- •Геоинформационные технологии
- •Мультимедиа-технологии и технологии искусственного интеллекта
- •Экспертные системы
- •Технологии защиты информации
- •Безопасность сетевого взаимодействия при активных атаках
- •Case-технологии
- •Технология внедрения case-средств
- •Планирование пилотного проекта
- •Выполнение пилотного проекта
- •Принятие решения о внедрении
- •Переход к практическому использованию case-средств
- •Системный подход к современным ит
- •Стадии разработки информационных систем
Безопасность сетевого взаимодействия при активных атаках
Основными методами атаки на уровне доступа до транспортного относятся:
прослушивание;
сканирование сети;
генерация пакетов.
Для прослушивания сети Ethernet необходимо перевести интерфейс в режим прослушивания (permiscuous mode). Это позволяет сделать ряд общедоступных программ, которые не только записывают весь трафик, но и выполняют отбор по фильтрам. Например программы Tcpdump и Snoop. Простейшими методами защиты служит ограничение канала и разбиение сети с помощью коммутатора. В этом случае будут перехвачены только отдельные кадры, получаемые и передаваемые нарушителю.
Так же можно обнаружить нарушителя с помощью AntiSniff, что позволяет увидеть узлы, интерфейсы которых введены в режим прослушивания. AntiSniff выполняет 3 вида тестов:
основан на обработке разными ОС кадров;
работает на предположении, то программа прослушивания на хосте выполняет обратное преобразование для dns адресов. она фиксирует дейтаграммы и прослушивает сеть;
базируется на том, что интерфейсы находящиеся в обычном режиме отфильтровывают кадры, направленные не в его адрес с помощью сетевой карты.
Однако в режиме прослушивания обработка всех кадров ложится на программное обеспечение злоумышленника, то есть, в конечном счете, на операционную систему. AntiSniff производит пробное тестирование узлов сети на предмет времени отклика на сообщения ICMP Echo, после чего порождает в сегменте шквал кадров, направленных на несуществующие MAC-адреса, при этом продолжая измерение времени отклика. У систем, находящихся в обычном режиме, это время растет, но незначительно, в то время как узлы, переведенные в режим прослушивания, демонстрируют многократный (до 4 раз) рост задержки отклика.
Операция сканирования сети - это внешнее выявление подключенных к сети узлов или персональных компьютеров, определение серверов работающих на них. Задача может быть выполнена с помощью программы ping с последовательным перебором адресов узлов в сети. Обнаружить сканирование можно путем анализа трафика в сети и отслеживанием echo-сообщения. Однако, в свою очередь при таком подходе у нарушителя есть возможность маскировать сканирования.
Генерация пакетов дейтаграмм или кадров произвольного формата и содержания, как правило, имеет цель привести атакуемый узел в такое состояние, в котором работа узла будет невозможна. При этом истощаются ресурсы, снижается скорость. В конечном счете сеть будет блокировать. Основной разновидностью таких атак является отказ от обслуживания (DoS):
сбои в системе;
истощение ресурсов - генерация шквала echo-ответов. Для создания такого шквала нарушитель направляет несколько фальсифицированных запросов от имени жертвы, который выступает в роли усилителя. Такая атака обнаруживается путем анализа трафика на маршрутизаторе или с помощью программы NIDS.
Атака вида SYN flood (Neptune) заключается в посылке сообщений на узел, чтобы узел не смог больше принимать запросы на новое соединение, причем защиты от данной атаке не существует. Необходимо использовать ПО, способное отразить большее количество сообщений. Требуется держать открытыми только определенные порты, остальные нужно закрывать. Так же желательно использовать прокси-сервер для выхода в интернет. Иногда используется промежуточные системы сети для генерации шквала пакетов. В этом случае атака называется распределенной.