Черви это опасный тип машинного кода, который копирует себя самостоятельно. В отличии от вирусов, черви запускают себя сами и автоматически рассылают свои копии по электронной почте, что позволяет им быстро распространяться по сети. Черви постоянно совершенствуются и направляются на использование слабых мест программных приложений. Цикл распространения червей состоят из трех основных этапов: Выявление уязвимости - червь устанавливается на компьютере, используя уязвимые места - электронную почту, исполняемые файлы или «троянские кони». Механизм распространения – после получения доступа к устройству, червь копирует себя и определяет новую цель. Действие – проникший в компьютер вредоносный код используется для замедления работы, повреждения информации или открытия доступа в обход системы защиты (backdoor). Червь является само-достаточной программой, поэтому цикл распространения постоянно повторятся, расширяя зараженное пространство сети. | Фазы атаки с помощью червя. Фаза проверки – выявляются уязвимые места. Выявляется карта сети, определяется операционная система и уязвимое программное обеспечение. Фаза проникновения – исполняемый код предается в уязвимое место, используя такие механизмы как переполнение буфера, электронную почту, уязвимость шлюза. Фаза выживания – после атаки и успешного запуска в памяти, код старается «выжить» в системе. Цель – обеспечить запуск кода даже после перезагрузки системы. Это достигается путем изменения системных файлов. Фаза распространения – атакующий код пытается распространиться на соседние компьютеры. Направление распространения обеспечивается с помощью служб FTP, активных WEB соединений. Фаза блокировки – повреждение системы. Происходит удаление системных файлов и файлов с данными, кража информации. Рис 1.23 |
|
|
Вредоносные программы. Троянский конь
Троянский конь - это вредоносная программа, которая запускается под видом необходимой программы. Таким способом могут распространяться вирусы или черви. Очень часто «Троянские кони» прикрепляются к играм. Когда игра запускается, то в фоновом режиме устанавливается вредоносная программа, которая работает и после завершения игры. Цели «Троянских коней» разные – повреждение компьютера, предоставление скрытого удаленного доступа к системе, пересылка информации или паролей по заданному адресу. | Классификация Троянских коней по воздействию на систему. Удаленный доступ – разрешает неавторизованный удаленный доступ. Посылка данных – предоставляет атакующему важные данные (например пароли). Разрушительный – повреждают или уничтожают данные. Прокси – пользовательский компьютер работает как прокси-сервер. FTP –открывает порт 21. Включатель программ безопасности – останавливает работу анти-вирусов и firewalls. Отказ в обслуживании – замедляет или останавливает работу сети. Рис 1.24 |
|
|
Нарушители
Лицо, пытающееся получить несанкционированный доступ к сети, является нарушителем. Различают два основных вида нарушителей – взломщик (cracker) и хакер (hacker). Взломщик — это человек, который пытается без разрешения исследовать систему защиты или взламывать ее. Как правило, деятельность взломщика носит вредоносный характер. Хакер — это человек, который тестирует целостность и надежность системы защиты. После обнаружения брешей в системе защиты, хакер может выложить эту информацию в Internet. Действия хакера обычно не содержат злого умысла. Все нарушители представляют собой две категории угроз – внутренние и внешние. Внутренние угрозы. · Сотрудники с недостойными намерениями – нарушение системы защиты с целью кражи информации. · Сотрудники, совершающие непреднамеренные нарушения – случайно загрузили вредоносную программу или проникли в закрытую часть сети. · Сотрудники, использующие сетевую среду неправильно – ненадежные пароли, неправильная настройка сетевого оборудования. Внешние угрозы. · Любители острых ощущений - атакуют сети ради «спортивного» интереса. · Конкуренты – всегда заинтересованы в получении информации, позволяющей вас опередить. · Похитители – целенаправленно похищают ценную информацию для продажи. · Шпионы – специализируются на краже новых технологий (промышленный шпионаж). · Враждебно настроенные, бывшие сотрудники – используют знание внутренней структуры сети в целях мести или получения прибыли. |
Нарушители
Взломщик Хакер
Внутренние угрозы Внешние угрозы
Рис 1.25 |
Типы атак
Существует много типов сетевых атак. Для эффективного противодействия атакам, необходимо использование соответствующих средств. Использование необходимого средства противодействия возможно в случае определения типа атаки, поэтому атаки необходимо классифицировать.
Можно выделить четыре типа атак.
| Атаки Разведка Несанкционированный доступ Блокирование сервиса Подмена данных Рис 1.26 |
Типы атак.Разведка
Разведка представляет собой несанкционированное исследование структуры сети, построение ее карты, мониторинг служб и выявление точек уязвимости. Разведка начинается с определения активных IP - адресов сети. Затем определяются порты и службы доступные через эти адреса. Разведка использует такие средства как - перехват пакетов (packet sniffers); - Информационный Интернет запрос (Internet information queries); - развертку ping (ping sweeps); - сканеры портов (port scans). | Рис 1.27 |