Një program për demonstrimin e sulmeve në rrjet. Teknologjitë e sistemeve të zbulimit të sulmeve në rrjet

Sulmuesit rrallëherë pushtojnë rrjetin në mënyrë joceremonike me një "armë" në dorë. Ata preferojnë të kontrollojnë nëse bravat në dyer janë të sigurta dhe nëse të gjitha dritaret janë të mbyllura. Ata analizojnë në mënyrë diskrete modelet e trafikut që hyn dhe del nga rrjeti juaj, adresat IP individuale dhe gjithashtu lëshojnë kërkesa në dukje neutrale drejtuar përdoruesve individualë dhe pajisjeve të rrjetit.

Duhet të instalohet softuer inteligjent zbulimi për të zbuluar këta armiq të kamufluar me zgjuarsi. sulmet në rrjet me ndjeshmëri të lartë. Produkti i blerë duhet të paralajmërojë administratorin jo vetëm për rastet e shkeljeve të dukshme të sistemit siguria e informacionit, por edhe për çdo ngjarje të dyshimtë që në pamje të parë duken krejtësisht të padëmshme, por në realitet fshehin një sulm hakeri në shkallë të plotë. Nuk ka nevojë të argumentohet se çdo përpjekje aktive për të thyer fjalëkalimet e sistemit duhet t'i njoftohet menjëherë administratorit.

Korporatat moderne janë fjalë për fjalë nën zjarrin e ndërhyrësve që kërkojnë të vjedhin informacione të vlefshme ose thjesht të paaftë Sistemet e Informacionit... Detyrat e ndjekura në luftën kundër hakerëve janë mjaft të dukshme:

- Njoftimi i një tentative për akses të paautorizuar duhet të jetë i menjëhershëm;

- zmbrapsja e sulmit dhe minimizimi i humbjeve (për t'i rezistuar sulmuesit, duhet të prishni menjëherë seancën e komunikimit me të);

- kalimi në një kundërsulm (sulmuesi duhet të identifikohet dhe ndëshkohet).

Ky skenar u përdor për të testuar katër sistemet më të njohura të zbulimit të sulmeve të rrjetit në treg sot:

- Paralajmërim për ndërhyrës;

- Zbulimi i ndërhyrjes eTrust.

Karakteristikat e këtyre sistemeve softuerike për zbulimin e sulmeve në rrjet janë dhënë në tabelë. 3.2.

Softueri BlackICE i Network ICE është një aplikacion i specializuar agjentësh i krijuar ekskluzivisht për identifikimin e ndërhyrësve. Kur zbulon një ndërhyrës, ai dërgon një raport për këtë ngjarje në modulin e kontrollit ICEcap, i cili analizon informacionin "të marrë nga agjentë të ndryshëm dhe përpiqet të lokalizojë sulmin në rrjet".

Softueri i Alert Technologies's Intruder Alert është më shumë si një paketë veglash për profesionistët e sigurisë së informacionit në atë që ofron fleksibilitet maksimal në përcaktimin e strategjive të sigurisë së rrjetit.

Paketa Centrax e CyberSafe është projektuar mbi baza të gjitha-në-një: përfshin kontrollet e sigurisë, monitorimin e trafikut, zbulimin e sulmeve dhe mesazhet paralajmëruese.

Zbulimi i ndërhyrjes eTrust i Computer Associates është veçanërisht i fortë në monitorimin e sigurisë së informacionit dhe menaxhimin e strategjisë, megjithëse përfshin gjithashtu sinjalizime në kohë reale, kriptim të të dhënave dhe zbulimin e ndërhyrjeve.

Paralajmërimet e gjeneruara nga agjentët BlackICE janë shumë specifike. Teksti i mesazheve nuk do të bëjë që administratori të dyshojë në natyrën e ngjarjes së regjistruar dhe në shumicën e rasteve rëndësinë e saj. Përveç kësaj, produkti i lejon administratorit të personalizojë përmbajtjen e mesazheve të tij paralajmëruese, por nga në përgjithësi Kjo është e panevojshme.

Shumë pronë e dobishme Rrjeti i Zhvillimeve ICE, si dhe paketa Intruder Alert është aftësia për të shkarkuar nënshkrimet më të fundit të sulmeve të hakerëve nga serveri.

Përpjekjet për të çaktivizuar një server të korporatës, i cili, si rezultat, detyrohet t'i përgjigjet kërkesave për shërbim me një refuzim të shërbimit, është e mbushur me një kërcënim mjaft serioz për biznesin e kompanive që ofrojnë shërbime për klientët e tyre. rrjeti global... Thelbi i sulmit qëndron në faktin se sulmuesi gjeneron mijëra kërkesa SYN (për të krijuar një lidhje) drejtuar serverit të sulmuar. Çdo kërkesë është e pajisur me një adresë burimi të rreme, gjë që e bën shumë më të vështirë identifikimin e saktë të faktit të sulmit dhe gjurmimin e sulmuesit. Me marrjen e një kërkese tjetër SYN, serveri supozon këtë vjen në fillim të një sesioni të ri komunikimi dhe kalon në modalitetin e gatishmërisë së transferimit të të dhënave. Përkundër faktit se pas kësaj nuk merren të dhëna, serveri duhet të presë kohë të caktuar(maksimumi 45 s) përpara ndërprerjes së lidhjes. Nëse disa mijëra kërkesa të tilla false i dërgohen serverit brenda pak minutash, ai do të mbingarkohet, kështu që thjesht nuk do të ketë burime për të përpunuar kërkesat reale për ofrimin e një shërbimi të caktuar. Me fjalë të tjera, një sulm SYN do të rezultonte në një mohim të shërbimit për përdoruesit e vërtetë.

Të gjitha sistemet e përshkruara, me përjashtim të eTrust Intrusion Detection nga Computer Associates, përdorin modelin agjentë softuerësh, të cilat fillimisht instalohen në pajisjet e rrjetit dhe më pas mbledhin informacione rreth sulmeve të mundshme dhe i dërgojnë ato në tastierë. Agjentët identifikojnë shkeljet strategjitë e vendosura mbrojtje dhe më pas gjenerojnë mesazhet e duhura.

Sistemet e bazuara në agjentë janë zgjidhja më e mirë për rrjetet komutuese, sepse nuk ka asnjë pikë të vetme në rrjete të tilla nëpër të cilat domosdoshmërisht kalon i gjithë trafiku. Në vend që të monitorojë një lidhje të vetme, agjenti monitoron të gjitha paketat e marra ose të dërguara nga pajisja ku është instaluar. Si rezultat, sulmuesit nuk mund të ulen pas çelësit.

Kjo mund të ilustrohet me shembullin e produkteve të kompanisë Network ICE. Programit BlackICE i është caktuar roli i një agjenti që është i instaluar në një mjedis funksionimi plotësisht autonom, për shembull, në kompjuterin e një përdoruesi të largët ose në një nga nyjet e një rrjeti të dhënash të korporatës. Me zbulimin e një hakeri që sulmon një makinë në distancë, agjenti do të lëshojë një paralajmërim direkt në ekranin e tij. Nëse zbulohet një ngjarje e ngjashme në rrjetin e korporatës, një mesazh për një përpjekje të paautorizuar të aksesit do t'i dërgohet një aplikacioni tjetër - ICEcap, i cili përmban mjete të monitorimit të rrjetit. Ky i fundit mbledh dhe krahason informacione që vijnë nga agjentë të ndryshëm në varësi të tij, dhe kjo i mundëson atij të identifikojë shpejt ngjarjet që kërcënojnë realisht sigurinë e rrjetit.

Në të kundërt, eTrust bazohet në një arkitekturë të centralizuar. Instalohet në vendin qendror dhe analizon trafikun në segmentin e rrjetit vartës. Mungesa e agjentëve nuk e lejon këtë produkt të gjurmojë të gjitha ngjarjet në rrjetin e ndërruar, pasi është e pamundur të zgjidhet një "kuvertë vëzhgimi" e vetme në të, nga ku i gjithë rrjeti do të ishte i dukshëm me një shikim.

CyberSafe's Intruder Alert dhe Centrax janë më shumë një paketë veglash për ndërtim sistemin e vet zbulimi i sulmeve në rrjet. Për të përfituar plotësisht nga aftësitë e tyre, një organizatë duhet të ketë programues të kualifikuar në stafin e saj ose të ketë një buxhet për të porositur një punë të tillë.

Pavarësisht nga fakti se të gjitha produktet e përshkruara janë të lehta për t'u instaluar, menaxhimi i sistemeve Intruder Alert dhe Centrax nuk është i lehtë. Për shembull, nëse Centrax lëshon një mesazh paralajmërues me përmbajtje të panjohur ose të papërcaktuar (dhe kjo situatë ka ndodhur më shumë se një herë në testet tona), administratori nuk ka gjasa të jetë në gjendje të përcaktojë shpejt se çfarë ka ndodhur në të vërtetë, veçanërisht nëse duhet t'i referohet skedarët e regjistrit të ngjarjeve për të sqaruar diagnozën ... Këta skedarë janë shterues, megjithatë, zhvilluesit, me sa duket, vendosën që një person i zakonshëm do të duhej vetëm të jepte një aluzion të asaj që po ndodhte, dhe natyra e asaj që po ndodhte do të identifikohej në mënyrë të pagabueshme. Regjistrat e këtij sistemi përmbajnë përshkrime të paralajmërimeve të lëshuara, por jo identifikues për to. Administratori shikon adresat e porteve të cilave u përkisnin kërkesat e dyshimta, ose parametrat e operacioneve të tjera, por nuk merr asnjë informacion se çfarë mund të thotë e gjithë kjo.

Kjo rrethanë ul ndjeshëm vlerën e mesazheve të lëshuara në kohë reale, pasi është e pamundur të kuptosh menjëherë nëse përshkrimi i ngjarjes pasqyron një kërcënim real për sistemin e sigurisë apo është thjesht një përpjekje për të kryer një analizë më të plotë të trafikut. Me fjalë të tjera, ka kuptim të blini këto produkte vetëm nëse organizata juaj ka specialistë me përvojë të sigurisë së informacionit.

Softueri "eTrust Intrusion Detection" i Computer Associates është më shumë sesa thjesht një sistem për monitorimin e aktivitetit të rrjetit dhe zbulimin e sulmeve të hakerëve. Ky produkt është në gjendje jo vetëm të deshifrojë paketat e protokolleve të ndryshme dhe trafikun e shërbimit, por edhe t'i përgjojë ato për dalje të mëvonshme në tastierën e kontrollit në format origjinal... Sistemi monitoron të gjithë trafikun TSNR dhe paralajmëron administratorin për rastet e shkeljes së strategjive të vendosura të sigurisë së informacionit. Vërtetë, ky zhvillim nuk mbështet të njëjtin nivel detajesh për grupet e rregullave si Intruder Alert.

Megjithatë, zbulimi i përpjekjeve për akses të paautorizuar dhe lëshimi i mesazheve paralajmëruese është vetëm gjysma e betejës. Softueri i murit të zjarrit duhet të ndalojë veprimet e hakerit dhe të marrë kundërmasa. Në këtë kuptim, përshtypjen më të mirë e bëjnë paketat Intruder Alert dhe Centrax, pikërisht ato që shkaktuan kritika të konsiderueshme për sa i përket cilësimeve të konfigurimit. Ndërsa programet e Network ICE dhe softueri i eTrust mbyllin menjëherë komunikimet kërcënuese, Intruder Alert dhe Centrax shkojnë edhe më tej. Për shembull, një aplikacion nga Axent Technologies mund të konfigurohet në atë mënyrë që të nisë një ose një skedar tjetër grumbull në varësi të natyrës së ngjarjeve të regjistruara, të themi, të rindizni një server që i është nënshtruar një sulmi të mohimit të shërbimit.

Pasi zmbraps sulmin, dua të kaloj menjëherë në kundërofensivë. Aplikacionet Black-ICE dhe Centrax mbështesin tabelat e ID-së së hakerëve. Këto tabela plotësohen pas gjurmimit deri në "strofkën" ku fshihet armiku. Mundësitë software BlackICE është veçanërisht mbresëlënëse kur bëhet fjalë për identifikimin e burimit të një sulmi, qoftë brenda apo jashtë rrjetit: pavarësisht manovrave të shumta të zgjuara, ne kurrë nuk kemi qenë në gjendje të mbetemi të fshehtë.

Por sistemi eTrust mahnit me shkallën e depërtimit në natyrën e aktiviteteve të secilit përdorues të rrjetit, i cili shpesh as nuk dyshon se është nën mbikëqyrje të ngushtë. Në të njëjtën kohë, kjo paketë ofron informacionin më të plotë (dhe, ndoshta, më të saktë) për sulmuesit, madje edhe se ku ndodhen.

Aplikacioni Centrax është i aftë të krijojë të ashtuquajturat mashtrime, duke i dhënë skedarit dytësor një emër kuptimplotë si "Vedomosti.xls" dhe në këtë mënyrë të mashtrojë përdoruesit tepër kurioz. Një algoritëm i tillë na duket shumë i drejtpërdrejtë, por gjithashtu mund të bëjë një punë të mirë: me ndihmën e tij është e mundur të "kapen" punonjësit që "krehin" rrjetin e korporatës për të identifikuar informacionin konfidencial.

Secili prej produkteve softuerike të rishikuara gjeneron raporte për raste të dyshimta të aktivitetit të rrjetit. Cilesi e larte Aplikacionet ICEcap dhe eTrust Intrusion Detection dallohen për raporte të tilla dhe komoditetin e punës me to. Paketa e fundit është veçanërisht fleksibël, ndoshta sepse vjen nga një dekoder protokolli. Në veçanti, administratori mund të analizojë ngjarjet e rrjetit për sa i përket burimeve individuale, të jenë protokolle, stacione klientësh ose serverë. ETrust ofron shumë formate raporti të para-projektuara. Struktura e tyre e mirëmenduar lehtëson shumë zbulimin e ndërhyrësve dhe u lejon atyre të ndëshkojnë përdoruesit fajtorë.

Çdo produkt ka pikat e veta të forta dhe të dobëta, kështu që mund të rekomandohet vetëm për zgjidhje detyra specifike... Kur bëhet fjalë për sigurimin e rrjeteve të ndërruara, Network ICE, Axent Technologies dhe CyberSafe janë zgjedhje të mira. ETrust Intrusion Detection është ideal për njoftimin e hershëm të shkeljeve të etikës së biznesit, si p.sh. përdorimi i fjalëve blasfemuese në mesazhet e postës elektronike. Intruder Alert dhe Centrax janë mjete të shkëlqyera për konsulentët e sigurisë dhe organizatat me një fuqi punëtore profesionale. Sidoqoftë, për ato kompani që nuk kanë mundësi të përdorin shërbimet e specialistëve me pagesë të lartë, ne rekomandojmë instalimin e produkteve të Network ICE. Këto aplikacione do të zëvendësojnë ekspertin e vërtetë në mbrojtjen e rrjetit ndonjë më mirë një sistem tjetër nga ata që na kanë rënë ndonjëherë në sy.

Sistemet e para për të zbuluar të dyshimta aktiviteti i rrjetit në intranetet e korporatave, u shfaq pothuajse 30 vjet më parë. Ju mund të kujtoni, për shembull, sistemin MIDAS, i zhvilluar në 1988. Megjithatë, ishte më shumë një prototip.

Një pengesë për krijimin e sistemeve të plota të kësaj klase për një kohë të gjatë kishte një fuqi të dobët kompjuterike të platformave të zakonshme kompjuterike dhe zgjidhjet vërtet funksionale u prezantuan vetëm 10 vjet më vonë. Pak më vonë, mostrat e para komerciale të sistemeve të zbulimit të ndërhyrjeve (IDS, ose IDS - Sistemet e Zbulimit të Ndërhyrjes) hynë në treg ...

Sot, detyra e zbulimit të sulmeve në rrjet është një nga më të rëndësishmet. Rëndësia e tij është rritur për shkak të kompleksitetit në rritje të të dy metodave të sulmit dhe topologjisë dhe përbërjes së intraneteve moderne. Ndërsa më parë ishte e mjaftueshme që sulmuesit të përdornin një grup të njohur shfrytëzimi për të kryer një sulm të suksesshëm, ata tani përdorin metoda shumë më të sofistikuara, duke konkurruar në kualifikime me specialistë në anën e mbrojtjes.

Kërkesat moderne për IDS

Sistemet e zbulimit të ndërhyrjeve të regjistruara në regjistrin e softuerit rus përdorin kryesisht metoda të bazuara në nënshkrime. Ose deklarojnë përcaktimin e anomalive, por analisti, në maksimum, operon me të dhëna jo më të detajuara se lloji i protokollit. Plutoni bazohet në analiza e thelluar paketat e përkufizimit të softuerit. "Plutoni" mbivendos të dhënat e paketës së marrë në specifikat e të dhënave të hostit - analitikë më të saktë dhe fleksibël.

Më parë, analiza e sipërfaqes dhe metodat e bazuara në nënshkrim kryenin me sukses funksionet e tyre (më pas sulmuesit u përpoqën të shfrytëzonin dobësitë tashmë të njohura të softuerit). Por në kushtet moderne, sulmet mund të shtrihen në kohë (të ashtuquajturat APT), kur trafiku i tyre maskohet nga enkriptimi dhe errësimi (errësimi), atëherë metodat e nënshkrimit janë joefektive. Përveç kësaj, sulmet moderne përdorin menyra te ndryshme anashkalojë IDS.

Si rezultat, puna e përfshirë në konfigurimin dhe mirëmbajtjen e sistemeve tradicionale të zbulimit të ndërhyrjeve mund të tejkalojë kufijtë e arsyeshëm dhe shpesh biznesi zbulon se ta bësh këtë është thjesht një humbje burimesh. Si rezultat, IDS ekziston zyrtarisht, duke kryer vetëm detyrën e pranisë, dhe sistemet e informacionit të ndërmarrjes mbeten të pambrojtura. Kjo situatë është e mbushur me humbje edhe më të mëdha.

IDS-të e gjeneratës së ardhshme

SOV PAC "Pluton", i zhvilluar nga Jet Infosystems, është një kompleks me performancë të lartë i një gjenerate të re për zbulimin e sulmeve në rrjet. Ndryshe nga IDS tradicionale, Plutoni kombinon analizën e njëkohshme të paketave të rrjetit duke përdorur metoda nënshkrimi dhe heuristike me ruajtjen e të dhënave mjedisore, ofron analiza të thella dhe zgjerim të grupit të të dhënave për hetim. Praktikat më të mira për identifikimin e kërcënimeve të mundshme, të plotësuara nga të dhënat historike mbi mjedis në rrjet, trafiku, si dhe regjistrat e sistemit, bëjnë "Pluton" element i rëndësishëm sistemet e mbrojtjes së informacionit të ndërmarrjes. Sistemi është në gjendje të zbulojë shenjat sulmet kompjuterike dhe anomalitë në sjelljen e nyjeve të rrjetit në kanalet e komunikimit me një gjerësi brezi prej më shumë se 1 Gbit / s.

Përveç zbulimit të shenjave të sulmeve kompjuterike në sistemet e informacionit, Plutoni siguron mbrojtje serioze për komponentët e tij, si dhe mbrojtjen e kanaleve të komunikimit: në rast të dështimit të pajisjeve, lidhja nuk do të ndërpritet. Të gjithë komponentët e Plutonit funksionojnë në një mjedis të mbyllur softuerësh - kjo bën nisje e pamundur jashtë kodi i programit dhe shërben si një garanci shtesë kundër infeksionit malware... Prandaj, mund të jeni i sigurt se Plutoni nuk do të bëhet një "dritare" për ndërhyrës në rrjetin tuaj dhe nuk do të kthehet në një "dhimbje koke" për rrjetuesit dhe personelin e sigurisë.

"Plutoni" monitoron me kujdes "shëndetin" e tij, duke monitoruar integritetin e konfigurimit të komponentëve të sistemit, të dhënat mbi ngjarjet e grumbulluara të sigurisë së informacionit të rrjetit dhe trafikun e rrjetit. Kjo siguron funksionimin e saktë të komponentëve të sistemit dhe, në përputhje me rrethanat, stabilitetin e funksionimit të tij. Dhe përdorimi i kartave të veçanta të rrjetit si pjesë e përbërësve të zgjidhjes eliminon prishjen e kanaleve të komunikimit edhe në rast të një dështimi të plotë të pajisjes ose ndërprerjes së energjisë.

Duke marrë parasysh kompleksitetin e zbatimit të sistemeve të zbulimit të ndërhyrjeve, si dhe rritjen e vazhdueshme të gjerësia e brezit kanalet e komunikimit, kemi parashikuar mundësinë e shkallëzimit fleksibël horizontal të komponentëve kompleksë. Nëse bëhet e nevojshme të lidhni sensorë shtesë të rrjetit me sistemin, do të mjaftojë instalimi server shtesë menaxhimit, duke e lidhur atë me një grup me një ekzistues. Në këtë rast, fuqia llogaritëse e të dy serverëve do të kombinohet logjikisht në një burim të vetëm. Kështu, rritja e performancës së sistemit bëhet një detyrë shumë e thjeshtë. Përveç kësaj, sistemi ka një arkitekturë tolerante ndaj gabimeve: në rast të dështimit të njërit prej komponentëve, rrjedha e ngjarjeve ridrejtohet automatikisht në komponentët e tepërt të grupit.

Në zemër të Plutonit është përvoja jonë më shumë se 20 vjeçare në vendosjen dhe funksionimin e sistemeve komplekse të mbrojtjes. Ne dimë më së shumti probleme të shpeshta klientët dhe disavantazhet e zgjidhjeve moderne të klasës IDS. Ekspertiza jonë na lejoi të identifikonim detyrat më urgjente dhe ndihmoi në gjetjen e mënyrave më të mira për t'i zgjidhur ato.

Për momentin, kompleksi Pluton është duke u certifikuar për sa i përket kërkesave për sistemet e zbulimit të ndërhyrjeve në nivel rrjeti (klasa e dytë e mbrojtjes) dhe mungesa e aftësive të padeklaruara (niveli i dytë i kontrollit).

Funksionet e Plutonit:

Zbulimi i shenjave të sulmeve kompjuterike në trafikun e rrjetit, përfshirë ato të shpërndara në kohë, duke përdorur metoda të nënshkrimit dhe heuristikës;

Monitorimi i aktivitetit anormal të nyjeve të rrjetit dhe identifikimi i shenjave të shkeljes së politikës së sigurisë së korporatës;

... akumulimi dhe ruajtja:

- të dhëna retrospektive mbi ngjarjet e zbuluara të sigurisë së informacionit me një thellësi ruajtjeje të konfigurueshme;

- Informacioni i inventarit për nyjet e rrjetit (profili i hostit);

- informacion për komunikimet në rrjet të nyjeve, duke përfshirë statistikat e konsumit të trafikut (nga rrjeti në shtresën e aplikimit sipas modelit OSI);

- meta të dhënat për skedarët e transferuar ndërmjet nyjeve të rrjetit;

Transferimi i rezultateve të analizës trafiku i rrjetit për sistemet e jashtme të mbrojtjes për të përmirësuar efikasitetin e zbulimit të incidenteve të sigurisë së informacionit të llojeve të ndryshme;

Sigurimi i bazës së provave mbi faktet e sulmeve kompjuterike dhe komunikimeve në rrjet për hetimin e incidentit.

Procedura për zbulimin e sulmeve në rrjet.

1. Klasifikimi i sulmeve në rrjet

1.1. Sniffers paketash

Një sniffer paketash është një program aplikacioni që përdor një kartë rrjeti që funksionon në modalitetin e parregullt ( në këtë mënyrë, të gjitha paketat e marra përmes kanaleve fizike, përshtatës rrjeti i dërgon aplikacionit për përpunim). Në të njëjtën kohë, sniffer përgjon të gjitha paketat e rrjetit që transmetohen përmes një domeni specifik.

1.2. Mashtrimi i IP-së

Mashtrimi i IP-së ndodh kur një haker, qoftë brenda apo jashtë sistemit, imiton një përdorues të autorizuar. Kjo mund të bëhet në dy mënyra. Së pari, një haker mund të përdorë një adresë IP që është brenda gamës së adresave IP të autorizuara, ose një adresë të jashtme të autorizuar që i lejohet aksesi në burime të caktuara të rrjetit. Sulmet e mashtrimit të IP janë shpesh pika fillestare për sulme të tjera. Një shembull klasik është një sulm DoS që fillon me adresën e dikujt tjetër që fsheh identitetin e vërtetë të hakerit.

Në mënyrë tipike, mashtrimi i IP-së kufizohet në futjen e informacionit të rremë ose komandave me qëllim të keq në rrjedhën normale të të dhënave midis aplikacioneve të klientit dhe serverit ose komunikimeve peer-to-peer. Për komunikim të dyanshëm, një haker duhet të modifikojë të gjitha tabelat e rrugëzimit për të drejtuar trafikun në një adresë IP të falsifikuar. Megjithatë, disa hakerë as që përpiqen të marrin një përgjigje nga aplikacionet. Nëse detyra kryesore është të merrni një skedar të rëndësishëm nga sistemi, përgjigjet e aplikacioneve nuk kanë rëndësi.

Nëse hakeri arrin të ndryshojë tabelat e rrugëzimit dhe të drejtojë trafikun në një adresë IP false, hakeri do të marrë të gjitha paketat dhe mund t'u përgjigjet atyre sikur të ishte një përdorues i autorizuar.

1.3. Refuzimi i shërbimit ( Mohimi i Shërbimit - DoS)

DoS është forma më e njohur e sulmeve të hakerëve. Kundër këtij lloj sulmi, gjëja më e vështirë është të krijosh një mbrojtje qind për qind.

Llojet më të famshme të DoS:

• TCP SYN Flood Ping of Death Tribe Flood Network ( TFN);
• Tribe Flood Network 2000 ( TFN2K);
• Trinco;
• Stacheldracht;
• Triniteti.

Sulmet DoS janë të ndryshme nga llojet e tjera të sulmeve. Ata nuk synojnë të kenë akses në rrjet ose të marrin ndonjë informacion nga ai rrjet. Një sulm DoS e bën rrjetin të padisponueshëm për përdorim normal duke tejkaluar kufijtë e pranueshëm të rrjetit, sistemit operativ ose aplikacionit.

Në rastin e përdorimit të disa aplikacioneve të serverit (siç është një server në internet ose një server FTP) Sulmet DoS mund të konsistojnë në marrjen e të gjitha lidhjeve të disponueshme për këto aplikacione dhe mbajtjen e tyre të zënë, duke penguar përdoruesit e rregullt të shërbejnë. Sulmet DoS mund të përdorin protokolle të zakonshme të internetit si TCP dhe ICMP ( Protokolli i mesazheve të kontrollit të internetit). Shumica e sulmeve DoS nuk mbështeten në gabimet e softuerit ose një shkelje sigurie, por më tepër një dobësi e përgjithshme në arkitekturën e sistemit. Disa sulme anulojnë performancën e rrjetit duke e përmbytur rrjetin me pako ose raportime të padëshiruara dhe të panevojshme informacione të rreme në lidhje me gjendjen aktuale të burimeve të rrjetit. Ky lloj sulmi është i vështirë për t'u parandaluar pasi kërkon koordinim me ofruesin. Nëse trafiku që synon të tejmbush rrjetin tuaj nuk mund të ndalet te ofruesi, atëherë në hyrje të rrjetit nuk do të mund ta bëni më këtë, sepse i gjithë gjerësia e brezit do të jetë e zënë. Kur ky lloj sulmi kryhet njëkohësisht përmes pajisjeve të shumta, sulmi është një DoS i shpërndarë ( DDoS - DoS e shpërndarë).

1.4. Sulmet me fjalëkalim

Hakerët mund të kryejnë sulme me fjalëkalim duke përdorur një sërë teknikash, si sulmi me forcë brutale ( sulm me forcë brutale), kali i Trojës, mashtrimi IP dhe nuhatja e paketave. Megjithëse identifikimi dhe fjalëkalimi shpesh mund të merren përmes mashtrimit të IP-së dhe nuhatjes së paketave, hakerët shpesh përpiqen të hamendësojnë fjalëkalimin dhe të identifikohen duke përdorur përpjekje të shumta aksesi. Kjo qasje quhet numërim i thjeshtë (sulm me forcë brutale). Shpesh përdoret për një sulm të tillë program të veçantë e cila po përpiqet të aksesojë burimin përdorim të përbashkët (për shembull te serveri). Nëse, si rezultat, një haker fiton akses në burime, ai e merr atë të drejtë përdorues i rregullt fjalëkalimi i të cilit është zgjedhur. Nëse ky përdorues ka privilegje të konsiderueshme aksesi, hakeri mund të krijojë një "kalim" për vete për akses në të ardhmen, i cili do të jetë i vlefshëm edhe nëse përdoruesi ndryshon fjalëkalimin dhe hyrjen e tij.

Një problem tjetër lind kur përdoruesit aplikojnë të njëjtën gjë ( madje shumë mirë) fjalëkalim për akses në shumë sisteme: sisteme të korporatës, personale dhe të internetit. Meqenëse fuqia e fjalëkalimit është e barabartë me fuqinë e hostit më të dobët, një haker që mëson fjalëkalimin përmes atij hosti fiton akses në të gjitha sistemet e tjera ku përdoret i njëjti fjalëkalim.

1.5. Sulmet njeri në mes

Për një sulm Man-in-the-Middle, një hakeri ka nevojë për akses në paketat në rrjet. Një akses i tillë në të gjitha paketat e transmetuara nga ofruesi në çdo rrjet tjetër, për shembull, mund të merret nga një punonjës i këtij ofruesi. Për sulme të këtij lloji përdoren shpesh gërmuesit e paketave, protokollet e transportit dhe protokollet e rrugëzimit. Sulmet kryhen me qëllim të vjedhjes së informacionit, përgjimit të seancës aktuale dhe fitimit të aksesit në burimet e rrjetit privat, për analizimin e trafikut dhe marrjen e informacionit për rrjetin dhe përdoruesit e tij, për kryerjen e sulmeve DoS, shtrembërimin e të dhënave të transmetuara dhe futjen e informacionit të paautorizuar në sesionet e rrjetit.

1.6. Sulmet e shtresave të aplikacionit

Sulmet e shtresës së aplikimit mund të kryhen në disa mënyra. Më e zakonshme nga këto është shfrytëzimi i dobësive në softuerin e serverit ( sendmail, HTTP, FTP). Duke përdorur këto dobësi, hakerët mund të kenë akses në kompjuter në emër të përdoruesit që drejton aplikacionin ( zakonisht ky nuk është një përdorues i thjeshtë, por një administrator i privilegjuar me të drejta aksesi në sistem). Sulmet e nivelit të aplikacionit publikohen gjerësisht për të mundësuar administratorët të korrigjojnë problemin duke përdorur modulet e riparimit ( arna). Problemi kryesor me sulmet e shtresave të aplikacionit është se ata shpesh përdorin porte që lejohen të kalojnë përmes murit të zjarrit. Për shembull, një haker që shfrytëzon një dobësi të njohur në një server në ueb shpesh përdor në një sulm portin TCP 80. Meqenëse serveri i uebit u ofron përdoruesve faqe në internet, muri i zjarrit duhet të sigurojë akses në atë port. Nga pikëpamja e murit të zjarrit, sulmi trajtohet si trafik standard për portin 80.

1.7. Inteligjenca e rrjetit

Inteligjenca e rrjetit është mbledhja e informacionit rreth një rrjeti duke përdorur të dhëna dhe aplikacione të disponueshme publikisht. Kur përgatit një sulm kundër një rrjeti, një haker, si rregull, përpiqet të marrë sa më shumë informacion për të. më shumë informacion... Zbulimi i rrjetit bëhet në formën e pyetjeve DNS, fshirjeve të ping-ut dhe skanimeve të porteve. Pyetjet DNS ndihmoni për të kuptuar se kush zotëron një domen të caktuar dhe cilat adresa i janë caktuar këtij domeni. Testimi i jehonës ( ping spastrim) adresat e zbuluara nga duke përdorur DNS, ju lejon të shihni se cilët hostë po funksionojnë në të vërtetë në një mjedis të caktuar. Pas marrjes së një liste të hosteve, një haker përdor mjetet e skanimit të porteve për të përpiluar një listë të plotë të shërbimeve të mbështetura nga ato hoste. Së fundi, hakeri analizon karakteristikat e aplikacioneve që funksionojnë në host. Si rezultat, merren informacione që mund të përdoren për hakerim.

1.8. Abuzimi i besimit

Ky lloj veprimi nuk është "Sulm" ose "Nga stuhia"... Është një përdorim me qëllim të keq i marrëdhënieve të besimit që ekzistojnë në rrjet. Një shembull është një sistem i instaluar jashtë një muri zjarri që ka një marrëdhënie besimi me një sistem të instaluar nga ai brenda... Në rast të hakimit sistemi i jashtëm, një haker mund të përdorë një marrëdhënie besimi për të depërtuar në një sistem të mbrojtur nga muri i zjarrit.

1.9. Përcjellja e portit

Përcjellja e portit është një formë abuzimi me besimin në të cilin një host i komprometuar përdoret për të kaluar trafikun përmes murit të zjarrit që përndryshe do të refuzohej. Një shembull i një aplikacioni që mund të sigurojë këtë akses është netcat.

1.10. Qasje e paautorizuar

Qasja e paautorizuar nuk mund të konsiderohet një lloj më vete sulmet. Shumica e sulmeve në rrjet kryhen për të fituar akses të paautorizuar. Për të marrë një hyrje në telnet, një haker duhet së pari të marrë një prompt telnet në sistemin e tij. Pas lidhjes me portën telnet, një mesazh shfaqet në ekran « Kerkohet Autorizimi për të përdorur këtë burim " (për të përdorur këto burime ju duhet autorizim). Nëse pas kësaj hakeri vazhdon të përpiqet të hyjë, ata do të merren parasysh "I paautorizuar"... Burimi i sulmeve të tilla mund të gjendet si brenda rrjetit ashtu edhe jashtë saj.

1.11. Viruset dhe aplikacionet si "Kali i Trojes"

Stacionet e punës së klientit janë shumë të prekshme ndaj viruseve dhe kuajt e Trojës. "Kali i Trojes" Nuk është një buton, por program real që duket si aplikim i dobishëm, por në fakt luan një rol të dëmshëm.

2. Metodat e përballjes me sulmet e rrjetit

2.1. Ju mund të zbusni kërcënimin e nuhatjes së paketave duke përdorur mjetet e mëposhtme:

2.1.1. Autentifikimi - Mjete të forta Autentifikimi është mënyra e parë për t'u mbrojtur nga nuhatja e paketave. Nën "i fortë" ne kuptojmë një metodë vërtetimi që është e vështirë të anashkalohet. Fjalëkalimet një herë ( OTP - Fjalëkalime një herë). OTP është një teknologji vërtetimi me dy faktorë që kombinon atë që keni me atë që dini. Nën "kartën" ( shenjë) nënkupton harduerin ose softuerin që gjeneron ( rastësisht) një fjalëkalim unik një herë një herë. Nëse një haker e zbulon këtë fjalëkalim duke përdorur një sniffer, ky informacion do të jetë i padobishëm, sepse në atë moment fjalëkalimi tashmë do të përdoret dhe do të tërhiqet nga përdorimi. Kjo metodë kundër nuhatjes është efektive vetëm kundër përgjimit të fjalëkalimeve.

2.1.2. Infrastruktura e ndërruar - Një mënyrë tjetër për të luftuar nuhatjen e paketave në një mjedis rrjeti është ndërtimi i një infrastrukture të ndërruar në mënyrë që hakerët të mund të kenë akses në trafik vetëm në portin me të cilin janë lidhur. Infrastruktura e ndërruar nuk eliminon kërcënimin e nuhatjes, por ul ndjeshëm ashpërsinë e saj.

2.1.3. Anti-sniffers - Mënyra e tretë për të luftuar nuhatjen është instalimi i harduerit ose softuerit për të njohur nuhatësit që funksionojnë në rrjetin tuaj. Këto fonde nuk mund ta eliminojnë plotësisht kërcënimin, por si shumë mjete të tjera siguria e rrjetit, ato janë të përfshira në sistemi i përbashkët mbrojtjes. E ashtuquajtura Anti-snajper matni reagimin e hosteve dhe përcaktoni nëse hostet duhet të përpunojnë "shtesë" trafiku.

2.1.4. Kriptografia - Më metodë efektive luftimi i nuhatjes së paketave nuk parandalon përgjimin dhe nuk njeh punën e nuhatësve, por e bën këtë punë të padobishme. Nëse kanali i komunikimit është i sigurt kriptografikisht, kjo do të thotë se hakeri nuk është duke përgjuar mesazhin, por tekstin e shifruar (domethënë një sekuencë e pakuptueshme bitesh).

2.2. Kërcënimi i mashtrimit mund të zbutet ( por jo eleminuar) duke përdorur masat e mëposhtme:

2.2.1. Kontrolli i aksesit - Mënyra më e lehtë për të parandaluar mashtrimin e IP-së është vendosjen e duhur kontrolli i aksesit. Për të reduktuar efektivitetin e mashtrimit të IP-së, kontrolli i aksesit është konfiguruar për të ndërprerë çdo trafik që vjen nga rrjeti i jashtëm me një adresë burimi që duhet të jetë e vendosur brenda rrjetit tuaj. Kjo ndihmon në luftimin e mashtrimit të IP-së kur autorizohen vetëm adresat e brendshme. Nëse disa adresa të jashtme të rrjetit janë gjithashtu të autorizuara, kjo metodë bëhet i paefektshëm.

2.2.2. Filtrimi RFC 2827 - shtypja e përpjekjeve për të mashtruar rrjetet e njerëzve të tjerë nga përdoruesit e rrjetit të korporatës. Për këtë, është e nevojshme të refuzoni ndonjë trafiku dalës adresa burimore e të cilit nuk është një nga adresat IP të Bankës. Ky lloj filtrimi, i njohur si "RFC 2827", mund të kryhet gjithashtu nga një ofrues ( ISP). Si rezultat, i gjithë trafiku që nuk ka një adresë burimi të pritur në një ndërfaqe të caktuar, hidhet poshtë.

2.2.3. Shumica metodë efektive lufta kundër mashtrimit të IP është e njëjtë si në rastin e nuhatjes së paketave: është e nevojshme që sulmi të bëhet plotësisht joefektiv. Mashtrimi i IP-së mund të funksionojë vetëm nëse vërtetimi bazohet në adresat IP. Prandaj, futja e metodave shtesë të vërtetimit e bën të padobishëm këtë lloj sulmi. Pamja më e mirë vërtetim shtesëështë kriptografik. Nëse nuk është e mundur rezultate të bukura mund të japë vërtetim me dy faktorë duke përdorur fjalëkalime një herë.

2.3. Kërcënimi i sulmeve DoS mund të zbutet në mënyrat e mëposhtme:

2.3.1. Karakteristikat kundër mashtrimit - Konfigurimi i duhur i veçorive kundër mashtrimit në ruterat dhe muret e zjarrit do të ndihmojë në uljen e rrezikut të DoS. Së paku, këto veçori duhet të përfshijnë filtrimin RFC 2827. Nëse një haker nuk mund të maskojë identitetin e tij të vërtetë, ai nuk ka gjasa të nisë një sulm.

2.3.2. Veçoritë Anti-DoS - Konfigurimi i duhur i veçorive anti-DoS në ruterat dhe muret e zjarrit mund të kufizojë efektivitetin e sulmeve. Këto funksione kufizojnë numrin e kanaleve gjysmë të hapura në çdo kohë të caktuar.

2.3.3. Kufizimi i volumit të trafikut ( kufizimi i normës së trafikut) - një marrëveshje me një ofrues ( ISP) në lidhje me kufizimin e sasisë së trafikut. Ky lloj filtrimi ju lejon të kufizoni sasinë e trafikut jo kritik që kalon nëpër rrjet. Një shembull i zakonshëm është kufizimi i sasisë së trafikut ICMP që përdoret vetëm për qëllime diagnostikuese. Sulmet ( D) DoS përdoret shpesh nga ICMP.

2.3.4. Bllokimi i adresave IP - pas analizës Sulmet DoS dhe identifikoni gamën e adresave IP nga të cilat është kryer sulmi, kontaktoni ofruesin për t'i bllokuar ato.

2.4. Sulmet me fjalëkalim mund të shmangen duke mos përdorur fjalëkalime në tekst të thjeshtë. Fjalëkalimet e njëhershme dhe/ose vërtetimi kriptografik mund të mohojë praktikisht kërcënimin e sulmeve të tilla. Jo të gjitha aplikacionet, hostet dhe pajisjet mbështesin metodat e mësipërme të vërtetimit.

Kur përdorni fjalëkalime të rregullta, duhet të gjeni një fjalëkalim që do të ishte e vështirë të hamendësohej. Gjatësia minimale e fjalëkalimit duhet të jetë së paku tetë karaktere. Fjalëkalimi duhet të përfshijë karaktere të mëdha, numra dhe Simbole të veçanta (#,%, $, etj.). Fjalëkalimet më të mira vështirë për t'u marrë me mend dhe vështirë për t'u mbajtur mend, duke i detyruar përdoruesit të shkruajnë fjalëkalimet në letër.

2.5. Sulmet Man-in-the-Middle mund të luftohen në mënyrë efektive vetëm me ndihmën e kriptografisë. Nëse një haker përgjon të dhënat e një sesioni të koduar, nuk do të jetë mesazhi i përgjuar që do të shfaqet në ekranin e tij, por një grup karakteresh të pakuptimta. Vini re se nëse një haker merr informacion në lidhje me një seancë kriptografike ( për shembull çelësi i sesionit), kjo mund të bëjë të mundur një sulm Man-in-the-Middle edhe në një mjedis të koduar.

2.6. Sulmet në shtresën e aplikacionit nuk mund të përjashtohen plotësisht. Hakerët vazhdimisht zbulojnë dhe publikojnë dobësi të reja në internet programet e aplikimit... Gjëja më e rëndësishme është administrimi i mirë i sistemit.

Masat që mund të merren për të reduktuar cenueshmërinë ndaj këtij lloji të sulmit:

• leximi dhe/ose analiza e skedarëve të regjistrit të sistemit operativ dhe skedarëve të regjistrit të rrjetit duke përdorur aplikacione të veçanta analitike;
• përditësimi në kohë i versioneve të sistemeve operative dhe aplikacioneve dhe instalimi i moduleve më të fundit të korrigjimit ( arna);
• përdorimi i sistemeve të njohjes së sulmit ( IDS).

2.7. Është e pamundur të heqësh qafe plotësisht inteligjencën e rrjetit. Nëse fikni ICMP echo dhe echo reply në ruterat periferikë, nuk keni nevojë të bëni ping, por humbni të dhënat që ju nevojiten për të diagnostikuar dështimet e rrjetit. Përveç kësaj, ju mund të skanoni portet pa bërë ping më parë. Thjesht do të zgjasë më shumë, pasi do t'ju duhet të skanoni edhe adresat IP që nuk ekzistojnë. Sistemet IDS në nivelin e rrjetit dhe të hostit zakonisht bëjnë një punë të mirë për të njoftuar administratorin për inteligjencën e vazhdueshme të rrjetit, gjë që ju lejon të përgatiteni më mirë për një sulm të afërt dhe të paralajmëroni ISP-në ( ISP), në rrjetin e të cilit është instaluar një sistem që tregon kuriozitet të tepruar.

2.8. Rreziku i një shkeljeje të besimit mund të zbutet nga kontrolli më i rreptë i niveleve të besimit brenda rrjetit tuaj. Sistemet jashtë murit të zjarrit nuk duhet kurrë të besohen plotësisht nga sistemet që mbrohen nga muri i zjarrit. Marrëdhëniet e besimit duhet të kufizohen në protokolle të caktuara dhe, nëse është e mundur, të vërtetohen jo vetëm nga adresat IP, por edhe nga parametra të tjerë.

2.9. Mënyra kryesore për t'u marrë me përcjelljen e portit është përdorimi i modeleve të forta besimi ( shih pikën 2.8 ). Përveç kësaj, parandaloni një haker që të instalojë të tijën software mund të presë IDS ( HIDS).

2.10. Mënyrat për t'u marrë me akses i paautorizuar janë mjaft të thjeshta. Gjëja kryesore këtu është të zvogëloni ose eliminoni plotësisht aftësinë e hakerit për të fituar akses në sistem duke përdorur një protokoll të paautorizuar. Si shembull, merrni parasysh parandalimin e hakerëve nga aksesi në portin telnet në një server që ofron shërbime ueb për përdoruesit e jashtëm. Pa akses në këtë port, një haker nuk mund ta sulmojë atë. Sa i përket murit të zjarrit, detyra e tij kryesore është të parandalojë përpjekjet më të thjeshta të aksesit të paautorizuar.

2.11. Lufta kundër viruseve dhe kuajve të Trojës kryhet me ndihmën e një softueri efektiv antivirus që funksionon në nivelin e përdoruesit dhe në nivelin e rrjetit. Mjetet antivirus zbulojnë dhe ndalojnë shumicën e viruseve dhe kuajve të Trojës.

3. Algoritmi i veprimeve gjatë zbulimit të sulmeve në rrjet

3.1. Shumica e sulmeve të rrjetit bllokohen nga mjetet e mbrojtjes së informacionit të instaluara automatikisht ( muret e zjarrit, mjetet e besuara të nisjes, ruterat e rrjetit, mjete antivirus, etj.).

3.2. Sulmet që kërkojnë ndërhyrjen e personelit për t'i bllokuar ose për të zbutur ashpërsinë e pasojave përfshijnë sulmet DoS.

3.2.1. Sulmet DoS zbulohen duke analizuar trafikun e rrjetit. Fillimi i sulmit karakterizohet nga " goditje me çekan»Kanalet e komunikimit duke përdorur pako me burime intensive me adresa të rreme. Një sulm i tillë në një faqe interneti të bankingut ndërlikon aksesin e përdoruesve të ligjshëm dhe burimi i internetit mund të bëhet i paarritshëm.

3.2.2. Nëse zbulohet një sulm, administratori i sistemit kryen veprimet e mëposhtme:

• kalon manualisht ruterin në kanal rezervë dhe anasjelltas për të identifikuar një kanal më pak të ngjeshur (një kanal me një gjerësi bande më të gjerë);
• zbulon gamën e adresave IP nga të cilat kryhet sulmi;
• i dërgon një kërkesë ofruesit për të bllokuar adresat IP nga diapazoni i specifikuar.

3.3. Një sulm DoS zakonisht përdoret për të maskuar një sulm të suksesshëm në burimet e një klienti në mënyrë që ta bëjë të vështirë zbulimin. Prandaj, kur zbulohet një sulm DoS, është e nevojshme të analizohen transaksionet më të fundit për të identifikuar operacione të pazakonta, për t'i bllokuar ato (nëse është e mundur), për të kontaktuar klientët përmes një kanali alternativ për të konfirmuar transaksionet.

3.4. Në rast të marrjes së informacionit nga klienti për veprime të paautorizuara, të gjitha provat e disponueshme regjistrohen, kryhet një hetim i brendshëm dhe një kërkesë dorëzohet në zbatimi i ligjit.

Shkarko skedar ZIP (24151)

Dokumentet erdhën në ndihmë - vendosni "si":

Qëllimi kryesor i këtij programi është zbulimi i sulmeve të hakerëve. Siç e dini, faza e parë e shumicës së sulmeve të hakerëve është inventari i rrjetit dhe skanimi i porteve në hostet e zbuluar. Skanimi i portit ndihmon në përcaktimin e llojit të sistemit operativ dhe zbulimin e shërbimeve potencialisht të cenueshme (për shembull, posta ose serveri WEB). Pas skanimit të porteve, shumë skanerë përcaktojnë llojin e shërbimit duke dërguar kërkesa testimi dhe duke analizuar përgjigjen e serverit. Shërbimi APS kryen një shkëmbim me sulmuesin dhe ju lejon të identifikoni pa mëdyshje faktin e një sulmi.

Për më tepër, qëllimi i shërbimeve është:

• zbulimi i llojeve të ndryshme të sulmeve (kryesisht skanimi i portit dhe identifikimi i shërbimit) dhe shfaqja e programeve në rrjet dhe krimbat e rrjetit(në bazën e të dhënave APS ka më shumë se njëqind porte të përdorura nga krimbat dhe komponentët e Backdoor);
• testimi i skanerëve të portave dhe sigurisë së rrjetit (për të kontrolluar funksionimin e skanerit, duhet të ekzekutoni APS në kompjuterin e provës dhe të kryeni një skanim portash - duke përdorur protokollet APS është e lehtë të përcaktohet se cilat kontrolle do të kryejë skaneri dhe në çfarë sekuence );
• testimi dhe kontrolli operacional mbi punën e Firewall - në këtë rast, programi APS lëshohet në një kompjuter me Firewall të instaluar dhe kryhet një skanim i portit dhe (ose sulme të tjera) kundër PC. Nëse APS lëshon një alarm, atëherë ky është një sinjal që Firewall nuk funksionon ose vendosje e gabuar... APS mund të ekzekutohet vazhdimisht pas një kompjuteri të mbrojtur nga një Firewall për të monitoruar funksionimin e saktë të Firewall-it në kohë reale;
• bllokimi i funksionimit të krimbave të rrjetit dhe moduleve Backdoor dhe zbulimi i tyre - parimi i zbulimit dhe bllokimit bazohet në faktin se një portë e njëjtë mund të hapet për dëgjim vetëm një herë. Prandaj, hapja e porteve të përdorura nga programet Trojan dhe Backdoor përpara se të nisen do të ndërhyjë në punën e tyre; pas nisjes, do të çojë në zbulimin e faktit se një program tjetër po përdor portin;
• testimi i anti-trojanëve dhe programeve, sistemeve IDS - baza e të dhënave APS përmban më shumë se njëqind porte të trojanëve më të zakonshëm. Disa mjete anti-trojane kanë aftësinë për të skanuar portat e kompjuterit të synuar (ose të ndërtojnë një listë portash dëgjimi pa skanuar duke përdorur Windows API) - fonde të tilla duhet të raportojnë një dyshim për praninë Trojans(me një listë portesh "të dyshimta") - lista që rezulton mund të krahasohet lehtësisht me listën e porteve në bazën e të dhënave APS dhe të nxjerrë përfundime në lidhje me besueshmërinë e mjetit të përdorur.

Parimi i programit bazohet në dëgjimin e porteve të përshkruara në bazën e të dhënave. Baza e të dhënave të porteve përditësohet vazhdimisht. Baza e të dhënave përmban një përshkrim të shkurtër të çdo porti - përshkrimet e shkurtra përmbajnë ose emrat e viruseve që përdorin portin, ose emrin e shërbimit standard me të cilin korrespondon kjo port. Kur zbulohet një përpjekje për t'u lidhur me portën e dëgjimit, programi regjistron faktin e lidhjes në protokoll, analizon të dhënat e marra pas lidhjes dhe për disa shërbime transmeton një të ashtuquajtur flamur - një grup teksti ose të dhënash binare të transmetuara shërbim i vërtetë pas lidhjes.