Студопедия  
Главная страница | Контакты | Случайная страница

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Снифферы пакетов

Читайте также:
  1. КЛАССИФИКАЦИЯ пакетов прикладных программ
  2. ОЦЕНКА КОНТР. И НЕК-Х ПАКЕТОВ АКЦ П.П.
  3. Погрузка пакетов труб или металлопроката, застропованных за металлические скрутки пакетов, запрещается.
  4. Понятие и способы формирования государственных и муниципальных пакетов акций

 

Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме, когда все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки. При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен. В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли). Перехват имен и паролей создает большую опасность, так как пользователи часто применяют один и тот же логин и пароль для множества приложений и систем. Многие пользователи вообще имеют один пароль для доступа ко всем ресурсам и приложениям. Если приложение работает в режиме клиент/сервер, а аутентификационные данные передаются по сети в читаемом текстовом формате, эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам. В самом худшем случае хакер получает доступ к пользовательскому ресурсу на системном уровне и с его помощью создает нового пользователя, которого можно в любой момент использовать для доступа в сеть и к ее ресурсам. Смягчить угрозу сниффинга пакетов можно с помощью следующих средств:

IP-спуфинг

IP-спуфинг (англ. to spoof – мистифицировать, обманывать) происходит, когда хакер, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя. Это можно сделать двумя способами. Во-первых, хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример - атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера. Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между устройствами. Для двусторонней связи хакер должен изменить таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес. Некоторые хакеры, однако, даже не пытаются получить ответ от приложений. Если главная задача состоит в получении от системы важного файла, ответы приложений не имеют значения. Если же хакеру удается поменять таблицы маршрутизации и направить трафик на ложный IP-адрес, хакер получит все пакеты и сможет отвечать на них так, будто он является санкционированным пользователем. Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:

Наиболее эффективный метод борьбы с IP-спуфингом – это обеспечение абсолютной неэффективности атаки. IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает этот вид атак бесполезными. Лучшим видом дополнительной аутентификации является криптографическая.

 

Атаки типа "отказ в обслуживании"

DoS-атаки, без всякого сомнения, является наиболее известной формой хакерских атак. Кроме того, против атак такого типа труднее всего создать стопроцентную защиту. Даже среди хакеров атаки DoS считаются тривиальными, а их применение вызывает презрительные усмешки, потому что для организации DoS требуется минимум знаний и умений. Тем не менее, именно простота реализации и огромный причиняемый вред привлекают к DoS пристальное внимание администраторов, отвечающих за сетевую безопасность. Если вы хотите побольше узнать об атаках DoS, вам следует рассмотреть их наиболее известные разновидности, а именно:

Атака типа "отказ в обслуживании" (Denial of Service – DoS) – это инцидент, при котором предприятие оказывается лишенным службы ресурса, которой оно обычно пользуется. Обычно, отказ службы – это невозможность отдельной сетевой службы, такой как Web сервер, сервер Доменных Имен или почтовый сервер выполнять обычные запросы пользователей. В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. Большинство атак DoS опирается не на программные ошибки или бреши в системе безопасности, а на общие слабости системной архитектуры. Некоторые атаки сводят к нулю производительность сети, переполняя ее нежелательными и ненужными пакетами или сообщая ложную информацию о текущем состоянии сетевых ресурсов.

По мере того, как сеть становится все более важной и актуальной для бизнеса, ее недоступность из-за атак отказа в обслуживании, направленных в сеть или из сети, становится причиной потерь доходов. Минимизация потерь доходов в такой ситуации является крайне необходимой для сохранения допустимой границы прибыли и жизнеспособности бизнеса.

Распределенная атака отказа в обслуживании (Distributed Denial of Service – DdoS) – это такая атака, которая координируется из нескольких источников. Такие атаки, в частности, очень трудно предотвратить, так как они выглядят как обычные источники трафика, только намного большего объема, и часто нуждаются в помощи поставщика услуг для его уменьшения.

Каждая фирма должна сначала определить, является ли сеть крайне важной частью их бизнес стратегии, а затем установить, зависит ли работа сети от внешних служб. Должно быть принято решение о возможности отключения внешнего доступа к данным сетевым ресурсам в аварийных ситуациях. Одним из практически осуществимых решений для борьбы с атаками отказа в обслуживании, направленных на предприятие, является закрытие доступа к ресурсам. Другие предусмотрительные действия включают: налаживание тесных связей с провайдером Интернет услуг, понимание его возможностей относительно сдерживания DoS атак и подготовка аварийных действий в случае инцидента.

 

Растущая угроза

С помощью представленных трендов уязвимости и изощренности атак, CERT/CC подчеркивает невероятный рост инструментариев для обнаружения и использования уязвимостей, в то время как уровень знаний и изощренности атакующих в большой степени снизился. В действительности, опытные хакеры создают инструменты, готовые к использованию менее знающими атакующими, так называемыми "script kiddies". В сущности, используя данные инструменты, каждый стал экспертом. Раньше хакер должен был обладать хорошими навыками программирования, чтобы создавать и распространять простые в использовании приложения. Теперь, чтобы получить доступ к хакерскому средству, нужно просто знать адрес нужного сайта, а для проведения атаки достаточно щелкнуть мышкой.

Возможности атакующих заметно увеличились только за последние 7 лет, с 1997 до настоящего времени. Инструменты развились от сканирующих, которые находят компьютеры с незакрытыми уязвимостями, до механизмов, автоматически подвергающих машины угрозе, распространяющих червей, вирусы и троянских коней, до сложных возможностей управления и контроля, использующих десятки тысяч компьютеров, включая машины домашних пользователей.

 

Схема 1. Усложненность атак в сопоставлении с уровнем знаний злоумышленников

Кроме того, бизнес требования развиваются в сторону того, чтобы доступ мог быть получен не только из офиса предприятия, но также из дома, или, все чаще с "третьей стороны", как например, гостиницы, кафе, аэропорта или любого другого места. Такие удаленные пользователи создают большой рост производительности для предприятия, но одновременно представляют новую проблему для модели безопасности, в которой все корпоративные коммуникации проходили бы через центральную систему.

Такая децентрализация сетевых соединений требует более полного охвата безопасности. В дополнение к обеспечению безопасности по периметру, аутентификация и авторизация должны быть распространены на каждый ресурс, доступный по сети. К тому же, должна быть обеспечена невозможность отказа от факта передачи или приема сообщения обычно посредством тщательного криптографического закрытия, так чтобы они не могли быть повторно воспроизведены позже, используя атаку "man in the middle"(или "человек посередине").

Возможности злоумышленников продолжают расти и представляют собой постоянно изменяющуюся угрозу, вы никогда не знаете каким будет ее источник в следующий раз. Постоянная адаптация к угрозам представляет собой серьезную проблему для предприятия.

 




Дата добавления: 2014-12-19; просмотров: 24 | Поможем написать вашу работу | Нарушение авторских прав




lektsii.net - Лекции.Нет - 2014-2024 год. (0.008 сек.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав