në shtëpi › Telefoni › Llojet e sulmeve të zbuluara në rrjet. Llojet e sulmeve në rrjet

Llojet e sulmeve të zbuluara në rrjet. Llojet e sulmeve në rrjet

Ekzistojnë katër kategori kryesore të sulmeve:

· sulmet e aksesit;

· Sulmet modifikuese;

· sulmet e mohimit të shërbimit;

· sulme ndaj mohimit.

Le të hedhim një vështrim më të afërt në secilën kategori. Ka shumë mënyra për të kryer sulme: duke përdorur mjete të dizajnuara posaçërisht, metoda të inxhinierisë sociale dhe përmes dobësive në sistemet kompjuterike. Në inxhinierinë sociale, mjetet teknike nuk përdoren për të fituar akses të paautorizuar në një sistem. Një sulmues merr informacion përmes një telefonate të thjeshtë ose depërton në një organizatë nën maskën e një punonjësi. Këto lloj sulmesh janë më shkatërruesit.

Sulmet që synojnë kapjen e informacionit të ruajtur në mënyrë elektronike kanë një veçori interesante: informacioni nuk vidhet, por kopjohet. I mbetet pronarit fillestar, por edhe sulmuesi e merr. Kështu, pronari i informacionit pëson humbje dhe është shumë e vështirë të zbulohet momenti kur ka ndodhur kjo.

Sulmet e aksesit

Sulmi i aksesitështë një përpjekje e një sulmuesi për të marrë informacion që ai nuk ka leje për t'i parë. Një sulm i tillë është i mundur kudo ku ekzistojnë informacione dhe mjete për transmetimin e tij. Një sulm aksesi ka për qëllim shkeljen e konfidencialitetit të informacionit. Dallohen llojet e mëposhtme të sulmeve të aksesit:

· duke përgjuar;

· përgjimi;

· përgjimi.

Duke përgjuar(snooping) është shikimi i skedarëve ose dokumenteve për të kërkuar informacione me interes për sulmuesin. Nëse dokumentet ruhen në formën e printimeve, atëherë sulmuesi do të hapë sirtarët e tavolinës dhe do të gërmojë nëpër to. Nëse informacioni është në një sistem kompjuterik, ai do të shikojë skedar pas skedari derisa të gjejë informacionin që i nevojitet.

Përgjimi(përgjimi) është përgjimi i paautorizuar i një bisede në të cilën sulmuesi nuk është pjesëmarrës. Për të fituar akses të paautorizuar në informacion, në këtë rast, sulmuesi duhet të jetë afër tij. Shumë shpesh ai përdor pajisje elektronike. Futja e rrjeteve pa tela ka rritur gjasat për përgjim të suksesshëm. Tani sulmuesi nuk ka nevojë të jetë brenda sistemit ose të lidhë fizikisht pajisjen e përgjimit me rrjetin.

Ndryshe nga përgjimi përgjimi(përgjimi) është një sulm aktiv. Sulmuesi kap informacionin ndërsa ai transmetohet në destinacionin e tij. Pasi analizon informacionin, ai merr një vendim për të lejuar ose ndaluar kalimin e mëtejshëm të tij.

Sulmet e aksesit marrin forma të ndryshme në varësi të mënyrës se si ruhet informacioni: si dokumente letre ose elektronike në një kompjuter. Nëse informacioni që i nevojitet një sulmuesi ruhet në dokumente letre, atij do t'i duhet akses në këto dokumente. Ato mund të gjenden në vendet e mëposhtme: në dollapët e dosjeve, në sirtarë ose në tavolina, në një faks ose printer në kosh, në një arkiv. Prandaj, një sulmues duhet të hyjë fizikisht në të gjitha këto vende.

Kështu, qasja fizike është çelësi për marrjen e të dhënave. Duhet të theksohet se mbrojtja e besueshme e ambienteve do të mbrojë të dhënat vetëm nga persona të paautorizuar, por jo nga punonjësit e organizatës ose përdoruesit e brendshëm.

Informacioni ruhet në mënyrë elektronike: në stacione pune, në serverë, në kompjuterë laptop, në disqe, në CD, në shirita magnetikë rezervë.

Një sulmues thjesht mund të vjedhë mediumin e ruajtjes (disketa, CD, kasetë rezervë ose laptop). Ndonjëherë kjo është më e lehtë për t'u bërë sesa për të hyrë në skedarët e ruajtur në kompjuter.

Nëse një sulmues ka qasje ligjore në sistem, ai do t'i analizojë skedarët thjesht duke i hapur ato një nga një. Me kontrollin e duhur të lejes, qasja për një përdorues të paligjshëm do të refuzohet dhe përpjekjet për akses do të regjistrohen në regjistra.

Lejet e konfiguruara saktë do të parandalojnë rrjedhjen aksidentale të informacionit. Sidoqoftë, një sulmues serioz do të përpiqet të anashkalojë sistemin e kontrollit dhe të fitojë akses në informacionin e nevojshëm. Ka një numër të madh dobësish që do ta ndihmojnë atë në këtë.

Ndërsa informacioni kalon përmes rrjetit, ai mund të arrihet duke dëgjuar transmetimin. Sulmuesi e bën këtë duke instaluar një analizues të paketave të rrjetit (sniffer) në sistemin kompjuterik. Zakonisht ky është një kompjuter i konfiguruar për të kapur të gjithë trafikun e rrjetit (jo vetëm trafikun e destinuar për atë kompjuter). Për ta bërë këtë, sulmuesi duhet të rrisë autoritetin e tij në sistem ose të lidhet me rrjetin. Analizuesi është konfiguruar për të kapur çdo informacion që kalon përmes rrjetit, por veçanërisht ID-të dhe fjalëkalimet e përdoruesve.

Përgjimet kryhen edhe në rrjetet globale kompjuterike si linjat me qira dhe lidhjet telefonike. Megjithatë, ky lloj përgjimi kërkon pajisje të përshtatshme dhe njohuri të veçanta.

Përgjimi është i mundur edhe në sistemet e komunikimit me fibra optike që përdorin pajisje të specializuara, zakonisht të kryera nga një sulmues i aftë.

Qasja në informacion duke përdorur përgjimin është një nga detyrat më të vështira për një sulmues. Për të pasur sukses, ai duhet të vendosë sistemin e tij në linjat e transmetimit midis dërguesit dhe marrësit të informacionit. Në internet, kjo bëhet duke ndryshuar rezolucionin e emrit, duke bërë që emri i kompjuterit të shndërrohet në një adresë të pasaktë. Trafiku ridrejtohet në sistemin e sulmuesit në vend të nyjes së destinacionit aktual. Nëse një sistem i tillë konfigurohet siç duhet, dërguesi nuk do ta dijë kurrë se informacioni i tij nuk ka arritur te marrësi.

Përgjimi është gjithashtu i mundur gjatë një sesioni të vlefshëm komunikimi. Ky lloj sulmi është më i përshtatshmi për të rrëmbyer trafikun interaktiv. Në këtë rast, sulmuesi duhet të jetë në të njëjtin segment të rrjetit ku ndodhen klienti dhe serveri. Sulmuesi pret që një përdorues legjitim të hapë një sesion në server, dhe më pas, duke përdorur softuer të specializuar, rrëmben seancën ndërsa ai po funksionon.

Sulmet modifikuese

Sulmi modifikuesështë një përpjekje për të ndryshuar në mënyrë të paautorizuar informacionin. Një sulm i tillë është i mundur kudo ku ekziston ose transmetohet informacion. Ai synon të cenojë integritetin e informacionit.

Një lloj sulmi modifikues është zëvendësim informacioni ekzistues, për shembull, një ndryshim në pagën e një punonjësi. Një sulm zëvendësues synon informacione sekrete dhe publike.

Një lloj tjetër sulmi është shtesë të dhëna të reja, për shembull, në informacione rreth historisë së periudhave të kaluara. Në këtë rast, sulmuesi kryen një transaksion në sistemin bankar, si rezultat i të cilit fondet nga llogaria e klientit kalojnë në llogarinë e tij.

Sulmi heqjen nënkupton zhvendosjen e të dhënave ekzistuese, të tilla si anulimi i një hyrje transaksioni nga bilanci i një banke, duke lënë fondet e tërhequra nga llogaria të mbeten në llogari.

Ashtu si sulmet e aksesit, sulmet e modifikimit kryhen kundër informacionit të ruajtur si dokumente letre ose në mënyrë elektronike në një kompjuter.

Është e vështirë të ndryshosh dokumente pa e vënë re askush: nëse ka një nënshkrim (për shembull, në një kontratë), duhet të kujdesesh për falsifikimin e tij dhe dokumenti i vulosur duhet të rimontohet me kujdes. Nëse ka kopje të dokumentit, ato gjithashtu duhet të ribëhen, ashtu si origjinali. Dhe meqenëse është pothuajse e pamundur të gjesh të gjitha kopjet, është shumë e lehtë të dallosh një të rreme.

Është shumë e vështirë për të shtuar ose hequr shënimet nga regjistrat e aktiviteteve. Së pari, informacioni në to është renditur në rend kronologjik, kështu që çdo ndryshim do të vërehet menjëherë. Mënyra më e mirë është të hiqni dokumentin dhe ta zëvendësoni atë me një të ri. Këto lloj sulmesh kërkojnë qasje fizike në informacion.

Është shumë më e lehtë të modifikosh informacionin e ruajtur në mënyrë elektronike. Duke marrë parasysh që sulmuesi ka akses në sistem, një operacion i tillë lë pas një minimum provash. Nëse nuk ka akses të autorizuar në skedarë, sulmuesi duhet së pari të sigurojë një hyrje në sistem ose të ndryshojë cilësimet e kontrollit të hyrjes në skedar.

Modifikimi i skedarëve të bazës së të dhënave ose listave të transaksioneve duhet të bëhet me shumë kujdes. Transaksionet numërohen në mënyrë sekuenciale dhe do të shënohet heqja ose shtimi i numrave të pasaktë të transaksioneve. Në këto raste, duhet bërë punë e gjerë në të gjithë sistemin për të parandaluar zbulimin.

Leksioni 33 Llojet dhe llojet e sulmeve në rrjet

Leksioni 33

Tema: Llojet dhe llojet e sulmeve në rrjet

Sulmi i rrjetit në distancë është një efekt shkatërrues informacioni në një sistem informatik të shpërndarë, i kryer në mënyrë programore nëpërmjet kanaleve të komunikimit.

Prezantimi

Për të organizuar komunikime në një mjedis rrjeti heterogjen, përdoren një sërë protokollesh TCP/IP, duke siguruar përputhshmërinë midis kompjuterëve të llojeve të ndryshme. Ky grup protokollesh ka fituar popullaritet për shkak të përputhshmërisë së tij dhe ofrimit të aksesit në burimet e Internetit global dhe është bërë një standard për punën në internet. Megjithatë, miratimi i gjerë i grumbullit të protokollit TCP/IP ka ekspozuar gjithashtu dobësitë e tij. Veçanërisht për shkak të kësaj, sistemet e shpërndara janë të ndjeshme ndaj sulmeve në distancë, pasi përbërësit e tyre zakonisht përdorin kanale të hapura të transmetimit të të dhënave dhe një sulmues jo vetëm që mund të përgjojë pasivisht informacionin e transmetuar, por edhe të modifikojë trafikun e transmetuar.

Vështirësia e zbulimit të një sulmi në distancë dhe lehtësia relative e zbatimit (për shkak të funksionalitetit të tepërt të sistemeve moderne) e vendos këtë lloj veprimi të paligjshëm në vend të parë për sa i përket shkallës së rrezikut dhe parandalon një reagim në kohë ndaj kërcënimit, si një rezultat i të cilit sulmuesi rrit shanset për të zbatuar me sukses sulmin.

Klasifikimi i sulmit

Nga natyra e ndikimit

Pasive

Aktiv

Ndikimi pasiv në një sistem kompjuterik të shpërndarë (DCS) është një ndikim që nuk ndikon drejtpërdrejt në funksionimin e sistemit, por në të njëjtën kohë mund të shkelë politikën e tij të sigurisë. Mungesa e ndikimit të drejtpërdrejtë në funksionimin e RVS çon pikërisht në faktin se ndikimi pasiv i largët (RPI) është i vështirë për t'u zbuluar. Një shembull i mundshëm i një PUV tipike në një DCS është dëgjimi i një kanali komunikimi në një rrjet.

Ndikimi aktiv në DCS - një ndikim që ka një ndikim të drejtpërdrejtë në funksionimin e vetë sistemit (dëmtim i funksionalitetit, ndryshim në konfigurimin e DCS, etj.), i cili shkel politikën e sigurisë të miratuar në të. Pothuajse të gjitha llojet e sulmeve në distancë janë ndikime aktive. Kjo për faktin se vetë natyra e efektit dëmtues përfshin një parim aktiv. Dallimi i qartë midis ndikimit aktiv dhe ndikimit pasiv është mundësia themelore e zbulimit të tij, pasi si rezultat i zbatimit të tij ndodhin disa ndryshime në sistem. Me një ndikim pasiv, absolutisht asnjë gjurmë nuk mbetet (për shkak të faktit se sulmuesi shikon mesazhin e dikujt tjetër në sistem, asgjë nuk do të ndryshojë në të njëjtin moment).

Sipas qëllimit të ndikimit

Mosfunksionimi i sistemit (qasja në sistem)

Shkelja e integritetit të burimeve të informacionit (IR)

Shkelje e konfidencialitetit IR

Kjo veçori, me të cilën bëhet klasifikimi, është në thelb një projeksion i drejtpërdrejtë i tre llojeve bazë të kërcënimeve - mohimi i shërbimit, zbulimi dhe cenimi i integritetit.

Qëllimi kryesor i ndjekur në pothuajse çdo sulm është të fitohet akses i paautorizuar në informacion. Ekzistojnë dy mundësi themelore për marrjen e informacionit: shtrembërimi dhe përgjimi. Opsioni i përgjimit të informacionit nënkupton marrjen e aksesit në të pa mundësinë e ndryshimit të tij. Prandaj, përgjimi i informacionit çon në shkelje të konfidencialitetit të tij. Dëgjimi i një kanali në një rrjet është një shembull i përgjimit të informacionit. Në këtë rast, ka qasje të paligjshme në informacion pa opsione të mundshme për zëvendësimin e tij. Është gjithashtu e qartë se shkelja e konfidencialitetit të informacionit i referohet ndikimeve pasive.

Aftësia për të zëvendësuar informacionin duhet të kuptohet ose si kontroll i plotë mbi rrjedhën e informacionit midis objekteve të sistemit, ose aftësi për të transmetuar mesazhe të ndryshme në emër të dikujt tjetër. Prandaj, është e qartë se zëvendësimi i informacionit çon në shkelje të integritetit të tij. Një ndikim i tillë shkatërrues i informacionit është një shembull tipik i ndikimit aktiv. Një shembull i një sulmi në distancë i krijuar për të shkelur integritetin e informacionit është sulmi në distancë "False RVS Object" (RA).

Bazuar në praninë e reagimeve nga objekti i sulmuar

Me reagime

Asnjë reagim (sulm me një drejtim)

Sulmuesi i dërgon disa kërkesa objektit të sulmuar, për të cilat ai pret të marrë një përgjigje. Rrjedhimisht, reagimet shfaqen midis sulmuesit dhe të sulmuarit, duke i lejuar të parët të përgjigjen në mënyrë adekuate ndaj të gjitha llojeve të ndryshimeve në objektin e sulmuar. Ky është thelbi i një sulmi në distancë, i kryer në prani të reagimeve nga objekti sulmues. Sulme të tilla janë më tipike për RVS.

Sulmet me qark të hapur karakterizohen nga fakti se nuk kanë nevojë të reagojnë ndaj ndryshimeve në objektin e sulmuar. Sulmet e tilla zakonisht kryhen duke dërguar kërkesa të vetme tek objekti i sulmuar. Sulmuesi nuk ka nevojë për përgjigje për këto kërkesa. Një UA e tillë mund të quhet gjithashtu UA me një drejtim. Një shembull i sulmeve me një drejtim është një sulm tipik DoS.

Sipas gjendjes së fillimit të goditjes

Ndikimi i largët, ashtu si çdo tjetër, mund të fillojë të ndodhë vetëm në kushte të caktuara. Ekzistojnë tre lloje të sulmeve të tilla të kushtëzuara në RVS:

Sulmi sipas kërkesës nga objekti i sulmuar

Sulmi pas ndodhjes së një ngjarjeje të pritshme në objektin e sulmuar

Sulm pa kushte

Ndikimi nga sulmuesi do të fillojë me kusht që objektivi i mundshëm i sulmit të transmetojë një kërkesë të një lloji të caktuar. Një sulm i tillë mund të quhet sulm me kërkesë të objektit të sulmuar. Ky lloj UA është më tipik për RVS. Një shembull i kërkesave të tilla në internet janë kërkesat DNS dhe ARP, dhe në Novell NetWare - një kërkesë SAP.

Një sulm pas ndodhjes së një ngjarjeje të pritshme në objektin e sulmuar. Sulmuesi monitoron vazhdimisht gjendjen e OS të objektivit të largët të sulmit dhe fillon të ndikojë kur një ngjarje specifike ndodh në këtë sistem. Vetë objekti i sulmuar është iniciatori i sulmit. Një shembull i një ngjarjeje të tillë do të ishte kur sesioni i një përdoruesi me serverin ndërpritet pa lëshuar komandën LOGOUT në Novell NetWare.

Një sulm i pakushtëzuar kryhet menjëherë dhe pavarësisht nga gjendja e sistemit operativ dhe objektit të sulmuar. Prandaj, sulmuesi është iniciatori i sulmit në këtë rast.

Nëse funksionimi normal i sistemit ndërpritet, ndiqen qëllime të tjera dhe sulmuesi nuk pritet të ketë akses të paligjshëm në të dhëna. Qëllimi i tij është të çaktivizojë OS në objektin e sulmuar dhe të bëjë të pamundur që objektet e tjera të sistemit të aksesojnë burimet e këtij objekti. Një shembull i një sulmi të këtij lloji është një sulm DoS.

Sipas vendndodhjes së subjektit të sulmit në lidhje me objektin e sulmuar

Intrasegmentale

Ndërsegmentale

Disa përkufizime:

Burimi i sulmit (subjekti i sulmit) është programi (ndoshta operatori) që udhëheq sulmin dhe ka një ndikim të drejtpërdrejtë.

Host - një kompjuter që është një element i rrjetit.

Ruteri është një pajisje që drejton paketat në një rrjet.

Një nënrrjet është një grup hostesh që janë pjesë e një rrjeti global, që ndryshojnë në atë që ruteri cakton të njëjtin numër nënrrjeti për ta. Mund të themi gjithashtu se një nënrrjet është një lidhje logjike e hosteve përmes një ruteri. Hostët brenda të njëjtit nënrrjet mund të komunikojnë drejtpërdrejt me njëri-tjetrin pa përdorur një ruter.

Një segment rrjeti është një kombinim i hosteve në nivelin fizik.

Nga pikëpamja e një sulmi në distancë, vendndodhja relative e subjektit dhe objektit të sulmit është jashtëzakonisht e rëndësishme, domethënë nëse ato janë në segmente të ndryshme apo identike. Gjatë një sulmi brenda segmentit, subjekti dhe objektivi i sulmit ndodhen në të njëjtin segment. Në rastin e një sulmi intersegment, subjekti dhe objektivi i sulmit janë të vendosura në segmente të ndryshme të rrjetit. Ky tipar klasifikimi bën të mundur gjykimin e të ashtuquajturës "shkalla e largësisë" e sulmit.

Më poshtë do të tregohet se një sulm brenda segmentit është shumë më i lehtë për t'u kryer sesa një sulm ndër-segment. Vëmë re gjithashtu se një sulm i largët ndër-segmentor paraqet një rrezik shumë më të madh sesa ai brenda segmentit. Kjo për faktin se në rastin e një sulmi të ndarë, objektivi dhe sulmuesi mund të vendosen në një distancë prej mijëra kilometrash nga njëri-tjetri, gjë që mund të pengojë ndjeshëm masat për të zmbrapsur sulmin.

Sipas nivelit të modelit të referencës ISO/OSI në të cilin kryhet ndikimi

Fizike

Kanal

Rrjeti

Transporti

Sesioni

Përfaqësues

Aplikuar

Organizata Ndërkombëtare për Standardizim (ISO) miratoi standardin ISO 7498, i cili përshkruan ndërlidhjen e sistemeve të hapura (OSI), të cilit i përkasin edhe RBC-të. Çdo protokoll komunikimi në rrjet, si dhe çdo program rrjeti, mund të projektohet në një mënyrë ose në një tjetër në modelin e referencës 7-shtresore OSI. Ky projeksion me shumë nivele bën të mundur përshkrimin e funksioneve të përdorura në një protokoll rrjeti ose program në terma të modelit OSI. UA është një program rrjeti dhe është logjike ta konsiderojmë atë nga pikëpamja e projeksionit në modelin e referencës ISO/OSI.

Përshkrim i shkurtër i disa sulmeve në rrjet

Fragmentimi i të dhënave

Kur një paketë e të dhënave IP transmetohet përmes një rrjeti, paketa mund të ndahet në disa fragmente. Më pas, kur arrin në destinacion, paketa rindërtohet nga këto fragmente. Një sulmues mund të fillojë dërgimin e një numri të madh fragmentesh, gjë që çon në një tejmbushje të buferave të softuerit në anën marrëse dhe, në disa raste, në një përplasje të sistemit.

Ping sulm përmbytjesh

Ky sulm kërkon që sulmuesi të ketë akses në kanalet e internetit të shpejtë.

Programi ping dërgon një paketë ICMP të llojit ECHO REQUEST, duke vendosur kohën dhe identifikuesin e saj në të. Kerneli i makinës marrëse i përgjigjet një kërkese të tillë me një paketë ICMP ECHO REPLY. Pas marrjes së tij, ping tregon shpejtësinë e paketës.

Në modalitetin standard të funksionimit, paketat dërgohen në intervale të rregullta, praktikisht pa ngarkesë në rrjet. Por në modalitetin "agresiv", një përmbytje e paketave të kërkesës/përgjigjes me jehonë ICMP mund të shkaktojë mbingarkesë në një linjë të vogël, duke e penguar atë të transmetojë informacione të dobishme.

Protokollet jo standarde të kapsuluara në IP

Paketa IP përmban një fushë që specifikon protokollin e paketës së kapsuluar (TCP, UDP, ICMP). Sulmuesit mund të përdorin një vlerë jo standarde të kësaj fushe për të transmetuar të dhëna që nuk do të regjistrohen nga mjetet standarde të kontrollit të rrjedhës së informacionit.

Sulmi Smurf

Sulmi smurf përfshin dërgimin e kërkesave të transmetimit të ICMP në rrjet në emër të kompjuterit të viktimës.

Si rezultat, kompjuterët që kanë marrë pako të tilla transmetimi i përgjigjen kompjuterit viktimë, gjë që çon në një reduktim të ndjeshëm të xhiros së kanalit të komunikimit dhe, në disa raste, në izolimin e plotë të rrjetit të sulmuar. Sulmi smurf është jashtëzakonisht efektiv dhe i përhapur.

Kundërveprimi: për të njohur këtë sulm, është e nevojshme të analizohet ngarkesa e kanalit dhe të përcaktohen arsyet e uljes së xhiros.

Sulmi i mashtrimit DNS

Rezultati i këtij sulmi është futja e një korrespondence të detyruar midis një adrese IP dhe një emri domaini në cache të serverit DNS. Si rezultat i një sulmi të suksesshëm, të gjithë përdoruesit e serverit DNS do të marrin informacion të pasaktë në lidhje me emrat e domeneve dhe adresat IP. Ky sulm karakterizohet nga një numër i madh i paketave DNS me të njëjtin emër domain. Kjo është për shkak të nevojës për të zgjedhur disa parametra të shkëmbimit DNS.

Kundërveprimi: për të zbuluar një sulm të tillë, është e nevojshme të analizoni përmbajtjen e trafikut DNS ose të përdorni DNSSEC.

Sulmi i mashtrimit të IP-së

Një numër i madh sulmesh në internet shoqërohen me mashtrimin e adresës IP të burimit. Sulme të tilla përfshijnë gjithashtu mashtrimin e syslogut, i cili përfshin dërgimin e një mesazhi te kompjuteri viktimë në emër të një kompjuteri tjetër në rrjetin e brendshëm. Meqenëse protokolli syslog përdoret për të mbajtur regjistrat e sistemit, duke dërguar mesazhe të rreme te kompjuteri i viktimës, është e mundur të nxisni informacion ose të mbuloni gjurmët e aksesit të paautorizuar.

Kundërmasat: zbulimi i sulmeve në lidhje me mashtrimin e adresës IP është i mundur duke monitoruar marrjen në një nga ndërfaqet e një pakete me adresën burimore të së njëjtës ndërfaqe ose duke monitoruar marrjen e paketave me adresat IP të rrjetit të brendshëm në ndërfaqen e jashtme. .

Imponimi i paketës

Sulmuesi dërgon pako me një adresë të rreme kthimi në rrjet. Me këtë sulm, një sulmues mund të kalojë lidhjet e krijuara midis kompjuterëve të tjerë në kompjuterin e tij. Në këtë rast, të drejtat e aksesit të sulmuesit bëhen të barabarta me të drejtat e përdoruesit, lidhja e të cilit me serverin u kalua në kompjuterin e sulmuesit.

nuhatje - duke dëgjuar një kanal

E mundur vetëm në segmentin e rrjetit lokal.

Pothuajse të gjitha kartat e rrjetit mbështesin aftësinë për të përgjuar paketat e transmetuara përmes një kanali të përbashkët të rrjetit lokal. Në këtë rast, stacioni i punës mund të marrë pako të adresuara në kompjuterë të tjerë në të njëjtin segment të rrjetit. Kështu, i gjithë shkëmbimi i informacionit në segmentin e rrjetit bëhet i disponueshëm për sulmuesin. Për të zbatuar me sukses këtë sulm, kompjuteri i sulmuesit duhet të vendoset në të njëjtin segment të rrjetit lokal si kompjuteri që sulmohet.

Përgjimi i paketave në ruter

Softueri i rrjetit të ruterit ka akses në të gjitha paketat e rrjetit të dërguara përmes ruterit, duke lejuar përgjimin e paketave. Për të kryer këtë sulm, sulmuesi duhet të ketë akses të privilegjuar në të paktën një ruter në rrjet. Meqenëse kaq shumë paketa zakonisht transmetohen përmes një ruteri, përgjimi total i tyre është pothuajse i pamundur. Megjithatë, paketat individuale mund të përgjohen dhe ruhen për analiza të mëvonshme nga një sulmues. Përgjimi më efektiv i paketave FTP që përmbajnë fjalëkalime të përdoruesit, si dhe email.

Detyrimi i një rruge false në një host duke përdorur ICMP

Në internet ekziston një protokoll i veçantë ICMP (Internet Control Message Protocol), një nga funksionet e të cilit është të informojë hostet për ndryshimin e ruterit aktual. Ky mesazh kontrolli quhet ridrejtim. Është e mundur të dërgoni një mesazh të rremë të ridrejtimit nga çdo host në segmentin e rrjetit në emër të ruterit te hosti i sulmuar. Si rezultat, tabela aktuale e rrugëtimit të hostit ndryshon dhe, në të ardhmen, i gjithë trafiku i rrjetit të këtij hosti do të kalojë, për shembull, përmes hostit që dërgoi mesazhin e ridrejtimit të rremë. Në këtë mënyrë, është e mundur që në mënyrë aktive të imponohet një rrugë false brenda një segmenti të internetit.

Së bashku me të dhënat e rregullta të dërguara përmes një lidhjeje TCP, standardi parashikon gjithashtu transmetimin e të dhënave urgjente (Out Of Band). Në nivelin e formateve të paketave TCP, kjo shprehet si një tregues urgjent jo zero. Shumica e kompjuterëve me Windows të instaluar kanë protokollin e rrjetit NetBIOS, i cili përdor tre porte IP për nevojat e tij: 137, 138, 139. Nëse lidheni me një makinë Windows nëpërmjet portit 139 dhe dërgoni atje disa bajt të dhënash OutOfBand, atëherë zbatimi i NetBIOS do duke mos ditur se çfarë të bëjë me këto të dhëna, ai thjesht varet ose rindiz makinën. Për Windows 95, kjo zakonisht duket si një ekran me tekst blu që tregon një gabim në drejtuesin TCP/IP dhe pamundësinë për të punuar me rrjetin derisa OS të rindizet. NT 4.0 pa paketat e shërbimit riniset, NT 4.0 me paketën ServicePack 2 rrëzohet në një ekran blu. Duke gjykuar nga informacioni nga rrjeti, si Windows NT 3.51 ashtu edhe Windows 3.11 për grupet e punës janë të ndjeshëm ndaj një sulmi të tillë.

Dërgimi i të dhënave në portin 139 çon në një rindezje të NT 4.0, ose një "ekran blu i vdekjes" me Service Pack 2 të instaluar Një dërgim i ngjashëm i të dhënave në 135 dhe disa porte të tjera çon në një ngarkesë të konsiderueshme në procesin RPCSS.EXE. Në Windows NT WorkStation kjo çon në një ngadalësim të konsiderueshëm të Windows NT Server.

Mashtrim i besuar i hostit

Zbatimi i suksesshëm i sulmeve në distancë të këtij lloji do t'i lejojë sulmuesit të kryejë një seancë me serverin në emër të një hosti të besuar. (Host i besuar - një stacion që lidhet ligjërisht me serverin). Zbatimi i këtij lloji sulmi zakonisht konsiston në dërgimin e paketave të shkëmbimit nga stacioni i sulmuesit në emër të një stacioni të besuar nën kontrollin e tij.

Teknologjitë e zbulimit të sulmeve

Rrjeti dhe teknologjitë e informacionit po ndryshojnë aq shpejt sa mekanizmat mbrojtës statik, të cilët përfshijnë sistemet e kontrollit të aksesit, muret e zjarrit dhe sistemet e vërtetimit, në shumë raste nuk mund të ofrojnë mbrojtje efektive. Prandaj, kërkohen metoda dinamike për të zbuluar dhe parandaluar shpejt shkeljet e sigurisë. Një teknologji që mund të zbulojë shkelje që nuk mund të identifikohen duke përdorur modelet tradicionale të kontrollit të aksesit është teknologjia e zbulimit të ndërhyrjeve.

Në thelb, procesi i zbulimit të sulmit është procesi i vlerësimit të aktiviteteve të dyshimta që ndodhin në një rrjet të korporatës. Me fjalë të tjera, zbulimi i ndërhyrjes është procesi i identifikimit dhe reagimit ndaj aktivitetit të dyshimtë të drejtuar në burimet kompjuterike ose të rrjetit.

Metodat për analizimin e informacionit të rrjetit

Efektiviteti i një sistemi të zbulimit të sulmit varet kryesisht nga metodat e përdorura për të analizuar informacionin e marrë. Sistemet e para të zbulimit të ndërhyrjeve, të zhvilluara në fillim të viteve 1980, përdorën metoda statistikore për të zbuluar sulmet. Aktualisht, një sërë teknikash të reja i janë shtuar analizës statistikore, duke filluar me sistemet eksperte dhe logjikën fuzzy dhe duke përfunduar me përdorimin e rrjeteve nervore.

Metoda statistikore

Përparësitë kryesore të qasjes statistikore janë përdorimi i një aparati tashmë të zhvilluar dhe të provuar të statistikave matematikore dhe përshtatja me sjelljen e subjektit.

Së pari, përcaktohen profilet për të gjitha lëndët e sistemit të analizuar. Çdo devijim i profilit të përdorur nga ai referues konsiderohet aktivitet i paautorizuar. Metodat statistikore janë universale sepse analiza nuk kërkon njohuri për sulmet e mundshme dhe dobësitë që ato shfrytëzojnë. Megjithatë, kur përdorni këto teknika, lindin probleme:

Sistemet “statistikore” nuk janë të ndjeshme ndaj renditjes së ngjarjeve; në disa raste, të njëjtat ngjarje, në varësi të renditjes në të cilën ndodhin, mund të karakterizojnë aktivitet jonormal ose normal;

Është e vështirë të vendosësh vlerat kufitare (pragu) të karakteristikave të monitoruara nga sistemi i zbulimit të ndërhyrjeve në mënyrë që të identifikohet në mënyrë adekuate aktiviteti anormal;

Sistemet "statistikore" mund të "trajnohen" nga sulmuesit me kalimin e kohës në mënyrë që veprimet e sulmit të shihen si normale.

Duhet gjithashtu të merret parasysh se metodat statistikore nuk janë të zbatueshme në rastet kur nuk ka model të sjelljes tipike për përdoruesin ose kur veprimet e paautorizuara janë tipike për përdoruesin.

Sistemet eksperte

Sistemet e ekspertëve përbëhen nga një grup rregullash që kapin njohuritë e një eksperti njerëzor. Përdorimi i sistemeve të ekspertëve është një metodë e zakonshme e zbulimit të sulmit në të cilën informacioni i sulmit formulohet në formën e rregullave. Këto rregulla mund të shkruhen, për shembull, si një sekuencë veprimesh ose si një nënshkrim. Kur përmbushet ndonjë nga këto rregulla, merret një vendim për praninë e aktivitetit të paautorizuar. Një avantazh i rëndësishëm i kësaj qasjeje është mungesa pothuajse e plotë e alarmeve false.

Baza e të dhënave të sistemit të ekspertëve duhet të përmbajë skriptet për shumicën e sulmeve të njohura aktualisht. Për të qëndruar vazhdimisht të përditësuar, sistemet e ekspertëve kërkojnë përditësim të vazhdueshëm të bazës së të dhënave. Megjithëse sistemet e ekspertëve ofrojnë shikueshmëri të mirë në të dhënat e regjistrit, përditësimet e kërkuara mund të injorohen ose të kryhen manualisht nga administratori. Në minimum, kjo rezulton në një sistem ekspert me aftësi të dobësuara. Në rastin më të keq, mungesa e mirëmbajtjes së duhur zvogëlon sigurinë e të gjithë rrjetit, duke mashtruar përdoruesit e tij për nivelin aktual të sigurisë.

Disavantazhi kryesor është pamundësia për të zmbrapsur sulmet e panjohura. Për më tepër, edhe një ndryshim i vogël në një sulm tashmë të njohur mund të bëhet një pengesë serioze për funksionimin e sistemit të zbulimit të sulmit.

Rrjetet nervore

Shumica e metodave moderne të zbulimit të sulmeve përdorin një formë të analizës së hapësirës së kontrolluar, qoftë e bazuar në rregulla ose qasje statistikore. Hapësira e kontrolluar mund të jetë regjistrat ose trafiku i rrjetit. Analiza bazohet në një grup rregullash të paracaktuara që krijohen nga administratori ose vetë sistemi i zbulimit të ndërhyrjeve.

Çdo ndarje e një sulmi me kalimin e kohës ose midis sulmuesve të shumtë është e vështirë të zbulohet duke përdorur sisteme ekspertësh. Për shkak të shumëllojshmërisë së gjerë të sulmeve dhe hakerëve, madje edhe ad hoc, përditësimet e vazhdueshme në bazën e të dhënave të rregullave të sistemit të ekspertëve nuk do të garantojnë kurrë identifikimin e saktë të gamës së plotë të sulmeve.

Përdorimi i rrjeteve nervore është një nga mënyrat për të kapërcyer këto probleme të sistemeve eksperte. Ndryshe nga sistemet e ekspertëve, të cilët mund t'i japin përdoruesit një përgjigje të caktuar në lidhje me përputhshmërinë e karakteristikave në shqyrtim me rregullat e ngulitura në bazën e të dhënave, një rrjet nervor analizon informacionin dhe ofron mundësinë për të vlerësuar nëse të dhënat janë në përputhje me karakteristikat që janë. të trajnuar për të njohur. Ndërsa shkalla e korrespondencës së një përfaqësimi të rrjetit nervor mund të arrijë 100%, besueshmëria e zgjedhjes varet tërësisht nga cilësia e sistemit në analizimin e shembujve të detyrës.

Së pari, rrjeti nervor është trajnuar për të identifikuar saktë duke përdorur një mostër të parazgjedhur të shembujve të domenit. Përgjigja e rrjetit nervor analizohet dhe sistemi rregullohet në mënyrë të tillë që të arrihen rezultate të kënaqshme. Përveç periudhës fillestare të trajnimit, rrjeti nervor fiton përvojë me kalimin e kohës ndërsa analizon të dhënat specifike të domenit.

Një avantazh i rëndësishëm i rrjeteve nervore në zbulimin e abuzimit është aftësia e tyre për të "mësuar" karakteristikat e sulmeve të qëllimshme dhe për të identifikuar elementë që janë të ndryshëm nga ata të vëzhguar më parë në rrjet.

Secila prej metodave të përshkruara ka një numër avantazhesh dhe disavantazhesh, kështu që tani është pothuajse e vështirë të gjesh një sistem që zbaton vetëm një nga metodat e përshkruara. Si rregull, këto metoda përdoren në kombinim.

Mbushjet e buferit janë pjesë e shumë llojeve të sulmeve me qëllim të keq. Sulmet e tejmbushjes kanë, nga ana tjetër, shumë varietete. Një nga më të rrezikshmet përfshin futjen në një kuti dialogu, përveç tekstit, kodin e ekzekutueshëm të bashkangjitur në të. Një hyrje e tillë mund të rezultojë që ky kod të shkruhet në krye të programit ekzekutues, gjë që herët a vonë do të bëjë që ai të ekzekutohet. Pasojat nuk janë të vështira të imagjinohen.

Sulmet "pasive" duke përdorur, për shembull, sniffer janë veçanërisht të rrezikshme sepse, së pari, ato janë praktikisht të pazbulueshme, dhe së dyti, ato lëshohen nga rrjeti lokal (Firewall i jashtëm është i pafuqishëm).

Viruset- programe me qëllim të keq të aftë për vetë-kopjim dhe vetë-shpërndarje. Në dhjetor 1994, mora një paralajmërim për përhapjen e viruseve të rrjetit (kohë të mira dhe xxx-1) në internet:

Orë, ditë, javë dhe nganjëherë muaj kalojnë nga momenti i krijimit të virusit deri në zbulimin e virusit. Varet nga sa shpejt shfaqen efektet e infeksionit. Sa më e gjatë të jetë kjo kohë, aq më shumë kompjuterë janë të infektuar. Pas identifikimit të faktit të infeksionit dhe përhapjes së një versioni të ri të virusit, duhen nga disa orë (për shembull, për Email_Worm.Win32.Bagle.bj) deri në tre javë (W32.Netsky.N@mm) për të identifikoni nënshkrimin, krijoni një antidot dhe përfshini nënshkrimin e tij në programin antiviral të bazës së të dhënave. E përkohshme diagrami i ciklit jetësor virusi është paraqitur në Fig. 12.1 ("Siguria e Rrjetit", v.2005, Botimi 6, Qershor 2005, f. 16-18). Vetëm në vitin 2004, u regjistruan 10,000 nënshkrime të reja të virusit. Krimbi Blaster infektoi 90% të makinave në 10 minuta. Gjatë kësaj kohe, ekipi antivirus duhet të zbulojë objektin, ta kualifikojë atë dhe të zhvillojë një kundërmasë. Është e qartë se kjo është joreale. Pra, një program antivirus nuk është aq një kundërmasë sa qetësues. Të njëjtat konsiderata vlejnë për të gjitha llojet e tjera të sulmeve. Pasi nënshkrimi i një sulmi bëhet i njohur, vetë sulmi zakonisht nuk është i rrezikshëm, pasi kundërmasat janë zhvilluar tashmë dhe cenueshmëria është mbuluar. Është për këtë arsye që një vëmendje e tillë i kushtohet sistemit të menaxhimit të përditësimit të softuerit (patch).

Disa viruse dhe krimba kanë programe të integruara SMTP të krijuara për t'i dërguar ato dhe hapen për të depërtuar lehtësisht në makinën e infektuar. Versionet më të reja janë të pajisura me mjete për të shtypur aktivitetin e viruseve ose krimbave të tjerë. Në këtë mënyrë, mund të krijohen rrjete të tëra makinash të infektuara (BotNet), të gatshme për të nisur, për shembull, një sulm DDoS në komandë. Një protokoll mund të përdoret për të kontrolluar makina të tilla zombie IRC(Tagrami i transmetimit të internetit). Ky sistem mesazhesh mbështetet nga një numër i madh serverësh dhe për këtë arsye një kanal i tillë zakonisht është i vështirë për t'u gjurmuar dhe regjistruar. Kjo lehtësohet edhe nga fakti se shumica e sistemeve monitorojnë trafikun hyrës më nga afër se trafikun dalës. Duhet të kihet parasysh se një makinë e infektuar mund të shërbejë, përveç sulmeve DoS, për të skanuar kompjuterë të tjerë dhe për të dërguar SPAM, për të ruajtur produkte softuerike të paligjshme, për të kontrolluar vetë makinën dhe për të vjedhur dokumentet e ruajtura atje, për të identifikuar fjalëkalimet dhe çelësat e përdorur. nga pronari. Dëmi nga virusi Blaster vlerësohet në 475,000 dollarë.

Fatkeqësisht, nuk ka mjete të besueshme për të zbuluar të reja viruset (nënshkrimi i të cilit nuk dihet).

Oriz.

12.1.

Programet e robotëve nuk janë gjithmonë të rrezikshëm, disa nga varietetet e tyre përdoren për të mbledhur të dhëna, veçanërisht për preferencat e klientëve, dhe në motorin e kërkimit Google ata punojnë për të mbledhur dhe indeksuar dokumente. Por në duart e një hakeri, këto programe kthehen në armë të rrezikshme. Sulmi më i famshëm u nis në vitin 2005, megjithëse përgatitjet dhe "eksperimentet e para" filluan në shtator 2004. Programi kërkoi makina me dobësi specifike, në veçanti, LSASS (Shërbimi i Nënsistemit të Autoritetit Lokal të Sigurisë, Windows). Nënsistemi LSASS, i projektuar për të ndihmuar në sigurimin e sigurisë, ishte në vetvete i cenueshëm ndaj sulmeve të tilla si tejmbushjet e tamponëve. Edhe pse dobësia tashmë është rregulluar, numri i makinave me një version të pa përditësuar mbetet i konsiderueshëm. Pas një ndërhyrjeje, hakeri zakonisht përdor IRC për të kryer operacionet që i nevojiten (hapja e një porti specifik, dërgimi i SPAM, nisja e skanimeve për viktima të tjera të mundshme). Një veçori e re e programeve të tilla është se ato janë të ngulitura në sistemin operativ në atë mënyrë (rootkit) që nuk mund të zbulohen, pasi ato ndodhen në zonën e kernelit OS. Nëse një program antivirus përpiqet të hyjë në një zonë specifike të memories për të identifikuar kodin me qëllim të keq, rootkit përgjon një kërkesë të tillë dhe i dërgon një njoftim programit të testimit se gjithçka është në rregull. Për t'i bërë gjërat edhe më keq, programet bot mund të modifikojnë përmbajtjen

Sulmi i rrjetit në distancë- Ndikimi shkatërrues i informacionit në një sistem informatik të shpërndarë, i kryer në mënyrë programore nëpërmjet kanaleve të komunikimit.

Prezantimi

Klasifikimi i sulmit

Nga natyra e ndikimit

Pasive
Aktiv

Sipas qëllimit të ndikimit

ndërprerja e funksionimit të sistemit (qasja në sistem)
shkelje e integritetit të burimeve të informacionit (IR)
shkelje e konfidencialitetit IR

Kjo veçori, me të cilën bëhet klasifikimi, është në thelb një projeksion i drejtpërdrejtë i tre llojeve bazë të kërcënimeve - mohimi i shërbimit, zbulimi dhe cenimi i integritetit.

Bazuar në praninë e reagimeve nga objekti i sulmuar

me reagime
pa reagime (sulm me një drejtim)

Sipas gjendjes së fillimit të goditjes

Ndikimi i largët, ashtu si çdo tjetër, mund të fillojë të ndodhë vetëm në kushte të caktuara. Ekzistojnë tre lloje të sulmeve të tilla të kushtëzuara në RVS:

sulmi sipas kërkesës nga objekti i sulmuar
sulmi pas ndodhjes së një ngjarjeje të pritshme në objektin e sulmuar
sulm i pakushtëzuar

Një sulm i pakushtëzuar kryhet menjëherë dhe pavarësisht nga gjendja e sistemit operativ dhe objektit të sulmuar. Prandaj, sulmuesi është iniciatori i sulmit në këtë rast.

Sipas vendndodhjes së subjektit të sulmit në lidhje me objektin e sulmuar

intrasegmentale
ndërsegmentale

Disa përkufizime:

Burimi i sulmit (subjekt i sulmit)- një program (ndoshta një operator) që drejton sulmin dhe kryen ndikim të drejtpërdrejtë.

Mikpritës- një kompjuter që është një element i një rrjeti.

Ruteri- një pajisje që drejton paketat në një rrjet.

Nënrrjetështë një grup hostesh që janë pjesë e një rrjeti global, që ndryshojnë në atë që ruteri cakton të njëjtin numër nënrrjeti për ta. Mund të themi gjithashtu se një nënrrjet është një lidhje logjike e hosteve përmes një ruteri. Hostët brenda të njëjtit nënrrjet mund të komunikojnë drejtpërdrejt me njëri-tjetrin pa përdorur një ruter.

Segmenti i rrjetit- unifikimi i pritësve në nivel fizik.

Sipas nivelit të modelit të referencës ISO/OSI në të cilin kryhet ndikimi

fizike
kanal
rrjeti
transporti
sesionale
përfaqësues
aplikuar

Përshkrim i shkurtër i disa sulmeve në rrjet

Fragmentimi i të dhënave

Ping sulm përmbytjesh

Ky sulm kërkon që sulmuesi të ketë akses në kanalet e internetit të shpejtë.

Protokollet jo standarde të kapsuluara në IP

Sulmi Smurf

Sulmi smurf përfshin dërgimin e kërkesave të transmetimit të ICMP në rrjet në emër të kompjuterit të viktimës.

Kundërveprimi: për të njohur këtë sulm, është e nevojshme të analizohet ngarkesa e kanalit dhe të përcaktohen arsyet e uljes së xhiros.

Sulmi i mashtrimit DNS

Kundërveprimi: për të zbuluar një sulm të tillë, është e nevojshme të analizoni përmbajtjen e trafikut DNS ose të përdorni DNSSEC.

Sulmi i mashtrimit të IP-së

Imponimi i paketës

nuhatje - duke dëgjuar një kanal

E mundur vetëm në segmentin e rrjetit lokal.

Pothuajse të gjitha kartat e rrjetit mbështesin aftësinë për të përgjuar paketat e transmetuara përmes një kanali të përbashkët të rrjetit lokal. Në këtë rast, stacioni i punës mund të marrë pako të adresuara në kompjuterë të tjerë në të njëjtin segment të rrjetit. Kështu, i gjithë shkëmbimi i informacionit në segmentin e rrjetit bëhet i disponueshëm për sulmuesin. Për të zbatuar me sukses këtë sulm, kompjuteri i sulmuesit duhet të jetë i vendosur në të njëjtin segment të rrjetit lokal si kompjuteri i sulmuar.

Përgjimi i paketave në ruter

Detyrimi i një rruge false në një host duke përdorur ICMP

Mashtrim i besuar i hostit

Teknologjitë e zbulimit të sulmeve
Rrjeti dhe teknologjitë e informacionit po ndryshojnë aq shpejt sa mekanizmat mbrojtës statik, të cilët përfshijnë sistemet e kontrollit të aksesit, muret e zjarrit dhe sistemet e vërtetimit, në shumë raste nuk mund të ofrojnë mbrojtje efektive. Prandaj, kërkohen metoda dinamike për të zbuluar dhe parandaluar shpejt shkeljet e sigurisë. Një teknologji që mund të zbulojë shkelje që nuk mund të identifikohen duke përdorur modelet tradicionale të kontrollit të aksesit është teknologjia e zbulimit të ndërhyrjeve.

Metodat për analizimin e informacionit të rrjetit

Metoda statistikore

Përparësitë kryesore të qasjes statistikore janë përdorimi i një aparati tashmë të zhvilluar dhe të provuar të statistikave matematikore dhe përshtatja me sjelljen e subjektit.

Sistemet “statistikore” nuk janë të ndjeshme ndaj renditjes së ngjarjeve; në disa raste, të njëjtat ngjarje, në varësi të renditjes në të cilën ndodhin, mund të karakterizojnë aktivitet jonormal ose normal;
është e vështirë të vendosësh vlerat kufitare (pragu) të karakteristikave të monitoruara nga sistemi i zbulimit të sulmit në mënyrë që të identifikohet në mënyrë adekuate aktiviteti anormal;
Sistemet "statistikore" mund të "trajnohen" nga sulmuesit me kalimin e kohës në mënyrë që veprimet e sulmit të shihen si normale.

Sistemet eksperte

Rrjetet nervore

Interneti ndryshon tërësisht mënyrën tonë të jetesës: punë, studim, kohë të lirë. Këto ndryshime do të ndodhin si në fushat që ne tashmë i njohim (tregtia elektronike, aksesi në informacion në kohë reale, rritja e aftësive të komunikimit, etj.) dhe në ato fusha për të cilat ne nuk kemi ende një ide.

Mund të vijë koha kur një korporatë do t'i kryejë të gjitha telefonatat e saj përmes internetit, plotësisht pa pagesë. Në jetën private, mund të shfaqen faqe interneti të veçanta, me ndihmën e të cilave prindërit mund të zbulojnë në çdo kohë se si janë fëmijët e tyre. Shoqëria jonë sapo ka filluar të kuptojë mundësitë e pakufishme të internetit.

Prezantimi

Njëkohësisht me rritjen e jashtëzakonshme të popullaritetit të internetit, lind një rrezik i paprecedentë i zbulimit të të dhënave personale, burimeve kritike të korporatës, sekreteve shtetërore, etj.

Çdo ditë, hakerët kërcënojnë këto burime duke u përpjekur të kenë akses në to duke përdorur sulme speciale që gradualisht po bëhen më të sofistikuara nga njëra anë dhe më të lehta për t'u ekzekutuar nga ana tjetër. Dy faktorë kryesorë kontribuojnë në këtë.

Së pari, ky është depërtimi i gjerë i internetit. Sot ka miliona pajisje të lidhura me internetin dhe shumë miliona pajisje do të lidhen me internetin në të ardhmen e afërt, duke e bërë gjithnjë e më të mundshme që hakerët të kenë akses në pajisjet e cenueshme.

Përveç kësaj, përdorimi i gjerë i internetit u mundëson hakerëve të shkëmbejnë informacione në shkallë globale. Një kërkim i thjeshtë për fjalë kyçe si "hacker", "hacking", "hack", "crack" ose "phreak" do t'ju kthejë mijëra sajte, shumë prej të cilave përmbajnë kod me qëllim të keq dhe mënyrën e përdorimit të tij.

Së dyti, kjo është shpërndarja më e gjerë e sistemeve operative dhe mjediseve të zhvillimit të lehtë për t'u përdorur. Ky faktor ul ndjeshëm nivelin e njohurive dhe aftësive të kërkuara nga një haker. Më parë, për të krijuar dhe shpërndarë aplikacione të lehta për t'u përdorur, një haker duhej të kishte aftësi të mira programimi.

Tani, për të fituar akses në veglën e një hakeri, ju duhet vetëm të dini adresën IP të faqes së dëshiruar dhe për të kryer një sulm, vetëm një klikim i mausit.

Klasifikimi i sulmeve në rrjet

Sulmet e rrjetit janë po aq të ndryshme sa edhe sistemet që synojnë. Disa sulme janë shumë komplekse, ndërsa të tjerat janë brenda mundësive të një operatori të zakonshëm, i cili as nuk i imagjinon pasojat e aktiviteteve të tij. Për të vlerësuar llojet e sulmeve, duhet të dini disa nga kufizimet e qenësishme të protokollit TPC/IP. Neto

Interneti u krijua për komunikim ndërmjet agjencive qeveritare dhe universiteteve për të ndihmuar procesin arsimor dhe kërkimin shkencor. Krijuesit e këtij rrjeti nuk e kishin idenë se sa i përhapur do të bëhej. Si rezultat, specifikimeve të versioneve të hershme të Protokollit të Internetit (IP) u mungonin kërkesat e sigurisë. Kjo është arsyeja pse shumë implementime IP janë në thelb të cenueshme.

Pas shumë vitesh, pas shumë ankesave (Kërkesë për komente, RFC), më në fund filluan të zbatohen masat e sigurisë për IP. Sidoqoftë, për shkak të faktit se masat e sigurisë për protokollin IP nuk u zhvilluan fillimisht, të gjitha zbatimet e tij filluan të plotësohen me një sërë procedurash, shërbimesh dhe produktesh të rrjetit që zvogëlojnë rreziqet e natyrshme në këtë protokoll. Më pas, ne do të shohim shkurtimisht llojet e sulmeve që përdoren zakonisht kundër rrjeteve IP dhe do të listojmë mënyrat për t'i luftuar ato.

Njoftuesi i paketave

Një sniffer i paketave është një program aplikacioni që përdor një kartë rrjeti që funksionon në modalitetin "promiscuous" (në këtë mënyrë, përshtatësi i rrjetit dërgon të gjitha paketat e marra përmes kanaleve fizike në aplikacion për përpunim).

Në këtë rast, sniffer përgjon të gjitha paketat e rrjetit që transmetohen përmes një domeni specifik. Aktualisht, sniffers operojnë në rrjete në baza plotësisht ligjore. Ato përdoren për diagnostikimin e defekteve dhe analizën e trafikut. Megjithatë, për shkak të faktit se disa aplikacione të rrjetit transmetojnë të dhëna në format teksti ( Telnet, FTP, SMTP, POP3, etj..), duke përdorur një sniffer mund të gjeni informacione të dobishme dhe ndonjëherë konfidenciale (për shembull, emrat e përdoruesve dhe fjalëkalimet).

Përgjimi i hyrjes dhe fjalëkalimit përbën një kërcënim të madh sepse përdoruesit shpesh përdorin të njëjtin hyrje dhe fjalëkalim për aplikacione dhe sisteme të shumta. Shumë përdorues në përgjithësi kanë një fjalëkalim të vetëm për të hyrë në të gjitha burimet dhe aplikacionet.

Nëse aplikacioni funksionon në modalitetin klient-server dhe të dhënat e vërtetimit transmetohen përmes rrjetit në format teksti të lexueshëm, atëherë ky informacion ka shumë të ngjarë të përdoret për të hyrë në burime të tjera të korporatës ose të jashtme. Hakerët i njohin dhe i shfrytëzojnë shumë mirë dobësitë njerëzore (metodat e sulmit shpesh bazohen në metodat e inxhinierisë sociale).

Ata janë të vetëdijshëm se ne përdorim të njëjtin fjalëkalim për të hyrë në shumë burime dhe për këtë arsye shpesh arrijnë të kenë akses në informacione të rëndësishme duke mësuar fjalëkalimin tonë. Në skenarin më të keq, një haker fiton akses në nivel sistemi në një burim përdoruesi dhe e përdor atë për të krijuar një përdorues të ri i cili mund të përdoret në çdo kohë për të hyrë në Rrjetin dhe burimet e tij.

Ju mund të zvogëloni kërcënimin e nuhatjes së paketave duke përdorur mjetet e mëposhtme::

Autentifikimi. Autentifikimi i fortë është mbrojtja më e rëndësishme kundër nuhatjes së paketave. Me "të fortë" nënkuptojmë metoda të vërtetimit që janë të vështira për t'u anashkaluar. Një shembull i një vërtetimi të tillë janë Fjalëkalimet Një herë (OTP).

OTP është një teknologji vërtetimi me dy faktorë që kombinon atë që keni me atë që dini. Një shembull tipik i vërtetimit me dy faktorë është funksionimi i një ATM të rregullt, i cili ju identifikon, së pari, me kartën tuaj plastike dhe së dyti, nga kodi PIN që futni. Një kod PIN dhe karta juaj personale kërkohen gjithashtu për vërtetimin në sistemin OTP.

Me "kartë" (token) nënkuptojmë një mjet harduer ose softuer që gjeneron (me një parim të rastësishëm) një fjalëkalim unik një herë, një herë. Nëse një haker e zbulon këtë fjalëkalim duke përdorur një sniffer, atëherë ky informacion do të jetë i padobishëm, pasi në atë moment fjalëkalimi tashmë do të përdoret dhe do të dalë në pension.

Vini re se kjo metodë e luftimit të nuhatjes është efektive vetëm në rastet e përgjimit të fjalëkalimit. Sniffers që përgjojnë informacione të tjera (të tilla si mesazhet e emailit) mbeten efektive.

Infrastruktura e ndërruar. Një mënyrë tjetër për të luftuar nuhatjen e paketave në mjedisin tuaj të rrjetit është krijimi i një infrastrukture të ndërruar. Nëse, për shembull, e gjithë organizata përdor Ethernet dial-up, hakerët mund të aksesojnë vetëm trafikun që vjen në portin me të cilin janë lidhur. Një infrastrukturë e ndërruar nuk eliminon kërcënimin e nuhatjes, por e zvogëlon ndjeshëm ashpërsinë e saj.

Antisniffers. Mënyra e tretë për të luftuar nuhatjen është instalimi i harduerit ose softuerit që njeh nuhatësit që funksionojnë në rrjetin tuaj. Këto mjete nuk mund të eliminojnë plotësisht kërcënimin, por, si shumë mjete të tjera të sigurisë së rrjetit, ato përfshihen në sistemin e përgjithshëm të mbrojtjes. Antisniffers matin kohën e përgjigjes së hostit dhe përcaktojnë nëse hostet duhet të përpunojnë trafikun e panevojshëm. Një produkt i tillë, i disponueshëm nga LOpht Heavy Industries, quhet AntiSniff.

Kriptografia. Kjo mënyrë më efektive për të luftuar nuhatjen e paketave, megjithëse nuk parandalon përgjimin dhe nuk njeh punën e nuhatësve, por e bën këtë punë të padobishme. Nëse kanali i komunikimit është i sigurt kriptografikisht, atëherë hakeri nuk përgjon mesazhin, por tekstin e shifruar (d.m.th., një sekuencë të pakuptueshme bitesh). Kriptografia e shtresës së rrjetit Cisco bazohet në IPSec, e cila është një metodë standarde për komunikim të sigurt midis pajisjeve që përdorin protokollin IP. Protokollet e tjera të menaxhimit të rrjetit kriptografik përfshijnë protokollet SSH (Secure Shell) dhe SSL (Secure Socket Layer).

Mashtrimi i IP-së

Mashtrimi i IP-së ndodh kur një haker, brenda ose jashtë një korporate, imiton një përdorues të autorizuar. Kjo mund të bëhet në dy mënyra: hakeri mund të përdorë ose një adresë IP që është brenda gamës së adresave IP të autorizuara, ose një adresë të jashtme të autorizuar që i lejohet aksesi në burime të caktuara të rrjetit.

Sulmet e mashtrimit të IP janë shpesh pika fillestare për sulme të tjera. Një shembull klasik është një sulm DoS, i cili fillon nga adresa e dikujt tjetër, duke fshehur identitetin e vërtetë të hakerit.

Në mënyrë tipike, mashtrimi i IP-së kufizohet në futjen e informacionit të rremë ose komandave me qëllim të keq në rrjedhën normale të të dhënave të transmetuara midis një aplikacioni klient dhe server ose përmes një kanali komunikimi midis pajisjeve homologe.

Për komunikim të dyanshëm, hakeri duhet të ndryshojë të gjitha tabelat e rrugëzimit për të drejtuar trafikun në adresën e rreme IP. Megjithatë, disa hakerë as që përpiqen të marrin një përgjigje nga aplikacionet - nëse qëllimi kryesor është të marrin një skedar të rëndësishëm nga sistemi, atëherë përgjigjet e aplikacioneve nuk kanë rëndësi.

Nëse një haker arrin të ndryshojë tabelat e rrugëzimit dhe të drejtojë trafikun në një adresë IP false, ai do të marrë të gjitha paketat dhe do të jetë në gjendje t'u përgjigjet atyre sikur të ishte një përdorues i autorizuar.

Kërcënimi i mashtrimit mund të zbutet (por jo të eliminohet) me masat e mëposhtme:

Kontrolli i aksesit. Mënyra më e lehtë për të parandaluar mashtrimin e IP-së është të konfiguroni siç duhet kontrollet e aksesit. Për të zvogëluar efektivitetin e mashtrimit të IP-së, konfiguroni kontrollin e aksesit për të refuzuar çdo trafik që vjen nga një rrjet i jashtëm me një adresë burimi që duhet të jetë brenda rrjetit tuaj.
Vërtetë, kjo ndihmon në luftimin e mashtrimit të IP, kur autorizohen vetëm adresat e brendshme; nëse autorizohen edhe disa adresa të jashtme të rrjetit, kjo metodë bëhet joefektive;
Filtrimi RFC 2827. Ju mund t'i ndaloni përdoruesit në rrjetin tuaj që të mashtrojnë rrjetet e njerëzve të tjerë (dhe të bëheni një qytetar i mirë në internet). Për ta bërë këtë, duhet të refuzoni çdo trafik në dalje, adresa burimore e të cilit nuk është një nga adresat IP të organizatës suaj.
Ky lloj filtrimi, i njohur si RFC 2827, mund të kryhet gjithashtu nga Ofruesi juaj i Shërbimit të Internetit (ISP). Si rezultat, i gjithë trafiku që nuk ka një adresë burimi të pritur në një ndërfaqe të caktuar refuzohet. Për shembull, nëse një ISP siguron një lidhje me adresën IP 15.1.1.0/24, ai mund të konfigurojë një filtër në mënyrë që vetëm trafiku me origjinë nga 15.1.1.0/24 të lejohet nga ajo ndërfaqe në ruterin e ISP-së.

Vini re se derisa të gjithë ofruesit të zbatojnë këtë lloj filtrimi, efektiviteti i tij do të jetë shumë më i ulët se sa është e mundur. Për më tepër, sa më larg të jeni nga pajisjet që filtrohen, aq më e vështirë është të kryeni filtrim të saktë. Për shembull, filtrimi RFC 2827 në nivelin e routerit të aksesit kërkon kalimin e të gjithë trafikut nga adresa kryesore e rrjetit (10.0.0.0/8), ndërsa në nivelin e shpërndarjes (në një arkitekturë të caktuar) është e mundur të kufizohet më saktë trafiku (adresa - 10.1.5.0/24).

Metoda më efektive për të luftuar mashtrimin e IP-së është e njëjtë si në rastin e nuhatjes së paketave: ju duhet ta bëni sulmin plotësisht joefektiv. Mashtrimi i IP-së mund të funksionojë vetëm nëse vërtetimi bazohet në adresat IP.

Prandaj, futja e metodave shtesë të vërtetimit i bën të padobishme sulme të tilla. Lloji më i mirë i vërtetimit shtesë është kriptografik. Nëse kjo nuk është e mundur, vërtetimi me dy faktorë duke përdorur fjalëkalime një herë mund të japë rezultate të mira.

Mohimi i shërbimit

Mohimi i Shërbimit (DoS) është pa dyshim forma më e njohur e sulmeve hakere. Përveç kësaj, këto lloj sulmesh janë më të vështirat për të krijuar mbrojtje 100%. Mes hakerëve, sulmet DoS konsiderohen lojë fëmijësh dhe përdorimi i tyre shkakton buzëqeshje përçmuese, pasi organizimi i DoS kërkon një minimum njohurish dhe aftësish.

Megjithatë, është pikërisht lehtësia e zbatimit dhe shkalla e madhe e dëmit të shkaktuar që DoS tërheq vëmendjen e administratorëve përgjegjës për sigurinë e rrjetit. Nëse dëshironi të mësoni më shumë rreth sulmeve DoS, duhet të merrni parasysh llojet më të famshme, përkatësisht:

TCP SYN Flood;
Ping i vdekjes;
Tribe Flood Network (TFN) dhe Tribe Flood Network 2000 (TFN2K);
Trinco;
Stacheldracht;
Triniteti.

Një burim i shkëlqyeshëm i informacionit të sigurisë është Ekipi i Reagimit të Emergjencave Kompjuterike (CERT), i cili ka publikuar një punë të shkëlqyer për të luftuar sulmet DoS.

Sulmet DoS janë të ndryshme nga llojet e tjera të sulmeve. Ato nuk synojnë të fitojnë akses në rrjetin tuaj, as të marrin ndonjë informacion nga ai rrjet, por një sulm DoS e bën rrjetin tuaj të padisponueshëm për përdorim normal duke tejkaluar kufijtë e pranueshëm të rrjetit, sistemit operativ ose aplikacionit.

Në rastin e disa aplikacioneve të serverëve (siç është një server në internet ose server FTP), sulmet DoS mund të përfshijnë marrjen e të gjitha lidhjeve të disponueshme për ato aplikacione dhe mbajtjen e tyre të zëna, duke parandaluar që përdoruesit e zakonshëm të shërbehen. Sulmet DoS mund të përdorin protokolle të zakonshme të internetit si TCP dhe ICMP ( Protokolli i mesazheve të kontrollit të internetit).

Shumica e sulmeve DoS nuk synojnë gabimet e softuerit ose vrimat e sigurisë, por më tepër dobësitë e përgjithshme në arkitekturën e sistemit. Disa sulme dëmtojnë performancën e rrjetit duke e përmbytur atë me pako të padëshiruara dhe të panevojshme ose informacione mashtruese për gjendjen aktuale të burimeve të rrjetit.

Ky lloj sulmi është i vështirë për t'u parandaluar sepse kërkon koordinim me ofruesin. Nëse nuk e ndaloni trafikun që synon të mbingarkojë rrjetin tuaj tek ofruesi, atëherë nuk do të mund ta bëni më këtë në hyrje të rrjetit, pasi i gjithë gjerësia e brezit do të jetë e zënë. Kur ky lloj sulmi kryhet njëkohësisht përmes shumë pajisjeve, ne flasim për një sulm të shpërndarë DoS (doS i shpërndarë, DDoS).

Kërcënimi i sulmeve DoS mund të reduktohet në tre mënyra:

Karakteristikat kundër mashtrimit. Konfigurimi i duhur i veçorive kundër mashtrimit në ruterat dhe muret e zjarrit do të ndihmojë në uljen e rrezikut të DoS. Së paku, këto veçori duhet të përfshijnë filtrimin RFC 2827 Nëse një haker nuk mund të maskojë identitetin e tij të vërtetë, ai nuk ka gjasa të kryejë një sulm.
Funksionet anti-DoS. Konfigurimi i duhur i veçorive anti-DoS në ruterat dhe muret e zjarrit mund të kufizojë efektivitetin e sulmeve. Këto veçori shpesh kufizojnë numrin e kanaleve gjysmë të hapura në çdo kohë të caktuar.
Kufizimi i normës së trafikut. Një organizatë mund të kërkojë nga Ofruesi i saj i Shërbimit të Internetit (ISP) që të kufizojë sasinë e trafikut. Ky lloj filtrimi ju lejon të kufizoni sasinë e trafikut jo kritik që kalon nëpër rrjetin tuaj. Një shembull tipik është kufizimi i vëllimit të trafikut ICMP, i cili përdoret vetëm për qëllime diagnostikuese. (D) Sulmet DoS shpesh përdorin ICMP.

Sulmet me fjalëkalim

Hakerët mund të kryejnë sulme me fjalëkalim duke përdorur një sërë metodash, të tilla si sulmi me forcë brutale, kali i Trojës, mashtrimi i IP-së dhe nuhatja e paketave. Megjithëse identifikimi dhe fjalëkalimi shpesh mund të merren përmes mashtrimit të IP-së dhe nuhatjes së paketave, hakerët shpesh përpiqen të hamendësojnë fjalëkalimin dhe të identifikohen përmes përpjekjeve të shumta për qasje. Kjo qasje quhet një kërkim i thjeshtë (sulm me forcë brutale).

Shpesh, një sulm i tillë përdor një program të veçantë që përpiqet të fitojë akses në një burim publik (për shembull, një server). Nëse, si rezultat, hakerit i jepet akses në burime, atëherë ai e merr atë me të drejtat e një përdoruesi të rregullt, fjalëkalimi i të cilit është zgjedhur.

Nëse ky përdorues ka privilegje të konsiderueshme aksesi, hakeri mund të krijojë një "kalim" për akses në të ardhmen që do të mbetet i vlefshëm edhe nëse përdoruesi ndryshon fjalëkalimin dhe hyrjen e tij.

Një problem tjetër lind kur përdoruesit përdorin të njëjtin fjalëkalim (madje shumë të mirë) për të hyrë në shumë sisteme: sisteme të korporatës, personale dhe të internetit. Meqenëse fuqia e një fjalëkalimi është e barabartë me fuqinë e hostit më të dobët, një haker që mëson fjalëkalimin përmes atij hosti fiton akses në të gjitha sistemet e tjera ku përdoret i njëjti fjalëkalim.

Sulmet me fjalëkalim mund të shmangen duke mos përdorur fjalëkalime me tekst të thjeshtë. Fjalëkalimet një herë dhe/ose vërtetimi kriptografik mund të eliminojnë praktikisht kërcënimin e sulmeve të tilla. Fatkeqësisht, jo të gjitha aplikacionet, hostet dhe pajisjet mbështesin metodat e mësipërme të vërtetimit.

Kur përdorni fjalëkalime të rregullta, përpiquni të gjeni një që do të ishte e vështirë të merret me mend. Gjatësia minimale e fjalëkalimit duhet të jetë së paku tetë karaktere. Fjalëkalimi duhet të përfshijë shkronja të mëdha, numra dhe karaktere speciale (#, %, $, etj.).

Fjalëkalimet më të mira janë të vështira për t'u gjetur dhe të vështira për t'u mbajtur mend, duke i detyruar përdoruesit t'i shkruajnë ato në letër. Për të shmangur këtë, përdoruesit dhe administratorët mund të përdorin një sërë përparimesh teknologjike të fundit.

Për shembull, ka programe aplikimi që enkriptojnë një listë fjalëkalimesh që mund të ruhen në një kompjuter xhepi. Si rezultat, përdoruesi duhet të mbajë mend vetëm një fjalëkalim kompleks, ndërsa të gjithë të tjerët do të mbrohen me besueshmëri nga aplikacioni.

Ka disa metoda për një administrator për të luftuar hamendjen e fjalëkalimit. Një prej tyre është përdorimi i mjetit L0phtCrack, i cili përdoret shpesh nga hakerat për të gjetur fjalëkalimet në mjedisin Windows NT. Ky mjet do t'ju tregojë shpejt nëse fjalëkalimi i zgjedhur nga përdoruesi është i lehtë për t'u gjetur. Për më shumë informacion, vizitoni http://www.l0phtcrack.com/.

Sulmet Man-in-the-Middle

Për një sulm Man-in-the-Middle, një haker ka nevojë për qasje në paketat e transmetuara përmes rrjetit. Një akses i tillë në të gjitha paketat e transmetuara nga një ofrues në çdo rrjet tjetër, për shembull, mund të merret nga një punonjës i këtij ofruesi. Për këtë lloj sulmi përdoren shpesh gërmuesit e paketave, protokollet e transportit dhe protokollet e rrugëzimit.

Sulmet kryhen me qëllim të vjedhjes së informacionit, përgjimit të seancës aktuale dhe fitimit të aksesit në burimet e rrjetit privat, për të analizuar trafikun dhe për të marrë informacione për rrjetin dhe përdoruesit e tij, për të kryer sulme DoS, shtrembërim të të dhënave të transmetuara dhe futjen e informacionit të paautorizuar. në sesionet e rrjetit.

Sulmet Man-in-the-Middle mund të luftohen në mënyrë efektive vetëm duke përdorur kriptografinë. Nëse një haker përgjon të dhëna nga një seancë e koduar, ajo që do të shfaqet në ekranin e tij nuk është mesazhi i përgjuar, por një grup karakteresh të pakuptimta. Vini re se nëse një haker merr informacion në lidhje me një seancë kriptografike (për shembull, një çelës sesioni), kjo mund të bëjë të mundur një sulm Man-in-the-Middle edhe në një mjedis të koduar.

Sulmet e nivelit të aplikacionit

Sulmet në nivel aplikimi mund të kryhen në disa mënyra. Më e zakonshme prej tyre është përdorimi i dobësive të njohura në softuerin e serverit (sendmail, HTTP, FTP). Duke shfrytëzuar këto dobësi, hakerët mund të kenë akses në një kompjuter si përdorues që drejton aplikacionin (zakonisht jo një përdorues i rregullt, por një administrator i privilegjuar me të drejta aksesi në sistem).

Informacioni rreth sulmeve të nivelit të aplikacionit publikohet gjerësisht për t'u dhënë administratorëve mundësinë për të korrigjuar problemin duke përdorur module korrigjuese (arna). Fatkeqësisht, shumë hakerë gjithashtu kanë akses në këtë informacion, gjë që u lejon atyre të përmirësohen.

Problemi kryesor me sulmet e nivelit të aplikacionit është se hakerat shpesh përdorin porte që lejohen të kalojnë përmes murit të zjarrit. Për shembull, një haker që shfrytëzon një dobësi të njohur në një server ueb do të përdorë shpesh portin 80 në një sulm TCP Meqenëse ueb serveri ofron faqe në internet për përdoruesit, muri i zjarrit duhet të sigurojë akses në këtë port. Nga këndvështrimi i murit të zjarrit, sulmi trajtohet si trafik standard në portin 80.

Është e pamundur të eliminohen plotësisht sulmet e nivelit të aplikacionit. Hakerët vazhdimisht po zbulojnë dhe publikojnë dobësi të reja në programet e aplikimit në internet. Gjëja më e rëndësishme këtu është administrimi i mirë i sistemit. Këtu janë disa masa që mund të merrni për të reduktuar cenueshmërinë tuaj ndaj këtij lloji të sulmit:

lexoni skedarët e regjistrit të sistemit operativ dhe rrjetit dhe/ose analizoni ato duke përdorur aplikacione të veçanta analitike;
Abonohu në shërbimin e raportimit të cenueshmërisë së aplikacionit: Bugtrad (http://www.securityfocus.com).

Inteligjenca e rrjetit

Inteligjenca e rrjetit i referohet mbledhjes së informacionit rreth një rrjeti duke përdorur të dhëna dhe aplikacione të disponueshme publikisht. Kur përgatit një sulm kundër një rrjeti, një haker zakonisht përpiqet të marrë sa më shumë informacion rreth tij. Zbulimi i rrjetit kryhet në formën e pyetjeve DNS, ping dhe skanimit të portit.

Pyetjet DNS ju ndihmojnë të kuptoni se kush zotëron një domen të caktuar dhe cilat adresa i janë caktuar atij domeni. Pingingu i adresave të zbuluara nga DNS ju lejon të shihni se cilët hostë po funksionojnë në të vërtetë në një mjedis të caktuar. Pas marrjes së një liste të hosteve, hakeri përdor mjetet e skanimit të porteve për të përpiluar një listë të plotë të shërbimeve të mbështetura nga ato hoste. Së fundi, hakeri analizon karakteristikat e aplikacioneve që funksionojnë në host. Si rezultat, ai merr informacion që mund të përdoret për hakerim.

Është e pamundur të heqësh qafe plotësisht inteligjencën e rrjetit. Nëse, për shembull, çaktivizoni ICMP echo dhe echo reply në ruterat e skajit, ju shpëtoni nga testimi i ping-ut, por humbni të dhënat e nevojshme për të diagnostikuar dështimet e rrjetit.

Përveç kësaj, ju mund të skanoni portet pa testim paraprak të ping - thjesht do të marrë më shumë kohë, pasi do t'ju duhet të skanoni adresat IP që nuk ekzistojnë. Sistemet IDS të nivelit të rrjetit dhe të hostit zakonisht bëjnë një punë të mirë për të paralajmëruar administratorët për zbulimin e vazhdueshëm të rrjetit, duke i lejuar ata të përgatiten më mirë për një sulm të ardhshëm dhe të paralajmërojnë Ofruesin e Shërbimit të Internetit (ISP) në rrjetin e të cilit sistemi është tepër kurioz:

përdorni versionet më të fundit të sistemeve operative dhe aplikacioneve dhe modulet më të fundit të korrigjimit (arna);
Përveç administrimit të sistemit, përdorni sistemet e zbulimit të sulmit (IDS) - dy teknologji plotësuese ID:
- Rrjeti IDS System (NIDS) monitoron të gjitha paketat që kalojnë nëpër një domen të caktuar. Kur sistemi NIDS sheh një paketë ose seri paketash që përputhen me nënshkrimin e një sulmi të njohur ose të mundshëm, ai gjeneron një alarm dhe/ose përfundon seancën;
- Sistemi IDS (HIDS) mbron hostin duke përdorur agjentë softuerësh. Ky sistem lufton vetëm sulmet kundër një hosti të vetëm.

Në punën e tyre, sistemet IDS përdorin nënshkrime sulmi, të cilat janë profile të sulmeve specifike ose lloje sulmesh. Nënshkrimet përcaktojnë kushtet në të cilat trafiku konsiderohet haker. Analogët e IDS në botën fizike mund të konsiderohen si një sistem paralajmërimi ose kamera vëzhgimi.

Disavantazhi më i madh i IDS është aftësia e tyre për të gjeneruar alarme. Për të minimizuar numrin e alarmeve false dhe për të siguruar funksionimin korrekt të sistemit IDS në rrjet, është i nevojshëm konfigurimi i kujdesshëm i sistemit.

Shkelja e besimit

Në mënyrë të rreptë, ky lloj veprimi nuk është në kuptimin e plotë të fjalës një sulm apo sulm. Ai përfaqëson shfrytëzimin me qëllim të keq të marrëdhënieve të besimit që ekzistojnë në një rrjet. Një shembull klasik i një abuzimi të tillë është situata në pjesën periferike të rrjetit të korporatës.

Ky segment shpesh strehon serverë DNS, SMTP dhe HTTP. Meqenëse të gjithë i përkasin të njëjtit segment, hakimi i ndonjërit prej tyre çon në hakimin e të gjithë të tjerëve, pasi këta serverë u besojnë sistemeve të tjera në rrjetin e tyre.

Një shembull tjetër është një sistem i instaluar në pjesën e jashtme të murit të zjarrit që ka një marrëdhënie besimi me një sistem të instaluar në brendësi të murit të zjarrit. Nëse një sistem i jashtëm është i rrezikuar, hakeri mund të përdorë marrëdhënien e besimit për të depërtuar në sistemin e mbrojtur nga muri i zjarrit.

Rreziku i shkeljes së besimit mund të reduktohet duke kontrolluar më fort nivelet e besimit brenda rrjetit tuaj. Sistemet e vendosura jashtë murit të zjarrit nuk duhet të kenë kurrë besim absolut nga sistemet e mbrojtura nga muri i zjarrit.

Marrëdhëniet e besimit duhet të kufizohen në protokolle specifike dhe, nëse është e mundur, të vërtetohen nga parametra të ndryshëm nga adresat IP.

Port Forwarding

Përcjellja e portit është një formë abuzimi me besimin në të cilin një host i komprometuar përdoret për të kaluar trafikun përmes një muri zjarri që përndryshe do të refuzohej. Le të imagjinojmë një mur zjarri me tre ndërfaqe, secila prej të cilave është e lidhur me një host specifik.

Një host i jashtëm mund të lidhet me një host të përbashkët (DMZ), por jo me një të instaluar në brendësi të murit të zjarrit. Një host i përbashkët mund të lidhet me një host të brendshëm dhe të jashtëm. Nëse një haker merr përsipër një host të përbashkët, ai mund të instalojë softuer në të që ridrejton trafikun nga hosti i jashtëm drejtpërdrejt në atë të brendshëm.

Megjithëse kjo nuk shkel asnjë nga rregullat në ekran, hosti i jashtëm fiton qasje të drejtpërdrejtë në hostin e mbrojtur si rezultat i ridrejtimit. Një shembull i një aplikacioni që mund të sigurojë një akses të tillë është netcat. Më shumë informacion mund të gjeni në http://www.avian.org.

Mënyra kryesore për të luftuar përcjelljen e portit është përdorimi i modeleve të forta të besimit (shih seksionin e mëparshëm). Për më tepër, një sistem IDS pritës (HIDS) mund të parandalojë një haker që të instalojë softuerin e tij në një host.

Qasje e paautorizuar

Qasja e paautorizuar nuk mund të identifikohet si një lloj sulmi i veçantë, pasi shumica e sulmeve në rrjet kryhen pikërisht për të fituar akses të paautorizuar. Për të marrë me mend një hyrje në Telnet, një haker duhet së pari të marrë një aluzion Telnet në sistemin e tij. Pas lidhjes me portin Telnet, mesazhi "kërkohet autorizimi për të përdorur këtë burim" shfaqet në ekran (" Kërkohet autorizim për të përdorur këtë burim.»).

Nëse hakeri vazhdon të provojë akses pas kësaj, ata do të konsiderohen të paautorizuar. Burimi i sulmeve të tilla mund të jetë ose brenda rrjetit ose jashtë.

Metodat për të luftuar aksesin e paautorizuar janë mjaft të thjeshta. Gjëja kryesore këtu është të zvogëloni ose eliminoni plotësisht aftësinë e hakerit për të fituar akses në sistem duke përdorur një protokoll të paautorizuar.

Si shembull, merrni parasysh parandalimin e hakerëve që të hyjnë në portin Telnet në një server që ofron shërbime Uebi për përdoruesit e jashtëm. Pa akses në këtë port, një haker nuk do të jetë në gjendje ta sulmojë atë. Sa i përket murit të zjarrit, detyra e tij kryesore është të parandalojë përpjekjet më të thjeshta të aksesit të paautorizuar.

Viruset dhe aplikacionet e kalit të Trojës

Stacionet e punës të përdoruesve fundorë janë shumë të cenueshëm ndaj viruseve dhe kuajve të Trojës. Viruset janë programe me qëllim të keq që futen në programe të tjera për të kryer një funksion specifik të padëshiruar në stacionin e punës të përdoruesit fundor. Një shembull është një virus që është shkruar në skedarin command.com (interpretuesi kryesor i sistemeve Windows) dhe fshin skedarët e tjerë dhe gjithashtu infekton të gjitha versionet e tjera të command.com që gjen.

Një kalë trojan nuk është një insert softuerësh, por një program i vërtetë që në pamje të parë duket të jetë një aplikacion i dobishëm, por në fakt luan një rol të dëmshëm. Një shembull i një kalë trojan tipik është një program që duket si një lojë e thjeshtë në stacionin e punës të përdoruesit.

Megjithatë, ndërsa përdoruesi është duke luajtur lojën, programi i dërgon një kopje të tij me email çdo abonenti në librin e adresave të atij përdoruesi. Të gjithë abonentët e marrin lojën me postë, duke shkaktuar shpërndarjen e saj të mëtejshme.

Ky artikull është për ata që përballen me nevojën për të krijuar një lidhje në distancë me një bazë të dhënash MySQL për herë të parë. Artikulli flet për vështirësitë që...

Pothuajse çdo faqe regjistrimi ka një formular "Kujto fjalëkalimin", me ndihmën e tij mund të marrësh një fjalëkalim të harruar jo me E-Mail. Dërgimi i fjalëkalimit tuaj nuk është plotësisht i sigurt...

Të njohura në kategorinë: