Идентификация на топологията на мрежата

Компютърни атаки и технологии за тяхното откриване.

Все още няма точна дефиниция на понятието "атака" (инвазия, атака). Всеки специалист по сигурността го тълкува по различен начин. Считам следното определение за най-правилно и пълно.

Атаката срещу информационна система е умишлени действия на нарушител, които използват уязвимостите на информационната система и водят до нарушаване на наличността, целостта и поверителността на обработваната информация.

Нека премахнем уязвимостите на информационната система - ще премахнем и възможността за осъществяване на атаки.

Към днешна дата се смята, че не е известно колко методи за атака съществуват. Казват, че все още няма сериозни математически изследвания в тази област. Но през 1996 г. Фред Коен описва математическите основи на вирусната технология. В тази работа е доказано, че броят на вирусите е безкраен. Очевидно броят на атаките също е безкраен, тъй като вирусите са част от много атаки.

Модели на атака

Традиционният модел на атака се основава на принципа"един към един" (фиг.1) илиедин към много" (фиг.2), т.е. атаката идва от един източник. Разработчиците на инструменти за мрежова защита (защитни стени, системи за откриване на проникване и др.) са фокусирани върху традиционния модел на атака. В различни точки на защитената мрежа са инсталирани агенти (сензори) на системата за защита, които предават информация на централната конзола за управление. Това улеснява мащабирането на системата, лесното дистанционно управление и т.н. Такъв модел обаче не може да се справи със сравнително наскоро (през 1998 г.) открита заплаха -разпределени атаки.

Моделътразпределена атака използва различни принципи. За разликаот традиционния модел, разпределеният модел използва връзкимного към едно имного към много.

Етапи на атаки

Могат да се разграничат следните етапи на осъществяване на атаката:

1. предварителни действия преди атаката или "събиране на информация"

2. действителното "осъществяване на атаката"

3. завършване на атаката.

Обикновено, когато говорят за атака, те имат предвид точно втория етап, забравяйки за първия и последния. Събирането на информация и завършването на атаката („прикриване на следите“) от своя страна също може да бъде атака и може да се раздели на три етапа:

Предпоставки за внедряване на атака -> Реализация на атака -> Завършване на атаката

Събирането на информация е основният етап от изпълнението на атаката. Именно на този етап ефективността от работата на нападателя е ключът към „успеха“ на атаката. Първо се избира целта на атаката и се събира информация за нея (тип и версия на операционната система, отворени портове и работещи мрежови услуги, инсталиран системен и приложен софтуер и неговата конфигурация и др.). След това се идентифицират най-уязвимите места на атакуваната система, въздействието върху които води до желания от нападателя резултат. Нападателят се опитва да разкрие всички канали за взаимодействие на целта на атаката с други възли. Това ще позволи не само да се избере вида на атаката, но и източникът на нейното изпълнение. Например, атакуваният възел взаимодейства с два сървъра, работещи с Unix и Windows NT. Атакуваният възел има доверена връзка с един сървър, но не и с друг. Сървърът, чрез който нападателят ще осъществи атаката, зависи от това коя атака ще бъде използвана, кое средство за реализация ще бъде избрано и т.н. След това, в зависимост от получената информация и желания резултат,избира се атаката с най-голям ефект. Например:

SYN Flood,Teardrop,UDP Bomb - за прекъсване на работата на възела;

CGI скрипт - за проникване във възел и кражба на информация;

PHF - за кражба на файла с парола и дистанционно отгатване на парола и др.

Традиционните защити, като защитни стени или филтриращи механизми в рутерите, влизат в сила едва на втория етап от атаката, като напълно „забравят“ за първия и третия. Това води до факта, че често извършваната атака е много трудна за спиране дори с мощни и скъпи средства за защита. Пример за това са разпределените атаки. Би било логично средствата за защита да започнат да работят на първия етап, т.е. би предотвратила възможността за събиране на информация за атакуваната система. Това би позволило ако не напълно да се предотврати атаката, то поне значително да се усложни работата на нападателя. Традиционните инструменти също не позволяват откриване на вече извършени атаки и оценка на щетите след тяхното изпълнение, т.е. не работят на третия етап от изпълнението на атаката. Поради това не е възможно да се определят мерки за предотвратяване на подобни атаки в бъдеще.

В зависимост от желания резултат нападателят се концентрира върху един или друг етап от атаката. Например:

за отказ от услуга атакуваната мрежа се анализира детайлно, търсят се вратички и слабости в нея;

за кражба на информация, фокусът е върху скритото проникване в атакуваните възли, използвайки предварително открити уязвимости.

Помислете за основните механизми за осъществяване на атаки. Това е необходимо, за да се разберат методите за откриване на тези атаки. В допълнение, разбирането на принципите на действията на нападателите е ключът към успешната защита на мрежата.

Събиране на информация

Първият етап от осъществяването на атаките е събирането на информация за атакуваната система или възел. Това включва действия като определяне на мрежовата топология, типа и версията на операционната система на атакувания възел, както и наличните мрежови и други услуги и др. Тези действия се изпълняват по различни начини.

Изследвайте околната среда

Идентификация на топологията на мрежата

Има два основни метода за определяне на мрежовата топология, използвана от нападателите:

1. TTL промяна (TTL модулация),

2. записвам маршрут (записвам маршрут).

Първият метод се използва от traceroute за Unix и tracert за Windows. Те използват полето Time to Live в заглавката на IP пакета, което се променя в зависимост от броя на рутерите, през които преминава мрежовият пакет. Помощната програма ping може да се използва за запис на маршрута на ICMP пакет. Често мрежовата топология може да бъде открита с помощта на SNMP протокола, инсталиран на много мрежови устройства, чиято защита е неправилно конфигурирана. С помощта на протокола RIP можете да опитате да получите информация за таблицата за маршрутизиране в мрежата и т.н.

Много от тези методи се използват от съвременните системи за управление (например HP OpenView, Cabletron SPECTRUM, MS Visio и др.) за изграждане на мрежови карти. И същите тези методи могат да бъдат успешно използвани от нападателите за изграждане на карта на атакуваната мрежа.

Идентификация на възел

Идентификацията на хоста обикновено се извършва чрез изпращане на командата ICMP ECHO_REQUEST с помощта на помощната програма ping. Съобщението за отговор ECHO_REPLY показва, че възелът е достъпен. Има безплатни програми, които автоматизират и ускоряват процеса на идентифициране на голям брой възли паралелно, като fping или nmap. опасностна този метод е, че заявките ECHO_REQUEST не са фиксирани от стандартните средства на възела. За да направите това, трябва да използвате инструменти за анализ на трафика, защитни стени или системи за откриване на проникване.

Това е най-простият метод за идентифициране на възли. Той обаче има два недостатъка.

1. Много мрежови устройства и програми блокират ICMP пакети и не ги пускат във вътрешната мрежа (или обратното не ги пускат навън). Например MS Proxy Server 2.0 не позволява на пакетите да преминават през ICMP протокола. Резултатът е непълна картина. От друга страна, блокирането на ICMP пакет казва на нападателя, че има "първа линия на защита" - рутери, защитни стени и т.н.

2. Използването на ICMP заявки улеснява откриването на техния източник, което, разбира се, не може да бъде задача на нападател.

Има и друг метод за идентифициране на възли - използване на "смесен" режим на мрежовата карта, който ви позволява да идентифицирате различни възли в мрежов сегмент. Но не е приложимо в случаите, когато трафикът на мрежовия сегмент не е достъпен за нападателя от неговия възел, т.е. този метод е приложим само в локални мрежи. Друг начин за идентифициране на хостове в мрежа е така нареченото DNS разузнаване, което ви позволява да идентифицирате хостове в корпоративна мрежа чрез достъп до сървър за услуги за имена.