционной системы и атакуемого объекта. Следовательно, атакующий является инициатором начала атаки в данном случае.

При нарушении нормальной работоспособности системы преследуются другие цели и получение атакующим незаконного доступа к данным не предполагается. Его целью является вывод из строя ОС на атакуемом объекте и невозможность доступа для остальных объектов системы к ресурсам этого объекта. Примером атаки такого вида может служить УА «DoS-атака».

По расположению субъекта атаки относительно атакуемого объекта

Внутрисегментное

Межсегментное

Некоторые определения:

Источник атаки (субъект атаки) - программа (возможно оператор), ведущая атаку и осуществляющая непосредственное воздействие.

Хост (host) - компьютер, являющийся элементом сети.

Маршрутизатор (router) - устройство, которое обеспечивает маршрутизацию пакетов в сети.

Подсетью (subnetwork) называется группа хостов, являющихся частью глобальной сети, отличающихся тем, что маршрутизатором для них выделен одинаковый номер подсети. Так же можно сказать, что подсеть есть логическое объединение хостов посредством маршрутизатора. Хосты внутри одной подсети могут непосредственно взаимодействовать между собой, не задействовав при этом маршрутизатор.

Сегмент сети - объединение хостов на физическом уровне.

С точки зрения удалённой атаки крайне важным является взаимное расположение субъекта и объекта атаки, то есть находятся ли они в разных или в одинаковых сегментах. Во время внутрисегментной атаки, субъект и объект атаки располагаются в одном сегменте. В случае межсегментной атаки субъект и объект атаки находятся в разных сетевых сегментах. Этот классификационный признак дает возможность судить о так называемой «степени удалённости» атаки.

Далее будет показано, что практически внутрисегментную атаку осуществить намного проще, чем межсегментную. Отметим так же, что межсегментная удалённая атака представляет куда большую опасность, чем внутрисегментная. Это связано с тем, что в случае межсегментной атаки объект её и непосредственно атакующий могут находиться на расстоянии многих тысяч километров друг от друга, что может существенно воспрепятствовать мерам по отражению атаки.

По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие

Физический

Канальный

Сетевой

Транспортный

Сеансовый

Представительный

Прикладной

Международной организацией по стандартизации (ISO) был принят стандарт ISO 7498, который описывает взаимодействие открытых систем (OSI), к которым принадлежат также и РВС. Каждый сетевой протокол обмена, также как и каждую сетевую программу, удаётся так или иначе спроецировать на эталонную 7-уровневую модель OSI. Такая многоуровневая проекция даёт возможность описать в терминах модели OSI использующиеся в сетевом протоколе или программе функции. УА - сетевая программа, и логично рассматривать её с точки зрения проекции на эталонную модель ISO/OSI .

Краткое описание некоторых сетевых атак

Фрагментация данных

При передаче пакета данных протокола IP по сети может осуществляться деление этого пакета на несколько фрагментов. Впоследствии, при достижении адресата, пакет восстанавливается из этих фрагментов. Злоумышленник может инициировать посылку большого числа фрагментов, что приводит к переполнению программных буферов на приемной стороне и, в ряде случаев, к аварийному завершению системы.

Атака Ping flooding

Данная атака требует от злоумышленника доступа к быстрым каналам в Интернет.

Программа ping посылает ICMP-пакет типа ECHO REQUEST, выставляя в нем время и его идентификатор. Ядро машины-получателя отвечает на подобный запрос пакетом ICMP ECHO REPLY. Получив его, ping выдает скорость прохождения пакета.

При стандартном режиме работы пакеты высылаются через некоторые промежутки времени, практически не нагружая сеть. Но в «агрессивном» режиме поток ICMP echo request/reply-пакетов может вызвать перегрузку небольшой линии, лишив ее способности передавать полезную информацию.

Нестандартные протоколы, инкапсулированные в IP

Пакет IP содержит поле, определяющее протокол инкапсулированного пакета (TCP, UDP, ICMP). Злоумышленники могут использовать нестандартное значение данного поля для передачи данных, которые не будут фиксироваться стандартными средствами контроля информационных потоков.

Атака smurf

Атака smurf заключается в передаче в сеть широковещательных ICMP запросов от имени компьютера - жертвы.

В результате компьютеры, принявшие такие широковещательные пакеты, отвечают компьютеру-жертве, что приводит к существенному снижению пропускной способности канала связи и, в ряде случаев, к полной изоляции атакуемой сети. Атака smurf исключительно эффективна и широко распространена.

Противодействие: для распознавания данной атаки необходимо анализировать загрузку канала и определять причины снижения пропускной способности.

Атака DNS spoofing

Результатом данной атаки является внесение навязываемого соответствия между IP-адресом и доменным именем в кэш DNS сервера. В результате успешного проведения такой атаки все пользователи DNS сервера получат неверную информацию о доменных именах и IP-адресах. Данная атака характеризуется большим количеством DNS пакетов с одним и тем же доменным именем. Это связано с необходимостью подбора некоторых параметров DNS обмена.

Противодействие: для выявления такой атаки необходимо анализировать содержимое DNS трафика либо использовать DNSSEC.

Атака IP spoofing

Большое количество атак в сети Интернет связано с подменой исходного IP-адреса. К таким атакам относится и syslog spoofing, которая заключается в передаче на компьютер-жертву сообщения от имени другого компьютера внутренней сети. Поскольку протокол syslog используется для ведения системных журналов, путем передачи ложных сообщений на компьютер-жертву можно навязать информацию или замести следы несанкционированного доступа.

Противодействие: выявление атак, связанных с подменой IP-адресов, возможно при контроле получения на одном из интерфейсов пакета с исходным адресом этого же интерфейса или при контроле получения на внешнем интерфейсе пакетов с IP-адресами внутренней сети.

Навязывание пакетов

Злоумышленник отправляет в сеть пакеты с ложным обратным адресом. С помощью этой атаки злоумышленник может переключать на свой компьютер соединения, установленные между другими компьютерами. При этом права доступа злоумышленника становятся равными правам того пользователя, чье соединение с сервером было переключено на компьютер злоумышленника.

Sniffing - прослушивание канала

Возможно только в сегменте локальной сети.

Практически все сетевые карты поддерживают возможность перехвата пакетов, передаваемых по общему каналу локальной сети. При этом рабочая станция может принимать пакеты, адресованные другим компьютерам того же сегмента сети. Таким образом, весь информационный обмен в сегменте сети становится доступным злоумышленнику. Для успешной реализации этой атаки компьютер злоумышленника должен располагаться в том же сегменте локальной сети, что и атакуемый компьютер.

Перехват пакетов на маршрутизаторе

Сетевое программное обеспечение маршрутизатора имеет доступ ко всем сетевым пакетам, передаваемым через данный маршрутизатор, что позволяет осуществлять перехват пакетов. Для реализации этой атаки злоумышленник должен иметь привилегированный доступ хотя бы к одному маршрутизатору сети. Поскольку через маршрутизатор обычно передается очень много пакетов, тотальный их перехват практически невозможен. Однако отдельные пакеты вполне могут быть перехвачены и сохранены для последующего анализа злоумышленником. Наиболее эффективен перехват пакетов FTP, содержащих пароли пользователей, а также электронной почты.

Навязывание хосту ложного маршрута с помощью протокола ICMP

В сети Интернет существует специальный протокол ICMP (Internet Control Message Protocol), одной из функцией которого является информирование хостов о смене текущего маршрутизатора. Данное управляющее сообщение носит название redirect. Существует возможность посылки с любого хоста в сегменте сети ложного redirect-сообщения от имени маршрутизатора на атакуемый хост. В результате у хоста изменяется текущая таблица маршрутизации и, в дальнейшем, весь сетевой трафик данного хоста будет проходить, например, через хост, отославший ложное redirect-сообщение. Таким образом возможно осуществить активное навязывание ложного маршрута внутри одного сегмента сети Интернет.

Наряду с обычными данными, пересылаемыми по TCP-соединению, стандарт предусматривает также передачу срочных (Out Of Band) данных. На уровне форматов пакетов TCP это выражается в ненулевом urgent pointer. У большинства ПК с установленным Windows присутствует сетевой протокол NetBIOS, который использует для своих нужд три IP-порта: 137, 138, 139. Если соединиться с Windows машиной по 139 порту и послать туда несколько байт OutOfBand данных, то реализация NetBIOS-а, не зная, что делать с этими данными, попросту вешает или перезагружает машину. Для Windows 95 это обычно выглядит как синий текстовый экран, сообщающий об ошибке в драйвере TCP/IP, и невозможность работы с сетью до перезагрузки ОС. NT 4.0 без сервиспаков перезагружается, NT 4.0 с ServicePack 2 паком выпадает в синий экран. Судя по информации из сети подвержены такой атаке и Windows NT 3.51 и Windows 3.11 for Workgroups.

Посылка данных в 139-й порт приводит к перезагрузке NT 4.0, либо выводу «синего экрана смерти» с установленным Service Pack 2. Аналогичная посылка данных в 135 и некоторые другие порты приводит к значительной загрузке процесса RPCSS.EXE. На Windows NT WorkStation это приводит к существенному замедлению работы, Windows NT Server практически замораживается.

Подмена доверенного хоста

Успешное осуществление удалённых атак этого типа позволит злоумышленнику вести сеанс работы с сервером от имени доверенного хоста. (Доверенный хост - станция легально подключившаяся к серверу). Реализация данного вида атак обычно состоит в посылке пакетов обмена со станции злоумышленника от имени доверенной станции, находящейся под его контролем.

Технологии обнаружения атак

Сетевые и информационные технологии меняются настолько быстро, что статичные защитные механизмы, к которым относятся системы разграничения доступа, МЭ, системы аутентификации во многих случаях не могут обеспечить эффективной защиты. Поэтому требуются динамические методы, позволяющие оперативно обнаруживать и предотвращать нарушения безопасности. Одной из технологий, позволяющей обнаруживать нарушения, которые не могут быть идентифицированы при помощи традиционных моделей контроля доступа, является технология обнаружения атак.

По существу, процесс обнаружения атак является процессом оценки подозрительных действий, которые происходят в корпоративной сети. Иначе говоря, обнаружение атак (intrusion detection) - это процесс идентификации и реагирования на подозрительную деятельность, направленную на вычислительные или сетевые ресурсы

Методы анализа сетевой информации

Эффективность системы обнаружения атак во многом зависит от применяемых методов анализа полученной информации. В первых системах обнаружения атак, разработанных в начале 1980-х годов, использовались статистические методы обнаружения атак. В настоящее время к статистическому анализу добавился ряд новых методик, начиная с экспертных систем и нечёткой логики и заканчивая использованием нейронных сетей.

Статистический метод

Основные преимущества статистического подхода - использование уже разработанного и зарекомендовавшего себя аппарата математической статистики и адаптация к поведению субъекта.

Сначала для всех субъектов анализируемой системы определяются профили. Любое отклонение используемого профиля от эталонного считается несанкционированной деятельностью. Статистические методы универсальны, поскольку для проведения анализа не требуется знания о возможных атаках и используемых ими уязвимостях. Однако при использовании этих методик возникают и проблемы:

«статистические» системы не чувствительны к порядку следования событий; в некоторых случаях одни и те же события в зависимости от порядка их следования могут характеризовать аномальную или нормальную деятельность;

Трудно задать граничные (пороговые) значения отслеживаемых системой обнаружения атак характеристик, чтобы адекватно идентифицировать аномальную деятельность;

«статистические» системы могут быть с течением времени «обучены» нарушителями так, чтобы атакующие действия рассматривались как нормальные.

Следует также учитывать, что статистические методы не применимы в тех слу-чаях, когда для пользователя отсутствует шаблон типичного поведения или когда для пользователя типичны несанкционированные действия.

Экспертные системы

Экспертные системы состоят из набора правил, которые охватывают знания человека-эксперта. Использование экспертных систем представляет собой распространенный метод обнаружения атак, при котором информация об атаках формулируется в виде правил. Эти правила могут быть записаны, например, в виде последовательности действий или в виде сигнатуры. При выполнении любого из этих правил принимается решение о наличии несанкционированной деятельности. Важным достоинством такого подхода является практически полное отсутствие ложных тревог.

БД экспертной системы должна содержать сценарии большинства известных на сегодняшний день атак. Для того чтобы оставаться постоянно актуальными, экспертные системы требуют постоянного обновления БД. Хотя экспертные системы предлагают хорошую возможность для просмотра данных в журналах регистрации, требуемые обновления могут либо игнорироваться, либо выполняться администратором вручную. Как минимум, это приводит к экспертной системе с ослабленными возможностями. В худшем случае отсутствие надлежащего сопровождения снижает степень защищенности всей сети, вводя ее пользователей в заблуждение относительно действительного уровня защищенности.

Основным недостатком является невозможность отражения неизвестных атак. При этом даже небольшое изменение уже известной атаки может стать серьёзным препятствием для функционирования системы обнаружения атак.

Нейронные сети

Большинство современных методов обнаружения атак используют некоторую форму анализа контролируемого пространства на основе правил или статистического подхода. В качестве контролируемого пространства могут выступать журналы регистрации или сетевой трафик. Анализ опирается на набор заранее определённых правил, которые создаются администратором или самой системой обнаружения атак.

Любое разделение атаки во времени или среди нескольких злоумышленников является трудным для обнаружения при помощи экспертных систем. Из-за большого разнообразия атак и хакеров даже специальные постоянные обновления БД правил экспертной системы никогда не дадут гарантии точной идентификации всего диапазона атак.

Использование нейронных сетей является одним из способов преодоления указанных проблем экспертных систем. В отличие от экспертных систем, которые могут дать пользователю определённый ответ о соответствии рассматриваемых характеристик заложенным в БД правилам, нейронная сеть проводит анализ информации и предоставляет возможность оценить, согласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетевого представления может достигать 100 %, достоверность выбора полностью зависит от качества системы в анализе примеров поставленной задачи.

Сначала нейросеть обучают правильной идентификации на предварительно подобранной выборке примеров предметной области. Реакция нейросети анализируется и система настраивается таким образом, чтобы достичь удовлетворительных результатов. В дополнение к начальному периоду обучения, нейросеть набирается опыта с течением времени, по мере того, как она проводит анализ данных, связанных с предметной областью.

Важным преимуществом нейронных сетей при обнаружении злоупотреблений является их способность «изучать» характеристики умышленных атак и идентифицировать элементы, которые не похожи на те, что наблюдались в сети прежде.

Каждый из описанных методов обладает рядом достоинств и недостатков, поэтому сейчас практически трудно встретить систему, реализующую только один из описанных методов. Как правило, эти методы используются в совокупности.