IP Ağ Güvenliği Sorunları
Ağ güvenliği tehditlerinin analizi.
Homojen olmayan bir ağ ortamındaki iletişim kuruluşları için, farklı tipteki bilgisayarlar arasında uyumluluk sağlayan bir TCR / IP protokolü seti kullanılır. Uyumluluk, TCP / IP'nin ana avantajlarından biridir, bu nedenle çoğu bilgisayar ağları bu protokolleri desteklemektedir. Ek olarak, TCP / IP protokolleri, küresel internetin kaynaklarına erişim sağlar.
Popülerliği sayesinde TCP / IP, güvenlik duvarı için bir fiili standart hale geldi. Bununla birlikte, TCP / IP protokolünün yaygın dağılımı da zayıf yönlerini ortaya koydu. Brainchild'ınızı oluşturarak, TCP / IP Yığın Mimarları, ağların altındaki ağların korunması konusunda özellikle endişelenmenin nedenlerini görmedi. Bu nedenle, IP protokolünün erken sürümlerinin özelliklerinde, uygulanmasının orijinal güvenlik açığına yol açan bir güvenlik gereksinimi yoktu.
İnternet teknolojilerinin popülaritesindeki hızlı büyüme, kişisel verilerin açıklanmasına, eleştirel kurumsal kaynakların, devlet sırları vb.
Her gün, bilgisayar korsanları ve diğer saldırganlar, özel saldırılarla onlara erişmeye çalışan ağ bilgi kaynaklarını tehdit edeceklerdir. Bu saldırılar, etkiler üzerinde daha sofistike hale geliyor ve komplike olmayan. Bu, iki ana faktör tarafından kolaylaştırılır.
İlk olarak, internetin yaygın penetrasyonudur. Bugün bu ağa milyonlarca bilgisayar bağlı. Yakın gelecekte internete birçok milyon bilgisayar bağlanacak, bu nedenle korsan erişiminin savunmasız bilgisayarlara ve bilgisayar ağlarına erişim şansı sürekli artıyor. Ek olarak, yaygın internet, bilgisayar korsanlarının küresel ölçekte bilgi alışverişini yapmalarını sağlar.
İkincisi, kullanımı kolay işletim sistemlerinin ve geliştirme ortamlarının evrensel dağılımıdır. Bu faktör, saldırganın bilgi düzeyinin gereksinimlerini keskin bir şekilde azaltır. Önceden, Hacker, kötü amaçlı yazılımları oluşturmak ve dağıtmak için iyi bilgi ve programlama becerileri gerekli. Şimdi, Hacker aracına erişmek için, istediğiniz sitenin IP adresini bilmeniz yeterlidir ve fareye tıklamak yeterlidir.
Kurumsal bilgisayar ağlarındaki bilgi güvenliği konuları, yerel iş istasyonları, yerel ağlar ve kamu veri ağlarına erişimi olan kurumsal ağlara yapılan saldırılar için güvenlik tehditlerinden kaynaklanmaktadır.
Ağ saldırıları, yönlendirildiği sistemler kadar çeşitlidir. Bazı saldırılar büyük zorluklardır. Diğerleri, sonuçların faaliyetlerine sahip olabileceğini bile içermeyen sıradan bir operatörü uygulayabiliyorlar.
Bir saldırı egzersiz yapan davetsiz misafir, genellikle aşağıdaki hedefleri verir:
v İletilen bilgilerin gizliliğinin ihlali;
v İletilen bilgilerin bütünlüğünün ve doğruluğunun ihlali;
v Sistemin performansının bir bütün olarak veya bireysel parçaları olarak ihlali.
Güvenlik açısından, dağıtılmış sistemler öncelikle varlıkla karakterize edilir. uzak saldırılar , dağıtılmış sistemlerin bileşenleri tipik olarak açık veri iletim kanallarını kullandığından ve bir davetsiz misafir sadece iletilen bilgiyi sadece pasif dinlemeyi gerçekleştiremez, aynı zamanda iletilen trafiği (aktif etki) değiştirebilir. Ve eğer trafik üzerindeki aktif etkisi kaydedilebilirse, pasif etki pratik olarak algılanmaz. Ancak, dağıtılmış sistemlerin çalışması sırasında, sistemin bileşenleri arasındaki servis bilgisi değişimi de açık veri kanalları ile gerçekleştirilir, daha sonra servis bilgileri kullanıcı verileri olarak aynı saldırı nesnesi haline gelir.
Uzaktan saldırının gerçeğini belirlemenin zorluğu, bu tür yasadışı eylemleri ilk etapta tehlike derecesi ile gösteriyor, çünkü davetsiz misafirlerin başarılı bir şekilde uygulanmasının şansını arttırdığı tehdide zamanında yanıtını önler. saldırının.
Yerel ağın güvenlik duvarının güvenliğine kıyasla güvenliği, bu durumda, ilk yer burası kayıtlı kullanıcıların ihlalleri , yerel ağ veri kanalları çoğunlukla kontrollü bir bölge üzerinde bulunduğundan ve kendilerine yetkisiz bağlantılara karşı koruma sağlandığından, idari yöntemlerle uygulanır.
Uygulamada, IP ağı, veri değişim sürecinde bir dizi yetkisiz istila yöntemine karşı savunmasızdır. Bilgisayar ve ağ teknolojilerinin geliştirilmesiyle (örneğin, mobil Java uygulamalarının ve ActiveX öğelerinin ortaya çıkışıyla), IP ağlarına olası ağ saldırılarının bir listesi sürekli olarak genişlemektedir [Galitsky A.V., Ryabko S.d., Shantigin V.F. Ağdaki bilgilerin korunması, teknolojilerin analizi ve çözümlerin sentezidir. M.: DMK Press, 2004.].
En yaygın ağ saldırıları türlerini düşünün.
Koklama (koklama). Çoğunlukla, bilgisayar ağları verileri, ağınızdaki veri hatlarına erişimi olan bir saldırganın, gizlice sokan veya trafiği okuyan bir saldırganın sağlanmasına izin veren korunmasız bir formatta (açık metin) iletilir. Bilgisayar ağlarında dinlemek için sniffer. Sniffer Packas belirli bir etki alanı aracılığıyla iletilen tüm ağ paketlerini engelleyen bir uygulama programıdır.
Halen, snifiers ağlarda tamamen meşru bir şekilde çalışırlar. Arızaları teşhis etmek ve trafiği analiz etmek için kullanılırlar. Bununla birlikte, bazı ağ uygulamalarının metin biçiminde (Telnet, FTP, SMTP, POP3, vb.) Verileri iletmesi nedeniyle, bir sniffer kullanarak faydalı ve bazen gizli bilgileri (örneğin, kullanıcı adları ve şifreler) öğrenebilirsiniz.
Şifre Yorumu (Şifre koklama)Şebeke üzerinde şifrelenmemiş formda iletilen formda, kanalın "dinlemek" ile bir tür dinleme saldırısı türüdür. İsimler ve şifrelerin görüşü daha büyük bir tehlike yaratır, çünkü kullanıcılar çeşitli uygulama ve sistemler için aynı kullanıcı adını ve şifreyi kullanırlar. Birçok kullanıcının genellikle tüm kaynaklara ve uygulamalara erişmek için bir şifreniz vardır. Uygulama istemci / sunucu modunda çalışırsa ve kimlik doğrulama verileri ağ üzerinden görüntülenebilir metin biçiminde iletilirse, bu bilgiler diğer kurumsal veya dış kaynaklara erişmek için yüksek olasılıkla kullanılabilir.
En kötü durumda, hacker sistem seviyesindeki kullanıcı kaynağına erişir ve ağa ve kaynaklarına erişmek için herhangi bir zamanda kullanılabilecek yeni kullanıcının niteliklerini oluşturur.
Aşağıdakileri kullanarak koklama paketlerinin tehdidini önleyebilirsiniz.
Ölçüler ve Para:
v tek şifreleri doğrulamak için başvuru;
v Donanım veya Yazılımın Tanınan Kurulumu
Snifiers;
v İletişim kanallarının şifreleme koruması uygulanması.
Verileri değiştirin.Okuma fırsatı alan bir saldırgan
Verileriniz bir sonraki adımı yapabilir - onları değiştirebilir. Veri B.
Saldırgan hiçbir şey bilse bile, paket değiştirilebilir
Gönderen hakkında ne de alıcı hakkında. Sıkı ihtiyacınız olmasa bile
İletilen tüm verilerin gizliliği, muhtemelen istemiyorsunuz,
Böylece yol boyunca değiştirildi.
Ağ trafiği analizi.Saldırıların amacı benzer
Türü iletişim kanallarını dinliyor ve iletilenlerin analizini dinliyor
Topolojiyi ve mimariyi incelemek için veri ve resmi bilgiler
Bir sistem oluşturmak, kritik kullanıcı bilgisi almak
(örneğin, kullanıcı şifreleri veya iletilen kredi kartı numaraları
Girişte). FTP gibi bu türler saldırılara tabidir.
veya özelliği, kullanıcının adı ve şifresi olan Telnet
Açık formda bu protokollerde iletilir.
Güvenilir bir konunun değiştirilmesi.Ağların çoğu ve işletme
Sistemler, bilgisayarı'nın IP adresini kullanır mı?
Bu, gerekli olan muhatap. Bazı durumlarda yanlış
IP adresinin atanması (Gönderenin IP adresinin başka bir adres tarafından değiştirilmesi) - böyle
Saldırı yöntemi denir falsification adresleri(İp sahte).
IP Sahtekarlığı, şirketin içinde olan veya dışında bir saldırganın kendisini yasal kullanıcıya verir. Saldırgan, IP adresini, onaylanmış IP adresleri dahilinde veya belirli ağ kaynaklarına erişmesine izin verilen yetkili bir harici adresini kullanabilir. Bir saldırgan ayrıca, IP paketleri oluşturan özel programları da kullanabilir, izin verilen iç kurumsal ağ adreslerinden giden giden gibi görünecek şekilde kullanabilirler.
IP Yarpma saldırıları genellikle diğer saldırıların başlangıç \u200b\u200bnoktasıdır. Klasik Örnek birsaldırı türü " bakımını reddetmek (DOS), başkasının hacker'ın gerçek kimliğini gizleyen bir başkasının adresi ile başlar. Genellikle, IP Sahte, yanlış bilgi veya kötü amaçlı komutları, istemci ve sunucu uygulaması ile eşler arasındaki iletişim kanalında iletilen normal bir veri akışına eklemekle sınırlıdır.
Sahtekarlık tehdidi, aşağıdaki önlemlerle gevşetilebilir (ancak yok edilmeyebilir):
v Harici ağdan doğru erişim kontrolü;
v Sahte girişimleri başkalarının ağlarının ağ kullanıcılarına bastırın.
IP sahtekarlığının IP adreslerine dayanan kullanıcıların kimlik doğrulamasına tabi tutulabileceği göz önünde bulundurulması gerekmektedir (bu nedenle, kullanıcı kimlik doğrulaması) (tek kullanımlık şifrelere veya diğer şifreleme yöntemlerine dayanarak), IP-Sahte saldırılarını önlemenizi sağlar .
Arabuluculuk."Arabuluculuk" tipi saldırı, aktif Dövülerek, bulaşan verilerin görünmez bir ara düğüm tarafından etkileşim ve kontrolü anlamına gelir. Bilgisayarlar düşük ağ seviyelerinde etkileşime girdiğinde, her zaman kiminle veri alışverişinde bulunduklarını belirleyemezler.
Şifrelenmemiş anahtarları değiştirmek için arabuluculuk (orta-içi saldırı).Ortadaki bir saldırı için (ortadaki kişi), bir saldırganın ağ üzerinden iletilen paketlere erişmesi gerekiyor. ISS sağlayıcısından başka bir ağa iletilen tüm paketlere bu erişim, örneğin, bu sağlayıcının bir çalışanı alabilir. Bu tür saldırılar için, paketlerin kokuları genellikle kullanılır, taşıma protokolleri ve yönlendirme protokolleri.
Daha genel bir durumda, orta atak, orta ataklar, bilgi, mevcut oturumun durdurulması ve özel ağ kaynaklarına erişmeye, trafiği analiz etmek ve ağ ve kullanıcıları hakkında bilgi edinmek için özel ağ kaynaklarına erişmek için tutulmaktadır. DOS tipi saldırıları, iletilen verilerin bozulması ve ağ oturumlarına yetkisiz bilgileri girin.
MAN-M-M-Orta saldırıların yalnızca kriptografi ile saldırılarıyla etkin bir şekilde başa çıkmak mümkündür. Bu türdeki saldırılara karşı koymak için, PKI açık anahtar kontrol altyapısı kullanılır (genel anahtar altyapısı).
Oturum çalma. İlk kimlik doğrulama prosedürünün sonunda, örneğin, posta sunucusuyla birlikte, yasal kullanıcı tarafından belirlenen bileşik, saldırganı yeni bir ana bilgisayara değiştirir ve kaynak sunucunun bağlantıyı kırmak için verilir. Sonuç olarak, meşru kullanıcının "muhatapları" fark edilmeden ortaya çıkıyor.
Ağa erişim aldıktan sonra, saldırgan saldırganı harika fırsatlar ortaya çıkıyor:
v Uygulamalara ve ağ servislerine yanlış veri gönderebilir, bu da acil durum tamamlamalarına veya yanlış işleyişe yol açabilir;
v Aynı zamanda bir bilgisayarı veya tüm trafik ağını, aşırı yükleme ile bağlantılı olarak durduruncaya kadar bastırabilir;
v Son olarak, saldırgan trafiği engelleyebilir, bu da ağ kaynaklarına erişim yetkili kullanıcıların kaybına neden olur.
Hizmet reddi, dos).Bu saldırı, diğer türlerin saldırılarından farklıdır. Ağınıza erişimin veya bu ağdan herhangi bir bilgiyi çıkarmak amaçlanmamıştır. DOS saldırısı, ağ işleminin izin verilen sınırlarını, işletim sisteminin veya uygulamanın izin verilen sınırlarını aşarak normal kullanım için erişilemeyen bir organizasyon ağı yapar. Temel olarak, bu saldırı, olağan kullanıcıların kaynak kullanıcılarını kaynaklara veya bilgisayar ağ bilgisayarlarına mahrum eder.
Çoğu DOS, sistem mimarisinin genel zayıflığına dayanan saldırılar. Bazı sunucu uygulamalarını (bir Web sunucusu veya FTP sunucusu gibi) kullanılması durumunda, DOS saldırıları bu uygulamalar için uygun olan tüm bağlantıları işgal etmek ve bunları izin vermeden meşgul bir durumda saklamak olabilir.
sıradan kullanıcıların bakımı. DOS saldırıları sırasında, TCP ve ICMP (Internet Kontrol Mesaj Protokolü) gibi düzenli internet protokolleri kullanılabilir.
DOS önlemek için zor saldırır, çünkü bu bir sağlayıcı ile koordinasyon gerektirir. Ağınızı taşmayı amaçlayan trafik, sağlayıcıyı durdurmazsanız, bunu ağın girişinde yapamazsınız, çünkü tüm bant genişliği meşgul olacaktır.
Bu türün saldırısı birçok cihazda aynı anda gerçekleştirilirse, dağıtılmış başarısızlık DDOS'u(Dağıtılmış DOS).
DOS saldırılarını uygulamak kolay ve organizasyonların ve kullanıcıların neden olduğu büyük hasarları, bu saldırıların ağ güvenliği yöneticilerinin dikkatini çekmesini sağlar.
Şifre saldırıları.Bu saldırıların amacı şifre ve giriş girişidir. Saldırganlar, aşağıdaki gibi yöntemleri kullanarak şifre saldırıları yapabilirler:
v IP adresinin yerine (1P-Spoofing);
v Dinleme (koklama);
v Basit büstü.
IP sahte ve koklama paketleri yukarıda tartışıldı. Bu yöntemler, korunmasız bir kanal üzerinden açık metinle iletilirse, şifre ve kullanıcı oturum açma işlemini almanızı sağlar.
Genellikle bilgisayar korsanları bir şifre seçmeye ve sayısız erişim girişimini kullanarak giriş yapmaya çalışıyorlar. Böyle bir yaklaşım denir söndürme dolu saldırıKaba kuvvet saldırısı). Bu saldırı için, kamu kaynağına (örneğin sunucuya) erişmeye çalışan özel bir program kullanılır. Saldırganın bir sonucu olarak, bir şifre seçmek mümkündür, normal bir kullanıcının hakları için kaynaklara erişebilir. Bu kullanıcının önemli erişim ayrıcalığına sahipse, bir saldırgan, kullanıcı şifresini ve girişini değiştirse bile, gelecekteki erişim için "geçiş" için yaratabilir.
Anlama, seçim ve hackleme şifreleri şu anda pratik olarak yasal ve resmen oldukça fazla sayıda şirket üretilmiştir. Unutulmuş şifrelerin güvenliğini ve restorasyonunu denetlemek için programlar olarak konumlandırılmışlardır ve geliştiricilerin yasal gerekçelerinde satın alınabilir.
Metin formunda şifreler kullanmazsanız, parola saldırıları kaçınılabilir. Tek kullanımlık şifrelerin ve şifreleme kimlik doğrulamasının kullanımı, bu tür saldırıların tehdidini pratik olarak azaltabilir. Ne yazık ki, tüm uygulamalar, ana bilgisayarlar ve cihazlar belirtilen kimlik doğrulama yöntemlerini desteklemektedir.
Sıradan şifreleri kullanırken, bu tür bir şifreyle gelmelisiniz, bu da almak zor olacaktır. Minimum şifre uzunluğu en az sekiz karakter olmalıdır. Şifre, üst kayıt sembollerini, sayıları ve özel karakterleri (#, $, ve% vb.) İçermelidir.
Anahtarı tahmin et.Şifreleme tuşu, korumalı bilgileri deşifre etmek için gereken kod veya numaradır. Erişim anahtarını öğrenmek zor olmasına rağmen ve yüksek kaynak maliyetleri gerektirse de, yine de mümkündür. Özellikle, anahtar değerini belirlemek için, tam söndürme yöntemini uygulayan özel bir program kullanılabilir. Access saldırgasının alacağı anahtar denir. Saldırgan, gönderen ve alıcı olmadan iletilen verileri güvence altına almak için erişmek için tehlikeye giren bir anahtar kullanır. Anahtar, verileri şifresini çözmeyi ve değiştirmeyi mümkün kılar.
Başvuru düzeyinde saldırılar.Bu saldırılar birkaç şekilde gerçekleştirilebilir. En yaygın olanı, sunucu yazılımının tanınmış zayıflıklarını (FTP, HTTP, Web Sunucusu) kullanılmasından ibarettir.
Uygulama seviyesindeki saldırılarla ilgili ana sorun, güvenlik duvarından geçmesine izin verilen bağlantı noktalarında sıklıkla kullanılmalarıdır.
Başvuru seviyesindeki saldırı bilgileri, yöneticilerin düzeltme modülleri (yamalar) yardımıyla sorunu düzeltmelerini sağlamak için yaygın olarak yayınlanmaktadır. Ne yazık ki, birçok bilgisayar korsanının da bu bilgilere erişebilmelerini sağlayan bu bilgilere de erişebilir.
Uygulama düzeyinde saldırıları tamamen dışlamak imkansızdır. Hacker'lar, web sitelerinde sürekli açık ve yayınlayan tüm yeni savunmasız uygulama programları yerlerinde yayınlar.
İyi sistem yönetimi yapmak önemlidir. Bu tür saldırıların kırılganlığını azaltmak için, aşağıdaki önlemler alınabilir:
v İşletim sistemi günlük dosyalarını ve ağ günlük dosyalarını özel analitik uygulamaları kullanarak analiz edin;
v zayıf uygulama yerleriyle ilgili vize verilerini izleyin;
v İşletim sistemlerinin ve uygulamaların en son sürümlerini ve en son düzeltme modüllerini (yamalar) kullanın;
v IDS saldırı tanıma sistemleri (izinsiz giriş algılama sistemleri) kullanın.
Ağ araştırması- Bu, kamu verilerini ve uygulamaları kullanarak bir ağ bilgisi koleksiyonudur. Herhangi bir ağa karşı bir saldırı hazırlarken, hacker genellikle bunu mümkün olduğunca fazla bilgi almaya çalışır.
Ağ araştırması DNS istekleri şeklinde gerçekleştirilir,
Yankı testi (ping taraması) ve port taraması. DNS, kimin bir veya başka bir etki alanına sahip olduğunu ve hangi adreslerin bu etki alanına atandığını anlamaya yardımcı olur. DNS kullanılarak açıklanan adreslerin yankı testi, hangi ana bilgisayarların bu ortamda çalıştığını görmenizi sağlar. Ana bilgisayarların bir listesini aldıktan sonra, Hacker, bu ana bilgisayarlar tarafından desteklenen hizmetlerin eksiksiz bir listesini yapmak için port tarama araçlarını kullanır. Sonuç olarak, hack için kullanılabilecek bilgiler çıkarılır.
Ağ zekasından kurtulmak imkansızdır. Örneğin, ICMP Echo ve Echo cevabını çevre yönlendiricilere devre dışı bırakınsa, yankı testinden kurtulur, ancak ağ arızalarını teşhis etmek için gerekli verileri kaybettiniz. Ek olarak, önceki yankı testi olmadan bağlantı noktaları tarayabilirsiniz. Var olmayan IP adreslerinin taramak zorunda kalacağı için sadece daha fazla zaman alır.
Ağ düzeyinde ve ana bilgisayarlardaki IDS sistemleri genellikle, yöneticiyi yürüten ağ araştırmasında bildirme görevi ile iyi başa çıkılır ve bu, yaklaşan saldırı için daha iyi hazırlamanıza ve sistemin kurulduğu sağlayıcıya (ISS) bildirmenizi sağlar. aşırı merakı gösterir.
Güven istismarı.Bu tür bir eylem, kelimenin tam anlamında bir saldırı değildir. Ağda var olan güven ilişkilerinin kötü niyetli kullanımıdır. Böyle bir suiistimalin tipik bir örneği, kurumsal ağın periferik kısmındaki durumdur. Bu segmentte, DNS, SMTP ve HTTP sunucuları genellikle bulunur. Hepsi aynı segmente ait olduğundan, bunlardan birini kesmek hacklemek, bu sunucular ağlarının diğer sistemlerine güvendiğinden beri hacklemeye ve diğerlerine yol açar.
Ağın içindeki güven seviyelerinin daha sert kontrolü nedeniyle aşırı taciz riski azaltılabilir. Güvenlik duvarının dış tarafında bulunan sistemler, bir güvenlik duvarı tarafından korunan sistemlerden asla mutlak güven kullanmamalıdır.
Güven ilişkileri, bazı protokollerle sınırlı olmalı ve mümkünse, yalnızca IP adresleri tarafından değil, diğer parametreler tarafından da doğrulanmalıdır. Kötü amaçlı yazılım.Bu programlar, bilgisayar virüsleri, ağ solucanları, Trojan At programı bulunur.
Virüslerson kullanıcı iş istasyonunda belirli bir istenmeyen işlevi gerçekleştirmek için diğer programlarda uygulanan kötü amaçlı programlar sunar. Virüs genellikle saldırganlar tarafından bilgisayar sisteminde kimliği doğrulanmamış kalması için mümkün olduğunca uzun bir şekilde geliştirilir. Virüslerin "yurtların" ilk dönemi, hayatta kalmalarının mekanizmasıdır. Virüs, bazı zorluk olaylarının meydana geldiği zaman, örneğin 13. Cuma günü, iyi bilinen bir tarih vb. Olduğu zamanın belirli bir noktada tam olarak tezahür eder.
Virüs programının bir varyasyonu ağ solucanı,küresel ağ için geçerlidir ve kopyasını manyetik taşıyıcıya bırakmaz. Bu terim, bant solucanları gibi, bir bilgisayar ağı boyunca bir sistemden diğerine hareket eden programları adlandırmak için kullanılır. Solucan, hayret edilebilecek bir düğümü tanımlamak için ağ destek mekanizmalarını kullanır. Ardından, aynı mekanizmaların yardımı ile, solucan vücudunu bu düğüme iletir veya etkinleştirilir veya aktivasyon için uygun koşulları bekliyor. Ağ solucanları tehlikeli bir kötü amaçlı yazılımdır, çünkü saldırılarının nesnesi, küresel İnternet'e bağlı milyonlarca bilgisayardan herhangi biri olabilir. Solucan karşı korunmak için, iç ağa yetkisiz erişime karşı önlem almak gerekir.
Sözde bilgisayar virüsleri bitişiktir "Truva atları"(Trojan programları). "Trojan Atı", bir tür yararlı uygulamaya sahip bir programdır ve aslında zararlı işlevler gerçekleştirir (program yok
Gizli verilere, vb. İle saldırgan dosyaları tarafından teminat, kopyalama ve nakliye). Trojan atının tehlikesi, AU kullanıcılarına sağlanan orijinal zararsız programa yerleştirilen ek bir komut bloğudur. Bu komut bloğu, herhangi bir koşul (tarih, sistem durumu) dışarıdan geldiğinde tetikleyebilir. Böyle bir program başlatan kullanıcı, dosyaları ve tüm AU'nun bir bütün olarak tehlikelidir.
Bilgi güvenliği tehditlerinin gözden geçirilmesine göre SOPOS Security Tehdit Yönetimi Raporu 2006 yılının ilk yarısında, "Truva" programlarının sayısı, ilk altı için iki kez aşamaya kıyasla, dört kez virüs sayısını ve solucanlarının sayısını aştı. 2005 ayları. Sophos ayrıca ransomware'i sıralayan yeni bir "Trojan" programlarının görünümünü bildirdi. Bu tür programlar, enfekte olmuş bilgisayarlardan elde edilen verileri kaçırıyor ve ardından kullanıcının kendileri için belirli bir itfa ödemesi önerildi.
Son kullanıcıların iş istasyonları, virüslere, ağ solucanlarına ve "Trojan atları" için çok savunmasızdır.
Modern kötü amaçlı programların bir özelliği, çoğu kullanıcı için bir fiili standart haline gelen belirli bir uygulama yazılımına yöneldir, önce Microsoft Internet Explorer ve Microsoft Outlook'dur. Microsoft ürünleri altında virüslerin kitlesel oluşturulması, yalnızca düşük güvenlik ve programların güvenilirliği ile değil, bu ürünlerin küresel dağılımı önemli bir rol oynanır. Kötü amaçlı yazılım yazarları, bu sistemlere dayanarak popüler DBMS, bağlayıcılar ve kurumsal iş uygulamalarında "delikleri" keşfetmeye giderek daha fazla başlıyor.
Virüsler, solucanlar ve Trojan programları sürekli gelişmektedir, polimorfizm ana eğilimdir. Bugün, virüs, solucan ve "Trojan" programı arasındaki sınırı gerçekleştirmek oldukça zordur, hemen hemen aynı mekanizmaları kullanırlar, küçük bir fark sadece bu kullanımın derecesine kadar yatmaktadır. Kötü amaçlı yazılımlar, örneğin, posta virüsünü bir solucandan yıkıcı fonksiyonlarla ayırt etmenin neredeyse imkansız olduğunu birleştirdi. "Trojan" programlarında bile, bir çoğaltma işlevi ortaya çıktı (anti-virüs araçlarını karşılama araçlarından biri olarak), böylece istenirse virüsler (uygulama programları altında kılık değiştirme biçiminde yayma mekanizması ile) olarak adlandırılabilirler. .
Belirtilen kötü amaçlı programlara karşı korumak için, birkaç önlem kullanmak gerekir:
v yürütülebilir dosyalara yetkisiz erişim hariç;
v Test satın alındı \u200b\u200byazılımı;
v yürütülebilir dosyaların ve sistem bölgelerinin bütünlüğünün kontrolü;
v Kapalı bir program yürütme ortamı oluşturma.
Virüslere, solucanlar ve "troyan atları" mücadelesi, kullanıcı düzeyinde çalışan ve muhtemelen ağ düzeyinde çalışan etkili antivirüs yazılımı kullanılarak gerçekleştirilir. Yeni virüsler göründüğü için solucanlar ve "Truva atları", antivirüs ve uygulamaların yeni veritabanları kurmaları gerekir.
Spam ve kimlik avı Program dışı tehditlere aittir. Bu iki tehdidin prevalansı yakın zamanda önemli ölçüde artmıştır.
İstenmeyen ehacim, toplam posta trafiğinin toplamının% 80'ini aşan, bilgi mevcudiyeti, posta sunucularını engelleme veya kötü amaçlı yazılımı yaymak için kullanılan bir tehdit oluşturabilir.
E-dolandırıcılık(Kimlik avı), amacı kullanıcı kimlik bildirimi elde etmek için nispeten yeni bir internet sahtekarlığı türüdür. Bu, şifreler, kredi kartı numaraları, banka hesapları, PIN kodları ve kullanıcı parasına erişim sağlayan diğer gizli bilgilerin çalınmasını içerir. Kimlik avı, yazılımın teknik olmayan dezavantajlarını kullanır, ancak internet kullanıcılarının sıklığı. Kimlik avı, balık avı ile ünsüz (balık tutma), parola hasat balıkçılığı - şifre öğle yemeği olarak deşifre edildi. Nitekim, kimlik avı, balığa çok benzer. Saldırgan internette bir yem atar ve "tüm balıkları okşamak" - bu yemde tutulan internet kullanıcıları.
Saldırgan, seçilen banka sitesinin neredeyse doğru bir kopyasını oluşturur (elektronik ödeme sistemi, açık artırma vb.). Ardından, spam teknolojisinin e-posta yoluyla yardımıyla, seçilen bankandaki mevcut mektuba en çok benzer olduğu şekilde tasarlanmış bir mektup gönderilir. Mektubu hazırlarken, banka logoları, isimler ve bankanın gerçek liderlerinin soyadları kullanılır. Böyle bir mektupta, bir kural olarak, Internet Bankacy sisteminde yazılımın değişikliği nedeniyle kullanıcının kimlik bilgilerini onaylaması veya değiştirmesi gerektiği bildirilmektedir. Verileri değiştirmenin bir nedeni olarak, bankanın başarısızlığı veya bilgisayar korsanlarının saldırısı aranabilir. Kullanıcıyı gerekli işlemlere teşvik eden makul bir efsanenin varlığı, balıkçıların sahtekarlarının başarısının vazgeçilmez bileşenidir. Tüm durumlarda, bu tür harflerin amacı birdir - kullanıcının verilen bağlantıya tıklamasını ve ardından Gizli verilerinizi (şifreler, hesap numaraları, PIN kodları) bankaya (elektronik ödeme sistemi, açık artırma) girin. Yanlış siteye gidiyor, kullanıcı gizli verilerini uygun satırlara girer ve ardından domuzlar posta kutusuna en iyi şekilde erişebilir, en kötü - elektronik bir hesaba girer.
Fisher Technologies geliştirilmiştir, sosyal mühendislik yöntemleri geçerlidir. Müşteri korkutmaya çalışıyor, eleştirel bir nedenden dolayı, gizli verilerini veriyor. Kural olarak, mesajlar, örneğin, mesajda belirtilen şartların alıcısı tarafından yerine getirilmemesi durumunda bir hesabı engeller.
Konjugat ortaya çıktı kimlik avı kavramı ile - tarım . Bu aynı zamanda kişisel kullanıcı verilerini elde etmek amacına sahip, ancak posta yoluyla değil, resmi web siteleri üzerinden bir sahtekarlıktır. Çiftçiler, kullanıcıların Scamps'a yönlendirildikleri bir sonucu olarak, DNS sunucularında DNS sunucularında meşru web sitelerinin dijital adresleri ile değiştirilir. Bu tür bir dolandırıcılık daha da tehlikelidir, çünkü sahte olduğunu fark etmek neredeyse imkansızdır.
Halen, sahtekarlar genellikle Truva programlarını kullanırlar. Bu durumda balıkçı görevi büyük ölçüde basitleştirilmiştir - kullanıcının Fisher'in web sitesine geçmesini ve bağımsız bir şekilde kurbanın sabit diskiyle ihtiyacınız olan her şeyi bağımsız olarak ilgilenen bir programı zorlamak için yeterince basitleştirilmiştir. "Troyan" programları ile birlikte kullanılmaya başlandı ve keylogger. Tuş vuruşlarını izleyen casus yardımcı programları, sıralama bilgisayarlarına yüklenir. Bu yaklaşımı kullanırken, belirli bir bankanın veya şirketin müşterilerine çıktıların bulunması gerekmez ve bu nedenle balıkçılar haber yayınları ve arama motorları gibi genel amaçlı siteler yapmaya başlamıştır.
Kimlik avı-dolandırıcılık başarısı, suçluların hareketlerinin adına şirketin işlerinin kurallarına ilişkin düşük bir kullanıcı farkındalığına katkıda bulunur. Özellikle, kullanıcıların yaklaşık% 5'i basit bir gerçek bilmez: Bankalar, kredi kartının sayısını ve piminin sayısını çevrimiçi olarak onaylamak için bir talepte mektup göndermez.
Analistlere (www.cnews.ru) göre, Fishera'nın dünya ekonomisindeki neden olduğu hasar 2003'te 14 milyar dolara çıktı ve bir yıl sonra 44 milyar dolara ulaştı. Symantec istatistiklerine göre, 2004 yılının ortalarında şirketin filtreleri, kimlik avı içeriği ile haftalık olarak 9 milyon harfe kadar engellendi. Yıl sonuna kadar, 33 milyonu aynı dönemde zaten elendi.
Kimlik avıdan gelen ana koruma hala spam filtreleri olmaya devam ediyor. Ne yazık ki, kimlik avına karşı korunacak yazılım araç seti, saldırganlar öncelikle yazılımda çıplak olmadığını, ancak insan psikolojisi olmadığı için sınırlı bir verimliliğe sahiptir. Güvenlik teknik araçları, popüler tarayıcılar için öncelikle eklentileri aktif olarak geliştirilir. Korumanın özü, hileli kaynakların "kara listelerinde" bölgelerinde yer alır. Bir sonraki adım, banka hesaplarına ve ödeme sistemlerinde çevrimiçi erişim için tek kullanımlık şifre üretme sistemi, bir donanım USB tuşu kullanarak şifre girişi kombinasyonu nedeniyle, ek koruma seviyelerinin yaygın dağılımı.
Bir dizi nedenden dolayı IP ağlarındaki listelenen saldırılar mümkündür:
v Genel veri iletim kanallarını kullanma. En önemli veriler, şifrelenmemiş biçimde ağ üzerinden iletilir;
v TCP / IP yığında uygulanan tanımlama prosedürlerinde güvenlik açıkları. IP seviyesindeki bilgileri tanımlamak açık formda iletilir;
v İletilen mesajların gizliliğini ve bütünlüğünü sağlayan TCP / IP protokollerinin temel sürümünde eksiklik;
v Gönderen kimlik doğrulaması IP adresi tarafından gerçekleştirilir. Kimlik doğrulama prosedürü yalnızca bileşik kurulum aşamasında gerçekleştirilir ve gelecekte alınan paketlerin orijinalliği kontrol edilmez;
v Uzak ağ saldırılarını pratik olarak cezalandırılmasını sağlayan, internetteki mesajları geçiş yolu üzerinde kontrol eksikliği.
Ağ saldırılarının tespiti için prosedür.
1. Ağ saldırılarının sınıflandırılması
1.1. Snifiers Paketleri
Sniffer Paketi, Promishuous Mode modunda çalışan bir ağ kartı kullanan bir uygulama programıdır ( bu modda, fiziksel kanallar tarafından elde edilen tüm paketler, bir ağ bağdaştırıcısı işlem başvurusunu gönderir). Aynı zamanda, sniffer, belirli bir etki alanı aracılığıyla iletilen tüm ağ paketlerini keser.
1.2. IP Sahte
IP Sahtekarlığı, sistemin içinde veya dışında bulunan bir bilgisayar korsanının yaptırımlı bir kullanıcı için kendisini çıkardığında ortaya çıkar. Bu iki şekilde yapılabilir. İlk olarak, bilgisayar korsanı, yetkili IP adresleri dahilinde bulunan IP adresini veya belirli ağ kaynaklarına erişmesine izin verilen yetkili bir harici adres kullanabilir. IP Yarpma saldırıları genellikle diğer saldırıların başlangıç \u200b\u200bnoktasıdır. Klasik bir örnek, başkasının hacker'ın gerçek kimliğini gizleyen bir başkasının adresi ile başlayan bir DOS saldırısıdır.
Genellikle, IP Sahte, yanlış bilgi veya kötü amaçlı komutları, istemci ve sunucu uygulaması ile eşler arasındaki iletişim kanalında iletilen normal bir veri akışına eklemekle sınırlıdır. İki yönlü bir iletişim için, bilgisayar korsanı, yanlış bir IP adresine trafik göndermek için tüm yönlendirme tablolarını değiştirmelidir. Bununla birlikte, bazı bilgisayar korsanları, uygulamalardan bir cevap almaya bile çalışmayın. Ana görev önemli bir dosya sisteminden almaksa, uygulama yanıtları önemli değil.
Hakener, yönlendirme tablolarını değiştirmeyi ve sahte bir IP adresine trafik göndermeyi başarırsa, hacker tüm paketleri alacak ve bunlara onaylanmış bir kullanıcı gibi yanıt verebilir.
1.3. Bakımı reddetmek ( Servis Reddi - DOS)
DOS, hacker saldırılarının en ünlü şeklidir. Bu tür saldırılara karşı yüzde yüz koruma yaratması zor.
DOS'un en ünlü çeşitleri:
- Ölüm kabilesi taşkın ağının tcp syk sel ping ( Tfn.);
- Kabile Sel Ağı 2000 ( Tfn2k.);
- Trinco;
- Stacheldracht;
- Trinity.
DOS saldırıları, diğer türlerin saldırılarından farklıdır. Ağa erişim kazanmayı veya bu ağdan herhangi bir bilgi almayı amaçlamamıştır. DOS saldırısı, ağ işleminin izin verilen sınırlarını, işletim sisteminin veya uygulamanın izin verilen sınırlarını aşarak normal kullanım için erişilemeyen bir ağı yapar.
Bazı sunucu uygulamaları kullanılması durumunda (Web sunucusu veya FTP sunucusu gibi) DOS saldırıları, bu uygulamalar için mevcut olan tüm bağlantıları işgal edebilecek ve özel kullanıcılara izin vermeyerek bunları yoğun bir durumda tutabilir. DOS saldırıları sırasında, TCP ve ICMP gibi sıradan internet protokolleri ( İnternet Kontrol Mesaj Protokolü). DOS saldırısı çoğu, güvenlik sistemindeki program hatalarına veya barlara dayanmaktadır, ancak sistem mimarisinin genel zayıflıklarıyla ilgilidir. Bazı saldırılar, sıfır ağ performansına düşürülür, istenmeyen ve gereksiz paketlerle ezmek veya şebeke kaynaklarının mevcut durumu hakkında yanlış bilgi vermek. Bu tür bir saldırının önlenmesi zordur, çünkü bu bir sağlayıcı ile koordinasyon gerektirir. Ağınızı taşmak amaçlanan trafik sağlayıcıyı durdurmak değildirse, bunu ağın girişinde yapamazsınız, çünkü tüm bant genişliği meşgul olacaktır. Bu türün saldırısı birçok cihazda aynı anda gerçekleştirildiğinde, saldırı DOS ( DDOS - Dağıtılmış DOS).
1.4. Şifre Saldırıları
Bilgisayar korsanları, basit büstü gibi bir dizi yöntem kullanarak şifre saldırıları yapabilirler ( kaba kuvvet saldırısı), Trojan atı, ip sahte ve koklama paketleri. Oturum açma ve şifre genellikle IP sahte ve işleme paketleri kullanılarak elde edilebilse de, bilgisayar korsanları genellikle çok sayıda erişim girişimini kullanarak bir şifre seçmeye ve oturum açmaya çalışırlar. Böyle bir yaklaşım basit kalabalık denir Kaba kuvvet saldırısı). Genellikle, ortak bir kaynağa erişim kazanmaya çalışan böyle bir saldırı için özel bir program kullanılır ( Örneğin, sunucuya). Sonuç olarak, hacker kaynaklara erişirse, şifresi seçilen normal bir kullanıcının hakları olarak alır. Bu kullanıcının önemli erişim ayrıcalıklarına sahipse, bilgisayar korsanı, kullanıcı şifresini ve girişini değiştirse bile, gelecekteki erişim için "geçiş" için yaratabilir.
Kullanıcılar aynı kullanırken başka bir sorun ( hatta çok iyi) Birçok sisteme erişmek için şifre: Kurumsal, Kişisel ve İnternet sistemleri. Şifrenin stabilitesi, en zayıf konakçının stabilitesine eşit olduğundan, bu ana bilgisayardan şifreyi öğrenen hacker, aynı şifrenin kullandığı diğer tüm sistemlere erişim alır.
1.5. Erkek-in-orta tip saldırıları
Ortadaki adamlara saldırmak için, bir Hakwar ağ üzerinden iletilen paketlere erişime ihtiyaç duyar. Sağlayıcıdan başka bir ağa iletilen tüm paketlere bu erişim, örneğin, bu sağlayıcının bir çalışanı alabilir. Bu tür saldırılar için, paketlerin kokuları genellikle kullanılır, taşıma protokolleri ve yönlendirme protokolleri. Saldırılar, bilgi hırsızlığına, mevcut oturumun durdurulması ve özel ağ kaynaklarına erişmek, trafiği analiz etmek ve ağ ve kullanıcıları hakkında bilgi edinmek, DOS saldırıları, iletilen verilerin bozulması ve ağa yetkisiz bilgileri girin. oturumlar.
1.6. Uygulama seviyesindeki saldırılar
Uygulamaların seviyesindeki saldırılar birkaç şekilde gerçekleştirilebilir. En yaygın olanı, sunucu yazılımını kullanma ( sendmail, Http, FTP). Bu zayıf yönleri kullanarak, bilgisayar korsanları, uygulamada çalışan kullanıcının adına bilgisayara erişebilir ( genellikle basit bir kullanıcı değildir, ancak sistem erişim haklarına sahip ayrıcalıklı bir yönetici). Uygulamaların düzeyinde saldırı bilgisi, yöneticilerin düzeltme modüllerinin yardımıyla sorunu düzeltmelerini sağlamak için yaygın olarak yayınlanmaktadır ( yamalar). Uygulama seviyesindeki saldırılarla ilgili ana sorun, güvenlik duvarından geçmesine izin verilen bağlantı noktalarında sıklıkla kullanılmalarıdır. Örneğin, iyi bilinen bir Web sunucusu zayıflığını işleten bir bilgisayar korsanı, TCP saldırısı sırasında genellikle bağlantı noktasını 80 kullanır. Web sunucusu web sayfası kullanıcıları sunduğundan, güvenlik duvarı bu bağlantı noktasına erişim sağlamalıdır. Güvenlik duvarı açısından, saldırı, 80 numaralı bağlantı noktası için standart trafik olarak kabul edilir.
1.7. Ağ araştırması
Ağ araştırması, kamuya açık veri ve uygulamaları kullanarak ağ bilgileri denir. Herhangi bir ağa karşı bir saldırı hazırlarken, hacker genellikle bunu mümkün olduğunca fazla bilgi almaya çalışır. Ağ zekası, DNS istekleri, yankı testi (ping taraması) ve bağlantı noktası taraması şeklinde gerçekleştirilir. DNS, kimin bir veya başka bir etki alanına sahip olduğunu ve hangi adreslerin bu etki alanına atandığını anlamaya yardımcı olur. Yankı testi ( ping taraması) DNS ile açıklanan adresler, hangi ana bilgisayarların bu ortamda gerçekten çalıştığını görmenizi sağlar. Ana bilgisayarların bir listesini aldıktan sonra, Hacker, bu ana bilgisayarlar tarafından desteklenen hizmetlerin eksiksiz bir listesini yapmak için port tarama araçlarını kullanır. Ve nihayet, hacker, ana bilgisayarlarda faaliyet gösteren uygulamaların özelliklerini analiz eder. Sonuç olarak, hack için kullanılabilecek bilgiler çıkarılır.
1.8. Güvensizlik
Bu tür bir eylem değil "Saldırı" veya "Fırtına". Ağda var olan güven ilişkilerinin kötü niyetli kullanımıdır. Bir örnek, güvenlik duvarının dışına monte edilmiş olan sistemdir, bu da iç tarafından yüklü olan sistemle bir güven ilişkisidir. Harici bir sistemin hacklenmesi durumunda, bir bilgisayar korsanı, bir güvenlik duvarı tarafından korunan sistemin içine nüfuz etme için güven ilişkisini kullanabilir.
1.9. İletme limanları
Yönlendirme bağlantı noktaları, hacklenmiş bir ev sahibi, trafik ekranı aracılığıyla aksi takdirde tanımlanacak olan, trafik ekranı ile iletmek için kullanıldığında bir güven sui kullanımıdır. Bu erişim sağlayabilecek bir uygulamanın örneği NETCAT'dir.
1.10. Yetkisiz Erişim
İzinsiz erişim ayrı bir saldırı türü olarak kabul edilemez. Ağın çoğu ağ saldırısı yetkisiz erişimin elde edilmesi uğruna gerçekleştirilir. Telnet girişini bulmak için, bilgisayar korsanı önce telnet istemini sistemini almalıdır. Telnet portuna bağlandıktan sonra, mesaj ekranda belirir. "Bu kaynağı kullanmak için gerekli yetkilendirme" (bu kaynakları kullanmak için yetkilendirmeye ihtiyacınız var). Bundan sonra hacker erişim girişimlerine devam edecekse, düşünülecektir. "Yetkisiz". Bu tür saldırıların kaynağı hem ağın içinde hem de dışarıda olabilir.
1.11. Virüsler ve Uygulamalar Tipi "Truva atı"
Müşteri iş istasyonları virüslere ve Truva atlarına çok savunmasızdır. "Truva atı" - Bu bir yazılım eki değil, faydalı bir uygulamaya benzeyen, ancak zararlı bir rol oynayan gerçek bir programdır.
2. Ağ saldırılarına karşı çıkma yöntemleri
2.1. Aşağıdaki araçları kullanarak koklama paketlerinin tehdidini yumuşatabilirsiniz:
2.1.1. Kimlik Doğrulama - Güçlü kimlik doğrulama araçları, koklama paketlerine karşı korumanın ilk yoludur. Altında "Kuvvetli" Etrafta dolaşmak zor olan bu kimlik doğrulama yöntemini anlıyoruz. Bu tür bir kimlik doğrulamanın bir örneği bir kerelik şifrelerdir ( OTP - bir kerelik şifreler). ONP, sahip olduklarınızın bir kombinasyonunun, bildiklerinizin bir kombinasyonunun olduğu iki faktörlü bir kimlik doğrulama teknolojisidir. "Kart" altında ( jeton.) Üreten bir donanım veya yazılım tarafından anlaşılmaktadır ( rastgele ilke ile) Benzersiz bir tek seferlik şifre. Hacker bu şifreyi bir Sniffer'in yardımıyla bulursa, bu bilgiler işe yaramaz, çünkü bu noktada şifre zaten kullanılacak ve kullanımdan kaldırılacaktır. Bu koklama ile mücadele yöntemi sadece şifre etkileşimi ile mücadele etmek için etkilidir.
2.1.2. Değiştirilebilir Altyapı - Ağ ortamındaki koklama paketlerini mücadele etmenin bir başka yolu, anahtarlanmış bir altyapı oluşturmaktır, bilgisayar korsanları yalnızca bağlı oldukları bağlantı noktasına giren trafiğe erişebilirler. Değiştirilebilir altyapı, koklama tehdidini ortadan kaldırmaz, ancak belirgin şekilde netliğini azaltmaz.
2.1.3. Sniffiers Anti-Snifiers - Kokalama ile mücadele etmenin üçüncü yolu, donanım veya yazılımı ağınızda çalışan sniffers tanımaktır. Bu fonlar tehdidi tamamen ortadan kaldıramaz, ancak diğer birçok ağ güvenliği araçları gibi, genel koruma sistemine dahil edilirler. Lafta "Anti-Sniffer" Ana bilgisayarların tepki süresini ölçün ve ana bilgisayarın işlenmesi gerekip gerekmediğini belirleyin "AŞIRI" trafik.
2.1.4. Kriptografi - Kokalama paketlerine mücadele etmenin en etkili yolu, görüşmeyi engellemez ve sniffers çalışmalarını tanımıyor, ancak bu işi işe yaramaz. İletişim kanalı kriptografik olarak korunursa, hacker'ın bir mesajı yakmayacağı anlamına gelir, ancak şifreli bir metin (yani, anlaşılmaz bir bit dizisi).
2.2. Sahtekleme tehdidi gevşetilebilir ( ama yok edilmiyor) Aşağıdaki önlemlerle:
2.2.1. Erişim Kontrolü - IP Sahtekarlığının önlenmesinin en kolay yolu, erişim kontrolünü doğru şekilde yapılandırmaktır. IP BUNDLE'in verimliliğini azaltmak için, Erişim Kontrolü, harici ağdan gelen trafiği, ağınızın içine yerleştirilmesi gereken herhangi bir trafiği kesmek için yapılandırılmıştır. Yalnızca iç adreslerin yetkili olduğunda IP sahtekarlığı ile savaşmaya yardımcı olur. Harici ağın bazı adresleri yetkilendirilmişse, bu yöntem etkisiz hale gelir.
2.2.2. RFC 2827'yu filtreleme - diğer insanların kurumsal ağın ağları tarafından tasarruf denemesinin patlamaları. Bunu yapmak için, kaynak adresi, Banka'nın IP adreslerinden biri olmayan kaynak adresi olan herhangi bir giden trafiği reddetmek gerekir. "RFC 2827" olarak bilinen bu tür filtreleme yapılabilir ( İsp). Sonuç olarak, tüm trafik, belirli bir arayüzde beklenen kaynak adresini yoktur.
2.2.3. IP Sahtekarlığı ile mücadele etmenin en etkili yöntemi, koklama paketleri durumunda olduğu gibidir: bir saldırı kesinlikle etkisiz hale getirmek gerekir. IP Sahtekarlığı yalnızca, kimlik doğrulamasının IP adresleri temelinde gerçekleşmesi koşuluyla çalışır. Bu nedenle, ek kimlik doğrulama yöntemlerinin tanıtılması bu tür saldırıları işe yaramaz hale getirir. En iyi ek kimlik doğrulama türü şifrelemedir. Mümkün değilse, iki faktörlü kimlik doğrulama, tek kullanımlık şifreler kullanılarak iyi sonuçlar verebilir.
2.3. DOS saldırılarının tehdidi aşağıdaki şekillerde azalabilir:
2.3.1. Sahtekarlığın önleyici fonksiyonları - Yönlendiricileriniz ve güvenlik duvarları üzerindeki sahte fonksiyonların doğru yapılandırılması, DOS riskini azaltmaya yardımcı olacaktır. En azından bu fonksiyonlar, RFC 2827 filtrelemesi içermelidir. Hacker gerçek kişiliğini gizleyemezse, bir saldırı yapmaya karar vermemesi muhtemel değildir.
2.3.2. Anti-DOS özellikleri - Yönlendiriciler ve güvenlik duvarları üzerindeki anti-DOS fonksiyonlarının doğru yapılandırılması, saldırıların etkinliğini sınırlayabilir. Bu işlevler, herhangi bir zamanda yarı açık kanal sayısını sınırlar.
2.3.3. Trafik hacminin kısıtlanması ( trafik Hızı Sınırlaması) - Sağlayıcı ile sözleşme ( İsp) Trafik kısıtlamasında. Bu tür filtreleme, kritik olmayan trafik geçişinin hacmini sınırlamanızı sağlar. Sıradan bir örnek, yalnızca teşhis amaçlı kullanılan ICMP trafiğinin sınırıdır. Saldırılar ( D.) DOS genellikle ICMP kullanır.
2.3.4. IP adreslerini engelleme - DOS saldırısını analiz ettikten ve saldırının yapıldığı IP adreslerinin aralığını tespit ettikten sonra, onları kilitlemek için sağlayıcıya başvurun.
2.4. Metin formunda şifreler kullanmazsanız, parola saldırıları kaçınılabilir. Tek kullanımlık şifreler ve / veya kriptografik kimlik doğrulaması, bu tür saldırıların tehdidini pratik olarak azaltabilir. Tüm uygulamalar, ana bilgisayarlar ve cihazlar yukarıdaki kimlik doğrulama yöntemlerini destekler.
Sıradan şifreleri kullanırken, bu tür bir şifreyle gelmeniz gerekir, bu da almak zor olacaktır. Minimum şifre uzunluğu en az sekiz karakter olmalıdır. Şifre büyük harf karakterleri, sayıları ve özel karakterleri içermelidir ( #,%, $ vb.). En iyi şifrelerin, kullanıcıların kağıda şifreleri kaydetmelerine neden olanları hatırlamak zor ve zordur.
2.5. Orta saldırılarla yalnızca kriptografi ile birlikte etkili bir şekilde başa çıkmak mümkündür. Hacker şifreli oturumun verilerini yakalarsa, ekranda ele alınmaz ve anlamsız bir karakter kümesidir. Hacker şifreleme oturumu hakkında bilgi aldıysa ( Örneğin, anahtar oturumu), Şifreli bir ortamda bile olası bir orta saldırı yapılabilir.
2.6. Uygulama seviyesindeki saldırıları tamamen ortadan kaldırmak imkansızdır. Hacker'lar sürekli olarak açılır ve internetteki uygulamalara karşı savunmasız olanları yayınlar. En önemli şey iyi sistem yönetimidir.
Bu tür saldırıların kırılganlığını azaltmak için alınabilecek önlemler:
- Özel analitik uygulamaları kullanarak işletim sistemi günlük dosyalarını ve ağ günlük dosyalarını okuma ve / veya analiz;
- İşletim sistemlerinin ve uygulamaların sürümlerinin zamanında güncellenmesi ve en son düzeltme modüllerini ayarlama ( yamalar);
- saldırı tanıma sistemlerini kullanma ( IDS.).
2.7. Ağ zekasından kurtulmak imkansızdır. ICMP Echo ve Echo Cevabını çevre yönlendiricilere devre dışı bırakırsanız, yankı testinden kurtulur, ancak ağ arızalarını teşhis etmek için gerekli verileri kaybettiniz. Ek olarak, önceki yankı testi olmadan bağlantı noktaları tarayabilirsiniz. Sadece bu, varolmayan IP adreslerinin de taramak zorunda kalacağı için daha uzun sürecektir. Ağ düzeyinde IDS sistemi ve ana bilgisayarlar genellikle, yaklaşan saldırı için daha iyi hazırlamanıza ve sağlayıcıya bildirmenize olanak sağlayan iletken ağ zekası üzerindeki yöneticiyi bildirme görevi ile başa çıkmaktadır. İsp), sistemin kurulduğu, aşırı merakın tezahür ettiği.
2.8. Ağın içindeki güven seviyelerinin daha sert kontrolü nedeniyle aşırı taciz riski azaltılabilir. Güvenlik duvarının dış tarafında bulunan sistemler, ekran korumalı sistemlerden asla mutlak güven kullanmamalıdır. Güven ilişkilerinin belirli protokollerle sınırlı olması ve mümkünse, yalnızca IP adresleriyle değil, diğer parametrelerle de doğrulanmalıdır.
2.9. Bağlantı noktası iletmeyi mücadelenin ana yolu, güvenilir güven modellerinin kullanımıdır ( paragraf 2.8'e bakın ). Ek olarak, Hakwar'ın yazılımınızı ana bilgisayara kurmasını önlemek için, IDS ana bilgisayar sistemi olabilir ( HIDS.).
2.10. İzinsiz erişimle mücadele etmenin yolları oldukça basittir. Buradaki ana şey, yetkisiz bir protokol kullanarak sisteme erişmek için hacker yeteneklerinin ortadan kaldırılmasını azaltmak veya tamamlamaktır. Örnek olarak, Hacker Erişiminin, Sunucudaki Telnet Bağlantı Noktası'na, dış kullanıcılara web hizmetleri sağlayan önlenmeyi düşünebilirsiniz. Bu bağlantı noktasına erişimi olan hacker ona saldıramaz. Güvenlik duvarına gelince, asıl görevi, yetkisiz erişimin en basit girişimlerini önlemektir.
2.11. Virüslere karşı mücadele ve "Troyan Atları", kullanıcı düzeyinde ve ağ düzeyinde çalışan etkili anti-virüs yazılımı kullanılarak gerçekleştirilir. Anti-virüs ilaçları çoğu virüs ve "Trojan atları" ve dağılımlarını hareket ettirir.
3. Ağ saldırılarını tespit ederken eylemlerin algoritması
3.1. Ağ saldırılarının çoğu otomatik olarak yüklenmiş Bilgi Güvenlik Araçları ( güvenlik duvarı ekranları, güvenilir yükleme, ağ yönlendiricileri, antivirüs ajanları vb.).
3.2. Personel müdahalesi gerektiren saldırılar, sonuçların ciddiyetini engellemek veya azaltmak için DOS saldırıları bulunur.
3.2.1. DOS saldırısının tanımlanması, ağ trafiğini analiz ederek gerçekleştirilir. Saldırının başlangıcı ile karakterizedir " kaydırma»Sahte adreslerle kaynak yoğun paketleri kullanan iletişim kanalları. İnternet bankacılığı web sitesinde de benzer bir saldırı, meşru kullanıcıların erişimini ve web kaynağının erişilemeyeceği şekilde karmaşıklaştırır.
3.2.2. Bir saldırının tespit edilmesi durumunda, sistem yöneticisi aşağıdaki işlemleri gerçekleştirir:
- yönlendiricinin manuel anahtarlamasını, daha az yüklü kanalı (daha geniş bir bant genişliğine sahip kanal) tanımlamak için geri dönüş kanalına ve geri döndürür;
- saldırının yapıldığı IP adreslerinin aralığını ortaya koyuyor;
- iP adreslerini belirtilen aralıktan bloke etmek için sağlayıcıya bir uygulama gönderir.
3.3. DOS saldırısı, genellikle onu tespit etmeyi zorlaştırmak için müşteri kaynaklarına başarılı saldırıyı gizlemek için kullanılır. Bu nedenle, bir DOS saldırısını belirlerken, olağandışı işlemleri tanımlamak için en son işlemleri analiz etmek için gereklidir (mümkünse), işlemleri onaylamak için alternatif bir kanalda istemcileriyle iletişim kurun.
3.4. Müşteriden yetkisiz eylemler hakkında bilgi aldıysanız, mevcut tüm kanıtlar sabittir, bir iç soruşturma yapılıyor ve bir uygulama kanun uygulayıcı kurumlarına sunulur.
ZIP dosyasını indirin (24151)
Belgeler yararlıdı - "Gibi" koydu:
| İsim protokolü | Seviye yığın protokolleri | İsim (Karakteristik) Güvenlik Açığı | İçerik İhlali bilgi Güvenliği |
|---|---|---|---|
| FTP (Dosya Transfer Protokolü) - Ağ üzerinden dosya aktarım protokolü |
|
|
|
| telnet - yönetim Protokolü Uzak terminal | Uygulanan, Temsilci, Oturum | Tabana göre kimlik doğrulama açık metin (şifreler şifrelenmemiş biçimde gönderilir) |
|
| UDP - veri Aktarım Protokolü Bir bileşik oluşturmadan | Ulaşım | Tampon aşırı yük mekanizması yok |
|
| ARP - Fiziksel adreste IP adres dönüşüm protokolü | Ağ | Tabana göre kimlik doğrulama açık metin (Bilgi şifrelenmemiş biçimde gönderilir) | Bir saldırgan tarafından kullanıcı trafiğini engelleme yeteneği |
| RIP - Yönlendirme Bilgilerinin Protokolü | Ulaşım | Rotayı değiştirme hakkında kontrol mesajlarının kimlik doğrulaması yok | Trafiği saldırganın ana bilgisayarı üzerinden yönlendirebilme |
| TCP - yönetim Protokolü Aktar | Ulaşım | Dolum servis paketlerinin doğruluğunu kontrol etmek için hiçbir mekanizma yok | Döviz kuru ve hatta TCP protokolünde tam bir keyfi bağlantılar farkında önemli bir azalma |
| DNS - Mnemonic adlarının ve ağ adreslerinin uygunluğunu belirlemek için protokol | Uygulanan, Temsilci, Oturum | Kaynak verilerinden kimlik doğrulama araçları eksikliği | DNS Sunucusu Yanıtının Falsifies |
| IGMP - Yönlendirme Mesaj Protokolü | Ağ | Rota parametrelerini değiştirme konusunda hiçbir kimlik doğrulama mesajı yok | 9x / nt / 2000 sistemleri ücretsiz kazanın |
| SMTP - E-posta Mesaj Hizmetleri Servis Protokolü | Uygulanan, Temsilci, Oturum | Adreslerin yanı sıra e-posta mesajlarını doldurma yeteneği gönderen mesajı | |
| SNMP - yönetim Protokolü Ağlarda Yönlendiriciler | Uygulanan, Temsilci, Oturum | Destek kimlik doğrulama mesajlaşma eksikliği | Ağ Bant Genişliğini Taşma Yeteneği |
Ağ üzerinden uygulanan tehditler aşağıdaki ana gerekçelere göre sınıflandırılır:
- tehdit karakteri.
Pasif - Bilgi sisteminin çalışmasını etkilemeyen ancak korumalı bilgilere erişim kurallarını ihlal edebilecek bir tehdit. Örnek: Ağa "dinlemek" için Sniffer'ı kullanmak. Aktif - Bilgi sisteminin bileşenlerini etkileyen tehdit, uygulanmasıyla, sistemin çalışması üzerinde doğrudan bir etkiye dönüşür. Örnek: Bir TCP sorgu fırtınası biçiminde DDOS noktası.
- tehditin gerçekleştirilmesinin amacı (sırasıyla gizlilik, uygunluk, bilgilerin bütünlüğü).
- durum saldırıya başladı:
- saldırıya uğrayan istek üzerine. Yani, saldırgan, NSD'nin başlangıcının durumu olacak belirli bir türden bir sorgunun transferini bekliyor.
- saldırı nesnesindeki beklenen etkinliğin başlangıcında.
- koşulsuz Etki - Bir saldırgan hiçbir şey beklemiyor, yani tehdit derhal ve saldırgan nesnenin durumuna atıfta bulunmadan gerçekleşir.
- geri bildirimin varlığı Saldırgan bir nesneyle:
- geribildirim ile, yani, saldırganın bazı talepler için cevaplanması gerekir. Böylece, saldırgan ve saldırgan arasında saldırganın saldırgan nesnenin durumunu izlemesini ve değişikliklere yeterince yanıt vermesini sağlayan bir geri bildirim var.
- geri bildirim olmadan - buna göre, bir geribildirim yoktur ve saldırganın saldırgan nesnedeki değişikliklere cevap vermesi ihtiyacı yoktur.
- İhlalcinin Saldırılan Bilgi Sistemine Göre Konumu: intravenöz ve integnetik olarak. Ağ segmenti, ana bilgisayarların, teknik araçların ve ağ adresine sahip diğer ağ bileşenlerinin fiziksel birliğidir. Örneğin, bir segment, toplam tken halka tabanlı bir otobüse bağlı bilgisayarları oluşturur.
- tehditin uygulandığı ISO / OSI referans modelinin seviyesi: Fiziksel, kanal, ağ, taşıma, oturum, temsili, uygulanan.
Temelli ağlara dayanarak en yaygın saldırıları düşünün yığın protokolleri TCP / IP.
- Ağ trafiği analizi. Bu saldırı, Sniffer adlı özel bir program kullanılarak uygulanır. Sniffer, komisyon modunda çalışan bir ağ kartı kullanan bir ağ kartı kullanan, "okunaksız" modu, şebeke panosunun ele alındığında tüm paketleri almanıza izin verdiği "okunaksız" modu kullanan bir uygulama programıdır. Ethernet arayüzündeki normal durumda, kanal katmanı paketi filtreleme kullanılır ve alınan paketin atama başlığındaki MAC adresi akımın MAC adresine uyuşmuyorsa ağ Arayüzü Ve yayınlanmıyor, paket atıldı. "Muayene" modunda filtreleme ağ Arayüzü Tüm paketler, mevcut düğüm tarafından amaçlanmamış değil, sisteme atlanır. Pek çok benzer programın, örneğin arızalı veya trafik analizini teşhis etmek için yasal amaçlar için kullanıldığı belirtilmelidir. Bununla birlikte, yukarıdaki tabloda, açık formda - FTP, SMTP, POP3, vb. Şifreler dahil olmak üzere bilgi gönderen protokolleri listeler. Böylece, Sniffer ile ismi ve şifreyi kesebilir ve gizli bilgilere yetkisiz erişimi uygulayabilirsiniz. Ayrıca, birçok kullanıcı birçok ağ servisine erişmek için aynı şifreleri kullanır. Yani, zayıf kimlik doğrulama biçiminde bir zayıflık varsa, tüm ağ acı çekebilir. Saldırganlar insan zayıflıklarını iyi tanıyor ve sosyal mühendislik yöntemleri yaygın olarak kullanılmaktadır.
Bu tür bir saldırıya karşı koruma aşağıdaki gibi olabilir:
- Güçlü kimlik doğrulamaÖrneğin, kullanın tek kullanımlık şifreler (Tek seferlik şifre). Öz, şifrenin bir kez kullanılabileceği ve saldırgan bunu sniffer ile kesilmiş olsa bile, herhangi bir değeri temsil etmez. Tabii ki, bu koruma mekanizması sadece şifreleri yakalamaktan tasarruf sağlar ve diğer bilgilerin yanıtlanması durumunda, örneğin e-posta.
- Anti-Sniffers - Sniffer'in ağ segmentindeki çalışmalarını tanımlayabilen donanım veya yazılım. Kural olarak, "gereksiz" yükü belirlemek için ağ düğümlerindeki yükü kontrol ederler.
- Değiştirilebilir altyapı. Ağ trafiğinin analizinin yalnızca bir ağ segmentinde mümkün olduğu açıktır. Ağ, çok sayıda segmentte (anahtarlar ve yönlendirici) kıran aygıtlar üzerine oluşturulursa, saldırı sadece veri veri bağlantı noktalarından biri ile ilgili olan ağın alanlarında mümkündür. Kokulama problemlerini çözmez, ancak bir saldırganı "dinleyebilecek" sınırları azaltır.
- Şifreleme yöntemleri. Sniffer işiyle başa çıkmanın en güvenilir yolu. Duruşma ile elde edilebilecek bilgiler şifrelenir ve buna göre faydası yoktur. En sık kullanılan IPSec, SSL ve SSH.
- Tarama ağıAğ taraması, ağda çalışan işletim hizmetlerinin tanımlanması, aktif bağlantı noktaları, aktif ağ hizmetleriKullanılan protokoller vb., yani, ağ bilgilerinin toplanması. En sık kullanılan ağı taramak için:
- dNS, Etki Alanı sahibi saldırganı, adres alanını bulmak için yardım istekler,
- eko testi - daha önce elde edilen DNS adreslerine dayanan çalışma ana bilgisayarlarını ortaya koymaktadır;
- port Tarama - Bu ana bilgisayarlar, açık bağlantı noktaları, uygulamalar vb. Tarafından desteklenen hizmetlerin tam bir listesi derlenir.
İyi ve en yaygın önlemler, ağ taraması belirtilerini başarıyla bulur ve yöneticiyi bildiren kimliklerin kullanımıdır. Bu tehditten tamamen kurtulmak mümkün değildir, çünkü örneğin, ECMP yankısını kapatın ve yönlendiriciye yankı yanıtını kapatın, yankı test tehdidinden kurtulabilirsiniz, ancak aynı zamanda gerekli verileri kaybedersiniz. ağ arızalarının teşhisi için.
- Şifre algılama. Bu saldırının rekabetçi bir amacı, parola korumasının üstesinden gelerek korunan kaynaklara yetkisiz erişim sağlamaktır. Bir şifre almak için, bir saldırgan birçok yol kullanabilir - basit bir büstü, sözlük, koklama, vb. Büst. En yaygın olan tüm olası parola değerleri için basit bir arama. Basit kalbine karşı korumak için, seçimi kolay olmayan güçlü şifreleri kullanmak gerekir: uzunluk 6-8 karakter, üst ve alt kayıtların harflerini kullanarak, özel karakterlerin kullanımı (@, #, $, vb.) ).
Başka bir bilgi güvenliği problemi, çoğu insanın tüm hizmetlere, uygulamalara, sitelere vb. İçin aynı şifreleri kullanmasıdır. Bu durumda, parola güvenlik açığı, kullanımının en zayıf bölümüne bağlıdır.
Daha önce ya da kriptografik kimlik doğrulamayı yaptığımız tek kullanımlık şifreler kullanıyorsanız, bu tür saldırılardan kaçınılabilir.
- Güvenilir bir ağ nesnesinin IP sahtekarlığı veya değiştirilmesi. Bu durumda güvenilirlik için, ağ nesnesi, yasal olarak sunucuya bağlı olarak anlaşılır (bilgisayar, yönlendirici, güvenlik duvarı vb.). Tehdit, saldırganın kendisini güvenilir bir ağ için soruyor. Bu iki şekilde yapılabilir. Öncelikle, yetkili IP adresleri aralığında bulunan IP adresini veya belirli ağ kaynaklarına erişmesine izin verilen yetkili bir harici adres kullanın. Bu türdeki saldırıları genellikle diğer saldırıların başlangıç \u200b\u200bnoktasıdır.
Genellikle, güvenilir bir ağ nesnesinin ikamesi, ağ nesneleri arasında iletilen normal bir veri akışına yanlış bilgi veya kötü amaçlı komutlar eklemek için sınırlıdır. İki yönlü bir bağlantı için, bir saldırganın tüm yönlendirme tablolarını, aynı zamanda mümkün olan yanlış bir IP adresine trafik göndermek için değiştirmelidir. Tehditi zayıflatmak için (ancak tasfiyesi değil), aşağıdakileri kullanabilirsiniz:
- giriş kontrolu. Erişim denetimini, harici ağdan gelen trafiği ağdaki kaynak adresle kesmek için yapılandırabilirsiniz. Bu yöntem, yalnızca iç adresler yetkili ise ve yetkili dış adresler varsa çalışmazsa etkilidir.
- RFC 2827 filtrelemesi - Bu tür filtreleme, diğer kişileri ağınızın kullanıcıları ile bozmaya çalışmayı bırakmanızı sağlar. Bunu yapmak için, kaynak adresi, kuruluşunuzun IP adreslerinden biri olmayan, giden herhangi bir trafiği isyan etmek gerekir. Genellikle bu tür filtreleme sağlayıcı tarafından gerçekleştirilir. Sonuç olarak, tüm trafik, belirli bir arayüzde beklenen kaynak adresini yoktur. Örneğin, ISS, IP adresine bir bağlantı sağlıysa 15.1.1.0/24, filtreyi yapılandırabilir, böylece bu arayüzden gelen trafiği ISP yönlendiricisine, 15.1.1.0/24 adresinden izin verilir. Tüm sağlayıcılar bu tür filtreleme tanıtıncaya kadar, verimliliği mümkün olduğundan daha düşük olacaktır.
- Ek kimlik doğrulama yöntemlerinin uygulanması. IP Sahtekarlığı yalnızca IP tabanlı kimlik doğrulaması durumunda mümkündür. Bazı ek kimlik doğrulama önlemlerini tanıtıyorsanız, örneğin şifreleme, saldırı işe yaramaz hale gelir.
- Hizmetin korunamaması veya reddedilmesi (DOS) - Hesaplama sistemine saldırı, yani, yani sistemin meşru kullanıcılarının kaynak sağlayan sisteme erişemeyeceği bu tür koşulların oluşturulması veya bu erişimin zordur.
DOS saldırısı, yakın zamanda en yaygın ve bilinen saldırıdır, bu da uygulamanın sadeliği için kaynaklanıyor. DOS saldırı organizasyonu minimum bilgi ve beceri gerektirir ve ağ yazılımı ve ağ protokollerinin eksiklikleri üzerine kuruludur. Saldırı çeşitli ağ cihazları için yapılırsa, DOS dağıtılmış saldırı hakkında konuşursa (DDOS - Dağıtılmış DOS).
Günümüzde, aşağıdaki beş dos saldırısı tipi, çok sayıda yazılımın bulunduğu ve korunması en zor olanıdır:
- Şirin. - PING, ICMP'yi talep eder. Bir ping paketi (ICMP echo) yayın adresi üzerinden gönderirken (örneğin, 10.255.255.255), bu ağdaki her makineye teslim edilir. Saldırı prensibi, ICMP Echo Talep paketini, saldırgan düğümün kaynak adresine göndermektir. Saldırgan, ağ yayını adresi üzerinden ping paketlerinin kalıcı akışıyla gönderildi. Bir istek alan tüm makineler, ICMP yankı cevabının kaynağını karşılayın. Buna göre, paketlerin yanıt akışının büyüklüğü orantılı bir sayıda ana bilgisayarda artar. Sonuç olarak, tüm ağın aşırı yük nedeniyle bakım reddedilir.
- ICMP Sel. - SMURF'ye benzer saldırı, sadece amplifikasyon olmadan, istekleri tarafından gönderilen bir yayın adresine göre oluşturulur.
- UDP Sel. - UDP paketlerinin (Kullanıcı Datagram Protokolü) saldırmış düğüm setinin adresine gönderilmesi.
- TCP Sel. - TCP paketlerinin saldırdığı düğüm kümesinin adresine gönderme.
- TCP SYN Sel. - Bu tür bir saldırıyı gerçekleştirirken, bir sonuç olarak, bu kısmen açık bağlantıları takip etmek için tüm kaynaklarını takip etmek için tüm kaynaklarını harcamak zorunda olan, TCP bağlantılarının başlatılması için çok sayıda istek.
Bir web sunucusu veya FTP sunucusu uygulaması kullanılıyorsa, DOS saldırısının bir sonucu olarak, bu uygulamalar için mevcut olan tüm bağlantılar devreye girer ve kullanıcılar onlara erişemezler. Bazı saldırılar, gereksiz paketlerle doldurarak bir ağ ile başa çıkabilmektedir. Bu tür saldırıları gidermek için, sağlayıcının katılımı gereklidir, çünkü ağın girişinde istenmeyen trafiği durdurmazsa, saldırı durmaz, çünkü bant genişliği meşgul olur.
Aşağıdaki programlar, DOS saldırılarını uygulamak için en sık kullanılır:
- Trinoo - Tarihsel olarak, tek tip - UDP-Flood'un DOS saldırılarını organize eden ilk kişi haline gelen oldukça ilkel bir programdır. Trinoo aile programları standart koruyucu ekipmanlarla kolayca tespit edilir ve en azından güvenliğine dikkat edenler için tehditler ayırmayın.
- Tfn ve tfn2k. - daha ciddi silahlar. Smurf, UDP Sel, ICMP Sel ve TCP SYN Selinin aynı anda saldırıları düzenlemesine izin verildi. Bu programların kullanımı bir saldırgandan çok daha yüksek nitelikler gerektirir.
- En yeni araç kuruluşu DOS-saldırıları - Stacheldracht. ("dikenli tel"). Bu paket, yayın ping sorgularının çeşitli saldırıları ve çığ türleri düzenlemenizi sağlar. Ek olarak, kontrolörler ve ajanlar arasındaki veri alışverişi şifrelenir ve otomatik yazılım yazılımın kendisine yerleştirilmiştir. Şifreleme büyük ölçüde saldırganı bulmayı zorlaştırır.
Tehditi zayıflatmak için aşağıdakileri kullanabilirsiniz:
- Sahtekarlığın önleyici fonksiyonları - Yönlendiricileriniz ve güvenlik duvarları üzerindeki sahte fonksiyonların doğru yapılandırılması, DOS riskini azaltmaya yardımcı olacaktır. En azından bu fonksiyonlar, RFC 2827 filtrelemesi içermelidir. Hacker gerçek kişiliğini gizleyemezse, bir saldırı yapmaya karar vermemesi muhtemel değildir.
- Anti-DOS özellikleri - Yönlendiriciler ve güvenlik duvarları üzerindeki anti-DOS fonksiyonlarının doğru yapılandırılması, saldırıların etkinliğini sınırlayabilir. Bu fonksiyonlar genellikle yarı açık kanal sayısını istediğiniz zaman sınırlar.
- Trafik Hızı Sınırlaması (Trafik Hızı Sınırlaması) - Bir kuruluş, sağlayıcıdan (ISS) trafik hacmini sınırlandırmasını isteyebilir. Bu tür filtreleme, ağınıza geçen kritik olmayan trafik miktarını sınırlamanızı sağlar. Sıradan bir örnek, yalnızca teşhis amaçlı kullanılan ICMP trafiğinin sınırıdır. DOS saldırıları genellikle ICMP kullanır.
Bu türde birkaç çeşit tehdit seçebilirsiniz:
- Ağ kaynaklarının bir kısmı, saldırganın bir kısmı, kanal bant genişliği, düzensizlik süresi işleme süresi, ağ performans bozukluklarında bir düşüşle iletilen paketlerin işlenmesinde bulunduğunda bakımın reddedilmesi. Örnek: Bir TCP bağlantısı oluşturmak için ICMP protokolü veya Fırtına sorgusu tarafından ECHO istekleri tarafından yönlendirildi.
- Davetsiz misafirler tarafından gönderilen işleme paketlerinin bir sonucu olarak ağ kaynaklarının tükendiği gerçeğinden kaynaklanan bakımın ortaya çıkması. Aynı zamanda, tüm kanal bant genişliğinin tüm kanalının işgal edildiğinden, taşma tamponları, disk alanı taşması vb. Gibi, kullanıcıların yasal talepleri işlenemez. Örnek: Fırtına tarafından yönlendirildi (Sn-Steling).
- Ağ Aygıtları adına bir kontrol mesajı saldırganı iletirken, ağ teknik araçları arasındaki mantıksal bağlılığın ihlal edilmesinin neden olduğu açık bir reddetme. Bu rotayı ve adres verilerini değiştirir. Örnek: ICMP ana bilgisayar veya DNS-Flood yönlendirir.
- Saldırganın paketleri standart olmayan özelliklere (örneğin, UDP-Bomba) ile ilettiği veya maksimum (ping ölüme) aşan bir uzunluğa sahip olması gerçeğinden kaynaklanan hizmetin ortaya çıkması.
DOS saldırıları, bilgi mevcudiyetini ihlal etmeyi ve bütünlüğü ve gizliliği ihlal etmemeyi amaçlamaktadır.
- Başvuru düzeyinde saldırılar.Bu tür saldırı, sunucu yazılımında (HTML, Sendmail, FTP) "bir şekilde" kullanmaktır. Bu güvenlik açıklarını kullanarak, saldırgan uygulama kullanıcısı adına bir bilgisayara erişebilir. Uygulama seviyesindeki saldırılar için, bağlantı noktaları genellikle güvenlik duvarı boyunca "geçebilecek" kullanılır.
Uygulama seviyesindeki saldırılarla ilgili ana sorun, güvenlik duvarından geçmesine izin verilen bağlantı noktalarında sıklıkla kullanılmalarıdır. Örneğin, Web sunucusuna bir hacker saldırganı TCP bağlantı noktasını 80 kullanabilir. Web sunucusunun sayfa kullanıcıları sağlaması için, güvenlik duvarındaki 80 numaralı bağlantı noktası açılmalıdır. Güvenlik duvarı açısından, saldırı, 80 numaralı bağlantı noktası için standart trafik olarak kabul edilir.
Uygulamanın yeni güvenlik açıklarına sahip uygulamalı programlar düzenli olarak ortaya çıkmasından bu yana, uygulama düzeyinde saldırıları tamamen hariç tutmak mümkün değildir. Buradaki en önemli şey iyi sistem yönetimidir. İşte bu tür saldırıların kırılganlığını azaltmak için alınabilecek bazı önlemler:
- okuma günlükleri (sistem ve ağ);
- Özel Siteleri kullanarak yeni yazılımdaki güvenlik açıklarını izleme, örneğin, http://www.cert.com.
- iDS kullanarak.
Ağ saldırısının doğası gereği, görünümünün her bir ağ düğümü tarafından kontrol edilmediği açıktır. Ağda mümkün olan tüm saldırılara baktık, - pratikte, çok daha büyük. Bununla birlikte, her türlü saldırıya karşı korunmak mümkün değildir. Ağın çevresinin korunmasına en uygun yaklaşım, çoğu saldırgan saldırısında kullanılan güvenlik açıklarını ortadan kaldırmaktır. Bu tür güvenlik açıklarının listeleri, örneğin SANS Enstitüsü'nün sitesi, örneğin SANS Enstitüsü: http://www.sans.org/top-cyber-security-risks/?ref\u003dTop20. Sıradan bir saldırgan, saldırmanın bazı orijinal yolları aramıyor ve şebekeyi iyi bilinen bir güvenlik açığı arayışında tarar ve kullanır.
Tampon taşması, birçok kötü amaçlı saldırı türünün ayrılmaz bir parçasıdır. Taşma saldırıları, sırayla birçok çeşittir. En tehlikeli olanlardan biri, yürütülen koda eklenmiş metnin yanı sıra iletişim kutusuna girdi anlamına gelir. Böyle bir girdi, bu kodun çalıştırılabilir program üzerindeki kaydına yol açabilir, bu da erken veya daha sonra yürütülmesine neden olur. Sonuçların hayal edilmesi zor değil.Örneğin, "pasif" saldırıları, örneğin sniffer özellikle tehlikelidir, çünkü öncelikle pratik olarak algılanmaz, ikincisi, yerel ağdan alınır (dış güvenlik duvarı güçsüz).
Virüsler - Kendini kopyalayan ve kendi kendine radyasyon yeteneğine sahip kötü amaçlı programlar. Aralık 1994'te Geri Dön, ağ virüslerinin (iyi zamanlar ve xxx-1) internetteki dağılımı hakkında bir uyarı aldım:
Yaratılış anından virüs keşfedilinceye kadar, saatler, günler, haftalar ve bazen aylar vardır. Enfeksiyonun etkilerinin ne kadar çabuk tezahür ettiğine bağlıdır. Zamanın zamanı ne, bilgisayar sayısı enfekte olur. Enfeksiyonun gerçeğini belirledikten ve yeni bir çeşit çeşit virüsün dağıtıldıktan sonra, imzayı tespit etmek için saat çiftinden (örneğin, e-posta_worm.win32.bagle.bj için) ila üç hafta (w32.netsky.nm) ila üç hafta (w32.netsky.nm), Bir panzehir oluşturma ve veritabanı antiviral programına imzasını açmak. Geçici yaşam Döngüsü Grafiği Virüs, Şekil 2'de sunulmuştur. 12.1 ("Ağ Güvenliği", V.2005, Sayı 6, Haziran 2005, P 16-18). Sadece 2004 yılı için 10.000 yeni virüs imzası kaydetti. Solucan blaster, arabaların% 90'ını 10 dakika içinde enfekte etti. Bu süre zarfında, anti-virüs grubu, bir nesneyi tespit etmeli, karşılaşmanın bir yolunu nitelendirmeli ve geliştirmelidir. Gerçek dışı olduğu açıktır. Yani virüsten koruma programı çok fazla bir muhalefet aracı ne kadar değil yatıştırıcı. Aynı hususlar diğer tüm saldırılar için geçerlidir. Saldırı imzası bilindiğinde, saldırı genellikle tehlikeli değildir, çünkü muhalefet ve güvenlik açığı yıpranmıştır. Bu nedenle, bu nedenle yazılım güncelleme yönetim sistemine (yamalar) ödenmesi içindir.
Bazı virüsler ve solucanlar, postaları için tasarlanmış yerleşik SMTP programlarına sahiptir ve enfekte bir arabaya engellenmemiş penetrasyon için kapaklar. En yeni sürümler, diğer virüslerin veya solucanların aktivitesini bastırmanın aracı ile donatılmıştır. Bu şekilde, enfekte olmuş makinelerin tüm ağları (Botnet), örneğin DDOS-Taku oluşturulabilir. Protokol, bu zombi makinelerini yönetmek için kullanılabilir. IRC. (İnternet röle tablosu). Bu mesaj dağıtım sistemi çok sayıda sunucu tarafından desteklenir ve bu nedenle böyle bir kanal genellikle izlemek ve yapılandırmak zordur. Bu aynı zamanda çoğu sistemin daha dikkatli bir şekilde kontrol edilen giriş trafiğinin bir çıktı olmadığı gerçeğine de katkıda bulunur. Enfekte bir makinenin DOS saldırıları dışında, diğer bilgisayarları tarayabileceği, diğer bilgisayarları ve spam postalarını tarayabileceği, yasadışı yazılım ürünlerini taramak, makineyi ve orada depolanan belgelerin çalınmasını, kullanılan şifreleri ve tuşları tanımlamak için sahibi tarafından. Blaster virüsünden hasar 475.000 ABD Doları olarak tahmin edilmektedir.
Ne yazık ki, henüz yeni için güvenilir algılama araçları icat etmedi Virüsler (Bu bilinen imza değil).
İncir. 12.1.
2005 yılında, bir başka tehdit ortaya çıktı - IRC'ye dayanarak arama motorlarının (botların) program-robotlarını kullanarak virüslerin ve ağ solucanlarının yayılması.
Botlar her zaman tehlikeli değildir, türlerinin bazıları, özellikle, özellikle müşterilerin tercihlerine ve Google arama motorunda veri toplamak için uygulanır, belgeleri toplamak ve endekslemek için çalışırlar. Ancak hacker'ın ellerinde, bu programlar tehlikeli bir silaha dönüşür. En ünlü saldırı 2005 yılında yapıldı, ancak Hazırlık ve "İlk Deneyler" Eylül 2004'te başladı. Program belirli güvenlik açıklarına sahip arabaları, özellikle LSASS (Yerel Güvenlik Otoritesi Subsystem Service, Windows) arıyordu. Güvenliği teşvik etmek için tasarlanan LSASS alt sistemi, arabellek taşması saldırı türüne karşı savunmasızdı. Güvenlik açığı zaten elimine girmesine rağmen, gereksiz bir sürümü olan makinelerin sayısı önemlidir. İstiladan sonra, hacker genellikle ihtiyacınız olan işlemleri gerçekleştirmek için IRC'yi kullanır (belirli bir bağlantı noktasını açın, spam göndererek, diğer potansiyel mağdurların taramasını başlatır). Bu tür programların yeni bir özelliği, işletim sistemine bu şekilde (rootkit), çekirdek bölgeye yerleştirildikleri gibi tespit edilemeyecekleridir. Antivirüs programı, kötü amaçlı kodu tanımlamak için belirli bir bellek alanına erişmeye çalışırsa, Rootkit böyle bir talebi durdurur ve her şeyin sırayla olduğu bir bildirim testi programı gönderir. Daha da kötüsü, bot programları içeriği değiştirebilir
06/20/05 37.3k.İnternet tamamen yaşam tarzımızı değiştirir: iş, çalışma, eğlence. Bu değişiklikler, hem bize zaten bilinen alanlarda (e-ticaret, gerçek zamanlı bilgilere erişim, iletişim yeteneklerinin genişletilmesi, vb.) Ve hiçbir fikrimiz olmadığı alanlarda gerçekleşecek.
Şirketin tüm telefon görüşmelerini internet üzerinden üretecek ve tamamen ücretsiz olarak ortaya çıkabileceği bir zaman olabilir. Gizlilikte, ebeveynlerin çocukları olarak herhangi bir zamanda öğrenebilecekleri özel web sitelerinin görünümü mümkündür. Toplumumuz, internetin sınırsız olanaklarının farkında olmaya başlamıştır.
Giriş
Aynı anda İnternet popülerliğindeki devasa artışla, kişisel verilerin, eleştirel kurumsal kaynakların, devlet sırlarının vb. Açıklanması konusunda benzeri görülmemiş bir tehlike var.
Her gün, bilgisayar korsanları bu kaynaklarla tehdit edilmekte olup, onlara yavaş yavaş, bir yandan, daha sofistike ve diğer tarafta, basit bir şekilde gerçekleştirilen özel saldırılarla erişmeye çalışıyorlar. Bu, iki ana faktör tarafından kolaylaştırılır.
İlk olarak, internetin yaygın penetrasyonudur. Günümüzde milyonlarca cihaz ağa bağlanır ve yakın gelecekte internete birçok milyon cihaz bağlanacaktır, bu nedenle korsan erişiminin savunmasız cihazlara erişimi sürekli artmaktadır.
Ek olarak, yaygın internet, bilgisayar korsanlarının küresel ölçekte bilgi alışverişini yapmalarını sağlar. "Hacker", "hack", "hack", "crack" veya "phreak" gibi anahtar kelimelerle basit arama, çoğunda, bunların çoğunda kötü amaçlı kodlar ve kullanmanın yollarını bulabileceğiniz binlerce site verecektir.
İkincisi, kullanımı kolay işletim sistemlerinin ve geliştirme ortamlarının en geniş dağılımıdır. Bu faktör, bilgi ve becerilerin bilgisi seviyesini keskin bir şekilde azaltır. Daha önce, kullanımı kolay uygulamaları oluşturmak ve dağıtmak için, hacker iyi programlama becerilerine sahip olmalıdır.
Şimdi, Hacker aracına erişmek için, istediğiniz sitenin IP adresini bilmeniz yeterlidir ve saldırıyı gerçekleştirmek için fareyi tıklatın.
Ağ saldırılarının sınıflandırılması
Ağ saldırıları, yönlendirildiği sistemler kadar çeşitlidir. Bazı saldırılar, her zamanki operatörün diğer güçlerinin, sonuçların aktivitelerine yönlendirebileceği her zamanki operatörün diğer güçleri bile büyük zorluktadır. Saldırı türlerini değerlendirmek için, başlangıçta TPC / IP protokolünde doğal olan bazı kısıtlamalar bilmeniz gerekir. Ağ
İnternet, eğitim sürecine ve bilimsel araştırmalara yardımcı olmak için devlet kurumları ve üniversiteler arasındaki iletişim için yaratılmıştır. Bu ağın yaratıcıları ne kadar yaygınlaşacağı konusunda şüphelenilmedi. Sonuç olarak, İnternet Protokolünün (IP) erken sürümlerinin özelliklerinde güvenlik gereksinimi yoktu. Bu yüzden birçok IP uygulamasının başlangıçta savunmasız olduğunu budur.
Uzun yıllar sonra, çeşitli şikayetlerden sonra (yorum talepleri, RFC), IP güvenliği nihayet uygulanmaya başladı. Bununla birlikte, başlangıçta IP protokolü için koruma araçlarının geliştirilmediği gerçeği göz önüne alındığında, tüm uygulamaları, bu Protokolün doğasında bulunan riskleri azaltan çeşitli ağ prosedürleri, hizmetleri ve ürünler tarafından tamamlanmaya başlandı. Daha sonra, genellikle IP ağlarına karşı uygulanan saldırıların türlerini kısaca göz önünde bulunduracağız ve bunlarla mücadele etmenin yollarını aktarırız.
Sniffer Paketleri
Sniffer Packages, Promishuous Mode modunda çalışan bir ağ kartı kullanan bir uygulama programıdır (bu modda, fiziksel kanallar tarafından elde edilen tüm paketler, ağ adaptörü uygulamayı işlemeye gönderir).
Aynı zamanda, sniffer, belirli bir etki alanı aracılığıyla iletilen tüm ağ paketlerini keser. Halen, snifiers ağlarda tamamen meşru bir şekilde çalışırlar. Arızaları teşhis etmek ve trafiği analiz etmek için kullanılırlar. Bununla birlikte, bazı ağ uygulamalarının metin biçiminde veri iletmesi gerçeği göz önüne alındığında ( Telnet, FTP, SMTP, POP3, vb..), Bir sniffer yardımıyla, faydalı ve bazen gizli bilgileri (örneğin, kullanıcı adları ve şifreler) öğrenebilirsiniz.
İsimler ve şifrelerin görüşü daha büyük bir tehlike yaratır, çünkü kullanıcılar çeşitli uygulama ve sistemler için aynı kullanıcı adını ve şifreyi kullanırlar. Birçok kullanıcının genellikle tüm kaynaklara ve uygulamalara erişmek için tek bir şifreye sahiptir.
Uygulama istemci-sunucu modunda çalışırsa ve kimlik doğrulama verileri ağ üzerinden bir metin biçiminde iletilirse, bu bilgiler diğer kurumsal veya dış kaynaklara erişmek için yüksek olasılıkla kullanılabilir. Hacker'lar çok iyi tanıyor ve insan zayıflıklarını kullanıyor (saldırı yöntemleri genellikle sosyal mühendislik yöntemlerine dayanıyor).
Çok fazla kaynağa erişmek için aynı şifreyi kullandığımızı ve dolayısıyla sık sık şifremizi tanımak, önemli bilgilere erişmeyi düşünüyorlar. En kötü durumda, hacker sistem seviyesindeki kullanıcı kaynağına erişebilir ve bununla birlikte ağa ve kaynaklarına erişmek için herhangi bir zamanda kullanılabilecek yeni bir kullanıcı oluşturur.
Aşağıdaki yolları kullanarak koklama paketlerinin tehdidini azaltın:
Kimlik doğrulama. Güçlü kimlik doğrulama araçları, koklama paketlerine karşı korumanın temel bir yoludur. "Güçlü" altında, dolaşması zor olan bu tür kimlik doğrulama yöntemlerini anlıyoruz. Bu tür bir kimlik doğrulamanın bir örneği, tek şifrelerdir (bir kerelik şifreler, OTP).
ONP, sahip olduklarınızın bir kombinasyonunun, bildiklerinizin bir kombinasyonunun olduğu iki faktörlü bir kimlik doğrulama teknolojisidir. İki faktörlü bir kimlik doğrulamanın tipik bir örneği, öncelikle, plastik kartınızdaki ve ikinci olarak, girdiğiniz PIN koduna göre sizi tanımlayan normal bir ATM'nin çalışmasıdır. Sistemdeki kimlik doğrulama için, PIN kodu ve kişisel kartınız da gereklidir.
"Kart" (jeton) altında (rastgele bir ilke ile) üreten bir donanım veya yazılım anlamına gelir, benzersiz tek zamanlı bir şifredir. Hacker bu şifreyi bir sniffer kullanarak bulursa, bu bilgiler işe yaramaz, çünkü bu noktada şifre zaten kullanılacak ve kaldırılır.
Bu mücadele yöntemindeki bu mücadele yönteminin yalnızca parola müdahalesi durumlarında etkili olduğu belirtilmelidir. Snifiers, diğer bilgileri yakalamak (örneğin, e-posta mesajları), etkinliğini kaybetmeyin.
Anahtarlı altyapı. Ağ ortamınızdaki koklama paketlerini mücadele etmenin bir başka yolu, anahtarlanmış bir altyapı oluşturmaktır. Örneğin, kuruluş genelinde geçerli Ethernet kullandığı durumlarda, bilgisayar korsanları yalnızca bağlı oldukları bağlantı noktasına giren trafiğe erişebilirler. Anahtarlanmış altyapı, koklama tehditlerini ortadan kaldırmaz, ancak dikkat çekici şekilde azalır.
Antisniffers. Kokulama ile mücadele etmenin üçüncü yolu, ağınızda çalışan sniffers tanıyan donanım veya yazılımı yüklemektir. Bu fonlar tehdidi tamamen ortadan kaldıramaz, ancak diğer birçok ağ güvenliği araçları gibi, genel koruma sistemine dahil edilirler. Antisniffers, ana bilgisayarların tepki süresini ölçer ve ana bilgisayarların ekstra trafiği işlemek zorunda olup olmadığını belirleyin. LOFHT ağır endüstrilerinin sağladığı bu fonlardan biri Antisniff denir.
Şifreleme. Kıvrık paketlerle mücadele etmenin bu en etkili yolu, görüşmeyi engellememesine ve sniffers'ın çalışmalarını tanımıyor, ancak bu işi işe yaramaz. İletişim kanalı kriptografik olarak korunuyorsa, hacker bir mesajı yakmaz, ancak şifreli bir metin (yani bitlerin anlaşılmaz sekansı). Bir ağ seviyesindeki Cisco kriptografi, IP protokolünü kullanan cihazlar arasında standart korumalı bir iletişim yöntemi olan bir IPSec protokolüne dayanır. Diğer şifreleme ağ yönetimi protokolleri arasında SSH (Güvenli Kabuk) ve SSL (Güvenli Soket Katmanı) bulunur.
IP Sahte
IP Sahtekarlığı, bir şirketin içinde veya dışında bulunan bir bilgisayar korsanının kendisine yaptırımlı bir kullanıcıya verdiği durumlarda ortaya çıkar. Bu iki şekilde yapılabilir: bir bilgisayar korsanı, yetkili IP adresleri aralığında veya belirli ağ kaynaklarına erişmesine izin verilen yetkili bir harici adresin içinde bulunabilir veya bir IP adresi kullanabilir.
IP Yarpma saldırıları genellikle diğer saldırıların başlangıç \u200b\u200bnoktasıdır. Klasik bir örnek, başkasının hacker'ın gerçek kimliğini gizleyen bir başkasının adresi ile başlayan bir DOS saldırısıdır.
Kural olarak, IP Sahtekarlığı, istemci ve sunucu uygulaması ile eşler arasındaki iletişim kanalı aracılığıyla iletilen normal bir veri akışına yanlış bilgi veya kötü amaçlı komutlar eklemekle sınırlıdır.
İki yönlü bir iletişim için, bilgisayar korsanı, yanlış bir IP adresine trafik göndermek için tüm yönlendirme tablolarını değiştirmelidir. Bununla birlikte, bazı bilgisayar korsanları, uygulamalardan bir cevap almaya bile çalışmaz - eğer ana görev önemli bir dosyanın sisteminden almaksa, uygulama yanıtları önemli değil.
Hakwar, yönlendirme tablolarını değiştirmeyi ve sahte bir IP adresine trafik göndermeyi başarırsa, tüm paketleri alacak ve bunlara onaylanmış bir kullanıcı gibi yanıt verebilir.
Spagling, aşağıdaki önlemleri kullanarak gevşetilebilir (ancak elimine edilmemiş):
- Giriş kontrolu. IP Sahtekarlığını önlemenin en kolay yolu, erişim kontrolünü doğru şekilde yapılandırmaktır. IP sahtekarlığının verimliliğini azaltmak için, harici ağdan gelen trafiği ağınızın içine yerleştirilmesi gereken kaynak adresle kesmek için erişim kontrolünü yapılandırın.
Doğru, yalnızca iç adresler yetkili olduğunda IP sahtekarlığı ile savaşmaya yardımcı olur; Harici ağın bazı adresleri yetkilendirilmişse, bu yöntem etkisiz hale gelir;
- RFC 2827 filtreleme. Ağınızın diğer insanların ağ kullanıcılarını şımartmaya çalışmayı durdurabilirsiniz (ve iyi bir ağ vatandaşı olur). Bunu yapmak için, kaynak adresi, kuruluşunuzun IP adreslerinden biri olmayan, giden herhangi bir trafiği isyan etmek gerekir.
RFC 2827 olarak bilinen bu tür filtreleme, sağlayıcınız (ISS) tarafından da yapılabilir. Sonuç olarak, tüm trafik, belirli bir arayüzde beklenen kaynak adresini yoktur. Örneğin, ISS, IP adresine bir bağlantı sağlıysa 15.1.1.0/24, filtreyi yapılandırabilir, böylece bu arayüzden gelen trafiği ISP yönlendiricisine, 15.1.1.0/24 adresinden izin verilir.
Tüm sağlayıcılar bu tür filtrelemeyi tanıtmadığında, etkinliği mümkün olduğundan daha düşük olacaktır. Ek olarak, filtrelenmiş cihazlardan uzakta, doğru filtreleme yapmak zor olur. Örneğin, erişim yönlendiricisinin seviyesindeki RFC 2827 filtreleme, tüm trafiğin ana ağ adresinden (10.0.0.0.0 / 8) geçtiğinde, dağıtım seviyesinde (bu mimaride) trafiği daha fazla sınırlayabilirsiniz. Doğru bir şekilde (adres - 10.1.5.0/24).
IP Sahtekarlığı ile mücadele etmenin en etkili yöntemi, koklama paketleri durumunda olduğu gibidir: bir saldırı kesinlikle etkisiz hale getirmek gerekir. IP Sahtekarlığı yalnızca, kimlik doğrulamasının IP adresleri temelinde gerçekleşmesi koşuluyla çalışır.
Bu nedenle, ek kimlik doğrulama yöntemlerinin tanıtılması bu tür saldırıları işe yaramaz hale getirir. En iyi ek kimlik doğrulama türü şifrelemedir. Mümkün değilse, iki faktörlü kimlik doğrulama, tek kullanımlık şifreler kullanılarak iyi sonuçlar verebilir.
Hizmet verme
Hizmetin Reddi (DOS), şüphesiz, hacker saldırılarının en ünlü şeklidir. Ek olarak, anti-saldırılar yüzde yüz koruma oluşturmak daha zordur. Bilgisayar korsanları arasında, DOS saldırıları çocukluk eğlencesi olarak kabul edilir ve kullanımı, DOS organizasyonu en az bilgi ve beceri gerektirdiğinden, kullanımı saygılı gülümsemelere neden olur.
Bununla birlikte, uygulama sadeliği ve ağ güvenliğinden sorumlu yöneticilere daha yakın olan DOS'a daha fazla dikkat çeken büyük bir zarar ölçeğidir. DOS saldırıları hakkında daha fazla bilgi edinmek istiyorsanız, en ünlü çeşitlerini, yani şunları göz önünde bulundurmalısınız:
- TCP SYN Sel;
- Ölüm ping;
- Kabile Taşkın Ağı (TFN) ve Kabile Sel Ağı 2000 (TFN2K);
- Trinco;
- Stacheldracht;
- Trinity.
Güvenlik bilgisi hakkında mükemmel bir bilgi kaynağı, bilgisayar sorunları için acil müdahale ekibidir (bilgisayar acil durum müdahale ekibi, CERT), DOS saldırıları ile mücadele etmek için mükemmel işler yayınladı.
DOS saldırıları, diğer türlerin saldırılarından farklıdır. Ağınıza erişmeyi, bu ağdan bilgi almamayı amaçlamazlar, ancak DOS saldırısı ağınızı, işletim sisteminin veya uygulamanın izin verilen sınırlarını aşarak normal kullanım için ağınızı erişilemez hale getirir.
Bazı sunucu uygulamalarını (bir Web sunucusu veya FTP sunucusu gibi) kullanılması durumunda, DOS saldırıları bu uygulamalar için uygun olan tüm bağlantıları işgal etmek ve hizmet sıradan kullanıcılara izin vermemek için onları meşgul bir durumda saklamak olabilir. DOS saldırıları sırasında, TCP ve ICMP gibi sıradan internet protokolleri ( İnternet Kontrol Mesaj Protokolü).
Çoğu DOS saldırısı, güvenlik sisteminde yazılım hataları veya hatalar için tasarlanmamıştır, ancak sistem mimarisinin ortak zayıflıklarıyla ilgilidir. Bazı saldırılar, sıfır ağ performansına düşürülür, istenmeyen ve gereksiz paketlerle ezmek veya şebeke kaynaklarının mevcut durumu hakkında yanlış bilgi vermek.
Bu tür bir saldırının önlenmesi zordur, çünkü bu bir sağlayıcı ile koordinasyon gerektirir. Sağlayıcıdan gelen trafiği durdurmazsanız, ağınızı taşmayı amaçlayan, artık tüm bant genişliği meşgul olacağından, ağın girişinde artık yapamazsınız. Bu türün saldırısı birçok cihazla aynı anda yapıldığında, DOS dağıtılmış saldırıdan (DOS, DDOS) hakkında konuşuyoruz.
DOS tipinin saldırıları tehdidi üç şekilde azaltılabilir:
- Antispofing fonksiyonları. Yönlendiricinizde ve güvenlik duvarlarınızdaki sahte fonksiyonların doğru yapılandırılması, DOS riskinin riskini azaltmaya yardımcı olacaktır. Bu fonksiyonlar en azından RFC 2827 filtrelemesi içermelidir. Hacker gerçek kişiliğini gizleyemezse, saldırı yapmaya karar vermemesi muhtemel değildir.
- Anti-DOS fonksiyonları. Yönlendiriciler ve güvenlik duvarları üzerindeki anti-DOS fonksiyonlarının doğru yapılandırılması, saldırıların etkinliğini sınırlayabilir. Bu fonksiyonlar genellikle yarı açık kanal sayısını istediğiniz zaman sınırlar.
- Trafik Hızı Sınırlaması (Trafik Hızı Sınırlaması). Kuruluş, sağlayıcıdan (ISS) trafik hacmini sınırlandırmasını isteyebilir. Bu tür filtreleme, ağınıza geçen kritik olmayan trafik miktarını sınırlamanızı sağlar. Tipik bir örnek, yalnızca teşhis amaçlı kullanılan ICMP trafiğinin sınırıdır. DOS saldırıları (D) genellikle ICMP tarafından kullanılır.
Şifre Saldırıları
Bilgisayar korsanları, kaba saldırı, Trojan atı, ip sahte ve koklama paketleri gibi bir dizi yöntem kullanarak şifre saldırılarını yapabilir. Oturum açma ve şifre genellikle IP sahte ve koklama paketlerini kullanarak elde edilebilse de, bilgisayar korsanları genellikle çok sayıda erişim girişimini kullanarak bir şifre seçmeye ve oturum açmaya çalışırlar. Bu yaklaşım basit bir büstü (kaba kuvvet saldırısı) adıdır.
Genellikle, kamu kaynağına (örneğin sunucuya) erişmeye çalışan böyle bir saldırı için özel bir program kullanılır. Hakra'nın bir sonucu olarak, kaynaklara erişim sağlandığında, şifreyi seçilen normal bir kullanıcı olarak alır.
Bu kullanıcının önemli erişim ayrıcalıklarına sahipse, bilgisayar korsanı, kullanıcı şifresini ve girişini değiştirse bile hareket edecek gelecekteki erişim için bir "geçiş" oluşturabilir.
Kullanıcılar, birçok sisteme erişmek için aynı (hatta çok iyi) bir şifreyi kullandıklarında başka bir sorun oluşur: Kurumsal, Kişisel ve İnternet sistemlerine. Şifrenin istikrarı, en zayıf konağın kararlılığına eşit olduğundan, bu ana bilgisayar aracılığıyla şifreyi öğrenen hacker, aynı şifrenin kullandığı diğer tüm sistemlere erişim alır.
Metin formunda şifreler kullanmazsanız, parola saldırıları kaçınılabilir. Tek kullanımlık şifreler ve / veya kriptografik kimlik doğrulaması, bu tür saldırıların tehdidini pratik olarak azaltabilir. Ne yazık ki, tüm uygulamalar, ana bilgisayarlar ve cihazlar yukarıdaki kimlik doğrulama yöntemlerini desteklemektedir.
Sıradan şifreleri kullanırken, alması zor olacak şekilde gelmeye çalışın. Minimum şifre uzunluğu en az sekiz karakter olmalıdır. Şifre, üst kayıt sembollerini, sayıları ve özel karakterleri (#,%, $ vb.) İçermelidir.
En iyi şifrelerin, kullanıcıları kağıda kaydetmeye zorladığını hatırlamak zor ve hatırlamak zordur. Bundan kaçınmak için, kullanıcılar ve yöneticiler bir dizi teknolojik gelişme kullanabilirler.
Örneğin, bir cep bilgisayarında saklanabilecek bir şifre listesini şifreleyen uygulama programları var. Sonuç olarak, kullanıcının yalnızca bir zor şifreyi hatırlaması gerekirken, herkes uygulama tarafından güvenli bir şekilde korunacaktır.
Yönetici için, şifre seçimi ile mücadele etme yöntemleri vardır. Bunlardan biri, Windows NT'de şifreleri seçmek için genellikle bilgisayar korsanları kullanan L0PhtCrack aracını kullanmaktır. Bu araç, kullanıcı tarafından seçilen bir şifreyi seçmeyi kolay olup olmadığını hızlıca gösterecektir. Http://www.l0phtcrack.com/ adresinde ek bilgiler elde edilebilir.
Erkek-in-orta tip saldırıları
Ortadaki adamlara saldırmak için, bir Hakwar ağ üzerinden iletilen paketlere erişime ihtiyaç duyar. Sağlayıcıdan başka bir ağa iletilen tüm paketlere bu erişim, örneğin, bu sağlayıcının bir çalışanı alabilir. Bu tür saldırılar için, paket kokuları genellikle kullanılır, taşıma protokolleri ve yönlendirme protokolleri.
Saldırılar, bilgi hırsızlığına, mevcut oturumun durdurulması ve özel ağ kaynaklarına erişmek, trafiği analiz etmek ve ağ ve kullanıcıları hakkında bilgi edinmek, DOS saldırıları, iletilen verilerin bozulması ve ağa yetkisiz bilgileri girin. oturumlar.
Orta saldırılarla yalnızca kriptografi ile birlikte etkili bir şekilde başa çıkmak mümkündür. Hacker şifreli oturumun verilerini yakalarsa, ekranda ele alınmaz ve anlamsız bir karakter kümesidir. Hacker şifreleme oturumu hakkında bilgi alırsa (örneğin, oturum anahtarı), o zaman bu, şifreli bir ortamda bile olası bir orta atakta bulunabilir.
Uygulama seviyesindeki saldırılar
Uygulamaların seviyesindeki saldırılar birkaç şekilde gerçekleştirilebilir. En yaygın olanı, sunucu yazılımı (Sendmail, HTTP, FTP) tanınmış zayıflıklarının kullanımıdır. Bu zayıf yönleri kullanarak, bilgisayar korsanları, uygulama ile çalışan bir kullanıcı adına bir bilgisayara erişebilir (genellikle bu basit bir kullanıcı değil, sistem erişim haklarına sahip ayrıcalıklı bir yönetici).
Uygulama seviyesindeki saldırı bilgisi, yöneticilere düzeltme modülleri (yamalar) yardımıyla sorunu düzeltme fırsatı vermek için yaygın olarak yayınlanmaktadır. Ne yazık ki, birçok bilgisayar korsanının da geliştirilmesini sağlayan bu bilgilere de erişebilir.
Uygulama seviyesindeki saldırılarla ilgili ana sorun, bilgisayar korsanlarının genellikle güvenlik duvarından geçmesine izin verilen bağlantı noktaları kullanmasıdır. Örneğin, iyi bilinen bir Web sunucusu zayıflığını işleten bir hacker, genellikle TCP saldırısı süresince bağlantı noktası 80'i kullanır. Web sunucusu web sayfası kullanıcıları sunduğundan, güvenlik duvarı bu bağlantı noktasına erişim sağlamalıdır. Güvenlik duvarı açısından, saldırı, 80 numaralı bağlantı noktası için standart trafik olarak kabul edilir.
Uygulama seviyesindeki saldırıları tamamen ortadan kaldırmak imkansızdır. Bilgisayar korsanları sürekli olarak yeni açılır ve yayınlar, internetteki uygulamalara karşı savunmasızdır. Buradaki en önemli şey iyi sistem yönetimidir. İşte bu tür saldırıların kırılganlığını azaltmak için alınabilecek bazı önlemler:
- İşletim sistemlerinin ve ağ günlük dosyalarının günlük dosyalarını okuyun ve / veya özel analitik uygulamaları kullanarak bunları analiz edin;
- uygulama programlarının zayıf yerleri hakkında veri göndermek için hizmetlere abone olun: BugTrad (http://www.securityfocus.com).
Ağ araştırması
Ağ araştırması, kamuya açık veri ve uygulamaları kullanarak ağ bilgileri denir. Herhangi bir ağa karşı bir saldırı hazırlarken, hacker genellikle bunu mümkün olduğunca fazla bilgi almaya çalışır. Ağ zekası, DNS istekleri, yankı testi ve bağlantı noktası taraması şeklinde gerçekleştirilir.
DNS, kimin bir veya başka bir etki alanına sahip olduğunu ve hangi adreslerin bu etki alanına atandığını anlamaya yardımcı olur. DNS kullanılarak açıklanan adreslerin yankı testi, hangi ana bilgisayarların bu ortamda çalıştığını görmenizi sağlar. Ana bilgisayarların bir listesini aldıktan sonra, Hacker, bu ana bilgisayarlar tarafından desteklenen hizmetlerin eksiksiz bir listesini yapmak için port tarama araçlarını kullanır. Son olarak, hacker, ana bilgisayarlarda çalışan uygulamaların özelliklerini analiz eder. Sonuç olarak, hack için kullanılabilecek bilgileri üretir.
Ağ zekasından kurtulmak imkansızdır. Örneğin, ICMP Echo ve Echo Cevabını çevresel yönlendiricilere devre dışı bırakınsa, echo testinden kurtulur, ancak ağ arızalarını teşhis etmek için gerekli verileri kaybettiniz.
Ek olarak, portları tarayabilir ve önceki yankı testi olmadan - varolmayan IP adreslerinin taramak zorunda kalacağı için daha fazla zaman alır. Ağ düzeyindeki IDS sistemi ve ana bilgisayarlar genellikle yöneticiyi ağ araştırması hakkında bilgilendirme göreviyle başa çıkmaktadır; bu, yaklaşan saldırılara daha iyi hazırlanmayı ve sistemin ağa yüklendiği sağlayıcıya (ISS) bildirilmesini mümkün kılan. Bu aşırı merakı ortaya koyuyor:
- İşletim sistemlerinin ve uygulamaların en son sürümlerini ve en son düzeltme modüllerini (yamalar) kullanın;
- sistem yönetimine ek olarak, saldırı tanıma sistemlerini (IDS) kullanın - karşılıklı olarak tamamlayıcı teknolojiler kimliği:
- iDS Ağ Sistemi (NIDS), belirli bir etki alanından geçen tüm paketleri izler. NIDS sistemi, iyi bilinen veya muhtemel bir saldırının imzalanmasıyla eşleşen bir paketi veya seriyi gördüğünde, alarm üretir ve / veya oturumu durdurur;
- iDS (HIDS) sistemi, ana bilgisayarı yazılım ajanlarını kullanarak korur. Bu sistem yalnızca bir ana bilgisayara karşı saldırılarla mücadele ediyor.
Bir IDS sistemi, belirli saldırıların veya saldırı türlerinin profilleri olan saldırı imzalarını kullanır. İmzalar, trafiğin hacker olarak kabul edildiği koşulları belirler. Fiziksel dünyadaki kimliklerin analogları bir uyarı sistemi veya gözlem odası olarak kabul edilebilir.
En büyük dezavantaj kimlikleri, alarm oluşturma yetenekleridir. Yanlış alarm sayısını en aza indirmek ve ağdaki IDS sisteminin doğru çalışmasını sağlamak için, bu sistemin kapsamlı bir ayarı gereklidir.
Güvensizlik
Aslında, bu tür bir eylem, bir saldırı veya saldırı ile kelimenin tam anlamında değildir. Ağda var olan güven ilişkilerinin kötü niyetli kullanımıdır. Klasik bir kötüye kullanım örneği, kurumsal ağın periferik kısmındaki durumdur.
Bu segmentte, DNS, SMTP ve HTTP sunucuları genellikle bulunur. Hepsi aynı segmente ait olduğundan, bunlardan herhangi birini hacklemek, bu sunucular ağlarının diğer sistemlerine güvendiğinden, diğerlerini hacklemeye yol açar.
Başka bir örnek, iç tarafında kurulu olan sistemle ilişkisi olan sistemdir. Güvenlik duvarının dışına monte edilir. Dış sistemi hackleme durumunda, bilgisayar korsanı, bir güvenlik duvarı tarafından korunan sisteme penetrasyon için güven ilişkisini kullanabilir.
Ağın içindeki güven seviyelerinin daha sert kontrolü nedeniyle aşırı taciz riski azaltılabilir. Güvenlik duvarının dış tarafında bulunan sistemler, her koşulda, ekran tarafından korunan sistemden mutlak güven kullanmalıdır.
Güven ilişkilerinin belirli protokollerle sınırlı olması ve mümkünse, yalnızca IP adresleriyle değil, diğer parametrelerle de doğrulanmalıdır.
İletme limanları
Yönlendirme bağlantı noktaları, hacklenmiş bir ev sahibi, trafik ekranı aracılığıyla aksi takdirde tanımlanacak olan, trafik ekranı ile iletmek için kullanıldığında bir güven sui kullanımıdır. Her biri belirli bir ana bilgisayara bağlı olan üç arayüze sahip bir güvenlik duvarı hayal edin.
Harici ana bilgisayar, paylaşılan erişim ana bilgisayarına (DMZ) bağlanabilir, ancak güvenlik duvarının içine yüklü olanlara bağlanabilir. Genel erişim ev sahibi ayrıca iç ve dış ana bilgisayara da bağlanabilir. Hacker genel erişim ana bilgisayarını yakalarsa, üzerinde bir yazılım aracı yükleyebilecek, harici bir barındıran trafiği doğrudan içe yönlendirir.
Ekranda hareket eden tek bir kuralı ihlal etmemesine rağmen, yeniden yönlendirme sonucu harici ana bilgisayar güvenli bir ana bilgisayara doğrudan erişim alır. Bu erişim sağlayabilecek bir uygulamanın örneği NETCAT'dir. Daha fazla bilgi için http://www.avian.org adresini ziyaret edin.
Bağlantı noktası iletmeyi mücadelenin ana yolu, güvenilir güven modellerini kullanmaktır (önceki bölüme bakın). Ek olarak, bilgisayar korsanının yazılım kimlik sisteminizi ana bilgisayarda (HIDS) kurmasını önlemek için.
Yetkisiz Erişim
Yetkisiz erişim ayrı bir saldırı türüne tahsis edilemez, çünkü çoğu ağ saldırısı yetkisiz erişimin alınması için tutulur. Telnet'in giriş bilgilerini bulmak için, hacker önce telnet ucunu sisteminde almalıdır. Telnet portuna bağlandıktan sonra, bu kaynağı kullanmak için gereken yetkilendirme ekranda görünür (" Bu kaynağı kullanmak için yetkilendirmeye ihtiyacınız var»).
Bundan sonra hacker erişim girişimlerine devam edecekse, yetkisiz olarak kabul edilirler. Bu tür saldırıların kaynağı hem ağın içinde hem de dışarıda olabilir.
İzinsiz erişimle mücadele etmenin yolları oldukça basittir. Buradaki ana şey, yetkisiz bir protokol kullanarak sisteme erişmek için hacker yeteneklerinin ortadan kaldırılmasını azaltmak veya tamamlamaktır.
Örnek olarak, Hacker Erişiminin, Sunucudaki Telnet Bağlantı Noktası'na, dış kullanıcılara web hizmetleri sağlayan önlenmeyi düşünebilirsiniz. Bu bağlantı noktasına erişimi olan hacker ona saldıramaz. Güvenlik duvarına gelince, asıl görevi, yetkisiz erişimin en basit girişimlerini önlemektir.
"Trojan At" gibi virüsler ve uygulamalar
Son kullanıcıların iş istasyonları virüslere ve Truva atlarına çok savunmasızdır. Virüslerin, son kullanıcı iş istasyonunda belirli bir istenmeyen işlevi gerçekleştirmek için diğer programlara tanıtılan kötü amaçlı programlar olarak adlandırılır. Örnek olarak, Commud.com dosyasında (Windows sistemlerinin ana tercümanı) öngörülen bir virüs getirebilirsiniz ve diğer dosyaları siler ve Command.com'un diğer tüm sürümlerini enfekte edebilirsiniz.
Truva atı bir yazılım eki değildir, ancak ilk bakışta yararlı bir uygulama görünen gerçek bir programdır, ancak aslında zararlı bir rol yürütür. Tipik bir Trojan atının bir örneği, kullanıcının iş istasyonu için basit bir oyuna benzeyen bir programdır.
Bununla birlikte, kullanıcı oyun oynarken, program kopyasını bu kullanıcının adres defterinde listelenen her bir aboneye e-posta ile gönderir. Tüm aboneler posta yoluyla alınır, daha fazla dağıtımına neden olur.
Virüslere ve Trojan atlarına karşı mücadele, kullanıcı düzeyinde çalışan ve muhtemelen ağ düzeyinde çalışan etkili anti-virüs yazılımı kullanılarak gerçekleştirilir. Anti-virüs ilaçları çoğu virüs ve trojan atlarını keşfeder ve dağıtımlarını durdurur.
Virüsler hakkında en son bilgileri almak, onları daha verimli bir şekilde savaşmanıza yardımcı olacaktır. Yeni virüsler ve Trojan atları göründüğü gibi, şirket antivirüs ve uygulamaların yeni sürümlerini kurmalıdır.
Makaleyi yazarken, Cisco sistemleri tarafından sağlanan malzemeler kullanılır.
İyi kötü
JSQL Enjeksiyonu Kullanma Talimatları - Kali Linux GR'de SQL Enjeksiyonları Arama ve Çalıştırmak İçin Çok İşlevli Aracı
AlışverişGıda: Can sıkıcı spam nasıl kaldırılır?
Tüm Arkadaşlara Mesaj Göndermek Vkontakte
Hacker Becerileri Nasıl Satın Alınır
Pençe pazarlaması için en iyi araçlar