Виды обнаруживаемых сетевых атак
В настоящее время существует множество различных видов сетевых атак. Эти атаки используют уязвимости операционной системы, а также иного установленного программного обеспечения системного и прикладного характера.
Чтобы своевременно обеспечивать безопасность компьютера, важно знать, какого рода сетевые атаки могут ему угрожать. Известные сетевые атаки можно условно разделить на три большие группы:
- Сканирование портов – этот вид угроз сам по себе не является атакой, но обычно предшествует ей, поскольку это один из основных способов получить сведения об удаленном компьютере. Данный способ заключается в сканировании UDP- / TCP-портов, используемых сетевыми сервисами на интересующем злоумышленника компьютере, для выяснения их состояния (закрытые или открытые порты).
Сканирование портов позволяет понять, какие типы атак на данную систему могут оказаться удачными, а какие нет. Кроме того, полученная в результате сканирования информация (“слепок” системы) даст злоумышленнику представление о типе операционной системы на удаленном компьютере. Это еще более ограничивает круг потенциальных атак и, соответственно, время, затрачиваемое на их проведение, а также позволяет использовать специфические для данной операционной системы уязвимости.
- DoS-атаки, или атаки, вызывающие отказ в обслуживании, – это атаки, в результате которых атакуемая система приводится в нестабильное либо полностью нерабочее состояние. Последствиями такого типа атак может стать отсутствие возможности использовать информационные ресурсы, на которые они направлены (например, невозможность доступа в интернет).
Существует два основных типа DoS-атак:
- отправка компьютеру-жертве специально сформированных пакетов, не ожидаемых этим компьютером, что приводит к перезагрузке или остановке системы;
- отправка компьютеру-жертве большого количества пакетов в единицу времени, которые этот компьютер не в состоянии обработать, что приводит к исчерпанию ресурсов системы.
Яркими примерами данной группы атак могут служить следующие:
- Атака Ping of death – состоит в посылке ICMP-пакета, размер которого превышает допустимое значение в 64 КБ. Эта атака может привести к аварийному завершению работы некоторых операционных систем.
- Атака Land – заключается в передаче на открытый порт вашего компьютера запроса на установление соединения с самим собой. Атака приводит к зацикливанию компьютера, в результате чего сильно возрастает загрузка процессора, а кроме того, возможно аварийное завершение работы некоторых операционных систем.
- Атака ICMP Flood – заключается в отправке на ваш компьютер большого количества ICMP-пакетов. Атака приводит к тому, что компьютер вынужден отвечать на каждый поступивший пакет, в результате чего сильно возрастает загрузка процессора.
- Атака SYN Flood – заключается в отправке на ваш компьютер большого количества запросов на установку соединения. Система резервирует определенные ресурсы для каждого из таких соединений, в результате чего полностью расходует свои ресурсы и перестает реагировать на другие попытки соединения.
- Атаки-вторжения, целью которых является “захват” системы. Это самый опасный тип атак, поскольку в случае их успешного выполнения система полностью переходит под контроль злоумышленника.
Данный тип атак применяется, когда злоумышленнику необходимо получить конфиденциальную информацию с удаленного компьютера (например, номера кредитных карт, пароли) либо просто закрепиться в системе для последующего использования ее вычислительных ресурсов в своих целях (использование захваченной системы в зомби-сетях либо как плацдарма для новых атак).
В эту группу входит самое большое количество атак. Их можно разделить на три подгруппы в зависимости от установленной на компьютер пользователя операционной системы: атаки на Microsoft Windows, атаки на Unix, а также общая группа для сетевых сервисов, использующихся в обеих операционных системах.
Наиболее распространенные виды атак, использующих сетевые сервисы операционной системы:
- Атаки на переполнение буфера. Переполнение буфера возникает из-за отсутствия контроля (либо в случае его недостаточности) при работе с массивами данных. Это один из самых ст
арых типов уязвимостей; он наиболее прост для эксплуатации злоумышленником.
- Атаки, основанные на ошибках форматных строк. Ошибки форматных строк возникают из-за недостаточного контроля значений входных параметров функций форматного ввода-вывода типа printf(), fprintf(), scanf() и прочих из стандартной библиотеки языка Си. Если подобная уязвимость присутствует в программном обеспечении, то злоумышленник, имеющий возможность посылать специальным образом сформированные запросы, может получить полный контроль над системой.
Система обнаружения вторжений автоматически анализирует и предотвращает использование подобных уязвимостей в наиболее распространенных сетевых сервисах (FTP, POP3, IMAP), если они функционируют на компьютере пользователя.
- Атаки, ориентированные на компьютеры с установленной операционной системой Microsoft Windows, основаны на использовании уязвимостей установленного на компьютере программного обеспечения (например, таких программ, как Microsoft SQL Server, Microsoft Internet Explorer, Messenger, а также системных компонентов, доступных по сети, – DCom, SMB, Wins, LSASS, IIS5).
Кроме того, частными случаями атак-вторжений можно назвать использование различного вида вредоносных скриптов, в том числе скриптов, обрабатываемых Microsoft Internet Explorer, а также разновидности червя Helkern. Суть атаки последнего типа заключается в отправке на удаленный компьютер UDP-пакета специального вида, способного выполнить вредоносный код.
|