Лекции ЗИ_Э. Самарский государственный архитектурностроительный университет
Скачать 1.6 Mb.
|
Классификация типовых удаленных атак на интрасетиПринципиальным отличием атак, осуществляемых злоумышленниками в компьютерных сетях, является фактор расстояния злоумышленника от персонального компьютера (ПК), выбранного в качестве жертвы. В связи с этим, такие атаки принято называть удаленными атаками (УА) [25]. В настоящее время выделяют следующие классы типовых удаленных атак, осуществляемых на компьютерные сети. Анализ сетевого трафика Анализ сетевого трафика путем его перехвата (сниффинга) является внутрисегментной атакой и направлен на перехват и анализ информации, предназначенной для любого ПК, расположенного в том же сегменте сети, что и злоумышленник. Злоумышленник может захватить все проходящие через себя пакеты путем перевода своей сетевой платы в смешанный режим (promiscuous mode). Реализация данной атаки позволяет злоумышленнику изучить логику работы сети (для получения информации, помогающей ему осуществить последующий взлом) либо перехватить конфиденциальную информацию, которой обмениваются узлы компьютерной сети. Многие протоколы (например, POP3, FTP и пр.) передают информацию об используемых паролях доступа по каналу связи в открытом виде. Анализ трафика позволяет злоумышленнику перехватить эти пароли доступа (например, к электронной почте, к FTP серверу) и использовать их в дальнейшем для выполнения несанкционированных действий. Для защиты от анализа сетевого трафика с использованием снифферов известны следующие подходы:
Подмена доверенного субъекта Подмена доверенного субъекта и передача сообщений по каналам связи от его имени позволяет получить злоумышленнику доступ к удаленной системе от имени этого доверенного субъекта. Подобные атаки эффективно реализуются в системах с нестойкими алгоритмами идентификации и аутентификации хостов и пользователей. Например, подобные атаки эффективны для систем, использующих аутентификацию источника по его IP адресу, для злоумышленника в этом случае нетрудно формировать пакеты с IP адресами, которым «доверяет» удаленный узел. Для защиты от подобных атак необходимо применение стойких алгоритмов идентификации и аутентификации хостов и пользователей. Нельзя допускать в компьютерную сеть организации пакеты, посланные с внешних ПК, но имеющих внутренний сетевой адрес. Введение ложного объекта компьютерной сети Реализация данной атаки позволяет навязать ложный маршрут потока информации так, чтобы этот маршрут лежал через компьютер злоумышленника, позволяет «заманить» легального пользователя на ПК злоумышленника (например, подменив WEB-сайт) с целью получения конфиденциальной информации. Для защиты от данных атак необходимо использовать более стойкие протоколы идентификации и аутентификации хостов и устройств. Отказ в обслуживании (DoS) Реализация данной атаки направлена на нарушение работоспособности некоторой службы удаленного хоста, либо всей системы. Как правило, реализация предполагает посылку направленного «шторма запросов», переполнение очереди запросов, в силу чего удаленный ПК либо перезагружается, либо неспособен заниматься ничем, кроме обработки запросов. Примерами данных атак является SYN-Flooding, Ping of Death и пр. Для защиты от данных атак необходимо использовать стойкие протоколы аутентификации, ограничивать доступ в сеть с использованием межсетевых экранов, применять системы обнаружения вторжений, разрабатывать адекватные политики безопасности, использовать для поддержки сервисов программные продукты, в которых устранены уязвимости, позволяющие выполнить подобные атаки. В настоящее время большую актуальность представляет защита от распределенных DoS атак (DDoS), реализуемых путем заражения («зомбирования») множества ничего не подозревающих ПК, которые в заданный момент времени начинают посылать «шторм запросов» на объект атаки. В 2003 году таким образом был атакован сайт SCO Group. Сканирование компьютерных сетей Сетевое сканирование осуществляется злоумышленником на предварительной стадии атаки. Сканирование компьютерной сети позволяет получить злоумышленнику такую информацию, необходимую для дальнейшего взлома, как типы установленных ОС, открытые порты и связанные с ними сервисы, существующие уязвимости. Сам факт сетевого сканирования лишь говорит о реализации стадии, предваряющей атаку, и является важной информацией для сетевого администратора. Для защиты от сетевого сканирования необходимо применять подходы, позволяющие скрыть внутреннюю структуру сети и идентифицировать факт сканирования, например, использовать межсетевые экраны, системы обнаружения вторжений. Таким образом, для защиты от рассмотренных выше атак используют:
Рассмотрим данные средства более подробно. |