Tipuri de atacuri. Ce este un atac de rețea. Tipuri pasive de atacuri informatice

1. Interceptarea pachetelor.

Un packet sniffer (din engleză sniff - sniff) este un program de aplicație care utilizează o interfață de rețea care funcționează în mod promiscuu. În acest mod, adaptorul de rețea vă permite să primiți toate pachetele primite pe canale fizice, indiferent cui sunt adresate, și să le trimiteți către aplicație pentru procesare. În prezent, sniffer-urile sunt folosite în rețele pe o bază complet legală. Sunt utilizate pentru diagnosticarea defecțiunilor și analiza traficului. Cu toate acestea, datorită faptului că unele aplicații de rețea transferă date în format text (Telnet, FTP, SMTP, POP3 etc.), utilizarea unui sniffer poate dezvălui informații utile și uneori sensibile (de exemplu, nume de utilizator și parole) .

Interceptarea autentificărilor și a parolelor creează un mare pericol. Dacă aplicația rulează în modul client-server, iar datele de autentificare sunt transmise prin rețea în format text care poate fi citit, atunci aceste informații pot fi folosite cel mai probabil pentru a accesa alte resurse corporative sau externe. În cel mai rău caz, un atacator va obține acces la o resursă de utilizator la nivel de sistem și o va folosi pentru a crea un nou utilizator care poate fi folosit în orice moment pentru a accesa rețeaua și resursele acesteia.

2. Falsificarea IP.

Falsificarea IP (din limba engleză spoof - hoax) apare atunci când un atacator, în interiorul sau în afara unei corporații, se uită la un utilizator autorizat. Acest lucru poate fi realizat în două moduri:

a) utilizarea unei adrese IP care se află în intervalul de adrese IP autorizate;

Atacurile de falsificare IP sunt adesea punctul de plecare pentru alte atacuri. Un exemplu clasic este un atac DoS, care începe de la adresa altcuiva, ascunzând adevărata identitate a atacatorului.

De obicei, falsificarea IP se limitează la inserarea de informații false sau comenzi rău intenționate în fluxul normal de date transmise între o aplicație client și server sau printr-un canal de comunicație între dispozitivele egale. Pentru comunicarea bidirecțională, atacatorul trebuie să modifice toate tabelele de rutare pentru a direcționa traficul către adresa IP falsă.

Dacă atacatorul a reușit să schimbe tabelele de rutare și să direcționeze traficul de rețea către o adresă IP falsă, atunci va primi toate pachetele și va putea răspunde la ele ca și cum ar fi un utilizator autorizat.

3. Refuzarea serviciului.

Denial of Service (Denial of Service, prescurtat ca DoS) este, fără îndoială, cea mai cunoscută formă de atacuri de rețea. În plus, aceste tipuri de atacuri sunt cele mai dificil de creat protecție 100% împotriva. Pentru a organiza DoS, este necesar un minim de cunoștințe și abilități. Cu toate acestea, simplitatea implementării și amploarea enormă a prejudiciului cauzat atrage atacatorii către atacurile DoS.

Acest atac este semnificativ diferit de alte tipuri de atacuri. Atacatorii nu intenționează să obțină acces la rețea sau să obțină informații din acea rețea, dar un atac DoS face rețeaua dvs. indisponibilă pentru utilizare normală prin depășirea limitelor permise ale rețelei, sistemului de operare sau aplicației. În cazul unor aplicații server (cum ar fi un server Web sau un server FTP), atacurile DoS pot presupune preluarea tuturor conexiunilor disponibile pentru aplicațiile respective și menținerea lor ocupată, împiedicând deservirea utilizatorilor obișnuiți. Atacurile DoS pot folosi protocoale comune de Internet, cum ar fi TCP și ICMP.

Unele atacuri paralizează performanța rețelei prin inundarea acesteia cu pachete nedorite și inutile sau informații înșelătoare despre starea actuală a resurselor rețelei. Atunci când un atac de acest tip este efectuat simultan prin mai multe dispozitive, vorbim despre un atac DoS distribuit (din engleza distribuited DoS, prescurtat DDoS).

4. Atacurile cu parole.

Atacatorii pot efectua atacuri cu parole folosind o varietate de metode, cum ar fi atacul cu forță brută, calul troian, falsificarea IP și sniffingul de pachete. În ciuda faptului că autentificarea și parola pot fi obținute adesea folosind IP spoofing și packet sniffing, atacatorii încearcă adesea să ghicească parola și să se autentifice folosind mai multe încercări de acces. Această abordare se numește enumerare simplă.

Pentru un astfel de atac, se folosește un program special care încearcă să obțină acces la o resursă publică (de exemplu, un server). Dacă, ca urmare, atacatorului i se acordă acces la resurse, atunci îl primește ca utilizator a cărui parolă a fost selectată. Dacă un anumit utilizator are privilegii de acces semnificative, un atacator poate crea o poartă de acces pentru viitor, care va rămâne în vigoare chiar dacă utilizatorul își schimbă parola.

5. Atacurile de la omul din mijloc.

Pentru un atac Man-in-the-Middle, atacatorul are nevoie de acces la pachetele transmise prin rețea. Un astfel de acces la toate pachetele transmise de la un furnizor către orice altă rețea poate fi, de exemplu, obținut de un angajat al acestui furnizor. Sniffer-urile de pachete, protocoalele de transport și protocoalele de rutare sunt adesea folosite pentru acest tip de atac. Atacurile sunt efectuate cu scopul de a sustrage informații, de a intercepta sesiunea curentă și de a obține acces la resursele rețelei private, pentru a analiza traficul și a obține informații despre rețea și utilizatorii acesteia, pentru a efectua atacuri DoS, denaturarea datelor transmise și introducerea de informații neautorizate. în sesiuni de rețea.

6. Atacurile la nivel de aplicație.

Atacurile la nivel de aplicație pot fi efectuate în mai multe moduri. Cea mai comună dintre ele este utilizarea unor puncte slabe bine-cunoscute în software-ul serverului (sendmail, HTTP, FTP). Folosind aceste puncte slabe, atacatorii pot obține acces la un computer în numele utilizatorului care rulează aplicația (de obicei acesta nu este un simplu utilizator, ci un administrator privilegiat cu drepturi de acces la sistem). Informațiile despre atacurile la nivel de aplicație sunt publicate pe scară largă pentru a oferi administratorilor posibilitatea de a corecta problema folosind module corective (patch-uri). Din păcate, mulți hackeri au acces și la aceste informații, ceea ce le permite să se îmbunătățească.

Principala problemă a atacurilor la nivel de aplicație este că atacatorii folosesc adesea porturi cărora li se permite să treacă prin firewall. De exemplu, un atacator care exploatează o slăbiciune cunoscută a unui server Web va folosi adesea portul 80 într-un atac TCP.Deoarece serverul Web furnizează pagini Web utilizatorilor, firewall-ul trebuie să ofere acces la acest port. Din punctul de vedere al firewall-ului, atacul este tratat ca trafic standard pe portul 80.

7. Inteligența rețelei.

Inteligența rețelei se referă la colectarea de informații de rețea folosind date și aplicații disponibile public. Atunci când pregătește un atac împotriva unei rețele, un atacator încearcă de obicei să obțină cât mai multe informații despre aceasta. Recunoașterea rețelei se realizează sub formă de interogări DNS, ping-uri și scanare de porturi. Interogările DNS vă ajută să înțelegeți cine deține un anumit domeniu și ce adrese sunt atribuite acelui domeniu. Adresele ping dezvăluite de DNS vă permite să vedeți ce gazde rulează de fapt într-un mediu dat. După ce primește o listă de gazde, atacatorul folosește instrumente de scanare porturi pentru a compila o listă completă de servicii acceptate de acele gazde. În cele din urmă, analizează caracteristicile aplicațiilor care rulează pe gazde. Ca urmare, el obține informații care pot fi folosite pentru hacking.

8. Încălcarea încrederii.

Strict vorbind, acest tip de acțiune nu este, în sensul deplin al cuvântului, un atac sau un atac. Reprezintă exploatarea rău intenționată a relațiilor de încredere care există într-o rețea. Un exemplu clasic de astfel de abuz este situația din partea periferică a rețelei corporative. Acest segment găzduiește adesea servere DNS, SMTP și HTTP. Deoarece toate aparțin aceluiași segment, piratarea pe oricare dintre ele duce la piratarea tuturor celorlalte, deoarece aceste servere au încredere în alte sisteme din rețeaua lor. Un alt exemplu este un sistem instalat în exteriorul firewall-ului care are o relație de încredere cu un sistem instalat în interiorul firewall-ului. Dacă un sistem extern este compromis, un atacator poate folosi relațiile de încredere pentru a pătrunde în sistemul protejat de firewall.

9. Port forwarding.

Port forwarding este o formă de abuz de încredere în care o gazdă compromisă este folosită pentru a trece traficul printr-un firewall care altfel ar fi respins. Să ne imaginăm un firewall cu trei interfețe, fiecare dintre ele conectată la o anumită gazdă. O gazdă externă se poate conecta la o gazdă partajată (DMZ), dar nu la una instalată în interiorul firewall-ului. O gazdă partajată se poate conecta atât la o gazdă internă, cât și la o gazdă externă. Dacă un atacator preia o gazdă partajată, el poate instala pe aceasta un software care redirecționează traficul de la gazda externă direct la cea internă. Deși acest lucru nu încalcă niciuna dintre regulile de pe ecran, gazda externă obține acces direct la gazda protejată ca urmare a redirecționării. Un exemplu de aplicație care poate oferi un astfel de acces este netcat.

10. Acces neautorizat.

Accesul neautorizat nu poate fi identificat ca un tip separat de atac, deoarece majoritatea atacurilor de rețea sunt efectuate tocmai pentru a obține acces neautorizat. Pentru a ghici o autentificare Telnet, un atacator trebuie mai întâi să obțină un indiciu Telnet asupra sistemului său. După conectarea la portul Telnet, pe ecran apare mesajul „autorizare necesară pentru a utiliza această resursă”. Dacă atacatorul continuă să încerce accesul după aceasta, va fi considerat neautorizat. Sursa unor astfel de atacuri poate fi fie în interiorul rețelei, fie în exterior.

11. Viruși și aplicații troiene

Stațiile de lucru ale utilizatorilor finali sunt foarte vulnerabile la viruși și cai troieni. Virușii sunt programe rău intenționate care sunt inserate în alte programe pentru a îndeplini o anumită funcție nedorită pe stația de lucru a utilizatorului final. Un exemplu este un virus care este scris în fișierul command.com (interpretul principal al sistemelor Windows) și șterge alte fișiere și, de asemenea, infectează toate celelalte versiuni ale command.com pe care le găsește.

Un cal troian nu este o inserție software, ci un program real care la prima vedere pare a fi o aplicație utilă, dar de fapt joacă un rol dăunător. Un exemplu de cal troian tipic este un program care arată ca un simplu joc pentru stația de lucru a utilizatorului. Cu toate acestea, în timp ce utilizatorul joacă jocul, programul trimite o copie a lui însuși prin e-mail fiecărui abonat din agenda utilizatorului respectiv. Toți abonații primesc jocul prin poștă, determinând distribuția lui ulterioară.

Clasa de atacuri de rețea include atacuri care provoacă un comportament suspect, anormal al traficului de rețea într-o rețea corporativă. Acestea sunt așa-numitele anomalii ale rețelei. Anomaliile de rețea pot fi, de asemenea, clasificate. Ele pot fi împărțite în două grupe principale: abateri hardware și software și probleme de securitate (Fig. 1.2.1.)

1. Abateri software și hardware.

Erorile din software-ul componentelor sistemului informatic pot duce la un transfer în modul anormal cu încetarea ulterioară a furnizării serviciilor.

Erorile de configurare traduc funcționalitatea componentelor sistemului informațional în nerespectarea parametrilor standard de proiectare, ceea ce perturbă performanța generală.

Încălcările de performanță implică o abatere a parametrilor sistemului informațional dincolo de valorile calculate, care este însoțită de o încălcare a prestării serviciilor.

Defecțiunile hardware pot duce atât la defecțiunea completă a componentelor individuale ale sistemului informațional, cât și la influența degradantă a unui subsistem separat asupra întregului complex.

2. Încălcări de securitate.

Scanarea rețelei este efectuată pentru a analiza topologia rețelei și a detecta serviciile disponibile pentru atac. În timpul procesului de scanare, se încearcă conectarea la serviciile de rețea accesând un anumit port. În cazul scanării deschise, scanerul efectuează o procedură de strângere de mână în trei căi, iar în cazul scanării închise (stealth), nu finalizează conexiunea. Deoarece la scanarea unei singure gazde, are loc o enumerare a serviciilor (porturilor), această anomalie este caracterizată prin încercări de a accesa de la o adresă IP a scanerului la o anumită adresă IP pe mai multe porturi. Cu toate acestea, cel mai adesea sunt scanate subrețele întregi, ceea ce se exprimă în prezența în rețeaua atacată a mai multor pachete de la o adresă IP a scanerului la mai multe adrese IP ale subrețelei examinate, uneori chiar folosind o metodă de căutare secvențială. Cele mai cunoscute scanere de rețea sunt: ​​nmap, ISS, satan, strobe, xscan și altele.

Analizatoarele de trafic sau snifferele sunt concepute pentru a intercepta și analiza traficul de rețea. În cel mai simplu caz, aceasta implică trecerea adaptorului de rețea al complexului hardware în modul de ascultare, iar fluxurile de date din segmentul la care este conectat devin disponibile pentru studii ulterioare. Deoarece multe programe de aplicație folosesc protocoale care transmit informații într-o formă clară, necriptată, munca sniffers reduce dramatic nivelul de securitate. Rețineți că sniffer-urile nu provoacă anomalii pronunțate în funcționarea rețelei. Cele mai cunoscute sniffer sunt: ​​tcpdump, ethereal, sniffit, Microsoft network monitor, nexxray, lan explorer.

În securitatea computerelor, termenul de vulnerabilitate este folosit pentru a desemna o componentă a unui sistem informatic care este slab protejată de influența neautorizată. Vulnerabilitatea poate fi rezultatul unor erori de proiectare, programare sau configurare. O vulnerabilitate poate exista doar teoretic sau poate avea o implementare software exploatatoare - un exploit. Sub aspectul rețelei, resursele informaționale, cum ar fi sistemele de operare și software-ul de serviciu, pot fi vulnerabile la vulnerabilități.

Activitatea rețelei virale este rezultatul încercărilor de a răspândi viruși și viermi de computer folosind resursele rețelei. Cel mai adesea, un virus de computer exploatează o singură vulnerabilitate într-un serviciu de aplicație de rețea, astfel încât traficul de viruși este caracterizat prin prezența mai multor apeluri de la o adresă IP infectată către mai multe adrese IP pe un anumit port corespunzător unui serviciu potențial vulnerabil.

Probleme de securitate a rețelei IP

Analiza amenințărilor la securitatea rețelei.

Pentru a organiza comunicațiile într-un mediu de rețea eterogen, se utilizează un set de protocoale TCP/IP, asigurând compatibilitatea între computere de diferite tipuri. Compatibilitatea este unul dintre principalele avantaje ale TCP/IP, motiv pentru care majoritatea rețelelor de calculatoare acceptă aceste protocoale. În plus, protocoalele TCP/IP oferă acces la resursele Internetului global.

Datorită popularității sale, TCP/IP a devenit standardul de facto pentru interconectarea. Cu toate acestea, ubicuitatea stivei de protocoale TCP/IP și-a expus și punctele slabe. Atunci când și-au creat ideea, arhitecții stivei TCP/IP nu au văzut niciun motiv să-și facă griji în mod deosebit cu privire la protejarea rețelelor construite pe deasupra. Prin urmare, specificațiile versiunilor timpurii ale protocolului IP nu aveau cerințe de securitate, ceea ce a condus la vulnerabilitatea inerentă a implementării acestuia.

Creșterea rapidă a popularității tehnologiilor Internet este însoțită de o creștere a amenințărilor serioase de dezvăluire a datelor personale, a resurselor corporative critice, a secretelor de stat etc.

În fiecare zi, hackerii și alți actori rău intenționați amenință resursele de informații online, încercând să obțină acces la acestea folosind atacuri speciale. Aceste atacuri devin din ce în ce mai sofisticate ca impact și mai simplu de executat. Doi factori principali contribuie la aceasta.

În primul rând, aceasta este pătrunderea pe scară largă a Internetului. Astăzi, milioane de computere sunt conectate la această rețea. Cu multe milioane de computere conectate la Internet în viitorul apropiat, probabilitatea ca hackerii să obțină acces la computere vulnerabile și rețele de calculatoare este în creștere. În plus, utilizarea pe scară largă a Internetului permite hackerilor să facă schimb de informații la scară globală.

În al doilea rând, există proliferarea pe scară largă a sistemelor de operare și a mediilor de dezvoltare ușor de utilizat. Acest factor reduce drastic cerințele pentru nivelul de cunoștințe al atacatorului. Anterior, un hacker avea nevoie de cunoștințe și abilități bune de programare pentru a crea și distribui malware. Acum, pentru a obține acces la instrumentul unui hacker, trebuie doar să cunoașteți adresa IP a site-ului dorit și, pentru a efectua un atac, trebuie doar să faceți clic pe mouse.

Problemele de asigurare a securității informațiilor în rețelele de computere corporative sunt cauzate de amenințările de securitate la adresa stațiilor de lucru locale, a rețelelor locale și a atacurilor asupra rețelelor corporative care au acces la rețelele publice de date.

Atacurile de rețea sunt la fel de variate ca și sistemele pe care le vizează. Unele atacuri sunt foarte dificile. Altele pot fi realizate de un operator obișnuit care nici nu își imaginează ce consecințe pot avea activitățile sale.

Un intrus, atunci când efectuează un atac, își stabilește de obicei următoarele obiective:

v încălcarea confidențialității informațiilor transmise;

v încălcarea integrității și fiabilității informațiilor transmise;

v perturbarea sistemului ca întreg sau a părților sale individuale.

Din punct de vedere al securității, sistemele distribuite se caracterizează în primul rând prin prezență atacuri de la distanță , deoarece componentele sistemelor distribuite folosesc de obicei canale deschise de transmisie a datelor și un intrus nu poate doar să asculte pasiv informațiile transmise, ci și să modifice traficul transmis (influență activă). Iar dacă impactul activ asupra traficului poate fi înregistrat, atunci impactul pasiv este practic nedetectabil. Dar deoarece în timpul funcționării sistemelor distribuite schimbul de informații de serviciu între componentele sistemului se realizează și prin canale deschise de transmisie a datelor, informațiile de serviciu devin același obiect de atac ca și datele utilizatorului.

Dificultatea detectării faptului unui atac de la distanță plasează acest tip de acțiune ilegală pe primul loc în ceea ce privește gradul de pericol, deoarece împiedică un răspuns în timp util la amenințare, în urma căruia contravenientul crește șansele de a efectua cu succes. în afara atacului.

Securitatea rețelei locale în comparație cu securitatea rețelei de internet diferă prin aceea că, în acest caz, securitatea este pe primul loc ca importanță. încălcări ale utilizatorilor înregistrați , întrucât, în general, canalele de transmisie a datelor din rețeaua locală sunt situate într-o zonă controlată și protecția împotriva conectării neautorizate la acestea este implementată prin metode administrative.

În practică, rețelele IP sunt vulnerabile la o serie de metode de intruziune neautorizată în procesul de schimb de date. Pe măsură ce tehnologiile informatice și de rețea se dezvoltă (de exemplu, odată cu apariția aplicațiilor mobile Java și a controalelor ActiveX), lista de posibile tipuri de atacuri de rețea asupra rețelelor IP se extinde constant [Galitsky A.V., Ryabko S.D., Shangin V.F. Protejarea informațiilor în rețea - analiza tehnologiilor și sinteza soluțiilor. M.: DMK Press, 2004].

Să ne uităm la cele mai comune tipuri de atacuri de rețea.

Ascultarea cu urechea (adulmecare). O mare parte din datele din rețelele de calculatoare sunt transmise într-un format nesecurizat (text simplu), care permite unui atacator cu acces la liniile de date din rețeaua dvs. să asculte sau să citească traficul. Pentru a asculta cu urechea la rețelele de calculatoare pe care le folosesc adulmecă Mirositoare de pachete este un program de aplicație care interceptează toate pachetele de rețea transmise printr-un anumit domeniu.

În prezent, sniffer-ii operează în rețele pe o bază complet legală. Sunt utilizate pentru diagnosticarea defecțiunilor și analiza traficului. Cu toate acestea, deoarece unele aplicații de rețea transferă date în format text (Telnet, FTP, SMTP, POP3 etc.), utilizarea unui sniffer poate dezvălui informații utile și uneori sensibile (de exemplu, nume de utilizator și parole).

Mirosirea parolei transmis printr-o rețea în formă necriptată prin „interceptare” pe canal este un tip de atac de interceptare. Interceptarea autentificarii și a parolei reprezintă o amenințare majoră, deoarece utilizatorii folosesc adesea aceeași autentificare și parolă pentru mai multe aplicații și sisteme. Mulți utilizatori au, în general, o singură parolă pentru a accesa toate resursele și aplicațiile. Dacă aplicația rulează în modul client/server și datele de autentificare sunt transmise prin rețea într-un format text care poate fi citit, aceste informații pot fi probabil folosite pentru a accesa alte resurse corporative sau externe.

În cel mai rău caz, un hacker obține acces la nivel de sistem la o resursă de utilizator și o folosește pentru a crea noi atribute de utilizator care pot fi folosite pentru a accesa rețeaua și resursele acesteia în orice moment.

Puteți preveni amenințarea sniff-ului de pachete folosind următoarele:
masuri si mijloace:

v utilizarea parolelor unice pentru autentificare;

v instalarea de hardware sau software care recunoaște
adulmecători;

v aplicarea protecției criptografice a canalelor de comunicație.

Schimbarea datelor. Un atacator care știa să citească
datele dvs., vor putea face următorul pas - schimbați-le. Date în
pachetul poate fi schimbat chiar dacă atacatorul nu știe nimic
despre expeditor sau destinatar. Chiar dacă nu ai nevoie de stricte
confidențialitatea tuturor datelor transmise, probabil că nu doriți,
astfel încât acestea să fie schimbate pe parcurs.

Analiza traficului în rețea. Scopul unor astfel de atacuri
tip sunt ascultarea canalelor de comunicare și analiza transmise
date și informații despre servicii pentru a studia topologia și arhitectura
construirea unui sistem, obținerea de informații critice despre utilizator
(de exemplu, parolele utilizatorului sau numerele cardurilor de credit transmise
în formă deschisă). Protocoalele precum FTP sunt susceptibile la acest tip de atac.
sau Telnet, a cărui particularitate este că numele de utilizator și parola
transmise în cadrul acestor protocoale în text clar.

Înlocuirea unui subiect de încredere. Majoritatea rețelelor și funcționează
sistemele utilizează adresa IP a computerului pentru a determina dacă
acesta este destinatarul de care este nevoie. În unele cazuri, poate fi incorect
atribuirea unei adrese IP (înlocuirea adresei IP a expeditorului cu o altă adresă) - astfel
se numeste metoda de atac falsificarea adresei(falsificarea IP).

Falsificarea IP are loc atunci când un atacator, în interiorul sau în afara unei corporații, se uită la un utilizator legitim. Un atacator ar putea folosi o adresă IP care se află în intervalul de adrese IP autorizate sau o adresă externă autorizată căreia i se permite accesul la anumite resurse de rețea. Un atacator poate folosi, de asemenea, programe speciale care modelează pachetele IP, astfel încât acestea să pară că provin de la adrese interne autorizate din rețeaua corporativă.

Atacurile de falsificare IP sunt adesea punctul de plecare pentru alte atacuri. Exemplu clasic este ataca ca " refuzul serviciului"(DoS), care începe cu adresa altcuiva, ascunzând adevărata identitate a hackerului. De obicei, falsificarea IP se limitează la inserarea de informații false sau comenzi rău intenționate în fluxul normal de date transmise între o aplicație client și server sau printr-un canal de comunicație între dispozitivele egale.

Amenințarea de falsificare poate fi atenuată (dar nu eliminată) prin următoarele măsuri:

v configurarea corectă a controlului accesului din rețeaua externă;

v suprimarea încercărilor de falsificare a rețelelor altor persoane de către utilizatorii rețelei lor.

Trebuie reținut că IP spoofing poate apărea dacă utilizatorii sunt autentificați pe baza adreselor IP, astfel încât introducerea unor metode suplimentare de autentificare a utilizatorilor (bazate pe parole unice sau alte metode criptografice) poate preveni atacurile de IP spoofing.

Mediere. Un atac de tip om-in-the-middle implică interceptarea activă, interceptarea și controlul datelor transmise de către un nod intermediar invizibil. Când computerele comunică la niveluri scăzute de rețea, ele nu pot determina întotdeauna cu cine comunică.

Mediere în schimbul de chei necriptate (atac Man-in-the-Middle). Pentru a efectua un atac Man-in-the-Middle, un atacator are nevoie de acces la pachetele transmise prin rețea. Un astfel de acces la toate pachetele transmise de la un ISP către orice altă rețea poate fi, de exemplu, obținut de un angajat al acestui furnizor. Sniffer-urile de pachete, protocoalele de transport și protocoalele de rutare sunt adesea folosite pentru acest tip de atac.

Într-un caz mai general, atacurile Man-in-the-Middle sunt efectuate pentru a fura informații, a intercepta sesiunea curentă și a obține acces la resursele rețelei private, pentru a analiza traficul și a obține informații despre rețea și utilizatorii acesteia, pentru a efectua DoS atacuri și distorsionează datele transmise și introducerea de informații neautorizate în sesiunile de rețea.

Atacurile Man-m-the-Middle pot fi combatute eficient doar folosind criptografie. Pentru a contracara acest tip de atac, este utilizată infrastructura de gestionare a cheilor publice PKI (Public Key Infrastructure).

Deturnarea sesiunii. După finalizarea procedurii inițiale de autentificare, conexiunea stabilită de utilizatorul legitim, de exemplu, cu un server de e-mail, este comutată de către atacator la o nouă gazdă, iar serverul original primește comanda să încheie conexiunea. Drept urmare, „interlocutorul” utilizatorului legitim este înlocuit în liniște.

După ce a obținut acces la rețea, atacatorul are mari oportunități:

v poate trimite date incorecte către aplicații și servicii de rețea, provocând blocarea sau funcționarea defectuoasă a acestora;

v poate inunda un computer sau o întreagă rețea cu trafic până când sistemul se blochează din cauza supraîncărcării;

v În cele din urmă, atacatorul poate bloca traficul, ceea ce va duce la pierderea accesului la resursele de rețea pentru utilizatorii autorizați.

Refuzarea serviciului (DoS). Acest atac este diferit de alte tipuri de atacuri. Nu are ca scop obținerea accesului la rețeaua dvs. sau extragerea oricărei informații din acea rețea. Un atac DoS face ca rețeaua unei organizații să nu fie disponibilă pentru utilizare normală prin depășirea limitelor permise ale rețelei, sistemului de operare sau aplicației. În esență, acest atac interzice utilizatorilor normali accesul la resurse sau computere din rețeaua unei organizații.

Majoritatea atacurilor DoS se bazează pe slăbiciunile generale ale arhitecturii sistemului. În cazul unor aplicații server (cum ar fi un server Web sau un server FTP), atacurile DoS pot implica preluarea tuturor conexiunilor disponibile pentru acele aplicații și menținerea acestora ocupate, prevenind

servicii pentru utilizatorii obișnuiți. Atacurile DoS pot folosi protocoale de internet obișnuite, cum ar fi TCP și ICMP (Internet Control Message Protocol).

Atacurile DoS sunt dificil de prevenit, deoarece necesită coordonare cu ISP-ul dumneavoastră. Dacă traficul destinat să vă copleșească rețeaua nu poate fi oprit la furnizor, atunci la intrarea în rețea nu veți mai putea face acest lucru, deoarece toată lățimea de bandă va fi ocupată.

Dacă acest tip de atac este efectuat simultan prin mai multe dispozitive, spunem noi despre atacul distribuit de denial of service DDoS(DoS distribuit).

Ușurința de implementare a atacurilor DoS și prejudiciul enorm pe care acestea îl provoacă organizațiilor și utilizatorilor atrag atenția sporită a administratorilor de securitate a rețelei asupra acestor atacuri.

Atacurile cu parole. Scopul acestor atacuri este de a obține parola și autentificarea utilizatorului legitim. Atacatorii pot efectua atacuri cu parole folosind metode precum:

v O înlocuire adrese IP (spoofing 1P);

v ascultarea cu urechea (adulmecare);

v căutare simplă.

Falsificarea IP și sniffingul de pachete au fost discutate mai sus. Aceste metode vă permit să capturați parola unui utilizator și să vă autentificați dacă sunt transmise în text clar pe un canal nesigur.

Deseori hackerii încearcă să ghicească parola și să se autentifice, folosind numeroase încercări de acces. Această abordare se numește atac cu forță brută(atac cu forță brută). Acest atac folosește un program special care încearcă să obțină acces la o resursă publică (de exemplu, un server). Dacă, ca urmare, atacatorul reușește să ghicească parola, acesta obține acces la resurse ca utilizator obișnuit. Dacă acest utilizator are privilegii de acces semnificative, un atacator își poate crea o „permisă” pentru acces viitor, care va rămâne în vigoare chiar dacă utilizatorul își schimbă parola și autentificarea.

Instrumentele pentru interceptarea, selectarea și spargerea parolelor sunt considerate în prezent practic legale și sunt produse oficial de un număr destul de mare de companii. Ele sunt comercializate ca software de auditare de securitate și de recuperare a parolelor pierdute și pot fi achiziționate legal de la dezvoltatori.

Atacurile cu parole pot fi evitate prin neutilizarea parolelor cu text simplu. Utilizarea parolelor unice și a autentificării criptografice poate elimina practic amenințarea unor astfel de atacuri. Din păcate, nu toate aplicațiile, gazdele și dispozitivele acceptă aceste metode de autentificare.

Când utilizați parole obișnuite, trebuie să găsiți o parolă greu de ghicit. Lungimea minimă a parolei trebuie să fie de cel puțin opt caractere. Parola trebuie să includă caractere majuscule, numere și caractere speciale (#, $, &, % etc.).

Ghicind cheia. O cheie criptografică este un cod sau un număr necesar pentru a decripta informațiile protejate. Deși găsirea cheii de acces este dificilă și necesită multe resurse, este totuși posibilă. În special, pentru a determina valoarea unei chei, se poate folosi un program special care implementează metoda de căutare exhaustivă. Cheia la care atacatorul are acces se numește compromisă. Atacatorul folosește cheia compromisă pentru a obține acces la datele transmise protejate fără știrea expeditorului și destinatarului. Cheia face posibilă decriptarea și modificarea datelor.

Atacurile la nivel de aplicație. Aceste atacuri pot fi efectuate în mai multe moduri. Cea mai comună dintre ele este exploatarea deficiențelor cunoscute în software-ul serverului (FTP, HTTP, servere Web).

Principala problemă a atacurilor la nivel de aplicație este că folosesc adesea porturi care au voie să treacă prin firewall.

Informațiile despre atacurile la nivel de aplicație sunt publicate pe scară largă pentru a permite administratorilor să corecteze problema folosind module corective (patch-uri). Din păcate, mulți hackeri au acces și la aceste informații, ceea ce le permite să învețe.

Este imposibil să eliminați complet atacurile la nivel de aplicație. Hackerii descoperă și publică în mod constant noi vulnerabilități în programele de aplicații de pe site-urile lor de internet.

O bună administrare a sistemului este importantă aici. Pentru a vă reduce vulnerabilitatea la acest tip de atac, puteți lua următorii pași:

v analiza fișierele jurnal ale sistemului de operare și fișierele jurnal de rețea folosind aplicații analitice speciale;

v monitorizarea datelor CERT privind punctele slabe ale software-ului aplicației;

v utilizați cele mai recente versiuni de sisteme de operare și aplicații și cele mai recente module de corecție (patch-uri);

v utilizați sistemele de detectare a atacurilor IDS (Intrusion Detection Systems).

Inteligența rețelei este colectarea de informații de rețea folosind date și aplicații disponibile public. Când pregătește un atac împotriva unei rețele, un hacker încearcă de obicei să obțină cât mai multe informații despre acesta.

Recunoașterea rețelei se realizează sub formă de interogări DNS,
testarea ecou (ping sweep) și scanarea portului. Interogările DNS vă ajută să înțelegeți cine deține un anumit domeniu și ce adrese sunt atribuite acelui domeniu. Adresele ping dezvăluite de DNS vă permite să vedeți ce gazde rulează de fapt într-un mediu dat. După ce primește o listă de gazde, hackerul folosește instrumente de scanare porturi pentru a compila o listă completă de servicii acceptate de acele gazde. Ca rezultat, se obțin informații care pot fi folosite pentru hacking.

Este imposibil să scapi complet de inteligența rețelei. Dacă, de exemplu, dezactivați ecoul ICMP și răspunsul ecou pe routerele edge, scăpați de testarea ping, dar pierdeți datele necesare pentru a diagnostica defecțiunile rețelei. În plus, puteți scana porturi fără testare ping prealabilă. Va dura mai mult timp, deoarece va trebui să scanați adrese IP inexistente.

Sistemele IDS la nivel de rețea și gazdă fac de obicei o treabă bună de a alerta administratorii cu privire la recunoașterea continuă a rețelei, permițându-le să se pregătească mai bine pentru un atac viitor și să alerteze ISP-ul pe a cărui rețea un sistem este prea băgacios.

Abuz de încredere. Acest tip de acțiune nu este un atac în sensul deplin al cuvântului. Reprezintă exploatarea rău intenționată a relațiilor de încredere care există într-o rețea. Un exemplu tipic de astfel de abuz este situația din partea periferică a rețelei corporative. Acest segment găzduiește de obicei servere DNS, SMTP și HTTP. Deoarece toate aparțin aceluiași segment, piratarea unuia dintre ele duce la piratarea tuturor celorlalte, deoarece aceste servere au încredere în alte sisteme din rețeaua lor.

Riscul de încălcare a încrederii poate fi redus prin controlul mai strict al nivelurilor de încredere din rețeaua dvs. Sistemele situate în afara firewall-ului nu ar trebui să aibă niciodată încredere absolută din partea sistemelor protejate de firewall.

Relațiile de încredere ar trebui limitate la protocoale specifice și, dacă este posibil, autentificate nu numai prin adrese IP, ci și prin alți parametri. Programe rău intenționate. Astfel de programe includ viruși de computer, viermi de rețea și programe troiene.

Viruși sunt programe rău intenționate care sunt inserate în alte programe pentru a îndeplini o anumită funcție nedorită pe stația de lucru a utilizatorului final. Un virus este de obicei dezvoltat de atacatori în așa fel încât să rămână nedetectat într-un sistem informatic cât mai mult timp posibil. Perioada inițială de repaus a virușilor este un mecanism de supraviețuire a acestora. Virusul se manifestă în întregime la un anumit moment în timp, când are loc un eveniment de apelare, de exemplu vineri 13, o dată cunoscută etc.

Un tip de program antivirus este vierme de rețea, care este distribuit în rețeaua globală și nu își lasă copia pe un suport magnetic. Acest termen este folosit pentru a denumi programe care, cum ar fi teniile, se deplasează printr-o rețea de calculatoare de la un sistem la altul. Viermele folosește mecanisme de suport de rețea pentru a determina care gazdă poate fi afectată. Apoi, folosind aceleași mecanisme, viermele își transferă corpul în acest nod și fie devine activat, fie așteaptă condiții adecvate pentru activare. Viermii de rețea sunt un tip periculos de malware, deoarece ținta atacului lor poate fi oricare dintre milioanele de computere conectate la internetul global. Pentru a vă proteja împotriva unui vierme, trebuie să luați măsuri de precauție împotriva accesului neautorizat la rețeaua internă.

Virușii informatici sunt legați de așa-numitele "Cai troieni"(programe troiene). Un „cal troian” este un program care arată ca o aplicație utilă, dar îndeplinește de fapt funcții dăunătoare (distrugerea software-ului
furnizarea, copierea și trimiterea de fișiere cu date confidențiale către atacator etc.). Pericolul unui cal troian constă într-un bloc suplimentar de comenzi introduse în programul original inofensiv, care este apoi furnizat utilizatorilor AS. Acest bloc de comenzi poate fi declanșat la apariția oricărei condiții (data, starea sistemului) sau la o comandă externă. Un utilizator care rulează un astfel de program pune în pericol atât fișierele sale, cât și întregul sistem în ansamblu.

Conform raportului Sophos Security Threat Management, caii troieni au depășit numărul virușilor și viermilor cu patru la unu în prima jumătate a anului 2006, față de dublarea în primele șase luni ale anului 2005. Sophos raportează, de asemenea, apariția unui nou tip de „programe troiene”. , numit ransomware. Astfel de programe fură date de pe computerele infectate, iar apoi utilizatorului i se cere să plătească o anumită răscumpărare pentru ele.

Stațiile de lucru ale utilizatorilor finali sunt extrem de vulnerabile la viruși, viermi și cai troieni.

O caracteristică a malware-ului modern este direcționarea aplicației software specifice, care a devenit un standard de facto pentru majoritatea utilizatorilor, în primul rând Microsoft Internet Explorer și Microsoft Outlook. Crearea masivă de viruși pentru produsele Microsoft se explică nu numai prin nivelul scăzut de securitate și fiabilitate al programelor, ci și prin distribuția globală a acestor produse. Autorii de software rău intenționat încep să exploreze din ce în ce mai multe „găuri” în SGBD-urile populare, middleware-urile și aplicațiile de afaceri corporative construite pe deasupra acestor sisteme.

Virușii, viermii și caii troieni sunt în continuă evoluție, iar tendința principală în dezvoltarea lor este polimorfismul. Astăzi este destul de dificil să tragem o linie între un virus, un vierme și un troian; folosesc aproape aceleași mecanisme; diferența stă doar în gradul de utilizare. Designul software-ului rău intenționat a devenit atât de unificat astăzi încât, de exemplu, este aproape imposibil să distingem un virus de e-mail de un vierme cu funcții distructive. Chiar și programele „troiene” au o funcție de replicare (ca unul dintre mijloacele de contracarare a instrumentelor antivirus), astfel încât, dacă se dorește, pot fi numite viruși (cu un mecanism de distribuție sub formă de mascarada ca programe de aplicație).

Pentru a vă proteja împotriva acestor programe rău intenționate, este necesar să luați o serie de măsuri:

v împiedicarea accesului neautorizat la fișierele executabile;

v testarea software-ului achiziționat;

v monitorizarea integrității fișierelor executabile și a zonelor de sistem;

v crearea unui mediu închis de execuție a programului.

Virușii, viermii și caii troieni sunt combateți folosind un software antivirus eficient care funcționează la nivel de utilizator și, eventual, la nivel de rețea. Pe măsură ce apar noi viruși, viermi și cai troieni, trebuie instalate noi baze de date cu instrumente și aplicații antivirus.

Spam și phishing se referă la amenințări non-software. Prevalența acestor două amenințări a crescut semnificativ în ultima vreme.

Spam, al cărui volum depășește acum 80% din volumul total al traficului de e-mail, poate reprezenta o amenințare la adresa disponibilității informațiilor prin blocarea serverelor de e-mail sau poate fi folosit pentru a distribui software rău intenționat.

phishing(phishing) este un tip relativ nou de fraudă pe internet, al cărui scop este obținerea de date de identificare a utilizatorilor. Aceasta include furtul de parole, numere de card de credit, conturi bancare, coduri PIN și alte informații confidențiale care oferă acces la banii utilizatorului. Phishingul nu exploatează defectele tehnice ale software-ului, ci mai degrabă credulitatea utilizatorilor de internet. Termenul phishing în sine, în consonanță cu pescuitul, înseamnă pescuit de recoltare a parolei - pescuit pentru o parolă. Într-adevăr, phishing-ul este foarte asemănător cu pescuitul. Atacatorul aruncă momeală pe Internet și „prinde toți peștii” - utilizatorii de internet care vor mușca această momeală.

Atacatorul creează o copie aproape exactă a site-ului web al băncii selectate (sistem de plată electronică, licitație etc.). Apoi, folosind tehnologia spam, se trimite o scrisoare prin email, compusa in asa fel incat sa fie cat mai asemanatoare cu o scrisoare reala de la banca selectata. La alcătuirea scrisorii se folosesc siglele băncii, numele și prenumele directorilor adevărați de bancă. O astfel de scrisoare, de regulă, informează că, din cauza unei modificări a software-ului în sistemul de internet banking, utilizatorul trebuie să confirme sau să-și schimbe acreditările. Motivul modificării datelor poate fi o defecțiune a software-ului băncii sau un atac al hackerilor. Prezența unei legende plauzibile care încurajează utilizatorul să întreprindă acțiunile necesare este o componentă indispensabilă a succesului phisher-urilor frauduloase. În toate cazurile, scopul unor astfel de litere este același - de a forța utilizatorul să facă clic pe linkul furnizat și apoi să introducă datele lor confidențiale (parole, numere de cont, coduri PIN) pe site-ul de suprapunere al băncii (sistem de plată electronic, licitație) . După ce a vizitat un site fals, utilizatorul își introduce datele confidențiale în rândurile corespunzătoare, iar apoi escrocii obțin acces la căsuța sa poștală în cel mai bun caz, sau la contul său electronic în cel mai rău caz.

Tehnologiile Phisher sunt îmbunătățite și sunt utilizate metode de inginerie socială. Ei încearcă să sperie clientul și să vină cu un motiv critic pentru ca acesta să renunțe la datele sale confidențiale. De obicei, mesajele conțin amenințări, cum ar fi blocarea unui cont dacă destinatarul nu respectă cerințele stabilite în mesaj.

A apărut un conjugat cu conceptul de phishing - farming . Aceasta este, de asemenea, o înșelătorie, al cărei scop este obținerea datelor personale ale utilizatorilor, dar nu prin poștă, ci direct prin site-uri web oficiale. Fermierii înlocuiesc adresele digitale ale site-urilor Web legitime de pe serverele DNS cu adresele celor false, drept urmare utilizatorii sunt redirecționați către site-uri de înșelătorie. Acest tip de fraudă este și mai periculos, deoarece este aproape imposibil să observi un fals.

În zilele noastre, escrocii folosesc adesea cai troieni. În acest caz, sarcina phisher-ului este mult simplificată - este suficient să forțați utilizatorul să meargă la site-ul de phishing și să „prelueze” un program care va găsi în mod independent tot ceea ce este necesar pe hard disk-ul victimei. Împreună cu programele troiene, acestea au început să fie folosite keyloggers. Pe site-urile false, instrumentele spyware care urmăresc apăsările de taste sunt descărcate pe computerele victimelor. Când utilizați această abordare, nu este necesar să găsiți acces la clienții unei anumite bănci sau companii și, prin urmare, phisher-ii au început să falsifice site-uri cu scop general, cum ar fi fluxurile de știri și motoarele de căutare.

Succesul înșelătoriilor de tip phishing este facilitat de nivelul scăzut de conștientizare a utilizatorilor cu privire la regulile de funcționare ale companiilor în numele cărora acționează infractorii. În special, aproximativ 5% dintre utilizatori nu știu un fapt simplu: băncile nu trimit scrisori prin care le solicită să-și confirme numărul cardului de credit și PIN-ul online.

Potrivit analiștilor (www.cnews.ru), pagubele cauzate de phisheri economiei globale s-au ridicat la 14 miliarde de dolari în 2003, iar un an mai târziu au ajuns la 44 de miliarde de dolari. Conform statisticilor Symantec, la mijlocul anului 2004, filtrele companiei blocau până la 9 milioane de e-mailuri cu conținut de phishing în fiecare săptămână. Până la sfârșitul anului, 33 de milioane fuseseră deja eliminate în aceeași perioadă.

Filtrele de spam rămân principala apărare împotriva phishingului. Din păcate, instrumentele software anti-phishing au o eficiență limitată, deoarece atacatorii exploatează în primul rând psihologia umană, mai degrabă decât defecte software. Măsurile tehnice de securitate sunt dezvoltate în mod activ, în primul rând pluginuri pentru browsere populare. Esența protecției este blocarea site-urilor care sunt incluse în „listele negre” de resurse frauduloase. Următorul pas ar putea fi sistemele de generare a parolelor unice pentru accesul la Internet la conturile bancare și conturile din sistemele de plată și distribuirea pe scară largă a nivelurilor suplimentare de protecție printr-o combinație de introducere a unei parole folosind o cheie hardware USB.

Atacurile enumerate asupra rețelelor IP sunt posibile din mai multe motive:

v utilizarea canalelor publice de transmitere a datelor. Datele critice sunt transmise prin rețea în formă necriptată;

v vulnerabilități în procedurile de autentificare implementate în stiva TCP/IP. Informațiile de identitate la nivelul IP sunt transmise în text clar;

v absența în versiunea de bază a stivei de protocol TCP/IP a mecanismelor care asigură confidențialitatea și integritatea mesajelor transmise;

v expeditorul este autentificat prin adresa sa IP. Procedura de autentificare se realizează numai în etapa de stabilire a conexiunii, iar ulterior nu se verifică autenticitatea pachetelor primite;

v lipsa controlului asupra traseului mesajelor pe Internet, ceea ce face ca atacurile la rețea la distanță să fie practic nepedepsite.

Aproape orice site web poate suferi de un atac de hacker. Nu există protecție 100% împotriva acestui lucru. De exemplu, un site aleatoriu care este găzduit pe același server cu site-ul vizat de atac poate deveni victima unui atac. Dacă atacatorii au un buget și o dorință mare, atunci niciun site nu poate fi complet protejat de acțiuni intenționate.

În ce scop poate fi efectuat un atac pe un site:

– furtul de date (de exemplu, parole de utilizator, acces la secțiuni ascunse ale site-ului);

– scoaterea serverului din starea de funcționare;

– plasarea de link-uri ascunse, viruși etc. pe paginile site-ului;

– obținerea accesului complet la server;

– o scădere a poziției site-ului în motoarele de căutare sau pierderea completă a acestuia.

Majoritatea atacurilor hackerilor sunt efectuate de concurenți sau în scop de profit.

Sa luam in considerare principalele tipuri de atacuri asupra site-urilor web.

Ddos. Am discutat deja într-unul din materialele anterioare. De ce este periculos acest tip de atac?

Cel mai periculos atac asupra unei resurse de Internet, Ddos oprește complet serverul, făcând site-ul indisponibil pentru vizitatori. Serverul se poate „întinde” până când atacul se oprește. Și acest lucru, la rândul său, afectează negativ reputația site-ului dvs. Acest tip de atac este accesibil multor concurenți fără scrupule; singura întrebare este suma de bani pe care sunt dispuși să o cheltuiască pentru organizarea Ddos.

Pentru un DDoS mic, sunt suficiente doar câteva computere cu un canal larg de internet. Atacul are loc din cauza organizării unui număr mare de solicitări către server, care sunt făcute de la un număr mare de computere. Ca urmare, din cauza depășirii de mai multe ori a sarcinii permise, serverul se blochează. Majoritatea computerelor atacatoare sunt computere infectate cu troieni. Utilizatorul de PC însuși nici măcar nu bănuiește că este folosit de escroci. Rețelele de computere infectate se numesc botnets.

Puterea atacurilor DDoS este măsurată în volumul de trafic trimis către serverul atacat pe secundă. De exemplu, dacă are loc un atac puternic, este destul de dificil să îl combateți, deoarece astfel de volume de trafic sunt aproape imposibil de filtrat.

Este important de știut că atacurile sunt efectuate nu numai pe computere individuale. Rețelele naționale și serverele DNS root au devenit adesea victime ale atacurilor, iar acest lucru poate duce la indisponibilitatea internetului în anumite regiuni.

Pentru a preveni Ddos, experții recomandă plasarea proiectelor de Internet pe un server cu o rezervă de resurse. În acest caz, va exista o rezervă la timp pentru a lua măsuri. Pentru a vă proteja împotriva Ddos, este necesar să luați măsuri cuprinzătoare, de exemplu, un firewall, filtrarea traficului și munca specialiștilor în acest domeniu. Dar chiar și site-urile mari cu protecție puternică sunt periodic supuse atacurilor. Chiar și site-ul web Microsoft a devenit de mai multe ori victima atacurilor DDoS ale escrocilor.

DESPRE Pe blogul nostru a fost scris material special.

Un alt atac popular asupra site-ului esteAceasta este piratarea unui server și plasarea de legături sau viruși pe el.

În astfel de cazuri, webmasterul descoperă că site-ul a fost spart și folosit de escroci.

De asemenea, este posibil ca serverul de găzduire să fi fost piratat. Dar totuși, în majoritatea cazurilor, virușii intră pe site din cauza găurilor în motoare sau din cauza stocării incorecte a parolelor.

După cum știți, linkurile ascunse sunt unul dintre motivele impunerii de sancțiuni de către motoarele de căutare, din care este foarte greu să ieșiți. Și dacă escrocii introduc nu doar linkuri obișnuite, ci și cod de virus, atunci un astfel de site poate fi interzis chiar și de furnizorul de găzduire. Și resursa în sine și adresa sa IP sunt incluse în „lista neagră” Spamhouse, din care este ieșit de greu de realist. Ca măsură preventivă, este necesar să monitorizați actualizările CMS, să instalați actualizări și completările necesare și, desigur, să nu stocați parolele în domeniul public.

Următorul pe lista mea de atac esteinjecție SQL. Apare din cauza executării unei interogări SQL pe serverul altcuiva. Această problemă poate apărea din cauza vulnerabilității motoarelor sau a imperfecțiunii codului programului. Care este esența unui atac XSS? Codul arbitrar este introdus în pagina generată de script. Principalul pericol din spatele unui astfel de atac este furtul cookie-urilor, care duce la obținerea accesului la conturile de utilizator. Drept urmare, fraudatorul primește date despre sistemul vizitatorului, istoricul site-urilor vizitate etc. În plus, nu este încorporat doar un script java, ci și un link către un script php care este găzduit pe un server terță parte, iar acest lucru este și mai periculos.

Spam cu adresa site-ului și detalii– o altă metodă de atac inofensiv, datorită căreia site-ul tău poate fi blocat pe găzduire, iar adresa ta va fi pe lista neagră. Spamul poate fi trimis nu numai către e-mailurile utilizatorilor, ci și către forumuri. Drept urmare, îți va fi dificil să dovedești că concurenții tăi făceau asta, și nu tu.

Spam în comentarii și pe forum– un alt mod în care escrocii vă pot dăuna site-ului. La urma urmei, resursele spam nu numai că se clasifică prost, ci pot fi chiar interzise cu totul. Prin urmare, proprietarii unor astfel de site-uri trebuie să instaleze filtre anti-spam și să modereze postările utilizatorilor pe forum.

phishing– dăunează reputației oricărei resurse. Pe un alt site cu o adresă similară, este plasată o copie a site-ului dvs. cu un formular de autorizare. Utilizatorul introduce date și acestea cade în mâinile escrocilor. Dacă găsiți un astfel de site, contactați imediat furnizorul de găzduire și registratorul de domeniu al site-ului fraudulos. Cu siguranță vor bloca această resursă necinstită. Citiți despre ce este phishingul și cum să vă protejați in detalii.

Poate cunoașteți alte metode de escroci care dăunează direct site-urilor web? Distribuiți-le în comentarii!

de 4072 de ori 8 Vizualizate ori astăzi

Tabelul 9.1.

Nume protocol	Nivel stiva de protocoale	Numele (caracteristică) vulnerabilității	Conținutul încălcării securitatea informatiei
FTP (File Transfer Protocol) – protocol pentru transferul de fișiere într-o rețea		Autentificare bazată text simplu(parolele sunt trimise necriptate) Acces implicit Disponibilitatea a două porturi deschise	Oportunitate interceptarea datelor
telnet - protocol de control terminal la distanță	Aplicație, reprezentant, sesiune	Autentificare bazată text simplu(parolele sunt trimise necriptate)	Oportunitate interceptarea datelor cont (nume de utilizator înregistrate, parole). Obținerea accesului de la distanță la gazde
UDP- protocol de transfer de date fără conexiune	Transport	Niciun mecanism pentru a preveni supraîncărcarea tamponului	Posibilitatea implementării UDP storm. Ca urmare a schimbului de pachete, există o scădere semnificativă a performanței serverului
ARP – Protocolul adresei IP la adresa fizică	Reţea	Autentificare bazată text simplu(informațiile sunt trimise necriptate)	Posibilitatea de interceptare a traficului utilizatorului de către un atacator
RIP – Protocolul de informații de rutare	Transport	Lipsa autentificării mesajelor de control al schimbării rutei	Abilitatea de a redirecționa traficul prin gazda atacatorului
TCP protocol de control transfer	Transport	Lipsa unui mecanism pentru verificarea umplerii corecte a antetelor serviciului de pachete	Reducere semnificativă a vitezei de comunicare și chiar întreruperea completă a conexiunilor arbitrare prin protocolul TCP
DNS – protocol pentru stabilirea corespondenței între numele mnemonice și adresele de rețea	Aplicație, reprezentant, sesiune	Lipsa mijloacelor de verificare a autentificării datelor primite de la sursă	Modificarea răspunsului serverului DNS
IGMP – Protocolul mesajelor de rutare	Reţea	Lipsa autentificării mesajelor despre modificarea parametrilor rutei	Sistemele Win 9x/NT/2000 se blochează
SMTP – protocol pentru furnizarea serviciului de livrare a mesajelor e-mail	Aplicație, reprezentant, sesiune		Posibilitatea de a falsifica mesaje de e-mail, precum și adrese expeditorul mesajului
SNMP protocol de control routere în rețele	Aplicație, reprezentant, sesiune	Nu există suport pentru autentificarea antetului mesajului	Posibilitatea supraîncărcării lățimii de bandă a rețelei

Amenințările efectuate în rețea sunt clasificate în funcție de următoarele caracteristici principale:

1. natura amenințării.

   Pasiv - o amenințare care nu afectează funcționarea sistemului informațional, dar poate încălca regulile de acces la informații protejate. Exemplu: folosirea unui sniffer pentru a „asculta” o rețea. Activ – o amenințare care afectează componentele unui sistem informațional, a cărui implementare are un impact direct asupra funcționării sistemului. Exemplu: atac DDOS sub forma unei furtuni de cereri TCP.

2. scopul amenințării(respectiv, confidențialitatea, disponibilitatea, integritatea informațiilor).
3. starea de începere a atacului:
   • la cererea atacatului. Adică atacatorul se așteaptă la transmiterea unei cereri de un anumit tip, care va fi condiția declanșării atacului.
   • la apariția unui eveniment așteptat la obiectul atacat.
   • impact necondiționat - atacatorul nu așteaptă nimic, adică amenințarea este implementată imediat și indiferent de starea obiectului atacat.
4. disponibilitatea feedback-ului cu obiectul atacat:
   • cu feedback, adică atacatorul trebuie să primească un răspuns la unele solicitări. Astfel, există feedback între țintă și atacator, permițând atacatorului să monitorizeze starea obiectului atacat și să răspundă în mod adecvat la modificările acestuia.
   • fără feedback - în consecință, nu există feedback și nu este nevoie ca atacatorul să reacționeze la modificările obiectului atacat.
5. locația intrusului în raport cu sistemul informațional atacat: intra-segment şi inter-segment. Un segment de rețea este o asociere fizică de gazde, hardware și alte componente de rețea care au o adresă de rețea. De exemplu, un segment este format din calculatoare conectate la o magistrală comună bazată pe Token Ring.
6. Stratul de model de referință ISO/OSI la care este implementată amenințarea: fizic, canal, rețea, transport, sesiune, reprezentant, aplicație.

Să ne uităm la cele mai comune atacuri în prezent în rețelele bazate pe stiva de protocoale TCP/IP.

1. Analiza traficului în rețea. Acest atac este implementat folosind un program special numit sniffer. Sniffer este un program de aplicație care utilizează o placă de rețea care funcționează în modul promiscuu, așa-numitul mod „promiscuu” în care placa de rețea permite acceptarea tuturor pachetelor, indiferent cui sunt adresate. În stare normală, filtrarea pachetelor din stratul de legătură este utilizată pe interfața Ethernet și dacă adresa MAC din antetul de destinație al pachetului primit nu se potrivește cu adresa MAC a curentului interfata reteași nu este o difuzare, pachetul este aruncat. În modul „promiscuu”, filtrarea după interfata retea este dezactivat și toate pachetele, inclusiv cele care nu sunt destinate nodului curent, sunt permise în sistem. Trebuie remarcat faptul că multe astfel de programe sunt folosite în scopuri legale, de exemplu, pentru diagnosticarea defecțiunilor sau analiza traficului. Cu toate acestea, tabelul pe care l-am revizuit mai sus enumeră protocoalele care trimit informații, inclusiv parole, în text clar - FTP, SMTP, POP3 etc. Astfel, folosind un sniffer, vă puteți intercepta numele de utilizator și parola și puteți obține acces neautorizat la informații confidențiale. Mai mult, mulți utilizatori folosesc aceleași parole pentru a accesa multe servicii online. Adică, dacă există o slăbiciune într-un loc din rețea sub forma unei autentificări slabe, întreaga rețea poate avea de suferit. Atacatorii sunt conștienți de slăbiciunile umane și folosesc pe scară largă metode de inginerie socială.

   Protecția împotriva acestui tip de atac poate include următoarele:

   • Autentificare puternică de ex. folosind parole unice(parolă de unică folosință). Ideea este că parola poate fi folosită o singură dată, și chiar dacă un atacator o interceptează folosind un sniffer, nu are valoare. Desigur, acest mecanism de protecție protejează doar împotriva interceptării parolelor și este inutil în cazul interceptării altor informații, de exemplu, e-mailul.
   • Anti-sniffer-urile sunt hardware sau software care pot detecta funcționarea unui sniffer într-un segment de rețea. De regulă, ei verifică sarcina pe nodurile de rețea pentru a determina sarcina „excesului”.
   • Infrastructură schimbată. Este clar că analiza traficului de rețea este posibilă doar într-un singur segment de rețea. Dacă rețeaua este construită pe dispozitive care o împart în mai multe segmente (switch-uri și routere), atunci un atac este posibil numai în acele părți ale rețelei care aparțin unuia dintre porturile acestor dispozitive. Acest lucru nu rezolvă problema adulmecării, dar reduce limitele pe care un atacator le poate „asculta”.
   • Metode criptografice. Cel mai fiabil mod de a face față muncii sniffer. Informațiile care pot fi obținute prin interceptare sunt criptate și, prin urmare, nu au nicio utilitate. Cele mai utilizate sunt IPSec, SSL și SSH.
2. Scanare în rețea.Scopul scanarii retelei este identificarea serviciilor care ruleaza in retea, porturi deschise, active servicii de rețea, protocoale utilizate etc., adică colectarea de informații despre rețea. Cele mai frecvent utilizate metode pentru scanarea în rețea sunt:
   • Interogările DNS ajută un atacator să afle proprietarul domeniului, zona adresei,
   • ping testing – identifică gazdele care funcționează pe baza adreselor DNS obținute anterior;
   • scanare porturi - este compilată o listă completă a serviciilor acceptate de aceste gazde, porturi deschise, aplicații etc.

   O contramăsură bună și cea mai comună este utilizarea IDS, care găsește cu succes semne de scanare în rețea și anunță administratorul despre aceasta. Este imposibil să scăpați complet de această amenințare, deoarece, de exemplu, dacă dezactivați ecoul ICMP și răspunsul ecou pe router, puteți scăpa de amenințarea ping, dar, în același timp, pierdeți datele necesare pentru a diagnostica defecțiunile rețelei. .

3. Dezvăluirea parolei.Scopul principal al acestui atac este de a obține acces neautorizat la resursele protejate prin depășirea protecției prin parolă. Pentru a obține o parolă, un atacator poate folosi multe metode - forță brută simplă, forță brută în dicționar, sniffing etc. Cea mai comună este o căutare simplă în forță brută a tuturor valorilor posibile ale parolei. Pentru a vă proteja împotriva forței brute simple, este necesar să folosiți parole puternice care nu sunt ușor de ghicit: 6-8 caractere lungi, folosiți litere mari și mici, utilizați caractere speciale (@, #, $ etc.).

   O altă problemă de securitate a informațiilor este că majoritatea oamenilor folosesc aceleași parole pentru toate serviciile, aplicațiile, site-urile etc. Mai mult, vulnerabilitatea unei parole depinde de zona cea mai slabă a utilizării acesteia.

   Aceste tipuri de atacuri pot fi evitate folosind parole unice, despre care am discutat mai devreme, sau autentificare criptografică.

4. Falsificarea IP sau înlocuirea unui obiect de rețea de încredere.De încredere în acest caz înseamnă un obiect de rețea (computer, router, firewall etc.) conectat legal la server. Amenințarea constă în faptul că un atacator uzurpa identitatea unui obiect de rețea de încredere. Acest lucru se poate face în două moduri. În primul rând, utilizați o adresă IP care se află în intervalul de adrese IP autorizate sau o adresă externă autorizată căreia i se permite accesul la anumite resurse de rețea. Acest tip de atac este adesea punctul de plecare pentru alte atacuri.

   De obicei, falsificarea unei entități de rețea de încredere se limitează la inserarea de informații false sau comenzi rău intenționate în fluxul normal de date transmise între entitățile din rețea. Pentru comunicarea bidirecțională, un atacator trebuie să schimbe toate tabelele de rutare pentru a direcționa traficul către o adresă IP falsă, ceea ce este de asemenea posibil. Pentru a atenua amenințarea (dar nu a o elimina), puteți utiliza următoarele:

   • controlul accesului. Puteți configura controlul accesului pentru a respinge orice trafic provenit dintr-o rețea externă cu o adresă sursă în interiorul rețelei. Această metodă este eficientă dacă numai adresele interne sunt autorizate și nu funcționează dacă există adrese externe autorizate.
   • Filtrarea RFC 2827 – acest tip de filtrare vă permite să opriți încercările utilizatorilor rețelei dvs. de a falsifica alte rețele. Pentru a face acest lucru, trebuie să respingeți orice trafic de ieșire a cărui adresă sursă nu este una dintre adresele IP ale organizației dvs. Adesea, acest tip de filtrare este efectuat de furnizor. Ca rezultat, tot traficul care nu are o adresă sursă așteptată pe o anumită interfață este respins. De exemplu, dacă un ISP oferă o conexiune la adresa IP 15.1.1.0/24, poate configura un filtru astfel încât numai traficul care provine de la 15.1.1.0/24 să fie permis de la acea interfață către routerul ISP-ului. Rețineți că până când toți furnizorii implementează acest tip de filtrare, eficacitatea acestuia va fi mult mai mică decât este posibil.
   • Implementarea unor metode suplimentare de autentificare. Falsificarea IP este posibilă numai cu autentificarea bazată pe IP. Dacă introduci unele măsuri suplimentare de autentificare, de exemplu, cele criptografice, atacul devine inutil.
5. Refuzarea serviciului (DoS)- un atac asupra unui sistem informatic cu scopul de a-l duce la eșec, adică de a crea condiții în care utilizatorii legitimi ai sistemului nu pot accesa resursele furnizate de sistem, sau acest acces este dificil.

   Un atac DoS este cel mai comun și mai cunoscut atac recent, care se datorează în primul rând ușurinței implementării. Organizarea unui atac DOS necesită un minim de cunoștințe și abilități și se bazează pe deficiențele software-ului de rețea și ale protocoalelor de rețea. Dacă un atac este efectuat pe mai multe dispozitive de rețea, acesta se numește atac DoS distribuit (DDoS).

   Astăzi, sunt utilizate cel mai frecvent următoarele cinci tipuri de atacuri DoS, pentru care există o cantitate mare de software și de care este cel mai greu de protejat:

   • Ştrumf- Solicitări ping ICMP. Când un pachet ping (mesaj ICMP ECHO) este trimis la o adresă de difuzare (de exemplu, 10.255.255.255), acesta este livrat la fiecare mașină din acea rețea. Principiul atacului este trimiterea unui pachet ICMP ECHO REQUEST cu adresa sursă a gazdei atacate. Un atacator trimite un flux constant de pachete ping la o adresă de difuzare a rețelei. Toate mașinile, la primirea cererii, răspund sursei cu un pachet ICMP ECHO REPLY. În consecință, dimensiunea fluxului de pachete de răspuns crește proporțional cu numărul de gazde de un număr de ori. Ca urmare, întreaga rețea este supusă refuzului serviciului din cauza congestiei.
   • Inundație ICMP- un atac similar cu Smurf, dar fără amplificarea creată de solicitările către o adresă de difuzare direcționată.
   • Inundație UDP- trimiterea mai multor pachete UDP (User Datagram Protocol) la adresa nodului atacat.
   • inundație TCP- trimiterea mai multor pachete TCP la adresa nodului atacat.
   • TCP SYN inundație- la efectuarea acestui tip de atac sunt emise un număr mare de solicitări de inițializare a conexiunilor TCP cu nodul atacat, care, ca urmare, trebuie să-și cheltuiască toate resursele urmărind aceste conexiuni parțial deschise.

   Dacă utilizați un server Web sau o aplicație de server FTP, un atac DoS face ca toate conexiunile disponibile pentru acele aplicații să fie ocupate și utilizatorii nu le pot accesa. Unele atacuri pot distruge o întreagă rețea, inundând-o cu pachete inutile. Pentru a contracara astfel de atacuri este necesară implicarea furnizorului, deoarece dacă nu oprește traficul nedorit la intrarea în rețea, atacul nu va fi oprit deoarece lățimea de bandă va fi ocupată.

   Următoarele programe sunt cel mai des folosite pentru a implementa un atac DoS:

   • Trinoo- este un program destul de primitiv, care din punct de vedere istoric a devenit primul care a organizat atacuri DoS de un singur tip - UDP flood. Programele din familia „trinoo” sunt ușor de detectat de instrumentele standard de securitate și nu reprezintă o amenințare pentru cei cărora le pasă măcar puțin de securitatea lor.
   • TFN și TFN2K- o armă mai serioasă. Vă permite să organizați simultan mai multe tipuri de atacuri - Smurf, UDP flood, ICMP flood și TCP SYN flood. Utilizarea acestor programe necesită ca atacatorul să fie mult mai priceput.
   • Cel mai recent instrument pentru organizarea atacurilor DoS - Stacheldracht("sârmă ghimpată"). Acest pachet vă permite să organizați o varietate de tipuri de atacuri și avalanșe de solicitări ping de difuzare. În plus, schimbul de date între controlori și agenți este criptat, iar în software-ul în sine este încorporată o funcție de modificare automată. Criptarea face foarte dificilă detectarea unui atacator.

   Pentru a atenua amenințarea, puteți utiliza următoarele:

   • Funcții anti-spoofing - Configurarea corectă a funcțiilor anti-spoofing pe routere și firewall-uri va ajuta la reducerea riscului de DoS. Aceste caracteristici ar trebui să includă cel puțin filtrarea RFC 2827. Dacă un hacker nu își poate ascunde adevărata identitate, este puțin probabil să efectueze un atac.
   • Caracteristici anti-DoS - Configurarea corectă a caracteristicilor anti-DoS pe routere și firewall-uri poate limita eficacitatea atacurilor. Aceste caracteristici limitează adesea numărul de canale pe jumătate deschise la un moment dat.
   • Limitarea ratei de trafic - o organizație poate cere ISP-ului să limiteze volumul de trafic. Acest tip de filtrare vă permite să limitați cantitatea de trafic necritic care trece prin rețeaua dvs. Un exemplu comun este limitarea volumului de trafic ICMP, care este utilizat numai în scopuri de diagnosticare. Atacurile DoS folosesc adesea ICMP.

   Există mai multe tipuri de amenințări de acest tip:

   • Refuzarea de serviciu ascunsă, atunci când o parte din resursele rețelei este utilizată pentru a procesa pachete transmise de un atacator, reducând capacitatea canalului, perturbând timpul de procesare a cererilor și perturbând performanța dispozitivelor din rețea. Exemplu: o furtună de solicitări de eco ICMP direcționată sau o furtună de solicitări de conexiune TCP.
   • O aparentă refuzare a serviciului cauzată de epuizarea resurselor rețelei ca urmare a procesării pachetelor trimise de atacatori. În același timp, cererile legitime ale utilizatorilor nu pot fi procesate din cauza faptului că întreaga lățime de bandă a canalului este ocupată, bufferele sunt pline, spațiul pe disc este plin etc. Exemplu: furtună direcționată (SYN-inundare).
   • O refuz evident de serviciu cauzată de o încălcare a conectivității logice între mijloacele tehnice ale rețelei atunci când un atacator transmite mesaje de control în numele dispozitivelor din rețea. În acest caz, datele de rutare și adrese se modifică. Exemplu: gazdă de redirecționare ICMP sau inundație DNS.
   • O refuz explicit de serviciu cauzată de un atacator care transmite pachete cu atribute nestandard (de exemplu, UDP-bomb) sau care au o lungime care depășește valoarea maximă (Ping Death).

   Atacurile DoS au ca scop perturbarea disponibilității informațiilor și nu încalcă integritatea și confidențialitatea.

6. Atacurile la nivel de aplicație. Acest tip de atac implică exploatarea găurilor din software-ul serverului (HTML, sendmail, FTP). Folosind aceste vulnerabilități, un atacator obține acces la un computer în numele utilizatorului aplicației. Atacurile la nivelul aplicației folosesc adesea porturi care pot „trece” prin firewall.

   Principala problemă a atacurilor la nivel de aplicație este că folosesc adesea porturi care au voie să treacă prin firewall. De exemplu, un hacker care atacă un server Web ar putea folosi portul TCP 80. Pentru ca serverul Web să ofere pagini utilizatorilor, portul 80 de pe firewall trebuie să fie deschis. Din punctul de vedere al firewall-ului, atacul este tratat ca trafic standard pe portul 80.

   Este imposibil să eliminați complet atacurile la nivel de aplicație, deoarece programele de aplicație cu noi vulnerabilități apar în mod regulat. Cel mai important lucru aici este o bună administrare a sistemului. Iată câteva măsuri pe care le puteți lua pentru a vă reduce vulnerabilitatea la acest tip de atac:

   • citirea jurnalelor (sistem și rețea);
   • urmărirea vulnerabilităților din noul software folosind site-uri specializate, de exemplu, http://www.cert.com.
   • utilizarea IDS.

Din însăși natura unui atac de rețea, este clar că apariția acestuia nu este controlată de fiecare nod specific al rețelei. Nu am luat în considerare toate atacurile posibile asupra rețelei; în practică, sunt mult mai multe. Cu toate acestea, nu pare posibil să se protejeze împotriva tuturor tipurilor de atacuri. Cea mai bună abordare pentru protejarea perimetrului rețelei este eliminarea vulnerabilităților care sunt utilizate în majoritatea atacurilor infracționale cibernetice. Liste cu astfel de vulnerabilități sunt publicate pe multe site-uri care colectează astfel de statistici, de exemplu, site-ul web al Institutului SANS: http://www.sans.org/top-cyber-security-risks/?ref=top20. Un atacator obișnuit nu caută metode originale de atac, ci scanează rețeaua pentru o vulnerabilitate cunoscută și o exploatează.

Un atac DoS și DDoS este un impact extern agresiv asupra resurselor de calcul ale unui server sau stație de lucru, realizat cu scopul de a-l duce la eșec. Prin eșec înțelegem nu defecțiunea fizică a unei mașini, ci inaccesibilitatea resurselor acesteia pentru utilizatorii de bună credință - refuzul sistemului de a le deservi ( D enial o f S ervice, din care provine abrevierea DoS).

Dacă un astfel de atac este efectuat de pe un singur computer, acesta este clasificat ca DoS (DoS), dacă din mai multe - DDoS (DiDoS sau DDoS), ceea ce înseamnă „D repartizat D enial o f S ervice" - refuzul de serviciu distribuit. În continuare, vom vorbi despre motivul pentru care atacatorii efectuează astfel de atacuri, ce sunt, ce prejudicii provoacă atacatorilor și cum aceștia din urmă își pot proteja resursele.

Cine poate suferi de atacuri DoS și DDoS?

Serverele corporative ale întreprinderilor și site-urile web sunt atacate, mult mai rar - computerele personale ale persoanelor fizice. Scopul unor astfel de acțiuni, de regulă, este unul - acela de a provoca un prejudiciu economic persoanei atacate și de a rămâne în umbră. În unele cazuri, atacurile DoS și DDoS reprezintă una dintre etapele hackingului de server și au ca scop furtul sau distrugerea informațiilor. De fapt, o companie sau un site web aparținând oricui poate deveni o victimă a atacatorilor.

O diagramă care ilustrează esența unui atac DDoS:

Atacurile DoS și DDoS sunt cel mai adesea efectuate la instigarea concurenților necinstiți. Astfel, prin „crashing” site-ul unui magazin online care oferă un produs similar, poți deveni temporar un „monopol” și să-i iei clienții pentru tine. Prin „înlăturarea” unui server corporativ, puteți perturba activitatea unei companii concurente și, prin urmare, îi puteți reduce poziția pe piață.

Atacurile la scară largă care pot provoca daune semnificative sunt de obicei efectuate de infractorii cibernetici profesioniști pentru o mulțime de bani. Dar nu in totdeauna. Resursele tale pot fi atacate de hackeri amatori de acasă din interes, răzbunătorii dintre angajații concediați și pur și simplu cei care nu împărtășesc părerile tale despre viață.

Uneori, impactul este efectuat în scopul extorcării, în timp ce atacatorul cere în mod deschis bani de la proprietarul resursei pentru a opri atacul.

Serverele companiilor de stat și ale organizațiilor binecunoscute sunt adesea atacate de grupuri anonime de hackeri de înaltă calificare pentru a influența oficialii sau a provoca proteste publice.

Cum se desfășoară atacurile

Principiul de funcționare al atacurilor DoS și DDoS este trimiterea unui flux mare de informații către server, care la maximum (în măsura posibilităților hackerului) încarcă resursele de calcul ale procesorului, RAM, înfunda canalele de comunicare sau umple spațiul pe disc. . Mașina atacată nu poate procesa datele primite și nu mai răspunde la solicitările utilizatorilor.

Iată cum arată funcționarea normală a serverului, vizualizată în programul Logstalgia:

Eficacitatea atacurilor unice DOS nu este foarte mare. În plus, un atac de la un computer personal expune atacatorul riscului de a fi identificat și prins. Atacurile distribuite (DDoS) efectuate din așa-numitele rețele zombie sau botnet oferă un profit mult mai mare.

Așa afișează site-ul Norse-corp.com activitatea rețelei bot:

O rețea zombie (botnet) este un grup de computere care nu au nicio conexiune fizică între ele. Ceea ce au în comun este că toți sunt sub controlul unui atacator. Controlul se realizează printr-un program troian, care deocamdată poate să nu se manifeste în niciun fel. Atunci când efectuează un atac, hackerul instruiește computerele infectate să trimită cereri către site-ul sau serverul victimei. Iar el, incapabil să reziste presiunii, nu mai răspunde.

Iată cum Logstalgia arată un atac DDoS:

Absolut orice computer se poate alătura unei rețele bot. Și chiar și un smartphone. Este suficient să prinzi un troian și să nu fii detectat la timp. Apropo, cel mai mare botnet era format din aproape 2 milioane de mașini din întreaga lume, iar proprietarii lor habar nu aveau ce fac.

Metode de atac și apărare

Înainte de a lansa un atac, hackerul își dă seama cum să-l efectueze cu efect maxim. Dacă nodul atacat are mai multe vulnerabilități, impactul poate fi efectuat în direcții diferite, ceea ce va complica semnificativ contracararea. Prin urmare, este important ca fiecare administrator de server să-și studieze toate „blocurile” și, dacă este posibil, să le întărească.

Potop

Flood, în termeni simpli, este o informație care nu are niciun sens. În contextul atacurilor DoS/DDoS, o inundație este o avalanșă de solicitări goale, fără sens, de un nivel sau altul, pe care nodul receptor este forțat să le proceseze.

Scopul principal al folosirii inundațiilor este de a înfunda complet canalele de comunicație și de a satura lățimea de bandă la maximum.

Tipuri de inundații:

• MAC flood - impact asupra comunicatorilor de rețea (blocarea porturilor cu fluxuri de date).
• Inundare ICMP - inundarea unei victime cu solicitări de ecou de serviciu folosind o rețea zombie sau trimiterea de cereri „în numele” nodului atacat, astfel încât toți membrii rețelei botnet să îi trimită simultan un răspuns ecou (atac Smurf). Un caz special de ICMP flood este ping flood (trimiterea cererilor ping către server).
• SYN flood - trimiterea a numeroase cereri SYN către victimă, depășirea coadei de conexiune TCP prin crearea unui număr mare de conexiuni semideschise (în așteptarea confirmării clientului).
• UDP flood - funcționează conform schemei de atac Smurf, unde datagramele UDP sunt trimise în locul pachetelor ICMP.
• HTTP flood - inundarea serverului cu numeroase mesaje HTTP. O opțiune mai sofisticată este inundarea HTTPS, unde datele trimise sunt pre-criptate și înainte ca nodul atacat să le proceseze, trebuie să le decripteze.

Cum să te protejezi de inundații

• Configurați comutatoarele de rețea pentru a verifica validitatea și pentru a filtra adresele MAC.
• Restricționați sau dezactivați procesarea solicitărilor de eco ICMP.
• Blocați pachetele care provin de la o anumită adresă sau domeniu care dă motive să se suspecteze că este nefiabil.
• Stabiliți o limită a numărului de conexiuni pe jumătate deschise cu o singură adresă, reduceți timpul de păstrare a acestora și prelungiți coada de conexiuni TCP.
• Dezactivați serviciile UDP de la primirea traficului din exterior sau limitați numărul de conexiuni UDP.
• Utilizați CAPTCHA, întârzieri și alte tehnici de protecție împotriva botului.
• Creșteți numărul maxim de conexiuni HTTP, configurați memorarea în cache a cererilor folosind nginx.
• Extindeți capacitatea canalului de rețea.
• Dacă este posibil, dedicați un server separat pentru a gestiona criptografia (dacă este utilizată).
• Creați un canal de rezervă pentru accesul administrativ la server în situații de urgență.

Supraîncărcare hardware

Există tipuri de inundații care afectează nu canalul de comunicație, ci resursele hardware ale computerului atacat, încărcându-le la capacitatea maximă și provocând înghețarea sau blocarea. De exemplu:

• Crearea unui script care va posta o cantitate imensă de informații text fără sens pe un forum sau un site web unde utilizatorii au posibilitatea de a lăsa comentarii până când întregul spațiu pe disc este umplut.
• Același lucru, doar jurnalele serverului vor umple unitatea.
• Încărcarea unui site unde se efectuează un fel de transformare a datelor introduse, procesarea continuă a acestor date (trimiterea așa-numitelor pachete „grele”).
• Încărcarea procesorului sau a memoriei prin executarea codului prin interfața CGI (suportul CGI vă permite să rulați orice program extern pe server).
• Declanșarea sistemului de securitate, facerea serverului inaccesibil din exterior etc.

Cum să vă protejați de supraîncărcarea resurselor hardware

• Creșteți performanța hardware și spațiul pe disc. Când serverul funcționează normal, cel puțin 25-30% din resurse ar trebui să rămână libere.
• Utilizați sisteme de analiză și filtrare a traficului înainte de a-l transmite către server.
• Limitați utilizarea resurselor hardware de către componentele sistemului (setați cote).
• Stocați fișierele jurnal ale serverului pe o unitate separată.
• Distribuiți resurse pe mai multe servere independente unul de celălalt. Astfel încât, dacă o parte eșuează, celelalte rămân operaționale.

Vulnerabilități în sistemele de operare, software, firmware-ul dispozitivului

Există nemăsurat mai multe opțiuni pentru a efectua acest tip de atac decât folosirea inundațiilor. Implementarea lor depinde de calificările și experiența atacatorului, de capacitatea sa de a găsi erori în codul programului și de a le folosi în beneficiul său și în detrimentul proprietarului resursei.

Odată ce un hacker descoperă o vulnerabilitate (o eroare în software care poate fi folosită pentru a perturba funcționarea sistemului), tot ce trebuie să facă este să creeze și să ruleze un exploit - un program care exploatează această vulnerabilitate.

Exploatarea vulnerabilităților nu este întotdeauna menită să provoace doar o denegare a serviciului. Dacă hackerul are noroc, el va putea obține controlul asupra resursei și va putea folosi acest „dar al sorții” la propria discreție. De exemplu, folosiți-l pentru a distribui malware, a fura și a distruge informații etc.

Metode de contracarare a exploatării vulnerabilităților software

• Instalați actualizări în timp util care acoperă vulnerabilitățile sistemelor de operare și ale aplicațiilor.
• Izolați toate serviciile destinate rezolvării sarcinilor administrative de accesul terților.
• Utilizați mijloace de monitorizare continuă a funcționării sistemului de operare și a programelor serverului (analiza comportamentală etc.).
• Refuzați programele potențial vulnerabile (gratuite, auto-scrise, rar actualizate) în favoarea celor dovedite și bine protejate.
• Folosiți mijloace gata făcute pentru a proteja sistemele împotriva atacurilor DoS și DDoS, care există atât sub formă de sisteme hardware, cât și de software.

Cum să determinați că o resursă a fost atacată de un hacker

Dacă atacatorul reușește să atingă scopul, este imposibil să nu sesizeze atacul, dar în unele cazuri administratorul nu poate determina exact când a început. Adică, uneori trec câteva ore de la debutul atacului până la simptome vizibile. Cu toate acestea, în timpul influenței ascunse (până când serverul scade), sunt prezente și anumite semne. De exemplu:

• Comportament nenatural al aplicațiilor server sau al sistemului de operare (înghețare, terminare cu erori etc.).
• Sarcina procesorului, RAM și stocare crește brusc în comparație cu nivelul original.
• Volumul traficului pe unul sau mai multe porturi crește semnificativ.
• Există mai multe solicitări de la clienți către aceleași resurse (deschiderea aceleiași pagini de site web, descărcarea aceluiași fișier).
• Analiza jurnalelor de server, firewall și dispozitive de rețea arată un număr mare de solicitări monotone de la diverse adrese, adesea direcționate către un anumit port sau serviciu. Mai ales dacă site-ul se adresează unui public restrâns (de exemplu, vorbitor de limbă rusă), iar solicitările vin din toată lumea. O analiză calitativă a traficului arată că cererile nu au sens practic pentru clienți.

Toate cele de mai sus nu sunt un semn 100% al unui atac, dar este întotdeauna un motiv pentru a acorda atenție problemei și a lua măsurile de protecție adecvate.