Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4613 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Воронежский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Учебное пособие 700274.doc
Скачиваний:
18
Добавлен:
01.05.2022
Размер:
1.9 Mб
Скачать
►Содержание►

6.4.1.2. Сканирование сети

В разработанной модели сканирование сети рассматривается только как этап реализации более сложных атак, поэтому длительность ее действия не имеет смысла

без использования средств защиты вероятность реализации атаки равна p1.2p2.21;

с использованием в качестве меры защиты межсетевого экрана (шлюза сеансового уровня или уровня приложений), с допущением того, что его конфигурация корректна, вероятность реализации внешнесегментной атаки p2.20;

с использованием средств контроля сканирования сети в системах обнаружения атак вероятность реализации атаки зависит от среднего времени реализации атаки и среднего времени реакции системы. Вероятность реализации вычисляется по формуле, предложенной в разделе 5.3:

(6.10)

Для определенности среднее время выявления сканирования и блокирования принимается за τз25 с. В таком случае при среднем времени реализации τ48,8 с. вероятность реализации атаки равна

(6.11)

6.4.1.3. Отказ в обслуживании syn-flood

Данная атака направлена на нарушение доступности атакуемых хостов следовательно целесообразно оценивать ущерб от ее воздействия как величину, пропорциональную времени воздействия. Поскольку при отсутствии принимаемых мер противодействия данной атаке время ее действия ограничивается только инициативой злоумышленника, ограничивается только инициативой злоумышленника, определим среднее время ее завершения τз8ч28800 с.

При использовании межсетевого экрана (шлюза сеансового уровня или уровня приложений) при его корректной конфигурации и достаточной стойкости к атаке пакеты SYN из внешней сети на атакуемый хост не пропускаются, следовательно, атака не реализуется.

При использовании средств контроля транспортного уровня в системах обнаружения атак в процессе реализации атаки происходит блокирование подозрительных IP-адресов.

В случае реализации атаки SYN-flood как этапа подмены доверенного объекта время недоступного состояния хоста, необходимое злоумышленнику, равно продолжительности его несанкционированной работы с сервером. Однако, рассмотренные меры защиты на время действия атаки не влияют, вероятность реализации данной атаки как этапа более сложной равна вероятности, соответствующей используемой мере противодействия:

без использования мер противодействия среднее время действия атаки стремится к бесконечности; вероятность реализации атаки как этапа более сложной атаки равна p1.3p2.31;

с использованием соответствующих типов межсетевых экранов среднее время действия атаки 2.30 с;

с использованием средств контроля транспортного уровня систем обнаружения атак среднее время действия атаки равно 1.32.30 с; вероятность реализации атаки как этапа более сложной атаки p1.3p2.30.

6.4.1.4. Внедрение ложного объекта (arp-спуфинг)

Данная атака направлена на нарушение конфиденциальности трафика в сегменте ИТКС, следовательно, целесообразно оценивать ущерб от ее воздействия как величину, пропорциональную времени воздействия. Поскольку в отсутствие принимаемых мер противодействия данной атаке время ее действия ограничивается только инициативой злоумышленника, то среднее время ее завершения τз8ч28800 с. Следует отметить, что ARP-таблицы при нормальном режиме функционирования системы автоматически обновляются с периодом порядка 60 с, и злоумышленнику для сохранения контроля над трафиком необходимо осуществлять спуфинг с такой же периодичностью. Однако для рассматриваемой модели данный факт не будет являться проявлением следующей атаки данного типа, но будет считаться продолжением текущей.

При реализации прослушивания сети для перехвата пароля необходимое время действия зависит от интенсивности обмена паролями в сети. Для определенности примем периодичность обмена паролями по протоколам telnet и FTP есть τ120 с. Исходя из этой величины оценивается вероятность реализации атаки как этапа входа в систему с привилегиями легального пользователя.

В случае использования статических ARP-таблиц весь сетевой обмен по протоколу ARP игнорируется, следовательно, реализовать атаку не представляется возможным.

При использовании межсетевых экранов, пакеты, приходящие из внешней сети, но имеющие внутренние адреса, отбрасываются фильтром, поэтому, в этом случае внешнесегментные атаки не реализуются.

При использовании средств контроля адресации в системах обнаружения атак периодически происходит мониторинг соответствия IP и MAC-адресов хостов системы. Для определенности этот период принимается за τз20 с.

Рис. 6.3. Распределения вероятностей состояний атаки «APR-спуфинг»

P(t) — вероятность начала атаки к моменту времени t,

P

P(t)

t

Pд(t)

Pа(t)

а(t) — вероятность действия атаки к моменту времени t при использовании средств мониторинга адресации хостов,

Pд(t) — вероятность действия атаки в течение времени t при использовании средств мониторинга адресации хостов.

Количественные значения искомых параметров имеют следующий вид:

без использования мер противодействия среднее время действия атаки вероятность реализации атаки для перехвата пароля p1.4p2.41;

с использованием средств контроля адресации систем обнаружения атак среднее время действия атаки равно вероятность реализации атаки для перехвата пароля p1.1Pд()0,009.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности