Kako podesiti pametne telefone i računare. Informativni portal
  • Dom
  • Windows Phone
  • Računalni napadi i tehnologije za njihovo otkrivanje. Šta je mrežni napad

Računalni napadi i tehnologije za njihovo otkrivanje. Šta je mrežni napad

03.08.2019 Windows Phone

Mailbombing
Najstariji tip napada. Značajno se povećava saobraćaja i broj poslanih poruka, što generiše kvar usluge. To uzrokuje paraliza ne samo vašu poštu, već i rad samog mail servera. Efikasnost ovakvi napadi se danas, od sada, smatraju nuli provajdera ima sposobnost uspostavljanja ograničenje saobraćaja od jednog pošiljaoca.

Buffer overflow
Princip ove vrste napada je - softverske greške na kojoj memorija krši vlastite granice. Ovo, pak, prisiljava okončati proces hitan slučaj, ili izvršiti proizvoljno binarni kod, gdje se koristi tekući račun. Ako je račun administrator, ove radnje dozvoljavaju dobiti potpuni pristup sistemu.

Virusi, trojanci, e-mail crvi, njuškari
Ova vrsta napada kombinuje različite programe trećih strana... Imenovanje i princip rada takav program može biti izuzetno raznolik, tako da nema smisla detaljnije se zadržavati na svakom od njih. Svim ovim programima zajedničko je da im je glavna svrha pristup i " infekcija" sistemi.

Mrežna inteligencija
The tip napada samo po sebi ne pruža nikakav destruktivni efekat. Inteligencija znači samo prikupljanje informacija uljez - skeniranje portova, DNS upit, provjera zaštite računara i provjera sistema... Obično obavještajna služba se izvodi prije ozbiljnog ciljanog napada.

Njuškanje paketa
Princip rada zasniva se na karakteristikama mrežne kartice. Paketi koje prima prosleđuju se na obradu, gde posebne aplikacije komuniciraju sa njima. Kao rezultat toga, napadač dobija pristup ne samo informacijama o strukturi računarskog sistema, već i direktno prenošenim informacijama - lozinke, poruke i druge datoteke.

IP lažiranje
Vrsta napada na lokalne mreže, kada kompjuter napadač koristi IP adresa uključeno u ovaj lokalni net... Napad je moguć ako sistem sigurnost pruža identifikaciju tipa IP adrese, isključujući dodatne uslove.

Čovek u sredini
Napadač presreće veza između dvije aplikacije, što rezultira pristup na sve informacije koje prolaze kroz ovaj kanal. Cilj napada nije samo krađa, ali takođe falsifikovanje informacije... Primjer takvog napada može poslužiti upotreba like aneksima za varanje u online igrama: informacije o događaju igre koje generiše strana klijenta se prenose na server. Na putu je postavljen program-presretač, koji mijenja informacije na zahtjev napadača i šalje ih serveru umjesto one koju šalje program klijent igre.

Injekcija
Takođe prilično širok tip napada, opšti princip koji - implementacija informacionih sistema sa dijelovima programskog koda treće strane tokom prijenosa podataka, pri čemu kod zapravo ne ometa rad aplikacije, ali istovremeno obavlja radnju potrebnu za napadača.

Uskraćivanje usluge
DoS (sa engleskog Uskraćivanje usluge) — napad, koji ima za cilj da učini da server ne odgovara na zahtjeve. Ova vrsta napada ne podrazumijeva direktno dobijanje neke tajne informacije, već se koristi u cilju paraliziranja rada ciljanih servisa. Na primjer, neki programi, zbog grešaka u svom kodu, mogu izbaciti izuzetke, a kada su usluge onemogućene, mogu izvršiti kod koji je pružio napadač ili lavina napada kada server nije u mogućnosti obraditi sve dolazne pakete.

DDoS(sa engleskog. Distribuirano uskraćivanje usluge- distribuirano DoS) - podtip DoS napadi imati isto svrhašta u DoS, ali proizveden ne sa jednog računara, već sa više računara u mreža... U ovim tipovima napada koristi oba pojava generisanje grešaka odbijanje usluga ili aktiviranje zaštite izazivanje blokiranje rad usluga, a kao rezultat također odbijanje u službi. DDoS koristi se tamo gdje je uobičajeno DoS neefikasna. Da bi se to postiglo, nekoliko računara se kombinuje i svaki proizvodi DoS napad na sistem žrtve. Zajedno se zove DDoS napad.

Metode zaštite od mrežnih napada.
Postoji mnogo načina za zaštitu od uljeza, uključujući antivirusi, zaštitni zidovi, razne ugradne filteri i tako dalje Najefikasniji je profesionalizam korisnika. Ne bi trebalo otvarati sumnjive lokacije (linkovi), datoteke u pismima pošiljaoca tipa "misteriozni stranac". Prije otvaranja priloga sa poznatih adresa, trebate tražiti potvrdu na neki drugi način osim putem pošte. U pravilu, u tome mogu pomoći poznavanje rada na računaru i kursevi pismenosti koje nudi gotovo svaka organizacija. Ovo, međutim, neće zamijeniti zaštitne mehanizme i programe. Vrijedno je zapamtiti da tehnologija mrežnih napada ne miruje i stoga je treba provoditi što je češće moguće. ažurirati antivirus kao i izvršiti potpune provjere računara.

Konsultujte se sa stručnjacima kompjuterske kompanije "KLiK" kako biste sprečili sve moguće hakerske napade i virusne infekcije.

Rekao sam malo o tome ko su hakeri, ali u ovom članku želim nastaviti ovu temu i pisati o vrstama hakerskih napada i dati preporuke kako ih spriječiti.

Napadom(napad) na informacioni sistem je radnja ili niz međusobno povezanih radnji uljeza koje dovode do implementacije prijetnje iskorišćavanjem ranjivosti ovog informacionog sistema. Počnimo proučavati napade:

Ribolov

Ribolov (ili phishing). Njegova svrha je dobivanje informacija od korisnika (lozinke, brojevi kreditnih kartica, itd.) ili novca. Ova tehnika nije namijenjena jednom korisniku, već mnogima. Na primjer, pisma navodno službe tehničke podrške šalju se svim poznatim klijentima banke. Pisma obično sadrže zahtjev za slanje lozinke na račun, navodno zbog nekog tehničkog posla. Takva pisma su obično vrlo uvjerljiva i kompetentno sastavljena, što, možda, plijeni lakovjerne korisnike.

Više o phishing-u možete saznati u članku ““.

Preporuke: Paranoja je najbolja odbrana. Ne vjerujte ničemu sumnjivom, ne dajte nikome svoje podatke. Administratori ne moraju znati vašu lozinku ako je potrebna za pristup njihovom serveru. Oni u potpunosti kontroliraju server i mogu sami vidjeti lozinku ili je promijeniti.

Društveni inženjering

Socijalni inženjering nije tehnička već psihološka tehnika. Koristeći podatke dobijene tokom inventara, napadač može pozvati bilo kojeg korisnika (na primjer, korporativnu mrežu) u ime administratora i pokušati od njega saznati, na primjer, lozinku. To postaje moguće kada u velikim mrežama korisnici ne poznaju sve zaposlene, a još više ne mogu ih uvijek precizno prepoznati telefonom. Osim toga, koriste se složene psihološke tehnike, pa se šansa za uspjeh uvelike povećava.

Preporuke: isto. Ako zaista postoji potreba, onda lično dostavite potrebne podatke. Ako ste lozinku zapisali na papir, ne ostavljajte je nigdje i, ako je moguće, uništite je, a nemojte je samo bacati u kantu za smeće.

DoS

DoS (odbijanje usluge). Ovo nije jedan napad, već rezultat napada; koristi se za onemogućavanje sistema ili pojedinačnih programa. Da bi to učinio, kreker formira zahtjev programu na poseban način, nakon čega on prestaje funkcionirati. Potrebno je ponovno pokretanje da bi se program vratio u radno stanje.

Štrumpf

Štrumpf (napad usmjeren na greške u implementaciji TCP-IP protokola). Sada se ovaj tip napada smatra egzotičnim, ali ranije, kada je TCP-IP protokol bio sasvim nov, sadržavao je niz grešaka koje su dozvoljavale, na primjer, lažiranje IP adresa. Međutim, ova vrsta napada se i danas koristi. Neki stručnjaci ističu TCP Smurf, UDP Smurf, ICMP Smurf. Naravno, ova podjela je zasnovana na vrsti paketa.

UDP Storm

UDP Storm - koristi se kada su najmanje dva UDP porta otvorena na žrtvi, od kojih svaki šalje odgovor pošiljaocu. Na primjer, port 37 sa serverom vremena šalje zahtjevu trenutni datum i vrijeme. Kreker šalje UDP paket na jedan od portova žrtve, ali navodi adresu žrtve i drugi otvoreni UDP port žrtve kao pošiljaoca. Tada portovi počinju da reaguju jedni na druge beskonačno, što smanjuje performanse. Oluja će prestati čim se izgubi jedan od paketa (na primjer, zbog preopterećenja resursa).

UDP Bomb

UDP bomba - kreker šalje UDP paket sistemu sa pogrešnim poljima za servisne podatke. Podaci mogu biti oštećeni na bilo koji način (na primjer, netačna dužina polja, struktura). Može se srušiti. Preporuke: ažurirajte softver.

Bombardovanje poštom

Mail Bombing. Ako napadnuti računar ima mail server, tada mu se šalje ogromna količina mail poruka kako bi se on onemogućio. Osim toga, takve poruke se pohranjuju na hard disk servera i mogu ga popuniti, što može uzrokovati DoS. Naravno, sada je ovaj napad više priča, ali se u nekim slučajevima ipak može iskoristiti. Preporuke: kompetentna konfiguracija mail servera.

Njuškanje

Njuškanje (Njuškanje ili prisluškivanje). U slučaju da se umjesto svičeva u mreži instaliraju čvorišta, primljeni paketi se šalju na sve računare u mreži, a zatim računari određuju ovaj paket za njih ili ne.

Ako napadač dobije pristup računaru koji je uključen u takvu mrežu, ili direktno pristupi mreži, tada će sve informacije koje se prenose unutar mrežnog segmenta, uključujući lozinke, postati dostupne. Napadač će jednostavno staviti mrežnu karticu u režim slušanja i prihvatit će sve pakete, bez obzira da li su mu bili namijenjeni.

IP Hijack

IP Hijack (IP otmica). Ako postoji fizički pristup mreži, tada napadač može "urezati" mrežni kabel i djelovati kao posrednik u prijenosu paketa, slušajući na taj način sav promet između dva računara. Ovo je vrlo nezgodan način, koji se često ne opravdava, osim u slučajevima kada se drugi način ne može implementirati. Takvo uključivanje je nezgodno samo po sebi, iako postoje uređaji koji neznatno pojednostavljuju ovaj zadatak, posebno prate numeriranje paketa kako bi izbjegli neuspjeh i moguće otkrivanje upada u kanal.

Lažni DNS server

Lažni DNS server (lažni DNS server). Ako su mrežne postavke postavljene na automatski način rada, onda kada se poveže na mrežu, računar "pita" ko će mu biti DNS server, na koji će naknadno slati DNS upite. Sa fizičkim pristupom mreži, napadač može presresti takav zahtjev za emitovanje i odgovoriti da će njegov računar biti DNS server. Nakon toga, prevarenu žrtvu će moći poslati bilo kojom rutom. Na primjer, žrtva želi otići na web stranicu banke i prebaciti novac, haker to može poslati na njegov računar, gdje će se lažirati obrazac za unos lozinke. Nakon toga, lozinka će pripasti krekeru. Prilično komplikovana metoda, jer napadač mora odgovoriti žrtvi prije DNS servera.

IP-spoofing

IP-spoofing (spoofing ili lažiranje IP adresa). Napadač zamjenjuje svoju pravu IP adresu lažnom. Ovo je neophodno ako samo određene IP adrese imaju pristup resursu. Napadač mora promijeniti svoju stvarnu IP adresu u "privilegirani" ili "pouzdani" kako bi dobio pristup. Ova metoda se može koristiti na drugačiji način. Nakon što dva računara uspostave međusobnu vezu provjerom lozinki, napadač može preopteretiti mrežne resurse na žrtvi sa posebno generiranim paketima. Tako može preusmjeriti promet na sebe i tako zaobići proceduru autentifikacije.

Preporuke: Prijetnja će se smanjiti smanjenjem vremena odgovora za paket odgovora sa postavljenim oznakama SYN i ACK, kao i povećanjem maksimalnog broja SYN zahtjeva za uspostavljanje veze u redu čekanja (tcp_max_backlog). Također možete koristiti SYN-kolačiće.

Softverske ranjivosti

Softverske ranjivosti. Iskorištavanje grešaka u softveru. Efekat može biti različit. Od dobijanja nebitnih informacija do stjecanja potpune kontrole nad sistemom. Napadi softverskih grešaka su najpopularniji svih vremena. Stare greške su popravljene novim verzijama, ali se nove greške pojavljuju u novim verzijama koje se mogu ponovo koristiti.

Virusi

Najčešći problem poznat običnom korisniku. Poenta je unošenje zlonamjernog programa u računar korisnika. Posljedice mogu biti različite i zavise od vrste virusa koji inficira računar. Ali generalno – od krađe informacija do slanja neželjene pošte, organizovanja DDoS napada, kao i sticanja pune kontrole nad računarom. Osim datoteke priložene pismu, virusi mogu ući u računar kroz neke ranjivosti OS-a.

Još uvijek ne postoji precizna definicija pojma "napad" (invazija, napad). Svaki stručnjak za sigurnost to tumači drugačije. Sljedeću definiciju smatram najispravnijom i najpotpunijom.

Napadom namjerne radnje uljeza koje iskorištavaju ranjivosti informacionog sistema i dovode do narušavanja dostupnosti, integriteta i povjerljivosti obrađenih informacija pozivaju se na informacioni sistem.

Ako otklonimo ranjivosti informacionog sistema, eliminisaćemo i mogućnost izvođenja napada.

Trenutno se smatra nepoznatim koliko metoda napada postoji. Kažu da još uvijek nema ozbiljnih matematičkih istraživanja u ovoj oblasti. Ali još 1996. Fred Cohen je opisao matematičke osnove virusne tehnologije. Ovaj rad je dokazao da je broj virusa beskonačan. Očigledno, broj napada je beskonačan, budući da su virusi podskup mnogih napada.

Modeli napada

Tradicionalni model napada se gradi po principu (sl. 1) ili (sl. 2), tj. napad dolazi iz jednog izvora. Programeri alata za mrežnu sigurnost (firewall, sistemi za detekciju upada, itd.) fokusirani su na tradicionalni model napada. Na različitim tačkama zaštićene mreže instalirani su agenti (senzori) sistema zaštite koji prenose informacije na centralnu upravljačku konzolu. Ovo olakšava skaliranje sistema, omogućava jednostavno upravljanje na daljinu, itd. Međutim, ovaj model se ne nosi sa relativno nedavno (1998.) otkrivenim prijetnjama - distribuiranim napadima.
Slika 1. Odnos jedan na jedan

Model distribuiranog napada koristi različite principe. Za razliku od tradicionalnog modela u distribuiranom modelu koriste se relacije (slika 3) i (slika 4).

Distribuirani napadi su zasnovani na "klasičnim" napadima uskraćivanja usluge, tačnije na njihovom podskupu poznatom kao Napadi poplava ili Napadi oluje(ovi termini se mogu prevesti kao "oluja", "poplava" ili "lavina"). Smisao ovih napada je slanje velikog broja paketa napadnutom hostu. Napadnuti čvor može propasti, jer se "utopi" u lavini poslanih paketa i neće moći da obradi zahtjeve ovlaštenih korisnika. Ovako funkcionišu napadi SYN-Flood, Smurf, UDP Flood, Targa3 itd. Međutim, ako propusni opseg kanala do napadnutog čvora premašuje propusni opseg napadača ili je napadnuti čvor pogrešno konfiguriran, tada takav napad neće dovesti do "uspjeha". Na primjer, ovi napadi su beskorisni za pokušaj ometanja vašeg ISP-a. Ali distribuirani napad se više ne događa s jedne tačke na internetu, već s nekoliko odjednom, što dovodi do naglog povećanja prometa i onesposobljavanja napadnutog hosta. Na primjer, prema Russia-Online, u roku od dva dana, počevši od 9 sati ujutro 28. decembra 2000. godine, najveći armenski internet provajder "Arminco" bio je podvrgnut distribuiranom napadu. U ovom slučaju se više od 50 mašina iz različitih zemalja uključilo u napad i poslalo besmislene poruke na adresu "Arminco". Nije bilo moguće utvrditi ko je organizovao ovaj napad i u kojoj se zemlji haker nalazi. Iako je napadnut uglavnom "Arminko", ceo autoput koji povezuje Jermeniju sa svetskom mrežom bio je zakrčen. Dana 30. decembra, zahvaljujući saradnji "Arminca" i drugog provajdera - "ArmenTela" - veza je u potpunosti obnovljena. Uprkos tome, kompjuterski napad se nastavio, ali manjeg intenziteta.

Faze napada

Mogu se razlikovati sljedeće faze implementacije napada:

Obično, kada se govori o napadu, misli se upravo na drugu fazu, zaboravljajući na prvu i posljednju. Prikupljanje informacija i završetak napada ("prikrivanje tragova"), zauzvrat, takođe može biti napad i može se podijeliti u tri faze (vidi sliku 5).
Slika 5. Faze napada

Prikupljanje informacija je glavna faza u sprovođenju napada. Upravo u ovoj fazi je efikasnost napadačevog rada ključ „uspjeha“ napada. Prvo se odabire cilj napada i prikupljaju informacije o njemu (tip i verzija operativnog sistema, otvoreni portovi i pokrenuti mrežni servisi, instalirani sistemski i aplikativni softver i njegova konfiguracija, itd.). Tada se identifikuju najranjivije tačke napadanog sistema čiji uticaj dovodi do željenog rezultata za napadača. Napadač pokušava identificirati sve komunikacijske kanale cilja napada s drugim domaćinima. To će omogućiti ne samo odabir vrste napada koji će se implementirati, već i izvora njegove implementacije. Na primjer, napadnuti host komunicira sa dva servera koji koriste Unix i Windows NT. Napadnuti čvor ima pouzdan odnos s jednim serverom, ali ne i s drugim. Server preko kojeg napadač implementira napad određuje koji će se napad koristiti, koji način implementacije će biti odabran i tako dalje. Zatim, ovisno o primljenim informacijama i željenom rezultatu, odabire se napad koji daje najveći učinak. Na primjer:
SYN Flood, Teardrop, UDP Bomb - za ometanje funkcionisanja čvora;
CGI skripta - za prodor na sajt i krađu informacija;
PHF - za krađu datoteke lozinke i daljinsko pogađanje lozinke, itd.

Tradicionalna odbrana, kao što su firewall ili mehanizmi filtriranja u ruterima, stupaju na snagu tek u drugoj fazi napada, potpuno "zaboravljajući" na prvu i treću. To dovodi do činjenice da je napad često vrlo teško zaustaviti, čak i uz prisustvo moćnih i skupih sredstava odbrane. Primjer za to su distribuirani napadi. Logično bi bilo da sredstva zaštite počnu da rade u prvoj fazi, tj. spriječilo bi mogućnost prikupljanja informacija o napadnutom sistemu. To bi omogućilo, ako ne u potpunosti spriječiti napad, onda barem značajno otežati rad napadača. Tradicionalna sredstva takođe ne dozvoljavaju otkrivanje već počinjenih napada i procenu štete nakon njihovog sprovođenja, tj. ne rade u trećoj fazi napada. Posljedično, nemoguće je definirati mjere za sprječavanje ovakvih napada u budućnosti.

U zavisnosti od željenog rezultata, uljez se koncentriše na jednu ili drugu fazu napada. Na primjer:
za uskraćivanje usluge, napadnuta mreža se detaljno analizira, traže se rupe i slabe tačke u njoj;
za krađu informacija, fokus je na nevidljivom prodiranju napadnutih čvorova koristeći prethodno otkrivene ranjivosti.

Razmotrimo glavne mehanizme za implementaciju napada. Ovo je neophodno za razumijevanje kako otkriti ove napade. Osim toga, razumijevanje principa djelovanja napadača je ključ uspješne odbrane mreže.

1. Prikupljanje informacija

Prva faza u implementaciji napada je prikupljanje informacija o napadnutom sistemu ili hostu. Uključuje radnje kao što su određivanje topologije mreže, tipa i verzije operativnog sistema napadnutog čvora, kao i dostupnih mrežnih i drugih usluga, itd. Ove akcije se provode na različite načine.

Istraživanje okoline

U ovoj fazi, napadač istražuje mrežno okruženje oko ciljanog cilja napada. Takva područja, na primjer, uključuju stranice "žrtve" ISP-a ili lokacije udaljene kancelarije napadnute kompanije. U ovoj fazi napadač može pokušati da odredi adrese "pouzdanih" sistema (na primjer, mreže partnera) i čvorova koji su direktno povezani u svrhu napada (na primjer, ISP ruter) itd. Takve radnje je prilično teško otkriti, jer se izvode u dovoljno dugom vremenskom periodu i izvan područja koje kontrolišu sredstva zaštite (firewall, sistemi za detekciju upada itd.).

Identifikacija topologije mreže

Postoje dvije glavne metode koje napadači koriste za određivanje topologije mreže:

  1. promjena TTL (TTL modulacija),
  2. rekord rute.

Prvi metod koriste traceroute za Unix i tracert za Windows. Oni koriste polje Time to Live u zaglavlju IP paketa, koje varira u zavisnosti od broja rutera kroz koje je paket prošao. Pomoćni program za ping se može koristiti za snimanje rute ICMP paketa. Mrežna topologija se često može pratiti pomoću SNMP-a, koji je instaliran na mnogim mrežnim uređajima koji nisu ispravno konfigurirani za sigurnost. Koristeći RIP, možete pokušati dobiti informacije o tabeli rutiranja u mreži, itd.

Mnoge od ovih metoda koriste savremeni sistemi upravljanja (npr. HP OpenView, Cabletron SPECTRUM, MS Visio, itd.) za pravljenje mrežnih mapa. A iste metode mogu uspješno primijeniti uljezi da naprave mapu napadnute mreže.

Identifikacija čvorova

Identifikacija hosta se obično postiže slanjem ICMP ECHO_REQUEST naredbe pomoću ping uslužnog programa. Poruka odgovora ECHO_REPLY označava da je čvor dostupan. Postoje besplatni programi koji automatizuju i ubrzavaju proces paralelnog identifikovanja velikog broja čvorova, kao što su fping ili nmap. Opasnost ove metode je da zahtjevi ECHO_REQUEST nisu snimljeni standardnim sredstvima čvora. Ovo zahteva upotrebu alata za analizu saobraćaja, zaštitnih zidova ili sistema za otkrivanje upada.

Ovo je najjednostavniji metod za identifikaciju čvorova. Međutim, ima dva nedostatka.

  1. Mnogi mrežni uređaji i programi blokiraju ICMP pakete i ne dozvoljavaju im da uđu u internu mrežu (ili obrnuto, ne puštaju ih van). Na primjer, MS Proxy Server 2.0 ne dozvoljava prolazak paketa kroz ICMP protokol. Rezultat je nepotpuna slika. S druge strane, blokiranje ICMP paketa govori napadaču da postoji "prva linija odbrane" - ruteri, zaštitni zidovi itd.
  2. Upotreba ICMP zahtjeva olakšava pronalaženje njihovog izvora, što, naravno, ne može biti zadatak napadača.

Postoji još jedna metoda za identifikaciju čvorova - korištenjem "mješovitog" načina mrežne kartice, koji vam omogućava da identifikujete različite čvorove na mrežnom segmentu. Ali nije primjenjiv u slučajevima u kojima promet segmenta mreže nije dostupan napadaču sa njegovog vlastitog čvora, tj. ova metoda je primjenjiva samo na lokalnim mrežama. Drugi metod identifikacije čvorova na mreži naziva se DNS rekognosciranje, što vam omogućava da identifikujete čvorove na korporativnoj mreži pozivanjem servera usluge imena.

Identifikacija usluge ili skeniranje portova

Identifikacija usluge se obično vrši skeniranjem portova. Ovi portovi su vrlo često povezani sa uslugama zasnovanim na TCP ili UDP protokolima. Na primjer:

  • otvoreni port 80 podrazumijeva prisustvo web servera,
  • 25. port - mail SMTP server,
  • 31337th - strana servera BackOrifice trojanskog konja,
  • 12345. ili 12346. - serverska strana NetBus trojanskog konja, itd.
Za identifikaciju usluga i skeniranje portova mogu se koristiti različiti programi, uklj. i slobodno se distribuira. Na primjer nmap ili netcat.

Identifikacija operativnog sistema

Glavni mehanizam za daljinsko otkrivanje OS-a je analiza odgovora na upite, uzimajući u obzir različite implementacije TCP/IP steka u različitim operativnim sistemima. Svaki OS ima svoju implementaciju steka TCP/IP protokola, što omogućava da se pomoću posebnih zahtjeva i odgovora na njih odredi koji je OS instaliran na udaljenom čvoru.

Drugi, manje efikasan i izuzetno ograničen način identifikacije OS čvorova je analiza mrežnih usluga otkrivenih u prethodnoj fazi. Na primjer, otvoreni port 139 nam omogućava da zaključimo da udaljeni host najvjerovatnije koristi Windows operativni sistem. Za određivanje OS-a mogu se koristiti različiti programi. Na primjer nmap ili queso.

Definiranje uloge čvora

Pretposljednji korak u fazi prikupljanja informacija o napadnutom hostu je određivanje njegove uloge, na primjer, obavljanje funkcija firewall-a ili web servera. Ovaj korak se izvodi na osnovu već prikupljenih informacija o aktivnim uslugama, imenima hostova, topologiji mreže itd. Na primjer, otvoreni port 80 može ukazivati ​​na Web server, blokiranje ICMP paketa ukazuje na potencijalni zaštitni zid, a DNS ime hosta proxy.domain.ru ili fw.domain.ru govori za sebe.

Identificiranje ranjivosti domaćina

Posljednji korak je potraga za ranjivostima. U ovom koraku, napadač koristi različite automatizirane alate ili ručno identificira ranjivosti koje bi se mogle iskoristiti za izvođenje napada. Takvi automatizirani alati mogu biti ShadowSecurityScanner, nmap, Retina, itd.

2. Implementacija napada

Od ovog trenutka počinje pokušaj pristupa napadnutom čvoru. U ovom slučaju pristup može biti i direktan, tj. prodor u čvor, i indirektan, na primjer, kada se implementira napad uskraćivanja usluge. Implementacija napada u slučaju direktnog pristupa također se može podijeliti u dvije faze:

  • penetracija;
  • uspostavljanje kontrole.

Penetracija

Penetracija uključuje prevazilaženje perimetarske odbrane (kao što je zaštitni zid). Ovo se može implementirati na različite načine. Na primjer, iskorištavanje ranjivosti u kompjuterskom servisu koji "gleda" prema van ili prenošenjem neprijateljskog sadržaja putem e-pošte (makro virusi) ili preko Java apleta. Takav sadržaj može koristiti takozvane "tunele" u firewall-u (ne brkati se s VPN tunelima), kroz koje napadač tada prodire. Ista faza se može pripisati odabiru lozinke administratora ili drugog korisnika pomoću specijaliziranog uslužnog programa (na primjer, L0phtCrack ili Crack).

Uspostavljanje kontrole

Nakon prodora, napadač preuzima kontrolu nad napadnutim čvorom. Ovo se može postići implementacijom programa trojanskog konja (kao što je NetBus ili BackOrifice). Nakon uspostavljanja kontrole nad željenim čvorom i "prikrivanja" tragova, napadač može daljinski izvršiti sve potrebne neovlaštene radnje bez znanja vlasnika napadnutog računara. Istovremeno, uspostavljanje kontrole nad čvorom korporativne mreže mora se sačuvati čak i nakon ponovnog pokretanja operativnog sistema. Ovo se može postići zamjenom jedne od datoteka za pokretanje ili lijepljenjem veze do neprijateljskog koda u datoteke za pokretanje ili sistemski registar. Poznat je slučaj kada je napadač bio u mogućnosti da reprogramira EEPROM mrežne kartice, pa čak i nakon ponovne instalacije OS-a, mogao je ponovo implementirati neovlaštene radnje. Jednostavnija modifikacija ovog primjera je ubacivanje potrebnog koda ili isječka u skriptu za pokretanje mreže (na primjer, za Novell Netware).

Svrha implementacije napada

Faza završetka napada je "prikrivanje tragova" od strane napadača. Ovo se obično postiže uklanjanjem relevantnih unosa iz dnevnika hosta i drugim radnjama koje vraćaju napadnuti sistem u prvobitno, "prenapadnuto" stanje.

Klasifikacija napada

Postoje različite vrste klasifikacije napada. Na primjer, podjela na pasivne i aktivne, vanjske i unutrašnje, namjerne i nenamjerne. Međutim, kako vas ne bismo zbunili s velikom raznolikošću klasifikacija koje nisu baš primjenjive u praksi, predlažem "vitalniju" klasifikaciju:

  1. Prodor na daljinu... Napadi koji omogućavaju daljinsku kontrolu računara preko mreže. Na primjer, NetBus ili BackOrifice.
  2. Lokalni prodor... Napad koji dovodi do neovlaštenog pristupa hostu na kojem je pokrenut. Na primjer, GetAdmin.
  3. Daljinsko uskraćivanje usluge... Napadi koji ometaju ili preopterećuju računar preko Interneta. Na primjer, Teardrop ili trin00.
  4. Lokalno uskraćivanje usluge... Napadi koji ometaju ili preopterećuju računar na kojem se izvode. Primjer takvog napada je "neprijateljski" aplet koji učitava CPU u beskonačnoj petlji, što onemogućuje obradu zahtjeva iz drugih aplikacija.
  5. Mrežni skeneri... Programi koji analiziraju topologiju mreže i otkrivaju usluge dostupne za napad. Na primjer, nmap sistem.
  6. Skeneri ranjivosti... Programi koji traže ranjivosti na mrežnim čvorovima i koji se mogu koristiti za implementaciju napada. Na primjer, SATAN sistem ili ShadowSecurityScanner.
  7. Password Crackers... Programi koji "pogađaju" korisničke lozinke. Na primjer, L0phtCrack za Windows ili Crack za Unix.
  8. Analizatori protokola (njuškari)... Programi koji "slušaju" mrežni promet. Ovi programi mogu automatski tražiti informacije kao što su korisnički ID-ovi i lozinke, informacije o kreditnoj kartici i još mnogo toga. Na primjer, Microsoft Network Monitor, NetXRay od Network Associates ili LanExplorer.

Internet Security Systems, Inc. dodatno smanjio broj mogućih kategorija, dovodeći ih na 5:

  1. Prikupljanje informacija.
  2. Pokušaji neovlaštenog pristupa.
  3. Uskraćivanje usluge.
  4. Sumnjiva aktivnost.
  5. Sistemski napad.

Prve 4 kategorije odnose se na udaljene napade, a posljednja na lokalne napade, implementirane na napadnuti host. Može se primijetiti da ova klasifikacija ne uključuje cijelu klasu takozvanih "pasivnih" napada ("slušajući" promet, "lažni DNS server", "ARP server spoofing" itd.).

Klasifikacija napada implementiranih u mnoge sisteme za otkrivanje upada ne može biti kategorička. Na primjer, napad čija implementacija na Unix operativni sistem (na primjer, statd buffer overflow) može imati najstrašnije posljedice (najviši prioritet), možda uopće nije primjenjiv na Windows NT operativni sistem ili imati vrlo nizak stepen rizika. Osim toga, postoji zabuna u nazivima napada i ranjivosti. Isti napad može imati različita imena za različite proizvođače sistema za otkrivanje upada.

Jedna od najboljih baza podataka o ranjivosti i napadima je baza podataka X-Force koja se nalazi na http://xforce.iss.net/. Može se pristupiti ili pretplatom na besplatnu X-Force Alert mailing listu ili interaktivnim pretraživanjem baze podataka na ISS Web serveru.

Zaključak

Bez ranjivosti u komponentama informacionih sistema, bilo bi nemoguće implementirati mnoge napade i stoga bi tradicionalni sistemi zaštite bili prilično efikasni u suočavanju sa mogućim napadima. Međutim, programe pišu ljudi koji prave greške. Kao rezultat, pojavljuju se ranjivosti koje koriste sajber kriminalci za izvođenje napada. Međutim, ovo je samo pola nevolje. Kada bi svi napadi bili izgrađeni na bazi jedan-na-jedan, onda bi to bilo natezanje, ali firewall i drugi odbrambeni sistemi također bi im se mogli oduprijeti. No, pojavili su se koordinirani napadi protiv kojih tradicionalna sredstva više nisu tako efikasna. A onda se na sceni pojavljuju nove tehnologije – tehnologije za otkrivanje napada. Navedena sistematizacija podataka o napadima i fazama njihove implementacije daje neophodnu osnovu za razumijevanje tehnologija otkrivanja napada.

Alati za detekciju kompjuterskih napada

Tehnologija otkrivanja napada trebala bi riješiti sljedeće zadatke:

  • Prepoznavanje poznatih napada i upozorenje odgovarajućeg osoblja o njima.
  • "Razumijevanje" često nerazumljivih izvora informacija o napadima.
  • Osloboditi ili smanjiti opterećenje za sigurnosno osoblje od rutinskih operacija praćenja korisnika, sistema i mreža koje su komponente korporativne mreže.
  • Sposobnost upravljanja zaštitom od strane stručnjaka koji nisu bezbjednosni.
  • Kontrola svih akcija subjekata korporativne mreže (korisnika, programa, procesa itd.).

Često sistemi za detekciju upada mogu obavljati funkcije koje značajno proširuju opseg njihove primjene. Na primjer,

  • Praćenje efikasnosti zaštitnih zidova. Na primjer, instaliranje sistema za detekciju upada nakon firewall(unutar korporativne mreže) vam omogućava da otkrijete napade kroz koje prolazi ITU i na taj način identificirate pravila koja nedostaju na firewall-u.
  • Kontrola hostova sa deinstaliranim ažuriranjima ili hostova sa zastarelim softverom.
  • Blokiranje i kontrola pristupa određenim internet stranicama. Iako su sistemi za otkrivanje napada daleko od firewall-a i sistema kontrole pristupa za različite URL-ove, na primjer, WEBsweeper, oni mogu djelomično kontrolisati i blokirati pristup nekih korisnika korporativne mreže određenim Internet resursima, na primjer, web serverima pornografskog sadržaja. Ovo je neophodno kada organizacija nema novca za kupovinu i zaštitnog zida i sistema za detekciju upada, a ITU funkcije su raspoređene između sistema za otkrivanje upada, rutera i proxy servera. Osim toga, sistemi za otkrivanje upada mogu pratiti pristup zaposlenika serverima na osnovu ključnih riječi. Na primjer, seks, posao, krek, itd.
  • Kontrola e-pošte. Sistemi za otkrivanje upada mogu se koristiti za praćenje nepouzdanih zaposlenika koji koriste e-poštu za obavljanje zadataka izvan svojih funkcionalnih odgovornosti, kao što je slanje životopisa. Neki sistemi mogu otkriti viruse u porukama pošte i, iako su daleko od pravih antivirusnih sistema, i dalje obavljaju ovaj zadatak prilično efikasno.

Najbolja upotreba vremena i stručnosti stručnjaka za informacijsku sigurnost je da se identificiraju i riješe osnovni uzrok napada, a ne sam napad. Otklanjanjem uzroka napada, tj. Nakon što je otkrio i otklonio ranjivosti, administrator na taj način eliminira samu činjenicu potencijalnih napada. U suprotnom, napad će se ponavljati iznova i iznova, zahtijevajući stalno napore i pažnju administratora.

Klasifikacija sistema za detekciju upada

Postoji mnogo različitih klasifikacija sistema za detekciju upada, ali najčešća klasifikacija se zasniva na principu implementacije:

  1. baziran na hostu, odnosno otkrivanje napada usmjerenih na određeni mrežni čvor,
  2. baziran na mreži, odnosno otkrivanje napada usmjerenih na cijelu mrežu ili segment mreže.

Sistemi za detekciju upada koji nadgledaju jedan računar po pravilu prikupljaju i analiziraju informacije iz logova operativnog sistema i raznih aplikacija (Web server, DBMS itd.). Ovako funkcionira RealSecure OS Sensor. Nedavno su, međutim, počeli da se razmnožavaju sistemi koji su čvrsto integrisani sa jezgrom OS-a, pružajući time efikasniji način otkrivanja kršenja bezbednosnih politika. Štaviše, ova integracija se može implementirati na dva načina. Prvo, mogu se pratiti svi sistemski pozivi OS (ovako radi Entercept) ili sav dolazni/odlazni mrežni promet (ovako radi RealSecure Server Sensor). U potonjem slučaju, sistem za detekciju upada hvata sav mrežni promet direktno sa mrežne kartice, zaobilazeći operativni sistem, čime se smanjuje ovisnost o njemu i time povećava sigurnost sistema za otkrivanje upada.

Sistemi za detekciju upada u mrežni sloj prikupljaju informacije iz same mreže, odnosno iz mrežnog saobraćaja. Ovi sistemi mogu da rade na običnim računarima (na primer, RealSecure Network Sensor), na specijalizovanim računarima (na primer, RealSecure za Nokia ili Cisco Secure IDS 4210 i 4230), ili integrisani u rutere ili prekidače (na primer, CiscoSecure IOS Integrisani softver ili Cisco Catalyst 6000 IDS modul). U prva dva slučaja, analizirane informacije se prikupljaju hvatanjem i analizom paketa koristeći mrežna sučelja u promiskuitetnom načinu. U potonjem slučaju, saobraćaj se hvata sa magistrale mrežne opreme.

Detekcija napada zahteva ispunjenje jednog od dva uslova - ili razumevanje očekivanog ponašanja nadziranog objekta sistema ili poznavanje svih mogućih napada i njihovih modifikacija. U prvom slučaju koristi se tehnologija detekcije anomalnog ponašanja, au drugom slučaju tehnologija otkrivanja zlonamjernog ponašanja ili zloupotrebe. Druga tehnika je opisati napad u obliku obrasca ili potpisa i tražiti ovaj obrazac u kontroliranom prostoru (na primjer, mrežni promet ili zapisnici). Ova tehnologija je vrlo slična detekciji virusa (antivirusni sistemi su vrhunski primjer sistema za otkrivanje upada), tj. sistem može otkriti sve poznate napade, ali nije pogodan za otkrivanje novih, još nepoznatih napada. Pristup implementiran u ovakvim sistemima je vrlo jednostavan i na njemu se zasnivaju praktično svi sistemi za otkrivanje napada koji se nude na tržištu.

Gotovo svi sistemi za otkrivanje upada su zasnovani na pristupu potpisa.

Prednosti sistema za detekciju upada

Različite prednosti sistema za detekciju upada hosta i mreže mogu se dugo nabrajati. Međutim, fokusiraću se samo na neke od njih.

Prebacivanje omogućava upravljanje velikim mrežama poput višestrukih malih mrežnih segmenata. Kao rezultat toga, može biti teško odrediti najbolje mjesto za instaliranje sistema koji otkriva napade u mrežnom prometu. Span portovi na prekidačima ponekad mogu pomoći, ali ne uvijek. Detekcija napada specifičnih za lokaciju omogućava efikasniji rad u komutiranim mrežama, jer vam omogućava da postavite sisteme za otkrivanje samo na onim lokacijama gdje je to potrebno.

Sistemi mrežnog sloja ne zahtijevaju instaliranje softvera za otkrivanje upada na svakom hostu. Budući da je broj lokacija na kojima je instaliran IDS za praćenje cijele mreže mali, troškovi njihovog rada na mreži preduzeća su niži od cijene rada sistema za otkrivanje upada na nivou sistema. Osim toga, potreban je samo jedan senzor za praćenje mrežnog segmenta, bez obzira na broj čvorova u tom segmentu.

Mrežni paket, nakon što je napustio računar napadača, više se ne može vratiti nazad. Sistemi koji rade na mrežnom sloju koriste promet uživo za otkrivanje napada u realnom vremenu. Dakle, napadač ne može ukloniti tragove svoje neovlaštene aktivnosti. Analizirani podaci uključuju ne samo informacije o metodi napada, već i informacije koje mogu pomoći u identifikaciji napadača i dokazivanju na sudu. Pošto su mnogi hakeri upoznati sa mehanizmima sistemskog evidentiranja, oni znaju kako da manipulišu ovim datotekama da sakriju njihove tragove, smanjujući efikasnost sistema na nivou sistema kojima su ove informacije potrebne da bi otkrili napad.

Sistemi koji rade na nivou mreže otkrivaju sumnjive događaje i napade kako se dogode, te stoga pružaju mnogo brže obavještenje i odgovor od sistema koji analiziraju dnevnike. Na primjer, haker koji započne napad uskraćivanja usluge zasnovan na TCP-u može biti zaustavljen tako što sistem za otkrivanje upada na mrežni sloj šalje TCP paket sa zaglavljem Reset postavljenim da prekine vezu s napadačem prije nego što napad izazove prekid ili štetu na napadnuti čvor. Sistemi za analizu dnevnika ne prepoznaju napade dok se ne zabilježe i reaguju nakon što je dnevnik napisan. Do tog vremena, najkritičniji sistemi ili resursi mogu već biti kompromitovani ili poremećeni od strane sistema koji pokreće sistem za otkrivanje upada na nivou hosta. Obavještenje u realnom vremenu vam omogućava da brzo odgovorite prema unaprijed definiranim parametrima. Raspon ovih odgovora se kreće od omogućavanja infiltracije u načinu nadzora radi prikupljanja informacija o napadu i napadaču do momentalnog okončanja napada.

Konačno, sistemi za otkrivanje upada na nivou mreže su nezavisni od operativnih sistema instaliranih na korporativnoj mreži, budući da rade na mrežnom saobraćaju koji razmjenjuju svi čvorovi u korporativnoj mreži. Sistem za otkrivanje upada ne brine koji je OS generirao određeni paket sve dok je u skladu sa standardima koje podržava sistem za detekciju. Na primjer, mreža može pokretati Windows 98, Windows NT, Windows 2000 i XP, Netware, Linux, MacOS, Solaris, itd., ali ako međusobno komuniciraju putem IP-a, onda bilo koji od sistema za otkrivanje upada koji podržavaju ovaj protokol , moći će otkriti napade usmjerene na ove operativne sisteme.

Kombinovanje sistema za otkrivanje upada na nivou mreže i hosta povećaće sigurnost vaše mreže.

Sistemi za detekciju upada u mrežu i zaštitni zidovi

Najčešće se sistemi za detekciju upada u mrežu pokušavaju zamijeniti zaštitnim zidovima, oslanjajući se na činjenicu da potonji pružaju vrlo visok nivo sigurnosti. Imajte na umu, međutim, da su zaštitni zidovi jednostavno sistemi zasnovani na pravilima koji dozvoljavaju ili odbijaju promet kroz njih. Čak ni zaštitni zidovi izgrađeni tehnologijom "" ne omogućavaju sa sigurnošću da se kaže da li je napad prisutan u prometu koji oni kontroliraju ili ne. Oni mogu reći da li promet odgovara pravilu ili ne. Na primjer, ITU je konfiguriran da blokira sve veze osim TCP veza na portu 80 (tj. HTTP saobraćaj). Dakle, svaki saobraćaj na portu 80 je legalan sa ITU tačke gledišta. S druge strane, otkrivanje upada također prati promet, ali traži znakove napada. Malo ju je briga za koju luku je saobraćaj namijenjen. Podrazumevano, sav promet prema sistemu za otkrivanje upada je sumnjiv. Odnosno, uprkos činjenici da sistem za detekciju upada radi sa istim izvorom podataka kao ITU, odnosno sa mrežnim saobraćajem, oni obavljaju funkcije koje se međusobno nadopunjuju. Na primjer, HTTP zahtjev "GET /../../../etc/passwd HTTP / 1.0". Gotovo svaki ITU dozvoljava da ovaj zahtjev prođe kroz sebe. Međutim, sistem za otkrivanje upada lako će otkriti ovaj napad i blokirati ga.

Može se povući sljedeća analogija. Vatrozid je konvencionalni okretni stub instaliran na glavnom ulazu u vašu mrežu. Ali osim glavnih vrata, tu su i druga vrata kao i prozori. Maskirajući se u pravog zaposlenika ili stekavši povjerenje u zaštitara na okretnici, napadač može prokrijumčariti eksplozivnu napravu ili pištolj kroz okretnicu. Malo od. Uljez može ući kroz prozor. Zbog toga su potrebni sistemi za detekciju upada koji poboljšavaju zaštitu koju pružaju zaštitni zidovi, koji su, iako neophodan, ali očigledno nedovoljan element mrežne sigurnosti.

Firewall- nije panaceja!

Varijante reakcija na otkriveni napad

Nije dovoljno otkriti napad - potrebno je na njega u skladu s tim reagovati. Opcije odgovora u velikoj mjeri određuju efikasnost sistema za otkrivanje upada. Do danas su ponuđene sljedeće opcije odgovora:

  • Obavještenje konzoli (uključujući sigurnosnu kopiju) sistema za otkrivanje upada ili konzoli integriranog sistema (kao što je zaštitni zid).
  • Zvučno obavještenje o napadu.
  • Generisanje SNMP kontrolnih sekvenci za sisteme upravljanja mrežom.
  • Generisanje email poruke o napadu.
  • Dodatne obavijesti putem pejdžera ili faksa. Vrlo zanimljiva, iako rijetko korištena funkcija. Obavijest o otkrivanju neovlaštene aktivnosti šalje se ne administratoru, već napadaču. Prema riječima pristalica ove opcije odgovora, prekršilac je, nakon što je saznao da je otkriven, primoran da prekine svoje postupke.
  • Obavezna registracija otkrivenih događaja. Kao dnevnik može poslužiti sljedeće:
    • tekstualni fajl,
    • syslog (na primjer, u Cisco Secure Integrated Software sistemu),
    • tekstualnu datoteku posebnog formata (na primjer, u sistemu Snort),
    • lokalna MS Access baza podataka,
    • SQL baza podataka (na primjer, u sistemu RealSecure).
    Potrebno je samo uzeti u obzir da je za količine registrovanih informacija potrebna, po pravilu, SQL baza - MS SQL ili Oracle.
  • Trag događaja, tj. snimajući ih redoslijedom i brzinom kojom ih je napadač implementirao. Tada administrator u bilo kojem trenutku može reproducirati (ponovno ili reproducirati) neophodan niz događaja određenom brzinom (u realnom vremenu, uz ubrzanje ili usporavanje) kako bi analizirao aktivnost napadača. To će vam omogućiti da shvatite njegove kvalifikacije, korištena sredstva napada itd.
  • Prekid napadačevih radnji, tj. prekid veze. Ovo se može uraditi kao:
    • presretanje veze (otmica sesije) i slanje paketa sa postavljenom RST zastavicom oba učesnika u mrežnoj vezi u ime svakog od njih (u sistemu za otkrivanje upada koji radi na nivou mreže);
    • Blokiranje korisničkog naloga napadača (u sistemu za otkrivanje upada na nivou hosta). Takvo blokiranje može se vršiti ili na određeni vremenski period ili dok administrator ne otključa račun. Ovisno o privilegijama s kojima je pokrenut sistem za otkrivanje upada, blokiranje može djelovati kako unutar samog ciljnog računara, tako i unutar cijelog mrežnog domena.
  • Rekonfiguracija mrežne opreme ili firewall-a. Ako se otkrije napad na ruteru ili firewall-u, šalje se komanda za promjenu liste kontrole pristupa. Nakon toga, svi pokušaji povezivanja sa napadačkog hosta će biti odbijeni. Pored blokiranja naloga napadača, lista kontrole pristupa se može mijenjati ili u određenom vremenskom intervalu ili dok promjenu ne otkaže administrator rekonfigurabilne mrežne opreme.
  • Blokiranje mrežnog saobraćaja na način na koji je implementiran u zaštitnim zidovima. Ova opcija vam omogućava da ograničite saobraćaj, kao i primaoce koji mogu pristupiti resursima zaštićenog računara, omogućavajući vam da obavljate funkcije dostupne u ličnim zaštitnim zidovima.

DDoS je trenutno jedan od najpristupačnijih i najraširenijih vrsta mrežnih napada. Prije nekoliko sedmica objavljeni su rezultati studija prevalencije DDoS-a od strane Arbor Networks, Verisign Inc.

Rezultati istraživanja su impresivni:
Sajber kriminalci izvode preko 2000 DDoS napada svakog dana;
Cijena sedmičnog napada na prosječan data centar je samo 150 dolara;
Više od polovine učesnika ankete imalo je probleme zbog DDoS-a;
Jedna desetina učesnika ankete je odgovorila da su njihove kompanije pretrpjele DDoS napade više od šest puta godišnje;
Otprilike polovina kompanija iskusila je probleme zbog DDoS-a, prosječno vrijeme napada je bilo oko 5 sati;
Ova vrsta napada jedan je od glavnih razloga gašenja i zastoja servera.

Glavne vrste DDoS napada

Generalno, postoji dosta tipova DDoS-a, a u nastavku smo pokušali da navedemo najtipičnije napade, sa opisom principa rada svake vrste napada.

UDP poplava

Jedan od najefikasnijih, a ujedno i jednostavnih vrsta napada. Koristi se UDP protokol koji ne zahtijeva uspostavljanje sesije sa slanjem bilo kakvog tipa odgovora. Napadač nasumično napada portove servera, šaljući ogromnu količinu paketa podataka. Kao rezultat toga, mašina počinje provjeravati da li neka aplikacija koristi port na koji stiže paket. A pošto takvih paketa ima puno, mašina bilo koje snage jednostavno se ne može nositi sa zadatkom. Kao rezultat toga, svi resursi mašine su "pojedini", a server "leži".

Najjednostavniji način odbrane od ove vrste napada je blokiranje UDP saobraćaja.

ICMP poplava

Napadač neprestano pinguje server žrtve, pri čemu ova potonja stalno odgovara. Puno je pingova, a kao rezultat toga, resursi servera se troše, a mašina postaje nedostupna.

Kao sigurnosnu mjeru možete koristiti blokiranje ICMP zahtjeva na nivou zaštitnog zida. Nažalost, u ovom slučaju nećete moći pingovati mašinu iz očiglednih razloga.

SYN flood

Ova vrsta napada uključuje slanje SYN paketa na server žrtve. Kao rezultat toga, server odgovara SYN-ACK paketom, a mašina napadača mora poslati ACK odgovor, ali on nije poslan. Rezultat je otvaranje i suspenzija velikog broja veza, koje se zatvaraju tek nakon isteka vremena.

Kada se prekorači ograničenje broja zahtjeva/odgovora, server žrtve prestaje da prihvata pakete bilo koje vrste i postaje nedostupan.

MAC poplava

Neobičan tip napada u kojem su ciljane mnoge vrste mrežne opreme. Napadač počinje da šalje veliki broj Ethernet paketa sa potpuno različitim MAC adresama. Kao rezultat toga, prekidač počinje rezervirati određenu količinu resursa za svaki od paketa, a ako ima puno paketa, tada prekidač odabire sve dostupne zahtjeve i zamrzava. Najgori scenario je kvar tablice rutiranja.

Ping smrti

Ova vrsta napada danas nije ozbiljan problem, iako je nekada bio čest napad. Značenje ove vrste napada je prelivanje memorijskog bafera zbog prekoračenja maksimalne dostupne veličine IP paketa, a kao rezultat toga, server i mrežna oprema odbijaju da servisiraju bilo koju vrstu paketa.

Spori loris

Fokusirani napad ovog tipa omogućava malim snagama da postignu velike rezultate. Drugim riječima, koristeći server koji nije najmoćniji, možete "staviti" mnogo produktivniju opremu. Ovo ne zahtijeva korištenje drugih protokola. U ovoj vrsti napada, server napadača otvara maksimalan broj HTTP konekcija i pokušava da ih zadrži otvorenima što je duže moguće.

Naravno, broj konekcija na napadnutom serveru prestaje, a korisni zahtjevi se više ne prihvataju i obrađuju.

Odraženi napadi

Neobičan tip napada, kada server napadača šalje pakete sa lažnim IP pošiljaoca, a slanje ide na što više mašina. Svi serveri pogođeni takvim radnjama šalju odgovor na IP naveden u paketu, zbog čega se primalac ne može nositi s opterećenjem i "zamrzava". Istovremeno, performanse napadačevog servera mogu biti 10 puta niže od planirane snage napada. Server koji šalje 100 Mbps lažnih zahtjeva može u potpunosti ubiti gigabitni kanal servera žrtve.

Degradacija

U ovoj vrsti napada, server napadača simulira radnje stvarne osobe ili cijele publike. Kao primjer najjednostavnije opcije, možete slati zahtjeve za istu stranicu resursa, i to hiljadama puta. Najlakši način da riješite problem je da privremeno prijavite grešku sa blokiranjem napadnute stranice.

Složeniji tip napada je zahtjev za velikim brojem različitih serverskih resursa, uključujući medijske datoteke, stranice i sve ostalo, uslijed čega server žrtve prestaje raditi.

Kompleksne napade ovog tipa prilično je teško filtrirati, kao rezultat toga, morate koristiti specijalizirane programe i usluge.

Napad nultog dana

Ovo je naziv za napade koji iskorištavaju do sada nepoznate ranjivosti/slabosti usluga. Za borbu protiv problema potrebno je proučiti ovu vrstu napada kako bi se nešto moglo učiniti.

Zaključak: kombinovan je najsloženiji tip napada, gde se koriste različite vrste DDoS-a. Što je kombinacija teža, to je teže odbraniti se od nje. Čest problem za DDoS, odnosno za žrtve DDoS-a, je opšta dostupnost ove vrste napada. Na webu postoji veliki broj aplikacija i usluga koje omogućavaju izvođenje moćnih napada besplatno ili gotovo besplatno.

Postoje četiri glavne kategorije napada:

· Pristupni napadi;

· Modifikacija napada;

· Napadi uskraćivanja usluge;

• napadi poricanja privrženosti.

Pogledajmo pobliže svaku kategoriju. Postoji mnogo načina za izvođenje napada: korištenjem posebno dizajniranih alata, metoda društvenog inženjeringa, kroz ranjivosti u kompjuterskim sistemima. Društveni inženjering ne koristi tehnička sredstva za neovlašćeni pristup sistemu. Napadač dolazi do informacija jednostavnim telefonskim pozivom ili se infiltrira u organizaciju pod maskom zaposlenog. Ova vrsta napada je najrazornija.

Napadi usmjereni na hvatanje informacija pohranjenih u elektronskom obliku imaju jednu zanimljivu osobinu: informacije se ne kradu, već kopiraju. Ostaje kod prvobitnog vlasnika, ali ga i napadač dobija. Dakle, vlasnik informacije trpi gubitke, a veoma je teško pronaći trenutak kada se to dogodilo.

Pristupni napadi

Pristupni napad Je pokušaj napadača da dobije informacije za koje nema dozvolu da ih vidi. Takav napad se može izvesti svuda gdje postoje informacije i sredstva za njihovo prenošenje. Napad pristupa ima za cilj narušavanje povjerljivosti informacija. Postoje sljedeće vrste napada pristupa:

· Peeping;

· Prisluškivanje;

· Presretanje.

Peeping(snooping) je pregled datoteka ili dokumenata radi pronalaženja informacija od interesa za napadača. Ako se dokumenti pohranjuju u obliku ispisa, tada će napadač otvoriti fioke stola i preturati po njima. Ako su informacije u kompjuterskom sistemu, skeniraće fajl po fajl dok ne pronađe informacije koje su mu potrebne.

Prisluškivanje(prisluškivanje) je neovlašteno prisluškivanje razgovora u kojem napadač nije strana. Da bi se dobio neovlašteni pristup informacijama, u ovom slučaju napadač mora biti blizu njih. Vrlo često koristi elektronske uređaje. Uvođenje bežičnih mreža povećalo je vjerovatnoću uspješnog prisluškivanja. Sada napadač ne mora biti unutar sistema ili fizički povezati uređaj za prisluškivanje na mrežu.

Za razliku od prisluškivanja presretanje(presretanje) je aktivan napad. Napadač otima informacije dok putuju do svog odredišta. Nakon analize informacija, donosi odluku da se dozvoli ili zabrani njihovo dalje prenošenje.

Napadi pristupa imaju različite oblike u zavisnosti od načina na koji se informacije čuvaju: u obliku papirnih dokumenata ili elektronski na računaru. Ako su informacije koje su potrebne napadaču pohranjene u obliku papirnih dokumenata, trebat će mu pristup tim dokumentima. Mogu se naći na sledećim mestima: u ormarićima za spise, u fiokama stolova ili na radnim stolovima, na faksu ili štampaču u smeću, u arhivi. Stoga napadač treba fizički da se infiltrira na sva ova mjesta.

Dakle, fizički pristup je ključ za dobijanje podataka. Treba napomenuti da će snažna zaštita prostorija zaštititi podatke samo od neovlašćenih lica, ali ne i od zaposlenih u organizaciji ili internih korisnika.

Informacije u elektronskom obliku se čuvaju: na radnim stanicama, na serverima, u prenosivim računarima, na disketama, na CD-ovima, na rezervnim magnetnim trakama.

Napadač bi jednostavno mogao ukrasti medij za pohranu (floppy disk, CD, traku za sigurnosnu kopiju ili laptop). Ovo je ponekad lakše nego pristupiti datotekama pohranjenim na računarima.

Ako napadač ima legalan pristup sistemu, analiziraće fajlove jednostavnim otvaranjem jedan po jedan. Uz odgovarajući nivo kontrole nad dozvolama, pristup ilegalnom korisniku će biti odbijen, a pokušaji pristupa će biti evidentirani u evidenciji.

Ispravno konfigurisane dozvole će spriječiti slučajno curenje informacija. Međutim, ozbiljan napadač će pokušati da zaobiđe kontrolni sistem i dobije pristup informacijama koje su im potrebne. Mnogo je ranjivosti koje će mu pomoći u tome.

Kada informacija prođe preko mreže, može im se pristupiti slušanjem prenosa. Napadač to radi tako što instalira njuškalo mrežnih paketa (sniffer) na računarski sistem. Obično je ovo računar konfigurisan da hvata sav mrežni saobraćaj (ne samo saobraćaj usmeren na taj računar). Da bi to učinio, napadač mora podići svoj autoritet u sistemu ili se povezati na mrežu. Analizator je konfigurisan da uhvati sve informacije koje prolaze preko mreže, ali posebno korisničke ID-ove i lozinke.

Prisluškivanje se vrši i u globalnim kompjuterskim mrežama kao što su iznajmljene linije i telefonske veze. Međutim, ova vrsta presretanja zahtijeva odgovarajuću opremu i posebna znanja.

Presretanje je moguće čak iu optičkim komunikacionim sistemima koji koriste specijalizovanu opremu, koju obično izvodi kvalifikovani napadač.

Pristup informacijama putem presretanja jedan je od najtežih zadataka za napadača. Da bi bio uspješan, on mora postaviti svoj sistem na dalekovod između pošiljaoca i primaoca informacije. Na Internetu se to postiže promjenom rezolucije imena, čime se naziv računara prevodi u nevažeću adresu. Saobraćaj se preusmjerava na sistem napadača umjesto na stvarno odredište. Uz odgovarajuću konfiguraciju takvog sistema, pošiljalac nikada neće znati da njegova informacija nije stigla do primaoca.

Presretanje je također moguće tokom važeće komunikacijske sesije. Ova vrsta napada je najprikladnija za hvatanje interaktivnog prometa. U ovom slučaju, napadač mora biti u istom segmentu mreže gdje se nalaze klijent i server. Napadač čeka da legitimni korisnik otvori sesiju na serveru, a zatim, koristeći specijalizovani softver, preuzima sesiju dok ona radi.

Modifikacija napada

Modifikacija napada Je pokušaj neovlaštene promjene informacija. Takav napad je moguć gdje god postoje ili se prenose informacije. Ima za cilj narušavanje integriteta informacija.

Jedna vrsta modifikacije napada je zamjena postojeće informacije, kao što je promjena plaće zaposlenika. Zamjenski napad cilja na povjerljive i javne informacije.

Druga vrsta napada je dodatak novi podaci, na primjer, informacije o historiji prošlih perioda. U ovom slučaju, napadač vrši operaciju u bankarskom sistemu, usljed čega se sredstva sa računa klijenta prebacuju na njegov račun.

Napad brisanje znači premještanje postojećih podataka, kao što je poništavanje zapisa transakcije iz bilansa banke, ostavljajući povučena sredstva na računu.

Kao i napadi pristupa, napadi modifikacije se izvode na informacije pohranjene kao papirnati dokumenti ili elektronski na računaru.

Teško je promijeniti dokumente tako da niko ne primijeti: ako postoji potpis (na primjer, u ugovoru), morate se pobrinuti za njegovo krivotvorenje, zapečaćeni dokument mora se pažljivo ponovo sastaviti. Ako imate kopije dokumenta, i njih je potrebno preraditi, kao i original. A pošto je gotovo nemoguće pronaći sve kopije, vrlo je lako uočiti lažnjak.

Vrlo je teško dodati ili ukloniti unose iz dnevnika aktivnosti. Prvo, informacije u njima su poredane hronološkim redom, tako da će se svaka promjena odmah primijetiti. Najbolji način je da povučete dokument i zamijenite ga novim. Ova vrsta napada zahtijeva fizički pristup informacijama.

Mnogo je lakše modificirati informacije pohranjene elektronski. S obzirom da napadač ima pristup sistemu, takva operacija ostavlja za sobom minimum dokaza. U nedostatku ovlaštenog pristupa datotekama, napadač mora prvo sebi osigurati login ili promijeniti parametre kontrole pristupa datoteci.

Mijenjanje datoteka baze podataka ili liste transakcija mora se obaviti vrlo pažljivo. Transakcije se numerišu uzastopno, a brisanje ili dodavanje netačnih brojeva transakcija će biti uočeno. U ovim slučajevima potrebno je temeljno raditi u cijelom sistemu kako bi se spriječilo otkrivanje.

Top srodni članci

Sigurnosni dodatak za zaključavanje prijave za WordPress - zaštita od hakovanja
Sigurnosni dodatak za zaključavanje prijave za WordPress - zaštita od hakovanja
Burze za pisanje tekstova - kupovina i prodaja artikala
Burze za pisanje tekstova - kupovina i prodaja artikala
Kreirajte prilagođeni obrazac liste koristeći SharePoint Designer
Kreirajte prilagođeni obrazac liste koristeći SharePoint Designer
Kategorije:
© 2022 bumotors.ru. Kako podesiti pametne telefone i računare. Informativni portal.