Вопрос 21.2. Удаленные атаки на сети, их классификация и принципы реализации. Классические и современные методы взлома интрасетей

Удаленные атаки

Цель предпринимаемых злоумышленниками атак на компью­теры из интрасетей, подключенные к Internet, состоит в получении доступа к их информационным и сетевым ресурсам. Примером первого типа ресурсов могут быть базы данных, файл-серверы и т.п. Ко второму типу ресурсов относятся различные сетевые серви­сы, например, telnet, электронная почта, телеконференции и т.д. Под удаленной атакой (УА) принято понимать несанкционирован­ное информационное воздействие на распределенную вычисли­тельную систему (РВС), программно осуществляемое по каналам связи. Для УА можно выделить наиболее общие схемы их осуще­ствления. Такие УА получили название типовых УА (ТУА). Тогда ТУА — это удаленное несанкционированное информационное воздействие, программно осуществляемое по каналам связи и ха­рактерное для любой РВС.

Объектом удаленных атак могут стать следующие виды сете­вых устройств:

· оконечные устройства;

· каналы связи;

· промежуточные устройства: ретрансляторы, шлюзы, моде­мы и т.п.

Классификация атак

Теперь рассмотрим классификацию УА по следующим шести основным критериям:

· по характеру воздействия. УА делятся на пассивные и ак­тивные (примером первого типа атак является, например, прослу­шивание каналов связи и перехват вводимой с клавиатуры инфор­мации. Примером второго типа является атака "третий посереди­не", когда злоумышленник может, например, подменять данные информационного обмена между двумя пользователями Internet и/или интрасети или между пользователем и запрашиваемым им сетевым сервисом, пересылаемые в обоих направлениях.

· по цели воздействия, т.е. в зависимости от нарушения трех основных возможных свойств информации и информационных ре­сурсов — их конфиденциальности, целостности и доступности, плюс нарушение доступности всей системы или ее отдельных служб (пример атаки — "отказ в обслуживании";

· по условию начала осуществления воздействия атака мо­жет быть безусловной (предпринимается злоумышленником в любом случае), или может активизироваться либо при посылке опре­деленного запроса от атакуемого объекта (АО), либо при наступ­лении ожидаемого события на АО;

· по наличию обратной связи с атакуемым объектом разли­чают атаки с обратной связью или без обратной связи (такая атака называется однонаправленной);

· по расположению субъекта атаки относительно атакуе­мого объекта атаки бывают внутрисегментными (средства взлома сети или, например, прослушивания каналов связи должны распо­лагаться в том же сегменте сети, который интересует злоумыш­ленника) или межсегментными (и тогда дальность расстояния от жертвы до злоумышленника не имеет значения);

· по уровню эталонной модели взаимосвязи открытых сис­тем ОSI Международной организации стандартизации (ISО), на котором осуществляется воздействие. Атака может реализо­вываться на всех семи уровнях — физическом, канальном, сете­вом, транспортном, сеансовом, представительном и прикладном.

Типовые атаки

Можно выделить пять основ­ных и наиболее часто предпринимаемых в настоящее время типо­вых схем атак, т.е. ТУА:

· Анализ сетевого трафика (или прослушивание канала свя­зи с помощью специальных средств – снифферов). Эта атака позволяет:

изучить логику работы сети – получить однозначное соответствие событий, происходящих в системе, и команд, пересылаемых при этом хостами, в момент появления данных событий; в дальнейшем это позволит злоумышленнику на основе задания соответствующих команд получить, например, привилегированные права на действия в системе или расширить свои полномочия в ней;

перехватить поток передаваемых данных, которыми обмениваются компоненты сетевой ОС – для извлечения секретной и идентификационной информации;

· Подмена доверенного объекта или субъекта РВС и пере­дача по каналам связи сообщений от его имени с присвоением его прав доступа. Такая атака эффективно реализуется в системах, где применяются нестойкие алгоритмы идентифика­ции/аутентификации хостов, пользователей и т.д. Под доверенным объектом будем понимать станцию, легально подключенную к серверу; хотя в более общем смысле "доверенная" система – это система, которая достигает специфического уровня контроля за доступом к информации, обеспечивая механизм предотвращения (или определения) неавторизованного доступа.

· Ложный объект РВС. Он внедряется двумя способами:

навязыванием ложного маршрута из-за недостатков в алго­ритмах маршрутизации (т.е. проблем идентификации сетевых управляющих устройств), в результате чего можно попасть, на­пример, на ПК или в сеть злоумышленника, где с помощью опре­деленных средств можно "вскрыть" атакуемый компьютер;

использованием недостатков алгоритмов удаленного поис­ка (SАР (NetWarе), АRР и DNS (Internet)...).

Эта атака позволяет воздействовать на перехваченную инфор­мацию следующим образом:

проводить селекцию и сохранение потока информации;

модифицировать информацию: в передаваемых данных или в передаваемом коде;

подменять информацию.

· Отказ в обслуживании. Атака может быть предпринята, если нет средств аутентификации адреса отправителя и с хоста на атакуемый хост можно передавать бесконечное число анонимных запросов на подключение от имени других хостов. В этом способе проникновения используется возможность фрагментирования па­кетов, содержащаяся в спецификации IР. Нападающий передает слишком много фрагментов пакетов, которые должны быть смон­тированы принимающей системой. Если общий объем фрагментов превышает максимально допустимый размер пакета, то система "зависает" или даже выходит из строя. Результатом осуществления данной атаки может стать:

нарушение, работоспособности соответствующей службы предоставления удаленного доступа на атакуемый хост;

передача с одного адреса такого количества запросов на подключение к атакуемому хосту, какое максимально может "вме­стить" трафик (атака — направленный "шторм запросов"), что влечет за собой переполнение очереди запросов и отказ одной из сетевых служб или полная остановка ПК из-за невозможности сис­темы заниматься ничем другим, кроме обработки запросов.

· Удаленный контроль над станцией в сети. Атака заклю­чается в запуске на атакуемом компьютере программы "сетевого шпиона", основная цель которой - получение удаленного контроля над станцией в сети. Схематично основные этапы работы сетевого шпиона выглядят следующим образом: инсталляция в памяти; ожидание запроса с удаленного хоста, на котором запущена голов­ная сервер-программа и обмен с ней сообщениями о готовности; передача перехваченной информации на головную сервер-программу или предоставление ей контроля над атакуемым ком­пьютером.