Московский государственный университет имени М.В.Ломоносова
Опубликован: 21.09.2006 | Доступ: свободный | Студентов: 4411 / 642 | Оценка: 4.32 / 4.09 | Длительность: 19:19:00
ISBN: 978-5-9556-0076-0
Лекция 5:

Развертывание IDS

< Лекция 4 || Лекция 5: 123456 || Лекция 6 >

Типы компьютерных атак, обычно определяемые IDS

Три типа компьютерных атак обычно определяются IDS: сканирование системы, denial of service (DoS) и проникновение в систему. Эти атаки могут быть осуществлены локально, с атакованной машины, или удаленно, используя сеть для доступа к цели. Оператор IDS должен понимать различие между этими типами атак, так как каждый тип требует различного множества ответов.

Атаки сканирования

Атаки сканирования возникают тогда, когда атакующий прощупывает целевую сеть или систему, посылая различные типы пакетов. Это аналогично деятельности, описанной выше относительно сетевых инструментальных средств анализа уязвимостей. Действительно, технологии могут быть идентичными, но мотивация для выполнения действий разная!

Используя ответы, посылаемые целью, атакующий может много узнать о характеристиках и уязвимостях системы. Таким образом, атака сканирования является для атакующего средством идентификации цели. Эти атаки не выполняют проникновение или другую компрометацию систем. Различные названия инструментальных средств, используемых для выполнения таких действий, включают: сетевые mappers, порт mappers, сетевые сканеры, порт сканеры или сканеры уязвимостей. Атаки сканирования могут определять:

  • топологию целевой сети;
  • типы сетевого трафика, пропускаемые firewall’ом;
  • активные хосты в сети;
  • операционные системы, которые выполняются на хостах;
  • ПО сервера, которое выполняется на них;
  • номера версий для всего обнаруженного ПО.

Сканеры уязвимостей являются специальным типом сканеров, которые проверяют наличие конкретных уязвимостей на хостах. Таким образом, атакующий может запустить сканер уязвимостей, и он выдаст список хостов (IP-адресов), которые являются уязвимыми для конкретной атаки.

По этой информации атакующий может точно идентифицировать систему жертвы в целевой сети для осуществления конкретных атак с целью проникновения в эти системы. Иными словами, атакующие используют сканирование ПО для "выбора" цели перед запуском реальной атаки. К несчастью для жертвы, по аналогии с тем, как любой человек может войти в банк или осмотреть видимую систему безопасности, некоторые законодатели считают, что сканирование сети или хоста является законным действием. С точки зрения того, кто выполняет сканирование, он просто бродит по Интернету в поисках публично доступных ресурсов.

Существуют законодательные оправдания для сканирования. Инструменты поиска в web могут сканировать Интернет для поиска новых web-страниц. Каждый может сканировать Интернет для поиска свободных музыкальных репозиториев или публично доступных многопользовательских игр. Главным является то, что, как правило, технология, которая позволяет обнаруживать публично доступные ресурсы, также позволяет анализировать систему для поиска слабых мест в безопасности. Лучшие IDS, которые могут определять сканирование, обычно имеют возможность делать различие между законным и враждебным сканированием. Сканирование подобно большинству общих атак, так как оно является предвестником любой серьезной попытки проникновения. Если сеть подсоединена к Интернету, это почти всегда означает, что она будет просканирована, если не сегодня, то, по крайней мере, в ближайшую неделю.

DoS-атаки

DoS-атаки пытаются замедлить или остановить системы или сервисы в целевой сети. Существует два типа DoS-атак: шквальная эксплуатация и наводнение (flooding). Важно понимать разницу между ними.

DoS-атаки шквальной эксплуатации

Атаки шквальной эксплуатации вызывают "шквал" в ПО целевой системы, чтобы вызвать невозможность обработки или исчерпание системных ресурсов. Например, результатом "ping of death" атаки является невозможность дальнейшей обработки. Данная атака включает отправку очень большого пакета ping некоторым Windows-системам. Целевая система может не обработать такой анормальный пакет, в результате чего произойдет крах системы. Что касается исчерпания ресурсов, то под ресурсами в данном случае понимается время ЦП, память, дисковое пространство, пространство в некотором буфере или пропускная способность сети. Во многих случаях достаточно установить последние версии ПО, чтобы предотвратить данный тип DoS-атаки.

Flooding DoS-атаки

Flooding-атаки посылают системе или компоненту системы больше информации, чем она может обработать. В случаях, когда атакующий не может послать системе достаточно информации для подавления ее возможностей обработки, он может попытаться монополизировать сетевое соединение к цели и посредством этого запретить доступ всякому, кому требуется ресурс. При таких атаках не создается шквала на целевой системе.

Термин "распределенная DoS-атака" (DDoS) означает подмножество DoS-атак. DDoS-атаки являются простыми flooding DoS-атаками, когда атакующий использует несколько компьютеров для запуска атаки. Эти компьютеры обычно управляются компьютером атакующего и, таким образом, действуют как единая огромная атакующая система. Атакующий обычно не может нанести вред большому сайту электронной коммерции с помощью наводнения сетевыми пакетами с единственного хоста. Однако, если он получит управление над 20 000 хостами и взломает их таким образом, чтобы заставить их выполнять атаку под своим управлением, то он может получить достаточно средств для успешной атаки на самые большие системы.

Атаки проникновения

Атаки проникновения включают неавторизованное приобретение и/или изменение системных привилегий, ресурсов или данных. Будем воспринимать эти нарушения целостности и управляемости как противоположность DoS-атакам, которые нарушают доступность ресурсов, и атакам сканирования, которые не делают ничего незаконного. Атака проникновения может получить управление над системой, используя различные изъяны ПО. Наиболее общие изъяны и последствия для безопасности каждого из них перечислены ниже.

Хотя атаки проникновения очень различаются как в деталях осуществления, так и по воздействию на атакуемую систему, наиболее общие типы следующие:

User to Root. Локальный пользователь на хосте получает полное управление над целевым хостом.

Remote to User. Атакующий по сети получает доступ к пользовательскому аккаунту на целевом хосте.

Remote to Root. Атакующий по сети получает полное управление на сетевом хосте.

Remote Disk Read. Атакующий по сети получает возможность читать файлы данных на целевом хосте без выполнения авторизации.

Remote Disk Write. Атакующий по сети получает возможность записывать в файлы данных на целевом хосте без выполнения авторизации.

Удаленные vs. локальные атаки

DoS-атаки и атаки проникновения имеют два варианта: локальный и удаленный.

Атака авторизованного пользователя

Атаки авторизованного пользователя – это те атаки, при которых атакующий имеет возможность войти в целевую систему под законным пользовательским аккаунтом. Большинство атак авторизованного пользователя означают некоторый способ расширения привилегий.

Атаки публичного доступа

Атаки публичного доступа представляют собой атаки, которые запускаются без использования какого-либо аккаунта или возможности привилегированного доступа на целевой системе, — они запускаются удаленно через сетевое соединение, используя только публичный доступ, предоставленный целевой системой.

Одна типичная стратегия атаки состоит в использовании атаки публичного доступа для получения начального доступа в систему. Затем, уже в системе, атакующий использует атаки авторизованного пользователя для получения полного управления целью.

Определение расположения атакующего на основе анализа выходной информации IDS

При уведомлениях об обнаруженной атаке, IDS часто сообщает о расположении атакующего. Данное расположение обычно представляет собой IP-адрес источника. Сообщаемый адрес является просто IP-адресом источника, который появляется в пакетах атакующего, но вовсе не обязательно представляет собой корректный адрес источника, так как атакующий обычно подменяет IP-адреса в своих пакетах.

Чтобы понять, является ли IP-адреса источника реальным, следует определить тип атаки и затем определить, нужно ли атакующему получать ответные пакеты, посланные жертвой.

Если атакующий запустил одностороннюю атаку, подобную многим flooding DoS-атакам, когда ему не нужно видеть никаких ответных пакетов, то он может проставить в своих пакетах случайные IP-адреса. Атакующий действует аналогично тому, что происходит в реальном мире при посылке открытки с фальшивым обратным адресом, заполняя тем самым почтовый ящик, чтобы никто другой не мог отправить почту. В данном случае атакующий не может получать никаких ответов от жертвы.

Однако, если необходимо видеть ответы жертвы, то атакующий не может изменить IP-адрес источника.

В общем случае, атакующие должны использовать корректный IP-адрес, когда они запускают атаки проникновения, но не DoS-атаки.

Однако существует одно исключение, связанное с квалифицированными атакующими. Атакующий может послать пакеты, используя поддельный IP-адрес источника, но установить ловушку для ответа жертвы на поддельный адрес. Это можно сделать без доступа к компьютеру с поддельным адресом. Такая манипуляция с IP-адресацией называется "IP- Spoofing".

Чрезмерная отчетность об атаках

Многие операторы IDS бывают подавлены большим количеством атак, отмечаемых IDS. Для оператора просто невозможно исследовать сотни и тысячи атак, которые указываются ежедневно некоторыми IDS. Суть проблемы не в количестве атак, а в том, как IDS создает отчеты об этих атаках.

Некоторые IDS сообщают об отдельной атаке каждый раз, когда атакующий получает доступ к определенному хосту. Таким образом, атакующий, сканирующий подсеть из сотни хостов, должен вызвать сотни сообщений об атаках. Некоторые производители предлагают решение данной проблемы. Эти новейшие IDS начинают эффективно комбинировать многочисленные записи и указывать оператору только на те атаки, которые являются самыми важными.

Соглашения по именованию атак

До недавнего времени не было общего соглашения по именованию компьютерных атак или уязвимостей. Это затрудняло сравнение различных IDS, так как каждый производитель IDS создавал свой список результатов при анализе событий, отражающих некоторое множество атак. Это также затрудняло координированное использование в сети более одного типа IDS, так как различные IDS создавали различные сообщения при определении некоторой атаки.

В настоящее время приложены определенные усилия по разработке общей номенклатуры компьютерных уязвимостей и атак. Наиболее популярным из них является Common Vulnerabilities and Exposures List (CVE), который поддерживается MITRE, получающим информацию от различных профессиональных сообществ по безопасности. Многие производители программных и аппаратных продуктов, связанных с безопасностью, делают их CVE-совместимыми. Список CVE может быть найден на сайте http://cve.mitre.org.

Уровни важности атак

Многие IDS связывают с определяемыми атаками уровень важности. Это делается, чтобы помочь оператору правильно определить воздействие атаки и тем самым выполнить соответствующие действия. Однако воздействие и важность атаки являются очень субъективными и не обязательно должны быть одними и теми же во всех случаях, а могут зависеть от топологии сети и окружения в каждом конкретном случае. Например, если атакующий запускает высокоэффективную UNIX-атаку против большой гетерогенной сети, воздействие атаки на сетевой сегмент, который в основном состоит из Windows-систем, может быть низким, тогда как воздействие атаки на всю сеть (и, таким образом, важность атаки) остается высоким. Следовательно, уровни важности, о которых говорится в отчетах IDS, являются полезной информацией для менеджеров безопасности, но должны рассматриваться в контексте конкретного системного окружения, в котором выполняется IDS.

< Лекция 4 || Лекция 5: 123456 || Лекция 6 >
Виталий Гордиевских
Виталий Гордиевских

Здравстивуйте, диплом о профессиональной переподготовке по программе "Сетевые технологии" дает право на ведение профессиональной деятельности в какой сфере? Что будет написано в дипломе? (В образце просто ничего неуказано)

Напимер мне нужно чтоб он подходил для направления 09.03.01 Информатика и вычислительная техника

Александр Тагильцев
Александр Тагильцев

Где проводится профессиональная переподготовка "Системное администрирование Windows"? Что-то я не совсем понял как проводится обучение.

Михаил Трифонов
Михаил Трифонов
Россия, Ленинград, ЛГМИ Ленинградский Гидрометеорологический Институт, 1986