mājas › Tālrunis › Atklāto tīkla uzbrukumu veidi. Tīkla uzbrukumu veidi

Atklāto tīkla uzbrukumu veidi. Tīkla uzbrukumu veidi

Ir četras galvenās uzbrukumu kategorijas:

· piekļuves uzbrukumi;

· modifikācijas uzbrukumi;

· pakalpojumu liegšanas uzbrukumi;

· uzbrukumi atrunai.

Apskatīsim katru kategoriju tuvāk. Ir daudz veidu, kā veikt uzbrukumus: izmantojot īpaši izstrādātus rīkus, sociālās inženierijas metodes un datorsistēmu ievainojamības. Sociālajā inženierijā tehniskie līdzekļi netiek izmantoti, lai iegūtu nesankcionētu piekļuvi sistēmai. Uzbrucējs iegūst informāciju, izmantojot vienkāršu telefona zvanu vai iekļūst organizācijā darbinieka aizsegā. Šāda veida uzbrukumi ir vispostošākie.

Uzbrukumiem, kuru mērķis ir iegūt elektroniski glabātu informāciju, ir viena interesanta iezīme: informācija netiek zagta, bet gan kopēta. Tas paliek sākotnējam īpašniekam, bet to saņem arī uzbrucējs. Tādējādi informācijas īpašnieks cieš zaudējumus, un ir ļoti grūti noteikt brīdi, kad tas noticis.

Piekļuves uzbrukumi

Piekļuves uzbrukums ir uzbrucēja mēģinājums iegūt informāciju, kuras apskatei viņam nav atļaujas. Šāds uzbrukums ir iespējams visur, kur ir informācija un līdzekļi tās pārraidīšanai. Piekļuves uzbrukums ir vērsts uz informācijas konfidencialitātes pārkāpšanu. Izšķir šādus piekļuves uzbrukumu veidus:

· lūrēšana;

· noklausīšanās;

· pārtveršana.

Lūrēšana(snooping) ir failu vai dokumentu skatīšana, lai meklētu uzbrucēju interesējošo informāciju. Ja dokumenti tiek glabāti izdruku veidā, tad uzbrucējs atvērs rakstāmgalda atvilktnes un rakās pa tām. Ja informācija atrodas datorsistēmā, viņš izskatīs failu pēc faila, līdz atradīs vajadzīgo informāciju.

Noklausīšanās(noklausīšanās) ir tādas sarunas neatļauta noklausīšanās, kurā uzbrucējs nav tās dalībnieks. Lai iegūtu nesankcionētu piekļuvi informācijai, šajā gadījumā uzbrucējam jābūt tās tuvumā. Ļoti bieži viņš izmanto elektroniskās ierīces. Bezvadu tīklu ieviešana ir palielinājusi veiksmīgas noklausīšanās iespējamību. Tagad uzbrucējam nav jāatrodas sistēmā vai fiziski jāsavieno noklausīšanās ierīce ar tīklu.

Atšķirībā no noklausīšanās pārtveršana(pārtveršana) ir aktīvs uzbrukums. Uzbrucējs uztver informāciju, kad tā tiek pārsūtīta uz galamērķi. Pēc informācijas analīzes viņš pieņem lēmumu atļaut vai aizliegt tās tālāku izplatīšanu.

Piekļuves uzbrukumiem ir dažādas formas atkarībā no tā, kā informācija tiek glabāta: kā papīra dokumenti vai elektroniski datorā. Ja uzbrucējam nepieciešamā informācija tiek glabāta papīra dokumentos, viņam būs nepieciešama piekļuve šiem dokumentiem. Tos var atrast šādās vietās: dokumentu skapjos, atvilktnēs vai uz galdiem, faksa aparātā vai printerī miskastē, arhīvā. Tāpēc uzbrucējam ir fiziski jāievada visās šajās vietās.

Tādējādi fiziska piekļuve ir datu iegūšanas atslēga. Jāņem vērā, ka uzticama telpu aizsardzība pasargās datus tikai no nepiederošām personām, bet ne no organizācijas darbiniekiem vai iekšējiem lietotājiem.

Informācija tiek glabāta elektroniski: darbstacijās, serveros, portatīvajos datoros, disketēs, kompaktdiskos, rezerves magnētiskajās lentēs.

Uzbrucējs var vienkārši nozagt datu nesēju (disketi, kompaktdisku, dublējuma lenti vai klēpjdatoru). Dažreiz to ir vieglāk izdarīt nekā piekļūt datoros saglabātajiem failiem.

Ja uzbrucējam ir likumīga piekļuve sistēmai, viņš analizēs failus, vienkārši atverot tos pa vienam. Ar pareizu atļauju kontroli nelegālam lietotājam piekļuve tiks liegta un piekļuves mēģinājumi tiks reģistrēti žurnālos.

Pareizi konfigurētas atļaujas novērsīs nejaušu informācijas noplūdi. Tomēr nopietns uzbrucējs mēģinās apiet kontroles sistēmu un piekļūt nepieciešamajai informācijai. Ir liels skaits ievainojamību, kas viņam palīdzēs.

Kad informācija iet caur tīklu, tai var piekļūt, klausoties pārraidi. Uzbrucējs to dara, datorsistēmā instalējot tīkla pakešu analizatoru (sniffer). Parasti tas ir dators, kas konfigurēts, lai uztvertu visu tīkla trafiku (ne tikai trafiku, kas paredzēts šim datoram). Lai to izdarītu, uzbrucējam ir jāpalielina sava autoritāte sistēmā vai jāpievienojas tīklam. Analizators ir konfigurēts, lai uztvertu visu informāciju, kas iet caur tīklu, bet jo īpaši lietotāju ID un paroles.

Noklausīšanās tiek veikta arī globālajos datortīklos, piemēram, nomātajās līnijās un telefona pieslēgumos. Tomēr šāda veida pārtveršanai ir nepieciešams atbilstošs aprīkojums un īpašas zināšanas.

Pārtveršana ir iespējama pat optiskās šķiedras sakaru sistēmās, izmantojot specializētu aprīkojumu, ko parasti veic prasmīgs uzbrucējs.

Piekļuve informācijai, izmantojot pārtveršanu, ir viens no grūtākajiem uzbrucēja uzdevumiem. Lai gūtu panākumus, viņam ir jāievieto sava sistēma pārvades līnijās starp informācijas sūtītāju un saņēmēju. Internetā tas tiek darīts, mainot nosaukuma izšķirtspēju, kā rezultātā datora nosaukums tiek pārveidots par nepareizu adresi. Satiksme tiek novirzīta uz uzbrucēja sistēmu, nevis faktisko galamērķa mezglu. Ja šāda sistēma ir atbilstoši konfigurēta, sūtītājs nekad neuzzinās, ka viņa informācija nav sasniegusi adresātu.

Pārtveršana ir iespējama arī derīgas saziņas sesijas laikā. Šis uzbrukuma veids ir vislabāk piemērots interaktīvās datplūsmas nolaupīšanai. Šajā gadījumā uzbrucējam jāatrodas tajā pašā tīkla segmentā, kur atrodas klients un serveris. Uzbrucējs gaida, kamēr likumīgs lietotājs atvērs sesiju serverī, un pēc tam, izmantojot specializētu programmatūru, nolaupa sesiju, kamēr tā darbojas.

Modifikācijas uzbrukumi

Modifikācijas uzbrukums ir mēģinājums nesankcionēti mainīt informāciju. Šāds uzbrukums ir iespējams visur, kur informācija pastāv vai tiek pārraidīta. Tā mērķis ir pārkāpt informācijas integritāti.

Viens modifikācijas uzbrukuma veids ir nomaiņa esošā informācija, piemēram, darbinieka algas izmaiņas. Aizstāšanas uzbrukuma mērķis ir gan slepena, gan publiska informācija.

Cits uzbrukuma veids ir papildinājums jaunus datus, piemēram, informācijā par pagātnes periodu vēsturi. Šajā gadījumā uzbrucējs veic darījumu banku sistēmā, kā rezultātā līdzekļi no klienta konta tiek pārvietoti uz viņa kontu.

Uzbrukums noņemšana nozīmē esošo datu pārvietošanu, piemēram, darījuma ieraksta atcelšanu no bankas bilances, atstājot no konta izņemtos līdzekļus kontā.

Tāpat kā piekļuves uzbrukumi, modifikācijas uzbrukumi tiek veikti pret informāciju, kas saglabāta papīra dokumentos vai elektroniski datorā.

Ir grūti nomainīt dokumentus, nevienam nemanot: ja ir paraksts (piemēram, līgumā), jāparūpējas, lai to viltotu, un rūpīgi jāsaliek aizzīmogotais dokuments. Ja ir dokumenta kopijas, arī tās ir jāpārtaisa, tāpat kā oriģināls. Un tā kā visas kopijas ir gandrīz neiespējami atrast, viltojumu ir ļoti viegli pamanīt.

Ir ļoti grūti pievienot vai noņemt ierakstus no darbību žurnāliem. Pirmkārt, informācija tajos ir sakārtota hronoloģiskā secībā, tāpēc jebkuras izmaiņas būs uzreiz pamanāmas. Labākais veids ir izņemt dokumentu un aizstāt to ar jaunu. Šāda veida uzbrukumiem nepieciešama fiziska piekļuve informācijai.

Daudz vienkāršāk ir modificēt elektroniski uzglabāto informāciju. Ņemot vērā, ka uzbrucējam ir piekļuve sistēmai, šāda darbība atstāj aiz sevis minimālu pierādījumu. Ja nav autorizētas piekļuves failiem, uzbrucējam vispirms ir jānodrošina pieteikšanās sistēmā vai jāmaina failu piekļuves kontroles iestatījumi.

Datu bāzes failu vai darījumu sarakstu modificēšana jāveic ļoti uzmanīgi. Darījumi tiek numurēti secīgi, un nepareizu darījumu numuru noņemšana vai pievienošana tiks atzīmēta. Šādos gadījumos visā sistēmā ir jāveic apjomīgs darbs, lai novērstu atklāšanu.

33. lekcija Tīkla uzbrukumu veidi un veidi

33. lekcija

Tēma: Tīkla uzbrukumu veidi un veidi

Attālināts tīkla uzbrukums ir informācijas destruktīva ietekme uz izplatīto skaitļošanas sistēmu, kas tiek veikta programmatiski, izmantojot sakaru kanālus.

Ievads

Sakaru organizēšanai neviendabīgā tīkla vidē tiek izmantots TCP/IP protokolu komplekts, kas nodrošina savietojamību starp dažāda veida datoriem. Šis protokolu komplekts ir guvis popularitāti, pateicoties tā savietojamībai un piekļuves nodrošināšanai globālā interneta resursiem, un ir kļuvis par standartu internetam. Tomēr TCP/IP protokolu kaudzes visuresamība ir atklājusi arī tās nepilnības. Īpaši tādēļ izkliedētās sistēmas ir uzņēmīgas pret attāliem uzbrukumiem, jo to komponenti parasti izmanto atvērtus datu pārraides kanālus, un uzbrucējs var ne tikai pasīvi noklausīties pārsūtīto informāciju, bet arī modificēt pārraidīto trafiku.

Attālināta uzbrukuma noteikšanas grūtības un relatīvā ieviešanas vienkāršība (mūsdienu sistēmu liekās funkcionalitātes dēļ) izvirza šāda veida nelikumīgas darbības pirmajā vietā bīstamības pakāpes ziņā un novērš savlaicīgu reaģēšanu uz draudiem. kā rezultātā uzbrucējs palielina izredzes veiksmīgi īstenot uzbrukumu.

Uzbrukumu klasifikācija

Pēc ietekmes rakstura

Pasīvs

Aktīvs

Pasīvā ietekme uz sadalīto skaitļošanas sistēmu (DCS) ir kāda ietekme, kas tieši neietekmē sistēmas darbību, bet tajā pašā laikā var pārkāpt tās drošības politiku. Tiešas ietekmes trūkums uz RVS darbību tieši noved pie tā, ka pasīvā attālinātā ietekme (RPI) ir grūti konstatējama. Iespējamais tipiska PUV piemērs DCS ir sakaru kanāla klausīšanās tīklā.

Aktīva ietekme uz DCS - ietekme, kas tieši ietekmē pašas sistēmas darbību (funkcionalitātes pasliktināšanās, DCS konfigurācijas maiņa utt.), kas pārkāpj tajā pieņemto drošības politiku. Gandrīz visi attālo uzbrukumu veidi ir aktīva ietekme. Tas ir saistīts ar faktu, ka kaitīgās iedarbības būtība ietver aktīvo vielu. Skaidra atšķirība starp aktīvo ietekmi un pasīvo ietekmi ir tās noteikšanas pamatiespēja, jo tās ieviešanas rezultātā sistēmā notiek dažas izmaiņas. Ar pasīvu ietekmi nepaliek nekādas pēdas (tā kā uzbrucējs sistēmā aplūko kāda cita ziņojumu, tajā pašā brīdī nekas nemainīsies).

Pēc ietekmes mērķa

Sistēmas darbības pārkāpums (piekļuve sistēmai)

Informācijas resursu integritātes (IR) pārkāpums

IR konfidencialitātes pārkāpums

Šī īpašība, pēc kuras tiek veikta klasifikācija, būtībā ir tieša trīs pamata draudu veida projekcija - pakalpojuma atteikums, izpaušana un integritātes pārkāpums.

Gandrīz jebkura uzbrukuma galvenais mērķis ir iegūt nesankcionētu piekļuvi informācijai. Ir divas galvenās informācijas iegūšanas iespējas: izkropļošana un pārtveršana. Iespēja pārtvert informāciju nozīmē piekļūt tai bez iespējas to mainīt. Tādējādi informācijas pārtveršana izraisa tās konfidencialitātes pārkāpumu. Informācijas pārtveršanas piemērs ir kanāla klausīšanās tīklā. Šajā gadījumā ir neleģitīma piekļuve informācijai bez iespējamām iespējām to aizstāt. Tāpat ir acīmredzams, ka informācijas konfidencialitātes pārkāpums attiecas uz pasīvu ietekmi.

Informācijas aizstāšanas iespēja ir jāsaprot vai nu kā pilnīga kontrole pār informācijas plūsmu starp sistēmas objektiem, vai arī spēja pārsūtīt dažādus ziņojumus kāda cita vārdā. Tāpēc ir skaidrs, ka informācijas aizstāšana noved pie tās integritātes pārkāpuma. Šāda informācijas destruktīva ietekme ir tipisks aktīvas ietekmes piemērs. Attālināta uzbrukuma piemērs, kas paredzēts, lai pārkāptu informācijas integritāti, ir “False RVS object” attālais uzbrukums (RA).

Pamatojoties uz atgriezeniskās saites klātbūtni no uzbrukuma objekta

Ar atsauksmēm

Nav atgriezeniskās saites (vienvirziena uzbrukums)

Uzbrucējs nosūta dažus pieprasījumus uzbrūkošajam objektam, uz ko viņš sagaida atbildi. Līdz ar to starp uzbrucēju un uzbrūkošo parādās atgriezeniskā saite, ļaujot pirmajam adekvāti reaģēt uz visa veida izmaiņām uzbrūkošajā objektā. Tā ir attālināta uzbrukuma būtība, kas tiek veikta, ja ir atgriezeniskā saite no uzbrūkošā objekta. Šādi uzbrukumi ir raksturīgākie RVS.

Atvērtā cikla uzbrukumiem ir raksturīgs tas, ka tiem nav jāreaģē uz uzbrukuma objekta izmaiņām. Šādi uzbrukumi parasti tiek veikti, nosūtot atsevišķus pieprasījumus uzbrukuma objektam. Uzbrucējam nav vajadzīgas atbildes uz šiem pieprasījumiem. Šādu UA var saukt arī par vienvirziena UA. Vienvirziena uzbrukumu piemērs ir tipisks DoS uzbrukums.

Atbilstoši trieciena sākuma stāvoklim

Attālināta ietekme, tāpat kā jebkura cita, var sākties tikai noteiktos apstākļos. RVS ir trīs šādu nosacītu uzbrukumu veidi:

Uzbrukums pēc uzbrukuma objekta pieprasījuma

Uzbrukums, iestājoties sagaidāmam notikumam uzbrukuma objektam

Beznosacījumu uzbrukums

Ietekme no uzbrucēja sāksies ar nosacījumu, ka potenciālais uzbrukuma mērķis pārsūtīs noteikta veida pieprasījumu. Šādu uzbrukumu var saukt par uzbrukumu pēc uzbrukuma objekta pieprasījuma. Šis UA veids ir raksturīgākais RVS. Šādu pieprasījumu piemērs internetā ir DNS un ARP pieprasījumi, bet Novell NetWare - SAP pieprasījums.

Uzbrukums, iestājoties sagaidāmam notikumam uzbrukuma objektam. Uzbrucējs nepārtraukti uzrauga uzbrukuma attālā mērķa OS stāvokli un sāk ietekmēt, kad šajā sistēmā notiek konkrēts notikums. Pats uzbrukuma objekts ir uzbrukuma iniciators. Šāda notikuma piemērs varētu būt, ja lietotāja sesija ar serveri tiek pārtraukta, neizdodot komandu LOGOUT programmā Novell NetWare.

Beznosacījumu uzbrukums tiek veikts nekavējoties un neatkarīgi no operētājsistēmas un uzbrukuma objekta stāvokļa. Tāpēc uzbrucējs šajā gadījumā ir uzbrukuma iniciators.

Ja tiek traucēta normāla sistēmas darbība, tiek sasniegti citi mērķi un nav sagaidāms, ka uzbrucējs iegūs nelikumīgu piekļuvi datiem. Tās mērķis ir atspējot OS uz uzbrukuma objektu un padarīt neiespējamu citiem sistēmas objektiem piekļuvi šī objekta resursiem. Šāda veida uzbrukuma piemērs ir DoS uzbrukums.

Pēc uzbrukuma objekta atrašanās vietas attiecībā pret uzbrukuma objektu

Intrasegmentāls

Starpsegmentāls

Dažas definīcijas:

Uzbrukuma avots (uzbrukuma priekšmets) ir programma (iespējams, operators), kas vada uzbrukumu un kam ir tieša ietekme.

Host - dators, kas ir tīkla elements.

Maršrutētājs ir ierīce, kas maršrutē paketes tīklā.

Apakštīkls ir resursdatoru grupa, kas ir daļa no globālā tīkla un atšķiras ar to, ka maršrutētājs tiem piešķir vienu un to pašu apakštīkla numuru. Mēs varam arī teikt, ka apakštīkls ir loģiska saimniekdatoru asociācija, izmantojot maršrutētāju. Viena apakštīkla resursdatori var sazināties tieši viens ar otru, neizmantojot maršrutētāju.

Tīkla segments ir saimniekdatoru kombinācija fiziskā līmenī.

No attālinātā uzbrukuma viedokļa ārkārtīgi svarīga ir uzbrukuma subjekta un objekta relatīvā atrašanās vieta, tas ir, vai tie atrodas dažādos vai identiskos segmentos. Segmenta iekšējā uzbrukuma laikā uzbrukuma subjekts un mērķis atrodas vienā segmentā. Starpsegmentu uzbrukuma gadījumā uzbrukuma subjekts un mērķis atrodas dažādos tīkla segmentos. Šī klasifikācijas iezīme ļauj spriest par tā saukto uzbrukuma “attāluma pakāpi”.

Tālāk tiks parādīts, ka segmenta iekšējo uzbrukumu ir daudz vieglāk veikt nekā starpsegmentu uzbrukumu. Mēs arī atzīmējam, ka starpsegmentu attālināts uzbrukums rada daudz lielākas briesmas nekā segmenta iekšējais uzbrukums. Tas ir saistīts ar to, ka starpsegmentu uzbrukuma gadījumā mērķis un uzbrucējs var atrasties daudzu tūkstošu kilometru attālumā viens no otra, kas var būtiski kavēt pasākumus uzbrukuma atvairīšanai.

Atbilstoši ISO/OSI atsauces modeļa līmenim, kurā tiek veikta ietekme

Fiziskā

Kanāls

Tīkls

Transports

Sesija

Pārstāvis

Pielietots

Starptautiskā standartizācijas organizācija (ISO) pieņēma ISO 7498 standartu, kas apraksta atvērto sistēmu savstarpējo savienojumu (OSI), pie kura pieder arī RBC. Katru tīkla sakaru protokolu, kā arī katru tīkla programmu vienā vai otrā veidā var projicēt uz OSI atsauces 7 slāņu modeli. Šī daudzlīmeņu projekcija ļauj aprakstīt tīkla protokolā vai programmā izmantotās funkcijas, izmantojot OSI modeli. UA ir tīkla programma, un ir loģiski to aplūkot no projekcijas viedokļa uz ISO/OSI atsauces modeli.

Dažu tīkla uzbrukumu īss apraksts

Datu sadrumstalotība

Kad IP datu pakete tiek pārsūtīta tīklā, paketi var sadalīt vairākos fragmentos. Pēc tam, sasniedzot galamērķi, pakete tiek rekonstruēta no šiem fragmentiem. Uzbrucējs var sākt liela skaita fragmentu nosūtīšanu, kas izraisa programmatūras buferu pārpildīšanu saņēmējā pusē un dažos gadījumos sistēmas avāriju.

Ping plūdu uzbrukums

Šim uzbrukumam uzbrucējam ir jābūt piekļuvei ātriem interneta kanāliem.

Ping programma nosūta ECHO REQUEST tipa ICMP paketi, iestatot tajā laiku un tā identifikatoru. Saņēmējas mašīnas kodols atbild uz šādu pieprasījumu ar ICMP ECHO REPLY paketi. Saņemot to, ping parāda paketes ātrumu.

Standarta darbības režīmā paketes tiek sūtītas ar regulāriem intervāliem, praktiski bez tīkla slodzes. Bet "agresīvā" režīmā ICMP atbalss pieprasījumu/atbilžu pakešu plūdi var radīt pārslodzes uz mazas līnijas, neļaujot tai pārraidīt noderīgu informāciju.

Nestandarta protokoli, kas iekapsulēti IP

IP pakete satur lauku, kas norāda iekapsulētās paketes protokolu (TCP, UDP, ICMP). Uzbrucēji var izmantot nestandarta šī lauka vērtību, lai pārsūtītu datus, kas netiks ierakstīti ar standarta informācijas plūsmas kontroles rīkiem.

Smurfu uzbrukums

Smurfu uzbrukums ietver apraides ICMP pieprasījumu nosūtīšanu tīklam cietušā datora vārdā.

Rezultātā datori, kuri ir saņēmuši šādas apraides paketes, reaģē uz upura datoru, kas izraisa ievērojamu sakaru kanāla caurlaidspējas samazināšanos un dažos gadījumos uzbrukuma tīkla pilnīgu izolāciju. Smurfu uzbrukums ir ārkārtīgi efektīvs un plaši izplatīts.

Pretdarbība: lai atpazītu šo uzbrukumu, ir jāanalizē kanāla noslodze un jānosaka caurlaidspējas samazināšanās iemesli.

DNS viltošanas uzbrukums

Šī uzbrukuma rezultāts ir piespiedu korespondence starp IP adresi un domēna nosaukumu DNS servera kešatmiņā. Veiksmīga uzbrukuma rezultātā visi DNS servera lietotāji saņems nepareizu informāciju par domēna vārdiem un IP adresēm. Šo uzbrukumu raksturo liels skaits DNS pakešu ar vienādu domēna nosaukumu. Tas ir saistīts ar nepieciešamību atlasīt dažus DNS apmaiņas parametrus.

Pretdarbība: lai noteiktu šādu uzbrukumu, ir jāanalizē DNS trafika saturs vai jāizmanto DNSSEC.

IP viltošanas uzbrukums

Liels skaits uzbrukumu internetā ir saistīti ar avota IP adreses viltošanu. Šādi uzbrukumi ietver arī syslog viltošanu, kas ietver ziņojuma nosūtīšanu cietušajam datoram cita iekšējā tīklā esošā datora vārdā. Tā kā sistēmas žurnālu uzturēšanai tiek izmantots syslog protokols, nosūtot upura datoram viltus ziņojumus, ir iespējams izraisīt informāciju vai slēpt nesankcionētas piekļuves pēdas.

Pretpasākumi: ar IP adrešu viltošanu saistītu uzbrukumu noteikšana ir iespējama, uzraugot paketes saņemšanu vienā no saskarnēm ar tās pašas saskarnes avota adresi vai uzraugot pakešu saņemšanu ar iekšējā tīkla IP adresēm ārējā saskarnē .

Pakas uzlikšana

Uzbrucējs tīklā nosūta paketes ar nepatiesu atgriešanas adresi. Izmantojot šo uzbrukumu, uzbrucējs var pārslēgt izveidotos savienojumus starp citiem datoriem uz savu datoru. Šajā gadījumā uzbrucēja piekļuves tiesības kļūst vienādas ar tā lietotāja tiesībām, kura savienojums ar serveri tika pārslēgts uz uzbrucēja datoru.

Šņaukšana — kanāla klausīšanās

Iespējama tikai lokālā tīkla segmentā.

Gandrīz visas tīkla kartes atbalsta iespēju pārtvert paketes, kas tiek pārraidītas pa kopīgu lokālā tīkla kanālu. Šajā gadījumā darbstacija var saņemt paketes, kas adresētas citiem datoriem tajā pašā tīkla segmentā. Tādējādi visa informācijas apmaiņa tīkla segmentā kļūst pieejama uzbrucējam. Lai veiksmīgi īstenotu šo uzbrukumu, uzbrucēja datoram ir jāatrodas tajā pašā lokālā tīkla segmentā, kurā atrodas dators, kuram uzbrūk.

Pakešu pārtveršana maršrutētājā

Maršrutētāja tīkla programmatūrai ir piekļuve visām tīkla paketēm, kas tiek nosūtītas caur maršrutētāju, ļaujot pārtvert pakešu. Lai veiktu šo uzbrukumu, uzbrucējam ir jābūt priviliģētai piekļuvei vismaz vienam tīkla maršrutētājam. Tā kā tik daudz pakešu parasti tiek pārsūtītas caur maršrutētāju, to pilnīga pārtveršana ir gandrīz neiespējama. Tomēr atsevišķas paketes var pārtvert un uzglabāt vēlākai analīzei, ko veic uzbrucējs. Visefektīvākā FTP pakešu, kas satur lietotāju paroles, kā arī e-pasta pārtveršana.

Viltus maršruta piespiešana saimniekdatoram, izmantojot ICMP

Internetā ir īpašs protokols ICMP (Internet Control Message Protocol), kura viena no funkcijām ir informēt saimniekus par pašreizējā maršrutētāja maiņu. Šo vadības ziņojumu sauc par novirzīšanu. Ir iespējams nosūtīt viltus pāradresācijas ziņojumu no jebkura tīkla segmenta resursdatora maršrutētāja vārdā uz uzbrukuma resursdatoru. Rezultātā mainās resursdatora pašreizējā maršrutēšanas tabula, un turpmāk visa šī resursdatora tīkla trafika tiks nodota, piemēram, caur resursdatoru, kas nosūtīja viltus novirzīšanas ziņojumu. Tādā veidā ir iespējams aktīvi uzspiest viltus maršrutu vienā interneta segmentā.

Līdztekus parastajiem datiem, kas tiek nosūtīti, izmantojot TCP savienojumu, standarts nodrošina arī steidzamu (Out Of Band) datu pārraidi. TCP pakešu formātu līmenī tas tiek izteikts kā steidzams rādītājs, kas nav nulle. Lielākajai daļai datoru ar instalētu Windows ir NetBIOS tīkla protokols, kas savām vajadzībām izmanto trīs IP portus: 137, 138, 139. Ja izveidojat savienojumu ar Windows datoru, izmantojot portu 139 un nosūtāt vairākus baitus OutOfBand datu, tad NetBIOS ieviešana nezinot, ko darīt ar šiem datiem, tas vienkārši uzkaras vai pārstartē mašīnu. Operētājsistēmā Windows 95 tas parasti izskatās kā zils teksta ekrāns, kas norāda uz kļūdu TCP/IP draiverī un nespēju strādāt ar tīklu līdz operētājsistēmas atsāknēšanai. NT 4.0 bez servisa pakotnēm tiek atsāknēts, NT 4.0 ar ServicePack 2 pakotni avarē zilā ekrānā. Spriežot pēc informācijas no tīkla, gan Windows NT 3.51, gan Windows 3.11 for Workgroups ir uzņēmīgi pret šādu uzbrukumu.

Nosūtot datus uz portu 139, tiek atsāknēts NT 4.0 jeb “nāves zilais ekrāns” ar instalētu servisa pakotni 2. Līdzīga datu nosūtīšana uz 135 un dažiem citiem portiem rada ievērojamu RPCSS.EXE procesa slodzi. Operētājsistēmā Windows NT WorkStation tas izraisa ievērojamu palēnināšanos; Windows NT Server praktiski sasalst.

Uzticama saimniekdatora viltošana

Veiksmīga šāda veida attālo uzbrukumu ieviešana ļaus uzbrucējam veikt sesiju ar serveri uzticama saimniekdatora vārdā. (Uzticams resursdators — stacija, kas ir likumīgi savienota ar serveri). Šāda veida uzbrukuma īstenošana parasti sastāv no apmaiņas pakešu nosūtīšanas no uzbrucēja stacijas viņa kontrolē esošas uzticamas stacijas vārdā.

Uzbrukumu noteikšanas tehnoloģijas

Tīklu un informācijas tehnoloģijas mainās tik ātri, ka statiskie aizsardzības mehānismi, kas ietver piekļuves kontroles sistēmas, ugunsmūrus un autentifikācijas sistēmas, daudzos gadījumos nevar nodrošināt efektīvu aizsardzību. Tāpēc ir nepieciešamas dinamiskas metodes, lai ātri atklātu un novērstu drošības pārkāpumus. Viena no tehnoloģijām, kas var atklāt pārkāpumus, kurus nevar noteikt, izmantojot tradicionālos piekļuves kontroles modeļus, ir ielaušanās noteikšanas tehnoloģija.

Būtībā uzbrukumu noteikšanas process ir process, kurā tiek novērtētas aizdomīgas darbības, kas notiek korporatīvajā tīklā. Citiem vārdiem sakot, ielaušanās noteikšana ir process, kurā tiek identificētas un reaģētas uz aizdomīgām darbībām, kas vērstas uz skaitļošanas vai tīkla resursiem.

Tīkla informācijas analīzes metodes

Uzbrukumu noteikšanas sistēmas efektivitāte lielā mērā ir atkarīga no saņemtās informācijas analīzes metodēm. Pirmās ielaušanās atklāšanas sistēmas, kas tika izstrādātas 80. gadu sākumā, uzbrukumu noteikšanai izmantoja statistikas metodes. Pašlaik statistikas analīzei ir pievienotas vairākas jaunas metodes, sākot ar ekspertu sistēmām un izplūdušo loģiku un beidzot ar neironu tīklu izmantošanu.

Statistiskā metode

Galvenās statistikas pieejas priekšrocības ir jau izstrādāta un pārbaudīta matemātiskās statistikas aparāta izmantošana un pielāgošanās subjekta uzvedībai.

Pirmkārt, tiek noteikti profili visiem analizējamās sistēmas priekšmetiem. Jebkura izmantotā profila novirze no atsauces tiek uzskatīta par neatļautu darbību. Statistikas metodes ir universālas, jo analīzei nav vajadzīgas zināšanas par iespējamiem uzbrukumiem un to izmantotajām ievainojamībām. Tomēr, izmantojot šīs metodes, rodas problēmas:

“statistikas” sistēmas nav jutīgas pret notikumu secību; dažos gadījumos tie paši notikumi, atkarībā no to rašanās secības, var raksturot patoloģisku vai normālu darbību;

Ir grūti iestatīt ielaušanās noteikšanas sistēmas uzraugāmo raksturlielumu robežvērtības (sliekšņa) vērtības, lai adekvāti identificētu anomālu darbību;

Uzbrucēji laika gaitā var “apmācīt” “statistikas” sistēmas, lai uzbrukuma darbības tiktu uzskatītas par normālām.

Jāņem vērā arī tas, ka statistikas metodes nav piemērojamas gadījumos, kad lietotājam nav tipiskas uzvedības modeļa vai ja lietotājam ir raksturīgas nesankcionētas darbības.

Ekspertu sistēmas

Ekspertu sistēmas sastāv no noteikumu kopuma, kas aptver cilvēka eksperta zināšanas. Ekspertu sistēmu izmantošana ir izplatīta uzbrukumu noteikšanas metode, kurā uzbrukuma informācija tiek formulēta noteikumu veidā. Šos noteikumus var rakstīt, piemēram, kā darbību secību vai kā parakstu. Ja kāds no šiem noteikumiem ir izpildīts, tiek pieņemts lēmums par neatļautas darbības esamību. Šīs pieejas svarīga priekšrocība ir gandrīz pilnīga viltus trauksmju neesamība.

Ekspertu sistēmas datu bāzē jāiekļauj skripti lielākajai daļai pašlaik zināmo uzbrukumu. Lai ekspertu sistēmas būtu pastāvīgi atjauninātas, nepieciešama pastāvīga datubāzes atjaunināšana. Lai gan ekspertu sistēmas nodrošina labu žurnāla datu redzamību, nepieciešamos atjauninājumus var ignorēt vai administrators veikt manuāli. Tā rezultātā vismaz tiek izveidota ekspertu sistēma ar vājām iespējām. Sliktākajā gadījumā pareizas apkopes trūkums samazina visa tīkla drošību, maldinot tā lietotājus par faktisko drošības līmeni.

Galvenais trūkums ir nespēja atvairīt nezināmus uzbrukumus. Turklāt pat nelielas izmaiņas jau zināmā uzbrukumā var kļūt par nopietnu šķērsli uzbrukuma noteikšanas sistēmas darbībai.

Neironu tīkli

Lielākā daļa mūsdienu uzbrukumu noteikšanas metožu izmanto kādu kontrolētas telpas analīzi, vai nu uz noteikumiem balstītu, vai statistisku pieeju. Kontrolētā telpa var būt žurnāli vai tīkla trafiks. Analīzes pamatā ir iepriekš definētu noteikumu kopums, ko izveido administrators vai pati ielaušanās noteikšanas sistēma.

Izmantojot ekspertu sistēmas, ir grūti noteikt jebkuru uzbrukumu laika gaitā vai starp vairākiem uzbrucējiem. Sakarā ar plašu uzbrukumu un hakeru dažādību, pat ad hoc, pastāvīgie ekspertu sistēmas noteikumu datu bāzes atjauninājumi nekad negarantēs precīzu visa uzbrukumu diapazona identificēšanu.

Neironu tīklu izmantošana ir viens no veidiem, kā pārvarēt šīs ekspertu sistēmu problēmas. Atšķirībā no ekspertu sistēmām, kas var sniegt lietotājam noteiktu atbildi par aplūkojamo raksturlielumu atbilstību datubāzē iegultajiem noteikumiem, neironu tīkls analizē informāciju un sniedz iespēju novērtēt, vai dati atbilst pazīmēm, kuras tas ir. apmācīts atpazīt. Lai gan neironu tīkla attēlojuma atbilstības pakāpe var sasniegt 100%, izvēles ticamība pilnībā ir atkarīga no sistēmas kvalitātes, analizējot uzdevuma piemērus.

Pirmkārt, neironu tīkls ir apmācīts pareizi identificēt, izmantojot iepriekš atlasītu domēna piemēru paraugu. Tiek analizēta neironu tīkla reakcija un sistēma tiek pielāgota tā, lai sasniegtu apmierinošus rezultātus. Papildus sākotnējam apmācības periodam neironu tīkls laika gaitā iegūst pieredzi, analizējot domēna specifiskos datus.

Svarīga neironu tīklu priekšrocība ļaunprātīgas izmantošanas atklāšanā ir to spēja “apgūt” apzinātu uzbrukumu pazīmes un identificēt elementus, kas atšķiras no tiem, kas iepriekš tika novēroti tīklā.

Katrai no aprakstītajām metodēm ir vairākas priekšrocības un trūkumi, tāpēc tagad ir gandrīz grūti atrast sistēmu, kas ievieš tikai vienu no aprakstītajām metodēm. Parasti šīs metodes tiek izmantotas kombinācijā.

Bufera pārpildīšana ir daļa no daudzu veidu ļaunprātīgiem uzbrukumiem. Pārplūdes uzbrukumiem, savukārt, ir daudz šķirņu. Viens no visbīstamākajiem ir dialoglodziņā, papildus tekstam, tam pievienotā izpildāmā koda ievadīšana. Šādas ievades rezultātā šis kods var tikt uzrakstīts virs izpildprogrammas, kas agrāk vai vēlāk izraisīs tā izpildi. Sekas nav grūti iedomāties.

“Pasīvie” uzbrukumi, izmantojot, piemēram, sniffer, ir īpaši bīstami, jo, pirmkārt, tie praktiski nav nosakāmi, un, otrkārt, tie tiek palaisti no lokālā tīkla (ārējais ugunsmūris ir bezspēcīgs).

Vīrusi- ļaunprātīgas programmas, kas spēj paškopēt un pašizplatīt. Vēl 1994. gada decembrī saņēmu brīdinājumu par tīkla vīrusu (labie laiki un xxx-1) izplatību internetā:

No vīrusa radīšanas brīža līdz vīrusa atklāšanas brīdim paiet stundas, dienas, nedēļas un dažreiz mēneši. Tas ir atkarīgs no tā, cik ātri parādās infekcijas sekas. Jo ilgāks šis laiks, jo lielāks ir inficēto datoru skaits. Pēc inficēšanās fakta un jaunas vīrusa versijas izplatības noteikšanas paiet no pāris stundām (piemēram, Email_Worm.Win32.Bagle.bj) līdz trim nedēļām (W32.Netsky.N@mm). identificēt parakstu, izveidot pretlīdzekli un iekļaut tā parakstu datu bāzes pretvīrusu programmā. Pagaidu dzīves cikla diagramma vīruss ir parādīts attēlā. 12.1 ("Tīkla drošība", v.2005, 6. izdevums, 2005. gada jūnijs, 16.-18. lpp.). 2004. gadā vien tika reģistrēti 10 000 jaunu vīrusu parakstu. Blaster tārps inficēja 90% iekārtu 10 minūšu laikā. Šajā laikā pretvīrusu komandai ir jāatklāj objekts, tas jākvalificē un jāizstrādā pretpasākums. Ir skaidrs, ka tas ir nereāli. Tātad pretvīrusu programma nav tik daudz pretpasākums, cik nomierinošs līdzeklis. Tie paši apsvērumi attiecas uz visiem citiem uzbrukumu veidiem. Kad uzbrukuma paraksts kļūst zināms, pats uzbrukums parasti nav bīstams, jo pretpasākumi jau ir izstrādāti un ievainojamība ir novērsta. Tieši šī iemesla dēļ šāda uzmanība tiek pievērsta programmatūras atjaunināšanas (ielāpu) pārvaldības sistēmai.

Dažiem vīrusiem un tārpiem ir iebūvētas SMTP programmas, kas paredzētas to nosūtīšanai, un lūkas, lai viegli iekļūtu inficētajā mašīnā. Jaunākās versijas ir aprīkotas ar rīkiem citu vīrusu vai tārpu aktivitātes nomākšanai. Tādā veidā var izveidot veselus inficēto mašīnu tīklus (BotNet), kas ir gatavi uzsākt, piemēram, DDoS uzbrukumu komandai. Šādu zombiju mašīnu vadīšanai var izmantot protokolu IRC(Interneta releja diagramma). Šo ziņojumapmaiņas sistēmu atbalsta liels skaits serveru, un tāpēc šādu kanālu parasti ir grūti izsekot un ierakstīt. To veicina arī tas, ka lielākā daļa sistēmu uzrauga ievades trafiku stingrāk nekā izvades trafiku. Jāpatur prātā, ka inficēta iekārta papildus DoS uzbrukumiem var kalpot arī citu datoru skenēšanai un surogātpasta sūtīšanai, nelegālu programmatūras produktu glabāšanai, pašas iekārtas kontrolei un tajā glabāto dokumentu nozagšanai, izmantoto paroļu un atslēgas identificēšanai. ko īpašnieks. Blaster vīrusa radītie zaudējumi tiek lēsti 475 000 USD apmērā.

Diemžēl nav uzticamu līdzekļu, lai noteiktu jaunu vīrusi (kura paraksts nav zināms).

Rīsi. 12.1.

2005. gadā tika konstatēts vēl viens drauds - vīrusu un tīkla tārpu izplatība, izmantojot meklētājprogrammu robotus (botus), kuru pamatā ir IRC.

Botu programmas ne vienmēr ir bīstamas; daži no to veidiem tiek izmantoti datu vākšanai, jo īpaši par klientu vēlmēm, un Google meklētājprogrammā tās strādā, lai apkopotu un indeksētu dokumentus. Taču hakeru rokās šīs programmas pārvēršas par bīstamiem ieročiem. Slavenākais uzbrukums tika uzsākts 2005. gadā, lai gan sagatavošanās darbi un “pirmie eksperimenti” sākās 2004. gada septembrī. Programma meklēja mašīnas ar īpašām ievainojamībām, jo īpaši LSASS (Local Security Authority Subsystem Service, Windows). LSASS apakšsistēma, kas izstrādāta, lai palīdzētu nodrošināt drošību, pati par sevi bija neaizsargāta pret uzbrukumiem, piemēram, bufera pārpildīšanu. Lai gan ievainojamība jau ir novērsta, iekārtu skaits ar neatjauninātu versiju joprojām ir ievērojams. Pēc ielaušanās hakeris parasti izmanto IRC, lai veiktu viņam nepieciešamās darbības (konkrēta porta atvēršana, SPAM nosūtīšana, citu potenciālo upuru skenēšana). Jauna šādu programmu iezīme ir tā, ka tās ir iegultas operētājsistēmā tādā veidā (rootkit), ka tās nevar noteikt, jo tās atrodas OS kodola apgabalā. Ja pretvīrusu programma mēģina piekļūt noteiktam atmiņas apgabalam, lai identificētu ļaunprātīgu kodu, rootkit pārtver šādu pieprasījumu un nosūta testa programmai paziņojumu, ka viss ir kārtībā. Lai padarītu situāciju vēl ļaunāku, robotprogrammas var mainīt saturu

Attālā tīkla uzbrukums- informācijas destruktīva ietekme uz izkliedētu skaitļošanas sistēmu, kas tiek veikta programmatiski, izmantojot sakaru kanālus.

Ievads

Uzbrukumu klasifikācija

Pēc ietekmes rakstura

Pasīvs
Aktīvs

Pēc ietekmes mērķa

sistēmas darbības traucējumi (piekļuve sistēmai)
informācijas resursu integritātes pārkāpums (IR)
IR konfidencialitātes pārkāpums

Šī īpašība, pēc kuras tiek veikta klasifikācija, būtībā ir tieša trīs pamata draudu veida projekcija - pakalpojuma atteikums, izpaušana un integritātes pārkāpums.

Pamatojoties uz atgriezeniskās saites klātbūtni no uzbrukuma objekta

ar atsauksmēm
bez atgriezeniskās saites (vienvirziena uzbrukums)

Atbilstoši trieciena sākuma stāvoklim

Attālināta ietekme, tāpat kā jebkura cita, var sākties tikai noteiktos apstākļos. RVS ir trīs šādu nosacītu uzbrukumu veidi:

uzbrukums pēc uzbrukuma objekta pieprasījuma
uzbrukums, iestājoties sagaidāmam notikumam uzbrukuma objektam
beznosacījumu uzbrukums

Beznosacījumu uzbrukums tiek veikts nekavējoties un neatkarīgi no operētājsistēmas un uzbrukuma objekta stāvokļa. Tāpēc uzbrucējs šajā gadījumā ir uzbrukuma iniciators.

Pēc uzbrukuma objekta atrašanās vietas attiecībā pret uzbrukuma objektu

intrasegmentāls
starpsegmentāls

Dažas definīcijas:

Uzbrukuma avots (uzbrukuma priekšmets)- programma (iespējams, operators), kas vada uzbrukumu un veic tiešu ietekmi.

Uzņēmēja- dators, kas ir tīkla elements.

Maršrutētājs- ierīce, kas maršrutē paketes tīklā.

Apakštīkls ir resursdatoru grupa, kas ir daļa no globālā tīkla un atšķiras ar to, ka maršrutētājs tiem piešķir vienu un to pašu apakštīkla numuru. Mēs varam arī teikt, ka apakštīkls ir loģiska saimniekdatoru asociācija, izmantojot maršrutētāju. Viena apakštīkla resursdatori var sazināties tieši viens ar otru, neizmantojot maršrutētāju.

Tīkla segments- saimnieku apvienošana fiziskajā līmenī.

Atbilstoši ISO/OSI atsauces modeļa līmenim, kurā tiek veikta ietekme

fiziskais
kanāls
tīkls
transports
sesijas
pārstāvis
piemērots

Dažu tīkla uzbrukumu īss apraksts

Datu sadrumstalotība

Ping plūdu uzbrukums

Šim uzbrukumam uzbrucējam ir jābūt piekļuvei ātriem interneta kanāliem.

Nestandarta protokoli, kas iekapsulēti IP

Smurfu uzbrukums

Smurfu uzbrukums ietver apraides ICMP pieprasījumu nosūtīšanu tīklam cietušā datora vārdā.

Pretdarbība: lai atpazītu šo uzbrukumu, ir jāanalizē kanāla noslodze un jānosaka caurlaidspējas samazināšanās iemesli.

DNS viltošanas uzbrukums

Pretdarbība: lai noteiktu šādu uzbrukumu, ir jāanalizē DNS trafika saturs vai jāizmanto DNSSEC.

IP viltošanas uzbrukums

Pakas uzlikšana

Šņaukšana — kanāla klausīšanās

Iespējama tikai lokālā tīkla segmentā.

Pakešu pārtveršana maršrutētājā

Viltus maršruta piespiešana saimniekdatoram, izmantojot ICMP

Uzticama saimniekdatora viltošana

Uzbrukumu noteikšanas tehnoloģijas
Tīklu un informācijas tehnoloģijas mainās tik ātri, ka statiskie aizsardzības mehānismi, kas ietver piekļuves kontroles sistēmas, ugunsmūrus un autentifikācijas sistēmas, daudzos gadījumos nevar nodrošināt efektīvu aizsardzību. Tāpēc ir nepieciešamas dinamiskas metodes, lai ātri atklātu un novērstu drošības pārkāpumus. Viena no tehnoloģijām, kas var atklāt pārkāpumus, kurus nevar noteikt, izmantojot tradicionālos piekļuves kontroles modeļus, ir ielaušanās noteikšanas tehnoloģija.

Tīkla informācijas analīzes metodes

Statistiskā metode

Galvenās statistikas pieejas priekšrocības ir jau izstrādāta un pārbaudīta matemātiskās statistikas aparāta izmantošana un pielāgošanās subjekta uzvedībai.

“statistikas” sistēmas nav jutīgas pret notikumu secību; dažos gadījumos tie paši notikumi, atkarībā no to rašanās secības, var raksturot patoloģisku vai normālu darbību;
ir grūti noteikt uzbrukuma noteikšanas sistēmas uzraugāmo raksturlielumu robežvērtības (sliekšņa) vērtības, lai adekvāti identificētu anomālu darbību;
Uzbrucēji laika gaitā var “apmācīt” “statistikas” sistēmas, lai uzbrukuma darbības tiktu uzskatītas par normālām.

Jāņem vērā arī tas, ka statistikas metodes nav piemērojamas gadījumos, kad lietotājam nav tipiskas uzvedības modeļa vai ja lietotājam ir raksturīgas nesankcionētas darbības.

Ekspertu sistēmas

Galvenais trūkums ir nespēja atvairīt nezināmus uzbrukumus. Turklāt pat nelielas izmaiņas jau zināmā uzbrukumā var kļūt par nopietnu šķērsli uzbrukuma noteikšanas sistēmas darbībai.

Neironu tīkli

Internets pilnībā maina mūsu dzīvesveidu: darbu, mācības, atpūtu. Šīs izmaiņas notiks gan mums jau zināmās jomās (elektroniskā komercija, piekļuve reāllaika informācijai, palielinātas komunikācijas iespējas utt.), gan tajās jomās, par kurām mums vēl nav priekšstata.

Var pienākt laiks, kad korporācija veiks visus tālruņa zvanus internetā, pilnīgi bez maksas. Privātajā dzīvē var parādīties īpašas tīmekļa vietnes, ar kuru palīdzību vecāki jebkurā brīdī var uzzināt, kā klājas viņu bērniem. Mūsu sabiedrība tikai sāk apzināties interneta neierobežotās iespējas.

Ievads

Vienlaikus ar milzīgo interneta popularitātes pieaugumu rodas bezprecedenta briesmas izpaust personas datus, kritiskos korporatīvos resursus, valsts noslēpumus u.c.

Katru dienu hakeri apdraud šos resursus, mēģinot tiem piekļūt, izmantojot īpašus uzbrukumus, kas pakāpeniski kļūst sarežģītāki, no vienas puses, un vieglāk izpildāmi, no otras puses. To veicina divi galvenie faktori.

Pirmkārt, tā ir plaši izplatītā interneta izplatība. Mūsdienās internetam ir pieslēgti miljoniem ierīču, un tuvākajā nākotnē daudzi miljoni ierīču tiks pieslēgti internetam, tādējādi arvien lielāka iespējamība, ka hakeri iegūs piekļuvi neaizsargātām ierīcēm.

Turklāt plašā interneta izmantošana ļauj hakeriem apmainīties ar informāciju globālā mērogā. Vienkārša meklēšana pēc atslēgvārdiem, piemēram, “hacker”, “hacking”, “hack”, “crack” vai “phreak”, atklās tūkstošiem vietņu, no kurām daudzas satur ļaunprātīgu kodu un kā to izmantot.

Otrkārt, šī ir visplašākā viegli lietojamo operētājsistēmu un izstrādes vidi izplatīšana. Šis faktors krasi samazina hakeram nepieciešamo zināšanu un prasmju līmeni. Iepriekš, lai izveidotu un izplatītu ērti lietojamas lietojumprogrammas, hakeram bija jābūt labām programmēšanas prasmēm.

Tagad, lai piekļūtu hakeru rīkam, jums jāzina tikai vēlamās vietnes IP adrese un, lai veiktu uzbrukumu, pietiek ar peles klikšķi.

Tīkla uzbrukumu klasifikācija

Tīkla uzbrukumi ir tikpat dažādi kā sistēmas, uz kurām tie ir vērsti. Daži uzbrukumi ir ļoti sarežģīti, savukārt citi ir parasta operatora spēju robežās, kurš pat neiedomājas savas darbības sekas. Lai novērtētu uzbrukumu veidus, jums jāzina daži TPC/IP protokola ierobežojumi. Tīkls

Internets tika izveidots saziņai starp valsts iestādēm un universitātēm, lai palīdzētu izglītības procesam un zinātniskiem pētījumiem. Šī tīkla izveidotājiem nebija ne jausmas, cik plaši tas kļūs. Rezultātā interneta protokola (IP) agrīno versiju specifikācijām trūka drošības prasību. Tāpēc daudzas IP ieviešanas pēc būtības ir neaizsargātas.

Pēc daudziem gadiem pēc daudzām sūdzībām (Komentāru pieprasījums, RFC) beidzot sāka ieviest IP drošības pasākumus. Tomēr, tā kā IP protokola drošības pasākumi sākotnēji netika izstrādāti, visas tā ieviešanas sāka papildināt ar dažādām tīkla procedūrām, pakalpojumiem un produktiem, kas samazina šim protokolam raksturīgos riskus. Tālāk mēs īsumā apskatīsim uzbrukumu veidus, kas parasti tiek izmantoti pret IP tīkliem, un uzskaitīsim veidus, kā ar tiem cīnīties.

Pakešu sniffer

Pakešu sniffer ir lietojumprogramma, kas izmanto tīkla karti, kas darbojas izlaidības režīmā (šajā režīmā tīkla adapteris nosūta visas paketes, kas saņemtas pa fiziskiem kanāliem, lietojumprogrammai apstrādei).

Šajā gadījumā sniffer pārtver visas tīkla paketes, kas tiek pārsūtītas caur noteiktu domēnu. Šobrīd sniffers tīklos darbojas uz pilnīgi legāla pamata. Tos izmanto kļūdu diagnostikai un satiksmes analīzei. Tomēr, ņemot vērā to, ka dažas tīkla lietojumprogrammas pārsūta datus teksta formātā ( Telnet, FTP, SMTP, POP3 utt..), izmantojot sniffer, jūs varat uzzināt noderīgu un dažkārt konfidenciālu informāciju (piemēram, lietotājvārdus un paroles).

Pieteikšanās un paroles pārtveršana rada lielus draudus, jo lietotāji bieži izmanto vienu pieteikumvārdu un paroli vairākām lietojumprogrammām un sistēmām. Daudziem lietotājiem parasti ir viena parole, lai piekļūtu visiem resursiem un lietojumprogrammām.

Ja lietojumprogramma darbojas klienta-servera režīmā un autentifikācijas dati tiek pārsūtīti tīklā lasāmā teksta formātā, tad šo informāciju, visticamāk, var izmantot, lai piekļūtu citiem korporatīvajiem vai ārējiem resursiem. Hakeri pārāk labi zina un izmanto cilvēku vājās vietas (uzbrukuma metodes bieži ir balstītas uz sociālās inženierijas metodēm).

Viņi labi zina, ka mēs izmantojam vienu un to pašu paroli, lai piekļūtu daudziem resursiem, un tāpēc viņiem bieži izdodas piekļūt svarīgai informācijai, uzzinot mūsu paroli. Sliktākajā gadījumā hakeris iegūst sistēmas līmeņa piekļuvi lietotāja resursam un izmanto to, lai izveidotu jaunu lietotāju, kuru jebkurā laikā var izmantot, lai piekļūtu Tīklam un tā resursiem.

Varat samazināt pakešu šņaukšanas draudus, izmantojot šādus rīkus::

Autentifikācija. Spēcīga autentifikācija ir vissvarīgākā aizsardzība pret pakešu sniffing. Ar “spēcīgu” mēs domājam autentifikācijas metodes, kuras ir grūti apiet. Šādas autentifikācijas piemērs ir vienreizējās paroles (OTP).

OTP ir divu faktoru autentifikācijas tehnoloģija, kas apvieno to, kas jums ir, ar to, ko jūs zināt. Tipisks divu faktoru autentifikācijas piemērs ir parasta bankomāta darbība, kas jūs identificē, pirmkārt, pēc plastikāta kartes un, otrkārt, pēc ievadītā PIN koda. Autentifikācijai OTP sistēmā ir nepieciešams arī PIN kods un jūsu personīgā karte.

Ar “karti” (žetonu) mēs saprotam aparatūru vai programmatūras rīku, kas (pēc nejaušības principa) ģenerē unikālu vienreizēju paroli. Ja hakeris uzzina šo paroli, izmantojot sniffer, tad šī informācija būs bezjēdzīga, jo tajā brīdī parole jau būs izmantota un noņemta.

Ņemiet vērā, ka šī šņaukšanas apkarošanas metode ir efektīva tikai paroles pārtveršanas gadījumos. Sniffers, kas pārtver citu informāciju (piemēram, e-pasta ziņojumus), joprojām ir efektīvi.

Komutētā infrastruktūra. Vēl viens veids, kā apkarot pakešu smirdēšanu tīkla vidē, ir izveidot komutētu infrastruktūru. Ja, piemēram, visa organizācija izmanto iezvanpieejas Ethernet, hakeri var piekļūt tikai trafikam, kas ienāk tajā portā, ar kuru viņi ir savienoti. Komutēta infrastruktūra nenovērš šņaukšanas draudus, taču būtiski samazina tā smagumu.

Antisniffers. Trešais veids, kā apkarot sniffing, ir instalēt aparatūru vai programmatūru, kas atpazīst jūsu tīklā darbojošos sniffers. Šie rīki nevar pilnībā novērst draudus, taču, tāpat kā daudzi citi tīkla drošības rīki, tie ir iekļauti kopējā aizsardzības sistēmā. Antisniffers mēra resursdatora reakcijas laiku un nosaka, vai saimniekiem ir jāapstrādā nevajadzīga trafika. Viens šāds produkts, kas pieejams no LOpht Heavy Industries, saucas AntiSniff.

Kriptogrāfija. Šis ir visefektīvākais veids, kā apkarot pakešu šņaukšanu, lai gan tas nenovērš pārtveršanu un neatpazīst snifferu darbu, taču padara šo darbu bezjēdzīgu. Ja sakaru kanāls ir kriptogrāfiski drošs, tad hakeris pārtver nevis ziņojumu, bet gan šifrētu tekstu (tas ir, nesaprotamu bitu secību). Cisco tīkla slāņa kriptogrāfijas pamatā ir IPSec, kas ir standarta metode drošai saziņai starp ierīcēm, izmantojot IP protokolu. Citi kriptogrāfiskā tīkla pārvaldības protokoli ietver SSH (Secure Shell) un SSL (Secure Socket Layer) protokolus.

IP viltošana

IP viltošana notiek, ja hakeris korporācijā vai ārpus tās uzdodas par autorizētu lietotāju. To var izdarīt divos veidos: hakeris var izmantot vai nu IP adresi, kas atrodas autorizēto IP adrešu diapazonā, vai autorizētu ārējo adresi, kurai ir atļauta piekļuve noteiktiem tīkla resursiem.

IP viltošanas uzbrukumi bieži ir sākumpunkts citiem uzbrukumiem. Klasisks piemērs ir DoS uzbrukums, kas sākas no kāda cita adreses, slēpjot hakera patieso identitāti.

Parasti IP viltošana aprobežojas ar nepatiesas informācijas vai ļaunprātīgu komandu ievietošanu parastajā datu plūsmā, kas tiek pārraidīta starp klientu un servera lietojumprogrammu vai pa sakaru kanālu starp līdzvērtīgām ierīcēm.

Divvirzienu saziņai hakeram ir jāmaina visas maršrutēšanas tabulas, lai novirzītu trafiku uz viltus IP adresi. Tomēr daži hakeri pat nemēģina saņemt atbildi no lietojumprogrammām – ja galvenais mērķis ir iegūt svarīgu failu no sistēmas, tad lietojumprogrammu atbildēm nav nozīmes.

Ja hakeram izdodas mainīt maršrutēšanas tabulas un novirzīt trafiku uz viltotu IP adresi, viņš saņems visas paketes un varēs uz tām atbildēt tā, it kā būtu autorizēts lietotājs.

Maldināšanas draudus var mazināt (bet ne novērst), veicot šādus pasākumus:

Piekļuves kontrole. Vienkāršākais veids, kā novērst IP viltošanu, ir pareizi konfigurēt piekļuves vadīklas. Lai samazinātu IP viltošanas efektivitāti, konfigurējiet piekļuves kontroli, lai noraidītu jebkādu trafiku, kas nāk no ārēja tīkla ar avota adresi, kurai jāatrodas jūsu tīklā.
Tiesa, tas palīdz cīnīties ar IP viltošanu, kad tiek autorizētas tikai iekšējās adreses; ja ir autorizētas arī dažas ārējās tīkla adreses, šī metode kļūst neefektīva;
RFC 2827 filtrēšana. Jūs varat neļaut lietotājiem savā tīklā krāpties ar citu cilvēku tīkliem (un kļūt par labu tiešsaistes pilsoni). Lai to izdarītu, jums ir jānoraida visa izejošā trafika, kuras avota adrese nav viena no jūsu organizācijas IP adresēm.
Šo filtrēšanas veidu, kas pazīstams kā RFC 2827, var veikt arī jūsu interneta pakalpojumu sniedzējs (ISP). Rezultātā tiek noraidīta visa datplūsma, kurai nav paredzēta avota adrese konkrētajā saskarnē. Piemēram, ja ISP nodrošina savienojumu ar IP adresi 15.1.1.0/24, tas var konfigurēt filtru tā, lai no šīs saskarnes uz ISP maršrutētāju būtu atļauta tikai trafika, kuras izcelsme ir 15.1.1.0/24.

Ņemiet vērā: kamēr visi pakalpojumu sniedzēji neieviesīs šāda veida filtrēšanu, tā efektivitāte būs daudz zemāka nekā iespējams. Turklāt, jo tālāk atrodaties no filtrējamajām ierīcēm, jo grūtāk ir veikt precīzu filtrēšanu. Piemēram, RFC 2827 filtrēšanai piekļuves maršrutētāja līmenī ir nepieciešams nodot visu trafiku no galvenās tīkla adreses (10.0.0.0/8), savukārt izplatīšanas līmenī (noteiktā arhitektūrā) ir iespējams precīzāk ierobežot trafiku (adrese - 10.1.5.0/24).

Visefektīvākā metode, lai apkarotu IP viltošanu, ir tāda pati kā pakešu sniffing gadījumā: jums ir jāpadara uzbrukums pilnīgi neefektīvs. IP viltošana var darboties tikai tad, ja autentifikācija tiek veikta, pamatojoties uz IP adresēm.

Tāpēc papildu autentifikācijas metožu ieviešana šādus uzbrukumus padara bezjēdzīgus. Labākais papildu autentifikācijas veids ir kriptogrāfija. Ja tas nav iespējams, divu faktoru autentifikācija, izmantojot vienreizējas paroles, var dot labus rezultātus.

Pakalpojuma atteikums

Pakalpojuma atteikums (DoS) bez šaubām ir vispazīstamākais hakeru uzbrukumu veids. Turklāt pret šāda veida uzbrukumiem ir visgrūtāk izveidot 100% aizsardzību. Hakeru vidū DoS uzbrukumi tiek uzskatīti par bērnu spēli, un to izmantošana izraisa nicinošus smīnus, jo DoS organizēšanai ir nepieciešamas minimālas zināšanas un prasmes.

Tomēr tieši ieviešanas vienkāršība un milzīgais nodarītā kaitējuma mērogs DoS piesaista par tīkla drošību atbildīgo administratoru uzmanību. Ja vēlaties uzzināt vairāk par DoS uzbrukumiem, jums vajadzētu apsvērt slavenākos veidus, proti:

TCP SYN plūdi;
Ping of Death;
Tribe Flood Network (TFN) un Tribe Flood Network 2000 (TFN2K);
Trinco;
Stacheldracht;
Trīsvienība.

Lielisks drošības informācijas avots ir Computer Emergency Response Team (CERT), kas ir publicējusi lielisku darbu cīņā pret DoS uzbrukumiem.

DoS uzbrukumi atšķiras no cita veida uzbrukumiem. To mērķis nav iegūt piekļuvi jūsu tīklam vai iegūt informāciju no šī tīkla, taču DoS uzbrukums padara jūsu tīklu nepieejamu normālai lietošanai, pārsniedzot tīkla, operētājsistēmas vai lietojumprogrammas pieļaujamās robežas.

Dažu servera lietojumprogrammu (piemēram, tīmekļa servera vai FTP servera) gadījumā DoS uzbrukumi var ietvert visu šīm lietojumprogrammām pieejamo savienojumu pārņemšanu un to aizņemšanu, neļaujot apkalpot parastos lietotājus. DoS uzbrukumos var izmantot tādus izplatītus interneta protokolus kā TCP un ICMP ( Interneta vadības ziņojumu protokols).

Lielākā daļa DoS uzbrukumu nav vērsti uz programmatūras kļūdām vai drošības caurumiem, bet gan uz vispārīgiem sistēmas arhitektūras trūkumiem. Daži uzbrukumi traucē tīkla veiktspēju, pārpludinot to ar nevēlamām un nevajadzīgām paketēm vai maldinošu informāciju par pašreizējo tīkla resursu stāvokli.

Šāda veida uzbrukumu ir grūti novērst, jo tas ir jāsaskaņo ar pakalpojumu sniedzēju. Ja pie pakalpojumu sniedzēja neapturēsit trafiku, kuras mērķis ir pārslogot jūsu tīklu, jūs vairs nevarēsit to izdarīt pie tīkla ieejas, jo tiks aizņemts viss joslas platums. Ja šāda veida uzbrukums tiek veikts vienlaikus, izmantojot daudzas ierīces, mēs runājam par izplatītu DoS uzbrukumu (izplatīts DoS, DDoS).

DoS uzbrukumu draudus var samazināt trīs veidos:

Pretvilkšanas līdzekļi. Pareizi konfigurējot pretviltošanas līdzekļus maršrutētājos un ugunsmūros, tiks samazināts DoS risks. Šajās funkcijās ir jāietver vismaz RFC 2827 filtrēšana. Ja hakeris nevar slēpt savu patieso identitāti, viņš, visticamāk, neveiks uzbrukumu.
Anti-DoS funkcijas. Pareiza anti-DoS funkciju konfigurēšana maršrutētājos un ugunsmūrēs var ierobežot uzbrukumu efektivitāti. Šīs funkcijas bieži vien ierobežo daļēji atvērto kanālu skaitu jebkurā laikā.
Satiksmes ātruma ierobežošana. Organizācija var lūgt savam interneta pakalpojumu sniedzējam (ISP) ierobežot trafika apjomu. Šis filtrēšanas veids ļauj ierobežot nekritiskās trafika apjomu, kas iet caur jūsu tīklu. Tipisks piemērs ir ICMP trafika apjoma ierobežošana, ko izmanto tikai diagnostikas nolūkos. (D)DoS uzbrukumos bieži tiek izmantots ICMP.

Paroles uzbrukumi

Hakeri var veikt paroles uzbrukumus, izmantojot vairākas metodes, piemēram, brutālu spēku uzbrukumu, Trojas zirgu, IP krāpšanos un pakešu sniffing. Lai gan pieteikumvārdu un paroli bieži var iegūt, izmantojot IP viltošanu un pakešu sniffing, hakeri bieži mēģina uzminēt paroli un pieteikties, izmantojot vairākus piekļuves mēģinājumus. Šo pieeju sauc par vienkāršu meklēšanu (brute force attack).

Bieži vien šādam uzbrukumam tiek izmantota īpaša programma, kas mēģina piekļūt publiskam resursam (piemēram, serverim). Ja rezultātā hakeram tiek piešķirta piekļuve resursiem, tad viņš to saņem ar parasta lietotāja tiesībām, kura parole tika izvēlēta.

Ja šim lietotājam ir ievērojamas piekļuves privilēģijas, hakeris var izveidot "pasi" turpmākai piekļuvei, kas paliks spēkā pat tad, ja lietotājs mainīs savu paroli un pieteikumvārdu.

Vēl viena problēma rodas, ja lietotāji izmanto vienu un to pašu (pat ļoti labu) paroli, lai piekļūtu daudzām sistēmām: korporatīvajām, personīgajām un interneta sistēmām. Tā kā paroles stiprums ir vienāds ar vājākā resursdatora stiprumu, hakeris, kurš uzzina paroli, izmantojot šo resursdatoru, iegūst piekļuvi visām pārējām sistēmām, kurās tiek izmantota tā pati parole.

Paroļu uzbrukumiem var izvairīties, neizmantojot vienkārša teksta paroles. Vienreizējas paroles un/vai kriptogrāfiskā autentifikācija var praktiski novērst šādu uzbrukumu draudus. Diemžēl ne visas lietojumprogrammas, resursdatori un ierīces atbalsta iepriekš minētās autentifikācijas metodes.

Izmantojot parastās paroles, mēģiniet izdomāt tādu, kuru būtu grūti uzminēt. Paroles minimālajam garumam jābūt vismaz astoņām rakstzīmēm. Parolē jāiekļauj lielie burti, cipari un īpašās rakstzīmes (#, %, $ utt.).

Labākās paroles ir grūti uzminēt un grūti atcerēties, liekot lietotājiem tās pierakstīt uz papīra. Lai no tā izvairītos, lietotāji un administratori var izmantot vairākus jaunākos tehnoloģiskos sasniegumus.

Piemēram, ir lietojumprogrammas, kas šifrē paroļu sarakstu, kuras var saglabāt kabatas datorā. Rezultātā lietotājam ir jāatceras tikai viena sarežģīta parole, bet visas pārējās lietojumprogramma droši aizsargās.

Administratoram ir vairākas metodes, kā cīnīties ar paroles uzminēšanu. Viens no tiem ir izmantot L0phtCrack rīku, ko hakeri bieži izmanto, lai uzminētu paroles Windows NT vidē. Šis rīks ātri parādīs, vai lietotāja izvēlēto paroli ir viegli uzminēt. Lai iegūtu papildinformāciju, apmeklējiet vietni http://www.l0phtcrack.com/.

Cilvēka vidus uzbrukumi

Lai veiktu uzbrukumu “Man-in-the-Middle”, hakeram ir nepieciešama piekļuve tīklā pārsūtītajām paketēm. Šādu piekļuvi visām paketēm, ko pārraida no pakalpojumu sniedzēja uz jebkuru citu tīklu, var iegūt, piemēram, šī pakalpojumu sniedzēja darbinieks. Šāda veida uzbrukumiem bieži tiek izmantoti pakešu sniffers, transporta protokoli un maršrutēšanas protokoli.

Uzbrukumi tiek veikti ar mērķi nozagt informāciju, pārtvert pašreizējo sesiju un piekļūt privātiem tīkla resursiem, analizēt trafiku un iegūt informāciju par tīklu un tā lietotājiem, veikt DoS uzbrukumus, sagrozīt pārsūtītos datus un ievadīt nesankcionētu informāciju. tīkla sesijās.

Cilvēka vidū uzbrukumus var efektīvi apkarot, tikai izmantojot kriptogrāfiju. Ja hakeris pārtver datus no šifrētas sesijas, viņa ekrānā parādīsies nevis pārtvertais ziņojums, bet gan bezjēdzīga rakstzīmju kopa. Ņemiet vērā, ka, ja hakeris iegūst informāciju par kriptogrāfisku sesiju (piemēram, sesijas atslēgu), tas var padarīt iespējamu uzbrukumu “Man-in-the-Middle” pat šifrētā vidē.

Lietojumprogrammu līmeņa uzbrukumi

Lietojumprogrammu līmeņa uzbrukumus var veikt vairākos veidos. Visizplatītākais no tiem ir labi zināmu vājo vietu izmantošana servera programmatūrā (sendmail, HTTP, FTP). Izmantojot šīs nepilnības, hakeri var piekļūt datoram kā lietotājs, kurā darbojas lietojumprogramma (parasti nevis parasts lietotājs, bet gan priviliģēts administrators ar sistēmas piekļuves tiesībām).

Informācija par lietojumprogrammu līmeņa uzbrukumiem tiek plaši publicēta, lai dotu administratoriem iespēju novērst problēmu, izmantojot koriģējošus moduļus (lāpus). Diemžēl daudziem hakeriem ir pieejama arī šī informācija, kas ļauj pilnveidoties.

Lietojumprogrammu līmeņa uzbrukumu galvenā problēma ir tā, ka hakeri bieži izmanto portus, kuriem ir atļauts iziet cauri ugunsmūrim. Piemēram, hakeris, kurš izmanto zināmu Web servera trūkumu, TCP uzbrukumā bieži izmanto portu 80. Tā kā tīmekļa serveris nodrošina lietotājiem Web lapas, ugunsmūrim ir jānodrošina piekļuve šim portam. No ugunsmūra viedokļa uzbrukums tiek uzskatīts par standarta trafiku 80. portā.

Lietojumprogrammu līmeņa uzbrukumus nevar pilnībā novērst. Hakeri nepārtraukti atklāj un publicē jaunas lietojumprogrammu ievainojamības internetā. Vissvarīgākais šeit ir laba sistēmas administrēšana. Tālāk ir norādīti daži pasākumi, ko varat veikt, lai samazinātu neaizsargātību pret šāda veida uzbrukumiem.

lasīt operētājsistēmas un tīkla žurnālfailus un/vai analizēt tos, izmantojot īpašas analītiskās lietojumprogrammas;
Abonējiet lietojumprogrammas ievainojamības ziņošanas pakalpojumu: Bugtrad (http://www.securityfocus.com).

Tīkla izlūkošana

Tīkla izlūkošana attiecas uz tīkla informācijas vākšanu, izmantojot publiski pieejamus datus un lietojumprogrammas. Gatavojot uzbrukumu tīklam, hakeris parasti cenšas iegūt par to pēc iespējas vairāk informācijas. Tīkla izlūkošana tiek veikta DNS vaicājumu, ping un portu skenēšanas veidā.

DNS vaicājumi palīdz saprast, kam pieder konkrēts domēns un kādas adreses šim domēnam ir piešķirtas. DNS atklāto adrešu piesūtīšana ļauj redzēt, kuri resursdatori faktiski darbojas noteiktā vidē. Saņemot resursdatoru sarakstu, hakeris izmanto portu skenēšanas rīkus, lai izveidotu pilnu pakalpojumu sarakstu, ko atbalsta šie resursdatori. Visbeidzot, hakeris analizē to lietojumprogrammu īpašības, kas darbojas saimniekdatoros. Rezultātā viņš iegūst informāciju, ko var izmantot uzlaušanai.

Pilnībā atbrīvoties no tīkla inteliģences nav iespējams. Ja, piemēram, malas maršrutētājos atspējojat ICMP atbalsi un atbalss atbildi, jūs atbrīvosities no ping testēšanas, taču zaudēsiet datus, kas nepieciešami tīkla kļūmju diagnosticēšanai.

Turklāt jūs varat skenēt portus bez iepriekšējas ping pārbaudes - tas vienkārši prasīs vairāk laika, jo jums būs jāskenē neeksistējošas IP adreses. Tīkla un saimniekdatora līmeņa IDS sistēmas parasti veic labu darbu, brīdinot administratorus par notiekošo tīkla izpēti, ļaujot viņiem labāk sagatavoties gaidāmajam uzbrukumam un brīdināt interneta pakalpojumu sniedzēju (ISP), kura tīklā sistēma ir pārāk ziņkārīga:

izmantot jaunākās operētājsistēmu un lietojumprogrammu versijas un jaunākos korekcijas moduļus (lāpus);
Papildus sistēmas administrēšanai izmantojiet uzbrukumu noteikšanas sistēmas (IDS) - divas papildu ID tehnoloģijas:
- Tīkla IDS sistēma (NIDS) uzrauga visas paketes, kas iet caur noteiktu domēnu. Kad NIDS sistēma redz paketi vai pakešu sēriju, kas atbilst zināma vai iespējama uzbrukuma parakstam, tā ģenerē trauksmi un/vai pārtrauc sesiju;
- IDS sistēma (HIDS) aizsargā resursdatoru, izmantojot programmatūras aģentus. Šī sistēma cīnās tikai ar uzbrukumiem vienam saimniekdatoram.

Savā darbā IDS sistēmas izmanto uzbrukuma parakstus, kas ir konkrētu uzbrukumu vai uzbrukumu veidu profili. Paraksti nosaka nosacījumus, kādos satiksme tiek uzskatīta par hakeru. IDS analogus fiziskajā pasaulē var uzskatīt par brīdinājuma sistēmu vai novērošanas kameru.

Lielākais IDS trūkums ir to spēja radīt trauksmes signālus. Lai samazinātu viltus trauksmju skaitu un nodrošinātu pareizu IDS sistēmas darbību tīklā, ir nepieciešama rūpīga sistēmas konfigurēšana.

Uzticības pārkāpšana

Stingri sakot, šāda veida darbība nav vārda pilnā nozīmē uzbrukums vai uzbrukums. Tas atspoguļo tīklā esošo uzticības attiecību ļaunprātīgu izmantošanu. Klasisks šādas ļaunprātīgas izmantošanas piemērs ir situācija korporatīvā tīkla perifērajā daļā.

Šajā segmentā bieži atrodas DNS, SMTP un HTTP serveri. Tā kā tie visi pieder vienam segmentam, jebkura no tiem uzlaušana noved pie visu pārējo uzlaušanas, jo šie serveri uzticas citām sistēmām savā tīklā.

Vēl viens piemērs ir sistēma, kas instalēta ugunsmūra ārpusē un kurai ir uzticības attiecības ar sistēmu, kas instalēta ugunsmūra iekšpusē. Ja ārējā sistēma ir apdraudēta, hakeris var izmantot uzticības attiecības, lai iekļūtu sistēmā, ko aizsargā ugunsmūris.

Uzticības pārkāpuma risku var samazināt, stingrāk kontrolējot uzticības līmeni savā tīklā. Sistēmām, kas atrodas ārpus ugunsmūra, nekad nevajadzētu pilnībā uzticēties sistēmām, kuras aizsargā ugunsmūris.

Uzticamības attiecības jāierobežo ar konkrētiem protokoliem un, ja iespējams, jāautentificē ar citiem parametriem, nevis IP adresēm.

Portu pārsūtīšana

Portu pāradresācija ir uzticības ļaunprātīgas izmantošanas veids, kurā tiek izmantots uzlauzts resursdators, lai pārraidītu trafiku caur ugunsmūri, kas pretējā gadījumā tiktu noraidīts. Iedomāsimies ugunsmūri ar trim saskarnēm, no kurām katra ir savienota ar noteiktu resursdatoru.

Ārējais resursdators var izveidot savienojumu ar koplietojamo resursdatoru (DMZ), bet ne ar tādu, kas ir instalēts ugunsmūra iekšpusē. Koplietotais resursdators var izveidot savienojumu gan ar iekšējo, gan ar ārējo saimniekdatoru. Ja hakeris pārņem koplietojamo resursdatoru, viņš var tajā instalēt programmatūru, kas novirza trafiku no ārējā resursdatora tieši uz iekšējo.

Lai gan tas nepārkāpj nevienu no ekrānā redzamajiem noteikumiem, novirzīšanas rezultātā ārējais resursdators iegūst tiešu piekļuvi aizsargātajam saimniekdatoram. Piemērs lietojumprogrammai, kas var nodrošināt šādu piekļuvi, ir netcat. Plašāku informāciju var atrast vietnē http://www.avian.org.

Galvenais veids, kā cīnīties pret portu pāradresāciju, ir izmantot spēcīgas uzticamības modeļus (skatiet iepriekšējo sadaļu). Turklāt resursdatora IDS sistēma (HIDS) var neļaut hakeram instalēt savu programmatūru resursdatorā.

Nesankcionēta piekļuve

Neatļautu piekļuvi nevar identificēt kā atsevišķu uzbrukuma veidu, jo lielākā daļa tīkla uzbrukumu tiek veikti tieši, lai iegūtu nesankcionētu piekļuvi. Lai uzminētu Telnet pieteikšanos, hakeram vispirms savā sistēmā jāsaņem Telnet mājiens. Pēc savienojuma izveides ar Telnet portu ekrānā tiek parādīts ziņojums “šī resursa izmantošanai nepieciešama autorizācija” (“ Lai izmantotu šo resursu, ir nepieciešama autorizācija.»).

Ja hakeris pēc tam turpinās mēģināt piekļūt, tas tiks uzskatīts par nesankcionētu. Šādu uzbrukumu avots var būt gan tīklā, gan ārpus tā.

Metodes, lai apkarotu nesankcionētu piekļuvi, ir diezgan vienkāršas. Galvenais šeit ir samazināt vai pilnībā novērst hakeru spēju piekļūt sistēmai, izmantojot nesankcionētu protokolu.

Piemēram, apsveriet iespēju neļaut hakeriem piekļūt Telnet portam serverī, kas nodrošina tīmekļa pakalpojumus ārējiem lietotājiem. Bez piekļuves šim portam hakeris nevarēs tai uzbrukt. Kas attiecas uz ugunsmūri, tā galvenais uzdevums ir novērst visvienkāršākos nesankcionētas piekļuves mēģinājumus.

Vīrusi un Trojas zirgu lietojumprogrammas

Galalietotāju darbstacijas ir ļoti neaizsargātas pret vīrusiem un Trojas zirgiem. Vīrusi ir ļaunprātīgas programmas, kas tiek ievietotas citās programmās, lai galalietotāja darbstacijā veiktu noteiktu nevēlamu funkciju. Piemērs ir vīruss, kas ierakstīts failā command.com (galvenais Windows sistēmu tulks) un izdzēš citus failus, kā arī inficē visas pārējās atrastās Command.com versijas.

Trojas zirgs nav programmatūras ieliktnis, bet gan īsta programma, kas no pirmā acu uzmetiena šķiet noderīga lietojumprogramma, taču patiesībā tai ir kaitīga loma. Tipiska Trojas zirga piemērs ir programma, kas izskatās kā vienkārša spēle lietotāja darbstacijai.

Tomēr, kamēr lietotājs spēlē spēli, programma pa e-pastu nosūta savas kopijas katram šī lietotāja adrešu grāmatas abonentam. Visi abonenti saņem spēli pa pastu, izraisot tās tālāku izplatīšanu.

Šis raksts ir paredzēts tiem, kuri pirmo reizi saskaras ar nepieciešamību izveidot attālo savienojumu ar MySQL datu bāzi. Rakstā ir runāts par grūtībām, kuras...

Gandrīz katrā reģistrācijas vietnē ir veidlapa “Atcerēties paroli”, ar tās palīdzību jūs varat iegūt aizmirsto paroli, nevis e-pastā. Paroles izsūtīšana nav pilnīgi droša...

Populārs kategorijā: