вузли. Це необхідно для того, щоб приховати або істотно ускладнити знаходження джерела атаки.
. 3 Завершення атаки
Етапом завершення атаки є замітання слідів з боку зловмисника. Зазвичай це реалізується шляхом видалення відповідних записів з журналів реєстрації вузла та інших дій, які повертають атакували систему в початковий, предатакованное стан.
Існують різні типи класифікації атак. Наприклад, поділ на пасивні та активні, зовнішні і внутрішні, свідомі й несвідомі. Однак щоб не заплутати вас великою різноманітністю класифікацій, мало застосовними на практиці, пропоную більш життєву класифікацію:
Існують різні типи класифікації атак. Наприклад, поділ на пасивні та активні, зовнішні і внутрішні, свідомі й несвідомі. Однак щоб не заплутати вас великою різноманітністю класифікацій, мало застосовними на практиці, пропоную більш життєву класифікацію:
1. Віддалене проникнення (remote penetration). Атаки, які дозволяють реалізувати віддалене управління комп'ютером через мережу. Наприклад, NetBus або BackOrifice.
. Локальне проникнення (local penetration). Атака, яка призводить до отримання несанкціонованого доступу до вузла, на якому вона запущена. Наприклад, GetAdmin.
. Віддалений відмова в обслуговуванні (remote denial of service). Атаки, які дозволяють порушити функціонування або перевантажити комп'ютер через Internet. Наприклад, Teardrop або trin00.
. Локальний відмова в обслуговуванні (local denial of service). Атаки, які дозволяють порушити функціонування або перевантажити комп'ютер, на якому вони реалізуються. Прикладом такої атаки є ворожий аплет, який завантажує центральний процесор нескінченним циклом, що призводить до неможливості обробки запитів інших додатків.
. Мережеві сканери (network scanners). Програми, які аналізують топологію мережі і виявляють сервіси, доступні для атаки. Наприклад, система nmap.
. Сканери вразливостей (vulnerability scanners). Програми, які шукають уразливості на вузлах мережі і які можуть бути використані для реалізації атак. Наприклад, система SATAN або ShadowSecurityScanner.
. Зломщики паролів (password crackers). Програми, які підбирають паролі користувачів. Наприклад, L0phtCrack для Windows або Crack для Unix.
. Аналізатори протоколів (sniffers). Програми, які прослуховують мережевий трафік. За допомогою цих програм можна автоматично шукати таку інформацію, як ідентифікатори і паролі користувачів, інформацію про кредитні картки і т.д. Наприклад, Microsoft Network Monitor, NetXRay компанії Network Associates або LanExplorer.
Компанія Internet Security Systems, Inc. ще більше скоротила число можливих категорій, довівши їх до 5:
. Збір інформації (Information gathering).
. Спроби несанкціонованого доступу (Unauthorized access attempts).
. Відмова в обслуговуванні (Denial of service).
. Підозріла активність (Suspicious activity).
. Системні атаки (System attack).
Перші 4 категорії відносяться до віддаленим атакам, а остання - до локальних, реалізованому на атакується вузлі. Можна помітити, що в дану класифікацію не потрапив цілий клас так званих пасивних атак ( прослуховування трафіку, помилковий DNS-сервер raquo ;, підміна ARP-сервера і т.п.). Класифікація атак, реалізована в багатьох системах виявлення атак, не може бути категоричною. Наприклад, атака, реалізація якої для ОС Unix (наприклад, переповнення буфера statd) може мати самі жалюгідні наслідки (найвищий пріоритет), для ОС Windows NT може бути взагалі не може бути застосована або мати дуже низьку ступінь ризику. Крім того, існує плутанина і в самих назвах атак і вразливостей. Одна і та ж атака, може мати різні найменування у різних виробників систем виявлення атак.
Однією з кращих баз вразливостей і атак є база даних X-Force, що знаходиться за адресою: # justify gt; .4 Засоби виявлення комп'ютерних атак
Технологія виявлення атак повинна вирішувати такі завдання:
Розпізнавання відомих атак і попередження про них відповідного персоналу.
Розуміння найчастіше незрозумілих джерел інформації про атаки.
Звільнення або зниження навантаження на персонал, який відповідає за безпеку, від поточних рутинних операцій з контролю за користувачами, системами та мережами, які є компонентами корпоративної мережі.
Можливість управління коштами захисту не-експертами в галузі безпеки.
К...
