2.1.2 Сканирование сети

Прежде чем перейти непосредственно к выполнению активных сетевых атак злоумышленнику необходимо узнать информацию о структуре сети и сервисах, функционирующих на хостах сети. Рассмотрим и смоделируем с помощью сети Петри-Маркова подготовку к проведению атаки, а именно сканирование сети.

Для реализации данного действия злоумышленнику необходим компьютер, подключенный к сети и заранее приготовленное программное обеспечение для осуществления сбора информации. Некоторые программы данного типа обладают функциями автоматического определения IP-адреса компьютера, на котором они запущены (в рассматриваемом случае используется программный продукт именно такого типа). Затем происходит настройка параметров для сканирования. Это может быть осуществлено как вручную, так и автоматически. Далее осуществляется последовательный опрос, путем посылки ICMP-эхо-запросов, хостов в указанном диапазоне IP-адресов в многопоточном режиме.

Путем посылки недопустимых (нестандартных) ICMP- или TCP-пакетов нарушитель может идентифицировать тип ОС. Стандарты обычно устанавливают, каким образом компьютеры должны реагировать на легальные пакеты, поэтому машины имеют тенденцию быть единообразными в своей реакции на допустимые входные данные. Однако стандарты упускают (обычно намеренно) реакцию на недопустимые входные данные. Таким образом, уникальные реакции каждой ОС на недопустимые входные данные формируют сигнатуру, которую злоумышленник может использовать для того, чтобы понять под каким управлением функционирует выбранный компьютер [2, 40].

Если хост определен как активный, то осуществляется определение наличия функционирующего сервиса, в рассматриваемом случае наличие запущенного telnet- или ftp-сервиса. Стандартными портами для этих сервисов являются 21 порт для ftp и 23 порт для telnet.

Результатом данной атаки будет определение из множества компьютеров, подключенных к сети, уязвимых для последующего проникновения.

Смоделируем данную атаку с помощью сети Петри-Маркова. Обозначения элементов этой сети приведены ниже, s_i — позиции, t_j — переходы.

s₁ — С готов, программа запущена и настроена,

t₁ — определение активных хостов сети при помощи ICMP-запроса,

s₂ — активные хосты определены,

t₂ — определение типов ОС активных хостов сети,

s₃ — типы ОС определены,

t₂ — сканирование сервисов на активных хостах сети,

s₄ — работающие сервисы определены.

Вид данной сети представлен на рисунке 2.3.

Рисунок 2.3 — Вид сети Петри-Маркова для атаки «сканирование сети»

Элементы матрицы, определяющие логические функции срабатывания сети, могут быть записаны (без учета направленности дуг графа) следующим образом:

=		t1		t2		t3
	s1	1	0		0
	s2	1		1	0
	s3	0		1	1
	s4	0		0	1

Для данной сети Петри-Маркова имеет место следующая система интегро-дифференциальных уравнений [60, 62]:

(2.4)

Для данной атаки предположим, что все вероятности π_ij равны 1.

Полагаем, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид:

где λ_ij=1/τ_ij, где τ_ij (i = 1..4, j = 1..3) – средние времена вышеперечисленных действий соответственно.

Применяя пуассоновское приближение, получаем среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:

, (2.6)

.

Выберем следующие исходные параметры атаки:

Среднее время запуска и настройки программы-сканера сети τ₁₁ = 10,5 с.

Среднее время определения работающих хостов, определения типов ОС и выявления функционирующих сервисов τ₂₂ + τ₃₃  = 38,3 с.

Таким образом, среднее время перехода по всей сети τ = 48,8 с, и зависимость вероятности реализации атаки от времени приобретает вид, представленный на рисунке 2.4.

. (2.7)

Рисунок 2.4 — Зависимость вероятности реализации сканирования сети от времени