Класификация на дистанционните атаки
Дистанционните атаки могат да бъдат класифицирани според следните критерии:
1. По естеството на въздействието
Под активно въздействие върху мрежова система се разбира въздействие, което пряко засяга работата на мрежата (промяна на мрежовата конфигурация, нарушаване на мрежата и т.н.) и нарушаване на политиката за сигурност, приета в системата [1]. Почти всички видове дистанционни атаки са активни въздействия. Основната характеристика на дистанционното активно въздействие е фундаменталната възможност за неговото откриване (разбира се, с по-голяма или по-малка степен на сложност).
Пасивно въздействие върху мрежова система е въздействие, което не засяга пряко работата на мрежата, но може да наруши нейната политика за сигурност. Именно липсата на пряко влияние върху работата на мрежата води до факта, че пасивното дистанционно въздействие е почти невъзможно да се открие.Единственият пример за пасивно типично дистанционно въздействие е слушането на канал в мрежата.
2. По цел на въздействието
Основната цел на почти всяка атака е получаването на неоторизиран достъп до информация. Има две основни възможности за достъп до информация - прихващане и изкривяване. Възможността за прихващане на информация означава получаване на достъп до нея, но невъзможността тя да бъде модифицирана. Пример за прихващане на информация е слушането на канал в мрежата. В този случай има неоторизиран достъп до информация без възможност за нейното изкривяване.
Възможността за изкривяване на информация означава пълен контрол над информационния поток. Това означава, че информацията може не само да се чете, както в случая на прихващане, но и да може да се променя. Пример за отдалечена атака, която ви позволява да променяте информация, еможе да служи като фалшив сървър (виж раздел 4.2.2.4.).
Трите класификационни характеристики, обсъдени по-горе, са инвариантни по отношение на типа атака, независимо дали е отдалечена или локална атака. Следните класификационни характеристики (с изключение на 3), които ще бъдат разгледани по-долу, имат смисъл само за отдалечени въздействия.
3. По условие за начало на осъществяване на въздействието
Дистанционното облъчване, както всяко друго, може да се извърши при определени условия. В компютърните мрежи може да има три вида условия за започване на атака.
- атака по заявка от атакувания обект. В този случай атакуваща програма, работеща на мрежов компютър, чака определен тип заявка да бъде изпратена от потенциална цел на атака, което ще бъде условието за стартиране на атаката. Пример за такива заявки в Novell NetWare OS е SAP - заявка, а UNIX OS - DNS и ARP - заявка. За отдалечени атаки срещу тези мрежови операционни системи, базирани на този принцип, вижте раздели 4.2.3.2, 4.2.4.3 и 4. 2.4.2 Важно е да се отбележи, че този тип отдалечена атака е най-типичен за мрежови операционни системи.
- атака при настъпване на определено събитие върху атакувания обект. В случай на отдалечена атака от този вид, атакуващата програма следи състоянието на операционната система на отдалечения компютър и когато се случи определено събитие в системата, тя започва да влияе. В този случай, както и в предишния случай, самият атакуван обект е инициатор на атаката. Пример за такова събитие би било прекратяване на потребителска сесия със сървър на Novell NetWare без подаване на команда LOGOUT (например чрез изключване на захранването на работната станция). За отдалечени атаки при настъпване на определено събитие вижте клауза 4 2.3.3 2.
- безусловна атака. В този случай започнетеатаката е безусловна по отношение на целта на атаката. Тоест атаката се извършва веднага след стартирането на атакуващата програма и следователно тя е инициаторът на началото на атаката. Вижте .4.2.4.4 за пример за този тип атака.
4. По местоположението на обекта на атаката спрямо атакувания обект
Нека да разгледаме някои дефиниции:
Субектът на атаката (или източникът на атака) е атакуваща програма, която извършва въздействие.
Хост (хост) - мрежов компютър.
Рутер (маршрутизатор) - устройство, което осигурява маршрутизиране на пакети за обмен в глобалната мрежа.
Подмрежа (в терминологията на Интернет) - набор от хостове, които са част от глобалната мрежа, за които същият номер на подмрежа е разпределен от рутера. Подмрежата е логическо групиране на хостове от рутер. Хостове в една и съща подмрежа могат да комуникират директно един с друг, заобикаляйки рутера.
Мрежов сегмент е физическо групиране на хостове. Например мрежовият сегмент се формира от набор от хостове, свързани към сървъра съгласно схемата на общата шина. С тази схема на свързване всеки хост има способността да анализира всеки пакет в своя сегмент.
От гледна точка на дистанционна атака е изключително важно как субектът и обектът на атаката са разположени един спрямо друг, тоест те са в едни и същи или в различни сегменти. В случай на вътрешносегментна атака, както подсказва името, субектът и обектът на атаката са в един и същи сегмент. Вижте 4.2.2.1, 4.2.2.2 за примери за такава атака. При междусегментна атака субектът и обектът на атаката са в различни сегменти. Вижте 4.2.2.3 до 4.2.2.6 за примери.
Тази функция за класификация ви позволява да прецените така наречената "степен на отдалеченост" на атаката. По-нататък ще бъде показано, че на практикаМеждусегментната атака е с порядък по-трудна за изпълнение от вътрешносегментната.
5. Според нивото на референтния модел ISO/OSI, върху който се оказва въздействие
Международната организация по стандартизация (ISO) прие стандарта ISO 7498, който описва взаимното свързване на отворени системи (OSI). Мрежовите операционни системи също са отворени системи. Всеки мрежов протокол за обмен, както и всяка мрежова програма, могат да бъдат проектирани, с различна степен на условност, върху референтния OSI модел от седем нива. Такава многостепенна проекция ще позволи
описват от гледна точка на OSI модела функциите, вградени в мрежов протокол или мрежова програма. Дистанционната атака също е мрежова програма. В тази връзка изглежда логично да се обмислят отдалечени атаки срещу мрежови операционни системи, като се проектират върху референтния модел ISO/OSI.