Вопрос № 20. Реализация сетевой атаки.
Можно выделить следующие этапы реализации атаки: предварительные действия перед атакой или "сбор информации" (information gathering), "реализация атаки" (exploitation) и завершение атаки. Обычно, когда говорят об атаке, то подразумевают именно второй этап, забывая о первом и последнем. Сбор информации и завершение атаки ("заметание следов") в свою очередь также могут являться атакой и могут быть разделены на три этапа: предпосылки реализации атаки; реализация атаки; завершение атаки.
Основной этап - это сбор информации. Именно эффективность работы злоумышленника на данном этапе является залогом "успешности" атаки. В первую очередь выбирается цель атаки и собирается информация о ней (тип и версия операционной системы, открытые порты и запущенные сетевые сервисы, установленное системное и прикладное программное обеспечение и его конфигурация и т.д.). Затем идентифицируются наиболее уязвимые места атакуемой системы, воздействие на которые приводит к нужному злоумышленнику результату.
Традиционные средства защиты, такие как межсетевые экраны или механизмы фильтрации в маршрутизаторах, вступают в действие на втором этапе, совершенно "забывая" о первом и третьем. Это приводит к тому, что зачастую совершаемую атаку очень трудно остановить даже при наличии мощных и дорогих средств защиты.
Основные механизмы реализации атак:
Сбор информации – определение сетевой топологии, типа и версии операционной системы атакуемого узла, а также доступных сетевых и иных сервисов и т.п.
Изучение окружения – на этом этапе злоумышленник может пытаться определить адреса "доверенных" систем (например, сеть партнера) и узлов, которые напрямую соединены с целью атаки (например, маршрутизатор ISP) и т.д.
Идентификация топологии сети – сетевую топологию можно выяснить при помощи протокола SNMP, установленного на многих сетевых устройствах, защита которых неверно сконфигурирована. При помощи протокола RIP можно попытаться получить информацию о таблице маршрутизации в сети и т.д.
Идентификация узлов осуществляется путем посылки при помощи утилиты ping команды ECHO_REQUEST протокола ICMP. Ответное сообщение ECHO_REPLY говорит о том, что узел доступен. Опасность данного метода в том, что стандартными средствами узла запросы ECHO_REQUEST не фиксируются. Для этого необходимо применять средства анализа трафика, межсетевые экраны или системы обнаружения атак. Другим способом идентификации узлов сети является так называемая разведка DNS, которая позволяет идентифицировать узлы корпоративной сети при помощи обращения к серверу службы имен.
Идентификация сервисов или сканирование портов. Идентификация сервисов (service detection), как правило, осуществляется путем обнаружения открытых портов (port scanning). Такие порты очень часто связаны с сервисами, основанными на протоколах TCP или UDP.
Идентификация операционной системы – это анализ ответов на запросы, учитывающие различные реализации TCP/IP-стеки в различных операционных системах. Анализ сетевых сервисов, обнаруженных на предыдущем этапе.
Определение роли узла. Предпоследним шагом на этапе сбора информации об атакующем узле является определение его роли, например, выполнении функций межсетевого экрана или Web-сервера.
Определение уязвимостей узла – это последний шаг (searching vulnerabilities). На этом шаге злоумышленник при помощи различных автоматизированных средств или вручную определяет уязвимости, которые могут быть использованы для реализации атаки.
Реализация атаки. С этого момента начинается попытка доступа к атакуемому узлу. При этом доступ может быть как непосредственный, т.е. проникновение на узел, так и опосредованный, например, при реализации атаки типа "отказ в обслуживании". Реализация атак в случае непосредственного доступа также может быть разделена на два этапа:
проникновение;
установление контроля.
Проникновение подразумевает под собой преодоление средств защиты периметра (например, межсетевого экрана). Реализовано это может быть различными путями. К этому же этапу можно отнести подбор пароля администратора или иного пользователя при помощи специализированной утилиты.
Установление контроля. После проникновения злоумышленник устанавливает контроль над атакуемым узлом. Это может быть осуществлено путем внедрения программы типа "троянский конь" (например, NetBus или BackOrifice). После установки контроля над нужным узлом и "заметания" следов, злоумышленник может осуществлять все необходимые несанкционированные действия дистанционно без ведома владельца атакованного компьютера. При этом установление контроля над узлом корпоративной сети должно сохраняться и после перезагрузки операционной системы. Это может быть реализовано путем замены одного из загрузочных файлов или вставка ссылки на враждебный код в файлы автозагрузки или системный реестр.
Цели реализации атак. Необходимо отметить, что злоумышленник на втором этапе может преследовать две цели. Во-первых, получение несанкционированного доступа к самому узлу и содержащейся на нем информации. Во-вторых, получение несанкционированного доступа к узлу для осуществления дальнейших атак на другие узлы. Первая цель, как правило, осуществляется только после реализации второй. То есть, сначала злоумышленник создает себе базу для дальнейших атак и только после этого проникает на другие узлы. Это необходимо для того, чтобы скрыть или существенно затруднить нахождение источника атаки.
Завершение атаки. Этапом завершения атаки является "заметание следов" со стороны злоумышленника. Обычно это реализуется путем удаления соответствующих записей из журналов регистрации узла и других действий, возвращающих атакованную систему в исходное, "предатакованное" состояние.
- Вопрос № 1. Вирусология. Алгоритм работы компьютерного вируса.
- Вопрос № 2. Вирусология. Классификация компьютерных вирусов.
- Вопрос № 3. Вирусология. Способы заражения программ.
- Вопрос № 4. Вирусология. Антивирусы-полифаги.
- Вопрос № 5. Вирусология. Антивирусы-ревизоры.
- Вопрос № 6. Вирусология. Определение компьютерного вируса. Признаки появления компьютерного вируса.
- Вопрос № 7. Законодательный уровень информационной безопасности. Стр-к: основные разделы и требования.
- Вопрос № 8. Групповая политика безопасности компьютера на уровне компьютера.
- Вопрос № 9. Групповая политика безопасности компьютера на уровне пользователя.
- Вопрос № 10. Управление групповой политикой безопасности компьютера.
- Вопрос № 11. Защита информации Windows, центры сертификации.
- Вопрос № 12. Шифрующая файловая система efs.
- Вопрос № 13. Аутентификация в сетях.
- Вопрос № 14. Классификация атак. Способы и методы их обнаружения.
- Вопрос № 15. Модели сетевых атак.
- Вопрос № 16. Межсетевые экраны и пакетные фильтры.
- Вопрос № 19. Протокол ip Security.
- Вопрос № 20. Реализация сетевой атаки.
- Вопрос № 21. Реализация технологии трансляции сетевых адресов.
- Вопрос № 22. Реализация фильтрации пакетов межсетевых экранов.
- Вопрос № 23. Фильтрация ip-пакетов. Ip-фильтры.
- Вопрос № 24. Защита хранилищ информации. Raid-массивы.
- Вопрос № 25. Общая характеристика каналов утечки информации. Понятие утечки информации.
- Вопрос № 26. Акустические каналы утечки информации.
- Вопрос № 27. Инженерно-техническая защита информации, её задачи и принципы. Основные методы, способы и средства инженерно-технической защиты.
- Вопрос № 28. Материально-вещественные каналы утечки информации.
- Вопрос № 29. Оптические каналы утечки информации.
- Вопрос № 30. Противодействия утечке информации по оптическим, радиоэлектронным, акустическим, материально-вещественным каналам.
- Вопрос № 31. Радиоэлектронные каналы утечки информации.
- Вопрос № 32. Информационная безопасность: основные понятия и определения.
- Вопрос № 33. Информационная безопасность в системе электронной почты.
- Вопрос № 34. Информационная безопасность. Законодательный уровень информационной безопасности.
- Вопрос № 35. Механизмы защиты информации в аис.
- Вопрос № 36. О аутентификации и сетевой безопасности.
- Вопрос № 37. О правилах работы с скзи (средства криптографической защиты информации).
- Не допускается:
- Вопрос № 38. Основные методы защиты информации.
- Вопрос № 39. Основные предметные направления защиты информации.
- Вопрос № 40. Причины нарушения целостности информации.
- Вопрос № 41. Сетевые атаки: их классификация.
- Вопрос № 50. Шифрование гаммированием.
- Вопрос № 51. Шифрование заменой.
- Вопрос № 52. Шифрование перестановкой.
- Вопрос № 53. Правила информационной безопасности. О физической целостности. Практические вопросы.