Meniul
AcasăWindows 10

Atacurile de bază ale rețelei. Ce este un atac de rețea. Determinarea vulnerabilităților gazdei

Am vorbit puțin despre cine sunt hackerii, iar în acest articol vreau să continui acest subiect și să scriu despre tipurile de atacuri ale hackerilor și să dau recomandări pentru prevenirea acestora.

Atac(atacul) asupra unui sistem informatic este o acțiune sau o secvență de acțiuni interconectate a unui intrus care duce la implementarea unei amenințări prin exploatarea vulnerabilităților acestui sistem informațional. Să începem să studiem atacurile:

Pescuit

Pescuit (sau phishing). Scopul acestuia este de a obține informații (parole, numere de card de credit etc.) sau bani de la utilizatori. Această tehnică nu se adresează unui utilizator, ci mai multor. De exemplu, scrisorile presupuse de la serviciul de suport tehnic sunt trimise tuturor clienților cunoscuți ai unei bănci.

Scrisorile conțin de obicei o solicitare de a trimite o parolă în contul dvs., presupusa din cauza unor lucrări tehnice efectuate. Astfel de scrisori sunt de obicei foarte plauzibile și bine scrise, ceea ce poate captiva utilizatorii creduli.

Recomandări: Paranoia este cea mai bună apărare. Nu ai încredere în nimic suspect, nu da nimănui informațiile tale. Administratorii nu trebuie să vă cunoască parola dacă este folosită pentru a accesa serverul lor. Ei controlează pe deplin serverul și pot vizualiza singuri parola sau o pot schimba.

Inginerie sociala

Ingineria socială nu este o tehnică tehnică, ci o tehnică psihologică. Folosind datele obținute în timpul inventarierii, un atacator poate suna un utilizator (de exemplu, într-o rețea corporativă) în numele administratorului și poate încerca să-i afle parola, de exemplu.

Acest lucru devine posibil atunci când, în rețelele mari, utilizatorii nu cunosc toți angajații și cu atât mai mult nu pot recunoaște întotdeauna cu exactitate prin telefon. În plus, sunt folosite tehnici psihologice complexe, astfel încât șansa de succes crește foarte mult.

Recomandări: la fel. Dacă există într-adevăr o nevoie, atunci furnizați informațiile necesare în persoană. Dacă v-ați notat parola pe hârtie, nu o lăsați nicăieri și, dacă este posibil, distrugeți-o și nu o aruncați doar la gunoi.

DoS

DoS (Denial of Service sau Refuzal of Service). Acesta nu este un atac separat, ci rezultatul unui atac; folosit pentru a dezactiva sistemul sau programele individuale. Pentru a face acest lucru, hackerul creează o solicitare către un program într-un mod special, după care nu mai funcționează. Este necesară o repornire pentru a readuce programul la starea de funcționare.

Ştrumf

Smurf (un atac care vizează erorile de implementare a protocolului). Acum acest tip de atac este considerat exotic, dar mai devreme, când protocolul TCP-IP era destul de nou, conținea o serie de erori care făceau posibilă, de exemplu, falsificarea adreselor IP.

Cu toate acestea, acest tip de atac este folosit și astăzi. Unii experți disting TCP Smurf, UDP Smurf, ICMP Smurf. Desigur, această diviziune se bazează pe tipul de pachete.

Furtuna UDP

UDP Storm (UDP storm) - folosit dacă cel puțin două porturi UDP sunt deschise pe victimă, fiecare dintre acestea trimitend un fel de răspuns expeditorului. De exemplu, portul 37 cu serverul de timp trimite la cerere data și ora curente. Atacatorul trimite un pachet UDP la unul dintre porturile victimei, dar specifică adresa victimei și al doilea port UDP deschis al victimei ca expeditor.

Apoi porturile încep să răspundă la nesfârșit unele la altele, ceea ce reduce performanța. Furtuna se va opri de îndată ce unul dintre pachete va dispărea (de exemplu, din cauza supraîncărcării resurselor).

Bombă UDP

Bombă UDP – un atacator trimite un pachet cu câmpuri de date de serviciu incorecte către sistemul UDP. Datele pot fi deteriorate în orice fel (de exemplu, lungimi incorecte de câmp, structură). Acest lucru poate duce la un accident. Recomandări: Actualizați software-ul.

Bombardament prin corespondență

Bombardament prin corespondență. Dacă computerul atacat are un server de e-mail, atunci îi sunt trimise un număr mare de mesaje de e-mail pentru a-l dezactiva.

În plus, astfel de mesaje sunt salvate pe hard disk-ul serverului și îl pot umple, ceea ce poate provoca DoS. Desigur, acum acest atac este mai degrabă istorie, dar în unele cazuri poate fi încă folosit. Recomandări: configurarea corectă a serverului de e-mail.

Adulmecând

Sniffing (Sniffing sau ascultarea rețelei). Dacă în rețea sunt instalate hub-uri în loc de comutatoare, pachetele primite sunt trimise către toate computerele din rețea, iar apoi calculatoarele determină dacă acest pachet este pentru ei sau nu.

Dacă un atacator obține acces la un computer care este inclus într-o astfel de rețea sau obține acces direct la rețea, atunci toate informațiile transmise în cadrul segmentului de rețea, inclusiv parolele, vor deveni disponibile.

Atacatorul va pune pur și simplu placa de rețea în modul de ascultare și va accepta toate pachetele indiferent dacă i-au fost destinate.

Puteți afla mai multe în articolul „“.

Deturnarea IP

IP Hijack (deturnarea IP). Dacă există acces fizic la rețea, atunci un atacator poate „taia” cablul de rețea și poate acționa ca intermediar în transmiterea pachetelor, ascultând astfel tot traficul dintre două computere. O metodă foarte incomodă care de multe ori nu se justifică, cu excepția cazurilor în care nu poate fi implementată o altă metodă.

O astfel de includere în sine este incomodă, deși există dispozitive care simplifică puțin această sarcină, în special, monitorizează numerotarea pachetelor pentru a evita eșecul și posibila detectare a intruziunii canalului.

Server DNS simulat

Server DNS fals (Server DNS fals). Dacă setările de rețea sunt setate în modul automat, atunci când este conectat la rețea, computerul „întreabă” cine va fi serverul său DNS, căruia îi va trimite ulterior solicitări DNS.

Dacă există acces fizic la rețea, un atacator poate intercepta o astfel de solicitare de difuzare și poate răspunde că computerul său va fi serverul DNS.

După aceasta, el va putea trimite victima înșelată pe orice rută. De exemplu, o victimă dorește să meargă pe site-ul unei bănci și să transfere bani, un atacator îi poate trimite pe computerul său, unde va fi fabricat un formular de introducere a parolei. După aceasta, parola va aparține hackerului.

Aceasta este o metodă destul de complicată, deoarece atacatorul trebuie să răspundă victimei înaintea serverului DNS.

Falsificarea IP

IP-Spoofing (Spoofing sau înlocuirea adresei IP). Atacatorul își înlocuiește IP-ul real cu unul fictiv. Acest lucru este necesar dacă numai anumite adrese IP au acces la resursă. Atacatorul trebuie să-și schimbe IP-ul real cu unul „privilegiat” sau „de încredere” pentru a obține acces. Această metodă poate fi folosită în alte moduri.

După ce două computere au stabilit o conexiune între ele verificându-și parolele, atacatorul poate determina victima să supraîncărcare resursele rețelei cu pachete special concepute. Astfel, el poate redirecționa traficul către el însuși și astfel ocolește procedura de autentificare.

Recomandări: amenințarea va fi redusă prin reducerea timpului pachetului de răspuns cu steagurile SYN și ACK setate, precum și prin creșterea numărului maxim de solicitări SYN pentru stabilirea unei conexiuni în coadă (tcp_max_backlog). De asemenea, puteți utiliza SYN-Cookies.

Vulnerabilități software

Vulnerabilități software. Exploatarea erorilor din software. Efectul poate varia. De la primirea de informații nesemnificative până la obținerea controlului complet asupra sistemului. Atacurile prin erori software sunt cele mai populare din toate timpurile.

Erorile vechi sunt corectate de versiuni noi, dar în versiunile noi apar erori noi care pot fi folosite din nou.

Viruși

Cea mai frecventă problemă cunoscută utilizatorului obișnuit. Ideea este de a introduce un program rău intenționat în computerul utilizatorului. Consecințele pot fi diferite și depind de tipul de virus care infectează computerul.

Dar, în general, de la furtul de informații la trimiterea de spam, organizarea atacurilor DDoS, precum și obținerea controlului complet asupra computerului. Pe lângă fișierul atașat scrisorii, virușii pot pătrunde în computer prin unele vulnerabilități ale sistemului de operare.

Recomandări: Folosiți software antivirus. Nu te limita doar la DrWEB sau Kaspersky Anti-Virus (pentru că nu verifică registrul), folosește antivirusuri specializate împotriva programelor malware, de exemplu Ad-Aware, SpyBot, XSpy.

De asemenea, nu deschideți atașamente suspecte sau, în general, nu deschideți programe de la expeditori necunoscuți. Chiar dacă expeditorul vă este familiar, verificați mai întâi cu un antivirus.

Clasificarea atacurilor

1. După natura impactului

  • pasiv
  • activ

Impact pasiv asupra unui sistem de calcul distribuit- un impact care nu afectează direct funcționarea sistemului, dar poate încălca politica de securitate a acestuia.

Expunerea pasivă de la distanță este practic nedetectabilă.

Exemplu: ascultarea unui canal de comunicare într-o rețea.

Influență activă asupra unui sistem de calcul distribuit- un impact care are un impact direct asupra funcționării sistemului (modificarea configurației DCS, defecțiune etc.) și încalcă politica de securitate adoptată în acesta.

Aproape toate tipurile de atacuri de la distanță sunt influențe active. O trăsătură a influenței active în comparație cu influența pasivă este posibilitatea fundamentală de detectare a acesteia, deoarece în urma implementării sale apar anumite schimbări în sistem. Spre deosebire de expunerea activă, pasivă nu lasă urme.

2. După scopul influenţei

  • încălcarea confidențialității informațiilor
  • încălcarea integrității informațiilor
  • întrerupere a performanței sistemului (disponibilitate)

Când informațiile sunt interceptate, confidențialitatea acesteia este încălcată.

Exemplu: ascultarea unui canal din rețea.

Când informația este distorsionată, integritatea acesteia este încălcată.

Exemplu: introducerea unui obiect fals într-un DVR.

În cazul unei defecțiuni, accesul neautorizat nu are loc, de exemplu. Integritatea și confidențialitatea informațiilor sunt menținute, dar accesul la acestea de către utilizatorii legali este, de asemenea, imposibil.

3. După starea începerii impactului

  • Atacul la cererea obiectului atacat
  • Atacul la apariția unui eveniment așteptat asupra obiectului atacat
  • Atacul neconditionat

În cazul unei cereri, atacatorul se așteaptă ca potențiala țintă a atacului să transmită o solicitare de un anumit tip, care va fi condiția pentru începerea impactului.

Exemplu: interogări DNS și ARP în stiva TCP/IP.

În cazul unui eveniment, atacatorul monitorizează constant starea sistemului de operare al țintei de la distanță a atacului și, atunci când are loc un anumit eveniment în acest sistem, începe să-l influențeze.

Inițiatorul atacului este obiectul atacat.

Exemplu: întreruperea sesiunii unui utilizator cu un server în sistemele de operare în rețea fără a lansa comanda LOGOUT.

În cazul unui atac necondiționat, începutul implementării acestuia este necondiționat în raport cu ținta atacului, adică atacul este efectuat imediat și indiferent de starea sistemului și a obiectului atacat. Prin urmare, în acest caz, atacatorul este inițiatorul atacului.

4. Pe baza prezenței feedback-ului de la obiectul atacat

  • cu feedback
  • fără feedback (atac unidirecțional)

Atacul de feedback- un atac în timpul căruia atacatorul primește un răspuns de la obiectul atacat la o parte din acțiunile sale. Aceste răspunsuri sunt necesare pentru a putea continua atacul și/sau a-l desfășura mai eficient, răspunzând la schimbările care apar în sistemul atacat.

Atacul fără feedback- un atac care are loc fără a reacționa la comportamentul sistemului atacat.

Exemplu: refuzul serviciului (DoS).

5. După locația atacatorului în raport cu obiectul atacat

  • intrasegmental
  • intersegmentală

Atacul intra-segment- un atac în care subiectul și obiectul atacului sunt situate în cadrul aceluiași segment de rețea, unde segmentul este o combinație fizică de stații care utilizează dispozitive de comunicație nu mai mari decât nivelul legăturii.

Atacul intersegment- un atac în care subiectul și ținta atacului sunt situate în diferite segmente de rețea.

6. După numărul de atacatori

  • distribuite
  • nealocate

Atacul distribuit- un atac efectuat de doi sau mai mulți atacatori pe același sistem informatic, uniți printr-un singur plan și timp.

Atac nedistribuit efectuat de un atacator.

7. După nivelul modelului de referință ISO/OSI la care se realizează impactul

  • fizic
  • conductă
  • reţea
  • transport
  • sesional
  • reprezentant
  • aplicat

2. Clasificarea metodelor de detectare și protecție împotriva atacurilor

Clasificarea mijloacelor de securitate

informații despre nivelurile modelului ISO/OSI

conform standardului ISO 7498-2.

Nivelul fizic.

Facilitățile oferite la acest nivel sunt limitate la confidențialitatea conexiunii și confidențialitatea fluxului de date, conform ISO 7498-2.Confidențialitatea la acest nivel este asigurată de obicei prin criptarea biților. Aceste facilități pot fi implementate ca aproape transparente, adică fără apariția unor date suplimentare (cu excepția stabilirii unei conexiuni).

Integritatea și autentificarea nu sunt de obicei posibile aici din cauza faptului că interfața la nivelul de biți al acestui strat nu are capabilitățile de a transporta datele suplimentare necesare pentru implementarea acestor facilități. Cu toate acestea, utilizarea tehnologiilor de criptare adecvate la acest nivel poate oferiaceste fonduri la niveluri superioare.

De exemplu, modelele criptografice precum DES în modul feedback de ieșire nu oferă prea multeExistă o mulțime de erori la modificarea textului cifrat, așa că acest mod ar fi o alegere proastă dacă aveți nevoie de mai mult decât confidențialitate. În contrast, un mod DES, cum ar fi modul de feedback pe un singur bit criptat, oferă performanța de eroare necesară și poate oferi o bază adecvată pentru integritate și autentificare. Mijloacele de secretizare fizică și de legătură de date sunt de obicei implementate sub formă de hardware suplimentar.

Stratul de legătură de date

Conform ISO 7498-2, facilitățile oferite la nivelul de legătură de date sunt confidențialitatea conexiunii și confidențialitatea datagramelor.

Secretul stratului de legătură este furnizat de obicei punct la punct, similar cu secretul stratului fizic. Din nou, domeniul de aplicare al fondurilor ar trebuise termină în locurile în care se află entitățile egale care interacționează, adică sistemele finale și comutatoarele. Într-un mediu LAN (WAN), mijloacele de confidențialitate pot fi, de asemenea, furnizate pentru transmisie de difuzare sau multicast, bazate pe tehnologii LAN, precum și o legătură punct la punct.

Stratul de rețea

Secreția nivelului de rețea poate fi asigurată între sistemele terminale din rețea, indiferent de comutatoarele utilizate (de exemplu, comutatoarele de pachete X.25). ISO 7498-2 notează aplicabilitatea mai multor controale de confidențialitate la acest nivel: confidențialitatea conexiunii, confidențialitatea datagramelor, confidențialitatea fluxului de date, integritate (pentru conexiuni fără recuperare și pentru datagrame), autentificarea sursei de date și a entităților care comunică și controlul accesului.

Stratul de transport

Pentru stratul de transport, ISO 7498-2 definește următoarele măsuri de securitate: confidențialitate (pentru conexiuni sau datagrame), integritate (orice altceva cu excepțiacâmpuri individuale), autentificarea sursei de date și a entităților care interacționează și controlul accesului. Există o singură diferență între facilitățile de secretizare furnizate pentru comunicarea cu datagramăstratul de transport și facilitățile oferite deasupra stratului de rețea. Constă în capacitatea de a oferi protecție în sistemele intermediare (folosind mecanisme de nivel de rețea) și nu doar în sistemele finale (folosind mecanisme de strat de transport).

Stratul de sesiune

ISO 7498-2 nu permite furnizarea de facilități la nivel de sesiune. Acest nivel oferă puțin în ceea ce privește mijloacele de interacțiune în comparație cu transportul saunivelul de aplicare. Pe baza principiului că nu are rost să furnizeze secretul care nu este în concordanță cu interoperabilitatea subiacentă la acel nivel, s-ar putea argumenta împotriva asigurării secretului la nivelul sesiune. În plus, se poate argumenta că caracteristicile de confidențialitate sunt furnizate mai bine la nivelurile de transport, prezentare sau aplicație.

Nivel reprezentativ

Deoarece acest strat este utilizat pentru a converti date între reprezentări obișnuite și reprezentări de rețea, este benefic să criptați datele la acest strat, mai degrabă decât la nivelul aplicației. Dacă aplicația realizează criptarea, protejeazănivel reprezentativ din implementarea acestei funcţii. Acesta este un argument împotriva implementării criptării la nivel de aplicație pentru aplicațiile care comunică direct (mai degrabă decât prin intermediari). O alternativă la aceasta este duplicarea capacităților stratului de prezentare între aplicații. În stiva TCP/IP, deoarece funcțiile de prezentare sunt încorporate în aplicații, mai degrabă decât într-un strat separat, acest conflict este rezolvat.

Strat de aplicație

ISO 7498-2 prevede că toate capacitățile secrete pot fi furnizate la nivelul aplicației, iar controlul asupra participanților la comunicare poate fi asigurat doar la acest nivel. Cu toate acestea, oferind niște fondurila acest nivel provoacă probleme din cauza conflictului cu capacităţile nivelului reprezentativ. Această limitare este ocolită pentru aplicațiile cu livrare de date în mai multe etape, cum ar fi e-mailul saucarte de referință (specificații X.400 și X.500). Acest conflict este depășit și în stiva TCP/IP, în care funcțiile de prezentare sunt de obicei incluse în aplicații.

De fapt, aplicațiile, cum ar fi instrumentele de e-mail și directoare, pot fi securizate numai folosind secretul stratului de aplicații. E-mailul necesită securitate la acest nivel din mai multe motive.

În primul rând, unele dintre funcțiile de secretizare pe care le utilizează pot fi furnizate doar la acest nivel, cum ar fi controlul participanților. În al doilea rând, mesajele sunt de obicei adresate unor grupuri de destinatari (transmisie multicast).aplicație), iar livrarea se realizează în mai multe etape folosind comutatoare de mesaje. Protecția la niveluri inferioare este adesea oferită doar în timp real, pentru legăturile punct la punct.

Pentru emailFolosirea mecanismelor de secretizare la niveluri inferioare poate oferi protecție de la expeditor la comutatorul de mesaje (MTA), protecție între MTA, între MTA și destinatari, dar numai în mod incremental. Asigurarea confidențialității dintre autor și cititor de la capăt la capăt necesită utilizarea unor tehnologii specifice pentru e-mail.

Pentru instrumentele directoare, probleme similare împiedică instrumentele de securitate de nivel inferior să îndeplinească în mod adecvat cerințele de confidențialitate. De exemplu, o solicitare de la un utilizator către un server de director poate fi redirecționată către alte servere în procesul de emitere a unui răspuns. Dacă serverul de director care în cele din urmă primește cererea trebuie să ia o decizie de a acorda acces pe baza identității solicitantului, atunci această decizie nu poate fi luată pe baza informațiilor din protocoalele de nivel inferior.

Mai mult, fără a avea încredere în serverele care au transmis această solicitare, serverul care răspunde nu poate fi sigurcă cererea nu a fost modificată. Prin urmare, această aplicație, ca și e-mailul, ilustrează cauza principală a secretului la nivel de aplicație, adică incapacitatea de a satisface cerințele de secretizare bazate numai pe capacitățile de nivel inferior.

Clasificarea metodelor de detectare a atacurilor.

Prin tehnologia de detectare

· detectarea anomaliilor

Această abordare se concentrează pe formarea unui model statistic al comportamentului normal al utilizatorului. Abaterea de la tipar este un semn de atac. Abordarea suferă de faptul că generează prea multe alarme false.

· detectarea utilizării greșite

Cu această abordare, sistemul caută semnături cunoscute și declanșează o alarmă atunci când le găsește. Mai fiabil și mai fezabil. Aproape toate sistemele de detectare a atacurilor oferite astăzi pe piață se bazează pe această abordare. Acum au loc schimbări în dezvoltarea primei abordări.

După nivelul de detectare

Detectarea atacurilor la nivel de rețea

Sistemele de detectare a atacurilor la nivel de rețea folosesc pachete brute de rețea ca sursă de date pentru analiză. De obicei, sistemele de detectare a intruziunilor (IDS) la nivel de rețea utilizează un adaptor de rețea care funcționează în mod promiscuu și analizează traficul în timp real pe măsură ce trece prin segmentul de rețea. Modulul de recunoaștere a atacurilor folosește patru metode binecunoscute pentru a recunoaște semnătura atacului:

· Conformitatea traficului cu un model (semnătură), expresie sau bytecode care indică un atac sau o acțiune suspectă;

· Monitorizarea frecvenței evenimentelor sau depășirea unei valori de prag;

· Corelarea mai multor evenimente cu prioritate scăzută;

· Detectarea anomaliilor statistice.

Odată detectat un atac, modulul de răspuns oferă o gamă largă de opțiuni pentru notificare, alarmă și contramăsuri ca răspuns la atac. Aceste opțiuni variază de la sistem la sistem, dar includ de obicei: notificarea administratorului prin consolă sau e-mail, întreruperea conexiunii cu gazda atacatoare și/sau înregistrarea sesiunii pentru analiză ulterioară și colectare de dovezi.

Avantajele sistemelor de detectare a atacurilor la nivel de rețea

IDS-urile la nivel de rețea au multe avantaje pe care le lipsesc sistemele de detectare a intruziunilor la nivel de sistem. De fapt, mulți clienți folosesc sistemul de detectare a intruziunilor la nivel de rețea datorită costului scăzut și răspunsului în timp util. Mai jos sunt principalele motive care fac din detectarea atacurilor la nivel de rețea cea mai importantă componentă a implementării eficiente a politicii de securitate.

1.Cost redus de operare . IDS de nivel de rețea trebuie instalat în locații critice din rețea pentru a controla traficul care circulă între mai multe sisteme. Sistemele de nivel de rețea nu necesită instalarea unui software de detectare a intruziunilor pe fiecare gazdă. Deoarece numărul de locuri în care sunt instalate IDS pentru a monitoriza întreaga rețea este mic, costul de operare a acestora într-o rețea de întreprindere este mai mic decât costul de operare a sistemelor de detectare a atacurilor la nivel de sistem.

2.Detectează atacurile care sunt ratate la nivel de sistem . IDS-urile stratului de rețea examinează antetele pachetelor de rețea pentru activități suspecte sau ostile. IDS-urile la nivel de sistem nu se ocupă de anteturile pachetelor, prin urmare nu pot detecta aceste tipuri de atacuri. De exemplu, multe atacuri de rețea, cum ar fi denial-of-service și teardrop pot fi identificate numai prin analiza antetelor pachetelor pe măsură ce traversează rețeaua. Acest tip de atac poate fi identificat rapid folosind un IDS de nivel de rețea care vizualizează traficul în timp real. IDS-urile stratului de rețea pot examina conținutul corpului de date al unui pachet, căutând comenzi sau sintaxa specifică utilizată în anumite atacuri. De exemplu, atunci când un hacker încearcă să folosească programul Back Orifice pe sisteme care nu sunt încă afectate de acesta, acest fapt poate fi descoperit examinând conținutul corpului de date al pachetului. După cum sa discutat mai sus, sistemele la nivel de sistem nu funcționează la nivel de rețea și, prin urmare, nu sunt în măsură să recunoască astfel de atacuri.

3.Este mai dificil pentru un hacker să îndepărteze urmele prezenței sale . IDS de nivel de rețea utilizează traficul live pentru a detecta atacurile în timp real. Astfel, hackerul nu poate elimina urmele prezenței sale. Datele analizate includ nu numai informații despre metoda de atac, ci și informații care pot ajuta la identificarea atacatorului și la dovedirea acesteia în instanță. Deoarece mulți hackeri sunt intim familiarizați cu jurnalele, ei știu cum să manipuleze aceste fișiere pentru a ascunde urmele activităților lor, reducând eficacitatea sistemelor la nivel de sistem care necesită aceste informații pentru a detecta un atac.

4.Detectare și răspuns în timp real . ID-urile la nivel de rețea detectează atacurile suspecte și ostile pe măsură ce SE AU ÎNTÂMPL și, prin urmare, oferă notificare și răspuns mult mai rapid decât ID-urile la nivel de sistem. De exemplu, un hacker care lansează un atac de refuzare a serviciului pe stratul de rețea bazat pe TCP poate fi oprit de un IDS de nivel de rețea care trimite un indicator de resetare setat în antetul pachetului TCP pentru a termina conexiunea cu gazda atacatoare înainte ca atacul să provoace distrugerea sau deteriorarea ţinta.hosta IDS-urile la nivel de sistem de obicei nu recunosc atacurile până când atacul a fost înregistrat și răspund după ce atacul a fost înregistrat. În acest moment, sistemele sau resursele cele mai critice pot fi deja compromise sau sistemul care rulează IDS la nivel de sistem poate fi compromis. Notificarea în timp real vă permite să răspundeți rapid conform parametrilor predefiniți. Aceste reacții variază de la permiterea infiltrării într-un mod de supraveghere pentru a aduna informații despre atac și atacator, până la încheierea imediată a atacului.

5.Detectarea atacurilor eșuate sau a intențiilor suspecte . Un IDS de nivel de rețea instalat în exteriorul firewall-ului poate detecta atacuri care vizează resursele din spatele firewall-ului, chiar dacă firewall-ul poate respinge aceste încercări. Sistemele la nivel de sistem nu văd atacurile reflectate care nu ajung la gazda din spatele firewall-ului. Aceste informații pierdute pot fi cele mai importante atunci când se evaluează și se îmbunătățesc politicile de securitate.

6.Independența sistemului de operare . IDS-urile la nivel de rețea sunt independente de sistemele de operare instalate în rețeaua corporativă. Sistemele de detectare a intruziunilor la nivel de sistem necesită sisteme de operare specifice pentru a funcționa corect și pentru a genera rezultatele necesare.

Detectarea atacurilor la nivel de sistem

La începutul anilor 1980, înainte de lansarea rețelelor, cea mai comună practică de detectare a atacurilor era examinarea jurnalelor pentru evenimente care ar indica activitate suspectă. Sistemele moderne de detectare a atacurilor la nivel de sistem rămân un instrument puternic pentru înțelegerea atacurilor trecute și identificarea tehnicilor adecvate pentru a atenua exploatările viitoare. IDS-urile moderne la nivel de sistem încă folosesc jurnalele, dar au devenit mai automatizate și includ tehnici de detectare sofisticate bazate pe cele mai recente cercetări matematice.

De obicei, IDS la nivel de sistem monitorizează sistemul, evenimentele și jurnalele de securitate (jurnalele de securitate sau jurnalele de sistem) pe rețelele care rulează Windows NT sau Unix.Când oricare dintre aceste fișiere se modifică, IDS compară noile intrări cu semnăturile de atac pentru a vedea dacă există o potrivire. Dacă se găsește o astfel de potrivire, sistemul trimite o alarmă administratorului sau activează alte mecanisme de răspuns specificate. IDS la nivel de sistem evoluează constant, încorporând treptat tot mai multe metode noi de detectare. O astfel de metodă populară este verificarea sumelor de control ale sistemului cheie și fișierelor executabile la intervale regulate pentru a verifica dacă există modificări neautorizate. Promptitudinea răspunsului este direct legată de frecvența sondajului. Unele produse ascultă porturile active și notifică administratorul când cineva încearcă să le acceseze.

Avantajele sistemelor de detectare a atacurilor la nivel de sistem

În timp ce sistemele de detectare a intruziunilor la nivel de sistem nu sunt la fel de rapide ca și omologii lor la nivel de rețea, ele oferă avantaje pe care acestea din urmă nu le oferă. Aceste beneficii includ o analiză mai riguroasă, o atenție mai mare acordată datelor despre evenimente specifice gazdei și costuri mai mici de implementare.

1.Confirmă succesul sau eșecul atacului . Deoarece IDS-urile la nivel de sistem folosesc jurnalele care conțin date despre evenimentele care au avut loc efectiv, IDS-urile din această clasă pot determina cu mare precizie dacă un atac a avut succes sau nu. În acest sens, IDS-urile la nivel de sistem oferă o completare excelentă pentru sistemele de detectare a intruziunilor la nivel de rețea. Această combinație oferă avertizare timpurie cu privire la debutul unui atac folosind componenta de rețea și succesul unui atac folosind componenta de sistem.

2.Controlează activitatea unui anumit nod . Un IDS la nivel de sistem monitorizează activitatea utilizatorului, accesul la fișiere, modificările permisiunilor de fișiere, încercările de a instala programe noi și/sau încercările de a obține acces la servicii privilegiate. De exemplu, un IDS la nivel de sistem poate monitoriza toate activitățile de conectare și deconectare ale unui utilizator, precum și acțiunile pe care fiecare utilizator le efectuează în timp ce este conectat la rețea. Este foarte dificil pentru un sistem de nivel de rețea să ofere acest nivel de detaliu al evenimentului. Tehnologia de detectare a intruziunilor la nivel de sistem poate monitoriza, de asemenea, activitățile care, în mod normal, ar fi efectuate numai de un administrator. Sistemele de operare înregistrează orice eveniment în care conturile de utilizator sunt adăugate, șterse sau modificate. IDS-urile la nivel de sistem pot detecta o modificare corespunzătoare imediat ce aceasta are loc. IDS-urile la nivel de sistem pot, de asemenea, audita modificările politicii de securitate care afectează modul în care sistemele își urmăresc jurnalele etc.

În cele din urmă, sistemele de detectare a intruziunilor la nivel de sistem pot monitoriza modificările la fișierele cheie ale sistemului sau fișierele executabile. Încercările de a suprascrie astfel de fișiere sau de a instala cai troieni pot fi detectate și oprite. Sistemele de nivel de rețea ratează uneori acest tip de activitate.

3.Detectați atacurile pe care sistemele de nivel de rețea le scapă . IDS-urile la nivel de sistem pot detecta atacuri pe care instrumentele la nivel de rețea nu le pot detecta. De exemplu, atacurile care provin de la serverul atacat în sine nu pot fi detectate de sistemele de detectare a atacurilor la nivel de rețea.

4.Potrivit pentru rețele criptate și comutate . Deoarece un IDS la nivel de sistem este instalat pe diverse gazde dintr-o rețea de întreprindere, poate depăși unele dintre provocările întâlnite atunci când operează sisteme la nivel de rețea pe rețele comutate și criptate.

Comutarea permite rețelelor la scară largă să fie gestionate ca mai multe segmente mici de rețea. Ca rezultat, poate fi dificil să se determine cea mai bună locație pentru a instala un IDS de nivel de rețea. Uneori, gestionarea porturilor și a porturilor în oglindă, span porturile de trafic pe switch-uri poate ajuta, dar aceste metode nu sunt întotdeauna aplicabile. Detectarea atacurilor la nivel de sistem asigură o funcționare mai eficientă în rețelele comutate, deoarece... vă permite să plasați ID-uri numai pe acele noduri unde este necesar.

Anumite tipuri de criptare reprezintă, de asemenea, provocări pentru sistemele de detectare a intruziunilor la nivel de rețea. În funcție de locul în care se realizează criptarea (link sau abonat), IDS-ul stratului de rețea poate rămâne „oarb” la anumite atacuri. IDS-urile la nivel de sistem nu au această limitare. În plus, sistemul de operare și, prin urmare, IDS-ul la nivel de sistem, analizează traficul de intrare decriptat.

5.Detectare și răspuns aproape în timp real . În timp ce detectarea atacurilor la nivel de sistem nu oferă un răspuns cu adevărat în timp real, poate fi realizată la scară aproape în timp real atunci când este implementată corect. Spre deosebire de sistemele vechi care verifică starea și conținutul jurnalelor la intervale predeterminate, multe IDS-uri moderne la nivel de sistem primesc o întrerupere de la sistemul de operare de îndată ce apare o nouă intrare de jurnal. Această nouă intrare poate fi procesată imediat, reducând semnificativ timpul dintre recunoașterea unui atac și răspunsul la acesta. Rămâne o întârziere între momentul în care sistemul de operare scrie un eveniment în jurnal și momentul în care acesta este recunoscut de sistemul de detectare a intruziunilor, dar în multe cazuri atacatorul poate fi detectat și oprit înainte de a se produce vreo deteriorare.

6.Nu necesită hardware suplimentar . Sistemele de detectare a intruziunilor la nivel de sistem sunt instalate pe infrastructura de rețea existentă, inclusiv servere de fișiere, servere web și alte resurse utilizate. Această capacitate poate face IDS-urile la nivel de sistem foarte rentabile, deoarece nu necesită un alt nod din rețea pentru a se ocupa, întreține și gestiona.

7.Preț scăzut . Deși sistemele de detectare a intruziunilor la nivel de rețea oferă analiza traficului întregii rețele, acestea sunt adesea destul de scumpe. Costul unui sistem de detectare a intruziunilor poate depăși 10.000 USD. Pe de altă parte, sistemele de detectare a intruziunilor la nivel de sistem costă sute de dolari per agent și pot fi achiziționate de către cumpărător dacă cumpărătorul trebuie să monitorizeze doar unele noduri ale întreprinderii, fără a monitoriza atacurile de rețea.

Scopul oricărui atac este de a elimina un concurent care ia clienți sau pur și simplu vizitatori unici. Mulți webmasteri nu folosesc întotdeauna doar metode de „pălărie albă” pentru a-și promova creația. Nu ne putem lipsi de „negri”. Prin promovarea folosind metode negre, proprietarul unei companii sau doar al unui site web este promovat în TOPul rezultatelor căutării prin distrugerea concurenților săi.

Dar cel mai rău lucru este că site-urile complet nevinovate pot deveni victimele unui atac, poate chiar și cele care au fost create de curând; acest lucru se poate întâmpla dacă întregul server este atacat. Apropo, acesta este chiar motivul pentru care trebuie să cumpărați un IP dedicat pentru site-ul dvs. Și chiar dacă aceste atacuri sunt pedepsite prin lege, acest lucru nu oprește majoritatea.

Este imposibil să vă protejați site-ul 100%. Dacă atacatorii au un buget mare pentru această problemă și o dorință puternică, atunci aproape nimic îi poate opri.

Țintele atacurilor

Există mai multe obiective principale:

— Furtul parolelor utilizatorului, acces la secțiuni închise;

— „Distrugerea” serverului. Scopul este de a-l aduce într-o stare nefuncțională;

— Obțineți acces nelimitat la server;

— Implantarea legăturilor, a diverșilor viruși și a altor lucruri în cod;

— Coborârea site-ului în rezultatele căutării până când acesta dispare complet.

Pe lângă cele de mai sus, atacurile sunt împărțite în interne și externe. LA intern poate include diverse hack-uri pentru a accesa un site sau un server și spre extern, calomnie sau spam.

Este posibil să lupți împotriva tipurilor interne de atacuri destul de activ. Cât despre cele externe, totul este mult mai complicat. Chestia este că proprietarul serverului nu poate prelua controlul asupra situației, ceea ce îl face foarte vulnerabil.

Tipuri de atacuri

Atacul Ddos

Aceasta este, îmi cer scuze, cea mai dezgustătoare varietate. Consecința unui astfel de atac va fi o oprire completă a serverului și poate chiar mai multe servere. Cel mai rău lucru este că nu există o protecție DDoS 100% completă. Dacă atacul nu este slab, atunci serverul va fi inoperant până când atacul este oprit.

O altă trăsătură caracteristică a atacurilor DDoS este disponibilitatea acestuia. Pentru a „copăși” serverul unui concurent, nu trebuie să fii un hacker profesionist. Pentru a face acest lucru, aveți nevoie doar de bani sau de propria botnet (Botnet este o rețea de computere infectate). Și pentru un DDoS slab, mai multe computere sunt suficiente.

Ddos – traducerea acestei abrevieri sună ca „refuzare distribuită a serviciului”. Punctul atacului este un acces simultan, imens, la server, care are loc de la numeroase computere.

Citeste si: Cum să vinzi rapid pe Avito

După cum știm, orice server are o limită de încărcare maximă, iar dacă această sarcină este depășită, ceea ce face un atac DDoS, atunci serverul „moare”.

Cel mai interesant lucru este că utilizatorii obișnuiți de rețea participă la atacuri fără să știe. Și cu cât sunt mai mulți utilizatori noi pe Internet, cu atât armata botnet-urilor este mai mare și, ca urmare, forța de atac va crește exponențial. Dar astăzi, hackerii și-au redirecționat eforturile de la atacurile DDoS la trucuri frauduloase pentru a câștiga direct bani.

Puterea atacurilor este măsurată prin volumul de trafic trimis către serverul unui concurent pe secundă. Atacurile cu un volum de trafic mai mare de câțiva GB/sec sunt foarte greu de contracarat. Acest volum de trafic este foarte greu de filtrat, aproape imposibil. Astfel de atacuri puternice de obicei nu durează mult, dar chiar și o zi de nefuncționare pentru o companie mare poate provoca daune grave sub forma unei scăderi a vânzărilor și a reputației.

Apropo, nu sunt atacate doar serverele individuale, ci și rețelele naționale, în urma cărora rețeaua este întreruptă în regiuni întregi.

Pentru prevenire, ar trebui să vă plasați site-urile pe servere care au o sursă impresionantă de resurse, astfel încât să aveți timp să luați măsuri.

Ca metode simple împotriva atacurilor slabe, vă putem recomanda:
— dați în loc de pagina principală a site-ului (dacă atacul este îndreptat către aceasta) o pagină cu redirecționare. Deoarece dimensiunea sa este mult mai mică, sarcina pe server va fi incomparabil mai mică; — dacă numărul de conexiuni de la un IP depășește un anumit număr, puneți-l pe lista neagră;
— reduceți numărul de clienți (MaxClients) conectați simultan la server;
— blocarea traficului extern, deoarece atacurile provin cel mai adesea din țări asiatice;

Trebuie să aveți un canal independent separat către server, prin care să îl puteți accesa dacă cel principal nu este disponibil. Toate software-urile serverului trebuie actualizate regulat și trebuie instalate toate corecțiile viitoare.

Un fel de atac DDoS poate fi provocat de motoarele de căutare sau de alți roboți care indexează activ site-ul. Dacă motorul site-ului nu este optimizat, un număr mare de accesări de pagină într-o perioadă scurtă de timp va cauza o încărcare prea mare a serverului.

Hacking serverul și postarea de link-uri sau viruși

Mulți webmasteri începători descoperă link-uri ascunse pe site-urile lor numai atunci când aceste link-uri au dus deja la consecințe negative - de exemplu, site-ul este blocat de hoster, a ieșit din indexul motorului de căutare sau o plângere cu privire la domeniu. Apoi se descoperă că site-ul a fost piratat, iar pe acesta sunt postate link-uri fie în scopul promovării altor resurse, fie pentru răspândirea virușilor și troienilor.

Citeste si: Ce s-ar întâmpla dacă toate computerele de pe planetă ar dispărea?...

Există posibilitatea ca serverul de găzduire în sine să fi fost piratat. Dar, în cele mai multe cazuri, astfel de lucruri urâte ajung pe site-uri prin găuri în motoarele site-ului sau ca urmare a neglijenței webmaster-ului atunci când stochează parolele.

Legăturile ascunse sunt unul dintre motivele populare pentru sancțiunile motoarelor de căutare; în special, poate exista o pesimizare semnificativă (o scădere a tuturor pozițiilor cu câteva sute de puncte), din care va fi extrem de greu de scos. Dacă nu sunt inserate doar linkuri, ci și cod de virus, atunci hosterul poate pur și simplu șterge site-ul fără avertisment. Resursa și adresa sa IP pot fi, de asemenea, incluse pe lista neagră de către firma dubioasă (dacă nu frauduloasă) Spamhouse, ceea ce înseamnă sfârșit, deoarece este aproape imposibil să ieși de acolo.

Prevenirea este simplă - monitorizați actualizările motorului, instalați toate versiunile noi și completările regulate care apar. Și pur și simplu nu puteți stoca parolele pe computer în text clar. Același lucru este valabil pentru toate programele de tip server.

Numele previzibile ale folderelor și fișierelor de serviciu reprezintă un anumit pericol. (Locația previzibilă a resurselor). Pur și simplu căutând, hackerul va determina locația lor - și va avea un avantaj. Aici merită să sacrifici confortul pentru siguranță.

injecție SQL

Executarea unei interogări SQL de către un atacator pe serverul altcuiva, folosind vulnerabilități ale motorului, imperfecțiuni în codul programului. Esența găurii de securitate este că o interogare SQL arbitrară poate fi transmisă în parametrul GET. Prin urmare, toți parametrii șirului de caractere trebuie să fie evadați (mysql_real_escape_string) și înconjurați de ghilimele.

Folosind injectarea, un hacker poate efectua aproape orice acțiune cu baza de date - șterge-o, obține acces la datele și parolele utilizatorului etc.

Esența unui atac XSS este injectarea unui cod arbitrar într-o pagină generată de un script. Acest lucru funcționează dacă variabila transmisă în adresa paginii nu este verificată pentru prezența caracterelor, cum ar fi ghilimele.

Principalul pericol este furtul cookie-urilor și, în consecință, obținerea accesului la conturile de utilizator. Un hacker poate obține și informații despre sistemul vizitatorului, istoricul site-urilor vizitate etc. De asemenea, puteți injecta nu doar un script java, ci și un link către un script php găzduit pe un server terț, ceea ce este mult mai periculos .

La un moment dat, această metodă a fost folosită în SEO „black hat” pentru a obține link-uri gratuite. Acest lucru nu a dăunat în mod deosebit proprietarilor site-urilor.

Spam cu adresa site-ului și detalii

Metoda este, în mare, inofensivă, dar aici intră din nou Spamhouse-ul menționat mai sus. Cu o singură reclamație, site-ul și IP-ul său pot fi trecute pe lista neagră, iar hosterul va fi obligat să refuze serviciul. Și trimiterea a câteva sute de mii de scrisori cu adresa oricărui site costă un ban. Forumurile, comentariile etc. pot, de asemenea, să facă spam și va fi extrem de dificil să dovedești că concurenții făceau asta.

Amploarea atacurilor DDoS a crescut de aproximativ 50 de ori în ultimii ani. În același timp, atacatorii vizează atât infrastructurile locale, cât și platformele cloud publice unde sunt concentrate soluțiile clienților.

„Atacuri executate cu succes au un impact direct asupra afacerii unui client și sunt distructive”, a declarat Darren Anstee, purtător de cuvânt al Arbor Networks, o companie de soluții de securitate a rețelei.

În același timp, crește și frecvența atacurilor. La sfârșitul anului 2014, numărul lor era de 83 mii, iar în primul trimestru al anului 2015 cifra a crescut la 126 mii. Prin urmare, în materialul nostru de astăzi am dori să luăm în considerare diferite tipuri de atacuri DDoS, precum și modalități de protecție împotriva lor.

Resetare TCP

Resetarea TCP este efectuată prin manipularea pachetelor RST pe o conexiune TCP. Pachetul RST este un antet care semnalează că este necesară o reconectare. Acesta este de obicei folosit atunci când a fost detectată o eroare sau când doriți să opriți încărcarea datelor. Un atacator poate întrerupe o conexiune TCP prin trimiterea constantă a unui pachet RST cu valori valide, făcând imposibilă stabilirea unei conexiuni între sursă și destinație.

Acest tip de atac poate fi prevenit prin monitorizarea fiecărui pachet transmis și asigurându-vă că succesiunea de numere ajunge în ordinea corectă. Sistemele de analiză profundă a traficului pot gestiona acest lucru.

În zilele noastre, principalul obiectiv al hacking-ului dispozitivelor este de a organiza atacuri DDoS sau de a provoca daune prin restricționarea accesului utilizatorilor la un site web de pe Internet. Prin urmare, operatorii de telecomunicații înșiși, furnizorii de internet și alte companii, inclusiv VAS Experts, oferă și organizează soluții de protecție împotriva DDoS - monitorizarea traficului în timp real pentru a urmări anomaliile și exploziile în utilizarea lățimii de bandă, funcția Carrier Grade NAT, care vă permite să „ascundeți” dispozitivul abonatului de intruși, blocând accesul la acesta de pe Internet, precum și alte sisteme inteligente și chiar de auto-învățare.

Conceptele fundamentale ale securității cibernetice sunt disponibilitatea, integritatea și confidențialitatea. Atacurile Refuzarea serviciului (DoS) afectează disponibilitatea resurselor informaţionale. O refuz de serviciu este considerată reușită dacă duce la indisponibilitatea unei resurse de informații. Diferența dintre succesul unui atac și impactul asupra resurselor țintă este că impactul provoacă daune victimei. De exemplu, dacă un magazin online este atacat, o refuzare prelungită a serviciului poate cauza pierderi financiare companiei. În fiecare caz specific, activitatea DoS poate fie să provoace un prejudiciu direct, fie să creeze o amenințare și un potențial risc de pierdere.

Primul D V DDoS mijloace distribuite: atac distribuit de denial of service. În acest caz, vorbim despre o masă uriașă de solicitări rău intenționate care ajung la serverul victimei din multe locuri diferite. De obicei, astfel de atacuri sunt organizate prin rețele bot.

În acest articol, vom arunca o privire mai atentă la ce tipuri de trafic DDoS și ce tipuri de atacuri DDoS există. Pentru fiecare tip de atac, vor fi furnizate scurte recomandări pentru prevenirea și restabilirea funcționalității.

Tipuri de trafic DDoS

Cel mai simplu tip de trafic sunt cererile HTTP. Cu ajutorul unor astfel de solicitări, de exemplu, orice vizitator comunică cu site-ul dvs. prin intermediul unui browser. Baza solicitării este antetul HTTP.

Antet HTTP. Anteturile HTTP sunt câmpuri care descriu ce tip de resursă este solicitată, cum ar fi o adresă URL sau un formular sau un JPEG. Anteturile HTTP informează, de asemenea, serverul web ce tip de browser este utilizat. Cele mai comune antete HTTP sunt ACCEPT, LANGUAGE și USER AGENT.

Solicitantul poate folosi câte antete dorește, oferindu-le proprietățile dorite. Atacatorii DDoS pot modifica acestea și multe alte anteturi HTTP, făcându-le dificil de detectat. În plus, anteturile HTTP pot fi scrise astfel încât să controleze stocarea în cache și serviciile proxy. De exemplu, puteți indica serverului proxy să nu memoreze informațiile în cache.

HTTP GET

  • Solicitarea HTTP(S) GET este o metodă care solicită informații de la server. Această solicitare poate cere serverului să treacă un fișier, imagine, pagină sau script pentru a le afișa în browser.
  • HTTP(S) GET flood este o metodă de atac DDoS a stratului de aplicație (7) al modelului OSI, în care atacatorul trimite un flux puternic de solicitări către server pentru a-și copleși resursele. Drept urmare, serverul nu poate răspunde nu numai la solicitările hackerilor, ci și la solicitările clienților reali.

HTTP POST

  • Solicitarea HTTP(S) POST este o metodă prin care datele sunt plasate în corpul cererii pentru procesarea ulterioară pe server. O solicitare HTTP POST codifică informațiile transmise și le plasează într-un formular, apoi trimite acest conținut către server. Această metodă este utilizată atunci când este necesar să transferați cantități mari de informații sau fișiere.
  • HTTP(S) POST flood este un tip de atac DDoS în care numărul de solicitări POST copleșește serverul până la punctul în care serverul nu poate răspunde la toate solicitările. Acest lucru poate duce la o utilizare excepțional de mare a resurselor sistemului, ceea ce poate duce la o prăbușire a serverului.

Fiecare dintre solicitările HTTP descrise mai sus poate fi transmisă printr-un protocol securizat HTTPS. În acest caz, toate datele trimise între client (atacator) și server sunt criptate. Se pare că aici „securitatea” joacă în mâinile atacatorilor: pentru a identifica o solicitare rău intenționată, serverul trebuie mai întâi să o decripteze. Acestea. trebuie să decriptezi întregul flux de solicitări, dintre care există multe în timpul unui atac DDoS. Acest lucru creează încărcare suplimentară pe serverul victimei.

SYN inundație(TCP/SYN) stabilește conexiuni pe jumătate deschise cu gazda. Când victima primește un pachet SYN pe un port deschis, aceasta trebuie să răspundă cu un pachet SYN-ACK și să stabilească o conexiune. După aceasta, inițiatorul trimite un răspuns cu un pachet ACK destinatarului. Acest proces se numește în mod convențional o strângere de mână. Cu toate acestea, în timpul unui atac de inundații SYN, strângerea de mână nu poate fi finalizată deoarece atacatorul nu răspunde la SYN-ACK-ul serverului victimă. Astfel de conexiuni rămân întredeschise până când expiră expirarea, coada de conexiuni devine plină și clienții noi nu se pot conecta la server.

Inundație UDP sunt cel mai adesea folosite pentru atacurile DDoS în bandă largă datorită naturii lor fără sesiune, precum și ușurinței de a crea mesaje Protocol 17 (UDP) în diferite limbaje de programare.

Inundație ICMP. Internet Control Message Protocol (ICMP) este utilizat în principal pentru mesajele de eroare și nu este utilizat pentru transmiterea de date. Pachetele ICMP pot însoți pachetele TCP atunci când se conectează la un server. ICMP flood este o metodă de atac DDoS la nivelul 3 al modelului OSI, folosind mesaje ICMP pentru a supraîncărca canalul de rețea al persoanei atacate.

Inundația MAC- un tip rar de atac în care atacatorul trimite mai multe cadre Ethernet goale cu adrese MAC diferite. Switch-urile de rețea iau în considerare fiecare adresă MAC separat și, prin urmare, rezervă resurse pentru fiecare dintre ele. Când toată memoria de pe comutator este utilizată, acesta fie nu mai răspunde, fie se oprește. Pe unele tipuri de routere, un atac de inundație MAC poate duce la ștergerea întregilor tabele de rutare, perturbând astfel întreaga rețea.

Clasificarea și obiectivele atacurilor DDoS în funcție de nivelurile OSI

Internetul folosește modelul OSI. În total, în model există 7 niveluri, care acoperă toate mediile de comunicare: începând de la mediul fizic (nivelul 1) și terminând cu nivelul aplicației (nivelul 7), la care programele „comună” între ele.

Atacurile DDoS sunt posibile la fiecare dintre cele șapte niveluri. Să le aruncăm o privire mai atentă.

OSI Layer 7: Aplicat

Ce trebuie făcut: Monitorizarea aplicațiilor - monitorizarea sistematică a software-ului care utilizează un set specific de algoritmi, tehnologii și abordări (în funcție de platforma pe care este utilizat software-ul) pentru a identifica vulnerabilitățile aplicațiilor de 0-day (atacuri de nivel 7). Prin identificarea unor astfel de atacuri, ele pot fi oprite o dată pentru totdeauna, iar sursa lor poate fi urmărită. Acest lucru se face cel mai simplu pe acest strat.

Stratul 6 OSI: Executiv

Ce trebuie să faceți: pentru a reduce daunele, luați în considerare măsuri precum distribuirea infrastructurii de criptare SSL (adică găzduirea SSL pe un server excelent, dacă este posibil) și inspectarea traficului aplicației pentru atacuri sau încălcări ale politicii pe platforma aplicației. O platformă bună va asigura că traficul este criptat și trimis înapoi la infrastructura de origine, cu conținutul decriptat rezidând în memoria securizată a nodului bastion securizat.

Stratul 5 OSI: Sesiune

Ce trebuie să faceți: mențineți firmware-ul hardware actualizat pentru a reduce riscul unei amenințări.

Stratul 4 OSI: Transport

Ce trebuie să faceți: filtrarea traficului DDoS, cunoscută sub denumirea de blackholing, este o metodă adesea folosită de furnizori pentru a proteja clienții (folosim noi înșine această metodă). Cu toate acestea, această abordare face site-ul clientului inaccesibil atât pentru traficul rău intenționat, cât și pentru traficul legitim al utilizatorilor. Cu toate acestea, blocarea accesului este folosită de furnizori pentru a combate atacurile DDoS pentru a proteja clienții de amenințări, cum ar fi încetinirile echipamentelor de rețea și defecțiunile serviciilor.

Stratul 3 OSI: Reţea

Ce trebuie făcut: Limitați numărul de cereri procesate prin protocolul ICMP și reduceți posibilul impact al acestui trafic asupra vitezei Firewall-ului și a lățimii de bandă a Internetului.

Stratul 2 OSI: Conductă

Ce trebuie făcut: Multe switch-uri moderne pot fi configurate în așa fel încât numărul de adrese MAC să fie limitat la cele de încredere care trec verificări de autentificare, autorizare și contabilitate pe server (protocol AAA) și ulterior filtrate.

Stratul 1 OSI: Fizic

Ce trebuie să faceți: utilizați o abordare sistematică pentru monitorizarea performanței echipamentelor fizice de rețea.

Atenuarea atacurilor DoS/DDoS la scară largă

Deși un atac este posibil la orice nivel, atacurile la straturile 3-4 și 7 ale modelului OSI sunt deosebit de populare.

  • Atacurile DDoS la nivelul 3 și 4 - atacuri de infrastructură - tipuri de atacuri bazate pe utilizarea unui volum mare, flux de date puternic (flood) la nivel de infrastructură de rețea și la nivel de transport pentru a încetini serverul web și a „umple” canalul și, în cele din urmă, împiedică alți utilizatori să acceseze resursa. Aceste tipuri de atacuri includ de obicei inundații ICMP, SYN și UDP.
  • Atacul DDoS la nivelul 7 este un atac care presupune supraîncărcarea unor elemente specifice ale infrastructurii serverului de aplicații. Atacurile de nivel 7 sunt deosebit de sofisticate, ascunse și greu de detectat datorită asemănării lor cu traficul web util. Chiar și cele mai simple atacuri Layer 7, cum ar fi încercarea de a vă conecta cu un nume de utilizator și o parolă arbitrare sau repetarea căutărilor arbitrare pe pagini web dinamice, pot încărca critic CPU și bazele de date. Atacatorii DDoS pot, de asemenea, schimba în mod repetat semnăturile atacurilor Layer 7, făcându-le și mai greu de recunoscut și eliminat.

Câteva acțiuni și echipamente pentru atenuarea atacurilor:

  • Firewall-uri cu inspecție dinamică a pachetelor
  • Mecanisme proxy SYN dinamice
  • Limitarea numărului de SYN-uri pe secundă pentru fiecare adresă IP
  • Limitați numărul de SYN-uri pe secundă pentru fiecare adresă IP de la distanță
  • Instalarea ecranelor de inundație ICMP pe un firewall
  • Instalarea ecranelor de inundație UDP pe un firewall
  • Limitarea vitezei routerelor adiacente firewall-urilor și rețelelor