Фильтры обнаружения атак

В составе продукта Microsoft ISA Server 2006 предусмотрены фильтры обнаружения атак:

• Фильтр обнаружения атак DNS работает согласно правилам публикации DNS-сервера. Он перехватывает и анализирует весь входящий во внутреннюю сеть DNS-трафик.
• Фильтр приложений POP3 проводит проверки на предмет атак переполнения буфера по почтовому протоколу версии 3 (POP3).

Фильтр DNS

Фильтр приложений DNS, устанавливаемый на сервере ISA Server, перехватывает и анализирует входящий во внутреннюю сеть трафик DNS. Фильтр DNS является основным элементом механизма обнаружения атак ISA Server. Этот механизм позволяет выявить попытку атаки на сеть и выполнить ряд предопределенных действий или отправить оповещения. Для обнаружения злонамеренных действий ISA Server сопоставляет сетевой трафик и записи в журналах с наиболее распространенными методами атак. При выявлении подозрительных действий отправляются оповещения. Для защиты от атак практикуется закрытие соединений и служб, рассылка оповещений по электронной почте, ведение журналов и другие меры.

Дополнительные инструкции см. в разделах Настройка обнаружения атак в виде распространенных атак и Настройка обнаружения вторжений путем атак DNS.

Если функция обнаружения атак включена, можно указать, обнаружение каких атак из числа нижеперечисленных должно вызывать рассылку оповещений:

• Атака путем сканирования всех портов
• Атака путем сканирования нумерованных портов
• IP-атака полусканирования
• Land-атака
• Атака "PING смерти"
• Атака "UDP-бомба"
• Атака переполнения на системы Windows

Кроме того, можно настроить оповещения при обнаружении следующих атак DNS:

• Переполнение имен узлов DNS. Переполнение имени узла DNS происходит в том случае, если длина ответа службы DNS на запрос имени узла превышает установленное значение (255 байт). Если приложение не проверяет длину имен узлов, при копировании слишком длинного имени может произойти переполнение внутреннего буфера, благодаря чему инициатор атаки получит возможность запускать на компьютере-объекте атаки любые команды.
• Переполнение длины DNS. В ответах службы DNS на IP-адреса содержится поле длины, устанавливающее ограничение в 4 байта. В случае размещения в ответе DNS более длинного значения может произойти переполнение внутреннего буфера программы, выполняющей поиск DNS, в результате чего инициатор атаки получит возможность запуска на компьютере-объекте атаки любых команд.
  Кроме того, ISA Server проверяет, не превышает ли длина значения RDLength длину остальной части ответа DNS.
• Передача зон DNS. Передачей зон DNS называется попытка клиентской системы при помощи клиентского приложения DNS переместить зоны с внутреннего DNS-сервера через любой исходный порт.

Атака путем сканирования всех портов

Оповещение об этой атаке свидетельствует о попытке получить доступ к большему количеству портов, чем определено настройками. Можно указать максимальное число портов, к которым разрешается доступ.

Атака путем сканирования нумерованных портов

Оповещение об этой атаке свидетельствует о попытке сосчитать службы, исполняемые на компьютере, путем опрашивания каждого порта на предмет ответа.

Если такое оповещение появится, необходимо установить источник сканирования портов. Сопоставьте результат со службами, исполняемыми на компьютере-объекте атаки. Определите источник и цель сканирования. Просмотрите журналы доступа на предмет свидетельств несанкционированного доступа. Если такие свидетельства удастся собрать, следует признать безопасность системы нарушенной и принять соответствующие меры.

IP-атака полусканирования

Оповещение об этой атаке свидетельствует о том, что были зафиксированы неоднократные попытки отправить TCP-пакеты с недействительными флагами.

При обычном TCP-соединении источник инициирует соединение, отправляя SYN-пакет на определенный порт системы назначения. Если служба в системе назначения ожидает поступления данных через этот порт, она в ответ отправляет пакет SYN/ACK. Далее клиент-инициатор соединения отвечает пакетом ACK, после чего соединение считается установленным. Если узел назначения не ожидает установления соединения через указанный порт, она отвечает пакетом RST. В большинстве случаев регистрация событий, связанных с такими соединениями, в системных журналах начинается только после получения от инициатора последнего пакета ACK. Путем отсылки других типов пакетов, не соответствующих стандартной последовательности, можно получить ответы с полезной информацией, причем такие попытки не будут регистрироваться. Этот метод атаки называется полусканированием TCP или невидимым сканированием, поскольку не создается запись в журнале сканируемого узла.

При появлении оповещения этого типа зафиксируйте адрес, с которого производится сканирование. При необходимости настройте в правилах ISA Server блокирование трафика из источника сканирования.

Land-атака

Оповещение об этой атаке свидетельствует о том, что в отправленном пакете TCP SYN указаны ложные IP-адрес и номер порта, аналогичные IP-адресу и порту назначения. В случае успешного проведения этой атаки некоторые реализации TCP входят в цикл, в результате чего компьютер перестает отвечать.

Атака "PING смерти"

Оповещение об этой атаке свидетельствует о получении фрагмента IP, объем данных в котором превышает максимально допустимый размер IP-пакета. В случае успешного проведения этой атаки происходит переполнение буфера ядра, в результате чего компьютер перестает отвечать.

Атака "UDP-бомба"

Оповещение об этой атаке свидетельствует о зафиксированной попытке отправить недопустимый UDP-пакет. Полученный UDP-пакет, некоторые поля которого содержат недопустимые значения, способен привести к сбою некоторых более ранних версий операционных систем. Если компьютер-объект атаки в такой ситуации действительно дает сбой, определить его причину бывает очень сложно.

Атака переполнения на системы Windows

Такое оповещение свидетельствует о зафиксированной попытке атаки переполнения типа "отказ в обслуживании" на один из компьютеров, работающему под защитой ISA Server. В случае успешного выполнения атаки компьютер дает сбой или (в уязвимых системах) теряет связь с сетью.

Фильтр POP

Фильтр почтового протокола (POP) перехватывает и анализирует весь входящий трафик, передаваемый посредством этого протокола во внутреннюю сеть. Помимо прочего, этот фильтр приложения проводит проверки на предмет попыток переполнения буфера POP.

Атакой переполнения буфера POP называется ситуация, при которой удаленный злоумышленник пытается получить привилегированный доступ к POP-серверу путем переполнения его внутреннего буфера.

---

Получить последнее содержимое ISA Server на веб-узле с рекомендациями для ISA Server. Отправить замечания или отзыв об этой странице.

• Перевести на английский