Hlavní typy DDoS útoků a princip fungování těchto útoků. Typy síťových útoků a hlavní zranitelnosti

Hlavní typy DDoS útoků a princip fungování těchto útoků. Typy síťových útoků a hlavní zranitelnosti

Typy detekovaných síťových útoků

V současné době existuje mnoho různých typů síťových útoků. Tyto útoky využívají zranitelná místa v operačním systému a také v dalším nainstalovaném systémovém a aplikačním softwaru.

Pro včasné zajištění zabezpečení počítače je důležité vědět, jaké typy síťových útoků jej mohou ohrozit. Známé síťové útoky lze rozdělit do tří velkých skupin:

  • Skenování portů– tento typ hrozby není útokem sám o sobě, ale obvykle mu předchází, protože je jedním z hlavních způsobů, jak získat informace o vzdáleném počítači. Tato metoda zahrnuje skenování portů UDP/TCP používaných síťovými službami na počítači, o který se útočník zajímá, za účelem zjištění jejich stavu (uzavřené nebo otevřené porty).

    Skenování portů vám umožňuje pochopit, jaké typy útoků na daný systém budou pravděpodobně úspěšné a které nikoli. Kromě toho informace získané v důsledku skenování („snímek systému“) poskytnou útočníkovi představu o typu operačního systému na vzdáleném počítači. To dále omezuje rozsah potenciálních útoků a podle toho i čas strávený jejich implementací a také umožňuje použití zranitelností specifických pro daný operační systém.

  • DoS útoky, nebo útoky denial of service jsou útoky, které vedou k tomu, že se napadený systém stane nestabilním nebo zcela nefunkčním. Důsledkem tohoto typu útoku může být nemožnost využívat informační zdroje, na které jsou zaměřeny (například nemožnost přístupu k internetu).

    Existují dva hlavní typy útoků DoS:

    • odesílání speciálně vytvořených paketů na počítač oběti, které tento počítač neočekává, což vede k restartování nebo vypnutí systému;
    • odesílání do obětovaného počítače velkého množství paketů za jednotku času, které tento počítač není schopen zpracovat, což vede k vyčerpání systémových zdrojů.

    Živé příklady této skupiny útoků zahrnují následující:

    • Útok Ping smrti - spočívá v odeslání ICMP paketu, jehož velikost přesahuje povolenou hodnotu 64 KB. Tento útok může způsobit selhání některých operačních systémů.
    • Útok Pozemek – spočívá v odeslání požadavku na otevřený port na vašem počítači k navázání spojení se sebou samým. Útok způsobí zacyklení počítače, což má za následek výrazné zvýšení zátěže procesoru a navíc může dojít k pádu některých operačních systémů.
    • Útok ICMP Flood - spočívá v odesílání velkého počtu ICMP paketů do vašeho počítače. Útok způsobí, že počítač reaguje na každý příchozí paket, což má za následek výrazné zvýšení zatížení procesoru.
    • Útok SYN Flood – spočívá v odesílání velkého počtu požadavků na připojení do vašeho počítače. Systém pro každé z těchto připojení rezervuje určité zdroje, v důsledku čehož zcela spotřebuje své prostředky a přestane reagovat na další pokusy o připojení.
  • Útoky narušení, jejímž cílem je „ukořistění“ systému. Jedná se o nejnebezpečnější typ útoku, protože pokud jsou úspěšné, systém se dostává zcela pod kontrolu útočníka.

    Tento typ útoku se používá, když útočník potřebuje získat důvěrné informace ze vzdáleného počítače (například čísla kreditních karet, hesla) nebo se jednoduše uchytit v systému pro následné využití jeho výpočetních zdrojů pro vlastní účely (pomocí zachycený systém v sítích zombie nebo jako odrazový můstek pro nové útoky).

    Tato skupina zahrnuje největší počet útoků. Lze je rozdělit do tří podskupin v závislosti na operačním systému nainstalovaném na počítači uživatele: útoky na Microsoft Windows, útoky na Unix a obecná skupina pro síťové služby používané v obou operačních systémech.

    Nejběžnější typy útoků pomocí síťových služeb operačního systému:

    • Útoky přetečením vyrovnávací paměti. K přetečení vyrovnávací paměti dochází kvůli nedostatku kontroly (nebo nedostatečné kontroly) při práci s datovými poli. Toto je jedna z nejvíce
      mnoho typů zranitelností; je nejsnáze zneužitelný útočníkem.
    • Útoky založené na chybách formátovacího řetězce. Chyby formátovacího řetězce se vyskytují v důsledku nedostatečné kontroly nad hodnotami vstupních parametrů formátovacích I/O funkcí typu printf(), fprintf(), scanf() a další ze standardní knihovny C. Pokud je taková chyba zabezpečení přítomna v softwaru, pak útočník, který má schopnost odesílat speciálně vytvořené požadavky, může získat úplnou kontrolu nad systémem.

      Systém detekce narušení automaticky analyzuje a zabraňuje použití takových zranitelností v nejběžnějších síťových službách (FTP, POP3, IMAP), pokud jsou spuštěny na počítači uživatele.

    • Útoky zaměřené na počítače s operačním systémem Microsoft Windows jsou založeny na použití zranitelností v softwaru nainstalovaném v počítači (například programy jako Microsoft SQL Server, Microsoft Internet Explorer, Messenger a také systémové komponenty přístupné přes síť - DCom, SMB, Wins, LSASS, IIS5) .

    Kromě toho zvláštní případy útoků narušení zahrnují použití různých typů škodlivých skriptů, včetně skriptů zpracovávaných aplikací Microsoft Internet Explorer, a také různých druhů červa Helkern. Podstatou posledního typu útoku je odeslání speciálního typu UDP paketu na vzdálený počítač, který dokáže spustit škodlivý kód.

Přednáška 33 Typy a typy síťových útoků

Přednáška 33

Téma: Typy a typy síťových útoků

Vzdálený síťový útok je informační destruktivní účinek na distribuovaný výpočetní systém, prováděný programově prostřednictvím komunikačních kanálů.

Zavedení

Pro organizaci komunikace v heterogenním síťovém prostředí se používá sada protokolů TCP/IP, které zajišťují kompatibilitu mezi počítači různých typů. Tato sada protokolů si získala oblibu díky své kompatibilitě a poskytování přístupu ke zdrojům globálního internetu a stala se standardem pro mezisíťovou práci. Všudypřítomnost zásobníku protokolů TCP/IP však také odhalila jeho slabiny. Zejména z tohoto důvodu jsou distribuované systémy náchylné ke vzdáleným útokům, protože jejich součásti obvykle využívají otevřené kanály pro přenos dat a útočník může nejen pasivně odposlouchávat přenášené informace, ale také modifikovat přenášený provoz.

Obtížnost detekce vzdáleného útoku a relativní snadnost implementace (vzhledem k nadbytečné funkčnosti moderních systémů) staví tento typ protiprávního jednání na první místo z hlediska stupně nebezpečí a znemožňuje včasnou reakci na hrozbu. Výsledkem je, že útočník zvyšuje šance na úspěšné provedení útoku.

Klasifikace útoků

Podle povahy dopadu

Pasivní

Aktivní

Pasivní dopad na distribuovaný výpočetní systém (DCS) je nějaký dopad, který přímo neovlivňuje provoz systému, ale zároveň může porušovat jeho bezpečnostní politiku. Nedostatek přímého vlivu na provoz RVS vede právě k tomu, že pasivní vzdálený vliv (RPI) je obtížně zjistitelný. Možným příkladem typického PUV v DCS je naslouchání komunikačnímu kanálu v síti.

Aktivní dopad na DCS - dopad, který má přímý dopad na provoz samotného systému (narušení funkčnosti, změna konfigurace DCS apod.), který porušuje bezpečnostní politiku v něm přijatou. Téměř všechny typy vzdálených útoků jsou aktivními vlivy. To je způsobeno skutečností, že samotná podstata škodlivého účinku zahrnuje aktivní složku. Jasným rozdílem mezi aktivním vlivem a pasivním vlivem je zásadní možnost jeho detekce, neboť v důsledku jeho implementace dochází v systému k některým změnám. Při pasivním vlivu nezůstanou absolutně žádné stopy (vzhledem k tomu, že útočník v systému vidí zprávu někoho jiného, ​​nic se nezmění).

Účelem vlivu

Porušení fungování systému (přístup do systému)

Porušení integrity informačních zdrojů (IR)

Porušení důvěrnosti IR

Tato vlastnost, podle které se klasifikace provádí, je v podstatě přímou projekcí tří základních typů hrozeb – odmítnutí služby, prozrazení a porušení integrity.

Hlavním cílem téměř každého útoku je získat neoprávněný přístup k informacím. Existují dvě základní možnosti získávání informací: zkreslení a odposlech. Možnost zachycení informací znamená získání přístupu k nim bez možnosti jejich změny. Zachycování informací tedy vede k porušení jejich důvěrnosti. Poslech kanálu v síti je příkladem zachycení informací. V tomto případě dochází k nelegitimnímu přístupu k informacím bez možnosti jejich nahrazení. Je také zřejmé, že porušení důvěrnosti informací se týká pasivních vlivů.

Schopnost nahrazovat informace by měla být chápána buď jako úplná kontrola nad tokem informací mezi systémovými objekty, nebo jako schopnost přenášet různé zprávy jménem někoho jiného. Je tedy zřejmé, že záměna informace vede k narušení její integrity. Takový informačně destruktivní vliv je typickým příkladem aktivního vlivu. Příkladem vzdáleného útoku navrženého k narušení integrity informací je vzdálený útok (RA) „False RVS object“.

Na základě přítomnosti zpětné vazby od napadeného objektu

Se zpětnou vazbou

Žádná zpětná vazba (jednosměrný útok)

Útočník odešle napadenému objektu nějaké požadavky, na které očekává odpověď. Následně se mezi útočníkem a napadeným objeví zpětná vazba, která útočníkovi umožní adekvátně reagovat na nejrůznější změny v napadeném objektu. To je podstatou vzdáleného útoku, prováděného za přítomnosti zpětné vazby od útočícího objektu. Takové útoky jsou nejtypičtější pro RVS.

Útoky s otevřenou smyčkou se vyznačují tím, že nemusejí reagovat na změny v napadeném objektu. Takové útoky jsou obvykle prováděny zasláním jednotlivých požadavků na napadený objekt. Útočník nepotřebuje odpovědi na tyto požadavky. Takové UA lze také nazvat jednosměrné UA. Příkladem jednosměrných útoků je typický DoS útok.

Podle stavu začátku nárazu

Vzdálené ovlivňování, stejně jako každé jiné, může začít probíhat pouze za určitých podmínek. V RVS existují tři typy takových podmíněných útoků:

Útok na požádání z napadeného objektu

Útok při výskytu očekávané události na napadeném objektu

Bezpodmínečný útok

Dopad útočníka začne za předpokladu, že potenciální cíl útoku vyšle požadavek určitého typu. Takový útok lze nazvat útokem na žádost napadeného objektu. Tento typ UA je nejtypičtější pro RVS. Příkladem takových požadavků na internetu jsou požadavky DNS a ARP a v Novell NetWare - požadavek SAP.

Útok při výskytu očekávané události na napadeném objektu. Útočník průběžně sleduje stav OS vzdáleného cíle útoku a začíná ovlivňovat, kdy v tomto systému nastane konkrétní událost. Samotný napadený objekt je iniciátorem útoku. Příkladem takové události může být přerušení relace uživatele se serverem bez zadání příkazu LOGOUT v Novell NetWare.

Bezpodmínečný útok je proveden okamžitě a bez ohledu na stav operačního systému a napadeného objektu. Útočník je tedy v tomto případě iniciátorem útoku.

Pokud je narušen běžný provoz systému, jsou sledovány jiné cíle a neočekává se, že by útočník získal nelegální přístup k datům. Jeho cílem je deaktivovat OS na napadeném objektu a znemožnit ostatním systémovým objektům přístup ke zdrojům tohoto objektu. Příkladem útoku tohoto typu je DoS útok.

Podle umístění předmětu útoku vzhledem k napadenému objektu

Intrasegmentální

Intersegmentální

Některé definice:

Zdrojem útoku (předmětem útoku) je program (případně operátor), který útok vede a má přímý dopad.

Host – počítač, který je prvkem sítě.

Router je zařízení, které směruje pakety v síti.

Podsíť je skupina hostitelů, kteří jsou součástí globální sítě a liší se tím, že jim směrovač přiděluje stejné číslo podsítě. Můžeme také říci, že podsíť je logické sdružení hostitelů prostřednictvím směrovače. Hostitelé ve stejné podsíti mohou mezi sebou komunikovat přímo bez použití routeru.

Segment sítě je kombinací hostitelů na fyzické úrovni.

Z hlediska vzdáleného útoku je nesmírně důležité relativní umístění subjektu a objektu útoku, tedy zda se nacházejí v různých nebo stejných segmentech. Během útoku uvnitř segmentu se subjekt a cíl útoku nacházejí ve stejném segmentu. V případě mezisegmentového útoku se předmět a cíl útoku nacházejí v různých segmentech sítě. Tento klasifikační znak umožňuje posoudit takzvaný „stupeň odlehlosti“ útoku.

Níže bude ukázáno, že útok uvnitř segmentu je mnohem snazší provést než útok mezi segmenty. Všimli jsme si také, že vzdálený útok mezi segmenty představuje mnohem větší nebezpečí než útok v rámci segmentu. Důvodem je skutečnost, že v případě mezisegmentového útoku se cíl a útočník mohou nacházet ve vzdálenosti mnoha tisíc kilometrů od sebe, což může výrazně ztížit opatření k odražení útoku.

Podle úrovně referenčního modelu ISO/OSI, na kterém se dopad provádí

Fyzikální

Potrubí

Síť

Doprava

Zasedání

Zástupce

Aplikovaný

Mezinárodní organizace pro normalizaci (ISO) přijala normu ISO 7498, která popisuje propojování otevřených systémů (OSI), do které patří i RBC. Každý síťový komunikační protokol, stejně jako každý síťový program, lze tak či onak promítnout do referenčního 7vrstvého modelu OSI. Tato víceúrovňová projekce umožňuje popsat funkce používané v síťovém protokolu nebo programu z hlediska modelu OSI. UA je síťový program a je logické o něm uvažovat z hlediska projekce do referenčního modelu ISO/OSI.

Stručný popis některých síťových útoků

Fragmentace dat

Když je datový paket IP přenášen přes síť, paket lze rozdělit na několik částí. Následně po dosažení cíle je paket z těchto fragmentů rekonstruován. Útočník může zahájit odesílání velkého množství fragmentů, což vede k přetečení softwarových vyrovnávacích pamětí na straně příjemce a v některých případech k pádu systému.

Ping záplavový útok

Tento útok vyžaduje, aby útočník měl přístup k rychlým internetovým kanálům.

Program ping odešle ICMP paket typu ECHO REQUEST, v němž nastaví čas a jeho identifikátor. Jádro přijímajícího počítače odpoví na takový požadavek paketem ICMP ECHO REPLY. Po jeho přijetí zobrazí ping rychlost paketu.

Ve standardním provozním režimu jsou pakety odesílány v pravidelných intervalech, prakticky bez zatížení sítě. Ale v "agresivním" režimu může záplava paketů ICMP echo request/reply způsobit zahlcení malé linky a zabránit jí v přenosu užitečných informací.

Nestandardní protokoly zapouzdřené v IP

IP paket obsahuje pole, které specifikuje protokol zapouzdřeného paketu (TCP, UDP, ICMP). Útočníci mohou použít nestandardní hodnotu tohoto pole k přenosu dat, která nebudou zaznamenána standardními nástroji pro řízení toku informací.

Šmoulí útok

Šmoulí útok zahrnuje odesílání požadavků ICMP do sítě jménem počítače oběti.

V důsledku toho počítače, které přijaly takové pakety vysílání, reagují na počítač oběti, což vede k výraznému snížení propustnosti komunikačního kanálu a v některých případech k úplné izolaci napadené sítě. Šmoulí útok je extrémně účinný a rozšířený.

Protistrana: pro rozpoznání tohoto útoku je nutné analyzovat zatížení kanálu a určit důvody poklesu propustnosti.

DNS spoofing útok

Výsledkem tohoto útoku je zavedení vynucené korespondence mezi IP adresou a názvem domény do mezipaměti serveru DNS. V důsledku úspěšného útoku obdrží všichni uživatelé serveru DNS nesprávné informace o názvech domén a IP adresách. Tento útok se vyznačuje velkým počtem paketů DNS se stejným názvem domény. To je způsobeno nutností vybrat některé parametry výměny DNS.

Protiopatření: pro detekci takového útoku je nutné analyzovat obsah DNS provozu nebo použít DNSSEC.

IP spoofing útok

Se spoofingem zdrojové IP adresy je spojeno velké množství útoků na internetu. Mezi takové útoky patří také syslog spoofing, který zahrnuje odeslání zprávy do počítače oběti jménem jiného počítače v interní síti. Vzhledem k tomu, že protokol syslog se používá k udržování systémových protokolů, zasíláním falešných zpráv do počítače oběti je možné vyvolat informace nebo zakrýt stopy neoprávněného přístupu.

Protiopatření: detekce útoků souvisejících se spoofingem IP adres je možná sledováním příjmu paketu na jednom z rozhraní se zdrojovou adresou stejného rozhraní nebo sledováním příjmu paketů s IP adresami vnitřní sítě na externím rozhraní .

Uložení balíčku

Útočník posílá do sítě pakety s falešnou návratovou adresou. Pomocí tohoto útoku může útočník přepnout spojení navázaná mezi jinými počítači na svůj vlastní počítač. V tomto případě se přístupová práva útočníka stanou právy uživatele, jehož připojení k serveru bylo přepnuto na počítač útočníka.

Sniffing - poslech kanálu

Možné pouze v segmentu lokální sítě.

Téměř všechny síťové karty podporují schopnost zachytit pakety přenášené přes společný kanál místní sítě. V tomto případě může pracovní stanice přijímat pakety adresované jiným počítačům ve stejném segmentu sítě. Útočníkovi se tak zpřístupní veškerá výměna informací v segmentu sítě. Pro úspěšnou implementaci tohoto útoku musí být počítač útočníka umístěn ve stejném segmentu místní sítě jako počítač, na který útočí.

Zachycování paketů na routeru

Síťový software routeru má přístup ke všem síťovým paketům odeslaným přes router, což umožňuje zachycení paketů. K provedení tohoto útoku musí mít útočník privilegovaný přístup alespoň k jednomu routeru v síti. Protože je přes router obvykle přenášeno tolik paketů, je jejich úplné zachycení téměř nemožné. Jednotlivé pakety však mohou být dobře zachyceny a uloženy pro pozdější analýzu útočníkem. Nejúčinnější zachycení FTP paketů obsahujících uživatelská hesla a také e-maily.

Vynucení falešné trasy na hostiteli pomocí ICMP

Na internetu existuje speciální protokol ICMP (Internet Control Message Protocol), jehož jednou z funkcí je informovat hostitele o změně aktuálního routeru. Tato řídicí zpráva se nazývá přesměrování. Je možné odeslat falešnou přesměrovací zprávu z libovolného hostitele v segmentu sítě jménem routeru napadenému hostiteli. V důsledku toho se změní aktuální směrovací tabulka hostitele a v budoucnu bude veškerý síťový provoz tohoto hostitele procházet například přes hostitele, který odeslal zprávu s falešným přesměrováním. Tímto způsobem je možné aktivně vnutit falešnou trasu v rámci jednoho segmentu internetu.

Spolu s běžnými daty zasílanými přes TCP spojení standard zajišťuje i přenos urgentních (Mimo pásmo) dat. Na úrovni formátů paketů TCP je to vyjádřeno jako nenulový urgentní ukazatel. Většina počítačů s nainstalovaným systémem Windows má síťový protokol NetBIOS, který pro své potřeby používá tři porty IP: 137, 138, 139. Pokud se připojíte k počítači se systémem Windows přes port 139 a pošlete tam několik bajtů dat OutOfBand, implementace NetBIOS protože neví, co s těmito daty dělat, jednoduše zavěsí nebo restartuje počítač. U Windows 95 to obvykle vypadá jako modrá textová obrazovka indikující chybu v ovladači TCP/IP a nemožnost pracovat se sítí, dokud nebude operační systém restartován. NT 4.0 bez aktualizací Service Pack se restartuje, NT 4.0 s balíčkem ServicePack 2 se zhroutí na modré obrazovce. Soudě podle informací ze sítě jsou k takovému útoku náchylné jak Windows NT 3.51, tak Windows 3.11 for Workgroups.

Odeslání dat na port 139 vede k restartu NT 4.0 nebo k „modré obrazovce smrti“ s nainstalovaným Service Pack 2. Podobné odesílání dat na port 135 a některé další porty vede k značnému zatížení procesu RPCSS.EXE. Na Windows NT WorkStation to vede k výraznému zpomalení Windows NT Server prakticky zamrzne.

Spoofing důvěryhodného hostitele

Úspěšná implementace vzdálených útoků tohoto typu umožní útočníkovi provést relaci se serverem jménem důvěryhodného hostitele. (Trusted host - stanice, která se legálně připojila k serveru). Implementace tohoto typu útoku obvykle spočívá v odesílání výměnných paketů ze stanice útočníka jménem důvěryhodné stanice pod jeho kontrolou.

Technologie detekce útoků

Síťové a informační technologie se mění tak rychle, že statické ochranné mechanismy, mezi které patří systémy řízení přístupu, firewally a autentizační systémy, v mnoha případech nemohou poskytnout účinnou ochranu. K rychlému odhalení a prevenci narušení bezpečnosti jsou proto nutné dynamické metody. Jednou technologií, která dokáže detekovat narušení, která nelze identifikovat pomocí tradičních modelů řízení přístupu, je technologie detekce narušení.

Proces detekce útoků je v podstatě procesem hodnocení podezřelých aktivit, ke kterým dochází v podnikové síti. Jinými slovy, detekce narušení je proces identifikace a reakce na podezřelou aktivitu zaměřenou na výpočetní nebo síťové zdroje.

Metody analýzy síťových informací

Účinnost systému detekce útoků do značné míry závisí na metodách použitých k analýze přijatých informací. První systémy detekce narušení, vyvinuté na počátku 80. let, využívaly k detekci útoků statistické metody. V současné době byla do statistické analýzy přidána řada nových technik, počínaje expertními systémy a fuzzy logikou a konče využitím neuronových sítí.

Statistická metoda

Hlavními výhodami statistického přístupu je použití již vyvinutého a osvědčeného aparátu matematické statistiky a přizpůsobení chování subjektu.

Nejprve jsou stanoveny profily pro všechny subjekty analyzovaného systému. Jakákoli odchylka použitého profilu od referenčního je považována za nepovolenou činnost. Statistické metody jsou univerzální, protože analýza nevyžaduje znalost možných útoků a zranitelností, které využívají. Při použití těchto technik však nastávají problémy:

„statistické“ systémy nejsou citlivé na pořadí událostí; v některých případech mohou tytéž události, v závislosti na pořadí, v jakém se vyskytují, charakterizovat abnormální nebo normální aktivitu;

Je obtížné nastavit hraniční (prahové) hodnoty charakteristik monitorovaných systémem detekce narušení, aby bylo možné adekvátně identifikovat anomální aktivitu;

„Statistické“ systémy mohou být útočníky „trénovány“ v průběhu času, takže útočné akce jsou považovány za normální.

Je třeba také vzít v úvahu, že statistické metody nejsou použitelné v případech, kdy neexistuje žádný vzorec typického chování pro uživatele nebo kdy jsou pro uživatele typické neoprávněné akce.

Expertní systémy

Expertní systémy se skládají ze sady pravidel, která zachycují znalosti lidského experta. Použití expertních systémů je běžnou metodou detekce útoků, při které jsou informace o útoku formulovány ve formě pravidel. Tato pravidla mohou být zapsána například jako sled akcí nebo jako podpis. Při splnění některého z těchto pravidel se rozhodne o přítomnosti neoprávněné aktivity. Důležitou výhodou tohoto přístupu je téměř úplná absence falešných poplachů.

Databáze expertního systému by měla obsahovat skripty pro většinu aktuálně známých útoků. Aby expertní systémy zůstaly neustále aktuální, vyžadují neustálou aktualizaci databáze. Přestože expertní systémy nabízejí dobrý způsob, jak prohlížet data v protokolech, požadované aktualizace mohou být ignorovány nebo ručně provedeny administrátorem. Výsledkem je minimálně expertní systém s oslabenými schopnostmi. V nejhorším případě nedostatek řádné údržby snižuje zabezpečení celé sítě a uvádí uživatele v omyl ohledně skutečné úrovně zabezpečení.

Hlavní nevýhodou je nemožnost odrážet neznámé útoky. Navíc i malá změna již známého útoku se může stát vážnou překážkou fungování systému detekce útoků.

Neuronové sítě

Většina moderních metod detekce útoků používá k analýze řízeného prostoru nějakou formu na pravidlech nebo statistický přístup. Řízeným prostorem mohou být protokoly nebo síťový provoz. Analýza je založena na sadě předdefinovaných pravidel, které vytváří správce nebo samotný systém detekce narušení.

Jakékoli oddělení útoku v čase nebo mezi více útočníků je obtížné odhalit pomocí expertních systémů. Kvůli široké škále útoků a hackerů, dokonce i ad hoc, průběžné aktualizace databáze pravidel expertního systému nikdy nezaručí přesnou identifikaci celé řady útoků.

Využití neuronových sítí je jednou z cest, jak tyto problémy expertních systémů překonat. Na rozdíl od expertních systémů, které dokážou dát uživateli jednoznačnou odpověď na shodu posuzovaných charakteristik s pravidly vloženými do databáze, neuronová síť analyzuje informace a poskytuje příležitost vyhodnotit, zda jsou data v souladu s charakteristikami, kterými jsou. trénovaný rozpoznávat. Zatímco stupeň shody reprezentace neuronové sítě může dosáhnout 100 %, spolehlivost výběru zcela závisí na kvalitě systému při analýze příkladů dané úlohy.

Nejprve je neuronová síť natrénována, aby správně identifikovala pomocí předem vybraného vzorku příkladů domén. Odezva neuronové sítě je analyzována a systém je nastaven tak, aby bylo dosaženo uspokojivých výsledků. Kromě počátečního tréninkového období získává neuronová síť zkušenosti v průběhu času, protože analyzuje data specifická pro doménu.

Důležitou výhodou neuronových sítí při odhalování zneužití je jejich schopnost „naučit se“ charakteristiky záměrných útoků a identifikovat prvky, které se liší od těch, které byly dříve v síti pozorovány.

Každá z popsaných metod má řadu výhod a nevýhod, proto je nyní téměř obtížné najít systém, který implementuje pouze jednu z popsaných metod. Zpravidla se tyto metody používají v kombinaci.

Hackerský útok je akce, jejímž cílem je převzít kontrolu (posílit práva) nad vzdáleným/místním počítačovým systémem, destabilizovat jej nebo odmítnout službu. Zpočátku byly útoky způsobeny řadou omezení spojených s protokolem TCP/IP. Dřívější verze protokolu IP postrádaly bezpečnostní požadavky, které se objevily až o několik let později. Ale teprve s rychlým rozvojem internetového obchodu se problém stal naléhavým a bezpečnostní standardy musely být implementovány v krátké době.

Poštovní bombardování- je považován za nejstarší způsob útoku, i když jeho podstata je jednoduchá a primitivní: velké množství e-mailových zpráv znemožňuje práci s poštovními schránkami a někdy dokonce i s celými poštovními servery. Pro tento účel bylo vyvinuto mnoho programů a dokonce i nezkušený uživatel by mohl provést útok tak, že uvedl pouze e-mail oběti, text zprávy a počet požadovaných zpráv. Mnoho takových programů umožnilo skrýt skutečnou IP adresu odesílatele pomocí anonymního poštovního serveru pro odesílání. Tomuto útoku je obtížné zabránit, protože ani filtry pošty ISP nemohou určit skutečného odesílatele spamu. Poskytovatel může omezit počet e-mailů od jednoho odesílatele, ale adresa a předmět odesílatele jsou často generovány náhodně.

Přetečení vyrovnávací paměti . Možná jeden z nejběžnějších typů útoků na internetu. Princip tohoto útoku je založen na využití softwarových chyb, které mohou způsobit narušení paměti a pád aplikace nebo spuštění libovolného binárního kódu jménem uživatele, pod kterým zranitelný program běžel. Pokud program běží pod účtem správce systému, pak vám tento útok umožní získat plnou kontrolu nad počítačem oběti, proto se doporučuje pracovat pod účtem běžného uživatele, který má omezená práva v systému, a pod systémem administrátorský účet provádět pouze operace, které vyžadují administrátorská práva.

Viry, trojské koně, e-mailové červy, sniffery, rootkity a další speciální programy. Dalším typem útoku je sofistikovanější metoda získávání přístupu k citlivým informacím – použití speciálních programů k provádění práce na počítači oběti. Tyto programy jsou navrženy tak, aby vyhledávaly a předávaly tajné informace jejich vlastníkovi nebo jednoduše poškodily bezpečnostní systém a výkon počítače oběti. Principy fungování těchto programů se liší, takže je nebudeme posuzovat samostatně.

Síťová inteligence . Při takovém útoku hacker ve skutečnosti neprovádí žádné destruktivní akce, ale díky tomu může získat důvěrné informace o struktuře a principech fungování počítačového systému oběti. Získané informace mohou být použity ke kvalifikovanému vytvoření nadcházejícího útoku a obvykle se provádí během přípravných fází. Během takového průzkumu může útočník provádět skenování portů, dotazy DNS, echo testování otevřených portů a přítomnost a zabezpečení proxy serverů. Díky tomu můžete získat informace o DNS adresách existujících v systému, komu patří, jaké služby jsou na nich dostupné a jaká je úroveň přístupu k těmto službám pro externí a interní uživatele.

Čmuchání paketů . Také poměrně běžný typ útoku založený na provozu síťové karty v promiskuitním režimu, stejně jako monitorovací režim pro Wi-Fi sítě. V tomto režimu jsou všechny pakety přijaté síťovou kartou odeslány ke zpracování do speciální aplikace zvané sniffer. V důsledku toho může útočník získat velké množství servisních informací: kdo, odkud, kde byly pakety přeneseny a přes které adresy tyto pakety prošly. Největším nebezpečím takového útoku je získávání samotných informací, jako jsou přihlašovací jména a hesla zaměstnanců, pomocí kterých lze pod rouškou běžného zaměstnance firmy nelegálně vstoupit do systému.


Promiskuitní režimnebo promisc režim– tzv. „promiskuitní“ režim, ve kterém síťová karta umožňuje přijímat všechny pakety bez ohledu na to, komu jsou určeny, tato funkce se obvykle používá v analyzátorech síťového provozu; V normálním stavu používá ethernetové rozhraní filtrování paketů linkové vrstvy a pokud MAC adresa v cílové hlavičce přijatého paketu neodpovídá MAC adrese aktuálního síťového rozhraní a není vysílána, paket je zahozen. V „promiskuitním“ režimu je filtrování na síťovém rozhraní zakázáno a všechny pakety, včetně těch, které nejsou určeny pro aktuální uzel, jsou povoleny do systému. Většina operačních systémů vyžaduje k aktivaci promiskuitního režimu administrátorská práva. Tento režim umožňuje sledovat provoz pouze v dané kolizní doméně (pro ethernetové nebo bezdrátové sítě) nebo ring (pro sítě Token ring nebo FDDI), proto je použití síťových rozbočovačů méně bezpečným řešením než přepínače, protože přepínače nepřenášejí provoz pro každého, bez ohledu na schůzky na adrese. „Promiskuitní“ režim často používají snifferové – specializované programy, které vám umožňují zobrazovat a analyzovat síťový provoz za účelem diagnostiky síťových problémů. Takové programy usnadňují zachycení hesel a důvěrných dat přenášených přes síť v nechráněné podobě, aby se tomu zabránilo, doporučuje se používat zabezpečené protokoly, včetně SSL a různých možností VPN/IPSec.

Čichač- traffic analyzátor nebo sniffer (z angličtiny do sniff - sniff) - analyzátor síťového provozu, programové nebo hardwarové a softwarové zařízení určené k odposlechu a následné analýze, nebo pouze analýze síťového provozu určeného pro jiné uzly. Zatímco sniffer běží, síťové rozhraní se přepne do „režimu naslouchání“ (promiskuitní režim), který mu umožňuje přijímat pakety adresované jiným rozhraním v síti.

Zachycování provozu lze provádět: pravidelným „poslechem“ síťového rozhraní; připojení čichacího zařízení k mezeře kanálu; větvení (softwaru nebo hardwaru) provozu a nasměrování jeho kopie do snifferu; prostřednictvím analýzy bočního elektromagnetického záření a tím obnovení odposlouchávaného provozu; prostřednictvím útoku na linkovou nebo síťovou vrstvu, což vede k přesměrování provozu oběti nebo veškerého provozu segmentu na sniffer a poté navrácení provozu na správnou adresu.

· Identifikujte škodlivý a neautorizovaný software v síti;

· Vyhledejte chybu sítě nebo chybu konfigurace síťového agenta;

· Zachyťte veškerý nešifrovaný uživatelský provoz za účelem získání hesel a dalších informací;

IP spoofing. Toto je také běžný typ útoku v nedostatečně chráněných sítích, kdy se útočník vydává za oprávněného uživatele uvnitř nebo mimo organizaci. K tomu musí hacker použít IP adresu povolenou v systému zabezpečení sítě. Takový útok je možný, pokud bezpečnostní systém umožňuje identifikaci uživatele pouze pomocí IP adresy a nevyžaduje dodatečné potvrzení.

Man-in-the-Middle. Typ útoku, kdy útočník zachytí komunikační kanál mezi dvěma systémy a získá přístup ke všem přenášeným informacím. Získáním přístupu na této úrovni můžete upravovat informace podle potřeby k dosažení svých cílů. Účelem takového útoku je ukrást nebo zfalšovat přenášené informace, případně získat přístup k síťovým zdrojům. Takové útoky je extrémně obtížné sledovat, protože útočník se obvykle nachází v rámci organizace.

Injekce.Útok spojený s různými typy injekcí zahrnuje zavedení příkazů nebo dat třetích stran do běžícího systému s cílem změnit chod systému a v důsledku toho získat přístup k soukromým funkcím a informacím nebo destabilizovat provoz. systému jako celku. Tento typ útoku je nejoblíbenější na internetu, ale lze jej provést také prostřednictvím příkazového řádku systému.

Druhy injekcí:

SQL injekce- útok, při kterém se mění parametry SQL dotazů do databáze. Požadavek tím dostává úplně jiný význam a v případě nedostatečné filtrace vstupních dat může důvěrné informace nejen vypsat, ale i změnit/smazat. Velmi často lze tento typ útoku pozorovat na příkladu stránek, které pomocí parametrů příkazového řádku (v tomto případě URL proměnných) sestavují SQL dotazy do databází bez příslušného ověření.

PHP-injekce– jeden ze způsobů, jak hacknout webové stránky běžící na PHP. Spočívá ve vložení speciálně vytvořeného škodlivého skriptu do kódu webové aplikace na straně serveru, což vede k provádění libovolných příkazů. Je známo, že mnoho bezplatných enginů a fór, které jsou rozšířené na internetu běžící na PHP (nejčastěji se jedná o zastaralé verze), obsahuje nedomyšlené moduly nebo jednotlivé návrhy se zranitelností. Hackeři analyzují zranitelná místa, jako jsou proměnné bez escapování přijímající externí hodnoty.

Ckryptová injekcenebo XSS Cross Site Scripting – typ zranitelnosti v interaktivních informačních systémech na webu. K „XSS“ dochází, když jsou uživatelské skripty z nějakého důvodu zahrnuty do stránek generovaných serverem. Specifikem těchto útoků je, že namísto přímého útoku na server používají zranitelný server jako prostředek k útoku na klienta. Programátoři jim dlouho nevěnovali dostatečnou pozornost a považovali je za neškodné. Tento názor je však chybný: na stránce nebo v souborech cookie HTTP mohou být velmi citlivá data (například ID relace správce). Na oblíbeném webu může skript spustit DoS útok.

Injekce XPath.Typ chyby zabezpečení, který zahrnuje vložení výrazů XPath do původního požadavku na databázi XML. Stejně jako u jiných typů injekcí je zranitelnost možná kvůli nedostatečnému ověření vstupních dat.

DoS- (Denial of Service) - útok, jehož cílem je způsobit, aby server neodpovídal na požadavky. Tento typ útoku nezahrnuje získání nějakých tajných informací, ale někdy může pomoci zahájit další útoky. Některé programy mohou například kvůli chybám ve svém kódu způsobit výjimky, a když jsou služby zakázány, mohou spustit kód poskytnutý útočníkem nebo zaplavit útoky, když server nemůže zpracovat velké množství příchozích paketů.

DDoS- (Distributed Denial of Service) - má stejný cíl jako DoS, ale neprovádí se z jednoho počítače, ale z několika počítačů v síti. Tyto typy útoků využívají buď výskyt chyb vedoucích k selhání služby, nebo spuštění ochrany vedoucí k zablokování služby a v důsledku toho k odmítnutí služby. DDoS se používá tam, kde je běžný DoS neúčinný. K tomu je několik počítačů sjednoceno a každý provede útok DoS na systém oběti. Dohromady se tomu říká DDoS útok.

Jakýkoli útok není nic jiného než pokus využít nedokonalost bezpečnostního systému oběti buď k získání informací, nebo k poškození systému, proto je důvodem každého úspěšného útoku profesionalita hackera a hodnota informací, jakož i nedostatečná kompetence zejména správce bezpečnostního systému, nedokonalost softwaru a nedostatečná pozornost bezpečnostním otázkám ve společnosti obecně.

Internet zcela mění náš způsob života: práci, studium, volný čas. K těmto změnám dojde jak v oblastech, které již známe (elektronický obchod, přístup k informacím v reálném čase, zvýšení komunikačních schopností atd.), tak v těch oblastech, o kterých ještě nemáme představu.

Může přijít doba, kdy bude korporace všechny telefonovat přes internet zcela zdarma. V soukromém životě se mohou objevit speciální webové stránky, s jejichž pomocí mohou rodiče kdykoli zjistit, jak se jejich dětem daří. Naše společnost si teprve začíná uvědomovat neomezené možnosti internetu.

Zavedení

Současně s enormním růstem popularity internetu vzniká bezprecedentní nebezpečí prozrazení osobních údajů, kritických podnikových zdrojů, státních tajemství atd.

Hackeři tyto zdroje každodenně ohrožují tím, že se k nim snaží získat přístup pomocí speciálních útoků, které jsou na jedné straně postupně sofistikovanější a na druhé snáze proveditelné. Přispívají k tomu dva hlavní faktory.

Za prvé je to rozšířené pronikání internetu. Dnes jsou k internetu připojeny miliony zařízení a v blízké budoucnosti bude k internetu připojeno mnoho milionů zařízení, takže je stále pravděpodobnější, že hackeři získají přístup k zranitelným zařízením.

Široké používání internetu navíc umožňuje hackerům vyměňovat si informace v celosvětovém měřítku. Jednoduché vyhledávání klíčových slov jako „hacker“, „hacking“, „hack“, „crack“ nebo „phreak“ vám vrátí tisíce stránek, z nichž mnohé obsahují škodlivý kód a jak jej používat.

Za druhé je to široká distribuce snadno použitelných operačních systémů a vývojových prostředí. Tento faktor prudce snižuje úroveň znalostí a dovedností vyžadovaných hackerem. Dříve musel mít hacker dobré programovací dovednosti, aby mohl vytvářet a distribuovat snadno použitelné aplikace.

Nyní, abyste získali přístup k hackerskému nástroji, stačí znát IP adresu požadovaného webu a k provedení útoku stačí kliknout myší.

Klasifikace síťových útoků

Síťové útoky jsou stejně rozmanité jako systémy, na které se zaměřují. Některé útoky jsou velmi složité, jiné jsou v možnostech běžného operátora, který si důsledky své činnosti ani neumí představit. Chcete-li vyhodnotit typy útoků, musíte znát některá z inherentních omezení protokolu TPC/IP. Síť

Internet byl vytvořen pro komunikaci mezi vládními agenturami a univerzitami za účelem podpory vzdělávacího procesu a vědeckého výzkumu. Tvůrci této sítě netušili, jak moc se rozšíří. V důsledku toho specifikace raných verzí internetového protokolu (IP) postrádaly bezpečnostní požadavky. To je důvod, proč je mnoho implementací IP inherentně zranitelných.

Po mnoha letech, po mnoha stížnostech (Request for Comments, RFC) se konečně začala zavádět bezpečnostní opatření pro IP. Vzhledem k tomu, že bezpečnostní opatření pro protokol IP nebyla zpočátku vyvíjena, začaly být všechny jeho implementace doplňovány řadou síťových procedur, služeb a produktů, které snižují rizika spojená s tímto protokolem. Dále se stručně podíváme na typy útoků, které se běžně používají proti sítím IP, a uvedeme způsoby, jak proti nim bojovat.

Čichač paketů

Sniffer paketů je aplikační program, který používá síťovou kartu pracující v promiskuitním režimu (v tomto režimu síťový adaptér posílá všechny pakety přijaté fyzickými kanály do aplikace ke zpracování).

V tomto případě sniffer zachytí všechny síťové pakety, které jsou přenášeny přes určitou doménu. V současné době fungují sniffery na sítích na zcela legálním základě. Používají se pro diagnostiku poruch a analýzu provozu. Nicméně vzhledem k tomu, že některé síťové aplikace přenášejí data v textovém formátu ( Telnet, FTP, SMTP, POP3 atd..), pomocí snifferu můžete zjistit užitečné a někdy důvěrné informace (například uživatelská jména a hesla).

Zachycení přihlášení a hesla představuje velkou hrozbu, protože uživatelé často používají stejné přihlašovací jméno a heslo pro více aplikací a systémů. Mnoho uživatelů má obecně jediné heslo pro přístup ke všem zdrojům a aplikacím.

Pokud aplikace pracuje v režimu klient-server a autentizační data jsou přenášena po síti v čitelném textovém formátu, pak lze tyto informace s největší pravděpodobností použít pro přístup k dalším firemním nebo externím zdrojům. Hackeři příliš dobře znají a využívají lidské slabosti (metody útoku jsou často založeny na metodách sociálního inženýrství).

Dobře si uvědomují, že pro přístup k mnoha zdrojům používáme stejné heslo, a proto se jim často podaří získat přístup k důležitým informacím tím, že se naše heslo naučí. V nejhorším případě hacker získá přístup k uživatelskému prostředku na systémové úrovni a použije jej k vytvoření nového uživatele, kterého lze kdykoli použít pro přístup k síti a jejím zdrojům.

Hrozbu sniffování paketů můžete snížit pomocí následujících nástrojů::

Autentizace. Silná autentizace je nejdůležitějším způsobem ochrany proti odposlechu paketů. Výrazem „silné“ rozumíme autentizační metody, které je obtížné obejít. Příkladem takové autentizace jsou jednorázová hesla (OTP).

OTP je technologie dvoufaktorové autentizace, která kombinuje to, co máte, s tím, co znáte. Typickým příkladem dvoufaktorové autentizace je provoz běžného bankomatu, který vás identifikuje jednak podle vaší plastové karty, jednak podle vámi zadaného PIN kódu. K autentizaci v systému OTP je nutný také PIN kód a vaše osobní karta.

„Kartou“ (tokenem) rozumíme hardwarový nebo softwarový nástroj, který generuje (na náhodném principu) jedinečné jednorázové, jednorázové heslo. Pokud hacker zjistí toto heslo pomocí snifferu, pak bude tato informace k ničemu, protože v tu chvíli bude heslo již použito a vyřazeno.

Všimněte si, že tento způsob boje proti šňupání je účinný pouze v případech zachycení hesla. Sniffery, které zachycují další informace (jako jsou e-mailové zprávy), zůstávají účinné.

Přepínaná infrastruktura. Dalším způsobem, jak bojovat proti odposlechu paketů ve vašem síťovém prostředí, je vytvořit přepínanou infrastrukturu. Pokud například celá organizace používá dial-up Ethernet, mohou hackeři přistupovat pouze k provozu přicházejícím do portu, ke kterému jsou připojeni. Přepínaná infrastruktura neodstraňuje hrozbu sniffingu, ale výrazně snižuje její závažnost.

Antisniffers. Třetím způsobem boje proti sniffování je instalace hardwaru nebo softwaru, který rozpozná sniffery běžící ve vaší síti. Tyto nástroje nemohou zcela eliminovat hrozbu, ale stejně jako mnoho jiných nástrojů zabezpečení sítě jsou součástí celkového systému ochrany. Antisniffer měří doby odezvy hostitele a určují, zda hostitelé musí zpracovávat zbytečný provoz. Jeden takový produkt, dostupný od LOpht Heavy Industries, se nazývá AntiSniff.

Kryptografie. Tento nejúčinnější způsob boje proti odposlechu paketů sice nebrání zachycení a nerozpoznává práci snifferů, ale činí tuto práci zbytečnou. Pokud je komunikační kanál kryptograficky zabezpečený, pak hacker nezachytí zprávu, ale šifrovaný text (tj. nesrozumitelnou sekvenci bitů). Kryptografie síťové vrstvy Cisco je založena na protokolu IPSec, což je standardní metoda pro zabezpečenou komunikaci mezi zařízeními pomocí protokolu IP. Mezi další protokoly správy kryptografických sítí patří SSH (Secure Shell) a SSL (Secure Socket Layer).

IP spoofing

IP spoofing nastává, když se hacker, uvnitř nebo mimo společnost, vydává za oprávněného uživatele. To lze provést dvěma způsoby: hacker může použít buď IP adresu, která je v rozsahu autorizovaných IP adres, nebo autorizovanou externí adresu, která má povolen přístup k určitým síťovým zdrojům.

IP spoofing útoky jsou často výchozím bodem pro další útoky. Klasickým příkladem je DoS útok, který začíná z adresy někoho jiného a skrývá skutečnou identitu hackera.

Typicky je IP spoofing omezen na vkládání nepravdivých informací nebo škodlivých příkazů do normálního toku dat přenášených mezi klientskou a serverovou aplikací nebo přes komunikační kanál mezi peer zařízeními.

Pro obousměrnou komunikaci musí hacker změnit všechny směrovací tabulky tak, aby směrovaly provoz na falešnou IP adresu. Někteří hackeři se ale ani nesnaží získat odpověď z aplikací – pokud je hlavním cílem získat důležitý soubor ze systému, pak na odpovědích aplikací nezáleží.

Pokud se hackerovi podaří změnit směrovací tabulky a nasměrovat provoz na falešnou IP adresu, obdrží všechny pakety a bude na ně moci reagovat, jako by byl oprávněným uživatelem.

Hrozbu spoofingu lze zmírnit (ale ne odstranit) pomocí následujících opatření:

  • Řízení přístupu. Nejjednodušší způsob, jak zabránit falšování IP adres, je správně nakonfigurovat řízení přístupu. Chcete-li snížit efektivitu falšování IP adres, nakonfigurujte řízení přístupu tak, aby odmítalo veškerý provoz přicházející z externí sítě se zdrojovou adresou, která by se měla nacházet uvnitř vaší sítě.

    Je pravda, že to pomáhá bojovat proti falšování IP, když jsou autorizovány pouze interní adresy; pokud jsou autorizovány i některé externí síťové adresy, tato metoda se stává neúčinnou;

  • Filtrování RFC 2827. Můžete zabránit uživatelům ve vaší síti ve falšování sítí jiných lidí (a stát se dobrým online občanem). Chcete-li to provést, musíte odmítnout veškerý odchozí provoz, jehož zdrojová adresa není jednou z adres IP vaší organizace.

    Tento typ filtrování, známý jako RFC 2827, může také provádět váš poskytovatel internetových služeb (ISP). V důsledku toho je odmítnut veškerý provoz, který nemá zdrojovou adresu očekávanou na konkrétním rozhraní. Pokud například ISP poskytuje připojení k IP adrese 15.1.1.0/24, může nakonfigurovat filtr tak, aby byl z tohoto rozhraní do routeru ISP povolen pouze provoz pocházející z 15.1.1.0/24.

Upozorňujeme, že dokud všichni poskytovatelé nezavedou tento typ filtrování, bude jeho účinnost mnohem nižší, než je možné. Navíc, čím dále jste od filtrovaných zařízení, tím obtížnější je provést přesnou filtraci. Například filtrování RFC 2827 na úrovni přístupového směrovače vyžaduje předávání veškerého provozu z hlavní síťové adresy (10.0.0.0/8), zatímco na distribuční úrovni (v dané architektuře) je možné provoz omezit přesněji (adresa - 10.1.5.0/24).

Nejúčinnější metoda pro boj s IP spoofingem je stejná jako v případě packet sniffingu: musíte útok učinit zcela neúčinným. IP spoofing může fungovat pouze v případě, že je ověřování založeno na IP adresách.

Zavedení dalších autentizačních metod proto činí takové útoky zbytečnými. Nejlepší typ dodatečné autentizace je kryptografický. Pokud to není možné, dobré výsledky může poskytnout dvoufaktorová autentizace pomocí jednorázových hesel.

Odepření služby

Denial of Service (DoS) je bezesporu nejznámější formou hackerských útoků. Proti těmto typům útoků je navíc nejobtížnější vytvořit 100% ochranu. Mezi hackery jsou DoS útoky považovány za dětskou hru a jejich použití vyvolává opovržlivé úsměvy, protože organizace DoS vyžaduje minimum znalostí a dovedností.

Nicméně právě snadnost implementace a obrovský rozsah způsobených škod přitahuje pozornost správců odpovědných za síťovou bezpečnost. Pokud se chcete dozvědět více o útocích DoS, měli byste zvážit nejznámější typy, konkrétně:

  • TCP SYN Flood;
  • Ping smrti;
  • Tribe Flood Network (TFN) a Tribe Flood Network 2000 (TFN2K);
  • Trinco;
  • Stacheldracht;
  • Trojice.

Vynikajícím zdrojem bezpečnostních informací je Computer Emergency Response Team (CERT), který publikoval vynikající práci v boji proti DoS útokům.

DoS útoky se liší od jiných typů útoků. Nejsou zaměřeny na získání přístupu do vaší sítě ani na získání jakýchkoli informací z této sítě, ale útok DoS znepřístupní vaši síť pro běžné použití tím, že překročí přijatelné limity sítě, operačního systému nebo aplikace.

V případě některých serverových aplikací (jako je webový server nebo FTP server) mohou útoky DoS zahrnovat převzetí všech připojení, která jsou těmto aplikacím k dispozici, a jejich udržování obsazené, čímž se zabrání obsluhování běžných uživatelů. DoS útoky mohou využívat běžné internetové protokoly, jako jsou TCP a ICMP ( Internet Control Message Protocol).

Většina útoků DoS se nezaměřuje na softwarové chyby nebo bezpečnostní díry, ale spíše na obecné slabiny v architektuře systému. Některé útoky ochromují výkon sítě tím, že ji zahlcují nechtěnými a nepotřebnými pakety nebo zavádějícími informacemi o aktuálním stavu síťových zdrojů.

Tomuto typu útoku je obtížné zabránit, protože vyžaduje koordinaci s poskytovatelem. Pokud nezastavíte provoz určený k zahlcení vaší sítě u poskytovatele, pak to již nebudete moci udělat na vstupu do sítě, protože veškerá šířka pásma bude obsazena. Pokud je tento typ útoku prováděn současně prostřednictvím mnoha zařízení, hovoříme o distribuovaném DoS útoku (distribuovaný DoS, DDoS).

Hrozbu útoků DoS lze snížit třemi způsoby:

  • Funkce proti falšování. Správná konfigurace funkcí proti falšování na vašich routerech a firewallech pomůže snížit riziko DoS. Tyto funkce by měly zahrnovat minimálně filtrování RFC 2827. Pokud hacker nedokáže zamaskovat svou pravou identitu, je nepravděpodobné, že by provedl útok.
  • Anti-DoS funkce. Správná konfigurace funkcí anti-DoS na směrovačích a firewallech může omezit účinnost útoků. Tyto funkce často omezují počet napůl otevřených kanálů v daném okamžiku.
  • Omezení rychlosti provozu. Organizace může požádat svého poskytovatele internetových služeb (ISP), aby omezil objem provozu. Tento typ filtrování vám umožňuje omezit množství nekritického provozu, který prochází vaší sítí. Typickým příkladem je omezení objemu ICMP provozu, který se používá pouze pro diagnostické účely. (D)DoS útoky často využívají ICMP.

Útoky na hesla

Hackeři mohou provádět útoky na hesla pomocí řady metod, jako je útok hrubou silou, trojský kůň, IP spoofing a paketové sniffování. I když lze přihlašovací jméno a heslo často získat pomocí falšování IP adres a sniffování paketů, hackeři se často snaží uhodnout heslo a přihlásit se pomocí více pokusů o přístup. Tento přístup se nazývá jednoduché vyhledávání (útok hrubou silou).

Takový útok často používá speciální program, který se pokouší získat přístup k veřejnému zdroji (například serveru). Pokud je v důsledku toho hacker udělen přístup ke zdrojům, obdrží jej s právy běžného uživatele, jehož heslo bylo vybráno.

Pokud má tento uživatel významná přístupová práva, může si hacker vytvořit „průchod“ pro budoucí přístup, který zůstane platný, i když uživatel změní své heslo a přihlašovací jméno.

Další problém nastává, když uživatelé používají stejné (i velmi dobré) heslo pro přístup k mnoha systémům: podnikovým, osobním a internetovým systémům. Protože síla hesla se rovná síle nejslabšího hostitele, hacker, který se heslo naučí prostřednictvím tohoto hostitele, získá přístup ke všem ostatním systémům, kde se používá stejné heslo.

Útokům na hesla se lze vyhnout tím, že nebudete používat hesla ve formátu prostého textu. Jednorázová hesla a/nebo kryptografická autentizace mohou hrozbu takových útoků prakticky eliminovat. Bohužel ne všechny aplikace, hostitelé a zařízení podporují výše uvedené metody ověřování.

Při používání běžných hesel se snažte vymyslet takové, které by bylo těžké uhodnout. Minimální délka hesla musí být alespoň osm znaků. Heslo musí obsahovat velká písmena, čísla a speciální znaky (#, %, $ atd.).

Nejlepší hesla je těžké uhodnout a těžko si je zapamatovat, což nutí uživatele, aby si je zapisovali na papír. Aby se tomu zabránilo, mohou uživatelé a správci využít řadu nejnovějších technologických pokroků.

Existují například aplikační programy, které zašifrují seznam hesel, která lze uložit do kapesního počítače. Díky tomu si uživatel musí zapamatovat pouze jedno složité heslo, zatímco všechna ostatní aplikace spolehlivě ochrání.

Správce má několik metod, jak bojovat proti hádání hesel. Jedním z nich je použití nástroje L0phtCrack, který hackeři často využívají k hádání hesel v prostředí Windows NT. Tento nástroj vám rychle ukáže, zda lze snadno uhodnout uživatelem zvolené heslo. Pro více informací navštivte http://www.l0phtcrack.com/.

Man-in-the-Middle útoky

Pro útok typu Man-in-the-Middle potřebuje hacker přístup k paketům přenášeným po síti. Takový přístup ke všem paketům přenášeným od poskytovatele do jakékoli jiné sítě může získat např. zaměstnanec tohoto poskytovatele. Pro tento typ útoku se často používají sniffery paketů, transportní protokoly a směrovací protokoly.

Útoky jsou prováděny s cílem ukrást informace, zachytit aktuální relaci a získat přístup ke zdrojům privátní sítě, analyzovat provoz a získat informace o síti a jejích uživatelích, provádět DoS útoky, zkreslovat přenášená data a zadávat neoprávněné informace do síťových relací.

Proti útokům typu Man-in-the-Middle lze účinně bojovat pouze pomocí kryptografie. Pokud hacker zachytí data ze šifrované relace, na jeho obrazovce se neobjeví zachycená zpráva, ale nesmyslná sada znaků. Všimněte si, že pokud hacker získá informace o kryptografické relaci (například klíč relace), mohlo by to umožnit útok Man-in-the-Middle i v šifrovaném prostředí.

Útoky na aplikační úrovni

Útoky na úrovni aplikace lze provádět několika způsoby. Nejběžnější z nich je použití známých slabin serverového softwaru (sendmail, HTTP, FTP). Využitím těchto slabin mohou hackeři získat přístup k počítači jako uživatel spouštějící aplikaci (obvykle ne běžný uživatel, ale privilegovaný správce s přístupovými právy do systému).

Informace o útocích na úrovni aplikací jsou široce zveřejňovány, aby správci měli možnost opravit problém pomocí opravných modulů (záplat). Bohužel k těmto informacím má přístup i mnoho hackerů, což jim umožňuje se zlepšovat.

Hlavním problémem útoků na úrovni aplikací je to, že hackeři často používají porty, které mají povolený průchod přes firewall. Například hacker využívající známou slabinu webového serveru často použije port 80 při útoku TCP. Protože webový server poskytuje uživatelům webové stránky, musí firewall poskytnout přístup k tomuto portu. Z pohledu firewallu je útok považován za standardní provoz na portu 80.

Útoky na úrovni aplikací nelze zcela eliminovat. Hackeři neustále objevují a zveřejňují nové zranitelnosti v aplikačních programech na internetu. Nejdůležitější je zde dobrá správa systému. Zde jsou některá opatření, která můžete podniknout, abyste snížili svou zranitelnost vůči tomuto typu útoku:

  • číst soubory protokolu operačního systému a sítě a/nebo je analyzovat pomocí speciálních analytických aplikací;
  • Přihlaste se k odběru služby hlášení zranitelnosti aplikací: Bugtrad (http://www.securityfocus.com).

Síťová inteligence

Síťová inteligence označuje sběr síťových informací pomocí veřejně dostupných dat a aplikací. Při přípravě útoku proti síti se o ní hacker obvykle snaží získat co nejvíce informací. Průzkum sítě se provádí formou DNS dotazů, pingů a skenování portů.

Dotazy DNS vám pomohou pochopit, kdo vlastní konkrétní doménu a jaké adresy jsou této doméně přiřazeny. Ping na adresy odhalené DNS vám umožní zjistit, kteří hostitelé skutečně běží v daném prostředí. Po obdržení seznamu hostitelů hacker pomocí nástrojů pro skenování portů sestaví úplný seznam služeb podporovaných těmito hostiteli. Nakonec hacker analyzuje vlastnosti aplikací běžících na hostitelích. Díky tomu získá informace, které lze použít k hackování.

Úplně se zbavit síťové inteligence je nemožné. Pokud například zakážete ICMP echo a echo response na okrajových směrovačích, zbavíte se testování pingem, ale přijdete o data potřebná k diagnostice selhání sítě.

Kromě toho můžete skenovat porty bez předběžného testování pingem - zabere to jen více času, protože budete muset skenovat neexistující IP adresy. Systémy IDS na úrovni sítě a hostitele obvykle dobře informují správce o probíhajícím průzkumu sítě, což jim umožňuje lépe se připravit na nadcházející útok a upozornit poskytovatele služeb (ISP), v jehož síti je nainstalován systém, který vykazuje nadměrnou zvědavost. :

  1. používat nejnovější verze operačních systémů a aplikací a nejnovější opravné moduly (záplaty);
  2. Kromě správy systému používejte systémy detekce útoků (IDS) - dvě doplňkové technologie ID:
    • Network IDS System (NIDS) monitoruje všechny pakety procházející určitou doménou. Když systém NIDS vidí paket nebo sérii paketů odpovídajících signaturám známého nebo pravděpodobného útoku, vygeneruje poplach a/nebo ukončí relaci;
    • Systém IDS (HIDS) chrání hostitele pomocí softwarových agentů. Tento systém bojuje proti útokům pouze proti jednomu hostiteli.

Systémy IDS při své práci využívají signatury útoků, což jsou profily konkrétních útoků nebo typů útoků. Podpisy definují podmínky, za kterých je provoz považován za hackera. Analogy IDS ve fyzickém světě lze považovat za varovný systém nebo sledovací kameru.

Největší nevýhodou IDS je jejich schopnost generovat alarmy. Pro minimalizaci počtu falešných poplachů a zajištění správného fungování systému IDS v síti je nutná pečlivá konfigurace systému.

Porušení důvěry

Přísně vzato, tento typ akce není v plném smyslu slova útokem nebo přepadením. Představuje škodlivé zneužití důvěryhodných vztahů, které existují v síti. Klasickým příkladem takového zneužívání je situace v periferní části podnikové sítě.

Tento segment často obsahuje servery DNS, SMTP a HTTP. Protože všechny patří do stejného segmentu, hackování kteréhokoli z nich vede k hacknutí všech ostatních, protože tyto servery důvěřují jiným systémům ve své síti.

Dalším příkladem je systém nainstalovaný na vnější straně brány firewall, který má vztah důvěryhodnosti se systémem nainstalovaným uvnitř brány firewall. Pokud dojde ke kompromitaci externího systému, může hacker použít vztah důvěryhodnosti k proniknutí do systému chráněného firewallem.

Riziko porušení důvěry lze snížit přísnější kontrolou úrovní důvěry ve vaší síti. Systémy umístěné mimo firewall by nikdy neměly mít absolutní důvěru od systémů chráněných firewallem.

Vztahy důvěryhodnosti by měly být omezeny na konkrétní protokoly a pokud možno ověřeny jinými parametry než IP adresami.

Přesměrování portů

Přesměrování portů je forma zneužití důvěry, při které se kompromitovaný hostitel používá k procházení provozu přes bránu firewall, která by byla jinak odmítnuta. Představme si firewall se třemi rozhraními, z nichž každé je připojeno ke konkrétnímu hostiteli.

Externí hostitel se může připojit ke sdílenému hostiteli (DMZ), ale ne k hostiteli nainstalovanému uvnitř brány firewall. Sdílený hostitel se může připojit k internímu i externímu hostiteli. Pokud hacker převezme sdílený hostitel, může na něj nainstalovat software, který přesměruje provoz z externího hostitele přímo na interní.

Ačkoli to neporušuje žádné z pravidel na obrazovce, externí hostitel získá přímý přístup k chráněnému hostiteli v důsledku přesměrování. Příkladem aplikace, která může takový přístup poskytnout, je netcat. Více informací naleznete na http://www.avian.org.

Hlavním způsobem boje proti přesměrování portů je použití modelů silné důvěry (viz předchozí část). Kromě toho může hostitelský IDS systém (HIDS) zabránit hackerovi v instalaci jeho softwaru na hostitele.

Neoprávněný přístup

Neoprávněný přístup nelze identifikovat jako samostatný typ útoku, protože většina síťových útoků je prováděna právě za účelem získání neoprávněného přístupu. Aby mohl hacker uhodnout přihlášení k Telnetu, musí nejprve získat nápovědu Telnetu na svůj systém. Po připojení k portu Telnet se zobrazí zpráva „vyžaduje autorizaci k použití tohoto zdroje“ („ K použití tohoto zdroje je vyžadována autorizace.»).

Pokud se hacker bude i poté pokoušet o přístup, bude považován za neoprávněného. Zdroj takových útoků může být buď uvnitř sítě, nebo mimo ni.

Metody boje proti neoprávněnému přístupu jsou poměrně jednoduché. Zde jde především o to, aby se snížila nebo úplně eliminovala možnost hackera získat přístup do systému pomocí neautorizovaného protokolu.

Jako příklad zvažte zabránění hackerům v přístupu k portu Telnet na serveru, který poskytuje webové služby externím uživatelům. Bez přístupu k tomuto portu na něj hacker nebude moci zaútočit. Pokud jde o firewall, jeho hlavním úkolem je zabránit nejjednodušším pokusům o neoprávněný přístup.

Aplikace virů a trojských koní

Pracovní stanice koncových uživatelů jsou velmi zranitelné vůči virům a trojským koním. Viry jsou škodlivé programy, které se vkládají do jiných programů, aby na pracovní stanici koncového uživatele provedly určitou nežádoucí funkci. Příkladem je virus, který je zapsán v souboru command.com (hlavní interpret systémů Windows) a maže další soubory a také infikuje všechny ostatní verze command.com, které najde.

Trojský kůň není softwarová vložka, ale skutečný program, který se na první pohled zdá být užitečnou aplikací, ale ve skutečnosti hraje škodlivou roli. Příkladem typického trojského koně je program, který vypadá jako jednoduchá hra na pracovní stanici uživatele.

Zatímco však uživatel hraje hru, program odešle svou kopii e-mailem každému předplatiteli v adresáři tohoto uživatele. Všichni předplatitelé obdrží hru poštou, což způsobí její další distribuci.

Tento článek je určen pro ty, kteří se poprvé potýkají s potřebou vytvořit vzdálené připojení k databázi MySQL. Článek hovoří o potížích, které...

Téměř každá registrační stránka má formulář „Zapamatovat heslo“, s jehož pomocí můžete získat zapomenuté heslo nikoli e-mailem. Odeslání hesla není zcela bezpečné...

Existuje obrovské množství různých konfigurací počítačů, operačních systémů a síťových zařízení, to se však nestává překážkou pro přístup do globální sítě. Tato situace byla umožněna díky univerzálnímu síťovému protokolu TCP/IP, který stanovuje určité standardy a pravidla pro přenos dat přes internet. Bohužel tato univerzálnost vedla k tomu, že počítače používající tento protokol se staly zranitelnými vůči vnějším vlivům, a protože protokol TCP/IP je používán na všech počítačích připojených k internetu, útočníci nepotřebují vyvíjet individuální prostředky pro přístup k cizím stroje.

Síťový útok je pokus o ovlivnění vzdáleného počítače pomocí softwarových metod. Účelem síťového útoku je zpravidla porušení důvěrnosti dat, tedy krádež informací. Kromě toho jsou síťové útoky prováděny za účelem získání přístupu k počítači někoho jiného a následné změně souborů na něm umístěných.

Existuje několik typů klasifikace síťových útoků. Jeden z nich je založen na principu vlivu. Pasivní síťové útoky jsou zaměřeny na získání důvěrných informací ze vzdáleného počítače. Takové útoky například zahrnují čtení příchozích a odchozích e-mailových zpráv. Pokud jde o aktivní síťové útoky, jejich úkolem je nejen přístup k určitým informacím, ale také jejich modifikace. Jedním z nejvýznamnějších rozdílů mezi těmito typy útoků je, že pasivní rušení je téměř nemožné detekovat, zatímco účinky aktivního útoku jsou obvykle patrné.

Kromě toho jsou útoky klasifikovány podle toho, k jakým cílům slouží. Mezi hlavní úkoly zpravidla patří narušení provozu počítače, neoprávněný přístup k informacím a skrytá úprava dat uložených v počítači. Například hackování školního serveru za účelem změny známek v časopisech je klasifikováno jako aktivní síťový útok třetího typu.

Ochranné technologie

Metody ochrany před síťovými útoky jsou neustále vyvíjeny a zdokonalovány, ale žádná z nich neposkytuje úplnou záruku. Faktem je, že jakákoli statická obrana má slabiny, protože není možné chránit se proti všemu najednou. Dynamické metody ochrany, jako jsou statistické, expertní, fuzzy logické a neuronové sítě, mají také své slabiny, protože jsou založeny především na analýze podezřelých akcí a jejich porovnávání se známými metodami síťových útoků. V důsledku toho většina obranných systémů ustupuje neznámým typům útoků a začíná odrážet průnik příliš pozdě. Moderní bezpečnostní systémy však útočníkovi natolik znesnadňují přístup k datům, že je racionálnější hledat jinou oběť.



Oblíbené v kategorii:
Jak zkombinovat vrstvy ve Photoshopu do jedné nebo je spojit do skupiny Jak zkombinovat několik vrstev ve Photoshopu
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny...
číst
Přeneste kontakty do nového telefonu Android
Přeneste kontakty do nového telefonu Android
číst
Samsung Galaxy se restartuje sám – Solutions Galaxy note 4 se restartuje sám
Samsung Galaxy se sám restartuje – řešení Galaxy Note...
číst
Klíčové vlastnosti Kaspersky Rescue Disk
Klíčové vlastnosti Kaspersky Rescue Disk
číst

Nejnovější články
MacBook se nepřipojí k wifi MacBook nevidí...
číst
Jak vydělat peníze na WebMoney
číst
Tablet "Supra": recenze zákazníků
číst
Umístění lodí v reálném čase
číst
Nejlepší programy pro Android Záznam hovorů z...
číst
Odebírání nesledujících na Twitteru
číst
Připojení k internetu na notebooku: všechny možné...
číst
Samsung Galaxy S IV je nová vlajková loď...
číst
Nahoru