Llojet e sulmeve në rrjet dhe dobësitë kryesore. Klasifikimi i sulmeve në rrjet

tejmbushjet e buferit janë një komponent i shumë llojeve të sulmeve me qëllim të keq. Sulmet e tejmbushjes kanë, nga ana tjetër, shumë varietete. Një nga më të rrezikshmet përfshin futjen në kutinë e dialogut, përveç tekstit, kodin e ekzekutueshëm të bashkangjitur në të. Një hyrje e tillë mund të shkaktojë që ky kod të shkruhet në krye të programit të ekzekutueshëm, gjë që herët a vonë do të bëjë që ai të ekzekutohet. Pasojat nuk janë të vështira të imagjinohen.

Sulmet "pasive" duke përdorur, për shembull, një sniffer janë veçanërisht të rrezikshme, sepse, së pari, ato janë praktikisht të pazbulueshme, dhe së dyti, ato bëhen nga rrjeti lokal (një mur zjarri i jashtëm është i pafuqishëm).

Viruset- Programe keqdashëse të afta për vetë-kopjim dhe vetë-shpërndarje. Në dhjetor 1994, mora një paralajmërim për përhapjen e viruseve të rrjetit (kohë të mira dhe xxx-1) në internet:

Orë, ditë, javë dhe nganjëherë muaj kalojnë nga momenti i krijimit deri në momentin e zbulimit të një virusi. Varet nga sa shpejt shfaqen efektet e infeksionit. Sa më e gjatë kjo kohë, aq më i madh është numri i kompjuterëve të infektuar. Pas zbulimit të faktit të infeksionit dhe përhapjes së një versioni të ri të virusit, duhen nga disa orë (për shembull, për Email_Worm.Win32.Bagle.bj) deri në tre javë ( [email i mbrojtur]) për të identifikuar nënshkrimin, për të krijuar një antidot dhe për të përfshirë nënshkrimin e tij në bazën e të dhënave të programit antiviral. E përkohshme diagrami i ciklit jetësor virusi është paraqitur në Fig. 12.1 ("Siguria e Rrjetit", v.2005, Botimi 6, Qershor 2005, f. 16-18). Vetëm në vitin 2004, u regjistruan 10,000 nënshkrime të reja të virusit. Krimbi Blaster infektoi 90% të makinave në 10 minuta. Gjatë kësaj kohe, grupi antivirus duhet të zbulojë objektin, të kualifikohet dhe të zhvillojë një kundërmasë. Është e qartë se kjo është joreale. Pra, programi antivirus nuk është aq një kundërmasë sa qetësues. Të njëjtat konsiderata janë të vlefshme për të gjitha llojet e tjera të sulmeve. Kur nënshkrimi i sulmit bëhet i njohur, vetë sulmi zakonisht nuk është i rrezikshëm, pasi kundërmasat janë zhvilluar tashmë dhe cenueshmëria është bllokuar. Është për këtë arsye që një vëmendje e tillë i kushtohet sistemit të menaxhimit për përditësimet e softuerit (patches).

Disa viruse dhe krimba kanë programe të integruara SMTP të krijuara për t'i dërguar ato, dhe çelësa për hyrje të papenguar në makinën e infektuar. Versionet e fundit janë të pajisura me mjete për të shtypur aktivitetin e viruseve ose krimbave të tjerë. Në këtë mënyrë, mund të krijohen rrjete të tëra makinash të infektuara (BotNet), gati për të nisur, për shembull, një sulm DDoS në komandë. Një protokoll mund të përdoret për të kontrolluar makina të tilla zombie. IRC(Tagrami i transmetimit të internetit). Ky sistem mesazhesh mbështetet nga një numër i madh serverësh, dhe për këtë arsye një kanal i tillë zakonisht është i vështirë për t'u gjurmuar dhe regjistruar. Kjo ndihmohet edhe nga fakti se shumica e sistemeve kontrollojnë trafikun në hyrje më shumë se trafikun dalës. Duhet të kihet parasysh se, përveç sulmeve DoS, një makinë e infektuar mund të shërbejë për të skanuar kompjuterë të tjerë dhe për të dërguar SPAM, për të ruajtur produkte softuerike të paligjshme, për të kontrolluar vetë makinën dhe për të vjedhur dokumentet e ruajtura atje, për të identifikuar fjalëkalimet dhe çelësat e përdorur. nga pronari. Dëmi nga virusi Blaster vlerësohet në 475,000 dollarë.

Fatkeqësisht, nuk ka mjete të besueshme për të zbuluar të reja viruset (nënshkrimi i të cilit nuk dihet).

Oriz. 12.1.

Në vitin 2005, u identifikua një kërcënim tjetër - përhapja e viruseve dhe krimbave të rrjetit duke përdorur robotët e motorëve të kërkimit të bazuara në IRC.

Bots nuk janë gjithmonë të rrezikshëm, disa lloje të tyre përdoren për të mbledhur të dhëna, në veçanti, për preferencat e klientëve, dhe në motorin e kërkimit Google ata punojnë për të mbledhur dhe indeksuar dokumente. Por në duart e një hakeri, këto programe kthehen në armë të rrezikshme. Sulmi më i famshëm u krye në vitin 2005, megjithëse përgatitjet dhe "eksperimentet e para" filluan në shtator 2004. Programi kërkoi makina me dobësi specifike, në veçanti, LSASS (Shërbimi i Nënsistemit të Autoritetit Lokal të Sigurisë, Windows). Nënsistemi LSASS, i projektuar për të ndihmuar në sigurimin e sigurisë, ka qenë vetë i prekshëm ndaj sulmeve të tilla si tejmbushjet e buferit. Megjithëse dobësia tashmë është rregulluar, numri i makinave me një version të pa përditësuar mbetet i konsiderueshëm. Pas ndërhyrjes, hakeri zakonisht përdor IRC për të kryer operacionet që i nevojiten (hapja e një porti të caktuar, dërgimi i SPAM, fillimi i skanimit për viktima të tjera të mundshme). Një veçori e re e programeve të tilla është futja e tyre në sistemin operativ në atë mënyrë (rootkit) që ato të mos zbulohen, pasi ato ndodhen në zonën e kernelit OS. Nëse një program antivirus përpiqet të hyjë në një zonë të caktuar të memories për të zbuluar kodin me qëllim të keq, rootkit përgjon një kërkesë të tillë dhe i dërgon një njoftim programit të testimit se gjithçka është në rregull. Më keq akoma, programet bot mund të modifikojnë përmbajtjen

Gjatë funksionimit të sistemeve kompjuterike, shpesh lindin probleme të ndryshme. Disa janë për shkak të mbikëqyrjes së dikujt tjetër, dhe disa janë rezultat i veprimeve keqdashëse. Sido që të jetë, ajo bën dëm. Prandaj, ngjarjet e tilla do t'i quajmë sulme, pavarësisht nga arsyet e shfaqjes së tyre.

Ekzistojnë katër kategori kryesore të sulmeve:

• sulmet e aksesit;
• sulmet e modifikimit;
• sulmet e mohimit të shërbimit;
• sulmet e heqjes dorë.

Le të hedhim një vështrim më të afërt në secilën kategori. Ka shumë mënyra për të kryer sulme: duke përdorur mjete të dizajnuara posaçërisht, metoda të inxhinierisë sociale, përmes dobësive në sistemet kompjuterike. Inxhinieria sociale nuk përdor mjete teknike për të fituar akses të paautorizuar në sistem. Një sulmues merr informacion përmes një telefonate të thjeshtë ose depërton në një organizatë nën maskën e një punonjësi. Sulmet e këtij lloji janë më shkatërruesit.

Sulmet që synojnë kapjen e informacionit të ruajtur në formë elektronike kanë një veçori interesante: informacioni nuk vidhet, por kopjohet. Mbetet me pronarin fillestar, por edhe sulmuesi e merr atë. Kështu, pronari i informacionit mbart humbje dhe është shumë e vështirë të zbulohet momenti kur ka ndodhur kjo.

Përkufizimi i një sulmi aksesi

Sulmi i aksesit është një përpjekje e një sulmuesi për të marrë informacione që ata nuk kanë leje për t'i parë. Zbatimi i një sulmi të tillë është i mundur kudo ku ka informacion dhe mjete për transmetimin e tij (Fig. 2.1). Një sulm aksesi ka për qëllim shkeljen e konfidencialitetit të informacionit.

Oriz. 2.1.

duke përgjuar

Peeping (snooping) është shikimi i skedarëve ose dokumenteve për të gjetur informacione me interes për sulmuesin. Nëse dokumentet ruhen si printime, atëherë sulmuesi do të hapë sirtarët e tavolinës dhe do të gërmojë nëpër to. Nëse informacioni është në një sistem kompjuterik, atëherë ai do të kalojë skedar për dosje derisa të gjejë informacionin që i nevojitet.

Përgjimi

Kur dikush dëgjon një bisedë në të cilën nuk bën pjesë, kjo quhet përgjim. Për të marrë akses të paautorizuar në informacion

Interneti ndryshon tërësisht mënyrën tonë të jetesës: punë, studim, kohë të lirë. Këto ndryshime do të ndodhin si në fushat që ne tashmë i njohim (tregtia elektronike, aksesi në informacion në kohë reale, rritja e lidhjes, etj.), ashtu edhe në fushat që ne nuk i dimë ende.

Mund të vijë një moment kur një korporatë do t'i kryejë të gjitha telefonatat e saj përmes internetit dhe falas. Në jetën private, mund të shfaqen faqe interneti të veçanta, me ndihmën e të cilave prindërit mund të zbulojnë në çdo kohë se si janë fëmijët e tyre. Shoqëria jonë sapo ka filluar të kuptojë mundësitë e pakufishme të internetit.

Prezantimi

Njëkohësisht me rritjen e madhe të popullaritetit të internetit, ekziston një rrezik i paprecedentë i zbulimit të të dhënave personale, burimeve kritike të korporatës, sekreteve shtetërore, etj.

Hakerët çdo ditë kërcënojnë këto burime, duke u përpjekur të kenë akses në to me ndihmën e sulmeve speciale, të cilat gradualisht po bëhen, nga njëra anë, më të sofistikuara dhe nga ana tjetër, më të lehta për t'u ekzekutuar. Dy faktorë kryesorë kontribuojnë në këtë.

Së pari, është depërtimi i kudondodhur i internetit. Sot ka miliona pajisje të lidhura në ueb dhe shumë miliona pajisje do të lidhen me internetin në të ardhmen e afërt, kështu që gjasat që hakerët të kenë akses në pajisjet e cenueshme janë gjithnjë në rritje.

Për më tepër, përdorimi i gjerë i internetit i lejon hakerët të ndajnë informacione në shkallë globale. Një kërkim i thjeshtë për fjalë kyçe si "hacker", "hack", "hack", "crack" ose "phreak" do t'ju japë mijëra sajte, shumë prej të cilave përmbajnë kode me qëllim të keq dhe si t'i përdorni ato.

Së dyti, është shpërndarja më e gjerë e sistemeve operative dhe mjediseve të zhvillimit të lehtë për t'u përdorur. Ky faktor ul ndjeshëm nivelin e njohurive dhe aftësive të kërkuara nga një haker. Në të kaluarën, për të krijuar dhe shpërndarë aplikacione të lehta për t'u përdorur, një haker duhej të kishte aftësi të mira programimi.

Tani, për të hyrë në mjetin e hakerimit, ju duhet vetëm të dini adresën IP të faqes së dëshiruar dhe për të kryer sulmin, thjesht klikoni miun.

Klasifikimi i sulmeve në rrjet

Sulmet e rrjetit janë po aq të ndryshme sa edhe sistemet që ata synojnë. Disa sulme janë shumë komplekse, të tjera janë në fuqinë e një operatori të zakonshëm, i cili as nuk e imagjinon se çfarë pasojash mund të çojë aktiviteti i tij. Për të vlerësuar llojet e sulmeve, është e nevojshme të njihen disa nga kufizimet e qenësishme në protokollin TPC/IP. Neto

Interneti u krijua për komunikim ndërmjet agjencive qeveritare dhe universiteteve për të ndihmuar procesin arsimor dhe kërkimin shkencor. Krijuesit e këtij rrjeti nuk e kishin idenë se sa i përhapur do të bëhej. Si rezultat, specifikimet e hershme të Protokollit të Internetit (IP) nuk kishin kërkesat e sigurisë. Kjo është arsyeja pse shumë implementime IP janë në thelb të cenueshme.

Pas shumë vitesh, pas shumë pretendimeve (Kërkesë për komente, RFC), më në fund filluan të zbatohen mjetet e sigurisë për IP. Sidoqoftë, për shkak të faktit se mbrojtja IP nuk ishte zhvilluar fillimisht, të gjitha zbatimet e saj filluan të plotësohen nga një sërë procedurash, shërbimesh dhe produktesh të rrjetit që zvogëlojnë rreziqet e natyrshme në këtë protokoll. Më pas, ne do të shqyrtojmë shkurtimisht llojet e sulmeve që përdoren zakonisht kundër rrjeteve IP dhe do të listojmë mënyrat për t'i luftuar ato.

Njoftuesi i paketave

Një sniffer i paketave është një program aplikacioni që përdor një kartë rrjeti që funksionon në modalitetin "promiscuous" (në këtë mënyrë, të gjitha paketat e marra përmes kanaleve fizike dërgohen nga përshtatësi i rrjetit në aplikacion për përpunim).

Në këtë rast, sniffer përgjon të gjitha paketat e rrjetit që transmetohen përmes një domeni specifik. Aktualisht, nuhatësit punojnë në rrjete mbi baza plotësisht ligjore. Ato përdoren për zgjidhjen e problemeve dhe analizën e trafikut. Megjithatë, për shkak të faktit se disa aplikacione të rrjetit transmetojnë të dhëna në format teksti ( Telnet, FTP, SMTP, POP3, etj.), duke përdorur një nuhatës, mund të gjeni informacione të dobishme dhe ndonjëherë konfidenciale (për shembull, emrat e përdoruesve dhe fjalëkalimet).

Përgjimi i emrave dhe fjalëkalimeve krijon një rrezik të madh, pasi përdoruesit shpesh përdorin të njëjtin hyrje dhe fjalëkalim për shumë aplikacione dhe sisteme. Shumë përdorues në përgjithësi kanë një fjalëkalim të vetëm për të hyrë në të gjitha burimet dhe aplikacionet.

Nëse aplikacioni funksionon në modalitetin klient-server dhe të dhënat e vërtetimit transmetohen përmes rrjetit në një format teksti të lexueshëm, atëherë ky informacion ka shumë të ngjarë të përdoret për të hyrë në burime të tjera të korporatës ose të jashtme. Hakerët i njohin dhe i shfrytëzojnë shumë mirë dobësitë njerëzore (metodat e sulmit shpesh bazohen në metodat e inxhinierisë sociale).

Ata janë të vetëdijshëm se ne përdorim të njëjtin fjalëkalim për të hyrë në shumë burime dhe për këtë arsye shpesh arrijnë të kenë akses në informacione të rëndësishme duke ditur fjalëkalimin tonë. Në rastin më të keq, një haker fiton akses në një burim përdoruesi në nivel sistemi dhe me ndihmën e tij krijon një përdorues të ri që mund të përdoret në çdo kohë për të hyrë në Rrjetin dhe burimet e tij.

Ju mund të zbusni kërcënimin e nuhatjes së paketave duke përdorur mjetet e mëposhtme:

Autentifikimi. Autentifikimi i fortë është mënyra më e rëndësishme për t'u mbrojtur nga nuhatja e paketave. Me "të fortë" nënkuptojmë ato metoda të vërtetimit që janë të vështira për t'u anashkaluar. Një shembull i një vërtetimi të tillë janë fjalëkalimet një herë (Fjalëkalimet një herë, OTP).

OTP është një teknologji vërtetimi me dy faktorë që kombinon atë që keni me atë që dini. Një shembull tipik i vërtetimit me dy faktorë është funksionimi i një ATM konvencional, i cili ju njeh, së pari, nga karta juaj plastike dhe së dyti, nga kodi pin që futni. Autentifikimi në sistemin OTP kërkon gjithashtu një kod pin dhe kartën tuaj personale.

Një "kartë" (token) është një mjet harduer ose softuer që gjeneron (rastësisht) një fjalëkalim unik një herë. Nëse një haker mëson këtë fjalëkalim duke përdorur një sniffer, atëherë ky informacion do të jetë i padobishëm, sepse në atë moment fjalëkalimi tashmë do të jetë i përdorur dhe i vjetëruar.

Vini re se kjo metodë e luftimit të nuhatjes është efektive vetëm në rastet kur përgjohen fjalëkalimet. Sniferët që përgjojnë informacione të tjera (siç janë mesazhet e postës elektronike) nuk e humbasin efektivitetin e tyre.

Infrastruktura e ndërruar. Një mënyrë tjetër për t'u marrë me nuhatjen e paketave në mjedisin e rrjetit tuaj është të ndërtoni një infrastrukturë të ndërruar. Nëse, për shembull, e gjithë organizata përdor Ethernet të ndërruar, hakerët mund të kenë akses vetëm në trafikun që vjen në portin me të cilin janë lidhur. Një infrastrukturë e ndërruar nuk eliminon kërcënimin e nuhatjes, por ul ndjeshëm ashpërsinë e saj.

Antisnifers. Mënyra e tretë për t'u marrë me nuhatjen është instalimi i harduerit ose softuerit që njeh sniffers që funksionojnë në rrjetin tuaj. Këto mjete nuk mund të eliminojnë plotësisht kërcënimin, por, si shumë mjete të tjera të sigurisë së rrjetit, ato përfshihen në sistemin e përgjithshëm të mbrojtjes. Anti-sniffers matin kohën e përgjigjes së hosteve dhe përcaktojnë nëse hostet duhet të përpunojnë trafik shtesë. Një mjet i tillë, i ofruar nga LOpht Heavy Industries, quhet AntiSniff.

Kriptografia. Kjo është mënyra më efektive për t'u marrë me nuhatjen e paketave, megjithëse nuk parandalon përgjimin dhe nuk njeh punën e nuhatësve, e bën këtë punë të padobishme. Nëse kanali i komunikimit është i sigurt kriptografikisht, atëherë hakeri nuk përgjon mesazhin, por tekstin e shifruar (d.m.th., një sekuencë të pakuptueshme bitash). Kriptografia e shtresës së rrjetit të Cisco-s bazohet në protokollin IPSec, i cili është një metodë standarde për komunikim të sigurt midis pajisjeve që përdorin protokollin IP. Protokollet e tjera të menaxhimit të rrjetit kriptografik përfshijnë protokollet SSH (Secure Shell) dhe SSL (Secure Socket Layer).

Mashtrimi i IP-së

Mashtrimi i IP-së ndodh kur një haker, qoftë brenda apo jashtë një korporate, paraqitet si një përdorues i autorizuar. Kjo mund të bëhet në dy mënyra: hakeri mund të përdorë ose një adresë IP që është brenda gamës së adresave IP të autorizuara, ose një adresë të jashtme të autorizuar që lejohet të hyjë në burime të caktuara të rrjetit.

Sulmet e mashtrimit të IP janë shpesh pika fillestare për sulme të tjera. Një shembull klasik është një sulm DoS që fillon me adresën e dikujt tjetër duke fshehur identitetin e vërtetë të hakerit.

Në mënyrë tipike, mashtrimi i IP-së kufizohet në futjen e informacionit të rremë ose komandave me qëllim të keq në një rrjedhë normale të të dhënave të transmetuara midis një aplikacioni klient dhe server ose përmes një kanali komunikimi midis kolegëve.

Për komunikim të dyanshëm, një haker duhet të ndryshojë të gjitha tabelat e rrugëzimit për të drejtuar trafikun në një adresë IP të rreme. Megjithatë, disa hakerë as që përpiqen të marrin një përgjigje nga aplikacionet - nëse qëllimi kryesor është të marrin një skedar të rëndësishëm nga sistemi, atëherë përgjigjet e aplikacioneve nuk kanë rëndësi.

Nëse hakeri arrin të ndryshojë tabelat e rrugëzimit dhe të drejtojë trafikun në një adresë IP të rreme, ai do të marrë të gjitha paketat dhe do të jetë në gjendje t'u përgjigjet atyre sikur të ishte një përdorues i autorizuar.

Kërcënimi i mashtrimit mund të zbutet (por jo të eliminohet) me masat e mëposhtme:

• Kontrolli i aksesit. Mënyra më e lehtë për të parandaluar mashtrimin e IP-së është konfigurimi i duhur i kontrollit të aksesit. Për të reduktuar efektivitetin e mashtrimit të IP-së, konfiguroni kontrollin e aksesit për të ndërprerë çdo trafik që vjen nga një rrjet i jashtëm me një adresë burimi që duhet të jetë e vendosur brenda rrjetit tuaj.

  Vërtetë, kjo ndihmon në luftimin e mashtrimit të IP-së kur autorizohen vetëm adresat e brendshme; nëse autorizohen edhe disa adresa të jashtme të rrjetit, kjo metodë bëhet joefikase;

• Filtrimi i RFC 2827. Ju mund t'i ndaloni përdoruesit e rrjetit tuaj nga mashtrimi i rrjeteve të njerëzve të tjerë (dhe të bëheni një qytetar i mirë i rrjetit). Për ta bërë këtë, duhet të refuzoni çdo trafik dalës, adresa burimore e të cilit nuk është një nga adresat IP të organizatës suaj.

  Ky lloj filtrimi, i njohur si RFC 2827, mund të kryhet gjithashtu nga ISP-ja juaj. Si rezultat, i gjithë trafiku që nuk ka një adresë burimi të pritur në një ndërfaqe të caktuar refuzohet. Për shembull, nëse një ISP siguron një lidhje me adresën IP 15.1.1.0/24, ai mund të konfigurojë filtrin në mënyrë që vetëm trafiku që vjen nga 15.1.1.0/24 të lejohet nga ajo ndërfaqe në ruterin ISP.

Vini re se derisa të gjithë ofruesit të zbatojnë këtë lloj filtrimi, efektiviteti i tij do të jetë shumë më i ulët se sa është e mundur. Përveç kësaj, sa më larg nga pajisjet e filtruara, aq më e vështirë është të kryhet filtrim i saktë. Për shembull, filtrimi RFC 2827 në nivelin e routerit të aksesit kërkon që i gjithë trafiku të kalojë nga adresa kryesore e rrjetit (10.0.0.0/8), ndërsa në nivelin e shpërndarjes (në këtë arkitekturë) është e mundur të kufizohet më saktë trafiku (adresa - 10.1.5.0/24).

Metoda më efektive për të luftuar mashtrimin e IP-së është e njëjtë si në rastin e nuhatjes së paketave: ju duhet ta bëni sulmin plotësisht joefektiv. Mashtrimi i IP-së mund të funksionojë vetëm nëse vërtetimi bazohet në adresat IP.

Prandaj, futja e metodave shtesë të vërtetimit i bën të padobishme sulme të tilla. Lloji më i mirë i vërtetimit shtesë është kriptografik. Nëse kjo nuk është e mundur, vërtetimi me dy faktorë duke përdorur fjalëkalime një herë mund të japë rezultate të mira.

Mohimi i Shërbimit

Mohimi i Shërbimit (DoS) është pa dyshim forma më e njohur e hakimit. Përveç kësaj, kundër sulmeve të këtij lloji, është më e vështirë të krijohet një mbrojtje qind për qind. Mes hakerëve, sulmet DoS konsiderohen lojë fëmijësh dhe përdorimi i tyre shkakton buzëqeshje përçmuese, pasi DoS kërkon një minimum njohurish dhe aftësish.

Megjithatë, është lehtësia e zbatimit dhe shkalla e madhe e dëmit që po shkakton DoS që ka tërhequr vëmendjen e administratorëve të sigurisë së rrjetit. Nëse dëshironi të dini më shumë rreth sulmeve DoS, duhet t'i hidhni një sy varieteteve të tyre më të famshme, përkatësisht:

• TCP SYN Flood;
• Ping i vdekjes;
• Tribe Flood Network (TFN) dhe Tribe Flood Network 2000 (TFN2K);
• Trinco;
• Stacheldracht;
• Triniteti.

Një burim i shkëlqyeshëm i informacionit të sigurisë është Ekipi i Reagimit të Emergjencave Kompjuterike (CERT), i cili ka publikuar një punë të shkëlqyer për të luftuar sulmet DoS.

Sulmet DoS janë të ndryshme nga llojet e tjera të sulmeve. Ato nuk synojnë të kenë akses në rrjetin tuaj ose të marrin ndonjë informacion nga ky rrjet, por një sulm DoS e bën rrjetin tuaj të padisponueshëm për përdorim normal duke tejkaluar kufijtë e lejuar të rrjetit, sistemit operativ ose aplikacionit.

Në rastin e disa aplikacioneve të serverëve (siç është një server në internet ose server FTP), sulmet DoS mund të marrin të gjitha lidhjet e disponueshme për këto aplikacione dhe t'i mbajnë ato të zënë, duke mos lejuar që përdoruesit e zakonshëm të shërbejnë. Sulmet DoS mund të përdorin protokolle të zakonshme të internetit si TCP dhe ICMP ( Protokolli i mesazheve të kontrollit të internetit).

Shumica e sulmeve DoS nuk synojnë gabimet e softuerit ose vrimat e sigurisë, por dobësitë e përgjithshme në arkitekturën e sistemit. Disa sulme anulojnë performancën e rrjetit duke e përmbytur atë me paketa të padëshiruara dhe të panevojshme, ose duke keqpërfaqësuar gjendjen aktuale të burimeve të rrjetit.

Ky lloj sulmi është i vështirë për t'u parandaluar pasi kërkon koordinim me ISP-në. Nëse nuk e ndaloni trafikun tek ofruesi që synon të tejmbush rrjetin tuaj, atëherë nuk do të mund ta bëni më këtë në hyrje të rrjetit, pasi i gjithë gjerësia e brezit do të jetë e zënë. Kur një sulm i këtij lloji kryhet njëkohësisht përmes shumë pajisjeve, flasim për një sulm të shpërndarë DoS (distributed DoS, DDoS).

Kërcënimi i sulmeve DoS mund të zbutet në tre mënyra:

• Karakteristikat kundër mashtrimit. Konfigurimi i duhur i veçorive kundër mashtrimit në ruterat dhe muret e zjarrit tuaj do të ndihmojë në uljen e rrezikut të DoS. Së paku, këto veçori duhet të përfshijnë filtrimin RFC 2827. Nëse një haker nuk mund të maskojë identitetin e tij të vërtetë, ai nuk ka gjasa të guxojë të nisë një sulm.
• Karakteristikat anti-DoS. Konfigurimi i duhur i veçorive anti-DoS në ruterat dhe muret e zjarrit mund të kufizojë efektivitetin e sulmeve. Këto veçori shpesh kufizojnë numrin e kanaleve gjysmë të hapura në çdo kohë.
• Kufizimi i normës së trafikut. Organizata mund t'i kërkojë ofruesit (ISP) të kufizojë sasinë e trafikut. Ky lloj filtrimi ju lejon të kufizoni sasinë e trafikut jo kritik që kalon nëpër rrjetin tuaj. Një shembull tipik është kufizimi i sasisë së trafikut ICMP që përdoret vetëm për qëllime diagnostikuese. (D) Sulmet DoS shpesh përdorin ICMP.

Sulmet me fjalëkalim

Hakerët mund të kryejnë sulme me fjalëkalim duke përdorur një sërë metodash, të tilla si sulmi me forcë brutale, kali i Trojës, mashtrimi i IP-së dhe nuhatja e paketave. Megjithëse identifikimi dhe fjalëkalimi shpesh mund të merren duke përdorur mashtrimin e IP-së dhe nuhatjen e paketave, nuk është e pazakontë që hakerët të përpiqen të hamendësojnë fjalëkalimin dhe të identifikohen duke përdorur përpjekje të shumta aksesi. Kjo qasje quhet numërim i thjeshtë (sulm me forcë brutale).

Shpesh, një sulm i tillë përdor një program të veçantë që përpiqet të hyjë në një burim të përbashkët (për shembull, një server). Nëse, si rezultat, hakerit i jepet akses në burime, atëherë ai e merr atë si një përdorues të rregullt, fjalëkalimi i të cilit u hamendësua.

Nëse ky përdorues ka privilegje të konsiderueshme aksesi, një haker mund të krijojë një "portë" për akses në të ardhmen që do të funksionojë edhe nëse përdoruesi ndryshon fjalëkalimin dhe hyrjen e tij.

Një problem tjetër lind kur përdoruesit përdorin të njëjtin fjalëkalim (madje edhe një shumë të mirë) për të hyrë në shumë sisteme: sisteme të korporatës, personale dhe të internetit. Meqenëse fuqia e fjalëkalimit është e barabartë me fuqinë e hostit më të dobët, një haker që mëson fjalëkalimin përmes këtij hosti fiton akses në të gjitha sistemet e tjera ku përdoret i njëjti fjalëkalim.

Sulmet me fjalëkalim mund të shmangen duke mos përdorur fjalëkalime me tekst të thjeshtë. Fjalëkalimet një herë dhe/ose vërtetimi kriptografik mund të eliminojnë praktikisht kërcënimin e sulmeve të tilla. Fatkeqësisht, jo të gjitha aplikacionet, hostet dhe pajisjet mbështesin metodat e mësipërme të vërtetimit.

Kur përdorni fjalëkalime të rregullta, përpiquni të gjeni një që do të ishte e vështirë të hamendësohej. Gjatësia minimale e fjalëkalimit duhet të jetë së paku tetë karaktere. Fjalëkalimi duhet të përfshijë shkronja të mëdha, numra dhe karaktere speciale (#, %, $, etj.).

Fjalëkalimet më të mira janë të vështira për t'u marrë me mend dhe vështirë për t'u mbajtur mend, duke i detyruar përdoruesit t'i shkruajnë ato në letër. Për të shmangur këtë, përdoruesit dhe administratorët mund të përfitojnë nga një sërë përparimesh teknologjike të fundit.

Për shembull, ka aplikacione që enkriptojnë një listë fjalëkalimesh që mund të ruhen në një kompjuter xhepi. Si rezultat, përdoruesi duhet të mbajë mend vetëm një fjalëkalim kompleks, ndërsa të gjithë të tjerët do të mbrohen në mënyrë të sigurt nga aplikacioni.

Për administratorin, ekzistojnë disa mënyra për të trajtuar hamendjen e fjalëkalimeve. Njëra është përdorimi i mjetit L0phtCrack, i cili përdoret shpesh nga hakerat për të gjetur fjalëkalimet në mjediset e Windows NT. Ky mjet do t'ju tregojë shpejt nëse fjalëkalimi i zgjedhur nga përdoruesi është i lehtë për t'u gjetur. Më shumë informacion mund të gjeni në http://www.l0phtcrack.com/.

Sulmet njeri në mes

Për një sulm Man-in-the-Middle, një hakeri ka nevojë për qasje në paketat që dërgohen përmes rrjetit. Një akses i tillë në të gjitha paketat e transmetuara nga ofruesi në çdo rrjet tjetër, për shembull, mund të merret nga një punonjës i këtij ofruesi. Për këtë lloj sulmi përdoren shpesh gërmuesit e paketave, protokollet e transportit dhe protokollet e rrugëzimit.

Sulmet kryhen për të vjedhur informacionin, për të përgjuar seancën aktuale dhe për të fituar akses në burimet e rrjetit privat, për të analizuar trafikun dhe për të marrë informacione për rrjetin dhe përdoruesit e tij, për të kryer sulme DoS, për të shtrembëruar të dhënat e transmetuara dhe për të futur informacione të paautorizuara në seancat e rrjetit.

Sulmet Man-in-the-Middle mund të trajtohen në mënyrë efektive vetëm duke përdorur kriptografinë. Nëse një haker përgjon të dhënat e një sesioni të koduar, ai do të ketë në ekran jo një mesazh të përgjuar, por një grup karakteresh të pakuptimta. Vini re se nëse një haker merr informacion në lidhje me një seancë kriptografike (për shembull, një çelës sesioni), atëherë kjo mund të bëjë të mundur një sulm Man-in-the-Middle edhe në një mjedis të koduar.

Sulmet e shtresave të aplikacionit

Sulmet e shtresës së aplikacionit mund të kryhen në disa mënyra. Më e zakonshme nga këto është shfrytëzimi i dobësive të njohura në softuerin e serverit (sendmail, HTTP, FTP). Duke përdorur këto dobësi, hakerët mund të kenë akses në kompjuter në emër të përdoruesit që drejton aplikacionin (zakonisht ky nuk është një përdorues i thjeshtë, por një administrator i privilegjuar me të drejta aksesi në sistem).

Sulmet e shtresës së aplikacionit publikohen gjerësisht për t'u dhënë administratorëve mundësinë për të rregulluar problemin me module korrigjuese (arna). Fatkeqësisht, shumë hakerë gjithashtu kanë akses në këtë informacion, gjë që u lejon atyre të përmirësohen.

Problemi kryesor me sulmet e shtresave të aplikacionit është se hakerët shpesh përdorin porte që lejohen të kalojnë përmes murit të zjarrit. Për shembull, një haker që shfrytëzon një dobësi të njohur në një server në ueb shpesh përdor portin 80 në një sulm TCP. Meqenëse një server ueb ekspozon faqet e internetit për përdoruesit, muri i zjarrit duhet të sigurojë akses në këtë portë. Nga këndvështrimi i murit të zjarrit, sulmi trajtohet si trafik standard në portin 80.

Nuk është e mundur të eliminohen plotësisht sulmet e shtresës së aplikimit. Hakerët vazhdimisht zbulojnë dhe postojnë dobësi të reja të aplikacioneve në internet. Gjëja më e rëndësishme këtu është administrimi i mirë i sistemit. Këtu janë disa hapa që mund të ndërmerrni për të reduktuar cenueshmërinë tuaj ndaj këtij lloji të sulmit:

• lexoni skedarët e regjistrave të sistemit operativ dhe skedarët e regjistrit të rrjetit dhe/ose analizoni ato duke përdorur aplikacione të veçanta analitike;
• abonohuni në shërbimin e raportimit të cenueshmërisë së aplikacionit: Bugtrad (http://www.securityfocus.com).

inteligjenca e rrjetit

Inteligjenca e rrjetit është grumbullimi i informacionit rreth rrjetit duke përdorur të dhëna dhe aplikacione të disponueshme publikisht. Kur përgatit një sulm kundër një rrjeti, një haker zakonisht përpiqet të marrë sa më shumë informacion rreth tij. Zbulimi i rrjetit merr formën e pyetjeve DNS, ping dhe skanimeve të porteve.

Pyetjet DNS ju ndihmojnë të kuptoni se kush zotëron një domen të caktuar dhe cilat adresa i janë caktuar atij domeni. Pingingja e adresave të zbuluara nga DNS ju lejon të shihni se cilët hostë po funksionojnë në të vërtetë në një mjedis të caktuar. Duke pasur parasysh një listë të hosteve, hakeri përdor mjetet e skanimit të porteve për të përpiluar një listë të plotë të shërbimeve të mbështetura nga ato hoste. Së fundi, hakeri analizon karakteristikat e aplikacioneve që funksionojnë në host. Si rezultat, ai merr informacion që mund të përdoret për hakerim.

Është e pamundur të heqësh qafe plotësisht inteligjencën e rrjetit. Nëse, për shembull, çaktivizoni ping ICMP dhe përgjigjen me jehonë në ruterat periferikë, do të shpëtoni nga ping, por do të humbni të dhënat e nevojshme për të diagnostikuar dështimet e rrjetit.

Për më tepër, ju mund të skanoni portet pa i bërë ato më parë - thjesht do të duhet më shumë kohë, pasi adresat IP që nuk ekzistojnë gjithashtu do të duhet të skanohen. Sistemet IDS në nivelin e rrjetit dhe të hostit zakonisht bëjnë një punë të mirë për të njoftuar administratorin për zbulimin e vazhdueshëm të rrjetit, gjë që i lejon ata të përgatiten më mirë për një sulm të ardhshëm dhe të njoftojnë ofruesin (ISP) në rrjetin e të cilit është instaluar një sistem që po shfaq tepërt kuriozitet:

1. përdorni versionet më të fundit të sistemeve operative dhe aplikacioneve dhe modulet më të fundit të korrigjimit (arna);
2. Përveç administrimit të sistemit, përdorni Sistemet e Zbulimit të Ndërhyrjes (IDS) - dy teknologji plotësuese ID:
   • Rrjeti IDS (NIDS) mban gjurmët e të gjitha paketave që kalojnë nëpër një domen të caktuar. Kur sistemi NIDS sheh një paketë ose seri paketash që përputhen me nënshkrimin e një sulmi të njohur ose të mundshëm, ai gjeneron një alarm dhe/ose përfundon seancën;
   • Sistemi IDS (HIDS) siguron hostin me agjentë softuerësh. Ky sistem lufton vetëm sulmet kundër një hosti të vetëm.

Në punën e tyre, sistemet IDS përdorin nënshkrime sulmi, të cilat janë profile të sulmeve specifike ose lloje sulmesh. Nënshkrimet përcaktojnë kushtet në të cilat trafiku konsiderohet trafik hakeri. Analogët e IDS në botën fizike mund të konsiderohen si një sistem paralajmërimi ose një kamerë vëzhgimi.

Disavantazhi më i madh i IDS është aftësia e tyre për të gjeneruar alarme. Për të minimizuar numrin e alarmeve false dhe për të siguruar funksionimin korrekt të sistemit IDS në rrjet, është i nevojshëm akordimi i kujdesshëm i këtij sistemi.

shkelje e besimit

Në mënyrë të rreptë, ky lloj veprimi nuk është në kuptimin e plotë të fjalës një sulm apo sulm. Është një shfrytëzim me qëllim të keq i marrëdhënieve të besimit që ekzistojnë në rrjet. Një shembull klasik i një abuzimi të tillë është në skaj të një rrjeti korporativ.

Ky segment shpesh pret serverë DNS, SMTP dhe HTTP. Meqenëse të gjithë i përkasin të njëjtit segment, një shkelje e ndonjërit prej tyre çon në një shkelje të të gjithë të tjerëve, pasi këta serverë u besojnë sistemeve të tjera në rrjetin e tyre.

Një shembull tjetër është një sistem i instaluar në pjesën e jashtme të një muri zjarri që ka një marrëdhënie besimi me një sistem të instaluar në brendësi të tij. Në rast se një sistem i jashtëm është hakuar, një haker mund të përdorë marrëdhëniet e besimit për të depërtuar në një sistem të mbrojtur nga një mur zjarri.

Ju mund të zvogëloni rrezikun e shkeljes së besimit duke kontrolluar më fort nivelet e besimit brenda rrjetit tuaj. Sistemet e vendosura në pjesën e jashtme të murit të zjarrit nuk duhet, në asnjë rrethanë, të jenë absolutisht të besueshme nga sistemet e mbrojtura nga muri i zjarrit.

Marrëdhëniet e besimit duhet të kufizohen në protokolle të caktuara dhe, nëse është e mundur, të vërtetohen jo vetëm nga adresat IP, por edhe nga parametra të tjerë.

Përcjellja e portit

Përcjellja e portit është një formë e shkeljes së besimit ku një host i komprometuar përdoret për të dërguar trafikun përmes një muri zjarri që përndryshe do të ishte i sigurt se do të refuzohej. Imagjinoni një mur zjarri me tre ndërfaqe, secila e lidhur me një host specifik.

Pritësi i jashtëm mund të lidhet me hostin e përbashkët (DMZ), por jo me atë të instaluar në brendësi të murit të zjarrit. Një host i përbashkët mund të lidhet me hostet e brendshëm dhe të jashtëm. Nëse një haker merr përsipër një host publik, ai mund të instalojë një mjet në të që ridrejton trafikun nga hosti i jashtëm drejtpërdrejt në atë të brendshëm.

Megjithëse nuk shkel asnjë nga rregullat në ekran, ridrejtimi i jep hostit të jashtëm qasje të drejtpërdrejtë në hostin e mbrojtur. Një shembull i një aplikacioni që mund të sigurojë këtë akses është netcat. Për më shumë informacion, ju lutemi vizitoni http://www.avian.org.

Mënyra kryesore për t'u marrë me përcjelljen e portit është përdorimi i modeleve të besueshme të fortë (shih seksionin e mëparshëm). Përveç kësaj, një sistem IDS pritës (HIDS) mund të parandalojë një haker që të instalojë softuerin e tij në një host.

Qasje e paautorizuar

Qasja e paautorizuar nuk mund të veçohet si një lloj i veçantë sulmi, pasi shumica e sulmeve në rrjet kryhen pikërisht për hir të marrjes së aksesit të paautorizuar. Për të marrë një hyrje në Telnet, një haker duhet së pari të marrë një aluzion Telnet në sistemin e tij. Pas lidhjes me portën Telnet, mesazhi "kërkohet autorizimi për të përdorur këtë burim" ("kërkohet autorizimi për të përdorur këtë burim") shfaqet në ekran. Kërkohet autorizim për të përdorur këtë burim.»).

Nëse pas kësaj hakeri vazhdon të tentojë akses, ata do të konsiderohen të paautorizuar. Burimi i sulmeve të tilla mund të jetë si brenda rrjetit ashtu edhe jashtë saj.

Mënyrat për të luftuar aksesin e paautorizuar janë mjaft të thjeshta. Gjëja kryesore këtu është zvogëlimi ose eliminimi i plotë i aftësisë së një hakeri për të fituar akses në sistem duke përdorur një protokoll të paautorizuar.

Si shembull, merrni parasysh parandalimin e hakerëve nga aksesi në portin Telnet në një server që ofron shërbime ueb për përdoruesit e jashtëm. Pa akses në këtë port, një haker nuk do të jetë në gjendje ta sulmojë atë. Sa i përket murit të zjarrit, detyra e tij kryesore është të parandalojë përpjekjet më të thjeshta të aksesit të paautorizuar.

Viruset dhe aplikacionet e kalit të Trojës

Stacionet e punës të përdoruesve fundorë janë shumë të cenueshëm ndaj viruseve dhe kuajve të Trojës. Viruset janë programe me qëllim të keq që injektojnë veten në programe të tjera për të kryer disa funksione të padëshirueshme në stacionin e punës të përdoruesit fundor. Një shembull është një virus që shkruan veten në skedarin command.com (përkthyesi kryesor për sistemet Windows) dhe fshin skedarët e tjerë dhe infekton të gjitha versionet e tjera të command.com që gjen.

Kali i Trojës nuk është një insert softuerësh, por një program i vërtetë që në pamje të parë duket të jetë një aplikacion i dobishëm, por në realitet luan një rol të dëmshëm. Një shembull i një kalë trojan tipik është një program që duket si një lojë e thjeshtë për stacionin e punës të përdoruesit.

Megjithatë, ndërsa përdoruesi është duke luajtur lojën, programi i dërgon një kopje të tij me e-mail secilit pajtimtar të listuar në librin e adresave të përdoruesit. Të gjithë abonentët e marrin lojën me postë, duke shkaktuar shpërndarjen e saj të mëtejshme.

Ky artikull është për ata që kanë hasur për herë të parë nevojën për të krijuar një lidhje në distancë me një bazë të dhënash MySQL. Artikulli flet për vështirësitë që ...

Pothuajse çdo faqe me regjistrim ka një formular "Mos harroni fjalëkalimin", me ndihmën e tij mund të merrni një fjalëkalim të harruar dhe jo E-Mail. Dërgimi i një fjalëkalimi nuk është plotësisht i sigurt...

Kaspersky Internet Security mbron kompjuterin tuaj nga sulmet e rrjetit.

sulm në rrjetështë një ndërhyrje në sistemin operativ të një kompjuteri të largët. Sulmuesit nisin sulme në rrjet për të marrë kontrollin e një sistemi operativ, për ta bërë atë të mohojë shërbimin ose për të fituar akses në informacionin e mbrojtur.

Sulmet e rrjetit janë veprime me qëllim të keq të kryera nga vetë sulmuesit (siç është skanimi i portit, hamendja e fjalëkalimit), si dhe veprime të kryera nga malware të instaluar në kompjuterin e sulmuar (siç është transferimi i informacionit të mbrojtur te sulmuesi). Malware i përfshirë në sulmet e rrjetit përfshin disa trojanë, mjete sulmi DoS, skriptet me qëllim të keq dhe krimbat e rrjetit.

Sulmet e rrjetit mund të ndahen në llojet e mëposhtme:

• Skanimi i portit. Ky lloj sulmi në rrjet është zakonisht një fazë përgatitore për një sulm më të rrezikshëm në rrjet. Sulmuesi skanon portat UDP dhe TCP të përdorura nga shërbimet e rrjetit në kompjuterin e sulmuar dhe përcakton se sa i cenueshëm është kompjuteri i sulmuar ndaj llojeve më të rrezikshme të sulmeve të rrjetit. Skanimi i portit gjithashtu lejon një sulmues të përcaktojë sistemin operativ në kompjuterin që sulmohet dhe të zgjedhë sulmet e duhura të rrjetit për të.
• Sulmet DoS, ose sulmet e rrjetit që shkaktojnë një mohim të shërbimit. Këto janë sulme të rrjetit, si rezultat i të cilave sistemi operativ i sulmuar bëhet i paqëndrueshëm ose plotësisht i paoperueshëm.

  Ekzistojnë llojet kryesore të mëposhtme të sulmeve DoS:

  • Dërgimi i paketave të rrjetit të krijuara posaçërisht në një kompjuter të largët që nuk priten nga ai kompjuter, duke shkaktuar rrëzimin ose ndalimin e sistemit operativ.
  • Dërgimi i një numri të madh të paketave të rrjetit në një kompjuter të largët në një periudhë të shkurtër kohe. Të gjitha burimet e kompjuterit të sulmuar përdoren për të përpunuar paketat e rrjetit të dërguara nga sulmuesi, gjë që bën që kompjuteri të ndalojë së kryeri funksionet e tij.
• Sulmet e ndërhyrjes në rrjet. Bëhet fjalë për sulme në rrjet, qëllimi i të cilave është "kapja" e sistemit operativ të kompjuterit të sulmuar. Ky është lloji më i rrezikshëm i sulmit në rrjet, sepse nëse përfundon me sukses, sistemi operativ kalon plotësisht nën kontrollin e sulmuesit.

  Ky lloj sulmi në rrjet përdoret kur një sulmues duhet të marrë të dhëna konfidenciale nga një kompjuter i largët (për shembull, numrat e kartës bankare ose fjalëkalimet) ose të përdorë një kompjuter në distancë për qëllimet e veta (për shembull, të sulmojë kompjuterë të tjerë nga ky kompjuter) pa njohuritë e përdoruesit.

1. Në skedën Mbrojtja në bllok Mbrojtje kundër sulmeve të rrjetitçzgjidh .

Mund të aktivizoni gjithashtu bllokuesin e sulmit në rrjet në Qendrën e Mbrojtjes. Çaktivizimi i mbrojtjes së kompjuterit ose komponentëve të mbrojtjes rrit ndjeshëm rrezikun e infektimit të kompjuterit, kështu që informacioni rreth çaktivizimit të mbrojtjes shfaqet në Qendrën e Mbrojtjes.

E rëndësishme: Nëse e keni çaktivizuar Network Attack Blocker, atëherë pasi të rindizni Kaspersky Internet Security ose të rindizni sistemin operativ, ai nuk do të ndizet automatikisht dhe do t'ju duhet ta ndizni manualisht.

Kur zbulohet një aktivitet i rrezikshëm i rrjetit, Kaspersky Internet Security shton automatikisht adresën IP të kompjuterit sulmues në listën e kompjuterëve të bllokuar, përveç nëse ky kompjuter shtohet në listën e kompjuterëve të besuar.

1. Në shiritin e menusë, klikoni në ikonën e programit.
2. Në menynë që hapet, zgjidhni Cilësimet.

   Dritarja e cilësimeve të programit do të hapet.

3. Në skedën Mbrojtja në bllok Mbrojtje kundër sulmeve të rrjetit kontrolloni kutinë Aktivizo bllokuesin e sulmeve në rrjet.
4. Klikoni në butonin Exceptions.

   Do të hapet një dritare me një listë të kompjuterëve të besuar dhe një listë të kompjuterëve të bllokuar.

5. Hap faqeshënuesin Kompjuterë të bllokuar.
6. Nëse jeni i sigurt se kompjuteri i bllokuar nuk përbën kërcënim, zgjidhni adresën e tij IP nga lista dhe klikoni butonin Zhblloko.

   Do të hapet një dritare konfirmimi.

7. Në dritaren e konfirmimit, bëni një nga sa vijon:
   • Nëse dëshironi të zhbllokoni kompjuterin tuaj, klikoni në butonin Zhbllokoni.

     Kaspersky Internet Security zhbllokon adresën IP.

   • Nëse dëshironi që Kaspersky Internet Security të mos bllokojë kurrë adresën IP të zgjedhur, klikoni butonin Zhblloko dhe shto te përjashtimet.

     Kaspersky Internet Security do të zhbllokojë adresën IP dhe do ta shtojë atë në listën e kompjuterëve të besuar.

8. Klikoni në butonin Ruaj për të ruajtur ndryshimet tuaja.

Ju mund të krijoni një listë të kompjuterëve të besuar. Kaspersky Internet Security nuk bllokon automatikisht adresat IP të këtyre kompjuterëve kur zbulon aktivitet të rrezikshëm të rrjetit që vjen prej tyre.

Kur zbulohet një sulm në rrjet, Kaspersky Internet Security ruan informacionin rreth tij në një raport.

1. Hapni menunë Mbrojtja.
2. Zgjidhni Raportet.

   Dritarja e raporteve të Kaspersky Internet Security do të hapet.

3. Hap faqeshënuesin Mbrojtje kundër sulmeve të rrjetit.

Shënim: Nëse bllokuesi i sulmit në rrjet ka përfunduar me një gabim, mund të shikoni raportin dhe të provoni të rindizni komponentin. Nëse nuk jeni në gjendje ta zgjidhni problemin, ju lutemi kontaktoni Mbështetjen Teknike.

Leksioni 33 Llojet dhe llojet e sulmeve në rrjet

Leksioni 33

Tema: Llojet dhe llojet e sulmeve në rrjet

Sulmi i rrjetit në distancë - ndikimi shkatërrues i informacionit në një sistem informatik të shpërndarë, i kryer në mënyrë programore nëpërmjet kanaleve të komunikimit.

Prezantimi

Për të organizuar komunikime në një mjedis rrjeti heterogjen, përdoren një sërë protokollesh TCP / IP, duke siguruar përputhshmërinë midis kompjuterëve të llojeve të ndryshme. Ky grup protokollesh ka fituar popullaritet për shkak të ndërveprimit dhe aksesit në burimet e Internetit global dhe është bërë një standard për punën në internet. Megjithatë, kudondodhja e grumbullit të protokollit TCP/IP ka ekspozuar gjithashtu dobësitë e tij. Në veçanti, për shkak të kësaj, sistemet e shpërndara janë të ndjeshme ndaj sulmeve në distancë, pasi përbërësit e tyre zakonisht përdorin kanale të hapura të transmetimit të të dhënave, dhe ndërhyrës jo vetëm që mund të dëgjojë në mënyrë pasive informacionin e transmetuar, por edhe të modifikojë trafikun e transmetuar.

Vështirësia e zbulimit të një sulmi në distancë dhe lehtësia relative e kryerjes së tij (për shkak të funksionalitetit të tepruar të sistemeve moderne) e sjell këtë lloj veprimesh të paligjshme në vend të parë për sa i përket rrezikut dhe parandalon një përgjigje në kohë ndaj një kërcënimi të zbatuar, si një rezultat i të cilit sulmuesi ka një shans të shtuar për një sulm të suksesshëm.

Klasifikimi i sulmeve

Nga natyra e ndikimit

pasive

Aktiv

Një ndikim pasiv në një sistem llogaritës të shpërndarë (DCS) është një ndikim që nuk ndikon drejtpërdrejt në funksionimin e sistemit, por në të njëjtën kohë është i aftë të shkelë politikën e tij të sigurisë. Mungesa e një ndikimi të drejtpërdrejtë në funksionimin e RCS çon pikërisht në faktin se ndikimi pasiv në distancë (PUV) është i vështirë për t'u zbuluar. Një shembull i mundshëm i një PUV tipike në një WAN është dëgjimi i një kanali komunikimi në një rrjet.

Ndikimi aktiv në RCS - një ndikim që ka një ndikim të drejtpërdrejtë në funksionimin e vetë sistemit (ndërprerje e performancës, ndryshime në konfigurimin e RCS, etj.), gjë që shkel politikën e sigurisë të miratuar në të. Ndikimet aktive janë pothuajse të gjitha llojet e sulmeve në distancë. Kjo për faktin se vetë natyra e ndikimit dëmtues përfshin një parim aktiv. Dallimi i dukshëm midis ndikimit aktiv dhe atij pasiv është mundësia themelore e zbulimit të tij, pasi si rezultat i zbatimit të tij ndodhin disa ndryshime në sistem. Me një ndikim pasiv, nuk ka absolutisht asnjë gjurmë (për shkak të faktit se sulmuesi shikon mesazhin e dikujt tjetër në sistem, asgjë në të vërtetë nuk ndryshon në të njëjtin moment).

Sipas qëllimit të ndikimit

Shkelja e funksionimit të sistemit (qasja në sistem)

Shkelja e integritetit të burimeve të informacionit (IR)

Shkelja e privatësisë IR

Kjo veçori, sipas së cilës bëhet klasifikimi, është, në fakt, një projeksion i drejtpërdrejtë i tre llojeve bazë të kërcënimeve - mohimi i shërbimit, zbulimi dhe shkeljet e integritetit.

Qëllimi kryesor i ndjekur në pothuajse çdo sulm është marrja e aksesit të paautorizuar në informacion. Ekzistojnë dy mundësi themelore për marrjen e informacionit: shtrembërimi dhe përgjimi. Opsioni i përgjimit të informacionit nënkupton marrjen e aksesit në të pa mundësinë e ndryshimit të tij. Prandaj, përgjimi i informacionit çon në shkeljen e konfidencialitetit të tij. Dëgjimi i një kanali në rrjet është një shembull i përgjimit të informacionit. Në këtë rast, ka akses të paligjshëm në informacion pa opsione të mundshme për zëvendësimin e tij. Është gjithashtu e qartë se shkelja e konfidencialitetit të informacionit i referohet ndikimeve pasive.

Mundësia e zëvendësimit të informacionit duhet të kuptohet ose si kontroll i plotë mbi rrjedhën e informacionit midis objekteve të sistemit, ose mundësia e transmetimit të mesazheve të ndryshme në emër të dikujt tjetër. Prandaj, është e qartë se zëvendësimi i informacionit çon në shkelje të integritetit të tij. Një ndikim i tillë shkatërrimtar i informacionit është një shembull karakteristik i ndikimit aktiv. Një shembull i një sulmi në distancë i krijuar për të shkelur integritetin e informacionit mund të shërbejë si një sulm në distancë (UA) "False RCS Object".

Nga prania e reagimeve me objektin e sulmuar

me reagime

Lak i hapur (sulm me një drejtim)

Sulmuesi i dërgon disa kërkesa objektit të sulmuar, për të cilat ai pret të marrë një përgjigje. Rrjedhimisht, shfaqet një reagim ndërmjet sulmuesit dhe të sulmuarit, duke i lejuar të parët të përgjigjen në mënyrë adekuate ndaj të gjitha llojeve të ndryshimeve në objektin e sulmuar. Ky është thelbi i një sulmi në distancë të kryer në prani të reagimeve nga objekti sulmues. Sulme të tilla janë më tipike për RVS.

Sulmet me qark të hapur karakterizohen nga fakti se nuk kanë nevojë t'i përgjigjen ndryshimeve në objektin e sulmuar. Sulme të tilla zakonisht kryhen duke dërguar kërkesa të vetme tek objekti i sulmuar. Sulmuesi nuk ka nevojë për përgjigje për këto kërkesa. Një UA e tillë mund të quhet gjithashtu një UA me një drejtim. Një shembull i sulmeve me një drejtim është një sulm tipik UA "DoS".

Sipas kushtit të fillimit të zbatimit të ndikimit

Ndikimi i largët, si dhe çdo tjetër, mund të fillojë të kryhet vetëm në kushte të caktuara. Ekzistojnë tre lloje të sulmeve të tilla të kushtëzuara në RCS:

Sulmi sipas kërkesës nga objekti i sulmuar

Sulmi ndaj ndodhjes së një ngjarjeje të pritshme në objektin e sulmuar

Sulm pa kushte

Ndikimi nga sulmuesi do të fillojë me kushtin që objektivi i mundshëm i sulmit të transmetojë një kërkesë të një lloji të caktuar. Një sulm i tillë mund të quhet sulm sipas kërkesës nga objekti i sulmuar. Ky lloj UA është më tipik për RVS. Një shembull i pyetjeve të tilla në internet janë pyetjet DNS dhe ARP, dhe në Novell NetWare, një pyetje SAP.

Një sulm ndaj ndodhjes së një ngjarjeje të pritshme në objektin e sulmuar. Sulmuesi monitoron vazhdimisht gjendjen e sistemit operativ të objektivit të sulmit në distancë dhe fillon ndikimin kur ndodh një ngjarje specifike në këtë sistem. Vetë objekti i sulmuar është iniciatori i sulmit. Një shembull i një ngjarjeje të tillë do të ishte përfundimi i sesionit të një përdoruesi me serverin pa lëshuar një komandë LOGOUT në Novell NetWare.

Sulmi i pakushtëzuar kryhet menjëherë dhe pavarësisht nga gjendja e sistemit operativ dhe objektit të sulmuar. Prandaj, sulmuesi është iniciatori i sulmit në këtë rast.

Në rast të shkeljes së funksionimit normal të sistemit, ndiqen qëllime të tjera dhe nuk pritet që sulmuesi të ketë akses të paligjshëm në të dhëna. Qëllimi i tij është të çaktivizojë sistemin operativ në objektin e sulmuar dhe pamundësinë e aksesit të objekteve të tjera të sistemit në burimet e këtij objekti. Një shembull i këtij lloji të sulmit është sulmi DoS.

Sipas vendndodhjes së subjektit të sulmit në lidhje me objektin e sulmuar

Intrasegment

Ndërsegment

Disa përkufizime:

Burimi i sulmit (subjekti i sulmit) është një program (ndoshta një operator) që kryen sulmin dhe bën një ndikim të drejtpërdrejtë.

Host (host) - një kompjuter që është një element i rrjetit.

Një ruter është një pajisje që ofron rrugëzim të paketave në një rrjet.

Një nënrrjet është një grup hostesh që janë pjesë e rrjetit global, që ndryshojnë në atë që ruteri cakton të njëjtin numër nënrrjeti për ta. Mund të thuash gjithashtu se një nënrrjet është një grupim logjik i hosteve përmes një ruteri. Hostët brenda të njëjtit nënrrjet mund të komunikojnë drejtpërdrejt me njëri-tjetrin pa përdorur një ruter.

Një segment rrjeti është një lidhje e hosteve në nivel fizik.

Nga pikëpamja e një sulmi në distancë, pozicioni relativ i subjektit dhe i objektit të sulmit, domethënë nëse janë në segmente të ndryshme ose në të njëjtat segmente, është jashtëzakonisht i rëndësishëm. Gjatë një sulmi brenda segmentit, subjekti dhe objekti i sulmit ndodhen në të njëjtin segment. Në rastin e një sulmi ndër-segmentor, subjekti dhe objekti i sulmit janë të vendosura në segmente të ndryshme të rrjetit. Ky tipar klasifikimi bën të mundur gjykimin e të ashtuquajturës "shkalla e largësisë" e sulmit.

Më tej, do të tregohet se në praktikë një sulm brenda segmentit është shumë më i lehtë për t'u zbatuar sesa ai ndër-segment. Vëmë re gjithashtu se një sulm në distancë ndër-segmenti është shumë më i rrezikshëm sesa ai brenda segmentit. Kjo për faktin se në rastin e një sulmi ndër-segmentor, objekti i tij dhe ai që sulmon drejtpërdrejt mund të jenë në një distancë prej mijëra kilometrash nga njëri-tjetri, gjë që mund të pengojë ndjeshëm masat për të zmbrapsur sulmin.

Sipas nivelit të modelit të referencës ISO/OSI në të cilin është bërë ndikimi

Fizike

kanalizuar

rrjeti

Transporti

sesioni

Përfaqësues

Aplikuar

Organizata Ndërkombëtare për Standardizim (ISO) ka miratuar standardin ISO 7498, i cili përshkruan Ndërlidhjen e Sistemeve të Hapura (OSI), të cilit i përket edhe RCS. Çdo protokoll i shkëmbimit të rrjetit, si dhe çdo program rrjeti, mund të projektohet disi në modelin referencë OSI me 7 shtresa. Një projeksion i tillë me shumë nivele bën të mundur përshkrimin në termat e modelit OSI të funksioneve të përdorura në një protokoll ose program rrjeti. UA është një program rrjeti dhe është logjike ta konsiderojmë atë nga pikëpamja e projeksionit në modelin e referencës ISO/OSI.

Përshkrim i shkurtër i disa sulmeve në rrjet

Fragmentimi i të dhënave

Kur transmetoni një paketë të dhënash IP përmes një rrjeti, kjo paketë mund të ndahet në disa fragmente. Më pas, me arritjen e destinacionit, paketa rikthehet nga këto fragmente. Një sulmues mund të iniciojë dërgimin e një numri të madh fragmentesh, gjë që çon në një tejmbushje të buferave të programit në anën marrëse dhe, në disa raste, në një përplasje të sistemit.

Ping sulm përmbytjesh

Ky sulm kërkon që sulmuesi të ketë akses në kanalet e internetit të shpejtë.

Programi ping dërgon një paketë ICMP ECHO REQUEST me kohën dhe ID-në e saj në të. Kerneli i makinës marrëse i përgjigjet një kërkese të tillë me një paketë ICMP ECHO REPLY. Pasi e ka marrë atë, ping jep shpejtësinë e paketës.

Në mënyrën standarde të funksionimit, paketat dërgohen në intervale të caktuara, praktikisht pa ngarkuar rrjetin. Por në modalitetin "agresiv", një rrjedhë e paketave të kërkesës/përgjigjes me jehonë ICMP mund të shkaktojë mbingarkesë në një linjë të vogël, duke e privuar atë nga aftësia e tij për të transmetuar informacione të dobishme.

Protokollet jo standarde të kapsuluara në IP

Një paketë IP përmban një fushë që specifikon protokollin e paketës së kapsuluar (TCP, UDP, ICMP). Sulmuesit mund të përdorin një vlerë jo standarde të kësaj fushe për të transferuar të dhëna që nuk do të regjistrohen nga mjetet standarde të kontrollit të rrjedhës së informacionit.

sulm smurf

Sulmi smurf konsiston në dërgimin e kërkesave të transmetimit të ICMP në rrjet në emër të kompjuterit të viktimës.

Si rezultat, kompjuterët që kanë marrë pako të tilla transmetimi i përgjigjen kompjuterit viktimë, gjë që çon në një ulje të ndjeshme të gjerësisë së brezit të kanalit të komunikimit dhe, në disa raste, në izolimin e plotë të rrjetit të sulmuar. Sulmi smurf është jashtëzakonisht efektiv dhe i përhapur.

Kundërmasat: për të njohur këtë sulm, është e nevojshme të analizohet ngarkesa e kanalit dhe të përcaktohen arsyet e uljes së xhiros.

Sulmi i mashtrimit DNS

Rezultati i këtij sulmi është futja e një korrespondence të imponuar midis adresës IP dhe emrit të domenit në cache-in e serverit DNS. Si rezultat i zbatimit të suksesshëm të një sulmi të tillë, të gjithë përdoruesit e serverit DNS do të marrin informacion të pasaktë në lidhje me emrat e domeneve dhe adresat IP. Ky sulm karakterizohet nga një numër i madh i paketave DNS me të njëjtin emër domain. Kjo është për shkak të nevojës për të zgjedhur disa parametra të shkëmbimit DNS.

Kundërveprimi: për të zbuluar një sulm të tillë, është e nevojshme të analizoni përmbajtjen e trafikut DNS ose të përdorni DNSSEC.

Sulmi i mashtrimit të IP-së

Një numër i madh sulmesh në internet shoqërohen me zëvendësimin e adresës IP origjinale. Sulme të tilla përfshijnë mashtrimin e syslogut, i cili konsiston në dërgimin e një mesazhi te kompjuteri viktimë në emër të një kompjuteri tjetër në rrjetin e brendshëm. Meqenëse protokolli syslog përdoret për të ruajtur regjistrat e sistemit, duke dërguar mesazhe të rreme te kompjuteri i viktimës, mund të impononi informacione ose të mbuloni gjurmët e aksesit të paautorizuar.

Kundërmasat: Sulmet e mashtrimit të adresave IP mund të zbulohen duke monitoruar marrjen në një nga ndërfaqet e një pakete me adresën burimore të së njëjtës ndërfaqe ose duke monitoruar marrjen e paketave me adresat IP të rrjetit të brendshëm në një ndërfaqe të jashtme.

Imponimi i paketës

Një sulmues dërgon pako në rrjet me një adresë të rreme kthimi. Duke përdorur këtë sulm, një sulmues mund të kalojë në lidhjet e tij kompjuterike të krijuara midis kompjuterëve të tjerë. Në këtë rast, të drejtat e aksesit të sulmuesit bëhen të barabarta me të drejtat e përdoruesit, lidhja e të cilit me serverin u kalua në kompjuterin e sulmuesit.

nuhatje - duke dëgjuar një kanal

Është e mundur vetëm në segmentin e rrjetit lokal.

Pothuajse të gjitha kartat e rrjetit mbështesin aftësinë për të përgjuar paketat e transmetuara përmes një kanali të përbashkët LAN. Në këtë rast, stacioni i punës mund të marrë pako të adresuara në kompjuterë të tjerë në të njëjtin segment të rrjetit. Kështu, i gjithë shkëmbimi i informacionit në segmentin e rrjetit bëhet i disponueshëm për sulmuesin. Për të zbatuar me sukses këtë sulm, kompjuteri i sulmuesit duhet të jetë i vendosur në të njëjtin segment të rrjetit lokal si kompjuteri i sulmuar.

Nuhatja e paketave në ruter

Softueri i rrjetit të ruterit ka akses në të gjitha paketat e rrjetit të transmetuara përmes këtij ruteri, i cili lejon nuhatjen e paketave. Për të zbatuar këtë sulm, një sulmues duhet të ketë akses të privilegjuar në të paktën një ruter rrjeti. Meqenëse zakonisht ka shumë paketa të transmetuara përmes ruterit, përgjimi i tyre total është pothuajse i pamundur. Megjithatë, paketat individuale mund të përgjohen dhe ruhen për analiza të mëvonshme nga një sulmues. Përgjimi më efektiv i paketave FTP që përmbajnë fjalëkalime të përdoruesit, si dhe e-mail.

Imponimi i një rruge false në një host duke përdorur protokollin ICMP

Në internet, ekziston një protokoll i veçantë ICMP (Internet Control Message Protocol), një nga funksionet e të cilit është të informojë hostet për ndryshimin e ruterit aktual. Ky mesazh kontrolli quhet ridrejtim. Është e mundur që çdo host në një segment rrjeti të dërgojë një mesazh të rremë ridrejtues në emër të ruterit te hosti i sulmuar. Si rezultat, tabela aktuale e rrugëtimit të hostit ndryshon dhe, në të ardhmen, i gjithë trafiku i rrjetit të këtij hosti do të kalojë, për shembull, përmes hostit që dërgoi mesazhin e ridrejtimit të rremë. Kështu, është e mundur që në mënyrë aktive të imponohet një rrugë e rreme brenda një segmenti të internetit.

Së bashku me të dhënat normale të dërguara përmes një lidhjeje TCP, standardi parashikon gjithashtu transmetimin e të dhënave urgjente (Out Of Band). Në nivelin e formateve të paketave TCP, kjo shprehet në një tregues urgjent jo zero. Shumica e kompjuterëve me Windows të instaluar kanë një protokoll rrjeti NetBIOS që përdor tre porte IP për nevojat e tij: 137, 138, 139. Nëse lidheni me një makinë Windows në portën 139 dhe dërgoni disa bajt të dhënash OutOfBand atje, atëherë zbatimi i NetBIOS do të duke mos ditur se çfarë të bëni me këto të dhëna, thjesht mbyll ose rindiz makinën. Për Windows 95, kjo zakonisht duket si një ekran me tekst blu, që raporton një gabim në drejtuesin TCP/IP dhe pamundësinë për të punuar me rrjetin derisa të rindizet OS. NT 4.0 pa paketat e shërbimit riniset, NT 4.0 me ServicePack 2 përplaset në një ekran blu. Duke gjykuar nga informacioni nga rrjeti, si Windows NT 3.51 ashtu edhe Windows 3.11 për grupet e punës janë të ndjeshëm ndaj një sulmi të tillë.

Dërgimi i të dhënave në portin 139 shkakton rindezjen e NT 4.0 ose një ekran blu të vdekjes me të instaluar Service Pack 2. Dërgimi i të dhënave në portin 135 dhe disa porte të tjera shkakton një ngarkesë të konsiderueshme në procesin RPCSS.EXE. Në Windows NT WorkStation, kjo çon në një ngadalësim të konsiderueshëm, Windows NT Server është praktikisht i ngrirë.

Ndryshimi i hostit të besuar

Zbatimi i suksesshëm i sulmeve në distancë të këtij lloji do t'i lejojë një sulmuesi të kryejë një seancë me serverin në emër të një hosti të besuar. (Host i besuar - një stacion i lidhur ligjërisht me serverin). Zbatimi i këtij lloji të sulmit zakonisht konsiston në dërgimin e paketave të shkëmbimit nga stacioni i sulmuesit në emër të një stacioni të besuar nën kontrollin e tij.

Teknologjitë e zbulimit të sulmeve

Rrjeti dhe teknologjitë e informacionit po ndryshojnë aq shpejt sa mekanizmat e sigurisë statike, të cilat përfshijnë sistemet e kontrollit të aksesit, ME, sistemet e vërtetimit, në shumë raste nuk mund të ofrojnë mbrojtje efektive. Prandaj, kërkohen metoda dinamike për të zbuluar dhe parandaluar shpejt shkeljet e sigurisë. Një teknologji që mund të zbulojë shkelje që nuk mund të identifikohen duke përdorur modelet tradicionale të kontrollit të aksesit është teknologjia e zbulimit të ndërhyrjeve.

Në thelb, procesi i zbulimit të ndërhyrjeve është procesi i vlerësimit të aktiviteteve të dyshimta që ndodhin në një rrjet të korporatës. Me fjalë të tjera, zbulimi i ndërhyrjes është procesi i identifikimit dhe reagimit ndaj aktivitetit të dyshimtë të drejtuar në burimet kompjuterike ose të rrjetit.

Metodat për analizimin e informacionit të rrjetit

Efektiviteti i një sistemi të zbulimit të ndërhyrjeve varet kryesisht nga metodat e përdorura për të analizuar informacionin e marrë. Sistemet e para të zbulimit të ndërhyrjeve të zhvilluara në fillim të viteve 1980 përdorën metoda statistikore të zbulimit të ndërhyrjeve. Aktualisht, një sërë metodash të reja i janë shtuar analizës statistikore, duke filluar me sistemet eksperte dhe logjikën fuzzy dhe duke përfunduar me përdorimin e rrjeteve nervore.

Metoda statistikore

Përparësitë kryesore të qasjes statistikore janë përdorimi i aparatit të zhvilluar dhe të provuar tashmë të statistikave matematikore dhe përshtatja me sjelljen e subjektit.

Së pari, përcaktohen profilet për të gjitha lëndët e sistemit të analizuar. Çdo devijim i profilit të përdorur nga referenca konsiderohet aktivitet i paautorizuar. Metodat statistikore janë universale, pasi analiza nuk kërkon njohuri për sulmet e mundshme dhe dobësitë që ato shfrytëzojnë. Sidoqoftë, problemet lindin kur përdorni këto metoda:

Sistemet "statistikore" nuk janë të ndjeshme ndaj renditjes së ngjarjeve; në disa raste, të njëjtat ngjarje, në varësi të radhës në të cilën ndodhin, mund të karakterizojnë aktivitet anormal ose normal;

Është e vështirë të vendosësh vlerat kufitare (pragu) të karakteristikave të monitoruara nga sistemi i zbulimit të sulmit në mënyrë që të identifikohet në mënyrë adekuate aktiviteti anormal;

Sistemet "statistikore" mund të "stërviten" nga kundërshtarët me kalimin e kohës në mënyrë që veprimet sulmuese të konsiderohen normale.

Duhet gjithashtu të merret parasysh se metodat statistikore nuk janë të zbatueshme në ato raste kur nuk ka model të sjelljes tipike për përdoruesin ose kur veprimet e paautorizuara janë tipike për përdoruesin.

Sistemet eksperte

Sistemet e ekspertëve përbëhen nga një grup rregullash që kapin njohuritë e një eksperti njerëzor. Përdorimi i sistemeve të ekspertëve është një metodë e zakonshme për zbulimin e sulmeve, në të cilën informacioni rreth sulmeve formulohet në formën e rregullave. Këto rregulla mund të shkruhen, për shembull, si një sekuencë veprimesh ose si një nënshkrim. Kur përmbushet ndonjë nga këto rregulla, merret një vendim për praninë e aktivitetit të paautorizuar. Një avantazh i rëndësishëm i kësaj qasjeje është mungesa pothuajse e plotë e alarmeve false.

Baza e të dhënave të sistemit të ekspertëve duhet të përmbajë skenarë për shumicën e sulmeve të njohura aktualisht. Për të qëndruar vazhdimisht të përditësuar, sistemet e ekspertëve kërkojnë përditësim të vazhdueshëm të bazës së të dhënave. Ndërsa sistemet e ekspertëve ofrojnë një mundësi të mirë për të parë të dhënat në regjistra, përditësimet e kërkuara mund të shpërfillen ose të kryhen manualisht nga administratori. Së paku, kjo çon në një sistem ekspert me aftësi të reduktuara. Në rastin më të keq, mungesa e mirëmbajtjes së duhur zvogëlon sigurinë e të gjithë rrjetit, duke mashtruar përdoruesit e tij për nivelin aktual të sigurisë.

Disavantazhi kryesor është pamundësia për të zmbrapsur sulmet e panjohura. Në të njëjtën kohë, edhe një ndryshim i vogël në një sulm tashmë të njohur mund të bëhet një pengesë serioze për funksionimin e një sistemi të zbulimit të ndërhyrjeve.

Rrjetet nervore

Shumica e metodave moderne të zbulimit të ndërhyrjeve përdorin një formë të analizës së bazuar në rregulla të hapësirës së kontrolluar ose një qasje statistikore. Hapësira e kontrolluar mund të jetë regjistrat ose trafiku i rrjetit. Analiza mbështetet në një grup rregullash të paracaktuara që krijohen nga administratori ose nga vetë sistemi i zbulimit të ndërhyrjeve.

Çdo ndarje e një sulmi me kalimin e kohës ose midis sulmuesve të shumtë është e vështirë për sistemet e ekspertëve për t'u zbuluar. Për shkak të shumëllojshmërisë së gjerë të sulmeve dhe hakerëve, edhe përditësimet speciale të vazhdueshme të bazës së të dhënave të rregullave të sistemit të ekspertëve nuk do të garantojnë kurrë identifikimin e saktë të të gjithë gamës së sulmeve.

Përdorimi i rrjeteve nervore është një nga mënyrat për të kapërcyer këto probleme të sistemeve eksperte. Ndryshe nga sistemet e ekspertëve që mund t'i japin përdoruesit një përgjigje të caktuar në lidhje me përputhshmërinë e karakteristikave në shqyrtim me rregullat e përcaktuara në bazën e të dhënave, një rrjet nervor analizon informacionin dhe ofron një mundësi për të vlerësuar nëse të dhënat janë në përputhje me karakteristikat që ai ka. mësuar të njohë. Ndërsa shkalla e përputhjes së përfaqësimit të rrjetit nervor mund të arrijë 100%, besueshmëria e zgjedhjes varet tërësisht nga cilësia e sistemit në analizën e shembujve të detyrës.

Së pari, rrjeti nervor është trajnuar për të identifikuar saktë në një mostër të parazgjedhur të shembujve të domenit. Reagimi i rrjetit nervor analizohet dhe sistemi rregullohet në atë mënyrë që të arrihen rezultate të kënaqshme. Përveç periudhës fillestare të trajnimit, rrjeti nervor fiton përvojë me kalimin e kohës ndërsa analizon të dhënat që lidhen me domenin.

Një avantazh i rëndësishëm i rrjeteve nervore në zbulimin e abuzimit është aftësia e tyre për të "mësuar" karakteristikat e sulmeve të qëllimshme dhe për të identifikuar elementë që nuk janë të ngjashëm me ato që janë parë në rrjet më parë.

Secila prej metodave të përshkruara ka një numër avantazhesh dhe disavantazhesh, kështu që tani është praktikisht e vështirë të gjesh një sistem që zbaton vetëm një nga metodat e përshkruara. Në mënyrë tipike, këto metoda përdoren në kombinim.