2 Моніторинг по протоколу snmp, icmp

SNMP-це протокол з сімейства TCP / IP (Протокол SNMP описаний в RFC 1157). Спочатку він був розроблений спільнотою Інтернету (Internet community) для спостереження і усунення неполадок в маршрутизаторах і мостах (bridges). SNMP дозволяє спостерігати і передавати інформацію про стан:

комп'ютерів, що працюють під управлінням Windows NT;

серверів LAN Manager;

маршрутизаторів і шлюзів;

міні-комп'ютерів або мейнфреймів;

термінальних серверів;

концентратор.

SNMP використовує розподілену архітектуру, що складається з систем управління (management systems) і агентів (agents). За допомогою сервісу Microsoft SNMP комп'ютер, що працює під управлінням Windows NT, може видавати звіт про свій стан системі управління SNMP в мережі, що використовує протокол TCP/IP.

Сервіс SNMP посилає інформацію про стан одному або декільком комп'ютерам за запитом або у випадку, коли відбувається важлива подія, наприклад комп'ютеру не вистачає місця на жорсткому диску.

Основна функція системи управління-запит інформації від агентів. Система управління (management system) - це будь-який комп'ютер, на якому працює програмне забезпечення управління SNMP. Система управління може виконувати операції get, get-next і set.

Операція get запитує будь-який параметр, наприклад кількість доступного простору на жорсткому диску.

Операція get-next запитує наступну величину, використовується для перегляду таблиці об'єктів.

Операція set змінює значення, використовується рідко, тому що більшість параметрів доступні тільки для читання і не можуть бути змінені.

ICMP (англ. Internet Control Message Protocol — міжмережевий протокол керуючих повідомлень) — мережевий протокол, що входить в стек протоколів TCP/IP. В основному ICMP використовується для передачі повідомлень про помилки й інші виняткові ситуації, що виникли при передачі даних. Також на ICMP покладаються деякі сервісні функції, зокрема на основі цього протоколу заснована дія таких загальновідомих утиліт як ping та traceroute.

Моніторинг та цих протоколів відбувається за допомогою Wireshark

3. Отримання доступу в систему (Експлуатація вразливостей iis, перехоплення сесії, переповнення буфера, відмова від обслуговування тощо);

DoS - хакерська атака на обчислювальну систему з метою довести її до відмови, тобто створення таких умов, при яких сумлінні користувачі системи не зможуть отримати доступ до надаваних системних ресурсів, або цей доступ буде утруднений. Відмова «ворожої» системи може бути і кроком до оволодіння системою (якщо в нештатної ситуації ПО видає будь-яку критичну інформацію - наприклад, версію, частина програмного коду і т. Д.). Але частіше це міра економічного тиску: втрата простий служби, що приносить дохід, рахунки від провайдера і заходи по догляду від атаки відчутно б'ють «мета» по кишені. В даний час DoS і DDoS-атаки найбільш популярні, так як дозволяють довести до відмови практично будь-яку систему, не залишаючи юридично значимих доказів.

Переповнення буфера у стеку (Buffer Overflow/Overrun) – це таке явище, коли програма, під час запису даних в буфер у стеку, перезаписує дані за його межами. 

Перехоплення сесії – це спосіб використання чужої сесії, при якому зловмисник вторгається в сесію між двома іншими вузлами.

Internet Information Services - програмне забезпечення для розгортання веб-сервера. Входить до складу Windows.

Уразливість існує через помилку при обробці WebDAV запитів до теки, необхідним аутентифікацію. Віддалений користувач може за допомогою спеціально сформованого HTTP GET запиту, що містить Unicode символи і "Translate: f" HTTP заголовок, обійти обмеження безпеки і, наприклад, завантажити файли з захищених каталогів. Вдала експлуатація уразливості також може дозволити завантаження довільних файлів в захищені WebDAV каталоги.