Общие сведения об атаках

Атакой на компьютерную сеть (КС) называется действие или последовательность действий нарушителя, которые приводят к реализации угроз путем использования уязвимостей этой КС. Уязвимости делят на: уязвимости за счет наличия недостатков в аппаратно-программном продукте по вине разработчика; уязвимости, добавленные администратором при настройке КС; уязвимости, внесенные пользователем КС (короткий пароль, игнорирование политики безопасности). Атака состоит из следующих этапов: сбор информации; реализация атаки, завершение атаки.

Сбор информации. Изучение окружения атакуемой системы (определяется провайдер жертвы, адреса доверенных узлов, трафик, режим работы организации, телефонные номера и т. д.); идентификация топологии сети (определяется количество компьютеров, способ их соединения, организация выхода в глобальную сеть); идентификация узлов (проводится разведка IP-адреса узла, его доступности); идентификация сервисов и портов (определяется наличие установленных сервисов типа Telnet, FTP, Web-сервера и наличие доступа к ним, открытость портов); идентификации ОС (определяется тип ОС); определение роли узла (маршрутизатор, межсетевой экран, сервер); определение уязвимостей узла (на основе собранной информации определяется наличие уязвимостей).

Реализация атаки. Реализация атаки заключается в проникновении в систему и установления контроля над ней. Контроль может быть непосредственный, например, через Telnet или с помощью установленной программы.

Завершение атаки. На этом этапе злоумышленник убирает следы своей атаки с целью невозможности его идентификации. Для этого используют: подмену адреса источника атаки путем создания пакетов с фальшивыми адресами источника; проводят очистку журнала регистрации событий. Либо атаку проводят с уже взломанных промежуточных серверов или proxy-серверов. Маскируют внедренные программы путем присоединения их к стандартным, либо присвоением им названий, похожих на названия стандартных программ. Изменяют контрольные суммы файлов и папок.

Большинство известных атак можно разбить на следующие группы: удаленное проникновение (атака, в результате которой реализуется удаленное управление компьютером через сеть); локальное проникновение (внедряется программа, которая управляет компьютером (Get Admin); удаленный отказ в обслуживании (перегрузка потоком сообщений узла, который не в состоянии их переработать); локальный отказ в обслуживании (узел занят обработкой некоторой задачи и все остальные игнорирует(зацикливание)); сетевое сканирование (сеть подвергается запросам программы, анализирующей топологию, доступные сервисы и уязвимости (nmap, Satan)); взлом паролей (запуск программы, подбирающие пароли пользователей (Сrack)); анализ протоколов (с помощью анализатора протоколов просматривается трафик. Извлекаются идентификаторы, пароли).