Выход за рамки ограничений для данных
Такие атаки основаны на манипуляции данными заголовка IP (TCP или UDP) с целью нарушения нормальной работы IP протокола. В результате соответствующий узел или сетевое оборудование отказываются работать.
Пакеты больших размеров
Средство атаки simping.c
Создание в ICMP (Internet Control Message Protocol) IP заголовка, в котором в поле длины указано значение, превышающее реальную длину данных, или отправка сообщения, превышающего максимально допустимый размер (65535 байт), что приводит к краху принимающей системы.
Контрмеры
- Запрет прохождения ICMP пакетов во внутреннюю сеть
- Использование IDS
Пакеты с перекрытием
Средство атаки winnuke.c (можно привести пример)
Отправка данных (выходящих за рамки ограничений) на узел управляемый ОС Win95 или WinNT (как правило, по интерфейсу NetBIOS, порт 137), что вызывает перезагрузку или прекращение работы узла.
Контрмеры
- Отключение NetBIOS
- Установка обновлений ОС
Фрагментация
Средство атаки teardrop.c
Использование того, что в некоторых реализациях TCP/IP при восстановлении сообщения из фрагментов неправильная обработка перекрывающихся фрагментов IP вызывает переполнение буфера памяти.
Контрмеры
- Установка обновлений ОС
Имитация IP-адреса источника
Средство атаки land.c
Попытка заставить компьютер создать TCP-соединение с самим собой, что должно привести к зацикливанию и перезагрузке.
Контрмеры
|
|
|
- Фильтрация пакетов с фальсифицированными IP адресами на устройствах периметра
- Установка обновлений ОС
Другие атаки блокирования сервиса
Для атак блокирования сервиса имеется немало других возможностей, в том числе, не связанных напрямую с уязвимостями TCP/IP и не всегда попадающих под определение DoS-атак
Распределенное блокирование сервиса DDoS (Distributed DoS)
Означает использование множества систем для координированных атак против узла в Интернет (чаще всего Web-узла). Осуществляется обычно при помощи распространения червей и троянов и удаленного управления ими.
Почтовые бомбы
Массовая рассылка эл. почты отдельным лицам, спискам и доменам может нарушить доступность почтовых сервисов. Может осуществляться как с отдельного узла, так и в режиме DDoS. Функции массовой рассылки эл.почты, без ведома владельца, нередко встраиваются в бесплатно распространяемое ПО.
Захват процессора
Производится при помощи вируса или трояна, который приводит к зацикливанию в работе процессора или к захвату других ресурсов компьютера, в результате чего легальные пользователи не могут получить доступ к серверу.
Вредоносные апплеты
Программы Java, JavaScript, ActiveX могут работать как трояны или вирусы выполняя деструктивные функции.
|
|
|
Перенаправление трафика
Блокирование трафика путем изменения маршрутов.
Случайные блокирования сервиса
Легальные пользователи и администраторы системы могут вызвать блокирование сервиса случайно, в результате неправильной конфигурации или неправильного использования ресурсов. (Привести пример с АСУ ПТК)
Средства, с помощью которых можно уменьшить ущерб, наносимый системе атаками блокирования сервиса:
- Средства аудита: записывается подробная информация о транзакциях, включая метки времени, адреса источника и назначения, номера портов, длительность связи и объем переданных данных. Это достигается соответствующими настройками серверов, маршрутизаторов и сетевых экранов.
- Система извещений: в реальном масштабе времени сообщается о выявлении признаков атак и других заданных конфигурацией событиях. В полной мере такие функции реализуются системами обнаружения вторжений (IDS).
Реализация данных угроз (блокирования сервиса), в первую очередь, нарушает доступность информации.
Подтасовка данных
Нарушитель может захватить пересылаемые по сети данные, изменить их и отправить получателю или же подменить данные, находящиеся на сервере. Подтасовка данных именуется также имитацией и подразумевает одно из следующих действий: фальсификацию IP-адреса, захват сеанса связи, изменение параметров маршрутизации, изменение содержимого передаваемых сообщений, изменение информации на сервере.
|
|
|
Атаки подтасовки данных, которые предполагают внедрение в линию связи между двумя узлами, используя уязвимость сеанса TCP/IP, называют также атаками посредника.
Фальсификация IP-адресов
Нарушитель может фальсифицировать IP-адрес с целью имитации узла, которому разрешен доступ к приложениям и сервисам (подобные ограничения могут быть сделаны на базе прикладного ПО, ОС или на сетевом оборудовании).
Для фальсиф. выбирается IP-адрес из диапазона внутренних адресов или же авторизованный внешний IP-адрес, которому вы доверяете и которому разрешен доступ к определенным ресурсам сети.
Обычно при атаках фальсификации IP-адреса нарушитель внедряет нужные ему данные в существующий поток обмена между клиентом и сервером или равноправными сторонами.
Контрмерой против подобных атак является фильтрация пакетов приходящих извне, а объявляющих себя пришедшими из локальной сети.
|
|
|
Воспроизведение сеанса связи. Нарушитель перехватывает ряд пакетов или команд приложения, изменяет полученные данные (например, меняет значение денежной суммы, указанной в транзакции), а затем воспроизводит пакеты с целью выполнения несанкционированных действий. При атаке воспроизведения сеанса связи используется несовершенство средств аутентификации потока данных или приложений.
(Пример, как из лога сервера можно получить доступ к почтовому ящику)
Захват сеанса связи.Нарушитель захватывает управление уже установленным соединением IP, пересылая по нему фальсифицированные пакеты данных. Методы захвата сеанса связи предполагают фальсификацию IP-адресов, манипуляцию адресами источника и адресата а также прогнозирование и изменение порядковых номеров пакетов.
Пример такого захвата: перенаправление вывода результатов работы Xterminal на терминал нарушителя вместо исходного терминала назначения.
Подобные атаки требуют очень высокой квалификации противника и потому случаев проведения таких атак немного.
Изменение маршрутизации
Сетевой нарушитель может изменить параметры маршрутизации, получив несанкционированный доступ к маршрутизатору и изменив его конф-ю. Изменение маршрутизации может позволить удаленному узлу выступать в качестве локального узла сети.
Контрмеры: ограничение доступа к маршрутизаторам, использование средств аутентификации для динамических протоколов марш-ции.
Подтасовка информации на web-серверах
Использование уязвимостей серверов (web и др.) с целью подмены информации в файлах или базах данных. Например, с целью финансовых махинаций.
Грубую подмену информации из хулиганских побуждений или с целью отрицательного влияния на репутацию конкурента (например, размещение порнографических изображений или нецензурных выражений) трудно назвать подтасовкой.
Реализация данных угроз (подтасовка данных), в первую очередь, нарушает целостность информации.
Мы рассмотрели основные виды угроз и варианты их классификации. Дополнительно можно отметить угрозы:
- нарушение цел-ти, дост-ти или конф-ти вследствие ошибок ПО
- угрозы для БД, возникающие вследствие неправильно разработанной структуры или неправильной политики разграничения доступа.
- нарушения целостности или доступности информации из-за поломок аппаратного обеспечения, вследствие его низкой надежности или недостаточного резервирования
- человеческий фактор, способный вызвать нарушение (преднамеренное или случайное) любого свойства информации: целостности, доступности или конфиденциальности.
- форс-мажорные обстоятельства: стихийные бедствия, пожары и т.д.
[1] ГОСТ 28147-89 закрыт грифом ДСП поэтому дальнейшее изложение сделано по изданию Спесивцев А.В. и др. «Защита информации в персональных ЭВМ», М., Радио и связь, 1992.
Дата добавления: 2018-05-12; просмотров: 346; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!