Računalni napadi i tehnologije za njihovo otkrivanje. Što je mrežni napad

Bombardiranje poštom
Najstariji tip napada. Značajno se povećava promet i broj poslanih poruka, što generira kvar na usluzi. To uzrokuje paraliza ne samo svoju poštu, već i rad samog poslužitelja pošte. Učinkovitost takvi se napadi ovih dana smatraju nulom, od sada davatelj usluga ima mogućnost ugradnje ograničenje promet od jednog pošiljatelja.

Prelijevanje međuspremnika
Princip ove vrste napada je softverske greške, na kojem memorija krši vlastite granice. Ovo pak prisiljava bilo okončati proces hitno ili izvršiti proizvoljnu binarni kod, gdje se koristi tekući račun. Ako je račun administrator, tada su ove radnje dopuštene dobiti puni pristup sustavu.

Virusi, trojanci, crvi za e-poštu, snifferi
Ova vrsta napada kombinira različite programi trećih strana. Svrha i princip rada Takav program može biti vrlo raznolik, pa nema smisla ulaziti u detalje o svakom od njih. Svim ovim programima zajedničko je da im je glavni cilj pristup i " infekcija" sustava.

Mrežna inteligencija
The vrsta napada sama po sebi ne pruža nikakvo destruktivno djelovanje. Inteligencija samo znači prikupljanje informacija uljez - skeniranje portova, DNS upit, provjera zaštite računala i provjera sustava. Obično obavještajna služba izvedeno prije ozbiljnog ciljanog napada.

Njuškanje paketa
Načelo rada temelji se na radnim značajkama mrežne kartice. Paketi koje primi šalju se na obradu, gdje posebne aplikacije komuniciraju s njima. Kao rezultat toga, napadač dobiva pristup ne samo informacijama o strukturi računalnog sustava, već i izravno prenesenim informacijama - lozinke, poruke i druge datoteke.

IP spoofing
Vrsta napada na lokalne mreže, Kada Računalo napadač koristi IP adresa, uključen u ovaj lokal neto. Napad je moguć ako sustav sigurnosti pruža identifikaciju vrste IP adrese, isključujući dodatne uvjete.

Čovjek-u-sredini
Napadač presreće veza između dvije aplikacije, što rezultira pristup na sve informacije koje prolaze ovim kanalom. Svrha napada nije samo krađa, ali također falsificiranje informacija. Primjer ovoga napadi može poslužiti korištenje sličan aplikacije za varanje u online igrama: informacija o događaju u igri koju generira klijentski dio prenosi se na poslužitelj. Stavite joj na put program-presretač, koji mijenja informacije na zahtjev napadača i šalje ih na poslužitelj umjesto onoga što je poslao program klijent igre.

Injekcija
Također prilično široka vrsta napada, opći princip od kojih - implementacija informacijskih sustava s dijelovima programskog koda trećih strana tijekom prijenosa podataka, pri čemu kod zapravo ne ometa rad aplikacije, ali istovremeno izvršava radnju potrebnu napadaču.

Uskraćivanje usluge
DoS (s engleskog Uskraćivanje usluge) — napad, čiji je cilj natjerati poslužitelj da ne odgovara na zahtjeve. Ova vrsta napada ne uključuje izravno dobivanje nekih tajnih podataka, već se koristi za paraliziranje rada ciljnih servisa. Na primjer, neki programi zbog grešaka u svom kodu mogu uzrokovati iznimke, a kada su servisi onemogućeni, sposobni su izvršiti kod napadača ili flooding napade, kada poslužitelj nije u mogućnosti obraditi sve dolazne pakete.

DDoS(s engleskog Distribuirano uskraćivanje usluge- distribuiran DoS) - podvrsta DoS napadi, imajući isto ciljšto i DoS, ali proizveden ne s jednog računala, već s nekoliko računala mreže. U ovim tipovima napadi koristi bilo nastanak generiranje grešaka odbijanje servis, ili aktivirana zaštita, uzrokujući blokiranje raditi servis, i kao rezultat također odbijanje u službi. DDoS koristi gdje je normalno DoS neučinkovito. Da biste to učinili, kombinira se nekoliko računala i svako proizvodi DoS napad na sustav žrtve. Zajedno se zove DDoS napad.

Metode zaštite od mrežnih napada.
Postoji mnogo načina da se zaštitite od uljeza, uključujući antivirusi, vatrozidi, razne ugradbene filteri itd. Najučinkovitija stvar je profesionalnost korisnika. Ne smije se otvarati sumnjive stranice (veze), datoteke u pismima pošiljatelja tipa "tajanstveni stranac". Prije otvaranja privitaka s poznatih adresa, trebali biste zatražiti potvrdu na neki drugi način osim pošte. U pravilu, tečajevi za poboljšanje računalnih vještina i pismenosti, koji se provode u gotovo svakoj organizaciji, mogu pomoći u tome. To, međutim, ne zamjenjuje zaštitne mehanizme i programe. Vrijedno je zapamtiti da tehnologija mrežnih napada ne stoji mirno i stoga ih treba provoditi što je češće moguće Ažuriraj antivirusni, kao i provesti kompletne provjere računala.

Konzultirajte se sa stručnjacima računalne tvrtke "KLiK" kako biste spriječili sve moguće hakerske napade i infekcije virusima.

Govorio sam malo o tome tko su hakeri, au ovom članku želim nastaviti ovu temu i pisati o vrstama hakerskih napada te dati preporuke za njihovo sprječavanje.

Napad(napad) na informacijski sustav je radnja ili slijed međusobno povezanih radnji uljeza koja dovodi do implementacije prijetnje iskorištavanjem ranjivosti ovog informacijskog sustava. Počnimo proučavati napade:

Ribarstvo

Ribolov (ili krađa identiteta). Svrha mu je pribaviti podatke (lozinke, brojeve kreditnih kartica itd.) ili novac od korisnika. Ova tehnika nije usmjerena na jednog korisnika, već na više njih. Na primjer, pisma navodno iz službe tehničke podrške šalju se svim poznatim klijentima banke. Pisma obično sadrže zahtjev za slanje lozinke na vaš račun, navodno zbog nekih tehničkih radova. Takva su pisma obično vrlo uvjerljiva i dobro napisana, što može očarati lakovjerne korisnike.

Više o phishingu možete saznati u članku ““.

Preporuke: Paranoja je najbolja obrana. Ne vjerujte ničemu sumnjivom, ne dajte svoje podatke nikome. Administratori ne moraju znati vašu lozinku ako se koristi za pristup njihovom poslužitelju. Oni u potpunosti kontroliraju poslužitelj i mogu sami vidjeti lozinku ili je promijeniti.

Socijalni inženjering

Socijalni inženjering nije tehnička, već psihološka tehnika. Koristeći podatke dobivene tijekom inventure, napadač može nazvati korisnika (na primjer, na korporativnoj mreži) u ime administratora i pokušati doznati njegovu npr. lozinku. To postaje moguće kada u velikim mrežama korisnici ne poznaju sve zaposlenike, štoviše, ne mogu ih uvijek točno prepoznati preko telefona. Osim toga, koriste se složene psihološke tehnike, pa se šanse za uspjeh jako povećavaju.

Preporuke: isto. Ako stvarno postoji potreba, onda osobno dostavite potrebne podatke. Ako ste lozinku zapisali na papiru, ne ostavljajte je nigdje i po mogućnosti uništite, a ne samo bacite u smeće.

DoS

DoS (Denial of Service ili Refusal of Service). Ovo nije zaseban napad, već rezultat napada; koristi se za onesposobljavanje sustava ili pojedinačnih programa. Da bi to učinio, haker kreira zahtjev programu na poseban način, nakon čega on prestaje funkcionirati. Za vraćanje programa u radno stanje potrebno je ponovno pokretanje.

Štrumpf

Smurf (napad usmjeren na greške u implementaciji TCP-IP protokola). Sada se ova vrsta napada smatra egzotičnom, ali ranije, kada je TCP-IP protokol bio prilično nov, sadržavao je brojne pogreške koje su omogućavale, na primjer, lažiranje IP adresa. Međutim, ova vrsta napada koristi se i danas. Neki stručnjaci razlikuju TCP Smurf, UDP Smurf, ICMP Smurf. Naravno, ova podjela se temelji na vrsti paketa.

UDP oluja

UDP oluja (UDP oluja) - koristi se ako su na žrtvi otvorena najmanje dva UDP porta, od kojih svaki šalje neku vrstu odgovora pošiljatelju. Na primjer, port 37 s vremenskim poslužiteljem šalje trenutni datum i vrijeme na zahtjev. Napadač šalje UDP paket na jedan od žrtvinih portova, ali kao pošiljatelja navodi žrtvinu adresu i žrtvin drugi otvoreni UDP port. Zatim priključci počinju beskrajno odgovarati jedni na druge, što smanjuje performanse. Oluja će prestati čim jedan od paketa nestane (na primjer, zbog preopterećenosti resursa).

UDP bomba

UDP bomba – napadač UDP sustavu šalje paket s netočnim servisnim poljima podataka. Podaci se mogu oštetiti na bilo koji način (npr. netočne duljine polja, struktura). To može dovesti do pada. Preporuke: Ažurirajte softver.

Bombardiranje poštom

Bombardiranje poštom. Ako napadnuto računalo ima mail server, tada mu se šalje ogroman broj e-mail poruka kako bi ga onesposobili. Osim toga, takve se poruke spremaju na tvrdi disk poslužitelja i mogu ga napuniti, što može uzrokovati DoS. Naravno, sada je ovaj napad više povijest, ali u nekim slučajevima se još uvijek može koristiti. Preporuke: pravilna konfiguracija poslužitelja e-pošte.

Njuškanje

Sniffing (Njuškanje ili slušanje mreže). Ako su u mreži instalirani hubovi umjesto switcheva, primljeni paketi se šalju svim računalima na mreži, a računala tada određuju je li taj paket za njih ili ne.

Ako napadač dobije pristup računalu koje je uključeno u takvu mrežu ili dobije izravan pristup mreži, tada će sve informacije koje se prenose unutar segmenta mreže, uključujući lozinke, postati dostupne. Napadač će mrežnu karticu jednostavno staviti u način slušanja i prihvatit će sve pakete bez obzira jesu li bili namijenjeni njemu.

IP otmica

IP otmica (IP otmica). Ako postoji fizički pristup mreži, tada se napadač može “usjeći” u mrežni kabel i djelovati kao posrednik u prijenosu paketa, te na taj način osluškivati ​​sav promet između dva računala. Vrlo nezgodna metoda koja se često ne opravdava, osim u slučajevima kada se nijedna druga metoda ne može primijeniti. Takvo je uključivanje samo po sebi nezgodno, iako postoje uređaji koji malo pojednostavljuju ovaj zadatak, osobito nadziru numeriranje paketa kako bi izbjegli kvar i moguće otkrivanje upada u kanal.

Lažni DNS poslužitelj

Lažni DNS poslužitelj (lažni DNS poslužitelj). Ako su mrežne postavke postavljene na automatski način rada, tada kada je spojeno na mrežu, računalo “pita” tko će biti njegov DNS poslužitelj, na koji će naknadno slati DNS zahtjeve. Ako postoji fizički pristup mreži, napadač može presresti takav zahtjev za emitiranjem i odgovoriti da će njegovo računalo biti DNS poslužitelj. Nakon toga, on će moći poslati prevarenu žrtvu bilo kojim putem. Na primjer, žrtva želi otići na web stranicu banke i prebaciti novac, napadač ga može poslati na svoje računalo, gdje će se izmisliti obrazac za unos lozinke. Nakon toga, lozinka će pripadati hakeru. Ovo je prilično komplicirana metoda, jer napadač mora odgovoriti žrtvi prije DNS poslužitelja.

IP spoofing

IP-Spoofing (Spoofing ili zamjena IP adrese). Napadač svoju stvarnu IP adresu zamjenjuje fiktivnom. Ovo je neophodno ako samo određene IP adrese imaju pristup resursu. Napadač mora promijeniti svoj pravi IP u "privilegirani" ili "pouzdani" da bi dobio pristup. Ova se metoda može koristiti i na druge načine. Nakon što dva računala uspostave vezu jedno s drugim provjeravajući svoje lozinke, napadač može uzrokovati da žrtva preoptereti mrežne resurse posebno izrađenim paketima. Tako može preusmjeriti promet na sebe i tako zaobići proceduru autentifikacije.

Preporuke: prijetnja će se smanjiti smanjenjem vremena paketa odgovora s postavljenim zastavicama SYN i ACK, kao i povećanjem maksimalnog broja SYN zahtjeva za uspostavljanje veze u redu čekanja (tcp_max_backlog). Također možete koristiti SYN-kolačiće.

Softverske ranjivosti

Softverske ranjivosti. Iskorištavanje grešaka u softveru. Učinak može varirati. Od primanja beznačajnih informacija do stjecanja potpune kontrole nad sustavom. Napadi softverskim pogreškama najpopularniji su svih vremena. Nove se verzije ispravljaju stare pogreške, ali se u novim verzijama pojavljuju nove pogreške koje se ponovno mogu koristiti.

Virusi

Najčešći problem poznat prosječnom korisniku. Ideja je uvođenje zlonamjernog programa u računalo korisnika. Posljedice mogu biti različite i ovise o vrsti virusa koji zarazi računalo. Ali općenito - od krađe informacija do slanja spama, organiziranja DDoS napada, kao i stjecanja potpune kontrole nad računalom. Osim datoteke priložene pismu, virusi mogu ući u računalo kroz neke ranjivosti OS-a.

Još uvijek ne postoji precizna definicija pojma “napad” (invazija, napad). Svaki sigurnosni stručnjak to drugačije tumači. Sljedeću definiciju smatram najtočnijom i najpotpunijom.

Napad napadi na informacijski sustav su namjerne radnje napadača koje iskorištavaju ranjivosti informacijskog sustava i dovode do povrede dostupnosti, cjelovitosti i povjerljivosti obrađenih informacija.

Ako uklonimo ranjivosti informacijskog sustava, uklonit ćemo i mogućnost napada.

Trenutno se smatra nepoznatim koliko metoda napada postoji. Kažu da još uvijek nema ozbiljnih matematičkih istraživanja na ovom području. No još 1996. Fred Cohen opisao je matematičku osnovu virusne tehnologije. Ovaj rad je dokazao da je broj virusa beskonačan. Očito, broj napada je beskonačan, budući da su virusi podskup mnogih napada.

Modeli napada

Tradicionalni model napada gradi se po principu (sl. 1) ili (sl. 2), t.j. napad dolazi iz jednog izvora. Razvojni alati za mrežnu sigurnost (vatrozidi, sustavi za otkrivanje napada itd.) usmjereni su upravo na tradicionalni model napada. Na različitim točkama štićene mreže instalirani su agenti (senzori) zaštitnog sustava koji prenose informacije do središnje upravljačke konzole. To olakšava skaliranje sustava, omogućuje jednostavno daljinsko upravljanje itd. Međutim, ovaj model se ne nosi s relativno nedavno (1998.) otkrivenom prijetnjom - distribuiranim napadima.
Slika 1. Odnos jedan na jedan

Model distribuiranog napada koristi različite principe. Za razliku od tradicionalnog modela u distribuiranom modelu koriste se relacije (slika 3) i (slika 4).

Distribuirani napadi temelje se na "klasičnim" napadima uskraćivanja usluge, točnije na njihovom podskupu poznatom kao Napadi poplava ili Olujni napadi(ovi pojmovi se mogu prevesti kao "oluja", "poplava" ili "lavina"). Smisao ovih napada je slanje velikog broja paketa napadnutom čvoru. Napadnuti čvor može zakazati jer će biti "ugušen" u lavini poslanih paketa i neće moći obraditi zahtjeve ovlaštenih korisnika. Na ovom principu rade napadi SYN-Flood, Smurf, UDP Flood, Targa3 itd. Međutim, ako propusnost kanala prema napadnutom čvoru premašuje propusnost napadača ili je napadnuti čvor neispravno konfiguriran, tada takav napad neće dovesti do "uspjeha". Na primjer, beskorisno je pokušavati omesti vašeg ISP-a pomoću ovih napada. Ali distribuirani napad više se ne događa s jedne točke na Internetu, već s nekoliko odjednom, što dovodi do naglog povećanja prometa i onesposobljava napadnuti čvor. Na primjer, prema Russia-Online, dva dana, počevši od 9 ujutro 28. prosinca 2000., najveći internetski provajder u Armeniji, Arminco, bio je izložen distribuiranom napadu. U ovom slučaju više od 50 strojeva iz različitih zemalja pridružilo se napadu i slalo besmislene poruke na Arminco adresu. Nije bilo moguće utvrditi tko je organizirao ovaj napad i u kojoj se zemlji haker nalazi. Iako je uglavnom napadnut Arminco, cijela je autocesta koja povezuje Armeniju s World Wide Webom bila preopterećena. Dana 30. prosinca, zahvaljujući suradnji "Arminca" i još jednog provajdera - "ArmenTela" - veza je u potpunosti uspostavljena. Unatoč tome, računalni napad se nastavio, ali manjim intenzitetom.

Faze provedbe napada

Mogu se razlikovati sljedeće faze napada:

Obično, kada govore o napadu, misle na drugu fazu, zaboravljajući na prvu i posljednju. Prikupljanje informacija i dovršenje napada ("prikrivanje tragova") također može predstavljati napad i može se podijeliti u tri faze (vidi sliku 5).
Slika 5. Faze provedbe napada

Prikupljanje informacija glavna je faza napada. Upravo je u ovoj fazi napadačeva učinkovitost ključ "uspjeha" napada. Prvo se odabire meta napada i prikupljaju informacije o njoj (vrsta i verzija operativnog sustava, otvoreni portovi i pokrenuti mrežni servisi, instalirani sustav i aplikacijski softver te njegova konfiguracija itd.). Zatim se identificiraju najranjivije točke napadnutog sustava, čiji utjecaj dovodi do željenog rezultata za napadača. Napadač pokušava identificirati sve kanale interakcije između cilja napada i drugih čvorova. To će vam omogućiti ne samo odabir vrste napada koji će se implementirati, već i izvor njegove implementacije. Na primjer, napadnuti čvor komunicira s dva poslužitelja koji pokreću Unix i Windows NT. Napadnuti čvor ima pouzdan odnos s jednim poslužiteljem, ali ne i s drugim. Poslužitelj preko kojeg će napadač provesti napad određuje koji će se napad koristiti, koja će sredstva implementacije odabrati itd. Zatim se ovisno o dobivenim informacijama i željenom rezultatu odabire napad koji daje najveći učinak. Na primjer:
SYN Flood, Teardrop, UDP Bomb - za ometanje funkcioniranja čvora;
CGI skripta - za prodor u čvor i krađu informacija;
PHF - za krađu datoteke lozinke i daljinsko pogađanje lozinke, itd.

Tradicionalna sredstva zaštite, poput vatrozida ili mehanizama za filtriranje u usmjerivačima, stupaju na snagu tek u drugoj fazi napada, potpuno “zaboravljajući” na prvu i treću. To dovodi do činjenice da je napad često vrlo teško zaustaviti, čak i sa snažnom i skupom obranom. Primjer za to su distribuirani napadi. Logično bi bilo da zaštitna oprema počne djelovati u prvoj fazi, tj. onemogućio bi mogućnost prikupljanja informacija o napadnutom sustavu. To bi omogućilo, ako ne u potpunosti spriječiti napad, onda barem značajno otežati napadaču rad. Tradicionalna sredstva također ne dopuštaju otkrivanje napada koji su već počinjeni i procjenu štete nakon njihove provedbe, tj. ne rade u trećoj fazi napada. Stoga je nemoguće odrediti mjere za sprječavanje ovakvih napada u budućnosti.

Ovisno o željenom rezultatu, napadač se koncentrira na jednu ili drugu fazu napada. Na primjer:
za uskraćivanje usluge, napadnuta mreža se detaljno analizira, traže se rupe i slabosti;
za krađu informacija, glavni fokus je na tihom prodoru u napadnute čvorove koristeći prethodno otkrivene ranjivosti.

Razmotrimo glavne mehanizme za provedbu napada. Ovo je neophodno da bismo razumjeli kako otkriti te napade. Osim toga, razumijevanje načina na koji napadači djeluju ključ je uspješne obrane mreže.

1. Prikupljanje informacija

Prva faza provedbe napada je prikupljanje informacija o napadnutom sustavu ili čvoru. To uključuje radnje kao što su određivanje topologije mreže, vrste i verzije operativnog sustava napadnutog čvora, kao i dostupnih mrežnih i drugih usluga itd. Ove radnje provode se različitim metodama.

Istraživanje okoline

U ovoj fazi napadač istražuje mrežno okruženje oko željene mete napada. Takva područja, primjerice, uključuju hostove žrtvinog pružatelja internetskih usluga ili hostove udaljenog ureda napadnute tvrtke. U ovoj fazi napadač može pokušati odrediti adrese "pouzdanih" sustava (na primjer, partnerova mreža) i čvorova koji su izravno povezani s metom napada (na primjer, ISP router) itd. Takve radnje je prilično teško otkriti jer se izvode u prilično dugom vremenskom razdoblju i izvan područja nadziranog sigurnosnim mjerama (firewall, sustavi za detekciju upada i sl.).

Identifikacija topologije mreže

Dvije su glavne metode koje napadači koriste za određivanje topologije mreže:

1. TTL promjena (TTL modulacija),
2. rekordna ruta.

Prva metoda koristi traceroute za Unix i tracert za Windows programe. Oni koriste polje Time to Live u zaglavlju IP paketa, koje varira ovisno o broju usmjerivača kroz koje mrežni paket prolazi. Uslužni program ping može se koristiti za snimanje rute ICMP paketa. Često se mrežna topologija može odrediti korištenjem SNMP protokola instaliranog na mnogim mrežnim uređajima čija sigurnost nije ispravno konfigurirana. Pomoću RIP protokola možete pokušati dobiti informacije o tablici usmjeravanja na mreži itd.

Mnoge od ovih metoda koriste moderni sustavi upravljanja (na primjer, HP OpenView, Cabletron SPECTRUM, MS Visio itd.) za izradu mrežnih mapa. A te iste metode napadači mogu uspješno koristiti za izradu mape napadnute mreže.

Identifikacija čvora

Domaćin se identificira, u pravilu, slanjem ECHO_REQUEST ICMP naredbe pomoću ping uslužnog programa. Poruka odgovora ECHO_REPLY označava da je čvor dostupan. Postoje besplatno dostupni programi koji automatiziraju i ubrzavaju proces paralelne identifikacije velikog broja čvorova, na primjer, fping ili nmap. Opasnost ove metode je u tome što zahtjeve ECHO_REQUEST ne bilježe standardni alati čvora. Da biste to učinili, trebate koristiti alate za analizu prometa, vatrozide ili sustave za otkrivanje napada.

Ovo je najjednostavnija metoda za identifikaciju čvorova. Međutim, ima dva nedostatka.

1. Mnogi mrežni uređaji i programi blokiraju ICMP pakete i ne dopuštaju im da uđu u internu mrežu (ili, obrnuto, ne dopuštaju im da prođu van). Na primjer, MS Proxy Server 2.0 ne dopušta prolazak paketa kroz ICMP protokol. Rezultat je nepotpuna slika. S druge strane, blokiranje ICMP paketa govori napadaču o prisutnosti "prve linije obrane" - usmjerivača, vatrozida itd.
2. Korištenje ICMP zahtjeva olakšava otkrivanje njihovog izvora, što naravno ne može biti zadatak napadača.

Postoji još jedna metoda za identifikaciju čvorova - korištenje "mješovitog" načina rada mrežne kartice, koji vam omogućuje prepoznavanje različitih čvorova u mrežnom segmentu. Ali nije primjenjivo u slučajevima u kojima promet segmenta mreže nije dostupan napadaču iz njegovog čvora, tj. Ova metoda je primjenjiva samo na lokalnim mrežama. Drugi način identificiranja mrežnih čvorova je takozvano DNS izviđanje, koje vam omogućuje identificiranje korporativnih mrežnih čvorova kontaktiranjem poslužitelja usluge imena.

Identifikacija usluge ili skeniranje porta

Identifikacija usluga obično se provodi otkrivanjem otvorenih portova (port skeniranje). Takvi su priključci vrlo često povezani s uslugama temeljenim na TCP ili UDP protokolima. Na primjer:

• otvoreni port 80 podrazumijeva prisutnost web poslužitelja,
• Port 25 - SMTP poslužitelj pošte,
• 31337. - poslužiteljski dio trojanskog konja BackOrifice,
• 12345. ili 12346. - serverski dio NetBus trojanskog konja itd.

Za identifikaciju usluga i skeniranje portova mogu se koristiti različiti programi, uklj. i slobodno se distribuira. Na primjer, nmap ili netcat.

Identifikacija operativnog sustava

Glavni mehanizam za daljinsko otkrivanje OS-a je analiza odgovora na zahtjeve, uzimajući u obzir različite implementacije TCP/IP steka u različitim operacijskim sustavima. Svaki OS implementira skup protokola TCP/IP na svoj način, što omogućuje određivanje koji je OS instaliran na udaljenom računalu pomoću posebnih zahtjeva i odgovora na njih.

Drugi, manje učinkovit i krajnje ograničen način identificiranja operativnih sustava domaćina je analiza mrežnih usluga otkrivenih u prethodnoj fazi. Na primjer, otvoreni port 139 omogućuje nam da zaključimo da udaljeni host najvjerojatnije pokreće Windows operativni sustav. Za određivanje OS-a mogu se koristiti različiti programi. Na primjer, nmap ili queso.

Definiranje uloge čvora

Pretposljednji korak u fazi prikupljanja informacija o napadnutom hostu je određivanje njegove uloge, na primjer, obavljanje funkcija vatrozida ili web poslužitelja. Ovaj se korak izvodi na temelju već prikupljenih informacija o aktivnim uslugama, nazivima hostova, topologiji mreže itd. Na primjer, otvoreni port 80 može označavati prisutnost web poslužitelja, blokiranje ICMP paketa ukazuje na potencijalnu prisutnost vatrozida, a ime DNS hosta proxy.domain.ru ili fw.domain.ru govori samo za sebe.

Utvrđivanje ranjivosti hosta

Zadnji korak je traženje ranjivosti. U ovom koraku napadač, koristeći različite automatizirane načine ili ručno, identificira ranjivosti koje se mogu koristiti za izvođenje napada. Kao takvi automatizirani alati mogu se koristiti ShadowSecurityScanner, nmap, Retina itd.

2. Provedba napada

Od tog trenutka počinje pokušaj pristupa napadnutom čvoru. U tom slučaju pristup može biti izravan, tj. prodorom u čvor, ili neizravno, na primjer, prilikom provedbe napada uskraćivanjem usluge. Provedba napada u slučaju izravnog pristupa također se može podijeliti u dvije faze:

• prodiranje;
• uspostavljanje kontrole.

Prodiranje

Penetracija uključuje probijanje perimetralne obrane (kao što je vatrozid). To se može ostvariti na različite načine. Na primjer, iskorištavanje ranjivosti računalne usluge koja gleda prema van ili odašiljanje neprijateljskog sadržaja putem e-pošte (makro virusi) ili putem Java appleta. Takav sadržaj može koristiti takozvane “tunele” u vatrozidu (ne brkati s VPN tunelima), kroz koje zatim napadač prodire. Ova faza također uključuje odabir lozinke administratora ili drugog korisnika pomoću specijaliziranog uslužnog programa (na primjer, L0phtCrack ili Crack).

Uspostavljanje kontrole

Nakon prodora, napadač uspostavlja kontrolu nad napadnutim čvorom. To se može učiniti uvođenjem programa trojanskog konja (npr. NetBus ili BackOrifice). Nakon uspostavljanja kontrole nad željenim čvorom i “pokrivanja” tragova, napadač može izvršiti sve potrebne neovlaštene radnje na daljinu bez znanja vlasnika napadnutog računala. U tom slučaju, uspostava kontrole nad čvorom korporativne mreže mora se održati čak i nakon ponovnog pokretanja operativnog sustava. To se može učiniti zamjenom jedne od datoteka za pokretanje ili umetanjem veze na neprijateljski kod u datoteke za pokretanje ili registar sustava. Poznat je slučaj u kojem je napadač uspio reprogramirati EEPROM mrežne kartice i čak nakon ponovne instalacije OS-a, mogao je ponovno provesti neovlaštene radnje. Jednostavnija izmjena ovog primjera je umetanje potrebnog koda ili isječka u skriptu za pokretanje mreže (na primjer, za Novell Netware OS).

Ciljevi napada

Završna faza napada je "prikrivanje tragova" od strane napadača. To se obično postiže brisanjem odgovarajućih unosa iz dnevnika glavnog računala i drugim radnjama koje vraćaju napadnuti sustav u njegovo izvorno, "prethodno napadnuto" stanje.

Klasifikacija napada

Postoje različite vrste klasifikacija napada. Primjerice, podjela na pasivno i aktivno, vanjsko i unutarnje, namjerno i nenamjerno. Međutim, kako vas ne bismo zbunili širokim izborom klasifikacija koje su malo upotrebljive u praksi, predlažem "životniju" klasifikaciju:

1. Prodiranje na daljinu. Napadi koji omogućuju daljinsko upravljanje računalom preko mreže. Na primjer, NetBus ili BackOrifice.
2. Lokalni prodor. Napad koji rezultira neovlaštenim pristupom hostu na kojem je pokrenut. Na primjer, GetAdmin.
3. Udaljeno uskraćivanje usluge. Napadi koji ometaju ili preopterećuju računalo putem interneta. Na primjer, Teardrop ili trin00.
4. Lokalno uskraćivanje usluge. Napadi koji vam omogućuju ometanje ili preopterećenje računala na kojem su implementirani. Primjer takvog napada je "neprijateljski" aplet koji učitava CPU u beskonačnu petlju, čineći nemogućom obradu zahtjeva iz drugih aplikacija.
5. Mrežni skeneri. Programi koji analiziraju topologiju mreže i otkrivaju servise koji mogu biti napadnuti. Na primjer, sustav nmap.
6. Skeneri ranjivosti. Programi koji traže ranjivosti na mrežnim čvorovima i koji se mogu koristiti za izvođenje napada. Na primjer, sustav SATAN ili ShadowSecurityScanner.
7. Provaljivači lozinki. Programi koji "pogađaju" korisničke lozinke. Na primjer, L0phtCrack za Windows ili Crack za Unix.
8. Analizatori protokola (sniferi). Programi koji "slušaju" mrežni promet. Pomoću ovih programa možete automatski pretraživati ​​informacije kao što su korisnički ID i lozinke, podaci o kreditnoj kartici itd. Na primjer, Microsoft Network Monitor, NetXRay tvrtke Network Associates ili LanExplorer.

Internet Security Systems, Inc. dodatno smanjio broj mogućih kategorija, dovodeći ih na 5:

1. Skupljanje informacija.
2. Pokušaji neovlaštenog pristupa.
3. Uskraćivanje usluge.
4. Sumnjiva aktivnost.
5. Napadi na sustav.

Prve 4 kategorije odnose se na udaljene napade, a posljednja - na lokalne, implementirane na napadnutom čvoru. Može se primijetiti da ova klasifikacija ne uključuje cijelu klasu takozvanih "pasivnih" napada ("prisluškivanje prometa", "lažni DNS poslužitelj", "laženje ARP poslužitelja" itd.).

Klasifikacija napada koja se provodi u mnogim sustavima za otkrivanje napada ne može biti kategorična. Na primjer, napad čija implementacija na Unix OS (na primjer, statd buffer overflow) može imati najstrašnije posljedice (najviši prioritet), na Windows NT OS možda uopće nije primjenjiv ili ima vrlo nizak stupanj rizika. Osim toga, postoji zabuna u samim nazivima napada i ranjivosti. Isti napad može imati različita imena od različitih proizvođača sustava za otkrivanje napada.

Jedna od najboljih baza podataka ranjivosti i napada je X-Force baza podataka, koja se nalazi na: http://xforce.iss.net/. Može mu se pristupiti ili pretplatom na besplatno distribuiranu mailing listu X-Force Alert ili interaktivnim pretraživanjem baze podataka na ISS web poslužitelju.

Zaključak

Bez ranjivosti u komponentama informacijskog sustava, mnogi napadi ne bi bili mogući i stoga bi tradicionalni sigurnosni sustavi bili prilično učinkoviti u suočavanju s mogućim napadima. Međutim, programe pišu ljudi koji su skloni griješiti. Kao rezultat toga pojavljuju se ranjivosti koje napadači koriste za izvođenje napada. Međutim, ovo je samo pola priče. Kad bi se svi napadi temeljili na modelu jedan-na-jedan, onda bi to bilo malo nategnuto, ali vatrozidi i drugi sigurnosni sustavi bi i njih mogli izdržati. Ali pojavili su se koordinirani napadi protiv kojih tradicionalna sredstva više nisu tako učinkovita. I tu na scenu stupaju nove tehnologije – tehnologije detekcije napada. Gornja sistematizacija podataka o napadima i fazama njihove provedbe pruža potrebnu osnovu za razumijevanje tehnologija detekcije napada.

Alati za otkrivanje računalnih napada

Tehnologija detekcije upada mora riješiti sljedeće probleme:

• Prepoznajte poznate napade i upozorite odgovarajuće osoblje na njih.
• “Razumijevanje” često nejasnih izvora informacija o napadu.
• Oslobađanje ili smanjenje tereta sigurnosnog osoblja od rutinskog rutinskog nadzora korisnika, sustava i mreža koji su komponente korporativne mreže.
• Sposobnost upravljanja sigurnosnim kontrolama od strane nestručnjaka za sigurnost.
• Kontrola svih radnji subjekata korporativne mreže (korisnici, programi, procesi itd.).

Često sustavi za otkrivanje napada mogu obavljati funkcije koje značajno proširuju raspon njihove primjene. Na primjer,

• Praćenje učinkovitosti vatrozida. Na primjer, instaliranje sustava za otkrivanje napada nakon vatrozid(unutar korporativne mreže) omogućuje otkrivanje napada koje je vatrozid propustio i na taj način utvrđivanje pravila koja nedostaju na vatrozidu.
• Praćenje mrežnih čvorova s ​​neinstaliranim ažuriranjima ili čvorova sa zastarjelim softverom.
• Blokiranje i kontroliranje pristupa određenim internetskim stranicama. Iako su sustavi za detekciju napada daleko od vatrozida i sustava kontrole pristupa za razne URL-ove, primjerice WEBsweeper, oni mogu djelomično kontrolirati i blokirati pristup nekim korisnicima korporativne mreže određenim internetskim resursima, primjerice web poslužiteljima s pornografskim sadržajem. To je potrebno kada organizacija nema novca za kupnju vatrozida i sustava za otkrivanje napada, a funkcije vatrozida su raspoređene između sustava za otkrivanje napada, usmjerivača i proxy poslužitelja. Osim toga, sustavi za otkrivanje upada mogu pratiti pristup zaposlenika poslužiteljima na temelju ključnih riječi. Na primjer, sex, posao, crack itd.
• Kontrola e-pošte. Sustavi za otkrivanje upada mogu se koristiti za nadzor nepouzdanih zaposlenika koji koriste e-poštu za obavljanje zadataka izvan svojih radnih obaveza, kao što je slanje životopisa. Neki sustavi mogu otkriti viruse u porukama e-pošte i, iako su daleko od pravih antivirusnih sustava, još uvijek obavljaju ovaj zadatak prilično učinkovito.

Najbolje korištenje vremena i iskustva stručnjaka za informacijsku sigurnost je otkrivanje i uklanjanje uzroka napada, a ne otkrivanje samih napada. Otklanjanjem uzroka napada, tj. Identificiranjem i uklanjanjem ranjivosti, administrator time eliminira samu činjenicu potencijalnih napada. U suprotnom, napad će se ponavljati iznova i iznova, neprestano zahtijevajući napore i pažnju administratora.

Klasifikacija protuprovalnih sustava

Postoji veliki broj različitih klasifikacija protuprovalnih sustava, no najčešća je klasifikacija po principu izvedbe:

1. baziran na hostu, odnosno otkrivanje napada usmjerenih na određeni mrežni čvor,
2. mrežni, odnosno otkrivanje napada usmjerenih na cijelu mrežu ili mrežni segment.

Sustavi za otkrivanje upada koji nadziru pojedinačno računalo obično prikupljaju i analiziraju informacije iz zapisa operativnog sustava i raznih aplikacija (web poslužitelj, DBMS, itd.). RealSecure OS senzor radi na ovom principu. Međutim, nedavno su sustavi koji su usko integrirani s jezgrom OS-a postali široko rasprostranjeni, čime se pruža učinkovitiji način otkrivanja kršenja sigurnosnih pravila. Štoviše, takva se integracija može provesti na dva načina. Prvo, mogu se pratiti svi pozivi OS sustava (ovako radi Entercept) ili sav dolazni/odlazni mrežni promet (ovako radi RealSecure Server Sensor). U potonjem slučaju, sustav za otkrivanje upada hvata sav mrežni promet izravno s mrežne kartice, zaobilazeći operativni sustav, čime se smanjuje ovisnost o njemu i time povećava sigurnost sustava za otkrivanje upada.

Sustavi za otkrivanje napada na mrežnoj razini prikupljati informacije iz same mreže, odnosno mrežnog prometa. Ovi sustavi mogu raditi na običnim računalima (na primjer, RealSecure Network Sensor), na specijaliziranim računalima (na primjer, RealSecure za Nokiu ili Cisco Secure IDS 4210 i 4230) ili integrirani u usmjerivače ili preklopnike (na primjer, CiscoSecure IOS integrirani softver ili Cisco Catalyst 6000 IDS modul). U prva dva slučaja, analizirane informacije prikupljaju se hvatanjem i analiziranjem paketa pomoću mrežnih sučelja u promiskuitetnom načinu rada. U potonjem slučaju, promet se hvata sa sabirnice mrežne opreme.

Detekcija napada zahtijeva ispunjenje jednog od dva uvjeta - ili razumijevanje očekivanog ponašanja nadziranog objekta sustava ili poznavanje svih mogućih napada i njihovih modifikacija. Prvi slučaj koristi tehnologiju za otkrivanje nenormalnog ponašanja, a drugi slučaj koristi tehnologiju za otkrivanje zlonamjernog ponašanja ili zlouporabe. Druga tehnologija je opis napada u obliku uzorka ili potpisa i traženje tog uzorka u kontroliranom prostoru (primjerice, mrežni promet ili log). Ova je tehnologija vrlo slična otkrivanju virusa (antivirusni sustavi su najbolji primjer sustava za otkrivanje napada), tj. sustav može otkriti sve poznate napade, ali je slabo opremljen za otkrivanje novih, još nepoznatih napada. Pristup implementiran u takve sustave je vrlo jednostavan i na njemu se temelje gotovo svi sustavi za detekciju napada koji se danas nude na tržištu.

Gotovo svi sustavi za otkrivanje napada temelje se na pristupu potpisa.

Prednosti protuprovalnih sustava

Mogli bismo nabrajati unedogled o raznim prednostima sustava za otkrivanje napada koji rade na razini glavnog računala i mreže. Međutim, usredotočit ću se samo na neke od njih.

Prebacivanje omogućuje da se velikim mrežama upravlja kao s više malih mrežnih segmenata. Kao rezultat toga, može biti teško odrediti najbolju lokaciju za instaliranje sustava koji otkriva napade u mrežnom prometu. Ponekad span portovi na preklopnicima mogu pomoći, ali ne uvijek. Detekcija napada specifična za računalo omogućuje učinkovitiji rad komutiranih mreža dopuštajući postavljanje sustava za otkrivanje samo na ona računala gdje su potrebni.

Sustavi mrežnog sloja ne zahtijevaju instaliranje softvera za otkrivanje upada na svakom računalu. Budući da je broj mjesta na kojima su IDS instalirani za nadzor cijele mreže mali, trošak njihovog rada u mreži poduzeća niži je od troška rada sustava za detekciju napada na razini sustava. Osim toga, za nadzor segmenta mreže potreban je samo jedan senzor, bez obzira na broj čvorova u danom segmentu.

Nakon što mrežni paket napusti napadačevo računalo, više se ne može vratiti. Sustavi koji rade na mrežnom sloju koriste promet uživo za otkrivanje napada u stvarnom vremenu. Dakle, napadač ne može ukloniti tragove svojih neovlaštenih aktivnosti. Analizirani podaci uključuju ne samo podatke o načinu napada, već i podatke koji mogu pomoći u identificiranju napadača i dokazivanju na sudu. Budući da su mnogi hakeri upoznati s mehanizmima zapisivanja sustava, znaju kako manipulirati ovim datotekama kako bi sakrili tragove svojih aktivnosti, smanjujući učinkovitost sustava na razini sustava koji zahtijevaju ove informacije kako bi otkrili napad.

Sustavi koji rade na mrežnoj razini detektiraju sumnjive događaje i napade čim se dogode i stoga pružaju puno bržu obavijest i odgovor od sustava koji analiziraju zapise. Na primjer, haker koji pokreće mrežni napad uskraćivanjem usluge temeljen na TCP-u može biti zaustavljen sustavom za otkrivanje upada na mrežnom sloju koji šalje TCP paket s postavljenom zastavicom Reset u zaglavlju da prekine vezu s hostom koji napada prije nego napad uzrokuje destrukciju ili uništenje.oštećenje napadnutog čvora. Sustavi za analizu dnevnika ne prepoznaju napade dok se ne unese odgovarajući unos u dnevnik i poduzimaju protumjere nakon unosa. Do ove točke, najkritičniji sustavi ili resursi možda su već bili ugroženi ili je sustav koji pokreće sustav za otkrivanje napada na razini hosta možda poremećen. Obavijest u stvarnom vremenu omogućuje brzi odgovor prema unaprijed definiranim parametrima. Te reakcije variraju od dopuštanja infiltracije u načinu nadzora kako bi se prikupile informacije o napadu i napadaču, do trenutnog prekida napada.

I konačno, sustavi za detekciju upada koji rade na mrežnoj razini neovisni su o operativnim sustavima instaliranim na korporativnoj mreži, budući da rade na mrežnom prometu koji se razmjenjuje između svih čvorova na korporativnoj mreži. Sustavu za detekciju upada nije važno koji je OS generirao određeni paket, sve dok je u skladu sa standardima koje podržava sustav za detekciju. Na primjer, Windows 98, Windows NT, Windows 2000 i XP, Netware, Linux, MacOS, Solaris itd. mogu biti pokrenuti na mreži, ali ako međusobno komuniciraju putem IP-a, tada bilo koji od sustava za otkrivanje napada koji podržava ovaj će protokol moći otkriti napade usmjerene na te operativne sustave.

Kombinirana uporaba sustava za otkrivanje napada na razini mreže i hosta poboljšat će sigurnost vaše mreže.

Sustavi za otkrivanje mrežnih napada i vatrozidi

Najčešće se sustavi za otkrivanje mrežnih napada pokušavaju zamijeniti vatrozidima, oslanjajući se na činjenicu da potonji pružaju vrlo visoku razinu sigurnosti. Međutim, imajte na umu da su vatrozidi jednostavno sustavi temeljeni na pravilima koji dopuštaju ili zabranjuju promet kroz njih. Čak ni vatrozidi izgrađeni pomoću "" tehnologije ne dopuštaju sa sigurnošću reći postoji li napad u prometu koji kontroliraju ili ne. Mogu reći odgovara li promet pravilu ili ne. Na primjer, vatrozid je konfiguriran da blokira sve veze osim TCP veza na portu 80 (to jest, HTTP promet). Dakle, svaki promet preko porta 80 je legalan sa stajališta ITU-a. S druge strane, sustav za detekciju upada također prati promet, ali u njemu traži znakove napada. Ne mari puno za koju luku je promet namijenjen. Prema zadanim postavkama, sav promet je sumnjiv za sustav za otkrivanje upada. Naime, unatoč činjenici da sustav za detekciju upada radi s istim izvorom podataka kao i vatrozid, odnosno s mrežnim prometom, oni obavljaju komplementarne funkcije. Na primjer, HTTP zahtjev "GET /../../../etc/passwd HTTP/1.0". Gotovo svaki ITU dopušta ovaj zahtjev da prođe kroz sebe. Međutim, sustav za detekciju napada lako će otkriti ovaj napad i blokirati ga.

Možemo povući sljedeću analogiju. Vatrozid je obični okretni zid instaliran na glavnom ulazu u vašu mrežu. Ali osim glavnih vrata, postoje i druga vrata, kao i prozori. Pretvarajući se u pravog zaposlenika ili stekavši povjerenje čuvara na rampi, napadač može pronijeti eksplozivnu napravu ili pištolj kroz rampu. Malo od. Uljez vam se može popeti na prozor. Zato su nam potrebni sustavi za detekciju napada koji pojačavaju zaštitu koju pružaju vatrozidi, koji su, iako nužan, ali očito nedovoljan element mrežne sigurnosti.

Vatrozid- nije panaceja!

Mogućnosti odgovora na otkriveni napad

Nije dovoljno otkriti napad, potrebno je na njega adekvatno odgovoriti. Mogućnosti odgovora uvelike određuju učinkovitost sustava za otkrivanje napada. Trenutno su ponuđene sljedeće opcije odgovora:

• Obavijest konzoli (uključujući sigurnosnu kopiju) sustava za otkrivanje upada ili konzoli integriranog sustava (na primjer, vatrozid).
• Zvučna obavijest o napadu.
• Generiranje SNMP kontrolnih sekvenci za sustave upravljanja mrežom.
• Generiranje izvješća o napadu putem e-pošte.
• Dodatne obavijesti dojavljivačem ili faksom. Vrlo zanimljiva, iako rijetko korištena prilika. Upozorenje o otkrivanju neovlaštene aktivnosti ne šalje se administratoru, već napadaču. Prema pristašama ove opcije odgovora, prekršitelj je, nakon što sazna da je otkriven, prisiljen prekinuti svoje postupke.
• Obavezna registracija otkrivenih događaja. Sljedeće može poslužiti kao dnevnik:
  • tekstualna datoteka,
  • syslog (na primjer, u integriranom softverskom sustavu Cisco Secure),
  • tekstualna datoteka posebnog formata (na primjer, u sustavu Snort),
  • lokalna MS Access baza podataka,
  • SQL baza podataka (na primjer, u sustavu RealSecure).
  Samo trebate uzeti u obzir da količina snimljenih informacija obično zahtijeva SQL bazu podataka - MS SQL ili Oracle.
• Trag događaja, tj. bilježeći ih redoslijedom i brzinom kojom ih je napadač implementirao. Zatim, u bilo kojem trenutku, administrator može ponovno reproducirati (replay ili playback) traženi niz događaja zadanom brzinom (u stvarnom vremenu, s ubrzanjem ili usporavanjem) kako bi analizirao aktivnost napadača. To će vam omogućiti da razumijete njegove kvalifikacije, korištena sredstva napada itd.
• Prekidanje radnji napadača, tj. prekidanje veze. To se može učiniti na sljedeći način:
  • presretanje veze (otimanje sesije) i slanje paketa s postavljenom RST zastavom oba sudionika u mrežnoj vezi u ime svakog od njih (u sustavu za detekciju napada koji radi na mrežnoj razini);
  • blokiranje korisničkog računa koji provodi napad (u sustavu detekcije napada na razini hosta). Takvo blokiranje može se provesti ili na određeno vremensko razdoblje ili dok administrator ne otključa račun. Ovisno o privilegijama s kojima radi sustav za detekciju napada, blokada može djelovati kako unutar samog računala koje je meta napada, tako i unutar cijele mrežne domene.
• Rekonfiguracija mrežne opreme ili vatrozida. Ako se otkrije napad, usmjerivaču ili vatrozidu šalje se naredba za promjenu liste kontrole pristupa. Nakon toga će svi pokušaji povezivanja s čvora koji napada biti odbijeni. Kao i blokiranje napadačevog računa, promjena popisa kontrole pristupa može se provoditi ili tijekom određenog vremenskog razdoblja ili dok promjenu ne poništi administrator rekonfigurabilne mrežne opreme.
• Blokiranje mrežnog prometa na isti način kao što je implementirano u vatrozidima. Ova opcija vam omogućuje da ograničite promet, kao i primatelje koji mogu pristupiti resursima zaštićenog računala, omogućujući vam da izvršavate funkcije dostupne u osobnim vatrozidima.

Trenutno je DDoS jedna od najpristupačnijih i najraširenijih vrsta mrežnih napada. Prije nekoliko tjedana objavljeni su rezultati studija o rasprostranjenosti DDoS-a koje su proveli Arbor Networks i Verisign Inc.

Rezultati istraživanja su impresivni:
Svaki dan napadači izvrše više od 2000 DDoS napada;
Cijena jednotjednog napada na prosječni podatkovni centar iznosi samo 150 USD;
Više od polovice sudionika ankete imalo je problema zbog DDoS-a;
Desetina sudionika ankete odgovorila je da su njihove tvrtke bile izložene DDoS napadima više od šest puta godišnje;
Oko polovice tvrtki imalo je problema zbog DDoS-a, prosječno vrijeme napada bilo je oko 5 sati;
Napadi ove vrste jedan su od glavnih razloga za gašenje poslužitelja i zastoja.

Glavne vrste DDoS napada

Općenito, postoji dosta vrsta DDoS-a, au nastavku smo pokušali navesti većinu tipičnih napada, uz opis principa rada svake vrste napada.

UDP poplava

Jedan od najučinkovitijih, au isto vrijeme jednostavnih vrsta napada. Koristi se UDP protokol koji ne zahtjeva uspostavljanje sesije sa slanjem bilo kakvog odgovora. Nasumičnim redoslijedom, napadač napada portove poslužitelja, šaljući ogroman broj paketa podataka. Kao rezultat toga, stroj počinje provjeravati koristi li port na koji paket stiže neka aplikacija. A budući da postoji mnogo takvih paketa, stroj bilo koje snage jednostavno se ne može nositi sa zadatkom. Kao rezultat toga, svi resursi stroja se "pojedu", a poslužitelj "pada".

Najjednostavniji način zaštite od ove vrste napada je blokiranje UDP prometa.

ICMP poplava

Napadač konstantno pinga žrtvin server, pri čemu žrtvin neprestano odgovara. Postoji ogroman broj pingova, a kao rezultat toga, resursi poslužitelja se troše i stroj postaje nedostupan.

Kao zaštitnu mjeru možete koristiti blokiranje ICMP zahtjeva na razini vatrozida. Nažalost, u ovom slučaju nećete moći pingati stroj iz očitih razloga.

SYN poplava

Ova vrsta napada uključuje slanje SYN paketa poslužitelju žrtve. Kao rezultat toga, poslužitelj odgovara SYN-ACK paketom, a napadačev stroj trebao bi poslati ACK odgovor, ali on nije poslan. Rezultat je otvaranje i prekidanje velikog broja veza, koje se zatvaraju tek nakon isteka vremenskog ograničenja.

Kada se prekorači ograničenje broja zahtjeva/odgovora, poslužitelj žrtve prestaje prihvaćati pakete bilo koje vrste i postaje nedostupan.

MAC poplava

Neobična vrsta napada u kojoj su na meti mnoge vrste mrežne opreme. Napadač počinje slati veliki broj Ethernet paketa s potpuno različitim MAC adresama. Kao rezultat toga, switch počinje rezervirati određenu količinu resursa za svaki od paketa, a ako ima puno paketa, switch alocira sve dostupne zahtjeve i zamrzava se. Najgori mogući scenarij je kvar tablice usmjeravanja.

Ping smrti

Ova vrsta napada sada nije veliki problem, iako je prije bila uobičajena vrsta napada. Značenje ove vrste napada je prekoračenje međuspremnika memorije zbog prekoračenja maksimalne dostupne veličine IP paketa, a kao rezultat toga server i mrežna oprema odbijaju servisirati bilo koju vrstu paketa.

Spori Lori

Fokusirani napad ovog tipa omogućuje malim snagama postizanje velikih rezultata. Drugim riječima, koristeći poslužitelj koji nije najmoćniji, možete koristiti mnogo produktivniju opremu. Nema potrebe za korištenjem drugih protokola. Kod ove vrste napada napadačev poslužitelj otvara maksimalan broj HTTP veza i nastoji ih držati otvorenima što je duže moguće.

Naravno, broj veza na poslužitelju izloženih napadu prestaje, a korisni zahtjevi se više ne prihvaćaju i ne obrađuju.

Odraženi napadi

Neobična vrsta napada kada poslužitelj napadača šalje pakete s lažnom IP-om pošiljatelja, a slanje ide na najveći mogući broj računala. Svi poslužitelji pogođeni takvim radnjama šalju odgovor na IP naveden u paketu, zbog čega primatelj ne može podnijeti opterećenje i zamrzava se. U tom slučaju izvedba poslužitelja napadača može biti 10 puta niža od planirane snage napada. Poslužitelj koji šalje 100 Mbps lažnih zahtjeva može potpuno uništiti gigabitni kanal žrtvinog poslužitelja.

Degradacija

Ovom vrstom napada napadačev poslužitelj simulira radnje stvarne osobe ili cijele publike. Kao primjer najjednostavnije opcije, možete poslati zahtjeve za istu stranicu resursa, i to učiniti tisuće puta. Najjednostavniji način rješavanja problema je da privremeno prijavite grešku i blokirate napadnutu stranicu.

Složeniji tip napada je zahtjev za velikim brojem različitih resursa poslužitelja, uključujući medijske datoteke, stranice i sve ostalo, što uzrokuje prestanak rada poslužitelja žrtve.

Složene napade ove vrste prilično je teško filtrirati, pa kao rezultat toga morate koristiti specijalizirane programe i usluge.

Napad nultog dana

Ovo je naziv za napade koji iskorištavaju do sada nepoznate ranjivosti/slabosti usluge. Za borbu protiv problema potrebno je proučiti ovu vrstu napada kako bi se moglo nešto učiniti.

Zaključak: najsloženiji tip napada je kombinirani, gdje se koriste različite vrste DDoS-a. Što je kombinacija složenija, to se teže braniti od nje. Čest problem za DDoS, odnosno žrtve DDoS-a, je opća dostupnost ove vrste napada. Na internetu postoji velik broj aplikacija i servisa koji vam omogućuju besplatno ili gotovo besplatno izvođenje snažnih napada.

Postoje četiri glavne kategorije napada:

· napadi pristupa;

· modifikacijski napadi;

· napadi uskraćivanjem usluge;

· napadi na odricanje odgovornosti.

Pogledajmo pobliže svaku kategoriju. Postoji mnogo načina za izvođenje napada: pomoću posebno dizajniranih alata, metoda socijalnog inženjeringa i kroz ranjivosti u računalnim sustavima. U društvenom inženjeringu tehnička sredstva se ne koriste za dobivanje neovlaštenog pristupa sustavu. Napadač dolazi do informacija jednostavnim telefonskim pozivom ili ulazi u organizaciju pod krinkom zaposlenika. Ove vrste napada su najdestruktivnije.

Napadi usmjereni na preuzimanje elektronički pohranjenih informacija imaju jednu zanimljivu značajku: informacije se ne kradu, već kopiraju. Ostaje izvornom vlasniku, ali ga dobiva i napadač. Time vlasnik informacije trpi gubitke, a vrlo je teško detektirati trenutak kada se to dogodilo.

Napadi pristupa

Napad pristupa je pokušaj napadača da dođe do informacija koje nema dopuštenje za uvid. Takav je napad moguć svugdje gdje postoje informacije i sredstva za njihov prijenos. Napad pristupa usmjeren je na kršenje povjerljivosti informacija. Razlikuju se sljedeće vrste napada pristupa:

· virkanje;

· prisluškivanje;

· presretanje.

Virenje(njuškanje) je pregledavanje datoteka ili dokumenata u potrazi za informacijama od interesa za napadača. Ako su dokumenti pohranjeni u obliku ispisa, tada će napadač otvoriti ladice stola i prekapati po njima. Ako se informacija nalazi u računalnom sustavu, on će pregledavati datoteku za datotekom dok ne pronađe informacije koje su mu potrebne.

Prisluškivanje(eavesdropping) je neovlašteno prisluškivanje razgovora u kojem napadač nije sudionik. Da bi dobio neovlašteni pristup informacijama, u ovom slučaju, napadač mora biti blizu njih. Vrlo često koristi elektroničke uređaje. Uvođenje bežičnih mreža povećalo je vjerojatnost uspješnog prisluškivanja. Sada napadač ne mora biti unutar sustava niti fizički spajati prislušni uređaj na mrežu.

Za razliku od prisluškivanja presretanje(presretanje) je aktivni napad. Napadač hvata informacije dok se one prenose na odredište. Nakon analize informacija donosi odluku o dopuštanju ili zabrani njihovog daljnjeg prolaska.

Napadi na pristup imaju različite oblike ovisno o tome kako su informacije pohranjene: kao papirnati dokumenti ili elektronički na računalu. Ako su informacije koje napadač treba pohranjene u papirnatim dokumentima, trebat će pristup tim dokumentima. Mogu se naći na sljedećim mjestima: u ormarima za dokumente, u ladicama ili na stolovima, u faksu ili pisaču u smeću, u arhivi. Stoga napadač mora fizički ući na sva ta mjesta.

Stoga je fizički pristup ključ za dobivanje podataka. Treba napomenuti da će pouzdana zaštita prostora zaštititi podatke samo od neovlaštenih osoba, ali ne i od zaposlenika organizacije ili internih korisnika.

Informacije se pohranjuju elektronički: na radnim stanicama, na serverima, na prijenosnim računalima, na disketama, na CD-ima, na rezervnim magnetskim trakama.

Napadač može jednostavno ukrasti medij za pohranu (disketa, CD, sigurnosna vrpca ili prijenosno računalo). Ponekad je to lakše učiniti nego pristupiti datotekama pohranjenim na računalima.

Ako napadač ima legalan pristup sustavu, analizirat će datoteke jednostavnim otvaranjem jednu po jednu. Uz odgovarajuću kontrolu dopuštenja, pristup ilegalnom korisniku bit će odbijen, a pokušaji pristupa bit će zabilježeni u zapisima.

Ispravno konfigurirana dopuštenja spriječit će slučajno curenje informacija. Međutim, ozbiljan napadač pokušat će zaobići kontrolni sustav i dobiti pristup potrebnim informacijama. Postoji veliki broj ranjivosti koje će mu u tome pomoći.

Dok informacije prolaze kroz mrežu, može im se pristupiti slušanjem prijenosa. Napadač to čini instaliranjem mrežnog analizatora paketa (sniffer) na računalni sustav. Obično je to računalo konfigurirano za hvatanje cjelokupnog mrežnog prometa (ne samo prometa namijenjenog tom računalu). Da bi to učinio, napadač mora povećati svoje ovlasti u sustavu ili se spojiti na mrežu. Analizator je konfiguriran za hvatanje svih informacija koje prolaze kroz mrežu, a posebno korisničke ID-ove i lozinke.

Prisluškivanje se također provodi u globalnim računalnim mrežama kao što su iznajmljene linije i telefonske veze. Međutim, ova vrsta presretanja zahtijeva odgovarajuću opremu i posebna znanja.

Presretanje je moguće čak iu optičkim komunikacijskim sustavima korištenjem specijalizirane opreme, koju obično izvodi vješt napadač.

Pristup informacijama korištenjem presretanja jedan je od najtežih zadataka za napadača. Da bi uspio, mora postaviti svoj sustav u prijenosne linije između pošiljatelja i primatelja informacija. Na Internetu se to radi promjenom razlučivosti naziva, što uzrokuje pretvaranje naziva računala u netočnu adresu. Promet se preusmjerava na napadačev sustav umjesto na stvarni odredišni čvor. Ako je takav sustav pravilno konfiguriran, pošiljatelj nikada neće znati da njegovi podaci nisu stigli do primatelja.

Presretanje je moguće i tijekom važeće komunikacijske sesije. Ova vrsta napada najprikladnija je za otmicu interaktivnog prometa. U tom slučaju napadač mora biti u istom segmentu mreže u kojem se nalaze klijent i poslužitelj. Napadač čeka da legitimni korisnik otvori sesiju na poslužitelju, a zatim pomoću specijaliziranog softvera otme sesiju dok je u tijeku.

Modifikacijski napadi

Modifikacijski napad je pokušaj neovlaštene izmjene podataka. Takav je napad moguć svugdje gdje informacija postoji ili se prenosi. Usmjeren je na narušavanje integriteta informacija.

Jedna vrsta napada modifikacije je zamjena postojeće informacije, na primjer, promjena u plaći zaposlenika. Zamjenski napad cilja i na tajne i na javne informacije.

Druga vrsta napada je dodatak nove podatke, primjerice, u informacije o povijesti prošlih razdoblja. U tom slučaju napadač obavlja transakciju u bankovnom sustavu, pri čemu se sredstva s računa klijenta premještaju na njegov vlastiti račun.

Napad uklanjanje znači premještanje postojećih podataka, kao što je otkazivanje unosa transakcije iz bilance banke, ostavljajući sredstva podignuta s računa da ostanu na računu.

Kao i pristupni napadi, modifikacijski napadi izvode se protiv informacija pohranjenih kao papirnati dokumenti ili elektronički na računalu.

Teško je mijenjati dokumente, a da to nitko ne primijeti: ako postoji potpis (na primjer, u ugovoru), morate paziti da ga krivotvorite, a zapečaćeni dokument morate pažljivo ponovno sastaviti. Ako postoje kopije dokumenta, potrebno ih je preraditi, baš kao i original. A budući da je gotovo nemoguće pronaći sve kopije, vrlo je lako uočiti lažnjak.

Vrlo je teško dodati ili ukloniti unose iz dnevnika aktivnosti. Prvo, informacije u njima poredane su kronološkim redoslijedom, pa će svaka promjena biti odmah uočena. Najbolji način je ukloniti dokument i zamijeniti ga novim. Ove vrste napada zahtijevaju fizički pristup informacijama.

Mnogo je lakše mijenjati podatke pohranjene elektronički. S obzirom da napadač ima pristup sustavu, takva operacija za sobom ostavlja minimum dokaza. Ako nema ovlaštenog pristupa datotekama, napadač prvo mora osigurati prijavu na sustav ili promijeniti postavke kontrole pristupa datotekama.

Modificiranje datoteka baze podataka ili popisa transakcija mora se obaviti vrlo pažljivo. Transakcije su numerirane redoslijedom, a uklanjanje ili dodavanje netočnih brojeva transakcija bit će zabilježeno. U tim slučajevima mora se obaviti opsežan rad u cijelom sustavu kako bi se spriječilo otkrivanje.