„Pasivni“ napadi koji koriste, na primjer, njuškalo su posebno opasni, jer se, prvo, praktički ne mogu otkriti, a drugo, napravljeni su iz lokalne mreže (eksterni zaštitni zid je nemoćan).
Virusi- Zlonamjerni programi sposobni za samokopiranje i samodistribuciju. Još u decembru 1994. dobio sam upozorenje o širenju mrežnih virusa (dobro vrijeme i xxx-1) preko interneta:
Od trenutka nastanka do trenutka otkrivanja virusa prolaze sati, dani, sedmice, a ponekad i mjeseci. Zavisi od toga koliko brzo se pojave posljedice infekcije. Što je ovo vrijeme duže, veći je broj računara zaražen. Nakon otkrivanja činjenice infekcije i širenja nove verzije virusa, potrebno je od nekoliko sati (na primjer, za Email_Worm.Win32.Bagle.bj) do tri sedmice ( [email protected]) za identifikaciju potpisa, kreiranje antidota i uključivanje njegovog potpisa u bazu podataka antivirusnog programa. Privremeno dijagram životnog ciklusa virus je prikazan na sl. 12.1 („Bezbednost mreže“, v.2005, broj 6, jun 2005, str. 16-18). Samo u 2004. registrovano je 10.000 novih virusnih potpisa. Blaster crv je zarazio 90% mašina za 10 minuta. Za to vrijeme, antivirusna grupa mora otkriti objekt, kvalificirati se i razviti protumjeru. Jasno je da je to nerealno. Dakle, antivirusni program nije toliko protumjera sedativ. Ista razmatranja vrijede i za sve druge vrste napada. Kada se sazna o potpisu napada, sam napad obično nije opasan, jer su protumjere već razvijene i ranjivost je blokirana. Upravo iz tog razloga se takva pažnja posvećuje sistemu upravljanja za ažuriranje softvera (zakrpe).
Neki virusi i crvi imaju ugrađene SMTP programe dizajnirane da ih pošalju i otvore za nesmetan ulazak u zaraženu mašinu. Najnovije verzije su opremljene alatima za suzbijanje aktivnosti drugih virusa ili crva. Na ovaj način se mogu kreirati čitave mreže zaraženih mašina (BotNet) spremnih za pokretanje, na primjer, DDoS napada na komandu. Protokol se može koristiti za kontrolu takvih zombi mašina. IRC(Internet Relay Chart). Ovaj sistem za razmenu poruka podržava veliki broj servera, pa je takav kanal obično teško pratiti i evidentirati. Tome pomaže i činjenica da većina sistema bliže kontroliše dolazni nego odlazni saobraćaj. Treba imati na umu da, pored DoS napada, zaražena mašina može poslužiti i za skeniranje drugih računara i slanje SPAM-a, za skladištenje nelegalnih softverskih proizvoda, za kontrolu samog uređaja i krađu dokumenata koji se tamo čuvaju, za identifikaciju lozinki i ključeva koji se koriste od strane vlasnika. Šteta od virusa Blaster procjenjuje se na 475.000 dolara.
Nažalost, nema pouzdanih sredstava za otkrivanje novih virusi (čiji je potpis nepoznat).
Rice. 12.1.
Godine 2005. identificirana je još jedna prijetnja - širenje virusa i mrežnih crva pomoću IRC-baziranih robota za pretraživanje.
Botovi nisu uvijek opasni, neke njihove varijante se koriste za prikupljanje podataka, posebno o preferencijama kupaca, a u Google pretraživaču rade na prikupljanju i indeksiranju dokumenata. Ali u rukama hakera, ovi se programi pretvaraju u opasno oružje. Najpoznatiji napad izveden je 2005. godine, iako su pripreme i "prvi eksperimenti" počeli u septembru 2004. godine. Program je tražio mašine sa određenim ranjivostima, posebno LSASS (Local Security Authority Subsystem Service, Windows). LSASS podsistem, dizajniran da pomogne u osiguranju sigurnosti, i sam je bio ranjiv na napade kao što je prekoračenje bafera. Iako je ranjivost već otklonjena, broj mašina sa neažuriranom verzijom ostaje značajan. Nakon upada, haker obično koristi IRC za obavljanje operacija koje su mu potrebne (otvaranje određenog porta, slanje SPAM-a, početak skeniranja za druge potencijalne žrtve). Nova karakteristika ovakvih programa je njihovo ugrađivanje u operativni sistem na način (rootkit) da se ne mogu detektovati, jer se nalaze u zoni kernela OS-a. Ako antivirusni program pokuša pristupiti određenom području memorije kako bi otkrio zlonamjerni kod, rootkit presreće takav zahtjev i šalje obavijest programu za testiranje da je sve u redu. Što je još gore, bot programi mogu mijenjati sadržaj
U toku rada računarskih sistema često se javljaju različiti problemi. Neki su rezultat nečijeg previda, a neki su rezultat zlonamjernih radnji. U svakom slučaju, nanosi štetu. Stoga ćemo takve događaje nazvati napadima, bez obzira na razloge njihovog nastanka.
Postoje četiri glavne kategorije napada:
- pristupni napadi;
- modifikacija napada;
- napadi uskraćivanja usluge;
- napadi odricanja.
Pogledajmo pobliže svaku kategoriju. Postoji mnogo načina za izvođenje napada: korištenjem posebno dizajniranih alata, metoda društvenog inženjeringa, kroz ranjivosti u kompjuterskim sistemima. Društveni inženjering ne koristi tehnička sredstva za neovlašćeni pristup sistemu. Napadač dolazi do informacija jednostavnim telefonskim pozivom ili se infiltrira u organizaciju pod maskom zaposlenog. Napadi ove vrste su najrazorniji.
Napadi usmjereni na hvatanje informacija pohranjenih u elektronskom obliku imaju jednu zanimljivu osobinu: informacije se ne kradu, već kopiraju. Ostaje kod prvobitnog vlasnika, ali ga i napadač dobija. Dakle, vlasnik informacije snosi gubitke, a veoma je teško otkriti trenutak kada se to dogodilo.
Definicija napada pristupa
Napad pristupa je pokušaj napadača da dobije informacije za koje nema dozvolu za pregled. Implementacija ovakvog napada je moguća svuda gde postoje informacije i sredstva za njihov prenos (slika 2.1). Napad pristupa ima za cilj narušavanje povjerljivosti informacija.
Rice. 2.1.
peeping
Peeping (snooping) je pregled datoteka ili dokumenata u cilju pronalaženja informacija od interesa za napadača. Ako su dokumenti pohranjeni kao ispisi, napadač će otvoriti fioke stola i preturati po njima. Ako su informacije u kompjuterskom sistemu, onda će on prolaziti kroz fajl za fajlom sve dok ne pronađe informacije koje su mu potrebne.
Prisluškivanje
Kada neko prisluškuje razgovor u kojem nije dio, to se zove prisluškivanje. Za dobijanje neovlašćenog pristupa informacijama
Internet u potpunosti mijenja naš način života: posao, učenje, slobodno vrijeme. Ove promjene će se dogoditi kako u oblastima koje već poznajemo (e-trgovina, pristup informacijama u realnom vremenu, povećana povezanost, itd.), tako i u područjima za koja još ne znamo.
Možda će doći vrijeme kada će korporacija sve svoje telefonske pozive obavljati preko Interneta, i to besplatno. U privatnom životu mogu se pojaviti posebne web stranice uz pomoć kojih roditelji u svakom trenutku mogu saznati kako im je djeca. Naše društvo tek počinje da shvata neograničene mogućnosti interneta.
Uvod
Istovremeno sa enormnim rastom popularnosti interneta, postoji neviđena opasnost od otkrivanja ličnih podataka, kritičnih korporativnih resursa, državnih tajni itd.
Hakeri svakodnevno prijete ovim resursima, pokušavajući im pristupiti uz pomoć specijalnih napada, koji postepeno postaju, s jedne strane, sofisticiraniji, as druge strane lakši za izvođenje. Dva glavna faktora doprinose tome.
Prvo, to je sveprisutan prodor Interneta. Danas postoje milioni uređaja povezanih na Web, a mnogi milioni uređaja će biti povezani na Internet u bliskoj budućnosti, tako da je vjerovatnoća da će hakeri dobiti pristup ranjivim uređajima sve veća.
Osim toga, široka upotreba interneta omogućava hakerima da dijele informacije na globalnom nivou. Jednostavna pretraga ključnih riječi kao što su "haker", "hack", "hack", "crack" ili "phreak" će vam dati hiljade stranica, od kojih mnoge sadrže zlonamjerne kodove i način na koji ih koristite.
Drugo, to je najšira distribucija operativnih sistema i razvojnih okruženja lakih za upotrebu. Ovaj faktor naglo smanjuje nivo znanja i vještina potrebnih hakeru. U prošlosti, da bi kreirao i distribuirao aplikacije lake za korištenje, haker je morao imati dobre programerske vještine.
Sada, da biste pristupili hakerskom alatu, potrebno je samo znati IP adresu željenog sajta, a da biste izvršili napad, samo kliknite mišem.
Klasifikacija mrežnih napada
Mrežni napadi su različiti koliko i sistemi na koje ciljaju. Neki napadi su vrlo složeni, drugi su u moći običnog operatera, koji ni ne sluti do kakvih posljedica može dovesti njegova aktivnost. Da biste procijenili tipove napada, potrebno je poznavati neka od ograničenja svojstvenih TPC/IP protokolu. Net
Internet je stvoren za komunikaciju između vladinih agencija i univerziteta u cilju pomoći obrazovnom procesu i naučnim istraživanjima. Kreatori ove mreže nisu ni slutili koliko će ona postati raširena. Kao rezultat toga, ranim specifikacijama Internet protokola (IP) nedostajali su sigurnosni zahtjevi. Zbog toga su mnoge IP implementacije inherentno ranjive.
Nakon mnogo godina, nakon mnogo tvrdnji (Request for Comments, RFC), sigurnosni alati za IP konačno su počeli da se implementiraju. Međutim, zbog činjenice da IP zaštita nije prvobitno razvijena, sve njene implementacije su počele da se dopunjuju raznim mrežnim procedurama, uslugama i proizvodima koji smanjuju rizike svojstvene ovom protokolu. Zatim ćemo ukratko pregledati tipove napada koji se obično koriste na IP mreže i navesti načine za borbu protiv njih.
Sniffer paketa
Sniffer paketa je aplikacijski program koji koristi mrežnu karticu koja radi u promiskuitetnom načinu rada (u ovom načinu rada mrežni adapter šalje sve pakete primljene preko fizičkih kanala u aplikaciju na obradu).
U ovom slučaju, njuškalo presreće sve mrežne pakete koji se prenose kroz određeni domen. Trenutno njuškari rade u mrežama na potpuno legalnoj osnovi. Koriste se za otklanjanje problema i analizu saobraćaja. Međutim, zbog činjenice da neke mrežne aplikacije prenose podatke u tekstualnom formatu ( Telnet, FTP, SMTP, POP3, itd.), pomoću njuškala možete saznati korisne, a ponekad i povjerljive informacije (na primjer, korisnička imena i lozinke).
Presretanje imena i lozinki stvara veliku opasnost, jer korisnici često koriste isti login i lozinku za mnoge aplikacije i sisteme. Mnogi korisnici općenito imaju jednu lozinku za pristup svim resursima i aplikacijama.
Ako aplikacija radi u režimu klijent-server, a podaci o autentifikaciji se prenose preko mreže u čitljivom tekstualnom formatu, tada se ove informacije najvjerovatnije mogu koristiti za pristup drugim korporativnim ili vanjskim resursima. Hakeri suviše dobro poznaju i iskorištavaju ljudske slabosti (metode napada su često zasnovane na metodama društvenog inženjeringa).
Oni su svjesni da koristimo istu lozinku za pristup mnogim resursima, te stoga često uspijevaju doći do važnih informacija znajući našu lozinku. U najgorem slučaju, haker dobija pristup korisničkom resursu na nivou sistema i uz njegovu pomoć kreira novog korisnika koji u svakom trenutku može da se koristi za pristup mreži i njenim resursima.
Možete ublažiti prijetnju od njuškanja paketa korištenjem sljedećih alata:
Autentifikacija. Jaka autentifikacija je najvažniji način zaštite od njuškanja paketa. Pod "jakim" mislimo na one metode provjere autentičnosti koje je teško zaobići. Primjer takve provjere autentičnosti su jednokratne lozinke (One-Time Passwords, OTP).
OTP je tehnologija dvofaktorske autentifikacije koja kombinuje ono što imate sa onim što znate. Tipičan primjer dvofaktorske autentifikacije je rad konvencionalnog bankomata, koji vas prepoznaje, prvo, po vašoj plastičnoj kartici, a drugo po pin kodu koji unesete. Za autentifikaciju u OTP sistemu takođe je potreban pin kod i vaša lična kartica.
„Kartica“ (token) je hardverski ili softverski alat koji generiše (nasumično) jedinstvenu jednokratnu jednokratnu lozinku. Ako haker sazna ovu lozinku pomoću njuškala, tada će ova informacija biti beskorisna, jer će u tom trenutku lozinka već biti korištena i zastarjela.
Imajte na umu da je ovaj metod borbe protiv njuškanja efikasan samo u slučajevima kada se lozinke presretnu. Njuškači koji presreću druge informacije (kao što su e-poruke) ne gube svoju efikasnost.
Komutirana infrastruktura. Drugi način da se nosite sa njuškanjem paketa u vašem mrežnom okruženju je izgradnja komutirane infrastrukture. Ako, na primjer, cijela organizacija koristi komutirani Ethernet, hakeri mogu pristupiti samo prometu koji dolazi na portu na koji su povezani. Komutirana infrastruktura ne eliminira prijetnju njuškanja, ali uvelike smanjuje njenu ozbiljnost.
Antisniffers. Treći način da se nosite sa njuškanjem jeste da instalirate hardver ili softver koji prepoznaje njuškare koji rade na vašoj mreži. Ovi alati ne mogu u potpunosti eliminirati prijetnju, ali su, kao i mnogi drugi alati za mrežnu sigurnost, uključeni u cjelokupni sistem zaštite. Anti-sniffers mjere vrijeme odgovora hostova i određuju da li hostovi moraju obraditi dodatni promet. Jedan takav alat, koji isporučuje LOpht Heavy Industries, zove se AntiSniff.
Kriptografija. Ovo je najefikasniji način rješavanja njuškanja paketa, iako ne sprječava presretanje i ne prepoznaje rad sniffera, čini ovaj posao beskorisnim. Ako je komunikacijski kanal kriptografski siguran, tada haker ne presreće poruku, već šifrirani tekst (tj. nerazumljiv niz bitova). Ciscova kriptografija mrežnog sloja zasniva se na IPSec protokolu, koji je standardni metod za sigurnu komunikaciju između uređaja koristeći IP protokol. Ostali kriptografski protokoli za upravljanje mrežom uključuju SSH (Secure Shell) i SSL (Secure Socket Layer) protokole.
IP lažiranje
IP lažiranje se događa kada se haker, bilo unutar ili izvan korporacije, predstavlja kao ovlašteni korisnik. To se može učiniti na dva načina: haker može koristiti ili IP adresu koja je u opsegu ovlaštenih IP adresa ili ovlaštenu eksternu adresu kojoj je dozvoljen pristup određenim mrežnim resursima.
Napadi lažiranja IP-a često su početna tačka za druge napade. Klasičan primjer je DoS napad koji počinje nečijom drugom adresom koja skriva pravi identitet hakera.
Tipično, IP lažiranje je ograničeno na umetanje lažnih informacija ili zlonamjernih naredbi u normalan tok podataka koji se prenosi između klijentske i serverske aplikacije ili preko komunikacijskog kanala između vršnjaka.
Za dvosmjernu komunikaciju, haker mora promijeniti sve tablice rutiranja kako bi usmjerio promet na lažnu IP adresu. Neki hakeri, međutim, ni ne pokušavaju da dobiju odgovor od aplikacija – ako je glavni cilj da dobiju važan fajl iz sistema, onda odgovori aplikacija nisu bitni.
Ako haker uspije promijeniti tabele rutiranja i usmjeriti promet na lažnu IP adresu, on će primiti sve pakete i moći će na njih odgovoriti kao da je ovlašteni korisnik.
Prijetnja lažiranja može se ublažiti (ali ne i eliminirati) sljedećim mjerama:
- Kontrole pristupa. Najlakši način da spriječite lažiranje IP-a je da pravilno konfigurirate kontrolu pristupa. Da biste smanjili efikasnost lažiranja IP-a, konfigurišite kontrolu pristupa tako da prekinete svaki saobraćaj koji dolazi sa spoljne mreže sa izvornom adresom koja se mora nalaziti unutar vaše mreže.
Istina, ovo pomaže u borbi protiv lažiranja IP-a kada su ovlaštene samo interne adrese; ako su neke vanjske mrežne adrese također ovlaštene, ovaj metod postaje neefikasan;
- Filtriranje RFC 2827. Možete spriječiti korisnike svoje mreže da lažiraju mreže drugih ljudi (i postati dobar građanin mreže). Da biste to učinili, morate odbiti svaki odlazni promet čija izvorna adresa nije jedna od IP adresa vaše organizacije.
Ovu vrstu filtriranja, poznatu kao RFC 2827, također može izvršiti vaš ISP. Kao rezultat, sav promet koji nema izvornu adresu koja se očekuje na određenom sučelju se odbija. Na primjer, ako ISP obezbijedi vezu sa IP adresom 15.1.1.0/24, može konfigurisati filter tako da je dozvoljen samo saobraćaj koji dolazi sa 15.1.1.0/24 sa tog interfejsa na ISP ruter.
Imajte na umu da dok svi provajderi ne implementiraju ovu vrstu filtriranja, njegova efikasnost će biti mnogo niža od moguće. Osim toga, što je dalje od filtriranih uređaja, to je teže izvršiti precizno filtriranje. Na primjer, RFC 2827 filtriranje na nivou pristupnog rutera zahtijeva da sav promet prođe sa glavne mrežne adrese (10.0.0.0/8), dok je na nivou distribucije (u ovoj arhitekturi) moguće preciznije ograničiti promet (adresa - 10.1.5.0/24).
Najefikasniji način rješavanja IP lažiranja je isti kao u slučaju njuškanja paketa: morate učiniti napad potpuno neefikasnim. IP lažiranje može funkcionirati samo ako je autentifikacija zasnovana na IP adresama.
Stoga, uvođenje dodatnih metoda provjere autentičnosti takve napade čini beskorisnim. Najbolja vrsta dodatne autentifikacije je kriptografska. Ako to nije moguće, dvofaktorska autentifikacija korištenjem jednokratnih lozinki može dati dobre rezultate.
Uskraćivanje usluge
Uskraćivanje usluge (DoS) je bez sumnje najpoznatiji oblik hakovanja. Osim toga, od napada ovog tipa najteže je stvoriti stopostotnu zaštitu. Među hakerima se DoS napadi smatraju dečjom igrom, a njihova upotreba izaziva prezrivo cerenje, jer DoS zahteva minimum znanja i veština.
Međutim, jednostavnost implementacije i obim štete koja uzrokuje DoS je ono što je privuklo pažnju administratora mrežne sigurnosti. Ako želite saznati više o DoS napadima, trebali biste pogledati njihove najpoznatije varijante, a to su:
- TCP SYN Flood;
- Ping smrti;
- Tribe Flood Network (TFN) i Tribe Flood Network 2000 (TFN2K);
- Trinco;
- Stacheldracht;
- Trinity.
Odličan izvor sigurnosnih informacija je Tim za kompjuterski hitan odgovor (CERT), koji je objavio odličan rad u borbi protiv DoS napada.
DoS napadi se razlikuju od drugih vrsta napada. Oni nisu namijenjeni da dobiju pristup vašoj mreži ili da dobiju bilo kakve informacije iz ove mreže, ali DoS napad čini vašu mrežu nedostupnom za normalnu upotrebu prekoračenjem dozvoljenih ograničenja mreže, operativnog sistema ili aplikacije.
U slučaju nekih serverskih aplikacija (kao što su Web server ili FTP server), DoS napadi mogu uzeti sve veze dostupne ovim aplikacijama i zadržati ih zauzetim, sprečavajući obične korisnike da budu uslužni. DoS napadi mogu koristiti uobičajene internet protokole kao što su TCP i ICMP ( Internet Control Message Protocol).
Većina DoS napada ne cilja na softverske greške ili sigurnosne rupe, već na opšte slabosti u arhitekturi sistema. Neki napadi poništavaju performanse mreže preplavljujući je neželjenim i nepotrebnim paketima ili lažnim predstavljanjem trenutnog stanja mrežnih resursa.
Ovu vrstu napada je teško spriječiti jer zahtijeva koordinaciju sa ISP-om. Ako ne zaustavite promet kod provajdera koji ima za cilj da preplavi vašu mrežu, tada to više nećete moći učiniti na ulazu u mrežu, jer će cijeli propusni opseg biti zauzet. Kada se napad ovog tipa izvodi istovremeno preko više uređaja, govorimo o distribuiranom DoS (distributed DoS, DDoS) napadu.
Pretnja od DoS napada može se ublažiti na tri načina:
- Funkcije protiv lažiranja. Ispravno konfigurisanje funkcija protiv lažiranja na vašim ruterima i zaštitnim zidovima pomoći će u smanjenju rizika od DoS-a. U najmanju ruku, ove karakteristike bi trebale uključivati filtriranje RFC 2827. Osim ako haker ne može prikriti svoj pravi identitet, malo je vjerovatno da će se usuditi pokrenuti napad.
- Anti-DoS karakteristike. Pravilna konfiguracija anti-DoS funkcija na ruterima i zaštitnim zidovima može ograničiti efikasnost napada. Ove karakteristike često ograničavaju broj poluotvorenih kanala u bilo kojem trenutku.
- Ograničavanje brzine saobraćaja. Organizacija može zatražiti od provajdera (ISP) da ograniči količinu saobraćaja. Ova vrsta filtriranja vam omogućava da ograničite količinu nekritičnog saobraćaja koji prolazi kroz vašu mrežu. Tipičan primjer je ograničavanje količine ICMP prometa koji se koristi samo u dijagnostičke svrhe. (D)DoS napadi često koriste ICMP.
Napadi lozinkom
Hakeri mogu izvršiti napade lozinkom koristeći različite metode, kao što su napad brutalne sile, trojanski konj, lažiranje IP-a i njuškanje paketa. Iako se prijava i lozinka često mogu dobiti korištenjem IP lažiranja i njuškanja paketa, nije neuobičajeno da hakeri pokušaju pogoditi lozinku i prijavu koristeći višestruke pokušaje pristupa. Ovaj pristup se naziva jednostavno nabrajanje (napad grube sile).
Često takav napad koristi poseban program koji pokušava pristupiti zajedničkom resursu (na primjer, serveru). Ako, kao rezultat, haker dobije pristup resursima, onda ga dobija kao običan korisnik čija je lozinka pogodena.
Ako ovaj korisnik ima značajne privilegije pristupa, haker može kreirati "gateway" za budući pristup koji će raditi čak i ako korisnik promijeni svoju lozinku i login.
Drugi problem nastaje kada korisnici koriste istu (čak i vrlo dobru) lozinku za pristup mnogim sistemima: korporativnim, ličnim i Internet sistemima. Pošto je jačina lozinke jednaka snazi najslabijeg hosta, haker koji lozinku nauči preko ovog hosta dobija pristup svim drugim sistemima gde se koristi ista lozinka.
Napadi lozinkom se mogu izbjeći ne korištenjem lozinki običnog teksta. Jednokratne lozinke i/ili kriptografska autentifikacija mogu praktično eliminirati prijetnju takvih napada. Nažalost, ne podržavaju sve aplikacije, hostovi i uređaji gore navedene metode provjere autentičnosti.
Kada koristite obične lozinke, pokušajte smisliti onu koju bi bilo teško pogoditi. Minimalna dužina lozinke mora biti najmanje osam znakova. Lozinka mora sadržavati velika slova, brojeve i posebne znakove (#, %, $, itd.).
Najbolje lozinke je teško pogoditi i teško zapamtiti, što primorava korisnike da ih zapišu na papir. Da bi to izbjegli, korisnici i administratori mogu iskoristiti brojne nedavne tehnološke napretke.
Na primjer, postoje aplikacije koje šifriraju listu lozinki koje se mogu pohraniti u džepni računar. Kao rezultat, korisnik treba da zapamti samo jednu složenu lozinku, dok će sve ostale biti sigurno zaštićene aplikacijom.
Za administratora postoji nekoliko metoda za postupanje s pogađanjem lozinki. Jedan je korištenje alata L0phtCrack, koji hakeri često koriste za pogađanje lozinki u Windows NT okruženjima. Ovaj alat će vam brzo pokazati da li je lozinku koju odabere korisnik lako pogoditi. Više informacija možete pronaći na http://www.l0phtcrack.com/.
Čovjek u sredini napada
Za napad Man-in-the-Middle, hakeru je potreban pristup paketima koji se šalju preko mreže. Takav pristup svim paketima prenesenim od provajdera u bilo koju drugu mrežu može, na primjer, dobiti zaposlenik ovog provajdera. Za ovu vrstu napada često se koriste njuškari paketa, transportni protokoli i protokoli rutiranja.
Napadi se sprovode radi krađe informacija, presretanja trenutne sesije i pristupa privatnim mrežnim resursima, analize saobraćaja i dobijanja informacija o mreži i njenim korisnicima, izvođenja DoS napada, iskrivljavanja prenetih podataka i unosa neovlašćenih informacija u mrežne sesije.
Napadi čovjeka u sredini mogu se efikasno nositi samo pomoću kriptografije. Ako haker presretne podatke šifrirane sesije, na ekranu neće imati presretnutu poruku, već besmisleni skup znakova. Imajte na umu da ako haker dobije informacije o kriptografskoj sesiji (na primjer, ključ sesije), onda to može učiniti mogućim napad Man-in-the-Middle čak iu šifriranom okruženju.
Napadi na sloj aplikacija
Napadi na sloju aplikacije mogu se izvesti na nekoliko načina. Najčešći od njih je iskorištavanje dobro poznatih slabosti serverskog softvera (sendmail, HTTP, FTP). Koristeći ove slabosti, hakeri mogu dobiti pristup računaru u ime korisnika koji pokreće aplikaciju (obično to nije običan korisnik, već privilegovani administrator sa pravima pristupa sistemu).
Napadi na sloju aplikacije se široko objavljuju kako bi se administratorima pružila prilika da riješe problem pomoću korektivnih modula (zakrpa). Nažalost, i mnogi hakeri imaju pristup ovim informacijama, što im omogućava da se poboljšaju.
Glavni problem sa napadima na sloju aplikacije je taj što hakeri često koriste portove kojima je dozvoljeno da prođu kroz zaštitni zid. Na primjer, haker koji iskorištava dobro poznatu slabost web servera često koristi port 80 u TCP napadu. Pošto web server izlaže web stranice korisnicima, zaštitni zid mora omogućiti pristup ovom portu. Sa stanovišta zaštitnog zida, napad se tretira kao standardni promet na portu 80.
Nije moguće potpuno eliminirati napade na sloju aplikacije. Hakeri neprestano otkrivaju i objavljuju nove ranjivosti aplikacija na Internetu. Najvažnija stvar ovdje je dobra sistemska administracija. Evo nekoliko koraka koje možete poduzeti da smanjite svoju ranjivost na ovu vrstu napada:
- čitati log datoteke operativnog sistema i mrežne log datoteke i/ili ih analizirati pomoću posebnih analitičkih aplikacija;
- pretplatite se na uslugu prijavljivanja ranjivosti aplikacije: Bugtrad (http://www.securityfocus.com).
mrežna inteligencija
Mrežna inteligencija je prikupljanje informacija o mreži koristeći javno dostupne podatke i aplikacije. Kada priprema napad na mrežu, haker obično pokušava da dobije što više informacija o njoj. Mrežno izviđanje ima oblik DNS upita, pingova i skeniranja portova.
DNS upiti vam pomažu da shvatite ko je vlasnik određene domene i koje su adrese dodijeljene toj domeni. Pingovanje DNS-otkrivenih adresa vam omogućava da vidite koji hostovi stvarno rade u datom okruženju. S obzirom na listu hostova, haker koristi alate za skeniranje portova da sastavi kompletnu listu usluga koje podržavaju ti hostovi. Konačno, haker analizira karakteristike aplikacija koje rade na hostovima. Kao rezultat, dobija informacije koje se mogu koristiti za hakiranje.
Nemoguće je potpuno se riješiti mrežne inteligencije. Ako, na primjer, onemogućite ICMP ping i echo odgovor na perifernim ruterima, riješit ćete se pingovanja, ali ćete izgubiti podatke potrebne za dijagnosticiranje grešaka na mreži.
Osim toga, možete skenirati portove bez prethodnog pingovanja - samo će trebati više vremena, jer će se morati skenirati i nepostojeće IP adrese. IDS sistemi na nivou mreže i hosta obično dobro obave posao obaveštavanja administratora o tekućem izviđanju mreže, što im omogućava da se bolje pripreme za predstojeći napad i obaveste provajdera (ISP) na čijoj je mreži instaliran sistem koji pokazuje preterano radoznalost:
- koristiti najnovije verzije operativnih sistema i aplikacija i najnovije module za korekciju (zakrpe);
- Osim administracije sistema, koristite sisteme za otkrivanje upada (IDS) - dvije komplementarne ID tehnologije:
- Mrežni IDS (NIDS) prati sve pakete koji prolaze kroz određeni domen. Kada NIDS sistem vidi paket ili niz paketa koji odgovaraju potpisu poznatog ili vjerovatnog napada, generiše alarm i/ili prekida sesiju;
- IDS sistem (HIDS) osigurava host sa softverskim agentima. Ovaj sistem se bori samo protiv napada na jednog domaćina.
IDS sistemi u svom radu koriste signature napada, koji su profili određenih napada ili vrsta napada. Potpisi definišu uslove pod kojima se saobraćaj smatra hakerskim saobraćajem. Analozi IDS-a u fizičkom svijetu mogu se smatrati sistemom upozorenja ili nadzornom kamerom.
Najveći nedostatak IDS-a je njihova sposobnost generiranja alarma. Da bi se smanjio broj lažnih alarma i osigurao ispravno funkcionisanje IDS sistema u mreži, potrebno je pažljivo podešavanje ovog sistema.
kršenje povjerenja
Strogo govoreći, ova vrsta radnje nije u punom smislu riječi napad ili napad. To je zlonamjerno iskorištavanje odnosa povjerenja koji postoje na mreži. Klasičan primjer takve zloupotrebe je na rubu korporativne mreže.
Ovaj segment često hostuje DNS, SMTP i HTTP servere. Budući da svi pripadaju istom segmentu, kršenje bilo kojeg od njih dovodi do kršenja svih ostalih, jer ovi serveri vjeruju drugim sistemima na svojoj mreži.
Drugi primjer je sistem instaliran na vanjskoj strani firewall-a koji ima odnos povjerenja sa sistemom instaliranim unutar njega. U slučaju da je eksterni sistem hakovan, haker može koristiti odnose poverenja da provali u sistem zaštićen zaštitnim zidom.
Možete smanjiti rizik od kršenja povjerenja čvršćom kontrolom nivoa povjerenja u vašoj mreži. Sistemi koji se nalaze na vanjskoj strani zaštitnog zida ni pod kojim okolnostima ne bi trebali imati apsolutno povjerenje od strane sistema zaštićenih zaštitnim zidom.
Odnosi povjerenja bi trebali biti ograničeni na određene protokole i, ako je moguće, autentificirani ne samo IP adresama, već i drugim parametrima.
Port forwarding
Prosljeđivanje portova je oblik povrede povjerenja gdje se kompromitovani host koristi za slanje saobraćaja kroz zaštitni zid koji bi inače sigurno bio odbijen. Zamislite firewall sa tri interfejsa, od kojih je svaki povezan sa određenim hostom.
Vanjski host se može povezati na dijeljeni host (DMZ), ali ne i na onaj koji je instaliran na unutrašnjoj strani zaštitnog zida. Dijeljeni host se može povezati na interne i eksterne hostove. Ako haker preuzme javni host, može na njega instalirati alat koji preusmerava saobraćaj sa eksternog hosta direktno na interni.
Iako ne krši nijedno pravilo na ekranu, preusmjeravanje daje vanjskom hostu direktan pristup zaštićenom hostu. Primjer aplikacije koja može pružiti ovaj pristup je netcat. Za više informacija posjetite http://www.avian.org.
Glavni način rješavanja prosljeđivanja portova je korištenje modela snažnog povjerenja (pogledajte prethodni odjeljak). Osim toga, host IDS sistem (HIDS) može spriječiti hakera da instalira svoj softver na hostu.
Neovlašteni pristup
Neovlašteni pristup se ne može izdvojiti kao zasebna vrsta napada, jer se većina mrežnih napada provodi upravo u svrhu dobivanja neovlaštenog pristupa. Da bi pokupio Telnet login, haker prvo mora dobiti Telnet nagoveštaj na svom sistemu. Nakon povezivanja na Telnet port, na ekranu se pojavljuje poruka „potrebna je autorizacija za korištenje ovog resursa“ („potrebna je autorizacija za korištenje ovog resursa“). Za korištenje ovog resursa potrebna je autorizacija.»).
Ako nakon toga haker nastavi s pokušajima pristupa, smatrat će se neovlaštenim. Izvor takvih napada može biti i unutar mreže i izvan nje.
Načini borbe protiv neovlaštenog pristupa su prilično jednostavni. Ovdje je glavna stvar smanjiti ili potpuno eliminirati mogućnost hakera da pristupi sistemu koristeći neovlašteni protokol.
Kao primjer, razmotrite sprječavanje hakera da pristupe Telnet portu na serveru koji pruža Web usluge vanjskim korisnicima. Bez pristupa ovom portu, haker ga neće moći napasti. Što se tiče firewall-a, njegov glavni zadatak je spriječiti najjednostavnije pokušaje neovlaštenog pristupa.
Virusi i aplikacije trojanskog konja
Radne stanice krajnjih korisnika su vrlo osjetljive na viruse i trojanske konje. Virusi su zlonamjerni programi koji se ubrizgavaju u druge programe kako bi izvršili neku nepoželjnu funkciju na radnoj stanici krajnjeg korisnika. Primjer je virus koji se upisuje u datoteku command.com (glavni tumač za Windows sisteme) i briše druge datoteke i inficira sve ostale verzije command.com koje pronađe.
Trojanski konj nije softverski umetak, već pravi program koji se na prvi pogled čini korisna aplikacija, ali u stvarnosti igra štetnu ulogu. Primjer tipičnog trojanskog konja je program koji izgleda kao jednostavna igra za radnu stanicu korisnika.
Međutim, dok korisnik igra igru, program šalje kopiju sebe e-poštom svakom pretplatniku navedenom u imeniku korisnika. Svi pretplatnici dobijaju igru poštom, što uzrokuje njenu dalju distribuciju.
Ovaj članak je za one koji su se prvi put susreli s potrebom da uspostave udaljenu vezu s MySQL bazom podataka. Članak govori o poteškoćama koje...
Gotovo svaka stranica sa registracijom ima obrazac "Zapamti lozinku", uz njegovu pomoć možete dobiti zaboravljenu lozinku, a ne E-Mail. Slanje lozinke nije sasvim sigurno...
Kaspersky Internet Security štiti vaš računar od mrežnih napada.
mrežni napad je upad u operativni sistem udaljenog računara. Napadači pokreću mrežne napade kako bi preuzeli kontrolu nad operativnim sistemom, doveli do uskraćivanja usluge ili dobili pristup zaštićenim informacijama.
Mrežni napadi su zlonamjerne radnje koje izvode sami napadači (kao što je skeniranje portova, pogađanje lozinke), kao i radnje koje izvodi zlonamjerni softver instaliran na napadnutom računaru (kao što je prijenos zaštićenih informacija na napadača). Zlonamjerni softver uključen u mrežne napade uključuje neke trojance, alate za DoS napade, zlonamjerne skripte i mrežne crve.
Mrežni napadi se mogu podijeliti u sljedeće vrste:
- Skeniranje portova. Ova vrsta mrežnog napada je obično pripremna faza za opasniji mrežni napad. Napadač skenira UDP i TCP portove koje koriste mrežni servisi na napadnutom računaru i utvrđuje koliko je napadnuti računar ranjiv na opasnije vrste mrežnih napada. Skeniranje portova takođe omogućava napadaču da odredi operativni sistem na računaru koji se napada i da za njega odabere odgovarajuće mrežne napade.
- DoS napadi, ili mrežni napadi koji uzrokuju uskraćivanje usluge. Riječ je o mrežnim napadima, uslijed kojih napadnuti operativni sistem postaje nestabilan ili potpuno neoperabilan.
Postoje sljedeće glavne vrste DoS napada:
- Slanje posebno kreiranih mrežnih paketa na udaljeni računar koje taj računar ne očekuje, što uzrokuje pad ili zaustavljanje operativnog sistema.
- Slanje velikog broja mrežnih paketa na udaljeni računar u kratkom vremenskom periodu. Svi resursi napadnutog računara se koriste za obradu mrežnih paketa koje šalje napadač, zbog čega računar prestaje da obavlja svoje funkcije.
- Napadi upada u mrežu. Riječ je o mrežnim napadima, čija je svrha "hvatanje" operativnog sistema napadnutog računara. Ovo je najopasniji tip mrežnog napada, jer ako se uspješno završi, operativni sistem u potpunosti prelazi pod kontrolu napadača.
Ova vrsta mrežnog napada se koristi kada napadač treba da dobije povjerljive podatke sa udaljenog računara (na primjer, brojeve bankovnih kartica ili lozinke) ili da koristi udaljeni računar za svoje potrebe (na primjer, da napadne druge računare s ovog računara) bez znanje korisnika.
- Na kartici Zaštita u bloku Zaštita od mrežnih napada poništite izbor .
Također možete omogućiti blokator mrežnih napada u Centru za zaštitu. Onemogućavanje zaštite računara ili zaštitnih komponenti značajno povećava rizik od infekcije računara, pa se informacije o onemogućavanju zaštite prikazuju u Centru za zaštitu.
Važno: Ako ste onemogućili Network Attack Blocker, onda nakon ponovnog pokretanja Kaspersky Internet Security ili ponovnog pokretanja operativnog sistema, neće se automatski uključiti i moraćete da ga uključite ručno.
Kada se otkrije opasna mrežna aktivnost, Kaspersky Internet Security automatski dodaje IP adresu računara koji napada na listu blokiranih računara, osim ako se ovaj računar ne doda na listu pouzdanih računara.
- U traci menija kliknite na ikonu programa.
- U meniju koji se otvori izaberite Podešavanja.
Otvoriće se prozor postavki programa.
- Na kartici Zaštita u bloku Zaštita od mrežnih napada potvrdite polje Omogućite blokator mrežnih napada.
- Kliknite na dugme Izuzeci.
Otvoriće se prozor sa listom pouzdanih računara i listom blokiranih računara.
- Otvori bookmark Blokirani računari.
- Ako ste sigurni da blokirani računar ne predstavlja prijetnju, odaberite njegovu IP adresu sa liste i kliknite na dugme Deblokiraj.
Otvoriće se prozor za potvrdu.
- U prozoru za potvrdu uradite jedno od sljedećeg:
- Ako želite da otključate računar, kliknite na dugme Otključaj.
Kaspersky Internet Security deblokira IP adresu.
- Ako želite da Kaspersky Internet Security nikada ne blokira izabranu IP adresu, kliknite na dugme Deblokirajte i dodajte u izuzimanja.
Kaspersky Internet Security će deblokirati IP adresu i dodati je na listu pouzdanih računara.
- Ako želite da otključate računar, kliknite na dugme Otključaj.
- Kliknite na dugme Sačuvaj da sačuvate promene.
Možete kreirati listu pouzdanih računara. Kaspersky Internet Security ne blokira automatski IP adrese ovih računara kada otkrije opasnu mrežnu aktivnost koja dolazi sa njih.
Kada se otkrije mrežni napad, Kaspersky Internet Security sprema informacije o njemu u izveštaj.
- Otvorite meni Zaštita.
- Odaberite Izvještaji.
Otvoriće se prozor izveštaja Kaspersky Internet Security.
- Otvori bookmark Zaštita od mrežnih napada.
Napomena: Ako je komponenta Network Attack Blocker prekinuta sa greškom, možete pogledati izvještaj i pokušati ponovo pokrenuti komponentu. Ako ne možete riješiti problem, kontaktirajte tehničku podršku.
Predavanje 33 Vrste i vrste mrežnih napada
Predavanje 33
Tema: Vrste i vrste mrežnih napada
Daljinski mrežni napad - informacijski destruktivni uticaj na distribuirani računarski sistem, koji se programski sprovodi preko komunikacionih kanala.
Uvod
Za organizaciju komunikacije u heterogenom mrežnom okruženju koristi se skup TCP/IP protokola koji osiguravaju kompatibilnost između računala različitih tipova. Ovaj skup protokola je stekao popularnost zbog interoperabilnosti i pristupa resursima globalnog Interneta i postao je standard za umrežavanje. Međutim, sveprisutnost steka TCP/IP protokola također je otkrila njegove slabosti. Konkretno, zbog toga su distribuirani sistemi podložni daljinskim napadima, budući da njihove komponente obično koriste otvorene kanale za prijenos podataka, a uljez može ne samo pasivno slušati prenesene informacije, već i modificirati preneseni promet.
Teškoća otkrivanja udaljenog napada i relativna lakoća njegovog izvođenja (zbog prevelike funkcionalnosti savremenih sistema) stavlja ovu vrstu nezakonitih radnji na prvo mjesto po opasnosti i onemogućava pravovremeno reagiranje na implementiranu prijetnju, kao zbog čega napadač ima povećane šanse za uspješan napad.
Klasifikacija napada
Po prirodi uticaja
pasivno
Aktivan
Pasivni uticaj na distribuirani računarski sistem (DCS) je neki uticaj koji ne utiče direktno na rad sistema, ali je istovremeno sposoban da naruši njegovu bezbednosnu politiku. Odsustvo direktnog uticaja na rad RCS-a dovodi upravo do toga da je pasivni daljinski udar (PUV) teško detektovati. Mogući primjer tipičnog PUV-a u WAN-u je slušanje komunikacijskog kanala u mreži.
Aktivni uticaj na RCS - uticaj koji ima direktan uticaj na rad samog sistema (poremećaj performansi, promene u konfiguraciji RCS-a, itd.), čime se krši bezbednosna politika usvojena u njemu. Aktivni utjecaji su gotovo sve vrste daljinskih napada. To je zbog činjenice da sama priroda štetnog utjecaja uključuje aktivni princip. Očigledna razlika između aktivnog i pasivnog uticaja je fundamentalna mogućnost njegovog otkrivanja, jer kao rezultat njegovog sprovođenja dolazi do određenih promena u sistemu. Kod pasivnog uticaja ne ostaje apsolutno nikakvih tragova (zbog činjenice da napadač gleda tuđu poruku u sistemu, ništa se zapravo ne menja u istom trenutku).
Prema svrsi udara
Kršenje funkcionisanja sistema (pristup sistemu)
Kršenje integriteta informacionih resursa (IR)
IR povreda privatnosti
Ova karakteristika, prema kojoj se vrši klasifikacija, zapravo je direktna projekcija tri osnovna tipa prijetnji – uskraćivanje usluge, otkrivanje i kršenje integriteta.
Glavni cilj kojem se teži u gotovo svakom napadu je dobivanje neovlaštenog pristupa informacijama. Postoje dvije osnovne opcije za dobivanje informacija: izobličenje i presretanje. Opcija presretanja informacija znači dobijanje pristupa njima bez mogućnosti promjene. Presretanje informacija, dakle, dovodi do kršenja njihove povjerljivosti. Slušanje kanala na mreži primjer je presretanja informacija. U ovom slučaju postoji nelegitiman pristup informacijama bez mogućih opcija za njihovu zamjenu. Očigledno je i da se povreda povjerljivosti informacija odnosi na pasivne uticaje.
Mogućnost zamjene informacija treba shvatiti ili kao potpunu kontrolu toka informacija između objekata sistema, ili kao mogućnost prenošenja različitih poruka u ime nekog drugog. Stoga je jasno da zamjena informacija dovodi do narušavanja njenog integriteta. Takav uticaj koji uništava informacije je karakterističan primjer aktivnog utjecaja. Primjer udaljenog napada dizajniranog da naruši integritet informacija može poslužiti kao daljinski napad (UA) "Lažni RCS objekt".
Prisutnošću povratne informacije sa napadnutim objektom
sa povratnim informacijama
Otvorena petlja (jednosmjerni napad)
Napadač napadnutom objektu šalje neke zahtjeve na koje očekuje da će dobiti odgovor. Posljedično, javlja se povratna informacija između napadača i napadnutog, omogućavajući prvom da adekvatno odgovori na sve vrste promjena u napadnutom objektu. Ovo je suština daljinskog napada koji se izvodi u prisustvu povratne informacije od napadačkog objekta. Ovakvi napadi su najtipičniji za RVS.
Napade otvorene petlje karakterizira činjenica da ne moraju reagirati na promjene u napadnutom objektu. Takvi napadi se obično izvode slanjem pojedinačnih zahtjeva napadnutom objektu. Napadaču nisu potrebni odgovori na ove zahtjeve. Takav UA se također može nazvati jednosmjernim UA. Primjer jednosmjernih napada je tipičan UA "DoS napad".
Prema uslovu početka implementacije uticaja
Utjecaj na daljinu, kao i svaki drugi, može se početi provoditi samo pod određenim uvjetima. Postoje tri tipa takvih uslovnih napada u RCS-u:
Napad na zahtjev napadnutog objekta
Napad na pojavu očekivanog događaja na napadnuti objekat
Bezuslovni napad
Uticaj napadača će početi pod uslovom da potencijalna meta napada pošalje zahtjev određenog tipa. Takav napad se može nazvati napadom na zahtjev napadnutog objekta. Ovaj tip UA je najtipičniji za RVS. Primjer takvih upita na Internetu su DNS i ARP upiti, au Novell NetWareu SAP upit.
Napad na pojavu očekivanog događaja na napadnuti objekat. Napadač kontinuirano prati stanje OS-a udaljenog cilja napada i pokreće udar kada se u ovom sistemu dogodi određeni događaj. Sam napadnuti objekat je inicijator napada. Primjer takvog događaja bi bio prekid sesije korisnika sa serverom bez izdavanja naredbe LOGOUT na Novell NetWare.
Bezuslovni napad se izvodi odmah i bez obzira na stanje operativnog sistema i napadnutog objekta. Dakle, napadač je inicijator napada u ovom slučaju.
U slučaju narušavanja normalnog rada sistema, slijede drugi ciljevi i ne očekuje se da će napadač dobiti nezakonit pristup podacima. Njegova svrha je onemogućavanje operativnog sistema na napadnutom objektu i nemogućnost pristupa za druge objekte sistema resursima ovog objekta. Primjer ove vrste napada je DoS napad.
Po lokaciji predmeta napada u odnosu na napadnuti objekat
Intrasegment
Intersegment
Neke definicije:
Izvor napada (predmet napada) je program (moguće operater) koji sprovodi napad i vrši direktan uticaj.
Host (host) - računar koji je element mreže.
Ruter je uređaj koji omogućava usmjeravanje paketa u mreži.
Podmreža je grupa hostova koji su dio globalne mreže, a razlikuju se po tome što im ruter dodjeljuje isti broj podmreže. Takođe možete reći da je podmreža logično grupisanje hostova preko rutera. Hostovi unutar iste podmreže mogu komunicirati direktno jedni s drugima bez korištenja rutera.
Mrežni segment je asocijacija hostova na fizičkom sloju.
Sa stanovišta udaljenog napada izuzetno je važan relativni položaj subjekta i objekta napada, odnosno da li se nalaze u različitim ili u istim segmentima. Tokom unutarsegmentnog napada, subjekt i objekt napada nalaze se u istom segmentu. U slučaju međusegmentnog napada, subjekt i objekt napada nalaze se u različitim segmentima mreže. Ova karakteristika klasifikacije omogućava procjenu takozvanog "stepena udaljenosti" napada.
Nadalje, pokazaće se da je u praksi intrasegmentni napad mnogo lakši za implementaciju od intersegmentnog napada. Također napominjemo da je međusegmentni daljinski napad mnogo opasniji od intrasegmentnog. To je zbog činjenice da u slučaju međusegmentnog napada, njegov objekt i onaj koji direktno napada mogu biti na udaljenosti od više hiljada kilometara jedan od drugog, što može značajno otežati mjere za odbijanje napada.
Prema nivou ISO/OSI referentnog modela na kojem se vrši uticaj
Fizički
ducted
mreže
Transport
sjednici
Predstavnik
Primijenjeno
Međunarodna organizacija za standardizaciju (ISO) usvojila je standard ISO 7498, koji opisuje međusobno povezivanje otvorenih sistema (OSI), kojem također pripada RCS. Svaki mrežni protokol za razmjenu, kao i svaki mrežni program, mogu se nekako projektovati na referentni 7-slojni OSI model. Takva projekcija na više nivoa omogućava da se u terminima OSI modela opišu funkcije koje se koriste u mrežnom protokolu ili programu. UA je mrežni program, te ga je logično posmatrati sa stanovišta projekcije na ISO/OSI referentni model.
Kratak opis nekih mrežnih napada
Fragmentacija podataka
Prilikom prijenosa IP paketa podataka preko mreže, ovaj paket se može podijeliti na nekoliko fragmenata. Nakon toga, kada stigne na odredište, paket se vraća iz ovih fragmenata. Napadač može inicirati slanje velikog broja fragmenata, što dovodi do prelivanja programskih bafera na strani primaoca i, u nekim slučajevima, do pada sistema.
Ping flooding napad
Ovaj napad zahtijeva od napadača pristup brzim internet kanalima.
Program ping šalje ICMP ECHO REQUEST paket sa vremenom i njegovim ID-om. Kernel mašine za prijem odgovara na takav zahtjev sa ICMP ECHO REPLY paketom. Nakon što ga primi, ping daje brzinu paketa.
U standardnom načinu rada, paketi se šalju u određenim intervalima, praktično bez učitavanja mreže. Ali u "agresivnom" načinu rada, tok ICMP eho paketa zahtjeva/odgovora može uzrokovati zagušenje na maloj liniji, lišavajući je mogućnosti prijenosa korisnih informacija.
Nestandardni protokoli inkapsulirani u IP
IP paket sadrži polje koje specificira protokol enkapsuliranog paketa (TCP, UDP, ICMP). Napadači mogu koristiti nestandardnu vrijednost ovog polja za prijenos podataka koji neće biti zabilježeni standardnim alatima za kontrolu protoka informacija.
napad štrumfa
Štrumpf napad se sastoji od slanja ICMP zahtjeva za emitiranje mreži u ime računara žrtve.
Kao rezultat toga, računari koji su primili takve broadcast pakete odgovaraju računaru žrtve, što dovodi do značajnog smanjenja propusnog opsega komunikacionog kanala i, u nekim slučajevima, do potpune izolacije napadnute mreže. Napad štrumfa je izuzetno efikasan i rasprostranjen.
Protivmjere: da bi se prepoznao ovaj napad, potrebno je analizirati opterećenje kanala i utvrditi razloge za smanjenje propusnosti.
DNS lažni napad
Rezultat ovog napada je uvođenje nametnute korespondencije između IP adrese i imena domena u keš DNS servera. Kao rezultat uspješne implementacije ovakvog napada, svi korisnici DNS servera će dobiti netačne informacije o nazivima domena i IP adresama. Ovaj napad karakteriše veliki broj DNS paketa sa istim imenom domene. To je zbog potrebe za odabirom nekih parametara DNS razmjene.
Protivljenje: da bi se otkrio takav napad, potrebno je analizirati sadržaj DNS saobraćaja ili koristiti DNSSEC.
IP lažni napad
Veliki broj napada na Internet povezan je sa zamjenom originalne IP adrese. Takvi napadi uključuju lažiranje syslog-a, koje se sastoji u slanju poruke računaru žrtve u ime drugog računara na internoj mreži. Budući da se syslog protokol koristi za održavanje sistemskih dnevnika, slanjem lažnih poruka na računar žrtve možete nametnuti informacije ili prikriti tragove neovlaštenog pristupa.
Protivmjere: Napadi lažiranja IP adrese mogu se otkriti praćenjem prijema na jednom od interfejsa paketa sa izvornom adresom istog interfejsa ili praćenjem prijema paketa sa IP adresama interne mreže na eksternom interfejsu.
Nametanje paketa
Napadač šalje pakete mreži s lažnom povratnom adresom. Koristeći ovaj napad, napadač se može prebaciti na svoje kompjuterske veze uspostavljene između drugih računara. U tom slučaju, prava pristupa napadača postaju jednaka pravima korisnika čija je veza sa serverom prebačena na računar napadača.
Njuškanje - slušanje kanala
Moguće je samo u segmentu lokalne mreže.
Gotovo sve mrežne kartice podržavaju mogućnost presretanja paketa koji se prenose preko zajedničkog LAN kanala. U tom slučaju radna stanica može primati pakete adresirane na druge računare u istom segmentu mreže. Na taj način napadaču postaje dostupna cjelokupna razmjena informacija u segmentu mreže. Da bi se ovaj napad uspješno implementirao, računar napadača mora biti lociran na istom segmentu lokalne mreže kao i napadnuti računar.
Njuškanje paketa na ruteru
Mrežni softver rutera ima pristup svim mrežnim paketima koji se prenose kroz ovaj ruter, što omogućava njuškanje paketa. Da bi implementirao ovaj napad, napadač mora imati privilegirani pristup barem jednom mrežnom ruteru. Budući da se obično mnogo paketa prenosi preko rutera, njihovo potpuno presretanje je gotovo nemoguće. Međutim, pojedinačni paketi mogu biti presretnuti i pohranjeni za kasniju analizu od strane napadača. Najefikasnije presretanje FTP paketa koji sadrže korisničke lozinke, kao i e-mail.
Nametanje lažne rute na host koristeći ICMP protokol
Na Internetu postoji poseban protokol ICMP (Internet Control Message Protocol), čija je jedna od funkcija obavještavanje domaćina o promjeni trenutnog rutera. Ova kontrolna poruka se zove preusmjeravanje. Moguće je da bilo koji host u mrežnom segmentu pošalje lažnu poruku za preusmjeravanje u ime rutera napadnutom hostu. Kao rezultat toga, trenutna tabela rutiranja hosta se mijenja i, u budućnosti, sav mrežni promet ovog hosta će proći, na primjer, kroz host koji je poslao lažnu poruku za preusmjeravanje. Tako je moguće aktivno nametati lažnu rutu unutar jednog segmenta interneta.
Zajedno sa normalnim podacima koji se šalju preko TCP veze, standard također predviđa prijenos hitnih (Out Of Band) podataka. Na nivou formata TCP paketa, to se izražava u hitnom pokazivaču koji nije nula. Većina računara sa instaliranim Windows-om ima NetBIOS mrežni protokol koji koristi tri IP porta za svoje potrebe: 137, 138, 139. Ako se povežete na Windows mašinu na portu 139 i tamo pošaljete nekoliko bajtova OutOfBand podataka, implementacija NetBIOS-a će ne znajući šta da radi sa ovim podacima, jednostavno spusti slušalicu ili ponovo pokrene mašinu. Za Windows 95, ovo obično izgleda kao plavi tekstualni ekran, koji prijavljuje grešku u TCP/IP drajveru i nemogućnost rada sa mrežom dok se OS ne pokrene ponovo. NT 4.0 bez servisnih paketa se ponovo pokreće, NT 4.0 sa servisnim paketom 2 pada u plavi ekran. Sudeći po informacijama sa mreže, i Windows NT 3.51 i Windows 3.11 za radne grupe su podložni takvom napadu.
Slanje podataka na port 139 uzrokuje ponovno pokretanje NT 4.0 ili plavi ekran smrti sa instaliranim servisnim paketom 2. Slanje podataka na port 135 i neke druge portove uzrokuje značajno opterećenje procesa RPCSS.EXE. Na Windows NT WorkStationu, ovo dovodi do značajnog usporavanja, Windows NT Server je praktično zamrznut.
Promjena pouzdanog domaćina
Uspješna implementacija udaljenih napada ovog tipa omogućit će napadaču da provede sesiju sa serverom u ime pouzdanog hosta. (Pouzdani host - stanica koja je legalno povezana sa serverom). Implementacija ove vrste napada obično se sastoji u slanju razmjenskih paketa sa napadačeve stanice u ime pouzdane stanice pod njegovom kontrolom.
Tehnologije otkrivanja napada
Mrežne i informacione tehnologije se menjaju tako brzo da statički bezbednosni mehanizmi, koji uključuju sisteme kontrole pristupa, ME, sisteme za autentifikaciju, u mnogim slučajevima ne mogu da obezbede efikasnu zaštitu. Stoga su potrebne dinamičke metode za brzo otkrivanje i sprječavanje kršenja sigurnosti. Jedna tehnologija koja može otkriti kršenja koja se ne mogu identificirati korištenjem tradicionalnih modela kontrole pristupa je tehnologija otkrivanja upada.
U suštini, proces otkrivanja upada je proces procene sumnjivih aktivnosti koje se dešavaju na korporativnoj mreži. Drugim riječima, otkrivanje upada je proces identifikacije i odgovora na sumnjivu aktivnost usmjerenu na računarske ili mrežne resurse.
Metode za analizu mrežnih informacija
Efikasnost sistema za otkrivanje upada u velikoj meri zavisi od metoda koje se koriste za analizu primljenih informacija. Prvi sistemi za otkrivanje upada razvijeni ranih 1980-ih koristili su statističke metode detekcije upada. Trenutno je u statističku analizu dodat niz novih metoda, počevši od ekspertnih sistema i fuzzy logike do upotrebe neuronskih mreža.
Statistička metoda
Glavne prednosti statističkog pristupa su upotreba već razvijenog i dokazanog aparata matematičke statistike i prilagođavanje ponašanju ispitanika.
Prvo se određuju profili za sve subjekte analiziranog sistema. Svako odstupanje korištenog profila od reference smatra se neovlaštenom aktivnošću. Statističke metode su univerzalne, jer analiza ne zahtijeva znanje o mogućim napadima i ranjivostima koje oni iskorištavaju. Međutim, problemi nastaju kada se koriste ove metode:
"Statistički" sistemi nisu osjetljivi na redoslijed događaja; u nekim slučajevima, isti događaji, ovisno o njihovom slijedu, mogu karakterizirati abnormalnu ili normalnu aktivnost;
Teško je postaviti granične (granične) vrijednosti karakteristika koje prati sistem za otkrivanje napada kako bi se adekvatno identifikovala anomalna aktivnost;
"Statistički" sistemi mogu biti "obučeni" od strane protivnika tokom vremena tako da se napadne akcije smatraju normalnim.
Također treba uzeti u obzir da statističke metode nisu primjenjive u onim slučajevima kada ne postoji obrazac tipičnog ponašanja za korisnika ili kada su neovlaštene radnje tipične za korisnika.
Ekspertni sistemi
Ekspertski sistemi se sastoje od skupa pravila koja obuhvataju znanje ljudskog stručnjaka. Upotreba ekspertskih sistema je uobičajena metoda za otkrivanje napada, u kojoj se informacije o napadima formulišu u obliku pravila. Ova pravila se mogu napisati, na primjer, kao niz radnji ili kao potpis. Kada se ispuni bilo koje od ovih pravila, donosi se odluka o prisutnosti neovlaštene aktivnosti. Važna prednost ovog pristupa je gotovo potpuno odsustvo lažnih alarma.
Baza podataka ekspertskog sistema treba da sadrži scenarije za većinu trenutno poznatih napada. Kako bi bili stalno ažurni, ekspertni sistemi zahtijevaju stalno ažuriranje baze podataka. Dok ekspertski sistemi nude dobru priliku za pregled podataka u evidenciji, potrebna ažuriranja se mogu zanemariti ili ručno izvršiti od strane administratora. To u najmanju ruku vodi do ekspertnog sistema sa smanjenim mogućnostima. U najgorem slučaju, nedostatak pravilnog održavanja umanjuje sigurnost cijele mreže, dovodeći njene korisnike u zabludu o stvarnom nivou sigurnosti.
Glavni nedostatak je nemogućnost odbijanja nepoznatih napada. Istovremeno, čak i mala promjena u već poznatom napadu može postati ozbiljna prepreka funkcionisanju sistema za otkrivanje upada.
Neuralne mreže
Većina modernih metoda detekcije upada koristi neki oblik analize kontrolisanog prostora zasnovanu na pravilima ili statistički pristup. Kontrolirani prostor mogu biti zapisnici ili mrežni promet. Analiza se oslanja na skup unapred definisanih pravila koja kreira administrator ili sam sistem za otkrivanje upada.
Stručnim sistemima je teško otkriti svaku podjelu napada tokom vremena ili među više napadača. Zbog širokog spektra napada i hakera, čak i posebna stalna ažuriranja baze podataka stručnih sistemskih pravila nikada neće garantovati tačnu identifikaciju čitavog spektra napada.
Upotreba neuronskih mreža je jedan od načina za prevazilaženje ovih problema ekspertnih sistema. Za razliku od ekspertskih sistema koji korisniku mogu dati konačan odgovor o usklađenosti karakteristika koje se razmatraju sa pravilima postavljenim u bazi, neuronska mreža analizira informacije i pruža mogućnost da se procijeni da li su podaci u skladu sa karakteristikama koje posjeduje. naučili da prepoznaju. Dok stepen podudarnosti reprezentacije neuronske mreže može dostići 100%, pouzdanost izbora u potpunosti zavisi od kvaliteta sistema u analizi primera zadatka.
Prvo, neuronska mreža je obučena da ispravno identificira na unaprijed odabranom uzorku primjera domena. Analizira se reakcija neuronske mreže i sistem se prilagođava na način da se postignu zadovoljavajući rezultati. Pored početnog perioda obuke, neuronska mreža stječe iskustvo tokom vremena dok analizira podatke koji se odnose na domenu.
Važna prednost neuronskih mreža u otkrivanju zloupotrebe je njihova sposobnost da "nauče" karakteristike namjernih napada i identifikuju elemente koji nisu slični onima koji su ranije viđeni u mreži.
Svaka od opisanih metoda ima niz prednosti i mana, pa je sada praktično teško pronaći sistem koji implementira samo jednu od opisanih metoda. Obično se ove metode koriste u kombinaciji.
