Ciri ciri serangan rangkaian. Jenis serangan penggodam

Klasifikasi serangan rangkaian

Serangan rangkaian adalah berbeza-beza seperti sistem yang mereka sasarkan. Beberapa serangan sangat sukar. Lain-lain boleh dilakukan oleh pengendali biasa yang tidak membayangkan apa akibat aktivitinya. Untuk menilai jenis serangan, anda perlu mengetahui beberapa batasan yang wujud pada protokol TPC/IP. Internet dicipta untuk komunikasi antara agensi kerajaan dan universiti untuk membantu proses pendidikan dan penyelidikan saintifik. Pencipta rangkaian ini tidak tahu sejauh mana ia akan merebak. Akibatnya, spesifikasi versi awal Internet Protocol (IP) tidak mempunyai keperluan keselamatan. Inilah sebabnya mengapa banyak pelaksanaan IP sememangnya terdedah. Selepas bertahun-tahun, setelah menerima banyak aduan (RFC - Permintaan untuk Komen), kami akhirnya mula melaksanakan langkah keselamatan untuk IP. Walau bagaimanapun, disebabkan fakta bahawa langkah keselamatan untuk protokol IP pada mulanya tidak dibangunkan, semua pelaksanaannya mula ditambah dengan pelbagai prosedur rangkaian, perkhidmatan dan produk yang mengurangkan risiko yang wujud dalam protokol ini. Seterusnya, kami akan membincangkan secara ringkas jenis serangan yang biasa digunakan terhadap rangkaian IP dan menyenaraikan cara untuk memeranginya.


Penghidu paket
Penghidu paket ialah program aplikasi yang menggunakan kad rangkaian yang beroperasi dalam mod promiscuous (dalam mod ini, penyesuai rangkaian menghantar semua paket yang diterima melalui saluran fizikal kepada aplikasi untuk diproses). Dalam kes ini, penghidu memintas semua paket rangkaian yang dihantar melalui domain tertentu. Pada masa ini, penghidu beroperasi pada rangkaian secara sah sepenuhnya. Ia digunakan untuk diagnosis kesalahan dan analisis lalu lintas. Walau bagaimanapun, memandangkan sesetengah aplikasi rangkaian memindahkan data dalam format teks (telnet, FTP, SMTP, POP3, dll.), menggunakan penghidu boleh mendedahkan maklumat yang berguna dan kadangkala sensitif (contohnya, nama pengguna dan kata laluan).

Log masuk dan pemintasan kata laluan menimbulkan ancaman besar kerana pengguna sering menggunakan log masuk dan kata laluan yang sama untuk berbilang aplikasi dan sistem. Ramai pengguna biasanya mempunyai satu kata laluan untuk mengakses semua sumber dan aplikasi. Jika aplikasi berjalan dalam mod klien/pelayan dan data pengesahan dihantar melalui rangkaian dalam format teks yang boleh dibaca, maklumat ini mungkin boleh digunakan untuk mengakses sumber korporat atau luaran yang lain. Penggodam tahu terlalu baik dan mengeksploitasi kelemahan manusia kita (kaedah serangan selalunya berdasarkan kaedah kejuruteraan sosial). Mereka tahu betul bahawa kami menggunakan kata laluan yang sama untuk mengakses banyak sumber, dan oleh itu mereka sering berjaya mendapatkan akses kepada maklumat penting dengan mempelajari kata laluan kami. Dalam senario kes terburuk, penggodam memperoleh akses peringkat sistem kepada sumber pengguna dan menggunakannya untuk mencipta pengguna baharu yang boleh digunakan pada bila-bila masa untuk mengakses rangkaian dan sumbernya.

Anda boleh mengurangkan ancaman menghidu paket dengan menggunakan alat berikut:
Pengesahan - Pengesahan yang kuat ialah pertahanan pertama terhadap penghidu paket. Dengan "kuat" kami maksudkan kaedah pengesahan yang sukar untuk dipintas. Contoh pengesahan tersebut ialah kata laluan sekali (OTP - One-Time Passwords). OTP ialah teknologi pengesahan dua faktor yang menggabungkan apa yang anda ada dengan apa yang anda ketahui. Contoh tipikal pengesahan dua faktor ialah pengendalian ATM biasa, yang mengenal pasti anda, pertama, dengan kad plastik anda dan, kedua, dengan kod PIN yang anda masukkan. Pengesahan dalam sistem OTP juga memerlukan kod PIN dan kad peribadi anda. "Kad" (token) difahami sebagai peranti perkakasan atau perisian yang menjana (dengan prinsip rawak) kata laluan satu masa yang unik. Jika seorang penggodam mengetahui kata laluan ini menggunakan penghidu, maklumat ini akan menjadi sia-sia kerana pada ketika itu kata laluan itu telah pun digunakan dan bersara. Ambil perhatian bahawa kaedah memerangi menghidu ini hanya berkesan terhadap pemintasan kata laluan. Penghidu yang memintas maklumat lain (seperti mesej e-mel) kekal berkesan.
Infrastruktur Bersuis - Satu lagi cara untuk memerangi menghidu paket dalam persekitaran rangkaian anda adalah dengan mencipta infrastruktur tersuis. Jika, sebagai contoh, seluruh organisasi menggunakan Ethernet dial-up, penggodam hanya boleh mengakses trafik yang masuk ke port yang mereka sambungkan. Infrastruktur bertukar tidak menghapuskan ancaman menghidu, tetapi ia mengurangkan keterukannya dengan ketara.
Anti-sniffers - Cara ketiga untuk memerangi sniffers ialah memasang perkakasan atau perisian yang mengenali sniffers yang berjalan pada rangkaian anda. Alat ini tidak dapat menghapuskan ancaman sepenuhnya, tetapi, seperti banyak alat keselamatan rangkaian lain, ia termasuk dalam sistem perlindungan keseluruhan. Apa yang dipanggil "anti-penghidu" mengukur masa tindak balas hos dan menentukan sama ada hos perlu memproses trafik "tambahan". Satu produk sedemikian, yang dibekalkan oleh LOpht Heavy Industries, dipanggil AntiSniff(. Maklumat lanjut boleh didapati di tapak web


Kriptografi - Cara paling berkesan untuk memerangi penghidu paket tidak menghalang pemintasan atau mengenali kerja penghidu, tetapi menjadikan kerja ini tidak berguna. Jika saluran komunikasi selamat dari segi kriptografi, ini bermakna penggodam tidak memintas mesej, tetapi teks sifir (iaitu, urutan bit yang tidak dapat difahami). Kriptografi lapisan rangkaian Cisco adalah berdasarkan protokol IPSec. IPSec ialah kaedah standard komunikasi selamat antara peranti menggunakan protokol IP. Protokol pengurusan rangkaian kriptografi lain termasuk SSH (Secure Shell) dan SSL (Secure Socket Layer).


IP spoofing
Penipuan IP berlaku apabila penggodam, di dalam atau di luar syarikat, menyamar sebagai pengguna yang dibenarkan. Ini boleh dilakukan dengan dua cara. Pertama, penggodam boleh menggunakan alamat IP yang berada dalam julat alamat IP yang dibenarkan, atau alamat luaran yang dibenarkan yang dibenarkan akses kepada sumber rangkaian tertentu. Serangan spoofing IP selalunya merupakan titik permulaan untuk serangan lain. Contoh klasik ialah serangan DoS, yang bermula dari alamat orang lain, menyembunyikan identiti sebenar penggodam.

Biasanya, penipuan IP dihadkan kepada memasukkan maklumat palsu atau arahan berniat jahat ke dalam aliran normal data yang dihantar antara aplikasi klien dan pelayan atau melalui saluran komunikasi antara peranti rakan sebaya. Untuk komunikasi dua hala, penggodam mesti menukar semua jadual penghalaan untuk mengarahkan trafik ke alamat IP palsu. Sesetengah penggodam, bagaimanapun, tidak cuba untuk mendapatkan respons daripada aplikasi. Jika tugas utama adalah untuk mendapatkan fail penting daripada sistem, respons aplikasi tidak penting.

Jika penggodam berjaya menukar jadual penghalaan dan mengarahkan trafik ke alamat IP palsu, penggodam akan menerima semua paket dan akan dapat membalasnya seolah-olah dia adalah pengguna yang dibenarkan.

Ancaman penipuan boleh dikurangkan (tetapi tidak dihapuskan) dengan langkah-langkah berikut:
Kawalan Akses - Cara paling mudah untuk mengelakkan penipuan IP adalah dengan mengkonfigurasi kawalan akses dengan betul. Untuk mengurangkan keberkesanan penipuan IP, konfigurasikan kawalan akses untuk menolak sebarang trafik yang datang daripada rangkaian luaran dengan alamat sumber yang sepatutnya terletak di dalam rangkaian anda. Ambil perhatian bahawa ini membantu memerangi penipuan IP, di mana hanya alamat dalaman dibenarkan. Jika beberapa alamat rangkaian luaran juga dibenarkan, kaedah ini menjadi tidak berkesan.
Penapisan RFC 2827 - Anda boleh menghalang pengguna pada rangkaian anda daripada menipu rangkaian orang lain (dan menjadi "warganegara dalam talian" yang baik). Untuk melakukan ini, anda mesti menolak sebarang trafik keluar yang alamat sumbernya bukan salah satu daripada alamat IP organisasi anda. Penapisan jenis ini, yang dikenali sebagai "RFC 2827", juga boleh dilakukan oleh Pembekal Perkhidmatan Internet (ISP) anda. Akibatnya, semua trafik yang tidak mempunyai alamat sumber yang dijangkakan pada antara muka tertentu ditolak. Contohnya, jika ISP menyediakan sambungan ke alamat IP 15.1.1.0/24, ia boleh mengkonfigurasi penapis supaya hanya trafik yang berasal dari 15.1.1.0/24 dibenarkan daripada antara muka itu ke penghala ISP. Harap maklum bahawa sehingga semua pembekal melaksanakan penapisan jenis ini, keberkesanannya akan jauh lebih rendah daripada yang mungkin. Selain itu, semakin jauh anda dari peranti yang ditapis, semakin sukar untuk melakukan penapisan yang tepat. Sebagai contoh, penapisan RFC 2827 pada tahap penghala akses memerlukan lulus semua trafik dari alamat rangkaian utama (10.0.0.0/8), manakala pada tahap pengedaran (dalam seni bina ini) adalah mungkin untuk menyekat trafik dengan lebih tepat (alamat - 10.1). .5.0/24).

Kaedah yang paling berkesan untuk memerangi penipuan IP adalah sama seperti untuk menghidu paket: anda perlu membuat serangan itu tidak berkesan sepenuhnya. Penipuan IP hanya boleh berfungsi jika pengesahan adalah berdasarkan alamat IP. Oleh itu, memperkenalkan kaedah pengesahan tambahan menjadikan serangan jenis ini tidak berguna. Jenis pengesahan tambahan yang terbaik ialah kriptografi. Jika ini tidak mungkin, pengesahan dua faktor menggunakan kata laluan sekali boleh memberikan hasil yang baik.


Penafian Perkhidmatan (DoS)
DoS adalah, tanpa sebarang keraguan, bentuk serangan penggodam yang paling terkenal. Di samping itu, jenis serangan ini adalah yang paling sukar untuk mencipta perlindungan 100%. Malah di kalangan penggodam, serangan DoS dianggap remeh, dan penggunaannya menyebabkan senyuman menghina, kerana penganjuran DoS memerlukan pengetahuan dan kemahiran yang minimum. Walau bagaimanapun, adalah tepatnya kemudahan pelaksanaan dan kemudaratan yang besar menyebabkan DoS menarik perhatian pentadbir yang bertanggungjawab untuk keselamatan rangkaian. Jika anda ingin mengetahui lebih lanjut tentang serangan DoS, anda harus mempertimbangkan jenis yang paling terkenal, iaitu:


Banjir TCP SYN
Ping Kematian
Rangkaian Banjir Puak (TFN) dan Rangkaian Banjir Puak 2000 (TFN2K)
Trinco
Stacheldracht
Triniti

Serangan DoS berbeza daripada jenis serangan lain. Mereka tidak bertujuan untuk mendapatkan akses kepada rangkaian anda atau mendapatkan sebarang maklumat daripada rangkaian tersebut. Serangan DoS menjadikan rangkaian anda tidak tersedia untuk kegunaan biasa dengan melebihi had operasi rangkaian, sistem pengendalian atau aplikasi.

Dalam kes beberapa aplikasi pelayan (seperti pelayan Web atau pelayan FTP), serangan DoS boleh melibatkan mengambil alih semua sambungan yang tersedia untuk aplikasi tersebut dan memastikan mereka sibuk, menghalang pengguna biasa daripada dilayan. Serangan DoS boleh menggunakan protokol Internet biasa seperti TCP dan ICMP (Internet Control Message Protocol). Kebanyakan serangan DoS tidak bergantung pada pepijat perisian atau lubang keselamatan, tetapi pada kelemahan umum dalam seni bina sistem. Sesetengah serangan melumpuhkan prestasi rangkaian dengan membanjirinya dengan paket yang tidak diingini dan tidak perlu atau maklumat mengelirukan tentang keadaan semasa sumber rangkaian. Serangan jenis ini sukar dicegah kerana ia memerlukan penyelarasan dengan ISP. Jika trafik yang bertujuan untuk mengatasi rangkaian anda tidak boleh dihentikan di pembekal, maka di pintu masuk ke rangkaian anda tidak lagi dapat melakukan ini, kerana semua lebar jalur akan diduduki. Apabila jenis serangan ini dijalankan secara serentak melalui banyak peranti, kita bercakap tentang serangan DoS teragih (DDoS).

Ancaman serangan DoS boleh dikurangkan dalam tiga cara:
Ciri anti-spoofing - Mengkonfigurasi ciri anti-spoofing dengan betul pada penghala dan tembok api anda akan membantu mengurangkan risiko DoS. Ciri-ciri ini hendaklah, sekurang-kurangnya, termasuk penapisan RFC 2827. Jika penggodam tidak dapat menyamarkan identiti sebenar, dia tidak mungkin melakukan serangan.
Ciri Anti-DoS - Konfigurasi ciri anti-DoS yang betul pada penghala dan tembok api boleh mengehadkan keberkesanan serangan. Ciri ini selalunya mengehadkan bilangan saluran separuh terbuka pada bila-bila masa.
Pengehadan kadar trafik - organisasi boleh meminta ISP untuk mengehadkan jumlah trafik. Penapisan jenis ini membolehkan anda mengehadkan jumlah trafik tidak kritikal yang melalui rangkaian anda. Contoh biasa ialah mengehadkan jumlah trafik ICMP yang digunakan untuk tujuan diagnostik sahaja. (D) Serangan DoS sering menggunakan ICMP.


Serangan kata laluan
Penggodam boleh melakukan serangan kata laluan menggunakan pelbagai kaedah, seperti serangan brute force, Trojan horse, IP spoofing dan packet sniffing. Walaupun log masuk dan kata laluan selalunya boleh diperolehi melalui penipuan IP dan menghidu paket, penggodam sering cuba meneka kata laluan dan log masuk melalui pelbagai percubaan akses. Pendekatan ini dipanggil serangan kekerasan mudah. Selalunya, serangan sedemikian menggunakan program khas yang cuba mendapatkan akses kepada sumber awam (contohnya, pelayan). Jika, akibatnya, penggodam mendapat akses kepada sumber, dia mendapat akses kepada hak pengguna biasa yang kata laluannya telah ditebak. Jika pengguna ini mempunyai keistimewaan akses yang ketara, penggodam boleh membuat "pas" untuk akses masa hadapan yang akan kekal berkuat kuasa walaupun pengguna menukar kata laluan dan log masuknya.

Masalah lain timbul apabila pengguna menggunakan kata laluan yang sama (malah sangat baik) untuk mengakses banyak sistem: sistem korporat, peribadi dan Internet. Memandangkan kata laluan hanya sekuat hos yang paling lemah, penggodam yang mempelajari kata laluan melalui hos itu mendapat akses kepada semua sistem lain yang menggunakan kata laluan yang sama.

Pertama sekali, serangan kata laluan boleh dielakkan dengan tidak menggunakan kata laluan dalam bentuk teks. Kata laluan sekali sahaja dan/atau pengesahan kriptografi hampir boleh menghapuskan ancaman serangan tersebut. Malangnya, tidak semua aplikasi, hos dan peranti menyokong kaedah pengesahan di atas.

Apabila menggunakan kata laluan biasa, cuba buat kata laluan yang sukar diteka. Panjang kata laluan minimum mestilah sekurang-kurangnya lapan aksara. Kata laluan mesti mengandungi aksara besar, nombor dan aksara khas (#, %, $, dsb.). Kata laluan terbaik sukar diteka dan sukar diingat, memaksa pengguna menulis kata laluan di atas kertas. Untuk mengelakkan ini, pengguna dan pentadbir boleh mengambil kesempatan daripada beberapa kemajuan teknologi terkini. Sebagai contoh, terdapat program aplikasi yang menyulitkan senarai kata laluan yang boleh disimpan dalam komputer poket. Akibatnya, pengguna hanya perlu mengingati satu kata laluan yang kompleks, manakala semua kata laluan lain akan dilindungi dengan pasti oleh aplikasi. Dari sudut pandangan pentadbir, terdapat beberapa kaedah untuk memerangi tekaan kata laluan. Salah satunya ialah menggunakan alat L0phtCrack, yang sering digunakan oleh penggodam untuk meneka kata laluan dalam persekitaran Windows NT. Alat ini dengan cepat akan menunjukkan kepada anda sama ada kata laluan pilihan pengguna mudah diteka. Maklumat tambahan boleh didapati di


Serangan Man-in-the-Middle

Untuk serangan Man-in-the-Middle, penggodam memerlukan akses kepada paket yang dihantar melalui rangkaian. Akses sedemikian kepada semua paket yang dihantar daripada pembekal kepada mana-mana rangkaian lain boleh, sebagai contoh, diperolehi oleh pekerja pembekal ini. Penghidu paket, protokol pengangkutan dan protokol penghalaan sering digunakan untuk jenis serangan ini. Serangan dilakukan dengan tujuan untuk mencuri maklumat, memintas sesi semasa dan mendapatkan akses kepada sumber rangkaian persendirian, untuk menganalisis trafik dan mendapatkan maklumat mengenai rangkaian dan penggunanya, untuk melakukan serangan DoS, herotan data yang dihantar dan memasukkan maklumat yang tidak dibenarkan. ke dalam sesi rangkaian.

Serangan Man-in-the-Middle hanya boleh diatasi dengan berkesan menggunakan kriptografi. Jika penggodam memintas data daripada sesi yang disulitkan, apa yang akan muncul pada skrinnya bukanlah mesej yang dipintas, tetapi set aksara yang tidak bermakna. Ambil perhatian bahawa jika penggodam memperoleh maklumat tentang sesi kriptografi (contohnya, kunci sesi), ini boleh menjadikan serangan Man-in-the-Middle mungkin walaupun dalam persekitaran yang disulitkan.


Serangan peringkat aplikasi
Serangan peringkat aplikasi boleh dilakukan dalam beberapa cara. Yang paling biasa ialah mengeksploitasi kelemahan terkenal dalam perisian pelayan (sendmail, HTTP, FTP). Dengan mengeksploitasi kelemahan ini, penggodam boleh mendapat akses kepada komputer sebagai pengguna yang menjalankan aplikasi (biasanya bukan pengguna biasa, tetapi pentadbir istimewa dengan hak akses sistem). Maklumat tentang serangan peringkat aplikasi diterbitkan secara meluas untuk membolehkan pentadbir membetulkan masalah menggunakan modul pembetulan (tampalan). Malangnya, ramai penggodam juga mempunyai akses kepada maklumat ini, yang membolehkan mereka belajar.

Masalah utama dengan serangan lapisan aplikasi ialah mereka sering menggunakan port yang dibenarkan melalui tembok api. Sebagai contoh, penggodam yang mengeksploitasi kelemahan yang diketahui dalam pelayan Web selalunya akan menggunakan port 80 dalam serangan TCP. Oleh kerana pelayan Web menyediakan halaman Web kepada pengguna, tembok api mesti membenarkan akses kepada port ini. Dari sudut pandangan firewall, serangan itu dianggap sebagai trafik standard pada port 80.

Terdapat dua teknologi IDS pelengkap:
Sistem IDS Rangkaian (NIDS) memantau semua paket yang melalui domain tertentu. Apabila sistem NIDS melihat paket atau siri paket sepadan dengan tandatangan serangan yang diketahui atau kemungkinan, ia menjana penggera dan/atau menamatkan sesi;
Sistem IDS Hos (HIDS) melindungi hos menggunakan ejen perisian. Sistem ini hanya memerangi serangan terhadap satu hos;
Dalam kerja mereka, sistem IDS menggunakan tandatangan serangan, yang merupakan profil serangan atau jenis serangan tertentu. Tandatangan mentakrifkan keadaan di mana trafik dianggap sebagai penggodam. Analog IDS dalam dunia fizikal boleh dianggap sebagai sistem amaran atau kamera pengawasan. Kelemahan terbesar IDS ialah keupayaannya untuk mengeluarkan penggera. Untuk meminimumkan bilangan penggera palsu dan memastikan sistem IDS berfungsi dengan betul pada rangkaian, konfigurasi sistem yang teliti diperlukan.


Kepintaran rangkaian
Perisikan rangkaian merujuk kepada pengumpulan maklumat rangkaian menggunakan data dan aplikasi yang tersedia secara umum. Apabila menyediakan serangan terhadap rangkaian, penggodam biasanya cuba mendapatkan sebanyak mungkin maklumat mengenainya. Tinjauan rangkaian dijalankan dalam bentuk pertanyaan DNS, ping sweeps dan port scanning. Pertanyaan DNS membantu anda memahami siapa yang memiliki domain tertentu dan alamat yang diberikan kepada domain tersebut. Alamat ping sweeping yang didedahkan menggunakan DNS membolehkan anda melihat hos yang benar-benar berjalan dalam persekitaran tertentu. Selepas menerima senarai hos, penggodam menggunakan alat pengimbasan port untuk menyusun senarai lengkap perkhidmatan yang disokong oleh hos tersebut. Akhir sekali, penggodam menganalisis ciri-ciri aplikasi yang dijalankan pada hos. Hasilnya, maklumat diperolehi yang boleh digunakan untuk penggodaman.

Adalah mustahil untuk menyingkirkan sepenuhnya kecerdasan rangkaian. Jika, sebagai contoh, anda melumpuhkan ICMP echo dan echo reply pada penghala tepi, anda menyingkirkan ujian ping, tetapi anda kehilangan data yang diperlukan untuk mendiagnosis kegagalan rangkaian. Selain itu, anda boleh mengimbas port tanpa ujian ping sebelumnya. Yang ini hanya akan mengambil masa yang lebih lama, kerana anda perlu mengimbas alamat IP yang tidak wujud. Sistem IDS peringkat rangkaian dan hos lazimnya berfungsi dengan baik untuk menyedarkan pentadbir tentang peninjauan rangkaian yang sedang berjalan, membolehkan mereka membuat persediaan yang lebih baik untuk serangan yang akan datang dan memaklumkan ISP mengenai rangkaian yang sistemnya terlalu bising.


Pecah amanah
Tegasnya, jenis tindakan ini bukanlah "serangan" atau "serangan". Ia mewakili eksploitasi berniat jahat terhadap hubungan kepercayaan yang wujud dalam rangkaian. Contoh klasik penyalahgunaan sedemikian ialah situasi di bahagian persisian rangkaian korporat. Segmen ini selalunya menempatkan pelayan DNS, SMTP dan HTTP. Memandangkan mereka semua tergolong dalam segmen yang sama, penggodaman salah satu daripadanya membawa kepada penggodaman semua yang lain, kerana pelayan ini mempercayai sistem lain pada rangkaian mereka. Contoh lain ialah sistem yang dipasang di bahagian luar tembok api yang mempunyai hubungan amanah dengan sistem yang dipasang di bahagian dalam tembok api. Jika sistem luaran terjejas, penggodam boleh menggunakan hubungan kepercayaan untuk menembusi sistem yang dilindungi oleh tembok api.

Risiko pecah amanah boleh dikurangkan dengan mengawal tahap kepercayaan dalam rangkaian anda dengan lebih ketat. Sistem yang terletak di luar firewall tidak boleh mempunyai kepercayaan mutlak daripada sistem yang dilindungi oleh firewall. Perhubungan kepercayaan harus dihadkan kepada protokol tertentu dan, jika boleh, disahkan oleh parameter selain daripada alamat IP.


Port Forwarding
Pemajuan port ialah satu bentuk penyalahgunaan kepercayaan di mana hos yang terjejas digunakan untuk menghantar trafik melalui tembok api yang sebaliknya akan ditolak. Mari bayangkan tembok api dengan tiga antara muka, setiap satunya disambungkan kepada hos tertentu. Hos luaran boleh menyambung ke hos domain awam (DMZ), tetapi tidak kepada hos yang dipasang di bahagian dalam tembok api. Hos kongsi boleh menyambung ke hos dalaman dan luaran. Jika penggodam mengambil alih hos awam, dia boleh memasang perisian padanya yang mengubah hala trafik daripada hos luaran terus ke hos dalaman. Walaupun ini tidak melanggar mana-mana peraturan pada skrin, hos luaran mendapat akses terus kepada hos yang dilindungi hasil daripada pengalihan. Contoh aplikasi yang boleh menyediakan akses tersebut ialah netcat. Maklumat lebih terperinci boleh didapati di laman web

Cara utama untuk memerangi penghantaran port adalah dengan menggunakan model kepercayaan yang kukuh (lihat bahagian sebelumnya). Selain itu, sistem IDS hos (HIDS) boleh menghalang penggodam daripada memasang perisiannya pada hos.


Akses tidak dibenarkan

Akses tanpa kebenaran tidak boleh dianggap sebagai jenis serangan yang berasingan. Kebanyakan serangan rangkaian dilakukan untuk mendapatkan akses tanpa kebenaran. Untuk meneka log masuk telnet, penggodam mesti terlebih dahulu mendapatkan gesaan telnet pada sistemnya. Selepas menyambung ke port telnet, mesej "kebenaran diperlukan untuk menggunakan sumber ini" muncul pada skrin (kebenaran diperlukan untuk menggunakan sumber ini). Jika penggodam terus mencuba akses selepas ini, mereka akan dianggap "tidak dibenarkan." Sumber serangan sedemikian boleh sama ada di dalam rangkaian atau di luar.

Kaedah untuk memerangi akses tanpa kebenaran agak mudah. Perkara utama di sini adalah untuk mengurangkan atau menghapuskan sepenuhnya keupayaan penggodam untuk mendapatkan akses kepada sistem menggunakan protokol yang tidak dibenarkan. Sebagai contoh, pertimbangkan untuk menghalang penggodam daripada mengakses port telnet pada pelayan yang menyediakan perkhidmatan Web kepada pengguna luar. Tanpa akses ke port ini, penggodam tidak akan dapat menyerangnya. Bagi tembok api, tugas utamanya adalah untuk menghalang percubaan paling mudah untuk mengakses tanpa kebenaran.


Virus dan aplikasi kuda Trojan
Stesen kerja pengguna akhir sangat terdedah kepada virus dan kuda Trojan. Virus ialah atur cara berniat jahat yang dimasukkan ke dalam atur cara lain untuk melaksanakan fungsi tertentu yang tidak diingini pada stesen kerja pengguna akhir. Contohnya ialah virus yang ditulis dalam fail command.com (penterjemah utama sistem Windows) dan memadamkan fail lain, dan juga menjangkiti semua versi lain command.com yang ditemuinya. Kuda Trojan bukanlah sisipan perisian, tetapi program sebenar yang kelihatan seperti aplikasi berguna, tetapi sebenarnya melakukan peranan yang berbahaya. Contoh kuda Trojan biasa ialah program yang kelihatan seperti permainan mudah di stesen kerja pengguna. Walau bagaimanapun, semasa pengguna bermain permainan, program menghantar salinan dirinya sendiri melalui e-mel kepada setiap pelanggan dalam buku alamat pengguna tersebut. Semua pelanggan menerima permainan melalui mel, menyebabkan pengedaran selanjutnya.

Perjuangan menentang virus dan kuda Trojan dijalankan dengan bantuan perisian anti-virus yang berkesan yang berfungsi pada peringkat pengguna dan, mungkin, pada peringkat rangkaian. Produk antivirus mengesan kebanyakan virus dan kuda Trojan dan menghentikan penyebarannya. Mendapatkan maklumat terkini tentang virus akan membantu anda melawannya dengan lebih berkesan. Apabila virus baharu dan kuda Trojan muncul, perniagaan mesti memasang versi baharu alat dan aplikasi antivirus.

Serangan rangkaian jauh- kesan merosakkan maklumat pada sistem pengkomputeran teragih, dijalankan secara pengaturcaraan melalui saluran komunikasi.

pengenalan

Untuk mengatur komunikasi dalam persekitaran rangkaian heterogen, satu set protokol TCP/IP digunakan, memastikan keserasian antara komputer jenis yang berbeza. Set protokol ini telah mendapat populariti kerana keserasian dan penyediaan akses kepada sumber Internet global dan telah menjadi standard untuk kerja internet. Walau bagaimanapun, timbunan protokol TCP/IP di mana-mana juga telah mendedahkan kelemahannya. Terutama kerana ini, sistem yang diedarkan terdedah kepada serangan jauh, kerana komponen mereka biasanya menggunakan saluran penghantaran data terbuka, dan penyerang bukan sahaja boleh mencuri dengar secara pasif pada maklumat yang dihantar, tetapi juga mengubah suai lalu lintas yang dihantar.

Kesukaran mengesan serangan jarak jauh dan kemudahan relatif pelaksanaan (disebabkan oleh fungsi berlebihan sistem moden) meletakkan jenis tindakan haram ini di tempat pertama dari segi tahap bahaya dan menghalang tindak balas tepat pada masanya terhadap ancaman, sebagai akibatnya penyerang meningkatkan peluang untuk berjaya melaksanakan serangan.

Klasifikasi serangan

Dengan sifat kesannya

  • pasif
  • Aktif

Kesan pasif pada sistem pengkomputeran teragih (DCS) ialah beberapa kesan yang tidak menjejaskan operasi sistem secara langsung, tetapi pada masa yang sama boleh melanggar dasar keselamatannya. Kekurangan pengaruh langsung terhadap operasi RVS membawa tepat kepada fakta bahawa pengaruh jauh pasif (RPI) sukar untuk dikesan. Contoh kemungkinan PUV tipikal dalam DCS ialah mendengar saluran komunikasi dalam rangkaian.

Kesan aktif pada DCS - kesan yang mempunyai kesan langsung ke atas operasi sistem itu sendiri (kemerosotan fungsi, perubahan dalam konfigurasi DCS, dll.), yang melanggar dasar keselamatan yang diterima pakai di dalamnya. Hampir semua jenis serangan jauh adalah pengaruh aktif. Ini disebabkan oleh hakikat bahawa sifat kesan merosakkan itu termasuk prinsip aktif. Perbezaan yang jelas antara pengaruh aktif dan pengaruh pasif adalah kemungkinan asas pengesanannya, kerana akibat pelaksanaannya beberapa perubahan berlaku dalam sistem. Dengan pengaruh pasif, sama sekali tiada kesan yang kekal (disebabkan oleh fakta bahawa penyerang melihat mesej orang lain dalam sistem, tiada apa yang akan berubah pada masa yang sama).

Dengan tujuan pengaruh

  • gangguan fungsi sistem (akses kepada sistem)
  • pelanggaran integriti sumber maklumat (IR)
  • pelanggaran kerahsiaan IR

Ciri ini, yang mana klasifikasi dibuat, pada asasnya adalah unjuran langsung bagi tiga jenis asas ancaman - penafian perkhidmatan, pendedahan dan pelanggaran integriti.

Matlamat utama yang dikejar dalam hampir mana-mana serangan adalah untuk mendapatkan akses tanpa kebenaran kepada maklumat. Terdapat dua pilihan asas untuk mendapatkan maklumat: herotan dan pemintasan. Pilihan untuk memintas maklumat bermakna mendapat akses kepadanya tanpa kemungkinan mengubahnya. Oleh itu, pemintasan maklumat membawa kepada pelanggaran kerahsiaannya. Mendengar saluran pada rangkaian adalah contoh memintas maklumat. Dalam kes ini, terdapat akses tidak sah kepada maklumat tanpa pilihan yang mungkin untuk menggantikannya. Ia juga jelas bahawa pelanggaran kerahsiaan maklumat merujuk kepada pengaruh pasif.

Keupayaan untuk menggantikan maklumat harus difahami sama ada sebagai kawalan penuh ke atas aliran maklumat antara objek sistem, atau keupayaan untuk menghantar pelbagai mesej bagi pihak orang lain. Oleh itu, adalah jelas bahawa penggantian maklumat membawa kepada pelanggaran integritinya. Pengaruh pemusnah maklumat sedemikian adalah contoh tipikal pengaruh aktif. Contoh serangan jauh yang direka untuk melanggar integriti maklumat ialah serangan jauh (RA) "Objek RVS Palsu".

Berdasarkan kehadiran maklum balas daripada objek yang diserang

  • dengan maklum balas
  • tanpa maklum balas (serangan satu arah)

Penyerang menghantar beberapa permintaan kepada objek yang diserang, yang dia harapkan akan menerima respons. Akibatnya, maklum balas muncul antara penyerang dan yang diserang, membolehkan penyerang bertindak balas secukupnya kepada semua jenis perubahan dalam objek yang diserang. Ini adalah intipati serangan jauh, dijalankan dengan kehadiran maklum balas daripada objek yang menyerang. Serangan sedemikian adalah yang paling tipikal untuk RVS.

Serangan gelung terbuka dicirikan oleh fakta bahawa mereka tidak perlu bertindak balas terhadap perubahan dalam objek yang diserang. Serangan sedemikian biasanya dilakukan dengan menghantar permintaan tunggal kepada objek yang diserang. Penyerang tidak memerlukan jawapan kepada permintaan ini. UA sedemikian juga boleh dipanggil UA satu arah. Contoh serangan satu arah ialah serangan DoS biasa.

Mengikut keadaan permulaan kesan

Pengaruh jauh, sama seperti yang lain, boleh mula berlaku hanya dalam keadaan tertentu. Terdapat tiga jenis serangan bersyarat sedemikian dalam RVS:

  • serangan atas permintaan daripada objek yang diserang
  • menyerang apabila berlakunya kejadian yang dijangka pada objek yang diserang
  • serangan tanpa syarat

Kesan daripada penyerang akan bermula dengan syarat bahawa sasaran berpotensi serangan menghantar permintaan jenis tertentu. Serangan sedemikian boleh dipanggil serangan atas permintaan daripada objek yang diserang. UA jenis ini paling tipikal untuk RVS. Contoh permintaan sedemikian di Internet ialah permintaan DNS dan ARP, dan dalam Novell NetWare - permintaan SAP.

Serangan apabila berlakunya kejadian yang dijangka pada objek yang diserang. Penyerang sentiasa memantau keadaan OS sasaran jauh serangan dan mula mempengaruhi apabila peristiwa tertentu berlaku dalam sistem ini. Objek yang diserang itu sendiri adalah pencetus serangan. Contoh peristiwa sedemikian ialah apabila sesi pengguna dengan pelayan terganggu tanpa mengeluarkan arahan LOGOUT dalam Novell NetWare.

Serangan tanpa syarat dilakukan serta-merta dan tanpa mengira keadaan sistem pengendalian dan objek yang diserang. Oleh itu, penyerang adalah pemula serangan dalam kes ini.

Jika operasi biasa sistem terganggu, matlamat lain diteruskan dan penyerang tidak dijangka mendapat akses haram kepada data. Matlamatnya adalah untuk melumpuhkan OS pada objek yang diserang dan menjadikannya mustahil untuk objek sistem lain mengakses sumber objek ini. Contoh serangan jenis ini ialah serangan DoS.

Mengikut lokasi subjek serangan berbanding objek yang diserang

  • intrasegmental
  • intersegmental

Beberapa definisi:

Sumber serangan (subjek serangan)- program (kemungkinan pengendali) mengetuai serangan dan melaksanakan kesan langsung.

hos- komputer yang merupakan elemen rangkaian.

Penghala- peranti yang mengarahkan paket pada rangkaian.

Subrangkaian ialah sekumpulan hos yang merupakan sebahagian daripada rangkaian global, berbeza kerana penghala memperuntukkan nombor subnet yang sama untuk mereka. Kita juga boleh mengatakan bahawa subnet ialah persatuan logik hos melalui penghala. Hos dalam subnet yang sama boleh berkomunikasi secara langsung antara satu sama lain tanpa menggunakan penghala.

Segmen rangkaian- penyatuan tuan rumah di peringkat fizikal.

Dari sudut pandangan serangan jauh, lokasi relatif subjek dan objek serangan adalah amat penting, iaitu, sama ada mereka berada dalam segmen yang berbeza atau sama. Semasa serangan intra-segmen, subjek dan sasaran serangan terletak dalam segmen yang sama. Dalam kes serangan intersegment, subjek dan sasaran serangan terletak dalam segmen rangkaian yang berbeza. Ciri klasifikasi ini memungkinkan untuk menilai apa yang dipanggil "darjah keterpencilan" serangan.

Ia akan ditunjukkan di bawah bahawa serangan intra-segmen adalah lebih mudah untuk dijalankan daripada serangan antara segmen. Kami juga ambil perhatian bahawa serangan jarak jauh antara segmen menimbulkan bahaya yang lebih besar daripada serangan intra-segmen. Ini disebabkan fakta bahawa dalam kes serangan intersegment, sasaran dan penyerang mungkin terletak pada jarak beribu-ribu kilometer antara satu sama lain, yang boleh menghalang langkah-langkah untuk menangkis serangan dengan ketara.

Mengikut tahap model rujukan ISO/OSI di mana impak dijalankan

  • fizikal
  • salur
  • rangkaian
  • pengangkutan
  • sesi
  • wakil
  • digunakan

Pertubuhan Piawaian Antarabangsa (ISO) mengguna pakai piawaian ISO 7498, yang menerangkan hubungan antara sistem terbuka (OSI), yang mana RBC juga tergolong. Setiap protokol komunikasi rangkaian, serta setiap program rangkaian, boleh ditayangkan dalam satu cara atau yang lain pada model 7 lapisan rujukan OSI. Unjuran berbilang peringkat ini memungkinkan untuk menerangkan fungsi yang digunakan dalam protokol rangkaian atau program dari segi model OSI. UA ialah program rangkaian, dan adalah logik untuk mempertimbangkannya dari sudut pandangan unjuran ke model rujukan ISO/OSI.

Penerangan ringkas tentang beberapa serangan rangkaian

Pemecahan data

Apabila paket data IP dihantar melalui rangkaian, paket itu boleh dibahagikan kepada beberapa serpihan. Selepas itu, apabila sampai ke destinasi, paket itu dibina semula daripada serpihan ini. Penyerang boleh memulakan penghantaran sejumlah besar serpihan, yang membawa kepada limpahan penimbal perisian pada bahagian penerima dan, dalam beberapa kes, kepada ranap sistem.

Serangan banjir ping

Serangan ini memerlukan penyerang mempunyai akses kepada saluran Internet pantas.

Program ping menghantar paket ICMP jenis ECHO REQUEST, menetapkan masa dan pengecamnya di dalamnya. Kernel mesin penerima bertindak balas kepada permintaan sedemikian dengan paket ICMP ECHO REPLY. Setelah menerimanya, ping memaparkan kelajuan paket.

Dalam mod operasi standard, paket dihantar pada selang masa yang tetap, dengan hampir tiada beban pada rangkaian. Tetapi dalam mod "agresif", banjir paket permintaan/balas gema ICMP boleh menyebabkan kesesakan pada talian kecil, menghalangnya daripada menghantar maklumat berguna.

Protokol bukan standard yang terkandung dalam IP

Paket IP mengandungi medan yang menentukan protokol paket terkapsul (TCP, UDP, ICMP). Penyerang boleh menggunakan nilai bukan standard medan ini untuk menghantar data yang tidak akan direkodkan oleh alat kawalan aliran maklumat standard.

Serangan Smurf

Serangan smurf melibatkan penghantaran permintaan ICMP siaran ke rangkaian bagi pihak komputer mangsa.

Akibatnya, komputer yang telah menerima paket penyiaran sedemikian bertindak balas kepada komputer mangsa, yang membawa kepada pengurangan ketara dalam pemprosesan saluran komunikasi dan, dalam beberapa kes, untuk melengkapkan pengasingan rangkaian yang diserang. Serangan smurf sangat berkesan dan meluas.

Tindakan balas: untuk mengenali serangan ini, adalah perlu untuk menganalisis beban saluran dan menentukan sebab penurunan daya pengeluaran.

Serangan spoofing DNS

Hasil daripada serangan ini ialah pengenalan surat-menyurat paksa antara alamat IP dan nama domain ke dalam cache pelayan DNS. Hasil daripada serangan yang berjaya, semua pengguna pelayan DNS akan menerima maklumat yang salah tentang nama domain dan alamat IP. Serangan ini dicirikan oleh sejumlah besar paket DNS dengan nama domain yang sama. Ini disebabkan oleh keperluan untuk memilih beberapa parameter pertukaran DNS.

Tindakan balas: untuk mengesan serangan sedemikian, adalah perlu untuk menganalisis kandungan trafik DNS atau menggunakan DNSSEC.

Serangan penipuan IP

Sebilangan besar serangan di Internet dikaitkan dengan memalsukan alamat IP sumber. Serangan sedemikian juga termasuk syslog spoofing, yang melibatkan penghantaran mesej kepada komputer mangsa bagi pihak komputer lain pada rangkaian dalaman. Memandangkan protokol syslog digunakan untuk mengekalkan log sistem, dengan menghantar mesej palsu kepada komputer mangsa, adalah mungkin untuk mendorong maklumat atau menutup jejak akses yang tidak dibenarkan.

Tindakan balas: pengesanan serangan yang berkaitan dengan pemalsuan alamat IP adalah mungkin dengan memantau penerimaan pada salah satu antara muka paket dengan alamat sumber antara muka yang sama atau dengan memantau penerimaan paket dengan alamat IP rangkaian dalaman pada antara muka luaran .

Pengenaan pakej

Penyerang menghantar paket dengan alamat pemulangan palsu ke rangkaian. Dengan serangan ini, penyerang boleh menukar sambungan yang diwujudkan antara komputer lain ke komputernya sendiri. Dalam kes ini, hak akses penyerang menjadi sama dengan hak pengguna yang sambungannya ke pelayan telah ditukar kepada komputer penyerang.

Menghidu - mendengar saluran

Mungkin hanya dalam segmen rangkaian tempatan.

Hampir semua kad rangkaian menyokong keupayaan untuk memintas paket yang dihantar melalui saluran rangkaian tempatan biasa. Dalam kes ini, stesen kerja boleh menerima paket yang dialamatkan kepada komputer lain pada segmen rangkaian yang sama. Oleh itu, semua pertukaran maklumat dalam segmen rangkaian menjadi tersedia kepada penyerang. Untuk berjaya melaksanakan serangan ini, komputer penyerang mesti berada dalam segmen rangkaian tempatan yang sama dengan komputer yang diserang.

Pemintasan paket pada penghala

Perisian rangkaian penghala mempunyai akses kepada semua paket rangkaian yang dihantar melalui penghala, membenarkan pemintasan paket. Untuk melakukan serangan ini, penyerang mesti mempunyai akses istimewa kepada sekurang-kurangnya satu penghala pada rangkaian. Oleh kerana begitu banyak paket biasanya dihantar melalui penghala, jumlah pemintasan mereka hampir mustahil. Walau bagaimanapun, paket individu mungkin boleh dipintas dan disimpan untuk analisis kemudian oleh penyerang. Pemintasan paling berkesan bagi paket FTP yang mengandungi kata laluan pengguna, serta e-mel.

Memaksa laluan palsu pada hos menggunakan ICMP

Di Internet terdapat protokol khas ICMP (Internet Control Message Protocol), salah satu fungsinya adalah untuk memaklumkan kepada hos tentang menukar penghala semasa. Mesej kawalan ini dipanggil ubah hala. Adalah mungkin untuk menghantar mesej ubah hala palsu daripada mana-mana hos dalam segmen rangkaian bagi pihak penghala kepada hos yang diserang. Akibatnya, jadual penghalaan semasa hos berubah dan, pada masa hadapan, semua trafik rangkaian hos ini akan berlalu, contohnya, melalui hos yang menghantar mesej ubah hala palsu. Dengan cara ini, adalah mungkin untuk secara aktif mengenakan laluan palsu dalam satu segmen Internet.

Bersama-sama dengan data biasa yang dihantar melalui sambungan TCP, piawaian ini juga menyediakan penghantaran data segera (Out Of Band). Pada peringkat format paket TCP, ini dinyatakan sebagai penunjuk segera bukan sifar. Kebanyakan PC dengan Windows dipasang mempunyai protokol rangkaian NetBIOS, yang menggunakan tiga port IP untuk keperluannya: 137, 138, 139. Jika anda menyambung ke mesin Windows melalui port 139 dan menghantar beberapa bait data OutOfBand ke sana, maka pelaksanaan NetBIOS akan tidak tahu apa yang perlu dilakukan dengan data ini, ia hanya menggantung atau but semula mesin. Untuk Windows 95, ini biasanya kelihatan seperti skrin teks biru yang menunjukkan ralat dalam pemacu TCP/IP, dan ketidakupayaan untuk bekerja dengan rangkaian sehingga OS dibut semula. NT 4.0 tanpa pek perkhidmatan but semula, NT 4.0 dengan pek ServicePack 2 ranap ke skrin biru. Berdasarkan maklumat daripada rangkaian, kedua-dua Windows NT 3.51 dan Windows 3.11 for Workgroups terdedah kepada serangan sedemikian.

Menghantar data ke port 139 membawa kepada but semula NT 4.0, atau "skrin biru kematian" dengan Pek Perkhidmatan 2 dipasang. Penghantaran data yang serupa ke 135 dan beberapa port lain membawa kepada beban yang ketara pada proses RPCSS.EXE. Pada Windows NT WorkStation ini membawa kepada kelembapan yang ketara; Windows NT Server boleh dikatakan membeku.

Penipuan hos yang dipercayai

Kejayaan pelaksanaan serangan jauh jenis ini akan membolehkan penyerang menjalankan sesi dengan pelayan bagi pihak hos yang dipercayai. (Hos yang dipercayai - stesen yang disambungkan secara sah ke pelayan). Pelaksanaan jenis serangan ini biasanya terdiri daripada menghantar paket pertukaran dari stesen penyerang bagi pihak stesen yang dipercayai di bawah kawalannya.

Teknologi pengesanan serangan
Rangkaian dan teknologi maklumat berubah dengan begitu cepat sehingga mekanisme perlindungan statik, yang termasuk sistem kawalan akses, tembok api dan sistem pengesahan, dalam banyak kes tidak dapat memberikan perlindungan yang berkesan. Oleh itu, kaedah dinamik diperlukan untuk mengesan dan mencegah pelanggaran keselamatan dengan cepat. Satu teknologi yang boleh mengesan pelanggaran yang tidak dapat dikenal pasti menggunakan model kawalan akses tradisional ialah teknologi pengesanan pencerobohan.

Pada asasnya, proses pengesanan serangan ialah proses menilai aktiviti mencurigakan yang berlaku pada rangkaian korporat. Dalam erti kata lain, pengesanan pencerobohan ialah proses mengenal pasti dan bertindak balas terhadap aktiviti mencurigakan yang ditujukan kepada sumber pengkomputeran atau rangkaian.

Kaedah untuk menganalisis maklumat rangkaian

Keberkesanan sistem pengesanan serangan sebahagian besarnya bergantung kepada kaedah yang digunakan untuk menganalisis maklumat yang diterima. Sistem pengesanan pencerobohan pertama, dibangunkan pada awal 1980-an, menggunakan kaedah statistik untuk mengesan serangan. Pada masa ini, beberapa teknik baharu telah ditambah kepada analisis statistik, bermula dengan sistem pakar dan logik kabur dan berakhir dengan penggunaan rangkaian saraf.

Kaedah statistik

Kelebihan utama pendekatan statistik ialah penggunaan alat statistik matematik yang telah dibangunkan dan terbukti dan penyesuaian kepada tingkah laku subjek.

Pertama, profil ditentukan untuk semua subjek sistem yang dianalisis. Sebarang sisihan profil yang digunakan daripada rujukan dianggap sebagai aktiviti yang tidak dibenarkan. Kaedah statistik adalah universal kerana analisis tidak memerlukan pengetahuan tentang kemungkinan serangan dan kelemahan yang mereka eksploitasi. Walau bagaimanapun, apabila menggunakan teknik ini, masalah timbul:

  • sistem "statistik" tidak sensitif kepada susunan acara; dalam sesetengah kes, peristiwa yang sama, bergantung pada susunan ia berlaku, mungkin mencirikan aktiviti yang tidak normal atau normal;
  • adalah sukar untuk menetapkan nilai sempadan (ambang) ciri yang dipantau oleh sistem pengesanan serangan untuk mengenal pasti aktiviti anomali dengan secukupnya;
  • Sistem "statistik" boleh "dilatih" oleh penyerang dari semasa ke semasa supaya tindakan serangan dilihat seperti biasa.

Ia juga harus diambil kira bahawa kaedah statistik tidak boleh digunakan dalam kes di mana tiada corak tingkah laku biasa untuk pengguna atau apabila tindakan tidak dibenarkan adalah tipikal untuk pengguna.

Sistem pakar

Sistem pakar terdiri daripada satu set peraturan yang menangkap pengetahuan seorang pakar manusia. Penggunaan sistem pakar adalah kaedah pengesanan serangan biasa di mana maklumat serangan dirumuskan dalam bentuk peraturan. Peraturan ini boleh ditulis, sebagai contoh, sebagai urutan tindakan atau sebagai tandatangan. Apabila mana-mana peraturan ini dipenuhi, keputusan dibuat tentang kehadiran aktiviti yang tidak dibenarkan. Kelebihan penting pendekatan ini ialah ketiadaan penggera palsu yang hampir lengkap.

Pangkalan data sistem pakar harus mengandungi skrip untuk kebanyakan serangan yang diketahui pada masa ini. Untuk kekal sentiasa dikemas kini, sistem pakar memerlukan pengemaskinian berterusan pangkalan data. Walaupun sistem pakar menawarkan keterlihatan yang baik ke dalam data log, kemas kini yang diperlukan mungkin sama ada diabaikan atau dilakukan secara manual oleh pentadbir. Sekurang-kurangnya, ini menghasilkan sistem pakar dengan keupayaan yang lemah. Dalam kes yang paling teruk, kekurangan penyelenggaraan yang betul mengurangkan keselamatan keseluruhan rangkaian, mengelirukan penggunanya tentang tahap keselamatan sebenar.

Kelemahan utama adalah ketidakupayaan untuk menangkis serangan yang tidak diketahui. Lebih-lebih lagi, walaupun perubahan kecil kepada serangan yang sudah diketahui boleh menjadi halangan serius kepada fungsi sistem pengesanan serangan.

Rangkaian saraf

Kebanyakan kaedah pengesanan serangan moden menggunakan beberapa bentuk analisis ruang terkawal, sama ada berasaskan peraturan atau pendekatan statistik. Ruang terkawal boleh menjadi log atau trafik rangkaian. Analisis adalah berdasarkan set peraturan pratakrif yang dibuat oleh pentadbir atau sistem pengesanan pencerobohan itu sendiri.

Sebarang pemisahan serangan dari semasa ke semasa atau antara berbilang penyerang adalah sukar untuk dikesan menggunakan sistem pakar. Disebabkan oleh pelbagai jenis serangan dan penggodam, walaupun ad hoc, kemas kini berterusan kepada pangkalan data peraturan sistem pakar tidak akan menjamin pengenalpastian tepat bagi julat penuh serangan.

Penggunaan rangkaian saraf merupakan salah satu cara untuk mengatasi masalah sistem pakar ini. Tidak seperti sistem pakar, yang boleh memberi pengguna jawapan yang pasti tentang pematuhan ciri-ciri yang dipertimbangkan dengan peraturan yang tertanam dalam pangkalan data, rangkaian saraf menganalisis maklumat dan memberi peluang untuk menilai sama ada data itu konsisten dengan ciri-cirinya. dilatih untuk mengenali. Walaupun tahap korespondensi perwakilan rangkaian saraf boleh mencapai 100%, kebolehpercayaan pilihan bergantung sepenuhnya kepada kualiti sistem dalam menganalisis contoh tugas.

Pertama, rangkaian saraf dilatih untuk mengenal pasti dengan betul menggunakan sampel contoh domain yang telah dipilih sebelumnya. Tindak balas rangkaian saraf dianalisis dan sistem diselaraskan sedemikian rupa untuk mencapai hasil yang memuaskan. Sebagai tambahan kepada tempoh latihan awal, rangkaian saraf memperoleh pengalaman dari semasa ke semasa kerana ia menganalisis data khusus domain.

Kelebihan penting rangkaian saraf dalam mengesan penyalahgunaan ialah keupayaan mereka untuk "mempelajari" ciri-ciri serangan yang disengajakan dan mengenal pasti elemen yang tidak seperti yang diperhatikan pada rangkaian sebelum ini.

Setiap kaedah yang diterangkan mempunyai beberapa kelebihan dan kekurangan, jadi kini hampir sukar untuk mencari sistem yang melaksanakan hanya satu daripada kaedah yang diterangkan. Sebagai peraturan, kaedah ini digunakan dalam kombinasi.

Kaspersky Internet Security melindungi komputer anda daripada serangan rangkaian.

Serangan rangkaian adalah pencerobohan ke dalam sistem pengendalian komputer jauh. Penyerang melancarkan serangan rangkaian untuk mengawal sistem pengendalian, menyebabkan penafian perkhidmatan atau mendapatkan akses kepada maklumat yang dilindungi.

Serangan rangkaian ialah tindakan berniat jahat yang dilakukan oleh penyerang sendiri (seperti pengimbasan port, meneka kata laluan), serta tindakan yang dilakukan oleh program hasad yang dipasang pada komputer yang diserang (seperti memindahkan maklumat yang dilindungi kepada penyerang). Perisian hasad yang terlibat dalam serangan rangkaian termasuk beberapa kuda Trojan, alat serangan DoS, skrip berniat jahat dan cecacing rangkaian.

Serangan rangkaian boleh dibahagikan kepada jenis berikut:

  • Pengimbasan port. Serangan rangkaian jenis ini biasanya merupakan peringkat persediaan untuk serangan rangkaian yang lebih berbahaya. Penyerang mengimbas port UDP dan TCP yang digunakan oleh perkhidmatan rangkaian pada komputer yang diserang dan menentukan tahap kerentanan komputer yang diserang kepada jenis serangan rangkaian yang lebih berbahaya. Pengimbasan port juga membolehkan penyerang menentukan sistem pengendalian pada komputer sasaran dan memilih serangan rangkaian yang sesuai untuknya.
  • Serangan DoS, atau serangan rangkaian yang menyebabkan penafian perkhidmatan. Ini adalah serangan rangkaian, akibatnya sistem pengendalian yang diserang menjadi tidak stabil atau tidak dapat dikendalikan sepenuhnya.

    Terdapat jenis utama serangan DoS berikut:

    • Menghantar paket rangkaian yang dibuat khas ke komputer jauh yang tidak dijangka oleh komputer ini, menyebabkan sistem pengendalian tidak berfungsi atau berhenti.
    • Menghantar sejumlah besar paket rangkaian ke komputer jauh dalam tempoh yang singkat. Semua sumber komputer yang diserang digunakan untuk memproses paket rangkaian yang dihantar oleh penyerang, itulah sebabnya komputer berhenti melaksanakan fungsinya.
  • Serangan rangkaian-pencerobohan. Ini adalah serangan rangkaian yang matlamatnya adalah untuk "merampas" sistem pengendalian komputer yang diserang. Ini adalah jenis serangan rangkaian yang paling berbahaya, kerana jika ia berjaya, sistem pengendalian berada di bawah kawalan penyerang sepenuhnya.

    Jenis serangan rangkaian ini digunakan dalam kes di mana penyerang perlu mendapatkan data sulit daripada komputer jauh (contohnya, nombor kad bank atau kata laluan) atau menggunakan komputer jauh untuk tujuannya sendiri (contohnya, untuk menyerang komputer lain daripada ini. komputer) tanpa pengetahuan pengguna.

  1. Pada tab Perlindungan dalam blok Perlindungan terhadap serangan rangkaian nyahtanda kotak.

Anda juga boleh mendayakan Perlindungan Serangan Rangkaian dalam Pusat Pertahanan. Melumpuhkan komponen perlindungan atau perlindungan komputer anda dengan ketara meningkatkan risiko komputer anda dijangkiti, itulah sebabnya maklumat tentang melumpuhkan perlindungan dipaparkan dalam Pusat Perlindungan.

Penting: Jika anda telah mematikan Perlindungan Serangan Rangkaian, kemudian selepas memulakan semula Kaspersky Internet Security atau but semula sistem pengendalian, ia tidak akan dihidupkan secara automatik dan anda perlu menghidupkannya secara manual.

Apabila aktiviti rangkaian berbahaya dikesan, Kaspersky Internet Security secara automatik menambah alamat IP komputer yang menyerang ke senarai komputer yang disekat jika komputer ini tidak ditambahkan pada senarai komputer yang dipercayai.

  1. Dalam bar menu, klik pada ikon program.
  2. Dalam menu yang terbuka, pilih Tetapan.

    Tetingkap tetapan program akan dibuka.

  3. Pada tab Perlindungan dalam blok Perlindungan terhadap serangan rangkaian semak kotak Dayakan Perlindungan Serangan Rangkaian.
  4. Klik pada butang Pengecualian.

    Tetingkap akan dibuka dengan senarai komputer yang dipercayai dan senarai komputer yang disekat.

  5. Buka penanda halaman Komputer berkunci.
  6. Jika anda pasti komputer yang disekat tidak menimbulkan ancaman, pilih alamat IPnya dalam senarai dan klik butang Nyahsekat.

    Tetingkap pengesahan akan dibuka.

  7. Pada tetingkap pengesahan, lakukan salah satu daripada yang berikut:
    • Jika anda ingin membuka kunci komputer anda, klik pada butang Buka Kunci.

      Kaspersky Internet Security menyahsekat alamat IP.

    • Jika anda mahu Kaspersky Internet Security tidak menyekat alamat IP yang dipilih, klik butang Nyahsekat dan tambah pada pengecualian.

      Kaspersky Internet Security akan menyahsekat alamat IP dan menambahkannya ke senarai komputer yang dipercayai.

  8. Klik pada butang Simpan untuk menyimpan perubahan anda.

Anda boleh membuat senarai komputer yang dipercayai. Kaspersky Internet Security tidak menyekat alamat IP komputer ini secara automatik apabila ia mengesan aktiviti rangkaian berbahaya yang berasal daripadanya.

Apabila serangan rangkaian dikesan, Kaspersky Internet Security menyimpan maklumat mengenainya dalam laporan.

  1. Buka menu Perlindungan.
  2. Pilih Laporan.

    Tetingkap laporan Kaspersky Internet Security akan dibuka.

  3. Buka penanda halaman Perlindungan terhadap serangan rangkaian.

Nota: Jika komponen Perlindungan Serangan Rangkaian telah menyelesaikan ralat, anda boleh melihat laporan dan cuba memulakan semula komponen tersebut. Jika anda tidak dapat menyelesaikan isu tersebut, sila hubungi Sokongan Teknikal.

Pada masa ini, DDoS ialah salah satu jenis serangan rangkaian yang paling mudah diakses dan meluas. Beberapa minggu lalu, hasil kajian tentang kelaziman DDoS yang dijalankan oleh Arbor Networks dan Verisign Inc. telah diterbitkan.

Hasil penyelidikan sangat mengagumkan:
Setiap hari, penyerang melakukan lebih daripada 2,000 serangan DDoS;
Kos serangan selama seminggu ke atas pusat data purata hanya $150;
Lebih separuh daripada peserta tinjauan mengalami masalah akibat DDoS;
Sepersepuluh peserta tinjauan menjawab bahawa syarikat mereka mengalami serangan DDoS lebih daripada enam kali setahun;
Kira-kira separuh daripada syarikat mengalami masalah akibat DDoS, purata masa serangan adalah kira-kira 5 jam;
Serangan jenis ini adalah salah satu sebab utama penutupan pelayan dan masa henti.

Jenis utama serangan DDoS

Secara umum, terdapat beberapa jenis DDoS, dan di bawah kami telah cuba menyenaraikan kebanyakan serangan biasa, dengan penerangan tentang prinsip operasi setiap jenis serangan.

banjir UDP

Salah satu jenis serangan yang paling berkesan, dan pada masa yang sama, mudah. Protokol UDP digunakan, yang tidak memerlukan penubuhan sesi dengan menghantar sebarang jenis respons. Dalam susunan rawak, penyerang menyerang port pelayan, menghantar sejumlah besar paket data. Akibatnya, mesin mula memeriksa sama ada port yang tiba di mana paket itu digunakan oleh mana-mana aplikasi. Dan kerana terdapat banyak pakej sedemikian, mesin dengan kuasa apa pun tidak dapat menampung tugas itu. Akibatnya, semua sumber mesin "dimakan", dan pelayan "turun".

Cara paling mudah untuk melindungi daripada jenis serangan ini ialah menyekat trafik UDP.

banjir ICMP

Penyerang sentiasa melakukan ping ke pelayan mangsa, di mana penyerang sentiasa bertindak balas. Terdapat sejumlah besar ping, dan, akibatnya, sumber pelayan digunakan dan mesin menjadi tidak dapat diakses.

Sebagai langkah perlindungan, anda boleh menggunakan menyekat permintaan ICMP pada peringkat tembok api. Malangnya, dalam kes ini, anda tidak akan dapat ping mesin atas sebab yang jelas.

banjir SYN

Serangan jenis ini melibatkan penghantaran paket SYN ke pelayan mangsa. Akibatnya, pelayan bertindak balas dengan paket SYN-ACK, dan mesin penyerang harus menghantar respons ACK, tetapi ia tidak dihantar. Hasilnya ialah pembukaan dan penggantungan sejumlah besar sambungan, yang ditutup hanya selepas tamat masa tamat.

Apabila had pada bilangan permintaan/tindak balas melebihi, pelayan mangsa berhenti menerima sebarang jenis paket dan menjadi tidak tersedia.

banjir MAC

Jenis serangan yang luar biasa di mana banyak jenis peralatan rangkaian disasarkan. Penyerang mula menghantar sejumlah besar paket Ethernet dengan alamat MAC yang berbeza sama sekali. Akibatnya, suis mula menempah sejumlah sumber untuk setiap pakej, dan jika terdapat banyak pakej, suis memperuntukkan semua permintaan yang tersedia dan membeku. Senario kes terburuk ialah kegagalan jadual penghalaan.

Ping Kematian

Serangan jenis ini bukan masalah utama sekarang, walaupun ia merupakan jenis serangan biasa. Maksud serangan jenis ini ialah limpahan penimbal memori kerana melebihi saiz paket IP maksimum yang tersedia, dan akibatnya, pelayan dan peralatan rangkaian enggan menyediakan sebarang jenis paket.

Slowloris

Serangan terfokus jenis ini membolehkan pasukan kecil mencapai hasil yang besar. Dalam erti kata lain, menggunakan pelayan yang bukan yang paling berkuasa, anda boleh menggunakan peralatan yang lebih produktif. Tidak perlu menggunakan protokol lain. Dengan jenis serangan ini, pelayan penyerang membuka bilangan maksimum sambungan HTTP dan cuba memastikannya dibuka selama mungkin.

Sudah tentu, bilangan sambungan pada pelayan yang terdedah kepada serangan berakhir, dan permintaan berguna tidak lagi diterima dan diproses.

Serangan yang dicerminkan

Jenis serangan yang luar biasa apabila pelayan penyerang menghantar paket dengan IP penghantar palsu, dan penghantaran pergi ke bilangan mesin maksimum yang mungkin. Semua pelayan yang terjejas oleh tindakan sedemikian menghantar respons kepada IP yang dinyatakan dalam paket, akibatnya penerima tidak dapat menampung beban dan membeku. Dalam kes ini, prestasi pelayan penyerang boleh 10 kali lebih rendah daripada kuasa serangan yang dirancang. Pelayan yang menghantar 100 Mbps permintaan palsu boleh memusnahkan saluran gigabit pelayan mangsa sepenuhnya.

Kemerosotan

Dengan jenis serangan ini, pelayan penyerang mensimulasikan tindakan orang sebenar atau keseluruhan penonton. Sebagai contoh pilihan yang paling mudah, anda boleh menghantar permintaan untuk halaman sumber yang sama dan melakukan ini beribu-ribu kali. Cara paling mudah untuk menyelesaikan masalah ialah melaporkan ralat buat sementara waktu dan menyekat halaman yang diserang.

Jenis serangan yang lebih kompleks ialah permintaan untuk sejumlah besar sumber pelayan yang berbeza, termasuk fail media, halaman dan segala-galanya, menyebabkan pelayan mangsa berhenti berfungsi.

Serangan kompleks jenis ini agak sukar untuk ditapis, dan akibatnya, anda perlu menggunakan program dan perkhidmatan khusus.

Serangan sifar hari

Ini adalah nama untuk serangan yang mengeksploitasi kelemahan/kelemahan perkhidmatan yang sehingga kini tidak diketahui. Untuk memerangi masalah ini, adalah perlu untuk mengkaji jenis serangan ini supaya sesuatu boleh dilakukan.

Kesimpulan: jenis serangan yang paling kompleks digabungkan, di mana pelbagai jenis DDoS digunakan. Lebih kompleks kombinasi, lebih sukar untuk bertahan. Masalah biasa untuk DDoS, atau lebih tepatnya untuk mangsa DDoS, ialah ketersediaan umum jenis serangan ini. Terdapat sejumlah besar aplikasi dan perkhidmatan di Internet yang membolehkan anda melakukan serangan kuat secara percuma atau hampir percuma.



ARTIKEL BERKAITAN