Tīkla uzbrukumu raksturīgās iezīmes. Hakeru uzbrukumu veidi tīmekļa resursiem

Mūsu datorsistēmas ir neaizsargātas pret dažāda veida uzbrukumiem. Lai aizsargātu sistēmu no šiem uzbrukumiem, ir svarīgi zināt izplatītos datoru uzbrukumus Mūsdienu pasaulē ir kļuvusi gandrīz izplatīta situācija, kad dzirdam par uzbrukumiem personālajiem datorsistēmām vai tīkliem. Šajā tehnoloģiju laikmetā ir dažāda veida datoruzbrukumi, no kuriem ir jāaizsargā savi vērtīgie dati, sistēmas un tīkli. Lai gan daži uzbrukumi var vienkārši sabojāt datorā esošos datus, ir arī citi uzbrukumi, kuros var tikt izmantoti dati no datorsistēmas var tikt nozagts, kā arī citi uzbrukumi, kuros var slēgt visu tīklu.

Vienkārši izsakoties, ir divi galvenie uzbrukumu veidi, pasīvie uzbrukumi un aktīvie uzbrukumi. Pasīvie uzbrukumi tiek uzraudzīti un vēlāk tiek izmantoti ļaunprātīgām interesēm, savukārt aktīvie uzbrukumi ir tie, kuros notiek datu vai datu izmaiņas. tiks dzēsti vai tīkli tiks pilnībā iznīcināti. Tālāk ir norādīti daži no visbiežāk sastopamajiem aktīvo un pasīvo uzbrukumu veidiem, kas var ietekmēt datorus.

Aktīvie datoru uzbrukumu veidi

Vīruss

Slavenākie datoru uzbrukumi un vīrusi pastāv jau ilgu laiku. Tie tiek instalēti datoros un izplatās uz citiem sistēmas failiem. Tie bieži tiek izplatīti, izmantojot ārējos cietos diskus, noteiktas interneta vietnes vai kā e-pasta pielikumus. Kad vīrusi tiek palaisti, tie kļūst neatkarīgi no radītāja, un to mērķis ir inficēt daudzus failus un citas sistēmas.

Sakņu komplekts

Hakeri iegūst piekļuvi sistēmai, izmantojot draiveru saknes komplektu, un pilnībā kontrolē datoru. Tie ir vieni no visbīstamākajiem datoru uzbrukumiem, jo ​​hakeris var iegūt lielāku kontroli pār sistēmu nekā sistēmas īpašnieks. Dažos gadījumos hakeri var ieslēgt arī tīmekļa kameru un uzraudzīt upura darbības, zinot par viņu visu.

Trojas zirgs

Datoruzbrukumu sarakstā Trojas zirgi ieņem augstāko vietu pēc vīrusiem. Tie bieži ir iegulti programmatūrā, ekrānsaudzētājos vai spēlēs, kas darbosies normāli ar vīrusu vai sakņu komplektu. Citiem vārdiem sakot, tie darbojas kā vīrusu nesēji vai sakņu komplekti, lai inficētu sistēmu.

Tārps

Tārpus var saukt par vīrusu radiniekiem. Atšķirība starp vīrusiem un interneta tārpiem ir tāda, ka tārpi inficē sistēmu bez lietotāja palīdzības. Pirmais solis ir tas, ka tārpi skenē datorus, meklējot ievainojamības, pēc tam iekopējas sistēmā un inficē sistēmu, un process atkārtojas.

Pasīvie datoru uzbrukumu veidi

Noklausīšanās

Kā norāda nosaukums, hakeri slepeni dzirdēs sarunas, kas notiek starp diviem datoriem tīklā. Tas var notikt slēgtā sistēmā, kā arī internetā. Citi nosaukumi, ar kuriem tas ir saistīts, ir snooping. Izmantojot noklausīšanos, sensitīvi dati var nonākt tīklā un tiem var piekļūt citi cilvēki.

Paroles uzbrukumi

Viens no izplatītākajiem kiberuzbrukumu veidiem ir paroles uzbrukumi Šeit hakeri iegūst piekļuvi datoram un tīkla resursiem, iegūstot kontroles paroli. Bieži vien ir redzams, ka uzbrucējs ir mainījis servera un tīkla konfigurāciju un dažos gadījumos var pat dzēst datus, turklāt datus var pārsūtīt uz dažādiem tīkliem.

Kompromitēta uzbrukuma atslēga

Konfidenciālu datu glabāšanai var izmantot slepenu kodu vai numuru. Atslēgas iegūšana neapšaubāmi ir patiess milzīgs hakera uzdevums, un iespējams, ka pēc intensīvas izpētes hakeris patiešām spēj pielikt rokas pie atslēgām. Ja atslēga ir hakera rīcībā, to sauc par uzlauztu atslēgu. Hakerim tagad būs piekļuve konfidenciāliem datiem un viņš varēs veikt izmaiņas datos. Tomēr pastāv arī iespēja, ka hakeris izmēģinās dažādas permutācijas un atslēgas kombinācijas, lai piekļūtu citām sensitīvo datu kopām.

Identitātes uzdošanās

Katram datoram ir IP adrese, kuras dēļ tas ir derīgs un neatkarīgs tīklā. Viens no izplatītākajiem datoru uzbrukumiem ir cita datora identitātes pieņemšana. Šeit var nosūtīt IP paketes no derīgām adresēm un piekļūt noteiktai IP. Kad piekļuve ir iegūta, sistēmas datus var dzēst, modificēt vai novirzīt. Turklāt hakeris var izmantot šo apdraudēto IP adresi, lai uzbruktu citām sistēmām tīklā vai ārpus tā.

Lietojumprogrammu slāņa uzbrukumi

Lietojumprogrammas līmeņa uzbrukuma mērķis ir izraisīt avāriju servera operētājsistēmā. Kad operētājsistēmā ir radusies kļūda, hakeris var piekļūt, lai kontrolētu serveri . Sistēmā var tikt ievadīts vīruss vai serverim var tikt nosūtīti vairāki pieprasījumi, kas var izraisīt tā avāriju, vai var tikt atspējota drošības kontrole, kas apgrūtina servera atkopšanu.

Šie bija daži no uzbrukumu veidiem, kuriem var tikt pakļauti serveri un atsevišķas datorsistēmas. Jaunāko datoruzbrukumu saraksts ar katru dienu turpina pieaugt, un tiem hakeri izmanto jaunas uzlaušanas metodes.

Attālā tīkla uzbrukums- informācijas destruktīva ietekme uz izkliedētu skaitļošanas sistēmu, kas tiek veikta programmatiski, izmantojot sakaru kanālus.

Ievads

Sakaru organizēšanai neviendabīgā tīkla vidē tiek izmantots TCP/IP protokolu komplekts, kas nodrošina savietojamību starp dažāda veida datoriem. Šis protokolu komplekts ir guvis popularitāti, pateicoties tā savietojamībai un piekļuves nodrošināšanai globālā interneta resursiem, un ir kļuvis par standartu internetam. Tomēr TCP/IP protokolu kaudzes visuresamība ir atklājusi arī tās nepilnības. Īpaši tādēļ izkliedētās sistēmas ir uzņēmīgas pret attālinātiem uzbrukumiem, jo ​​to komponenti parasti izmanto atvērtus datu pārraides kanālus, un uzbrucējs var ne tikai pasīvi noklausīties pārsūtīto informāciju, bet arī modificēt pārraidīto trafiku.

Attālināta uzbrukuma noteikšanas grūtības un relatīvā ieviešanas vienkāršība (mūsdienu sistēmu liekās funkcionalitātes dēļ) izvirza šāda veida nelikumīgas darbības pirmajā vietā pēc bīstamības pakāpes un novērš savlaicīgu reaģēšanu uz draudiem. kā rezultātā uzbrucējs palielina izredzes veiksmīgi īstenot uzbrukumu.

Uzbrukumu klasifikācija

Pēc ietekmes rakstura

• Pasīvs
• Aktīvs

Pasīvā ietekme uz sadalīto skaitļošanas sistēmu (DCS) ir kāda ietekme, kas tieši neietekmē sistēmas darbību, bet tajā pašā laikā var pārkāpt tās drošības politiku. Tiešas ietekmes trūkums uz RVS darbību tieši noved pie tā, ka pasīvā attālinātā ietekme (RPI) ir grūti konstatējama. Iespējamais tipiska PUV piemērs DCS ir sakaru kanāla klausīšanās tīklā.

Aktīva ietekme uz DCS - ietekme, kas tieši ietekmē pašas sistēmas darbību (funkcionalitātes pasliktināšanās, DCS konfigurācijas maiņa utt.), kas pārkāpj tajā pieņemto drošības politiku. Gandrīz visi attālo uzbrukumu veidi ir aktīva ietekme. Tas ir saistīts ar faktu, ka kaitīgās iedarbības būtība ietver aktīvo vielu. Skaidra atšķirība starp aktīvo ietekmi un pasīvo ietekmi ir tās noteikšanas pamatiespēja, jo tās ieviešanas rezultātā sistēmā notiek dažas izmaiņas. Ar pasīvu ietekmi nepaliek nekādas pēdas (tā kā uzbrucējs sistēmā aplūko kāda cita ziņojumu, tajā pašā brīdī nekas nemainīsies).

Pēc ietekmes mērķa

• sistēmas darbības traucējumi (piekļuve sistēmai)
• informācijas resursu integritātes pārkāpums (IR)
• IR konfidencialitātes pārkāpums

Šī īpašība, pēc kuras tiek veikta klasifikācija, būtībā ir tieša trīs pamata draudu veida projekcija - pakalpojuma atteikums, izpaušana un integritātes pārkāpums.

Gandrīz jebkura uzbrukuma galvenais mērķis ir iegūt nesankcionētu piekļuvi informācijai. Ir divas galvenās informācijas iegūšanas iespējas: izkropļošana un pārtveršana. Iespēja pārtvert informāciju nozīmē piekļūt tai bez iespējas to mainīt. Tādējādi informācijas pārtveršana izraisa tās konfidencialitātes pārkāpumu. Informācijas pārtveršanas piemērs ir kanāla klausīšanās tīklā. Šajā gadījumā ir neleģitīma piekļuve informācijai bez iespējamām iespējām to aizstāt. Tāpat ir acīmredzams, ka informācijas konfidencialitātes pārkāpums attiecas uz pasīvu ietekmi.

Informācijas aizstāšanas iespēja ir jāsaprot vai nu kā pilnīga kontrole pār informācijas plūsmu starp sistēmas objektiem, vai arī spēja pārsūtīt dažādus ziņojumus kāda cita vārdā. Tāpēc ir skaidrs, ka informācijas aizstāšana noved pie tās integritātes pārkāpuma. Šāda informācijas destruktīva ietekme ir tipisks aktīvas ietekmes piemērs. Attālināta uzbrukuma piemērs, kas paredzēts, lai pārkāptu informācijas integritāti, ir “False RVS object” attālais uzbrukums (RA).

Pamatojoties uz atgriezeniskās saites klātbūtni no uzbrukuma objekta

• ar atsauksmēm
• bez atgriezeniskās saites (vienvirziena uzbrukums)

Uzbrucējs nosūta dažus pieprasījumus uzbrūkošajam objektam, uz ko viņš sagaida atbildi. Līdz ar to starp uzbrucēju un uzbrūkošo parādās atgriezeniskā saite, ļaujot pirmajam adekvāti reaģēt uz visa veida izmaiņām uzbrūkošajā objektā. Tā ir attālināta uzbrukuma būtība, kas tiek veikta, ja ir atgriezeniskā saite no uzbrūkošā objekta. Šādi uzbrukumi ir raksturīgākie RVS.

Atvērtā cikla uzbrukumiem ir raksturīgs tas, ka tiem nav jāreaģē uz uzbrukuma objekta izmaiņām. Šādi uzbrukumi parasti tiek veikti, nosūtot atsevišķus pieprasījumus uzbrukuma objektam. Uzbrucējam nav vajadzīgas atbildes uz šiem pieprasījumiem. Šādu UA var saukt arī par vienvirziena UA. Vienvirziena uzbrukumu piemērs ir tipisks DoS uzbrukums.

Atbilstoši trieciena sākuma stāvoklim

Attālināta ietekme, tāpat kā jebkura cita, var sākties tikai noteiktos apstākļos. RVS ir trīs šādu nosacītu uzbrukumu veidi:

• uzbrukums pēc uzbrukuma objekta pieprasījuma
• uzbrukums, iestājoties sagaidāmam notikumam uzbrukuma objektam
• beznosacījumu uzbrukums

Ietekme no uzbrucēja sāksies ar nosacījumu, ka potenciālais uzbrukuma mērķis pārsūtīs noteikta veida pieprasījumu. Šādu uzbrukumu var saukt par uzbrukumu pēc uzbrukuma objekta pieprasījuma. Šis UA veids ir raksturīgākais RVS. Šādu pieprasījumu piemērs internetā ir DNS un ARP pieprasījumi, bet Novell NetWare - SAP pieprasījums.

Uzbrukums, iestājoties sagaidāmam notikumam uzbrukuma objektam. Uzbrucējs nepārtraukti uzrauga uzbrukuma attālā mērķa OS stāvokli un sāk ietekmēt, kad šajā sistēmā notiek konkrēts notikums. Pats uzbrukuma objekts ir uzbrukuma iniciators. Šāda notikuma piemērs varētu būt, ka lietotāja sesija ar serveri tiek pārtraukta, neizdodot komandu LOGOUT programmā Novell NetWare.

Beznosacījumu uzbrukums tiek veikts nekavējoties un neatkarīgi no operētājsistēmas un uzbrukuma objekta stāvokļa. Tāpēc uzbrucējs šajā gadījumā ir uzbrukuma iniciators.

Ja tiek traucēta normāla sistēmas darbība, tiek sasniegti citi mērķi un nav sagaidāms, ka uzbrucējs iegūs nelikumīgu piekļuvi datiem. Tās mērķis ir atspējot OS uz uzbrukuma objektu un padarīt neiespējamu citiem sistēmas objektiem piekļuvi šī objekta resursiem. Šāda veida uzbrukuma piemērs ir DoS uzbrukums.

Pēc uzbrukuma objekta atrašanās vietas attiecībā pret uzbrukuma objektu

• intrasegmentāls
• starpsegmentāls

Dažas definīcijas:

Uzbrukuma avots (uzbrukuma priekšmets)- programma (iespējams, operators), kas vada uzbrukumu un veic tiešu ietekmi.

Uzņēmēja- dators, kas ir tīkla elements.

Maršrutētājs- ierīce, kas maršrutē paketes tīklā.

Apakštīkls ir resursdatoru grupa, kas ir daļa no globālā tīkla un atšķiras ar to, ka maršrutētājs tiem piešķir vienu un to pašu apakštīkla numuru. Mēs varam arī teikt, ka apakštīkls ir loģiska saimniekdatoru asociācija, izmantojot maršrutētāju. Viena apakštīkla resursdatori var sazināties tieši viens ar otru, neizmantojot maršrutētāju.

Tīkla segments- saimnieku apvienošana fiziskajā līmenī.

No attālinātā uzbrukuma viedokļa ārkārtīgi svarīga ir uzbrukuma subjekta un objekta relatīvā atrašanās vieta, tas ir, vai tie atrodas dažādos vai identiskos segmentos. Segmenta iekšējā uzbrukuma laikā uzbrukuma subjekts un mērķis atrodas vienā segmentā. Starpsegmentu uzbrukuma gadījumā uzbrukuma subjekts un mērķis atrodas dažādos tīkla segmentos. Šī klasifikācijas iezīme ļauj spriest par tā saukto uzbrukuma “attāluma pakāpi”.

Tālāk tiks parādīts, ka segmenta iekšējo uzbrukumu ir daudz vieglāk veikt nekā starpsegmentu uzbrukumu. Mēs arī atzīmējam, ka starpsegmentu attālināts uzbrukums rada daudz lielākas briesmas nekā segmenta iekšējais uzbrukums. Tas ir saistīts ar to, ka starpsegmentu uzbrukuma gadījumā mērķis un uzbrucējs var atrasties daudzu tūkstošu kilometru attālumā viens no otra, kas var būtiski kavēt pasākumus uzbrukuma atvairīšanai.

Atbilstoši ISO/OSI atsauces modeļa līmenim, kurā tiek veikta ietekme

• fiziskais
• kanālu
• tīkls
• transports
• sesijas
• pārstāvis
• piemērots

Starptautiskā standartizācijas organizācija (ISO) pieņēma ISO 7498 standartu, kas apraksta atvērto sistēmu savstarpējo savienojumu (OSI), pie kura pieder arī RBC. Katru tīkla sakaru protokolu, kā arī katru tīkla programmu vienā vai otrā veidā var projicēt uz OSI atsauces 7 slāņu modeli. Šī daudzlīmeņu projekcija ļauj aprakstīt tīkla protokolā vai programmā izmantotās funkcijas, izmantojot OSI modeli. UA ir tīkla programma, un ir loģiski to aplūkot no projekcijas viedokļa uz ISO/OSI atsauces modeli.

Dažu tīkla uzbrukumu īss apraksts

Datu sadrumstalotība

Kad IP datu pakete tiek pārsūtīta tīklā, paketi var sadalīt vairākos fragmentos. Pēc tam, sasniedzot galamērķi, pakete tiek rekonstruēta no šiem fragmentiem. Uzbrucējs var sākt liela skaita fragmentu nosūtīšanu, kas izraisa programmatūras buferu pārpildīšanu saņēmējā pusē un dažos gadījumos sistēmas avāriju.

Ping plūdu uzbrukums

Šim uzbrukumam uzbrucējam ir jābūt piekļuvei ātriem interneta kanāliem.

Ping programma nosūta ECHO REQUEST tipa ICMP paketi, iestatot tajā laiku un tā identifikatoru. Saņēmējas mašīnas kodols atbild uz šādu pieprasījumu ar ICMP ECHO REPLY paketi. Saņemot to, ping parāda paketes ātrumu.

Standarta darbības režīmā paketes tiek sūtītas ar regulāriem intervāliem, praktiski bez tīkla slodzes. Bet "agresīvajā" režīmā ICMP atbalss pieprasījumu/atbilžu pakešu plūdi var radīt sastrēgumus mazā līnijā, neļaujot tai pārraidīt noderīgu informāciju.

Nestandarta protokoli, kas iekapsulēti IP

IP pakete satur lauku, kas norāda iekapsulētās paketes protokolu (TCP, UDP, ICMP). Uzbrucēji var izmantot nestandarta šī lauka vērtību, lai pārsūtītu datus, kas netiks ierakstīti ar standarta informācijas plūsmas kontroles rīkiem.

Smurfu uzbrukums

Smurfu uzbrukums ietver apraides ICMP pieprasījumu nosūtīšanu tīklam cietušā datora vārdā.

Rezultātā datori, kuri ir saņēmuši šādas apraides paketes, reaģē uz upura datoru, kas izraisa ievērojamu sakaru kanāla caurlaidības samazināšanos un dažos gadījumos uzbrukuma tīkla pilnīgu izolāciju. Smurfu uzbrukums ir ārkārtīgi efektīvs un plaši izplatīts.

Pretdarbība: lai atpazītu šo uzbrukumu, ir jāanalizē kanāla noslodze un jānosaka caurlaidspējas samazināšanās iemesli.

DNS viltošanas uzbrukums

Šī uzbrukuma rezultāts ir piespiedu korespondence starp IP adresi un domēna nosaukumu DNS servera kešatmiņā. Veiksmīga uzbrukuma rezultātā visi DNS servera lietotāji saņems nepareizu informāciju par domēna vārdiem un IP adresēm. Šo uzbrukumu raksturo liels skaits DNS pakešu ar vienādu domēna nosaukumu. Tas ir saistīts ar nepieciešamību atlasīt dažus DNS apmaiņas parametrus.

Pretdarbība: lai noteiktu šādu uzbrukumu, ir jāanalizē DNS trafika saturs vai jāizmanto DNSSEC.

IP viltošanas uzbrukums

Liels skaits uzbrukumu internetā ir saistīti ar avota IP adreses viltošanu. Šādi uzbrukumi ietver arī syslog viltošanu, kas ietver ziņojuma nosūtīšanu cietušajam datoram cita iekšējā tīklā esošā datora vārdā. Tā kā sistēmas žurnālu uzturēšanai tiek izmantots syslog protokols, nosūtot upura datoram viltus ziņojumus, ir iespējams izraisīt informāciju vai slēpt nesankcionētas piekļuves pēdas.

Pretpasākumi: ar IP adrešu viltošanu saistītu uzbrukumu noteikšana ir iespējama, uzraugot paketes saņemšanu vienā no saskarnēm ar tās pašas saskarnes avota adresi vai uzraugot pakešu saņemšanu ar iekšējā tīkla IP adresēm ārējā saskarnē .

Pakas uzlikšana

Uzbrucējs tīklā nosūta paketes ar nepatiesu atgriešanas adresi. Izmantojot šo uzbrukumu, uzbrucējs var pārslēgt izveidotos savienojumus starp citiem datoriem uz savu datoru. Šajā gadījumā uzbrucēja piekļuves tiesības kļūst vienādas ar tā lietotāja tiesībām, kura savienojums ar serveri tika pārslēgts uz uzbrucēja datoru.

Šņaukšana — kanāla klausīšanās

Iespējama tikai lokālā tīkla segmentā.

Gandrīz visas tīkla kartes atbalsta iespēju pārtvert paketes, kas tiek pārraidītas pa kopīgu lokālā tīkla kanālu. Šajā gadījumā darbstacija var saņemt paketes, kas adresētas citiem datoriem tajā pašā tīkla segmentā. Tādējādi visa informācijas apmaiņa tīkla segmentā kļūst pieejama uzbrucējam. Lai veiksmīgi īstenotu šo uzbrukumu, uzbrucēja datoram ir jāatrodas tajā pašā lokālā tīkla segmentā, kurā atrodas uzbrukušais dators.

Pakešu pārtveršana maršrutētājā

Maršrutētāja tīkla programmatūrai ir piekļuve visām tīkla paketēm, kas tiek nosūtītas caur maršrutētāju, ļaujot pārtvert pakešu. Lai veiktu šo uzbrukumu, uzbrucējam ir jābūt priviliģētai piekļuvei vismaz vienam tīkla maršrutētājam. Tā kā tik daudz pakešu parasti tiek pārsūtītas caur maršrutētāju, to pilnīga pārtveršana ir gandrīz neiespējama. Tomēr atsevišķas paketes var pārtvert un uzglabāt vēlākai analīzei, ko veic uzbrucējs. Visefektīvākā FTP pakešu, kas satur lietotāju paroles, kā arī e-pasta pārtveršana.

Viltus maršruta piespiešana saimniekdatoram, izmantojot ICMP

Internetā ir īpašs protokols ICMP (Internet Control Message Protocol), kura viena no funkcijām ir informēt saimniekus par pašreizējā maršrutētāja maiņu. Šo vadības ziņojumu sauc par novirzīšanu. Ir iespējams nosūtīt viltus pāradresācijas ziņojumu no jebkura tīkla segmenta resursdatora maršrutētāja vārdā uz uzbrukuma resursdatoru. Rezultātā mainās resursdatora pašreizējā maršrutēšanas tabula, un turpmāk visa šī resursdatora tīkla trafika tiks nodota, piemēram, caur resursdatoru, kas nosūtīja viltus novirzīšanas ziņojumu. Tādā veidā ir iespējams aktīvi uzspiest viltus maršrutu vienā interneta segmentā.

Līdztekus parastajiem datiem, kas tiek nosūtīti, izmantojot TCP savienojumu, standarts nodrošina arī steidzamu (Out Of Band) datu pārraidi. TCP pakešu formātu līmenī tas tiek izteikts kā steidzams rādītājs, kas nav nulle. Lielākajai daļai datoru ar instalētu Windows ir NetBIOS tīkla protokols, kas savām vajadzībām izmanto trīs IP portus: 137, 138, 139. Ja izveidojat savienojumu ar Windows datoru, izmantojot portu 139 un nosūtāt vairākus baitus OutOfBand datu, tad NetBIOS ieviešana Nezinot, ko darīt ar šiem datiem, tas vienkārši uzkaras vai pārstartē mašīnu. Operētājsistēmā Windows 95 tas parasti izskatās kā zils teksta ekrāns, kas norāda uz kļūdu TCP/IP draiverī un nespēju strādāt ar tīklu līdz operētājsistēmas atsāknēšanai. NT 4.0 bez servisa pakotnēm tiek atsāknēts, NT 4.0 ar ServicePack 2 pakotni avarē zilā ekrānā. Spriežot pēc informācijas no tīkla, gan Windows NT 3.51, gan Windows 3.11 for Workgroups ir uzņēmīgi pret šādu uzbrukumu.

Datu nosūtīšana uz 139. portu noved pie NT 4.0 atsāknēšanas jeb “zilā nāves ekrāna” ar instalētu 2. servisa pakotni. Līdzīga datu nosūtīšana uz 135 un dažiem citiem portiem rada ievērojamu RPCSS.EXE procesa slodzi. Operētājsistēmā Windows NT WorkStation tas praktiski palēninās.

Uzticama saimniekdatora viltošana

Veiksmīga šāda veida attālo uzbrukumu ieviešana ļaus uzbrucējam veikt sesiju ar serveri uzticama saimniekdatora vārdā. (Uzticams resursdators — stacija, kas ir likumīgi savienota ar serveri). Šāda veida uzbrukuma īstenošana parasti sastāv no apmaiņas pakešu nosūtīšanas no uzbrucēja stacijas viņa kontrolē esošas uzticamas stacijas vārdā.

Uzbrukumu noteikšanas tehnoloģijas
Tīklu un informācijas tehnoloģijas mainās tik ātri, ka statiskie aizsardzības mehānismi, kas ietver piekļuves kontroles sistēmas, ugunsmūrus un autentifikācijas sistēmas, daudzos gadījumos nevar nodrošināt efektīvu aizsardzību. Tāpēc ir nepieciešamas dinamiskas metodes, lai ātri atklātu un novērstu drošības pārkāpumus. Viena no tehnoloģijām, kas var atklāt pārkāpumus, kurus nevar noteikt, izmantojot tradicionālos piekļuves kontroles modeļus, ir ielaušanās noteikšanas tehnoloģija.

Būtībā uzbrukumu noteikšanas process ir process, kurā tiek novērtētas aizdomīgas darbības, kas notiek korporatīvajā tīklā. Citiem vārdiem sakot, ielaušanās noteikšana ir process, kurā tiek identificētas un reaģētas uz aizdomīgām darbībām, kas vērstas uz skaitļošanas vai tīkla resursiem.

Tīkla informācijas analīzes metodes

Uzbrukumu noteikšanas sistēmas efektivitāte lielā mērā ir atkarīga no saņemtās informācijas analīzes metodēm. Pirmās ielaušanās atklāšanas sistēmas, kas tika izstrādātas 80. gadu sākumā, uzbrukumu noteikšanai izmantoja statistikas metodes. Pašlaik statistikas analīzei ir pievienotas vairākas jaunas metodes, sākot ar ekspertu sistēmām un izplūdušo loģiku un beidzot ar neironu tīklu izmantošanu.

Statistiskā metode

Galvenās statistikas pieejas priekšrocības ir jau izstrādāta un pārbaudīta matemātiskās statistikas aparāta izmantošana un pielāgošanās subjekta uzvedībai.

Pirmkārt, tiek noteikti profili visiem analizējamās sistēmas priekšmetiem. Jebkura izmantotā profila novirze no atsauces tiek uzskatīta par neatļautu darbību. Statistikas metodes ir universālas, jo analīzei nav vajadzīgas zināšanas par iespējamiem uzbrukumiem un to izmantotajām ievainojamībām. Tomēr, izmantojot šīs metodes, rodas problēmas:

• “statistikas” sistēmas nav jutīgas pret notikumu secību; dažos gadījumos tie paši notikumi, atkarībā no to rašanās secības, var raksturot patoloģisku vai normālu darbību;
• ir grūti noteikt uzbrukuma noteikšanas sistēmas uzraugāmo raksturlielumu robežvērtības (sliekšņa) vērtības, lai adekvāti identificētu anomālu darbību;
• Uzbrucēji laika gaitā var “apmācīt” “statistikas” sistēmas, lai uzbrukuma darbības tiktu uzskatītas par normālām.

Jāņem vērā arī tas, ka statistikas metodes nav piemērojamas gadījumos, kad lietotājam nav tipiskas uzvedības modeļa vai ja lietotājam ir raksturīgas nesankcionētas darbības.

Ekspertu sistēmas

Ekspertu sistēmas sastāv no noteikumu kopuma, kas aptver cilvēka eksperta zināšanas. Ekspertu sistēmu izmantošana ir izplatīta uzbrukumu noteikšanas metode, kurā uzbrukuma informācija tiek formulēta noteikumu veidā. Šos noteikumus var rakstīt, piemēram, kā darbību secību vai kā parakstu. Ja kāds no šiem noteikumiem ir izpildīts, tiek pieņemts lēmums par neatļautas darbības esamību. Šīs pieejas svarīga priekšrocība ir gandrīz pilnīga viltus trauksmju neesamība.

Ekspertu sistēmas datu bāzē jāiekļauj skripti lielākajai daļai pašlaik zināmo uzbrukumu. Lai ekspertu sistēmas būtu pastāvīgi atjauninātas, nepieciešama pastāvīga datubāzes atjaunināšana. Lai gan ekspertu sistēmas nodrošina labu žurnāla datu redzamību, nepieciešamos atjauninājumus var ignorēt vai administrators veikt manuāli. Tā rezultātā vismaz tiek izveidota ekspertu sistēma ar vājām iespējām. Sliktākajā gadījumā pareizas apkopes trūkums samazina visa tīkla drošību, maldinot tā lietotājus par faktisko drošības līmeni.

Galvenais trūkums ir nespēja atvairīt nezināmus uzbrukumus. Turklāt pat nelielas izmaiņas jau zināmā uzbrukumā var kļūt par nopietnu šķērsli uzbrukuma noteikšanas sistēmas darbībai.

Neironu tīkli

Lielākā daļa mūsdienu uzbrukumu noteikšanas metožu izmanto kādu kontrolētas telpas analīzi, vai nu uz noteikumiem balstītu, vai statistisku pieeju. Kontrolētā telpa var būt žurnāli vai tīkla trafiks. Analīzes pamatā ir iepriekš definētu noteikumu kopums, ko izveido administrators vai pati ielaušanās noteikšanas sistēma.

Izmantojot ekspertu sistēmas, ir grūti noteikt jebkuru uzbrukumu laika gaitā vai starp vairākiem uzbrucējiem. Sakarā ar plašu uzbrukumu un hakeru dažādību, pat ad hoc, pastāvīgie ekspertu sistēmas noteikumu datu bāzes atjauninājumi nekad negarantēs precīzu visa uzbrukumu diapazona identificēšanu.

Neironu tīklu izmantošana ir viens no veidiem, kā pārvarēt šīs ekspertu sistēmu problēmas. Atšķirībā no ekspertu sistēmām, kas var sniegt lietotājam noteiktu atbildi par aplūkojamo raksturlielumu atbilstību datubāzē iegultajiem noteikumiem, neironu tīkls analizē informāciju un sniedz iespēju novērtēt, vai dati atbilst pazīmēm, kuras tas ir. apmācīts atpazīt. Lai gan neironu tīkla attēlojuma atbilstības pakāpe var sasniegt 100%, izvēles ticamība pilnībā ir atkarīga no sistēmas kvalitātes, analizējot uzdevuma piemērus.

Pirmkārt, neironu tīkls ir apmācīts pareizi identificēt, izmantojot iepriekš atlasītu domēna piemēru paraugu. Tiek analizēta neironu tīkla reakcija un sistēma tiek pielāgota tā, lai sasniegtu apmierinošus rezultātus. Papildus sākotnējam apmācības periodam neironu tīkls laika gaitā iegūst pieredzi, analizējot domēna specifiskos datus.

Svarīga neironu tīklu priekšrocība ļaunprātīgas izmantošanas atklāšanā ir to spēja “apgūt” apzinātu uzbrukumu pazīmes un identificēt elementus, kas atšķiras no tiem, kas iepriekš tika novēroti tīklā.

Katrai no aprakstītajām metodēm ir vairākas priekšrocības un trūkumi, tāpēc tagad ir gandrīz grūti atrast sistēmu, kas ievieš tikai vienu no aprakstītajām metodēm. Parasti šīs metodes tiek izmantotas kombinācijā.

Bufera pārpildīšana ir daļa no daudzu veidu ļaunprātīgiem uzbrukumiem. Pārplūdes uzbrukumiem, savukārt, ir daudz šķirņu. Viens no visbīstamākajiem ir dialoglodziņā, papildus tekstam, tam pievienotā izpildāmā koda ievadīšana. Šādas ievades rezultātā šis kods var tikt uzrakstīts virs izpildprogrammas, kas agrāk vai vēlāk izraisīs tā izpildi. Sekas nav grūti iedomāties.

“Pasīvie” uzbrukumi, izmantojot, piemēram, sniffer, ir īpaši bīstami, jo, pirmkārt, tie praktiski nav nosakāmi, otrkārt, tie tiek palaisti no lokālā tīkla (ārējais ugunsmūris ir bezspēcīgs).

Vīrusi- ļaunprātīgas programmas, kas spēj paši kopēt un izplatīties. Vēl 1994. gada decembrī saņēmu brīdinājumu par tīkla vīrusu (labie laiki un xxx-1) izplatību internetā:

No radīšanas brīža līdz vīrusa atklāšanas brīdim paiet stundas, dienas, nedēļas un dažreiz mēneši. Tas ir atkarīgs no tā, cik ātri parādās infekcijas sekas. Jo ilgāks šis laiks, jo lielāks ir inficēto datoru skaits. Pēc inficēšanās fakta un jaunas vīrusa versijas izplatības noteikšanas paiet no pāris stundām (piemēram, Email_Worm.Win32.Bagle.bj) līdz trim nedēļām (W32.Netsky.N@mm). identificēt parakstu, izveidot pretlīdzekli un iekļaut tā parakstu datu bāzes pretvīrusu programmā. Pagaidu dzīves cikla diagramma vīruss ir parādīts attēlā. 12.1 ("Tīkla drošība", v.2005, 6. izdevums, 2005. gada jūnijs, 16.-18. lpp.). 2004. gadā vien tika reģistrēti 10 000 jaunu vīrusu parakstu. Blaster tārps inficēja 90% iekārtu 10 minūšu laikā. Šajā laikā pretvīrusu komandai ir jāatklāj objekts, tas jākvalificē un jāizstrādā pretpasākums. Ir skaidrs, ka tas ir nereāli. Tātad pretvīrusu programma nav tik daudz pretpasākums, cik nomierinošs līdzeklis. Tie paši apsvērumi attiecas uz visiem citiem uzbrukumu veidiem. Kad uzbrukuma paraksts kļūst zināms, pats uzbrukums parasti nav bīstams, jo pretpasākumi jau ir izstrādāti un ievainojamība ir novērsta. Tieši šī iemesla dēļ šāda uzmanība tiek pievērsta programmatūras atjaunināšanas (ielāpu) pārvaldības sistēmai.

Dažiem vīrusiem un tārpiem ir iebūvētas SMTP programmas, kas paredzētas to nosūtīšanai, un lūkas, lai viegli iekļūtu inficētajā mašīnā. Jaunākās versijas ir aprīkotas ar rīkiem citu vīrusu vai tārpu aktivitātes nomākšanai. Tādā veidā var izveidot veselus inficēto mašīnu tīklus (BotNet), kas ir gatavi uzsākt, piemēram, DDoS uzbrukumu komandai. Šādu zombiju mašīnu vadīšanai var izmantot protokolu IRC(Interneta releja diagramma). Šo ziņojumapmaiņas sistēmu atbalsta liels skaits serveru, un tāpēc šādu kanālu parasti ir grūti izsekot un ierakstīt. To veicina arī fakts, ka lielākā daļa sistēmu uzrauga ievades trafiku stingrāk nekā izvades trafiku. Jāpatur prātā, ka inficēta iekārta papildus DoS uzbrukumiem var kalpot arī citu datoru skenēšanai un surogātpasta sūtīšanai, nelegālu programmatūras produktu glabāšanai, pašas iekārtas kontrolei un tajā glabāto dokumentu nozagšanai, izmantoto paroļu un atslēgas identificēšanai. ko īpašnieks. Blaster vīrusa radītie zaudējumi tiek lēsti 475 000 USD apmērā.

Diemžēl nav uzticamu līdzekļu jaunu noteikšanai vīrusi (kura paraksts nav zināms).

Rīsi.

12.1.

Botu programmas ne vienmēr ir bīstamas, un tās tiek izmantotas datu vākšanai, jo īpaši par klientu vēlmēm, un Google meklētājprogrammā tās strādā, lai apkopotu un indeksētu dokumentus. Taču hakeru rokās šīs programmas pārvēršas par bīstamiem ieročiem. Slavenākais uzbrukums tika uzsākts 2005. gadā, lai gan sagatavošanās darbi un “pirmie eksperimenti” sākās 2004. gada septembrī. Programma meklēja mašīnas ar īpašām ievainojamībām, jo ​​īpaši LSASS (Local Security Authority Subsystem Service, Windows). LSASS apakšsistēma, kas izstrādāta, lai palīdzētu nodrošināt drošību, pati par sevi bija neaizsargāta pret uzbrukumiem, piemēram, bufera pārpildīšanu. Lai gan ievainojamība jau ir novērsta, iekārtu skaits ar neatjauninātu versiju joprojām ir ievērojams. Pēc ielaušanās hakeris parasti izmanto IRC, lai veiktu viņam nepieciešamās darbības (konkrēta porta atvēršana, SPAM nosūtīšana, citu potenciālo upuru skenēšana). Jauna šādu programmu iezīme ir tā, ka tās ir iegultas operētājsistēmā tādā veidā (rootkit), ka tās nevar noteikt, jo tās atrodas OS kodola apgabalā. Ja pretvīrusu programma mēģina piekļūt noteiktam atmiņas apgabalam, lai identificētu ļaunprātīgu kodu, rootkit pārtver šādu pieprasījumu un nosūta testa programmai paziņojumu, ka viss ir kārtībā. Lai padarītu situāciju vēl ļaunāku, robotprogrammas var mainīt saturu

Ar bruņotu bankas aplaupīšanu vidējie zaudējumi ir 19 tūkstoši dolāru, bet ar datornoziegumu - jau 560 tūkstoši. Pēc amerikāņu ekspertu domām, datornoziegumu radītie zaudējumi pēdējo desmit gadu laikā ik gadu pieauguši vidēji par 35%. Šajā gadījumā vidēji tiek atklāts 1% datornoziegumu, un varbūtība, ka noziedznieks par atklātu datorkrāpšanu nonāks cietumā, ir ne vairāk kā 10%.

Protams, mērķtiecīga tradicionālās drošības kontroles, piemēram, pretvīrusu programmatūras, ugunsmūru, kriptogrāfijas un tā tālāk izmantošana palīdz novērst nesankcionētu piekļuvi informācijai. Tomēr šajā gadījumā spēlē cilvēka faktors. Cilvēks, galalietotājs, izrādās vājākais posms informācijas drošības sistēmā, un hakeri, to zinot, prasmīgi izmanto sociālās inženierijas metodes. Lai kādas būtu daudzlīmeņu identifikācijas sistēmas, tām nav nekādas ietekmes, ja lietotāji, piemēram, izmanto paroles, kuras ir viegli uzlauzt. Ar profesionālu pieeju drošības jautājumiem uzņēmumi šādas problēmas risina, centralizēti izsniedzot unikālas un sarežģītas paroles vai ieviešot striktus korporatīvos noteikumus darbiniekiem un adekvātus sodus par to neievērošanu. Taču situāciju sarežģī fakts, ka pēdējā laikā datornoziedznieku lomu arvien vairāk ieņem nevis “ārējie” hakeri, bet gan paši galalietotāji. Saskaņā ar kāda amerikāņu informācijas drošības speciālista teikto: "Tipisks datornoziedznieks mūsdienās ir darbinieks, kuram ir pieeja sistēmai, kuras lietotājs viņš nav tehnisks." Amerikas Savienotajās Valstīs balto apkaklīšu izdarītie datornoziegumi veido 70–80% no ikgadējiem zaudējumiem, kas saistīti ar modernajām tehnoloģijām. Turklāt tikai 3% krāpšanas gadījumu un 8% ļaunprātīgas izmantošanas bija saistīti ar īpašu aprīkojuma, programmu vai datu iznīcināšanu. Citos gadījumos uzbrucēji ar informāciju tikai manipulējuši – to nozaga, pārveidoja vai izveidoja jaunu, nepatiesu. Mūsdienās arvien plašākā interneta izmantošana ļauj hakeriem apmainīties ar informāciju globālā mērogā. Jau sen ir izveidojies sava veida “hacker international” - galu galā internets, tāpat kā neviens cits tehnisks līdzeklis, dzēš robežas starp valstīm un pat veseliem kontinentiem. Pievienojiet tam gandrīz pilnīgu interneta anarhiju. Ikviens mūsdienās var atrast datora uzlaušanas instrukcijas un visus nepieciešamos programmatūras rīkus, vienkārši meklējot tādus atslēgvārdus kā “hacker”, “hack”, “hack”, “crack” vai “phreak”. Vēl viens faktors, kas būtiski palielina datorsistēmu ievainojamību, ir plaši izplatīta standartizētu, ērti lietojamu operētājsistēmu un izstrādes vidi izmantošana. Tas ļauj hakeriem izveidot universālus uzlaušanas rīkus, un potenciālajam uzbrucējam vairs nav vajadzīgas labas programmēšanas prasmes, kā iepriekš – pietiek zināt uzbrukuma vietnes IP adresi, un pietiek, lai veiktu uzbrukumu. lai palaistu internetā atrodamu programmu. Mūžīgā konfrontācija starp bruņām un šāviņu turpinās. Informācijas drošības speciālisti jau ir sapratuši, ka vienmēr panākt hakeru tehnoloģijas ir bezjēdzīgi, datoruzbrucēji vienmēr ir soli priekšā. Tāpēc jaunas metodes arvien vairāk balstās uz informācijas sistēmu pārkāpumu profilaktisko atklāšanu. Tomēr laika gaitā rodas jaunas problēmas, kas galvenokārt saistītas ar bezvadu sakaru attīstību. Tāpēc uzņēmumiem, kas specializējas informācijas drošībā, arvien lielāka uzmanība ir jāpievērš datu aizsardzībai, kas tiek pārraidīta, izmantojot jaunus bezvadu standartus.

Klasifikācija

Tīkla uzbrukumi ir tikpat dažādi kā sistēmas, uz kurām tie ir vērsti. Tīri tehnoloģiski lielākā daļa tīkla uzbrukumu izmanto vairākus TCP/IP protokolam raksturīgus ierobežojumus. Galu galā savulaik internets tika izveidots saziņai starp valdības aģentūrām un universitātēm, lai atbalstītu izglītības procesu un zinātniskos pētījumus. Toreiz Tīkla veidotājiem nebija ne jausmas, cik plaši tas izplatīsies. Šī iemesla dēļ interneta protokola (IP) agrīno versiju specifikācijām trūka drošības prasību, un tāpēc daudzas IP ieviešanas pēc būtības ir neaizsargātas. Tikai daudzus gadus vēlāk, kad sākās strauja e-komercijas attīstība un notika vairāki nopietni incidenti ar hakeriem, interneta protokola drošības rīkus beidzot sāka plaši ieviest. Tomēr, tā kā IP drošība sākotnēji netika izstrādāta, tās ieviešanas sāka papildināt ar dažādām tīkla procedūrām, pakalpojumiem un produktiem, kas izstrādāti, lai samazinātu šim protokolam raksturīgos riskus.

Pasta bombardēšana

E-pasta bombardēšana (tā sauktā pasta bombardēšana) ir viens no vecākajiem un primitīvākajiem interneta uzbrukumu veidiem. Pareizāk to būtu pat saukt par datorvandālismu (vai vienkārši huligānismu, atkarībā no seku nopietnības). Pasta bombardēšanas būtība ir aizsprostot pastkasti ar “junk” korespondenci vai pat atspējot interneta pakalpojumu sniedzēja pasta serveri. Šim nolūkam tiek izmantotas īpašas programmas - mailbombers. Viņi vienkārši bombardē pastkasti, kas norādīta kā mērķis, ar milzīgu skaitu burtu, vienlaikus norādot nepatiesu sūtītāja informāciju - līdz pat IP adresei. Viss, kas agresoram, izmantojot šādu programmu, ir nepieciešams norādīt uzbrukuma mērķa e-pastu, ziņojumu skaitu, uzrakstīt vēstules tekstu (parasti kaut ko aizskarošu), norādīt nepatiesus sūtītāja datus, ja programma to nedara. pats un nospiediet pogu "Start". Tomēr lielākajai daļai interneta pakalpojumu sniedzēju ir savas sistēmas, lai aizsargātu klientus no pasta bombardēšanas. Kad identisku vēstuļu skaits no viena avota sāk pārsniegt noteiktas saprātīgas robežas, visa ienākošā šāda veida korespondence tiek vienkārši iznīcināta. Tāpēc šodien vairs nav nopietnu baiļu no pasta bombardēšanas.

Paroles minēšanas uzbrukumi

Hakeris, kurš uzbrūk sistēmai, bieži sāk savas darbības, mēģinot iegūt administratora vai kāda lietotāja paroli. Lai uzzinātu paroli, ir ļoti daudz dažādu metožu. Šeit ir galvenie: IP viltošana un pakešu sniffing - mēs tos apskatīsim tālāk. “Trojas zirga” ieviešana sistēmā ir viens no izplatītākajiem paņēmieniem hakeru praksē, par to arī pastāstīsim sīkāk. Brutāla spēka uzbrukums. Ir daudzas programmas, kas veic vienkāršu paroļu meklēšanu internetā vai tieši uzbrūkošajā datorā. Dažas programmas meklē paroles, izmantojot noteiktu vārdnīcu, citas vienkārši nejauši ģenerē dažādas rakstzīmju secības. Paroles opciju loģiskā meklēšana. Uzbrucējs, izmantojot šo metodi, vienkārši izmēģina iespējamās rakstzīmju kombinācijas, kuras lietotājs var izmantot kā paroli. Šī pieeja parasti izrādās pārsteidzoši efektīva. Datoru drošības eksperti nebeidz pārsteigt, cik bieži lietotāji izmanto tādas “noslēpumainas” kombinācijas kā paroles, piemēram, 1234, qwerty vai savu vārdu, kas uzrakstīts atpakaļ. Nopietni hakeri, izvēloties vērtīgu paroli, var rūpīgi izpētīt personu, kas izmanto šo paroli. Ģimenes locekļu un citu radinieku vārdi, mīļākais suns/kaķis; kādas komandas un kādus sporta veidus atbalsta “objekts”; kādas grāmatas un filmas viņam patīk; kādu avīzi viņš lasa no rīta - visi šie dati un to kombinācijas nonāk darbībā. No šādiem uzbrukumiem var izvairīties, tikai izmantojot paroli nejaušu burtu un ciparu kombināciju, ko vēlams ģenerējusi īpaša programma. Un, protams, ir regulāri jāmaina parole – par to ir atbildīgs sistēmas administrators. Sociālā inženierija. Tā ir hakeru psiholoģisko paņēmienu izmantošana, lai "strādātu" ar lietotāju. Tipisks (un vienkāršākais) piemērs ir telefona zvans no it kā “sistēmas administratora” ar paziņojumu, piemēram, “Šeit ir radusies sistēmas kļūme un lietotāja informācija ir pazaudēta. Vai jūs, lūdzu, vēlreiz norādiet savu lietotājvārdu un paroli?” Tātad upuris pats nodod paroli hakera rokās. Papildus regulārai modrībai “vienreizējo paroļu” sistēma palīdz aizsargāt pret šādiem uzbrukumiem. Tomēr sarežģītības dēļ tas vēl nav saņēmis plašu izplatību.

Vīrusi, e-pasta tārpi un Trojas zirgi

Šīs nelaimes galvenokārt skar nevis pakalpojumu sniedzējus vai korporatīvos sakarus, bet gan galalietotāju datorus. Sakāves mērogs ir vienkārši iespaidīgs – globālās datoru epidēmijas, kas uzliesmo arvien biežāk, rada vairāku miljardu dolāru zaudējumus. “Ļaunprātīgo” programmu autori kļūst arvien izsmalcinātāki, mūsdienu vīrusos iemiesojot vismodernākās programmatūras un psiholoģiskās tehnoloģijas. Vīrusi un Trojas zirgi ir dažādas “naidīga” programmas koda klases. Vīrusi ir iegulti citās programmās, lai veiktu savu ļaunprātīgo funkciju gala lietotāja darbstacijā. Tas varētu būt, piemēram, visu vai tikai atsevišķu cietajā diskā esošo failu iznīcināšana (visbiežāk), aprīkojuma bojājumi (pagaidām eksotiski) vai citas darbības. Vīrusi bieži tiek ieprogrammēti, lai aktivizētos noteiktā datumā (tipisks piemērs ir slavenais WinChih jeb “Černobiļa”), kā arī sūtīt savas kopijas pa e-pastu uz visām adresēm, kas atrodamas lietotāja adrešu grāmatā. Trojas zirgs, atšķirībā no vīrusa, ir neatkarīga programma, kas visbiežāk nav vērsta uz vīrusiem raksturīgās informācijas rupju iznīcināšanu. Parasti Trojas zirga ieviešanas mērķis ir iegūt slēptu tālvadības pulti pār datoru, lai manipulētu ar tajā esošo informāciju. Trojas zirgi veiksmīgi maskējas par dažādām spēlēm vai noderīgām programmām, no kurām ļoti daudzas internetā tiek izplatītas bez maksas. Turklāt hakeri dažreiz iegulst Trojas zirgus pilnīgi “nevainīgās” un cienījamās programmās. Nonācis datorā, Trojas zirgs savu klātbūtni parasti nereklamē, pildot savas funkcijas pēc iespējas slepenāk. Šāda programma var, piemēram, klusi nosūtīt savam hakeru īpašniekam paroli un pieteikšanos, lai piekļūtu internetam no šī konkrētā datora; izveidot un nosūtīt noteiktus failus uz tajā iegulto adresi; izsekot visu, kas tiek ievadīts no tastatūras utt. Sarežģītākas Trojas zirgu versijas, kas pielāgotas uzbrukumam konkrētu lietotāju konkrētiem datoriem, pēc īpašnieka norādījuma var aizstāt noteiktus datus ar iepriekš sagatavotiem vai modificēt failos glabātos datus, tādējādi maldinot datora īpašnieku. Starp citu, šī ir diezgan izplatīta tehnika no rūpnieciskās spiegošanas un provokāciju arsenāla. Cīņa pret vīrusiem un Trojas zirgiem tiek veikta, izmantojot specializētu programmatūru, un labi izveidota aizsardzība nodrošina dubultu kontroli: konkrēta datora līmenī un lokālā tīkla līmenī. Mūsdienu ļaunprātīgā koda apkarošanas līdzekļi ir diezgan efektīvi, un prakse rāda, ka regulāri uzliesmojošās globālās datorvīrusu epidēmijas notiek lielā mērā "cilvēciskā faktora" dēļ - lielākā daļa lietotāju un daudzi sistēmu administratori (!) vienkārši ir pārāk slinki, lai regulāri atjauninātu pretvīrusu programmu. datubāzes un pārbaudiet, vai ienākošajā e-pastā nav vīrusu, pirms to lasāt (lai gan tagad to arvien biežāk dara paši interneta pakalpojumu sniedzēji).

Tīkla izlūkošana

Stingri sakot, tīkla izlūkošanu nevar saukt par uzbrukumu datorsistēmai - galu galā hakeris neveic nekādas “ļaunprātīgas” darbības. Tomēr tīkla izlūkošana vienmēr notiek pirms paša uzbrukuma, jo, gatavojot to, uzbrucējiem ir jāapkopo visa pieejamā informācija par sistēmu. Tajā pašā laikā informācija tiek vākta, izmantojot lielu publiski pieejamu datu un aplikāciju kopumu – jo hakeris cenšas iegūt pēc iespējas vairāk noderīgas informācijas. Tas ietver portu skenēšanu, DNS vaicājumus, adrešu pingēšanu, kas atklātas, izmantojot DNS, utt. Tas jo īpaši ļauj noskaidrot, kam pieder šis vai cits domēns un kādas adreses šim domēnam ir piešķirtas. DNS atklāto adrešu ping slaucīšana ļauj jums redzēt, kuri resursdatori faktiski darbojas konkrētajā tīklā, un portu skenēšanas rīki ļauj izveidot pilnu pakalpojumu sarakstu, ko atbalsta šie resursdatori. Veicot tīkla izlūkošanu, tiek analizētas arī resursdatoros strādājošo lietojumprogrammu īpašības - īsi sakot, tiek iegūta informācija, ko pēc tam var izmantot uzlaušanā vai DoS uzbrukuma veikšanā. Pilnībā atbrīvoties no tīkla izlūkošanas nav iespējams, galvenokārt tāpēc, ka formāli naidīgas darbības netiek veiktas. Ja, piemēram, perifērijas maršrutētājos atspējojat ICMP atbalsi un atbalss atbildi, varat atbrīvoties no ping pārbaudes, taču jūs zaudēsiet datus, kas nepieciešami tīkla kļūmju diagnosticēšanai. Turklāt uzbrucēji var skenēt portus bez iepriekšējas ping pārbaudes. Drošības un uzraudzības sistēmas tīkla un resursdatora līmenī parasti veic labu darbu, paziņojot sistēmas administratoram par notiekošo tīkla izpēti. Ja administrators ir apzinīgs par saviem pienākumiem, tas viņam ļauj labāk sagatavoties gaidāmajam uzbrukumam un pat veikt proaktīvus pasākumus, piemēram, paziņojot pakalpojumu sniedzējam, no kura tīkla kāds izrāda pārmērīgu ziņkāri.

Paciņu šņaukšana

Pakešu sniffer ir lietojumprogramma, kas izmanto tīkla karti, kas darbojas izlaidības režīmā (šajā režīmā tīkla adapteris nosūta visas paketes, kas saņemtas pa fiziskiem kanāliem, lietojumprogrammai apstrādei). Šajā gadījumā sniffer ("sniffer") pārtver visas tīkla paketes, kas tiek pārraidītas caur uzbrukuma domēnu. Situācijas īpatnība šajā gadījumā ir tāda, ka šobrīd daudzos gadījumos sniffers strādā tīklos uz pilnīgi likumīga pamata - tos izmanto kļūdu diagnosticēšanai un trafika analīzei. Tāpēc ne vienmēr ir iespējams droši noteikt, vai uzbrucēji izmanto konkrētu sniffer programmu un vai programma vienkārši ir aizstāta ar līdzīgu, bet ar “uzlabotām” funkcijām. Izmantojot sniffer, uzbrucēji var uzzināt dažādu konfidenciālu informāciju, piemēram, lietotājvārdus un paroles. Tas ir saistīts ar faktu, ka vairākas plaši izmantotas tīkla lietojumprogrammas pārsūta datus teksta formātā (telnet, FTP, SMTP, POP3 utt.). Tā kā lietotāji bieži izmanto vienu un to pašu pieteikumvārdu un paroli vairākām lietojumprogrammām un sistēmām, pat vienreizēja šīs informācijas pārtveršana nopietni apdraud uzņēmuma informācijas drošību. Iegūstot konkrēta darbinieka pieteikumvārdu un paroli, viltīgs hakeris sistēmas līmenī var piekļūt lietotāja resursam un ar tā palīdzību izveidot jaunu, viltotu lietotāju, kuru jebkurā laikā var izmantot, lai piekļūtu tīklam. un informācijas resursi. Tomēr, izmantojot noteiktu rīku komplektu, jūs varat ievērojami mazināt pakešu šņaukšanas draudus. Pirmkārt, tie ir diezgan spēcīgi autentifikācijas līdzekļi, kurus ir grūti apiet, pat izmantojot “cilvēcisko faktoru”. Piemēram, vienreizējās paroles. Šī ir divu faktoru autentifikācijas tehnoloģija, kas apvieno to, kas jums ir, ar to, ko jūs zināt. Šajā gadījumā aparatūra vai programmatūra nejauši ģenerē unikālu vienreizēju paroli. Ja hakeris uzzina šo paroli, izmantojot sniffer, šī informācija būs bezjēdzīga, jo tajā brīdī parole jau būs izmantota un noņemta. Bet tas attiecas tikai uz parolēm — piemēram, e-pasta ziņojumi joprojām paliek neaizsargāti. Vēl viens veids, kā cīnīties pret sniffing, ir izmantot pretsniffers. Tā ir aparatūra vai programmatūra, kas darbojas internetā un ko smirdēji atpazīst. Tie mēra resursdatora reakcijas laiku un nosaka, vai saimniekiem ir jāapstrādā "papildu" trafika. Šāda veida rīki nevar pilnībā novērst šņaukšanas draudus, taču tie ir ļoti svarīgi, veidojot visaptverošu aizsardzības sistēmu. Tomēr visefektīvākais pasākums, pēc dažu ekspertu domām, būtu vienkārši padarīt smirdēju darbu bezjēdzīgu. Lai to izdarītu, ir pietiekami aizsargāt pa sakaru kanālu pārraidītos datus, izmantojot modernas kriptogrāfijas metodes. Rezultātā hakeris pārtvers nevis ziņojumu, bet gan šifrēto tekstu, tas ir, viņam nesaprotamu bitu secību. Mūsdienās visizplatītākie kriptogrāfijas protokoli ir Cisco IPSec, kā arī SSH (Secure Shell) un SSL (Secure Socket Layer) protokoli.

IP viltošana

Maldināšana ir uzbrukuma veids, kurā hakeris organizācijā vai ārpus tās uzdodas par autorizētu lietotāju. Ir dažādi veidi, kā to izdarīt. Piemēram, hakeris var izmantot IP adresi, kas atrodas IP adrešu diapazonā, kas atļautas lietošanai organizācijas tīklā, vai pilnvarotu ārējo adresi, ja viņam ir atļauta piekļuve noteiktiem tīkla resursiem. Starp citu, IP viltošana bieži tiek izmantota kā daļa no sarežģītāka, sarežģītāka uzbrukuma. Tipisks piemērs ir DDoS uzbrukums, kurā hakeris parasti mitina programmu kāda cita IP adresē, lai slēptu savu patieso identitāti. Tomēr visbiežāk IP viltošana tiek izmantota, lai atspējotu sistēmu, izmantojot viltus komandas, kā arī lai nozagtu konkrētus failus vai, gluži pretēji, ievietotu nepatiesu informāciju datubāzēs. Pilnībā novērst viltošanas draudus ir gandrīz neiespējami, taču tos var ievērojami mazināt. Piemēram, ir lietderīgi konfigurēt drošības sistēmas, lai noraidītu jebkādu trafiku, kas nāk no ārējā tīkla ar avota adresi, kurai faktiski vajadzētu būt iekšējā tīklā. Tomēr tas palīdz apkarot IP viltošanu tikai tad, ja ir autorizētas tikai iekšējās adreses. Ja dažas ārējās adreses ir tādas, tad šīs metodes izmantošana kļūst bezjēdzīga. Katram gadījumam ir arī ieteicams iepriekš pārtraukt jūsu tīkla lietotāju mēģinājumus izkrāpt citu cilvēku tīklus — šis pasākums var palīdzēt izvairīties no virknes problēmu, ja organizācijā parādās uzbrucējs vai vienkārši datora huligāns. Lai to izdarītu, jums ir jāizmanto jebkura izejošā trafika, ja tās avota adrese neietilpst organizācijas iekšējā IP adrešu diapazonā. Ja nepieciešams, šo procedūru var veikt arī jūsu interneta pakalpojumu sniedzējs. Šis filtrēšanas veids ir pazīstams kā "RFC 2827". Atkal, tāpat kā ar pakešu šņaukšanu, labākā aizsardzība ir padarīt uzbrukumu pilnīgi neefektīvu. IP viltošanu var ieviest tikai tad, ja lietotāja autentifikācija balstās uz IP adresēm. Tāpēc autentifikācijas šifrēšana padara šāda veida uzbrukumus bezjēdzīgus. Tomēr šifrēšanas vietā tikpat labi varat izmantot nejauši ģenerētas vienreizējas paroles.

Pakalpojuma atteikuma uzbrukums

Mūsdienās viens no izplatītākajiem hakeru uzbrukumu veidiem pasaulē ir pakalpojuma atteikuma (DoS) uzbrukums. Tikmēr šī ir viena no jaunākajām tehnoloģijām – tās ieviešana kļuva iespējama tikai saistībā ar patiesi plašo interneta izplatību. Nav nejaušība, ka DoS uzbrukumi tika plaši apspriesti tikai pēc tam, kad 1999. gada decembrī ar šīs tehnoloģijas palīdzību tika “applūdinātas” tādu pazīstamu korporāciju kā Amazon, Yahoo, CNN, eBay un E-Trade mājas lapas. Lai gan pirmie ziņojumi par kaut ko līdzīgu parādījās 1996. gadā, līdz 1999. gada “Ziemassvētku pārsteigumam” DoS uzbrukumi netika uztverti kā nopietns drauds interneta drošībai. Tomēr gadu vēlāk, 2000. gada decembrī, viss atkārtojās: lielāko korporāciju vietnēm tika uzbrukts, izmantojot DoS tehnoloģiju, un to sistēmu administratori atkal nespēja neko darīt, lai pretotos uzbrucējiem. Nu, 2001. gadā DoS uzbrukumi kļuva par ikdienišķu parādību. Stingri sakot, DoS uzbrukumi netiek veikti, lai nozagtu informāciju vai manipulētu ar to. Viņu galvenais mērķis ir paralizēt uzbruktās vietnes darbu. Būtībā tas ir tikai tiešsaistes terorisms. Nav nejaušība, ka amerikāņu izlūkdienestiem ir aizdomas, ka aiz daudziem DoS uzbrukumiem lielu korporāciju serveriem ir bēdīgi slavenie antiglobālisti. Patiešām, viena lieta ir mest ķieģeli McDonald’s logā kaut kur Madridē vai Prāgā, un pavisam cita lieta ir sasist šīs superkorporācijas vietni, kas jau sen ir kļuvusi par sava veida pasaules ekonomikas globalizācijas simbolu. DoS uzbrukumi ir bīstami arī tāpēc, ka, lai tos izvietotu, kiberteroristiem nav jābūt īpašām zināšanām un prasmēm – visa nepieciešamā programmatūra kopā ar pašas tehnoloģijas aprakstiem ir pilnīgi brīvi pieejama internetā. Turklāt ir ļoti grūti aizsargāties pret šāda veida uzbrukumu. Kopumā DoS uzbrukuma tehnoloģija izskatās šādi: vietne, kas izvēlēta par mērķi, tiek bombardēta ar nepatiesu pieprasījumu straumi no daudziem datoriem visā pasaulē. Tā rezultātā serveri, kas apkalpo mezglu, ir paralizēti un nevar apkalpot parasto lietotāju pieprasījumus. Tajā pašā laikā datoru lietotājiem, no kuriem tiek sūtīti nepatiesi pieprasījumi, pat nav aizdomas, ka viņu mašīnu slepeni izmanto uzbrucēji. Šāds “darba slodzes” sadalījums ne tikai palielina uzbrukuma destruktīvo ietekmi, bet arī ievērojami sarežģī pasākumus tā atvairīšanai, padarot neiespējamu uzbrukuma koordinatora patiesās adreses noteikšanu. Mūsdienās visbiežāk izmantotie DoS uzbrukumu veidi ir:

Smurf - ping pieprasa ICMP (Internet Control Message Protocol) uz virzītu apraides adresi. Viltus avota adrese, kas tiek izmantota šī pieprasījuma paketēs, kļūst par uzbrukuma mērķi. Sistēmas, kas saņem virzītu apraides ping pieprasījumu, reaģē uz to un “pārpludina” tīklu, kurā atrodas mērķa serveris.

• ICMP plūdi ir uzbrukums, kas līdzīgs Smurf, taču bez pastiprinājuma, ko rada pieprasījumi uz virzītu apraides adresi.
• UDP plūdi - daudzu UDP (User Datagram Protocol) pakešu nosūtīšana uz mērķa sistēmas adresi, kas noved pie tīkla resursu “saistīšanas”.
• TCP plūdi - daudzu TCP pakešu nosūtīšana uz mērķa sistēmas adresi, kas arī noved pie tīkla resursu “piesaistīšanas”.
• TCP SYN plūdi - veicot šāda veida uzbrukumus, tiek izdots liels skaits pieprasījumu inicializēt TCP savienojumus ar mērķa resursdatoru, kura rezultātā ir jātērē visi resursi šo daļēji atvērto savienojumu izsekošanai.

Uzbrukuma gadījumā pie interneta pakalpojumu sniedzēja ir “jāpārtrauc” trafika, kas paredzēta uzbrukuma tīkla pārslogošanai, jo pie tīkla ieejas to vairs nevarēs izdarīt - tiks aizņemts viss joslas platums. Ja šāda veida uzbrukums tiek veikts vienlaikus vairākās ierīcēs, tas tiek saukts par izplatīto pakalpojuma atteikuma (DDoS) uzbrukumu. DoS uzbrukumu draudus var mazināt vairākos veidos. Pirmkārt, jums ir pareizi jākonfigurē maršrutētāju un ugunsmūru pretviltošanas līdzekļi. Šajās funkcijās jāietver vismaz RFC 2827 filtrēšana. Ja hakeris nespēj slēpt savu patieso identitāti, viņš, visticamāk, neuzbruks. Otrkārt, maršrutētājos un ugunsmūros ir jāiespējo un pareizi jākonfigurē anti-DoS līdzekļi. Šīs funkcijas ierobežo daļēji atvērto kanālu skaitu, novēršot sistēmas pārslodzi. Ja pastāv DoS uzbrukuma draudi, ieteicams arī ierobežot nekritiskās trafika apjomu, kas šķērso tīklu. Jums tas ir jāvienojas ar savu interneta pakalpojumu sniedzēju. Parasti tas ierobežo ICMP trafika apjomu, jo to izmanto tikai diagnostikas nolūkos.

Cilvēka vidus uzbrukumi

Šis uzbrukuma veids ir ļoti raksturīgs rūpnieciskajai spiegošanai. Cilvēka vidū uzbrukumā hakeram ir jāiegūst piekļuve Tīklā pārsūtītajām paketēm, un tāpēc uzbrucēju loma šajā gadījumā bieži ir pašiem uzņēmuma darbiniekiem vai, piemēram, pakalpojumu sniedzēja darbiniekam. uzņēmums. Cilvēka vidū uzbrukumos bieži tiek izmantoti pakešu sniffers, transporta protokoli un maršrutēšanas protokoli. Šāda uzbrukuma mērķis attiecīgi ir nozagt vai viltot pārsūtīto informāciju vai piekļūt tīkla resursiem. Ir ārkārtīgi grūti aizsargāties pret šādiem uzbrukumiem, jo ​​tie parasti ir “kurmja” uzbrukumi pašā organizācijā. Tāpēc tīri tehniskā ziņā jūs varat sevi aizsargāt, tikai šifrējot pārsūtītos datus. Tad hakeris viņam nepieciešamo datu vietā saņems simbolu jucekli, ko vienkārši nav iespējams saprast bez superdatora pie rokas. Taču, ja uzbrucējam paveicas un viņš spēj pārtvert informāciju par kriptogrāfijas sesiju, datu šifrēšana automātiski zaudēs visu nozīmi. Tātad šajā gadījumā cīņas “priekšgalā” vajadzētu būt nevis “tehniķiem”, bet gan personāla nodaļai un uzņēmuma drošības dienestam.

Programmatūras "caurumu" un "bugs" izmantošana

Ļoti, ļoti izplatīts hakeru uzbrukumu veids ir ievainojamību (visbiežāk banālu trūkumu) izmantošana plaši izmantotā programmatūrā, galvenokārt serveriem. Microsoft programmatūra ir īpaši “slavena” ar savu neuzticamību un vājo drošību. Parasti situācija attīstās šādi: kāds servera programmatūrā atklāj “caurumu” vai “kļūdu” un publicē šo informāciju internetā attiecīgajā forumā. Šīs programmatūras ražotājs izlaiž ielāpu (“ielāpu”), kas novērš šo problēmu, un publicē to savā tīmekļa serverī. Problēma ir tā, ka ne visi administratori vienkārša slinkuma dēļ pastāvīgi uzrauga ielāpu atklāšanu un parādīšanos, un arī paiet kāds laiks starp “cauruma” atklāšanu un “plākstera” uzrakstīšanu: Hakeri lasa arī tematiskās konferences un , Mums ir jāpiešķir viņiem pienākumi, viņi ļoti prasmīgi pielieto saņemto informāciju praksē. Nav nejaušība, ka lielākā daļa pasaules vadošo informācijas drošības ekspertu ir bijušie hakeri.

Šāda uzbrukuma galvenais mērķis ir piekļūt serverim tā lietotāja vārdā, kurš palaiž lietojumprogrammu, parasti ar sistēmas administratora tiesībām un atbilstošu piekļuves līmeni. Ir diezgan grūti aizsargāties pret šāda veida uzbrukumiem. Viens no iemesliem, papildus zemas kvalitātes programmatūrai, ir tas, ka, veicot šādus uzbrukumus, uzbrucēji bieži izmanto portus, kuriem ir atļauts iziet cauri ugunsmūrim un kurus nevar aizvērt tikai tehnoloģisku iemeslu dēļ. Tāpēc labākā aizsardzība šajā gadījumā ir kompetents un apzinīgs sistēmas administrators.

Tas ir tikai sākums…

Līdz ar jebkuras lauksaimniecības kultūras sējumu paplašināšanos, šīs pašas kultūras kaitēkļu kukaiņu skaits vienmēr palielinās. Tāpat, attīstoties informācijas tehnoloģijām un to izplatībai visās mūsdienu dzīves jomās, pieaug uzbrucēju skaits, kuri aktīvi izmanto šīs tehnoloģijas. Tāpēc pārskatāmā nākotnē arvien aktuālāki kļūs datortīklu aizsardzības jautājumi. Turklāt aizsardzība tiks veikta divās galvenajās jomās: tehnoloģiskajā un konsultāciju jomā. Runājot par galvenajām tendencēm informācijas drošības nozares attīstībā, pēc pazīstamā uzņēmuma The Yankee Group ekspertu domām, tuvākajos gados tās būs šādas:

1. Uzsvars, veidojot aizsardzības sistēmas, pakāpeniski mainīsies — no cīņas pret “ārējiem” hakeru uzbrukumiem uz aizsardzību pret uzbrukumiem “no iekšpuses”.

2. Tiks izstrādāta un pilnveidota aparatūras aizsardzība pret hakeru uzbrukumiem. Tirgū parādīsies jauna tīkla aprīkojuma klase - "aizsardzības pakalpojumu slēdži". Tie spēs nodrošināt vispusīgu datortīklu aizsardzību, savukārt modernās ierīces parasti veic diezgan ierobežotu specifisku funkciju kopumu, un galvenais slogs joprojām gulstas uz specializēto programmatūru.

3. Strauju attīstību nodrošina digitālā satura drošas piegādes pakalpojumu tirgus un paša satura aizsardzība pret nelikumīgu kopēšanu un neatļautu izmantošanu. Paralēli drošas piegādes tirgus attīstībai attīstīsies arī atbilstošas ​​tehnoloģijas. Eksperti no The Yankee Group lēš, ka šī tirgus apjoms ir 200 miljoni USD, pamatojoties uz 2001. gada rezultātiem, un prognozē izaugsmi līdz 2 miljardiem USD līdz 2005. gadam.

4. Daudz plašāk tiks izmantotas biometriskās autentifikācijas sistēmas (tīklene, pirkstu nospiedumi, balss u.c.), arī kompleksās. Liela daļa no tā, ko tagad var redzēt tikai asa sižeta filmās, tiks iekļauta ikdienas korporatīvajā dzīvē.

5. Līdz 2005. gadam interneta pakalpojumu sniedzēji saviem klientiem nodrošinās lauvas tiesu drošības pakalpojumu. Turklāt viņu galvenie klienti būs uzņēmumi, kuru bizness ir veidots tieši uz interneta tehnoloģijām, tas ir, aktīvi tīmekļa mitināšanas pakalpojumu, e-komercijas sistēmu u.c. patērētāji.

6. Paredzams, ka viedo tīklu drošības pakalpojumu tirgus strauji pieaugs. Tas ir saistīts ar to, ka jaunās koncepcijas IT sistēmu aizsardzībai no hakeriem ir vērstas ne tik daudz uz reaģēšanu uz jau notikušiem notikumiem/uzbrukumiem, bet gan uz to prognozēšanu, novēršanu un proaktīvu un preventīvu pasākumu veikšanu.

7. Ievērojami pieaugs pieprasījums pēc pārsūtīto datu komerciālām kriptogrāfijas šifrēšanas sistēmām, tai skaitā “pielāgotas” izstrādes konkrētiem uzņēmumiem, ņemot vērā to darbības jomas.

8. IT drošības risinājumu tirgū notiks pakāpeniska pāreja no “standarta sistēmām”, līdz ar to pieaugs pieprasījums pēc konsultāciju pakalpojumiem informācijas drošības koncepciju izstrādei un informācijas drošības vadības sistēmu izbūvei. konkrētiem klientiem.

Informācijas drošības sistēmu un pakalpojumu tirgus attīstās arī “postpadomju telpā” – lai gan ne tādā tempā un ne tādā mērogā kā Rietumos. Kā ziņoja laikraksts Kommersant, Krievijā organizācijas dažāda veida informācijas infrastruktūras attīstībai tērē no 1% (metalurģija) līdz 30% (finanšu sektors) no sava budžeta. Tajā pašā laikā aizsardzības izmaksas līdz šim veido tikai aptuveni 0,1-0,2% no budžeta izmaksu daļas. Tādējādi kopējais informācijas drošības sistēmu tirgus apjoms Krievijā 2001. gadā pēc ekspertu aplēsēm ir 40-80 miljoni dolāru. 2002.gadā, pēc valsts budžeta projektā iekļautajiem datiem, tiem vajadzētu būt 60-120 miljonu dolāru apmērā. Salīdzinājumam: kā liecina jaunākie IDC pētījumi, sagaidāms, ka Eiropas informācijas drošības produktu (programmatūras un aparatūras) tirgus apjoms vien pieaugs no 1,8 miljardiem ASV dolāru 2000. gadā līdz 6,2 miljardiem ASV dolāru 2005. gadā.

Kaspersky Internet Security aizsargā jūsu datoru no tīkla uzbrukumiem.

Tīkla uzbrukums ir ielaušanās attālā datora operētājsistēmā. Uzbrucēji veic tīkla uzbrukumus, lai pārņemtu kontroli pār operētājsistēmu, izraisītu pakalpojuma atteikumu vai piekļūtu aizsargātai informācijai.

Tīkla uzbrukumi ir ļaunprātīgas darbības, ko veic paši uzbrucēji (piemēram, portu skenēšana, paroles uzminēšana), kā arī darbības, ko veic uzbrukušajā datorā instalētās ļaunprātīgās programmas (piemēram, aizsargātas informācijas pārsūtīšana uzbrucējam). Tīkla uzbrukumos iesaistītā ļaunprogrammatūra ietver dažus Trojas zirgus, DoS uzbrukuma rīkus, ļaunprātīgus skriptus un tīkla tārpus.

Tīkla uzbrukumus var iedalīt šādos veidos:

• Portu skenēšana. Šāda veida tīkla uzbrukums parasti ir sagatavošanās posms bīstamākam tīkla uzbrukumam. Uzbrucējs skenē UDP un TCP portus, ko tīkla pakalpojumi izmanto uzbrukušajā datorā, un nosaka uzbrukuma datora ievainojamības līmeni pret bīstamākiem tīkla uzbrukumu veidiem. Portu skenēšana arī ļauj uzbrucējam noteikt mērķa datora operētājsistēmu un atlasīt tai piemērotus tīkla uzbrukumus.
• DoS uzbrukumi vai tīkla uzbrukumiem, kas izraisa pakalpojuma atteikumu. Tie ir tīkla uzbrukumi, kuru rezultātā uzbruktā operētājsistēma kļūst nestabila vai pilnībā nedarbojas.

  Ir šādi galvenie DoS uzbrukumu veidi:

  • Īpaši izstrādātu tīkla pakešu sūtīšana uz attālo datoru, kas šim datoram nav sagaidāma, izraisot operētājsistēmas darbības traucējumus vai apstāšanos.
  • Liela skaita tīkla pakešu nosūtīšana uz attālo datoru īsā laika periodā. Uzbrucēja nosūtīto tīkla pakešu apstrādei tiek izmantoti visi uzbrucēja datora resursi, tāpēc dators pārstāj pildīt savas funkcijas.
• Tīkla uzbrukumi-ielaušanās. Tie ir tīkla uzbrukumi, kuru mērķis ir “nolaupīt” uzbruktā datora operētājsistēmu. Šis ir visbīstamākais tīkla uzbrukuma veids, jo, ja tas ir veiksmīgs, operētājsistēma pilnībā nonāk uzbrucēja kontrolē.

  Šis tīkla uzbrukuma veids tiek izmantots gadījumos, kad uzbrucējam ir nepieciešams iegūt konfidenciālus datus no attālā datora (piemēram, bankas karšu numurus vai paroles) vai izmantot attālo datoru savām vajadzībām (piemēram, lai no šī datora uzbruktu citiem datoriem). datorā) bez lietotāja ziņas.

1. Bloka cilnē Aizsardzība Aizsardzība pret tīkla uzbrukumiem noņemiet atzīmi no izvēles rūtiņas.

Varat arī iespējot aizsardzību pret tīkla uzbrukumiem aizsardzības centrā. Datora aizsardzības vai aizsardzības komponentu atspējošana ievērojami palielina datora inficēšanās risku, tāpēc aizsardzības centrā tiek parādīta informācija par aizsardzības atspējošanu.

Svarīgi: ja esat izslēdzis aizsardzību pret tīkla uzbrukumiem, tad pēc Kaspersky Internet Security restartēšanas vai operētājsistēmas pārstartēšanas tā neieslēdzas automātiski un tā būs jāieslēdz manuāli.

Kad tiek konstatēta bīstama tīkla darbība, Kaspersky Internet Security automātiski pievieno uzbrucēja datora IP adresi bloķēto datoru sarakstam, ja šis dators nav pievienots uzticamo datoru sarakstam.

1. Izvēlņu joslā noklikšķiniet uz programmas ikonas.
2. Atvērtajā izvēlnē atlasiet Iestatījumi.

   Tiks atvērts programmas iestatījumu logs.

3. Bloka cilnē Aizsardzība Aizsardzība pret tīkla uzbrukumiem atzīmējiet izvēles rūtiņu Iespējot aizsardzību pret tīkla uzbrukumiem.
4. Noklikšķiniet uz pogas Izņēmumi.

   Tiks atvērts logs ar uzticamo datoru sarakstu un bloķēto datoru sarakstu.

5. Atveriet grāmatzīmi Bloķēti datori.
6. Ja esat pārliecināts, ka bloķētais dators nerada draudus, sarakstā atlasiet tā IP adresi un noklikšķiniet uz pogas Atbloķēt.

   Tiks atvērts apstiprinājuma logs.

7. Apstiprinājuma logā veiciet kādu no šīm darbībām:
   • Ja vēlaties atbloķēt datoru, noklikšķiniet uz pogas Atbloķēt.

     Kaspersky Internet Security atbloķē IP adresi.

   • Ja vēlaties, lai Kaspersky Internet Security nekad nebloķētu atlasīto IP adresi, noklikšķiniet uz pogas Atbloķējiet un pievienojiet izņēmumiem.

     Kaspersky Internet Security atbloķēs IP adresi un pievienos to uzticamo datoru sarakstam.

8. Noklikšķiniet uz pogas Saglabāt, lai saglabātu izmaiņas.

Varat izveidot uzticamo datoru sarakstu. Kaspersky Internet Security automātiski nebloķē šo datoru IP adreses, kad tā konstatē no tiem bīstamu tīkla darbību.

Kad tiek konstatēts tīkla uzbrukums, Kaspersky Internet Security saglabā informāciju par to ziņojumā.

1. Atveriet izvēlni Aizsardzība.
2. Atlasiet Pārskati.

   Tiks atvērts Kaspersky Internet Security pārskatu logs.

3. Atveriet grāmatzīmi Aizsardzība pret tīkla uzbrukumiem.

Piezīme. Ja komponents Network Attack Protection ir pabeidzis kļūdu, varat skatīt pārskatu un mēģināt restartēt komponentu. Ja nevarat atrisināt problēmu, lūdzu, sazinieties ar tehnisko atbalstu.