- •Формальные модели шифров
- •Математическая модель шифра замены
- •Шифры, не распространяющие искажений типа «замена знаков»
- •Шифры, не распространяющие искажений типа «пропуск-вставка знаков»
- •Последовательность атаки
- •Переполнение буфера
- •Что такое переполнение буфера
- •Принцип действия
- •Виды переполнения буфера
- •Почему так много уязвимых программ
- •Способ защиты
- •Десять примеров переполнения буфера
- •Что такое netcat?
- •Способ применения
- •Эксплоиты для взлома nt
- •Брешь в безопасности rds службы iis
- •Совместно используемые ресурсы
- •Взлом с помощью относительного пути
- •Захват dsn с использованием утилит odbc Datasource
- •Поглощение ресурсов процессора с использованием mstask.Exe и Microsoft Internet Explorer
- •Запуск программ с помощью ie 5.X или Outlook
- •Запуск команд на Web-сервере с помощью iis 5.0
- •Возможность подмены контроллера домена в wins
- •Методы взлома unix
- •Что такое cgi-программа?
- •Принцип работы
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Версия ос
- •XTest позволяет клиенту переправлять события другому клиенту. Такими событиями могут быть нажатия клавиш. При этом событие через сервер может пересьиаться другому клиенту в
- •Дополнительная информация
- •Люки и троянские кони
- •Подмена системных утилит
- •Подмена на уровне файлов
- •Защита от подмены на файловом уровне
- •Наборы утилит для nt
- •Эксплоит Brown Orifice
- •Программы слияния
- •Сокрытие следов
- •Как скрыть следы
- •Файлы журналов
- •Файлы журналов Linux
- •Взгляд со стороны взломщика
- •Invisible.С — прячет все следы работы взломщика от имени пользователя root в системе.
- •Защита файлов журналов в unix
- •Регулярное проведение резервного копирования
- •Использование одноразовых носителей
- •Кодирование
- •Регулярный просмотр файлов журналов
- •Ведение журналов в nt
- •Взгляд со стороны взломщика
- •Защита файлов журналов в nt
- •Защита от изменений информации о файле
- •Дополнительные файлы
- •Защита от размещения дополнительных файлов
- •Сокрытие следов в сети
- •Общая картина
- •Сценарии взлома
- •Сканеры телефонных линий
- •Другие типы взлома
- •Переполнение буфера в bind 8.2
- •Взлом с помощью cookie
- •Области доступа snmp
- •Анализ сетевых пакетов и dsniff
- •Взлом pgp adk
- •Уязвимость паролей cisco ios
- •1. Получить файлы настройки через snmp
- •Вклинивание в процесс передачи ключа
- •Взлом с нттр-туннелированием
Последовательность атаки
Есть множество способов получить доступ в систему. Далее идёт список некоторых основных путей, которыми пользуются взломщики.
-
Пассивная разведка.
-
Активная разведка (сканирование).
-
Взлом системы
получение доступа к системе:
атака на операционную систему;
взлом рабочего приложения;
использование сценариев автоматизации;
неправильная настройка;
расширение полномочий;
атака «отказ от обслуживания».
-
Загрузка вредоносных программ.
-
Несанкционированное получение данных.
-
Сохранение доступа:
-
люки;
-
программы типа «троянский конь».
-
7. Сокрытие следов.
Атаки DoS
Атака DoS представляет собой тип атаки, которой хакер может привести систему в нерабочее состояние или настолько замедлить скорость работы системы путём истощения ресурсов, что никто больше не сможет получить к ней доступ. Результатом атаки также может стать повреждение или разрушение ресурсов, а следовательно невозможность их использования. Атаки DoS могут быть предумышленными и случайными. Они проводятся намеренно в том случае, когда пользователь незаконно и умышленно активно занимает ресурсы системы. Случайно эта атака происходит тогда, когда законный пользователь непреднамеренно производит такие действия, которые приводят к недоступности ресурсов. Организация должна принимать меры предосторожности для защиты систем от атак DoS обоих типов.
Большинство операционных систем, маршрутизаторов и компонентов сетей являются уязвимыми для атак DoS. Вообще атаки DoS предотвратить довольно сложно. Однако, ограничение доступа к важным учётным записям, ресурсам и файлам, а также защита их от неправомочных пользователей может существенно затруднить проведение многих атак DoS.
Количество атак DoS с каждым днём растёт. Если взломщик не может получить доступ к машине, он стремится повредить её путём проведения такой атаки. Это означает, что даже в том случае, когда система обеспечена всеми обновлениями и должным образом защищена, взломщик всё ещё может нанести ущерб компании.
Типы атак DoS
Существует два основных типа атак DoS. Первый приводит к остановке системы или сети. Если взломщик посылает жертве данные или пакеты, которые она не ожидает, и это приводит либо к остановке системы, либо к её перезагрузке, значит, взломщик проводит атаку DoS, поскольку никто не может получить доступ к ресурсам. С точки зрения взломщика, эти атаки хороши тем, что с помощью нескольких пакетов можно сделать систему неработоспособной.
Второй тип атак приводит к переполнению системы или сети с помощью такого большого количества информации, которое невозможно обработать. При такой атаке взломщик должен постоянно переполнять систему пакетами. После того как взломщик перестает заполнять систему пакетами, проведение атаки заканчивается, и система возобновляет нормальную работу. Этот тип атаки требует немного больше усилий со стороны взломщика, поскольку ему необходимо постоянно активно воздействовать на систему.
Распределенные атаки DoS
Традиционная атака DoS обычно проводится с одной машины. Однако в 2000 году появился новый тип атаки, распределённая атака DoS (distributed Denial of Service – DDoS). Атака проводится не с одной машины, а с нескольких. Это усложняет защиту от атаки, ведь теперь машина получает пакеты одновременно с большого количества машин. Кроме того, поскольку эти атаки проводятся с широкого диапазона IP-адресов, становится гораздо труднее блокировать и обнаруживать нападение так как небольшое количество пакетов с каждой машины может не вызывать реакции со стороны систем обнаружения вторжений.
Почему так сложно защитится от этих атак?
Если Вы подключаетесь к Internet, то всегда есть вероятность того, что взломщик может отправить такое количество данных, которое Вы будете не в состоянии обрабатывать. Эту угрозу можно уменьшить путём увеличения пропускной способности сети, однако взломщик тоже может использовать дополнительные ресурсы для атаки.
Примеры атак DoS
Ping of Death
Атака DoS, при проведении которой машине отправляется пакет ping очень большой длины.
Для проведения атаки DoS на систему ping of death использует протокол ICMP для передачи пакета ping. Протокол ICMP был создандля тестирования соединения различных машин в Internet.
Спецификация TCP/IP позволяет устанавливать максимальный размер пакета до 65536 октетов (1 октет равен 8 битам данных). Он содержит как минимум 20 октетов заголовка пакета IP и некоторое количество октетов дополнительной информации, как правило – передаваемых данных. При получении IP-пакетов с большими размерами многие системы ведут себя непредсказуемо. Сообщения различных пользователей указывают на разнообразие реакций, включая аварийный отказ, зависание и перезагрузку.
В частности, большинство атак показывает, что ICMP-пакеты, отправляемые командой ping, могут быть использованы для этих атак. ICMP является одним из протоколов семейства TCP/IP, который передаёт сообщения об ошибках и управляющие сообщения между системами.
Взломщики используют команду ping для создания ICMP-дейтаграмм с завышенными размерами (которые вложены в IP-пакет). Многие реализации ping позволяют отправить пакеты больше стандартного размера. Воспользовавшись этими особенностями, взломщик может отправить пакет ping с нестандартным размером или пакет, размер которого больше, чем предусмотрено спецификацией (65536 октетов).
Наилучший способ решить проблему защиты заключается в установке заплат и обновлений от соответствующего производителя. Для большинства операционных систем, ранее уязвимых для этого вида атаки, имеются обновления, которые устранят проблему.
SSPing
Атака DoS, при которой машине отправляется последовательность сильно фрагментированных ICMP-пакетов большого размера.
Если машина пытается отправить большой пакет в сеть или через Internet, то есть большая вероятность того, что один из маршрутизаторов разобьёт его на меньшие части так, чтобы должным образом проложить маршрут по назначению. Машина, для которой предназначен пакет, получает эти части и собирает их вместе.
Программа SSPing отправляет на компьютер жертвы последовательность сильно фрагментированных ICMP-пакетов большого размера. Компьютер, получающий пакеты данных, пытается собрать фрагменты вместе, и при этом его работа прекращается. Сильно фрагментированные пакеты требуют от стека TCP/IP отслеживание дополнительной информации, чтобы можно было собрать пакеты. Если стек TCP/IP не был спроектирован должным образом, то при попытке отследить и собрать несколько пакетов происходит переполнение памяти, которое, в свою очередь приведёт к тому, что машина перестаёт реагировать на внешние воздействия.
Поскольку эта атака направлена в основном против операционных систем Microsoft, большинство заплат имеется на Web-узле этой компании.
Trinoo
Программа Trinoo – одно из первых широко распространенных средств DDoS атак. При работе Trinoo демон располагается на компьютерах, которые запускают атаку, а ведущие машины управляют демонами.
Далее описаны стандартные операции, выполняемые взломщиком при использовании Trinoo для взлома сети и установки демона Trinoo, который можно применить для запуска атак DDoS против других систем. Большинство этих операций типичны для любого типа средств DDoS.
-
Требуется выявить потенциальную машину или группу машин, которые будут использованы для атаки на целевую систему. В большинстве случаев такие операционные системы, как Solaris и Linux, являются объектами пристального внимания.
-
После выбора машины для размещения Trinoo демона взломщик должен найти способ взлома, чтобы установить программное обеспечение DDoS.
-
На каждую машину необходимо установить программное обеспечение DDoS. После конфигурирования всего программного обеспечения несколько машин нужно настроить как ведущие для демонов. Чтобы удостоверится, что всё работает надлежащим образом, необходимо провести краткое тестирование.
-
На этом этапе настраивается сеть DDoS и проводится подготовка к атаке на главные цели.
Важно помнить, что взломщик может автоматизировать большинство этих операций, поэтому они могут проводиться за очень короткий промежуток времени.
Предотвращение атак DoS
Эффективность атак DoS и особенности их проведения являются причиной того, что не существует способов их полного предотвращения. Для сведения шансов успеха атак к минимуму кое-что сделать можно, но, даже приняв все надлежащие меры безопасности, компания может оказаться уязвимой. Ниже перечислены некоторые меры, которые надлежит предпринять компании для сведения к минимуму шансов успеха проводимых против неё атак DoS и DDoS:
- эффективное и надёжное проектирование,
- ограничение пропускной способности,
- своевременное обновление систем,
- запуск минимального количества служб,
- разрешение только необходимого трафика,
- блокирование IP-адресов.
Предотвращение атак DDoS
В предыдущем разделе мы определили меры, которые может принять компания для сведения к минимуму вероятности того, что станет жертвой атак DoS и DDoS. Поскольку в обоих случаях жертва заваливается пакетами, способы защиты одинаковы, независимо от того поступают пакеты от одной или множества машин.
Учитывая тот факт, что в атаках DDoS нападающий зачастую взламывает другие сети, используя их для запуска атак, компания должна быть уверена в том, что её сервер не может использоваться взломщиком в качестве DDoS-сервера для взлома других узлов. Использование принципа ограничения полномочий в компании является залогом обеспечения безопасности сети. Ниже перечислены дополнительные меры защиты:
- поддержка безопасности сети,
- установка систем обнаружения вторжений,
- использование средств сканирования,
- запуск средств защиты от программ размещаемых на серверах DDoS атак.
Вопросы для самопроверки
-
Что такое атаки DoS?
-
Какие типы атак DoS Вы знаете?
-
Что такое распределённые атаки DoS?
-
Для чего предназначен протокол ICMP?
-
Какие меры помогают минимизировать риск успешной DoS атаки?
-
Какие меры необходимо предпринимать для предотвращения DDoS атак?