"Pasivni" napadi korištenjem, primjerice, njuškanja, posebno su opasni, jer se, prvo, praktički ne mogu otkriti, a drugo, poduzimaju se iz lokalne mreže (vanjski vatrozid je nemoćan).
Virusi- Zlonamjerni programi koji se mogu samostalno kopirati i slati. Još u prosincu 1994. dobio sam upozorenje o širenju mrežnih virusa (dobra vremena i xxx-1) putem interneta:
Od trenutka nastanka do trenutka otkrivanja virusa prolaze sati, dani, tjedni, a ponekad i mjeseci. Ovisi o tome koliko se brzo manifestiraju učinci infekcije. Što je ovo vrijeme duže, više je računala zaraženo. Nakon otkrivanja činjenice infekcije i širenja nove vrste virusa, potrebno je od nekoliko sati (na primjer, za Email_Worm.Win32.Bagle.bj) do tri tjedna ( [e-mail zaštićen]) za identifikaciju potpisa izraditi protuotrov i uključiti njegov potpis u bazu podataka antivirusnog programa. Privremeni dijagram životnog ciklusa virus je prikazan na sl. 12.1 ("Sigurnost mreže", v.2005, broj 6, lipanj 2005, str. 16-18). Samo u 2004. registrirano je 10.000 novih virusnih potpisa. Crv Blaster zarazio je 90% strojeva u 10 minuta. Tijekom tog vremena, antivirusna skupina mora otkriti objekt, kvalificirati se i razviti protumjere. Jasno je da je to nerealno. Dakle, antivirusni program nije toliko sredstvo za suzbijanje sedativ... Ista razmatranja vrijede i za sve druge vrste napada. Kada postane poznat potpis napada, sam napad obično nije opasan, jer su protumjere već razvijene i ranjivost je pokrivena. Upravo se iz tog razloga takva pažnja posvećuje sustavu upravljanja ažuriranjem softvera (zakrpa).
Neki virusi i crvi imaju ugrađene SMTP programe dizajnirane da ih pošalju, i otvore za nesmetan ulazak u zaraženi stroj. Najnovije verzije opremljene su sredstvima za suzbijanje aktivnosti drugih virusa ili crva. Tako se mogu stvoriti cijele mreže zaraženih strojeva (BotNet) spremnih za pokretanje, na primjer, DDoS napada na naredbu. Za upravljanje takvim zombi strojevima može se koristiti protokol IRC(Internet Relay Chart). Ovaj sustav za razmjenu poruka podržava veliki broj poslužitelja i stoga je takav kanal obično teško pratiti i prijaviti. Tome također olakšava činjenica da većina sustava pomnije kontrolira ulazni nego odlazni promet. Treba imati na umu da, osim DoS napada, zaraženi stroj može poslužiti za skeniranje drugih računala i slanje SPAM-a, za pohranu ilegalnih softverskih proizvoda, za kontrolu samog stroja i krađu dokumenata koji su tamo pohranjeni, za otkrivanje korištenih lozinki i ključeva. od strane vlasnika. Šteta od virusa Blaster procjenjuje se na 475.000 dolara.
Nažalost, nema pouzdanih sredstava za otkrivanje novih virusi (čiji potpis nije poznat).
Riža. 12.1.
Godine 2005. identificirana je još jedna prijetnja - širenje virusa i mrežnih crva pomoću robota tražilica (botova), temeljenih na IRC-u.
Programi robota nisu uvijek opasni, neke od njihovih vrsta koriste se za prikupljanje podataka, posebice o preferencijama kupaca, a u Google tražilici rade na prikupljanju i indeksiranju dokumenata. Ali u rukama hakera, ti se programi pretvaraju u opasno oružje. Najpoznatiji napad pokrenut je 2005. godine, iako su pripreme i "prvi eksperimenti" započeli u rujnu 2004. godine. Program je tražio strojeve s određenim ranjivostima, posebno LSASS (Local Security Authority Subsystem Service, Windows). Sam sigurnosni podsustav LSASS pokazao se ranjivim na napade prekoračenja međuspremnika. Iako je ranjivost već zakrpljena, broj nenadograđenih strojeva i dalje je značajan. Nakon upada, haker obično koristi IRC za izvođenje operacija koje želi (otvaranje određenog porta, slanje SPAM-a, pokretanje skeniranja za druge potencijalne žrtve). Novost takvih programa je da su ugrađeni u operacijski sustav na način (rootkit) da se ne mogu detektirati, budući da se nalaze u zoni kernela OS-a. Ako antivirusni program pokuša pristupiti određenom području memorije kako bi otkrio zlonamjerni kod, rootkit presreće zahtjev i šalje obavijest programu za testiranje da je sve u redu. Da stvar bude gora, bot programi mogu mijenjati sadržaj.
Tijekom rada računalnih sustava često se javljaju različiti problemi. Neki su greškom, a neki su rezultat zlonamjernih radnji. U svakom slučaju šteta je napravljena. Stoga ćemo takve događaje nazvati napadima, bez obzira na razloge njihovog nastanka.
Postoje četiri glavne kategorije napada:
- pristupni napadi;
- modificirani napadi;
- napadi uskraćivanja usluge;
- napadi odricanja od odgovornosti.
Pogledajmo pobliže svaku kategoriju. Postoji mnogo načina za izvođenje napada: korištenjem posebno dizajniranih alata, metodama društvenog inženjeringa, kroz ranjivosti u računalnim sustavima. Društveni inženjering ne koristi tehnička sredstva za neovlašteni pristup sustavu. Napadač dobiva informacije jednostavnim telefonskim pozivom ili se infiltrira u organizaciju pod krinkom zaposlenika. Ova vrsta napada je najrazornija.
Napadi usmjereni na hvatanje informacija pohranjenih u elektroničkom obliku imaju jednu zanimljivu značajku: informacije se ne kradu, već kopiraju. Ostaje izvornom vlasniku, ali ga napadač također dobiva. Dakle, vlasnik informacije trpi gubitke, a vrlo je teško pronaći trenutak kada se to dogodilo.
Definiranje napada pristupa
Pristupni napad je pokušaj napadača da dobije informacije za koje nema dopuštenje za pregled. Provedba takvog napada moguća je gdje god postoje informacije i sredstva za njihov prijenos (slika 2.1). Napad pristupa ima za cilj narušiti povjerljivost informacija.
Riža. 2.1.
Peeping
Njuškanje je pregledavanje datoteka ili dokumenata radi pronalaženja informacija od interesa za napadača. Ako su dokumenti pohranjeni u obliku ispisa, tada će napadač otvoriti ladice stola i preturati po njima. Ako se informacija nalazi u računalnom sustavu, skenirat će datoteku po datoteku dok ne pronađe informacije koje su mu potrebne.
Prisluškivanje
Kada netko sluša razgovor u kojem nije sudionik, to se zove prisluškivanje. Za dobivanje neovlaštenog pristupa informacijama
Internet u potpunosti mijenja naš način života: posao, učenje, slobodno vrijeme. Ove promjene će se dogoditi kako u nama već poznatim područjima (e-trgovina, pristup informacijama u stvarnom vremenu, proširenje komunikacijskih mogućnosti itd.), tako i u onim područjima o kojima još nemamo pojma.
Možda će doći vrijeme kada će korporacija sve svoje telefonske pozive obavljati putem interneta, i to potpuno besplatno. U privatnom životu moguća je pojava posebnih web stranica uz pomoć kojih roditelji u svakom trenutku mogu saznati kako im je djeca. Naše društvo tek počinje shvaćati neograničene mogućnosti interneta.
Uvod
Uz ogroman rast popularnosti interneta, postoji opasnost bez presedana od otkrivanja osobnih podataka, kritičnih korporativnih resursa, državnih tajni itd.
Hakeri svakodnevno prijete tim resursima, pokušavajući im pristupiti posebnim napadima, koji postupno postaju, s jedne strane, sofisticiraniji, as druge, lakši za izvođenje. Tome olakšavaju dva glavna čimbenika.
Prvo, to je sveprisutan prodor Interneta. Danas su milijuni uređaja spojeni na internet, a mnogi milijuni uređaja će biti spojeni na internet u bliskoj budućnosti, tako da vjerojatnost da će hakeri pristupiti ranjivim uređajima stalno raste.
Osim toga, raširena uporaba interneta hakerima omogućuje razmjenu informacija na globalnoj razini. Jednostavna pretraga ključnih riječi poput "hacker", "hack", "hack", "crack" ili "phreak" pružit će vam tisuće web-mjesta, od kojih mnoge možete pronaći zlonamjerne kodove i kako ih koristiti.
Drugo, postoji široko prihvaćanje operativnih sustava i razvojnih okruženja jednostavnih za korištenje. Ovaj čimbenik dramatično smanjuje razinu znanja i vještina potrebnih hakeru. Prije toga, da bi kreirao i distribuirao aplikacije jednostavne za korištenje, haker je morao imati dobre programerske vještine.
Sada, da biste dobili pristup alatu za hakiranje, trebate samo znati IP adresu željene stranice, a za izvođenje napada dovoljno je kliknuti mišem.
Klasifikacija mrežnih napada
Mrežni napadi različiti su koliko i sustavi protiv kojih su usmjereni. Neki napadi su vrlo složeni, drugi su u moći običnog operatera, koji ni ne zna do kakvih posljedica njegove aktivnosti mogu dovesti. Za procjenu vrsta napada potrebno je poznavati neka od inherentnih ograničenja TPC/IP protokola. Neto
Internet je stvoren za komunikaciju između državnih agencija i sveučilišta kako bi se pomogao obrazovni proces i znanstveno istraživanje. Kreatori ove mreže nisu ni slutili koliko će ona biti raširena. Kao rezultat toga, ranim specifikacijama internetskog protokola (IP) nedostajali su sigurnosni zahtjevi. Zbog toga su mnoge IP implementacije inherentno ranjive.
Tijekom godina, nakon mnogih zahtjeva (Zahtjev za komentare, RFC-ovi), IP sigurnost se konačno počela implementirati. Međutim, zbog činjenice da u početku nisu razvijeni sigurnosni alati za IP protokol, sve njegove implementacije počele su se nadopunjavati raznim mrežnim procedurama, uslugama i proizvodima koji smanjuju rizike svojstvene ovom protokolu. Zatim ćemo brzo pogledati vrste napada koji se obično koriste protiv IP mreža i navesti načine za borbu protiv njih.
Njuškalo paketa
Njuškalo paketa je aplikacijski program koji koristi mrežnu karticu koja radi u promiskuitetnom načinu rada (u ovom načinu rada mrežni adapter šalje sve pakete primljene preko fizičkih kanala aplikaciji na obradu).
U isto vrijeme, njuškalo presreće sve mrežne pakete koji se prenose kroz određenu domenu. Trenutno njuškari rade na mrežama na potpuno legalnoj osnovi. Koriste se za rješavanje problema i analizu prometa. Međutim, zbog činjenice da neke mrežne aplikacije prenose podatke u tekstualnom formatu ( Telnet, FTP, SMTP, POP3 itd..), uz pomoć njuškala možete saznati korisne, a ponekad i povjerljive informacije (na primjer, korisnička imena i lozinke).
Presretanje korisničkih imena i lozinki vrlo je opasno jer korisnici često koriste isto korisničko ime i lozinku za više aplikacija i sustava. Mnogi korisnici općenito imaju jednu lozinku za pristup svim resursima i aplikacijama.
Ako se aplikacija izvodi u načinu klijent-poslužitelj, a podaci za autentifikaciju se prenose preko mreže u čitljivom tekstualnom formatu, tada se te informacije najvjerojatnije mogu koristiti za pristup drugim korporativnim ili vanjskim resursima. Hakeri predobro poznaju i iskorištavaju ljudske slabosti (metode napada često se temelje na metodama društvenog inženjeringa).
Oni su savršeno svjesni da koristimo istu lozinku za pristup mnogim resursima, pa stoga često uspijevaju, nakon što su naučili našu lozinku, dobiti pristup važnim informacijama. U najgorem slučaju, haker dobiva pristup korisničkom resursu na razini sustava i uz njegovu pomoć stvara novog korisnika koji se u svakom trenutku može koristiti za pristup Mreži i njezinim resursima.
Prijetnju njuškanja paketa možete ublažiti korištenjem sljedećih alata:
Ovjera. Snažne provjere autentičnosti najvažniji su način zaštite od njuškanja paketa. Pod "jakim" mislimo na metode provjere autentičnosti koje je teško zaobići. Primjer takve provjere autentičnosti su jednokratne lozinke (OTP).
OTP je tehnologija provjere autentičnosti s dva faktora koja kombinira ono što imate s onim što znate. Tipičan primjer dvofaktorske autentifikacije je rad običnog bankomata koji vas prepoznaje, prvo, po vašoj plastičnoj kartici, a drugo po PIN kodu koji unesete. Za autentifikaciju u OTP sustavu također je potreban PIN kod i Vaša osobna kartica.
Token je hardverski ili softverski alat koji nasumično generira jedinstvenu jednokratnu jednokratnu lozinku. Ako haker otkrije ovu lozinku pomoću njuškala, tada će ti podaci biti beskorisni, jer će u tom trenutku lozinka već biti korištena i povučena iz upotrebe.
Imajte na umu da je ova metoda protiv njuškanja učinkovita samo u slučajevima kada se lozinke presretnu. Njuškači koji presreću druge informacije (na primjer, poruke e-pošte) ne gube svoju učinkovitost.
Komutirana infrastruktura... Drugi način borbe protiv njuškanja paketa u vašem mrežnom okruženju je izgradnja komutirane infrastrukture. Ako, na primjer, cijela organizacija koristi komutirani Ethernet, hakeri mogu pristupiti prometu samo na portu na koji su spojeni. Komutirana infrastruktura ne eliminira prijetnju njuškanja, ali značajno smanjuje njezinu ozbiljnost.
Anti-njuškalice. Treći način borbe protiv njuškanja je instaliranje hardvera ili softvera koji mogu prepoznati njuškale koji rade na vašoj mreži. Ovi alati ne mogu u potpunosti eliminirati prijetnju, ali kao i mnogi drugi alati za mrežnu sigurnost, uključeni su u cjelokupni obrambeni sustav. Anti-sniffers mjere odzivnost hosta i određuju moraju li se hostovi nositi s nepotrebnim prometom. Jedan takav proizvod, kojeg isporučuje LOpht Heavy Industries, zove se AntiSniff.
Kriptografija. Ovaj najučinkovitiji način rješavanja njuškanja paketa, iako ne sprječava prisluškivanje i ne prepoznaje rad njuškača, čini ovaj posao beskorisnim. Ako je komunikacijski kanal kriptografski siguran, tada haker ne presreće poruku, već šifrirani tekst (tj. nerazumljiv slijed bitova). Ciscova kriptografija mrežnog sloja temelji se na IPSec-u, koji je standardna metoda za sigurnu komunikaciju između uređaja koristeći IP. Ostali protokoli za upravljanje kriptografskim mrežama uključuju SSH (Secure Shell) i SSL (Secure Socket Layer).
IP lažiranje
IP lažiranje se događa kada se haker, bilo unutar ili izvan korporacije, lažno predstavlja kao ovlašteni korisnik. To se može učiniti na dva načina: haker može koristiti ili IP adresu koja je unutar raspona ovlaštenih IP adresa ili ovlaštenu vanjsku adresu kojoj je dopušten pristup određenim mrežnim resursima.
Napadi lažiranja IP-a često su početna točka za druge napade. Klasičan primjer je DoS napad koji započinje tuđom adresom koja skriva pravi identitet hakera.
Obično je lažiranje IP-a ograničeno na umetanje lažnih informacija ili zlonamjernih naredbi u normalni tok podataka između klijentskih i poslužiteljskih aplikacija ili međusobne komunikacije.
Za dvosmjernu komunikaciju, haker mora modificirati sve tablice usmjeravanja kako bi usmjerio promet na lažnu IP adresu. Neki hakeri, međutim, niti ne pokušavaju dobiti odgovor od aplikacija - ako je glavni zadatak dobiti važnu datoteku iz sustava, tada odgovori aplikacija nisu bitni.
Ako haker uspije promijeniti tablice usmjeravanja i usmjeriti promet na lažnu IP adresu, on će primiti sve pakete i može na njih odgovoriti kao da je ovlašteni korisnik.
Prijetnja lažiranja može se ublažiti (ali ne i eliminirati) korištenjem sljedećih mjera:
- Kontrola pristupa... Najlakši način da spriječite lažiranje IP-a je pravilno konfigurirati kontrolu pristupa. Kako biste smanjili učinkovitost lažiranja IP-a, konfigurirajte kontrolu pristupa tako da prekinete sav promet koji dolazi s vanjske mreže s izvornom adresom koja se mora nalaziti unutar vaše mreže.
Međutim, ovo pomaže u borbi protiv lažiranja IP-a kada su ovlaštene samo interne adrese; ako su neke adrese vanjske mreže također ovlaštene, ova metoda postaje neučinkovita;
- Filtriranje RFC 2827. Možete spriječiti korisnike vaše mreže da lažiraju mreže drugih ljudi (i postati dobar građanin mreže). To zahtijeva odbijanje bilo kakvog odlaznog prometa čija izvorna adresa nije jedna od IP adresa vaše organizacije.
Ovu vrstu filtriranja, poznatu kao RFC 2827, također može izvesti vaš ISP. Kao rezultat, sav promet koji nema izvornu adresu koja se očekuje na određenom sučelju se odbacuje. Na primjer, ako ISP pruža vezu s IP adresom 15.1.1.0/24, može konfigurirati filtar tako da je dopušten samo promet koji dolazi iz 15.1.1.0/24 s tog sučelja na ISP-ov usmjerivač.
Imajte na umu da će sve dok svi davatelji usluga ne implementiraju ovu vrstu filtriranja, njegova učinkovitost biti mnogo niža od moguće. Osim toga, što je dalje od filtriranih uređaja, to je teže izvršiti točnu filtraciju. Na primjer, filtriranje RFC 2827 na razini pristupnog usmjerivača zahtijeva da sav promet prođe s glavne mrežne adrese (10.0.0.0/8), dok na razini distribucije (u ovoj arhitekturi) možete preciznije ograničiti promet (adresa - 10.1. 5,0/24).
Najučinkovitija metoda za rješavanje IP lažiranja je ista kao i za njuškanje paketa: napad mora biti potpuno neučinkovit. IP lažiranje može funkcionirati samo ako se autentifikacija temelji na IP adresama.
Stoga uvođenje dodatnih metoda provjere autentičnosti takve napade čini beskorisnima. Najbolja vrsta dodatne provjere autentičnosti je kriptografska. Ako to nije moguće, dvofaktorska autentifikacija korištenjem jednokratnih lozinki može dati dobre rezultate.
Uskraćivanje usluge
Uskraćivanje usluge (DoS) bez sumnje je najpoznatiji oblik hakerskih napada. Osim toga, protiv ove vrste napada najteže je stvoriti stopostotnu obranu. DoS napadi se smatraju dječjom igrom među hakerima, a njihovo korištenje izaziva prezirne osmijehe, budući da organizacija DoS-a zahtijeva minimum znanja i vještina.
Međutim, upravo je jednostavnost implementacije i gola veličina štete ono što uzrokuje DoS da privuče pažnju administratora mrežne sigurnosti. Ako želite saznati više o DoS napadima, trebali biste razmotriti poznatije varijante, a to su:
- TCP SYN poplava;
- Ping smrti;
- Tribe Flood Network (TFN) i Tribe Flood Network 2000 (TFN2K);
- Trinco;
- Stacheldracht;
- Trojstvo.
Izvrstan izvor sigurnosnih informacija je Tim za odgovor na računalne hitne slučajeve (CERT), koji odlično radi na suzbijanju DoS napada.
DoS napadi se razlikuju od drugih vrsta napada. Oni nisu usmjereni na dobivanje pristupa vašoj mreži, niti na dobivanje bilo kakvih informacija s te mreže, ali DoS napad čini vašu mrežu nedostupnom za normalno korištenje prekoračenjem prihvatljivih ograničenja mreže, operativnog sustava ili aplikacije.
Za neke aplikacije na strani poslužitelja (kao što je web poslužitelj ili FTP poslužitelj), DoS napadi mogu uzeti sve veze dostupne tim aplikacijama i zadržati ih zauzetima, sprječavajući obične korisnike da posluže. DoS napadi mogu koristiti uobičajene internetske protokole kao što su TCP i ICMP ( Internet Control Message Protocol).
Većina DoS napada nije usmjerena na softverske greške ili sigurnosne rupe, već na opće slabosti u arhitekturi sustava. Neki napadi poništavaju performanse mreže tako što preplavljuju mrežu neželjenim i nepotrebnim paketima ili dajući lažne informacije o trenutnom stanju mrežnih resursa.
Ovu vrstu napada teško je spriječiti jer zahtijeva koordinaciju s pružateljem usluga. Ako ne zaustavite promet od davatelja koji namjerava preliti vašu mrežu, tada to nećete moći učiniti na ulazu u mrežu, jer će cijela propusnost biti zauzeta. Kada se ova vrsta napada provodi istovremeno preko više uređaja, govorimo o distribuiranom DoS (DDoS) napadu.
Prijetnja od DoS napada može se ublažiti na tri načina:
- Funkcije protiv lažiranja... Ispravno konfiguriranje značajki protiv lažiranja na vašim usmjerivačima i vatrozidima pomoći će smanjiti rizik od DoS-a. Te bi značajke najmanje trebale uključivati filtriranje RFC 2827. Osim ako haker ne može prikriti svoj pravi identitet, malo je vjerojatno da će pokrenuti napad.
- Anti-DoS funkcije. Ispravna konfiguracija anti-DoS značajki na usmjerivačima i vatrozidima može ograničiti učinkovitost napada. Ove funkcije često ograničavaju broj poluotvorenih kanala u bilo kojem trenutku.
- Ograničavanje brzine prometa... Organizacija može zatražiti od ISP-a da ograniči količinu prometa. Ova vrsta filtriranja omogućuje vam da ograničite količinu nekritičnog prometa koji prolazi kroz vašu mrežu. Tipičan primjer je ograničavanje količine ICMP prometa koji se koristi samo u dijagnostičke svrhe. (D) DoS napadi često koriste ICMP.
Napadi lozinkom
Hakeri mogu provoditi napade lozinkom koristeći razne tehnike, kao što su napadi grube sile, trojanski konji, lažiranje IP-a i njuškanje paketa. Iako se korisničko ime i lozinka često mogu dobiti lažnim IP adresama i njuškanjem paketa, hakeri često pokušavaju pogoditi lozinku i korisničko ime koristeći brojne pokušaje pristupa. Ovaj pristup se naziva napadom grube sile.
Često se za takav napad koristi poseban program koji pokušava dobiti pristup zajedničkom resursu (na primjer, poslužitelju). Ako, kao rezultat, haker dobije pristup resursima, tada ga dobiva kao običan korisnik čija je lozinka odabrana.
Ako ovaj korisnik ima značajne pristupne povlastice, haker može sebi stvoriti "prolaz" za budući pristup, koji će vrijediti čak i ako korisnik promijeni lozinku i prijavu.
Drugi problem nastaje kada korisnici koriste istu (iako vrlo dobru) lozinku za pristup mnogim sustavima: korporativnim, osobnim i internetskim sustavima. Budući da je snaga lozinke jednaka snazi najslabijeg hosta, haker koji nauči lozinku putem ovog hosta dobiva pristup svim ostalim sustavima gdje se koristi ista lozinka.
Napadi lozinkom mogu se izbjeći ako se lozinke ne koriste u običnom tekstu. Jednokratne lozinke i/ili kriptografska autentifikacija mogu praktički negirati prijetnju takvih napada. Nažalost, ne podržavaju sve aplikacije, hostovi i uređaji gore navedene metode provjere autentičnosti.
Kada koristite obične lozinke, pokušajte smisliti onu koju bi bilo teško pogoditi. Minimalna duljina lozinke mora biti najmanje osam znakova. Lozinka mora sadržavati velika slova, brojeve i posebne znakove (#,%, $, itd.).
Najbolje je lozinke teško pogoditi i teško ih je zapamtiti, što prisiljava korisnike da ih zapišu na papir. Kako bi to izbjegli, korisnici i administratori mogu koristiti niz najnovijih tehnoloških dostignuća.
Na primjer, postoje aplikacijski programi koji šifriraju popis lozinki koje možete pohraniti u svoje Pocket PC. Kao rezultat, korisnik treba zapamtiti samo jednu složenu lozinku, dok će sve ostale biti pouzdano zaštićene aplikacijom.
Postoji nekoliko metoda kojima se administrator može boriti protiv pogađanja lozinke. Jedan je korištenje alata L0phtCrack, koji hakeri često koriste za pogađanje lozinki u sustavu Windows NT. Ovaj alat će vam brzo pokazati je li lako pogoditi lozinku koju je korisnik odabrao. Više informacija možete dobiti na http://www.l0phtcrack.com/.
Napadi čovjeka u sredini
Za napad Man-in-the-Middle, hakeru je potreban pristup paketima na mreži. Takav pristup svim paketima prenesenim od davatelja na bilo koju drugu mrežu može, na primjer, dobiti zaposlenik ovog davatelja. Ova vrsta napada često koristi njuškare paketa, transportne protokole i protokole za usmjeravanje.
Napadi se provode s ciljem krađe informacija, presretanja trenutne sesije i pristupa privatnim mrežnim resursima, radi analize prometa i dobivanja informacija o mreži i njezinim korisnicima, provođenja DoS napada, iskrivljavanja prenesenih podataka i unošenja neovlaštenih informacija u mrežne sesije.
Napadi čovjeka u sredini mogu se učinkovito suzbiti samo uz pomoć kriptografije. Ako haker presretne podatke šifrirane sesije, na njegovom ekranu neće se pojaviti presretnuta poruka, već besmislen skup znakova. Imajte na umu da ako haker dobije informacije o kriptografskoj sesiji (na primjer, ključ sesije), onda to može učiniti napad Man-in-the-Middle mogućim čak i u šifriranom okruženju.
Napadi na sloj aplikacija
Napadi aplikacijskog sloja mogu se izvesti na nekoliko načina. Najčešći od njih je iskorištavanje dobro poznatih slabosti poslužiteljskog softvera (sendmail, HTTP, FTP). Koristeći ove slabosti, hakeri mogu dobiti pristup računalu u ime korisnika koji pokreće aplikaciju (obično to nije jednostavan korisnik, već privilegirani administrator s pravima pristupa sustavu).
Napadi na razini aplikacije se široko objavljuju kako bi se administratorima dala mogućnost da riješe problem s korektivnim modulima (zakrpama). Nažalost, mnogi hakeri također imaju pristup ovim informacijama, što im omogućuje poboljšanje.
Glavni problem s napadima aplikacijskog sloja je taj što hakeri često koriste portove kojima je dopušteno proći kroz vatrozid. Na primjer, haker koji iskorištava poznatu slabost web poslužitelja često u napadu koristi TCP port 80. Budući da web poslužitelj korisnicima pruža web stranice, vatrozid mora omogućiti pristup tom portu. Sa stajališta vatrozida, napad se tretira kao standardni promet na portu 80.
Napadi na sloju aplikacije ne mogu se potpuno isključiti. Hakeri neprestano otkrivaju i objavljuju nove ranjivosti u aplikacijskim programima na internetu. Najvažnija stvar ovdje je dobra administracija sustava. Evo nekoliko koraka koje možete poduzeti kako biste smanjili svoju ranjivost na ovu vrstu napada:
- čitati datoteke dnevnika operacijskog sustava i datoteke mrežnog dnevnika i/ili ih analizirati pomoću posebnih analitičkih aplikacija;
- Pretplatite se na uslugu distribucije slabosti aplikacija: Bugtrad (http://www.securityfocus.com).
Mrežna inteligencija
Mrežna inteligencija je prikupljanje informacija o mreži pomoću javno dostupnih podataka i aplikacija. Prilikom pripreme napada na mrežu, haker u pravilu pokušava dobiti što više informacija o njoj. Mrežno izviđanje vrši se u obliku DNS upita, pingova i skeniranja portova.
DNS upiti pomažu vam razumjeti tko je vlasnik određene domene i koje su adrese dodijeljene toj domeni. Pingiranje adresa izloženih DNS-u omogućuje vam da vidite koji se hostovi zapravo izvode u vašem okruženju. Nakon što dobije popis hostova, haker koristi alate za skeniranje portova kako bi sastavio potpuni popis usluga koje podržavaju ti hostovi. Konačno, haker analizira karakteristike aplikacija koje rade na hostovima. Kao rezultat, izvlači informacije koje se mogu koristiti za hakiranje.
Nemoguće je potpuno se riješiti mrežne inteligencije. Na primjer, ako onemogućite ICMP eho i echo odgovor na perifernim usmjerivačima, riješit ćete se eho testiranja, ali ćete izgubiti podatke potrebne za dijagnosticiranje kvarova na mreži.
Osim toga, možete skenirati portove bez prethodnog pingiranja — to samo traje dulje, jer ćete morati skenirati i nepostojeće IP adrese. IDS sustavi na razini mreže i hosta obično dobro obavljaju posao obavještavanja administratora o tekućim mrežnim informacijama, što vam omogućuje da se bolje pripremite za nadolazeći napad i upozorite ISP-a na čijoj mreži sustav pokazuje pretjeranu radoznalost:
- koristiti najnovije verzije operacijskih sustava i aplikacija te najnovije module za ispravke (zakrpe);
- Osim administracije sustava, koristite sustave za otkrivanje napada (IDS) - dvije komplementarne ID tehnologije:
- Mrežni IDS (NIDS) nadzire sve pakete koji prolaze kroz određenu domenu. Kada NIDS sustav vidi paket ili niz paketa koji odgovaraju potpisu poznatog ili vjerojatnog napada, generira alarm i/ili prekida sesiju;
- IDS (HIDS) štiti host softverskim agentima. Ovaj sustav se bori samo protiv napada na jednog domaćina.
IDS-ovi rade koristeći signature napada, koji su profili specifičnih napada ili tipova napada. Potpisi definiraju uvjete pod kojima se promet smatra hakerskim. Analogi IDS-a u fizičkom svijetu mogu se smatrati sustavom upozorenja ili nadzornom kamerom.
Najveći nedostatak IDS-a je njihova sposobnost generiranja alarma. Potrebna je pažljiva konfiguracija kako bi se lažni alarmi sveli na minimum i osigurao ispravan rad IDS sustava na mreži.
Zloupotreba povjerenja
Strogo govoreći, ova vrsta radnje nije u punom smislu riječi napad ili napad. To je zlonamjerna upotreba odnosa povjerenja koji postoje na mreži. Klasičan primjer takve zlouporabe je situacija na rubu korporativne mreže.
Ovaj segment često ugošćuje DNS, SMTP i HTTP poslužitelje. Budući da svi pripadaju istom segmentu, hakiranje bilo kojeg od njih dovodi do hakiranja svih ostalih, budući da ti poslužitelji vjeruju drugim sustavima na svojoj mreži.
Drugi primjer je sustav instaliran na vanjskoj strani vatrozida koji ima odnos povjerenja sa sustavom instaliranim iznutra. Ako je vanjski sustav ugrožen, haker može koristiti odnos povjerenja za infiltriranje u sustav zaštićen vatrozidom.
Rizik od povrede povjerenja može se ublažiti strožom kontrolom razina povjerenja unutar vaše mreže. Sustavi izvan vatrozida ni pod kojim okolnostima ne bi trebali imati potpuno povjerenje od strane sustava zaštićenih vatrozidom.
Odnosi povjerenja trebali bi biti ograničeni na određene protokole i, ako je moguće, biti provjereni ne samo IP adresama, već i drugim parametrima.
Prosljeđivanje luka
Prosljeđivanje portova je oblik zlouporabe povjerenja u kojem se kompromitirani host koristi za propuštanje prometa kroz vatrozid koji bi inače bio odbijen. Zamislite vatrozid s tri sučelja, od kojih svako ima određeni host povezan s njim.
Vanjski se host može spojiti na dijeljeni host (DMZ), ali ne i na onaj instaliran na unutarnjoj strani vatrozida. Zajednički host može se povezati s unutarnjim i vanjskim hostom. Ako haker preuzme zajednički host, može na njega instalirati softver koji preusmjerava promet s vanjskog hosta izravno na interni host.
Iako to ne krši nikakva pravila koja su na snazi na ekranu, vanjski host, kao rezultat preusmjeravanja, dobiva izravan pristup zaštićenom hostu. Primjer aplikacije koja može pružiti ovaj pristup je netcat. Više informacija možete pronaći na http://www.avian.org.
Primarni način rješavanja prosljeđivanja portova je korištenje modela snažnog povjerenja (pogledajte prethodni odjeljak). Osim toga, IDS host sustav (HIDS) može spriječiti hakera da instalira svoj softver na host.
Neovlašten pristup
Neovlašteni pristup ne može se kategorizirati kao zasebna vrsta napada, budući da se većina mrežnih napada provodi upravo radi dobivanja neovlaštenog pristupa. Da bi pokupio Telnet prijavu, haker prvo mora dobiti Telnet prompt na svom sustavu. Nakon povezivanja na Telnet port, poruka "potrebna je autorizacija za korištenje ovog resursa" (" Za korištenje ovog resursa potrebna je autorizacija.»).
Ako nakon toga haker nastavi pokušavati pristupiti, smatrat će se neovlaštenim. Izvor takvih napada može se nalaziti unutar mreže i izvan nje.
Načini borbe protiv neovlaštenog pristupa prilično su jednostavni. Ovdje je glavna stvar smanjiti ili potpuno eliminirati hakerovu sposobnost da pristupi sustavu pomoću neovlaštenog protokola.
Kao primjer, razmislite o sprječavanju hakera da pristupe Telnet portu na poslužitelju koji pruža web usluge vanjskim korisnicima. Bez pristupa ovom portu, haker ga ne može napasti. Što se tiče vatrozida, njegov glavni zadatak je spriječiti najjednostavnije pokušaje neovlaštenog pristupa.
Virusi i aplikacije Trojanskog konja
Radne stanice krajnjih korisnika vrlo su osjetljive na viruse i trojanske konje. Virusi su zlonamjerni programi koji su ugrađeni u druge programe kako bi izvršili određenu neželjenu funkciju na radnoj stanici krajnjeg korisnika. Primjer je virus koji se registrira u datoteci command.com (glavni tumač za Windows) i briše druge datoteke i inficira sve ostale verzije command.com koje pronađe.
Trojanski konj nije dodatak, već pravi program koji se na prvi pogled čini korisnom aplikacijom, ali zapravo igra štetnu ulogu. Primjer tipičnog trojanskog konja je program koji korisnikovoj radnoj stanici izgleda kao jednostavna igra.
Međutim, dok korisnik igra igru, program šalje kopiju sebe e-poštom svakom pretplatniku upisanom u adresar tog korisnika. Svi pretplatnici dobivaju igru poštom, što dovodi do daljnje distribucije.
Ovaj članak je za one koji su se prvi susreli s potrebom za uspostavom udaljene veze s MySQL bazom podataka. Članak govori o poteškoćama koje...
Gotovo svaka stranica s registracijom ima obrazac "Zapamti lozinku", uz njegovu pomoć možete dobiti zaboravljenu lozinku, a ne E-Mail. Slanje lozinke nije sasvim sigurno,...
Kaspersky Internet Security štiti vaše računalo od mrežnih napada.
Mrežni napad Je li invazija na operativni sustav udaljenog računala. Napadači pokreću mrežne napade kako bi preuzeli kontrolu nad operativnim sustavom, doveli do uskraćivanja usluge ili dobili pristup zaštićenim informacijama.
Mrežni napadi su zlonamjerne radnje koje izvode sami napadači (kao što su skeniranje portova, pogađanje lozinke), kao i radnje koje izvode zlonamjerni softver instaliran na napadnutom računalu (kao što je prijenos zaštićenih informacija na napadača). Zlonamjerni programi uključeni u mrežne napade uključuju neke trojance, alate za DoS napade, zlonamjerne skripte i mrežne crve.
Mrežni napadi mogu se grubo podijeliti u sljedeće vrste:
- Skeniranje portova... Ova vrsta mrežnog napada obično je pripremna faza za opasniji mrežni napad. Napadač skenira UDP i TCP portove koje koriste mrežne usluge na napadnutom računalu i utvrđuje stupanj ranjivosti napadnutog računala na opasnije vrste mrežnih napada. Skeniranje portova također omogućuje napadaču da identificira operativni sustav na napadnutom računalu i odabere odgovarajuće mrežne napade za njega.
- DoS napadi, ili mrežni napadi koji uzrokuju uskraćivanje usluge. Riječ je o mrežnim napadima, uslijed kojih napadnuti operativni sustav postaje nestabilan ili potpuno neupotrebljiv.
Postoje sljedeće glavne vrste DoS napada:
- Slanje posebno izrađenih mrežnih paketa na udaljeno računalo koje ovo računalo ne očekuje, što uzrokuje kvar ili zaustavljanje operativnog sustava.
- Slanje velikog broja mrežnih paketa na udaljeno računalo u kratkom vremenskom razdoblju. Svi resursi napadnutog računala koriste se za obradu mrežnih paketa koje šalje napadač, što sprječava računalo u obavljanju njegovih funkcija.
- Napadi upada u mrežu... Riječ je o mrežnim napadima, čija je svrha „otimati“ operativni sustav napadnutog računala. Ovo je najopasniji tip mrežnog napada, jer ako se uspješno završi, operativni sustav je potpuno pod kontrolom napadača.
Ova vrsta mrežnih napada koristi se kada napadač treba dobiti povjerljive podatke s udaljenog računala (na primjer, brojeve bankovnih kartica ili lozinke) ili koristiti udaljeno računalo za vlastite potrebe (na primjer, za napad na druga računala s ovog računala) bez znanja korisnika.
- Na kartici Zaštita u bloku Zaštita od mrežnih napada poništite okvir.
Također možete omogućiti blokator mrežnih napada u obrambenom centru. Onemogućavanje zaštite računala ili zaštitnih komponenti značajno povećava rizik od zaraze vašeg računala, stoga se informacije o onemogućavanju zaštite prikazuju u Centru za zaštitu.
Važno: Ako ste onemogućili Network Attack Blocker, nakon ponovnog pokretanja Kaspersky Internet Security ili ponovnog pokretanja operativnog sustava, neće se automatski uključiti i morat ćete ga omogućiti ručno.
Kada se otkrije opasna mrežna aktivnost, Kaspersky Internet Security automatski dodaje IP adresu napadačkog računala na popis blokiranih računala, osim ako se ovo računalo ne doda na popis pouzdanih računala.
- Na traci izbornika kliknite na ikonu programa.
- U izborniku koji se otvori odaberite stavku Postavke.
Otvorit će se prozor postavki programa.
- Na kartici Zaštita u bloku Zaštita od mrežnih napada potvrdite okvir Omogućite zaštitu od mrežnih napada.
- Kliknite na gumb Izuzimanja.
Otvorit će se prozor s popisom pouzdanih računala i popisom blokiranih računala.
- Otvorite oznaku Zaključana računala.
- Ako ste sigurni da blokirano računalo nije prijetnja, odaberite njegovu IP adresu s popisa i kliknite gumb Deblokiraj.
Otvorit će se prozor za potvrdu.
- U prozoru za potvrdu učinite jedno od sljedećeg:
- Ako želite deblokirati svoje računalo, kliknite na gumb Deblokiraj.
Kaspersky Internet Security deblokira IP adresu.
- Ako želite da Kaspersky Internet Security nikada ne blokira odabranu IP adresu, kliknite gumb Deblokirajte i dodajte iznimkama.
Kaspersky Internet Security će deblokirati IP adresu i dodati je na popis pouzdanih računala.
- Ako želite deblokirati svoje računalo, kliknite na gumb Deblokiraj.
- Kliknite na gumb Spremi da biste spremili promjene.
Možete stvoriti popis pouzdanih računala. Kaspersky Internet Security ne blokira automatski IP adrese ovih računala kada otkrije opasne mrežne aktivnosti koje odlaze s njih.
Kada se otkrije mrežni napad, Kaspersky Internet Security sprema informacije o njemu u izvješće.
- Otvorite izbornik Sigurnost.
- Odaberite Izvješća.
Otvorit će se prozor izvješća Kaspersky Internet Security.
- Otvorite oznaku Zaštita od mrežnih napada.
Napomena: Ako je komponenta Network Attack Blocker prekinuta s greškom, možete pogledati izvješće i pokušati ponovno pokrenuti komponentu. Ako ne možete riješiti problem, obratite se Službi tehničke podrške.
Predavanje 33 Vrste i vrste mrežnih napada
Predavanje 33
Tema: Vrste i vrste mrežnih napada
Udaljeni mrežni napad je informacijski destruktivni učinak na distribuirani računalni sustav, koji se provodi programski putem komunikacijskih kanala.
Uvod
Za organiziranje komunikacije u heterogenom mrežnom okruženju koristi se skup TCP/IP protokola koji osiguravaju kompatibilnost između računala različitih tipova. Ovaj skup protokola postao je popularan zbog kompatibilnosti i pristupa resursima globalnog Interneta te je postao standard za umrežavanje. Međutim, sveprisutnost TCP/IP stoga razotkrila je i njegove slabosti. Konkretno, zbog toga su distribuirani sustavi podložni daljinskim napadima, budući da njihove komponente obično koriste otvorene kanale za prijenos podataka, a uljez može ne samo pasivno slušati odaslane informacije, već i modificirati odaslani promet.
Teškoća otkrivanja udaljenog napada i relativna jednostavnost izvođenja (zbog redundantne funkcionalnosti suvremenih sustava) ovu vrstu protupravnih radnji stavlja na prvo mjesto po stupnju opasnosti i onemogućuje pravodobno reagiranje na prijetnju koja je implementiran, uslijed čega napadač povećava šanse za uspješnu provedbu napada.
Klasifikacija napada
Po prirodi utjecaja
Pasivno
Aktivan
Pasivni utjecaj na distribuirani računalni sustav (DCS) je neka vrsta utjecaja koji ne utječe izravno na rad sustava, ali u isto vrijeme može narušiti njegovu sigurnosnu politiku. Odsutnost izravnog utjecaja na rad DCS-a dovodi upravo do toga da je pasivni daljinski utjecaj (PEL) teško detektirati. Mogući primjer tipičnog RCS-a u DCS-u je slušanje komunikacijskog kanala u mreži.
Aktivni utjecaj na DCS je utjecaj koji ima izravan utjecaj na rad samog sustava (kvar, promjena konfiguracije DCS-a itd.), čime se krši sigurnosna politika usvojena u njemu. Gotovo sve vrste daljinskih napada su aktivni utjecaji. To je zbog činjenice da je aktivni princip uključen u samu prirodu štetnog utjecaja. Jasna razlika između aktivnog i pasivnog utjecaja je temeljna mogućnost njegovog otkrivanja, budući da se kao rezultat njegove provedbe događaju određene promjene u sustavu. Kod pasivnog utjecaja ne ostaju apsolutno nikakvi tragovi (zbog činjenice da napadač gleda tuđu poruku u sustavu, zapravo se ništa ne mijenja u istom trenutku).
Po svrsi utjecaja
Kršenje funkcioniranja sustava (pristup sustavu)
Kršenje integriteta informacijskih resursa (IR)
Kršenje IR povjerljivosti
Ovaj kriterij, prema kojem se vrši klasifikacija, zapravo je izravna projekcija triju osnovnih vrsta prijetnji – uskraćivanja usluge, otkrivanja i povrede integriteta.
Glavni cilj kojem se teži u gotovo svakom napadu je stjecanje neovlaštenog pristupa informacijama. Dvije su osnovne opcije za dobivanje informacija: izobličenje i presretanje. Opcija presretanja informacija znači dobivanje pristupa njima bez mogućnosti promjene. Presretanje informacija dovodi, dakle, do povrede njihove povjerljivosti. Slušanje kanala na mreži primjer je presretanja informacija. U ovom slučaju postoji nelegitiman pristup informacijama bez mogućih mogućnosti njihove zamjene. Također je očito da se povreda povjerljivosti informacija odnosi na pasivne utjecaje.
Sposobnost zamjene informacija treba shvatiti ili kao potpunu kontrolu nad protokom informacija između objekata sustava, ili kao sposobnost prijenosa različitih poruka u ime nekog drugog. Stoga je jasno da zamjena informacija dovodi do narušavanja njezina integriteta. Takav informacijski destruktivni utjecaj tipičan je primjer aktivnog utjecaja. Primjer udaljenog napada dizajniranog da naruši integritet informacija može biti daljinski napad (UA) "Lažni objekt RCS-a".
Prisutnošću povratne informacije s napadnutim objektom
Uz povratne informacije
Otvorena petlja (jednosmjerni napad)
Napadač napadnutom objektu šalje neke zahtjeve na koje očekuje da će dobiti odgovor. Posljedično, javlja se povratna informacija između napadača i napadnutog, koja omogućuje da prvi adekvatno odgovori na sve vrste promjena na napadnutom objektu. Ovo je bit udaljenog napada koji se provodi uz prisutnost povratnih informacija od napadačkog objekta. Takvi su napadi najtipičniji za RVS.
Napade otvorene petlje karakterizira činjenica da ne moraju reagirati na promjene na napadnutom objektu. Takvi se napadi obično provode slanjem pojedinačnih zahtjeva napadnutom objektu. Napadaču nisu potrebni odgovori na te zahtjeve. Ovaj UA se također može nazvati jednosmjernim UA. Primjer jednosmjernih napada je tipičan DoS napad.
Po uvjetu početka udara
Daljinski utjecaj, kao i svaki drugi, može se početi provoditi samo pod određenim uvjetima. Postoje tri vrste takvih uvjetnih napada u RVS-u:
Napad na zahtjev s napadnutog objekta
Napad po nastupu očekivanog događaja na napadnuti objekt
Bezuvjetni napad
Napadač će početi utjecati pod uvjetom da potencijalna meta napada pošalje zahtjev određene vrste. Takav napad se može nazvati napadom zahtjeva od napadnutog objekta. Ova vrsta UA je najtipičnija za RVS. Primjer takvih upita na Internetu su DNS i ARP upiti, a u Novell NetWareu SAP upit.
Napad na pojavu očekivanog događaja na napadnuti objekt. Napadač kontinuirano prati stanje OS-a udaljenog cilja napada i počinje s udarom kada se u ovom sustavu dogodi određeni događaj. Sam napadnuti objekt je inicijator napada. Primjer takvog događaja bio bi prekid korisničke sesije s poslužiteljem bez izdavanja naredbe LOGOUT u Novell NetWareu.
Bezuvjetni napad se provodi odmah i bez obzira na stanje operativnog sustava i napadnutog objekta. Dakle, napadač je inicijator početka napada u ovom slučaju.
U slučaju kvara sustava, slijede drugi ciljevi i ne očekuje se da će napadač dobiti nezakonit pristup podacima. Svrha mu je onemogućavanje OS-a na napadnutom objektu i nemogućnost pristupa za druge objekte u sustavu resursima ovog objekta. Primjer ove vrste napada je DoS napad UA.
Po položaju predmeta napada u odnosu na napadnuti objekt
Unutar segmenta
Međusegment
Neke definicije:
Izvor napada (predmet napada) je program (eventualno operater), koji vodi napad i provodi izravnu akciju.
Host (host) - računalo koje je element mreže.
Usmjerivač je uređaj koji omogućuje usmjeravanje paketa na mreži.
Podmreža je skupina hostova koji su dio globalne mreže i razlikuju se po istom broju podmreže koji im je dodijelio usmjerivač. Također možete reći da je podmreža logično povezivanje hostova putem usmjerivača. Domaćini unutar iste podmreže mogu komunicirati izravno jedni s drugima bez korištenja usmjerivača.
Mrežni segment je grupiranje hostova na fizičkom sloju.
Sa stajališta napada na daljinu iznimno je važan relativni položaj subjekta i objekta napada, odnosno nalaze li se u različitim ili u istim segmentima. Tijekom unutarsegmentnog napada subjekt i objekt napada nalaze se u istom segmentu. U slučaju napada na više segmenata, subjekt i cilj napada nalaze se na različitim segmentima mreže. Ova klasifikacijska značajka omogućuje procjenu takozvanog "stupanj udaljenosti" napada.
U nastavku će biti pokazano da je praktički napad unutar segmenta puno lakše izvesti od intersegmentnog napada. Također imajte na umu da daljinski napad na više segmenata predstavlja mnogo veću opasnost od napada unutar segmenta. To je zbog činjenice da se u slučaju međusegmentnog napada njegov objekt i izravni napadač mogu nalaziti na udaljenosti od nekoliko tisuća kilometara jedan od drugog, što može značajno otežati mjere za odbijanje napada.
Razinom referentnog modela ISO/OSI na kojoj se utjecaj provodi
Fizički
Kanal
Mreža
Prijevoz
Sjednica
Predstavnik
Primijenjeno
Međunarodna organizacija za standardizaciju (ISO) usvojila je normu ISO 7498, koja opisuje interoperabilnost otvorenih sustava (OSI), kojoj pripada i PBC. Svaki mrežni komunikacijski protokol, kao i svaki mrežni program, može se nekako projicirati na 7-slojni OSI referentni model. Takva slojevita projekcija omogućuje opisivanje funkcija korištenih u mrežnom protokolu ili programu u smislu OSI modela. UA je mrežni program, te ga je logično promatrati sa stajališta projekcije na ISO/OSI referentni model.
Kratak opis nekih mrežnih napada
Fragmentacija podataka
Prilikom prijenosa IP paketa podataka preko mreže, ovaj se paket može podijeliti na nekoliko fragmenata. Nakon toga, kada stigne na odredište, paket se vraća iz tih fragmenata. Napadač može pokrenuti slanje velikog broja fragmenata, što dovodi do prelijevanja softverskih međuspremnika na strani primatelja i, u nekim slučajevima, do abnormalnog prekida sustava.
Ping flooding napad
Ovaj napad zahtijeva od napadača pristup brzim internetskim kanalima.
Program ping šalje ICMP ECHO REQUEST paket s vremenom i ID-om. Jezgra uređaja primatelja na takav zahtjev odgovara ICMP ECHO REPLY paketom. Kada ga ping primi, javlja brzinu paketa.
U standardnom načinu rada, paketi se šalju u intervalima, praktički ne učitavajući mrežu. Ali u "agresivnom" načinu rada, tok ICMP paketa eho zahtjeva/odgovora može preopteretiti malu liniju, lišavajući je mogućnosti prijenosa korisnih informacija.
Nestandardni protokoli enkapsulirani u IP-u
IP paket sadrži polje koje definira protokol enkapsuliranog paketa (TCP, UDP, ICMP). Napadači mogu koristiti nestandardnu vrijednost ovog polja za prijenos podataka koji neće biti zarobljeni standardnim sredstvima kontrole toka informacija.
Štrumpf napad
Štrumpf napad sastoji se od slanja ICMP emitiranja na mrežu u ime računala žrtve.
Kao rezultat toga, računala koja su primila takve pakete emitiranja odgovaraju na računalo žrtve, što dovodi do značajnog smanjenja propusnosti komunikacijskog kanala i, u nekim slučajevima, do potpune izolacije napadnute mreže. Napad štrumfa iznimno je učinkovit i raširen.
Protumjere: Da bismo prepoznali ovaj napad, potrebno je analizirati opterećenje kanala i utvrditi razloge smanjenja propusnosti.
DNS lažni napad
Rezultat ovog napada je uvođenje prisilne korespondencije između IP adrese i naziva domene u predmemoriju DNS poslužitelja. Kao rezultat uspješne implementacije ovakvog napada, svi korisnici DNS poslužitelja dobit će netočne informacije o nazivima domena i IP adresama. Ovaj napad karakterizira veliki broj DNS paketa s istim imenom domene. To je zbog potrebe za odabirom nekih parametara DNS razmjene.
Protumjere: za otkrivanje takvog napada potrebno je analizirati sadržaj DNS prometa ili koristiti DNSSEC.
IP lažni napad
Veliki broj napada na Internet uključuje lažiranje izvorne IP adrese. Takvi napadi također uključuju lažiranje syslog-a, što uključuje slanje poruke računalu žrtve u ime drugog računala na internoj mreži. Budući da se syslog protokol koristi za održavanje zapisnika sustava, moguće je nametnuti informacije ili prikriti tragove neovlaštenog pristupa slanjem lažnih poruka na računalo žrtve.
Suprotstavljanje: otkrivanje napada vezanih uz lažiranje IP adresa moguće je praćenjem prijema na jednom od sučelja paketa s izvornom adresom istog sučelja ili praćenjem prijema paketa s IP adresama interne mreže na vanjskoj mreži. sučelje.
Provedba paketa
Napadač šalje pakete u mrežu s lažnom povratnom adresom. Ovim napadom napadač može prebaciti veze između drugih računala na svoje računalo. U tom slučaju prava pristupa napadaču postaju jednaka pravima korisnika čija je veza s poslužiteljem prebačena na računalo napadača.
Njuškanje - slušanje kanala
Moguće samo u segmentu lokalne mreže.
Gotovo sve mrežne kartice podržavaju mogućnost hvatanja paketa koji se prenose preko zajedničkog LAN kanala. U tom slučaju radna stanica može primati pakete adresirane na druga računala u istom segmentu mreže. Tako napadaču postaje dostupna sva razmjena informacija u segmentu mreže. Da bi ovaj napad bio uspješan, računalo napadača mora biti smješteno na istom LAN segmentu kao i napadnuto računalo.
Hvatanje paketa na usmjerivaču
Mrežni softver usmjerivača ima pristup svim mrežnim paketima koji se prenose kroz ovaj usmjerivač, što omogućuje hvatanje paketa. Da bi izvršio ovaj napad, napadač mora imati privilegirani pristup barem jednom usmjerivaču na mreži. Budući da se puno paketa obično prenosi putem usmjerivača, njihovo potpuno presretanje je gotovo nemoguće. Međutim, pojedinačni paketi mogu biti presretnuti i spremljeni za kasniju analizu od strane napadača. Najučinkovitije presretanje FTP paketa koji sadrže korisničke lozinke, kao i e-poštu.
Nametanje lažne rute na host koristeći ICMP
Na internetu postoji poseban ICMP (Internet Control Message Protocol) protokol, čija je jedna od funkcija informiranje domaćina o promjeni trenutnog usmjerivača. Ova kontrolna poruka naziva se preusmjeravanje. Moguće je poslati lažnu poruku preusmjeravanja u ime usmjerivača napadnutom hostu s bilo kojeg hosta u segmentu mreže. Kao rezultat toga, trenutna tablica usmjeravanja hosta se mijenja i, u budućnosti, sav mrežni promet ovog hosta prolazit će, na primjer, kroz host koji je poslao lažnu poruku preusmjeravanja. Tako je moguće aktivno nametati lažnu rutu unutar jednog segmenta interneta.
Uz uobičajene podatke koji se šalju preko TCP veze, standard također predviđa prijenos hitnih (Out Of Band) podataka. Na razini formata TCP paketa, to se izražava kao hitni pokazivač različit od nule. Većina računala s instaliranim sustavom Windows ima mrežni protokol NetBIOS, koji za svoje potrebe koristi tri IP porta: 137, 138, 139. Ako se spojite na Windows stroj na portu 139 i tamo pošaljete nekoliko OutOfBand bajtova podataka, tada će implementacija NetBIOS-a ne znajući što učiniti s tim podacima, jednostavno spusti slušalicu ili ponovno pokreće stroj. Za Windows 95, to obično izgleda kao plavi tekstualni zaslon koji prijavljuje grešku u TCP/IP upravljačkom programu i nemogućnost rada s mrežom dok se OS ne ponovno pokrene. NT 4.0 se ponovno pokreće bez servisnih paketa, NT 4.0 s paketom ServicePack 2 pada u plavi ekran. Sudeći prema informacijama s mreže, i Windows NT 3.51 i Windows 3.11 za radne grupe podložni su takvom napadu.
Slanje podataka na port 139 ponovno pokreće NT 4.0 ili prikazuje "plavi ekran smrti" sa servisnim paketom 2. Slanje podataka na 135 i neke druge portove rezultira značajnim opterećenjem procesa RPCSS.EXE. Na Windows NT WorkStationu to dovodi do značajnog usporavanja, Windows NT Server se praktički smrzava.
Prijevara pouzdanog hosta
Uspješni daljinski napadi ovog tipa omogućili bi napadaču da se prijavi na poslužitelj u ime pouzdanog hosta. (Pouzdani host je postaja koja je legalno spojena na poslužitelj). Provedba ove vrste napada obično se sastoji u slanju razmjenskih paketa s napadačeve stanice u ime pouzdane stanice pod njegovom kontrolom.
Tehnologije otkrivanja napada
Mrežne i informacijske tehnologije mijenjaju se tako brzo da statički zaštitni mehanizmi, koji uključuju sustave kontrole pristupa, ME, autentifikacijske sustave, u mnogim slučajevima ne mogu pružiti učinkovitu zaštitu. Stoga su potrebne dinamičke metode za brzo otkrivanje i sprječavanje kršenja sigurnosti. Jedna od tehnologija koja može otkriti kršenja koja se ne mogu identificirati korištenjem tradicionalnih modela kontrole pristupa je tehnologija otkrivanja upada.
U suštini, proces otkrivanja upada je proces procjene sumnjive aktivnosti koja se događa na korporativnoj mreži. Drugim riječima, otkrivanje upada je proces identificiranja i reagiranja na sumnjive aktivnosti usmjerene na računalne ili mrežne resurse.
Metode za analizu mrežnih informacija
Učinkovitost sustava za otkrivanje upada uvelike ovisi o metodama koje se koriste za analizu primljenih informacija. Prvi sustavi za otkrivanje upada razvijeni ranih 1980-ih koristili su statističke tehnike za otkrivanje napada. Trenutno je u statističku analizu dodan niz novih tehnika, od ekspertnih sustava i neizrazite logike do korištenja neuronskih mreža.
Statistička metoda
Glavne prednosti statističkog pristupa su korištenje već razvijenog i provjerenog aparata matematičke statistike i prilagodba ponašanju ispitanika.
Najprije se određuju profili za sve subjekte analiziranog sustava. Svako odstupanje od korištenog referentnog profila smatra se neovlaštenom aktivnošću. Statističke metode su univerzalne, budući da analiza ne zahtijeva poznavanje mogućih napada i ranjivosti koje koriste. Međutim, pri korištenju ovih tehnika također postoje problemi:
"Statistički" sustavi su neosjetljivi na redoslijed događaja; u nekim slučajevima, isti događaji, ovisno o njihovom redoslijedu, mogu karakterizirati abnormalnu ili normalnu aktivnost;
Teško je postaviti granične (granične) vrijednosti karakteristika koje prati sustav za otkrivanje upada kako bi se adekvatno identificirala anomalna aktivnost;
“Statistički” sustavi mogu biti “uvježbani” tijekom vremena od strane napadača tako da se napadne radnje smatraju normalnim.
Također treba imati na umu da statističke metode nisu primjenjive u slučajevima kada ne postoji obrazac tipičnog ponašanja za korisnika ili kada su neovlaštene radnje tipične za korisnika.
Ekspertni sustavi
Ekspertni sustavi sastavljeni su od skupa pravila koja obuhvaćaju znanje ljudskog stručnjaka. Korištenje ekspertnih sustava uobičajena je metoda za otkrivanje napada, u kojoj se informacije o napadima formuliraju u obliku pravila. Ova pravila mogu se napisati, na primjer, kao slijed radnji ili kao potpis. Kada se poštuje bilo koje od ovih pravila, donosi se odluka o prisutnosti neovlaštene aktivnosti. Važna prednost ovog pristupa je gotovo potpuna odsutnost lažnih alarma.
Baza podataka ekspertnog sustava trebala bi sadržavati scenarije većine trenutno poznatih napada. Kako bi bili stalno ažurirani, ekspertni sustavi zahtijevaju stalna ažuriranja baze podataka. Iako stručni sustavi nude dobru priliku za pregled podataka u zapisnicima, potrebna ažuriranja administrator može zanemariti ili izvršiti ručno. To u najmanju ruku dovodi do oslabljenog ekspertnog sustava. U najgorem slučaju, nedostatak pravilnog održavanja smanjuje sigurnost cijele mreže, dovodeći korisnike u zabludu o stvarnoj razini sigurnosti.
Glavni nedostatak je nemogućnost odbijanja nepoznatih napada. Istodobno, čak i mala promjena u već poznatom napadu može postati ozbiljna prepreka funkcioniranju sustava za otkrivanje upada.
Neuronske mreže
Većina modernih metoda otkrivanja napada koristi neki oblik na temelju pravila ili statističke analize kontroliranog prostora. Nadzirani prostor mogu biti zapisnici ili mrežni promet. Analiza se oslanja na skup unaprijed definiranih pravila koja kreira administrator ili sam sustav za otkrivanje upada.
Bilo kakvu podjelu napada u vremenu ili među više napadača teško je otkriti stručnim sustavima. Zbog velikog broja napada i hakera, čak i posebna stalna ažuriranja baze podataka pravila stručnog sustava nikada neće jamčiti točnu identifikaciju cijelog niza napada.
Korištenje neuronskih mreža jedan je od načina prevladavanja naznačenih problema ekspertnih sustava. Za razliku od ekspertnih sustava koji korisniku mogu dati konačan odgovor o podudarnosti razmatranih karakteristika s pravilima postavljenim u bazi, neuronska mreža analizira informacije i pruža mogućnost procjene jesu li podaci u skladu s karakteristikama koje ona je naučen prepoznati. Dok stupanj podudarnosti prikaza neuronske mreže može doseći 100%, pouzdanost izbora u potpunosti ovisi o kvaliteti sustava u analizi primjera zadatka.
Prvo, neuronska mreža je osposobljena za ispravnu identifikaciju na unaprijed odabranom uzorku primjera domene. Analizira se odgovor neuronske mreže i sustav se podešava na način da se postignu zadovoljavajući rezultati. Osim početnog razdoblja obuke, neuronska mreža s vremenom stječe iskustvo dok analizira podatke vezane uz predmetno područje.
Važna prednost neuronskih mreža u otkrivanju zlostavljanja je njihova sposobnost da "nauče" karakteristike namjernih napada i identificiraju elemente koji nisu slični onima koji su prethodno uočeni na mreži.
Svaka od opisanih metoda ima niz prednosti i mana, pa je sada praktički teško pronaći sustav koji implementira samo jednu od opisanih metoda. Obično se ove metode koriste u kombinaciji.
