Віддалені мережеві атаки

Віддалена мережева атака — інформаційний руйнівний вплив на розподілену обчислювальну систему, що здійснюється програмно по каналах зв'язку.

Введення

Для організації комунікацій в гетерогенному мережевому середовищі застосовуються набір протоколів TCP/IP, забезпечуючи сумісність між комп'ютерами різних типів. Даний набір протоколів завоював популярність завдяки сумісності та надання доступу до ресурсів глобальної мережі Інтернет і став стандартом для міжмережевої взаємодії. Однак повсюдне поширення стека протоколів TCP/IP оголило і його слабкі сторони. Через це є особливо вразливими до віддалених атак розподілені системи, оскільки їх компоненти зазвичай використовують відкриті канали передачі даних, і зловмисник може не лише проводити пасивне прослуховування переданої інформації, але і модифікувати передаваний трафік.

Складність виявлення проведення віддаленої атаки і відносна простота її проведення (за надлишкової функціональності сучасних систем) виводить цей вид зловмисних дій на перше місце^[де?] за ступенем небезпеки і перешкоджає своєчасному реагуванню на здійснену загрозу, в результаті чого у порушника збільшуються шанси успішної реалізації атаки.

Класифікація атак

За характером впливу

• Пасивний вплив на розподілену обчислювальну систему (РОС) являє собою деякий вплив, який прямо не впливає на роботу системи, але в той же час здатний порушити її політику безпеки. Відсутність прямого впливу на роботу РОС призводить до того, що пасивний віддалений вплив (ПВВ) важко виявити. Можливим прикладом типового ПВВ служить прослуховування каналу зв'язку в мережі.

• Активний вплив на РОС — вплив, що здійснює пряме втручання в роботу системи (порушення працездатності, зміна конфігурації РОС і т. д.), яке порушує політику безпеки, прийняту в ній. Активними впливами є майже всі типи віддалених атак. Пов'язано це з тим, що в самій природі шкідливого впливу завжди є активна складова. Явна відмінність активного впливу від пасивного — принципова можливість його виявлення, так як в результаті його здійснення у системі відбуваються деякі зміни. При пасивних же діях, не залишається жодних слідів (через те, що коли атакувальник прогляне чуже повідомлення в системі, не зміниться власне нічого).

По цілі впливу

• порушення функціонування системи (доступу до системи)
• порушення цілісності інформаційних ресурсів (ІР)
• порушення конфіденційності ІР

Ця ознака, за якою проводиться класифікація, по суті є прямою проєкцією трьох базових різновидів загроз — відмови в обслуговуванні, розкриття і порушення цілісності.

Головна мета, яку переслідують практично при будь-якій атаці — отримання несанкціонованого доступу до інформації. Існують два принципових варіанти отримання інформації: спотворення і перехоплення. Варіант перехоплення інформації означає отримання доступу без можливості її зміни. Перехоплення інформації призводить до порушення її конфіденційності. Прослуховування каналу в мережі — приклад перехоплення інформації. В цьому випадку є нелегітимний доступ до інформації без можливих варіантів її підміни. Очевидно, що порушення конфіденційності інформації відноситься до пасивних впливів.

Можливість підміни інформації слід розуміти або як повний контроль над потоком інформації між об'єктами системи, або можливість передачі різних повідомлень від чужого імені. Отже, зрозуміло, що підміна інформації призводить до порушення її цілісності. Таке інформаційний руйнівний вплив є характерним прикладом активного впливу. Прикладом віддаленої атаки, призначеної для порушення цілісності інформації, є віддалена атака «Помилковий об'єкт РОС».

За наявності зворотного зв'язку з атакованим об'єктом

• зі зворотнім зв'язком
• без зворотного зв'язку (односпрямована атака)

Атакуючий посилає деякі запити на атакується об'єкт, на які очікує отримати відповідь. Отже між атакуючим і тим кого атакують з'являється зворотний зв'язок, що дозволяє першому адекватно реагувати на всілякі зміни на атакується об'єкті. В цьому суть віддаленої атаки, яка здійснюється при наявності зворотного зв'язку з атакуючим об'єктом. Подібні атаки найбільш характерні для РВС.

Атаки без зворотного зв'язку характерні тим, що їм не потрібно реагувати на зміни на атакується об'єкті. Такі атаки зазвичай здійснюються за допомогою передачі на атакується об'єкт одиночних запитів. Відповіді на ці запити атакуючому не потрібні. Подібну УА можна назвати також односпрямованої УА. Прикладом односпрямованих атак є типова УА «DoS-атака».

За умовою початку здійснення впливу

Віддалений вплив, також як і будь-яке інший, може почати здійснюватися тільки при певних умовах. В РВС існують три види таких умовних атак:

• атака за запитом від атакується об'єкта
• атака за настання очікуваної події на атакується об'єкті
• безумовна атака

Вплив з боку атакуючого розпочнеться за умови, що потенційна мета атаки передасть запит певного типу. Таку атаку можна назвати атакою за запитом від атакується об'єкта. Даний тип УА найбільш характерний для РВС. Прикладом подібних запитів в мережі Інтернет може служити DNS- і ARP-запити, а в Novell NetWare — SAP-запит.

Атака за настання очікуваної події на атакується об'єкті. Атакуючий безперервно спостерігає за станом ОС віддаленої мети атаки і починає вплив при виникненні певної події в цій системі. Атакується об'єкт сам є ініціатором початку атаки. Прикладом такої події може бути переривання сеансу роботи користувача із сервером без видачі команди LOGOUT в Novell NetWare.

Безумовна атака здійснюється негайно і безвідносно до стану операційної системи і атакується об'єкта. Отже, атакуючий є ініціатором початку атаки в даному випадку.

При порушенні нормальної працездатності системи переслідуються інші цілі і отримання атакуючим незаконного доступу до даних не передбачається. Його метою є виведення з ладу ОС на атакується об'єкті та неможливість доступу для інших об'єктів системи до ресурсів цього об'єкта. Прикладом атаки такого виду може служити УА «DoS-атака».

По розташуванню суб'єкта атаки щодо атакованого об'єкта

• міжсегментне
• внутрішньосегментне

Деякі визначення:

Джерело атаки (суб'єкт атаки) — програма (можливо оператор), ведуча атаку і здійснює безпосередній вплив.

Хост (host) — комп'ютер, що є елементом мережі.

Маршрутизатор (router) — пристрій, який забезпечує маршрутизацію пакетів у мережі.

Підмережею (subnetwork) називається група хостів, що є частиною глобальної мережі, відрізняються тим, що маршрутизатором для них виділено однаковий номер підмережі. Так само можна сказати, що підмережа є логічне поєднання хостів допомогою маршрутизатора. Хости всередині однієї підмережі можуть безпосередньо взаємодіяти між собою, не задіявши при цьому маршрутизатор.

Сегмент мережі — об'єднання хостів на фізичному рівні.

З точки зору віддаленої атаки вкрай важливим є взаємне розташування суб'єкта і об'єкта атаки, тобто вони знаходяться в різних або однакових сегментах. Під час внутрисегментной атаки, суб'єкт і об'єкт атаки розташовуються в одному сегменті. У разі межсегментной атаки суб'єкт і об'єкт атаки знаходяться в різних мережних сегментах. Цей класифікаційний ознака дає можливість судити про так звану «віддаленості» атаки.

Далі буде показано, що практично внутрисегментную атаку здійснити набагато простіше, ніж межсегментную. Відзначимо так само, що межсегментная віддалена атака представляє куди більшу небезпеку, ніж внутрисегментная. Це пов'язано з тим, що у разі межсегментной атаки об'єкт її і безпосередньо атакуючий можуть знаходитися на відстані багатьох тисяч кілометрів один від одного, що може істотно перешкодити заходам щодо відбиття атаки.

За рівнем еталонної моделі ISO/OSI, на якому здійснюється вплив

• фізичний
• канальний
• мережевий
• транспортний
• сеансовий
• представлення
• прикладний

Міжнародною організацією по стандартизації (ISO) був прийнятий стандарт ISO 7498, який описує взаємозв'язок відкритих систем (OSI), до яких належать також і РВС. Кожен мережевий протокол обміну, також як і кожну мережеву програму, вдається так чи інакше спроектувати на еталонну 7-рівневу модель OSI. Така багаторівнева проєкція дає можливість описати в термінах моделі OSI використовуються в мережевому протоколі або програмі функції. УА — мережева програма, і логічно розглядати її з точки зору проєкції на еталонну модель ISO/OSI [2].

Короткий опис деяких мережевих атак

Фрагментація даних

При передачі пакету даних протоколу IP мережі може здійснюватися поділ цього пакету на декілька фрагментів. Згодом, при досягненні адресата, пакет відновлюється з цих фрагментів. Зловмисник може ініціювати надсилання великої кількості фрагментів, що призводить до переповнення програмних буферів на приймальній стороні і, в ряді випадків, до аварійного завершення системи.

Атака Ping flooding

Дана атака вимагає від зловмисника доступу до швидким каналах в Інтернет.

Програма ping посилає ICMP-пакет типу ECHO REQUEST, виставляючи в ньому час і його ідентифікатор. Ядро машини-одержувача відповідає на подібний запит пакетом ICMP ECHO REPLY. Отримавши його, ping видає швидкість проходження пакета.

При стандартному режимі роботи пакети висилаються через деякі проміжки часу, що практично не навантажуючи мережу. Але в «агресивному» режимі потік ICMP echo request/reply-пакетів може викликати перевантаження невеликий лінії, позбавивши її здатності передавати корисну інформацію.

Нестандартні протоколи, інкапсульовані в IP

Пакет IP містить поле, що визначає протокол інкапсульованого пакети (TCP, UDP, ICMP). Зловмисники можуть використовувати нестандартне значення даного поля для передачі даних, які не фіксуватимуться стандартними засобами контролю інформаційних потоків.

Атака smurf

Атака smurf полягає у передачі в мережу широкомовних ICMP запитів від імені комп'ютера-жертви. В результаті комп'ютери, що прийняли такі широкомовні пакети, відповідають комп'ютера-жертви, що призводить до істотного зниження пропускної здатності каналу зв'язку і, в ряді випадків, до повної ізоляції атакується мережі. Атака smurf виключно ефективна і широко поширена.

Протидія: для розпізнавання даної атаки необхідно аналізувати завантаження каналу і визначати причини зниження пропускної здатності.

Атака DNS spoofing

Результатом цієї атаки є внесення нав'язуваного відповідності між IP-адресою і доменним іменем в кеш DNS сервера. У результаті успішного проведення такої атаки всі користувачі DNS сервера отримають неправдиву інформацію про доменні імена і IP-адреси. Дана атака характеризується великою кількістю DNS пакетів з одним і тим же доменним ім'ям. Це пов'язано з необхідністю підбору деяких параметрів DNS обміну.

Протидія: для виявлення такої атаки необхідно аналізувати вміст DNS трафіку або використовувати DNSSEC.

Атака IP spoofing

Велика кількість атак у мережі Інтернет пов'язано з підміною вихідного IP-адреси. До таких атак відноситься і syslog spoofing, яка полягає в передачі на комп'ютер-жертву повідомлення від імені іншого комп'ютера внутрішньої мережі. Оскільки протокол syslog використовується для ведення системних журналів, шляхом передачі помилкових повідомлень на комп'ютер-жертву можна нав'язати інформацію або замести сліди несанкціонованого доступу.

Протидія: виявлення атак, пов'язаних з підміною IP-адрес, можливо при контролі отримання на одному з інтерфейсів пакета з вихідним адресою цього ж інтерфейсу або при контролі отримання на зовнішньому інтерфейсі пакетів з IP-адресами внутрішньої мережі.

Нав'язування пакетів

Зловмисник відправляє в мережу пакети з помилковим зворотною адресою. За допомогою цієї атаки зловмисник може перемикати на свій комп'ютер з'єднання, встановлені між іншими комп'ютерами. При цьому права доступу зловмисника стають рівними прав користувача, чиє з'єднання з сервером було переключено на комп'ютер зловмисника.

Sniffing — прослуховування каналу

Можливо тільки в сегменті локальної мережі.

Практично всі мережеві карти підтримують можливість перехоплення пакетів, що передаються по загальному каналу локальної мережі. При цьому робоча станція може приймати пакети, адресовані іншим комп'ютерам того ж сегменту мережі. Таким чином, весь інформаційний обмін в сегменті мережі стає доступним зловмисникові. Для успішної реалізації цієї атаки комп'ютер зловмисника повинен розташовуватися в тому ж сегменті локальної мережі, що атакується комп'ютер.

Перехоплення пакетів на маршрутизаторі

Мережеве програмне забезпечення маршрутизатора має доступ до всіх мережевих пакетів, що передаються через даний маршрутизатор, що дозволяє здійснювати перехоплення пакетів. Для реалізації цієї атаки зловмисник повинен мати привілейований доступ хоча б до одного маршрутизатора мережі. Оскільки через маршрутизатор зазвичай передається дуже багато пакетів, тотальний їх перехоплення практично неможливим. Однак окремі пакети можуть бути перехоплені і збережені для подальшого аналізу зловмисником. Найбільш ефективний перехоплення пакетів FTP, містять паролі користувачів, а також електронної пошти.

Нав'язування хосту помилкового маршруту з допомогою протоколу ICMP

У мережі Інтернет існує спеціальний протокол ICMP (Internet Control Message Protocol), однією з функцією якого є інформування хостів про зміну поточного маршрутизатора. Дане керуюче повідомлення носить назву redirect. Існує можливість посилки з будь-якого хоста в сегменті мережі помилкового redirect-повідомлення від імені маршрутизатора на атакується хост. В результаті у хоста змінюється поточна таблиця маршрутизації і, надалі, весь мережевий трафік даного хоста буде проходити, наприклад, через хост, який відіслав помилкове redirect-повідомлення. Таким чином можливо здійснити активне нав'язування хибної маршруту в межах одного сегмента мережі Інтернет.

WinNuke

Поряд зі звичайними даними, що пересилаються по TCP-з'єднання, стандарт передбачає також передачу термінових (Out Of Band) даних. На рівні форматів пакетів TCP це виражається в ненульовому urgent pointer. У більшості ПК з встановленим Windows присутній мережевий протокол NetBIOS, який використовує для своїх потреб три IP-порту: 137, 138, 139. Якщо з'єднатися з Windows машиною по 139 порту і послати туди кілька байт OutOfBand даних, то реалізація NetBIOS-а, не знаючи, що робити з цими даними, просто вішає або перезавантажує машину. Для Windows 95 зазвичай це виглядає як синій текстовий екран, який повідомляє про помилку в драйвері TCP/IP, і неможливість роботи з мережею до перезавантаження ОС. NT 4.0 без сервіс-паків перезавантажується, NT 4.0 з ServicePack 2 паком випадає в синій екран. Судячи з інформації з мережі схильні такій атаці і Windows NT 3.51 і Windows 3.11 for Workgroups.

Посилка даних в 139-й порт призводить до перезавантаження NT 4.0, або висновку «синього екрану смерті» з встановленим Service Pack 2. Аналогічна посилка даних у 135 і деякі інші порти призводить до значному завантаженні процесу RPCSS.EXE. На Windows NT WorkStation це призводить до істотного уповільнення роботи, Windows NT Server практично заморожується.

Підміна довіреного хоста

Успішне здійснення віддалених атак цього типу дозволить зловмиснику вести сеанс роботи з сервером від імені довіреної хоста. Довірений хост — станція легально подключившаяся до сервера). Реалізація даного виду атак зазвичай полягає в посилці пакетів обміну зі станції зловмисника від імені довіреної станції, що знаходиться під його контролем.

Технології виявлення атак

Мережеві інформаційні технології змінюються настільки швидко, що статичні захисні механізми, до яких відносяться системи розмежування доступу, МЕ, системи аутентифікації у багатьох випадках не можуть забезпечити ефективного захисту. Тому потрібні динамічні методи, що дозволяють оперативно виявляти і запобігати порушення безпеки. Однією з технологій, що дозволяє виявляти порушення, які не можуть бути ідентифіковані за допомогою традиційних моделей контролю доступу, є технологія виявлення атак.

По суті, процес виявлення атак є процесом оцінки підозрілих дій, які відбуваються в корпоративній мережі. Інакше кажучи, виявлення атак (intrusion detection) — це процес ідентифікації та реагування на підозрілу діяльність, спрямовану на обчислювальні або мережеві ресурси

Методи аналізу мережевої інформації

Ефективність системи виявлення атак багато в чому залежить від застосовуваних методів аналізу отриманої інформації. В перших системах виявлення атак, розроблених на початку 1980-х років, використовувалися статистичні методи виявлення атак. В даний час до статистичного аналізу додався ряд нових методик, починаючи з експертних систем і нечіткої логіки і закінчуючи використанням нейронних мереж.

Статистичний метод

Основні переваги статистичного підходу — використання вже розробленого і зарекомендував себе апарату математичної статистики та адаптація до поведінки суб'єкта.

Спочатку для всіх суб'єктів аналізованої системи визначаються профілі. Будь-яке відхилення використовуваного профілю від еталонного вважається несанкціонованою діяльністю. Статистичні методи є універсальними, оскільки для проведення аналізу не потрібно знання про можливі атаки і використовуються ними вразливості. Однак при використанні цих методик виникають і проблеми:

• «статистичні» системи не чутливі до порядку слідування подій; в деяких випадках одні й ті ж події залежно від порядку їх слідування можуть характеризувати аномальну або нормальну діяльність; важко задати граничні (порогові) значення відслідковуються системою виявлення атак характеристик, щоб адекватно ідентифікувати аномальну діяльність; «статистичні» системи можуть бути з плином часу «навчені» порушниками так, щоб атакуючі дії розглядалися як нормальні.
  

Слід також враховувати, що статистичні методи не застосовуються в тих випадках, коли для користувача шаблон типового поведінки або коли для користувача типові несанкціоновані дії.

Експертні системи

Експертні системи складаються з набору правил, які охоплюють знання людини-експерта. Використання експертних систем являє собою поширений метод виявлення атак, при якому інформація про атаки формулюється у вигляді правил. Ці правила можуть бути записані, наприклад, у вигляді послідовності дій, або у вигляді сигнатури. При виконанні будь-якого з цих правил приймається рішення про наявність несанкціонованої діяльності. Важливою перевагою такого підходу є практично повна відсутність помилкових тривог.

БД експертної системи повинна містити сценарії більшості відомих на сьогоднішній день атак. Для того щоб постійно залишатися актуальними, експертні системи вимагають постійного оновлення БД. Хоча експертні системи пропонують гарну можливість для перегляду даних в журналах реєстрації, необхідні оновлення можуть ігноруватися, або виконуватися адміністратором вручну. Як мінімум, це призводить до експертної системи з ослабленими можливостями. В гіршому випадку відсутність належного супроводу знижує ступінь захищеності всій мережі, вводячи її користувачів в оману щодо дійсного рівня захищеності.

Основним недоліком є неможливість відображення невідомих атак. При цьому навіть невелика зміна вже відомої атаки може стати серйозною перешкодою для функціонування системи виявлення атак.

Нейронні мережі

Більшість сучасних методів виявлення атак використовують деяку форму аналізу контрольованого простору на основі правил або статистичного підходу. Контрольованим простором можуть виступати журнали реєстрації або мережевий трафік. Аналіз спирається на набір заздалегідь визначених правил, які створюються адміністратором або самою системою виявлення атак.

Будь-яке поділ атаки в часі або серед кількох зловмисників є важким для виявлення за допомогою експертних систем. Через велику різноманітність атак хакерів і навіть спеціальні постійні оновлення БД правил експертної системи ніколи не дадуть гарантії точної ідентифікації всього діапазону атак.

Використання нейронних мереж є одним із способів подолання зазначених проблем експертних систем. На відміну від експертних систем, які можуть дати користувачеві певну відповідь про відповідність розглянутих характеристик закладеним в БД правилами, нейронна мережа проводить аналіз інформації та надає можливість оцінити, чи узгоджуються дані з характеристиками, які вона навчена розпізнавати. У той час як ступінь відповідності нейромережевого подання може досягати 100 %, достовірність вибору повністю залежить від якості системи в аналізі прикладів поставленої задачі.

Спочатку нейромережа навчають правильної ідентифікації на попередньо підібраною вибірці прикладів предметної області. Реакція нейромережі аналізується і система налаштовується таким чином, щоб досягти задовільних результатів. На додаток до початкового періоду навчання, нейромережа набирається досвіду з плином часу, в міру того, як вона проводить аналіз даних, пов'язаних з предметною областю.

Важливою перевагою нейронних мереж при виявленні зловживань є їх здатність «вивчати» характеристики умисних атак і ідентифікувати елементи, які не схожі на ті, що спостерігалися в мережі раніше.

Кожен з наведених методів має ряд достоїнств і недоліків, тому зараз практично важко зустріти систему, що реалізує тільки один із наведених методів. Як правило, ці методи використовуються в сукупності.

Дивись також

• Інформаційна безпека
• Хакерська атака
• Анонімус
• ARP-spoofing

Література

• Медведовський В. Д., Сем'янів П. В., Платонов Ст. Ст. АТАКА ЧЕРЕЗ INTERNET
• Шаньгин В. Ф. Інформаційна безпека комп'ютерних систем і мереж.
• Фролов А. В., Фролов Р. Ст. Глобальні мережі комп'ютерів. Практичне введення в Internet, E-Mail, FTP, WWW і HTML, программировнаие для Windows Sockets. (Бібліотека програміста. Т. 23)- М.: Діалог-МИФИ, 1996. — 228 с.
• Семенов Ю. А. Протоколи і ресурси Internet. — М: Радіо і зв'язок, 1996. — 320 с.
• Джон Д. Рулі та ін. Мережі Windows NT 4.0. Пер. з англ. — К: Видавнича група BHV, 1998. — 800 с.

Посилання

• Використання засобів виявлення вторгнень [Архівовано 23 жовтня 2017 у Wayback Machine.], lghost.ru — навчальний курс