+7 (495) 234-32-12
пн-пт с 9.30 до 18.00

Корзина пуста

Все системы безопасности в одном центре
Продажа Доставка по России Монтаж Обслуживание
Поиск по каталогу

Механизмы осуществления сетевых атак

В данном документе рассматриваются атаки двух типов: кража данных и распространение интернет-червей. Атаки первого типа направлены на кражу информации, целью атак второго типа является блокирование нормальной работы приложений, поэтому их можно классифицировать как атаки типа "отказ в обслуживании" (DoS).

Кража данных

Атаки, направленные на похищение конфиденциальной информации, как правило, начинаются с этапа зондирования и сканирования целевой системы с целью сбора сведений о ней. Злоумышленники могут использовать общедоступные инструменты, например, nmap для получения информации об операционной системе целевого хоста (зондирование), а также сервисов, работающих на сервере (сканирование).

Следующий этап атаки заключается в идентификации уязвимостей удаленной системы. Злоумышленники могут использовать общедоступные инструменты, например, nessus для выявления уязвимостей, которыми можно воспользоваться при осуществлении атаки.

Вслед за этим злоумышленники могут внедрить на атакуемый хост фрагмент программного кода, который будет выполнять нужные им функции (троянская программа). На этом этапе злоумышленник получает управление сервером ЦОД, и с помощью этого сервера может получать доступ к другим хостам, на которых хранятся конфиденциальные данные или установить необходимые программные инструменты для проведения атак со стороны группы серверов.

На этом этапе злоумышленник может действовать либо в локальной сети, либо в сети SAN. Если взломанный сервер подключен к локальной сети, злоумышленник может проводить атаки уровня 2 (Ethernet) для перехвата IP-трафика, включая трафик storage-over-IP (т.е. трафика, используемого для обмена данными с хранилищами по IP-сети). Для подмены информации о соответствии IP- и MAC- адресов злоумышленник может использовать атаки с опережающим ответом, использующие уязвимости протокола ARP, (ARP-spoofing) или выполнить лавинообразную генерацию трафика на уровне 2 (MAC flooding). Если взломанный сервер подключен к сети SAN с использованием HBA- адаптера, то злоумышленник может получить доступ к данным, хранящимся в сети SAN, с помощью атак, использующих подмену глобальных имен (WWN-spoofing), или осуществить доступ к другим серверам по каналам IPFC.

Другой хорошо известный метод получения управления сервером заключается во взломе TCP-сеанса. Успешная реализация таких способов атаки, как подмена IP-адреса источника пакетов, эксплуатация доверительных отношений и подбор ISN-номера TCP-соединения позволяет получить управление серверами с предсказуемым ISN-номером TCP-соединения.

Интернет-черви

Некоторые атаки, например, атаки DoS и эпидемии Интернет-червей, направлены на блокирование доступа пользователей к приложениям. В процессе проведения этих атак генерируется большой объем трафика и множество запросов на установление соединения (лавины SYN-запросов) или запросов, требующих обработки сервером (лавины ping), что приводит к истощению ресурсов серверов. Дополнительные сложности создаются тем фактом, что Интернет-черви тиражируют себя самостоятельно, безо всякого человеческого участия.

Высокая скорость распространения делает эпидемии Интернет-червей особенно опасными. Например, известно, что во время атаки червя "SQL slammer" число зараженных хостов удваивалось каждые 8,5 секунд, а генерируемый ими трафик мог вырастать до таких масштабов, что полностью "заполнял" канал с пропускной способностью 1 Гбит/с менее, чем за одну минуту. Атаки червей на группу серверов влекут за собой проблемы двух типов: взломанные серверы и неработоспособные сетевые соединения.

В последнее время миру пришлось столкнуться с несколькими эпидемиями Интернет-червей, например, Code Red (CERT Advisory CA-2001-19), Nimda (CERT Advisory CA-2001-26 Nimda Worm), SQL slammer (CERT Advisory CA-2003-04) и другие. Каждый Интернет-червь использует особую уязвимость, но при этом все Интернет-черви обладают некоторыми общими свойствами. Высокоуровневое описание одного Интернет-червя помогает лучше понять, как следует защищать группу серверов от атак других Интернет-червей.

Например, Code Red рассылает запросы на установление TCP-соединения с портом 80 на случайные IP-адреса, выискивая уязвимый хост. Затем Code Red использует конкретную уязвимость Microsoft IIS, связанную с переполнением буфера (Microsoft Security Bulletin MS01-033). После того, как уязвимый хост найден, Code Red вызывает переполнение буфера на сервере и устанавливает на сервере троянскую программу, которая в свою очередь атакует другие серверы.

Чтобы связаться с нашими менеджерами, Вы можете:
сделать заказ, задать любой вопрос
позвонить по телефону (495) 234-3212 (многоканальный)