Сетевая безопасность сетевые атаки и способы защиты - VISTAGRUP.RU

Сетевая безопасность сетевые атаки и способы защиты

Защита от сетевых атак

Сетевые атаки способны вывести из строя ресурсы организации, что ведет к финансовым и репутационным потерям, практические способы их подавления и раннего выявления позволяют обеспечить комплексную защиту.

Виды сетевых атак

Обнаружение сетевых атак

Комплексное решение от сетевых атак

Введение

Сетевые атаки с каждым годом становятся изощреннее и приносят серьезный финансовый и репутационный ущерб. Атака поражает все коммуникации и блокирует работу организации на продолжительный период времени. Наиболее значимые из них были через вирусов шифровальщиков в 2017 году — Petya и Wanna Cry. Они повлекли за собой миллионные потери разных сфер бизнеса по всему миру и показали уязвимость и незащищенность сетевой инфраструктуры даже крупных компаний. Защиты от сетевых атак просто не было предусмотрено, в большинстве организаций информационная безопасность сводилась в лучшем случае к установке антивируса. При этом с каждым днем их видов становится на сотни больше и мощность от последствий только растет. Как же защитить бизнес от таких киберинцидентов, какие программы для этого существуют, рассмотрим в этой статье.

Виды сетевых атак

Разновидностей сетевых атак появляется все больше, вот только наиболее распространенные, с которыми может столкнуться как малый бизнес, так и крупная корпорация, разница будет только в последствиях и возможностях их остановить при первых попытках внедрения в сетевую инфраструктуру:

Сетевая разведка — сведения из сети организации собирают с помощью приложений, находящихся в свободном доступе. В частности, сканирование портов — злоумышленник сканирует UDP- и TCP-порты, используемые сетевыми службами на атакуемом компьютере, и определяет уязвимость атакуемого компьютера перед более опасными видами вторжений;

IP-спуфинг — хакер выдает себя за легитимного пользователя;

Mail Bombing — отказ работы почтового ящика или всего почтового сервера;

DDоS-атака — отказ от обслуживания, когда обычные пользователи сайта или портала не могут им воспользоваться;

Man-in-the-Middle — внедрение в корпоративную сеть с целью получения пакетов, передаваемых внутри системы);

XSS-атака — проникновение на ПК пользователей через уязвимости на сервере;

Фишинг — обман путем отправки сообщений с якобы знакомого адреса или подмена знакомого сайта на фальшивую копию.

Применение специализированных приложений — вирусов, троянов, руткитов, снифферов;

Переполнение буфера — поиск программных или системных уязвимостей и дальнейшая провокация нарушение границ оперативной памяти, завершение работы приложения в аварийном режиме и выполнение любого двоичного кода.

Атаки-вторжения — сетевые атаки по «захвату» операционной системы атакуемого компьютера. Это самый опасный вид, поскольку в случае ее успешного завершения операционная система полностью переходит под контроль злоумышленника.

Защита от сетевых атак строится на непрерывном мониторинге всего, что происходит в сети компании и мгновенном реагировании уже на первые признаки появления нелегитимных пользователей, открытых уязвимостей или заражений.

Обнаружение сетевых атак

Один из наиболее актуальных и сложных вопросов со стороны службы безопасности всегда будет — как обнаружить сетевую атаку еще до того, как нанесен существенный ущерб.

Обнаружение атак на сеть организации — прямая задача службы безопасности. Но зачастую атаки настолько продуманные и изощренные, что внешне могут не отличаться от обычной пользовательской активности или проходить незаметно для пользователей с использованием их ресурсов. Обнаружить аномалии трафика — первые признаки инцидента— вручную можно лишь тогда, когда он уже хотя бы частично совершен.

Чтобы обнаружить аномалии в трафике с момента их появления в сети, необходимы специализированные решения для непрерывного мониторинга всех потоков трафика — почтовых адресов, серверов, подключений, портов и пр. на уровне сетевых пакетов.

С помощью специализированных решений выявление сетевых атак происходит автоматически, о чем специалист службы безопасности получает мгновенное оповещение на почту или в SIEM. Сразу формируется отчет, откуда взялась вредоносная активность, кто явился ее инициатором. У службы безопасности есть возможность оперативных действий по предотвращению инцидентов. По результату нивелирования угрозы можно также прописать политику безопасности по блокировке подобных вторжений в дальнейшем.

Наносимый ущерб

Эксперты в сфере ИБ сходятся во мнении, что реально оценить ущерб от кибератак практически невозможно. Во-первых, не все организации точно знают о своих потерях, в связи с тем, что не занимаются информационной безопасностью в своих компаниях. Во-вторых, многие организации, столкнувшиеся с кибератаками, не спешат обнародовать свои убытки, чтобы избежать санкций со стороны регуляторов.

Портал Tadviser еще в 2018 году посчитал, что убытки российских компаний от сетевых атак превысили 116 млн руб. И эта цифра ежегодно только растет.

Если говорить о мировых масштабах ущерба для мировой экономики, компания Allianz Global Corporate & Specialty оценила его в более чем 575 млрд долларов — порядка 1% мирового ВВП.

Атаки на сеть в большинстве своем имеют цели наживы или нанесения умышленного вреда, к примеру, со стороны конкурентов или уволенных сотрудников, к примеру. Поэтому результат атаки, если ее не предотвратить, всегда плачевный. Масштаб также зависит от целей и профессионализма ее инициатора — просто приостановить работу компании, выкрасть те или иные данные, заблокировать сеть с целью выкупа или нецелевое использование ресурсов компании.

Отсутствие специализированных систем для выявления, подавления и расследования делает организацию уязвимой в каждый момент.

Способы защиты

Каждую сетевую атаку можно рассматривать как отдельный и серьезный инцидент безопасности. И, по сути, есть множество программ, способных обеспечить защиту от отдельных видов сетевых вторжений:

Шифрование данных — возможность скрыть информацию, в случае утечки злоумышленник не прочитает ее.

Установка антивирусов и их своевременное обновление — поможет выявить и обезвредить вредонос и отправить зараженные файлы на карантин.

Блокировщики снифферов и руткитов.

Межсетевой экран — фильтрация всего проходящего через него трафика.

Anti-DDoS — решения или возможности ими пользоваться через подключение защиты у оператора связи.

IDS-решения, позволяющие обнаружить сетевые вторжения.

Другой вопрос, готовы ли организации закупать и внедрять средства защиты от каждой атаки, которых с каждым днем становится все больше и больше. И способны ли сотрудники безопасности «жонглировать» этими средствами защиты, проверяя каждую уязвимость.

Стоит учитывать и тот факт, что атаки не остаются на том же уровне, растет их сложность. И программы защиты, даже если внедрены, имеют свойства устаревать — им постоянно нужно обновление, по факту опережающее или хотя бы не отстающее от киберугроз.

У стандартных способов защиты от угроз получается сразу две проблемы — во-первых, они по большей части не автоматизированы и требуют ручных действий от сотрудников безопасности, а во-вторых, не всегда могут обнаружить новые типы угроз.

Поэтому организациям, которые ценят свою репутацию, и не готовы терпеть репутационные и финансовые потери вследствие кибератак, нужно задуматься и выделить бюджеты на внедрение комплексного автоматизированного решения по защите от инцидентов.

Какие преимущества это дает? У службы безопасности есть предустановленные политики безопасности со сценарием реагирования на большинство известных типов атак. То есть, многие сетевые инциденты будут подавлены по первым признакам.

Новые типы вторжений также не останутся незамеченными, так как система выявит нетипичное поведение пользователя или программы и сигнализирует об этом службе безопасности. Останется посмотреть уязвимости, закрыть их и провести расследование, чтобы устранить подобную угрозу в дальнейшем.

Еще один существенный плюс комплексного решения безопасности — это постоянное обновление. Центр компетенций разработчика постоянно мониторит появление новых угроз и формирует базу защиты от них и предоставляет эту информацию пользователям системы, что в разы сокращает риски атак и заражений в сети. Более того, решения часто дополняются новыми возможностями защиты под потребности клиентов. То есть, приобретая комплексное решение по защите от сетевых инцидентов, организация получает настраиваемый эффективный инструмент для безопасности своих активов от всех типов сетевых угроз.

Комплексное решение от сетевых атак от «Гарда Технологии»

«Гарда Технологии» как производитель решений по информационной безопасности охватывает все уровни защиты корпоративной сети. Решение «Гарда Монитор» — это аппаратно-программный комплекс класса NTA (система анализа трафика network traffic analysis, NTA) для обнаружения и расследования сетевых инцидентов. Эта система не пропускает ни одной аномалии и уязвимости даже там, где не сработали другие системы безопасности, за что получила название «система последнего шанса».

Система работает на уровне сетевых пакетов и позволяет мгновенно детектировать любые нарушения в сети. Пользователь программы в интерфейсе видит все, что происходит в сети, в каких узлах и на каких рабочих местах и может оперативно закрыть уязвимости и заблокировать распространение атаки или заражения по сети.

АПК «Гарда Монитор» обладает следующими возможностями:

Типы сетевых атак и способы борьбы с ними

Любая компания в своей деятельности сегодня использует широкие возможности, которые дает интернет. Однако вместе с возможностями всемирная сеть приносит множество угроз информационной безопасности. Реализация этих угроз может приводить к значительному материальному и репутационному ущербу для бизнеса. Поэтому важно иметь представление об основных типах сетевых атак и способах защиты от них.

Классификация сетевых атак

Сетевой атакой называю намеренные действия третьих лиц, направленные на установлению контроля над локальным или удаленным компьютером или вычислительной системой. В результате атак злоумышленники могут нарушать работу сети, изменять права аккаунта, получать персональные данные пользователей и реализовывать другие цели.

Виды сетевых атак и их последствия имеют значительные отличия друг от друга. Современная классификация угроз проводится по следующим параметрам:

  • характер воздействия, оказываемого на сеть;
  • цель оказываемого воздействия;
  • наличие обратной связи с сетью, подвергнутой атаке;
  • условие начала атаки;
  • расположение субъекта по отношению к объекту атаки;
  • уровень эталонной модели ISO.

Рассмотрим подробнее основные виды сетевых атак по этим категориям.

По характеру воздействия на сеть

Виды сетевых атак по характеру воздействия на атакуемую сеть можно разделить на активные и пассивные.

Активная атака проводится с непосредственным воздействием на сеть, которые может предусматривать ограничение ее работоспособности, модификацию настроек. Воздействие такого рода обязательно оставляет следы, поэтому при его планировании изначально предусматривается обнаружение.

Пассивная атака проводится без непосредственного влияния на работу сети. Однако в ее результате нарушается сетевая безопасность. Обнаружить пассивную атаку намного сложнее именно из-за отсутствия прямого воздействия. Примером таких угроз можно назвать постановку наблюдения или прослушки.

По цели атаки

В зависимости от цели различают виды сетевых атак, направленных на нарушение:

  • функционирования;
  • конфиденциальности;
  • целостности атакуемой сети.

Основной целью является, как правило, несанкционированный доступ к закрытой информации методом ее искажения или перехвата. В первом случае сведения могут быть изменены, во втором – доступ производится без изменения данных.

По наличию обратной связи с атакуемой сетью

Атака может проводиться с обратной связью или без нее (однонаправленная атака).

В первом случае атакующим субъектом устанавливается обмен данными с атакуемым объектом. В результате злоумышленники получают актуальные данные о состоянии сети.

Однонаправленная атака не предусматривает установления обратной связи. Ее проводят, когда для реализации целей злоумышленников не требуется оперативной реакции на изменения состояния объекта.

По условию начала атаки

Существуют разные условия начала воздействия. В том числе можно выделить такие типы сетевых атак по этому критерию:

  • по запросу от объекта;
  • по выполнению на стороне объекта определенного действия;
  • безусловные атаки.

Первые два типа атак начинаются после соответствующего события, а безусловные – в любой момент.

По расположению субъекта по отношению к объекту атаки

По этому критерию различают сетевые атаки межсегментного и внутрисегментного типа. Особенностью категории первого типа является расположение субъекта и объекта в разных сегментах сети. Второй тип характеризуется их расположением в одном сегменте.

Сегментом сети называю хосты (компьютеры), физически объединенные между собой.

По уровню эталонной модели ISO/OSI

Воздействие на атакуемую сеть может осуществляться на разных уровнях эталонной модели ISO/OSI.

В том числе выделяются такие уровни:

  • физический;
  • сетевой;
  • транспортный;
  • канальный;
  • сеансовый;
  • прикладной;
  • представительный.

Примеры атак

В качестве примеров наиболее распространенных сетевых атак можно привести следующие виды воздействия:

  • Применение нестандартных протоколов. Тип протокола пакета данных определяется по содержащемуся в нем специальному полю. При изменении злоумышленниками значения в этом поле осуществляется передача данных, которую система не может определить.
  • Ping Flooding. Такая атака может быть реализована только при условии доступа к высокоскоростному интернету. Она предусматривает применение флудинга вместо стандартной команды контроля пинга. В результате создается избыточная нагрузка на сеть, что приводит к нарушениям в ее работе.
  • Фрагментация данных. При передаче по IP пакет данных делится на части, а на стороне получателя – собирается. В случае атаки выполняется отправка значительного числа подобных фрагментов с засорением буфера обмена и нарушениям работы сети.
Читайте также  Где пройти обучение по пожарной безопасности?

Технологии обнаружения атак и алгоритмы действий по их устранению

В связи с быстрым развитием информационных технологий и технических средств статичные механизмы защиты от сетевых угроз часто оказываются неэффективными. Обеспечить эффективную защиту информации позволяют динамические методы, способные оперативно выявлять и устранять угрозы. Работа динамических технологий строится на оценки уровня подозрительности действий в сети со стороны определенной службы или процесса.

Алгоритм действия по устранению атак направлен на идентификацию подозрительных объектов. После этого система реагирует необходимым образом на деятельность таких объектов, которая может быть нацелена на ресурсы сети или компьютерного оборудования.

Методы защиты

Для защиты сетей от внешних угроз могут применяться следующие основные методы и технологии:

  • применение портов высокой надежности, шифрование данных;
  • использование эффективных антивирусов и сканеров;
  • применение программного или аппаратного сетевого экрана;
  • установка блокираторов руткитов и снифферов.

Разнообразие видов сетевых атак, которым могут подвергаться корпоративные и частные сети, требует выработки эффективных мер по их защите. Такие меры должны разрабатываться и применяться заблаговременно. Эффективная защита от угроз поможет сохранить неприкосновенными конфиденциальные данные и обеспечить стабильную работу сети. Благодаря этому многократно окупаются расходы, понесенные на внедрение такой защиты.

Классификация и способы борьбы с сетевыми атаками

Все понимают, что общество современных людей просто не может без информационных технологий, которые настолько плотно вошли в нашу жизнь, что без них не происходят ни одни бизнес-процессы, не работают производства и офисы. Для развлечения человек также идет в интернет, ведь там можно посмотреть фильм, поиграть в онлайн-игру, почитать книгу и так далее.

Одной из главных задач интернета и интернет-специалистов является обеспечение его безопасности, потому что в противном случае данные всех людей будут в свободном доступе. Опасным процессом в интернет-сети является сетевая атака. Сразу же возникают очевидные вопросы: что такое сетевые атаки, какие атаки бывают на сетевом уровне, какова классификация сетевых атак.

Определение

Сетевая атака — это определенное действие, осуществляемое с целью получения контроля над любой локальной или удаленной вычислительной системой или компьютером. Атака может также предполагать повышение прав аккаунта в определенной сети, дестабилизацию этой сети, а также получение личных данных людей, являющихся пользователями ВС.

Классификация

На данный момент есть множество видов атак, которые различаются:

  • по характеру воздействия на сеть;
  • по цели воздействия;
  • по наличию обратной связи с атакуемой сетью;
  • по условию начала осуществления атаки;
  • по расположению субъекта атаки относительно объекта;
  • по уровню эталонной модели ISO.

По характеру воздействия на сеть

По характеру воздействия на сеть можно выделить активные и пассивные варианты. Пассивный тип не оказывает прямого воздействия на работу системы, но может нарушить ее безопасность. Такой тип сложно обнаружить, ведь он не оказывает сильного влияния на ВС. В качестве пассивного примера можно привести прослушку.

Активное воздействие предполагает прямое воздействие на сеть, включающее ограничение ее работоспособности, изменение настроек. Его главное отличие от первого типа в том, что он предполагает свое обнаружение и оставляет после себя следы. Пассивное воздействие такого себе не позволяет.

По цели

Целью могут быть нарушение функционирования, целостности или конфиденциальности ЛСВ. Главной целью любых атак является получение доступа к закрытой информации путем ее перехвата или искажения. Первый вариант подразумевает получение доступа без возможности изменения. Второй, соответственно, с возможностью.

Важно! Эта категоризация является прямой проекцией трех основных видов угроз: отказа от своевременного обслуживания, раскрытия информации и нарушения целостности.

По наличию обратной связи с атакуемым объектом

Классификация предполагает наличие обратной связи и ее отсутствие, когда атака имеет однонаправленный вид. Атакующий субъект производит обмен данными с атакуемым и между ними появляется обратная связь, которая позволяет субъекту иметь актуальную информацию о состоянии объекта. Атаки без обратной связи проводятся тогда, когда не нужно реагировать на изменение состояния объекта.

По условию начала осуществления воздействия

Условие атаки может быть разным. Среди основных: по запросу от объекта, по наступлению определенного действия на стороне объекта, атака без условия. Соответственно безусловная атака производится в любой момент времени. Доступ по запросу предполагает ожидание определенного типа запроса от атакуемого объекта.

По расположению субъекта атаки относительно атакуемого объекта

Эта категория предполагает межсегментное и внутрисегментное расположение. Первый тип означает, что объект и субъект находятся в разных сегментах сети, а второй — в одном сегменте. Под сегментом обычно понимают физически объединенные хосты (компьютеры)

По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие

Среди моделей можно выделить:

  • Физический уровень;
  • Канальный уровень;
  • Сетевой уровень;
  • Транспортный уровень;
  • Сеансовый уровень;
  • Представительный уровень;
  • Прикладной уровень.

Важно! Придумана такая система Международной организацией по стандартизации. Она описывает строение и взаимодействие систем открытого типа.

Краткое описание

Ниже будет представлен список некоторых конкретных видов атак с их описанием:

  • Фрагментация данных. Когда пакет трафика поступает в передачу по IP, он делится на части и собирается при достижении получателя. Атака предполагает посылку большого количества таких фрагментов и засорение буфера обмена, что приводит к аварии и нестабильной работе;
  • Ping Flooding. Возможна только при наличии доступа к быстрым каналам интернета. В отличие от стандартного применения команды проверки пинга, которая не нагружает сеть, флудинг может привести к перегрузке сети;
  • Использование нестандартных поддельных протоколов. Пакет данных типа IP содержит специальное поле для определения типа протокола пакета, который в него инкапсулирован. Это значение можно заменить и система безопасности не распознает передачу данных;

Технологии обнаружения и алгоритмы действий при борьбе

IT-технологии и устройства развиваются настолько быстрыми темпами, что механизмы защиты, которые являются статичными, не всегда могут должным образом защитить сеть и данные. Специально для этого разрабатываются динамические методы защиты, которые способны оперативно обнаруживать и нейтрализовывать угрозы. По своей сути такой механизм работает по принципу оценки подозрительности действий процесса или службы в сети.

Алгоритм действия направлен на идентификацию и реагирование на подозрительные объекты и осуществляемую ими деятельность, которая может быть направлена на ресурсы сети и вычислительных машин.

Методы защиты

Способы предполагают определенные действия, направленные на защиту целостности и конфиденциальности данных:

  • Шифрование данных и использование надежных портов. Если его нет, уязвимость сети повышается;
  • Использование антивирусных программ и сканеров (такие услуги предоставляет Касперский, Др. Веб, Норд и др.);
  • Установка блокираторов снифферов и руткитов;
  • Использование межсетевого экрана.

Существует много разновидностей сетевых атак. Меры по их предотвращению компьютерный специалист должен принимать заранее. В противном случае возможна утечка личных данных и нарушение целостности сети.

Атаки на беспроводные сети, часть 1

Само понятие беспроводной сети приводит к возникновению большого количества возможных уязвимостей для атак и проникновений, которые были бы гораздо затруднены в стандартной проводной сети. Данная статья является первой в серии статей об испытании на проникновение в беспроводных сетях. В этой части будут рассмотрены общие виды атак, направленных на беспроводные сети и будет обсужден взлом WEP ключей.

Само понятие беспроводной сети приводит к возникновению большого количества возможных уязвимостей для атак и проникновений, которые были бы гораздо затруднены в стандартной проводной сети.

Данная статья является первой в серии статей об испытании на проникновение в беспроводных сетях. В этой части будут рассмотрены общие виды атак, направленных на беспроводные сети и будет обсужден взлом WEP ключей.

Во второй части мы детально рассмотрим процесс взлома WEP ключей, сделаем обзор стандартных методов сканирования портов, а затем объясним способы нахождения и эксплуатирования уязвимостей. В третьей части будут обсуждены стратегии уменьшающие воздействие атак, для предохранения вашей беспроводной сети.

Существует три основных вида атак направленных на беспроводные сети: атаки отказа в обслуживании (DDos атаки), атаки «человек посредине», и атаки подмены ARP записей. Нами также будет обсужден взлом WEP ключей, который часто рассматривается как атака.

Атаки отказа в обслуживании (DDos атаки)

Цель любой атаки отказа в обслуживании состоит в создании помехи при доступе пользователя к сетевым ресурсам. Стандартные методы инициирования DDos атаки заключаются в посылке огромного количества фиктивных пакетов, заполняющих легальный трафик и приводящих к зависанию систем.

Беспроводные системы особенно восприимчивы к DDos атакам из-за путей по которым различные уровни OSI стека взаимодействуют между собой. Первое, и наиболее очевидное, что нападение на физический уровень в проводной сети гораздо более простое, чем на «физический» уровень в беспроводной сети — физический уровень это воздух, абстрактное место вокруг точки доступа. Также достаточно трудно доказать сам факт проведения DDos атаки на физическом уровне в беспроводной сети. Злоумышленник может создать устройство, заполняющее весь спектр на частоте 2.4 Ггц помехами и нелегальным трафиком — такая задача не вызывает особых трудностей. Даже некоторые недорогие домашние радиотелефоны могут вызывать помехи в диапазоне 2.4 Ггц, на которой работают беспроводные сети стандарта 802.11b.

На канальном уровне стека OSI, можно показать многочисленные пути проведения DDos атак, которые будут гораздо менее трудны в реализации, чем такие же атаки в обычных проводных сетях. Одним из наиболее часто используемых способов нападения на канальный уровень является управление разнесенными антеннами. К примеру: есть точка доступа называемая АP c разнесенными антеннами А (для левой стороны) и В (для правой). Если пользователи 1 и 2 находятся на разных сторонах офиса, то каждый из них по умолчанию обращается к различным антеннам на точке доступа. Здесь возникает проблема если пользователь А решит имитировать MAC адрес пользователя В. Увеличивая силу его сигнала, чтобы по крайней меру уровнять и при этом не превысить силу сигнала пользователя В на антенне А, точка доступа больше не будет принимать или посылать данные от пользователя А. Атака удалась!

Другой проблемой на канальном уровне беспроводных сетей является спуфинг точек доступа, даже с WEP аутентификацией. Клиентская часть обычно конфигурируется таким образом, чтобы связываться с точкой доступа с наиболее сильным сигналом. Нападавший может просто подделывать SSID (название) точки доступа и клиенты автоматически будут с ней связываться. Таким образом злоумышленник может захватывать весь трафик и со временем определять WEP ключи используемые для аутентификации и кодирования трафика в беспроводной сети.

Атаки «Человек посредине»

Также как и DDos атаки, атаки «человек посредине» выполняются на беспроводных сетях гораздо проще, чем на проводных, т.к. в случае проводной сети к ней требуется какой-нибудь вид доступа. Обычно атаки «человек посредине» имеют две разновидности: подслушивание и манипуляция.

При прослушивании, злоумышленник просто прослушивает набор передач между различными хостами, при этом компьютер злоумышленника не должен быть одной из сторон в соединении. Атаки манипуляции используют возможность прослушивания и нелегального захвата потока данных с целью изменения его содержимого, необходимого для удовлетворения некоторых целей злоумышленника, например для спуфинга IP адресов, изменения МАС адреса для имитирования другого хоста и т.д.

Для предотвращения атак прослушивания, необходимо провести шифрование данных на различных уровнях, желательно используя SSH, SSL, или IPSEC. В противном случае большие объемы передаваемой конфиденциальной информации будут попадать к злоумышленникам для дальнейшего анализа.

Атаки подмены ARP-записей

Для понимания механизма действия атак подмены ARP-записей сперва необходимо разобрать в самом ARP. Протокол разрешения адресов позволяет Ethernet объектам, использующим TCP/IP как протокол для передачи данных, различать другие, имеющие IP адреса, объекты в сети. Во многом этот протокол похож на NetBios — он передает по радио трафик на все хосты, в то время как конкретный пакет предназначен только для одного хоста из этой сети. ARP передает запрос для опознания требуемого хоста, имеющего определенный IP адрес. Этот хост принимает сообщение и подтверждает его, а компьютер породивший сигнал сохраняет его МАС адрес в кеше, и при дальнейшей передаче на требуемый хост не будет необходимо определение подлинности его IP адреса.

Проблема появляется с приходом новых операционных систем, которые не слишком хорошо придерживаются основной тенденции APR передачи. Если компьютер, управляемый новой версией Windows или даже Linux, обнаруживает пакет, посылаемый конкретной машиной в сети, то он принимает, что МАС адрес этого компьютера правильно сопоставлен с IP адресом компьютера, пославшего этот пакет. Все последующие передачи на этот компьютер будут происходить с использованием действенного, но плохо изученного IP адреса, сохраненного в кеше компьютера для будущих обращений.

Читайте также  Размещение знаков пожарной безопасности на путях эвакуации

Но что, если злоумышленник создаст пакеты с подделанным IP адресом, в которых будет утверждаться, что IP принадлежит МАС адресу его собственного компьютера? Тогда, все данные передаваемые с хостов, использующих сокращенный метод изучения комбинаций МАС/IP адресов, будут приходить на компьютер злоумышленника, а не на предназначенных хост. Это является достаточно серьезной проблемой. Нападавший может получить пакеты, просто заменяя в данном локальном кеше комбинации MAC /IP адресов для любых двух хостов, связанных с физической сетью, на которой запущена точка доступа.

Другие соображения

Описанные выше атаки, ни в коем случае не являются единственными атаками, используемыми хакерами для взлома беспроводных сетей. Ниже будут описаны некоторые другие соображения для администраторов WLANS.

«Поиск вражеских радиостанций»

Ранее, когда часто использовались модемные соединения, а корпоративные сети имели собственные модемные пулы, злоумышленники использовали методику «сканирования дозвоном» (war-dialing), при которой сценарием генерировались номера телефонов, на которые потом производился дозвон, в попытке найти номер телефона, на котором отвел произвелся бы модемом. Такая методика, перенесенная на Internet стала распространенным путем доступа к информации и компьютерам, позволяя злоумышленникам получать доступ к корпоративным сетям и при этом обходиться даже без телефонной линии, основываясь на случайной генерации IP адресов этих сетей.

На сегодняшний день беспроводные сети стали целью «вардрайверов». Используя специальное программное обеспечение, модули глобальной навигационной системы (GPS) и портативные компьютеры злоумышленники могут перемещаться через любой город или населенный пункт, производя сканирования частот для выбора точек доступа посредством радиосвязи. Специальное программное обеспечения поиска «вражеских радиостанций» сохраняет информацию относительно найденных по пути координат и конфигураций точек доступа. Фактически, с помощью такого метода, можно найти большое количество незащищенных точек доступа. Имейте это все ввиду при развертывании вашей WAP.

Секретность на уровне проводной сети (WEP)

Одной из наиболее известных и описанных уязвимостей в беспроводных сетях в WEP является схема аутентификации. Использование WEP означает что ваша беспроводная сеть находиться в одном шаге от полностью открытой радио сети, причем этот шаг очень ничтожен.

Использование WEP означает кодирование каждого пакета с помощью потокового шифра RC4, декодируемого при достижении точки доступа. Для кодирования WEP использует секретный ключ (WEP ключ) и объединяется с 24-разрядной частью данных, называемой вектором инициализации (initialization vector IV). Использование IV с WEP ключом увеличивает жизнеспособность WEP ключа, так как значение IV можно изменять после каждой передачи, а изменение значения WEP ключа в техническом плане гораздо труднее. WEP использует начальное число с генератором случайных чисел создающем ключевой поток. У получателя точка доступа повторно вычисляет используемые биты и сравнивает их с полученными данными, чтобы убедиться в сохранении целостности данных.

Использование WEP является проблематичным в плане обеспечения защиты и вас успокаивает только знание факта, что WEP ключи являются статистическими. Так как WEP использует 24 бита для вычисления IV, то в конечном счете при использование сети с большим трафиком значение IV будут повторяться. Соответственно ключевые потоки будут одинаковы и все что необходимо будет сделать злоумышленнику — это собрать в течении определенного периода пакеты данных и запустить специальную программу WEPcrack, созданную специально для взлома WEP ключей (WEPCRACK). Более детально WEPCrack будет обсужден в следующей части данной статьи.

Во второй части этой статьи будет детально разъяснен способ взлома WEP ключей, сделан обзор стандартных методов сканирования портов, а затем будут показаны способы нахождения и эксплуатации уязвимостей.

Русские Блоги

Общие методы сетевых атак и защита

Мы собрались сегодня утром и увидели потрясающую сцену: на доске объявлений VR360 появилась черная ткань! ! Затем я прочитал содержание, в котором говорится: «Пожалуйста, обратите внимание на базовую схему безопасности». Это должно быть напоминание от старшего научного сотрудника или преподавателя. Затем я встал и немедленно устранил уязвимость, а затем внимательно изучил распространенные сетевые атаки и защиту. Я также очень благодарен этому другу, который напомнил мне о получении новых знаний, и эта статья также была записана в виде заметки.

Кстати, добро пожаловать на мой личный сайт

Есть четыре типа кибератак:

  • Первая категория — это атаки отказа в обслуживании, включая ping of death, teardrop, UDP-флуд, SYN-флуд, наземную атаку, Smurf-атаку, Fraggle-атаку и электронную почту, атаки с искаженными новостями и т. Д.
  • Вторая категория — это атаки с использованием методов эксплуатации, включая угадывание пароля, троянские программы и переполнение буфера.
  • Третья категория — это атаки со сбором информации, включая сканирование адресов, сканирование портов, отображение ответов, медленное сканирование, обнаружение архитектуры, преобразование домена DNS, службу Finger, службу LDAP и т. Д.
  • Четвертая категория — это атаки на поддельные сообщения, которые в основном включают: загрязнение кеша DNS и поддельные электронные письма.

DOS атаки

Атаки DOS используют методы протокола или захватывают лазейки в системе, используют прокси-серверы для имитации непрерывных запросов доступа нескольких пользователей к веб-сайту и сосредотачиваются на сетевых атаках на цель, так что целевой компьютер или сеть не могут предоставлять нормальные услуги или ресурсы. доступ.Система обслуживания целевой системы перестает отвечать или даже дает сбой, например, сумасшедшая атака Ping.

Ресурсы сервера исчерпаны и перестают отвечать, технический порог низкий и эффект очевиден.

Подход:
1. Расширенный список доступа — это эффективный инструмент для предотвращения атак DOS, таких как Показать список доступа IP.
2. Пусть у маршрутизатора есть функция перехвата TCP, которая может хорошо отслеживать и перехватывать, когда другая сторона отправляет поток данных.
3. Основой предотвращения DOS-атак является использование правил устройства для разумной защиты от непрерывных и высокочастотных воздействий на данные.
4. Записывайте действия пользователя и блокируйте доступ к ip, если частота выше определенной частоты.

ARP-атака

Реализация спуфинга ARP путем подделки IP-адресов и MAC-адресов может привести к возникновению большого количества ARP-трафика в сети, чтобы заблокировать сеть, изменить записи IP-MAC в кэше ARP целевого хоста и вызвать прерывание сети или вмешательство человека в сеть. средние атаки.

Компьютер злоумышленника перегружен, и другие компьютеры в сети периодически подключаются (потому что иногда он может получать настоящую информацию ARP шлюза). Коммутатор, которому принадлежит сегмент сети, перегружен, и другие компьютеры вообще не могут получить доступ к Интернету.

Подход:
1. Установите брандмауэр ARP: 360 Security Guard (встроенный), Jinshan Shell ARP Killer, Jinshan Guardian
2. Установите специальное антивирусное программное обеспечение: используйте средство обнаружения спуфинга LAN ARP, чтобы определить источник атаки ARP, а затем используйте специальный антивирусный инструмент ARP, чтобы убить вирус.
3. Используйте «Параметры сети» — «Параметры порта LAN», чтобы найти MAC-адрес и IP-адрес маршрутизатора и реализовать статическую привязку ARP на каждом компьютере в локальной сети.

XSS атака

Вставляя вредоносный код в ссылку, злоумышленник может украсть информацию о пользователе, как только пользователь нажимает на ссылку. Злоумышленники обычно используют шестнадцатеричное кодирование ссылок для повышения достоверности. После получения запроса, содержащего вредоносный код, веб-сайт создаст страницу, которая выглядит законной, но содержит вредоносный код.

Злоумышленники обычно вставляют JavaScript, VBScript, ActiveX или Flash в уязвимые программы, чтобы обмануть пользователей. Как только они добьются успеха, они могут украсть имена пользователей, изменить настройки пользователей, украсть / заразить файлы cookie, сделать ложную рекламу и т. Д.

Подход:
1. Разработчик веб-сайта: проверьте все входные данные, обнаружите атаки, правильно закодируйте все выходные данные.
2. Пользователь: отключите JavaScript в настройках браузера. Если вы используете Internet Explorer, установите уровень безопасности «Высокий».

При защите должны быть защищены и клиент, и сервер, потому что клиента легко обойти, и злоумышленник все еще может выполнить XSS-инъекцию после обнаружения фонового интерфейса. При защите либо напрямую экранируйте символы, такие как , скрипт, div и т. Д., Либо выполняйте преобразование кодировки. (PS: на этот раз меня внедрили XSS o (╥﹏╥) o)

SQL-инъекция

Вставляя команды SQL в представление веб-формы или вводя строку запроса доменного имени или запроса страницы, сервер наконец может обмануть сервер для выполнения вредоносных команд SQL.“#”“’”“–”“’ or 1=1 ’ ” Ожидание SQL-инъекции является наиболее распространенным.

Вторжение в базу данных, утечка информации о пользователях, подделка таблиц данных, подделка базы данных намного опаснее, чем подделка файлов веб-страниц.

Метод обработки:
1. Выполните фильтрацию символов надписи SQL на клиенте, сервере и базе данных;
2. Ограничьте права доступа учетной записи к базе данных, используемые веб-приложениями.

При выполнении защиты также может быть прямое экранирование и транскодирование sql.Либо напрямую экранируйте ввод, содержащий символы, чувствительные к sql, и предупреждайте их, либо перекодируйте чувствительные символы sql и используйте пользовательские буквы & + и другие символы. Replace.

Атака на домен

Атакуя сервер разрешения доменных имен (DNS) или подделывая сервер разрешения доменных имен (DNS), доменное имя целевого веб-сайта разрешается по неправильному адресу, что приводит к краже доменного имени или захвату доменного имени DNS.

Если контроль доменного имени будет утерян, доменное имя будет привязано и разрешено к хакерскому веб-сайту, а вес разрешения панорамирования будет рассредоточен, вызывая недоверие к поисковым системам и платформам безопасности, тем самым уменьшая авторитет и тем самым уменьшая черную метку.

Подход:
1. Выберите крупного известного регистратора доменного имени, введите реальную информацию, заблокируйте доменное имя и запретите передачу;
2. Обеспечьте безопасность почтового ящика регистрации доменного имени;
3. Выберите большой и стабильный преобразователь доменных имен: разрешение блокировки.

PS: Если этот вид атаки будет использовать облачные хосты известных сервисных платформ облачных вычислений, таких как Amazon, Alibaba Cloud, Tencent Cloud и т. Д., Атаки на доменное имя обычно не происходят, потому что эти компании приняли эти меры безопасности. , но если они построят свои собственные облачные серверы, тогда на вас следует обратить внимание, особенно школы, предприятия и т. д.

Сканирование сниффа

Сниффинг сети, также называемый мониторингом сети, представляет собой акт сбора и анализа данных, передаваемых по сети без разрешения пользователя. Многие сетевые вторжения часто сопровождаются прослушиванием сети, и многие сетевые атаки также основываются на сниффинге сети, например, знаменитый захват сеанса.

Заявление об опасности:

Злоумышленники крадут пакеты данных, а пакеты данных обычно содержат много важной частной информации. Эта информация в основном включает имена учетных записей, пароли и пароли, перехваченную личную или конфиденциальную информацию, данные частной информации и т. Д.

Подход:
1. Определите, находится ли сетевая карта в неразборчивом режиме; через брандмауэр наблюдайте за текущим распределением пропускной способности сети в режиме реального времени.
2. Технология шифрования данных: для зашифрованной передачи номеров учетных записей, паролей и этих конфиденциальных и личных данных лучше всего использовать https на веб-сайте.
3. Используйте безопасную топологию, но это дорого.

PS: Этот тип атак также распространен. На уроке информационной безопасности профессор Хуан раньше давал задание: настроить Wi-Fi для подключения своих соседей по комнате и позволить соседу войти в сеть образовательных служб школы, чтобы попытаться получить свои учебные дела. пароль сетевой учетной записи. Фактически, это сканирование сниффером, которое представляет собой метод атаки, который перехватывает информацию во время передачи по сети. Таким образом, вы должны быть осторожны при использовании Wi-Fi в торговых центрах, автомобильного Wi-Fi, домашнего Wi-Fi и т. Д. Лучше всего использовать трафик данных, чтобы предотвратить утечку личной информации. Для домашнего Wi-Fi лучше установить брандмауэр WiFi с более высоким уровнем безопасности, чтобы предотвратить доступ третьих лиц вторжение в домашнюю сеть.

Вирусная атака

Хакеры вставляют вирусы в главный компьютер. Вирус повреждает систему путем репликации. Существует много способов заразить компьютерными вирусами, такими как файлы (макровирусы), жесткие диски и сети.

Атакованный компьютер напрямую поражен вирусом, и система не может нормально работать или даже дает сбой. Если вирус-червь будет пойман, ущерб будет еще больше. Компьютеры в том же домене или компьютеры, которые имеют транзакции данных с атакованным компьютером, могут быть захвачены и распространяться быстро и бесконтрольно.

Подход:
1. Включите сетевой брандмауэр;
2. Закройте редко используемые порты и открывайте только те порты, которые обычно используются, чтобы снизить вероятность вирусных атак;
3. Регулярно обновляйте обновления, чтобы исправить уязвимости компьютера.

Читайте также  Какие бывают инструктажи по пожарной безопасности?

Интеллектуальная рекомендация

С изучением языка 18-10-24

1. Связанный список Связанный список может храниться в нескольких цепочкахструктураДля данных типа используйте указатель типа структуры, чтобы указать на следующий узел на языке C (аналогично списку с.

Угрозы несанкционированного доступа к информации. Основные классы атак в сетях на базе TCP/IP

Основные классы атак в сетях на основе TCP/IP

Если АС имеет подключение к сетям общего пользования, то могут быть реализованы сетевые атаки на нее. К сетям общего пользования на основе стека протоколов TCP/IP относится и Интернет, на примере которого мы будем рассматривать наиболее распространенные в настоящее время атаки. Сеть Интернет создавалась для связи между государственными учреждениями и университетом с целью оказания помощи учебному процессу. На начальном этапе никто не мог предположить дальнейший масштаб его развития и интеграции в жизнь современного общества, в связи с чем вопросам безопасности не уделялось должного внимания. Как следствие, на данный момент стек обладает множеством уязвимостей, которыми с успехом пользуются злоумышленники для реализации атак. Уязвимости протоколов, входящих в стек TCP/IP обусловлены, как правило, слабой аутентификацией, ограничением размера буфера, отсутствием проверки корректности служебной информации и т.п.

Краткая характеристика наиболее опасных уязвимостей приведена в таблице 9.1.

Угрозы, реализуемые по сети, классифицируются по следующим основным признакам:

  1. характер угрозы.

Пассивная – угроза, которая не оказывает влияния на работу информационной системы, но может нарушить правила доступа к защищаемой информации. Пример: использование sniffer для «прослушивания» сети. Активная – угроза, которая воздействуют на компоненты информационной системы, при реализации которой оказывается непосредственное влияние на работу системы. Пример: DDOS -атака в виде шторма TCP-запросами.

Рассмотрим наиболее распространенные на настоящее время атаки в сетях на основе стека протоколов TCP/IP.

  1. Анализ сетевого трафика. Данная атака реализуется с помощью специальной программы, называемой sniffer . Sniffer представляет собой прикладную программу, которая использует сетевую карту , работающую в режиме promiscuous mode , так называемый «неразборчивый» режим в котором сетевая плата позволяет принимать все пакеты независимо от того кому они адресованы. В нормальном состоянии на Ethernet-интерфейсе используется фильтрация пакетов канального уровня и если MAC-адрес в заголовке назначения принятого пакета не совпадает с MAC-адресом текущего сетевого интерфейса и не является широковещательным, то пакет отбрасывается. В «неразборчивом» режиме фильтрация на сетевом интерфейсе отключается и все пакеты, включая не предназначенные текущему узлу, пропускаются в систему. Надо заметить, что многие подобные программы используются в легальных целях, например, для диагностики неисправностей или анализа трафика . Тем не менее, в рассмотренной нами выше таблице перечислены протоколы, которые отправляют информацию, в том числе пароли, в открытом виде – FTP, SMTP, POP3 и т.д. Таким образом, с помощью sniffer можно перехватить имя и пароль и осуществить несанкционированный доступ к конфиденциальной информации. Более того, многие пользователи используют одни и те же пароли для доступа ко многим сетевым сервисам. То есть, если в одном месте сети есть слабость в виде слабой аутентификации, пострадать может вся сеть. Злоумышленники хорошо знают людские слабости и широко применяют методы социальной инженерии.

Защита от данного вида атаки может заключаться в следующем:

  • Сильная аутентификация , например, использование одноразовых паролей (one- time password ). Суть состоит в том, что пароль можно использовать однократно, и даже если злоумышленник перехватил его с помощью sniffer , он не представляет никакой ценности. Конечно, данный механизм защиты спасает только от перехвата паролей, и является бесполезным в случае перехвата другой информации, например, электронной почты.
  • Анти-снифферы – аппаратные или программные средства, способные выявить работу сниффера в сегменте сети. Как правило, они проверяют нагрузку на узлах сети с целью определения «лишней» нагрузки.
  • Коммутируемая инфраструктура. Понятно, что анализ сетевого трафика возможен только внутри одного сегмента сети. Если сеть построена на устройствах, разбивающих ее на множество сегментов (коммутаторы и маршрутизаторы), то атака возможна только в тех участках сети, которые относятся к одному из портов данных устройств. Это не решает проблемы сниффинга, но уменьшает границы, которые может «прослушивать» злоумышленник.
  • Криптографические методы. Самый надежный способ борьбы с работой sniffer . Информация, которая может быть получена с помощью перехвата, является зашифрованной и, соответственно, не имеет никакой пользы. Чаще всего используются IPSec , SSL и SSH .

Хорошей и наиболее распространенной контрмерой является использование IDS , которая успешно находит признаки ведения сканирования сети и уведомляет об этом администратора. Полностью избавиться от данной угрозы невозможно, так как если, например, отключить эхо ICMP и эхо-ответ на маршрутизаторе, то можно избавиться от угрозы эхо-тестирования, но при этом потерять данные, необходимые для диагностики сетевых сбоев.

Еще одной проблемой информационной безопасности является то, что большинство людей используют одинаковые пароли ко всем службам, приложениям, сайтам и пр. При этом уязвимость пароля зависит от самого слабого участка его использования.

Подобного рода атак можно избежать, если использовать одноразовые пароли, о которых мы говорили ранее, или криптографическую аутентификацию.

Обычно подмена доверенного объекта сети ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между объектами сети. Для двусторонней связи злоумышленник должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес, что тоже является возможным. Для ослабления угрозы (но не ее ликвидации) можно использовать следующее:

  • контроль доступа. Можно настроить контроль доступа на отсечение любого трафика, поступающего из внешней сети с исходным адресом внутри сети. Этот метод является действенным, если санкционированы только внутренние адреса и не работает, если есть санкционированные внешние адреса.
  • Фильтрация RFC 2827 – данный тип фильтрации позволяет пресечь попытки спуфинга чужих сетей пользователями вашей сети. Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации. Часто этот тип фильтрации выполняется провайдером. В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе. К примеру, если ISP предоставляет соединение с IP-адресом 15.1.1.0/24, он может настроить фильтр таким образом, чтобы с данного интерфейса на маршрутизатор ISP допускался только трафик, поступающий с адреса 15.1.1.0/24. Заметим, что до тех пор, пока все провайдеры не внедрят этот тип фильтрации, его эффективность будет намного ниже возможной.
  • Внедрение дополнительных методов аутентификации. IP-spoofing возможен только в случае аутентификации на основе IP. Если ввести какие–то дополнительные меры по аутентификации, например, криптографические, атака становится бесполезной.

DoS-атака является наиболее распространенной и известной атакой в последнее время, что обусловлено в первую очередь простотой реализации. Организация DOS-атаки требует минимум знаний и умений и строится на недостатках сетевого программного обеспечения и сетевых протоколов. Если атака проводится для множества сетевых устройств, говорят о распределенной атаке DoS ( DDoS — distributed DoS).

Сегодня наиболее часто используются следующие пять разновидностей DoS-атак, для проведения которых существует большое количество программного обеспечения и от которых наиболее тяжело защититься:

  • Smurf — ping-запросы ICMP . При посылке ping-пакета (сообщение ICMP ECHO) по широковещательному адресу (например, 10.255.255.255), он доставляется каждой машине в этой сети. Принцип атаки заключается в посылке пакета ICMP ECHO REQUEST с адресом-источником атакуемого узла. Злоумышленник шлет постоянный поток ping-пакетов по сетевому широковещательному адресу. Все машины, получив запрос, отвечают источнику пакетом ICMP ECHO REPLY. Соответственно, размер ответного потока пакетов возрастает в пропорциональное количеству хостов число раз. В результате, вся сеть подвергается отказу в обслуживании из-за перегрузки.
  • ICMP flood — атака, аналогичная Smurf, только без усиления, создаваемого запросами по направленному широковещательному адресу.
  • UDP flood — отправка на адрес атакуемого узла множества пакетов UDP (User Datagram Protocol).
  • TCP flood — отправка на адрес атакуемого узла множества TCP-пакетов.
  • TCP SYN flood — при проведении такого рода атаки выдается большое количество запросов на инициализацию TCP-соединений с атакуемым узлом, которому, в результате, приходится расходовать все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения.

Если используется серверное приложение Web-сервер или FTP-сервер, в результате атаки DoS все соединения, доступные для этих приложений, оказываются занятыми, и пользователи не могут получить к ним доступ. Некоторые атаки способны вывести из строя целую сеть, наполнив ее ненужными пакетами. Для противодействия таким атакам необходимо участие провайдера, потому что если он не остановит нежелательный трафик на входе в сеть, атаку не остановить, потому что полоса пропускания будет занята.

Для реализации DoS-атаки наиболее часто используются следующие программы:

  • Trinoo – представляет собой довольно примитивную программу, которая исторически стала первой для организации DoS-атак единственного типа – UDP-flood. Программы семейства «trinoo» легко обнаруживаются стандартными средствами защиты и не несут угрозы для тех, кто хотя бы чуть-чуть заботиться о своей безопасности.
  • TFN и TFN2K – более серьезное оружие. Позволяют одновременно организовать атаки нескольких типов — Smurf, UDP flood, ICMP flood и TCP SYN flood. Использование этих программ требует от злоумышленника намного более высокой квалификации.
  • Новейшее средство организации DoS-атак — Stacheldracht («колючая проволока»). Этот пакет позволяет организовывать самые различные типы атак и лавины широковещательных ping-запросов. Кроме того, обмен данными между контроллерами и агентами шифруется, а в само программное обеспечение встроена функция автомодификации. Шифрование сильно затрудняет обнаружение атакующего.

Для ослабления угрозы можно воспользоваться следующим:

  • Функции анти-спуфинга — правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827. Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.
  • Функции анти-DoS — правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.
  • Ограничение объема трафика (traffic rate limiting) — организация может попросить провайдера (ISP) ограничить объем трафика. Этот тип фильтрации позволяет ограничить объем некритического трафика, проходящего по вашей сети. Обычным примером является ограничение объемов трафика ICMP , который используется только для диагностических целей. Атаки DoS часто используют ICMP [9.9].

Можно выделить несколько разновидностей угроз данного типа:

  • Скрытый отказ в обслуживании, когда часть ресурсов сети задействован на обработку пакетов, передаваемых злоумышленником со снижением пропускной способности канала, нарушением времени обработки запросов, нарушением производительности сетевых устройств. Пример: направленный шторм эхо-запросов по протоколу ICMP или шторм запросов на установление TCP-соединения.
  • Явный отказ в обслуживании, вызванный тем, что ресурсы сети исчерпались в результате обработки пакетов, посланных злоумышленниками. При этом легальные запросы пользователей не могут быть обработаны из-за того, что вся полоса пропускания канала занята, переполнены буферы, переполнение дискового пространства и т.д. Пример: направленный шторм(SYN-flooding).
  • Явный отказ в обслуживании, вызванный нарушением логической связности между техническими средствами сети при передаче злоумышленником управляющих сообщений от имени сетевых устройств. При этом изменяются маршрутно-адресные данные. Пример: ICMP Redirect Host или DNS-flood.
  • Явный отказ в обслуживании, вызванный тем, что злоумышленник передает пакеты с нестандартными атрибутами (например, UDP-bomb) или имеющих длину, превышающую максимальную (Ping Death).

Атаки DoS нацелены на нарушение доступности информации и не нарушают целостность и конфиденциальность.

Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран. К примеру, хакер, нападающий на Web-сервер, может использовать ТСР порт 80. Чтобы Web-сервер мог предоставлять пользователям страницы, порт 80 на межсетевом экране должен быть открыт. С точки зрения межсетевого экрана, атака рассматривается как стандартный трафик для порта 80.

Полностью исключить атаки на уровне приложений невозможно, так как прикладные программы с новыми уязвимостями возникают регулярно. Самое главное здесь — хорошее системное администрирование. Вот некоторые меры, которые можно предпринять, чтобы снизить уязвимость для атак этого типа:

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: