حملات رایانه ای و فناوری برای شناسایی آنها. حمله شبکه ای چیست؟

بمب گذاری پستی
قدیمی ترین نوع حملات به طور قابل توجهی افزایش می یابد ترافیکو تعداد پیام های ارسال شده، که باعث خرابی در سرویس می شود. این باعث می شود فلج شدننه تنها ایمیل شما، بلکه کار خود سرور پست الکترونیکی. بهره وریچنین حملاتی امروزه صفر در نظر گرفته می شوند، زیرا اکنون ارائه دهندهقابلیت نصب دارد محدودیت ترافیکاز یک فرستنده

سرریز بافر
اصل این نوع حمله است خطاهای نرم افزاری، که در آن حافظهمرزهای خود را نقض می کند. این، به نوبه خود، یا مجبور می شود روند را پایان دهیداضطراری، یا اجرای خودسرانه کد باینری،جایی که از حساب جاری استفاده می شود. اگر حساب یک مدیر است، این اقدامات اجازه می دهد دسترسی کامل داشته باشیدبه سیستم

ویروس ها، تروجان ها، کرم ها، اسنیفرها
این نوع حمله ترکیبی از انواع مختلف است برنامه های شخص ثالث. قرار ملاقات و اصول کارکرد، اصول جراحی، اصول عملکردچنین برنامه ای می تواند بسیار متنوع باشد، بنابراین منطقی نیست که در مورد هر یک از آنها با جزئیات صحبت کنیم. وجه اشتراک همه این برنامه ها این است که هدف اصلی آنها دسترسی و " عفونت" سیستم های.

هوش شبکه
را نوع حملهبه خودی خود هیچ اقدام مخربی را پیش بینی نمی کند. هوش یعنی فقط مجموعه اطلاعاتمزاحم - اسکن پورت, پرس و جو DNS, بررسی امنیت کامپیوتر و بررسی سیستم. معمولا سرویس اطلاعاتیقبل از یک حمله هدفمند جدی انجام شد.

بوییدن بسته ها
اصل کار بر اساس ویژگی های کارت شبکه است. بسته های دریافت شده توسط آن برای پردازش ارسال می شوند، جایی که برنامه های کاربردی خاص با آنها تعامل دارند. در نتیجه، مهاجم نه تنها به اطلاعات مربوط به ساختار سیستم کامپیوتری، بلکه به اطلاعات انتقال مستقیم نیز دسترسی پیدا می کند - رمزهای عبور, پیام هاو فایل های دیگر

جعل IP
نوع حملات به شبکه های محلی، چه زمانی یک کامپیوترمهاجم استفاده می کند آدرس آی پیدر این محلی گنجانده شده است خالص. حمله ممکن است اگر سیستم امنیتشناسایی نوع آدرس IP را به استثنای شرایط اضافی فراهم می کند.

مرد در وسط
مهاجم رهگیری می کند ارتباط دادنبین دو برنامه، در نتیجه دسترسی داشته باشیدبه کلیه اطلاعاتی که از این کانال می گذرد هدف از حمله تنها نیست سرقت، اما همچنین تحریف اطلاعات. نمونه ای از این دست حملاتمی تواند خدمت کند استفادهمشابه برنامه های کاربردیبرای تقلب در بازی های آنلاین: اطلاعات مربوط به رویداد بازی تولید شده توسط سمت مشتری به سرور منتقل می شود. در راه او قرار می گیرد برنامه-رهگیر، که به درخواست مهاجم اطلاعات را تغییر می دهد و به جای ارسالی توسط برنامه کلاینت بازی به سرور ارسال می کند.

تزریق
همچنین انواع بسیار گسترده ای از حملات، اصل کلیکه - پیاده سازی سیستم های اطلاعاتیبا قطعات کد برنامه شخص ثالث در حین انتقال داده، که در آن کد عملاً در عملکرد برنامه تداخلی ایجاد نمی کند، اما در عین حال اقدامات لازم برای مهاجم را انجام می دهد.

خود داری از خدمات
DoS (از انگلیسی. خود داری از خدمات) — حمله کنند، که هدف آن عدم پاسخگویی سرور به درخواست ها است. این نوع حمله مستقیماً شامل دستیابی به برخی اطلاعات سری نمی شود، بلکه برای فلج کردن عملکرد سرویس های هدفمند استفاده می شود. به عنوان مثال، برخی از برنامه‌ها می‌توانند به دلیل خطا در کدشان استثناهایی ایجاد کنند و زمانی که سرویس‌ها غیرفعال هستند، می‌توانند کد ارائه شده توسط مهاجم را اجرا کنند یا زمانی که سرور قادر به پردازش همه بسته‌های دریافتی نیست، حملات سیل را اجرا کنند.

DDoS(از انگلیسی. انکار سرویس توزیع شده- توزیع شده DoS) - نوع فرعی حملات DoSداشتن همین هدفچی و DoS، اما نه از یک کامپیوتر، بلکه از چندین کامپیوتر در داخل تولید می شود شبکه های. در این انواع حملاتاستفاده می شود وقوعخطاهایی که ایجاد می کنند امتناع سرویس، یا عملیات حفاظتی، باعث می شود مسدود کردنکار کردن سرویس، و در نتیجه نیز امتناع در خدمت. DDoSدر جاهای معمولی استفاده می شود DoSناکارآمد. برای انجام این کار، چندین کامپیوتر با هم ترکیب می شوند و هر کدام تولید می کنند DoSحمله به سیستم قربانی با هم به آن می گویند حمله DDoS.

راه های محافظت در برابر حملات شبکه.
راه های زیادی برای محافظت در برابر مزاحمان وجود دارد، از جمله آنتی ویروس ها, فایروال ها، انواع توکار فیلترهاو غیره موثرترین آنها حرفه ای بودن کاربر است. نباید باز بشه سایت های مشکوک (پیوندها)، فایل های موجود در ایمیل های یک فرستنده نوع غریبه مرموز. قبل از باز کردن ضمیمه‌ها از آدرس‌های آشنا، باید به هر طریقی غیر از ایمیل درخواست تأیید کنید. به عنوان یک قاعده، دوره های مهارت کامپیوتر و سواد، که تقریبا در هر سازمانی برگزار می شود، می تواند به این امر کمک کند. با این حال، این جایگزین مکانیسم‌ها و برنامه‌های حفاظتی نخواهد شد. شایان ذکر است که فناوری حملات شبکه ثابت نمی ماند و بنابراین باید تا حد امکان انجام شود. به روز رسانی آنتی ویروس، و همچنین اسکن کامل رایانه ها را انجام دهید.

برای جلوگیری از حملات احتمالی هکرها و آلودگی به ویروس، با متخصصان شرکت کامپیوتری "کلیک" مشورت کنید.

من کمی در مورد هکرها توضیح دادم و در این مقاله می خواهم این موضوع را ادامه دهم و در مورد انواع حملات هکرها بنویسم و ​​توصیه هایی در مورد جلوگیری از آنها ارائه دهم.

حمله کنید(حمله) به یک سیستم اطلاعاتی اقدام یا دنباله ای از اقدامات به هم پیوسته یک متجاوز است که با بهره برداری از آسیب پذیری های این سیستم اطلاعاتی منجر به اجرای یک تهدید می شود. بیایید مطالعه حملات را شروع کنیم:

صید ماهی

ماهیگیری (یا فیشینگ). معنای آن دریافت اطلاعات (رمز عبور، شماره کارت اعتباری و غیره) یا پول از کاربران است. این تکنیک یک کاربر را هدف قرار نمی دهد، بلکه تعداد زیادی را هدف قرار می دهد. به عنوان مثال، نامه هایی که ادعا می شود از خدمات پشتیبانی فنی به همه مشتریان شناخته شده یک بانک ارسال می شود. نامه ها معمولاً حاوی درخواست ارسال رمز عبور به حساب کاربری هستند که ظاهراً به دلیل کارهای فنی انجام شده است. چنین نامه هایی معمولاً بسیار باورپذیر و خوش خط هستند که شاید کاربران ساده لوح را مجذوب خود کند.

می توانید در مقاله "" درباره فیشینگ اطلاعات بیشتری کسب کنید.

توصیه ها: پارانویا بهترین دفاع است. به هیچ چیز مشکوکی اعتماد نکنید، اطلاعات خود را به کسی ندهید. اگر گذرواژه شما قصد دسترسی به سرور خود را داشته باشد، مدیران نیازی به دانستن رمز عبور شما ندارند. آنها کنترل کامل سرور را در دست دارند و می توانند رمز عبور را خودشان ببینند یا آن را تغییر دهند.

مهندسی اجتماعی

مهندسی اجتماعی یک تکنیک فنی نیست، بلکه یک تکنیک روانشناختی است. با استفاده از داده‌های به‌دست‌آمده در طول موجودی، یک مهاجم می‌تواند از طرف یک مدیر با یک کاربر (به عنوان مثال، یک شبکه شرکتی) تماس بگیرد و سعی کند برای مثال از او رمز عبور بخواهد. این زمانی امکان پذیر می شود که در شبکه های بزرگ، کاربران همه کارمندان را نشناسند و حتی بیشتر از آن، همیشه نمی توانند آنها را به طور دقیق از طریق تلفن تشخیص دهند. علاوه بر این، از تکنیک های پیچیده روانشناسی استفاده می شود، بنابراین شانس موفقیت بسیار افزایش می یابد.

پیشنهادات: همان در صورت وجود نیاز واقعی، داده های لازم را شخصاً ارائه دهید. اگر رمز عبور را روی کاغذ یادداشت کردید، آن را جایی نگذارید و در صورت امکان آن را از بین ببرید و فقط آن را در سطل زباله نیندازید.

DoS

DoS (انکار سرویس یا انکار سرویس). این یک حمله نیست، بلکه نتیجه یک حمله است. برای غیرفعال کردن سیستم یا برنامه های فردی استفاده می شود. برای انجام این کار، کرکر به روشی خاص به هر برنامه ای درخواست می دهد و پس از آن دیگر کار نمی کند. برای بازگرداندن برنامه به حالت کار، نیاز به راه اندازی مجدد است.

اسمورف

Smurf (حمله ای با هدف خطا در اجرای پروتکل TCP-IP). اکنون این نوع حمله عجیب و غریب در نظر گرفته می شود، اما قبلاً، زمانی که پروتکل TCP-IP کاملاً جدید بود، حاوی تعدادی خطا بود که به عنوان مثال، امکان جایگزینی آدرس های IP را می داد. با این حال، این نوع حمله هنوز هم استفاده می شود. برخی از کارشناسان TCP Smurf، UDP Smurf، ICMP Smurf را تشخیص می دهند. البته این تقسیم بندی بر اساس نوع بسته بندی ها می باشد.

طوفان UDP

UDP Storm (طوفان UDP) - در صورتی استفاده می شود که حداقل دو پورت UDP روی قربانی باز باشد که هر یک پاسخی را به فرستنده ارسال می کند. به عنوان مثال، پورت 37 با سرور زمان، تاریخ و زمان فعلی را به درخواست ارسال می کند. کرکر یک بسته UDP را به یکی از پورت های قربانی می فرستد، اما آدرس قربانی و دومین پورت UDP باز قربانی را به عنوان فرستنده مشخص می کند. سپس پورت ها شروع به پاسخ بی پایان به یکدیگر می کنند که باعث کاهش عملکرد می شود. به محض گم شدن یکی از بسته ها (مثلاً به دلیل اضافه بار منابع) طوفان متوقف می شود.

بمب UDP

بمب UDP - یک مهاجم یک بسته UDP را با فیلدهای داده سرویس نادرست به سیستم ارسال می کند. داده ها را می توان به هر طریقی شکست داد (به عنوان مثال، طول فیلد نادرست، ساختار). این ممکن است منجر به تصادف شود. توصیه ها: نرم افزار را به روز کنید.

بمب گذاری پستی

بمباران پستی ("بمب گذاری پستی"). اگر یک سرور ایمیل در رایانه مورد حمله وجود داشته باشد، تعداد زیادی پیام ایمیل به منظور غیرفعال کردن آن به آن ارسال می شود. علاوه بر این، چنین پیام هایی بر روی هارد دیسک سرور ذخیره می شوند و می توانند آن را پر کنند که می تواند باعث DoS شود. البته در حال حاضر این حمله بیشتر سابقه دارد، اما در برخی موارد همچنان می توان از آن استفاده کرد. توصیه ها: راه اندازی شایسته سرور ایمیل.

بو کشیدن

Sniffing (Sniffing یا گوش دادن به شبکه). در صورتی که هاب به جای سوئیچ در شبکه نصب شود، بسته های دریافتی به تمام رایانه های موجود در شبکه ارسال می شود و سپس رایانه ها تعیین می کنند که آیا این بسته برای آنهاست یا خیر.

اگر یک مزاحم به رایانه ای که در چنین شبکه ای گنجانده شده است دسترسی پیدا کند یا مستقیماً به شبکه دسترسی پیدا کند، تمام اطلاعات منتقل شده در بخش شبکه، از جمله رمزهای عبور، در دسترس خواهد بود. کرکر به سادگی کارت شبکه را در حالت گوش دادن قرار می دهد و تمام بسته ها را بدون در نظر گرفتن اینکه برای او در نظر گرفته شده اند می پذیرد.

IP Hijack

IP Hijack (IP Hijack). اگر دسترسی فیزیکی به شبکه وجود داشته باشد، مهاجم می‌تواند به کابل شبکه ضربه بزند و به عنوان یک واسطه در انتقال بسته‌ها عمل کند، در نتیجه به تمام ترافیک بین دو رایانه گوش می‌دهد. روشی بسیار ناخوشایند که اغلب خود را توجیه نمی کند، مگر در مواردی که هیچ راه دیگری قابل اجرا نیست. چنین گنجاندن به خودی خود ناخوشایند است، اگرچه دستگاه هایی وجود دارند که این کار را کمی ساده می کنند، به ویژه، آنها شماره گذاری بسته ها را برای جلوگیری از شکست و تشخیص احتمالی نفوذ به کانال نظارت می کنند.

سرور DNS ساختگی

سرور DNS ساختگی (سرور DNS نادرست). اگر تنظیمات شبکه روی خودکار تنظیم شده باشد، وقتی شبکه را روشن می‌کنید، رایانه «پرسش» می‌کند که چه کسی سرور DNS آن خواهد بود، که در آینده درخواست‌های DNS را برای آن ارسال خواهد کرد. با توجه به دسترسی فیزیکی به شبکه، یک مهاجم می تواند چنین درخواست پخشی را رهگیری کند و پاسخ دهد که رایانه او یک سرور DNS خواهد بود. پس از آن، او قادر خواهد بود قربانی فریب خورده را در هر مسیری بفرستد. به عنوان مثال، اگر قربانی بخواهد به وب سایت بانک مراجعه کند و پول را انتقال دهد، یک هکر می تواند آن را به رایانه خود ارسال کند، جایی که فرم ورود رمز عبور ساخته می شود. پس از آن، رمز عبور متعلق به مهاجم خواهد بود. یک روش نسبتاً پیچیده، زیرا مهاجم باید قبل از سرور DNS به قربانی پاسخ دهد.

جعل IP

جعل IP (جعل یا جعل آدرس IP). مهاجم IP واقعی خود را با یک IP ساختگی جایگزین می کند. این در صورتی ضروری است که فقط آدرس های IP خاصی به منبع دسترسی داشته باشند. مهاجم باید IP واقعی خود را به "ممتاز" یا "معتمد" تغییر دهد تا بتواند دسترسی داشته باشد. این روش می تواند متفاوت استفاده شود. پس از اینکه دو رایانه با بررسی رمزهای عبور، ارتباطی بین خود برقرار کردند، مهاجم می‌تواند باعث شود قربانی منابع شبکه را با بسته‌های تولید شده به‌ویژه بارگذاری کند. بنابراین، او می تواند ترافیک را به سمت خود هدایت کند و در نتیجه روند احراز هویت را دور بزند.

توصیه ها: کاهش زمان بسته پاسخ با مجموعه پرچم های SYN و ACK و همچنین افزایش حداکثر تعداد درخواست SYN در هر اتصال در صف (tcp_max_backlog)، تهدید را کاهش می دهد. همچنین می توانید از SYN Cookies استفاده کنید.

آسیب پذیری های نرم افزاری

آسیب پذیری های نرم افزاری بهره برداری از اشکالات در نرم افزار اثر ممکن است متفاوت باشد. از کسب اطلاعات ناچیز گرفته تا کنترل کامل سیستم. حملات از طریق اشکالات نرم افزاری محبوب ترین در تمام دوران هستند. باگ‌های قدیمی با نسخه‌های جدید برطرف می‌شوند، اما باگ‌های جدید در نسخه‌های جدید ظاهر می‌شوند که می‌توان دوباره از آنها استفاده کرد.

ویروس ها

شناخته شده ترین مشکل برای کاربر معمولی. نکته اصلی، معرفی بدافزار به رایانه کاربر است. عواقب آن می تواند متفاوت باشد و بستگی به نوع ویروسی دارد که کامپیوتر با آن آلوده شده است. اما به طور کلی - از سرقت اطلاعات گرفته تا ارسال هرزنامه، سازماندهی حملات DDoS و همچنین به دست آوردن کنترل کامل بر روی رایانه. علاوه بر فایل پیوست شده به نامه، ویروس ها می توانند از طریق برخی از آسیب پذیری های سیستم عامل وارد رایانه شوند.

هنوز تعریف دقیقی از اصطلاح "حمله" (تهاجم، حمله) وجود ندارد. هر متخصص امنیتی آن را متفاوت تفسیر می کند. من تعریف زیر را صحیح ترین و کامل ترین تعریف می دانم.

حمله کنیددر سیستم اطلاعاتی، اقدامات عمدی یک مهاجم است که از آسیب پذیری های سیستم اطلاعاتی استفاده می کند و منجر به نقض در دسترس بودن، یکپارچگی و محرمانه بودن اطلاعات در حال پردازش می شود.

بیایید آسیب پذیری های سیستم اطلاعاتی را از بین ببریم - امکان اجرای حملات را نیز از بین خواهیم برد.

تا به امروز، ناشناخته تلقی می شود که چند روش حمله وجود دارد. آنها می گویند هنوز مطالعات ریاضی جدی در این زمینه وجود ندارد. اما در سال 1996، فرد کوهن مبانی ریاضی فناوری ویروس را توصیف کرد. در این کار ثابت شده است که تعداد ویروس ها بی نهایت است. بدیهی است که تعداد حملات نیز بی نهایت است، زیرا ویروس ها زیر مجموعه بسیاری از حملات هستند.

مدل های حمله

مدل حمله سنتیبر اساس اصل (شکل 1) یا (شکل 2)، یعنی. حمله از یک منبع واحد انجام می شود. توسعه دهندگان ابزارهای حفاظت از شبکه (دیوارهای آتش، سیستم های تشخیص نفوذ و غیره) بر روی مدل حمله سنتی متمرکز شده اند. در نقاط مختلف شبکه حفاظت شده، عوامل (حسگرها) سیستم حفاظتی نصب می شوند که اطلاعات را به کنسول مدیریت مرکزی منتقل می کنند. این کار مقیاس بندی سیستم، سهولت مدیریت از راه دور و غیره را تسهیل می کند. با این حال، چنین مدلی نمی تواند با حملات نسبتاً اخیر (در سال 1998) کشف شده - حملات توزیع شده مقابله کند.
شکل 1. رابطه یک به یک

مدل حمله توزیع شده از اصول مختلفی استفاده می کند. برخلاف مدل سنتی در مدل توزیع شدهروابط (شکل 3) و (شکل 4) استفاده می شود.

حملات توزیع شده بر اساس حملات انکار سرویس "کلاسیک" یا بهتر است بگوییم بر زیر مجموعه ای از آنها به نام حملات سیلیا حملات طوفان(این اصطلاحات را می توان به عنوان "طوفان"، "سیل" یا "بهمن" ترجمه کرد). منظور از این حملات ارسال تعداد زیادی بسته به میزبان مورد حمله است. گره مورد حمله ممکن است شکست بخورد، زیرا در بهمن بسته های ارسالی "خفه می شود" و نمی تواند درخواست های کاربران مجاز را پردازش کند. حملات SYN-Flood، Smurf، UDP Flood، Targa3 و ... بر اساس این اصل کار می کنند. با این حال، اگر پهنای باند کانال به گره مورد حمله بیشتر از پهنای باند مهاجم باشد یا گره مورد حمله به درستی پیکربندی نشده باشد، چنین حمله ای منجر به "موفقیت" نخواهد شد. به عنوان مثال، استفاده از این حملات برای شکستن عملکرد ارائه دهنده خود بی فایده است. اما یک حمله توزیع شده دیگر از یک نقطه در اینترنت اتفاق نمی افتد، بلکه از چندین نقطه به طور همزمان رخ می دهد، که منجر به افزایش شدید ترافیک و ناتوانی گره مورد حمله می شود. به عنوان مثال، طبق گزارش روسیه آنلاین، به مدت دو روز، از ساعت 9 صبح روز 28 دسامبر 2000، بزرگترین ارائه دهنده اینترنت در ارمنستان "آرمینکو" مورد حمله توزیع شده قرار گرفت. در این مورد بیش از 50 دستگاه از کشورهای مختلف به این حمله پیوستند و پیام های بی معنی را به آدرس آرمینکو ارسال کردند. تعیین اینکه چه کسی این حمله را سازماندهی کرد و هکر در چه کشوری قرار داشت غیرممکن بود. اگرچه آرمینکو عمدتا مورد حمله قرار گرفت، اما معلوم شد که کل بزرگراهی که ارمنستان را به شبکه جهانی وب متصل می‌کند، بیش از حد بارگذاری شده است. در 30 دسامبر، به لطف همکاری "آرمینکو" و یکی دیگر از ارائه دهندگان - "آرمن تل" - اتصال به طور کامل برقرار شد. با وجود این، حمله کامپیوتری ادامه یافت، اما با شدت کمتر.

مراحل اجرای حمله

مراحل زیر در اجرای حمله قابل تشخیص است:

معمولاً وقتی در مورد حمله صحبت می کنند، دقیقاً مرحله دوم را در نظر می گیرند که اول و آخر را فراموش می کنند. جمع آوری اطلاعات و تکمیل حمله ("پوشاندن مسیرها") نیز به نوبه خود می تواند یک حمله باشد و می تواند به سه مرحله تقسیم شود (نگاه کنید به شکل 5).
شکل 5. مراحل اجرای حمله

جمع آوری اطلاعات مرحله اصلی در اجرای حمله است. در این مرحله است که اثربخشی کار مهاجم کلید "موفقیت" حمله است. ابتدا هدف حمله انتخاب شده و اطلاعات مربوط به آن جمع آوری می شود (نوع و نسخه سیستم عامل، پورت های باز و سرویس های شبکه در حال اجرا، سیستم و نرم افزار کاربردی نصب شده و پیکربندی آن و ...). سپس آسیب‌پذیرترین مکان‌های سیستم مورد حمله شناسایی می‌شوند که تاثیر آن به نتیجه مورد نظر مهاجم منجر می‌شود. مهاجم سعی می کند تمام کانال های تعامل هدف حمله با گره های دیگر را آشکار کند. این نه تنها امکان انتخاب نوع حمله اجرا شده، بلکه منبع اجرای آن را نیز فراهم می کند. به عنوان مثال، گره مورد حمله با دو سرور در حال اجرا یونیکس و ویندوز NT تعامل دارد. گره مورد حمله با یک سرور رابطه قابل اعتمادی دارد، اما با سرور دیگر رابطه ندارد. سروری که مهاجم از طریق آن حمله را اجرا می کند بستگی به این دارد که از کدام حمله استفاده شود، کدام ابزار پیاده سازی انتخاب شود و غیره. سپس بسته به اطلاعات دریافتی و نتیجه مورد نظر، حمله ای که بیشترین تاثیر را می دهد انتخاب می شود. مثلا:
SYN Flood، Teardrop، UDP Bomb - برای اختلال در عملکرد گره.
اسکریپت CGI - برای نفوذ به یک گره و سرقت اطلاعات.
PHF - برای سرقت فایل رمز عبور و حدس زدن رمز عبور از راه دور و غیره.

دفاع های سنتی، مانند فایروال ها یا مکانیسم های فیلتر در مسیریاب ها، تنها در مرحله دوم حمله عملی می شوند و اولین و سومین آن را کاملاً «فراموش می کنند». این منجر به این واقعیت می شود که توقف حمله اغلب انجام شده حتی با وسایل حفاظتی قدرتمند و گران قیمت بسیار دشوار است. نمونه ای از این حملات توزیع شده است. منطقی است که وسایل حفاظتی در مرحله اول شروع به کار کنند، یعنی. از امکان جمع آوری اطلاعات در مورد سیستم مورد حمله جلوگیری می کند. این امر باعث می شود، اگر نه به طور کامل از حمله جلوگیری شود، حداقل به طور قابل توجهی کار مهاجم را پیچیده می کند. ابزارهای سنتی همچنین امکان شناسایی حملات از قبل انجام شده و ارزیابی آسیب پس از اجرای آنها را ندارند، یعنی. در مرحله سوم اجرای حمله کار نکنید. بنابراین نمی توان تدابیری برای جلوگیری از چنین حملاتی در آینده تعریف کرد.

بسته به نتیجه مورد نظر، مهاجم بر یک مرحله از حمله متمرکز می شود. مثلا:
برای انکار سرویس، شبکه مورد حمله با جزئیات تجزیه و تحلیل می شود، نقاط ضعف و ضعف در آن جستجو می شود.
برای سرقت اطلاعات، تمرکز بر نفوذ مخفیانه به گره های مورد حمله با استفاده از آسیب پذیری های قبلاً کشف شده است.

مکانیسم های اصلی برای اجرای حملات را در نظر بگیرید. این برای درک روش های تشخیص این حملات ضروری است. علاوه بر این، درک اصول اقدامات مهاجمان کلید موفقیت در دفاع از شبکه است.

1. جمع آوری اطلاعات

اولین مرحله در اجرای حملات، جمع آوری اطلاعات در مورد سیستم یا گره مورد حمله است. این شامل اقداماتی مانند تعیین توپولوژی شبکه، نوع و نسخه سیستم عامل گره مورد حمله، و همچنین شبکه موجود و سایر خدمات و غیره است. این اقدامات به روش های مختلف اجرا می شود.

کاوش در محیط

در این مرحله، مهاجم محیط شبکه اطراف هدف مورد نظر حمله را بررسی می کند. به عنوان مثال، چنین مناطقی شامل میزبان های ارائه دهنده اینترنت "قربانی" یا میزبانان دفتر راه دور شرکت مورد حمله است. در این مرحله، مهاجم ممکن است در تلاش برای تعیین آدرس سیستم‌های «معتمد» (مثلاً شبکه شریک) و گره‌هایی باشد که مستقیماً به هدف حمله (مثلاً روتر ISP) و غیره متصل هستند. شناسایی چنین اقداماتی بسیار دشوار است، زیرا آنها در یک دوره زمانی به اندازه کافی طولانی و خارج از منطقه تحت کنترل اقدامات امنیتی (دیوارهای آتش، سیستم های تشخیص نفوذ و غیره) انجام می شوند.

شناسایی توپولوژی شبکه

دو روش اصلی برای تعیین توپولوژی شبکه مورد استفاده توسط مهاجمان وجود دارد:

1. تغییر TTL (مدولاسیون TTL)،
2. رکورد مسیر (رکورد مسیر).

روش اول توسط traceroute برای یونیکس و tracert برای ویندوز استفاده می شود. آنها از فیلد Time to Live در هدر بسته IP استفاده می کنند که بر اساس تعداد روترهایی که بسته شبکه از آن عبور می کند تغییر می کند. ابزار پینگ می تواند برای ضبط مسیر بسته ICMP استفاده شود. اغلب، توپولوژی شبکه را می توان با استفاده از پروتکل SNMP نصب شده در بسیاری از دستگاه های شبکه، که امنیت آن به درستی پیکربندی نشده است، پیدا کرد. با استفاده از پروتکل RIP می توانید اطلاعاتی در مورد جدول مسیریابی در شبکه و ... بدست آورید.

بسیاری از این روش ها توسط سیستم های مدیریت مدرن (مانند HP OpenView، Cabletron SPECTRUM، MS Visio و غیره) برای ساخت نقشه های شبکه استفاده می شود. و همین روش ها می توانند با موفقیت توسط مهاجمان برای ساختن نقشه ای از شبکه مورد حمله استفاده شوند.

شناسایی گره

شناسایی میزبان معمولا با ارسال دستور ICMP ECHO_REQUEST با استفاده از ابزار پینگ انجام می شود. پیام پاسخ ECHO_REPLY نشان می دهد که گره در دسترس است. برنامه های رایگانی وجود دارند که فرآیند شناسایی تعداد زیادی گره را به صورت موازی خودکار و سرعت می بخشند، مانند fping یا nmap. خطر این روش این است که درخواست های ECHO_REQUEST توسط ابزار استاندارد گره رفع نمی شوند. برای این کار باید از ابزارهای تحلیل ترافیک، فایروال ها یا سیستم های تشخیص نفوذ استفاده کنید.

این ساده ترین روش برای شناسایی گره ها است. با این حال، دو اشکال دارد.

1. بسیاری از دستگاه‌ها و برنامه‌های شبکه بسته‌های ICMP را مسدود می‌کنند و به آنها اجازه ورود به شبکه داخلی نمی‌دهند (یا بالعکس اجازه خروج آنها را نمی‌دهند). به عنوان مثال، MS Proxy Server 2.0 اجازه نمی دهد بسته ها از پروتکل ICMP عبور کنند. نتیجه یک تصویر ناقص است. از طرف دیگر، مسدود کردن یک بسته ICMP به مهاجم می گوید که یک "خط اول دفاع" وجود دارد - روترها، فایروال ها و غیره.
2. استفاده از درخواست های ICMP، یافتن منبع آنها را آسان می کند، که البته نمی تواند وظیفه یک مهاجم باشد.

روش دیگری برای شناسایی گره ها وجود دارد - با استفاده از حالت "مخلوط" کارت شبکه، که به شما امکان می دهد گره های مختلف را در یک بخش شبکه شناسایی کنید. اما در مواردی که ترافیک بخش شبکه از گره خود برای مهاجم در دسترس نباشد، کاربرد ندارد، یعنی. این روش فقط در شبکه های محلی قابل اجرا است. یکی دیگر از راه های شناسایی میزبان ها در شبکه، شناسایی DNS است که به شما امکان می دهد با دسترسی به سرور سرویس نام، هاست ها را در یک شبکه شرکتی شناسایی کنید.

شناسایی سرویس یا اسکن پورت

شناسایی خدمات، به عنوان یک قاعده، با شناسایی پورت های باز (اسکن پورت) انجام می شود. چنین پورت هایی اغلب با خدمات مبتنی بر پروتکل های TCP یا UDP مرتبط هستند. مثلا:

• پورت باز 80 دلالت بر وب سرور دارد،
• پورت 25 - سرور ایمیل SMTP،
• 31337 - بخش سرور از اسب تروجان BackOrifice،
• 12345 یا 12346 - بخش سرور اسب تروجان NetBus و غیره.

از برنامه های مختلفی می توان برای شناسایی سرویس ها و اسکن پورت ها از جمله استفاده کرد. و آزادانه توزیع می شود. مثلا nmap یا netcat.

شناسایی سیستم عامل

مکانیسم اصلی برای تعیین سیستم عامل از راه دور، تجزیه و تحلیل پاسخ به درخواست ها با در نظر گرفتن پیاده سازی های مختلف پشته TCP / IP در سیستم عامل های مختلف است. هر سیستم‌عامل پشته پروتکل TCP/IP را به روش خود پیاده‌سازی می‌کند، که این امکان را فراهم می‌کند تا با استفاده از درخواست‌ها و پاسخ‌های خاص، مشخص شود که کدام سیستم‌عامل روی یک میزبان راه دور نصب شده است.

یکی دیگر از روش‌های کمتر مؤثر و بسیار محدود برای شناسایی گره‌های سیستم عامل، تجزیه و تحلیل سرویس‌های شبکه موجود در مرحله قبل است. به عنوان مثال، درگاه باز 139 به ما امکان می دهد نتیجه بگیریم که میزبان راه دور به احتمال زیاد سیستم عاملی از خانواده ویندوز را اجرا می کند. برای تعیین سیستم عامل می توان از برنامه های مختلفی استفاده کرد. مثلا nmap یا queso.

تعیین نقش میزبان

مرحله ماقبل آخر در مرحله جمع آوری اطلاعات در مورد میزبان مورد حمله، تعیین نقش آن است، به عنوان مثال، انجام عملکردهای یک فایروال یا یک وب سرور. این مرحله بر اساس اطلاعات جمع آوری شده از قبل در مورد سرویس های فعال، نام میزبان، توپولوژی شبکه و غیره انجام می شود. به عنوان مثال، یک پورت باز 80 ممکن است وجود یک وب سرور را نشان دهد، مسدود کردن یک بسته ICMP نشان دهنده وجود احتمالی یک فایروال است، و نام میزبان DNS proxy.domain.ru یا fw.domain.ru خود توضیحی است.

آسیب پذیری های میزبان را شناسایی کنید

آخرین مرحله این است که به دنبال آسیب‌پذیری باشید. در این مرحله، مهاجم با استفاده از ابزارهای مختلف خودکار یا به صورت دستی، آسیب پذیری هایی را تعیین می کند که می توان از آنها برای اجرای یک حمله استفاده کرد. ShadowSecurityScanner، nmap، Retina و غیره می توانند به عنوان ابزارهای خودکار مورد استفاده قرار گیرند.

2. اجرای حمله

از این لحظه، تلاش برای دسترسی به گره مورد حمله آغاز می شود. در این مورد، دسترسی می تواند مستقیم باشد، یعنی. نفوذ به میزبان، و به طور غیر مستقیم، به عنوان مثال، هنگام اجرای یک حمله انکار سرویس. اجرای حملات در مورد دسترسی مستقیم نیز به دو مرحله تقسیم می شود:

• نفوذ؛
• برقراری کنترل

نفوذ

نفوذ شامل غلبه بر ابزارهای محافظت از محیط (به عنوان مثال، دیوار آتش) است. این را می توان به روش های مختلف اجرا کرد. به عنوان مثال، استفاده از یک آسیب‌پذیری در یک سرویس رایانه‌ای که به بیرون «نگاه می‌کند» یا با انتقال محتوای خصمانه از طریق ایمیل (ماکرو ویروس‌ها) یا از طریق اپلت‌های جاوا. چنین محتوایی می‌تواند از به اصطلاح «تونل‌ها» در فایروال استفاده کند (با تونل‌های VPN اشتباه نشود)، که سپس مهاجم از طریق آن نفوذ می‌کند. این مرحله همچنین شامل انتخاب یک رمز عبور مدیر یا دیگر کاربر با استفاده از یک ابزار تخصصی (مثلاً L0phtCrack یا Crack) است.

برقراری کنترل

پس از نفوذ، مهاجم کنترل گره مورد حمله را برقرار می کند. این را می توان با تزریق یک برنامه اسب تروجان (به عنوان مثال NetBus یا BackOrifice) انجام داد. پس از برقراری کنترل بر روی گره مورد نظر و "پوشاندن" ردیابی ها، مهاجم می تواند تمام اقدامات غیرمجاز لازم را از راه دور بدون اطلاع صاحب رایانه مورد حمله انجام دهد. در عین حال، برقراری کنترل بر روی گره شبکه شرکتی باید حتی پس از راه اندازی مجدد سیستم عامل حفظ شود. این کار را می توان با جایگزینی یکی از فایل های بوت یا قرار دادن پیوندی به کد خصمانه در فایل های راه اندازی یا رجیستری سیستم انجام داد. یک مورد شناخته شده وجود دارد که یک مهاجم توانسته بود EEPROM یک کارت شبکه را دوباره برنامه ریزی کند و حتی پس از نصب مجدد سیستم عامل، توانست اقدامات غیرمجاز را مجدداً اجرا کند. اصلاح ساده‌تر این مثال، تزریق کد یا قطعه مورد نیاز به اسکریپت راه‌اندازی شبکه است (مثلاً برای Novell Netware OS).

اهداف حملات

مرحله تکمیل حمله، «پوشاندن مسیرها» از سوی مهاجم است. این معمولاً با حذف ورودی‌های مناسب از گزارش‌های گره و سایر اقداماتی که سیستم مورد حمله را به حالت اولیه خود یعنی «پیش حمله» برمی‌گرداند، انجام می‌شود.

طبقه بندی حملات

انواع مختلفی از طبقه بندی حملات وجود دارد. مثلاً تقسیم به مفعول و فاعل، خارجی و درونی، عمدی و غیرعمدی. با این حال، برای اینکه شما را با طیف گسترده‌ای از طبقه‌بندی‌ها که در عمل چندان قابل اجرا نیستند اشتباه نگیرم، طبقه‌بندی «حیاتی» تری را پیشنهاد می‌کنم:

1. نفوذ از راه دور. حملاتی که به شما امکان می دهد کنترل از راه دور رایانه را از طریق شبکه اجرا کنید. به عنوان مثال، NetBus یا BackOrifice.
2. نفوذ موضعی (نفوذ محلی). حمله ای که منجر به دسترسی غیرمجاز به میزبانی می شود که روی آن اجرا می شود. مثلا GetAdmin.
3. انکار خدمات از راه دور. حملاتی که به شما امکان می دهد رایانه خود را از طریق اینترنت مختل یا بیش از حد بارگذاری کنید. برای مثال Teardrop یا trin00.
4. انکار محلی خدمات. حملاتی که به شما امکان می دهد رایانه ای را که روی آن اجرا می شود، مختل یا بیش از حد بارگذاری کنید. نمونه ای از چنین حمله ای یک اپلت "خصمانه" است که CPU را در یک حلقه بی پایان بارگذاری می کند، که پردازش درخواست های سایر برنامه ها را غیرممکن می کند.
5. اسکنرهای شبکه. برنامه هایی که توپولوژی شبکه را تجزیه و تحلیل می کنند و سرویس های موجود برای حمله را شناسایی می کنند. به عنوان مثال، سیستم nmap.
6. اسکنرهای آسیب پذیری. برنامه هایی که به دنبال آسیب پذیری در گره های شبکه هستند و می توان از آنها برای اجرای حملات استفاده کرد. به عنوان مثال، سیستم SATAN یا ShadowSecurityScanner.
7. کرکرهای رمز عبور. برنامه هایی که رمزهای عبور کاربر را "انتخاب می کنند". به عنوان مثال، L0phtCrack برای ویندوز یا کرک برای یونیکس.
8. آنالایزرهای پروتکل (اسنیفر). برنامه هایی که به ترافیک شبکه گوش می دهند. این برنامه ها می توانند به طور خودکار اطلاعاتی مانند شناسه های کاربری و رمز عبور، اطلاعات کارت اعتباری و ... را جستجو کنند. به عنوان مثال، Microsoft Network Monitor، NetXRay از Network Associates یا LanExplorer.

Internet Security Systems, Inc. تعداد دسته های ممکن را بیشتر کاهش داد و آنها را به 5 رساند:

1. گردآوری اطلاعات (جمع آوری اطلاعات).
2. تلاش برای دسترسی غیرمجاز
3. خود داری از خدمات.
4. فعالیت مشکوک.
5. حملات سیستمی

4 دسته اول به حملات از راه دور و دسته آخر به حملات محلی بر روی گره مورد حمله اشاره دارد. می توان اشاره کرد که این طبقه بندی شامل یک کلاس کامل از حملات به اصطلاح "غیرفعال" ("گوش دادن" به ترافیک، "سرور DNS نادرست"، "جعل سرور ARP" و غیره) نمی شود.

طبقه بندی حملات اجرا شده در بسیاری از سیستم های تشخیص نفوذ نمی تواند طبقه بندی شود. به عنوان مثال، حمله ای که اجرای آن بر روی سیستم عامل یونیکس (مثلاً سرریز بافر statd) می تواند فاجعه بارترین عواقب (بالاترین اولویت) را داشته باشد، در سیستم عامل ویندوز NT ممکن است اصلاً قابل اجرا نباشد یا درجه خطر بسیار کمی داشته باشد. علاوه بر این، در نام حملات و آسیب پذیری ها سردرگمی وجود دارد. یک حمله ممکن است نام های متفاوتی از سازندگان مختلف سیستم های تشخیص نفوذ داشته باشد.

یکی از بهترین پایگاه های داده آسیب پذیری ها و حملات، پایگاه داده X-Force است که در: http://xforce.iss.net/ قرار دارد. می توان با عضویت در لیست پستی هشدار دهنده X-Force آزادانه یا با جستجوی تعاملی پایگاه داده در وب سرور ISS به آن دسترسی داشت.

نتیجه

اگر هیچ آسیب‌پذیری در اجزای سیستم‌های اطلاعاتی وجود نداشت، اجرای بسیاری از حملات غیرممکن بود و بنابراین، سیستم‌های حفاظت سنتی به طور کاملاً مؤثری با حملات احتمالی مقابله می‌کردند. با این حال، برنامه ها توسط افرادی نوشته می شوند که اشتباه می کنند. در نتیجه، آسیب‌پذیری‌هایی ظاهر می‌شوند که توسط مهاجمان برای اجرای حملات استفاده می‌شوند. با این حال، این تنها نیمی از دردسر است. اگر همه حملات بر اساس مدل یک به یک ساخته می شدند، با کمی کشش، اما فایروال ها و سایر سیستم های دفاعی نیز می توانستند در برابر آنها مقاومت کنند. اما حملات هماهنگ ظاهر شده است که ابزارهای سنتی دیگر چندان مؤثر نیستند. و در اینجا فن آوری های جدید در صحنه ظاهر می شوند - فناوری های تشخیص نفوذ. سیستم سازی فوق از داده ها در مورد حملات و مراحل اجرای آنها، مبنای لازم را برای درک فناوری های تشخیص حمله فراهم می کند.

ابزارهای تشخیص حملات کامپیوتری

فناوری تشخیص نفوذ باید وظایف زیر را حل کند:

• شناسایی حملات شناخته شده و هشدار آنها به پرسنل مربوطه.
• "درک" اغلب منابع اطلاعات مبهم در مورد حملات.
• رهایی یا کاهش بار پرسنل امنیتی از عملیات روتین جاری نظارت بر کاربران، سیستم ها و شبکه هایی که اجزای یک شبکه شرکتی هستند.
• توانایی مدیریت حفاظت ها توسط کارشناسان غیر امنیتی.
• کنترل کلیه اقدامات نهادهای شبکه شرکتی (کاربران، برنامه ها، فرآیندها و غیره).

غالبا سیستم های تشخیص نفوذمی توانند عملکردهایی را انجام دهند که به طور قابل توجهی دامنه کاربرد خود را گسترش دهند. مثلا،

• نظارت بر اثربخشی فایروال ها به عنوان مثال، نصب سیستم تشخیص نفوذ پس از دیواره آتش(در داخل شبکه شرکتی) به شما امکان می دهد حملات از دست رفته توسط ITU را شناسایی کنید و از این طریق قوانین گم شده روی دیوار آتش را تعیین کنید.
• کنترل گره های شبکه با به روز رسانی های حذف نشده یا گره ها با نرم افزار قدیمی.
• مسدود کردن و کنترل دسترسی به سایت های اینترنتی خاص. اگرچه سیستم‌های تشخیص نفوذ از فایروال‌ها و سیستم‌های کنترل دسترسی URL، مانند WEBsweeper فاصله دارند، اما می‌توانند تا حدی دسترسی کاربران شبکه شرکتی خاص به منابع اینترنتی خاص، مانند سرورهای وب پورنوگرافیک را کنترل و مسدود کنند. این زمانی ضروری است که سازمان پولی برای خرید فایروال و سیستم تشخیص نفوذ نداشته باشد و عملکردهای ITU بین سیستم تشخیص نفوذ، روتر و سرور پراکسی توزیع شود. علاوه بر این، سیستم‌های تشخیص نفوذ می‌توانند دسترسی کارکنان به سرورها را بر اساس کلمات کلیدی کنترل کنند. به عنوان مثال، جنسی، شغل، کراک و غیره.
• کنترل ایمیل سیستم های تشخیص نفوذ را می توان برای کنترل کارمندان غیرقابل اعتمادی که از ایمیل برای انجام کارهای خارج از مسئولیت های شغلی خود مانند ارسال رزومه استفاده می کنند، استفاده کرد. برخی از سیستم‌ها می‌توانند ویروس‌ها را در پیام‌های ایمیل شناسایی کنند، و اگرچه از سیستم‌های ضد ویروس واقعی فاصله دارند، اما هنوز این وظیفه را کاملاً مؤثر انجام می‌دهند.

بهترین استفاده از زمان و تجربه متخصصان امنیت اطلاعات، شناسایی و از بین بردن علل حملات است، نه شناسایی خود حملات. با از بین بردن علل حملات، یعنی. با کشف و حذف آسیب‌پذیری‌ها، مدیر از این طریق واقعیت اجرای بالقوه حملات را از بین می‌برد. در غیر این صورت، حمله بارها و بارها تکرار خواهد شد که مستلزم تلاش و توجه مدیر است.

طبقه بندی سیستم های تشخیص نفوذ

تعداد زیادی طبقه بندی مختلف از سیستم های تشخیص نفوذ وجود دارد، اما رایج ترین آنها طبقه بندی بر اساس اصل پیاده سازی است:

1. مبتنی بر میزبان، یعنی شناسایی حملاتی که به یک گره شبکه خاص هدایت می شوند،
2. مبتنی بر شبکه، یعنی شناسایی حملاتی که به کل شبکه یا بخش شبکه انجام می شود.

سیستم های تشخیص نفوذ که یک کامپیوتر واحد را کنترل می کنند معمولاً اطلاعات را از لاگ های سیستم عامل و برنامه های کاربردی مختلف (وب سرور، DBMS و غیره) جمع آوری و تجزیه و تحلیل می کنند. سنسور RealSecure OS مطابق این اصل عمل می کند. با این حال، اخیراً سیستم‌هایی که به شدت با هسته سیستم‌عامل ادغام شده‌اند، گسترده شده‌اند و در نتیجه راه کارآمدتری برای تشخیص نقض سیاست‌های امنیتی ارائه می‌دهند. علاوه بر این، چنین ادغامی را می توان به دو روش پیاده سازی کرد. اول، همه تماس‌های سیستم عامل می‌توانند نظارت شوند (اینترسپت چگونه کار می‌کند) یا تمام ترافیک شبکه ورودی/خروجی (به این ترتیب RealSecure Server Sensor کار می‌کند). در حالت دوم، سیستم تشخیص نفوذ، تمام ترافیک شبکه را مستقیماً از کارت شبکه گرفته و سیستم عامل را دور می زند که وابستگی به آن را کاهش می دهد و در نتیجه امنیت سیستم تشخیص نفوذ را افزایش می دهد.

سیستم های تشخیص حمله لایه شبکهجمع آوری اطلاعات از خود شبکه، یعنی از ترافیک شبکه. این سیستم‌ها می‌توانند روی رایانه‌های معمولی (به عنوان مثال، حسگر شبکه RealSecure)، روی رایانه‌های تخصصی (به عنوان مثال، RealSecure برای نوکیا یا Cisco Secure IDS 4210 و 4230) اجرا شوند، یا در روترها یا سوئیچ‌ها (به عنوان مثال، نرم‌افزار مجتمع CiscoSecure IOS یا ماژول سیسکو Catalyst 6000 IDS). در دو مورد اول، اطلاعات تجزیه و تحلیل شده با گرفتن و تجزیه و تحلیل بسته ها با استفاده از رابط های شبکه در حالت بی بند و بار جمع آوری می شود. در حالت دوم، ترافیک از گذرگاه تجهیزات شبکه گرفته می شود.

تشخیص حمله مستلزم تحقق یکی از دو شرط است - یا درک رفتار مورد انتظار شی کنترل شده از سیستم، یا دانستن همه حملات ممکن و تغییرات آنها. در حالت اول از فناوری تشخیص رفتار غیرعادی و در حالت دوم از فناوری تشخیص رفتار مخرب یا سوء استفاده استفاده می شود. تکنیک دوم توصیف حمله در قالب یک الگو یا امضا و جستجوی این الگو در یک فضای کنترل شده (مثلاً ترافیک شبکه یا یک گزارش) است. این فناوری بسیار شبیه به تشخیص ویروس است (سیستم های آنتی ویروس نمونه بارز سیستم تشخیص نفوذ هستند)، به عنوان مثال. این سیستم می تواند تمام حملات شناخته شده را شناسایی کند، اما برای شناسایی حملات جدید و در عین حال ناشناخته به خوبی سازگار نیست. رویکردی که در چنین سیستم هایی اجرا می شود بسیار ساده است و تقریباً تمامی سیستم های تشخیص نفوذ ارائه شده در بازار امروزی بر اساس آن است.

تقریباً تمام سیستم‌های تشخیص نفوذ مبتنی بر رویکرد امضا هستند.

مزایای سیستم های تشخیص نفوذ

برای مدت طولانی می توان مزایای مختلف سیستم های تشخیص نفوذ که در سطوح میزبان و شبکه کار می کنند را برشمرد. با این حال، من فقط بر روی تعدادی از آنها تمرکز می کنم.

سوئیچینگ به شما این امکان را می دهد که شبکه های مقیاس بزرگ را طوری مدیریت کنید که گویی چندین بخش کوچک شبکه هستند. در نتیجه، تعیین بهترین مکان برای نصب سیستمی که حملات را در ترافیک شبکه شناسایی می کند، می تواند دشوار باشد. گاهی اوقات پورت های دهانه روی سوئیچ ها می توانند کمک کننده باشند، اما نه همیشه. تشخیص حمله اختصاصی میزبان تجربه کارآمدتری را در شبکه‌های سوئیچ‌شده فراهم می‌کند، زیرا به شما امکان می‌دهد سیستم‌های تشخیص را فقط در گره‌هایی قرار دهید که به آن نیاز دارند.

سیستم های لایه شبکه نیازی به نصب نرم افزار سیستم تشخیص نفوذ روی هر میزبان ندارند. از آنجایی که تعداد مکان‌هایی که IDS در آن نصب می‌شود برای نظارت بر کل شبکه کم است، هزینه عملیاتی کردن آنها در یک شبکه سازمانی کمتر از هزینه عملیاتی سیستم‌های تشخیص نفوذ در سطح سیستم است. علاوه بر این، برای نظارت بر یک بخش شبکه، صرف نظر از تعداد گره ها در یک بخش معین، تنها به یک حسگر نیاز است.

بسته شبکه که کامپیوتر مهاجم را ترک کرده است، قابل بازگشت نیست. سیستم‌هایی که در لایه شبکه کار می‌کنند، هنگام شناسایی حملات در زمان واقعی، از ترافیک "زنده" استفاده می‌کنند. بنابراین، مهاجم نمی تواند آثار فعالیت غیرمجاز خود را حذف کند. داده های تجزیه و تحلیل شده نه تنها شامل اطلاعاتی در مورد روش حمله، بلکه اطلاعاتی است که می تواند به شناسایی مهاجم و اثبات آن در دادگاه کمک کند. از آنجایی که بسیاری از هکرها از نزدیک با مکانیسم‌های ثبت سیستم آشنا هستند، می‌دانند که چگونه این فایل‌ها را دستکاری کنند تا آثاری از فعالیت‌های خود را پنهان کنند و سیستم‌های سطح سیستمی را که برای شناسایی حمله به این اطلاعات نیاز دارند، تضعیف کنند.

سیستم‌های سطح شبکه، رویدادها و حملات مشکوک را هنگام وقوع شناسایی می‌کنند و بنابراین اعلان و پاسخ سریع‌تری نسبت به سیستم‌هایی که گزارش‌ها را تجزیه می‌کنند، ارائه می‌کنند. به عنوان مثال، هکری که حمله انکار سرویس مبتنی بر TCP را آغاز می‌کند، می‌تواند توسط یک سیستم تشخیص حمله لایه شبکه که یک بسته TCP را با پرچم Reset تنظیم شده در هدر ارسال می‌کند، متوقف شود تا قبل از اینکه حمله باعث اختلال شود، ارتباط با میزبان مهاجم را قطع کند. آسیب به گره مورد حمله سیستم های تجزیه و تحلیل گزارش، حملات را تا زمانی که ورود گزارش مربوطه شناسایی نمی کنند، انجام می دهند و پس از وارد شدن، اقدامات پاسخی را انجام می دهند. در این مرحله، سیستم‌ها یا منابع حیاتی ممکن است از قبل به خطر بیفتند یا سیستمی که سیستم تشخیص نفوذ در سطح میزبان را اجرا می‌کند ممکن است به خطر بیفتد. اعلان بلادرنگ به شما امکان می دهد تا با توجه به پارامترهای از پیش تعریف شده به سرعت واکنش نشان دهید. دامنه این پاسخ ها از اجازه نفوذ در حالت نظارت به منظور جمع آوری اطلاعات در مورد حمله و مهاجم تا پایان فوری حمله متغیر است.

در نهایت، سیستم‌های تشخیص نفوذ که در سطح شبکه عمل می‌کنند، به سیستم‌عامل‌های نصب‌شده در شبکه شرکتی وابسته نیستند، زیرا آنها بر روی ترافیک شبکه ای کار می‌کنند که توسط همه گره‌های شبکه شرکت رد و بدل می‌شود. سیستم تشخیص نفوذ اهمیتی نمی دهد که کدام سیستم عامل یک بسته خاص را تولید کرده است، تا زمانی که مطابق با استانداردهای پشتیبانی شده توسط سیستم تشخیص باشد. به عنوان مثال، ویندوز 98، ویندوز NT، ویندوز 2000 و XP، Netware، Linux، MacOS، Solaris و غیره می توانند در شبکه کار کنند، اما اگر از طریق IP با یکدیگر ارتباط برقرار کنند، هر یک از سیستم های تشخیص نفوذ که از این پشتیبانی می کنند پروتکل، قادر خواهد بود حملاتی را که متوجه این سیستم عامل ها می شود، شناسایی کند.

استفاده ترکیبی از سیستم های تشخیص نفوذ در سطح شبکه و سطح میزبان امنیت شبکه شما را افزایش می دهد.

سیستم های تشخیص نفوذ شبکه و فایروال ها

اغلب، آنها سعی می کنند سیستم های تشخیص نفوذ شبکه را با فایروال ها جایگزین کنند، با تکیه بر این واقعیت که دومی سطح بسیار بالایی از امنیت را ارائه می دهد. با این حال، به خاطر داشته باشید که فایروال ها صرفاً سیستم های مبتنی بر قوانین هستند که ترافیک از طریق آنها را مجاز یا رد می کنند. حتی فایروال هایی که با استفاده از فناوری "" ساخته شده اند به شما اجازه نمی دهند با اطمینان بگویید که آیا حمله ای در ترافیکی که آنها کنترل می کنند وجود دارد یا خیر. آنها می توانند تشخیص دهند که آیا ترافیک با این قانون مطابقت دارد یا خیر. برای مثال، ITU طوری پیکربندی شده است که تمام اتصالات به جز اتصالات TCP در پورت 80 (یعنی ترافیک HTTP) را مسدود کند. بنابراین هرگونه تردد از طریق بندر هشتادم از نظر ITU قانونی است. از سوی دیگر، سیستم تشخیص نفوذ نیز ترافیک را رصد می کند، اما به دنبال نشانه های حمله در آن می گردد. او اهمیت چندانی نمی دهد که مقصد ترافیک کدام بندر است. به طور پیش فرض، تمام ترافیک برای سیستم تشخیص نفوذ مشکوک است. یعنی علیرغم اینکه سیستم تشخیص نفوذ با منبع داده مشابه ITU کار می کند، یعنی با ترافیک شبکه، آنها عملکردهای مکمل را انجام می دهند. به عنوان مثال، درخواست HTTP "GET /../../../etc/passwd HTTP/1.0". تقریباً هر ITU اجازه عبور این درخواست را از طریق خود می دهد. با این حال، سیستم تشخیص نفوذ به راحتی این حمله را شناسایی کرده و آن را مسدود می کند.

می توانیم قیاس زیر را ترسیم کنیم. فایروال یک گردان ساده است که در ورودی اصلی شبکه شما نصب شده است. اما در کنار درهای اصلی، درهای دیگری و همچنین پنجره ها وجود دارد. با خودنمایی به عنوان یک کارمند واقعی یا جلب اعتماد به نگهبان در گردان، یک مهاجم می تواند یک وسیله انفجاری یا یک تفنگ را از طریق گردان حمل کند. کمی از یک مهاجم می تواند از پنجره شما وارد شود. به همین دلیل است که ما به سیستم‌های تشخیص نفوذ نیاز داریم که حفاظت ارائه شده توسط فایروال‌ها را که یک عنصر ضروری اما آشکارا ناکافی از امنیت شبکه هستند، افزایش دهند.

دیواره آتش- نه یک دارو!

انواع واکنش ها به یک حمله شناسایی شده

تشخیص یک حمله کافی نیست - لازم است به آن پاسخ داده شود. این گزینه های پاسخ هستند که تا حد زیادی اثربخشی یک سیستم تشخیص نفوذ را تعیین می کنند. گزینه های زیر در حال حاضر ارائه می شوند:

• اعلان به کنسول (از جمله پشتیبان) یک سیستم تشخیص نفوذ یا به کنسول یک سیستم یکپارچه (مثلاً فایروال).
• اعلان صوتی حمله
• تولید توالی های فرار SNMP برای سیستم های مدیریت شبکه.
• ایجاد ایمیل در مورد حمله
• اعلان های اضافی به پیجر یا فکس. یک ویژگی بسیار جالب، البته به ندرت استفاده می شود. هشدار در مورد شناسایی فعالیت های غیرمجاز برای مدیر ارسال نمی شود، بلکه برای مهاجم ارسال می شود. به گفته حامیان این گزینه پاسخ، متخلف با اطلاع از کشف او، مجبور به توقف اقدامات خود می شود.
• ثبت اجباری رویدادهای شناسایی شده دفترچه یادداشت می تواند:
  • فایل متنی،
  • syslog (به عنوان مثال، در یک سیستم نرم افزار یکپارچه امن سیسکو)،
  • فایل متنی با فرمت خاص (به عنوان مثال، در سیستم Snort)،
  • پایگاه داده محلی MS Access،
  • پایگاه داده SQL (به عنوان مثال، در سیستم RealSecure).
  فقط باید در نظر گرفت که حجم اطلاعات ثبت شده معمولاً به یک پایگاه داده SQL - MS SQL یا Oracle نیاز دارد.
• ردیابی رویداد (ردیابی رویداد)، i.e. ضبط آنها به ترتیب و با سرعتی که توسط مهاجم اجرا می شود. سپس، در هر زمان معین، مدیر می‌تواند توالی مورد نظر از رویدادها را با نرخ معین (زمان واقعی، سریع یا آهسته) مجدداً پخش کند (بازپخش یا پخش) تا فعالیت مهاجم را تجزیه و تحلیل کند. این به شما امکان می دهد شرایط او، ابزار حمله مورد استفاده و غیره را درک کنید.
• قطع کردن اقدامات مهاجم، یعنی. خاتمه اتصال می توان آن را به صورت زیر انجام داد:
  • رهگیری اتصال (ربایش جلسه) و ارسال یک بسته با پرچم RST تنظیم شده برای هر دو شرکت کننده در اتصال شبکه از طرف هر یک از آنها (در یک سیستم تشخیص نفوذ که در سطح شبکه کار می کند).
  • مسدود کردن حساب کاربری که حمله را انجام می دهد (در سیستم تشخیص نفوذ در سطح میزبان). چنین مسدودسازی می تواند برای مدت زمان مشخصی انجام شود یا تا زمانی که حساب توسط مدیر باز شود. بسته به امتیازاتی که سیستم تشخیص نفوذ راه‌اندازی می‌شود، مسدود کردن می‌تواند هم در خود رایانه که هدف حمله قرار می‌گیرد و هم در کل دامنه شبکه عمل کند.
• پیکربندی مجدد تجهیزات شبکه یا فایروال ها. اگر حمله ای شناسایی شود، فرمانی برای تغییر لیست کنترل دسترسی به روتر یا فایروال ارسال می شود. پس از آن، تمام تلاش های اتصال از گره مهاجم رد می شود. مانند مسدود کردن حساب یک مهاجم، تغییر لیست کنترل دسترسی می تواند برای یک بازه زمانی مشخص یا تا زمانی که تغییر توسط مدیر تجهیزات شبکه قابل تنظیم مجدد لغو شود، انجام می شود.
• مسدود کردن ترافیک شبکه همانطور که در فایروال ها پیاده سازی می شود. این گزینه به شما اجازه می دهد تا ترافیک و همچنین گیرندگانی که می توانند به منابع رایانه محافظت شده دسترسی داشته باشند را محدود کنید و به شما امکان می دهد عملکردهای موجود در فایروال های شخصی را انجام دهید.

در حال حاضر، DDoS یکی از در دسترس ترین و گسترده ترین انواع حملات شبکه است. چند هفته پیش، نتایج مطالعات در مورد شیوع DDoS توسط Arbor Networks، Verisign Inc. منتشر شد.

نتایج تحقیق قابل توجه است:
هر روز، مهاجمان بیش از 2000 حمله DDoS را انجام می دهند.
هزینه حمله هفتگی به یک مرکز داده با اندازه متوسط ​​فقط 150 دلار است.
بیش از نیمی از شرکت کنندگان در نظرسنجی به دلیل DDoS مشکلاتی را تجربه کردند.
یک دهم شرکت کنندگان در نظرسنجی پاسخ دادند که شرکت های آنها بیش از شش بار در سال از حملات DDoS رنج می برند.
حدود نیمی از شرکت ها به دلیل DDoS مشکلاتی را تجربه کردند، میانگین زمان حمله حدود 5 ساعت بود.
این نوع حملات یکی از دلایل اصلی خاموش شدن و از کار افتادن سرور هستند.

انواع اصلی حملات DDoS

به طور کلی، انواع مختلفی از DDoS وجود دارد، و در زیر سعی شده است بیشتر حملات معمولی را با توضیح اصل عملکرد هر نوع حمله لیست کنیم.

سیل UDP

یکی از موثرترین و در عین حال ساده ترین انواع حملات. از پروتکل UDP استفاده می شود که نیازی به ایجاد جلسه با ارسال هر نوع پاسخی ندارد. به طور تصادفی، مهاجم با ارسال تعداد زیادی بسته داده به پورت های سرور حمله می کند. در نتیجه، دستگاه شروع به بررسی می کند که آیا پورتی که بسته به آن می رسد توسط هر برنامه ای استفاده می شود یا خیر. و از آنجایی که تعداد زیادی از این بسته ها وجود دارد، یک ماشین با هر قدرتی به سادگی نمی تواند با این کار کنار بیاید. در نتیجه، تمام منابع دستگاه "خورده" می شود و سرور "پایین می رود".

ساده ترین راه برای محافظت در برابر این نوع حمله، مسدود کردن ترافیک UDP است.

سیل ICMP

مهاجم دائماً به سرور قربانی پینگ می‌کند که در طی آن سرور به طور مداوم پاسخ می‌دهد. تعداد زیادی پینگ وجود دارد و در نتیجه منابع سرور مصرف می شود و دستگاه از دسترس خارج می شود.

به عنوان یک اقدام امنیتی، می توانید از مسدود کردن درخواست های ICMP در سطح فایروال استفاده کنید. متأسفانه، در این حالت، پینگ کردن دستگاه به دلایل واضح کار نخواهد کرد.

سیل SYN

این نوع حمله از ارسال یک بسته SYN به سرور قربانی استفاده می کند. در نتیجه سرور با یک بسته SYN-ACK پاسخ می دهد و دستگاه مهاجم باید پاسخ ACK را ارسال کند، اما ارسال نمی شود. نتیجه باز شدن و انجماد تعداد زیادی از اتصالات است که فقط پس از اتمام زمان بسته می شوند.

اگر از محدودیت تعداد درخواست ها/پاسخ ها فراتر رود، سرور قربانی پذیرش بسته های هر نوع را متوقف می کند و از دسترس خارج می شود.

سیل MAC

یک نوع غیر معمول از حمله که در آن انواع زیادی از تجهیزات شبکه به هدف تبدیل می شوند. مهاجم شروع به ارسال تعداد زیادی بسته اترنت با آدرس های MAC کاملاً متفاوت می کند. در نتیجه سوئیچ شروع به رزرو مقدار مشخصی از منابع برای هر یک از بسته ها می کند و اگر بسته های زیادی وجود داشته باشد، سوئیچ تمام درخواست های موجود را انتخاب کرده و فریز می کند. بدترین سناریو خرابی جدول مسیریابی است.

پینگ مرگ

این نوع حمله امروزه مشکل چندانی ندارد، اگرچه قبلاً یک نوع حمله رایج بود. منظور از این نوع حمله سرریز حافظه بافر به دلیل فراتر رفتن از حداکثر اندازه بسته IP موجود است و در نتیجه سرور و تجهیزات شبکه از سرویس دهی هر نوع بسته خودداری می کنند.

لوریس آهسته

یک حمله متمرکز از این نوع به نیروهای کوچک اجازه می دهد تا به نتایج بزرگ دست یابند. به عبارت دیگر، با استفاده از نه قدرتمندترین سرور، می توانید تجهیزات بسیار پربارتری را "قرار دهید". نیازی به استفاده از پروتکل های دیگر نیست. با این نوع حمله، سرور مهاجم حداکثر تعداد اتصالات HTTP را باز می کند و سعی می کند تا زمانی که ممکن است آنها را باز نگه دارد.

البته تعداد اتصالات روی سرور مورد حمله به پایان می رسد و درخواست های مفید دیگر پذیرفته و پردازش نمی شوند.

حملات منعکس شده است

یک نوع غیر معمول از حمله، زمانی که سرور مهاجم بسته هایی را با IP فرستنده جعلی ارسال می کند و ارسال از طریق حداکثر تعداد ممکن ماشین انجام می شود. تمام سرورهایی که تحت تأثیر چنین اقداماتی قرار می گیرند، پاسخی را به IP مشخص شده در بسته ارسال می کنند، در نتیجه گیرنده نمی تواند با بار مقابله کند و "یخ می زند". در عین حال، عملکرد سرور مهاجم می تواند 10 برابر کمتر از قدرت حمله برنامه ریزی شده باشد. سروری که 100 مگابیت در ثانیه درخواست های نادرست ارسال می کند، می تواند کانال گیگابیتی سرور قربانی را به طور کامل از بین ببرد.

تنزل

با این نوع حمله، سرور مهاجم اقدامات یک شخص واقعی یا کل مخاطب را شبیه سازی می کند. به عنوان نمونه ای از ساده ترین گزینه، می توانید درخواست هایی را برای همان صفحه منبع ارسال کنید و این کار را هزاران بار انجام دهید. ساده ترین راه برای حل مشکل، گزارش موقت خطا با مسدود کردن صفحه مورد حمله است.

نوع پیچیده‌تر حمله، درخواست تعداد زیادی از منابع مختلف سرور، از جمله فایل‌های رسانه، صفحات و هر چیز دیگری است که در نتیجه سرور قربانی کار نمی‌کند.

فیلتر کردن حملات پیچیده از این نوع بسیار دشوار است، در نتیجه شما باید از برنامه ها و خدمات تخصصی استفاده کنید.

حمله روز صفر

این نام حمله ای است که در آن از آسیب پذیری ها / ضعف های سرویس تاکنون ناشناخته استفاده می شود. برای مبارزه با مشکل، مطالعه این نوع حمله ضروری است تا کاری انجام شود.

نتیجه گیری: پیچیده ترین نوع حمله ترکیبی است که از انواع مختلف DDoS استفاده می کند. هرچه این ترکیب پیچیده تر باشد، دفاع در برابر آن دشوارتر است. یک مشکل رایج برای DDoS، یا بهتر است بگوییم برای قربانیان DDoS، در دسترس بودن عمومی این نوع حمله است. تعداد زیادی برنامه و سرویس در وب وجود دارد که به شما امکان می دهد حملات قدرتمندی را به صورت رایگان یا تقریباً رایگان انجام دهید.

چهار دسته اصلی حملات وجود دارد:

دسترسی به حملات

حملات اصلاحی

انکار حمله های سرویسی

حملات انکار

بیایید نگاهی دقیق تر به هر دسته بیندازیم. راه های زیادی برای انجام حملات وجود دارد: استفاده از ابزارهای طراحی شده ویژه، روش های مهندسی اجتماعی، از طریق آسیب پذیری در سیستم های کامپیوتری. مهندسی اجتماعی از ابزارهای فنی برای دسترسی غیرمجاز به سیستم استفاده نمی کند. مهاجم از طریق یک تماس تلفنی ساده اطلاعاتی را به دست می آورد یا در پوشش یک کارمند به سازمانی نفوذ می کند. این نوع حملات مخرب ترین هستند.

حملاتی که با هدف گرفتن اطلاعات ذخیره شده در فرم الکترونیکی انجام می شود یک ویژگی جالب دارند: اطلاعات به سرقت نمی رود، بلکه کپی می شود. نزد مالک اصلی می ماند، اما مهاجم نیز آن را دریافت می کند. بنابراین، صاحب اطلاعات متحمل ضرر می شود و تشخیص لحظه ای که این اتفاق افتاده است بسیار دشوار است.

دسترسی به حملات

حمله دسترسیتلاش مهاجم برای به دست آوردن اطلاعاتی است که اجازه مشاهده آنها را ندارند. اجرای چنین حمله ای در هر جایی که اطلاعات و وسایلی برای انتقال آن وجود داشته باشد امکان پذیر است. حمله دسترسی با هدف نقض محرمانه بودن اطلاعات است. انواع زیر از حملات دسترسی وجود دارد:

· نگاه کردن؛

استراق سمع

استراق سمع.

نیم نگاهی(snooping) مشاهده فایل ها یا اسناد به منظور یافتن اطلاعات مورد علاقه مهاجم است. اگر اسناد به صورت پرینت ذخیره شوند، مهاجم کشوهای میز را باز کرده و در آنها جستجو می کند. اگر اطلاعات در یک سیستم کامپیوتری باشد، پس از آن او فایل به فایل را مرور می کند تا اطلاعات مورد نیاز خود را پیدا کند.

استراق سمع(استراق سمع) استراق سمع غیرمجاز مکالمه ای است که مهاجم در آن شرکت کننده نیست. برای به دست آوردن دسترسی غیرمجاز به اطلاعات، در این حالت، مهاجم باید به آن نزدیک باشد. او اغلب از وسایل الکترونیکی استفاده می کند. معرفی شبکه های بی سیم احتمال شنود موفق را افزایش داده است. اکنون مهاجم نیازی به حضور در داخل سیستم یا اتصال فیزیکی دستگاه شنود به شبکه ندارد.

برخلاف استراق سمع. استراق سمع(رهگیری) یک حمله فعال است. یک مهاجم اطلاعات را در فرآیند انتقال آن به مقصد می گیرد. پس از تجزیه و تحلیل اطلاعات، او تصمیم می گیرد که عبور بیشتر آن را مجاز یا ممنوع کند.

حملات دسترسی، بسته به نحوه ذخیره اطلاعات، اشکال مختلفی دارند: به شکل اسناد کاغذی یا الکترونیکی در رایانه. اگر اطلاعات مورد نیاز مهاجم در قالب اسناد کاغذی ذخیره شود، نیاز به دسترسی به این اسناد خواهد داشت. آنها را می توان در مکان های زیر یافت: در کابینت های پرونده، در کشوهای میز یا روی میزها، در فکس یا چاپگر در سطل زباله، در بایگانی. بنابراین، یک مهاجم باید به طور فیزیکی به همه این مکان ها نفوذ کند.

بنابراین، دسترسی فیزیکی کلید به دست آوردن داده است. لازم به ذکر است که حفاظت مطمئن از محل، داده ها را فقط از افراد غیرمجاز محافظت می کند، اما نه از کارکنان سازمان یا کاربران داخلی.

اطلاعات به صورت الکترونیکی ذخیره می شود: در ایستگاه های کاری، روی سرورها، در رایانه های قابل حمل، روی فلاپی دیسک ها، روی سی دی ها، روی نوارهای مغناطیسی پشتیبان.

یک مهاجم به سادگی می تواند یک رسانه ذخیره سازی (فلاپی دیسک، سی دی، نوار پشتیبان یا رایانه لپ تاپ) را سرقت کند. گاهی اوقات این آسان تر از دسترسی به فایل های ذخیره شده در رایانه است.

اگر مهاجمی به سیستم دسترسی قانونی داشته باشد، با باز کردن یک به یک فایل ها را تجزیه و تحلیل می کند. با سطح مناسب کنترل روی مجوزها، دسترسی یک کاربر غیرقانونی رد می‌شود و تلاش‌های دسترسی ثبت می‌شوند.

مجوزهای به درستی پیکربندی شده از نشت تصادفی اطلاعات جلوگیری می کند. با این حال، یک مهاجم جدی سعی می کند سیستم کنترل را دور بزند و به اطلاعات لازم دسترسی پیدا کند. تعداد زیادی آسیب پذیری وجود دارد که به او در این امر کمک می کند.

هنگام انتقال اطلاعات از طریق شبکه، می توانید با گوش دادن به انتقال به آن دسترسی پیدا کنید. مهاجم این کار را با نصب یک sniffer بسته شبکه (sniffer) بر روی سیستم کامپیوتری انجام می دهد. این معمولاً رایانه ای است که به گونه ای پیکربندی شده است که تمام ترافیک شبکه (نه فقط ترافیک هدایت شده به این رایانه) را ضبط کند. برای انجام این کار، مهاجم باید امتیازات خود را در سیستم افزایش دهد یا به شبکه متصل شود. آنالایزر به گونه ای پیکربندی شده است که هر گونه اطلاعاتی را که از طریق شبکه عبور می کند، به ویژه شناسه های کاربری و رمز عبور را ضبط کند.

استراق سمع در شبکه های کامپیوتری جهانی مانند خطوط اجاره ای و ارتباطات تلفنی نیز انجام می شود. اما این نوع رهگیری نیازمند تجهیزات مناسب و دانش ویژه است.

رهگیری حتی در سیستم های ارتباطی فیبر نوری با استفاده از تجهیزات تخصصی که معمولاً توسط یک مهاجم ماهر انجام می شود امکان پذیر است.

دسترسی به اطلاعات با استفاده از رهگیری یکی از سخت ترین کارها برای یک مهاجم است. او برای موفقیت باید سیستم خود را در خط انتقال بین فرستنده و گیرنده اطلاعات قرار دهد. در اینترنت، این کار با تغییر وضوح نام انجام می شود که نام رایانه را به یک آدرس نامعتبر ترجمه می کند. ترافیک به جای مقصد واقعی به سیستم مهاجم هدایت می شود. با پیکربندی مناسب چنین سیستمی، فرستنده هرگز متوجه نخواهد شد که اطلاعات او به دست گیرنده نرسیده است.

رهگیری همچنین در طول یک جلسه ارتباط واقعی امکان پذیر است. این نوع حمله برای ضبط ترافیک تعاملی مناسب است. در این حالت، مهاجم باید در همان بخش شبکه با کلاینت و سرور باشد. مهاجم منتظر می‌ماند تا یک کاربر قانونی جلسه‌ای را روی سرور باز کند و سپس با استفاده از نرم‌افزار تخصصی، جلسه را که در حال انجام است می‌گیرد.

حملات اصلاحی

حمله اصلاحیتلاش غیرمجاز برای تغییر اطلاعات است. چنین حمله ای در هر جایی که اطلاعات وجود داشته باشد یا منتقل شود امکان پذیر است. هدف آن نقض یکپارچگی اطلاعات است.

یکی از انواع حملات اصلاحی است جایگزینیاطلاعات موجود، مانند تغییر در حقوق یک کارمند. حمله جایگزینی علیه اطلاعات مخفی و در دسترس عموم است.

نوع دیگر حمله است اضافه كردنداده های جدید، به عنوان مثال، اطلاعات مربوط به تاریخ دوره های گذشته. در این حالت، مهاجم عملیاتی را در سیستم بانکی انجام می دهد که در نتیجه وجوه از حساب مشتری به حساب خود او منتقل می شود.

حمله کنید حذفبه معنای جابجایی داده های موجود، مانند حذف تراکنش از ترازنامه بانک، باقی ماندن وجوه برداشت شده از حساب برای باقی ماندن در آن.

مانند حملات دسترسی، حملات اصلاحی علیه اطلاعات ذخیره شده در اسناد کاغذی یا به صورت الکترونیکی در رایانه انجام می شود.

تغییر اسناد دشوار است به طوری که هیچ کس متوجه نمی شود: اگر امضایی وجود دارد (مثلاً در یک قرارداد)، باید از جعل آن مراقبت کنید، سند بسته شده باید با دقت جمع شود. در صورت وجود کپی از سند، آنها نیز مانند نسخه اصلی باید دوباره انجام شوند. و از آنجایی که یافتن همه نسخه ها تقریبا غیرممکن است، تشخیص جعلی بسیار آسان است.

افزودن یا حذف ورودی‌ها از گزارش‌های فعالیت بسیار دشوار است. در مرحله اول، اطلاعات موجود در آنها به ترتیب زمانی مرتب شده اند، بنابراین هر گونه تغییر بلافاصله متوجه خواهد شد. بهترین راه حذف سند و جایگزینی آن با سند جدید است. این نوع حملات نیاز به دسترسی فیزیکی به اطلاعات دارند.

اصلاح اطلاعات ذخیره شده به صورت الکترونیکی بسیار ساده تر است. با توجه به اینکه مهاجم به سیستم دسترسی دارد، چنین عملیاتی حداقل شواهدی را به جا می گذارد. در صورت عدم دسترسی مجاز به فایل‌ها، مهاجم ابتدا باید ورود به سیستم را ایمن کند یا تنظیمات کنترل دسترسی به فایل را تغییر دهد.

اصلاح فایل های پایگاه داده یا لیست تراکنش ها باید با دقت زیادی انجام شود. تراکنش ها به ترتیب شماره گذاری می شوند و حذف یا اضافه شدن شماره تراکنش های نادرست مورد توجه قرار می گیرد. در این موارد، برای جلوگیری از شناسایی باید روی کل سیستم سخت کار کنید.