mrežni napad. Klasifikacija daljinskih napada

Postupak za otkrivanje mrežnih napada.

1. Klasifikacija mrežnih napada

1.1. Njuškači paketa

Njuškalo paketa je aplikacijski program koji koristi mrežnu karticu koja radi u promiskuitetnom načinu ( u ovom načinu rada sve pakete primljene putem fizičkih kanala mrežni adapter šalje aplikaciji na obradu). U ovom slučaju, njuškalo presreće sve mrežne pakete koji se prenose kroz određenu domenu.

1.2. IP lažiranje

IP lažiranje se događa kada se haker, bilo unutar ili izvan sustava, predstavlja kao ovlašteni korisnik. To se može učiniti na dva načina. Prvo, haker može koristiti IP adresu koja je unutar raspona ovlaštenih IP adresa ili ovlaštenu vanjsku adresu kojoj je dopušten pristup određenim mrežnim resursima. Napadi lažiranja IP-a često su početna točka za druge napade. Klasičan primjer je DoS napad koji počinje s tuđom adresom koja skriva pravi identitet hakera.

Obično je IP lažiranje ograničeno na umetanje lažnih informacija ili zlonamjernih naredbi u normalan tok podataka koji se prenosi između klijentske i poslužiteljske aplikacije ili preko komunikacijskog kanala između vršnjaka. Za dvosmjernu komunikaciju, haker mora promijeniti sve tablice usmjeravanja kako bi usmjerio promet na lažnu IP adresu. Neki hakeri, međutim, niti ne pokušavaju dobiti odgovor od aplikacija. Ako je glavni zadatak primanje važne datoteke iz sustava, odgovori aplikacija nisu bitni.

Ako haker uspije promijeniti tablice usmjeravanja i usmjeriti promet na lažnu IP adresu, haker će primiti sve pakete i moći će na njih odgovoriti kao da je ovlašteni korisnik.

1.3. Uskraćivanje usluge ( Uskraćivanje usluge - DoS)

DoS je najpoznatiji oblik hakerskih napada. Protiv napada ovog tipa najteže je stvoriti stopostotnu zaštitu.

Najpoznatije vrste DoS-a:

  • TCP SYN Flood Ping of Death Tribe Flood Network ( TFN);
  • Mreža poplava plemena 2000 TFN2K);
  • Trinco;
  • Stacheldracht;
  • Trojstvo.

DoS napadi se razlikuju od drugih vrsta napada. Oni nisu namijenjeni za dobivanje pristupa mreži ili dobivanje bilo kakvih informacija iz ove mreže. DoS napad čini mrežu nedostupnom za normalnu upotrebu prekoračenjem dopuštenih ograničenja mreže, operativnog sustava ili aplikacije.

Kada koristite neke poslužiteljske aplikacije (kao što je web poslužitelj ili FTP poslužitelj) DoS napadi mogu se odnositi na preuzimanje svih veza dostupnih ovim aplikacijama i njihovo održavanje u zauzetom stanju, spriječavajući opsluživanje normalnih korisnika. DoS napadi mogu koristiti uobičajene internetske protokole kao što su TCP i ICMP ( Internet Control Message Protocol). Većina DoS napada ne oslanja se na softverske greške ili sigurnosne rupe, već na opće slabosti u arhitekturi sustava. Neki napadi poništavaju izvedbu mreže preplavljujući je neželjenim i nepotrebnim paketima ili lažnim predstavljanjem trenutnog stanja mrežnih resursa. Ovu vrstu napada teško je spriječiti jer zahtijeva koordinaciju s ISP-om. Ako se promet namijenjen preplavljivanju vaše mreže ne zaustavi kod davatelja, tada na ulazu u mrežu to više nećete moći, jer će cijela propusnost biti zauzeta. Kada se ova vrsta napada provodi istovremeno kroz više uređaja, napad je distribuirani DoS ( DDoS - distribuirani DoS).

1.4. Napadi lozinkom

Hakeri mogu izvršiti napade lozinkom korištenjem raznih metoda, poput grube sile ( napad grubom silom), trojanski konj, lažiranje IP-a i njuškanje paketa. Iako se prijava i lozinka često mogu dobiti korištenjem IP lažiranja i njuškanja paketa, hakeri često pokušavaju pogoditi lozinku i prijavu koristeći višestruke pokušaje pristupa. Ovaj pristup se zove jednostavna iteracija. (napad grubom silom). Često takav napad koristi poseban program koji pokušava pristupiti zajedničkom resursu ( npr. na poslužitelj). Ako kao rezultat toga, haker dobije pristup resursima, dobiva ga kao obični korisnik čija je lozinka bila pogodena. Ako ovaj korisnik ima značajne pristupne povlastice, haker može sebi stvoriti "gateway" za budući pristup, koji će raditi čak i ako korisnik promijeni svoju lozinku i prijavu.

Drugi problem nastaje kada korisnici koriste iste ( čak i ako je jako dobro) lozinka za pristup mnogim sustavima: korporativnim, osobnim i internetskim sustavima. Budući da je snaga lozinke jednaka jačini najslabijeg hosta, haker koji nauči lozinku putem ovog hosta dobiva pristup svim ostalim sustavima gdje se koristi ista lozinka.

1.5. Napadi čovjeka u sredini

Za napad Man-in-the-Middle, hakeru je potreban pristup paketima koji se šalju preko mreže. Takav pristup svim paketima prenesenim od davatelja na bilo koju drugu mrežu može, na primjer, dobiti zaposlenik ovog davatelja. Za ovu vrstu napada često se koriste njuškari paketa, transportni protokoli i protokoli za usmjeravanje. Napadi se provode radi krađe informacija, presretanja trenutne sesije i pristupa privatnim mrežnim resursima, analize prometa i dobivanja informacija o mreži i njezinim korisnicima, izvođenja DoS napada, iskrivljavanja prenesenih podataka i unosa neovlaštenih informacija u mrežne sesije.

1.6. Napadi na aplikacijski sloj

Napadi aplikacijskog sloja mogu se izvesti na nekoliko načina. Najčešći od njih je iskorištavanje slabosti poslužiteljskog softvera ( sendmail, HTTP, FTP). Koristeći ove slabosti, hakeri mogu dobiti pristup računalu u ime korisnika koji pokreće aplikaciju ( obično to nije jednostavan korisnik, već privilegirani administrator s pravima pristupa sustavu). Pojedinosti o napadu na aplikacijskom sloju naširoko su objavljeni kako bi se administratorima omogućilo da isprave problem pomoću korektivnih modula ( zakrpe). Glavni problem s napadima aplikacijskog sloja je taj što oni često koriste portove kojima je dopušteno proći kroz vatrozid. Na primjer, haker koji iskorištava dobro poznatu slabost web poslužitelja u TCP napadu često koristi port 80. Budući da web poslužitelj izlaže web stranice korisnicima, vatrozid mora omogućiti pristup ovom portu. Sa stajališta vatrozida, napad se tretira kao standardni promet na portu 80.

1.7. mrežna inteligencija

Mrežna inteligencija je prikupljanje informacija o mreži pomoću javno dostupnih podataka i aplikacija. Kada priprema napad na mrežu, haker obično pokušava dobiti što više informacija o njoj. Mrežno izviđanje ima oblik DNS upita, ping pretraživanja i skeniranja portova. DNS upiti pomažu vam razumjeti tko je vlasnik određene domene i koje su adrese dodijeljene toj domeni. Eho testiranje ( ping sweep) DNS-otkrivenih adresa omogućuje vam da vidite koji hostovi zapravo rade u danom okruženju. S obzirom na popis hostova, haker koristi alate za skeniranje portova kako bi sastavio potpuni popis usluga koje podržavaju ti hostovi. I na kraju, haker analizira karakteristike aplikacija koje rade na hostovima. Kao rezultat, dobivaju se informacije koje se mogu koristiti za hakiranje.

1.8. kršenje povjerenja

Ova vrsta radnje nije "napad" ili "oluja". To je zlonamjerno iskorištavanje odnosa povjerenja koji postoje na mreži. Primjer je sustav instaliran na vanjskoj strani vatrozida koji ima odnos povjerenja sa sustavom instaliranim unutar njega. U slučaju da je vanjski sustav hakiran, haker može koristiti odnose povjerenja da provali u sustav zaštićen vatrozidom.

1.9. Prosljeđivanje luka

Prosljeđivanje portova je oblik povrede povjerenja gdje se kompromitirani host koristi za slanje prometa kroz vatrozid koji bi inače sigurno bio odbijen. Primjer aplikacije koja može pružiti ovaj pristup je netcat.

1.10. Neovlašten pristup

Neovlašteni pristup se ne može smatrati zasebnom vrstom napada. Većina mrežnih napada provodi se radi dobivanja neovlaštenog pristupa. Da bi preuzeo telnet prijavu, haker prvo mora dobiti telnet prompt na svom sustavu. Nakon spajanja na telnet port, na ekranu se pojavljuje poruka "potrebna je autorizacija za korištenje ovog resursa" (Za korištenje ovog resursa potrebna je autorizacija.). Ako nakon toga haker nastavi pokušavati pristupiti, bit će uzeti u obzir "neovlašteno". Izvor takvih napada može biti unutar mreže i izvan nje.

1.11. Virusi i aplikacije tog tipa "Trojanski konj"

Klijentske radne stanice vrlo su osjetljive na viruse i trojanske konje. "Trojanski konj"- ovo nije softverski umetak, već pravi program koji izgleda kao korisna aplikacija, ali zapravo igra štetnu ulogu.

2. Metode za suzbijanje mrežnih napada

2.1. Prijetnju od njuškanja paketa možete ublažiti korištenjem sljedećih alata:

2.1.1. Provjera autentičnosti - Jaka autentifikacija prva je obrana od njuškanja paketa. Pod, ispod "jako" razumijemo metodu provjere autentičnosti koju je teško zaobići. Primjer takve provjere autentičnosti su jednokratne lozinke ( OTP - Jednokratne lozinke). OTP je tehnologija provjere autentičnosti s dva faktora koja kombinira ono što imate s onim što znate. Pod "karticom" ( znak) znači hardverski ili softverski alat koji generira ( na nasumičnoj osnovi) jedinstvena jednokratna jednokratna lozinka. Ako haker nauči ovu lozinku pomoću njuškala, ta će informacija biti beskorisna jer će u tom trenutku lozinka već biti korištena i zastarjela. Ovaj način rješavanja njuškanja učinkovit je samo za rješavanje njuškanja lozinki.

2.1.2. Komutirana infrastruktura – Drugi način borbe protiv njuškanja paketa u mrežnom okruženju je stvaranje komutirane infrastrukture tako da hakeri mogu pristupiti prometu samo na portu na koji su povezani. Komutirana infrastruktura ne eliminira prijetnju njuškanja, ali značajno smanjuje njezinu ozbiljnost.

2.1.3. Anti-sniffers – Treći način borbe protiv njuškanja je instaliranje hardvera ili softvera koji prepoznaje njuškare koji rade na vašoj mreži. Ovi alati ne mogu u potpunosti eliminirati prijetnju, ali su, kao i mnogi drugi sigurnosni alati mreže, uključeni u cjelokupni sustav zaštite. tzv "protiv njuškala" izmjeriti vrijeme odgovora hostova i odrediti trebaju li domaćini obraditi "ekstra" promet.

2.1.4. Kriptografija – Najučinkovitiji način rješavanja njuškanja paketa ne sprječava njuškanje i ne prepoznaje rad njuškača, ali ovaj posao čini beskorisnim. Ako je komunikacijski kanal kriptografski siguran, to znači da haker ne presreće poruku, već šifrirani tekst (tj. nerazumljiv slijed bitova).

2.2. Prijetnja lažiranja može se ublažiti ( ali ne i eliminirati) kroz sljedeće mjere:

2.2.1. Kontrola pristupa – Najlakši način za sprječavanje lažiranja IP-a je pravilno postavljanje kontrole pristupa. Kako bi se smanjila učinkovitost lažiranja IP-a, kontrola pristupa je konfigurirana tako da prekine svaki promet koji dolazi s vanjske mreže s izvornom adresom koja se mora nalaziti unutar vaše mreže. To pomaže u borbi protiv lažiranja IP-a kada su ovlaštene samo interne adrese. Ako su neke vanjske mrežne adrese također ovlaštene, ova metoda postaje neučinkovita.

2.2.2. Filtriranje RFC 2827 - suzbijanje pokušaja lažiranja stranih mreža od strane korisnika korporativne mreže. Za to je potrebno odbiti svaki odlazni promet čija izvorna adresa nije jedna od IP adresa Banke. Ovu vrstu filtriranja, poznatu kao "RFC 2827", također može izvesti ISP ( ISP). Kao rezultat toga, sav promet koji nema izvornu adresu očekivanu na određenom sučelju se odbija.

2.2.3. Najučinkovitija metoda rješavanja IP lažiranja je ista kao u slučaju njuškanja paketa: morate učiniti napad potpuno neučinkovitim. IP lažiranje može funkcionirati samo ako se autentifikacija temelji na IP adresama. Stoga uvođenje dodatnih metoda provjere autentičnosti čini ovu vrstu napada beskorisnom. Najbolja vrsta dodatne provjere autentičnosti je kriptografska. Ako to nije moguće, dvofaktorska autentifikacija korištenjem jednokratnih lozinki može dati dobre rezultate.

2.3. Prijetnja od DoS napada može se ublažiti na sljedeće načine:

2.3.1. Značajke protiv lažiranja - Ispravno konfiguriranje značajki protiv lažiranja na vašim usmjerivačima i vatrozidima pomoći će smanjiti rizik od DoS-a. Ove značajke bi trebale, u najmanju ruku, uključivati ​​filtriranje RFC 2827. Osim ako haker ne može prikriti svoj pravi identitet, malo je vjerojatno da će pokušati napad.

2.3.2. Anti-DoS funkcije - Pravilna konfiguracija anti-DoS funkcija na usmjerivačima i vatrozidima može ograničiti učinkovitost napada. Ove značajke ograničavaju broj poluotvorenih kanala u bilo kojem trenutku.

2.3.3. Ograničavanje količine prometa ( ograničavanje brzine prometa) – ugovor s pružateljem ( ISP) o ograničavanju količine prometa. Ova vrsta filtriranja omogućuje vam da ograničite količinu nekritičnog prometa koji prolazi kroz mrežu. Uobičajeni primjer je ograničavanje količine ICMP prometa koji se koristi samo u dijagnostičke svrhe. napadi ( D) DoS često koristi ICMP.

2.3.4. Blokiranje IP adresa - nakon analize DoS napada i identificiranja raspona IP adresa s kojih se napad izvodi, kontaktirajte davatelja da ih blokira.

2.4. Napadi lozinkom mogu se izbjeći ne korištenjem lozinki običnog teksta. Jednokratne lozinke i/ili kriptografska autentifikacija mogu praktički eliminirati prijetnju takvih napada. Ne podržavaju sve aplikacije, hostovi i uređaji gore navedene metode provjere autentičnosti.

Kada koristite obične lozinke, morate smisliti lozinku koju bi bilo teško pogoditi. Minimalna duljina lozinke mora biti najmanje osam znakova. Lozinka mora sadržavati velika slova, brojeve i posebne znakove ( #, %, $, itd.). Najbolje je lozinke teško pogoditi i teško zapamtiti, što prisiljava korisnike da zapišu lozinke na papir.

2.5. Napadi čovjeka u sredini mogu se učinkovito nositi samo pomoću kriptografije. Ako haker presretne podatke šifrirane sesije, na ekranu neće imati presretnutu poruku, već besmisleni skup znakova. Imajte na umu da ako haker dobije informacije o kriptografskoj sesiji ( npr. ključ sesije), to može učiniti napad Man-in-the-Middle mogućim čak i u šifriranom okruženju.

2.6. Nije moguće potpuno eliminirati napade aplikacijskog sloja. Hakeri neprestano otkrivaju i objavljuju nove ranjivosti aplikacija na internetu. Najvažnija stvar je dobra administracija sustava.

Koraci koje možete poduzeti da smanjite svoju ranjivost na ovu vrstu napada:

  • čitanje i/ili analiziranje log datoteka operacijskih sustava i mrežnih log datoteka pomoću posebnih analitičkih aplikacija;
  • pravovremeno ažuriranje verzija operativnih sustava i aplikacija te instalacija najnovijih modula za korekcije ( zakrpe);
  • korištenje sustava za prepoznavanje napada ( IDS).

2.7. Nemoguće je potpuno se riješiti mrežne inteligencije. Ako onemogućite ICMP echo i echo reply na perifernim usmjerivačima, riješit ćete se pinga, ali ćete izgubiti podatke potrebne za dijagnosticiranje kvarova na mreži. Također možete skenirati portove bez prethodnog pingiranja. Ovo će samo potrajati duže, jer će se morati skenirati i nepostojeće IP adrese. IDS sustavi na razini mreže i hosta obično su dobri u obavještavanju administratora o tekućem izviđanju mreže, što im omogućuje da se bolje pripreme za nadolazeći napad i obavijesti ISP ( ISP) na čijoj je mreži instaliran sustav koji pokazuje pretjeranu radoznalost.

2.8. Rizik od povrede povjerenja možete smanjiti strožim kontroliranjem razina povjerenja unutar svoje mreže. Sustavi izvan vatrozida nikada ne smiju imati apsolutno povjerenje od strane sustava zaštićenih vatrozidom. Odnosi povjerenja trebali bi biti ograničeni na određene protokole i, ako je moguće, biti provjereni ne samo IP adresama, već i drugim parametrima.

2.9. Glavni način rješavanja prosljeđivanja portova je korištenje modela snažnog povjerenja ( vidi točku 2.8 ). Osim toga, IDS host sustav ( HIDS).

2.10. Načini borbe protiv neovlaštenog pristupa prilično su jednostavni. Ovdje je glavna stvar smanjiti ili potpuno eliminirati mogućnost hakera da pristupi sustavu pomoću neovlaštenog protokola. Kao primjer, razmislite o sprječavanju hakera da pristupe telnet portu na poslužitelju koji pruža web usluge vanjskim korisnicima. Bez pristupa ovom portu, haker ga neće moći napasti. Što se tiče vatrozida, njegov glavni zadatak je spriječiti najjednostavnije pokušaje neovlaštenog pristupa.

2.11. Borba protiv virusa i trojanskih konja provodi se uz pomoć učinkovitog antivirusnog softvera koji radi na razini korisnika i na razini mreže. Antivirusni alati otkrivaju većinu virusa i trojanskih konja i sprječavaju njihovo širenje.

3. Algoritam radnji kada se otkriju mrežni napadi

3.1. Većina mrežnih napada blokirana je automatski instaliranim alatima za zaštitu informacija ( vatrozidi, pouzdani alati za pokretanje, mrežni usmjerivači, antivirusni alati itd.).

3.2. Napadi koji zahtijevaju ljudsku intervenciju kako bi ih blokirali ili ublažili ozbiljnost posljedica uključuju DoS napade.

3.2.1. DoS napadi se otkrivaju analizom mrežnog prometa. Početak napada karakterizira " vozeći» komunikacijski kanali koji koriste pakete koji zahtijevaju velike resurse s lažnim adresama. Takav napad na stranicu internetskog bankarstva otežava pristup legitimnim korisnicima i web-resurs može postati nedostupan.

3.2.2. Ako se otkrije napad, administrator sustava izvodi sljedeće radnje:

  • vrši ručno prebacivanje usmjerivača na backup kanal i natrag kako bi se identificirao manje opterećen kanal (kanal sa širim propusnim opsegom);
  • otkriva raspon IP adresa s kojih se napad izvodi;
  • šalje zahtjev davatelju da blokira IP adrese iz navedenog raspona.

3.3. DoS napad se obično koristi za prikrivanje uspješnog napada na klijentove resurse kako bi ga bilo teže otkriti. Stoga, kada se otkrije DoS napad, potrebno je analizirati najnovije transakcije kako bi se identificirale neobične transakcije, blokirale ih (ako je moguće) te kontaktirati kupce putem alternativnog kanala za potvrdu transakcija.

3.4. Ako se od klijenta zaprime informacije o neovlaštenim radnjama, bilježe se svi dostupni dokazi, provodi se interna istraga i podnosi prijava tijelima za provođenje zakona.

Preuzmite ZIP datoteku (24151)

Dokumenti su dobro došli - stavite "lajk":

Udaljeni mrežni napad je informacijski destruktivni učinak na distribuirani računalni sustav (DCS), koji se provodi putem komunikacijskih kanala.

Zbog činjenice da je daljinski napad prilično teško otkriti, a relativno ga je lako izvesti (zbog pretjerane funkcionalnosti modernih sustava), ova vrsta protuzakonitih radnji izbija na prvo mjesto po opasnosti. Prema prirodi utjecaja, napadi su pasivni i aktivni. U prve spadaju oni koji nemaju izravan utjecaj na rad RVS-a, ali su sposobni kršiti njegovu sigurnosnu politiku. Upravo zbog nepostojanja izravnog utjecaja na sustav takav napad je teško otkriti. Aktivan utjecaj na RCS je onaj koji ima izravan utjecaj na rad sustava, remeti njegovu izvedbu, mijenja konfiguraciju itd. Kod aktivnog tipa napada dolazi do nekih promjena u sustavu, dok kod pasivnog utjecaja ne ostaju vidljivi tragovi.

U svakom napadu glavni je cilj, u pravilu, neovlašteni pristup informacijama. Postoje dvije vrste prikupljanja informacija: presretanje i izobličenje. Kada se presretnu, informacije se primaju bez mogućnosti promjene. Iskrivljavanje ili zamjena podataka dovodi do narušavanja njihova integriteta. Dakle, prema namjeni utjecaja, mrežni napadi se mogu podijeliti na one koji narušavaju funkcioniranje sustava, integritet informacijskih resursa ili njihovu povjerljivost.

Informacijske i mrežne tehnologije razvijaju se i mijenjaju tako brzo da statični sigurnosni mehanizmi kao što su kontrola pristupa, sustavi provjere autentičnosti ne mogu pružiti učinkovitu zaštitu u mnogim slučajevima. Potrebne su dinamičke metode koje omogućuju otkrivanje i sprječavanje kršenja sigurnosti u kratkom vremenu. Jedan takav sustav koji omogućuje praćenje kršenja koja nisu identificirana tradicionalnim modelima kontrole pristupa je tehnologija otkrivanja upada.

Detekcija napada je proces prepoznavanja i odgovora na sumnjivu aktivnost usmjerenu na mrežne ili računalne resurse. Učinkovitost tehnologije uvelike ovisi o tome koje se metode analize primljenih informacija koriste. Trenutno se, uz statističku metodu, koriste brojne nove tehnike, poput ekspertnih sustava i neuronskih mreža. Analizirajmo svaku metodu zasebno.

Statistička analiza. Ovaj pristup ima dvije glavne prednosti: korištenje provjerenog aparata matematičke statistike i prilagodbu ponašanju ispitanika. Na samom početku korištenja ove metode određuju se profili za svaki subjekt analiziranog sustava. Svako odstupanje korištenog profila od standarda smatra se neovlaštenom radnjom. Statističke metode su univerzalne, jer ne zahtijevaju znanje o mogućim napadima i ranjivostima sustava. Međutim, mogu se pojaviti neke poteškoće pri njihovoj upotrebi, na primjer, u činjenici da se mogu "obučiti" da prihvaćaju neovlaštene radnje kao normalne. Stoga se uz statističku analizu koriste i dodatne metode.

Ekspertni sustavi. Ova metoda otkrivanja napada vrlo je česta. Kada se koristi, informacije o napadima se formuliraju u obliku pravila, koja su često napisana kao slijed radnji ili u obliku potpisa.

Ako se poštuje bilo koje od ovih pravila, odmah se donosi odluka o prisutnosti neovlaštene aktivnosti. Jedna od glavnih prednosti ove metode je gotovo potpuna odsutnost lažnih alarma. Kako bi ekspertni sustavi uvijek ostali relevantni, potrebno je stalno ažurirati korištene baze podataka. Nedostatak ove metode je nemogućnost odbijanja nepoznatih napada. Čak i ako je napad iz baze podataka malo izmijenjen, to već može postati ozbiljna prepreka njegovom otkrivanju.

Neuronske mreže. Zbog činjenice da je hakera i opcija napada svakim danom sve više, stručni sustavi, čak ni u uvjetima stalnog ažuriranja baza podataka, ne mogu jamčiti točnu identifikaciju svakog mogućeg upada. Kao jedan od načina za prevladavanje ovog problema koriste se neuronske mreže. Neuronska mreža analizira informacije i pruža priliku za procjenu koliko su podaci u skladu s karakteristikama koje prepoznaje. Da bi se to postiglo, neuronska mreža je osposobljena da točno identificira na odabranom uzorku primjera iz predmetnog područja. Analizira se reakcija neuronske mreže, nakon čega se sustav podešava na način da se postignu zadovoljavajući rezultati. Kako neuronska mreža analizira podatke, stječe dodatno iskustvo.

Jedna od važnih prednosti neuronskih mreža je njihova sposobnost da uzmu u obzir karakteristike napada, identificirajući elemente koji nisu slični onima koji se proučavaju.

Budući da ove metode otkrivanja upada imaju svoje nedostatke, obično se koriste u kombinaciji za pružanje pouzdanije zaštite.

Kako biste osigurali sigurnost vašeg računala, morate znati koji ga mrežni napadi mogu ugroziti. Sve poznate prijetnje mogu se podijeliti u tri skupine:

Skeniranje portova– te prijetnje same po sebi nisu napad, već mu u pravilu prethode, budući da je to jedan od načina za dobivanje informacija o udaljenom računalu. Bit ove metode je skeniranje UDP/TCP portova koje koriste mrežne usluge na željenom računalu kako bi se utvrdio njihov status. Takav proces pomaže razumjeti koji napadi na određeni sustav mogu biti uspješni, a koji ne. Štoviše, skeniranje napadaču pruža potrebne informacije o operativnom sustavu, što mu omogućuje odabir još prikladnijih vrsta napada.

DOS- napadi- poznati su i kao "uskraćivanje usluge". Riječ je o takvim napadima, uslijed kojih napadnuti sustav dolazi u nestabilno ili potpuno neoperativno stanje. Njihove posljedice mogu uključivati ​​oštećenje ili uništenje informacijskih resursa i nemogućnost njihovog korištenja.

DOS napadi su dvije vrste. :

- posebno izrađeni paketi šalju se na računalo žrtve, što dovodi do ponovnog pokretanja sustava ili gašenja

- veliki broj paketa se šalje na računalo žrtve u jedinici vremena, ono se ne može nositi s njihovom obradom. Rezultat je iscrpljivanje resursa sustava.

Napadi invazije. Cilj im je “zarobiti” sustav. Ova vrsta napada je najopasnija, jer ako se uspješno izvedu, napadač dobiva najpotpunije informacije o sustavu.Upadni napadi se koriste u slučajevima kada postoji potreba za dobivanjem povjerljivih podataka s udaljenog računala, kao što su lozinke i pristup kreditnim karticama. Također, svrha ovakvih napada može biti fiksiranje u sustavu kako bi se njegovi računalni resursi naknadno koristili za potrebe napadača. Ova skupina uključuje najveći broj napada.

Češći tipovi napada koji koriste mrežne usluge operacijskog sustava:

— Napadi prekoračenja međuspremnika. Ova vrsta ranjivosti u softveru koja se javlja zbog odsutnosti ili nedovoljnih mjera kontrole pri radu s nizovima podataka.

— Napadi temeljeni na pogreškama u nizu formata. Ovaj tip proizlazi iz nedovoljne kontrole nad vrijednostima ulaznih parametara formata I/O funkcija. U slučaju da je takva ranjivost u softveru, tada napadač može steći apsolutnu kontrolu nad sustavom.

Kako biste zaštitili svoje osobno računalo (PC) od mrežnih napada, morate instalirati visokokvalitetni antivirusni program, kao i program - zaštitnik pod nazivom FireWall. Ovaj program kontrolira sve što dolazi i odlazi preko mreže, štiti vaše računalo od hakova i napada s mreže, a također sprječava prijenos osobnih podataka. FireWall rješava problem skeniranja portova, što je gore spomenuto: softver čini računalo nevidljivim na mreži zatvaranjem svih portova. Osim toga, ovaj program ne dopušta ulazak osobnih podataka u mrežu čak i ako je sustav zaražen trojanskim virusima (čija je svrha samo krađa povjerljivih informacija). Čak i ako mislite da na vašem računalu nema ništa što bi kriminalcu moglo zatrebati, ipak ne biste trebali zanemariti instalaciju gore navedenog softvera, jer nakon napada vaše računalo može koristiti haker za napad ili hakiranje drugih strojeva.

Tablica 9.1.
Naziv protokola Razina stog protokola Naziv (obilježje) ranjivosti Sadržaj kršenja sigurnost informacija
FTP ( File Transfer Protocol) - protokol za prijenos datoteka preko mreže
  • Temeljena autentifikacija otvorenog teksta(lozinke se šalju nekriptirane)
  • Zadani pristup
  • Imaju dva otvorena porta
  • Mogućnost presretanje podataka
telnet- kontrolni protokol udaljeni terminal Primijenjeno, reprezentativno, sjednica Temeljena autentifikacija otvorenog teksta(lozinke se šalju nekriptirane)
  • Mogućnost presretanje podataka račun (registrirana korisnička imena, lozinke).
  • Dobivanje udaljenog pristupa hostovima
UDP- protokol prijenosa podataka bez veze Prijevoz Nema mehanizama za sprječavanje preopterećenja međuspremnika
  • Mogućnost realizacije UDR-oluje.
  • Razmjena paketa rezultira značajnom degradacijom performansi poslužitelja
ARP - protokol za pretvaranje IP adrese u fizičku adresu mreža Temeljena autentifikacija otvorenog teksta(informacije se šalju nekriptirane) Mogućnost presretanja korisničkog prometa od strane napadača
RIP - Protokol informacija o usmjeravanju Prijevoz Nema provjere autentičnosti kontrolnih poruka preusmjeravanja Mogućnost preusmjeravanja prometa preko napadačevog hosta
TCP- kontrolni protokol prijenos Prijevoz Nedostatak mehanizma za provjeru ispravnosti popunjavanja zaglavlja usluge paketa Značajno smanjenje tečaja pa čak i potpuni prekid proizvoljnih veza putem TCP protokola
DNS - Protokol za mapiranje mnemoničkih imena i mrežnih adresa Primijenjeno, reprezentativno, sjednica Nedostatak sredstava za provjeru autentičnosti primljenih podataka iz izvora Prijevara odgovora DNS poslužitelja
IGMP - Routing Message Transfer Protocol mreža Nema provjere autentičnosti poruka o promjeni parametara rute Viseći Win 9x/NT/2000 sustavi
SMTP je protokol za pružanje usluge dostave e-poruka. Primijenjeno, reprezentativno, sjednica Sposobnost lažiranja poruka e-pošte kao i adresa pošiljatelj poruke
SNMP- kontrolni protokol usmjerivači u mrežama Primijenjeno, reprezentativno, sjednica Nema podrške za provjeru autentičnosti zaglavlja poruke Mogućnost zagušenja propusnosti mreže

Prijetnje implementirane putem mreže klasificirane su prema sljedećim glavnim značajkama:

  1. prirodu prijetnje.

    Pasivna – prijetnja koja ne utječe na rad informacijskog sustava, ali može kršiti pravila pristupa zaštićenim informacijama. Primjer: korištenje njuškala za "slušanje" mreže. Aktivan - prijetnja koja utječe na komponente informacijskog sustava, čija implementacija ima izravan utjecaj na rad sustava. Primjer: DDOS napad u obliku oluje s TCP zahtjevima.

  2. svrha prijetnje(odnosno, povjerljivost, dostupnost, integritet informacija).
  3. uvjet početka napada:
    • na zahtjev napadača. Odnosno, napadač očekuje prijenos zahtjeva određene vrste, što će biti uvjet za početak UA.
    • po nastanku očekivanog događaja na napadnutom objektu.
    • bezuvjetni utjecaj – napadač ne očekuje ništa, odnosno prijetnja se ostvaruje odmah i bez obzira na stanje napadnutog objekta.
  4. Povratne informacije s napadnutim objektom:
    • uz povratnu informaciju, odnosno za neke zahtjeve, napadač treba dobiti odgovor. Dakle, postoji povratna sprega između napadača i napadača, što napadaču omogućuje praćenje stanja napadnutog objekta i adekvatno reagiranje na njegove promjene.
    • bez povratne informacije – sukladno tome nema povratne informacije i potrebe da napadač reagira na promjene u napadnutom objektu.
  5. mjesto uljeza u odnosu na napadnuti informacijski sustav: unutarsegmentni i intersegmentni. Mrežni segment je fizička asocijacija domaćina, hardvera i drugih mrežnih komponenti koje imaju mrežnu adresu. Na primjer, jedan segment čine računala povezana na zajedničku sabirnicu temeljenu na Token Ringu.
  6. razina ISO/OSI referentnog modela na kojoj se prijetnja implementira: fizički, kanal, mreža, transport, sjednica, predstavnik, primijenjen.

Razmotrite najčešće napade u mrežama na temelju stog protokola TCP/IP.

  1. Analiza mrežnog prometa. Ovaj napad se provodi pomoću posebnog programa zvanog sniffer. Njuškalo je aplikacija koja koristi mrežnu karticu koja radi u promiskuitetnom načinu rada, takozvanom "promiskuitetnom" načinu u kojem mrežna kartica dopušta primanje svih paketa, bez obzira na to kome su adresirani. U normalnom stanju, Ethernet sučelje koristi filtriranje paketa sloja veze, a ako MAC adresa u odredišnom zaglavlju primljenog paketa ne odgovara MAC adresi trenutnog mrežno sučelje i ne emitira se, tada se paket ispušta. U "promiskuitetnom" načinu, filtriranje uključeno mrežno sučelje je onemogućen i svi paketi, uključujući one koji nisu namijenjeni trenutnom hostu, dopušteni su u sustav. Treba napomenuti da se mnogi od ovih programa koriste u pravne svrhe, na primjer, za rješavanje problema ili analizu prometa. Međutim, tablica koju smo pregledali iznad navodi protokole koji šalju informacije, uključujući lozinke, u čistom tekstu - FTP, SMTP, POP3, itd. Dakle, pomoću njuškala možete presresti ime i lozinku i napraviti neovlašteni pristup povjerljivim informacijama. Štoviše, mnogi korisnici koriste iste lozinke za pristup mnogim mrežnim uslugama. Odnosno, ako postoji slabost na jednom mjestu u mreži u obliku slabe autentifikacije, cijela mreža može patiti. Napadači su svjesni ljudskih slabosti i naširoko koriste metode socijalnog inženjeringa.

    Zaštita od ove vrste napada može biti sljedeća:

    • Jaka autentifikacija, na primjer, korištenjem jednokratne lozinke(jednokratna lozinka). Zaključak je da se lozinka može upotrijebiti jednom, pa čak i ako je napadač presretne pomoću njuškala, ona nema nikakvu vrijednost. Naravno, ovaj zaštitni mehanizam spašava samo od presretanja lozinki, a beskorisan je u slučaju presretanja drugih informacija, poput e-pošte.
    • Anti-sniffers su hardverski ili softverski alati koji mogu otkriti rad njuškala u mrežnom segmentu. U pravilu provjeravaju opterećenje na mrežnim čvorovima kako bi se utvrdilo "dodatno" opterećenje.
    • komutirana infrastruktura. Jasno je da je analiza mrežnog prometa moguća samo unutar jednog segmenta mreže. Ako je mreža izgrađena na uređajima koji je dijele na više segmenata (prekidači i usmjerivači), tada je napad moguć samo u onim dijelovima mreže koji pripadaju jednom od portova tih uređaja. Time se ne rješava problem njuškanja, ali se smanjuju granice koje napadač može "slušati".
    • kriptografske metode. Najpouzdaniji način rješavanja njuškala. Informacije koje se mogu dobiti presretnutim su šifrirane i stoga nisu od koristi. Najčešće korišteni su IPSec, SSL i SSH.
  2. Mrežno skeniranje.Svrha mrežnog skeniranja je identificirati usluge koje rade na mreži, otvorene portove, aktivne mrežne usluge, korišteni protokoli itd., odnosno prikupljanje informacija o mreži. Za mrežno skeniranje najčešće se koriste:
    • DNS upiti pomažu napadaču da sazna vlasnika domene, adresnog područja,
    • pinging - identificira žive hostove na temelju DNS adresa primljenih ranije;
    • skeniranje portova - sastavlja se potpuni popis usluga koje podržavaju ovi hostovi, otvaraju se portovi, aplikacije itd.

    Dobra i najčešća protumjera je korištenje IDS-a koji uspješno pronalazi znakove skeniranja mreže u tijeku i o tome obavještava administratora. Nemoguće je potpuno se riješiti ove prijetnje, jer ako, na primjer, onemogućite ICMP echo i echo reply na usmjerivaču, možete se riješiti ping prijetnje, ali u isto vrijeme izgubiti podatke potrebne za dijagnosticiranje kvarova na mreži .

  3. Otkrivanje lozinke.Glavna svrha ovog napada je stjecanje neovlaštenog pristupa zaštićenim resursima prevladavanjem zaštite lozinkom. Za dobivanje lozinke napadač može koristiti mnoge metode – jednostavno nabrajanje, nabrajanje rječnika, njuškanje itd. Najčešći je jednostavno nabrajanje svih mogućih vrijednosti lozinke. Za zaštitu od jednostavnog nabrajanja potrebno je koristiti jake lozinke koje nije lako pogoditi: duljine 6-8 znakova, korištenje velikih i malih slova, korištenje posebnih znakova (@, #, $, itd.).

    Drugi problem informacijske sigurnosti je taj što većina ljudi koristi iste lozinke za sve usluge, aplikacije, stranice itd. Istodobno, ranjivost lozinke ovisi o najslabijem dijelu njezine uporabe.

    Ove vrste napada moguće je izbjeći korištenjem jednokratnih lozinki, o kojima smo ranije govorili, ili kriptografskom autentifikacijom.

  4. IP lažiranje ili lažiranje pouzdanog mrežnog objekta.U ovom slučaju, pouzdani objekt je mrežni objekt (računalo, usmjerivač, vatrozid, itd.) legalno povezan s poslužiteljem. Prijetnja leži u činjenici da se napadač pretvara da je mrežni objekt od povjerenja. To se može učiniti na dva načina. Prvo upotrijebite IP adresu koja je unutar raspona ovlaštenih IP adresa ili ovlaštenu vanjsku adresu kojoj je dopušten pristup određenim mrežnim resursima. Ova vrsta napada često je početna točka za druge napade.

    Obično je lažiranje pouzdanog mrežnog objekta ograničeno na umetanje lažnih informacija ili zlonamjernih naredbi u normalni tok podataka koji se prenosi između mrežnih objekata. Za dvosmjernu komunikaciju, napadač mora promijeniti sve tablice usmjeravanja kako bi usmjerio promet na lažnu IP adresu, što je također moguće. Da biste ublažili prijetnju (ali ne i eliminirali), možete koristiti sljedeće:

    • kontrola pristupa. Možete konfigurirati kontrolu pristupa kako biste prekinuli promet koji dolazi s vanjske mreže s izvornom adresom unutar mreže. Ova metoda je važeća ako su ovlaštene samo interne adrese i ne uspijeva ako postoje ovlaštene vanjske adrese.
    • RFC 2827 filtriranje - ova vrsta filtriranja omogućuje vam da spriječite korisnike vaše mreže da lažiraju strane mreže. Da biste to učinili, morate odbiti svaki odlazni promet čija izvorna adresa nije jedna od IP adresa vaše organizacije. Često ovu vrstu filtriranja obavlja davatelj usluga. Kao rezultat toga, sav promet koji nema izvornu adresu očekivanu na određenom sučelju se odbija. Na primjer, ako ISP pruža vezu s IP adresom 15.1.1.0/24, može konfigurirati filtar tako da je dopušten samo promet koji dolazi iz 15.1.1.0/24 s tog sučelja na ISP usmjerivač. Imajte na umu da će sve dok svi davatelji usluga ne implementiraju ovu vrstu filtriranja, njegova učinkovitost biti mnogo niža od moguće.
    • Implementacija dodatnih metoda provjere autentičnosti. IP lažiranje moguće je samo uz IP provjeru autentičnosti. Ako se uvedu neke dodatne mjere provjere autentičnosti, na primjer, kriptografske, napad postaje beskorisan.
  5. Uskraćivanje usluge ili uskraćivanje usluge (DoS)- napad na računalni sustav s ciljem njegovog dovođenja u kvar, odnosno stvaranje uvjeta pod kojima legitimni korisnici sustava ne mogu dobiti pristup resursima koje sustav pruža ili je taj pristup otežan.

    DoS napad je najčešći i najpoznatiji napad u posljednje vrijeme, što je prvenstveno posljedica jednostavnosti implementacije. Organizacija DOS napada zahtijeva minimum znanja i vještina, a temelji se na nedostacima mrežnog softvera i mrežnih protokola. Ako se napad provodi za mnoge mrežne uređaje, govori se o distribuiranom DoS napadu (DDoS - distribuirani DoS).

    Danas se najčešće koristi sljedećih pet vrsta DoS napada za koje postoji velika količina softvera i od kojih se najteže braniti:

    • Štrumpf- ICMP ping zahtjevi. Kada se ping paket (ICMP ECHO poruka) pošalje na adresu emitiranja (na primjer, 10.255.255.255), isporučuje se svakom stroju u toj mreži. Princip napada je slanje ICMP ECHO REQUEST paketa s izvornom adresom napadnutog hosta. Napadač šalje konstantan tok ping paketa na adresu mrežnog emitiranja. Svi strojevi, po primitku zahtjeva, odgovaraju izvoru s ICMP ECHO REPLY paketom. U skladu s tim, veličina toka paketa odgovora raste proporcionalno broju hostova. Kao rezultat toga, cijela mreža je podložna uskraćivanju usluge zbog zagušenja.
    • ICMP poplava- napad sličan Štrumpfu, samo bez pojačanja koje stvaraju zahtjevi na usmjerenu adresu emitiranja.
    • UDP poplava- slanje puno UDP (User Datagram Protocol) paketa na adresu napadnutog hosta.
    • TCP poplava- slanje puno TCP paketa na adresu napadnutog hosta.
    • TCP SYN poplava- prilikom izvođenja ovakvog napada izdaje se veliki broj zahtjeva za inicijalizacijom TCP veza s napadnutim čvorom, koji kao rezultat mora potrošiti sve svoje resurse na praćenje ovih djelomično otvorenih veza.

    Ako se koristi aplikacija web poslužitelja ili FTP poslužitelja, DoS napad uzrokuje da sve veze dostupne tim aplikacijama budu zauzete i korisnici im ne mogu pristupiti. Neki napadi mogu uništiti cijelu mrežu tako što će je preplaviti nepotrebnim paketima. Za suzbijanje ovakvih napada neophodno je sudjelovanje davatelja, jer ako on ne zaustavi neželjeni promet na ulazu u mrežu, napad se ne može zaustaviti, jer će propusnost biti zauzeta.

    Za provedbu DoS napada najčešće se koriste sljedeći programi:

    • Trinoo- je prilično primitivan program, koji je povijesno postao prvi koji je organizirao DoS napade jedne vrste - UDP-flood. Programi iz obitelji "trinoo" lako se otkrivaju standardnim sigurnosnim alatima i ne predstavljaju prijetnju onima kojima je stalo do njihove sigurnosti.
    • TFN i TFN2K- ozbiljnije oružje. Omogućuju vam da istovremeno organizirate napade nekoliko vrsta - Štrumpf, UDP flood, ICMP flood i TCP SYN flood. Korištenje ovih programa zahtijeva puno veću vještinu od napadača.
    • Najnoviji alat za organiziranje DoS napada - Stacheldracht("bodljikava žica"). Ovaj paket vam omogućuje organiziranje raznih vrsta napada i lavine zahtjeva za emitiranje pinga. Osim toga, komunikacija između kontrolera i agenata je šifrirana, a funkcija auto-modifikacije ugrađena je u sam softver. Šifriranje vrlo otežava otkrivanje napadača.

    Da biste ublažili prijetnju, možete koristiti sljedeće:

    • Značajke protiv lažiranja - Ispravno konfiguriranje značajki protiv lažiranja na vašim usmjerivačima i vatrozidima pomoći će smanjiti rizik od DoS-a. Ove značajke bi trebale, u najmanju ruku, uključivati ​​filtriranje RFC 2827. Osim ako haker ne može prikriti svoj pravi identitet, malo je vjerojatno da će pokušati napad.
    • Anti-DoS funkcije - Pravilna konfiguracija anti-DoS funkcija na usmjerivačima i vatrozidima može ograničiti učinkovitost napada. Ove značajke često ograničavaju broj poluotvorenih kanala u bilo kojem trenutku.
    • Ograničavanje brzine prometa - Organizacija može zatražiti od ISP-a da ograniči količinu prometa. Ova vrsta filtriranja omogućuje vam da ograničite količinu nekritičnog prometa koji prolazi kroz vašu mrežu. Uobičajeni primjer je ICMP ograničenje prometa, koje se koristi samo u dijagnostičke svrhe. DoS napadi često koriste ICMP.

    Postoji nekoliko vrsta prijetnji ove vrste:

    • Latentno uskraćivanje usluge, kada se dio mrežnih resursa koristi za obradu paketa koje je prenio napadač uz smanjenje propusnosti kanala, kršenje vremena obrade zahtjeva i kršenje performansi mrežnih uređaja. Primjer: usmjerena oluja ICMP eho zahtjeva ili oluja zahtjeva TCP veze.
    • Eksplicitno uskraćivanje usluge uzrokovano činjenicom da su mrežni resursi iscrpljeni kao rezultat obrade paketa koje su poslali napadači. Istodobno, legitimni korisnički zahtjevi ne mogu se obraditi zbog činjenice da je cijela propusnost kanala zauzeta, međuspremnici su puni, prostor na disku je pun itd. Primjer: usmjerena oluja (SYN-poplava).
    • Eksplicitno uskraćivanje usluge uzrokovano kršenjem logičke povezanosti između tehničkih sredstava mreže kada napadač šalje kontrolne poruke u ime mrežnih uređaja. Time se mijenjaju podaci o usmjeravanju. Primjer: ICMP Redirect Host ili DNS poplava.
    • Eksplicitno uskraćivanje usluge uzrokovano napadačem koji prenosi pakete s nestandardnim atributima (kao što je UDP-bomba) ili premašuje maksimalnu duljinu (Ping Death).

    DoS napadi imaju za cilj narušavanje dostupnosti informacija i ne narušavaju integritet i povjerljivost.

  6. Napadi aplikacijskog sloja. Ova vrsta napada sastoji se u korištenju "praznina" u poslužiteljskom softveru (HTML, sendmail, FTP). Koristeći ove ranjivosti, napadač dobiva pristup računalu u ime korisnika aplikacije. Napadi aplikacijskog sloja često koriste portove koji mogu "proći" kroz vatrozid.

    Glavni problem s napadima aplikacijskog sloja je taj što oni često koriste portove kojima je dopušteno proći kroz vatrozid. Na primjer, haker koji napada web poslužitelj može koristiti TCP port 80. Da bi web poslužitelj mogao posluživati ​​stranice korisnicima, port 80 mora biti otvoren na vatrozidu. Sa stajališta vatrozida, napad se tretira kao standardni promet na portu 80.

    Nije moguće potpuno eliminirati napade aplikacijskog sloja jer se aplikacije s novim ranjivostima redovito pojavljuju. Najvažnija stvar ovdje je dobra administracija sustava. Evo nekoliko koraka koje možete poduzeti kako biste smanjili svoju ranjivost na ovu vrstu napada:

    • čitanje dnevnika (sustav i mreža);
    • praćenje ranjivosti u novom softveru pomoću specijaliziranih stranica, kao što je http://www.cert.com.
    • korištenje IDS-a.

Iz same prirode mrežnog napada, jasno je da njegovu pojavu ne kontrolira svaki određeni mrežni čvor. Nismo uzeli u obzir sve napade koji su mogući na mreži - u praksi ih je puno više. Međutim, nije moguće zaštititi se od svih vrsta napada. Najoptimalniji pristup zaštiti perimetra mreže je uklanjanje ranjivosti koje se koriste u većini zlonamjernih napada. Popisi takvih ranjivosti objavljuju se na mnogim stranicama koje prikupljaju takve statistike, na primjer, stranica Instituta SANS: http://www.sans.org/top-cyber-security-risks/?ref=top20 . Obični napadač ne traži nikakve originalne načine napada, već skenira mrežu u potrazi za poznatom ranjivošću i koristi je.

1. Hvatanje paketa.

Njuškalo paketa (od engleskog sniff - njuškanje) je aplikacijski program koji koristi mrežno sučelje koje radi u promiskuitetnom načinu rada. U ovom načinu rada mrežni adapter omogućuje primanje svih paketa primljenih putem fizičkih kanala, bez obzira na to kome su adresirani, te ih šalje aplikaciji na obradu. Trenutno se njuškari koriste u mrežama na potpuno legalnoj osnovi. Koriste se za rješavanje problema i analizu prometa. Međutim, zbog činjenice da neke mrežne aplikacije prenose podatke u tekstualnom formatu (Telnet, FTP, SMTP, POP3 itd.), korištenje njuškala može otkriti korisne i ponekad povjerljive informacije (na primjer, korisnička imena i lozinke) .

Presretanje prijava i lozinki stvara veliku opasnost. Ako se aplikacija izvodi u načinu klijent-poslužitelj, a podaci za autentifikaciju se prenose preko mreže u čitljivom tekstualnom formatu, tada se te informacije najvjerojatnije mogu koristiti za pristup drugim korporativnim ili vanjskim resursima. U najgorem slučaju, napadač će dobiti pristup korisničkom resursu na razini sustava i koristiti ga za stvaranje novog korisnika koji se može koristiti u bilo kojem trenutku za pristup mreži i njezinim resursima.

2. IP lažiranje.

IP lažiranje (od engleskog spoof - hoax) događa se kada se napadač, bilo unutar ili izvan korporacije, lažno predstavlja kao ovlašteni korisnik. To se može postići na dva načina:

a) korištenje IP adrese koja je unutar raspona ovlaštenih IP adresa;

Napadi lažiranja IP-a često su početna točka za druge napade. Klasičan primjer je DoS napad koji počinje lažnom adresom koja skriva pravi identitet napadača.

Obično je IP lažiranje ograničeno na umetanje lažnih informacija ili zlonamjernih naredbi u normalan tok podataka koji se prenosi između klijentske i poslužiteljske aplikacije ili preko komunikacijskog kanala između vršnjaka. Za dvosmjernu komunikaciju, napadač mora promijeniti sve tablice usmjeravanja kako bi usmjerio promet na lažnu IP adresu.

Ako napadač uspije promijeniti tablice usmjeravanja i usmjeriti mrežni promet na lažnu IP adresu, tada će primiti sve pakete i moći će na njih odgovoriti kao da je ovlašteni korisnik.

3. Uskraćivanje usluge.

Denial of service (od engl. Denial of Service, skraćeno DoS), bez sumnje je najpoznatiji oblik mrežnih napada. Osim toga, protiv napada ovog tipa najteže je stvoriti stopostotnu zaštitu. Organizacija DoS-a zahtijeva minimum znanja i vještina. Ipak, jednostavnost implementacije i sam razmjer nanesene štete privlače napadače na DoS napade.

Ovaj napad se značajno razlikuje od ostalih vrsta napada. Napadači nemaju za cilj dobiti pristup mreži, niti dobiti bilo kakve informacije iz te mreže, ali DoS napad čini vašu mrežu nedostupnom za normalno korištenje prekoračenjem dopuštenih ograničenja mreže, operativnog sustava ili aplikacije. U slučaju nekih poslužiteljskih aplikacija (kao što su web poslužitelj ili FTP poslužitelj), DoS napadi mogu uzeti sve veze dostupne tim aplikacijama i zadržati ih zauzetima, sprječavajući obične korisnike da budu uslužni. DoS napadi mogu koristiti uobičajene internetske protokole kao što su TCP i ICMP.

Neki napadi poništavaju izvedbu mreže preplavljujući je neželjenim i nepotrebnim paketima ili lažnim predstavljanjem trenutnog stanja mrežnih resursa. Kada se napad ovog tipa provodi istovremeno preko više uređaja, govorimo o distribuiranom DoS napadu (od engleskog distribuirani DoS, skraćeno DDoS).

4. Napadi lozinkom.

Napadači mogu izvršiti napade lozinkom korištenjem raznih metoda, kao što su napad grube sile, trojanski konj, lažiranje IP-a i njuškanje paketa. Unatoč činjenici da se prijava i lozinka često mogu dobiti korištenjem IP lažiranja i njuškanja paketa, napadači često pokušavaju pogoditi lozinku i prijavu koristeći višestruke pokušaje pristupa. Ovaj pristup se naziva jednostavno nabrajanje.

Za takav napad koristi se poseban program koji pokušava pristupiti zajedničkom resursu (na primjer, poslužitelju). Ako, kao rezultat, napadač dobije pristup resursima, tada ga dobiva kao korisnik čija je lozinka pogodena. Ako određeni korisnik ima značajne pristupne povlastice, napadač može sebi stvoriti "gateway" za budući pristup, koji će ostati na snazi ​​čak i ako korisnik promijeni svoju lozinku.

5. Napadi čovjeka u sredini.

Za napad Man-in-the-Middle, napadač treba pristup paketima koji se prenose preko mreže. Takav pristup svim paketima prenesenim od davatelja na bilo koju drugu mrežu može, na primjer, dobiti zaposlenik ovog davatelja. Za ovu vrstu napada često se koriste njuškari paketa, transportni protokoli i protokoli za usmjeravanje. Napadi se provode radi krađe informacija, presretanja trenutne sesije i pristupa privatnim mrežnim resursima, analize prometa i dobivanja informacija o mreži i njezinim korisnicima, izvođenja DoS napada, iskrivljavanja prenesenih podataka i unosa neovlaštenih informacija u mrežne sesije.

6. Napadi na razini aplikacije.

Napadi aplikacijskog sloja mogu se izvesti na nekoliko načina. Najčešći od njih je iskorištavanje dobro poznatih slabosti poslužiteljskog softvera (sendmail, HTTP, FTP). Koristeći ove slabosti, napadači mogu dobiti pristup računalu u ime korisnika koji pokreće aplikaciju (obično to nije jednostavan korisnik, već privilegirani administrator s pravima pristupa sustavu). Napadi na aplikacijskom sloju naširoko se objavljuju kako bi administratori dobili priliku da riješe problem s korektivnim modulima (zakrpama). Nažalost, mnogi hakeri također imaju pristup ovim informacijama, što im omogućuje poboljšanje.

Glavni problem s napadima na razini aplikacije je taj što napadači često koriste portove kojima je dopušteno proći kroz vatrozid (vatrozid). Na primjer, napadač koji iskorištava dobro poznatu slabost web poslužitelja u TCP napadu često koristi port 80. Budući da web poslužitelj izlaže web stranice korisnicima, vatrozid mora omogućiti pristup ovom portu. Sa stajališta vatrozida, napad se tretira kao standardni promet na portu 80.

7. Mrežna inteligencija.

Mrežna inteligencija je prikupljanje informacija o mreži pomoću javno dostupnih podataka i aplikacija. Kada priprema napad na mrežu, napadač obično pokušava dobiti što više informacija o njoj. Mrežno izviđanje ima oblik DNS upita, pingova i skeniranja portova. DNS upiti pomažu vam razumjeti tko je vlasnik određene domene i koje su adrese dodijeljene toj domeni. Pingiranje DNS-otkrivenih adresa omogućuje vam da vidite koji hostovi zapravo rade u danom okruženju. S obzirom na popis hostova, napadač koristi alate za skeniranje portova kako bi sastavio potpuni popis usluga koje podržavaju ti hostovi. Konačno, analizira karakteristike aplikacija koje rade na hostovima. Kao rezultat, dobiva informacije koje se mogu koristiti za hakiranje.

8. Zloupotreba povjerenja.

Strogo govoreći, ova vrsta radnje nije u punom smislu riječi napad ili napad. To je zlonamjerno iskorištavanje odnosa povjerenja koji postoje na mreži. Klasičan primjer takve zloupotrebe je na rubu korporativne mreže. Ovaj segment često ugošćuje DNS, SMTP i HTTP poslužitelje. Budući da svi pripadaju istom segmentu, kršenje bilo kojeg od njih dovodi do kršenja svih ostalih, budući da ovi poslužitelji vjeruju drugim sustavima na svojoj mreži. Drugi primjer je sustav instaliran na vanjskoj strani vatrozida koji ima odnos povjerenja sa sustavom instaliranim unutar njega. U slučaju da je vanjski sustav ugrožen, napadač može koristiti odnose povjerenja da prodre u sustav zaštićen vatrozidom.

9. Prosljeđivanje luka.

Prosljeđivanje portova je oblik povrede povjerenja gdje se kompromitirani host koristi za slanje prometa kroz vatrozid koji bi inače sigurno bio odbijen. Zamislite vatrozid s tri sučelja, od kojih je svako povezano s određenim hostom. Vanjski se host može spojiti na dijeljeni host (DMZ), ali ne i na onaj instaliran na unutarnjoj strani vatrozida. Zajednički host može se povezati s unutarnjim i vanjskim hostovima. Ako napadač preuzme zajednički host, može na njega instalirati alat koji preusmjerava promet s vanjskog hosta izravno na interni. Iako to ne krši nijedno pravilo na zaslonu, vanjski host dobiva izravan pristup zaštićenom hostu kao rezultat preusmjeravanja. Primjer aplikacije koja može pružiti ovaj pristup je netcat.

10. Neovlašteni pristup.

Neovlašteni pristup ne može se izdvojiti kao zasebna vrsta napada, budući da se većina mrežnih napada provodi upravo u svrhu dobivanja neovlaštenog pristupa. Kako bi pokupio Telnet prijavu, napadač mora prvo dobiti Telnet savjet na svom sustavu. Nakon povezivanja na Telnet port, na ekranu se pojavljuje poruka "potrebna je autorizacija za korištenje ovog resursa". Ako napadač nastavi pokušavati pristupiti nakon toga, smatrat će se neovlaštenim. Izvor takvih napada može biti unutar mreže i izvan nje.

11. Virusi i aplikacije trojanskog konja

Radne stanice krajnjih korisnika vrlo su osjetljive na viruse i trojanske konje. Virusi su zlonamjerni programi koji se ubrizgavaju u druge programe kako bi izvršili neku nepoželjnu funkciju na radnoj stanici krajnjeg korisnika. Primjer je virus koji se upisuje u datoteku command.com (glavni tumač za Windows sustave) i briše druge datoteke te inficira sve ostale verzije command.com koje pronađe.

Trojanski konj nije softverski umetak, već pravi program koji se na prvi pogled čini korisna aplikacija, ali u stvarnosti igra štetnu ulogu. Primjer tipičnog trojanskog konja je program koji izgleda kao jednostavna igra za radnu stanicu korisnika. Međutim, dok korisnik igra igru, program šalje kopiju sebe e-poštom svakom pretplatniku navedenom u imeniku korisnika. Svi pretplatnici dobivaju igru ​​poštom, što uzrokuje njezinu daljnju distribuciju.

Iz klase mrežnih napada mogu se izdvojiti napadi koji uzrokuju sumnjivo, anomalno ponašanje mrežnog prometa u korporativnoj mreži. To su takozvane mrežne anomalije. Mrežne anomalije se također mogu klasificirati. Mogu se podijeliti u dvije glavne skupine: softverska i hardverska odstupanja i sigurnosni problemi (slika 1.2.1.)

1. Programska i hardverska odstupanja.

Pogreške u softveru komponenti informacijskog sustava mogu dovesti do prelaska u nenormalan način rada s naknadnim prestankom pružanja usluga.

Pogreške u konfiguraciji prevode funkcionalnost komponenti informacijskog sustava u neusklađenost sa standardnim projektnim parametrima, što narušava cjelokupnu izvedbu.

Povrede u radu podrazumijevaju izlaz parametara informacijskog sustava iznad izračunatih vrijednosti, što je popraćeno kršenjem pružanja usluga.

Kvarovi hardvera mogu dovesti do potpunog kvara pojedinih komponenti informacijskog sustava, ali i degradirajućeg učinka zasebnog podsustava na cijeli kompleks.

2. Sigurnosne povrede.

Mrežno skeniranje (mrežno skeniranje) provodi se kako bi se analizirala topologija mreže i otkrile usluge dostupne za napad. Tijekom procesa skeniranja, pokušava se povezati s mrežnim uslugama pristupom određenom portu. U slučaju otvorenog skeniranja, skener izvodi trosmjernu proceduru rukovanja, a u slučaju zatvorenog (stealth) ne prekida vezu. Budući da se prilikom skeniranja jednog hosta pretražuju usluge (portovi), ovu anomaliju karakteriziraju pokušaji pristupa s jedne IP adrese skenera određenoj IP adresi korištenjem više portova. Međutim, najčešće se skeniraju cijele podmreže, što se izražava u prisutnosti u napadnutoj mreži velikog broja paketa s jedne IP adrese skenera na više IP adresa podmreže koja se istražuje, ponekad čak i grubom silom. Najpoznatiji mrežni skeneri su: nmap, ISS, satan, strobe, xscan i drugi.

Prometni analizatori ili njuškari dizajnirani su za presretanje i analizu mrežnog prometa. U najjednostavnijem slučaju, za to se mrežni adapter hardverskog kompleksa prebacuje u način slušanja i tokovi podataka u segmentu na koji je spojen postaju dostupni za daljnje proučavanje. Budući da mnogi aplikacijski programi koriste protokole koji prenose informacije u otvorenom, nešifriranom obliku, rad njuškala drastično smanjuje razinu sigurnosti. Imajte na umu da njuškari ne uzrokuju izražene anomalije u mreži. Najpoznatiji snifferi su: tcpdump, ethereal, sniffit, Microsoft network monitor, netxray, lan explorer.

U računalnoj sigurnosti, izraz ranjivost se koristi za označavanje komponente informacijskog sustava koja je slabo zaštićena od neovlaštenog izlaganja. Ranjivost može biti rezultat pogrešaka u dizajnu, programiranju ili konfiguraciji. Ranjivost može postojati samo teoretski ili imati eksploatatorsku softversku implementaciju - exploit. U mrežnom aspektu, ranjivosti mogu utjecati na informacijske resurse kao što su operativni sustavi i servisni softver.

Mrežna aktivnost virusa rezultat je pokušaja širenja računalnih virusa i crva korištenjem mrežnih resursa. Najčešće računalni virus iskorištava neku pojedinačnu ranjivost u mrežnoj aplikacijskoj usluzi, pa je promet virusa karakteriziran prisutnošću velikog broja pristupa s jedne zaražene IP adrese na više IP adresa na određenom portu koji odgovara potencijalno ranjivoj usluzi.

Posebno su zanimljivi daljinski, mrežni napadi. Interes za ovu vrstu napada posljedica je činjenice da su distribuirani sustavi za obradu podataka sve rašireniji u svijetu. Većina korisnika radi s udaljenim resursima koristeći INTERNET mrežu i stog TCP/IP protokola. U početku je INTERNET mreža stvorena za komunikaciju između državnih agencija i sveučilišta za pomoć obrazovnom procesu i znanstvenim istraživanjima, a tvorci te mreže nisu ni slutili koliko će se ona proširiti. Kao rezultat toga, ranim specifikacijama internetskog protokola (IP) nedostajali su sigurnosni zahtjevi. Zbog toga su mnoge IP implementacije inherentno ranjive.

Tečaj pokriva sljedeće napade i kako se nositi s njima.

Napad "Njuškanje". Njuškalo paketa je aplikacijski program koji koristi mrežnu karticu koja radi u promiskuitetnom načinu rada (u ovom načinu rada mrežni adapter šalje sve pakete primljene preko fizičkih kanala u aplikaciju na obradu). U ovom slučaju, njuškalo presreće sve mrežne pakete koji se prenose kroz određenu domenu. Trenutno njuškari rade u mrežama na potpuno legalnoj osnovi. Koriste se za rješavanje problema i analizu prometa. Međutim, zbog činjenice da neke mrežne aplikacije prenose podatke u tekstualnom formatu (Telnet, FTP, SMTP, POP3 itd.), korištenje njuškala može otkriti korisne, a ponekad i povjerljive informacije (na primjer, korisnička imena i lozinke).

Presretanje imena i lozinki stvara veliku opasnost, budući da korisnici često koriste istu prijavu i lozinku za mnoge aplikacije i sustave. Mnogi korisnici općenito imaju jednu lozinku za pristup svim resursima i aplikacijama. Ako se aplikacija izvodi u načinu klijent/poslužitelj, a podaci za provjeru autentičnosti se šalju putem mreže u čitljivom tekstualnom formatu, te će se informacije vjerojatno koristiti za pristup drugim korporativnim ili vanjskim resursima. U najgorem slučaju, napadač dobiva pristup korisničkom resursu na razini sustava i uz njegovu pomoć stvara novog korisnika koji se u svakom trenutku može koristiti za pristup mreži i njezinim resursima.



Prijetnju od njuškanja paketa možete ublažiti korištenjem sljedećih alata:

Ovjera. Jaka provjera autentičnosti prvi je način zaštite od njuškanja paketa. Pod "jakim" mislimo na metodu provjere autentičnosti koju je teško zaobići. Jednokratne lozinke (OTP - One-Time Passwords) primjer su takve provjere autentičnosti. OTP je tehnologija provjere autentičnosti s dva faktora. Tipičan primjer dvofaktorske autentifikacije je rad klasičnog bankomata koji vas prepoznaje, prvo, po vašoj plastičnoj kartici i, drugo, po PIN kodu koji unesete. Provjera autentičnosti u OTP sustavu također zahtijeva PIN kod i vašu osobnu karticu. “Kartica” (token) je hardverski ili softverski alat koji generira (nasumično) jedinstvenu jednokratnu jednokratnu lozinku. Ako napadač nauči ovu lozinku pomoću njuškala, ta će informacija biti beskorisna, jer će u tom trenutku lozinka već biti korištena i poništena. Imajte na umu da je ova metoda protiv njuškanja učinkovita samo protiv njuškanja lozinke. Njuškači koji presreću druge informacije (kao što su poruke e-pošte) ne gube svoju učinkovitost.

komutirana infrastruktura. Drugi način rješavanja njuškanja paketa u mrežnom okruženju je stvaranje komutirane infrastrukture. Ako, na primjer, cijela organizacija koristi komutirani Ethernet, napadači mogu pristupiti prometu samo na portu na koji su spojeni. Komutirana infrastruktura ne eliminira prijetnju njuškanja, ali značajno smanjuje njezinu ozbiljnost.

Anti-njuškalice. Treći način rješavanja problema njuškanja je instaliranje hardvera ili softvera koji prepoznaje njuškare koji rade na mreži. Ovi alati ne mogu u potpunosti eliminirati prijetnju, ali su, kao i mnogi drugi sigurnosni alati mreže, uključeni u cjelokupni sustav zaštite. Takozvani "anti-sniffers" mjere vrijeme odgovora hostova i određuju moraju li hostovi obraditi "dodatni" promet.

Kriptografija. Najučinkovitiji način rješavanja njuškanja paketa ne sprječava njuškanje i ne prepoznaje rad njuškala, ali ovaj posao čini beskorisnim. Ako je komunikacijski kanal kriptografski siguran, to znači da napadač ne presreće poruku, već šifrirani tekst (tj. nerazumljiv slijed bitova).

IP lažni napad. Ovaj napad se događa kada se napadač, bilo unutar ili izvan korporacije, lažno predstavlja kao ovlašteni korisnik. Najjednostavniji razlog za korištenje lažnih IP adresa je želja napadača da sakrije svoje aktivnosti u oceanu mrežnih aktivnosti. Na primjer, NMAP3 mrežni maper koristi distribuciju dodatnih nizova paketa, od kojih svaki koristi svoju lažnu izvornu IP adresu. U ovom slučaju, napadač zna koje su IP adrese lažne i koji su paketi u svakoj sekvenci stvarni. Sigurnosni administrator sustava koji je napadnut bit će prisiljen analizirati mnoge lažne IP adrese prije nego što može odrediti pravu IP adresu uljeza.

Drugi razlog zbog kojeg haker koristi IP lažiranje je skrivanje svog identiteta. Činjenica je da je moguće pratiti IP adresu do jednog sustava, a ponekad čak i do jednog korisnika. Stoga, uz pomoć krivotvorine IP adrese, napadač pokušava izbjeći otkrivanje. Međutim, korištenje lažne IP adrese pošiljatelju donosi niz poteškoća.

Svi odgovori iz napadnutog sustava šalju se na lažnu IP adresu. Kako bi pregledao ili dohvatio te odgovore, napadač mora biti na putu od kompromitovanog stroja do lažirane IP adrese (barem u teoriji). Budući da odgovor ne slijedi nužno isti put kao poslan lažni paket, napadač može izgubiti povratni promet. Kako bi se to izbjeglo, uljez može ometati rad jednog ili više posrednih usmjerivača, čije adrese će se koristiti kao lažne, kako bi preusmjerio promet na drugu lokaciju.

Drugi pristup je da napadač unaprijed pogodi brojeve TCP sekvence koje koristi napadnuti stroj. U ovom slučaju, ne mora primiti SYN-ACK paket, jer jednostavno generira i šalje ACK paket s predviđenim rednim brojem. Rane implementacije IP stogova koristile su prediktivne sheme numeriranja sekvenci i stoga su bile osjetljive na lažne TCP tokove podataka. U modernim implementacijama predviđanje slijednog broja već je teže. Alat za izradu dijagrama mreže NMAP ima sposobnost procijeniti poteškoće u predviđanju redoslijeda sustava koji se skeniraju.

U trećoj varijanti, uljez može ometati rad jednog ili više usmjerivača koji se nalaze između njegovog poslužitelja i poslužitelja koji se napada. To omogućuje usmjeravanje povratnog prometa namijenjenog lažnoj IP adresi na sustav iz kojeg je došlo do upada. Nakon što je hakiranje završeno, usmjerivač se pušta da pokrije svoje tragove.

Konačno, napadač možda nema namjeru odgovoriti na SYN-ACK paket koji je vraćen od "žrtve". Za to mogu postojati dva razloga. Moguće je da kreker izvodi skeniranje poluotvorenog porta, poznato kao SYN skeniranje. U ovom slučaju njega zanima samo početni odgovor stroja koji je napadnut. Kombinacije oznaka RST-ACK znače da je skenirani port zatvoren, a kombinacija oznaka SYN-ACK znači da je otvoren. Cilj je postignut, tako da nema potrebe odgovarati na ovaj SYN-ACK paket. Također je moguće da se izvede SYN-hack poput lavine. U ovom slučaju, napadač ne samo da ne odgovara na SYN-ACK ili RST-ACK pakete, već uopće ne brine o vrsti paketa primljenih od kompromitovanog sustava.

Napadi lažiranja IP-a često su početna točka za druge napade. Klasičan primjer je DoS napad koji počinje s tuđom adresom koja skriva pravi identitet napadača.

Obično je IP lažiranje ograničeno na umetanje lažnih informacija ili zlonamjernih naredbi u normalan tok podataka koji se prenosi između klijentske i poslužiteljske aplikacije ili preko komunikacijskog kanala između vršnjaka.

Kao što je već spomenuto, za dvosmjernu komunikaciju, napadač mora promijeniti sve tablice usmjeravanja kako bi usmjerio promet na lažnu IP adresu. Neki napadači, međutim, niti ne pokušavaju dobiti odgovor od aplikacija. Ako je glavni zadatak primanje važne datoteke iz sustava, odgovori aplikacija nisu bitni. Ako napadač uspije promijeniti tablice usmjeravanja i usmjeriti promet na lažnu IP adresu, napadač će primiti sve pakete i moći na njih odgovoriti kao da je ovlašteni korisnik.

Prijetnja lažiranja može se ublažiti (ali ne i eliminirati) sljedećim mjerama:

Kontrola pristupa. Najlakši način da spriječite lažiranje IP-a je pravilno konfigurirati kontrolu pristupa. Da biste smanjili učinkovitost lažiranja IP-a, morate konfigurirati kontrolu pristupa kako biste prekinuli svaki promet koji dolazi s vanjske mreže s izvornom adresom koja se mora nalaziti unutar vaše mreže. Imajte na umu da to pomaže u borbi protiv lažiranja IP-a kada su ovlaštene samo interne adrese. Ako su neke vanjske mrežne adrese također ovlaštene, ova metoda postaje neučinkovita.

Filtriranje RFC 2827. Pokušaji lažiranja stranih mreža od strane korisnika zaštićene mreže se zaustavljaju ako se odbije bilo koji odlazni promet čija izvorna adresa nije jedna od IP adresa zaštićene organizacije. Ovu vrstu filtriranja, poznatu kao "RFC 2827", također može izvesti vaš ISP. Kao rezultat toga, sav promet koji nema izvornu adresu očekivanu na određenom sučelju se odbija. Na primjer, ako ISP pruža vezu s IP adresom 15.1.1.0/24, može konfigurirati filtar tako da je dopušten samo promet koji dolazi iz 15.1.1.0/24 s tog sučelja na ISP usmjerivač. Imajte na umu da će sve dok svi davatelji usluga ne implementiraju ovu vrstu filtriranja, njegova učinkovitost biti mnogo niža od moguće. Osim toga, što je dalje od filtriranih uređaja, to je teže izvršiti točno filtriranje. Tako, na primjer, RFC 2827 filtriranje na razini pristupnog usmjerivača zahtijeva prolazak cijelog prometa s glavne mrežne adrese (10.0. ).

IP lažiranje može funkcionirati samo ako se autentifikacija temelji na IP adresama. Stoga uvođenje dodatnih metoda provjere autentičnosti čini ovu vrstu napada beskorisnom. Najbolja vrsta dodatne provjere autentičnosti je kriptografska. Ako to nije moguće, dvofaktorska autentifikacija korištenjem jednokratnih lozinki može dati dobre rezultate.

Uskraćivanje usluge (DoS). DoS je, bez ikakve sumnje, najpoznatiji oblik napada. Osim toga, protiv napada ovog tipa najteže je stvoriti stopostotnu zaštitu. Jednostavnost implementacije i ogromna količina štete koju uzrokuje DoS u središtu su pažnje administratora mrežne sigurnosti. Najpoznatije vrste napada su: TCP SYN Flood; Ping smrti; Tribe Flood Network (TFN) i Tribe Flood Network 2000 (TFN2K); Trinco; Stacheldracht; Trojstvo.

Izvor informacija o tim napadima je Tim za hitnu reakciju računala (CERT), koji je objavio rad o borbi protiv DoS napada.

DoS napadi se razlikuju od drugih vrsta napada. Oni nisu namijenjeni za dobivanje pristupa vašoj mreži ili dobivanje bilo kakvih informacija s ove mreže. DoS napad čini mrežu nedostupnom za normalnu upotrebu prekoračenjem dopuštenih ograničenja mreže, operativnog sustava ili aplikacije. U slučaju nekih poslužiteljskih aplikacija (kao što su web poslužitelj ili FTP poslužitelj), DoS napadi mogu uzeti sve veze dostupne tim aplikacijama i zadržati ih zauzetima, sprječavajući obične korisnike da budu uslužni. DoS napadi mogu koristiti uobičajene internetske protokole kao što su TCP i ICMP (Internet Control Message Protocol).

Većina DoS napada ne oslanja se na softverske greške ili sigurnosne rupe, već na opće slabosti u arhitekturi sustava. Neki napadi poništavaju izvedbu mreže preplavljujući je neželjenim i nepotrebnim paketima ili lažnim predstavljanjem trenutnog stanja mrežnih resursa. Ovu vrstu napada teško je spriječiti jer zahtijeva koordinaciju s ISP-om. Ako se promet namijenjen prelivanju mreže ne zaustavi kod davatelja, tada to više neće biti moguće učiniti na ulazu u mrežu, jer će cijela propusnost biti zauzeta. Kada se ova vrsta napada istovremeno provodi preko više uređaja, govorimo o distribuiranom DoS napadu (DDoS - distributed DoS).

Prijetnja od DoS napada može se ublažiti na tri načina:

Značajke protiv lažiranja. Ispravno konfiguriranje značajki protiv lažiranja na vašim usmjerivačima i vatrozidima pomoći će smanjiti rizik od DoS-a. Te bi značajke, u najmanju ruku, trebale uključivati ​​filtriranje RFC 2827. Osim ako napadač ne može prikriti svoj pravi identitet, malo je vjerojatno da će se usuditi pokrenuti napad.

Anti-DoS funkcije. Ispravna konfiguracija anti-DoS značajki na usmjerivačima i vatrozidima može ograničiti učinkovitost napada. Ove značajke često ograničavaju broj poluotvorenih kanala u bilo kojem trenutku.

Ograničavanje količine prometa (ograničavanje brzine prometa). Organizacija može zatražiti od pružatelja usluga (ISP) da ograniči količinu prometa. Ova vrsta filtriranja omogućuje vam da ograničite količinu nekritičnog prometa koji prolazi kroz vašu mrežu. Uobičajeni primjer je ograničavanje količine ICMP prometa koji se koristi samo u dijagnostičke svrhe. (D)DoS napadi često koriste ICMP.

Napadi lozinkom. Napadači mogu izvršiti napade lozinkom korištenjem raznih metoda, kao što su napad grube sile, trojanski konj, lažiranje IP-a i njuškanje paketa. Iako se prijava i lozinka često mogu dobiti korištenjem IP lažiranja i njuškanja paketa, hakeri često pokušavaju pogoditi lozinku i prijavu koristeći višestruke pokušaje pristupa. Ovaj pristup se naziva napadom grube sile.

Često se za takav napad koristi poseban program koji pokušava pristupiti zajedničkom resursu (na primjer, poslužitelju). Ako, kao rezultat, napadač dobije pristup resursima, dobiva ga kao obični korisnik čija je lozinka bila pogodena. Ako ovaj korisnik ima značajne pristupne povlastice, napadač može sebi stvoriti "propusnicu" za budući pristup, koja će ostati na snazi ​​čak i ako korisnik promijeni svoju lozinku i prijavu.

Drugi problem nastaje kada korisnici koriste istu (čak i vrlo dobru) lozinku za pristup mnogim sustavima: korporativnim, osobnim i internetskim sustavima. Budući da je snaga lozinke jednaka jačini najslabijeg hosta, napadač koji nauči lozinku putem ovog hosta dobiva pristup svim ostalim sustavima u kojima se koristi ista lozinka.

Prije svega, napadi lozinkom mogu se izbjeći ne korištenjem lozinki običnog teksta. Jednokratne lozinke i/ili kriptografska autentifikacija mogu praktički eliminirati prijetnju takvih napada. Nažalost, ne podržavaju sve aplikacije, hostovi i uređaji gore navedene metode provjere autentičnosti.

Kada koristite uobičajene lozinke, pokušajte smisliti lozinku koju je teško pogoditi. Minimalna duljina lozinke mora biti najmanje osam znakova. Lozinka mora sadržavati velika slova, brojeve i posebne znakove (#, %, $, itd.). Najbolje je lozinke teško pogoditi i teško zapamtiti, što prisiljava korisnike da zapišu lozinke na papir. Kako bi to izbjegli, korisnici i administratori mogu iskoristiti neke od najnovijih tehnoloških dostignuća. Na primjer, postoje aplikacije koje šifriraju popis lozinki koje se mogu pohraniti u džepno računalo. Kao rezultat, korisnik treba zapamtiti samo jednu složenu lozinku, dok će sve ostale lozinke biti sigurno zaštićene aplikacijom.

Napadi čovjeka u sredini. Za napad Man-in-the-Middle, napadač treba pristup paketima koji se šalju preko mreže. Takav pristup svim paketima prenesenim od davatelja na bilo koju drugu mrežu može, na primjer, dobiti zaposlenik ovog davatelja. Za ovu vrstu napada često se koriste njuškari paketa, transportni protokoli i protokoli za usmjeravanje. Napadi se provode s ciljem krađe informacija, presretanja trenutne sesije i pristupa privatnim mrežnim resursima radi analize prometa i dobivanja informacija o mreži i njezinim korisnicima, izvođenja DoS napada, iskrivljavanja prenesenih podataka i unosa neovlaštenih informacija u mrežu. sjednice.

Napadi čovjeka u sredini mogu se učinkovito nositi samo pomoću kriptografije. Ako napadač presretne podatke šifrirane sesije, na ekranu neće imati presretnutu poruku, već besmisleni skup znakova. Imajte na umu da ako napadač dobije informacije o kriptografskoj sesiji (na primjer, ključ sesije), to može učiniti napad Man-in-the-Middle mogućim čak i u šifriranom okruženju.

Napadi aplikacijskog sloja. Napadi aplikacijskog sloja mogu se izvesti na nekoliko načina. Najčešći od njih je iskorištavanje dobro poznatih slabosti poslužiteljskog softvera (sendmail, HTTP, FTP). Koristeći ove slabosti, napadači mogu dobiti pristup računalu u ime korisnika koji pokreće aplikaciju (obično to nije jednostavan korisnik, već privilegirani administrator s pravima pristupa sustavu). Informacije o napadima na razini aplikacije naširoko se objavljuju kako bi administratori mogli riješiti problem uz pomoć korektivnih modula (zakrpe, zakrpe). Nažalost, i mnogi napadači imaju pristup tim informacijama, što im omogućuje učenje.

Glavni problem s napadima aplikacijskog sloja je taj što oni često koriste portove kojima je dopušteno proći kroz vatrozid. Nije moguće potpuno eliminirati napade aplikacijskog sloja.

Udio: