забуваючи про першому і третьому. Це призводить до того, що часто здійснювали атаки дуже важко зупинити навіть за наявності потужних і дорогих засобів захисту. Приклад тому - розподілені атаки. Логічно було б, щоб засоби захисту починали працювати ще на першому етапі, тобто запобігали б можливість збору інформації про атакується системі. Це дозволило б якщо й не повністю запобігти атаці, то хоча б суттєво ускладнити роботу зловмисника. Традиційні засоби також не дозволяють виявити вже скоєні атаки і оцінити збиток після їх реалізації, тобто не працюють на третьому етапі реалізації атаки. Отже, неможливо визначити заходи щодо запобігання таких атак надалі.
Залежно від бажаного результату порушник концентрується на тому чи іншому етапі реалізації атаки. Наприклад: для відмови в обслуговуванні детально аналізується атакують мережу, в ній вишукуються лазівки і слабкі місця; для розкрадання інформації основна увага приділяється непомітного проникненню на атакуються вузли за допомогою виявлених раніше вразливостей.
Розглянемо основні механізми реалізації атак. Це необхідно для розуміння методів виявлення цих атак.
. 1 Перший етап реалізації атак
Перший етап реалізації атак - це збір інформації про атакується системі або вузлі. Він включає такі дії як визначення мережевої топології, типу і версії операційної системи вузла, що атакується, а також доступних мережевих і інших сервісів і т.п. Ці дії реалізуються різними методами.
На цьому етапі нападник досліджує мережеве оточення навколо передбачуваної мети атаки. До таких областей, наприклад, відносяться вузли Internet-провайдера жертви або вузли віддаленого офісу компанії, що атакується. На цьому етапі зловмисник може намагатися визначити адреси довірених систем (наприклад, мережа партнера) і вузлів, які безпосередньо сполучені з метою атаки (наприклад, маршрутизатор ISP) і т.д. Такі дії досить важко виявити, оскільки вони виконуються протягом досить тривалого періоду часу і зовні області, контрольованої засобами захисту (міжмережевими екранами, системами виявлення атак і т.п.).
Існує два основні методи визначення топології мережі, використовуваних зловмисниками:
. зміна TTL (TTL modulation);
. запис маршруту (record route).
За першим методом працюють програми traceroute для Unix і tracert для Windows. Вони використовують поле Time to Live ( час життя ) в заголовку IP-пакета, яке змінюється залежно від числа пройдених мережевим пакетом маршрутизаторів. Для запису маршруту ICMP-пакета може бути використана утиліта ping. Найчастіше мережеву топологію можна з'ясувати за допомогою протоколу SNMP, встановленого на багатьох мережевих пристроях, захист яких невірно сконфигурирована. За допомогою протоколу RIP можна спробувати отримати інформацію про таблицю маршрутизації в мережі і т.д. Багато з цих методів використовуються сучасними системами управління (наприклад, HP OpenView, Cabletron SPECTRUM, MS Visio і т.д.) для побудови карт мережі. І ці ж методи можуть бути з успіхом застосовані зловмисниками для побудови карти атакується мережі.
Ідентифікація вузла, як правило, здійснюється шляхом посилки за допомогою утиліти ping команди ECHO_REQUEST протоколу ICMP. Відповідь повідомлення ECHO_REPLY говорить про те, що вузол доступний. Існують вільно поширювані програми, які автоматизують і прискорюють процес паралельної ідентифікації великого числа вузлів, наприклад, fping або nmap. Небезпека даного методу в тому, що стандартними засобами вузла запити ECHO_REQUEST не фіксуються. Для цього необхідно застосовувати засоби аналізу трафіку, міжмережеві екрани або системи виявлення атак.
Це найпростіший метод ідентифікації вузлів. Однак він має два недоліки.
. Багато мережеві пристрої і програми блокують ICMP-пакети і не пропускають їх у внутрішню мережу (або навпаки не пропускають їх назовні). Наприклад, MS Proxy Server 2.0 не дозволяє проходження пакетів по протоколу ICMP. В результаті виникає неповна картина. З іншого боку, блокування ICMP-пакета говорить зловмисникові про наявність першої лінії оборони - Маршрутизаторів, міжмережевих екранів і т.д.
. Використання ICMP-запитів дозволяє з легкістю виявити їх джерело, що, зрозуміло, не може входити в завдання зловмисника.
Існує ще один метод ідентифікації вузлів - використання змішаного режиму мережевої карти, який дозволяє визначити різні вузли в сегменті мережі. Але він не застосовується в тих випадках, в яких трафік сегмента мережі недоступний нападаючому зі свого вузла, тобто цей метод застосуємо тільки в локальних мережах. Іншим способом ідентифікації вузлів мережі є так звана розвідка DNS, яка дозволяє ідент...
