Типы удалённых атак

Для организации коммуникаций в неоднородной сетевой среде применяются набор протоколов TCP/IP, обеспечивая совместимость между компьютерами разных типов. Данный набор протоколов завоевал популярность благодаря совместимости и предоставлению доступа к ресурсам глобальной сети Интернет и стал стандартом для межсетевого взаимодействия.

Однако повсеместное распространение стека протоколов TCP/IP обнажило и его слабые стороны. В особенности из-за этого удалённым атакам подвержены распределённые системы, поскольку их компоненты обычно используют открытые каналы передачи данных, и нарушитель может не только проводить пассивное прослушивание передаваемой информации, но и модифицировать передаваемый трафик.

Трудность выявления проведения удалённой атаки и относительная простота проведения(из-за избыточной функциональности современных систем) выводит этот вид неправомерных действий на первое место по степени опасности и препятствует своевременному реагированию на осуществлённую угрозу, в результате чего у нарушителя увеличиваются шансы успешной реализации атаки.

Существует множество специальных технологий, с помощью которых злоумышленники могут атаковать удаленные компьютеры. Они подразделяются на несколько категорий:

1. DoS-атаки
   DoS-атаки (атаки типа отказ в обслуживании) представляют собой попытку сделать компьютер или сеть недоступными тем пользователями, для которых они предназначены. Обмен данными между пользователями пораженного компьютера затруднен или невозможен в приемлемом режиме.
   
   Компьютеры, подвергшиеся действию DoS-атаки, обычно должны быть перезагружены для восстановления нормальной работы. В большинстве случаев объектами этой атаки становятся веб-серверы, а целью является вывод их из строя и, как следствие, их недоступность на некоторое время.
   
   
   
2. Атака путем подделки записей кэша DNS
   Атака путем подделки записей кэша DNS (сервер доменных имен) позволяет злоумышленникам убедить DNS-сервер любого компьютера в том, что предоставляемые подложные данные являются истинными. Ложная информация кэшируется на определенное время, давая злоумышленникам возможность перезаписать ответы DNS-сервера с IP-адресами. В результате при попытке посещения веб-сайтов пользователь загружает компьютерные вирусы и черви вместо исходного содержимого.
   
   
   
3. Атаки червей
   Компьютерные черви — это содержащие злонамеренный код программы, которые атакуют главные компьютеры и распространяются через сеть. Сетевые черви используют сетевые уязвимости различных приложений. Благодаря Интернету они распространяются по всему земному шару за считаные часы после запуска в сеть. В некоторых случаях счет идет на минуты.
   
   Многих из атак червей (Sasser, SqlSlammer) можно избежать, используя настройки персонального файервола по умолчанию или с помощью блокировки незащищенных и неиспользуемых портов. Очень важно регулярно устанавливать новейшие пакеты обновления операционной системы.
   
   
   
4. Сканирование портов
   Сканирование портов используется, чтобы определить, какие порты компьютера открыты на узле сети. Сканер портов представляет собой программное обеспечение, которое предназначено для поиска таких портов.
   
   Компьютерный порт является виртуальной точкой, которая управляет сетевым трафиком в обоих направлениях. Это является критичным с точки зрения сетевой безопасности. В больших сетях данные, которые собираются с помощью сканера портов, могут помочь выявить потенциальные уязвимости компьютерных систем. Такое использование является допустимым.
   
   Однако сканеры часто используются злоумышленниками для взлома систем безопасности. Первым шагом отправляется серия пакетов на каждый из портов. В зависимости от полученных ответов определяется, какой из портов можно использовать. Сканирование не причиняет вреда само по себе, но следует иметь в виду, что такая активность зачастую является признаком попытки выявления уязвимости и последующей атаки злоумышленников на систему. Сетевые администраторы обычно советуют блокировать все неиспользуемые порты и защищать используемые от неавторизованного доступа.
   
   
   
5. TCP-десинхронизация
   TCP-десинхронизация — это метод, используемых в атаках подмены одного из участников TCP-соединения. Этот метод основан на процессах, которые происходят, когда порядковый номер приходящего пакета отличается от ожидаемого. Пакеты с неожиданными номерами пропускаются (или сохраняются в специальном буфере, если они попадают в текущее окно соединения).
   
   При десинхронизации обе стороны обмена данными пропускают полученные пакеты. В этот момент злоумышленники могут заразить и передать пакеты с правильным порядковым номером. Злоумышленники могут даже манипулировать обменом данных и вносить в него изменения.
   
   В атаках путем подмены одного из участников целью является внедрение в двухсторонний обмен данными между сервером и клиентом. Многие атаки в этом случае могут быть предотвращены путем использования аутентификации для каждого из сегментов TCP. Кроме того, следует использовать рекомендуемые параметры для сетевых устройств.
   
   
   
6. SMB Relay
   SMBRelay и SMBRelay2 являются особыми программами, которые способны атаковать удаленные компьютеры. Эти программы используют уязвимость протокола SMB, который встроен в NetBIOS. Если пользователь предоставляет общий доступ к каким-либо папкам через локальную сеть, скорее всего это осуществляется с помощью протокола SMB.
   
   В рамках обмена данными по локальной сети происходит обмен данными хеш-таблиц паролей. SMBRelay принимает соединения по UDP на портах 139 и 445, транслирует пакеты, которыми обменивается клиент и сервер, и подменяет их. После подключения и аутентификации соединение с клиентом прерывается. SMBRelay создает новый виртуальный IP-адрес.
   
   Новый адрес доступен с помощью следующей команды:
   net use \\192.168.1.1
   
   После этого доступ к адресу открыт для любой сетевой функции Windows. SMBRelay транслирует весь обмен данными через себя, кроме процессов установления соединения и аутентификации. Удаленная атакующая сторона может использовать IP-адрес, пока подключен клиентский компьютер.
   
   SMBRelay2 работает на основе того же принципа, что и SMBRelay, но использует имена NetBIOS вместо IP-адресов. Обе программы используют атаки «злоумышленник в середине». Эти атаки позволяют удаленной атакующей стороне считывать, вставлять и изменять сообщения между двумя сторонами, не обнаруживая себя. Атакованные таким методом компьютеры зачастую прекращают отвечать на запросы пользователя или внезапно перезагружаются.
   
   Для того чтобы избежать проблем подобного рода, рекомендуется использовать пароли для аутентификации или ключи.
   
   
   
7. Атаки по протоколу ICMP
   Протокол ICMP является популярным и широко используемым протоколом Интернета. Применяется он преимущественно подключенными к сети компьютерами для отправки сообщений об ошибках.
   
   Удаленные злоумышленники пытаются использовать уязвимости протокола ICMP. Протокол ICMP предназначен для передачи данных в одном направлении без аутентификации. Это позволяет злоумышленникам организовывать DoS-атаки (отказ в обслуживании) или атаки, предоставляющие не имеющим на это права лицам доступ ко входящим и исходящим пакетам.
   
   Типичными примерами атак по протоколу ICMP являются ping-флуд, флуд эхо-запросов по протоколу ICMP и smurf-атаки. Компьютеры, подвергающиеся атаке по протоколу ICMP, значительно замедляют свою работу (это касается всех приложений, использующих Интернет), и у них возникают проблемы при подключении к Интернету.