Классификация и способы борьбы с сетевыми атаками

2.16 Атака Land

Атака Land использует уязвимости реализаций стека TCP/IP в некоторых ОС. Она заключается в передаче на открытый порт компьютера-жертвы TCP-пакета с установленным флагом SYN, причем исходный адрес и порт такого пакета соответственно равны адресу и порту атакуемого компьютера. Это приводит к тому, что компьютер-жертва пытается установить соединение сам с собой, в результате чего сильно возрастает загрузка процессора и может произойти «подвисание» или перезагрузка. Данная атака весьма эффективна на некоторых моделях маршрутизаторов фирмы Cisco Systems, причем успешное применение атаки к маршрутизатору может вывести из строя всю сеть организации.

Защититься от данной атаки можно, например, установив фильтр пакетов между внутренней сетью и Internet, задав на нём правило фильтрации, указывающее подавлять пакеты, пришедшие из Internet, но с исходными IP адресами компьютеров внутренней сети.

Заключение

В данной работе мы рассмотрели основные сетевые атаки, познакомились с ними подробно, а так же изучили какие методы и средства защиты используются для их предотвращения или снижения риска возникновения.

Важно понять, что сетевая безопасность — это эволюционный процесс. Нет ни одного продукта, способного предоставить корпорации «полную безопасность»

Надежная защита сети достигается сочетанием продуктов и услуг, а также грамотной политикой безопасности и ее соблюдением всеми сотрудниками сверху донизу. Можно заметить, что правильная политика безопасности даже без выделенных средств защиты дает лучшие результаты, чем средства защиты без политики безопасности.

Список использованных источников

1        Классификация сетевых атак

      http://www.internet-technologies.ru/articles/article_237.html;

2        Сетевые атаки http://unknown-.chat.ru/page5.html.

Pass the Hash

Злоумышленнику не обязательно знать пароль пользователя, чтобы получить доступ к какому-либо сервису. Техника Pass the Hash эксплуатирует особенности протокола аутентификации NTLM, которые позволяют подключаться к ресурсам даже при наличии хеша пароля. Если же в инфраструктуре используется механизм аутентификации Kerberos, злоумышленник может прибегнуть к атаке Overpass the Hash, которая является развитием этой техники.

Протокол Kerberos был разработан специально для того, чтобы пароли пользователей не передавались по сети. Для этого на своей машине пользователь хешем своего пароля шифрует запрос на аутентификацию. В ответ Key Distribution Center выдаёт ему билет на получение других билетов — так называемый Ticket-Granting Ticket (TGT). Теперь клиент считается аутентифицированным, и в течение десяти часов он может обращаться за билетами для доступа к другим сервисам.

Последовательность действий при атаке Overpass the Hash состоит в следующем. Злоумышленник получает хеш пароля пользователя (например, с помощью техники Credential Dumping), шифрует им запрос на аутентификацию и выпускает для себя билет TGT. Затем он запрашивает билет для доступа к интересующему сервису и успешно в нём авторизуется.

Рисунок 10. Использование RC4 в атаке

 

При таком способе выявления возможно большое количество ложных срабатываний. Для снижения количества ошибок потребуется дополнительный поведенческий анализ.

В то же время в трафике можно обнаружить и инструменты, с помощью которых осуществляются атаки Credential Dumping и Pass the Hash, например mimikatz. Многие киберпреступники используют в своих целях готовые фреймворки для тестирования на проникновение, которые подгружают дополнительные модули разными способами. В частности, Koadic, применяемый в атаках MuddyWater, передаёт mimikatz на заражённый узел по протоколу HTTP в виде закодированной в Base64 библиотеки, сериализованного .NET-класса, который будет её внедрять, и аргументов для запуска утилиты. Результат выполнения передаётся по сети в открытом виде также по протоколу HTTP.

Средства обнаружения атак

Технология обнаружения атак должна справляться со следующим:

  • Распознавание популярных атак и предупреждение о них определенных лиц
  • Понимание непонятных источников данных об атаках
  • Возможность управления методами защиты не-специалистами в сфере безопасности
  • Контроль всех действий субъектов информационной сети (программ, пользователей и тд)
  • Освобождение или снижение функций персонала, который отвечает за безопасность, текущих рутинных операций по контролю

Зачастую системы обнаружения атак могут реализовывать функции, которые расширяют спектр их применения. К примеру:

  • Контроль эффективность межсетевых экранов. Можно расположить систему обнаружения после межсетевого экрана, что бы определить недостающих правил на межсетевом экране.
  • Контроль узлов сети с устаревшим ПО
  • Блокирование и контроль доступа к некоторым ресурсам Internet. Хоть они далеки от возможностей таких как сетевых экранов, но если нету денег на покупку сетевого экрана, можно расширить функции системы обнаружения атак
  • Контроль электронной почты. Системы могут отслеживать вирусы в письмах, а также анализировать содержимое входящих и исходящих писем

Лучшая реализация опыта и времени профессионалов в сфере информационной безопасности заключается в выявлении и устранении причин реализации атак, а не обнаружение самих атак. Устранив причину, из-за которой возможна атака, сохранит многим временного ресурса и финансового.

Классификация сетевых атак:


Рис.: Классификация кибератак

Темы сетевых атак делятся на две категории: атаки на основе трафика и однопакетные атаки.

** Flow-атака: DoS ** Flood-атака. Истощение сетевых ресурсов, пропускная способность на выходе.

Версия обновления DoS: DDoS-атака (распределенный отказ в обслуживании).

  • Атаки на сетевом уровне: TCP, UDP атаки

  • Атаки на уровне приложений: HTTP, DNS, FTP и т. Д.

Однопакетная атака:

  • Атака с искаженным пакетом: Пинг смерти

  • Атаки со специальными сообщениями: параметры IP, специальные типы ICMP

  • Атаки со сканированием и отслеживанием: сканирование IP-адресов и сканирование портов

    Выявить потенциальные цели атаки и выявить уязвимые места

Переадресация портов

Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран трафика, который в противном случае был бы обязательно отбракован. Представим себе межсетевой экран с тремя интерфейсами, к каждому из которых подключен определенный хост. Внешний хост может подключаться к хосту общего доступа (DMZ), но не к хосту, установленному с внутренней стороны межсетевого экрана. Хост общего доступа может подключаться и к внутреннему, и к внешнему хосту. Если хакер захватит хост общего доступа, он сможет установить на нем программное средство, перенаправляющее трафик с внешнего хоста прямо на внутренний хост. Хотя при этом не нарушается ни одно правило, действующее на экране, внешний хост в результате переадресации получает прямой доступ к защищенному хосту. Примером приложения, которое может предоставить такой доступ, является netcat. Более подробную информацию можно получить на сайте http://www.avian.org/

Основным способом борьбы с переадресацией портов является использование надежных моделей доверия (см. предыдущий раздел). Кроме того, помешать хакеру установить на хосте свои программные средства может хост-система IDS (HIDS).
Несанкционированный доступ
Несанкционированный доступ не может считаться отдельным типом атаки. Большинство сетевых атак проводятся ради получения несанкционированного доступа. Чтобы подобрать логин telnet, хакер должен сначала получить подсказку telnet на своей системе. После подключения к порту telnet на экране появляется сообщение «authorization required to use this resource» (для пользования этим ресурсов нужна авторизация). Если после этого хакер продолжит попытки доступа, они будут считаться «несанкционированными». Источник таких атак может находиться как внутри сети, так и снаружи.

Способы борьбы с несанкционированным доступом достаточно просты. Главным здесь является сокращение или полная ликвидация возможностей хакера по получению доступа к системе с помощью несанкционированного протокола. В качестве примера можно рассмотреть недопущение хакерского доступа к порту telnet на сервере, который предоставляет Web-услуги внешним пользователям. Не имея доступа к этому порту, хакер не сможет его атаковать. Что же касается межсетевого экрана, то его основной задачей является предотвращение самых простых попыток несанкционированного доступа.
Вирусы и приложения типа «троянский конь»
Рабочие станции конечных пользователей очень уязвимы для вирусов и троянских коней. Вирусами называются вредоносные программы, которые внедряются в другие программы для выполнения определенной нежелательной функции на рабочей станции конечного пользователя. В качестве примера можно привести вирус, который прописывается в файле command.com (главном интерпретаторе систем Windows) и стирает другие файлы, а также заражает все другие найденные им версии command.com. «Троянский конь» — это не программная вставка, а настоящая программа, которая выглядит как полезное приложение, а на деле выполняет вредную роль. Примером типичного «троянского коня» является программа, которая выглядит, как простая игра для рабочей станции пользователя. Однако пока пользователь играет в игру, программа отправляет свою копию по электронной почте каждому абоненту, занесенному в адресную книгу этого пользователя. Все абоненты получают по почте игру, вызывая ее дальнейшее распространение.

Борьба с вирусами и «троянскими конями» ведется с помощью эффективного антивирусного программного обеспечения, работающего на пользовательском уровне и, возможно, на уровне сети. Антивирусные средства обнаруживают большинство вирусов и «троянских коней» и пресекают их распространение. Получение самой свежей информации о вирусах поможет эффективнее бороться с ними. По мере появления новых вирусов и «троянских коней» предприятие должно устанавливать новые версии антивирусных средств и приложений.

2.12 Фрагментация данных

При передачи пакета данных протокола IP по сети может осуществляться деление этого пакета на несколько фрагментов. В последствии, при достижении адресата, пакет восстанавливается из этих фрагментов. Злоумышленник может инициировать посылку большого числа фрагментов, что приводит к переполнению программных буферов на приемной стороне и, в ряде случаев, к аварийному завершению системы.

Передача фрагментированных IP пакетовс общим объемом более64KB

Количество реализаций атак, использующих возможность фрагментации IP пакетов, достаточно велико. На компьютер-жертву передается несколько фрагментированных IP пакетов, которые при сборке образуют один пакет размером более 64К (максимальный размер IP пакета равен 64К минус длина заголовка). Данная атака была эффективна против компьютеров с ОС Windows. При получении такого пакета Windows NT, не имеющая специального патча icmp-fix, «зависает» или аварийно завершается. Другие варианты подобных атак используют неправильные смещения в IP фрагментах, что приводит к некорректному выделению памяти, переполнению буферов и, в конечном итоге, к сбоям в работе систем.

 Для выявления таких атак необходимо осуществлять и анализировать сборку пакетов «на лету», а это существенно повысит требования к аппаратному обеспечению.

Модели атак

Традиционная модель атаки строится по принципу (рис.1)
или (рис.2), т.е. атака исходит из одного источника.
Разработчики сетевых средств защиты (межсетевых экранов, систем обнаружения
атак и т.д.) ориентированы именно на традиционную модель атаки. В различных
точках защищаемой сети устанавливаются агенты (сенсоры) системы защиты, которые
передают информацию на центральную консоль управления. Это облегчает
масштабирование системы, обеспечивает простоту удаленного управления и т.д.
Однако такая модель не справляется с относительно недавно (в 1998 году)
обнаруженной угрозой — распределенными атаками.


Рисунок 1. Отношение «один к одному»
Рисунок 2. Отношение «один ко многим»

В модели распределенной атаки используются иные принципы. В отличие от
традиционной модели в распределенной модели используются отношения
(рис.3) и (рис.4).


Рисунок 3. Отношение «многие к одному»
Рисунок 4. Отношение «многие ко многим»

Распределенные атаки основаны на «классических» атаках типа
«отказ в обслуживании», а точнее на их подмножестве, известном как
Flood-атаки или Storm-атаки
(указанные термины можно перевести как «шторм», «наводнение» или «лавина»). Смысл данных атак
заключается в посылке большого количества пакетов на атакуемый узел.
Атакуемый узел может выйти из
строя, поскольку он «захлебнется» в лавине посылаемых пакетов и не сможет
обрабатывать запросы авторизованных пользователей. По такому принципу работают
атаки SYN-Flood, Smurf, UDP Flood, Targa3 и т.д. Однако в том случае, если
пропускная способность канала до атакуемого узла превышает пропускную
способность атакующего или атакуемый узел некорректно сконфигурирован, то к
«успеху» такая атака не приведет. Например, с помощью этих атак бесполезно
пытаться нарушить работоспособность своего провайдера. Но распределенная атака
происходит уже не из одной точки Internet, а
сразу из нескольких, что приводит к резкому возрастанию трафика и выведению
атакуемого узла из строя. Например, по данным России-Онлайн в течение двух
суток, начиная с 9 часов утра 28 декабря 2000 г. крупнейший Internet-провайдер
Армении «Арминко» подвергался распределенной атаке. В данном случае к атаке
подключились более 50 машин из разных стран, которые посылали по адресу
«Арминко» бессмысленные сообщения. Кто организовал эту атаку, и в какой стране
находился хакер — установить было невозможно. Хотя атаке подвергся в основном
«Арминко», перегруженной оказалась вся магистраль, соединяющая Армению с
всемирной паутиной. 30 декабря благодаря сотрудничеству «Арминко» и другого
провайдера — «АрменТел» — связь была полностью восстановлена. Несмотря на это
компьютерная атака продолжалась, но с меньшей интенсивностью.

Сетевая разведка

Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования (ping sweep) и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование (ping sweep) адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. И, наконец, хакер анализирует характеристики приложений, работающих на хостах. В результате добывается информация, которую можно использовать для взлома.

Полностью избавиться от сетевой разведки невозможно. Если, к примеру, отключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах, вы избавитесь от эхо-тестирования, но потеряете данные, необходимые для диагностики сетевых сбоев. Кроме того, сканировать порты можно и без предварительного эхо-тестирования. Просто этой займет больше времени, так как сканировать придется и несуществующие IP-адреса. Системы IDS на уровне сети и хостов обычно хорошо справляются с задачей уведомления администратора о ведущейся сетевой разведке, что позволяет лучше подготовиться к предстоящей атаке и оповестить провайдера (ISP), в сети которого установлена система, проявляющая чрезмерное любопытство.
Злоупотребление доверием
Собственно говоря, этот тип действий не является «атакой» или «штурмом». Он представляет собой злонамеренное использование отношений доверия, существующих в сети. Классическим примером такого злоупотребления является ситуация в периферийной части корпоративной сети. В этом сегменте часто располагаются серверы DNS, SMTP и HTTP. Поскольку все они принадлежат к одному и тому же сегменту, взлом одного из них приводит к взлому и всех остальных, так как эти серверы доверяют другим системам своей сети. Другим примером является система, установленная в внешней стороны межсетевого экрана, имеющая отношения доверия с системой, установленной с его внутренней стороны. В случае взлома внешней системы, хакер может использовать отношения доверия для проникновения в систему, защищенную межсетевым экраном.

Риск злоупотребления доверием можно снизить за счет более жесткого контроля уровней доверия в пределах своей сети. Системы, расположенные с внешней стороны межсетевого экрана, никогда не должны пользоваться абсолютным доверием со стороны защищенных экраном систем. Отношения доверия должны ограничиваться определенными протоколами и, по возможности, аутентифицироваться не только по IP-адресам, но и по другим параметрам.

Credential Dumping

Существует несколько подходов к реализации Credential Dumping, которые можно отследить путём анализа трафика. Один из них — это атака DCSync, то есть копирование учётных записей пользователей на поддельный домен-контроллер. Атака выявляется с помощью разбора RPC-вызовов, которые передаются по сети, и поиска запросов DsGetNCChanges.

Рисунок 11. Обнаружение атаки DCSync

 

Кроме того, злоумышленники могут попытаться скопировать файл NTDS.dit, содержащий данные об учётных записях. Поэтому необходимо отслеживать передачу этого файла по сети. Ещё один способ реализовать Credential Dumping — это удалённый доступ к реестру по протоколу WINREG. Запросы на доступ к ключам SAM, SECURITY и LSA могут свидетельствовать о попытке получить учётные данные.

Виды сетевых атак

Разновидностей сетевых атак появляется все больше, вот только наиболее распространенные, с которыми может столкнуться как малый бизнес, так и крупная корпорация, разница будет только в последствиях и возможностях их остановить при первых попытках внедрения в сетевую инфраструктуру:

  • Сетевая разведка — сведения из сети организации собирают с помощью приложений, находящихся в свободном доступе. В частности, сканирование портов — злоумышленник сканирует UDP- и TCP-порты, используемые сетевыми службами на атакуемом компьютере, и определяет уязвимость атакуемого компьютера перед более опасными видами вторжений;

  • IP-спуфинг — хакер выдает себя за легитимного пользователя;

  • Mail Bombing — отказ работы почтового ящика или всего почтового сервера;

  • DDоS-атака — отказ от обслуживания, когда обычные пользователи сайта или портала не могут им воспользоваться;

  • Man-in-the-Middle — внедрение в корпоративную сеть с целью получения пакетов, передаваемых внутри системы);

  • XSS-атака — проникновение на ПК пользователей через уязвимости на сервере;

  • Фишинг — обман путем отправки сообщений с якобы знакомого адреса или подмена знакомого сайта на фальшивую копию.

  • Применение специализированных приложений — вирусов, троянов, руткитов, снифферов;

  • Переполнение буфера — поиск программных или системных уязвимостей и дальнейшая провокация нарушение границ оперативной памяти, завершение работы приложения в аварийном режиме и выполнение любого двоичного кода.

  • Атаки-вторжения — сетевые атаки по «захвату» операционной системы атакуемого компьютера. Это самый опасный вид, поскольку в случае ее успешного завершения операционная система полностью переходит под контроль злоумышленника.

Защита от сетевых атак строится на непрерывном мониторинге всего, что происходит в сети компании и мгновенном реагировании уже на первые признаки появления нелегитимных пользователей, открытых уязвимостей или заражений.

Варианты реакций на обнаруженные атаки

Обнаружить атаку это пол дела, нужно еще и сделать определенные действия. Именно варианты реагирования определяют эффективность системы обнаружения атак. Ниже приведем следующие варианты реагирования:

  • Уведомление на консоль, или на другой элемент защиты системы ( на межсетевой экран)
  • Звуковое оповещение об атаке
  • Генерация управляющих последовательностей SNMP для систем сетевого управления
  • Оповещение об атаке злоумышленника при таком неожиданном повороте, возможно он прекратит атаку
  • Регистрация обнаруживаемых событий. В качестве журнала может выступать:
    • системный журнал
    • текстовый файл обычны/snort
    • база данных
  • Трассировка событий, запись всех действий в той последовательности и с той скоростью, с которой проводил злоумышленник. Затем квалифицированный человек, может пересмотреть эти события, и понять характер и квалификацию самого злоумышленника
  • Реконфигурация сетевого оборудования. Поступает сигнал на маршрутизатор или межсетевой экран, где меняется список контроля доступа.
  • Блокирование сетевого трафика
  • Прерывание событий атакующего:
    • Блокировка учеткой записи пользователя, который делает атаку
    • перехват соединения и посылка пакета с флагом RST

Ниже наведены элементы, на основе которых можно проводить механизмы обнаружения атак:

  • коммутация каналов и пакетов.
  • сетевой адаптер.
  • характеристики проводных линий связи и полосы пропускания и пропускную способность.
  • спутниковые системы
  • seti_PDH, seti_dwdm, token ring, Ethernet.
  • метод обнаружения ошибок.
  • format_kadra_ethernet.
  • funkcii_koncentratorov.

Разновидности сетевых атак и методики защиты от них

На сегодняшний день известны следующие виды сетевых атак:

  • mailbombing;
  • применение специализированных приложений;
  • переполнение буфера;
  • сетевая разведка (сбор сведений при помощи приложений, находящихся в свободном доступе);
  • IP-спуфинг (хакер выдает себя за законного пользователя);
  • DDOS-атака (путем перегрузки обслуживание обычных пользователей делается невозможным);
  • Man-in-the-Middle (внедрение с целью получения пакетов, передаваемых внутри системы);
  • XSS-атака (ПК клиента подвергаются атаке через уязвимости на сервере);
  • фишинг (обман жертвы путем отправки сообщений с якобы знакомого адреса).

О первых трех вариантах стоит рассказать отдельно, так как они самые сложные и самые распространенные.

Mailbombing

Для проведения этой атаки не нужны особые навыки. Достаточно знать электронный адрес потенциальной жертвы и адрес сервера, с которого можно отправлять сообщения анонимно.

Первое правило защиты, к которому может прибегнуть каждый, — не давать адрес своего почтового адреса сомнительным источникам. Специалисты задают определенные настройки на web-сайте провайдера. Лимит количества писем, поступающих с определенного IP, ограничен. Когда приложение «видит», что число сообщений перевалило предел нормы, письма «на автомате» отправляются в корзину. Но ничто не мешает преступнику проводить рассылку с разных адресов.

Специальные программы

Использование особых приложений — самый распространенный способ вывода серверов из строя. В ход идут вирусы, трояны, руткиты, снифферы.

Вирус — вредоносный софт, заточенный на выполнение определенной функции. Внедряется в другие программы (легальные в том числе) на ПК жертвы. После встраивания приступает к осуществлению прописанной «миссии». Например, проводит шифровку файлов, блокирует загрузку компьютерной платформы, прописав себя в BIOS, и т.д.

«Троянский конь» — это уже не программная вставка, а полноценное вредоносное приложение, которое маскируется под безобидное. Троян может выглядеть, к примеру, как игра. Если пользователь ее запустит, начнется распространение файла. Программа рассылает свои копии по всем электронным адресам, которые есть на ПК жертвы. Чаще всего «троянский конь» похищает данные банковских карт, электронных кошельков — словом, стремится получить доступ к финансовым ресурсам.

Сниффер ворует пакеты данных, переправляемых ПК на разные сайты. Для этого используется сетевая плата, функционирующая в режиме promiscuous mode. В таком режиме все пакеты, переправленные через карту, отправляются на обработку приложению. Таким образом, может быть открыт доступ к конфиденциальным сведениям — например, списку паролей и логинов от банковских счетов.

Руткит скрывает следы преступлений злоумышленников, маскирует вредоносную деятельность, из-за чего администратор не замечает происходящего.

Переполнение буфера

Злоумышленник занят поиском программных или системных уязвимостей. При обнаружении таковых провоцируется нарушение границ оперативной памяти, работа приложения завершается в аварийном режиме, выполняется любой двоичный код.

Защита состоит в том, чтобы обнаружить и устранить уязвимости. Также используются неисполнимые буфера, но этот метод способен предотвратить только те атаки, в которых применяется код.

Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
Люкс-хост
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: