- •1. Цель работы
- •2. Задачи работы
- •3. Задание по работе
- •4. Рекомендуемая классификация вредоносного программного обеспечения
- •Вредоносные программы
- •Вирусы и черви
- •Троянские программы
- •Подозрительные упаковщики
- •Вредоносные утилиты
- •Проникновение
- •Доставка рекламы
- •Сбор данных
- •Правила именования детектируемых объектов
- •Альтернативные классификации детектируемых объектов
- •5. Рекомендуемая методология риск-анализа
- •5.1. Расчет параметров рисков для компонентов систем
- •5.2. Алгоритмическое обеспечение риск-анализа систем в диапазоне ущербов
- •5.3. Расчет рисков распределенных систем на основе параметров рисков их компонентов
- •5.4. Методология оценки эффективности систем в условиях атак
- •5.5. Управление рисками систем
- •6. Рекомендуемая методология моделирования информационно-кибернетических атак
- •6.1. Обобщенные модели информационно-кибернетических деструктивных операций
- •6.2. Топологические модели сетевых атак
- •6.2.1. Классификация сетевых угроз для компьютерных систем
- •6.2.2. Топологические модели атак на основе подбора имени и пароля посредством перебора
- •6.2.3. Топологические модели атак на основе сканирования портов
- •6.2.4. Топологические модели атак на основе анализа сетевого трафика
- •6.2.5. Топологические модели атак на основе внедрения ложного доверенного объекта
- •6.2.6. Топологические модели атак на основе отказа в обслуживании
- •6.3. Риск-модели атак на компьютерные системы
- •7. Рекомендуемая методология
- •1. Длина окна и длина ряда.
- •2. Длина окна и слабая разделимость.
- •Заключение
- •Библиографический список
- •Интернет-источники
6.2.3. Топологические модели атак на основе сканирования портов
Цель данной атаки заключается в получении сведений о запущенных на атакуемой машине сервисах. Как правило, избыточность запущенных на компьютере сервисов и является причиной успешной реализации атаки. В результате сканирования открытых портов злоумышленник может определить название службы, которая использует данный порт, и тип ОС [23]. А далее, зная соответствующие уязвимости в этих службах, злоумышленник может проникнуть на удаленный хост и получить права на доступ в систему. Список открытых (активных) портов на сервере означает наличие запущенных на нем серверных приложений, предоставляющих удаленный доступ.
Рассмотрим топологическую модель данной атаки:
1. В интервале времени (n) составляется база данных y (рис. 6.12), номеров портов и названий служб использующих данные порты по умолчанию [24].
Рис. 6.12. Графовая модель атаки сканирования портов в (n) интервале времени
Рис. 6.13.Графовая модель атаки сканирования портов в (n+1) интервале времени
С помощью специального программного обеспечения, которой циклически перебирает порты в базе данных, злоумышленник создает объект xT, через который пробует установить соединение (рисунок 6.12). Для этого посылаются команды на поиск соответствующего порта (как правило это нулевой пакет).
2. В интервале времени (n+1) объекту злоумышленника будет отправлен ответ с атакуемого сервера xк, содержащий адрес порта в случае если порт открыт и незащищен. В случае если порт закрыт, от атакуемого объекта ответа не поступит. После получения этой информации, злоумышленник с помощью базы данных (портов), путем сопоставления адреса порта с конкретным сервисом (например 21 адрес соответствует службе FTP) определяет список служб установленных на атакуемом объекте (рисунок 6.13) [26].
6.2.4. Топологические модели атак на основе анализа сетевого трафика
Данная сетевая атака позволяет перехватить поток данных, которыми обмениваются абоненты системы, что адекватно несанкционированному доступу к информации. Целью данной атаки не ставится модификация трафика, а исключительно его анализ. Как правило анализ осуществляется внутри одного доступного злоумышленнику сегмента системы. Результатом перехвата могут являться имя и пароль пользователя, пересылаемые в незашифрованном виде [27].
Ниже рассмотрена графовая модель атаки анализа сетевого трафика, представленная на рисунок 6.14-6.17, где xТ – хост злоумышленника, Rd – операция чтения (анализа) сетевого трафика, заключающаяся в получении имен абонентов Rd(xviXv, xkiXk), между которыми идет обмен информацией, их паролей или другой информации обмена Rd(data). При рассмотрении атак на внешнесегментный сетевой трафик графовая модель усложняется наличием маршрутизаторов m1, m2 (рисунок 6.16) [28]. А перехват внешнесегментного сетевого трафика осуществляется за счет использования недостатков протоколов маршрутизации.
Рис. 6.14. Графовая модель атаки анализа внутрисегментного сетевого трафика в (n) интервале времени
Рис. 6.15. Графовая модель атаки анализа внутрисегментного сетевого трафика в (n+1) интервале времени
Рис. 6.16. Графовая модель атаки анализа внешнесегментного сетевого трафика в (n) интервале времени
Рис.6.17. Графическая модель атаки анализа внешнесегментного сетевого трафика в (n+1) интервале времени
Для проведения атаки перехвата сетевого трафика, злоумышленник ожидает широковещательные сообщения, в котором указываются векторы расстояний до сегментов [29]. Перехватив сообщения, злоумышленник отвечает ложными сообщениями, указывая векторы меньшей длины. В результате этой операции злоумышленник ассоциируется с истинным маршрутизатором. После этого весь трафик между сегментами будет проходить через хост злоумышленника XT.