КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Основные методы распознавания атак и их признаки
ЛЕКЦИЯ №2.
Признаки атак:
1) повтор определенных событий. Существует три метода обнаружения повторов:
а) контроль повторов, как пороговых значений
б) как временных интервалов
в) как шаблонов
В случае контроля пороговых значений контролируется некоторый порог, позволяющий отличить санкционированный повтор от несанкционированного. Неправильный выбор пороговых значений может привести к частым ложным срабатываниям или остаться необнаруженным (например, пороговое значение количества ввода пароля при входе в Windows).
Контроль временных интервалов является типичным примером обнаружения сканированных портов, т.е. имеется заданное число обращений к портам узла за определенный промежуток времени.
Контроль шаблонов подразумевает наличие шаблона атаки, по которому ее идентифицируют.
2) неправильный или несоответствующий текущей команде результат, т.е. несоответствие заранее ожидаемым реакциям результат позволяет сделать вывод о подмене одного из участников информационного обмена.
3) несоответствующие параметры сетевого трафика, т.е. например входящий извне в локальную сеть пакет имеет адрес соответствующий адресу внутреннего диапазона; присутствие нового протокола.
4) непредвиденные атрибуты, такие как пользовательские и системные профили, время входа и выхода в/из системы, местоположение и т.д.
5) необъяснимые проблемы с системными ресурсами, с программным и аппаратным обеспечениями, с производительностью системы, такие как нехватка дискового пространства, удаленные во времени ответы от шлюза в интернет.
ТЕМА 2. КЛАССИФИКАЦИЯ ТИПИЧНЫХ АТАК. СЦЕНАРИЙ И УРОВНИ АТАК.
Основные (классические) типы атак:
1) «летучая смерть». Результатом данной атаки является зависание атакуемого узла. Для осуществления данного типа атаки нужно знать IP-адрес атакуемого узла. Суть атаки основана на том факте, что максимальный размер IP-пакета ограничен и равен он 65535 байта.
Для хранения такого максимального размера пакета в IP-заголовке отведено 16 бит и на такую максимальную длину рассчитано существующее ПО. Дело в том, что более нижний, чем сетевой уровень IP, уровень соединения инкапсулирует IP-детаграммы в кадры собственной спецификации (например, Интернет). При этом сетевой уровень IP фрагментирует IP-детаграмму на несколько пакетов соответствующих максимальному размеру пакета уровня соединения.
В поле заголовка пакета имеется флаг-фрагмент, обозначающий продолжение во время фрагментации (установка единицы). В последнем фрагменте устанавливается в «0», что означает конец фрагментации. Кроме того заголовки фрагмента IP размещает в поле смещения фрагмента (смещение данного фрагмента от начала исходного IP-пакета). Максимальное смещение при этом равно 65528 байт.
Таким образом, если во фрагменте IP-детаграммы выставить флаг продолжения и подцепить вторую детаграмму, то можно получить результирующую детаграмму, размер которой будет превышать максимально допустимый.
Лазейка, позволяющая осуществить данный тип атаки, существует в самой системе IP-протокола. Потенциально опасными являются все порты компьютера. Решение проблемы лежит в разработке ПО способного корректно обрабатывать IP-пакеты нестандартной длины. Если сеть закрыта межсетевым экраном и идет запрещение трафика по протоколу ICMP, то атака не проходит.
2) SYN-бомбардировка. Основана на слабости транспортного протокола TCP. Суть в том, что протокол TCP в отличие от IP является надежным и гарантирует доставку сегмента данных получателю. Это означает, что в случае отсутствия за определенный промежуток времени подтверждения о получении данных клиентом сервер будет отправлять их до тех пор пока не получит подтверждение. Данная атака активизируется при запросах с наполовину открытыми соединениями. Результатом осуществления атаки является аварийное завершение работы системы.
Все TCP соединения являются дуплексными (двунаправленными). В силу этого оба соединения модуля TCP должны учитывать и нумеровать данные в каждом направлении по-разному, а это значит обрабатывать два начальных номера последовательности использующихся при транспортировке пакетов. Когда начальный номер получен клиентом, клиент в свою очередь отправляет сегмент с флагом подтверждения и номером подтверждения последовательности полученной с сервера. Однако можно достаточно легко модифицировать стандартный файл TCP протокола так, чтобы он постоянно отправлял на сервер сегменты с проставленным флагом синхронизации и различными начальными номерами последовательности, тогда в ответ на каждый такой сегмент сервер открывает отдельный канал связи и посылает ответные сегменты. Компьютер злоумышленника не отвечает на приходящие данные, а только посылает все новые и новые запросы.
Решение проблемы лежит в области создания специальных программ, анализирующих запросы на установленные соединения, не допускающих большого количества безответных запросов. Другой вариант, настроить межсетевой экран так, чтобы TCP/IP-соединение устанавливает только он сам.
3) Спуффинг. Суть заключается в том, что как на TCP, так и на IP протоколах действие его одинаково и заключается в подмене адресов.
Этапы спуффинга:
а) злоумышленник определяет IP адрес доверенного компьютера.
б) злоумышленник легальным способом устанавливает связь с сервером и получает начальный номер последовательности. Этот начальный номер последовательности необходим для того, чтобы сервер определил этот компьютер как доверенный и выделил ему отдельный канал связи.
в) злоумышленник временно выводит из строя доверенный компьютер, IP-адрес которого уже ему известен. Для того чтобы не дать послать ответ о том, что соединение не было запрошено. Иначе сервер закроет канал связи.
г) злоумышленник представляет себя в качестве доверенного компьютера и получает начальный номер последовательности уже атакованного узла.
д) зная начальный номер последовательности этого узла, он может выдать его за себя.
4) нападение на основе протокола ICMP. ICMP является служебным протоколом, т.е. протоколом обмена служебными сообщениями. Одной из его функций является удаленное управление таблицей маршрутизации.
Идея атак состоит в том, чтобы обмануть маршрутизаторы и заставить их работать по своей таблице маршрутизации. Это позволяет получить доступ к потоку информации, модифицировать его, отправляя далее на защищенные системы.
Простейшая атака основана на злоупотреблении параметров протокола и заключается в создании дублера системы, заставляя маршрутизатор перенаправлять все пакеты этому дублеру.
5) ARP-спуффинг. ARP-протоколы используют для того, чтобы получить взаимно-однозначные соответствия IP и интернет адресов внутри одного сегмента.
Суть заключается в том, что перехватив на атакующем узле внутри данного сегмента сети ARP-запрос можно послать сложный ARP-ответ, в котором объявить себя искомым узлом и в дальнейшем контролировать и воздействовать на сетевой трафик обманутого узла. Данный тип атаки возможен только в сети с широковещательной средой (интернет) и является внутрисегментной.
|
Дата добавления: 2014-01-07; Просмотров: 442; Нарушение авторских прав?; Мы поможем в написании вашей работы!