Основы классификации сетевых атак и угроз

Типы атак, которые обычно применяются против сетей IP:

Сниффер пакетов перехватывает все сетевые пакеты, кот передаются через опред домен. Снифферы используются для диагностики неисправностей и анализа трафика. Но, т.к. некот сетевые прилож передают данные в текстовом формате (telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера м узнать полезную, конфиденциальную инф (имена пользователей и пароли). ¯ угрозу сниффинга пакетов м с пом: 1. сильных средств аутентификации (однократные пароли; технология двухфакторной аутент: сочетание того, что у вас есть, с тем, что вы знаете (карточка и пин)). Этот способ борьбы со сниффингом эффективен только для борьбы с перехватом паролей. Снифферы, перехватывающие, напр, сообщ электронной почтыт, не теряют своей эффективности. 2. установка аппаратных или программных средств, распознающих снифферы, работающие в вашей сети. 3. Криптография.

IP-спуфинг: хакер выдает себя за санкцион пользователя. Это м сделать 2 способами: м воспользоваться IP-адресом, находящимся в пределах диапазона санкцион IP-адресов, или авторизованным внешним адресом, кот разрешается доступ к опред сетевым ресурсам. Атаки IP-спуфинга часто явл отправной точкой для др атак. Напр, DoS, кот начинается с чужого адреса, скрывающего истинную личность хакера. Если хакеру удается поменять таблицы маршрутизации и направить трафик на ложный IP-адрес, он получит все пакеты и сможет отвечать на них так, будто он является санкц польз. Угрозу спуфинга м ¯ (но не устранить) с помощью след мер: 1. настроить контроль доступа на отсечение любого трафика, поступающего из внешней сети с исх адресом, кот д располагаться внутри вашей сети (помогает бороться, когда санкц-ными явл-ся только внутренние адреса). 2. наиб эффективный метод борьбы со спуфингом - внедрение доп методов аутент (напр, криптографич).

Отказ в обслуживании (DoS) наиболее известные разновидности, а именно: TCP SYN Flood, Ping of Death (Отправка ICMP-пакета V >= 65535 байта м привести к переполнению сетевого стека комп и др. DoS делает сеть недоступной для обычного исп за счет превыш допуст пределов функционирования сети, ОС или приложения. Большинство атак DoS опирается не на прогр ошибки или бреши в системе безоп, а на общие слабости системной архитектуры. Некот атаки сводят к 0 производительность сети, переполняя ее нежелательными и ненужными пакетами или сообщая ложную инф о текущем состоянии сетевых ресурсов. Когда атака этого типа проводится одновременно через множество устройств, говорят о распред атаке DoS (DDoS). Избежать: ограничение объема трафика - организация может попросить провайдера (ISP) ограничить объем трафика.

Парольные атаки: простой перебор, троянский конь, IP-спуфинг, сниффинг пакетов. Атак м избежать, если не пользоваться паролями в текстовой форме (одноразовые пароли, криптографич аутент); пароль д вкл символы верхнего регистра, цифры и спеце символы.

Для атаки типа Man-in-the-Middle хакеру нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, м, к примеру, получить сотрудник этого провайдера. Атаки проводятся с целью кражи инф, перехвата текущей сессии и получения доступа к частным сет ресурсам, для анализа трафика и получения инф о сети и ее польз, искаж передаваемых данных, ввода несанкционир инф в сетевые сессии. Эффективно бороться только с помощью криптографии.

Атаки на ур приложений. Главная проблема с атаками состоит в том, что они часто пользуются портами, кот разрешен проход через МЭ. К примеру, хакер, эксплуатирующий слабость Web-сервера, часто исп в ходе атаки ТСР порт 80. Web-сервер предоставляет поль Web-стр, МЭ д предоставлять доступ к этому порту. С точки зрения МЭ, атака рассматривается как стандартный трафик для порта 80.

Сетевая разведка - сбор инф о сети с помощью общедост данных и приложений. СР проводится в форме запросов DNS (пом понять, кто владеет доменом, какие адреса этому домену присвоены), эхо-тестирования (ping sweep; какие хосты реально работают в данной среде) и сканирования портов (чтобы составить полный список услуг, поддерживаемых этими хостами). И, наконец, хакер анализирует характ-ки приложений, работающих на хостах. В результате - инф, кот м исп для взлома.

Переадресация портов - разновидность злоупотребления доверием, когда взломанный хост исп-ся для передачи через МЭ трафика, кот был бы обязательно отбракован.

НСД не может считаться отдельным типом атаки. Большинство сет атак проводятся ради его получения.

Вирусы и приложения типа "троянский конь"

Рабочие станции конечных пользователей очень уязвимы для вирусов и троянских коней. Вирусы - вредоносные программы, которые внедряются в другие программы для выполнения определенной нежелательной функции на РС конечного пользователя. "Троянский конь" - это не программная вставка, а настоящая программа, которая выглядит как полезное приложение, а на деле выполняет вредную роль. Борьба с вирусами и "троянскими конями" ведется с помощью эффективного антивирусного ПО, работающего на пользовательском уровне и, возможно, на уровне сети. Антивирусные средства обнаруживают большинство вирусов и "троянских коней" и пресекают их распространение.