Реагирование на инциденты

 

Итак, мы смогли настроить систему обнаружения атак, и на ее консоли появилось первое сообщение. Что дальше? Как вы должны среагировать на это сообщение? Пропустить, как незначащее, или со всех ног бежать разбираться, что же случилось? Процесс принятия решения о действиях в случае обнаружения атак и их выполнение и называется реагированием на инциденты.

Исторически сложилось так, что обнаружение атак и реагирование на них были самостоятельными процессами. Однако постепенно грань между ними стиралась, и представить сейчас современные системы обнаружения атак без таких механизмов просто невозможно. При этом реагирование может быть двояким. Первый тип реагирования уже не раз упоминался выше и заключается в реализации некоторых действий в ответ на зафиксированное событие. Например, это может быть реконфигурация межсетевого экрана или уведомление администратора об атаке. Можно видеть, что данный вариант реагирования оперирует только событиями безопасности, которые были описаны во главе 2. Но представим себе ситуацию, когда кто-то начинает против вашей сети атаку типа "отказ в обслуживании", подменяя при этом свой реальный адрес. Этот пример уже был описан выше. В таком случае необходимо иметь механизм или процедуру идентификации точного адреса злоумышленника, чтобы быть уверенным, что ваша система обнаружения атак не заблокирует санкционированного пользователя. Способность определить источник инцидента очень важна, иначе реагирование на него может привести к возникновению нового инцидента. Примером такого инцидента может служить блокировка учетной записи при превышении определенного числа неудачных попыток регистрации в системе. Злоумышленник, желающий заблокировать работу того или иного пользователя, может несколько раз попытаться зарегистрироваться под его именем. В результате учетная запись пользователя будет заблокирована. Кстати, об этом надо помнить при использовании систем анализа защищенности, исследующих стойкость системы парольной защиты.

 

Пример из жизни

В моей практике был случай, когда один из заказчиков с помощью Internet Scanner проверял узел, который выполнял функции контроллера домена. Настройки подсистемы управления учетными записями были таковы, что блокировка учетной записи (см. рис. 4.1) осуществлялась после третьей неправильной попытки регистрации в системе. Internet Scanner, проверяя контроллер домена, привел к ситуации, когда все учетные записи пользователей домена оказались заблокированными.

 

Следовательно, способность дифференцировать источники атаки очень важна для выбора того или иного варианта реагирования. Рассмотренный выше случай достаточно прост, но это не значит, что проблема не актуальна. В доказательство можно привести более серьезный пример. Например, в фильме "Военные игры" молодой вундеркинд "влез" в компьютерную военную систему и имитировал "вторжение" неприятеля на территорию США. Компьютер Министерства обороны посчитал все это за "чистую монету" и предпринял ответные действия в виде приведения Вооруженных Сил США в боевую готовность. Всего несколько секунд отделяло мир от начала ядерной катастрофы. И этот пример не выдумка режиссеров. Такая ситуация может возникнуть и сейчас.

Необходимо заметить, что многие инциденты приводят к тому, что не меньше форм реагирования на эти инциденты становятся неприменимыми. Например, нашумевший в 1988 году "червь Морриса" заблокировал многие узлы Internet, которые использовались специалистами разных стран в области безопасности для координации своих действий. При этом электронная почта была единственным средством общения между ними. Аналогичный случай произошел в США совсем недавно, когда из-за аварии вышло из строя большое количество пейджеров, на которые передавались сообщения об инцидентах для многих групп реагирования (Response Team). Надежный вариант реагирования не должен зависеть от воздействия атаки.

Итак, надеюсь, что необходимость однозначной идентификации источника атаки не вызывает сомнений. Но если вновь обратиться к главе 2, то мы заметим, что модель атаки не оперирует понятием "источник", — оно возникает только в модели "инцидент". И именно с этим связан тот факт, что современные системы обнаружения атак не могут однозначно идентифицировать источник несанкционированной деятельности. Решить данную задачу поможет процесс реагирования на инциденты, который также позволяет быстро и своевременно предпринять соответствующие ответные действия.

Как уже вкратце упоминалось в главе 7, первое, что необходимо сделать до начала эксплуатации системы обнаружения атак, — это определить, кто будет ее эксплуатировать и контролировать? Вряд ли оправдано использовать высококвалифицированного эксперта, сидящего за консолью системы обнаружения атак и ожидающего появления сигнала тревоги. В большинстве случаев такую функцию выполняет "не подкованный" в области сетевой безопасности оператор, который может даже и не знать, что такое Ping of Death или Windows OOB. Многие современные системы обнаружения атак ранжируют все обнаруживаемые события по степени риска, но практически ни одна из них не дает советов, что делать в случае обнаружения такой атаки.

Поэтому необходимо разработать и утвердить документы, описывающие все действия, которые следует выполнять операторам при обнаружении атак.

При этом на одно и то же нападение, в зависимости от сопутствующих факторов, реагирование может быть разным. Например, вы зафиксировали сканирование портов вашего межсетевого экрана. Если он настроен хорошо, то это не очень серьезная угроза, которая требует только фиксации адреса нарушителя. Но если ваш межсетевой экран поддерживает возможность создания VPN, и сканирование портов осуществляется от вашего партнера, с которым у вас установлено защищенное соединение, то такой случай является значительно более неприятным по сравнению с предыдущим. Это означает, что или сеть вашего партнера была скомпрометирована, или кто-то из его сотрудников пытается вторгнуться в вашу сеть. Рассматриваемый инцидент требует более серьезного изучения и уже не входит в компетенцию оператора, который по своей неопытности не может делать различий между этими вариантами. Без наличия соответствующего руководящего документа он просто может не обратить должного внимания на второй случай.

И даже для достаточно опытного операторы многие сообщения системы обнаружения атак являются сущей "китайской грамотой". Например, на консоль выдается сообщение об обнаружении использования уязвимости "dot-dot" или переполнении буфера демона statd. Система обнаружения атак должна описывать каждое из замеченных ею событий. Пока не все современные средства защиты могут похвастаться этим. По результатам многих испытаний лучшей системой, "объясняющей" каждую из атак, являются RealSecure компании ISS. Щелчок кнопкой мыши на сообщении, соответствующем каждой из обнаруженных атак, открывает окно с подробной интерпретацией каждой атаки, начиная с описания механизма работы и подверженных этой атаке операционных систем и заканчивая случаями ложного обнаружения атаки и мерами, позволяющими в дальнейшем устранить возможность ее реализации. Компании Cisco и ISS разрешают самим пользователям настраивать выдаваемые сообщения, что существенно облегчает использование этих систем у заказчика.

Теперь допустим, что оператор смог правильно идентифицировать и зарегистрировать атаку. Он определил, что атака не ложная и имеет высокую степень риска. А что дальше? Какие действия он должен выполнить при переходе обнаруженного события в реальный инцидент? Например, злоумышленник, /используя уязвимость Web-сервера, смог получить на нем права администратора и изменить заглавную HTML-страницу в виртуальном представительстве вашей компании. Что должен сделать оператор в этом случае? Отключить Web-сервер от сети и позвонить Web-мастеру? Переустановить операционную систему и ПО Web-сервера? Добавить автоматическое блокирование соединения с зарегистрированным IP-адресом для предотвращения любых будущих атак с данного адреса? Или же?..

Обработка инцидентов — очень сложный механизм, реализовать который самостоятельно системе обнаружения атак не под силу. В лучшем случае она сможет в зависимости от цели, типа и степени риска атаки выполнить то или иное действие. Например, разорвать соединение с атакующим узлом или реконфигурировать маршрутизатор или межсетевой экран. Но, во первых, правильно принять решение о том, КАК надо реагировать на обнаруженное событие, должен человек, а уж система обнаружения атак — просто исполнитель этого решения. А во-вторых, автоматическая реакция может обернуться негативной стороной, как это уже было не раз продемонстрировано выше.

Все вышесказанное подводит нас к мысли, что функции реагирования на инциденты должны быть возложены на специальную команду, которая согласно [Jet2-00], "выполняет, координирует и поддерживает реагирование на нарушения, затрагивающие информационные системы в пределах определенной зоны ответственности". Данная группа, называемая группой реагирования на инциденты безопасности (Computer Security Incident Response Team, CSIRT), должна действовать в рамках описанных в политике безопасности процедур. В первую очередь должно быть определено, что входит в компетенцию группы реагирования на инциденты, чтобы не получилось ситуации, когда CSIRT дублирует функции отдела автоматизации, в который пользователи обращаются по всякому важному и неважному поводу. Главным образом, вы должны реализовать ряд нижеперечисленных эффективных защитных мер.

· В процессе создания группы реагирования на инциденты вы должны обозначить круг лиц, которые должны привлекаться всякий раз, когда зафиксирован инцидент. Необязательно (хотя и крайне желательно), чтобы эти специалисты занимались только реагированием на инциденты – ведь не каждый же день вы подвергаетесь атакам (если конечно вы — не очень известная компания или Internet-портал). Например, группа реагирования может состоять из сотрудников отдела телекоммуникаций, отдела автоматизации, отдела защиты информации и т. д.

· Необходимо разработать руководящие документы, описывающие варианты реагирования. Например, вы должны решить, позволять ли осуществлять атаку злоумышленнику в случае нападения или сразу прекратить ее. Иногда, для предоставления доказательств в суд или иную инстанцию, необходимо не прерывать атаку, а собирать дополнительную информацию об атакующем и его действиях. Для этого можно применять обманные системы, завлекающие злоумышленника в ловушку.

· Важно разработать руководящие документы, регламентирующие варианты связи с другими людьми в случае обнаружения атаки. Вы информируете об атаке своего руководителя и т. д. вплоть до руководства компании или распространяете сообщение также среди всех заинтересованных лиц по горизонтали? Вы принимаете участие в таких организациях, как RU-CERT при РосНИИРОС или нет? Вы сообщаете об атаке в Управление "Р" или иное соответствующее ведомство (отделы, аналогичные управлению "Р", созданы в ФСБ, МО и т. д.) или придерживаете информацию? Вы уведомляете об атаке ваших партнеров, которые подключены к вашей сети и также могут быть скомпрометированы? Вы скрываете факт атаки от СМИ или наоборот — афишируете его? Все эти вопросы требуют ответа.

· Оповестите свой персонал о создании группы реагирования на инциденты и ее функциях. Для этого, с одной стороны, можно разослать циркулярный документ, описывающий цели и задачи формируемой группы, а с другой — можно создать внутренний информационный Web-сервер, содержащий информацию о зафиксированных инцидентах, а также форму для заполнения ее пользователем в случае возникновения такой ситуации. Примером подобной формы является бланк, созданный отечественной или зарубежной группами реагирования на инциденты (http://www.cert.ru или ftp://info.cert.org/incident_reporting_form).

Группа реагирования на инциденты помимо функций, вытекающих из ее названия, может выполнять и другие действия [Brown1-98].

· Публиковать анонсы уязвимостей и атак, как это делает, например, Х-Force.

· Составлять технические отчеты о тех или иных уязвимостях или атаках.

· Проводить обучение.

· Выполнять анализ защищенности и риска.

· Осуществлять консалтинг в области безопасности.

· Разрабатывать средства для реагирования на инциденты и отслеживания злоумышленников.

Такие группы могут действовать в рамках всего сообщества Internet (например, CERT), в пределах одной страны (например, RU-CERT), в границах отдельного ведомства (например, CIAC), отдельного производителя или компании [Brown1-99]. В данной книге нас в первую очередь интересует именно последний вариант.

Можно выделить 6 этапов реагирования на инциденты [SANS1-98].

1. Подготовка. Данная стадия включает в себя разработку политики безопасности различных документов, уже описанных выше.

2. Идентификация. На этом этапе определяется, действительно ли произошел инцидент, и если он подтвержден, то определяются параметры данного инцидента (адрес злоумышленника, путь атаки, доказательства атаки и т. д.).

3. Сдерживание. Цель этапа — как можно быстрее локализовать инцидент и
не дать ему распространиться дальше.

4. Устранение. Данный этап предназначен для устранения проблемы
(например, уязвимости), приведшей к инциденту.

5. Восстановление. Результатом осуществляемых здесь действий является
полное восстановление системы после инцидента.

6. Обратная связь. На заключительном шаге подробно описывается и изучается зафиксированный инцидент с тем, чтобы в случае его повтора свое
временно предпринять ответные меры.

Подробное рассмотрение процесса реагирования на инциденты выходит за рамки рассмотрения данной книги, посвященной технологии обнаружения атак и системам, ее реализующим. Для более глубокого изучения затронутой темы я могу порекомендовать следующие источники: [Navy1-96] [Northcutt1-96], [NRL1-95], [Wack1-91], [Smith1-94], [Chen1-00], [Chen1-95], [Longstaff1-93], [Brownlee1-96].

 

 

Заключение

 

До недавнего времени специалисты в области безопасности сталкивались с несанкционированными действиями, которые могут быть отнесены к первым двум поколениям атак [Schneier1-00]. Первое поколение — так называемые физические атаки, которые направлены против компьютеров, коммуникационного оборудования и других физических устройств. Это было первое поколение атак, для борьбы с которыми были разработаны достаточно эффективные способы защиты (протоколы HSRP, VRRP, кластерные технологии и т. д.). Второе поколение атак — это нападения на логические составляющие информационных систем (операционные системы, программное обеспечение и т. д.), которые могут быть реализованы вследствие различных слабостей в алгоритмах и проектах, ошибках при реализации и в конфигурации.

 

Атака на Emulex Corp.

25 августа 2000 года служба распределения пресс-релизов Internet Wire получила сообщение от компании Emulex Corp., в котором говорилось, что исполнительный директор этой компании ушел в отставку. Служба Internet Wire, не проверив корректность данного сообщения, распространила его среди своих подписчиков. Некоторые другие службы также распространили данное сообщение, которое на самом деле являлось подделкой. В результате курс акций компании Emulex упал на 61% (со $113 до $43), чем не преминул воспользоваться злоумышленник, создавший ложный пресс-релиз.

 

Приведенный пример демонстрирует третье поколение атак, против которых практически бессильны современные автоматизированные средства защиты. Данная книга посвящена именно второму поколению атак и способам их обнаружения. В этой книге я попытался рассказать о том, на что стоит обращать внимание при создании инфраструктуры обнаружения атак. Однако, создав ее, вы еще не полностью обезопасили себя от атак. И это надо понимать. Система обнаружения атак, пусть даже самая эффективная, – это всего лишь основополагающее, но явно недостаточное условие для обеспечения эффективной информационной безопасности организации. Heобходимо провести целый спектр организационных и технических мероприятий для построения целостной системы защиты вашей организации. Это и анализ рисков, и разработка политики безопасности, и установка и настройка различных средств защиты (межсетевые экраны, системы анализа защищенности и т. д.), и обучение специалистов, и т. д.

Подводя итог, можно сказать, что система обнаружения атак — это больше, чем несколько сенсоров, установленных на различных узлах корпоративной сети. Эффективная и надежная система обнаружения атак позволяет собирать и анализировать информацию от множества удаленных системных и сетевых агентов на центральной консоли. Она позволяет сохранять эту информацию для более позднего анализа и предоставляет средства для проведения такого анализа. Эта система постоянно контролирует все установленные агенты и мгновенно реагирует в случае возникновения тревоги. И, наконец, система обнаружения атак не более чем "дорогостоящая игрушка", если у вас в штате нет экспертов в области защиты информации, которые знают, как использовать эту систему и как реагировать на постоянно растущую информационную угрозу. Использование всех этих компонентов в комплексе образует реальную и эффективную систему обнаружения атак [Пауэр1-00].

Итак, если вы хотите:

· иметь гарантии, что практически все существующие и вновь появляющиеся в сети уязвимости будут найдены;

· быть уверенными, что все системы сконфигурированы не противоречащим политике безопасности компании образом;

· твердо знать, что почти все потенциально враждебные уязвимости и атаки обнаруживаются вовремя и им своевременно противопоставляются соответствующие механизмы и средства защиты;

· обеспечить в реальном времени, не останавливая функционирование сети, реконфигурацию программного и аппаратного обеспечения сети в случае возникновения угрозы;

· поддержать своевременное уведомление ответственных за сетевую безопасность о возникающих проблемах;

· обеспечить анализ тенденций для более эффективного планирования защиты сети,

то решение этих проблем достигается за счет применения технологий обнаружения атак. Современное поколение систем обнаружения атак, описанных в книге, — это только начало пути. В будущем мы увидим, что эти системы будут сочетать обнаружение аномального поведения и злоупотреблений, и, смеем надеяться, что они постепенно начнут очень тесно интегрироваться с межсетевыми экранами и другими средствами защиты. Так что следите развитием технологий в этой области, и широко используйте их сегодня: сеть, которую вы спасаете, может быть вашей собственной [Ранум1-98].

 

 

Приложение 1

Список портов, используемых "троянскими конями"

 

№	Порт	Название
		Death
		Senna Spy FTP Server
		Back Construction, Blade Runner, Doly Trojan, Fore, Invisible FTP, Juggernaut 42, Larva, Motlv FTP, Net Administrator, Senna Spy FTP Server, Traitor 21, WebEx,WinCrash
		Shaft
		Fire Hacker, Tiny Telnet Server — TTS, Truva Atl
		Ajan, Antigen, Email Password Sender—EPS, EPS II, Gip, Gris, Нарру99, Hpteam mail, I love you, Kuang2, Magic Horse, МВТ (Mail Bombing Trojan), Moscow Email trojan, Naebi, NewApt worm, Pro-Mail trojan, Shtirlitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
		Agent 31, Hackers Paradise, Masters Paradise
		Deep Throat, Foreplay or Reduced Foreplay
		DRAT
		DRAT
		DMSetup
		CDK, Firehotcker
		AckCmd, Back End, CGI Backdoor, Executor, Hooker, RingZero
		RemoConChubo
		Hidden Port
		ProMail trojan
		Invisible Identd Deamon, Kazimas
		Нарру99
		JammerKillah
		Net Controller
		Farnaz
		NetTaxi
	146 (TCP/UDP	Infector
		A-trojan

(продолжение)

№	Порт	Название
		Backage
		Breach
		TCP Wrapper trojan
		Hackers Paradise
		Grlogin
		RPC Backdoor
		Rasmin
		Ini-Killer, Net Administrator, Phase Zero, Phase-0, Stealth Spy
		Secret Service
		Attack FTP, Back Construction, Cain & Abel, NokNok, Satans Back Door – SBD, ServU, Shadow Phyre
		SniperNet
		DP trojan
		GayOL
		AimSpy, Undetected
		WinHole
		Dark Shadow
		Deep Throat, Foreplay or Reduced Foreplay, WinSatan
		Der Spaher / Der Spaeher
		Der Spaher/Der Spaeher, Le Guardien, Silencer, WebEx
		Doly Trojan
		Doly Trojan
		Doly Trojan
		Doly Trojan
		Doly Trojan
		Vampire
		NetSpy
		BLA trojan
		Rasmin
		/sbin/initd

(продолжение)

№	Порт	Название
		MiniCommand
		AckCmd
		WinHole
		WinHole
		WinHole
		WinHole
		Xtreme
		Remote Administration Tool — RAT
		Remote Administration Tool — RAT
		Remote Administration Tool — RAT
		Blood Fest Evolution, Remote Administration Tool - RAT
		Psyber Stream Server — PSS, Streaming Audio Server, Voice
	1200 (UDP)	NoBackO
	1201 (UDP)	NoBackO
		SoftWAR
		Kaos
		Ultors Trojan
		BackDoor-G, SubSeven , SubSeven Apocalypse, Tiles
		Voodoo Doll
		Scarab
		Project NEXT
		Matrix
		NETrojan
		Millenium Worm
		Bo dll
		FTP99CMP
		Trinoo
		Shivka-Burka
		Scarab

(продолжение)

№	Порт	Название
		SpySender
		Fake FTP
		Opc BO
		Bowl, Shockrave
		Back Door, TransScout
		Der Spaher / Der Spaeher, Insane Network
		Der Spaher / Der Spaeher, Trojan Cow
		Ripper Pro
		WinHole
		Bugs
	2140 (UDP)	Deep Throat, Foreplay or Reduced Foreplay
		Illusion Mailer
		Nirvana
		Hvl RAT
		Xplorer
	2339 (TCP/UDP)	Voice Spy — OBS!!! namnen har bytt plats
		Doly Trojan
		Striker trojan
		WinCrash
		Digital RootBeer
		The Prayer
		SubSeven , SubSeven 2.1 Gold
		Phineas Phucker
	2989 (UDP)	Remote Administration Tool - RAT
		Remote Shut
		WinCrash
		RingZero
		Masters Paradise

(продолжение)

№	Порт	Название
		The Invasor
	3150 (UDP)	Deep Throat, Foreplay or Reduced Foreplay
		Terror trojan
		Eclipse 2000, Sanctuary
		Portal of Doom - POD
		Total Solar Eclypse
		Total Solar Eclypse
		Skydance
		WinCrash
		Virtual Hacking Machine — VHM
		BoBo
		Prosiak, Swift Remote
		File Nail
		ICQ Trojan
		ICQ Trogen (Lm)
		Back Door Setup, BlazerS, Bubbel, ICKiller, Sockets des Troie
		Back Door Setup, Sockets des Troie
		Shaft, cd00r
		Solo
		One of the Last Trojans - OOTLT
		WM Remote KeyLogger
		Net Metropolitan
		Net Metropolitan
		FileHotcker
		WCrat - WC Remote Administration Tool
		Back Construction, Blade Runner
		Back Construction, Blade Runner
		Back Construction, Blade Runner

 

 

(продолжение)

№	Порт	Название
		Illusion Mailer
		Xtep
		ServeMe
		BO Facil
		BO Facil
		Robo-Hack
		PC Crasher
		PC Crasher
		WinCrash
		Portmap Remote Root Linux Exploit
	5882 (UDP)	Y3K RAT
		Y3K RAT
		The Thing
		Bad Blood
		Secret Service
		The Thing
		Dark Connection Inside, NetBus worm
		ScheduleAgent, Trinity, WinSatan
		Host Control, Vampire
		BackWeb Server, Deep Throat, Foreplay or Reduced Foreplay, Win-Nuke eXtreame
		BackDoor-G, SubSeven , VP Killer
		Funny trojan, SubSeven
		SubSeven
		Mstream
		Deep Throat, Foreplay or Reduced Foreplay
		2000 Cracks, BackDoor-G, SubSeven , VP Killer
	6838 (UDP)	Mstream
		Delta Source Dark Star
		Shit Heep

 

(продолжение)

№	Порт	Название
		Indoctrination
		GateCrasher, IRC 3, Net Controller, Priority
		GateCrasher
		Exploit Translation Server, Kazimas, Remote Grab, SubSeven 2.1 Gold
		FreakS
		SubSeven, SubSeven 2.1 Gold
		NetMonitor
		NetMonitor
		NetMonitor
		NetMonitor
		NetMonitor
	7424 (TCP/UDP)	Host Control
		Qaz
		Tini
		Back Door Setup, ICKiller
		Mstream
		Brown Orifice, RemoConChubo, RingZero
		Back Orifice 2000
		BacHack
		Rcon, Recon, Xcon
		Netministrator
	9325 (UDP)	Mstream
		InCommand
		Portal of Doom — POD
		Portal of Doom — POD
		Portal of Doom — POD
		Portal of Doom — POD
		Cyber Attacker, Rux
		TransScout

(продолжение)

№	Порт	Название
		Ini-Killer
		The Prayer
	10067 (UDP)	Portal of Doom - POD
		Syphillis
		Syphillis
		BrainSpy
		Portal of Doom - POD
		Acid Shivers
		Host Control
		Coma
	10666 (UDP)	Ambush
		Senna Spy Trojan Generator
		Host Control
		Host Control
		Progenic trojan, Secret Agent
		Gjamer
		Hack?99 KeyLogger
		cron / crontab, Fat Bitch trojan, GabanBus, icmp_pipe.c, Mypic, NetBus, NetBus Toy, NetBus worm, Pie Bill Gates, Whack Job, X-bill
		Fat Bitch trojan, GabanBus, NetBus, X-bill
		BioNet
		Whack-a-mole
		Whack-a-mole
	12623 (UDP)	DUN Control
		ButtMan
		Whack Job
		Mstream
		Senna Spy Trojan Generator

 

 

(продолжение)

№	Порт	Название
		Hacker Brasil - HBR
		PC Invader
		Host Control
		Mstream
		CDK
		Mosucker
		Stacheldraht
		ICQ Revenge
		Priority
		Mosaic
		Kuang2
		CrazzyNet
		Nephron
	18753 (UDP)	Shaft
		ICQ Revenge
		Millenium
		Millenium, Millenium (Lm)
		AcidkoR
		VP Killer
		NetBus 2.0 Pro, NetRex, Whack Job
		Chupacabra
		ВLA trojan
		Shaft
	20433(UDP)	Shaft
		GirlFriend, Kid Terror
		Exploiter, Kid Terror, Schwindler, Winsp00fer
		Donald Dick, Prosiak
		NetTrash
		Logged

 

(продолжение)

№	Порт	Название
		Amanda
		Asylum
		Evil FTP, Ugly FTP, Whack Job
	23476 (TCP/UDP)	Donald Dick
		Donald Dick
	26274 (UDP)	Delta Source
		Voice Spy — OBS!!! namnen har bytt plats
		Bad Blood, SubSeven, SubSeven 2.1 Gold, Subseven 2.1.4 DefCon 8
	27444 (UDP)	Trinoo
		SubSeven
		Trinoo
		NetTrojan
		The Unexplained
		ErrOr32
		Lamers Death
		AOL trojan
		NetSphere
		NetSphere
	30103 (TCP/UDP)	NetSphere
		NetSphere
		Sockets des Troie
		Intruse
		Kuang2
		Trinoo
		Bo Whack, Butt Funnel
		Back Fire, Back Orifice (Lm), Back Orifice russian, Baron Night, Beeone, BO client, BO Facil, BO spy, BO2, cron / crontab, FreakSS, icmp_pipe.c, Sockdmini

 

 

(продолжение)

№	Порт	Название
	31337 (UDP)	Back Orifice, Deep BO
		Back Orifice, Butt Funnel, NetSpy (DK)
	31338 (UDP)	Deep BO
		NetSpy (DK)
		BOWhack
		Hack'a'Tack
		Hack'a'Tack
	31789 (UDP)	Hack'a'Tack
		Hack'a'Tack
	31791 (UDP)	Hack'a'Tack
		Donald Dick
		Peanut Brittle, Project nEXT
		Acid Battery
		Trinity
		Blakharaz, Prosiak
		PsychWard
		PsychWard
		Spirit 2000, Spirit 2001
		Big Gluck, TN
		Donald Dick
	34555 (UDP)	WinTrinoo
	35555 (UDP)	WinTrinoo
		Yet Another Trojan - YAT
		The Spy
		Agent 40421, Masters Paradise
		Masters Paradise

 

(окончание)

№	Порт	Название
		Masters Paradise
		Masters Paradise
		Remote Boot Tool — RBT
		Prosiak
	47262(UDP)	Delta Source
		Sockets des Troie
		Fore, Schwindler
		Cafeini
		Acid Battery 2000
		Remote Windows Shutdown - RWS
		SubSeven , SubSeven 2.1 Gold
		Back Orifice
		Back Orifice, School Bus
		NetRaider
		Butt Funnel
		Deep Throat, Foreplay or Reduced Foreplay, Sockets des Troie
		Xzip 60068
		Connection
		Bunker-Hill
		TeleCommando
		Bunker-Hill
		Bunker-Hill
		Taskman / Task Manager
		Devil, Sockets des Troie, Stacheldraht
	65432 (TCP/UDP)	The Traitor (=th3tr41t0r)
		/sbin/initd
		RC1 trojan

 

Последнее изменение: 13 ноября 2000 г.

 

Приложение 2

Список сокращений

 

AAFID — An Architecture For Intrusion Detection

ACL — Access Control List

ACM — Association for Computing Machinery

AFIWC — Air Force Information Warfare Center

AFRL — Air Force Research Laboratory

AID — Adaptive Intrusion Detection system

ANSA — Adaptive Network Security Alliance

ANSMM — Adaptive Network Security Manager Module

API — Application Programming Interface

ASAX — Advanced Security Audit-trail Analysis on uniX

ASIM — Automated Security Incident Measurement

ASIS — American Society for Industrial Security

ASSIST — Automated Systems Security Incident Support Team

AUBAD — Automated User Behavior Anomaly Detection system

CASL — Custom Audit Scripting Language

CCI — Common Content Inspection

CCSE — Check Point Certified Security Engineer

CD-ROM — Compact Disk Read-Only-Memory

CD-RW — Compact Disk Read-Write

CERIAS — Center for Education and Research in Information Assurance and Security

CERT — Computer Emergency Response Team

CIAC — Computer Incident Advisory Capability

CID — Common Intrusion Detection

CIDDS — Common Intrusion Detection Director System

CIDF — Common Intrusion Detection Framework

CIRT — Computer Incident Response Team

CISL — Common Intrusion Specification Language

CISSP — Certified Information System Security Professional

CLIPS — С Language Integrated Production System

CMOS — Computer Misuse Detection System

COAST — Computer Operations Audit and Security Technology

COPS — Computerized Oracle and Password System

CRC — Cyclic Redundancy Check

CSI — Computer Security Institute

CSIRT — Computer Security Incident Response Team

CSTC — Computer Security Technology Center

CVE — Common Vulnerabilities and Exposures или Common Vulnerability Enumeration

DARPA — Defense Advanced Research Projects Agency

DDoS — Distributed Denial of Service

DHCP — Dynamic Host Configuration Protocol

DIDS — Distributed Intrusion Detection System

DISA — Defense Information Systems Agency

DMZ — DeMilitarized Zone

DNS — Domain Name Service или Domain Name System

DoS — Denial of Service

DTK — The Deception Toolkit

EMERALD — Event Monitoring Enabling Responses to Anomalous Live Disturbances

ESM — Enterprise Security Manager

FBI — Federal Bureau of Investigation's

FDDI — Fiber Distributed Data Interface

FedCIRC — Federal Computer Incident Response Capability

FIRST — Forum of Incident Response and Security Teams

FISSEA — Federal Information Systems Security Educator's Association

FTP — File Transfer Protocol

GAO — General Accounting Office

GASSATA — Genetic Algorithm for Simplified Security Audit Trail Analysis

GCFW — GIAC Certified Firewall Analyst

GCIA — GIAC Certified Intrusion Analyst

GCIH — GIAC Certified Incident Handler

GCNT — GIAC Certified Windows Security Administrator

GCUX — GIAC Certified Unix Security Administrator

GIAC — Global Incident Analysis Center

GrIDS — Graph-based Intrusion Detection System

GSE — GIAC Security Engineer

GSEC — GIAC Security Essentials Certification

HTTP — Hyper-Text Transfer Protocol

IANA — Internet Assigned Number Authority

IAP — Intrusion Alert Protocol

ICAT — Internet Categorization of Attacks Toolkit

ICMP — Internet Control Message Protocol

ICSA — International Computer Security Association

ICT — ISS Certified Trainer

IDES — Intrusion Detection Expert System.

IDIP — Intruder Detection and Isolation Protocol

IDLE — Intrusion Data Library Enterprise

IDS — Intrusion Detection Systems

IDSC — Intrusion Detection Systems Consortium

IDT — Intrusion Detection Tools

IDWG — Intrusion Detection Working Group (IETF)

IETF — Internet Engineering Task Force

IFIP — International Federation for Information Processing

IIS — Internet Information Server

IP — Internet Protocol

IPX — Internetwork Packet eXchange

ISACA — Information Systems Audit and Control Association

ISC2 — International Information Systems Security Certification Consortium

ISP — Internet Service Provider

ISS — Internet Security Systems

ISSA — Information Systems Security Association

IT — Information Technology

ITA — Intruder Alert

LDAP — Lightweight Directory Access Protocol

LIDS — Linux Intrusion Detection Systems

MIDAS — Multics Intrusio