APS - откриване на хакерски атаки

APS помощна програма

Основната цел на тази програма е да открива хакерски атаки. Както знаете, първата фаза на повечето хакерски атаки е инвентаризация на мрежата и сканиране на портове на открити хостове. Сканирането на портове помага да се определи типа на операционната система и да се открият потенциално уязвими услуги (например поща или WEB сървър). След сканиране на портове много скенери определят типа на услугата, като изпращат тестови заявки и анализират отговора на сървъра. Помощната програма APS провежда обмен с нападателя и ви позволява да идентифицирате уникално факта на атаката.

атаки

Освен това целта на помощната програма е:

  • откриване на различни видове атаки (предимно сканиране на портове и идентификация на услуги) и появата на троянски коне и мрежови червеи в мрежата (в базата данни на APS има повече от сто порта, използвани от червеи и Backdoor компоненти);
  • тестване на скенери на портове и мрежова сигурност (за да проверите работата на скенера, трябва да стартирате APS на тестов компютър и да сканирате портовете - с помощта на APS протоколите е лесно да се определи кои проверки ще види скенерът и в каква последователност);
  • тестване и оперативен контрол на защитната стена - в този случай помощната програма APS се стартира на компютър с инсталирана защитна стена и се извършва сканиране на портове и (или други атаки) срещу компютъра. Ако APS генерира аларма, това е сигнал, че защитната стена не работи или че е конфигурирана неправилно. APS може да работи постоянно зад компютър, защитен със защитна стена, за да наблюдава правилното функциониране на защитната стена в реално време;
  • блокиране на работата на мрежови червеи и Backdoor модули и тяхното откриване - принципът на откриване и блокиране се основава на факта, чеедин и същи порт може да бъде отворен за слушане само веднъж. Следователно отварянето на портовете, използвани от троянските коне и програмите Backdoor, преди да бъдат стартирани, ще попречи на тяхната работа, след стартирането ще доведе до откриване на факта, че портът се използва от друга програма;
  • тестване на антитроянски и антивирусни програми, IDS системи - повече от сто порта на най-разпространените троянски програми са включени в APS базата данни. Някои анти-троянски инструменти имат способността да сканират портовете на проверявания компютър (или да съставят списък с портове за слушане без сканиране с помощта на Windows API) - такива инструменти трябва да съобщават за предполагаеми троянски коне (със списък на "подозрителни" портове) - полученият списък може лесно да се сравни със списъка на портовете в базата данни на APS и да се направят изводи за надеждността на използвания инструмент.

Принципът на програмата се основава на прослушване на портовете, описани в базата данни. Базата данни на портовете се актуализира постоянно. Базата данни съдържа кратко описание на всеки порт - кратките описания съдържат или имената на вирусите, използващи порта, или името на стандартната услуга, на която отговаря този порт. Когато бъде открит опит за свързване към слушащия порт, програмата записва факта на връзката в протокола, анализира данните, получени след свързване, а за някои услуги предава така наречения банер - определен набор от текстови или двоични данни, предавани от реалната услуга след свързване.