Этапы реализации атак на КС и методы противодействия атакам.
Разведка (в нашем понимании) - несанкционированное выявление параметров ИС, ее точек уязвимости или получение конфиденциальной информации. Информация, полученная в результате атак разведки, может затем использоваться для проведения атак другого типа или для хищения важных данных.
Рассмотрим наиболее распространенные виды разведывательных атак.
Выявление целей
Выявление целей включает: определение имен доменов и IP-адресов узлов (серверов, маршрутизаторов и т.д.), выявление списка доступных сервисов или какой-либо иной инф. об этом узле.
Каким же образом производится выявление целей?
Сетевые команды и утилиты. Для разведки можно использовать сетевые команды, доступные в UNIX и Windows, это ping (посылает Internet Control Message Protocol- пакеты), finger (показывает информацию о пользователях в системе), rusers (показывает, кто из пользователей работает на удаленной системе на данный момент), nslookup (интерактивное общение с DNS-серверами), dig (позволяет обращаться к DNS-серверам), telnet (команда для связи с другими узлами), nmap (утилита для исследования сети – сканер, позволяет определить открытые порты на узле, т.е. сервисы, которые на нем запущены), а также другие команды и утилиты, обеспечивающие информацию о сети и ее узлах.
Как видим, даже в стандартной поставке операционных систем есть немало команд для выявления узлов, запущенных на них сервисов и структуры сети.
|
|
|
Разведка ping. Эта команда генерирует для конкретного узла (или по широковещательному адресу) сообщение ICMP Echo Request. Узел должен ответить соответствующим набором сообщений ICMP.
Хотя для сбора информации о сети и ее узлах можно использовать саму команду ping, были разработаны утилиты разведки ping, автоматизирующие выявление узлов внутри сети. Такие утилиты просматривают диапазон IP-адресов и используются для того, чтобы построить карту сети.
Во многие реализации ping встроена возможность послать так называемый Flood ping, при включении которого пакеты могут посылаться с очень большой частотой, что может затруднить работу узлов сети, маршрутизаторов или даже привести к «падению» сервисов на узле. Сделана эта возможность для благих целей (изучения сетевой производительности), но может использоваться для атаки. ping –f <host> (запускается только в режиме супер-юзера). Об этом речь пойдет, когда будем рассматривать угрозы блокирования сервиса.
Сканирование портов.
После выявления интересующего узла хакер может выполнить сканирование портов. Утилита сканирования портов проверяет заданный диапазон портов TCP или UDP с целью выявления доступных сетевых службы типа Telnet, FTP, HTTP или RCP. Такое сканирование может быть общим, когда проверяется диапазон портов (напр. порты с номерами 1-1023), или специальным, когда внимание концентрируется на определенных портах, чтобы выявить, например, инф. об операционной системе.
|
|
|
После выявления интересующих портов противник может приступить к проведению атаки против конкретного порта. Например, если хакер выяснит, что на данном узле доступна служба SMTP, он может послать соответствующие команды SMTP с целью получения доп. информации или несанкционированного доступа. Если хакер обнаружит, что на данном узле доступна служба DNS, он может попытаться получить доступ к записям HINFO службы DNS (необяз.поле с информацией об ОС и аппаратной части узла).
Сканеры портов могут исследовать открытые порты недостаточно защищенных пользователей. Существует большое количество легкодоступных (в том числе бесплатно распространяемых) сканеров.
Методы противодействия:
- отключение ответа на команды ping, finger, rusers и т.д.
- отключение невостребованных сервисов на серверах и маршрутизаторах
- использование системы обнаружения вторжений для выявления сканирования портов
Следующий вид разведывательных атак:
Перехват пакетов.
|
|
|
Перехв. пакетов (сбор информации) является методом пассивного наблюдения за сетевым трафиком с помощью некоторого устройства или утилиты. Цель перехвата – выявление структуры потока данных для последующего анализа, а также с целью кражи информации. Синонимами понятия перехват являются сетевое слежение и анализ пакетов.
Типичным способом перехвата сообщений является захват TCP/IP пакетов и декодирование их содержимого с помощью анализатора протокола.
С помощью перехвата пакетов сетевые наруш-ли могут выяснять имена и пароли пользователей, извлечь из пакета такие данные, как номер кред. карты или другую частную инф-ю.
Методы противодействия:
- ограничение физического доступа к сетевому оборудованию, исключающее возможность размещения анализаторов протокола в подходящих точка сети
- использование коммутаторов для разбиения сети на сегменты (VLANы), с целью предотвращения захвата всего сетевого трафика с одной рабочей станции
- принятие мер, гарантирующих невозможность несанкционированного доступа к хостам и размещения утилит захвата пакетов.
- использование программ проверки целостности систем и выявления файлов, размещенных без разрешения
- использование на важных узлах сети интерфейсных плат, которые нельзя переключить в беспорядочный (promiscuous - беспорядочный, неразборчивый) режим работы (объяснить, что это за режим)
|
|
|
- применение шифрования данных для защиты содержимого пакетов при передаче через незащищенные сети
Социальный инжиниринг.
Для проникновения в сети и компьютеры в сочетании с новыми технологиями широко применяются старомодные методы манипулирования людьми
Социальный инжиниринг - манипулирование людьми с целью проникновения в защищенные системы и сети.
Люди по своей природе непредсказуемы и подвержены манипуляции и убеждению. Исследования показывают, что у человека существуют определенные поведенческие тенденции, которые можно эксплуатировать при помощи тонкой манипуляции. Многие наиболее разрушительные проникновения в защищенные системы совершаются и будут совершаться методами социального инжиниринга.
Примеры: склонение пользователя к открытию ссылок и вложений эл. почты с целью внедрения троянцев, открытие ссылок для ввода логина/пароля на ложные сайты. (Привести примеры с ложными письмами от eBay.com, с письмами от WebMoney).
Методы противодействия:
Противодействие данным методам наиболее затруднено.
- информирование пользователей об известных мошеннических методах;
- не предоставлять пользователям без необходимости лишние сервисы – web,e-mail и т.д.
Несанкционированный доступ
Нарушитель может пытаться получить несанкционированный удаленный доступ к компьютерам сети или сетевым устройствам самыми различными способами. Общей целью нарушителя является получение прав корневого пользователя – root’а (UNIX) или администратора (Windows NT, 2000, XP) на том компьютере, где он имеет больше возможностей для управления интересующий его системой или для доступа к другим компьютерам сети.
Как же происходит получение несанкцион. доступа?
Дата добавления: 2018-05-12; просмотров: 461; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!