Виды сетевых атак
В настоящее время существует множество
различных видов сетевых атак, которые используют уязвимости как
операционной системы, так и иного установленного программного
обеспечения системного и прикладного характера. Злоумышленники
постоянно совершенствуют методы нападения, результатом которых
могут стать кража конфиденциальной информации, выведение системы из
строя либо ее полный "захват" с последующим использованием как
части зомби-сети для совершения новых атак.
Чтобы своевременно обеспечить безопасность
компьютера, важно знать, какого рода сетевые атаки могут ему
угрожать. Известные сетевые угрозы можно условно разделить на три
большие группы:
- Сканирование
портов – угрозы этого вида сами по себе не являются
атакой, но обычно ей предшествуют, поскольку это один из основных
способов получить сведения об удаленном компьютере. Этот способ
заключается в сканировании UDP/TCP-портов, используемых сетевыми
сервисами на интересующем компьютере, для выяснения их состояния
(закрытые или открытые порты).
Сканирование портов позволяет понять,
какие типы атак на данную систему могут оказаться удачными, а какие
нет. Кроме того, полученная в результате сканирования информация
("слепок" системы) даст злоумышленнику представление о типе
операционной системы на удаленном компьютере. Это, в свою очередь,
еще сильнее ограничивает круг потенциальных атак и, соответственно,
время, затрачиваемое на их проведение, а также позволяет попытаться
использовать специфические для данной операционной системы
уязвимости.
- DoS-атаки
или атаки, вызывающие отказ в обслуживании – это атаки,
результатом которых является приведение атакуемой системы в
нестабильное или полностью нерабочее состояние. Последствиями атак
такого типа могут стать повреждение или разрушение информационных
ресурсов, на которые они направлены, и, следовательно,
невозможность их использования.
Существует два основных типа DoS-атак:
- отправка компьютеру-жертве специально
сформированных пакетов, не ожидаемых этим компьютером, что приводит
к перезагрузке или остановке системы;
- отправка компьютеру-жертве большого
количества пакетов в единицу времени, которые этот компьютер не в
состоянии обработать, что приводит к исчерпанию ресурсов
системы.
Яркими примерами данной группы атак
являются следующие атаки:
- Атака Ping of
death состоит в посылке ICMP-пакета, размер которого превышает
допустимое значение в 64 КБ. Эта атака может привести к аварийному
завершению работы некоторых операционных систем.
- Атака
Land заключается в передаче на открытый порт вашего компьютера
запроса на установление соединения с самим собой. Атака приводит к
зацикливанию компьютера, в результате чего сильно возрастает
загрузка процессора и возможно аварийное завершение работы
некоторых операционных систем.
- Атака ICMP
Flood заключается в отправке на ваш компьютер большого
количества ICMP-пакетов. Атака приводит к тому, что компьютер
вынужден отвечать на каждый поступивший пакет, в результате чего
сильно возрастает загрузка процессора.
- Атака SYN
Flood заключается в отправке на ваш компьютер большого
количества запросов на установку соединения. Система резервирует
определенные ресурсы для каждого из таких соединений, в результате
чего тратит свои ресурсы полностью и перестает реагировать на
другие попытки соединения.
- Атаки-вторжения, целью которых является
"захват" системы. Это самый опасный тип атак, поскольку в случае
успешного выполнения система оказывается полностью
скомпрометированной перед злоумышленником.
Данный тип атак применяется, когда
необходимо получить конфиденциальную информацию с удаленного
компьютера (например, номера кредитных карт, пароли) либо просто
закрепиться в системе для последующего использования ее
вычислительных ресурсов в целях злоумышленника (использование
захваченной системы в зомби-сетях либо как плацдарма для новых
атак).
В данную группу включено самое большое
количество атак. Их можно разделить на три подгруппы в зависимости
от операционной системы: атаки под Microsoft Windows, атаки под
Unix, а также общая группа для сетевых сервисов, использующихся в
обеих операционных системах.
Наиболее распространены следующие виды
атак, использующих сетевые сервисы операционной системы:
- Атаки на
переполнение буфера – тип уязвимостей в программном
обеспечении, возникающий из-за отсутствия контроля (либо
недостаточном контроле) при работе с массивами данных. Это один из
самых старых типов уязвимостей и наиболее простой для эксплуатации
злоумышленником.
- Атаки,
основанные на ошибках форматных строк – тип уязвимостей в
программном обеспечении, возникающий из-за недостаточного контроля
значений входных параметров функций форматного ввода-вывода типа
printf(), fprintf(), scanf() и прочих из стандартной библиотеки
языка Си. Если подобная уязвимость присутствует в программном
обеспечении, то злоумышленник, имея возможность посылать
специальным образом сформированные запросы, может получить полный
контроль над системой.
Система обнаружения вторжений
автоматически анализирует и предотвращает использование подобных
уязвимостей в наиболее распространенных сетевых сервисах (FTP,
POP3, IMAP), если они функционируют на компьютере пользователя.
Атаки под
операционную систему Microsoft Windows основаны на
использовании уязвимостей установленного на компьютере программного
обеспечения (например, таких программ как Microsoft SQL Server,
Microsoft Internet Explorer, Messenger), а также уязвимостей
системных компонент, доступных по сети, – DCom, SMB, Wins,
LSASS, IIS5.
Например, компонент Анти-Хакер защищает
компьютер от атак, использующих следующие известные уязвимости
программного обеспечения (список уязвимостей приведен в
соответствии с нумерацией Microsoft Knowledge Base):
(MS03-026) DCOM RPC Vulnerability(Lovesan
worm)
(MS03-043) Microsoft Messenger Service
Buffer Overrun
(MS03-051) Microsoft Frontpage 2000 Server
Extensions Buffer Overflow
(MS04-007) Microsoft Windows ASN.1
Vulnerability
(MS04-031) Microsoft NetDDE Service
Unauthenticated Remote Buffer Overflow
(MS04-032) Microsoft Windows XP Metafile
(.emf) Heap Overflow
(MS05-011) Microsoft Windows SMB Client
Transaction Response Handling
(MS05-017) Microsoft Windows Message
Queuing Buffer Overflow Vulnerability
(MS05-039) Microsoft Windows Plug-and-Play
Service Remote Overflow
(MS04-045) Microsoft Windows Internet
Naming Service (WINS) Remote Heap Overflow
(MS05-051) Microsoft Windows Distributed
Transaction Coordinator Memory Modification
Кроме того, частными случаями
атак-вторжений являются использование различного вида вредоносных
скриптов, в том числе скриптов, обрабатываемых Microsoft Internet
Explorer, а также разновидности червя Helkern. Суть атаки
последнего типа состоит в отправке на удаленный компьютер
UDP-пакета специального вида, способного выполнить вредоносный
код.
Помните, что при работе в сети ваш компьютер
ежедневно подвергается риску быть атакованным злоумышленниками.
Чтобы обеспечить безопасную работу компьютера, обязательно
включайте компонент Анти-Хакер при работе в интернете и регулярно
обновляйте базы сетевых
атак.
|