Security (1027395), страница 35
Текст из файла (страница 35)
Классический пример — атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера.Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычныйпоток данных, передаваемых между клиентским и серверным приложением или по каналу связи междуодноранговыми устройствами. Для двусторонней связи хакер должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес.
Некоторые хакеры, однако, даже не пытаются получить ответ от приложений. Если главная задача состоит в получении от системы важного файла, ответы приложений не имеют значения.Если же хакеру удается поменять таблицы маршрутизации и направить трафик на ложный IP-адрес, хакер получит все пакеты и сможет отвечать на них так, будто он является санкционированным пользователем.Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:●●Контроль доступа. Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом. Чтобы снизить эффективность IP-спуфинга, настройте контроль доступа на отсечение любого трафика, поступающего из внешней сети с исходным адресом, которыйдолжен располагаться внутри вашей сети. Заметим, что это помогает бороться с IP-спуфингом, когдасанкционированными являются только внутренние адреса.
Если санкционированными являются инекоторые адреса внешней сети, данный метод становится неэффективным.Фильтрация RFC 2827. Вы можете пресечь попытки спуфинга чужих сетей пользователями вашей сети (и стать добропорядочным «сетевым гражданином»). Для этого необходимо отбраковывать любойисходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации.Этот тип фильтрации, известный под названием «RFC 2827», может выполнять и ваш провайдер (ISP).В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе.
К примеру, если ISP предоставляет соединение с IP-адресом 15.1.1.0/24, он может настроить фильтр таким образом, чтобы с данного интерфейса на маршрутизатор ISP допускался только трафик, поступающий с адреса 15.1.1.0/24. Заметим, что до тех пор, пока все провайдеры невнедрят этот тип фильтрации, его эффективность будет намного ниже возможной. Кроме того, чемдальше от фильтруемых устройств, тем труднее проводить точную фильтрацию. Так, например,фильтрация RFC 2827 на уровне маршрутизатора доступа требует пропуска всего трафика с главногосетевого адреса (10.0.0.0/8), тогда как на уровне распределения (в данной архитектуре) можно ограничить трафик более точно (адрес — 10.1.5.0/24).Наиболее эффективный метод борьбы с IP-спуфингом тот же, что и в случае со сниффингом пакетов: необходимо сделать атаку абсолютно неэффективной.
IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP-адресов. Поэтому внедрение дополнительных методоваутентификации делает этот вид атак бесполезными. Лучшим видом дополнительной аутентификацииявляется криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.éÚ͇Á ‚ Ó·ÒÎÛÊË‚‡ÌËË (Denial of Service — DoS)DoS, без всякого сомнения, является наиболее известной формой хакерских атак. Кроме того, противатак такого типа труднее всего создать стопроцентную защиту. Даже среди хакеров атаки DoS считаются тривиальными, а их применение вызывает презрительные усмешки, потому что для организации DoSтребуется минимум знаний и умений. Тем не менее, именно простота реализации и огромный причиняемый вред привлекают к DoS пристальное внимание администраторов, отвечающих за сетевую безопасность.
Если вы хотите побольше узнать об атаках DoS, вам следует рассмотреть их наиболее известныеразновидности, а именно:●TCP SYN Flood●Ping of Death●Tribe Flood Network (TFN) и Tribe Flood Network 2000 (TFN2K)●Trinco●Stacheldracht●TrinityОтличным источником информации по вопросам безопасности является группа экстренного реагирования на компьютерные проблемы (CERT — Computer Emergency Response Team), опубликовавшая отличную работу по борьбе с атаками DoS. Эту работу можно найти на сайтеhttp://www.cert.org/tech_tips/denial_of_service.htmlАтаки DoS отличаются от атак других типов.
Они не нацелены на получение доступа к вашей сети или наполучение из этой сети какой-либо информации. Атака DoS делает вашу сеть недоступной для обычногоиспользования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения.В случае использования некоторых серверных приложений (таких как web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе атак DoS могутиспользоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol).Большинство атак DoS опирается не на программные ошибки или бреши в системе безопасности, а на общие слабости системной архитектуры. Некоторые атаки сводят к нулю производительность сети, переполняя ее нежелательными и ненужными пакетами или сообщая ложную информацию о текущем состоянии сетевых ресурсов.
Этот тип атак трудно предотвратить, так как для этого требуется координациядействий с провайдером. Если трафик, предназначенный для переполнения вашей сети, не остановить упровайдера, то на входе в сеть вы это сделать уже не сможете, потому что вся полоса пропускания будетзанята. Когда атака этого типа проводится одновременно через множество устройств, мы говорим о распределенной атаке DoS (DDoS — distributed DoS).91Угроза атак типа DoS может снижаться тремя способами:●Функции анти-спуфинга. Правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827.
Если хакер не сможет замаскировать свою истинную личность, он врядли решится провести атаку.●Функции анти-DoS. Правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.●Ограничение объема трафика (traffic rate limiting). Организация может попросить провайдера (ISP) ограничить объем трафика. Этот тип фильтрации позволяет ограничить объем некритического трафика, проходящего по вашей сети. Обычным примером является ограничение объемов трафика ICMP,который используется только для диагностических целей. Атаки (D)DoS часто используют ICMP.è‡ÓθÌ˚ ‡Ú‡ÍË92Хакеры могут проводить парольные атаки с помощью целого ряда методов, таких как простой перебор(brute force attack), «троянский конь», IP-спуфинг и сниффинг пакетов. Хотя логин и пароль часто можно получить при помощи IP-спуфинга и сниффинга пакетов, хакеры часто пытаются подобрать пароль илогин, используя для этого многочисленные попытки доступа.
Такой подход носит название простого перебора (brute force attack).Часто для такой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате хакер получает доступ к ресурсам, онполучает его на правах обычного пользователя, пароль которого был подобран. Если этот пользовательимеет значительные привилегии доступа, хакер может создать для себя «проход» для будущего доступа,который будет действовать, даже если пользователь изменит свой пароль и логин.Еще одна проблема возникает, когда пользователи применяют один и тот же (пусть даже очень хороший)пароль для доступа ко многим системам: корпоративной, персональной и системам Интернет.
Поскольку устойчивость пароля равна устойчивости самого слабого хоста, хакер, узнавший пароль через этотхост, получает доступ ко всем остальным системам, где используется тот же пароль.Прежде всего, парольных атак можно избежать, если не пользоваться паролями в текстовой форме. Одноразовые пароли и/или криптографическая аутентификация могут практически свести на нет угрозутаких атак.
К сожалению, не все приложения, хосты и устройства поддерживают указанные выше методы аутентификации.При использовании обычных паролей старайтесь придумать такой пароль, который было бы трудно подобрать. Минимальная длина пароля должна быть не менее восьми символов. Пароль должен включатьсимволы верхнего регистра, цифры и специальные символы (#, %, $ и т. д.). Лучшие пароли трудно подобрать и трудно запомнить, что вынуждает пользователей записывать пароли на бумаге.
Чтобы избежать этого, пользователи и администраторы могут поставить себе на пользу ряд последних технологических достижений. Так, например, существуют прикладные программы, шифрующие список паролей, который можно хранить в карманном компьютере. В результате пользователю нужно помнить только одинсложный пароль, тогда как все остальные пароли будут надежно защищены приложением. С точки зрения администратора, существует несколько методов борьбы с подбором паролей.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
