Обнаружение сетевых атак

Системы, функционирующие на уровне узла, как правило, не работают с се­тевыми пакетами и, следовательно, не могут определять эти типы атак. Исключе­нием являются системы типа RealSecure Server Sensor или Centrax, которые со­держат в себе сетевые компоненты, обнаруживающие и сетевые атаки, направ­ленные на конкретный узел. Эти системы обнаружения атак могут исследовать содержание тела данных пакета, отыскивая команды, используемые в конкретных атаках. Например, когда хакер пытается найти серверную часть Back Orifice на системах, которые пока еще не поражены ею, этот факт может быть обнаружен путем исследования именно содержания тела данных пакета. Как говорилось выше, системы системного уровня не работают на сетевом уровне и поэтому не способны распознавать такие атаки.

Невозможность «заметания следов*

Сетевой пакет, уйдя с компьютера злоумышленника, уже не может быть воз­вращен назад. Системы, функционирующие на "сётёв"о«Гуровнё"Г используют «жи­вой» трафик при обнаружении атак в реальном масштабе времени. Таким обра­зом, злЬумЪГшлённйктгё: Можё'Гудалйтъ следьгсвоей несанкционированной деятельности. Анализируемые данные" включают не только информацию о методе атаки, но и информацию, которая может помочь при идентификации злоумыш­ленника и доказательстве в суде. Поскольку многие хакеры хорошо знакомы с механизмами системной регистрации, они знают, как манипулировать этими файлами для скрытия следов своей деятельности, снижая эффективность систем системного уровня, которым требуется эта информация для того, чтобы обнару­жить атаку.

Рис. 12. Компоненты системы обнаружения атак на уровне сети