Види хакерських атак. Основні види DDoS-атак та принцип дії таких атак

В даний час DDoS - один з найбільш доступних та поширених видів мережевих атак. Декілька тижнів тому були опубліковані результати досліджень про поширеність DDoS, проведених компаніями Arbor Networks, Verisign Inc.

Результати досліджень вражають:
Щодня зловмисники проводять понад 2000 DDoS-атак;
Вартість тижневої атаки на середній величині ЦОД становить лише 150 доларів США;
Більше половини учасників опитування мали проблеми через DDoS;
Десята частина учасників опитування відповіла, що їхні компанії страждали від DDoS-атак понад шість разів на рік;
Близько половини компаній мали проблеми через DDoS, час середньої атаки — близько 5 годин;
Атаки такого типу є однією з основних причин зупинки та простою серверів.

Основні види DDoS-атак

Загалом різновидів DDoS досить багато, і нижче ми постаралися перерахувати більшість типових атак, з описом принципу дії кожного типу атаки.

UDP флуд

Один з найбільш дієвих і водночас простих видів атак. Використовується протокол UDP, де не потрібно встановлення сесії з відправкою будь-якого типу відповіді. У випадковому порядку зловмисник атакує порти сервера, надсилаючи величезну кількість пакетів даних. В результаті машина починає перевіряти, чи використовується порт, на який приходить пакет будь-яким додатком. А оскільки таких пакетів маса, то машина будь-якої потужності просто не справляється із завданням. Як результат – усі ресурси машини «з'їдені», і сервер «лягає».

Найпростіший спосіб захисту від такого типу атак – це блокування UDP трафіку.

ICMP флуд

Зловмисник постійно пінгує сервер жертви, під час чого останній постійно віддає відповіді. Пінг величезна кількість, і, як результат - з'їдаються ресурси сервера, і машина стає недоступною.

Як захист можна використовувати блокування ICMP-запитів, на рівні брандмауера. На жаль, у такому разі пінгувати машину не вийде зі зрозумілих причин.

SYN флуд

У цьому типі атаки використовується відправлення SYN-пакета серверу жертви. Як результат – сервер відповідає пакетом SYN-ACK, а машина зловмисника має відправити ACK-відповідь, але він не відправляється. Результат - відкриття та підвисання величезної кількості з'єднань, які закриваються тільки після закінчення таймууту.

При перевищенні кількості запитів/відповідей сервер жертви перестає приймати пакети будь-якого типу, і стає недоступним.

MAC флуд

Незвичайний тип атаки, в якому об'єктом стає мережеве обладнання багатьох типів. Зловмисник починає відправляти велику кількість Ethernet-пакетів з різними MAC-адресами. Як результат - свитч починає резервувати під кожен з пакетів певну кількість ресурсів, і якщо пакетів багато, то свитч виділяє всі доступні запити і підвисає. Найгірший варіант – збій таблиці маршрутизації.

Ping of Death

Зараз цей тип атак не є серйозною проблемою, хоча раніше це був поширений варіант атаки. Сенс такого типу атаки – переповнення буфера пам'яті через перевищення максимально доступного розміру IP пакета, і як результат – відмова сервера та мережного обладнання від обслуговування будь-якого типу пакетів.

Slowloris

Сфокусована атака такого типу дозволяє малими силами досягти великих результатів. Іншими словами, використовуючи не найпотужніший сервер, можна «покласти» набагато продуктивніше обладнання. При цьому не потрібно використовувати інші протоколи. При такому типі атак сервер зловмисника відкриває максимальну кількість НТТР-з'єднань і намагається тримати їх відкритими якомога довше.

Само собою, кількість підключень на сервері, схильному до атаки, закінчується, і корисні запити перестають прийматися і оброблятися.

Відбиті атаки

Незвичайний тип атаки, коли сервер зловмисника відправляє пакети з фальшивим IP відправником, причому відправка йде максимально можливою кількістю машин. Усі порушені такими діями сервера відправляють відповідь на укзаний у пакеті IP, у результаті одержувач не справляється з навантаженням і «підвисає». При цьому продуктивність сервера атакуючого може бути в 10 разів нижче за плановану потужність атаки. Сервер, що надсилає 100 Мбіт/сек помилкових запитів, може повністю покласти гігабітний канал сервера жертви.

Деградація

За такого типу атаки сервер зловмисника симулює дії реальної людини чи цілої аудиторії. Як приклад найпростішого варіанту можна відсилати запити для однієї і тієї ж сторінки ресурсу, причому робити це тисячі разів. Найпростіший спосіб вирішення проблеми - тимчасове повідомлення про помилку з блокуванням сторінки, що атакується.

Більш складний тип атаки - запит великої кількості різних ресурсів сервера, включаючи медіафайли, сторінки та інше, у результаті сервер жертви перестає працювати.

Складні атаки такого типу досить складно відфільтрувати, як наслідок – доводиться використовувати спеціалізовані програми та сервіси.

Атака нульового дня

Так називають атаки, де використовуються невідомі досі вразливості/слабкі місця сервісу. Для боротьби з проблемою необхідно вивчити такий тип атаки, щоб можна було щось зробити.

Висновок: найбільш складним типом атак є комбіновані, де використовуються різні види DDoS. Чим складніша комбінація, тим складніше від неї захиститися. Загальною проблемою для DDoS, вірніше для жертв DDoS, є загальнодоступність такого типу атак. У Мережі є велика кількість програм та сервісів, що дозволяють безкоштовно або майже безкоштовно здійснювати потужні атаки.

Види атак

Проникнення у комп'ютерну мережу здійснюється у формі атак.

Атака – це подія, у якому сторонні особи намагаються проникнути всередину чужих мереж. Сучасна мережева атака найчастіше передбачає використання вразливих місць програмного забезпечення. Одними з поширених на початку 2000-х років були точкові атаки на кшталт «відмова в обслуговуванні», DoS (Dental of Service) та розподілені атаки DDoS (Distributed DoS). Атака DoS робить об'єкт нападу недоступним для звичайного застосування за рахунок перевищення допустимих меж функціонування такого мережного пристрою. DoS – атака відноситься до точкової (зосередженої), тому що надходить від одного джерела. У випадку розподіленої DDoS, напад здійснюється з безлічі джерел, розподілених у просторі, що часто належать до різних мереж. Декілька років тому став застосовуватися термін шкідливий програмний код ВПК, який позначає віруси, черв'яки, троянські системи, засоби для мережевих атак, розсилку спаму та інші небажані для користувача дії. Враховуючи різноманітний характер загроз, сучасні системи захисту стали багаторівневими та набули комплексного характеру. Мережеві черв'яки розповсюджують свої копії по комп'ютерних мережах за допомогою електронної пошти, обміну повідомленнями. Найбільш поширені сьогодні троянські програми, які здійснюють несанкціоновані дії: вони руйнують дані, використовують ресурси комп'ютерів у зловмисних цілях. До найнебезпечніших троянських програм ставляться шпигунське програмне забезпечення. Воно збирає інформацію про всі дії користувача, а потім непомітно йому передає цю інформацію зловмисникам. Рік 2007 можна назвати роком смерті некомерційних шкідливих програм. Ніхто вже не розробляє ці програми для самовираження. Можна зазначити, що у 2007 році жодна шкідлива програма не мала б під собою фінансового підґрунтя. Однією з нових шкідливих програм вважається "Штормовий черв'як" (Storm Worm), який з'явився в січні 2007 року. Для поширення черв'як використовував як традиційні можливості, наприклад, e-mail, так і розповсюдження у вигляді відеофайлів. Техніка приховування своєї присутності у системі (руткіти) можуть застосовуватися у троянських програмах, а й у файлових вірусах. Шкідливі програми тепер прагнуть вижити в системі навіть після їх виявлення.

Одним із небезпечних способів приховування їхньої присутності - використання технології зараження завантажувального сектора жорсткого диска – так звані «буткіти». Така шкідлива програма може отримати керування ще до завантаження основної частини операційної системи.

Коло проблем безпеки вже не обмежується завданням захисту від вірусів, із якими доводилося стикатися приблизно п'ять років тому. Небезпека внутрішніх витоків у інформації стала серйознішою, ніж зовнішні загрози. Крім того, з початком XXI століття метою комп'ютерної злочинності стало розкрадання економічної інформації, банківських рахунків, порушення працездатності інформаційних систем конкурентів, масове розсилання реклами. Не меншу, а часом навіть більшу загрозу для корпоративних IT-систем становлять інсайдери – працівники компаній, які мають доступ до конфіденційної інформації та використовують її у несприятливих цілях. Багато експертів вважають, що збитки, завдані інсайдерами, не менш значні, ніж шкідливі ПЗ. Характерно, що значна частина витоків інформації відбувається не з вини зловмисних дій співробітників, а через їхню неуважність. Головними технічними засобами боротьби з подібними факторами мають бути засоби автентифікації та адміністрування доступу до даних. Тим не менш, кількість інцидентів продовжує зростати (за останні роки приблизно на 30% на рік). Поступово засоби захисту від витоків/інсайдерів починають інтегруватись у загальну систему захисту інформації. Наприкінці наведемо узагальнену класифікацію мережевих загроз (Рис. 11.3)

Лекція 33 Види та типи мережевих атак

Лекція 33

Тема: Види та типи мережевих атак

Віддалена мережна атака - інформаційний вплив на розподілену обчислювальну систему, що здійснюється програмно по каналах зв'язку.

Вступ

Для організації комунікацій у неоднорідному мережному середовищі застосовуються набір протоколів TCP/IP, забезпечуючи сумісність між комп'ютерами різних типів. Цей набір протоколів завоював популярність завдяки сумісності та наданню доступу до ресурсів глобальної мережі Інтернет та став стандартом для міжмережевої взаємодії. Однак повсюдне поширення стека протоколів TCP/IP оголило його слабкі сторони. Особливо через це віддаленим атакам схильні розподілені системи, оскільки їх компоненти зазвичай використовують відкриті канали передачі даних, і порушник може не тільки проводити пасивне прослуховування інформації, що передається, але і модифікувати переданий трафік.

Труднощі виявлення проведення віддаленої атаки та відносна простота проведення (через надмірну функціональність сучасних систем) виводить цей вид неправомірних дій на перше місце за ступенем небезпеки та перешкоджає своєчасному реагуванню на здійснену загрозу, внаслідок чого у порушника збільшуються шанси успішної реалізації атаки.

Класифікація атак

За характером впливу

Пасивне

Активне

Пасивний вплив на розподілену обчислювальну систему (РВС) є деяким впливом, що не надає прямого впливу на роботу системи, але в той же час здатне порушити її безпекову політику. Відсутність прямого впливу на роботу РВС призводить саме до того, що пасивний дистанційний вплив (ПУВ) важко виявити. Можливим прикладом типового ПУВ в РВС є прослуховування каналу зв'язку в мережі.

Активне вплив на РВС - вплив, надає прямий вплив працювати саму систему (порушення працездатності, зміна зміни РВС тощо. буд.), яке порушує політику безпеки, прийняту у ній. Активними впливами є майже всі типи віддалених атак. Пов'язано це з тим, що в саму природу впливу, що завдає шкоди, включається активний початок. Явна відмінність активного впливу пасивного - важлива можливість його виявлення, оскільки у його здійснення у системі відбуваються деякі зміни. При пасивному впливі, не залишається зовсім ніяких слідів (через те, що атакуючий перегляне чуже повідомлення у системі, у той самий момент не зміниться нічого).

За метою впливу

Порушення функціонування системи (доступу до системи)

Порушення цілісності інформаційних ресурсів (ІР)

Порушення конфіденційності ІР

Ця ознака, за якою проводиться класифікація, є пряма проекція трьох базових різновидів загроз - відмови в обслуговуванні, розкриття та порушення цілісності.

Головна мета, яку переслідують практично за будь-якої атаки - отримання несанкціонованого доступу до інформації. Існують два важливі варіанти отримання інформації: спотворення і перехоплення. Варіант перехоплення інформації означає отримання доступу до неї без можливості її зміни. Перехоплення інформації призводить, отже, порушення її конфіденційності. Прослуховування каналу в мережі – приклад перехоплення інформації. І тут є нелегітимний доступом до інформації без можливих варіантів її заміни. Очевидно також, що порушення конфіденційності інформації стосується пасивних впливів.

Можливість підміни інформації слід розуміти як повний контроль над потоком інформації між об'єктами системи, або можливість передачі різних повідомлень від чужого імені. Отже, відомо, що заміна інформації призводить до порушення її цілісності. Така інформаційна руйнівна дія є характерним прикладом активного впливу. Прикладом віддаленої атаки, призначеної порушення цілісності інформації, може послужити віддалена атака (УА) «Помилковий об'єкт РВС».

За наявності зворотного зв'язку з об'єктом, що атакується

Зі зворотним зв'язком

Без зворотного зв'язку (односпрямована атака)

Атакуючий відправляє деякі запити на об'єкт, що атакується, на які очікує отримати відповідь. Отже, між атакуючим і атакованим з'являється зворотний зв'язок, що дозволяє першому адекватно реагувати на всілякі зміни на об'єкті, що атакується. У цьому суть віддаленої атаки, що здійснюється за наявності зворотного зв'язку з об'єктом, що атакує. Подібні атаки є найбільш характерними для РВС.

Атаки без зворотного зв'язку характерні тим, що їм не потрібно реагувати на зміни на об'єкті, що атакується. Такі атаки зазвичай здійснюються за допомогою передачі на об'єкт, що атакується, одиночних запитів. Відповіді на ці запити атакуючому не потрібні. Подібну УА можна назвати також односпрямованою УА. Прикладом односпрямованих атак є типова УА DoS-атака.

За умовою початку здійснення впливу

Віддалений вплив, як і будь-яке інше, може почати здійснюватися тільки за певних умов. У РВС існують три види таких умовних атак:

Атака за запитом від об'єкта, що атакується.

Атака щодо настання очікуваної події на об'єкті, що атакується.

Безумовна атака

Дія з боку атакуючого почнеться за умови, що потенційна мета атаки передасть запит певного типу. Таку атаку можна назвати атакою за запитом від об'єкта, що атакується. Цей тип УА найбільш характерний для РВС. Прикладом таких запитів у мережі Інтернет може бути DNS- і ARP-запити, а Novell NetWare - SAP-запрос.

Атака щодо настання очікуваної події на об'єкті, що атакується. Атакуючий безперервно спостерігає станом ОС віддаленої мети атаки і починає вплив у разі конкретної події у цій системі. Атакований об'єкт сам є ініціатором початку атаки. Прикладом такої події може бути переривання сеансу роботи користувача з сервером без видачі команди LOGOUT Novell NetWare.

Безумовна атака здійснюється негайно і безвідносно до стану операційної системи та об'єкта, що атакується. Отже, атакуючий є ініціатором початку атаки у разі.

При порушенні нормальної працездатності системи переслідуються інші цілі та отримання атакуючим незаконного доступу до даних не передбачається. Його метою є виведення з ладу ОС на об'єкті, що атакується, і неможливість доступу для інших об'єктів системи до ресурсів цього об'єкта. Прикладом атаки такого виду може бути УА «DoS-атака».

За розташуванням суб'єкта атаки щодо об'єкта, що атакується

Внутрішньосегментне

Міжсегментне

Деякі визначення:

Джерело атаки (суб'єкт атаки) - програма (можливо оператор), що веде атаку та здійснює безпосередній вплив.

Хост (host) – комп'ютер, що є елементом мережі.

Маршрутизатор (router) – пристрій, який забезпечує маршрутизацію пакетів у мережі.

Підмережею (subnetwork) називається група хостів, що є частиною глобальної мережі, що відрізняються тим, що маршрутизатором для них виділено однаковий номер підмережі. Також можна сказати, що підмережа є логічним об'єднанням хостів за допомогою маршрутизатора. Хости всередині однієї підмережі можуть безпосередньо взаємодіяти між собою, не задіявши маршрутизатор.

Сегмент мережі - об'єднання хостів фізично.

З точки зору віддаленої атаки вкрай важливим є взаємне розташування суб'єкта та об'єкта атаки, тобто вони знаходяться в різних або в однакових сегментах. Під час внутрішньосегментної атаки суб'єкт і об'єкт атаки розташовуються в одному сегменті. У разі міжсегментної атаки суб'єкт та об'єкт атаки знаходяться у різних мережевих сегментах. Ця класифікаційна ознака дає можливість судити про так звану «ступінь віддаленості» атаки.

Далі буде показано, що практично внутрішньосегментну атаку здійснити набагато простіше ніж міжсегментну. Зазначимо так само, що міжсегментна віддалена атака становить значно більшу небезпеку, ніж внутрішньосегментна. Це пов'язано з тим, що у випадку міжсегментної атаки об'єкт її і безпосередньо атакуючий можуть перебувати на відстані багатьох тисяч кілометрів один від одного, що може суттєво перешкодити заходам відображення атаки.

За рівнем еталонної моделі ISO/OSI, на якому здійснюється вплив

Фізичний

Канальний

Мережевий

Транспортний

Сеансовий

Представницький

Прикладний

Міжнародною організацією зі стандартизації (ISO) було прийнято стандарт ISO 7498, який описує взаємодію відкритих систем (OSI), до яких належать також РВС. Кожен мережевий протокол обміну, як і кожну мережеву програму, вдається так чи інакше спроектувати на еталонну 7-рівневу модель OSI. Така багаторівнева проекція дає можливість описати в термінах моделі OSI функції, що використовуються в мережевому протоколі або програмі. УА - мережна програма, і логічно розглядати її з погляду проекції на еталонну модель ISO/OSI.

Короткий опис деяких мережевих атак

Фрагментація даних

При передачі пакета даних протоколу IP через мережу може здійснюватися поділ цього пакета кілька фрагментів. Згодом, при досягненні адресата пакет відновлюється з цих фрагментів. Зловмисник може ініціювати посилку великої кількості фрагментів, що призводить до переповнення програмних буферів на приймальній стороні та, у ряді випадків, до аварійного завершення системи.

Атака Ping flooding

Ця атака вимагає від зловмисника доступу до швидких каналів до Інтернету.

ping посилає ICMP-пакет типу ECHO REQUEST, виставляючи в ньому час і його ідентифікатор. Ядро машини-одержувача відповідає на такий запит пакетом ICMP ECHO REPLY. Отримавши його, ping видає швидкість проходження пакета.

При стандартному режимі роботи пакети надсилаються через деякі проміжки часу, практично не навантажуючи мережу. Але в «агресивному» режимі потік ICMP echo request/reply-пакетів може спричинити навантаження невеликої лінії, позбавивши її здатності передавати корисну інформацію.

Нестандартні протоколи, інкапсульовані в ІР

Пакет IP містить поле, що визначає протокол інкапсульованого пакета (TCP, UDP, ICMP). Зловмисники можуть використовувати нестандартне значення даного поля передачі даних, які не фіксуватимуться стандартними засобами контролю інформаційних потоків.

Атака smurf

Атака smurf полягає у передачі в мережу широкомовних ICMP запитів від імені комп'ютера – жертви.

В результаті комп'ютери, що прийняли такі широкомовні пакети, відповідають комп'ютеру-жертві, що призводить до істотного зниження пропускної спроможності каналу зв'язку і, у ряді випадків, до повної ізоляції мережі, що атакується. Атака smurf винятково ефективна та поширена.

Протидія: для розпізнавання цієї атаки необхідно аналізувати завантаження каналу та визначати причини зниження пропускної спроможності.

Атака DNS spoofing

Результатом даної атаки є внесення відповідності, що нав'язується між IP-адресою і доменним ім'ям в кеш DNS сервера. В результаті успішного проведення такої атаки всі користувачі DNS сервера отримають неправильну інформацію про доменні імена та IP-адреси. Дана атака характеризується великою кількістю DNS пакетів з тим самим доменним ім'ям. Це пов'язано з необхідністю підбору деяких параметрів обміну DNS.

Протидія: для виявлення такої атаки необхідно аналізувати вміст трафіку DNS або використовувати DNSSEC.

Атака IP spoofing

Велика кількість атак у мережі Інтернет пов'язана з заміною вихідної IP-адреси. До таких атак відноситься і syslog spoofing, що полягає у передачі на комп'ютер-жертву повідомлення від імені іншого комп'ютера внутрішньої мережі. Оскільки протокол syslog використовується для ведення системних журналів, шляхом надсилання хибних повідомлень на комп'ютер-жертву можна нав'язати інформацію або замінити сліди несанкціонованого доступу.

Протидія: виявлення атак, пов'язаних із заміною IP-адрес, можливе при контролі отримання на одному з інтерфейсів пакета з вихідною адресою цього ж інтерфейсу або при контролі отримання на зовнішньому інтерфейсі пакетів з IP-адресами внутрішньої мережі.

Нав'язування пакетів

Зловмисник відправляє в мережу пакети з хибною зворотною адресою. За допомогою цієї атаки зловмисник може перемикати на свій комп'ютер з'єднання між іншими комп'ютерами. При цьому права доступу зловмисника стають рівними правам того користувача, з'єднання якого з сервером було переключено на комп'ютер зловмисника.

Sniffing - прослуховування каналу

Можливо лише у сегменті локальної мережі.

Практично всі карти мережі підтримують можливість перехоплення пакетів, що передаються по загальному каналу локальної мережі. При цьому робоча станція може приймати пакети, адресовані іншим комп'ютерам того ж сегмента мережі. Таким чином, весь інформаційний обмін у сегменті мережі стає доступним для зловмисника. Для успішної реалізації цієї атаки комп'ютер зловмисника повинен розташовуватися в тому ж сегменті локальної мережі, що і комп'ютер, що атакується.

Перехоплення пакетів на маршрутизаторі

Мережеве програмне забезпечення маршрутизатора має доступ до всіх мережних пакетів, що передаються через цей маршрутизатор, що дозволяє здійснювати перехоплення пакетів. Для реалізації цієї атаки зловмисник повинен мати привілейований доступ хоча б до одного маршрутизатора мережі. Оскільки через маршрутизатор зазвичай передається дуже багато пакетів, тотальне їх перехоплення практично неможливе. Однак окремі пакети цілком можуть бути перехоплені та збережені для подальшого аналізу зловмисником. Найбільш ефективним є перехоплення пакетів FTP, що містять паролі користувачів, а також електронної пошти.

Нав'язування хосту хибного маршруту за допомогою протоколу ICMP

В Інтернеті існує спеціальний протокол ICMP (Internet Control Message Protocol), однією з функцією якого є інформування хостів про зміну поточного маршрутизатора. Дане повідомлення керування носить назву redirect. Існує можливість посилки з будь-якого хоста в сегменті мережі помилкового redirect-повідомлення від імені маршрутизатора на хост, що атакується. В результаті у хоста змінюється поточна таблиця маршрутизації і, надалі, весь мережевий трафік даного хоста проходитиме, наприклад, через хост, який надіслав помилкове redirect-повідомлення. Таким чином, можливо здійснити активне нав'язування хибного маршруту всередині одного сегмента мережі Інтернет.

Поряд із звичайними даними, що пересилаються TCP-з'єднанням, стандарт передбачає також передачу термінових (Out Of Band) даних. На рівні форматів пакетів TCP це виявляється у ненульовому urgent pointer. У більшості ПК з встановленим Windows є мережевий протокол NetBIOS, який використовує для своїх потреб три IP-порти: 137, 138, 139. Якщо з'єднатися з Windows машиною по 139 порту і послати туди кілька байт OutOfBand даних, то реалізація NetBIOS-а, не знаючи, що робити з цими даними, просто вішає чи перезавантажує машину. Для Windows 95 це зазвичай виглядає синім текстовим екраном, що повідомляє про помилку в драйвері TCP/IP, і неможливість роботи з мережею до перезавантаження ОС. NT 4.0 без сервіспаків перезавантажується, NT 4.0 з ServicePack 2 паком випадає у синій екран. Судячи з інформації з мережі, піддаються такій атаці і Windows NT 3.51 і Windows 3.11 for Workgroups.

Посилання даних у 139-й порт призводить до перезавантаження NT 4.0, або виведення «синього екрану смерті» із встановленим Service Pack 2. Аналогічна посилка даних у 135 та деякі інші порти призводить до значного завантаження процесу RPCSS.EXE. На Windows NT WorkStation це призводить до суттєвого уповільнення роботи, Windows NT Server фактично заморожується.

Підміна довіреного хоста

Успішне здійснення видалених атак цього дозволить зловмиснику вести сеанс роботи з сервером від імені довіреного хоста. (Довірений хост - станція, що легально підключилася до сервера). Реалізація цього виду атак зазвичай полягає у посилці пакетів обміну зі станції зловмисника від імені довіреної станції, яка під його контролем.

Технології виявлення атак

Мережеві та інформаційні технології змінюються настільки швидко, що статичні захисні механізми, до яких належать системи розмежування доступу, МЕ, системи автентифікації у багатьох випадках не можуть забезпечити ефективний захист. Тому потрібні динамічні методи, що дозволяють оперативно виявляти та запобігати порушенням безпеки. Однією з технологій, що дозволяє виявляти порушення, які можуть бути ідентифіковані з допомогою традиційних моделей контролю доступу, є технологія виявлення атак.

Фактично, процес виявлення атак є процесом оцінки підозрілих дій, які у корпоративної мережі. Інакше кажучи, виявлення атак (intrusion detection) – це процес ідентифікації та реагування на підозрілу діяльність, спрямовану на обчислювальні чи мережеві ресурси

Методи аналізу мережевої інформації

Ефективність системи виявлення атак багато в чому залежить від методів аналізу отриманої інформації, що застосовуються. У перших системах виявлення атак, розроблених на початку 1980-х років, використовувалися статистичні методи виявлення атак. В даний час до статистичного аналізу додався ряд нових методик, починаючи з експертних систем та нечіткої логіки і закінчуючи використанням нейронних мереж.

Статистичний метод

Основні переваги статистичного підходу - використання вже розробленого апарату математичної статистики, що зарекомендував себе, і адаптація до поведінки суб'єкта.

Спочатку всім суб'єктів аналізованої системи визначаються профілі. Будь-яке відхилення профілю від еталонного вважається несанкціонованою діяльністю. Статистичні методи універсальні, оскільки для проведення аналізу не потрібно знання про можливі атаки і вразливості, що використовуються. Однак під час використання цих методик виникають і проблеми:

«статистичні» системи не чутливі до порядку прямування подій; у деяких випадках одні й самі події залежно від порядку їх слідування можуть характеризувати аномальну чи нормальну діяльність;

Важко задати граничні (порогові) значення відстежуваних системою виявлення атак характеристик, щоб адекватно ідентифікувати аномальну діяльність;

"статистичні" системи можуть бути з часом "навчені" порушниками так, щоб атакуючі дії розглядалися як нормальні.

Слід також враховувати, що статистичні методи не застосовні в тих випадках, коли для користувача відсутній шаблон типової поведінки або коли для користувача типові несанкціоновані дії.

Експертні системи

Експертні системи складаються з набору правил, що охоплюють знання людини-експерта. Використання експертних систем є поширеним методом виявлення атак, при якому інформація про атаки формулюється у вигляді правил. Ці правила можуть бути записані, наприклад, як послідовність дій або у вигляді сигнатури. За виконання будь-якого з цих правил приймається рішення про наявність несанкціонованої діяльності. Важливою перевагою такого підходу є практично повна відсутність хибних тривог.

БД експертної системи має містити сценарії більшості відомих на сьогодні атак. Для того щоб залишатися актуальними, експертні системи вимагають постійного оновлення БД. Хоча експертні системи пропонують хорошу можливість для перегляду даних у журналах реєстрації, необхідні оновлення можуть або ігноруватися, або виконуватися адміністратором вручну. Як мінімум, це призводить до експертної системи із ослабленими можливостями. У гіршому випадку відсутність належного супроводу знижує ступінь захищеності всієї мережі, вводячи її користувачів в оману щодо дійсного рівня захищеності.

Основним недоліком є ​​неможливість відбиття невідомих атак. При цьому навіть невелика зміна вже відомої атаки може стати серйозною перешкодою для функціонування системи виявлення атак.

Нейронні мережі

Більшість сучасних методів виявлення атак використовують деяку форму аналізу контрольованого простору з урахуванням правил чи статистичного підходу. Як контрольований простір можуть виступати журнали реєстрації або мережевий трафік. Аналіз спирається на набір заздалегідь визначених правил, які створюються адміністратором чи системою виявлення атак.

Будь-який розділ атаки в часі або серед кількох зловмисників є важким для виявлення за допомогою експертних систем. Через велику різноманітність атак і хакерів навіть спеціальні постійні оновлення БД правил експертної системи ніколи не дадуть гарантії точної ідентифікації всього діапазону атак.

Використання нейронних мереж одна із способів подолання зазначених проблем експертних систем. На відміну від експертних систем, які можуть дати користувачеві певну відповідь про відповідність цих характеристик закладеним у БД правилам, нейронна мережа проводить аналіз інформації та надає можливість оцінити, чи узгоджуються дані з характеристиками, які вона навчена розпізнавати. У той час як ступінь відповідності нейромережевого подання може досягати 100%, достовірність вибору залежить від якості системи в аналізі прикладів поставленого завдання.

Спочатку нейромережу навчають правильної ідентифікації на попередньо підібраній вибірці прикладів предметної області. Реакція нейромережі аналізується і система налаштовується таким чином, щоб досягти задовільних результатів. Крім початкового періоду навчання, нейромережа набирається досвіду з часом, у міру того, як вона проводить аналіз даних, пов'язаних з предметною областю.

Важливою перевагою нейронних мереж при виявленні зловживань є їхня здатність «вивчати» характеристики навмисних атак та ідентифікувати елементи, які не схожі на ті, що спостерігалися в мережі раніше.

Кожен з описаних методів має низку переваг і недоліків, тому зараз практично важко зустріти систему, що реалізує лише один із описаних методів. Як правило, ці методи використовують у сукупності.

Основними концепціями кібер-безпеки є доступність, цілісність та конфіденційність. Атаки "відмова в обслуговуванні" (DoS)впливають на доступність інформаційних ресурсів. Відмова в обслуговуванні вважається успішною, якщо вона призвела до недоступності інформаційного ресурсу. Успішність атаки та вплив на цільові ресурси відрізняються тим, що вплив завдає жертві шкоди. Наприклад, якщо атакується інтернет-магазин, то тривала відмова в обслуговуванні може завдати фінансових збитків компанії. У кожному конкретному випадку DoS-активність може безпосередньо заподіяти шкоду, або створити загрозу і потенційний ризик заподіяння збитків.

Перша Dв DDoSозначає distributed: розподілена атака типу «відмова в обслуговуванні». У цьому випадку йдеться про величезну масу зловмисних запитів, що надходять на сервер жертви з різних місць. Зазвичай такі атаки організуються за допомогою бот-мереж.

У цій статті ми докладно розглянемо, які типи DDoS-трафіку та які види DDoS-атак існують. Для кожного виду атак будуть наведені короткі рекомендації щодо запобігання та відновлення працездатності.

Типи DDoS-трафіку

Найпростіший вид трафіку – HTTP-запити. За допомогою таких запитів, наприклад будь-який відвідувач спілкується з вашим сайтом за допомогою браузера. В основі запиту лежить HTTP-заголовок.

HTTP-заголовок. HTTP заголовки - це поля, які описують, який саме ресурс запитується, наприклад, URL-адреса або форма, або JPEG. Також заголовки HTTP інформують веб-сервер, який тип браузера використовується. Найбільш поширені HTTP заголовки: ACCEPT, LANGUAGE та USER AGENT.

Сторона, що запитує, може використовувати скільки завгодно заголовків, надаючи їм потрібні властивості. Зловмисники, які проводять DDoS-атаку, можуть змінювати ці та багато інших HTTP-заголовків, роблячи їх важкорозпізнаними для виявлення атаки. Крім того, HTTP заголовки можуть бути написані таким чином, щоб управляти кешуванням і проксі-сервісами. Наприклад, можна дати команду проксі-серверу не кешувати інформацію.

HTTP GET

  • HTTP(S) GET-запит - метод, який запитує інформацію на сервері. Цей запит може попросити сервера передати якийсь файл, зображення, сторінку або скрипт, щоб відобразити їх у браузері.
  • HTTP(S) GET-флуд - метод DDoS атаки прикладного рівня (7) моделі OSI, при якому атакуючий надсилає потужний потік запитів на сервер з метою переповнення його ресурсів. У результаті сервер не може відповідати не тільки на запити хакерів, але і на запити реальних клієнтів.

HTTP POST

  • HTTP(S) POST-запит - метод, у якому дані поміщаються в тіло запиту подальшої обробки на сервері. HTTP POST-запит кодує інформацію, що передається, і поміщає на форму, а потім відправляє цей контент на сервер. Цей метод використовується за необхідності передавати великі обсяги інформації чи файли.
  • HTTP(S) POST-флуд - це тип DDoS-атаки, при якому кількість POST-запитів переповнюють сервер так, що сервер не в змозі відповісти на всі запити. Це може призвести до виключно високого використання системних ресурсів і, згодом, до аварійної зупинки сервера.

Кожен із описаних вище HTTP-запитів може передаватися за захищеним протоколом HTTPS. У цьому випадку всі дані, що пересилаються між клієнтом (зловмисником) і сервером, шифруються. Виходить, що «захищеність» тут грає на руку зловмисникам: щоб виявити зловмисний запит, сервер повинен спочатку розшифрувати його. Тобто. розшифровувати доводиться весь потік запитів, яких під час DDoS-атаки надходить дуже багато. Це створює додаткове навантаження на сервер-жертву.

SYN-флуд(TCP/SYN) встановлює напіввідкриті з'єднання з вузлом. Коли жертва приймає SYN-пакет через відкритий порт, вона повинна надіслати у відповідь пакет SYN-ACK і встановити з'єднання. Після цього ініціатор надсилає одержувачу відповідь з ACK-пакетом. Цей процес умовно називається рукостисканням. Однак, під час атаки SYN-флудом рукостискання не може бути завершено, оскільки зловмисник не відповідає на SYN-ACK сервера-жертви. Такі з'єднання залишаються напіввідкритими до закінчення тайм-ауту, черга на підключення переповнюється і нові клієнти не можуть підключитися до сервера.

UDP-флуднайчастіше використовуються для широкосмугових DDoS-атак через їх безсеансовість, а також простоту створення повідомлень протоколу 17 (UDP) різними мовами програмування.

ICMP-флуд. Протокол міжмережевих керуючих повідомлень (ICMP) використовується в першу чергу для передачі повідомлень про помилки і не використовується для передачі даних. ICMP-пакети можуть супроводжувати TCP-пакети під час з'єднання з сервером. ICMP-флуд - метод DDoS атаки на 3-му рівні моделі OSI, що використовує ICMP-повідомлення для перевантаження мережевого атакованого каналу.

MAC-флуд- Рідкісний вид атаки, при якому атакуючий посилає множинні порожні Ethernet-фрейми з різними MAC-адресами. Мережеві свитчі розглядають кожну MAC-адресу окремо і, як наслідок, резервують ресурси під кожну з них. Коли вся пам'ять на світчі використана, він або перестає відповідати, або вимикається. На деяких типах роутерів атака MAC-флудом може спричинити видалення цілих таблиць маршрутизації, таким чином порушуючи роботу цілої мережі.

Класифікація та цілі DDoS-атак за рівнями OSI

Інтернет використовує модель OSI. Усього в моделі є 7 рівнів, які охоплюють всі середовища комунікації: починаючи з фізичного середовища (1-й рівень) і закінчуючи рівнем додатків (7-й рівень), на якому «спілкуються» між собою програми.

DDoS-атаки можливі на кожному із семи рівнів. Розглянемо їх докладніше.

7-й рівень OSI:Прикладний

Що робити: Моніторинг додатків - систематичний моніторинг програмного забезпечення, який використовує певний набір алгоритмів, технологій і підходів (залежно від платформи, на якому це програмне забезпечення використовується) для виявлення 0day-уразливостей програм (атаки 7 рівня). Ідентифікувавши такі атаки, їх можна раз і назавжди зупинити та відстежити їхнє джерело. На цьому шарі це здійснюється найпростіше.

6-й рівень OSI:Представницький

Що робити: Для зменшення шкоди зверніть увагу на такі засоби, як розподіл шифруючої SSL інфраструктури (тобто розміщення SSL на відмінному сервері, якщо це можливо) та перевірка трафіку додатків на предмет атак або порушення політик на платформі додатків. Хороша платформа гарантує, що трафік шифрується та відправляється назад початковій інфраструктурі з розшифрованим контентом, що знаходився у захищеній пам'яті безпечного вузла-бастіону.

5-й рівень OSI:Сеансовий

Що робити: Підтримувати прошивки апаратного забезпечення у актуальному стані для зменшення ризику появи загрози.

4-й рівень OSI:Транспортний

Що робити: Фільтрація DDoS-трафіку, відома як blackholing – метод, що часто використовується провайдерами для захисту клієнтів (ми й самі використовуємо цей метод). Однак, цей підхід робить сайт клієнта недоступним як для трафіку зловмисника, так і для легального трафіку користувачів. Проте блокування доступу використовується провайдерами у боротьбі з DDoS-атаками для захисту клієнтів від таких загроз, як уповільнення роботи мережного обладнання та відмова роботи сервісів.

3-й рівень OSI:Мережевий

Що робити: Обмежити кількість оброблених запитів за протоколом ICMP та скоротити можливий вплив цього трафіку на швидкість роботи Firewall та пропускну спроможність інтернет-смуги.

2-й рівень OSI:Канальний

Що робити: Багато сучасних свитків можуть бути налаштовані таким чином, що кількість MAC адрес обмежується надійними, які проходять перевірку автентифікації, авторизації та обліку на сервері (протокол ААА) і фільтруються.

1-й рівень OSI:Фізичний

Що робити: використовувати систематичний підхід до моніторингу роботи фізичного мережного обладнання.

Усунення великомасштабних DoS/DDoS-атак

Хоча атака можлива на будь-якому рівні, особливою популярністю користуються атаки на 3-4 і 7 рівнях моделі OSI.

  • DDoS-атаки на 3-му та 4-му рівні - інфраструктурні атаки - типи атак, засновані на використанні великого обсягу, потужного потоку даних (флуд) на рівні інфраструктури мережі та транспортному рівні з метою уповільнити роботу веб-сервера, «заповнити» канал , і зрештою завадити доступу інших користувачів до ресурсу. Ці типи атак зазвичай включають ICMP-, SYN- і UDP-флуд.
  • DDoS атака на 7-му рівні - атака, що полягає у навантаженні деяких специфічних елементів інфраструктури сервера додатків. Атаки 7-го рівня особливо складні, приховані та важкі для виявлення в силу їхньої подібності з корисним веб-трафіком. Навіть найпростіші атаки 7-го рівня, наприклад, спроба входу в систему під довільним ім'ям користувача і паролем або довільний пошук, що повторюється, на динамічних веб-сторінках, можуть критично завантажити CPU і бази даних. Також DDoS зловмисники можуть неодноразово змінювати сигнатури атак 7-го рівня, роблячи їх ще складнішими для розпізнавання та усунення.

Деякі дії та обладнання для усунення атак:

  • Брандмауери з динамічною перевіркою пакетів
  • Динамічні механізми SYN проксі
  • Обмеження кількості SYN-ів за секунду для кожної IP-адреси
  • Обмеження кількості SYN-ів за секунду для кожної віддаленої IP-адреси
  • Встановлення екранів ICMP флуду на брандмауері
  • Встановлення екранів UDP флуду на брандмауері
  • Обмеження швидкості роутерів, що примикають до брандмауерів та мережі
20.06.05 37K

Інтернет повністю змінює наш спосіб життя: роботу, навчання, дозвілля. Ці зміни відбуватимуться як у вже відомих нам галузях (електронна комерція, доступ до інформації в реальному часі, розширення можливостей зв'язку тощо), так і в тих сферах, про які ми поки що не маємо уявлення.

Може настати такий час, коли корпорація здійснюватиме всі свої телефонні дзвінки через Інтернет, причому абсолютно безкоштовно. У приватному житті можлива поява спеціальних Web-сайтів, за допомогою яких батьки зможуть будь-якої миті дізнатися, як справи у їхніх дітей. Наше суспільство лише починає усвідомлювати безмежні можливості Інтернету.

Вступ

Поруч із колосальним зростанням популярності Інтернету виникає безпрецедентна небезпека розголошення персональних даних, критично важливих корпоративних ресурсів, державних таємниць тощо.

Щодня хакери наражають на ці ресурси, намагаючись отримати до них доступ за допомогою спеціальних атак, які поступово стають, з одного боку, більш витонченими, а з іншого - простими у виконанні. Цьому сприяють два основні чинники.

По-перше, це повсюдне проникнення Інтернету. Сьогодні до Мережі підключено мільйони пристроїв, і багато мільйонів пристроїв будуть підключені до Інтернету в найближчому майбутньому, тому можливість доступу хакерів до вразливих пристроїв постійно зростає.

Крім того, широке поширення Інтернету дозволяє хакерам обмінюватися інформацією у глобальному масштабі. Простий пошук за ключовими словами типу "хакер", "злом", "hack", "crack" або "phreak" дасть вам тисячі сайтів, на багатьох з яких можна знайти шкідливі коди та способи їх використання.

По-друге, це широке поширення найпростіших у використанні операційних систем та середовищ розробки. Цей фактор різко знижує рівень необхідних хакеру знань та навичок. Раніше, щоб створювати і поширювати прості у використанні програми, хакер повинен був мати гарні навички програмування.

Тепер, щоб отримати доступ до хакерського засобу, потрібно тільки знати IP-адресу потрібного сайту, а для атаки достатньо клацнути мишею.

Класифікація мережевих атак

Мережеві атаки так само різноманітні, як і системи, проти яких вони спрямовані. Деякі атаки відрізняються великою складністю, інші під силу звичайному оператору, який навіть не передбачає, до яких наслідків може призвести його діяльність. Для оцінки типів атак необхідно знати деякі обмеження, які властиві протоколу TPC/IP. Мережа

Інтернет створювалася для зв'язку між державними установами та університетами з метою надання допомоги навчальному процесу та науковим дослідженням. Творці цієї мережі не підозрювали, наскільки широкого поширення вона набуде. У результаті специфікації ранніх версій Інтернет-протоколу (IP) були відсутні вимоги безпеки. Саме тому багато реалізації IP є вразливими.

Через багато років, після безлічі рекламацій (Request for Comments, RFC), нарешті стали впроваджуватися засоби безпеки для IP. Однак через те, що спочатку засоби захисту для протоколу IP не розроблялися, всі його реалізації стали доповнюватися різноманітними мережевими процедурами, послугами та продуктами, що знижують ризики, властиві цьому протоколу. Далі ми коротко розглянемо типи атак, які зазвичай застосовуються проти мереж IP, та перерахуємо способи боротьби з ними.

Сніффер пакетів

Сніффер пакетів є прикладною програмою, яка використовує мережну карту, що працює в режимі promiscuous mode (у цьому режимі всі пакети, отримані по фізичних каналах, мережевий адаптер відправляє додатку для обробки).

При цьому сніфер перехоплює всі мережеві пакети, які передаються через певний домен. Нині сніфери працюють у мережах на цілком законній основі. Вони використовуються для діагностики несправностей та аналізу трафіку. Однак через те, що деякі мережні програми передають дані в текстовому форматі ( Telnet, FTP, SMTP, POP3 і т.д..), за допомогою сніфера можна дізнатися корисну, а іноді і конфіденційну інформацію (наприклад, імена користувачів та паролі).

Перехоплення імен і паролів створює велику небезпеку, оскільки користувачі часто застосовують один і той же логін і пароль для багатьох програм і систем. Багато користувачів взагалі мають єдиний пароль для доступу до всіх ресурсів та програм.

Якщо програма працює в режимі «клієнт-сервер», а автентифікаційні дані передаються по мережі в текстовому форматі, то цю інформацію з великою ймовірністю можна використовувати для доступу до інших корпоративних або зовнішніх ресурсів. Хакери дуже добре знають і використовують людські слабкості (методи атак часто базуються на методах соціальної інженерії).

Вони чудово уявляють, що ми користуємося одним і тим самим паролем для доступу до безлічі ресурсів, і тому їм часто вдається, дізнавшись наш пароль, отримати доступ до важливої ​​інформації. У найгіршому випадку хакер отримує доступ до ресурсу користувача на системному рівні і з його допомогою створює нового користувача, якого можна в будь-який момент використовувати для доступу до мережі та до її ресурсів.

Зменшити загрозу сніфінгу пакетів можна за допомогою таких засобів:

Аутентифікація. Сильні засоби аутентифікації є найважливішим способом захисту від сніфінгу пакетів. Під «сильними» ми розуміємо такі методи аутентифікації, які важко оминути. Прикладом такої автентифікації є одноразові паролі (One-Time Passwords, OTP).

ОТР - це технологія двофакторної аутентифікації, коли відбувається поєднання того, що у вас є, з тим, що ви знаєте. Типовим прикладом двофакторної аутентифікації є робота звичайного банкомату, який впізнає вас, по-перше, за вашою пластиковою карткою, а по-друге, за пін-кодом, який ви вводите. Для аутентифікації в системі ОТР також потрібні пін-код та ваша особиста картка.

Під "карткою" (token) розуміється апаратний або програмний засіб, що генерує (за випадковим принципом) унікальний одномоментний одноразовий пароль. Якщо хакер дізнається цей пароль за допомогою сніфера, то ця інформація буде марною, оскільки в цей момент пароль вже буде використаний і виведений з використання.

Зазначимо, що цей спосіб боротьби зі сніффінг ефективний тільки у випадках перехоплення паролів. Сніфери, які перехоплюють іншу інформацію (наприклад, повідомлення електронної пошти), не втрачають своєї ефективності.

Комутована інфраструктура. Ще одним способом боротьби зі сніффінгом пакетів у вашому мережному середовищі є створення комутованої інфраструктури. Якщо, наприклад, у всій організації використовується комутований Ethernet, хакери можуть отримати доступ лише до трафіку, що надходить той порт, якого вони підключені. Комутована інфраструктура не усуває загрози сніфінгу, але помітно знижує її гостроту.

Антисніфери. Третій спосіб боротьби зі сніффінгом полягає в установці апаратних або програмних засобів, що розпізнають сніфери, що працюють у вашій мережі. Ці кошти не можуть повністю ліквідувати загрозу, але, як і багато інших засобів мережної безпеки, вони включаються до загальної системи захисту. Антисніфери вимірюють час реагування хостів і визначають, чи не доводиться хостам обробляти зайвий трафік. Один з таких засобів, що постачаються компанією LOpht Heavy Industries, називається AntiSniff.

Криптографія. Цей найефективніший спосіб боротьби зі сніффінгом пакетів хоч і не запобігає перехопленню і не розпізнає роботу сніфферів, але робить марну роботу. Якщо канал зв'язку є криптографічно захищеним, хакер перехоплює не повідомлення, а зашифрований текст (тобто незрозумілу послідовність бітів). Криптографія Cisco на мережному рівні базується на протоколі IPSec, який є стандартним методом захищеного зв'язку між пристроями за допомогою протоколу IP. До інших криптографічних протоколів мережевого управління відносяться протоколи SSH (Secure Shell) та SSL (Secure Socket Layer).

IP-спуфінг

IP-спуфінг відбувається у тому випадку, коли хакер, що знаходиться усередині корпорації або поза нею, видає себе за санкціонованого користувача. Це можна зробити двома способами: хакер може скористатися або IP-адресою, що знаходиться в межах діапазону санкціонованих IP-адрес, або авторизованою зовнішньою адресою, якій дозволяється доступ до певних мережних ресурсів.

Атаки IP-спуфінгу часто є відправною точкою для інших атак. Класичний приклад - атака DoS, яка починається з чужої адреси, що приховує справжню особу хакера.

Як правило, IP-спуфінг обмежується вставкою помилкової інформації або шкідливих команд у звичайний потік даних, що передаються між клієнтським і серверним додатком або каналом зв'язку між одноранговими пристроями.

Для двостороннього зв'язку хакер повинен змінити всі таблиці маршрутизації, щоб направити трафік на помилкову IP-адресу. Деякі хакери, однак, навіть не намагаються отримати відповідь додатків - якщо головне завдання полягає в отриманні від системи важливого файлу, то відповіді додатків не мають значення.

Якщо ж хакеру вдається поміняти таблиці маршрутизації і направити трафік на помилкову IP-адресу, він отримає всі пакети і зможе відповідати на них так, начебто санкціонований користувач.

Загрозу спуфінгу можна послабити (але не усунути) за допомогою наведених нижче заходів:

  • Контроль доступу. Найпростіший спосіб запобігання IP-спуфінгу полягає в правильному налаштуванні керування доступом. Щоб зменшити ефективність IP-спуфінгу, налаштуйте контроль доступу на відсікання будь-якого трафіку, що надходить із зовнішньої мережі з вихідною адресою, яка повинна розташовуватися всередині вашої мережі.

    Щоправда, це допомагає боротися з IP-спуфінгом, коли санкціонованими є лише внутрішні адреси; якщо ж санкціонованими є і деякі адреси зовнішньої мережі, цей метод стає неефективним;

  • Фільтрування RFC 2827 . Ви можете припинити спроби спуфінгу чужих мереж користувачами вашої мережі (і стати доброчесним мережевим громадянином). Для цього необхідно відбраковувати будь-який вихідний трафік, вихідна адреса якого не є однією з IP-адрес вашої організації.

    Цей тип фільтрації, відомий під назвою RFC 2827, може виконувати і ваш провайдер (ISP). В результаті відбраковується весь трафік, який не має вихідної адреси, що очікується на певному інтерфейсі. Наприклад, якщо ISP надає з'єднання з IP-адресою 15.1.1.0/24, він може налаштувати фільтр таким чином, щоб з цього інтерфейсу маршрутизатор ISP допускався тільки трафік, що надходить з адреси 15.1.1.0/24.

Зазначимо, що до тих пір, поки всі провайдери не впровадять цей тип фільтрації, його ефективність буде набагато нижчою за можливу. Крім того, чим далі від пристроїв, що фільтруються, тим важче проводити точну фільтрацію. Наприклад, фільтрація RFC 2827 на рівні маршрутизатора доступу вимагає пропуску всього трафіку з головної мережевої адреси (10.0.0.0/8), тоді як на рівні розподілу (в даній архітектурі) можна обмежити трафік точніше (адреса - 10.1.5.0/24).

Найбільш ефективний метод боротьби з IP-спуфінгом - той самий, що й у випадку зі сніфінгом пакетів: необхідно зробити атаку абсолютно неефективною. IP-спуфінг може функціонувати лише за умови, що аутентифікація відбувається на базі IP-адрес.

Тому впровадження додаткових методів аутентифікації робить подібні атаки марними. Найкращим видом додаткової аутентифікації є криптографічна. Якщо вона неможлива, хороші результати може дати двофакторна автентифікація за допомогою одноразових паролів.

Відмова в обслуговуванні

Denial of Service (DoS), без сумніву, є найвідомішою формою атак хакерів. Крім того, проти атак такого типу найважче створити стовідсотковий захист. Серед хакерів атаки DoS вважаються дитячою забавою, а їх застосування викликає презирливі усмішки, оскільки для організації DoS потрібно мінімум знань та вмінь.

Проте саме простота реалізації і величезні масштаби заподіяної шкоди привертають до DoS пильну увагу адміністраторів, які відповідають за безпеку мережі. Якщо ви хочете більше дізнатися про атаки DoS, вам слід розглянути їх найбільш відомі різновиди, а саме:

  • TCP SYN Flood;
  • Ping of Death;
  • Tribe Flood Network (TFN) та Tribe Flood Network 2000 (TFN2K);
  • Trinco;
  • Stacheldracht;
  • Trinity.

Прекрасним джерелом інформації з питань безпеки є група екстреного реагування на комп'ютерні проблеми (Computer Emergency Response Team, CERT), що опублікувала чудову роботу по боротьбі з атаками DoS.

Атаки DoS відрізняються від інших типів атак. Вони не націлені ні на отримання доступу до мережі, ні на отримання з цієї мережі будь-якої інформації, але атака DoS робить вашу мережу недоступною для звичайного використання за рахунок перевищення допустимих меж функціонування мережі, операційної системи або програми.

У разі використання деяких серверних програм (таких як Web-сервер або FTP-сервер) атаки DoS можуть полягати в тому, щоб зайняти всі з'єднання, доступні для цих програм, і тримати їх у зайнятому стані, не допускаючи обслуговування пересічних користувачів. Під час атак DoS можуть використовуватися звичайні Інтернет-протоколи, такі як TCP та ICMP ( Internet Control Message Protocol).

Більшість атак DoS розраховано не на програмні помилки або проломи в системі безпеки, а на загальні слабкості системної архітектури. Деякі атаки зводять до нуля продуктивність мережі, переповнюючи її небажаними та непотрібними пакетами або повідомляючи неправдиву інформацію про поточний стан мережевих ресурсів.

Даний тип атак важко запобігти, тому що для цього потрібна координація дій із провайдером. Якщо не зупинити у провайдера трафік, призначений для переповнення вашої мережі, зробити це на вході в мережу ви вже не зможете, оскільки вся смуга пропускання буде зайнята. Коли атака даного типу проводиться одночасно через безліч пристроїв, ми говоримо про розподілену атаку DoS (distributed DoS, DDoS).

Загроза атак типу DoS може бути знижена трьома способами:

  • Функції антиспуфінгу. Правильна конфігурація функцій антиспуфінгу на маршрутизаторах і міжмережевих екранах допоможе знизити ризик DoS. Ці функції повинні включати, як мінімум, фільтрацію RFC 2827. Якщо хакер не зможе замаскувати свою справжню особистість, він навряд чи зважиться провести атаку.
  • Функції анти-DoS. Правильна конфігурація функцій анти-DoS на маршрутизаторах та міжмережевих екранах здатна обмежити ефективність атак. Ці функції часто обмежують кількість напіввідкритих каналів у будь-який час.
  • Обмеження обсягу трафіку (traffic rate limiting). Організація може попросити провайдера (ISP) обмежити обсяг трафіку. Цей тип фільтрації дозволяє обмежити обсяг некритичного трафіку, що проходить вашою мережею. Типовим прикладом є обмеження обсягів трафіку ICMP, що використовується лише для діагностичних цілей. Атаки (D)DoS часто використовують ICMP.

Парольні атаки

Хакери можуть проводити парольні атаки за допомогою цілого ряду методів, таких як простий перебір (brute force attack), троянський кінь, IP-спуфінг та сніфінг пакетів. Хоча логін і пароль часто можна отримати за допомогою IP-спуфінгу та сніфінгу пакетів, хакери нерідко намагаються підібрати пароль та логін, використовуючи для цього численні спроби доступу. Такий підхід називається простого перебору (brute force attack).

Часто для такої атаки використовують спеціальну програму, яка намагається отримати доступ до ресурсу загального користування (наприклад, до сервера). Якщо в результаті хакеру надається доступ до ресурсів, він отримує його на правах звичайного користувача, пароль якого був підібраний.

Якщо цей користувач має значні привілеї доступу, хакер може створити собі «прохід» для майбутнього доступу, який діятиме, навіть якщо користувач змінить пароль та логін.

Ще одна проблема виникає, коли користувачі застосовують один і той же (нехай навіть дуже хороший) пароль для доступу до багатьох систем: корпоративної, персональної та систем Інтернету. Оскільки стійкість пароля дорівнює стійкості найслабшого хоста, то хакер, який дізнався пароль через цей хост, отримує доступ до всіх інших систем, де використовується той самий пароль.

Парольних атак можна уникнути, якщо не скористатися паролями в текстовій формі. Одноразові паролі та/або криптографічна автентифікація можуть практично звести нанівець загрозу таких атак. На жаль, не всі програми, хости та пристрої підтримують вищезазначені методи автентифікації.

При використанні звичайних паролів намагайтеся вигадати такий, який було б важко підібрати. Мінімальна довжина пароля повинна бути не менше восьми символів. Пароль повинен містити символи верхнього регістру, цифри та спеціальні символи (#, %, $ тощо).

Найкращі паролі важко підібрати і важко запам'ятати, що змушує користувачів записувати їх на папері. Щоб уникнути цього, користувачі та адміністратори можуть використовувати низку останніх технологічних досягнень.

Так, наприклад, існують прикладні програми, що шифрують список паролів, який можна зберігати у кишеньковому комп'ютері. В результаті користувачеві потрібно пам'ятати лише один складний пароль, тоді як решта буде надійно захищена додатком.

Для адміністратора існує кілька методів боротьби з підбором паролів. Один з них полягає у використанні засобу L0phtCrack, який часто застосовують хакери для підбору паролів серед Windows NT. Цей засіб швидко покаже вам, чи легко підібрати пароль, вибраний користувачем. Додаткову інформацію можна отримати за адресою http://www.l0phtcrack.com/.

Атаки типу Man-in-the-Middle

Для атаки типу Man-in-the-Middle хакеру потрібен доступ до пакетів, що передаються мережею. Такий доступ до всіх пакетів, які передаються від провайдера в будь-яку іншу мережу, може, наприклад, отримати співробітник цього провайдера. Для атак даного типу часто використовуються сніфери пакетів, транспортні протоколи та протоколи маршрутизації.

Атаки проводяться з метою крадіжки інформації, перехоплення поточної сесії та отримання доступу до приватних мережевих ресурсів, для аналізу трафіку та отримання інформації про мережу та її користувачів, для проведення атак типу DoS, спотворення переданих даних та введення несанкціонованої інформації в мережеві сесії.

Ефективно боротися з атаками типу Man-in-the-Middle можна лише за допомогою криптографії. Якщо хакер перехопить дані зашифрованої сесії, на екрані з'явиться не перехоплене повідомлення, а безглуздий набір символів. Зазначимо, що якщо хакер отримає інформацію про криптографічну сесію (наприклад, ключ сесії), то це може уможливити атаку Man-in-the-Middle навіть у зашифрованому середовищі.

Атаки на рівні додатків

Атаки на рівні додатків можуть проводитись декількома способами. Найпоширеніший їх - використання добре відомих слабкостей серверного програмного забезпечення (sendmail, HTTP, FTP ). Використовуючи ці слабкості, хакери можуть отримати доступ до комп'ютера від імені користувача, що працює з програмою (зазвичай це буває не простий користувач, а привілейований адміністратор із правами системного доступу).

Відомості про атаки на рівні програм широко публікуються, щоб дати адміністраторам можливість виправити проблему за допомогою корекційних модулів (патчів). На жаль, багато хакерів також мають доступ до цих відомостей, що дозволяє їм удосконалюватися.

Головна проблема при атаках на рівні додатків полягає в тому, що хакери часто користуються портами, яким можна проходити через міжмережевий екран. Наприклад, хакер, що експлуатує відому слабкість Web-сервера, часто використовує в ході атаки ТСР порт 80. Оскільки web-сервер надає користувачам Web-сторінки, міжмережевий екран повинен забезпечувати доступ до цього порту. З погляду міжмережевого екрану атака сприймається як стандартний трафік для порту 80.

Цілком виключити атаки на рівні додатків неможливо. Хакери постійно відкривають та публікують в Інтернеті нові вразливі місця прикладних програм. Найголовніше тут – хороше системне адміністрування. Ось деякі заходи, які можна зробити, щоб знизити вразливість для атак цього типу:

  • читайте лог-файли операційних систем та мережеві лог-файли та/або аналізуйте їх за допомогою спеціальних аналітичних додатків;
  • підпишіться на послуги з розсилки даних про слабкі місця прикладних програм: Bugtrad (http://www.securityfocus.com).

Мережева розвідка

Мережевою розвідкою називається збір інформації про мережу за допомогою загальнодоступних даних та програм. Під час підготовки атаки проти будь-якої мережі хакер, як правило, намагається отримати про неї якомога більше інформації. Мережева розвідка проводиться у формі запитів DNS, ехо-тестування та сканування портів.

Запити DNS допомагають зрозуміти, хто володіє тим чи іншим доменом і які адреси цього домену надано. Ехо-тестування адрес, розкритих за допомогою DNS, дозволяє побачити, які хости реально працюють у цьому середовищі. Отримавши список хостів, хакер використовує засоби сканування портів, щоб скласти повний список послуг, що підтримуються цими хостами. І нарешті, хакер аналізує характеристики додатків, які працюють на хостах. В результаті він добуває інформацію, яку можна використовувати для злому.

Повністю позбутися мережевої розвідки неможливо. Якщо, наприклад, відключити луну ICMP і луна-відповідь на периферійних маршрутизаторах, то ви позбавитеся від луна-тестування, але втратите дані, необхідні для діагностики мережевих збоїв.

Крім того, сканувати порти можна і без попереднього ехо-тестування - просто це займе більше часу, тому що сканувати доведеться і неіснуючі IP-адреси. Системи IDS на рівні мережі та хостів зазвичай добре справляються із завданням повідомлення адміністратора про мережну розвідку, що ведеться, що дозволяє краще підготуватися до майбутньої атаки і оповістити провайдера (ISP), в мережі якого встановлена ​​система, що виявляє надмірну цікавість:

  1. користуйтеся найсвіжішими версіями операційних систем і додатків та останніми корекційними модулями (патчами);
  2. крім системного адміністрування, користуйтеся системами розпізнавання атак (IDS) - двома технологіями ID, що взаємодоповнюють один одного:
    • мережна система IDS (NIDS) відстежує всі пакети, які проходять через певний домен. Коли система NIDS бачить пакет або серію пакетів, що збігаються з сигнатурою відомої або можливої ​​атаки, вона генерує сигнал тривоги та/або припиняє сесію;
    • Система IDS (HIDS) захищає хост за допомогою програмних агентів. Ця система бореться лише з атаками проти одного хоста.

У роботі системи IDS користуються сигнатурами атак, які є профілі конкретних атак чи типів атак. Сигнатури визначають умови, за яких трафік вважається хакерським. Аналогами IDS у фізичному світі можна вважати систему попередження чи камеру спостереження.

Найбільшим недоліком IDS є їхня здатність генерувати сигнали тривоги. Щоб мінімізувати кількість помилкових сигналів тривоги і досягти коректного функціонування системи IDS в мережі, необхідне ретельне налаштування цієї системи.

Зловживання довірою

Власне, цей тип дій не є в повному розумінні слова атакою чи штурмом. Він є зловмисне використання відносин довіри, що існують в мережі. Класичним прикладом такого зловживання є ситуація у периферійній частині корпоративної мережі.

У цьому сегменті часто розміщуються сервери DNS, SMTP та HTTP. Оскільки всі вони належать до того самого сегменту, злом будь-якого з них призводить до злому всіх інших, оскільки ці сервери довіряють іншим системам своєї мережі.

Іншим прикладом є встановлена ​​із зовнішнього боку міжмережевого екрану система, що має стосунки довіри із системою, встановленою з його внутрішньої сторони. У разі злому зовнішньої системи хакер може використовувати стосунки довіри для проникнення в систему, захищену міжмережевим екраном.

Ризик зловживання довірою можна знизити за рахунок жорсткішого контролю рівнів довіри в межах своєї мережі. Системи, розташовані із зовнішнього боку міжмережевого екрану, ні за яких умов повинні користуватися абсолютною довірою із боку захищених екраном систем.

Відносини довіри повинні обмежуватися певними протоколами і, по можливості, автентифікуватися не лише за IP-адресами, а й за іншими параметрами.

Переадресація портів

Переадресація портів є різновидом зловживання довірою, коли зламаний хост використовується для передачі через міжмережевий екран трафіку, який інакше був би обов'язково відбракований. Уявімо міжмережевий екран з трьома інтерфейсами, до кожного з яких підключений певний хост.

Зовнішній хост може підключатися до хоста загального доступу (DMZ), але не до того, що встановлений із внутрішньої сторони міжмережевого екрану. Хост загального доступу може підключатися і до внутрішнього, і зовнішнього хосту. Якщо хакер захопить хост загального доступу, він зможе встановити на ньому програмний засіб, який перенаправляє трафік із зовнішнього хоста прямо на внутрішній.

Хоча при цьому не порушується жодне правило, що діє на екрані, зовнішній хост внаслідок переадресації отримує прямий доступ до захищеного хоста. Прикладом програми, яка може надати такий доступ, є netcat. Більш детальну інформацію можна отримати на сайті http://www.avian.org.

Основним способом боротьби з переадресацією портів є використання надійних моделей довіри (див. попередній розділ). Крім того, завадити хакеру встановити на хості свої програмні засоби може хост-система IDS (HIDS).

Несанкціонований доступ

Несанкціонований доступ не може бути виділений в окремий тип атаки, оскільки більшість мережевих атак проводяться задля отримання несанкціонованого доступу. Щоб підібрати логін telnet, хакер повинен спочатку отримати підказку telnet на своїй системі. Після підключення до порту Telnet на екрані з'являється повідомлення "authorization required to use this resource" (" Для користування цим ресурсом потрібна авторизація»).

Якщо хакер продовжить спроби доступу, вони будуть вважатися несанкціонованими. Джерело таких атак може бути як всередині мережі, так і зовні.

Способи боротьби з несанкціонованим доступом досить прості. Головним тут є скорочення або повна ліквідація можливостей хакера отримання доступу до системи за допомогою несанкціонованого протоколу.

Як приклад, можна розглянути недопущення хакерського доступу до порту Telnet на сервері, який надає Web-послуги зовнішнім користувачам. Не маючи доступу до цього порту, хакер не зможе його атакувати. Що ж до міжмережевого екрану, його основним завданням є запобігання найпростіших спроб несанкціонованого доступу.

Віруси та програми типу «троянський кінь»

Робочі станції кінцевих користувачів дуже вразливі для вірусів та троянських коней. Вірусами називаються шкідливі програми, які впроваджуються в інші програми для виконання певної небажаної функції робочої станції кінцевого користувача. Як приклад можна навести вірус, який прописується у файлі command.com (головному інтерпретаторі систем Windows) та стирає інші файли, а також заражає всі інші знайдені ним версії command.com.

Троянський кінь - це не програмна вставка, а справжня програма, яка на перший погляд здається корисним додатком, а справі виконує шкідливу роль. Прикладом типового троянського коня є програма, яка виглядає як проста гра для робочої станції користувача.

Однак, поки користувач грає в гру, програма надсилає свою копію електронною поштою кожному абоненту, занесеному в адресну книгу цього користувача. Всі абоненти одержують поштою гру, викликаючи її подальше розповсюдження.

Боротьба з вірусами і троянськими конями ведеться за допомогою ефективного антивірусного програмного забезпечення, що працює на рівні користувача і, можливо, на рівні мережі. Антивірусні засоби виявляють більшість вірусів і троянських коней і припиняють їхнє поширення.

Отримання найсвіжішої інформації про віруси допоможе боротися з ними ефективніше. У міру появи нових вірусів та троянських коней підприємство має встановлювати нові версії антивірусних засобів та додатків.

Під час написання статті використані матеріали, надані компанією Cisco Systems.

Добре погано



ПОХОДЖЕННЯ СТАТТІ