Защита от сетевых атак. Виды атак
Виды атак
Проникновение в компьютерную сеть осуществляется в форме атак.
Атака – это такое событие, при котором посторонние лица пытаются проникнуть внутрь чужых сетей. Современная сетевая атака зачастую предполагает использование уязвимых мест программного обеспечения. Одними из распространенных в начале 2000-х годов были точечные атаки по типу «отказ в обслуживании», DoS (Dental of Service) и распределенные атаки DDoS (Distributed DoS). Атака DoS делает объект нападения недоступным для обычного применения за счет превышения допустимых пределов функционирования такого сетевого устройства. DoS – атака относится к точечной (сосредоточенной), так как поступает от одного источника. В случае распределенной DDoS, нападение осуществляется из множества источников, распределенных в пространстве, зачастую принадлежащим к различным сетям. Несколько лет назад стал применяться термин вредоносный программный код ВПК, который обозначает вирусы, черви, троянские системы, средства для сетевых атак, рассылку спама и другие нежелательные для пользователя действия. Учитывая разнообразный характер угроз, современные системы защиты стали многоуровневыми и приобрели комплексный характер. Сетевые черви распространяют свои копии по компьютерным сетям с помощью электронной почты, обмена сообщениями. Наиболее распространенные сегодня троянские программы, совершающие несанкционированные действия: они разрушают данные, используют ресурсы компьютеров в злонамеренных целях. К числу наиболее опасных троянских программ относятся шпионское программное обеспечения. Оно собирает информацию о всех действиях пользователя, а затем незаметно для него передает эту информацию злоумышленникам. Год 2007 можно назвать годом «смерти» некоммерческих вредоносных программ. Никто уже не разрабатывает эти программы для самовыражения. Можно отметить, что в 2007 году ни одна вредоносная программа не имела бы под собой финансовой подоплеки. Одной из новых вредоносных программ считается «Штормовой червь» (Storm Worm), который появился в январе 2007 года. Для распространения червь использовал как традиционные возможности, например, e-mail, так и распространение в виде видеофайлов. Техника сокрытия своего присутствия в системе (руткиты) могут применяться не только в троянских программах, но и в файловых вирусах. Вредоносные программы теперь стремятся выжить в системе даже после их обнаружения.
Одним из опасных способов сокрытия их присутствия - использование технологии заражения загрузочного сектора жесткого диска – так называемые «буткиты». Такая вредоносная программа может получить управление еще до загрузки основной части ОС.
Круг проблем безопасности уже не ограничивается задачей защиты от вирусов, с которыми приходилось сталкиваться примерно пять лет назад. Опасность внутренних утечек в информации стала более серьезной, чем внешние угрозы. Кроме того, с началом XXI века целью компьютерной преступности стало хищение экономической информации, банковых счетов, нарушение работоспособности информационных систем конкурентов, массовая рассылка рекламы. Не меньшую, а порой даже большую угрозу для корпоративных IT-систем представляют инсайдеры – работники компаний, имеющие доступ к конфиденциальной информации и использующие ее в неблагоприятных целях. Многие эксперты считают, что ущерб, наносимый инсайдерами не менее значительный, чем приносимый вредоносным ПО. Характерно, что значительная часть утечек информации происходит не по вине злоумышленных действий сотрудников, а из-за их невнимательности. Главными техническими средствами борьбы с подобными факторами должны быть средства аутентификации и администрирования доступа к данным. Тем не менее, число инцидентов продолжает расти (за последние годы примерно на 30% в год). Постепенно средства защиты от утечек/инсайдеров начинают интегрироваться в общую систему защиты информации. В заключении приведем обобщенную классификацию сетевых угроз (Рис. 11.3)
1. Перехват пакетов.
Сниффер пакетов (от англ. sniff - нюхать) представляет собой прикладную программу, которая использует сетевой интерфейс, работающий в «неразборчивом» режиме (от англ. promiscuous mode). В этом режиме сетевой адаптер позволяет принимать все пакеты, полученные по физическим каналам, независимо от того кому они адресованы и отправляет приложению для обработки. В настоящее время снифферы используются в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Однако из-за того, что некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли).
Перехват логинов и паролей создает большую опасность. Если приложение работает в режиме «клиент-сервер», а аутентификационные данные передаются по сети в читаемом текстовом формате, то эту информацию с большой долей вероятности можно использовать для доступа к другим корпоративным или внешним ресурсам. В самом худшем случае злоумышленник получит доступ к пользовательскому ресурсу на системном уровне и с его помощью создает нового пользователя, которого можно в любой момент использовать для доступа в сеть и к ее ресурсам.
2. IP-спуфинг.
IP-спуфинг (от англ. spoof - мистификация) происходит в том случае, когда злоумышленник, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя. Этого можно достичь двумя способами:
а) использование IP-адреса, находящегося в пределах диапазона санкционированных IP-адресов;
Атаки IP-спуфинга часто являются начальным этапом для прочих атак. Классический пример -- атака DoS, которая начинается с чужого адреса, скрывающего истинную личность злоумышленника.
Как правило, IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между одноранговыми устройствами. Для двусторонней связи злоумышленник должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес.
Если же злоумышленник сумел поменять таблицы маршрутизации и направить сетевой трафик на ложный IP-адрес, то он получит все пакеты и сможет отвечать на них так, как будто является санкционированным пользователем.
3. Отказ в обслуживании.
Отказ в обслуживании (от англ. Denial of Service, сокращенно DoS), без сомнения, является наиболее известной формой сетевых атак. Кроме того, против атак такого типа труднее всего создать стопроцентную защиту. Для организации DoS требуется минимум знаний и умений. Тем не менее именно простота реализации и огромные масштабы причиняемого вреда привлекают злоумышленников к DoS-атакам.
Данная атака существенно отличается от других видов атак. Злоумышленники не имеют своей целью получение доступа к сети, а также получение из этой сети какой-либо информации, но атака DoS делает вашу сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения. В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания рядовых пользователей. В ходе атак DoS могут использоваться обычные интернет-протоколы, такие как TCP и ICMP.
Некоторые атаки сводят к нулю производительность сети, переполняя ее нежелательными и ненужными пакетами или сообщая ложную информацию о текущем состоянии сетевых ресурсов. Когда атака данного типа проводится одновременно через множество устройств, мы говорим о распределенной атаке DoS (от англ. distributed DoS, сокращенно DDoS).
4. Парольные атаки.
Злоумышленники могут проводить парольные атаки с помощью целого ряда методов, таких как простой перебор (brute force attack), троянский конь, IP-спуфинг и сниффинг пакетов. Не смотря на то, что логин и пароль зачастую можно получить при помощи IP-спуфинга и сниффинга пакетов, злоумышленники нередко пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название простого перебора.
Для такой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате злоумышленнику предоставляется доступ к ресурсам, то он получает его на правах пользователя, пароль которого был подобран. Если данный пользователь имеет значительные привилегии доступа, злоумышленник может создать себе «проход» для будущего доступа, который будет действовать, даже если пользователь изменит свой пароль.
5. Атаки типа «человек посередине».
Для атаки типа человек посередине (от англ. Man-in-the-Middle) злоумышленнику нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера. Для атак данного типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.
6. Атаки на уровне приложений.
Атаки на уровне приложений могут проводиться несколькими способами. Самый распространенный из них -- использование хорошо известных слабостей серверного программного обеспечения (sendmail, HTTP, FTP). Используя эти слабости, злоумышленники могут получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно это бывает не простой пользователь, а привилегированный администратор с правами системного доступа). Сведения об атаках на уровне приложений широко публикуются, чтобы дать администраторам возможность исправить проблему с помощью коррекционных модулей (патчей). К сожалению, многие хакеры также имеют доступ к этим сведениям, что позволяет им совершенствоваться.
Главная проблема при атаках на уровне приложений заключается в том, что злоумышленники часто пользуются портами, которым разрешен проход через межсетевой экран (firewall). К примеру, злоумышленник, эксплуатирующий известную слабость Web-сервера, часто использует в ходе атаки ТСР порт 80. Поскольку web-сервер предоставляет пользователям Web-страницы, то межсетевой экран должен обеспечивать доступ к этому порту. С точки зрения межсетевого экрана атака рассматривается как стандартный трафик для порта 80.
7. Сетевая разведка.
Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети злоумышленник, как правило, пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, злоумышленник использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. И наконец, он анализирует характеристики приложений, работающих на хостах. В результате он добывает информацию, которую можно использовать для взлома.
8. Злоупотребление доверием.
Собственно говоря, этот тип действий не является в полном смысле слова атакой или штурмом. Он представляет собой злонамеренное использование отношений доверия, существующих в сети. Классическим примером такого злоупотребления является ситуация в периферийной части корпоративной сети. В этом сегменте часто располагаются серверы DNS, SMTP и HTTP. Поскольку все они принадлежат к одному и тому же сегменту, взлом любого из них приводит к взлому всех остальных, так как эти серверы доверяют другим системам своей сети. Другим примером является установленная с внешней стороны межсетевого экрана система, имеющая отношения доверия с системой, установленной с его внутренней стороны. В случае взлома внешней системы злоумышленник может использовать отношения доверия для проникновения в систему, защищенную межсетевым экраном.
9. Переадресация портов.
Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран трафика, который в противном случае был бы обязательно отбракован. Представим себе межсетевой экран с тремя интерфейсами, к каждому из которых подключен определенный хост. Внешний хост может подключаться к хосту общего доступа (DMZ), но не к тому, что установлен с внутренней стороны межсетевого экрана. Хост общего доступа может подключаться и к внутреннему, и к внешнему хосту. Если злоумышленник захватит хост общего доступа, он сможет установить на нем программное средство, перенаправляющее трафик с внешнего хоста прямо на внутренний. Хотя при этом не нарушается ни одно правило, действующее на экране, внешний хост в результате переадресации получает прямой доступ к защищенному хосту. Примером приложения, которое может предоставить такой доступ, является netcat.
10. Несанкционированный доступ.
Несанкционированный доступ не может быть выделен в отдельный тип атаки, поскольку большинство сетевых атак проводятся именно ради получения несанкционированного доступа. Чтобы подобрать логин Тelnet, злоумышленник должен сначала получить подсказку Тelnet на своей системе. После подключения к порту Тelnet на экране появляется сообщение «authorization required to use this resource» («Для пользования этим ресурсом нужна авторизация»). Если после этого злоумышленник продолжит попытки доступа, они будут считаться несанкционированными. Источник таких атак может находиться как внутри сети, так и снаружи.
11. Вирусы и приложения типа «троянский конь»
Рабочие станции конечных пользователей очень уязвимы для вирусов и троянских коней. Вирусами называются вредоносные программы, которые внедряются в другие программы для выполнения определенной нежелательной функции на рабочей станции конечного пользователя. В качестве примера можно привести вирус, который прописывается в файле command.com (главном интерпретаторе систем Windows) и стирает другие файлы, а также заражает все другие найденные им версии command.com.
Троянский конь -- это не программная вставка, а настоящая программа, которая на первый взгляд кажется полезным приложением, а на деле исполняет вредную роль. Примером типичного троянского коня является программа, которая выглядит, как простая игра для рабочей станции пользователя. Однако пока пользователь играет в игру, программа отправляет свою копию по электронной почте каждому абоненту, занесенному в адресную книгу этого пользователя. Все абоненты получают по почте игру, вызывая ее дальнейшее распространение .
Из класса сетевых атак можно выделить атаки, которые вызывают подозрительное, аномальное поведение сетевого трафика в корпоративной сети. Это так называемые сетевые аномалии. Сетевые аномалии можно также проклассифицировать. Их можно разделить на две основные группы: программно-аппаратные отклонения и проблемы безопасности (Рис. 1.2.1.)
1. Программно-аппаратные отклонения.
Ошибки программного обеспечения компонентов информационной системы могут повлечь за собой перевод в нештатный режим с последующим прекращением предоставления сервисов.
Ошибки конфигурирования переводят функциональные возможности компонентов информационной системы в несоответствие штатным проектным параметрам, что нарушает общую работоспособность.
Нарушения производительности влекут за собой выход параметров информационной сисетмы за пределы расчетных значений, что сопровождается нарушением обеспечения предоставления сервисов.
Аппаратные неисправности могут повлечь за собой как полный выход из строя отдельных компонентов информационной системы, так и деградирующее влияние отдельной подсистемы на весь комплекс.
2. Нарушения безопасности.
Сетевое сканирование (network scan) производится с целью анализа топологии сети и обнаружения доступных для атаки сервисов. В процессе сканирования производится попытка соединения с сетевыми сервисами методом обращения по определенному порту. В случае открытого сканирования сканер выполняет трехстороннюю процедуру квитирования, а в случае закрытого (stealth) - не завершает соединение. Так как при сканировании отдельного хоста происходит перебор сервисов (портов), то данная аномалия характеризуется попытками обращения с одного IP адреса сканера на определенный IP адрес по множеству портов. Однако, чаще всего сканированию подвергаются целые подсети, что выражается в наличии в атакованной сети множества пакетов с одного IP адреса сканера по множеству IP адресов исследуемой подсети, иногда даже методом последовательного перебора. Наиболее известными сетевыми сканерами являются: nmap, ISS, satan, strobe, xscan и другие.
Анализаторы трафика или снифферы предназначены для перехвата и анализа сетевого трафика. В простейшем случае для этого производится перевод сетевого адаптера аппаратного комплекса в прослушивающий режим и потоки данных в сегменте, к которому он подключен, становятся доступны для дальнейшего изучения. Так как многие прикладные программы используют протоколы, передающие информацию в открытом, незашифрованном виде, работа снифферов резко снижает уровень безопасности. Отметим, что выраженных аномалий в работе сети снифферы не вызывают. Наиболее известными снифферами являются: tcpdump, ethereal, sniffit, Microsoft network monitor, netxray, lan explorer.
В компьютерной безопасности термин уязвимость (vulnerability) используется для обозначения слабозащищенного от несанкционированного воздействия компонента информационной системы. Уязвимость может являться результатом ошибок проектирования, программирования или конфигурирования. Уязвимость может существовать только теоретически или иметь эксплуатирующую программную реализацию - эксплоит. В сетевом аспекте уязвимостям могут быть подвержены информационные ресурсы, такие как операционные системы и ПО сервисов.
Вирусная сетевая активность является результатом попыток распространения компьютерных вирусов и червей, используя сетевые ресурсы. Чаще всего компьютерный вирус эксплуатирует какую-нибудь единственную уязвимость в сетевой прикладной службе, поэтому вирусный трафик характеризуется наличием множества обращений с одного зараженного IP адреса ко многим IP адресам по определенному порту, соответствующему потенциально уязвимому сервису.
Удалённая сетевая атака - это информационное разрушающее воздействие на распределённую вычислительную систему (РВС), которое осуществляется по каналам связи.
По причине того, что проведение удаленной атаки достаточно трудно выявить, а провести ее относительно просто (из-за избыточной функциональности современных систем) этот вид неправомерных действий выходит на первое место по степени опасности. По характеру воздействия атаки бывают пассивные и активные. К первым относятся те, что не оказывают прямое влияние на работу РВС, но способны нарушить ее политику безопасности. Именно из-за отсутствия прямого влияния на систему, такую атаку обнаружить сложно. Активное воздействие на РВС – это такое, которое оказывает непосредственное влияние на работу системы, нарушает ее работоспособность, изменяет конфигурацию и т.д. При активном типе атаки в системе возникают некоторые изменения, в то время как при пассивном воздействии не остается видимых следов.
При любой атаке главная цель, как правило – это получение несанкционированного доступа к информации. Получение информации бывает двух видов: перехват и искажение. При перехвате получают информацию без возможности ее изменения. Искажение или подмен данных ведет к нарушению их целостности. Таким образом, по цели воздействия сетевые атаки можно разделить на те, которые нарушают функционирование системы, целостность информационных ресурсов или же их конфиденциальность.
Информационные и сетевые технологии развиваются и меняются настолько быстро, что статичные защитные механизмы, такие как разграничение доступа, системы аутентификации не могут во многих случаях обеспечить эффективную защиту. Требуются именно динамические методы, которые позволяют в короткий срок обнаруживать и предотвращать нарушения безопасности. Одной из таких систем, позволяющих отслеживать нарушения, которые не идентифицируются с помощью традиционных моделей контроля доступа, является технология обнаружения атак.
Обнаружение атак – это процесс распознавания и реагирования на подозрительную деятельность, направленную на сетевые или вычислительные ресурсы. Эффективность технологии во многом зависит от того, какие методы анализа полученной информации применяют. В настоящее время наряду со статистическим методом используется ряд новых методик, таких как экспертные системы и нейронные сети. Разберем каждый метод по отдельности.
Статистический анализ. Этот подход имеет два основных преимущества: использование зарекомендовавшего себя аппарата математической статистики и адаптация к поведению субъекта. В самом начале использования данного метода определяются профили для каждого субъекта анализируемой системы. Любое отклонение используемого профиля от эталона рассматривается как несанкционированная деятельность. Статистические методы универсальны, так как не требуют знаний о возможных атаках и уязвимостях системы. Однако при их использовании могут возникать некоторые трудности, связанные, например, с тем, что их можно «обучить» воспринимать несанкционированные действия как нормальные. Поэтому наряду со статистическим анализом применяются дополнительные методики.
Экспертные системы. Этот метод обнаружения атак является весьма распространенным. При его использовании информация об атаках формулируется в виде правил, которые, зачастую, записывают в виде последовательности действий или в форме сигнатуры.
Если выполняется любое из этих правил, то тут же принимается решение о наличии несанкционированной деятельности. Одно из главных достоинств этого метода — практически полное отсутствие ложных тревог. Для того чтобы экспертные системы всегда оставались актуальными, необходимо постоянно обновлять применяемые базы данных постоянно. Недостаток такого метода заключается в невозможности отражения неизвестных атак. Даже если атаку из базы данных немного изменят, то это уже может стать серьезным препятствием для ее обнаружения.
Нейронные сети. Из-за того, что хакеров и вариантов атак становится с каждым днем все больше, экспертные системы, даже в условиях постоянного обновления баз данных не могут дать гарантии точной идентификации каждого возможного вторжения. Как один из способов преодоления данной проблемы используются нейронные сети. Нейронная сеть анализирует информацию и предоставляет возможность дать оценку, насколько согласуются данные с распознаваемыми ей характеристиками. Для этого нейросеть обучают точной идентификации на подобранной выборке примеров из предметной области. Реакция нейронной сети подвергается анализу, после чего систему настраивают таким образом, чтобы достичь удовлетворительных результатов. По мере того, как нейросеть проводит анализ данных, она набирается дополнительного опыта.
Одно из важных преимуществ нейронных сетей — это их способность учитывать характеристики атак, идентифицируя элементы, не похожие на изученные.
Из-за того, что названные методы обнаружения атак имеют свои недостатки, их, как правило, используют в совокупности для обеспечения более надежной защиты.
Чтобы обеспечить безопасность компьютера, нужно знать, какие сетевые атаки могут ему угрожать. Все известные угрозы можно условно разделить на три группы:
Сканирование портов – данные угрозы сами по себе атакой не являются, но, как правило, ей предшествуют, так как это один из способов получить информацию об удаленном компьютере. Суть данного способа заключается в сканировании UDP/TCP-портов, которые используются сетевыми сервисами на нужном компьютере для выявления их состояния. Такой процесс помогает понять, какие атаки на данную систему могут быть удачными, а какие нет. Более того, сканирование дает злоумышленнику необходимые сведения об операционной системе, что позволяет подобрать еще более подходящие типы атак.
DOS -атаки – они еще известны, как «отказ в обслуживании». Это такие атаки, в результате действия которых атакуемая система приходит в нестабильное или же полностью нерабочее состояние. Их последствия могут включать в себя повреждение или разрушение информационных ресурсов и невозможность их использования.
DOS-атаки бывают двух типов. :
— компьютеру-жертве отправляются специально сформированные пакеты, которые приводят к перезагрузке системы или ее остановке
— компьютеру-жертве отправляется большое количество пакетов в единицу времени, он не справляется с их обработкой. Следствие – исчерпание ресурсов системы.
Атаки-вторжения. Их цель – «захват» системы. Такой тип атак самый опасный, так как при успешном их выполнении злоумышленник получает максимально полную информацию о системе.Атаки-вторжения применяются в тех случаях, когда есть необходимость в получении конфиденциальных данных с удаленного компьютера, такие как пароли и доступ к кредитным картам. Также целью таких атак может быть закрепление в системе для того, чтобы впоследствии в целях злоумышленника использовать ее вычислительные ресурсы. К данной группе относится самое большое количество атак.
Более распространенные виды атак, которые используют сетевые сервисы операционной системы:
— Атаки на переполнение буфера. Этот тип уязвимостей в программном обеспечении, который возникает из-за отсутствия или недостаточной меры контроля при работе с массивами данных.
— Атаки, основанные на ошибках форматных строк. Такой тип возникает из-за недостаточной степени контроля значений входных параметров функций форматного ввода-вывода. В том случае, если такая уязвимость находится в программном обеспечении, то злоумышленник может получить абсолютный контроль над системой.
Для того чтобы защитить свой персональный компьютер (ПК) от сетевых атак нужно установить качественный антивирус, а так же программу — защитника под названием FireWall. Эта программа контролирует все, что уходит и приходит по сети, защищает ваш компьютер от взломов и атак из сети, а также предотвращает передачу личной информации. FireWall решает вопрос о сканировании портов, о котором говорилось выше: софт делает компьютер невидимым в сети, закрывая все порты. Кроме того, эта программа не пропускает в сеть личные данные даже при заражении системы троянскими вирусами (целью которых является как раз кража конфиденциальной информации). Даже в том случае, если вы считаете, что на вашем ПК нет ничего, что может быть нужным преступнику, то все равно не стоит пренебрегать установкой вышеназванного софта, так как ваш компьютер после атаки может использоваться хакером для проведения атак или взлома других машин.
Существует огромное множество различных конфигураций компьютеров, операционных систем и сетевого оборудования, однако, это не становится препятствием для доступа в глобальную сеть. Такая ситуация стала возможной, благодаря универсальному сетевому протоколу TCP/IP, устанавливающему определенные стандарты и правила для передачи данных через интернет. К сожалению, подобная универсальность привела к тому, что компьютеры, использующие данный протокол, стали уязвимы для внешнего воздействия, а поскольку протокол TCP/IP используется на всех компьютерах, подключенных к интернету, у злоумышленников нет необходимости разрабатывать индивидуальные средства доступа к чужим машинам.
Сетевая атака – это попытка воздействовать на удаленный компьютер с использованием программных методов. Как правило, целью сетевой атаки является нарушение конфиденциальности данных, то есть, кража информации. Кроме того, сетевые атаки проводятся для получения доступа к чужому компьютеру и последующего изменения файлов, расположенных на нем.
Есть несколько типов классификации сетевых атак. Один из них – по принципу воздействия. Пассивные сетевые атаки направлены на получение конфиденциальной информации с удаленного компьютера. К таким атакам, например, относится чтение входящих и исходящих сообщений по электронной почте. Что касается активных сетевых атак, то их задачей является не только доступ к тем или иным сведениям, но и их модификация. Одно из наиболее значимых различий между этими типами атак заключается в том, что обнаружить пассивное вмешательство практически невозможно, в то время как последствия активной атаки, как правило, заметны.
Кроме того, атаки классифицируются по тому, какие задачи они преследуют. Среди основных задач, как правило, выделяют нарушение работы компьютера, несанкционированный доступ к информации и скрытое изменение данных, хранящихся на компьютере. К примеру, взлом школьного сервера с целью изменить оценки в журналах относится к активным сетевым атакам третьего типа.
Технологии защиты
Методы защиты от сетевых атак разрабатываются и совершенствуются постоянно, однако полной гарантии ни один из них не дает. Дело в том, что любая статичная защита имеет слабые места, так как невозможно защититься от всего сразу. Что же касается динамических методов защиты, таких как статистические, экспертные, защиты с нечеткой логикой и нейронные сети, то они тоже имеют свои слабые места, поскольку основаны преимущественно на анализе подозрительных действий и сравнении их с известными методами сетевых атак. Следовательно, перед неизвестными типами атак большинство систем защиты пасует, начиная отражение вторжения слишком поздно. Тем не менее, современные защитные системы позволяют настолько осложнить злоумышленнику доступ к данным, что рациональнее бывает поискать другую жертву.
Наши компьютерные системы уязвимы к различным видам атак. Для защиты системы от этих атак,важно знать,распространенные компьютерные атаки.В сегодняшнем мире это стало почти обыденной ситуацией,когда мы слышим о персональных компьютерных системах или сетях,которые подвергаются нападению. В наш век технологий, существуют различные типы компьютерных атак,от которых надо защитить свои драгоценные данные, системы и сети.В то время как некоторые атаки могут просто повредить данные на компьютере, есть и другие атаки, где данные из компьютерной системы могут быть украдены,а также другие атаки, когда может быть закрыта вся сеть.
Проще говоря, существуют два основных типа атак, пассивные атаки и активные атаки.Пассивные атаки являются теми,когда данные на компьютере, отслеживаются и позже используются для вредоносных интересов,в то время как активные атаки,это те,когда либо изменения в данных или данные будут удалены или сети полностью разрушены.Ниже приведены некоторые из наиболее распространённых типов активных и пассивных атак, которые могут повлиять на компьютеры.
Активные виды компьютерных атак
Вирус
Наиболее известные компьютерные атаки и вирусы,которые были вокруг в течение длительного периода времени.Они устанавливаются на компьютеры и распространяются на другие файлы в системе. Они часто распространяются через внешние жесткие диски, или посредством определенных интернет-сайтов или как вложения по электронной почте.После того, как вирусы запускаются, они становятся независимыми от творца, и их цель заразить множество файлов и других систем.
Root Kit
Хакеры получают доступ в систему с использованием корневого набора драйверов и полностью берут управление компьютером.Они относятся к числу наиболее опасных компьютерных атак,так как хакер может получить больше контроля над системой, чем владелец системы. В некоторых случаях хакеры могут также включить вебкамеру и следить за деятельности потерпевшего,зная о нем всё.
Trojan
В списек компьютерных атак,троянский конь занимает самый высокий рейтинг после вирусов.Он часто встраивается в кусок программного обеспечения, в экранные заставки, или в игры,которые будет работать в обычном режиме.Однако, как только они будут скопированы в систему, они будут заражать компьютер вирусом или root-kit. Другими словами, они действуют как носители вирусов или руткиты, чтобы заразить систему.
Червь
Червями можно назвать родственниками вирусов. Разница между вирусами и интернет-червями в том,что черви заразить систему без какой-либо помощи от пользователя. Первый шаг в том, что черви сканируют компьютеры на уязвимость.Затем они копируют себя в систему и заражают систему,и процесс повторяется.
Пассивные типы компьютерных атак
Подслушивание
Как подсказывает название,хакеры будут вкрадчиво слышать разговор который происходит между двумя компьютерами в сети. Это может произойти в закрытой системе,а также через интернет. Другие имена,с которыми это связывают snooping. С подслушиванием, конфиденциальные данные могут внести свой путь по сети и могут быть доступны для других людей.
Парольные атаки
Одним из наиболее распространенных типов кибер-атак парольные атаки.Здесь хакеры получают доступ к компьютеру и ресурсам сети путем получения пароля управления.Часто можно увидеть,что злоумышленник изменил сервер и конфигурацию сети и в некоторых случаях даже могут удалить данные.Кроме того, данные могут передаваться в разные сети.
Скомпрометированный ключ атаки
Для хранения конфиденциальных данных,может быть использованы секретный код или номер.Получить ключ,без сомнения, настоящая огромная задача для хакера,и не исключено, что после интенсивных исследований хакер,действительно,способен положить руки на клавиши. Когда ключ находится в распоряжении хакера, он известен как скомпрометированный ключ. Хакер, теперь будут иметь доступ к конфиденциальным данным и может внести изменения в данные. Однако, существует также вероятность того, что хакер будет пробовать различные перестановки и комбинации ключа для доступа к другим наборам конфиденциальных данных.
Имитация удостоверения
Каждый компьютер имеет IP-адрес, благодаря которому он является действительным, и независимым в сети.Одной из распространённых компьютерных атак является предположение личности другого компьютера.Здесь IP-пакеты могут быть отправлены с действительных адресов и получить доступ к определенному IP. Как только доступ будет получен,данные системы могут быть удалены, изменены или перенаправлены.Кроме того, хакер может воспользоваться этим взломанным IP адресом и напасть на другие системы в пределах или за пределами сети.
Application Layer атаки
Целью атаки на уровне приложений-это вызвать сбой в операционной системе сервера.Как только будет создана ошибка в операционной системе,хакер сможет получить доступ к управлению сервером.Это в свою очередь приводит к изменению данных различными способами. В систему может быть внедрён вирус или могут отправляться многочисленные запросы к серверу, которые могут привести к её сбою или может быть отключен контроль безопасности, из-за которого восстановление сервера,может стать затруднительным.
Это были некоторые типы атак,которым могут подвергнуться сервера и отдельные компьютерные системы.Список новейших компьютерных атак продолжает увеличиваться с каждым днем, для этого хакеры используют новые методы взлома.
