logo search
Диплом / 18

1.7.1 Типы сетевых атак

Сигнатуры сетевых атак. Вычислительные ресурсы ЭВМ-регистратора всегда будут критическим параметром, так как число атак в единицу времени, и количество разных сигнатур будет только расти. По этой причине вряд ли когда-либо можно будет позволить мониторировать все известные виды атак. Да и необходимость этого не очевидна. В таблице 1 представлено распределение атак по определенным классам.

Таблица 1

Вид атаки

Зарегистрированное число разновидностей

Доля в процентах

Использование вирусов и червей

9

1.3

Атаки уязвимостей протоколов

TCP

15

2

HTTP

69

9.2

SNMP

79

10.5

SMTP

40

5.3

DNS

21

2.8

SAMBA

15

2

Telnet

17

2.2

POP3

12

1.4

IMAP

6

0.7

NNTP

3

0.35

Finger

11

1.3

FTP

41

5.4

TFTP

12

1.4

Rlogin

5

0.6

IDENT

5

0.6

Radius

2

0.3

RPC

42

5.6

Атаки через CGI

49

6.5

Троянские кони

>40

5.3

Сканирование портов

48

6.4

DoS

12

1.6

Автоматический подбор паролей (login)

10

1.3

Некорректные параметры заголовков пакетов и запросов

22

2.3

Прочие

167

22

Итого

753

В раздел “прочие” попали атаки ОС и известных слабостей системных программ и приложений, потайные двери/люки, атаки типа “ложный маршрутизатор” IDENT, SQL, сетевых печатающих устройств, NFS, SOCKS, SMB, WINS и IIS. 

В статистику не были включены атаки маршрутизаторов, CISCO, Ascend, специфических серверов, например, поисковых, почтовых, печати, Firewall, атаки разнообразных драйверов баз данных, фальсификация МАС-адресов, перехват ключей, сертификатов и паролей и. Реальное число зарегистрированных сигнатур атак, полагаю, давно перевалило за 1000.

Важным фактором является актуальность базы данных сигнатур, ведь наличие сигнатуры в базе данных не означает присутствия этого типа атак во входящем трафике. Некоторые сигнатуры теряют актуальность быстро и навсегда.

Сигнатуры, распознаваемые по заголовку пакета, составляют несколько более 15% Сюда следует, разумеется, отнести и подбор кода community.

Заметный процент составляют атаки, рассчитывающие достичь эффекта путем переполнения буфера, входного буфера приложения, пароля, имен, это - 11.3%. Это один из самых сложных случаев, ведь надо знать размер буфера для каждого приложения, которое может стать объектом атаки.

Атаки на CGI сопряжены с генерацией нестандартных строк URL и параметров (6.5%), некоторые из них также работают в расчете на переполнение буфера параметров.

Некоторые сигнатуры, требуют анализа не только входящего, но и исходящего трафика (например, шторм неспровоцированных откликов), что существенно усложняет алгоритм распознавания.

Атаки, связанные с рассылкой вирусов, червей, кроликов, троянских коней или молдавская связь, как правило требуют для достижения цели сотрудничества со стороны жертвы, используется алчность, любопытство или хотя бы беспечность.

Мало зарегистрировать атаку, надо определить и корректно интерпретировать IP-адрес, откуда эта атака исходит. Чаще всего, имея IP-адрес, достаточно легко отследить путь атаки, например посредством Trace Route. Полезным может оказаться утилита NSLookup, а также служба Whois, которая позволяет определить сервис-провайдера атакера и его географическое положение.

Но существует класс атак с фальсификацией адреса отправителя, когда эту задачу решить затруднительно. Эта техника используется большинством атак отказа обслуживания DoS, а также некоторыми другими. Два примера такого типа атак описаны на рисунках 2 и 3.

Атака через прокси, например, при наличии загруженной в ЭВМ SOCKS программы WinGate представлена на рисунке 2.

Рисунок – 2

Здесь хакер использует прокси-сервер, через который связаны с Интернет ЭВМ на левой части рисунка, для атаки машины victim. При этом для атакуемой машины будет казаться, что ее атакует ЭВМ SOCKS. Особенностью этого класса атаки является то, что хакер может находиться где угодно в Интернет. Но в случае жалобы со стороны ЭВМ-жертвы его положение может быть легко локализовано.

Рисунок –3

На рисунке - 3 показана схема атаки с зеркалированием пакетов в маршрутизаторе R. Маршрутизатор R сконфигурирован так, чтобы копии пакетов, следующих из ЭВМ А в ЭВМ В, попадали в машину Х – ЭВМ хакера. В данной схеме хакер должен договориться с администратором R, так как нужна специфическая конфигурация маршрутизатора. Но он может выйти из положения, сформировав на своей ЭВМ ложный маршрутизатор, поддерживающий протокол внешней маршрутизации BGP.

Такая схема позволяет Х атаковать А, создавая впечатление, что ее атакует ЭВМ В. Для ЭВМ В будет иметь место эффект шторма неспровоцированных откликов со стороны ЭВМ А (если для атаки использован протокол ТСР). Для распознавания сигнатуры атаки в ЭВМ В нужно регистрировать входящие пакеты с адресом А и флагом ACK, проверяя в то же время факт, что ЭВМ В не посылала А никаких пакетов. Данная схема атак (с фальсификацией адреса отправителя) пригодна также и для относительно безопасной рассылки SPAM.