КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Атака на сетевые компоненты
|
|
|
|
Основной особенностью любой сетевой системы является то, что ее компоненты распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений (коаксиальный кабель, витая пара, оптоволокно и т. п.) и программно при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые между объектами распределенной вычислительной системы, передаются по сетевым соединениям в виде пакетов обмена.
Основными компонентами любой информационной сети являются сервера и рабочие станции. В качестве рабочих станций используются персональные компьютеры, располагающие собственным процессором, накопителем и интерфейсными устройствами ввода-вывода. Рабочие станции взаимодействуют для совместной обработки данных, используя программное обеспечение с сервера. Сервера предоставляют информационные или вычислительные ресурсы, на рабочих станциях работает персонал. Основная задача серверов: хранение и предоставление доступа к информации. По отношению к серверам возможны следующие поступки злоумышленников:
- получение доступа к информации;
- получение несанкционированного доступа к услугам в результате ошибок или недокументированных возможностей программного обеспечения, предоставляющего подобные услуги;
- вывод из рабочего режима определенного класса услуг, атака получила название «отказ в сервисе» (англ. deny of service – DoS), атаки могут быть реализованы на уровнях модели OSI [10];
- изменение информации или услуг, как вспомогательный этап более крупной атаки.
Наиболее часто подвергаются модификации DNS -сервера. DNS -служба (англ. Domain Name System – служба доменных имен [11]) в сетях отвечает за сопоставление доменных имен[12] к их IP-адресам. [13] Пакеты[14] между станциями передаются на основании IP -адресов, по которым ориентируются маршрутизаторы[15] при выборе направления отправки пакета. Доменное имя не включается в отправляемый пакет, но используется сетевыми программами для обозначения имени удаленного компьютера с целью удобства работы пользователя.
|
|
|
Если злоумышленник получил права доступа к DNS -серверу, то он может изменить программу DNS -сервиса, чтобы по некоторым видам запросов вместо правильного IP -адреса клиенту выдавался IP -адрес машины злоумышленника, а все остальные запросы обрабатывались корректно. Информация сначала поступит злоумышленнику, а затем будет переправлена настоящему IP -адресу.
Основной целью атаки на рабочую станцию является получение данных. Основные средства атак - программы «троянские кони»[16], которые разрушают систему сетевой защиты изнутри. Эти программы по своей структуре похожи на компьютерные вирусы, но ведут себя незаметно и позволяют злоумышленнику производить с удаленного терминала любые действия на рабочей станции. Для борьбы с троянскими программами используется антивирусное программное обеспечение и специальные утилиты.
Троянские программы, которые постоянно обеспечивают доступ к зараженной ЭВМ, держат на ней открытый порт транспортного протокола, который можно обнаруживать с помощью утилит контроля за сетевыми портами. Например, для операционных систем клона Microsoft Windows такой утилитой является программа NetStat. Запуск ее с ключом «netstat –a» выведет на экран все активные порты ЭВМ. Оператор, зная порты стандартных сервисов, которые постоянно открыты на ЭВМ, сразу же заметит новую запись. В настоящее время существуют программные продукты, которые производят подобный контроль автоматически.
В отношении троянских программ, которые не держат постоянно открытый транспортный порт, возможен только сетевой мониторинг. Это достаточно сложная задача, требующая участия квалифицированного сотрудника. Наиболее простой путь для надежной защиты от компьютерных вирусов и троянских программ – установка на каждой рабочей станции программ контроля за изменениями в системных файлах и служебных областях данных (реестре, загрузочных областях дисков и т.п.) – адвизоров (англ. adviser - уведомитель).
|
|
|
Сетевые системы характерны тем, что, наряду с локальными атаками, осуществляемыми в пределах одной компьютерной системы, к ним применим специфический вид атак, обусловленный распределенностью ресурсов и информации в пространстве - сетевые (удаленные) атаки. Они характерны тем, что злоумышленник может находиться за тысячи километров от атакуемого объекта и нападению может подвергаться не конкретный компьютер, а информация, передаваемая по сетевым соединениям. Системы передачи информации из строя можно вывести посредством физического разрушения кабелей, постановки шумов в кабеле и в инфра- и радио- трактах. Атака на уровне среды передачи информации «отказ в сервисе», обычно расценивается как внешнее механическое или электронное воздействие. Основной вид атак на линии связи – прослушивание. Различают следующие линии связи:
- широковещательные линии связи с неограниченным доступом, возможность считывания информации с которых не контролируется, например, инфракрасные и радиоволновые сети;
- широковещательные линии связи с ограниченным доступом – это проводные линии, чтение информации с которых возможно всеми станциями, подключенными к данному проводу;
- каналы «точка-точка» – это проводные линии, чтение информации с которых возможно только теми станциями и узлами коммутации, через которые идет пакет от пункта отправки до пункта назначения.
К широковещательной категории сетей относятся сеть TokenRing, сеть EtherNet на коаксиальной жиле и на повторителях (хабах – англ. hub). Целенаправленную защищенную от прослушивания другими рабочими станциями передачу данных в сетях EtherNet производят сетевые коммутаторы типа свич (англ. switch) и различного рода маршрутизаторы (роутеры - англ. router). К кабельным соединениям по возрастанию сложности их прослушивания относятся следующие соединения:
|
|
|
- невитая пара - сигнал может прослушиваться на расстоянии в несколько сантиметров без непосредственного контакта;
- витая пара - сигнал слабее, но прослушивание без непосредственного контакта возможно;
- коаксиальный провод (центральная жила надежно экранирована оплеткой) - необходим специальный контакт, раздвигающий или режущий часть оплетки, и проникающий к центральной жиле;
- оптическое волокно - для прослушивания информации необходимо вклинивание в кабель и дорогостоящее оборудование, сам процесс подсоединения к кабелю сопровождается прерыванием связи и может быть обнаружен, если по кабелю постоянно передается какой-либо контрольный блок данных.
В узлах коммутации[17] сетей получение доступа к таблице маршрутизации позволяет изменить путь потока информации в интересующую злоумышленника сторону. Дальнейшие его действия могут быть подобны атаке на DNS -сервер. Другой путь атаки - изменение таблицы маршрутизации, основан на динамической маршрутизации пакетов, включенной на многих узлах коммутации. В таком режиме определяется наиболее выгодный путь отправки конкретного пакета, сформированный на истории прихода определенных служебных пакетов сети – сообщений маршрутизации. В этом случае при фальсификации по определенным законам нескольких подобных служебных пакетов можно добиться того, что маршрутизатор начнет отправлять пакеты по пути, предложенному злоумышленником, думая, что это и есть самый быстрый путь к пункту назначения.
Атака «отказ в сервисе» заставляет узел коммутации передавать сообщения по неверному пути, либо прекратить передачу сообщений, для чего используются ошибки в программном обеспечении на маршрутизаторе, с целью его «зависания».
Институтом стандартизации ISO с целью разграничения функций различных протоколов в процессе передачи информации была разработана эталонная модель взаимодействия открытых систем OSI (англ Open Systems Interconnection). Выделили семь функций (уровней), каждый из которых выполняет определенные задачи в процессе передачи блока информации, причем соответствующий уровень на приемной стороне производит преобразования, обратные тем, которые производил тот же уровень на передающей стороне. Каждый уровень добавляет к пакету небольшой объем своей служебной информации – префикс. В конкретной ситуации некоторые уровни могут отсутствовать.
|
|
|
Физический уровень отвечает за преобразование электронных сигналов в сигналы среды передачи информации (импульсы напряжения, радиоволны, инфракрасные сигналы). На этом уровне выполняется атака «отказ в сервисе», например, установка шумов по каналу может привести к разрыву связи.
Канальный уровень управляет синхронизацией двух и более сетевых адаптеров, подключенных к единой среде передачи данных. Воздействия проявляются в форме атаки «отказ в сервисе», путем сбоя передачи данных периодической передачей данных «без разрешения».
Сетевой уровень отвечает за систему уникальных имен и доставку пакетов, то есть за маршрутизацию пакетов. Атаки направлены на изменение маршрутизации пакетов.
Транспортный уровень отвечает за доставку больших сообщений по линиям с коммутацией пакетов. Так как в подобных линиях размер пакета представляет собой обычно небольшое число (от 500 байт до 5 килобайт). При передаче больших объемов информации пакеты разбиваются на пакеты фиксированного размера на передающей стороне, и собирать на принимающей стороне. Пакеты могут приходить не в том порядке, в каком они были отправлены, по причине потери некоторых пакетов из-за ошибок, переполнения каналов или использования альтернативных путей передачи. Следовательно, операционная система должна хранить некоторый буфер пакетов, дожидаясь прихода задержавшихся в пути. Атака может быть направлена на формирование пакетов таким образом, чтобы последовательность передачи была большой и заведомо неполной, т.о. можно ожидать постоянной занятости буфера или более серьезных ошибок из-за его переполнения.
Сеансовый уровень отвечает за процедуру установления начала сеанса и подтверждение прихода каждого пакета от отправителя получателю. Здесь предпринимается атака «SYN-Flood» (большой поток), основанная на свойствах процедуры установления соединения в протоколе TCP [18]. При попытке клиента подключиться к серверу, работающему по протоколу TCP (его используют более 80% информационных служб), он посылает серверу пакет без информации, но с битом SYN – запросом на соединение. По получении данного пакета сервер высылает подтверждение приема запроса, после чего с третьего пакета начинается диалог между клиентом и сервером. Одновременно сервер может поддерживать в зависимости от типа сервиса от 20 до несколько тысяч клиентов.
При атаке SYN-Flood злоумышленник на своей ЭВМ создает SYN -пакеты от имени произвольных IP -адресов на имя атакуемого сервера. Сервер, начиная соединение по каждому из этих запросов, резервирует под него место в своем буфере, отправляет пакет-подтверждение и начинает ожидать третьего пакета клиента в течение некоторого промежутка времени (1-5 секунд). Пакет-подтверждение уйдет по ложному адресу и либо не найдет адресата, либо будет проигнорирован операционной системой получателя. Сервер при достаточно небольшом потоке таких запросов будет постоянно держать свой буфер заполненным ожиданием соединений и SYN -запросы пользователей не смогут поместиться в буфер. Сеансовый уровень не может отличать фальшивые запросы от настоящих.
Атака SYN-Flood широко распространена, т.к. для нее не требуется подготовительных действий и ее можно проводить в адрес любого сервера из любой точки Интернет. Для отслеживания злоумышленника требуются совместные действия всех провайдеров, составляющих цепочку от злоумышленника до атакуемого сервера. Практически все фирмы-провайдеры, если они оснащены соответствующим программным обеспечением и квалифицированным персоналом активно участвуют в отслеживании атакующей ЭВМ.
|
|
|
|
Дата добавления: 2014-01-06; Просмотров: 1185; Нарушение авторских прав?; Мы поможем в написании вашей работы!