Міністерство освіти і науки України
Харківський національний університет радіоелектроніки
Факультет Інфокомунікацій .
(повна назва)
Кафедра Інфокомунікаційної інженерії імені В.В. Поповського .
(повна назва)
з дисципліни
2020 р.
Мережеві атаки поділяють на активні і пасивні.
Активні атаки включають у себе явний вплив на систему, який змінює її стан. Наприклад, це може бути шкідливий програмний код-вірус, впроваджений в виконувану системою програму, спотворення даних на сторінках веб-сайту, блокування мережевого сервісу шляхом "бомбардування" його помилковими запитами. Відмінністю активних атак є те, що після свого завершення вони, як правило, залишають сліди. Наприклад, змінюється вміст пам'яті, надходять дивні діагностичні повідомлення, додатки починають виконуватися неправильно, уповільнено або взагалі зависають, в характеристиках мережевого трафіку і в інших статистичних даних про роботу системи з'являються незрозумілі сплески активності. Проте ретельно підготована активна атака може пройти непоміченою, якщо фахівці, що відповідають за її безпеку, погано інформовані про можливі наслідки такого роду атак.
Пасивні атаки не порушують нормальну роботу системи: вони пов'язані зі збором інфорції про систему, наприклад, вони можуть прослуховувати внутрішньомережевий трафік або перехоплювати повідомлення, передані по лініям зв'язку. У багатьох випадках пасивні атаки не залишають слідів, тому їх дуже складно виявити, часто вони так і проходять непоміченими.
Інтерфейс знаходиться в змішаному режимі, коли в системі працює сніффер (мережевий аналізатор пакетів). Сніффер переводить інтерфейс в змішаний режим; при цьому відбувається фіксування всієї інформації, що проходить через канал зв'язку. Якщо при роботі інтерфейсу в даному режимі виконати командаifconfig-a, то з'явиться повідомлення про те, що інтерфейс знаходиться в стані PROMISC (ознака того, що працює аналізатор пакетів). Якщо сніффер запущений не адміністратором системи, необхідно провести дослідження причин цих обставин.
Адміністратор також повинен вивчати результати виконання команди. Ця програма виводить всі активні процеси, наявні в системі, що необхідно при пошуку сніфферов, так як сніффер може не відображатися в lsofабо вnetstat. У більшості систем виконання команди ps-efвиводіт перелік процесів в системі. У тих версіях Unix, де ця команда не працює, слід виконати командурѕ-aux.
1.1 Сканування відкритих портів Сканування портів — це процес, який надсилає клієнтські запити до діапазону адрес портів сервера на хості з метою пошуку активного порту, він не є зловмисним за задумом[1]. Більшість застосувань сканування портів є не атаками, а простими перевірками для визначення послуг, доступних на віддаленому хості.
Nmap — это свободная утилита, предназначенная для разнообразного настраиваемого сканирования IP-сетей с любым количеством объектов в системе, определения состояния объектов сканируемой сети (а именно портов и соответствующих им служб). Изначально программа была реализована для систем UNIX, но сейчас доступны версии для множества операционных систем. Nmap использует множество различных методов сканирования, таких как UDP, TCP (connect), TCP SYN (полуоткрытое), FTP-proxy (прорыв через ftp), Reverse-ident, ICMP (ping), FIN, ACK, Xmas tree, SYN- и NULL-сканирование. Nmap также поддерживает большой набор дополнительных возможностей, а именно: определение операционной системы удалённого хоста с использованием отпечатков стека TCP/IP, «невидимое» сканирование, динамическое вычисление времени задержки и повтор передачи пакетов, параллельное сканирование, определение неактивных хостов методом параллельного ping-опроса, сканирование с использованием ложных хостов, определение наличия пакетных фильтров, прямое (без использования portmapper) RPC-сканирование, сканирование с использованием IP-фрагментации, быстрый поиск уязвимостей SQL Injection, а также произвольное указание IP-адресов и номеров портов сканируемых сетей. В последних версиях добавлена возможность написания произвольных сценариев (скриптов) на языке программирования Lua.
SNMP-це протокол з сімейства TCP / IP (Протокол SNMP описаний в RFC 1157). Спочатку він був розроблений спільнотою Інтернету (Internet community) для спостереження і усунення неполадок в маршрутизаторах і мостах (bridges). SNMP дозволяє спостерігати і передавати інформацію про стан:
комп'ютерів, що працюють під управлінням Windows NT;
серверів LAN Manager;
маршрутизаторів і шлюзів;
міні-комп'ютерів або мейнфреймів;
термінальних серверів;
концентратор.
SNMP використовує розподілену архітектуру, що складається з систем управління (management systems) і агентів (agents). За допомогою сервісу Microsoft SNMP комп'ютер, що працює під управлінням Windows NT, може видавати звіт про свій стан системі управління SNMP в мережі, що використовує протокол TCP/IP.
Сервіс SNMP посилає інформацію про стан одному або декільком комп'ютерам за запитом або у випадку, коли відбувається важлива подія, наприклад комп'ютеру не вистачає місця на жорсткому диску.
Основна функція системи управління-запит інформації від агентів. Система управління (management system) - це будь-який комп'ютер, на якому працює програмне забезпечення управління SNMP. Система управління може виконувати операції get, get-next і set.
Операція get запитує будь-який параметр, наприклад кількість доступного простору на жорсткому диску.
Операція get-next запитує наступну величину, використовується для перегляду таблиці об'єктів.
Операція set змінює значення, використовується рідко, тому що більшість параметрів доступні тільки для читання і не можуть бути змінені.
ICMP (англ. Internet Control Message Protocol — міжмережевий протокол керуючих повідомлень) — мережевий протокол, що входить в стек протоколів TCP/IP. В основному ICMP використовується для передачі повідомлень про помилки й інші виняткові ситуації, що виникли при передачі даних. Також на ICMP покладаються деякі сервісні функції, зокрема на основі цього протоколу заснована дія таких загальновідомих утиліт як ping та traceroute.
Моніторинг та цих протоколів відбувається за допомогою Wireshark
DoS - хакерська атака на обчислювальну систему з метою довести її до відмови, тобто створення таких умов, при яких сумлінні користувачі системи не зможуть отримати доступ до надаваних системних ресурсів, або цей доступ буде утруднений. Відмова «ворожої» системи може бути і кроком до оволодіння системою (якщо в нештатної ситуації ПО видає будь-яку критичну інформацію - наприклад, версію, частина програмного коду і т. Д.). Але частіше це міра економічного тиску: втрата простий служби, що приносить дохід, рахунки від провайдера і заходи по догляду від атаки відчутно б'ють «мета» по кишені. В даний час DoS і DDoS-атаки найбільш популярні, так як дозволяють довести до відмови практично будь-яку систему, не залишаючи юридично значимих доказів.
Переповнення буфера у стеку (Buffer Overflow/Overrun) – це таке явище, коли програма, під час запису даних в буфер у стеку, перезаписує дані за його межами.
Перехоплення сесії – це спосіб використання чужої сесії, при якому зловмисник вторгається в сесію між двома іншими вузлами.
Internet Information Services - програмне забезпечення для розгортання веб-сервера. Входить до складу Windows.
Уразливість існує через помилку при обробці WebDAV запитів до теки, необхідним аутентифікацію. Віддалений користувач може за допомогою спеціально сформованого HTTP GET запиту, що містить Unicode символи і "Translate: f" HTTP заголовок, обійти обмеження безпеки і, наприклад, завантажити файли з захищених каталогів. Вдала експлуатація уразливості також може дозволити завантаження довільних файлів в захищені WebDAV каталоги.
Троянський вірус або троянська програм - це тип шкідливих програм, що маскуються під легітимне ПО. Він часто використовується кіберзлочинцями для крадіжки особистих даних, спостереження за користувачами і діставання несанкціонованого доступу до систем.
Руткіт - це шкідлива програма, призначена для отримання зловмисниками прав суперкористувача на пристрої без відома жертви.
Методи виялвення
Порівняння двох "знімків" системи (наприклад, списку файлів на диску). Перший знімок робиться на перевіряється системі, другий – після завантаження з CD або підключення досліджуваного HDD до свідомо чистого комп'ютера. Подібна методика гарантовано дозволить виявити будь-який RootKit, який маскує на диску свої файли.
Порівняння даних, що повертаються API функціями різного рівня і (або) одержуваних низькорівневими методами (наприклад, прямим читанням диска і аналізом файлів реєстру). Дана методика не вимагає перезавантаження досліджуваного ПК і реалізована в безкоштовній утиліті RootkitRevealer від SysInternals (http://www.sysinternals.com). іншим прикладом може злучити утиліта KLister (www.rootkit.com) для побудови списку запущених процесів, яка складається з драйвера і консольної програми, що використовує цей драйвер;
Аналіз в пам'яті функцій основних бібліотек на предмет наявності змін їх машинного коду. Даний метод найбільш ефективний для боротьби з RootKit в призначеному для користувача режимі. Подібна методика дозволяє не тільки виявити перехоплення функцій, але і відновити нормальну роботу пошкоджених функцій. Крім того, порівняння» знімків " системи, отриманих до і після відновлення функцій API в багатьох випадках дозволяє виявити маскуються процеси, сервіси і драйвери. Дана методика не вимагає перезавантаження і один з варіантів реалізований в моїй утиліті AVZ;
Аналіз і відновлення ServiceDescriptorTable. Дана методика дозволяє боротися з рядом перехоплювачів, що працюють в режимі ядра (власне, з перехоплювачами, заснованими на правці SDT). Практична реалізація-утиліта SDTRestore (http://www.security.org.sg/code/sdtrestore.html). однак відновлення SDT вплине на роботу всієї системи і може привести до дуже неприємних наслідків (в найпростішому випадку – повне зависання системи з виходом на BSoD, в гіршому – непередбачуване порушення нормальної роботи додатків, перехоплюючих NativeAPI для реалізації своїх функцій).
Backdoor - шкідлива програма, а іноді навмисно залишена лазівка в коді легальної програми, яка надає доступ до пристрою для несанкціонованих дій. Бекдор в точності відповідає своїй назві (від англ. Back door - «чорний хід»): приховано впускає зловмисника в систему, наділяючи правами адміністратора.
Оскільки мета комп'ютерних зловмисників - впровадити шкідливий код в комп'ютери-жертви, то для цього їм необхідно не тільки змусити користувача запустити заражений файл або проникнути в систему через будь-яку вразливість, але і непомітно проскочити повз встановленого антивірусного фільтра. Тому не дивно, що зловмисники цілеспрямовано борються з антивірусними програмами. Використовувані ними технічні прийоми дуже різноманітні, але найчастіше зустрічаються такі:
Упаковка і шифрування коду. Значна частина (якщо не більшість) сучасних комп'ютерних черв'яків і троянських програм упаковані або зашифровані тим чи іншим способом. Більш того, комп'ютерним андеграундом створюються спеціально для цього призначені утиліти упаковки і шифровки. Наприклад, шкідливими виявилися абсолютно всі зустрілися в інтернеті файли, оброблені утилітами CryptExe, Exeref, PolyCrypt і деякими іншими.
Для детектування подібних черв'яків і Трої антивірусних програм доводиться або додавати нові методи розпакування і розшифровки, або додавати сигнатури на кожен зразок шкідливої програми, що знижує якість детектування, оскільки не завжди всі можливі зразки модифікованого коду виявляються в руках антивірусної компанії.
Мутація коду. Розведення троянського коду «сміттєвими» інструкціями. В результаті функціонал троянської програми зберігається, але значно змінюється її «зовнішній вигляд». Періодично трапляються випадки, коли мутація коду відбувається в режимі реального часу - при кожному завантаженні троянської програми з зараженого веб-сайту. Тобто все або значну частину потрапляють з такого сайту на комп'ютери зразки троянця - різні. Прикладом застосування цієї технології є поштовий черв'як Warezov, кілька версій якого викликали значні епідемії у другій половині 2006 р
Приховування своєї присутності. Так звані «руткіт-технології» (від англ. «Rootkit»), як правило, використовується троянські програми. Здійснюється перехоплення і підміна системних функцій, завдяки яким заражений файл не видно ні штатними засобами операційної системи, ні антивірусними програмами. Іноді також ховаються гілки реєстру, в яких реєструється копія троянця, і інші системні області комп'ютера. Дані технології активно використовуються, наприклад, троянцем-бекдор HacDef.
Зупинка роботи антивіруса і системи отримання оновлень антивірусних баз (апдейтів). Багато троянські програми і мережеві черв'яки роблять спеціальні дії проти антивірусних програм - шукають їх в списку активних додатків і намагаються зупинити їх роботу, псують антивірусні бази даних, блокують отримання оновлень і т.п. Антивірусних програм доводиться захищати себе адекватними способами - стежити за цілісністю баз даних, ховати від троянців свої процеси і т.п.
Приховування свого коду на веб-сайтах. Адреси веб-сторінок, на яких прис5утні троянські файли, рано чи пізно стають відомі антивірусним компаніям. Природно, що подібні сторінки потрапляють під пильну увагу антивірусних аналітиків - вміст сторінки періодично скачується, нові версії троянських програм заносяться в антивірусні оновлення. Для протидії цьому веб-сторінка модифікується спеціальним чином - якщо запит йде з адреси антивірусної компанії, то скачується якийсь нетроянскій файл замість троянського.
Атака кількістю. Генерація та поширення в інтернеті великої кількості нових версій троянських програм за короткий проміжок часу. В результаті антивірусні компанії виявляються «завалені» новими зразками, на аналіз яких потрібен час, що дає зловмисно коду додатковий шанс для успішного впровадження в комп'ютери.
Для видалення інформації про перебування у системі Windows треба дотримуватись наступної послідовності дій:
1. Очищення списків недавніх місць і програм.
2. Очищення списку USB-накопичувачів з допомогу реєстру Windows.
3. Очищення кеша та історії браузерів.
4. Видалення записи DNS.
5. Очищення Flash Cookies.
6. Видалення списку останніх документів Microsoft Office.
7. Видалення файлів Шляхом перезаписі файлів нулями за допомогою CCleaner.
16. Умови проведення успішної атаки (Відкриті бази даних, соціальні мережі, сучасні підходи збору інформації, google хакинг, ECHOSEC, MALTEGO, ARCHIV.ORG, NET CRAFT.COM, утиліти NS LOOK UP, WHO IS т.д.).
Виділяють три етапи реалізації атак:
1. Етап підготовки і збору інформації про об'єкт атаки.
2. Етап реалізації атаки.
3. Етап усунення слідів і інформації про атакували.
Класифікація атак на інформаційну систему може бути виконана за кількома ознаками:
За місцем виникнення:
Локальні атаки (джерелом даного виду атак є користувачі та / або програми локальної системи);
Віддалені атаки (джерелом атаки виступають віддалені користувачі, сервіси або додатки).
По впливу на інформаційну систему:
Активні атаки (результатом впливу яких є порушення діяльності інформаційної системи);
Пасивні атаки (орієнтовані на отримання інформації з системи, не порушуючи функціонування інформаційної системи).