забезпечення безпеки. Існує безліч апаратних платформ, операційних систем та програм - і все це періодично оновлюється, модернізується і коректується, причому в різні терміни. Оскільки хости надають іншим хостам послуги на вимогу, їх дуже добре видно в мережі. Приміром, багато відвідували сайт Білого Дому # "justify"> З цих причин хости частіше інших пристроїв стають жертвами вдалих атак. Найчастіше web-сервер в мережі Інтернет працює на апаратній платформі одного виробника з мережним адаптером іншого виробника, з операційною системою третього постачальника і серверним програмним забезпеченням, яке або є відкритим, або поставлено четвертою компанією. Крім того, на цьому web-сервері можуть працювати додатки, вільно поширювані через Інтернет. І, нарешті, цей сервер може зв'язуватися з сервером бази даних, де всі "різноманітність" повторюється ще раз. Ми не хочемо сказати, що загроза безпеки відбувається через різнорідності джерел мережевих пристроїв. Мета у нас інша: показати, що в міру збільшення складності системи підвищується ймовірність збоїв і відмов. Для захисту хоста необхідно уважно стежити за всіма компонентами системи. Всі вони повинні бути найсвіжішими, з усіма "латками" і коррекционними модулями. Зокрема, стежте за тим, як ці модулі впливають на функціонування інших системних компонентів. Перш ніж встановити модуль або нову версію у виробничу середу, ретельно протестуйте їх у випробувальній середовищі. Якщо цього не зробити, новий модуль може призвести до відмови в обслуговуванні (denial of service-DoS). p align="justify"> Мета - хости
Найжахливіша атака-та, яку ви не можете зупинити. При ретельній підготовці та виконанні саме такою є атака типу "розподілена відмова в обслуговуванні" (distributed denial of service-DDoS). Як показано в Додатку В "Основи мережевої безпеки", ця атака змушує десятки або навіть сотні машин одночасно відправляти непотрібні дані на певний IP-адресу. Мета атаки полягає в тому, щоб не просто "повісити" окремий хост, а припинити функціонування цілої мережі. p align="justify"> Уявіть собі організацію з каналом доступу DS3 (45 Мбіт/с), яка надає послуги електронної комерції користувачам свого web-сайту. Цей сайт добре захищений від самих різних атак. p align="justify"> Він має систему виявлення атак, міжмережеві екрани, систему авторизації доступу та засоби активного моніторингу. На жаль, всі ці кошти не можуть захистити від добре підготовленої атаки типу DDoS. p align="justify"> Уявіть собі сто пристроїв, що знаходяться в різних куточках світу. Кожне з них має канал доступу DS1 (1,5 Мбіт/с). Якщо цим системам у віддаленому режимі дати відповідну команду, вони легко і просто заповнять канал DS3 непотрібною інформацією. Навіть якщо кожен хост може згенерувати трафік об'ємом 1 Мбіт/с (а лабораторні випробування показали, що за наявності спеціального засобу DDoS звичайна робоча станція Unix може легко згенерувати і 50 Мбіт/с), це більш ніж в два рази перекриє смуг...