1.7.1 Типы сетевых атак
Сигнатуры сетевых атак. Вычислительные ресурсы ЭВМ-регистратора всегда будут критическим параметром, так как число атак в единицу времени, и количество разных сигнатур будет только расти. По этой причине вряд ли когда-либо можно будет позволить мониторировать все известные виды атак. Да и необходимость этого не очевидна. В таблице 1 представлено распределение атак по определенным классам.
Таблица 1
Вид атаки | Зарегистрированное число разновидностей | Доля в процентах | |
Использование вирусов и червей | 9 | 1.3 | |
Атаки уязвимостей протоколов | TCP | 15 | 2 |
HTTP | 69 | 9.2 | |
SNMP | 79 | 10.5 | |
SMTP | 40 | 5.3 | |
DNS | 21 | 2.8 | |
SAMBA | 15 | 2 | |
Telnet | 17 | 2.2 | |
POP3 | 12 | 1.4 | |
IMAP | 6 | 0.7 | |
NNTP | 3 | 0.35 | |
Finger | 11 | 1.3 | |
FTP | 41 | 5.4 | |
TFTP | 12 | 1.4 | |
Rlogin | 5 | 0.6 | |
IDENT | 5 | 0.6 | |
Radius | 2 | 0.3 | |
RPC | 42 | 5.6 | |
Атаки через CGI | 49 | 6.5 | |
Троянские кони | >40 | 5.3 | |
Сканирование портов | 48 | 6.4 | |
DoS | 12 | 1.6 | |
Автоматический подбор паролей (login) | 10 | 1.3 | |
Некорректные параметры заголовков пакетов и запросов | 22 | 2.3 | |
Прочие | 167 | 22 | |
Итого | 753 |
В раздел “прочие” попали атаки ОС и известных слабостей системных программ и приложений, потайные двери/люки, атаки типа “ложный маршрутизатор” IDENT, SQL, сетевых печатающих устройств, NFS, SOCKS, SMB, WINS и IIS.
В статистику не были включены атаки маршрутизаторов, CISCO, Ascend, специфических серверов, например, поисковых, почтовых, печати, Firewall, атаки разнообразных драйверов баз данных, фальсификация МАС-адресов, перехват ключей, сертификатов и паролей и. Реальное число зарегистрированных сигнатур атак, полагаю, давно перевалило за 1000.
Важным фактором является актуальность базы данных сигнатур, ведь наличие сигнатуры в базе данных не означает присутствия этого типа атак во входящем трафике. Некоторые сигнатуры теряют актуальность быстро и навсегда.
Сигнатуры, распознаваемые по заголовку пакета, составляют несколько более 15% Сюда следует, разумеется, отнести и подбор кода community.
Заметный процент составляют атаки, рассчитывающие достичь эффекта путем переполнения буфера, входного буфера приложения, пароля, имен, это - 11.3%. Это один из самых сложных случаев, ведь надо знать размер буфера для каждого приложения, которое может стать объектом атаки.
Атаки на CGI сопряжены с генерацией нестандартных строк URL и параметров (6.5%), некоторые из них также работают в расчете на переполнение буфера параметров.
Некоторые сигнатуры, требуют анализа не только входящего, но и исходящего трафика (например, шторм неспровоцированных откликов), что существенно усложняет алгоритм распознавания.
Атаки, связанные с рассылкой вирусов, червей, кроликов, троянских коней или молдавская связь, как правило требуют для достижения цели сотрудничества со стороны жертвы, используется алчность, любопытство или хотя бы беспечность.
Мало зарегистрировать атаку, надо определить и корректно интерпретировать IP-адрес, откуда эта атака исходит. Чаще всего, имея IP-адрес, достаточно легко отследить путь атаки, например посредством Trace Route. Полезным может оказаться утилита NSLookup, а также служба Whois, которая позволяет определить сервис-провайдера атакера и его географическое положение.
Но существует класс атак с фальсификацией адреса отправителя, когда эту задачу решить затруднительно. Эта техника используется большинством атак отказа обслуживания DoS, а также некоторыми другими. Два примера такого типа атак описаны на рисунках 2 и 3.
Атака через прокси, например, при наличии загруженной в ЭВМ SOCKS программы WinGate представлена на рисунке 2.
Рисунок – 2
Здесь хакер использует прокси-сервер, через который связаны с Интернет ЭВМ на левой части рисунка, для атаки машины victim. При этом для атакуемой машины будет казаться, что ее атакует ЭВМ SOCKS. Особенностью этого класса атаки является то, что хакер может находиться где угодно в Интернет. Но в случае жалобы со стороны ЭВМ-жертвы его положение может быть легко локализовано.
Рисунок –3
На рисунке - 3 показана схема атаки с зеркалированием пакетов в маршрутизаторе R. Маршрутизатор R сконфигурирован так, чтобы копии пакетов, следующих из ЭВМ А в ЭВМ В, попадали в машину Х – ЭВМ хакера. В данной схеме хакер должен договориться с администратором R, так как нужна специфическая конфигурация маршрутизатора. Но он может выйти из положения, сформировав на своей ЭВМ ложный маршрутизатор, поддерживающий протокол внешней маршрутизации BGP.
Такая схема позволяет Х атаковать А, создавая впечатление, что ее атакует ЭВМ В. Для ЭВМ В будет иметь место эффект шторма неспровоцированных откликов со стороны ЭВМ А (если для атаки использован протокол ТСР). Для распознавания сигнатуры атаки в ЭВМ В нужно регистрировать входящие пакеты с адресом А и флагом ACK, проверяя в то же время факт, что ЭВМ В не посылала А никаких пакетов. Данная схема атак (с фальсификацией адреса отправителя) пригодна также и для относительно безопасной рассылки SPAM.
- Содержание
- Обозначения и сокращения
- 1 Аналитическая часть
- 1 Технико-экономическая характеристика предприятия
- 1.1 Характеристика подразделений банка и видов их деятельности
- 1.2 Законодательство рф в абс
- 1.3 Концепция построения и типизации Средств Защиты Информации
- 1.3.1 Виды угроз безопасности в телекоммуникационной системе
- 1.3.2 Атаки на уровне субд
- 1.3.3 Атаки на уровне ос
- 1.3.4 Атаки класса “отказ в обслуживании”
- 1.3.5 Возможные атаки на уровне сети
- 1.3.6 Методы защиты от атак
- 1.4 Банк-Клиент
- 1.4.1 Классификация
- 1.4.4 Эцп
- 1.4.5 Usb-Token
- 1.4.6 Кардинг
- 1.4.7 Уязвимости по
- 1.4.8 Дбо Атаки
- 1.6 Инсайдеры
- 1.7 Сетевые угрозы
- 1.7.1 Типы сетевых атак
- 1.7.2 Угрозы сетевой безопасности исходящие от беспроводных сетей
- 1.7.3 Системы сетевой безопасности Cisco 2011
- 1.7.4 Средства обеспечения сетевой безопасности
- 1.7.5 Межсетевой экран
- 1.8 Антивирус
- 1.8.1 Технологии обнаружения вирусов
- 1.8.2 Режимы работы антивирусов
- 1.8.3 Антивирусный комплекс
- 1.9 Криптография и скзи
- 1.9.1 Методология с использованием ключа
- 1.9.1.1 Симметричная (секретная) методология
- 1.9.1.2 Асимметричная (открытая) методология
- 1.9.2 Распространение ключей
- 1.9.3 Алгоритмы шифрования
- 1.9.3.2 Асимметричные алгоритмы
- 1.9.4 Хэш-функции
- 1.9.5 Механизмы аутентификации
- 1.9.6 Электронные подписи и временные метки
- 1.9.7 Криптопровайдер
- 1.9.8 Рутокен Pinpad
- 2 Проектная часть
- 2.1 Программно-аппаратное обеспечение
- 2.2 Схема взаимодействия эшелонов защиты
- 2.2.1 Подробные схемы взаимодействия эшелонов защиты скуд
- 2.1.2 Подробная схема безопасности сети банка.
- 2.2 Bsat – комплекс проверки соответствия сто бр иббс
- 2.3 Характеристика программно-аппаратного комплекса
- 3 Расчет затрат на создание программного продукта
- 1. Расчет на составление синтезированной схемы взаимодействия
- 3.1.1 Расчет длительности этапов проектировки
- 3.1.2 Расчет материальных затрат
- 3.1.3 Расчет фонда оплаты труда (фот) проектировщиков системы
- 3.1.4 Расчет величины страховых взносов во внебюджетные фонды
- 3.1.5 Расчет затрат на амортизацию оборудования, используемого при проектировке системы
- 3.1.6 Расчет затрат на электроэнергию, используемую оборудованием в процессе проектировки схемы
- 3.1.7 Расчет прочих расходов