перехоплення поточній сесії і отримання доступу до приватних мережевих ресурсів, для аналізу трафіку та отримання інформації про мережу та її користувачів, для проведення атак типу DoS, спотворення переданих даних і введення несанкціонованої інформації в мережеві сесії. Ефективно боротися з атаками типу Man-in-the-Middle можна тільки за допомогою криптографії. Якщо хакер перехопить дані зашифрованою сесії, у нього на екрані з'явиться не перехоплений повідомлення, а безглуздий набір символів. Зауважимо, що якщо хакер отримає інформацію про криптографічного сесії (наприклад, ключ сесії), це може зробити можливою атаку Man-in-the-Middle навіть у зашифрованою середовищі.
Атаки на рівні додатків
Атаки на рівні додатків можуть проводитися декількома способами. Найпоширеніший з них полягає у використанні добре відомих слабкостей серверного програмного забезпечення (sendmail, HTTP, FTP). Використовуючи ці слабкості, хакери можуть отримати доступ до комп'ютера від імені користувача, що працює з додатком (зазвичай це буває не простий користувач, а привілейований адміністратор з правами системного доступу). Відомості про атаки на рівні додатків широко публікуються, щоб дати можливість адміністраторам виправити проблему за допомогою корекційних модулів (патчів). На жаль, багато хакерів також мають доступ до цих відомостей, що дозволяє їм вчитися. Головна проблема з атаками на рівні додатків полягає в тому, що вони часто користуються портами, яким дозволений прохід через міжмережевий екран. Приміром, хакер, який експлуатує відому слабкість Web-сервера, часто використовує в ході атаки ТСР порт 80. Оскільки Web-сервер надає користувачам Web-сторінки, міжмережевий екран повинен надавати доступ до цього порту. З погляду брандмауера, атака розглядається як стандартний трафік для порту 80. Повністю виключити атаки на рівні додатків неможливо. Хакери постійно відкривають і публікують в Інтернеті все нові вразливі місця прикладних програм. Найголовніше тут - гарне системне адміністрування. Ось деякі заходи, які можна зробити, щоб знизити вразливість для атак цього типу:
· читайте лог-файли операційних систем і мережеві лог-файли і/або аналізуйте їх за допомогою спеціальних аналітичних додатків;
· підпишіться на послуги з розсилки даних про слабкі місця прикладних програм: Bugtrad (# justify gt; · користуйтеся найсвіжішими версіями операційних систем і додатків і найостаннішими коррекционними модулями (патчами);
· крім системного адміністрування, користуйтеся системами розпізнавання атак (IDS). Існують дві взаємно доповнюючі один одного технології IDS:
o мережева система IDS (NIDS) відстежує всі пакети, що проходять через певний домен. Коли система NIDS бачить пакет або серію пакетів, що збігаються з сигнатурою відомою або ймовірної атаки, вона генерує сигнал тривоги і/або припиняє сесію;
o хост-система IDS (HIDS) захищає хост за допомогою програмних агентів. Ця система бореться тільки з атаками проти одного хоста;
· У своїй роботі системи IDS користуються сигнатурами атак, які являють собою профілі конкретних атак або типів атак. Сигнатури визначають умови, за яких трафік вважається хакерських. Аналогами IDS у фізичному світі можна вважати систему попередження або камеру спостереження. Найбільшим недоліком IDS є її здатність видавати генерувати сигнали тривоги. Щоб мінімізувати кількість помилкових сигналів тривоги і домогтися коректного функціонування системи IDS в мережі, необхідна ретельна настройка цієї системи.
Мережева розвідка
Мережевий розвідкою називається збір інформації про мережу за допомогою загальнодоступних даних і додатків. При підготовці атаки проти якоїсь мережі хак?? р, як правило, намагається отримати про неї якомога більше інформації. Мережева розвідка проводиться у формі запитів DNS, луна-тестування (ping sweep) і сканування портів. Запити DNS допомагають зрозуміти, хто володіє тим чи іншим доменом і які адреси цього домену привласнені. Ехо-тестування (ping sweep) адрес, розкритих за допомогою DNS, дозволяє побачити, які хости реально працюють у даному середовищі. Отримавши список хостів, хакер використовує засоби сканування портів, щоб скласти повний список послуг, підтримуваних цими хостами. І, нарешті, хакер аналізує характеристики додатків, що працюють на хостах. У результаті видобувається інформація, яку можна використовувати для злому. Повністю позбавитися від мережевої розвідки неможливо. Якщо, наприклад, відключити відлуння ICMP і луна-відповідь на периферійних маршрутизаторах, ви позбудетеся від луна-тестування, але втратите дані, необхідні для діагностики мережевих збоїв. Крім того, сканувати порти можна і без попереднього луна-тестування. Просто цієї займе більше часу, так як сканувати доведеться і неі...
