Διαφορετικοί τύποι επιθέσεων στους διακομιστές μεγάλων εταιρειών. Τύποι επιθέσεων δικτύου

Η διάλεξη συζητά ορισμένους τύπους επιθέσεων σε πόρους πληροφοριών επιχείρησης που εκμεταλλεύονται ορισμένα τρωτά σημεία. Πολύ συχνά, το σημείο εισόδου για μια επίθεση είναι ένας δημόσιος ιστότοπος στο Διαδίκτυο, μέσω του οποίου ένας εισβολέας μπορεί να αποκτήσει πρόσβαση σε περιοχές του ιστότοπου που προορίζονται για περιορισμένο αριθμόπρόσωπα και σε ευαίσθητα δεδομένα.

Η εικασία είναι μια αυτοματοποιημένη διαδικασία δοκιμής και σφάλματος που χρησιμοποιείται για να μαντέψει ένα όνομα χρήστη, κωδικό πρόσβασης, αριθμό πιστωτικής κάρτας, κλειδί κρυπτογράφησης κ.λπ. Υπάρχουν δύο τύποι επιλογής: άμεση και αντίστροφη. Όταν χρησιμοποιείται η άμεση επιλογή διάφορες επιλογέςκωδικό πρόσβασης για ένα όνομα χρήστη. Αν συμβεί το αντίθετο, μετακινούνται διαφορετικά ονόματαχρήστες και ο κωδικός πρόσβασης παραμένει αμετάβλητος.

Παραδοσιακή μέθοδοςΟ αγώνας ενάντια στην εικασία κωδικού πρόσβασης είναι ο περιορισμός του αριθμού των λανθασμένων καταχωρήσεων κωδικού πρόσβασης. Υπάρχουν πολλές επιλογές για την εφαρμογή αυτής της ιδέας, από την απλούστερη - έναν στατικό περιορισμό, για παράδειγμα, όχι περισσότερα από τρία σφάλματα, έως πολύπλοκα υλοποιημένα δυναμικά, με αυξανόμενη περίοδο απαγόρευσης μεταξύ των αιτημάτων.

Μη ασφαλής ανάκτηση κωδικού πρόσβασης. Αυτή η ευπάθεια εμφανίζεται όταν ο διακομιστής Web επιτρέπει σε έναν εισβολέα να αποκτήσει, να τροποποιήσει ή να ανακτήσει τους κωδικούς πρόσβασης άλλων χρηστών χωρίς εξουσιοδότηση. Για παράδειγμα, πολλοί διακομιστές απαιτούν από τον χρήστη να παρέχει το email του σε συνδυασμό με τη διεύθυνση κατοικίας και τον αριθμό τηλεφώνου του. Αυτές οι πληροφορίες μπορούν να ληφθούν εύκολα από διαδικτυακούς καταλόγους. Ως αποτέλεσμα, τα δεδομένα που χρησιμοποιούνται για την επαλήθευση δεν είναι μεγάλο μυστικό. Επιπλέον, αυτές οι πληροφορίες θα μπορούσαν να ληφθούν από έναν εισβολέα χρησιμοποιώντας άλλες μεθόδους, όπως δέσμες ενεργειών μεταξύ τοποθεσιών ή phishing.

Το πιο αποτελεσματικό είναι επόμενη λύση: ο χρήστης κάνει κλικ στο κουμπί «Ανάκτηση κωδικού πρόσβασης» και μεταφέρεται σε μια σελίδα όπου του ζητείται η σύνδεσή του στο σύστημα και στο γραμματοκιβώτιο που καθορίστηκε κατά την εγγραφή. Στη συνέχεια, αποστέλλεται στο γραμματοκιβώτιό σας μια ειδοποίηση σχετικά με ένα αίτημα ανάκτησης κωδικού πρόσβασης και ένας μοναδικός ψευδοτυχαία δημιουργημένος σύνδεσμος προς τη σελίδα αλλαγής κωδικού πρόσβασης. Σε αυτήν την περίπτωση, μόνο ο κάτοχος μπορεί να αλλάξει τον κωδικό πρόσβασης γραμματοκιβώτιο, για τον οποίο είναι καταχωρημένος ο λογαριασμός.

Ανεπαρκής εξουσιοδότηση. Εμφανίζεται όταν ένας διακομιστής Web επιτρέπει σε έναν εισβολέα την πρόσβασησημαντικές πληροφορίες

Για παράδειγμα, ορισμένοι διακομιστές, μετά τον έλεγχο ταυτότητας, αποθηκεύουν το αναγνωριστικό "ρόλου" του χρήστη εντός της εφαρμογής Ιστού σε cookie ή κρυφά πεδία. Εάν ο έλεγχος πρόσβασης βασίζεται σε επαλήθευση αυτή η παράμετροςΧωρίς να επαληθεύει τη συμμετοχή σε ρόλο σε κάθε αίτημα, ένας εισβολέας μπορεί να κλιμακώσει τα προνόμιά του απλώς τροποποιώντας την τιμή του cookie. Μέθοδοι αγώνα - σαφής διάκριση μεταξύ των δικαιωμάτων των χρηστών και των δυνατοτήτων τους.

Χωρίς χρονικό όριο συνεδρίας.

Εάν το αναγνωριστικό περιόδου σύνδεσης ή τα διαπιστευτήρια δεν έχουν χρονικό όριο λήξης ή η τιμή του χρονικού ορίου τους είναι πολύ υψηλή, ένας εισβολέας μπορεί να χρησιμοποιήσει τα παλιά διαπιστευτήρια σύνδεσης. Για παράδειγμα, όταν χρησιμοποιείτε έναν δημόσιο υπολογιστή, όταν πολλοί χρήστες έχουν απεριόριστοφυσική πρόσβαση

στο μηχάνημα, η απουσία χρονικού ορίου περιόδου λειτουργίας επιτρέπει σε έναν εισβολέα να προβάλλει σελίδες που επισκέφτηκε άλλος χρήστης. Η μέθοδος καταπολέμησης αυτού είναι ο περιορισμός του χρονικού ορίου περιόδου λειτουργίας.

Διασταυρούμενη δέσμη ενεργειών (XSS). Η παρουσία μιας ευπάθειας XSS επιτρέπει σε έναν εισβολέα να στείλει εκτελέσιμο κώδικα στον διακομιστή, ο οποίος θα ανακατευθυνθεί στο πρόγραμμα περιήγησης του χρήστη. Αυτός ο κώδικας είναι συνήθως γραμμένος σε HTML/JavaScript, αλλά μπορούν να χρησιμοποιηθούν VBScript, ActiveX, Java, Flash ή άλλες τεχνολογίες που υποστηρίζονται από πρόγραμμα περιήγησης. Ο μεταδιδόμενος κώδικας εκτελείται στο πλαίσιο ασφαλείας (ή ζώνη ασφαλείας) του ευάλωτου διακομιστή. Χρησιμοποιώντας αυτά τα προνόμια, ο κώδικας μπορεί να διαβάζει, να τροποποιεί ή να μεταδίδει ευαίσθητα δεδομένα που είναι προσβάσιμα μέσω του προγράμματος περιήγησης.Υπάρχουν δύο τύποι επιθέσεων δέσμης ενεργειών μεταξύ τοποθεσιών: μόνιμος(αποθηκευμένο) και

άστατος (αντανακλάται). Η κύρια διαφορά μεταξύ τους είναι ότι στην ανακλώμενη έκδοση, ο κώδικας μεταφέρεται στον διακομιστή και επιστρέφεται στον πελάτη μέσα σε ένα αίτημα HTTP και στην αποθηκευμένη έκδοση - σε διαφορετικές. Η εκτέλεση μιας μη μόνιμης επίθεσης απαιτεί από τον χρήστη να ακολουθήσει έναν σύνδεσμο που δημιουργήθηκε από τον εισβολέα (ο σύνδεσμος μπορεί να σταλεί μέσω email, ICQ, κ.λπ.). Καθώς ο ιστότοπος φορτώνει, ο κώδικας που είναι ενσωματωμένος στη διεύθυνση URL ή στις κεφαλίδες αιτημάτων θα μεταβιβαστεί στον πελάτη και θα εκτελεστεί στο πρόγραμμα περιήγησής του. Ένας αποθηκευμένος τύπος ευπάθειας εμφανίζεται όταν ο κώδικας μεταφέρεται σε έναν διακομιστή και αποθηκεύεται σε αυτόν για ορισμένο χρονικό διάστημα. Οι πιο δημοφιλείς στόχοι επιθέσεων σε αυτήν την περίπτωση είναι τα φόρουμ, η αλληλογραφία μέσω web και οι συνομιλίες. Για να επιτεθεί, ο χρήστης δεν χρειάζεται να ακολουθήσει τον σύνδεσμο αρκεί να επισκεφτεί τον ευάλωτο ιστότοπο.Μπορείτε να το κάνετε αυτό περνώντας κώδικα HTML που περιέχει JavaScript σε οποιοδήποτε πεδίο εισαγωγής. Για παράδειγμα:

">ειδοποίηση()

Εάν εμφανιστεί ένα πλαίσιο διαλόγου, τότε Ειδοποίηση JavaScript() έχει εκτελεστεί, πράγμα που σημαίνει ότι μπορεί να εκτελεστεί οποιοσδήποτε κακόβουλος κώδικας.

Επί αυτή τη στιγμήο πιο συνηθισμένος τύπος επίθεσης, λόγω της αυξανόμενης δημοτικότητας του Web 2.0, το Διαδίκτυο έχει γεμίσει με διάφορες μορφές ανατροφοδότηση, δυστυχώς, πολλές από αυτές δεν φιλτράρονται σωστά. Οι φόρμες στις οποίες επιτρέπονται ορισμένες ετικέτες ή οποιεσδήποτε δομές μορφοποίησης είναι ιδιαίτερα δύσκολες.

Εκτέλεση Δηλώσεις SQL(SQL Injection). Αυτές οι επιθέσεις στοχεύουν σε διακομιστές Ιστού που δημιουργούνΕρώτημα SQL s σε διακομιστές DBMS με βάση τα δεδομένα που εισάγει ο χρήστης. Εάν οι πληροφορίες που λαμβάνονται από τον πελάτη δεν επαληθεύονται σωστά, ο εισβολέας μπορεί να τροποποιήσει το ερώτημα διακομιστή SQL που αποστέλλεται από την εφαρμογή. Το αίτημα θα εκτελεστεί με το ίδιο επίπεδο δικαιωμάτων με το στοιχείο της εφαρμογής που εκτελεί το αίτημα (διακομιστής DBMS, διακομιστής Web, κ.λπ.). Ως αποτέλεσμα, ο επιτιθέμενος μπορεί να πάρειπλήρη έλεγχο

στον διακομιστή DBMS και ακόμη και στο λειτουργικό του σύστημα.

Η πιθανότητα επίθεσης προκύπτει όταν ένα ερώτημα SQL σε μια βάση δεδομένων σχηματίζεται στον κώδικα μιας ιστοσελίδας προσθέτοντας το κύριο μέρος και την τιμή που παρέχεται από τον χρήστη. Για παράδειγμα, ο κώδικας της ιστοσελίδας περιέχει τον ακόλουθο κώδικα:

"Επιλέξτε * από τους μαθητές όπου firstneme = " + όνομα + "; " Στοτυπική έκδοση

χρήση, το ερώτημα θα πρέπει να επιστρέψει όλες τις πληροφορίες από τον πίνακα Students για τους μαθητές με το όνομα αποθηκευμένο στη μεταβλητή name. Τι συμβαίνει όμως εάν, αντί για όνομα, η μεταβλητή name περιέχει ένα ερώτημα SQL που τροποποιεί το σχήμα δεδομένων και βάσης δεδομένων; Άλλο ένα παράδειγμα από τον τομέα της αυτόματης αναγνώρισης:

πινακίδες κυκλοφορίας

Τα μέσα για την καταπολέμηση αυτού είναι το κατάλληλο φιλτράρισμα των ληφθέντων δεδομένων, η διαφοροποίηση των δικαιωμάτων πρόσβασης στη βάση δεδομένων. Άρνηση υπηρεσίας (DoS).Αυτή η τάξη Η επίθεση στοχεύει στη διακοπή της διαθεσιμότητας του διακομιστή Web. Συνήθως, οι επιθέσεις άρνησης υπηρεσίας πραγματοποιούνται στο επίπεδο δικτύου, αλλά μπορούν επίσης να κατευθυνθούν στο επίπεδο εφαρμογής. Χρησιμοποιώντας τις λειτουργίες μιας εφαρμογής Ιστού, ένας εισβολέας μπορεί να εξαντλήσει κρίσιμους πόρους του συστήματος ή να εκμεταλλευτεί μια ευπάθεια που οδηγεί στον τερματισμό της λειτουργίας του συστήματος. ΣυνήθωςΕπιθέσεις DoS με στόχο την εξάντληση των κριτικώνπόρους του συστήματος , όπως η υπολογιστική ισχύς,, χώρο στο δίσκοή χωρητικότητα καναλιού επικοινωνίας. Εάν κάποιος από τους πόρους φτάσει στο μέγιστο φορτίο, ολόκληρη η εφαρμογή δεν θα είναι διαθέσιμη. Οι επιθέσεις μπορούν να κατευθυνθούν σε οποιοδήποτε από τα στοιχεία της εφαρμογής Web, για παράδειγμα, στον διακομιστή DBMS, στον διακομιστή ελέγχου ταυτότητας κ.

Τα μέσα προστασίας είναι η βελτιστοποίηση κώδικα και η εισαγωγή περιορισμών στην ποσότητα των δεδομένων που αποστέλλονται ανά μονάδα χρόνου.

Προσθέτω. βιβλιογραφία: http://www.intuit.ru/department/internet/mwebtech/

Τύποι ανιχνεύσιμων επιθέσεις δικτύου

Επί του παρόντος, υπάρχουν πολλοί διαφορετικοί τύποι επιθέσεων δικτύου. Αυτές οι επιθέσεις εκμεταλλεύονται ευπάθειες στο λειτουργικό σύστημα, καθώς και σε άλλα εγκατεστημένα λογισμικόσυστημικού και εφαρμοσμένου χαρακτήρα.

Για να διασφαλίσετε την ασφάλεια του υπολογιστή σας έγκαιρα, είναι σημαντικό να γνωρίζετε τι είδους επιθέσεις δικτύου μπορεί να τον απειλήσουν. Οι γνωστές επιθέσεις δικτύου μπορούν να χωριστούν σε τρεις μεγάλες ομάδες:

• Σάρωση θύρας– αυτός ο τύπος απειλής δεν είναι επίθεση από μόνος του, αλλά συνήθως προηγείται, καθώς είναι ένας από τους κύριους τρόπους λήψης πληροφοριών σχετικά με έναν απομακρυσμένο υπολογιστή. Αυτή η μέθοδοςσυνίσταται στη σάρωση θυρών UDP/TCP που χρησιμοποιούνται από υπηρεσίες δικτύου στον υπολογιστή που ενδιαφέρει τον εισβολέα για τον προσδιορισμό της κατάστασής τους (κλειστές ή ανοιχτές θύρες).

  Η σάρωση θυρών σάς επιτρέπει να κατανοήσετε τι είδους επιθέσεις είναι αυτό το σύστημαΚάποιοι μπορεί να αποδειχθούν επιτυχημένοι και άλλοι όχι. Επιπλέον, οι πληροφορίες που λαμβάνονται ως αποτέλεσμα της σάρωσης (ένα «στιγμιότυπο συστήματος») θα δώσουν στον εισβολέα μια ιδέα για τον τύπο του λειτουργικού συστήματος στον απομακρυσμένο υπολογιστή. Αυτό περιορίζει περαιτέρω το εύρος των πιθανών επιθέσεων και, κατά συνέπεια, τον χρόνο που αφιερώνεται σε αυτές, και επιτρέπει επίσης τη χρήση τρωτών σημείων ειδικά για ένα δεδομένο λειτουργικό σύστημα.

• Επιθέσεις DoS, ή επιθέσεις άρνησης υπηρεσίας, είναι επιθέσεις που έχουν ως αποτέλεσμα το σύστημα που δέχεται επίθεση να καταστεί ασταθές ή εντελώς μη λειτουργικό. Οι συνέπειες αυτού του τύπου επίθεσης μπορεί να είναι η αδυναμία χρήσης των πόρων πληροφοριών στους οποίους στοχεύουν (για παράδειγμα, η αδυναμία πρόσβασης στο Διαδίκτυο).

  Υπάρχουν δύο κύριοι τύποι επιθέσεων DoS:

  • αποστολή ειδικά διαμορφωμένων πακέτων στον υπολογιστή-θύμα που δεν αναμένονται από αυτόν τον υπολογιστή, γεγονός που οδηγεί σε επανεκκίνηση ή τερματισμό λειτουργίας του συστήματος.
  • αποστολή μεγάλου αριθμού πακέτων ανά μονάδα χρόνου στον υπολογιστή-θύμα, τα οποία αυτός ο υπολογιστής δεν είναι σε θέση να επεξεργαστεί, γεγονός που οδηγεί σε εξάντληση των πόρων του συστήματος.

  Ζωντανά παραδείγματα αυτής της ομάδας επιθέσεων περιλαμβάνουν τα ακόλουθα:

  • Επίθεση Ping του θανάτου -συνίσταται στην αποστολή ενός πακέτου ICMP του οποίου το μέγεθος υπερβαίνει έγκυρη τιμήσε 64 KB. Αυτή η επίθεση μπορεί να προκαλέσει διακοπή λειτουργίας ορισμένων λειτουργικών συστημάτων.
  • Επίθεση Γη -είναι να μεταφερθεί σε ανοιχτό λιμάνιο υπολογιστής σας ζητά να δημιουργήσει μια σύνδεση με τον εαυτό του. Η επίθεση αναγκάζει τον υπολογιστή να κάνει κύκλους, με αποτέλεσμα σημαντική αύξηση του φόρτου του επεξεργαστή και, επιπλέον, ορισμένα λειτουργικά συστήματα ενδέχεται να διακοπούν.
  • Επίθεση ICMP Flood -συνίσταται στην αποστολή μεγάλου αριθμού πακέτων ICMP στον υπολογιστή σας. Η επίθεση προκαλεί τον υπολογιστή να ανταποκρίνεται σε κάθε εισερχόμενο πακέτο, με αποτέλεσμα τη σημαντική αύξηση του φόρτου του επεξεργαστή.
  • Επίθεση SYN Flood –συνίσταται στην αποστολή μεγάλου αριθμού αιτημάτων σύνδεσης στον υπολογιστή σας. Το σύστημα διατηρεί ορισμένους πόρους για καθεμία από αυτές τις συνδέσεις, με αποτέλεσμα να καταναλώνει πλήρως τους πόρους του και να σταματά να ανταποκρίνεται σε άλλες προσπάθειες σύνδεσης.
• Επιθέσεις εισβολής, στόχος του οποίου είναι να «συλλάβει» το σύστημα. Αυτό είναι το πιο επικίνδυνο είδοςεπιθέσεις, αφού εάν εκτελεστούν επιτυχώς, το σύστημα τίθεται πλήρως υπό τον έλεγχο του εισβολέα.

  Αυτός ο τύπος επίθεσης χρησιμοποιείται όταν ένας εισβολέας χρειάζεται να αποκτήσει εμπιστευτικές πληροφορίεςαπό έναν απομακρυσμένο υπολογιστή (για παράδειγμα, αριθμοί πιστωτικές κάρτες, κωδικούς πρόσβασης) ή απλώς να αποκτήσουν βάση στο σύστημα για τη μετέπειτα χρήση των υπολογιστικών του πόρων για δικούς τους σκοπούς (χρησιμοποιώντας το σύστημα που έχει συλληφθεί σε δίκτυα ζόμπι ή ως εφαλτήριο για νέες επιθέσεις).

  Αυτή η ομάδα περιλαμβάνει τα περισσότερα μεγάλο αριθμόεπιθέσεις. Μπορούν να χωριστούν σε τρεις υποομάδες ανάλογα με το λειτουργικό σύστημα που είναι εγκατεστημένο στον υπολογιστή του χρήστη: επιθέσεις σε Microsoft Windows, επιθέσεις στο Unix και γενική ομάδαγια υπηρεσίες δικτύου που χρησιμοποιούνται και στα δύο λειτουργικά συστήματα.

  Οι πιο συνηθισμένοι τύποι επιθέσεων που χρησιμοποιούν υπηρεσίες δικτύου λειτουργικού συστήματος:

  • Επιθέσεις υπερχείλισης buffer. Η υπερχείλιση buffer συμβαίνει λόγω έλλειψης ελέγχου (ή ανεπαρκούς ελέγχου) κατά την εργασία με συστοιχίες δεδομένων. Αυτό είναι ένα από τα πιο
    πολλά είδη τρωτών σημείων. είναι το πιο εύκολο να το εκμεταλλευτεί κάποιος εισβολέας.
  • Επιθέσεις βασίζονται σε σφάλματα μορφής συμβολοσειράς. Προκύπτουν σφάλματα μορφοποίησης συμβολοσειρών λόγω ανεπαρκούς ελέγχου των τιμών των παραμέτρων εισόδου των συναρτήσεων εισόδου/εξόδου μορφής printf(), fprintf(), scanf()και άλλοι από τυπική βιβλιοθήκηΓλώσσα Γ. Εάν υπάρχει μια τέτοια ευπάθεια στο λογισμικό, τότε ένας εισβολέας που έχει τη δυνατότητα να στείλει με έναν ιδιαίτερο τρόποτα αιτήματα που δημιουργούνται, μπορούν να αποκτήσουν τον πλήρη έλεγχο του συστήματος.

    Το σύστημα ανίχνευσης εισβολής αναλύει αυτόματα και αποτρέπει την εκμετάλλευση τέτοιων τρωτών σημείων στα πιο κοινά υπηρεσίες δικτύου(FTP, POP3, IMAP), εάν λειτουργούν στον υπολογιστή του χρήστη.

  • Επιθέσεις που στοχεύουν υπολογιστές με εγκατεστημένα λειτουργικά συστήματα Σύστημα Microsoft Windowsβασίζονται στην εκμετάλλευση τρωτών σημείων σε λογισμικό εγκατεστημένο σε υπολογιστή (για παράδειγμα, προγράμματα όπως ο Microsoft SQL Server, Microsoft Internet Explorer, Messenger και εξαρτήματα του συστήματοςδιαθέσιμο μέσω του δικτύου - DCom, SMB, Wins, LSASS, IIS5).

  Επιπλέον, ειδικές περιπτώσεις επιθέσεων εισβολής περιλαμβάνουν τη χρήση διαφόρων τύπων κακόβουλα σενάρια, συμπεριλαμβανομένων των σεναρίων που επεξεργάζεται η Microsoft Internet Explorer, καθώς και ποικιλίες του σκουληκιού Helkern. Η ουσία του τελευταίου τύπου επίθεσης είναι η αποστολή απομακρυσμένος υπολογιστήςΠακέτο UDP ειδικού τύπου, ικανό να εκτελέσει κακόβουλο κώδικα.

Διάλεξη 33 Τύποι και τύποι επιθέσεων δικτύου

Διάλεξη 33

Θέμα: Τύποι και τύποι επιθέσεων δικτύου

Μια επίθεση απομακρυσμένου δικτύου είναι μια καταστροφική επίδραση πληροφοριών σε ένα κατανεμημένο υπολογιστικό σύστημα, που πραγματοποιείται μέσω προγραμματισμού μέσω καναλιών επικοινωνίας.

Εισαγωγή

Για την οργάνωση των επικοινωνιών σε ένα ετερογενές περιβάλλον δικτύου, χρησιμοποιείται ένα σύνολο πρωτοκόλλων TCP/IP, διασφαλίζοντας τη συμβατότητα μεταξύ υπολογιστών διαφορετικών τύπων. Αυτό το σετΤα πρωτόκολλα κέρδισαν δημοτικότητα λόγω της συμβατότητας και της παροχής πρόσβασης σε παγκόσμιους πόρους του Διαδικτύου και έγιναν πρότυπο για διαδικτύου. Ωστόσο, η ευρεία υιοθέτηση της στοίβας πρωτοκόλλου TCP/IP έχει επίσης αποκαλύψει τις αδυναμίες της. Αυτό καθιστά τα κατανεμημένα συστήματα ιδιαίτερα επιρρεπή σε απομακρυσμένες επιθέσεις, καθώς τα στοιχεία τους συνήθως χρησιμοποιούν ανοιχτά κανάλιαμετάδοση δεδομένων και ο εισβολέας μπορεί όχι μόνο να κρυφακούει παθητικά τις μεταδιδόμενες πληροφορίες, αλλά και να τροποποιεί τη μεταδιδόμενη κίνηση.

Η δυσκολία ανίχνευσης μιας απομακρυσμένης επίθεσης και η σχετική ευκολία υλοποίησης (λόγω της περιττής λειτουργικότητας των σύγχρονων συστημάτων) τοποθετεί αυτόν τον τύπο παράνομων ενεργειών στην πρώτη θέση όσον αφορά τον βαθμό κινδύνου και αποτρέπει την έγκαιρη απάντηση στην απειλή. αποτέλεσμα του οποίου ο επιτιθέμενος αυξάνει τις πιθανότητες επιτυχούς υλοποίησης της επίθεσης.

Ταξινόμηση επιθέσεων

Από τη φύση της πρόσκρουσης

Παθητικός

Ενεργός

Η παθητική επίδραση σε ένα κατανεμημένο υπολογιστικό σύστημα (DCS) είναι κάποια επίδραση που δεν επηρεάζει άμεσα τη λειτουργία του συστήματος, αλλά ταυτόχρονα μπορεί να παραβιάζει την πολιτική ασφαλείας του. Η έλλειψη άμεσης επιρροής στη λειτουργία του RVS οδηγεί ακριβώς στο γεγονός ότι η παθητική απομακρυσμένη επιρροή (RPI) είναι δύσκολο να εντοπιστεί. Ένα πιθανό παράδειγμα ενός τυπικού PUV σε ένα DCS είναι η ακρόαση ενός καναλιού επικοινωνίας σε ένα δίκτυο.

Ενεργός αντίκτυπος στο DCS - ένας αντίκτυπος που έχει άμεσο αντίκτυπο στη λειτουργία του ίδιου του συστήματος (βλάβη λειτουργικότητας, αλλαγή στη διαμόρφωση DCS, κ.λπ.), που παραβιάζει την πολιτική ασφαλείας που έχει υιοθετηθεί σε αυτό. Σχεδόν όλοι οι τύποι απομακρυσμένων επιθέσεων είναι ενεργές επιρροές. Αυτό οφείλεται στο γεγονός ότι η ίδια η φύση της επιβλαβούς επίδρασης περιλαμβάνει μια ενεργή ουσία. Η σαφής διαφορά μεταξύ ενεργητικής και παθητικής επιρροής είναι η θεμελιώδης δυνατότητα ανίχνευσης της, αφού ως αποτέλεσμα της εφαρμογής της συμβαίνουν κάποιες αλλαγές στο σύστημα. Με παθητική επιρροή, δεν παραμένουν απολύτως ίχνη (λόγω του γεγονότος ότι ο εισβολέας βλέπει το μήνυμα κάποιου άλλου στο σύστημα, τίποτα δεν θα αλλάξει την ίδια στιγμή).

Με σκοπό επιρροής

Παραβίαση της λειτουργίας του συστήματος (πρόσβαση στο σύστημα)

Παραβίαση της ακεραιότητας των πόρων πληροφοριών (IR)

Παραβίαση του απορρήτου IR

Αυτό το χαρακτηριστικό, με το οποίο γίνεται η ταξινόμηση, είναι ουσιαστικά μια άμεση προβολή τριών βασικών τύπων απειλών - άρνηση υπηρεσίας, αποκάλυψη και παραβίαση της ακεραιότητας.

Ο κύριος στόχος που επιδιώκεται σχεδόν σε κάθε επίθεση είναι η απόκτηση μη εξουσιοδοτημένης πρόσβασης σε πληροφορίες. Υπάρχουν δύο βασικές επιλογές για τη λήψη πληροφοριών: η παραμόρφωση και η υποκλοπή. Η επιλογή υποκλοπής πληροφοριών σημαίνει απόκτηση πρόσβασης σε αυτές χωρίς τη δυνατότητα αλλαγής τους. Συνεπώς, η υποκλοπή πληροφοριών οδηγεί σε παραβίαση του απορρήτου τους. Η ακρόαση ενός καναλιού σε ένα δίκτυο είναι ένα παράδειγμα υποκλοπής πληροφοριών. Στην περίπτωση αυτή, υπάρχει παράνομη πρόσβαση σε πληροφορίες χωρίς πιθανές επιλογέςτον αντικαταστάτη της. Είναι επίσης προφανές ότι η παραβίαση του απορρήτου των πληροφοριών αναφέρεται σε παθητικές επιρροές.

Η ικανότητα αντικατάστασης πληροφοριών πρέπει να νοείται είτε ως πλήρης έλεγχος της ροής πληροφοριών μεταξύ αντικειμένων του συστήματος είτε ως δυνατότητα μετάδοσης διαφόρων μηνυμάτων για λογαριασμό κάποιου άλλου. Επομένως, είναι σαφές ότι η υποκατάσταση πληροφοριών οδηγεί σε παραβίαση της ακεραιότητάς τους. Τέτοια καταστροφική επιρροή πληροφοριών είναι χαρακτηριστικό παράδειγμα ενεργητικής επιρροής. Ένα παράδειγμα απομακρυσμένης επίθεσης που έχει σχεδιαστεί για να παραβιάζει την ακεραιότητα των πληροφοριών είναι η απομακρυσμένη επίθεση "False RVS object" (RA).

Με βάση την παρουσία ανατροφοδότησης από το αντικείμενο επίθεσης

Με ανατροφοδότηση

Χωρίς σχόλια (επίθεση μονής κατεύθυνσης)

Ο εισβολέας στέλνει ορισμένα αιτήματα στο αντικείμενο επίθεσης, στα οποία αναμένει να λάβει απάντηση. Κατά συνέπεια, εμφανίζεται ανάδραση μεταξύ του εισβολέα και του επιτιθέμενου, επιτρέποντας στον πρώτο να ανταποκριθεί επαρκώς σε κάθε είδους αλλαγές στο αντικείμενο επίθεσης. Αυτή είναι η ουσία μιας απομακρυσμένης επίθεσης, που πραγματοποιείται παρουσία ανατροφοδότησης από το επιτιθέμενο αντικείμενο. Τέτοιες επιθέσεις είναι πιο χαρακτηριστικές για το RVS.

Οι επιθέσεις ανοιχτού βρόχου χαρακτηρίζονται από το γεγονός ότι δεν χρειάζεται να αντιδρούν σε αλλαγές στο αντικείμενο που επιτίθεται. Τέτοιες επιθέσεις συνήθως πραγματοποιούνται με την αποστολή μεμονωμένων αιτημάτων στο αντικείμενο που δέχεται επίθεση. Ο εισβολέας δεν χρειάζεται απαντήσεις σε αυτά τα αιτήματα. Τέτοια UA μπορούν επίσης να ονομαστούν UA μονής κατεύθυνσης. Ένα παράδειγμα μονοκατευθυντικών επιθέσεων είναι μια τυπική επίθεση DoS.

Σύμφωνα με την προϋπόθεση της έναρξης της κρούσης

Η απομακρυσμένη επιρροή, όπως και κάθε άλλη, μπορεί να αρχίσει να λαμβάνει χώρα μόνο υπό ορισμένες συνθήκες. Υπάρχουν τρεις τύποι τέτοιων επιθέσεων υπό όρους στο RVS:

Επίθεση κατόπιν αιτήματος από το αντικείμενο επίθεσης

Επίθεση με την εμφάνιση ενός αναμενόμενου συμβάντος στο αντικείμενο επίθεσης

Επίθεση χωρίς όρους

Ο αντίκτυπος από τον εισβολέα θα ξεκινήσει με την προϋπόθεση ότι ο πιθανός στόχος της επίθεσης μεταδίδει ένα αίτημα συγκεκριμένου τύπου. Μια τέτοια επίθεση μπορεί να ονομαστεί επίθεση κατόπιν αιτήματος από το αντικείμενο επίθεσης. Αυτός ο τύπος UA είναι πιο τυπικός για RVS. Ένα παράδειγμα τέτοιων αιτημάτων στο Διαδίκτυο είναι τα αιτήματα DNS και ARP και στο Novell NetWare - ένα αίτημα SAP.

Επίθεση κατά την εμφάνιση ενός αναμενόμενου συμβάντος στο αντικείμενο επίθεσης. Ο εισβολέας παρακολουθεί συνεχώς την κατάσταση του λειτουργικού συστήματος του απομακρυσμένου στόχου της επίθεσης και αρχίζει να επηρεάζει όταν συμβαίνει ένα συγκεκριμένο γεγονός σε αυτό το σύστημα. Το ίδιο το αντικείμενο επίθεσης είναι ο εμπνευστής της επίθεσης. Ένα παράδειγμα τέτοιου συμβάντος θα ήταν η διακοπή της συνεδρίας ενός χρήστη με τον διακομιστή χωρίς την έκδοση της εντολής LOGOUT στο Novell NetWare.

Μια άνευ όρων επίθεση πραγματοποιείται αμέσως και ανεξάρτητα από την κατάσταση του λειτουργικού συστήματος και του αντικειμένου που επιτίθεται. Επομένως, ο εισβολέας είναι ο εμπνευστής της επίθεσης σε αυτήν την περίπτωση.

Εάν διαταραχθεί η κανονική λειτουργία του συστήματος, επιδιώκονται άλλοι στόχοι και ο εισβολέας δεν αναμένεται να αποκτήσει παράνομη πρόσβαση στα δεδομένα. Ο στόχος του είναι να απενεργοποιήσει το λειτουργικό σύστημα στο αντικείμενο επίθεσης και να καταστήσει αδύνατη την πρόσβαση άλλων αντικειμένων συστήματος στους πόρους αυτού του αντικειμένου. Ένα παράδειγμα επίθεσης αυτού του τύπου είναι μια επίθεση DoS.

Ανά τοποθεσία του υποκειμένου της επίθεσης σε σχέση με το αντικείμενο της επίθεσης

Ενδοτμηματικά

Διατμηματικά

Μερικοί ορισμοί:

Η πηγή της επίθεσης (το αντικείμενο της επίθεσης) είναι το πρόγραμμα (πιθανόν ο χειριστής) που οδηγεί την επίθεση και έχει άμεσο αντίκτυπο.

Κεντρικός υπολογιστής - ένας υπολογιστής που αποτελεί στοιχείο του δικτύου.

Ο δρομολογητής είναι μια συσκευή που δρομολογεί πακέτα σε ένα δίκτυο.

Ένα υποδίκτυο είναι μια ομάδα κεντρικών υπολογιστών που αποτελούν μέρος ενός παγκόσμιου δικτύου, που διαφέρουν στο ότι ο δρομολογητής εκχωρεί τον ίδιο αριθμό υποδικτύου για αυτούς. Μπορούμε επίσης να πούμε ότι ένα υποδίκτυο είναι μια λογική συσχέτιση κεντρικών υπολογιστών μέσω ενός δρομολογητή. Οι κεντρικοί υπολογιστές εντός του ίδιου υποδικτύου μπορούν να επικοινωνούν απευθείας μεταξύ τους χωρίς τη χρήση δρομολογητή.

Ένα τμήμα δικτύου είναι ένας συνδυασμός κεντρικών υπολογιστών σε φυσικό επίπεδο.

Από την άποψη μιας απομακρυσμένης επίθεσης, η σχετική θέση του υποκειμένου και του αντικειμένου της επίθεσης είναι εξαιρετικά σημαντική, δηλαδή εάν βρίσκονται σε διαφορετικά ή πανομοιότυπα τμήματα. Κατά τη διάρκεια μιας επίθεσης εντός τμήματος, το θέμα και ο στόχος της επίθεσης βρίσκονται στο ίδιο τμήμα. Στην περίπτωση μιας διατμηματικής επίθεσης, το θέμα και ο στόχος της επίθεσης βρίσκονται σε διαφορετικά τμήματα δικτύου. Αυτό το χαρακτηριστικό ταξινόμησης καθιστά δυνατό να κριθεί ο λεγόμενος «βαθμός αποστάσεως» της επίθεσης.

Θα φανεί παρακάτω ότι μια επίθεση εντός τμήματος είναι πολύ πιο εύκολο να πραγματοποιηθεί από μια επίθεση μεταξύ τμημάτων. Σημειώνουμε επίσης ότι μια απομακρυσμένη επίθεση μεταξύ τμημάτων ενέχει πολύ μεγαλύτερο κίνδυνο από μια ενδοτμηματική επίθεση. Αυτό οφείλεται στο γεγονός ότι σε περίπτωση επίθεσης μεταξύ τμημάτων, ο στόχος και ο επιτιθέμενος μπορεί να βρίσκονται σε απόσταση πολλών χιλιάδων χιλιομέτρων μεταξύ τους, γεγονός που μπορεί να εμποδίσει σημαντικά τα μέτρα για την απόκρουση της επίθεσης.

Κατά επίπεδο μοντέλο αναφοράς ISO/OSI στο οποίο ασκείται η επιρροή

Φυσικός

Αγωγός

Δίκτυο

Μεταφορά

Συνεδρίαση

Εκπρόσωπος

Εφαρμοσμένος

Ο Διεθνής Οργανισμός Τυποποίησης (ISO) υιοθέτησε το πρότυπο ISO 7498, το οποίο περιγράφει τη διασύνδεση ανοιχτών συστημάτων (OSI), στην οποία ανήκουν και τα RBC. Κάθε πρωτόκολλο δικτύουανταλλαγή, καθώς και κάθε πρόγραμμα δικτύου, μπορεί να προβληθεί με τον ένα ή τον άλλο τρόπο σε ένα 7-επίπεδο αναφοράς Μοντέλο OSI. Αυτή η προβολή πολλαπλών επιπέδων καθιστά δυνατή την περιγραφή των λειτουργιών που χρησιμοποιούνται σε ένα πρωτόκολλο δικτύου ή ένα πρόγραμμα από την άποψη του μοντέλου OSI. Το UA είναι ένα πρόγραμμα δικτύου και είναι λογικό να το εξετάσουμε από την άποψη της προβολής στο μοντέλο αναφοράς ISO/OSI.

Σύντομη περιγραφήκάποιες επιθέσεις δικτύου

Κατακερματισμός δεδομένων

Όταν ένα πακέτο δεδομένων IP μεταδίδεται μέσω δικτύου, το πακέτο μπορεί να χωριστεί σε πολλά τμήματα. Στη συνέχεια, κατά την άφιξη στον προορισμό, το πακέτο ανακατασκευάζεται από αυτά τα τμήματα. Ένας εισβολέας μπορεί να ξεκινήσει την αποστολή μεγάλου αριθμού θραυσμάτων, γεγονός που οδηγεί σε υπερχείλιση των buffer λογισμικού στην πλευρά λήψης και, σε ορισμένες περιπτώσεις, σε κατάρρευση συστήματος.

Επίθεση πλημμυρών ping

Αυτή η επίθεση απαιτεί από τον εισβολέα να έχει πρόσβαση γρήγορα κανάλιαστο Διαδίκτυο.

Το πρόγραμμα ping στέλνει ένα πακέτο ICMP τύπου ECHO REQUEST, ορίζοντας την ώρα και το αναγνωριστικό του σε αυτό. Ο πυρήνας του μηχανήματος λήψης ανταποκρίνεται σε ένα τέτοιο αίτημα με ένα πακέτο ICMP ECHO REPLY. Αφού το λάβετε, το ping εμφανίζει την ταχύτητα του πακέτου.

"Επιλέξτε * από τους μαθητές όπου firstneme = " + όνομα + "; " τυπική λειτουργίαΤα πακέτα αποστέλλονται σε συγκεκριμένα χρονικά διαστήματα, πρακτικά χωρίς φόρτωση του δικτύου. Αλλά σε "επιθετική" λειτουργία, μια πλημμύρα πακέτων αιτήματος/απάντησης ηχούς ICMP μπορεί να υπερφορτώσει μια μικρή γραμμή, καθιστώντας την ανίκανη να μεταδώσει χρήσιμες πληροφορίες.

Μη τυποποιημένα πρωτόκολλα ενσωματωμένα σε IP

Το πακέτο IP περιέχει ένα πεδίο που καθορίζει το πρωτόκολλο του ενθυλακωμένου πακέτου (TCP, UDP, ICMP). Οι εισβολείς μπορούν να χρησιμοποιήσουν μια μη τυπική τιμή αυτού του πεδίου για τη μετάδοση δεδομένων που δεν θα καταγραφούν από τυπικά εργαλεία ελέγχου ροής πληροφοριών.

Επίθεση στρουμφ

Η επίθεση στρουμφ περιλαμβάνει την αποστολή αιτημάτων εκπομπής ICMP στο δίκτυο για λογαριασμό του υπολογιστή-θύματος.

Ως αποτέλεσμα, οι υπολογιστές που έχουν λάβει τέτοια πακέτα εκπομπής ανταποκρίνονται στον υπολογιστή-θύμα, γεγονός που οδηγεί σε σημαντική μείωση της απόδοσης του καναλιού επικοινωνίας και, σε ορισμένες περιπτώσεις, στην πλήρη απομόνωση του δικτύου που δέχεται επίθεση. Η επίθεση στρουμφ είναι εξαιρετικά αποτελεσματική και διαδεδομένη.

Αντίδραση: για να αναγνωριστεί αυτή η επίθεση, είναι απαραίτητο να αναλυθεί το φορτίο του καναλιού και να προσδιοριστούν οι λόγοι για τη μείωση της απόδοσης.

Επίθεση πλαστογράφησης DNS

Το αποτέλεσμα αυτής της επίθεσης είναι η εισαγωγή μιας αναγκαστικής αντιστοιχίας μεταξύ μιας διεύθυνσης IP και ενός ονόματος τομέα στη μνήμη cache του διακομιστή DNS. Ως αποτέλεσμα μιας επιτυχημένης επίθεσης, όλοι οι χρήστες του διακομιστή DNS θα λάβουν εσφαλμένες πληροφορίες σχετικά με ονόματα τομέακαι διευθύνσεις IP. Αυτή η επίθεση χαρακτηρίζεται από μεγάλο αριθμό πακέτων DNS με το ίδιο όνομα τομέα. Αυτό οφείλεται στην ανάγκη επιλογής ορισμένων Ρυθμίσεις DNSανταλλαγή.

Αντίδραση: για να εντοπίσετε μια τέτοια επίθεση, είναι απαραίτητο να αναλύσετε τα περιεχόμενα της κυκλοφορίας DNS ή να χρησιμοποιήσετε το DNSSEC.

Επίθεση πλαστογράφησης IP

Ένας μεγάλος αριθμός επιθέσεων στο Διαδίκτυο σχετίζεται με πλαστογράφηση της διεύθυνσης IP προέλευσης. Τέτοιες επιθέσεις περιλαμβάνουν επίσης πλαστογράφηση syslog, η οποία περιλαμβάνει την αποστολή μηνύματος στον υπολογιστή-θύμα εκ μέρους άλλου υπολογιστή στο εσωτερικό δίκτυο. Δεδομένου ότι το πρωτόκολλο syslog χρησιμοποιείται για τη διατήρηση αρχείων καταγραφής συστήματος, με την αποστολή ψευδών μηνυμάτων στον υπολογιστή-θύμα, είναι δυνατό να προκληθούν πληροφορίες ή να καλύπτονται τα ίχνη μη εξουσιοδοτημένης πρόσβασης.

Αντίμετρα: η ανίχνευση επιθέσεων που σχετίζονται με πλαστογράφηση διευθύνσεων IP είναι δυνατή με την παρακολούθηση της παραλαβής σε μία από τις διεπαφές ενός πακέτου με τη διεύθυνση πηγής της ίδιας διεπαφής ή με την παρακολούθηση της απόδειξης σε εξωτερική διεπαφήπακέτα με εσωτερικές διευθύνσεις IP δικτύου.

Επιβολή πακέτου

Ο εισβολέας στέλνει πακέτα με ψευδή διεύθυνση επιστροφής στο δίκτυο. Με αυτήν την επίθεση, ένας εισβολέας μπορεί να αλλάξει τις συνδέσεις που δημιουργούνται μεταξύ άλλων υπολογιστών στον δικό του υπολογιστή. Σε αυτήν την περίπτωση, τα δικαιώματα πρόσβασης του εισβολέα γίνονται ίσα με τα δικαιώματα του χρήστη του οποίου η σύνδεση με τον διακομιστή έγινε εναλλαγή στον υπολογιστή του εισβολέα.

Σνιφάρισμα - ακρόαση καναλιού

Δυνατότητα μόνο στο τμήμα τοπικού δικτύου.

Σχεδόν τα πάντα κάρτες δικτύουυποστηρίζουν την ικανότητα υποκλοπής πακέτων που μεταδίδονται μέσω ενός κοινού καναλιού τοπικού δικτύου. Συγχρόνως σταθμός εργασίαςμπορεί να λάβει πακέτα που απευθύνονται σε άλλους υπολογιστές στο ίδιο τμήμα δικτύου. Έτσι, όλη η ανταλλαγή πληροφοριών στο τμήμα δικτύου γίνεται διαθέσιμη στον εισβολέα. Για την επιτυχή υλοποίηση αυτής της επίθεσης, ο υπολογιστής του εισβολέα πρέπει να βρίσκεται στο ίδιο τμήμα τοπικού δικτύου με τον υπολογιστή που δέχεται επίθεση.

Παρακολούθηση πακέτων στο δρομολογητή

Το λογισμικό δικτύου του δρομολογητή έχει πρόσβαση σε όλα τα πακέτα δικτύου που αποστέλλονται μέσω του δρομολογητή, επιτρέποντας την παρακολούθηση πακέτων. Για να πραγματοποιήσει αυτήν την επίθεση, ο εισβολέας πρέπει να έχει προνομιακή πρόσβαση σε τουλάχιστον έναν δρομολογητή στο δίκτυο. Δεδομένου ότι τόσα πολλά πακέτα μεταδίδονται συνήθως μέσω ενός δρομολογητή, η πλήρης υποκλοπή τους είναι σχεδόν αδύνατη. Ωστόσο, μεμονωμένα πακέτα μπορεί κάλλιστα να υποκλαπούν και να αποθηκευτούν για μεταγενέστερη ανάλυση από έναν εισβολέα. Η πιο αποτελεσματική υποκλοπή πακέτων FTP που περιέχουν κωδικούς πρόσβασης χρήστη, καθώς και email.

Επιβολή ψευδούς διαδρομής σε έναν κεντρικό υπολογιστή χρησιμοποιώντας ICMP

Στο Διαδίκτυο υπάρχει ένα ειδικό πρωτόκολλο ICMP (Internet Control Message Protocol), μία από τις λειτουργίες του οποίου είναι να ενημερώνει τους οικοδεσπότες σχετικά με την αλλαγή του τρέχοντος δρομολογητή. Αυτό το μήνυμα ελέγχου ονομάζεται ανακατεύθυνση. Είναι δυνατή η αποστολή ενός ψευδούς μηνύματος ανακατεύθυνσης από οποιονδήποτε κεντρικό υπολογιστή στο τμήμα δικτύου για λογαριασμό του δρομολογητή στον κεντρικό υπολογιστή που δέχεται επίθεση. Ως αποτέλεσμα, ο τρέχων πίνακας δρομολόγησης του κεντρικού υπολογιστή αλλάζει και, στη συνέχεια, ολόκληρος κυκλοφορίας δικτύουενός δεδομένου κεντρικού υπολογιστή θα περάσει, για παράδειγμα, από τον κεντρικό υπολογιστή που έστειλε το ψευδές μήνυμα ανακατεύθυνσης. Με αυτόν τον τρόπο, είναι δυνατό να επιβληθεί ενεργά μια ψευδής διαδρομή σε ένα τμήμα του Διαδικτύου.

Μαζί με τα κανονικά δεδομένα που αποστέλλονται μέσω μιας σύνδεσης TCP, το πρότυπο προβλέπει επίσης τη μετάδοση επειγόντων δεδομένων (Out Of Band). Σε επίπεδο μορφής TCP πακέταΑυτό εκφράζεται ως δείκτης επείγοντος μη μηδενικού. Οι περισσότεροι υπολογιστές με εγκατεστημένα Windows έχουν το πρωτόκολλο δικτύου NetBIOS, το οποίο χρησιμοποιεί τρεις θύρες IP για τις ανάγκες του: 137, 138, 139. Εάν συνδεθείτε σε ένα μηχάνημα Windows μέσω της θύρας 139 και στείλετε πολλά byte δεδομένων OutOfBand εκεί, τότε η υλοποίηση του NetBIOS θα Μη γνωρίζοντας τι να κάνει με αυτά τα δεδομένα, απλώς κλείνει ή επανεκκινεί το μηχάνημα. Για τα Windows 95 συνήθως μοιάζει με μπλε οθόνη κειμένου, αναφορά σφάλματος στο πρόγραμμα οδήγησης TCP/IP και αδυναμία εργασίας με το δίκτυο μέχρι να γίνει επανεκκίνηση του λειτουργικού συστήματος. Το NT 4.0 χωρίς service pack επανεκκινείται, το NT 4.0 με το πακέτο ServicePack 2 κολλάει σε μπλε οθόνη. Κρίνοντας από πληροφορίες από το δίκτυο, τόσο τα Windows NT 3.51 όσο και τα Windows 3.11 for Workgroups είναι επιρρεπή σε μια τέτοια επίθεση.

Η αποστολή δεδομένων στη θύρα 139 οδηγεί σε επανεκκίνηση του NT 4.0 ή σε "μπλε οθόνη θανάτου" με εγκατεστημένο το Service Pack 2 Μια παρόμοια αποστολή δεδομένων στη θύρα 135 και σε ορισμένες άλλες θύρες οδηγεί σε σημαντικό φόρτο στη διαδικασία RPCSS.EXE. Στο Windows NT WorkStation αυτό οδηγεί σε σημαντική επιβράδυνση του Windows NT Server.

Παραπλάνηση αξιόπιστου κεντρικού υπολογιστή

Η επιτυχής υλοποίηση απομακρυσμένων επιθέσεων αυτού του τύπου θα επιτρέψει στον εισβολέα να πραγματοποιήσει μια περίοδο λειτουργίας με τον διακομιστή για λογαριασμό ενός αξιόπιστου κεντρικού υπολογιστή. (Αξιόπιστος κεντρικός υπολογιστής - ένας σταθμός που συνδέεται νόμιμα με τον διακομιστή). Η υλοποίηση αυτού του τύπου επίθεσης συνήθως συνίσταται στην αποστολή πακέτων ανταλλαγής από το σταθμό του εισβολέα για λογαριασμό ενός αξιόπιστου σταθμού υπό τον έλεγχό του.

Τεχνολογίες ανίχνευσης επιθέσεων

Οι τεχνολογίες δικτύου και πληροφοριών αλλάζουν τόσο γρήγορα που οι στατικοί προστατευτικοί μηχανισμοί, που περιλαμβάνουν συστήματα ελέγχου πρόσβασης, τείχη προστασίας και συστήματα ελέγχου ταυτότητας, σε πολλές περιπτώσεις δεν μπορούν να παρέχουν αποτελεσματική προστασία. Επομένως, απαιτούνται δυναμικές μέθοδοι για τον γρήγορο εντοπισμό και την πρόληψη παραβιάσεων ασφαλείας. Μια τεχνολογία που μπορεί να ανιχνεύσει παραβιάσεις που δεν μπορούν να εντοπιστούν χρησιμοποιώντας παραδοσιακά μοντέλα ελέγχου πρόσβασης είναι η τεχνολογία ανίχνευσης εισβολής.

Ουσιαστικά, η διαδικασία ανίχνευσης επίθεσης είναι η διαδικασία αξιολόγησης ύποπτων δραστηριοτήτων που συμβαίνουν σε ένα εταιρικό δίκτυο. Με άλλα λόγια, η ανίχνευση εισβολής είναι η διαδικασία εντοπισμού και απόκρισης σε ύποπτη δραστηριότητα που κατευθύνεται σε υπολογιστές ή πόρους δικτύου.

Μέθοδοι ανάλυσης πληροφορίες δικτύου

Η αποτελεσματικότητα ενός συστήματος ανίχνευσης επίθεσης εξαρτάται σε μεγάλο βαθμό από τις μεθόδους που χρησιμοποιούνται για την ανάλυση των λαμβανόμενων πληροφοριών. Τα πρώτα συστήματα ανίχνευσης εισβολών, που αναπτύχθηκαν στις αρχές της δεκαετίας του 1980, χρησιμοποιούσαν στατιστικές μεθόδους για τον εντοπισμό επιθέσεων. Επί του παρόντος, μια σειρά από νέες τεχνικές έχουν προστεθεί στη στατιστική ανάλυση, ξεκινώντας από έμπειρα συστήματακαι ασαφής λογική και τελειώνει με τη χρήση νευρωνικών δικτύων.

Στατιστική μέθοδος

Τα κύρια πλεονεκτήματα της στατιστικής προσέγγισης είναι η χρήση μιας ήδη ανεπτυγμένης και δοκιμασμένης συσκευής μαθηματικών στατιστικών και η προσαρμογή στη συμπεριφορά του υποκειμένου.

Πρώτον, προσδιορίζονται τα προφίλ για όλα τα θέματα του αναλυόμενου συστήματος. Οποιαδήποτε απόκλιση του χρησιμοποιούμενου προφίλ από το προφίλ αναφοράς θεωρείται μη εξουσιοδοτημένη δραστηριότητα. Οι στατιστικές μέθοδοι είναι καθολικές επειδή η ανάλυση δεν απαιτεί γνώση πιθανών επιθέσεων και των τρωτών σημείων που εκμεταλλεύονται. Ωστόσο, όταν χρησιμοποιείτε αυτές τις τεχνικές, προκύπτουν προβλήματα:

Τα «στατιστικά» συστήματα δεν είναι ευαίσθητα στη σειρά των γεγονότων. Σε ορισμένες περιπτώσεις, τα ίδια γεγονότα, ανάλογα με τη σειρά με την οποία συμβαίνουν, μπορεί να χαρακτηρίζουν μη φυσιολογική ή φυσιολογική δραστηριότητα.

Είναι δύσκολο να οριστούν οι οριακές τιμές (κατώφλι) των χαρακτηριστικών που παρακολουθούνται από το σύστημα ανίχνευσης εισβολής προκειμένου να εντοπιστεί επαρκώς η ανώμαλη δραστηριότητα.

Τα «στατιστικά» συστήματα μπορούν να «εκπαιδευτούν» από τους εισβολείς με την πάροδο του χρόνου, έτσι ώστε οι ενέργειες επίθεσης να θεωρούνται φυσιολογικές.

Θα πρέπει επίσης να ληφθεί υπόψη ότι οι στατιστικές μέθοδοι δεν εφαρμόζονται σε περιπτώσεις όπου δεν υπάρχει τυπική συμπεριφορά για τον χρήστη ή όταν οι μη εξουσιοδοτημένες ενέργειες είναι τυπικές για τον χρήστη.

Εξειδικευμένα συστήματα

Τα έμπειρα συστήματα αποτελούνται από ένα σύνολο κανόνων που συλλαμβάνουν τη γνώση ενός ανθρώπινου ειδικού. Η χρήση έμπειρων συστημάτων είναι μια κοινή μέθοδος ανίχνευσης επίθεσης στην οποία οι πληροφορίες επίθεσης διατυπώνονται με τη μορφή κανόνων. Αυτοί οι κανόνες μπορούν να γραφτούν, για παράδειγμα, ως ακολουθία ενεργειών ή ως υπογραφή. Όταν τηρείται κάποιος από αυτούς τους κανόνες, λαμβάνεται απόφαση σχετικά με την παρουσία μη εξουσιοδοτημένης δραστηριότητας. Ένα σημαντικό πλεονέκτημα αυτής της προσέγγισης είναι η σχεδόν πλήρης απουσία ψευδών συναγερμών.

Η βάση δεδομένων του ειδικού συστήματος θα πρέπει να περιέχει σενάρια για τις περισσότερες γνωστές επιθέσεις. Για να παραμένουν συνεχώς ενημερωμένα, τα έμπειρα συστήματα απαιτούν συνεχή ενημέρωση της βάσης δεδομένων. Αν και τα έμπειρα συστήματα προσφέρουν καλή ευκαιρίαΓια την προβολή δεδομένων καταγραφής, οι απαιτούμενες ενημερώσεις μπορούν είτε να αγνοηθούν είτε να εκτελεστούν με μη αυτόματο τρόπο από τον διαχειριστή. Τουλάχιστον, αυτό οδηγεί σε ένα έμπειρο σύστημα με εξασθενημένες δυνατότητες. Στη χειρότερη περίπτωση, η έλλειψη σωστής συντήρησης μειώνει την ασφάλεια ολόκληρου του δικτύου, παραπλανώντας τους χρήστες του σχετικά με το πραγματικό επίπεδο ασφάλειας.

Το κύριο μειονέκτημα είναι η αδυναμία απόκρουσης άγνωστων επιθέσεων. Επιπλέον, ακόμη και μια μικρή αλλαγή σε μια ήδη γνωστή επίθεση μπορεί να αποτελέσει σοβαρό εμπόδιο στη λειτουργία του συστήματος ανίχνευσης επίθεσης.

Νευρωνικά δίκτυα

Οι περισσότερες σύγχρονες μέθοδοι ανίχνευσης επιθέσεων χρησιμοποιούν κάποια μορφή βασισμένη σε κανόνες ή στατιστική προσέγγιση για την ανάλυση ελεγχόμενου χώρου. Ο ελεγχόμενος χώρος μπορεί να είναι αρχεία καταγραφής ή κίνηση δικτύου. Η ανάλυση βασίζεται σε ένα σύνολο προκαθορισμένων κανόνων που δημιουργούνται από τον διαχειριστή ή το ίδιο το σύστημα ανίχνευσης εισβολής.

Οποιοσδήποτε διαχωρισμός μιας επίθεσης με την πάροδο του χρόνου ή μεταξύ πολλών εισβολέων είναι δύσκολο να εντοπιστεί χρησιμοποιώντας εξειδικευμένα συστήματα. Λόγω της μεγάλης ποικιλίας επιθέσεων και χάκερ, ακόμη και ειδικών συνεχείς ενημερώσειςΟι εξειδικευμένες βάσεις δεδομένων κανόνων συστήματος δεν θα εγγυηθούν ποτέ την ακριβή αναγνώριση ολόκληρου του φάσματος των επιθέσεων.

Η χρήση νευρωνικών δικτύων είναι ένας από τους τρόπους για να ξεπεραστούν αυτά τα προβλήματα των έμπειρων συστημάτων. Σε αντίθεση με τα έμπειρα συστήματα, τα οποία μπορούν να δώσουν στον χρήστη μια σαφή απάντηση σχετικά με τη συμμόρφωση των υπό εξέταση χαρακτηριστικών με τους κανόνες που είναι ενσωματωμένοι στη βάση δεδομένων, ένα νευρωνικό δίκτυο αναλύει πληροφορίες και παρέχει την ευκαιρία να αξιολογήσει εάν τα δεδομένα είναι συνεπή με τα χαρακτηριστικά που είναι εκπαιδευμένοι να αναγνωρίζουν. Ενώ ο βαθμός αντιστοιχίας μιας αναπαράστασης νευρωνικού δικτύου μπορεί να φτάσει το 100%, η αξιοπιστία της επιλογής εξαρτάται εξ ολοκλήρου από την ποιότητα του συστήματος κατά την ανάλυση παραδειγμάτων της εργασίας.

Πρώτον, το νευρωνικό δίκτυο εκπαιδεύεται να αναγνωρίζει σωστά χρησιμοποιώντας ένα προεπιλεγμένο δείγμα παραδειγμάτων τομέα. Η απόκριση του νευρωνικού δικτύου αναλύεται και το σύστημα προσαρμόζεται με τέτοιο τρόπο ώστε να επιτυγχάνονται ικανοποιητικά αποτελέσματα. Εκτός από την αρχική περίοδο εκπαίδευσης, το νευρωνικό δίκτυο αποκτά εμπειρία με την πάροδο του χρόνου καθώς αναλύει δεδομένα για συγκεκριμένο τομέα.

Ένα σημαντικό πλεονέκτημα των νευρωνικών δικτύων στον εντοπισμό κατάχρησης είναι η ικανότητά τους να «μάθουν» τα χαρακτηριστικά των σκόπιμων επιθέσεων και να εντοπίζουν στοιχεία που δεν είναι παρόμοια με εκείνα που παρατηρήθηκαν προηγουμένως στο δίκτυο.

Κάθε μία από τις περιγραφόμενες μεθόδους έχει μια σειρά από πλεονεκτήματα και μειονεκτήματα, επομένως τώρα είναι σχεδόν δύσκολο να βρεθεί ένα σύστημα που εφαρμόζει μόνο μία από τις μεθόδους που περιγράφηκαν. Κατά κανόνα, αυτές οι μέθοδοι χρησιμοποιούνται σε συνδυασμό.

Οι θεμελιώδεις έννοιες της ασφάλειας στον κυβερνοχώρο είναι η διαθεσιμότητα, η ακεραιότητα και η εμπιστευτικότητα. Οι επιθέσεις άρνησης υπηρεσίας (DoS) επηρεάζουν τη διαθεσιμότητα των πόρων πληροφοριών. Η άρνηση παροχής υπηρεσιών θεωρείται επιτυχής εάν έχει ως αποτέλεσμα τη μη διαθεσιμότητα πληροφοριακό πόρο. Η διαφορά μεταξύ της επιτυχίας μιας επίθεσης και του αντίκτυπου στους πόρους-στόχους είναι ότι ο αντίκτυπος προκαλεί ζημιά στο θύμα. Για παράδειγμα, εάν ένα ηλεκτρονικό κατάστημα δεχτεί επίθεση, μια παρατεταμένη άρνηση παροχής υπηρεσιών μπορεί να προκαλέσει οικονομικές ζημίες στην εταιρεία. Σε κάθε συγκεκριμένη περίπτωση, η δραστηριότητα DoS μπορεί είτε να προκαλέσει άμεσα βλάβη είτε να δημιουργήσει απειλή και πιθανό κίνδυνο απώλειας.

Πρώτα ρε V DDoSμέσα διανεμήθηκε: κατανεμημένη επίθεση άρνησης υπηρεσίας. Σε αυτή την περίπτωση, μιλάμε για μια τεράστια μάζα κακόβουλων αιτημάτων που φτάνουν στον διακομιστή του θύματος από μια ποικιλία διαφορετικά μέρη. Συνήθως, τέτοιες επιθέσεις οργανώνονται μέσω botnets.

Σε αυτό το άρθρο, θα ρίξουμε μια πιο προσεκτική ματιά στους τύπους κυκλοφορίας DDoS και ποιους τύπους επιθέσεων DDoS υπάρχουν. Για κάθε τύπο επίθεσης, θα παρέχονται σύντομες συστάσεις για την πρόληψη και την αποκατάσταση της λειτουργικότητας.

Τύποι κίνησης DDoS

Ο απλούστερος τύπος επισκεψιμότητας είναι τα αιτήματα HTTP. Με τη βοήθεια τέτοιων αιτημάτων, για παράδειγμα, οποιοσδήποτε επισκέπτης επικοινωνεί με τον ιστότοπό σας μέσω ενός προγράμματος περιήγησης. Η βάση του αιτήματος είναι η κεφαλίδα HTTP.

Κεφαλίδα HTTP. Οι κεφαλίδες HTTP είναι πεδία που περιγράφουν το είδος του πόρου που ζητείται, όπως μια διεύθυνση URL ή μια φόρμα ή ένα JPEG. Οι κεφαλίδες HTTP ενημερώνουν επίσης τον διακομιστή ιστού ποιος τύπος προγράμματος περιήγησης χρησιμοποιείται. Οι πιο κοινές κεφαλίδες HTTP είναι ACCEPT, LANGUAGE και USER AGENT.

Ο αιτών μπορεί να χρησιμοποιήσει όσες κεφαλίδες θέλει, δίνοντάς τους τις επιθυμητές ιδιότητες. Οι εισβολείς DDoS μπορούν να τροποποιήσουν αυτές και πολλές άλλες κεφαλίδες HTTP, καθιστώντας δύσκολο τον εντοπισμό τους. Επιπλέον, οι κεφαλίδες HTTP μπορούν να γραφτούν με τέτοιο τρόπο ώστε να ελέγχουν την προσωρινή αποθήκευση και τις υπηρεσίες διακομιστή μεσολάβησης. Για παράδειγμα, μπορείτε να δώσετε εντολή στον διακομιστή μεσολάβησης να μην αποθηκεύει πληροφορίες προσωρινής μνήμης.

HTTP GET

• Το αίτημα GET HTTP(S) είναι μια μέθοδος που ζητά πληροφορίες από τον διακομιστή. Αυτό το αίτημα μπορεί να ζητήσει από τον διακομιστή να περάσει κάποιο αρχείο, εικόνα, σελίδα ή σενάριο για να το εμφανίσει στο πρόγραμμα περιήγησης.
• HTTP(S) GET μέθοδος flood Επιθέσεις DDoS επίπεδο εφαρμογής(7) Μοντέλο OSI, στο οποίο ο εισβολέας στέλνει μια ισχυρή ροή αιτημάτων στον διακομιστή προκειμένου να κατακλύσει τους πόρους του. Ως αποτέλεσμα, ο διακομιστής δεν μπορεί να ανταποκριθεί όχι μόνο σε αιτήματα χάκερ, αλλά και σε αιτήματα πραγματικών πελατών.

HTTP POST

• Το αίτημα HTTP(S) POST είναι μια μέθοδος κατά την οποία τα δεδομένα τοποθετούνται στο σώμα του αιτήματος για μεταγενέστερη επεξεργασία στον διακομιστή. Αίτημα HTTP POSTκωδικοποιεί μεταδιδόμενες πληροφορίεςκαι το τοποθετεί στη φόρμα και, στη συνέχεια, στέλνει αυτό το περιεχόμενο στον διακομιστή. Αυτή η μέθοδοςχρησιμοποιείται όταν είναι απαραίτητο να μεταφερθούν μεγάλες ποσότητες πληροφοριών ή αρχείων.
• Το HTTP(S) POST flood είναι ένας τύπος επίθεσης DDoS κατά την οποία ο αριθμός των αιτημάτων POST υπερκαλύπτει τον διακομιστή σε σημείο που ο διακομιστής δεν μπορεί να ανταποκριθεί σε όλα τα αιτήματα. Αυτό μπορεί να οδηγήσει σε εξαιρετικά υψηλή χρήση πόρων συστήματος, η οποία μπορεί να οδηγήσει σε κατάρρευση διακομιστή.

Κάθε ένα από τα αιτήματα HTTP που περιγράφονται παραπάνω μπορεί να μεταδοθεί μέσω ασφαλούς Πρωτόκολλο HTTPS. Σε αυτήν την περίπτωση, όλα τα δεδομένα που αποστέλλονται μεταξύ του πελάτη (εισβολέα) και του διακομιστή είναι κρυπτογραφημένα. Αποδεικνύεται ότι η "ασφάλεια" εδώ παίζει στα χέρια των εισβολέων: για να εντοπίσει ένα κακόβουλο αίτημα, ο διακομιστής πρέπει πρώτα να το αποκρυπτογραφήσει. Εκείνοι. Πρέπει να αποκρυπτογραφήσετε ολόκληρη τη ροή των αιτημάτων, από τα οποία υπάρχουν πολλά κατά τη διάρκεια μιας επίθεσης DDoS. Αυτό δημιουργεί πρόσθετο φορτίο στον διακομιστή-θύμα.

Το SYN flood (TCP/SYN) δημιουργεί μισάνοιχτες συνδέσεις με έναν κεντρικό υπολογιστή. Όταν το θύμα λαμβάνει ένα πακέτο SYN σε μια ανοιχτή θύρα, πρέπει να απαντήσει με ένα πακέτο SYN-ACK και να δημιουργήσει μια σύνδεση. Μετά από αυτό, ο εκκινητής στέλνει μια απάντηση με ένα πακέτο ACK στον παραλήπτη. Αυτή η διαδικασίασυμβατικά ονομάζεται χειραψία. Ωστόσο, κατά τη διάρκεια μιας επίθεσης πλημμύρας SYN, η χειραψία δεν μπορεί να ολοκληρωθεί γιατί ο εισβολέας δεν ανταποκρίνεται στο SYN-ACK του διακομιστή θύματος. Τέτοιες συνδέσεις παραμένουν μισάνοιχτες έως ότου λήξει το χρονικό όριο, η ουρά σύνδεσης γεμίσει και οι νέοι πελάτες δεν μπορούν να συνδεθούν στον διακομιστή.

Οι πλημμύρες UDP χρησιμοποιούνται συχνότερα για ευρυζωνικές επιθέσεις DDoS λόγω της φύσης τους που δεν είναι σύνοδος, καθώς και της ευκολίας δημιουργίας μηνυμάτων Πρωτοκόλλου 17 (UDP) σε διάφορες γλώσσες προγραμματισμού.

Πλημμύρα ICMP. Το πρωτόκολλο Internet Control Message Protocol (ICMP) χρησιμοποιείται κυρίως για μηνύματα σφάλματος και δεν χρησιμοποιείται για μετάδοση δεδομένων. Τα πακέτα ICMP μπορούν να συνοδεύουν πακέτα TCP κατά τη σύνδεση σε διακομιστή. Το ICMP flooding είναι μια μέθοδος επίθεσης DDoS στο επίπεδο 3 του μοντέλου OSI που χρησιμοποιεί μηνύματα ICMP για υπερφόρτωση κανάλι δικτύουεπιτέθηκε.

Το MAC flood είναι ένας σπάνιος τύπος επίθεσης κατά τον οποίο ο εισβολέας στέλνει πολλά κενά πλαίσια Ethernet με διαφορετικές διευθύνσεις MAC. Οι μεταγωγείς δικτύου εξετάζουν κάθε διεύθυνση MAC ξεχωριστά και, ως αποτέλεσμα, δεσμεύουν πόρους για καθένα από αυτά. Όταν χρησιμοποιείται όλη η μνήμη του διακόπτη, είτε σταματά να ανταποκρίνεται είτε απενεργοποιείται. Σε ορισμένους τύπους δρομολογητών, μια επίθεση πλημμύρας MAC μπορεί να προκαλέσει τη διαγραφή ολόκληρων πινάκων δρομολόγησης, με αποτέλεσμα να διαταραχθεί ολόκληρο το δίκτυο.

Ταξινόμηση και στόχοι επιθέσεων DDoS ανά επίπεδα OSI

Το Διαδίκτυο χρησιμοποιεί το μοντέλο OSI. Συνολικά, υπάρχουν 7 επίπεδα στο μοντέλο, τα οποία καλύπτουν όλα τα μέσα επικοινωνίας: ξεκινώντας από το φυσικό περιβάλλον (1ο επίπεδο) και τελειώνοντας στο επίπεδο εφαρμογής (7ο επίπεδο), στο οποίο τα προγράμματα «επικοινωνούν» μεταξύ τους.

Οι επιθέσεις DDoS είναι δυνατές σε καθένα από τα επτά επίπεδα. Ας τους ρίξουμε μια πιο προσεκτική ματιά.

7η Στρώμα OSI: Εφαρμόστηκε

Τι να κάνετε: Παρακολούθηση εφαρμογών - συστηματική παρακολούθηση χρήσης λογισμικού συγκεκριμένο σύνολοαλγόριθμους, τεχνολογίες και προσεγγίσεις (ανάλογα με την πλατφόρμα στην οποία χρησιμοποιείται αυτό το λογισμικό) για τον εντοπισμό τρωτών σημείων εφαρμογής 0 ημερών (επιθέσεις επιπέδου 7). Με τον εντοπισμό τέτοιων επιθέσεων, μπορούν να σταματήσουν μια για πάντα και να εντοπιστεί η πηγή τους. Αυτό γίνεται πιο απλά σε αυτό το στρώμα.

Επίπεδο 6 OSI: Εκτελεστικό

Τι πρέπει να κάνετε: Για να μετριαστεί η ζημιά, εξετάστε μέτρα όπως η διανομή υποδομής κρυπτογράφησης SSL (δηλαδή φιλοξενία SSL σε έναν εξαιρετικό διακομιστή, εάν είναι δυνατόν) και επιθεώρηση της κυκλοφορίας εφαρμογών για επιθέσεις ή παραβιάσεις πολιτικής στην πλατφόρμα εφαρμογής. Καλή πλατφόρμαδιασφαλίζει ότι η κίνηση κρυπτογραφείται και αποστέλλεται πίσω στην αρχική υποδομή με το αποκρυπτογραφημένο περιεχόμενο να βρίσκεται στην ασφαλή μνήμη του ασφαλούς κόμβου προμαχώνα.

Επίπεδο 5 OSI: Συνεδρία

Τι να κάνετε: Υποστήριξη υλικολογισμικού μηχανήματα υπολογιστών V τρέχουσα κατάστασηγια τη μείωση του κινδύνου απειλής.

Επίπεδο 4 OSI: Μεταφορά

Τι πρέπει να κάνετε: Το φιλτράρισμα της κυκλοφορίας DDoS, γνωστό ως blackholing, είναι μια μέθοδος που χρησιμοποιείται συχνά από τους παρόχους για την προστασία των πελατών (αυτή τη μέθοδο χρησιμοποιούμε μόνοι μας). Ωστόσο, αυτή η προσέγγιση καθιστά τον ιστότοπο του πελάτη απρόσιτο τόσο για κακόβουλη όσο και για νόμιμη επισκεψιμότητα χρηστών. Ωστόσο, ο αποκλεισμός πρόσβασης χρησιμοποιείται από τους παρόχους για την καταπολέμηση επιθέσεων DDoS για την προστασία των πελατών από απειλές όπως επιβράδυνση εξοπλισμός δικτύουκαι αποτυχία υπηρεσιών.

Επίπεδο 3 OSI: Δίκτυο

Τι να κάνετε: Περιορίστε τον αριθμό των αιτημάτων που υποβάλλονται σε επεξεργασία από Πρωτόκολλο ICMPκαι να μειώσει τον πιθανό αντίκτυπο αυτής της κίνησης στην ταχύτητα του τείχους προστασίας και του εύρους ζώνης Διαδικτύου.

Επίπεδο 2 OSI: Σύνδεσμος

Τι να κάνετε: Πολλοί σύγχρονοι διακόπτες μπορούν να ρυθμιστούν με τέτοιο τρόπο ώστε ο αριθμός διευθύνσεις MACπεριορίζεται σε αξιόπιστα που περνούν έλεγχο ταυτότητας, εξουσιοδότηση και λογιστικούς ελέγχους στον διακομιστή (πρωτόκολλο AAA) και στη συνέχεια φιλτράρονται.

Επίπεδο 1 OSI: Φυσικό

Τι πρέπει να κάνετε: Χρησιμοποιήστε μια συστηματική προσέγγιση για την παρακολούθηση της απόδοσης του φυσικού εξοπλισμού δικτύου.

Μετριασμός επιθέσεων DoS/DDoS μεγάλης κλίμακας

Αν και μια επίθεση είναι δυνατή σε οποιοδήποτε επίπεδο, οι επιθέσεις στα επίπεδα 3-4 και 7 του μοντέλου OSI είναι ιδιαίτερα δημοφιλείς.

• Επιθέσεις DDoS στο 3ο και 4ο επίπεδο - επιθέσεις υποδομής - τύποι επιθέσεων που βασίζονται στη χρήση μεγάλου όγκου, ισχυρής ροής δεδομένων (flood) σε επίπεδο υποδομής δικτύου και επίπεδο μεταφοράςπροκειμένου να επιβραδύνει τον διακομιστή ιστού, να «γεμίσει» το κανάλι και τελικά να αποτρέψει άλλους χρήστες από την πρόσβαση στον πόρο. Αυτοί οι τύποι επιθέσεων περιλαμβάνουν συνήθως πλημμύρες ICMP, SYN και UDP.
• Η επίθεση DDoS στο επίπεδο 7 είναι μια επίθεση που περιλαμβάνει υπερφόρτωση ορισμένων συγκεκριμένων στοιχείων της υποδομής διακομιστή εφαρμογών. Οι επιθέσεις στο επίπεδο 7 είναι ιδιαίτερα περίπλοκες, κρυφές και δύσκολο να εντοπιστούν λόγω της ομοιότητάς τους με τη χρήσιμη κίνηση ιστού. Ακόμη και οι πιο απλές επιθέσεις επιπέδου 7, όπως η προσπάθεια σύνδεσης με αυθαίρετο όνομα χρήστη και κωδικός πρόσβασης ή η επανάληψη τυχαίων αναζητήσεων σε δυναμικές ιστοσελίδες, μπορεί να φορτώσει κριτικά την CPU και τις βάσεις δεδομένων. Οι επιτιθέμενοι DDoS μπορούν επίσης να αλλάζουν επανειλημμένα τις υπογραφές των επιθέσεων στο Επίπεδο 7, καθιστώντας ακόμη πιο δύσκολη την αναγνώριση και την εξάλειψή τους.

Ορισμένες ενέργειες και εξοπλισμός για τον μετριασμό των επιθέσεων:

• Τείχη προστασίας με δυναμική επιθεώρηση πακέτων
• Δυναμικοί μηχανισμοί διακομιστή μεσολάβησης SYN
• Περιορισμός του αριθμού των SYN ανά δευτερόλεπτο για κάθε διεύθυνση IP
• Περιορίστε τον αριθμό των SYN ανά δευτερόλεπτο για κάθε απομακρυσμένη διεύθυνση IP
• Εγκατάσταση οθονών πλημμύρας ICMP σε τείχος προστασίας
• Εγκατάσταση οθονών πλημμύρας UDP σε τείχος προστασίας
• Περιορισμός της ταχύτητας των δρομολογητών δίπλα σε τείχη προστασίας και δίκτυα

Τα συστήματα υπολογιστών μας είναι ευάλωτα σε διάφορα είδηεπιθέσεις. Για να προστατεύσετε το σύστημα από αυτές τις επιθέσεις, είναι σημαντικό να γνωρίζετε τις κοινές επιθέσεις υπολογιστή Στον σημερινό κόσμο, είναι σχεδόν μια συνηθισμένη κατάσταση όταν ακούμε για επιθέσεις σε συστήματα προσωπικών υπολογιστών ή δίκτυα. Στην εποχή της τεχνολογίας μας, υπάρχουν διάφορα είδη επιθέσεις υπολογιστή, από το οποίο πρέπει να προστατεύσετε τα πολύτιμα δεδομένα, τα συστήματα και τα δίκτυά σας Ενώ ορισμένες επιθέσεις μπορεί απλώς να καταστρέψουν τα δεδομένα στον υπολογιστή σας, υπάρχουν και άλλες επιθέσεις από τις οποίες προέρχονται τα δεδομένα σύστημα υπολογιστήμπορεί να κλαπεί, καθώς και άλλες επιθέσεις όπου μπορεί να κλείσει ολόκληρο το δίκτυο.

Με απλά λόγια, υπάρχουν δύο κύριοι τύποι επιθέσεων, οι παθητικές επιθέσεις και οι ενεργές επιθέσεις είναι εκείνες όπου τα δεδομένα σε έναν υπολογιστή παρακολουθούνται και αργότερα χρησιμοποιούνται για κακόβουλα συμφέροντα, ενώ οι ενεργές είναι εκείνες όπου υπάρχουν αλλαγές στα δεδομένα ή στα δεδομένα. θα διαγραφούν ή τα δίκτυα θα καταστραφούν ολοσχερώς Παρακάτω είναι μερικοί από τους πιο συνηθισμένους τύπους ενεργών και παθητικών επιθέσεων που μπορούν να επηρεάσουν τους υπολογιστές.

Ενεργοί τύποι επιθέσεων υπολογιστή από ιούς

Οι πιο διάσημες επιθέσεις και οι ιοί υπάρχουν εδώ και πολύ καιρό. Εγκαθίστανται σε υπολογιστές και εξαπλώνονται σε άλλα αρχεία του συστήματος. Συχνά μεταδίδονται μέσω εξωτερικών σκληρούς δίσκους, ή μέσω ορισμένων τοποθεσιών στο Διαδίκτυο ή ως συνημμένα email Μόλις εκκινηθούν οι ιοί, γίνονται ανεξάρτητοι από τον δημιουργό και στόχος τους είναι να μολύνουν πολλά αρχεία και άλλα συστήματα.

Root Kit

Οι χάκερ αποκτούν πρόσβαση στο σύστημα χρησιμοποιώντας το ριζικό σύνολο προγραμμάτων οδήγησης και αναλαμβάνουν τον πλήρη έλεγχο του υπολογιστή. Σε ορισμένες περιπτώσεις, οι χάκερ μπορούν επίσης να ενεργοποιήσουν μια κάμερα web και να παρακολουθούν τις δραστηριότητες του θύματος, γνωρίζοντας τα πάντα για αυτό.

γενναίο και φιλεργό άτομο

Στη λίστα των επιθέσεων υπολογιστή, ο Δούρειος ίππος είναι ο μεγαλύτερος υψηλή βαθμολογίαμετά από ιούς Είναι συχνά ενσωματωμένο σε ένα κομμάτι λογισμικού, σε προφύλαξη οθόνης, ή παιχνίδια που θα λειτουργούν κανονικά, ωστόσο, μόλις αντιγραφούν στο σύστημα, θα μολύνουν τον υπολογιστή με έναν ιό ή ένα κιτ root. Με άλλα λόγια, δρουν ως φορείς ιών ή rootkit για να μολύνουν το σύστημα.

Σκουλήκι

Τα σκουλήκια μπορούν να ονομαστούν συγγενείς των ιών. Η διαφορά μεταξύ των ιών και των σκουληκιών του Διαδικτύου είναι ότι τα σκουλήκια μολύνουν ένα σύστημα χωρίς καμία βοήθεια από τον χρήστη. Το πρώτο βήμα είναι ότι τα σκουλήκια σαρώνουν τους υπολογιστές για τρωτά σημεία, στη συνέχεια αντιγράφονται στο σύστημα και μολύνονται σύστημα και διαδικασίαεπαναλαμβάνεται.

Παθητικοί τύποι επιθέσεων υπολογιστή Υποκλοπή

Όπως υποδηλώνει το όνομα, οι χάκερ θα ακούν κρυφά συνομιλίες που λαμβάνουν χώρα μεταξύ δύο υπολογιστών σε ένα δίκτυο. Αυτό μπορεί να συμβεί σε κλειστό σύστημα καιεπίσης μέσω Διαδικτύου. Άλλα ονόματα με τα οποία συνδέεται είναι κατασκοπευτικά. Με την υποκλοπή, ευαίσθητα δεδομένα μπορούν να διασχίσουν το δίκτυο και να είναι προσβάσιμα από άλλα άτομα.

Επιθέσεις με κωδικό πρόσβασης

Ένας από τους πιο συνηθισμένους τύπους επιθέσεων στον κυβερνοχώρο είναι οι επιθέσεις με κωδικό πρόσβασης Εδώ, οι χάκερ αποκτούν πρόσβαση σε έναν υπολογιστή και στους πόρους του δικτύου, αποκτώντας έναν κωδικό πρόσβασης ελέγχου Διαγραφή δεδομένων Επιπλέον, τα δεδομένα μπορούν να μεταδοθούν σε διαφορετικά δίκτυα.

Παραβιασμένο κλειδί επίθεσης

Μπορεί να χρησιμοποιηθεί για την αποθήκευση εμπιστευτικών δεδομένων μυστικός κωδικόςΗ απόκτηση του κλειδιού είναι χωρίς αμφιβολία μια πραγματική τεράστια αποστολή για έναν χάκερ, και είναι πιθανό ότι μετά από εντατική έρευνα ο χάκερ μπορεί να βάλει τα χέρια του στα κλειδιά. Όταν ένα κλειδί βρίσκεται στην κατοχή ενός χάκερ, είναι γνωστό ως παραβιασμένο κλειδί. Ο χάκερ θα έχει πλέον πρόσβαση σε εμπιστευτικά δεδομένα και μπορεί να κάνει αλλαγές στα δεδομένα. Ωστόσο, υπάρχει επίσης η πιθανότητα ο χάκερ να δοκιμάσει διαφορετικές μεταθέσεις και συνδυασμούς του κλειδιού για πρόσβαση σε άλλα σύνολα ευαίσθητων δεδομένων.

Απομίμηση ταυτότητας

Κάθε υπολογιστής έχει μια διεύθυνση IP, λόγω της οποίας είναι έγκυρη και ανεξάρτητη στο δίκτυο. Μόλις αποκτηθεί πρόσβαση, τα δεδομένα του συστήματος μπορούν να διαγραφούν, να τροποποιηθούν ή να ανακατευθυνθούν Επιπλέον, ένας χάκερ μπορεί να χρησιμοποιήσει αυτήν την παραβιασμένη διεύθυνση IP για να επιτεθεί σε άλλα συστήματα εντός ή εκτός του δικτύου.

Επιθέσεις επιπέδου εφαρμογής

Ο στόχος μιας επίθεσης σε επίπεδο εφαρμογής είναι να προκαλέσει συντριβή λειτουργικό σύστημαΔιακομιστής Μόλις δημιουργηθεί ένα σφάλμα στο λειτουργικό σύστημα, ο χάκερ θα μπορεί να αποκτήσει πρόσβαση στη διαχείριση διακομιστή. Αυτό οδηγεί σε αλλαγές δεδομένων με διάφορους τρόπους. Ενδέχεται να εισαχθεί ένας ιός στο σύστημα ή να αποσταλούν πολλαπλά αιτήματα στον διακομιστή, γεγονός που μπορεί να προκαλέσει τη διακοπή λειτουργίας του ή τα στοιχεία ελέγχου ασφαλείας μπορεί να απενεργοποιηθούν, γεγονός που καθιστά δύσκολη την ανάκτηση του διακομιστή.

Αυτοί ήταν μερικοί από τους τύπους επιθέσεων στους οποίους μπορούν να υποστούν διακομιστές και μεμονωμένα συστήματα υπολογιστών Η λίστα με τις πιο πρόσφατες επιθέσεις υπολογιστή συνεχίζει να αυξάνεται καθημερινά, για τις οποίες οι χάκερ χρησιμοποιούν νέες μεθόδους εισβολής.