4.1.3. Атаки на основе сканирования портов

Цель данной атаки заключается в получении сведений о запущенных на атакуемой машине сервисах. Как правило, избыточность запущенных на компьютере сервисов и является причиной успешной реализации атаки. В результате сканирования открытых портов злоумышленник может определить название службы, которая использует данный порт, и тип ОС. А далее, зная соответствующие уязвимости в этих службах, злоумышленник может проникнуть на удаленный хост и получить права на доступ в систему. Список открытых (активных) портов на сервере означает наличие запущенных на нем серверных приложений, предоставляющих удаленный доступ.

Рассмотрим топологическую модель данной атаки, построенную по методике предложенной во второй главе:

1. В интервале времени (n) составляется база данных y (рис. 4.7), номеров портов и названий служб, использующих данные порты по умолчанию. С помощью специального программного обеспечения, которой циклически перебирает порты в базе данных, злоумышленник создает объект x_T, через который пробует установить соединение. Для этого посылаются команды на поиск соответствующего порта.

Рис. 4.7. Модель атаки сканирования портов в (n) интервале

2. В интервале времени (n+1) объекту злоумышленника будет отправлен ответ с атакуемого сервера x_к, содержащий адрес порта в случае если порт открыт и незащищен. В случае если порт закрыт, от атакуемого объекта ответа не поступит. После получения этой информации, злоумышленник с помощью базы данных (портов), путем сопоставления адреса порта с конкретным сервисом (например, 21 адрес соответствует службе FTP) определяет список служб установленных на атакуемом объекте (рис. 4.8) [122].

Рис. 4.8. Модель атаки сканирования портов в (n+1) интервале

Ниже рассмотрим алгоритм противодействия атаке сканирования портов. В этом случае в графовой модели (рис. 4.9) появляется еще два дополнительных узла fw и yfw. Первый обозначает межсетевой экран (Firewall), второй – его базу данных с правилами функционирования. Из графа четко видно, что в случае попытки сканирования портов извне, происходит блокирование дальнейшей передачи пакетов в соответствии с правилами, опубликованными в базе данных межсетевого экрана yfw. Таким образом, нулевые пакеты от злоумышленника даже не доходят до адресатов.

Рассмотренные механизмы нападения и защиты на основе предлагаемых логико-лингвистических моделей (графов) можно описывать более наглядно с оценкой промежуточных переменных состояния, прогнозировать атаки и контратаки в рамках ИТКС различного масштаба.

Рис. 4.9. Модель противодействия атаке сканирования портов

4.1.4. Атаки на основе анализа сетевого трафика

Данная сетевая атака позволяет перехватить поток данных, которыми обмениваются абоненты ИТКС, что адекватно несанкционированному доступу к информации, которой обмениваются в ИТКС. Целью данной атаки не ставится модификация трафика, а исключительно его анализ. Как правило, анализ осуществляется внутри одного доступного злоумышленнику сегмента ИТКС. Результатом перехвата могут являться имя и пароль пользователя, пересылаемые в незашифрованном виде по ИТКС.

Ниже рассмотрена графовая модель атаки анализа сетевого трафика, где x_Т – хост злоумышленника, Rd – операция чтения (анализа) сетевого трафика, заключающаяся в получении имен абонентов R_d(x_viÎX_v, x_kiÎX_k), между которыми идет обмен информацией, их паролей или другой информации обмена R_d(data). При рассмотрении атак на внешнесегментный сетевой трафик графовая модель усложняется наличием маршрутизаторов m₁, m₂ (рис. 4.12). А перехват внешнесегментного сетевого трафика осуществляется за счет использования недостатков протоколов маршрутизации.

Для проведения атаки перехвата сетевого трафика, злоумышленник ожидает широковещательные сообщения, в котором указываются векторы расстояний до сегментов. Перехватив сообщения, злоумышленник отвечает ложными сообщениями, указывая векторы меньшей длины. В результате этой операции злоумышленник ассоциируется с истинным маршрутизатором. После этого весь трафик между сегментами будет проходить через хост злоумышленника X_T.

Рис. 4.10. Модель атаки анализа внутрисегментного сетевого трафика в (n) интервале времени

На рис. 4.14 рассмотрена топологическая модель противодействия перехвату внешнесегментного сетевого трафика за счет использования протокола IPSec (вопросы шифрования, аутент-ции и обеспечения защиты при трансп-ке IP-пакетов).

Рис. 4.11. Модель атаки анализа внутрисегментного сетевого трафика в (n+1) интервале времени

Рис. 4.12. Модель атаки анализа внешнесегментного сетевого трафика в (n) интервале времени

Рис. 4.13. Модель атаки анализа внешнесегментного сетевого трафика в (n+1) интервале времени

Рис. 4.14. Модель атаки анализа внешнесегментного сетевого трафика в (n+1) интервале времени