CC BY
70Анализ существующих угроз компьютерной безопасности в сети
1 2
Перцев И.Ю. , Зинькевич В.Н.
1 Перцев Игорь Юрьевич /Pertsev Igor Yur'evich — ассистент кафедры;
2 Зинькевич Вячеслав Николаевич / Zinkevich Viacheslav Nikolaevich - ассистент кафедры, кафедра программного обеспечения информационных технологий Белорусский государственный университет информатики и радиоэлектроники, г. Минск, Республика Беларусь
Аннотация: хранение и передача цифровых данных связано с рядом проблем по обеспечению их безопасности в сети интернет. Существуют различные виды атак на подобные данные, позволяющие вносить изменения, просматривать или иным образом влиять на них. Примерами такими атак являются применение снифферов, DdoS-атаки и иные.
Ключевые слова: информационные технологии, сетевая безопасность, сетевые атаки, DdoS-атаки, снифферы.
Становление информационного общества связано с широким распространением персональных компьютеров, построением глобальной информационной Сети и подключением к ней большого числа пользователей. С тех пор, как компьютеры стали распространены и перестали быть привилегией научных центров, а информационные хранилища стали вмещать громадные объемы данных, большая часть информации стала храниться в цифровом виде на различного рода накопителях. Эти достижения коренным образом изменили жизнь общества, поставив на первый план задачи по обработке, хранению и, важнее всего, обмену электронными данными.
Однако, переход к применению электронных носителей информации повлек за собой возникновение большого количества проблем, связанных с аутентичностью и конфиденциальностью передаваемой информации. Одной из таких задач является обеспечение надежной защиты при передаче электронными данных по сети Internet.
В данной работе рассматриваются основные угрозы, с которыми могут столкнуться пользователи при пересылке данных. Они включают в себя угрозы различного рода, такие как перехватчики сетевого трафика, DDoS и другие.
Применение снифферов
Наиболее популярным способом атаки на сетевой трафик является применение так называемых снифферов — приложений, позволяющих осуществлять перехват всего сетевого трафика. При получении доступа к одному из компьютеров в пределах сети злоумышленник получает одновременно возможность анализировать все, что передается в пределах данной сети [1].
Принципы работы снифферов достаточно просты. Они устанавливают сетевую карту зараженного ПК в режим прослушивания (PROMISC, promiscuous mode), получая таким образом возможность читать все пакеты данных в сети. В зависимости от реализации существует возможность перехватывать абсолютно все сообщения (что является крайне неудобным вариантом из-за быстрого переполнения файла логов) или часть пакетов данных (к примеру, пакеты, использующие определенный формат передачи данных). Общая схема работы сниффера представлена на рисунке 1.
Одной из причин широкого распространения сетевых снифферов стало то, что большая часть протоколов передачи данных изначально не имела каких-либо средств защиты от просмотра, и любая конфиденциальная информация передавалась в открытом виде. С развитием протоколов ситуация стала меняться в лучшую сторону, однако до сих пор во многих компаниях для внутренних (локальных) сетей используются не защищенные протоколы передачи, что делает их потенциально уязвимыми для перехватчиков сетевого трафика.
Сетевой пакет
/ Ч
Сетевой адаптер
J
Г
£
Функция перехвата
пакета
С J
Г
£
Декодер
J
Г
£
Анализ пакетов
J
/ 3 Г ч
Отображение пакетов
>__________________J
Дальнейшая обработка пакета
■__________________J
Рис. 1. Алгоритм обработки сетевых пакетов
Следует отметить, что данный тип атаки применим для любых ОС, установленных на ПК жертвы. Существуют различные реализации снифферов, предназначенных для конкретной ОС или сразу нескольких из них. Примерами программ данного рода являются Iris Network Traffic Analyzer [2], CommView, Ethereal [3] и многие другие.
Также следует отметить, что снифферы могут применяться в легальных целях. Изначально, данное ПО было разработано с целью диагностики работы сети, и многие сетевые администраторы до сих пор используют их с этой целью.
Применение DoS и DDoS
Данный тип атак применяется с целью блокировки выполнения пакетов, получаемых системой. Это достигается путем значительного повышения нагрузки на целевую систему. На сервере во время приема пакета все компоненты (начиная с сетевой карты или NIC и заканчивая приложением, работающим под управлением операционной системы) участвуют в процессе, делая прием пакета успешным. Сетевая карта должна исследовать фреймы Ethernet, предназначенные для нее, выравнивать данные и передавать их драйверу сетевой карты, который применяет собственные механизмы обработки данных и отправляет их операционной системе, которая в свою очередь передает их приложению.
Существует большое количество подходов, позволяющих провести такого рода атаки. Каждый из них основан на использовании специфических особенной или недочетов одного из уровней эталонной модели взаимодействия открытых систем (open systems interconnection basic reference model, OSI). Каждый уровень содержит одну или несколько методик, позволяющих произвести DoS-атаки на нем (таблица 1).
Таблица 1. Варианты DoS атак в соответствии с уровнем OSI
Уровень модели Тип атаки
Прикладной Атаки на вебсайты, рассылка спама по электронной почте
Представительский Специально сформированные SSL-запросы
Сеансовый Атаки на telnet
Транспортный Атаки SYN-пакетами, атаки ICMP-запросами с измененными адресами
Сетевой Атаки ICMP-запросами
Канальный Атаки пакетами с разными MAC-адресами
Физический Атаки специально сформированными пакетами
Рассмотрим алгоритм атаки на примере использования SYN-пакетов. На рисунке 2 представлены процесс рукопожатия для протокола TCP в штатном режиме работы и при наличии атаки.
Рис. 2. Рукопожатие в протоколе TCP
Согласно протоколу TCP, когда отправляющая сторона хочет начать процесс обмена данными, она должна отправить SYN-пакет (syncronization) со своим IP -адресом в качестве источника и IP-адресом получателя в качестве цели. Сервер (принимающая сторона) должна ответить на такой запрос пакетом SYN-ACK (synchronization acknowledged). Далее, получив данный пакет, отправляющая сторона пожтверждает свои намерения при помощи ACK-пакета. После этого обе стороны, отправитель и получатель, могут начать обмен данными.
Атака на рукопожатие при помощи SYN-пакетов подразумевает, что злоумышленник вместо отправки ACK-пакета отправляет все больше и больше SYN-пакетов. Это приводит к тому, что жертва (сервер) считает, что на стороне отправителя существуют проблемы, и он ожидает получения ACK-пакетов в течение некоторого промежутка времени. При этом соединение не закрывается, находясь в полуоткрытом состоянии.
Таким образом, злоумышленник создает значительное количество соединений, ожидающих ACK -пакеты на стороне сервера. При превышении допустимого количества активных соединений все последующие попытки соединения не будут обработаны.
Литература
1. КомпьютерПресс [Электронный ресурс]. - Электронные данные. - Режим доступа: http://compress.ru/
2. Beyond Trust [Электронный ресурс]. - Электронные данные. - Режим доступа: https://www.beyondtrust.com/
3. Ethereal [Электронный ресурс]. - Электронные данные. - Режим доступа: http://www.ethereal.com/
