омим, скільки існує методів атак. Говорять про те, що до цих пір відсутні які-небудь серйозні математичні дослідження в цій області. Але ще в 1996 році Фред Коен описав математичні основи вірусної технології. У цій роботі доведено, що число вірусів нескінченно. Очевидно, що і число атак нескінченно, оскільки віруси - це підмножина множини атак.
Традиційна модель атаки будується за принципом одне одного або один до багатьох raquo ;, тобто атака виходить з одного джерела. Розробники мережевих засобів захисту (міжмережевих екранів, систем виявлення атак і т.д.) орієнтовані саме на традиційну модель атаки. У різних точках мережі, що захищається встановлюються агенти (сенсори) системи захисту, які передають інформацію на центральну консоль управління. Це полегшує масштабування системи, забезпечує простоту віддаленого управління і т.д. Однак така модель не справляється з відносно недавно (у 1998 році) виявленою загрозою - розподіленими атаками.
У моделі розподіленої атаки використовуються інші принципи. На відміну від традиційної моделі в розподіленої моделі використовуються відносини багато до одного і багато до багатьох .
Розподілені атаки засновані на класичних атаках типу відмова в обслуговуванні raquo ;, а точніше на їх підмножині, відомому як Flood-атаки або Storm-атаки (зазначені терміни можна перекласти як шторм raquo ;, повінь або лавина ). Сенс даних атак полягає в посилці великої кількості пакетів на атакується вузол. Атакується вузол може вийти з ладу, оскільки він захлинеться в лавині посилаються пакетів і не зможе обробляти запити авторизованих користувачів. За таким принципом працюють атаки SYN-Flood, Smurf, UDP Flood, Targa3 і т.д. Проте в тому випадку, якщо пропускна здатність каналу до вузла, що атакується перевищує пропускну здатність атакуючого або атакується вузол некоректно зконфігурований, то до успіху така атака не приведе. Наприклад, за допомогою цих атак марно намагатися порушити працездатність свого провайдера. Але розподілена атака відбувається вже не з однієї точки Internet, а відразу з декількох, що приводить до різкого зростання трафіку і виведенню вузла, що атакується з ладу. Наприклад, за даними Росії-Онлайн протягом двох діб, починаючи з 9:00 ранку 28 грудня 2000 найбільший Internet-провайдер Вірменії Арминко піддавався розподіленої атаці. В даному випадку до атаки підключилися понад 50 машин з різних країн, які посилали за адресою Арминко безглузді повідомлення. Хто організував цю атаку, і в якій країні перебував хакер - встановити було неможливо. Хоча атаці піддався в основному Арминко raquo ;, перевантаженої виявилася вся магістраль, що з'єднує Вірменію з всесвітньою павутиною. 30 грудня завдяки співпраці Арминко та іншого провайдера - АрменТел - Зв'язок була повністю відновлена. Незважаючи на це комп'ютерна атака тривала, але з меншою інтенсивністю.
Можна виділити наступні етапи реалізації атаки:
1. попередні дії перед атакою або збір інформації ,
. власне реалізація атаки ,
. завершення атаки.
Зазвичай, коли говорять про атаку, то мають на увазі саме другий етап, забуваючи про перший і останній. Збір інформації і завершення атаки ( замітання слідів ) у свою чергу також можуть бути атакою і можуть бути розділені на три етапа.бор інформації - це основний етап реалізації атаки. Саме на даному етапі ефективність роботи зловмисника є запорукою успішності атаки. Спочатку вибирається мета атаки і збирається інформація про неї (тип і версія операційної системи, відкриті порти і запущені мережеві сервіси, встановлене системне і прикладне програмне забезпечення та його конфігурація і т.д.). Потім ідентифікуються найбільш уразливі місця атакується системи, вплив на які призводить до потрібному зловмисникові результату. Зловмисник намагається виявити всі канали взаємодії мети атаки з іншими вузлами. Це дозволить не тільки вибрати тип реалізованої атаки, але і джерело її реалізації. Наприклад, атакований вузол взаємодіє з двома серверами під управлінням ОС Unix і Windows NT. З одним сервером атакується вузол має довірені відносини, а з іншим - ні. Від того, через який сервер зловмисник буде реалізовувати напад, залежить, яка атака буде задіяна, який засіб реалізації буде вибрано і т.д. Потім, залежно від отриманої інформації і бажаного результату, вибирається атака, що дає найбільший ефект.
Наприклад: SYN Flood, Teardrop, UDP Bomb - для порушення функціонування вузла; CGI-скрипт - для проникнення на вузол і крадіжки інформації; PHF - для крадіжки файлу паролів та віддаленого підбору пароля тощо.
Традиційні засоби захисту, такі як міжмережеві екрани або механізми фільтрації в маршрутизаторах, вступають в дію лише на другому етапі реалізації атаки, абсолютно...
