|
|
|
Разновидности сетевых атак
Атаки на уровне приложений
Атаки на уровне приложений осуществляются различными методами. Один из наиболее распространенных методов использует известные слабые места в программном обеспечении, которые обычно существуют на серверах типа sendmail, HTTP и FTP. Используя эти слабые места, хакеры могут получить доступ к компьютеру, разрешающему запуск приложений для определенной учетной записи, которая являются обычно привилегированной системной учетной записью. Эти атаки на уровне приложений часто предаются гласности, для того чтобы дать возможность администраторам исправить проблему при помощи соответствующего патча. К сожалению, многие хакеры подписаны на те же самые рассылки и тоже сразу же получают информацию о таких атаках. Главная проблема, связанная с подобным типом атак, состоит в том, что они часто используют порты, позволяющие проходить через межсетевой экран. Например, хакер, знающий уязвимость web-сервера, часто использует при атаке TCP порт 80. Поскольку web-сервер обслуживает страницы пользователей, межсетевой экран должен предоставлять доступ по этому порту. И межсетевой экран воспринимает этот трафик как обычный трафик через порт 80. Авторутеры это программы, которые автоматизируют весь процесс хакинга. Компьютеры последовательно сканируются, исследуются и захватываются. Процесс захвата включает установку на компьютере rootkit и использование захваченной системы для автоматизации процесса вторжения. Автоматизация позволяет захватчику просканировать сотни тысяч систем за короткий промежуток времени. Backdoors это входы в системы, которые могут быть созданы во время вторжения или при использовании специально разработанного троянского коня. Если backdoor не обнаружен и не исправлена уязвимость, то захватчик может использовать его вхождения в компьютер или сеть снова и снова. Часто вторгшийся будет использовать компьютер, чтобы получить доступ к другим системам или запустить атаку «отказ в обслуживании» (DoS), если больше не нуждается в использовании этого компьютера. Атаки типа «отказ в обслуживании» (DoS) и «распределенный отказ в обслуживании» (DDoS) одни из самых серьезных атак с точки зрения их ликвидации. Даже в хакерской среде эти нападения считаются тривиальными и не заслуживающими уважения, так как не требуют особых усилий для выполнения. Однако из-за легкости осуществления и значительного потенциального ущерба атаки DoS и DDoS требуют особого внимания со стороны специалистов по безопасности. DoS и DDoS атаки отличаются от большинства других нападений тем, что обычно не ставят своей целью получение доступа к вашей сети или получение информации о вашей сети. Эти нападения предназначены для нарушения нормального функционирования системы, которое обычно дополняется нехваткой ресурсов, необходимых для работы сети, операционной системы или приложений. Подобные нападения имеют следующие разновидности: TCP SYN Flood может произойти в том случае, когда клиент пытается установить TCP-соединение с сервером, что требует обмена определенной последовательностью сообщений. Сначала клиентская система посылает SYN-пакет на сервер. Затем сервер подтверждает получение SYN-пакета, посылая SYN-ACK сообщение клиенту. Затем клиент завершает установку соединения, отвечая сообщением ACK, и затем снова должен произойти обмен данными. В точке, где система сервера послала подтверждение (SYN-ACK) назад клиенту, но еще не получила сообщения ACK, устанавливается полуоткрытое соединение. Данные, касающиеся всех ждущих обработки соединений, находятся в памяти сервера, которая может переполниться, если намеренно создать слишком много частично открытых cсоединений. Атаки «Ping of Death» заставляют системы реагировать непредсказуемым образом при получении слишком больших IP-пакетов. TCP/IP поддерживает максимальный размер пакета в 65Кб (как минимум 20 байт информации в IP-заголовке, некоторое количество дополнительной информации и остальная часть пакета, содержащая основные данные). Атаки «Ping of Death» могут вызвать крушение, зависание и перезагрузку системы. Tribe Flood Network (TFN) и Tribe Flood Network 2000 (TFN2K) являются распределенными инструментальными средствами, обычно запускающими скоординированные DoS-атаки из многих источников на одну или несколько целей. TFN имеет возможность генерировать пакеты с подмененными IP-адресами источника. Нарушитель, посылая с основного компьютера команды нападения на список TFN-серверов или демонов, осуществляет DoS-атаку, используя TFN-сеть. Затем демоны генерируют указанный тип DoS-атаки на один или несколько IP-адресов объектов атаки. IP-адреса и порты источника атаки могут изменяться случайным образом, могут изменяться и размеры пакетов. Проведения атаки требует предоставления нарушителем списка IP-адресов для демонов. Stacheldraht (по-немецки «колючая проволока») объединяет в себе особенности некоторых DoS-атак, включая TFN, шифрование связи между нападающим и главными серверами stacheldraht и автоматическое обновление агентов. В ходе начальной фазы массированного вторжения автоматизированными средствами, обычно дистанционно, происходит вторжение в большое количество систем для последующего использования их при атаке. Затем следует фаза DoS-атаки, в течение которой захваченные системы используются для атаки на один или несколько объектов. Атаки «IP spoofing» (подмена IP-адресов) происходят тогда, когда хакер внутри сети или за ее пределами выдает себя за компьютер, которому можно доверять. Хакер может делать это либо используя IP-адрес, который находится в пределах доверительных адресов для данной сети, либо авторизованный внешний IP-адрес, c которого разрешен доступ к определенным ресурсам сети. IP spoofing часто является начальным этапом атак других типов. Классическим примером является начало DoS-атаки с использованием поддельных адресов источника с целью скрыть реальные адреса хакера. Обычно IP spoofing ограничивается введением опасных данных или команд в существующий поток данных, который проходит между клиентом и сервером или при связи равноправных узлов сети. Чтобы обеспечить двунаправленное соединение, хакер должен изменить все таблицы маршрутизации, чтобы направить на подмененный IP-адрес. Иногда используется другой хакерский подход просто не беспокоиться по поводу получения какого-либо отклика от приложений. Если хакер пробует получить критически важный файл системы, ответы приложений ему не важны. Однако если хакер сможет изменить таблицы маршрутизации, чтобы направить на поддельный IP-адрес, он сможет получать все сетевые пакеты, которые направляются на поддельный адрес и отвечать именно так, как отвечал бы доверенный пользователь. Атаки «Man-in-the-middle» могут происходить, когда хакер имеет доступ к сетевым пакетам, которые приходят в сеть (например, если человек работает на интернет-провайдера и имеет доступ ко всем сетевым пакетам, проходящими между сетью работодателя и любой другой сетью). Такие нападения часто осуществляются с использованием сниффинга (перехвата) сетевых пакетов, протоколов маршрутизации и транспортных протоколов. Возможные использования таких атак: кража информации, хакинг текущего сеанса связи для получения доступа к частным сетевым ресурсам, анализ трафика для получения информации о сети и ее пользователях, DoS-атаки, искажение передаваемых данных и включение новой информации в сетевые сессии. Сетевая разведка это крупномасштабные действия по изучению информации о сети с использованием доступной информации и приложений. Когда хакеры пытаются проникнуть в какую-либо сеть, то перед атакой они должны узнать максимум информации о сети. Разведка может происходить в форме запросов DNS-серверу, сканирования диапазона IP-адресов (ping sweeps) и сканирования портов. Запросы DNS-серверу могут дать информацию о том, кто имеет собственный домен и какие адреса были назначены этому домену. Сканирование диапазона полученных IP-адресов может дать представление об активных серверах в определенной части сети. После того как такой список сгенерирован, средства сканирования портов могут циклически проходить все известные порты, чтобы обеспечить полный список всех сервисов, выполняющихся на хостах, обнаруженных путем сканирования диапазона IP-адресов. Наконец, хакеры могут изучить характеристики приложений, выполняющихся на хостах. Эта информация будет полезна при попытке хакера нарушить работу системы. Packet sniffers приложение, которое использует сетевой адаптер в «беспорядочном режиме» (когда сетевой адаптер посылает на обработку все пакеты, физически полученные по сети), чтобы захватить все сетевые пакеты, посланные через определенный домен. Снифферы пакетов используются легально в сетях для анализа трафика и поиска неисправностей. Однако так как некоторые сетевые приложения посылают данные открытым текстом (telnet, FTP, SMTP, POP3 и т. д.), сниффинг пакетов может предоставить даже критически важную информацию, например имена пользователей и пароли. Серьезная проблема, связанная использованием имен и паролей, состоит в том, что пользователи часто многократно используют свое имя и пароль для получения доступа к различным приложениям и системам. Фактически, большое количество пользователей используют один и тот же пароль для всех учетных записей и приложений. Если приложение запущено в режиме клиент-сервер и информация об аутентификации отправлена по сети в незашифрованном виде, то эта информация может быть использована для получения доступа к другим корпоративным или внешним ресурсам. Поскольку хакеры знают и используют в своей практике особенности поведения людей (методы атак, известные под названием «социальный инжиниринг»), такие как использование одного пароля для многих учетных записей, они часто добиваются успеха, пытаясь получить доступ к критически важной информации. В худшем случае хакер может получить доступ к учетной записи системного пользователя, который хакер может использовать для создания новой учетной записи, и таким образом иметь доступ к сети и ее ресурсам в любое время. Password attacks (атаки для взлома паролей) могут использовать различные методы: «лобовая атака», «троянский конь», подделка IP (IP spoofing) и прослушивание пакетов (packet sniffers). Хотя packet sniffers и IP spoofing могут создавать учетные записи и пароли, password attacks обычно представляют собой повторяющиеся попытки узнать учетную запись пользователя и/или пароль. Часто атака «в лоб» производится с использованием программы, которая блуждает по сети и пытается получить доступ к какому-либо совместно используемому ресурсу, такому как сервер. Если хакеры получают доступ к ресурсам, то они получают права, которыми обладают пользователи, учетные записи которых были украдены. Если взломанные учетные записи имеют достаточно высокие привилегии, то хакеры могут обеспечить себе вход в сеть, независимо от возможных будущих изменений взломанных данных. Другая проблема связана с тем, что пользователи имеют один и тот же пароль для любой системы, к которой они подключаются. Часто это персональные системы, корпоративные системы и системы в Интернете. Поскольку этот пароль защищен настолько, насколько защищен плохо управляемый сервер, на котором этот пароль хранится, то если этот сервер будет взломан, хакеры будут иметь возможность использовать этот пароль для доступа к большому количеству хостов. Port redirection attacks это тип атаки, использующий взломанный хост, для того чтобы передать через межсетевой экран трафик, который в ином случае был бы потерян. Рассмотрим межсетевой экран с подключением к трем хостам. Хост на внешней стороне может соединяться с хостом сегмента общедоступных сервисов (обычно называемым DMZ), но не с хостом внутренней части сети. Хост в сегменте общедоступных сервисов может соединяться с хостом и внешней, и внутренней части сети. Если бы хакерам удалось взломать хост сегмента общедоступных сервисов, то они могли бы установить программное обеспечение для переадресации трафика, идущего от внешнего хоста непосредственно на внутренний хост. Хотя никакая из этих связей не нарушала бы правил безопасности сети, внешний хост теперь получил бы возможность связываться с внутренним хостом путем переназначения портов на хосте общедоступных сервисов. Вирусные и троянские атаки используют опасные программы, которые прикрепляются к другим программам, для того чтобы выполнить какую-либо деструктивную функцию на пользовательской рабочей станции. Примером вируса является программа, которая прикрепляется к command. com (главный интерпретатор системы Windows), удаляет некоторые файлы и инфицирует все другие версии файла command. com, которые сможет обнаружить. Троянец отличается только тем, что приложение написано так, чтобы маскироваться под другую программу. Пример троянского коня приложение, которое запускает простую игру на пользовательской рабочей станции. В то время как пользователь занят игрой, троянский конь отправляет копию себя по всем адресам из его адресной книги. Затем другие пользователи получают эту игру и запускают ее, распространяя таким образом троянца. Trust exploitation attacks происходят, когда кто-либо пользуется преимуществом доверительных отношений в пределах сети. Классический пример периметр корпоративной сети. В этом сегменте сети часто размещаются DNS, SMTP и HTTP-серверы. Поскольку все серверы находятся в одном сегменте, взлом одной системы может привести к взлому других систем так как между ними установлены доверительные отношения. Другой пример система на внешней стороне межсетевого экрана, которая состоит в доверительных отношениях с системой по другую сторону межсетевого экрана. Когда внешняя система взломана, то используя доверительные отношения, можно осуществить атаку на внутреннюю сеть. Михаил Кадер / Cisco Systems |
Сообщить факт о Windows XP
Почему устарела Windows XP?
Сообщить цифры о Windows XP