В двадцать первом веке движущей силой и главным объектом всехотраслей человеческой деятельности становится информация, и состояниеканалов, сетей и безопасность серверов станут основой экономическогоразвития. К сожалению, сложные сетевые технологии достаточно уязвимыдля целенаправленных атак. Причем такие атаки могут производитьсяудаленно, в том числе и из-за пределов национальных границ. Все этоставит новые проблемы перед разработчиками и строителями информационнойинфраструктуры. Некоторые современные формы бизнеса полностьюбазируются на сетевых технологиях (электронная торговля, IP-телефония,сетевое провайдерство и т.д.) и по этой причине особенно уязвимы.Потребуется здесь и международное сотрудничество в сферезаконодательства и установления барьеров для сетевых террористов. Неисключено, что придется со временем модифицировать с учетом требованийбезопасности некоторые протоколы и программы.Число ЭВМ, подключенных в Интернет, к концу 2005 года достигнет, авозможно превысит, 1 миллиард. Число WEB-серверов в 2005 годуперевалило за 70 миллионов. Сегодня трудно представить себе фирму,организацию или учреждение, где бы для обработки документов, ведениябухгалтерии, учета, обмена сообщениями, доступа к информационным ипоисковым серверам и так далее не использовали машин, подключенных ксети. Огромная масса людей не может себе представить жизнь без доступак сети Интернет, который стал еще одним средством массовой информации.Но преимущества доступа к информации через сеть все чаще омрачаетсяатаками вирусов, червей, троянских коней, spyware и хакеров.Разнообразие угроз, подстерегающих пользователя, работающего в сети,огромно. Часть из них является платой за использование сложныхинформационных технологий, уязвимых к внешним воздействиям, другаячасть сопряжена с деятельностью людей. Некоторые угрозы носятобъективный характер, например, нестабильность или низкое качествопитающего напряжения,электромагнитные наводки или близкие грозовые разряды, другие могутбыть связаны с невежеством или неаккуратностью самого пользователя.Если несколько лет назад атаки на сетевые объекты совершали восновном (около 90%) хулиганы, которые таким образом пыталисьсамоутвердиться, сейчас вторжения на серверы и рабочие станциипредпринимаются уже с корыстной целью. Речь не идет о вторжениях вбанки, все много прозаичнее, хакер взламывает большое число машин,выбирая наиболее уязвимые, и формирует базис для аспределенных сетевыхатак отказа обслуживания (DDoS) на сервис-провайдеров или серверы фирм(заказы поступают от конкурентов), или для рассылки СПАМ’а, что стало внашей стране достаточно прибыльным и относительно безопасным бизнесом.Мы в ИТЭФ были вынуждены заниматься проблемами сетевой безопасностис 1995 года, когда несколько раз подверглись DoS-атакам. Сначала мыдаже не знали, что происходит. Наш маршрутизатор CISCO-4000 былдостаточно тихоходен и при потоках более 2000 пакетов в секундублокировался. Не имея специальных средств и навыков, мы на диагностикупроблемы в начале тратили более суток. Связано это с тем, что DoS-атакичаще всего предпринимаются с использование фальсификации адресаотправителя. Две атаки были предприняты с ЭВМ из нашей локальной сети,взломанных ранее. Позднее такие объекты мы научились локализовать занесколько минут. Для этого была написана специальная программа.Алгоритм этой программы доложен на конференции МаБИТ-03, МГУ октябрь2003 год.Но описанные атаки были вторичными. Для нас оставалось неясным, как взламывались ЭВМ-жертвы в нашей локальной сети. Чтобыпрояснить эту проблему, мы поставили на входе сети ЭВМ, на которойсначала стояла программа t-meter, а позднее sniffer. Варьируя критерииотбора пакетов, мы смогли выявить IP-адреса машин, с которыхпроизводится сканирование адресов и портов ЭВМ нашей сети. В настоящеевремя число атак из расчета на одну ЭВМ превышает 20/сутки.Следует учитывать, что характер атак становится все болееизощренным. Хакеры объединяются в клубы, издают журналы и продаютхакерские CD. Сегодня крайне актуальным становится кооперирование ихпотенциальных жертв.Мало зарегистрировать атаку, надо определить и корректноинтерпретировать IP-адрес, откуда эта атака исходит. Чаще всего, имеяIP-адрес, достаточно легко отследить путь атаки, например посредствомTrace Route. Полезным может оказаться утилита NSLookup, а также службаWhois, которая позволяет определить сервис-провайдера атакера и егогеографическое положение.
Главная » Обзор некоторых видов сетевых атак
Автор: Семёнов Ю.А.
В двадцать первом веке движущей силой и главным объектом всехотраслей человеческой деятельности становится информация, и состояниеканалов, сетей и безопасность серверов станут основой экономическогоразвития. К сожалению, сложные сетевые технологии достаточно уязвимыдля целенаправленных атак. Причем такие атаки могут производитьсяудаленно, в том числе и из-за пределов национальных границ. Все этоставит новые проблемы перед разработчиками и строителями информационнойинфраструктуры. Некоторые современные формы бизнеса полностьюбазируются на сетевых технологиях (электронная торговля, IP-телефония,сетевое провайдерство и т.д.) и по этой причине особенно уязвимы.Потребуется здесь и международное сотрудничество в сферезаконодательства и установления барьеров для сетевых террористов. Неисключено, что придется со временем модифицировать с учетом требованийбезопасности некоторые протоколы и программы.Число ЭВМ, подключенных в Интернет, к концу 2005 года достигнет, авозможно превысит, 1 миллиард. Число WEB-серверов в 2005 годуперевалило за 70 миллионов. Сегодня трудно представить себе фирму,организацию или учреждение, где бы для обработки документов, ведениябухгалтерии, учета, обмена сообщениями, доступа к информационным ипоисковым серверам и так далее не использовали машин, подключенных ксети. Огромная масса людей не может себе представить жизнь без доступак сети Интернет, который стал еще одним средством массовой информации.Но преимущества доступа к информации через сеть все чаще омрачаетсяатаками вирусов, червей, троянских коней, spyware и хакеров.Разнообразие угроз, подстерегающих пользователя, работающего в сети,огромно. Часть из них является платой за использование сложныхинформационных технологий, уязвимых к внешним воздействиям, другаячасть сопряжена с деятельностью людей. Некоторые угрозы носятобъективный характер, например, нестабильность или низкое качествопитающего напряжения,электромагнитные наводки или близкие грозовые разряды, другие могутбыть связаны с невежеством или неаккуратностью самого пользователя.Если несколько лет назад атаки на сетевые объекты совершали восновном (около 90%) хулиганы, которые таким образом пыталисьсамоутвердиться, сейчас вторжения на серверы и рабочие станциипредпринимаются уже с корыстной целью. Речь не идет о вторжениях вбанки, все много прозаичнее, хакер взламывает большое число машин,выбирая наиболее уязвимые, и формирует базис для аспределенных сетевыхатак отказа обслуживания (DDoS) на сервис-провайдеров или серверы фирм(заказы поступают от конкурентов), или для рассылки СПАМ’а, что стало внашей стране достаточно прибыльным и относительно безопасным бизнесом.Мы в ИТЭФ были вынуждены заниматься проблемами сетевой безопасностис 1995 года, когда несколько раз подверглись DoS-атакам. Сначала мыдаже не знали, что происходит. Наш маршрутизатор CISCO-4000 былдостаточно тихоходен и при потоках более 2000 пакетов в секундублокировался. Не имея специальных средств и навыков, мы на диагностикупроблемы в начале тратили более суток. Связано это с тем, что DoS-атакичаще всего предпринимаются с использование фальсификации адресаотправителя. Две атаки были предприняты с ЭВМ из нашей локальной сети,взломанных ранее. Позднее такие объекты мы научились локализовать занесколько минут. Для этого была написана специальная программа.Алгоритм этой программы доложен на конференции МаБИТ-03, МГУ октябрь2003 год.Но описанные атаки были вторичными. Для нас оставалось неясным, как взламывались ЭВМ-жертвы в нашей локальной сети. Чтобыпрояснить эту проблему, мы поставили на входе сети ЭВМ, на которойсначала стояла программа t-meter, а позднее sniffer. Варьируя критерииотбора пакетов, мы смогли выявить IP-адреса машин, с которыхпроизводится сканирование адресов и портов ЭВМ нашей сети. В настоящеевремя число атак из расчета на одну ЭВМ превышает 20/сутки.Следует учитывать, что характер атак становится все болееизощренным. Хакеры объединяются в клубы, издают журналы и продаютхакерские CD. Сегодня крайне актуальным становится кооперирование ихпотенциальных жертв.Мало зарегистрировать атаку, надо определить и корректноинтерпретировать IP-адрес, откуда эта атака исходит. Чаще всего, имеяIP-адрес, достаточно легко отследить путь атаки, например посредствомTrace Route. Полезным может оказаться утилита NSLookup, а также службаWhois, которая позволяет определить сервис-провайдера атакера и егогеографическое положение.
Категория: Обеспечение безопасности | Просмотров: 146
В двадцать первом веке движущей силой и главным объектом всехотраслей человеческой деятельности становится информация, и состояниеканалов, сетей и безопасность серверов станут основой экономическогоразвития. К сожалению, сложные сетевые технологии достаточно уязвимыдля целенаправленных атак. Причем такие атаки могут производитьсяудаленно, в том числе и из-за пределов национальных границ. Все этоставит новые проблемы перед разработчиками и строителями информационнойинфраструктуры. Некоторые современные формы бизнеса полностьюбазируются на сетевых технологиях (электронная торговля, IP-телефония,сетевое провайдерство и т.д.) и по этой причине особенно уязвимы.Потребуется здесь и международное сотрудничество в сферезаконодательства и установления барьеров для сетевых террористов. Неисключено, что придется со временем модифицировать с учетом требованийбезопасности некоторые протоколы и программы.Число ЭВМ, подключенных в Интернет, к концу 2005 года достигнет, авозможно превысит, 1 миллиард. Число WEB-серверов в 2005 годуперевалило за 70 миллионов. Сегодня трудно представить себе фирму,организацию или учреждение, где бы для обработки документов, ведениябухгалтерии, учета, обмена сообщениями, доступа к информационным ипоисковым серверам и так далее не использовали машин, подключенных ксети. Огромная масса людей не может себе представить жизнь без доступак сети Интернет, который стал еще одним средством массовой информации.Но преимущества доступа к информации через сеть все чаще омрачаетсяатаками вирусов, червей, троянских коней, spyware и хакеров.Разнообразие угроз, подстерегающих пользователя, работающего в сети,огромно. Часть из них является платой за использование сложныхинформационных технологий, уязвимых к внешним воздействиям, другаячасть сопряжена с деятельностью людей. Некоторые угрозы носятобъективный характер, например, нестабильность или низкое качествопитающего напряжения,электромагнитные наводки или близкие грозовые разряды, другие могутбыть связаны с невежеством или неаккуратностью самого пользователя.Если несколько лет назад атаки на сетевые объекты совершали восновном (около 90%) хулиганы, которые таким образом пыталисьсамоутвердиться, сейчас вторжения на серверы и рабочие станциипредпринимаются уже с корыстной целью. Речь не идет о вторжениях вбанки, все много прозаичнее, хакер взламывает большое число машин,выбирая наиболее уязвимые, и формирует базис для аспределенных сетевыхатак отказа обслуживания (DDoS) на сервис-провайдеров или серверы фирм(заказы поступают от конкурентов), или для рассылки СПАМ’а, что стало внашей стране достаточно прибыльным и относительно безопасным бизнесом.Мы в ИТЭФ были вынуждены заниматься проблемами сетевой безопасностис 1995 года, когда несколько раз подверглись DoS-атакам. Сначала мыдаже не знали, что происходит. Наш маршрутизатор CISCO-4000 былдостаточно тихоходен и при потоках более 2000 пакетов в секундублокировался. Не имея специальных средств и навыков, мы на диагностикупроблемы в начале тратили более суток. Связано это с тем, что DoS-атакичаще всего предпринимаются с использование фальсификации адресаотправителя. Две атаки были предприняты с ЭВМ из нашей локальной сети,взломанных ранее. Позднее такие объекты мы научились локализовать занесколько минут. Для этого была написана специальная программа.Алгоритм этой программы доложен на конференции МаБИТ-03, МГУ октябрь2003 год.Но описанные атаки были вторичными. Для нас оставалось неясным, как взламывались ЭВМ-жертвы в нашей локальной сети. Чтобыпрояснить эту проблему, мы поставили на входе сети ЭВМ, на которойсначала стояла программа t-meter, а позднее sniffer. Варьируя критерииотбора пакетов, мы смогли выявить IP-адреса машин, с которыхпроизводится сканирование адресов и портов ЭВМ нашей сети. В настоящеевремя число атак из расчета на одну ЭВМ превышает 20/сутки.Следует учитывать, что характер атак становится все болееизощренным. Хакеры объединяются в клубы, издают журналы и продаютхакерские CD. Сегодня крайне актуальным становится кооперирование ихпотенциальных жертв.Мало зарегистрировать атаку, надо определить и корректноинтерпретировать IP-адрес, откуда эта атака исходит. Чаще всего, имеяIP-адрес, достаточно легко отследить путь атаки, например посредствомTrace Route. Полезным может оказаться утилита NSLookup, а также службаWhois, которая позволяет определить сервис-провайдера атакера и егогеографическое положение.