ака «відмова в обслуговуванні» типу ICMP flood
) Атаки на транспортному рівні - використовують протоколи транспортного рівня (TCP, UDP).
Приклади:
сканування з метою виявлення відкритих портів;
Атаки «відмова в обслуговуванні» типу TCP flood, UDP flood
Атака TCP Hijacking
) Атаки на прикладному рівні
Це найчисленніша група атак. До них відносяться впровадження вірусів і троянських програм на атакується комп'ютер, використання вразливостей ОС і прикладних програм, підбір паролів, атаки на веб-додатки типу XSS (Cross-Site Scripting) і SQL Injection.
1.2.2 Класифікація за типом
За типом всі атаки підрозділяються на активні і пасивні. До пасивної атаці відноситься прослуховування некомутованої мережі за допомогою сніффер, без застосування будь-яких додаткових методів і засобів (таких, як, ARP spoofing). У цьому випадку зловмисник не робить ніяких активних дій, не втручається в роботу атакується системи, а просто спостерігає за переданим трафіком. Відповідно, всі інші атаки, що вимагають від зловмисника втручання в роботу атакується комп'ютера, відносяться до класу активних атак.
. 2.3 Класифікація по місцю розташування зловмисника і атакується об'єкта
Можна виділити наступні різновиди:
) зловмисник і атакується об'єкт знаходяться всередині одного сегмента локальної мережі (наприклад, районної локальної мережі провайдера або корпоративної локальної мережі організації). Комп'ютеру зловмисника і атакованого об'єкту присвоюються IP-адреси з одного діапазону. У цьому випадку зловмисникові найпростіше здійснити атаку.
) зловмисник і атакується об'єкт знаходяться в різних сегментах однієї локальної мережі, з'єднаних маршрутизатором. Комп'ютеру зловмисника і атакованого об'єкту присвоюються IP-адреси з різних діапазонів (наприклад, 192.168.1.1 і 192.168.2.2). Складність здійснення атаки при такому розташуванні атакуючого і жертви вище, ніж у першому випадку.
) зловмисник і атакується об'єкт знаходяться в різних локальних мережах, з'єднаних через Інтернет. Це найбільш складний для зловмисника випадок, оскільки завдяки технології NAT внутрішня структура атакується мережі не видно, а видно тільки зовнішній IP-адресу.
) Атака здійснюється з локальної мережі на сервер із зовнішнім IP-адресою. З одного боку, проведення такої атаки здається досить простою справою, оскільки сервер має зовнішній IP-адресу, загальнодоступний і зобов'язаний приймати і обслуговувати запити від клієнтських додатків. З іншого боку, сервер майже завжди добре захищений за допомогою міжмережевих екранів і систем виявлення вторгнень, має потужне апаратне забезпечення і, як правило, обслуговується цілою командою грамотних фахівців з ІТ-безпеки.
Механізм функціонування системи виявлення атак на рівні мережі складається з 4 основних етапів:
· захоплення пакетів;
· фільтрація і збірка фрагментів;
· розпізнавання атак;
· реагування на них.
В залежності від того, звідки беруться дані для аналізу (з мережевої карти, з компонентів мережевого обладнання або з журналу реєстрації), частина, що відповідає за захоплення пакетів, може бути реалізована по-різному, але всі інші частини (фільтрація, розпізнавання та реагування) залишаються без зміни.
Програмне забезпечення системи виявлення атак складається з наступних частин:
· Ядро, яке здійснює взаємодію з мережним адаптером, частиною мережевого обладнання або журналом реєстрації, хранящим мережевий трафік. Дане ядро ??відповідає за захоплення даних. У складних системах виявлення атак, що використовують захоплення з мережевої карти, взаємодія здійснюється за допомогою драйвера самої системи виявлення атак, що підміняє драйвер операційної системи. Крім більш ефективної роботи, це дозволяє реалізувати і ряд додаткових функцій, наприклад, stealth-режим, що не дозволяє виявити і атакувати саму систему виявлення атак. Простіші системи виявлення, у тому числі і створені самостійно, використовують і аналізують дані, одержувані від драйвера операційної системи. Це ядро ??по вирішуваним завданням практично повністю аналогічно ядру аналізатора протоколів.
· Програмне забезпечення, яке здійснює декодування і аналіз протоколів, з якими працює мережевий адаптер, а також реалізує відповідну логіку роботи системи виявлення атак і реагування на них [3-4].
1.3 Аналіз загроз мережевої безпеки
мережевий атака мережу безпеку