Олифер В.Г., Олифер Н.А. - Компьютерные сети. Принципы, технологии, протоколы (4-ое изд.) - 2010 - обработка (953099), страница 211
Текст из файла (страница 211)
Злоумышленник знает, что клиент обращается к серверу, указывая его символьное ОХЯ-имя эляв. вхагпр!в.сов. Известно ему также, что перед тем как отослать пакет серверу, программное обеспечение клиентской машины направляет запрос РХЯ-серверу, чтобы узнать, какой 1Р-адрес соответствует этому имени. Цель злоумышленника — опередить ответ 1)Х5-сервера и навязать клиенту свой вариант ответа, в котором вместо 1Р-адреса корпоративного сервера (в примере 193.25.34.125) злоумышленник указывает 1Р-адрес атакующего хоста (203.13.1.123).
На пути реализации этого плана имеется несколько серьезных препятствий. Типы и примеры атак Рис. 24.3. Перенаправление маршрута с помощью протокола 1СМР: в — сообщение о более рациональном маршруте хосту Н2 посылает маршрутизатор Л1, применяемый по умолчанию; б — сообщение о перенаправлении маршрута на себя направляет атакующий хост НА Исходная таблица маршрутизации хоста Н1 Измененная таблица маршрутизации хоста Н1 1СМР-сообщение маршрутизатора й1 Ложное 1СМР-сообщение атакующе'о хоста НА 836 Глава 24. Сетевая безопасность 25 Корпора РМВ-запрос лпивн чп»вгвхагпрвксою 203.12.1.123 РМЗ-овравр Рио. 24.4.
Схема перенаправления трафнха путем использования ложных РМ8-отввтов Прежде всего необходимо задержать ответ 0ХЗ-сервера, для этого сервер, например, может быть подвергнут 00$-атаке. Другая проблема связана с определением номера порта клиента 0ХБ, который необходимо указать в заголовке пакета, чтобы данные дошли до приложения. И если серверная часть 0ХБ имеет постоянно закрепленный за ней так называемый «хорошо известный» номер 53, то клиентская часть протокола 0ХЯ получает номер порта динамически при запуске, причем операционная система выбирает его иэ достаточно широкого диапазона. Заметим, что протокол 0ХЯ может использовать для передачи своих сообщений как протокол 00Р так и протокол ТСР, в зависимости от того, как он будет сконфигурирован администратором.
Поскольку протокол ТОР устанавливает логическое соединение с отслеживанием номеров посланных и принятых байтов, «вклнниться» в диалог клиента и сервера в этом случае гораздо сложнее, чем в случае, когда используется дейтаграммный протокол 00Р Однако и в последнем случае остается проблема определения номера 00Р-порта клиента 0Х5.
Эту задачу злоумышленник решает путем прямого перебора всех возможных номеров. Также путем перебора возможных значений злоумышленник преодолевает проблему определенияидентификаторов 0ХБ-сообщений. Эти идентификаторы передаются в 0Х5-сообщениях и служат для того, чтобы клиент системы 0ХБ мог установить соответствие поступающих ответов посланным запросам. Итак, злоумышленник бомбардирует клиентскую машину ложными 0ХБ-ответами, перебирая все возможные значения идентифицирующих полей так, чтобы клиент, в конце концов, принял один из них за истинный 0ХЯ-ответ. Как только это происходит, цель злоумышленника можно считать достигнутой — пакеты от клиента направляются на адрес атакующего хоста, злоумышленник Типы и примеры атак получает в свое распоряжение имя и пароль легального пользователя, а с ними и доступ к корпоративному серверу.
Внедрение в компьютеры вредоносных программ Многочисленная группа атак связана с внедрением в компьютеры вредоносных программ (шаЬтаге), к числу которых относятся троянские и шпионские программы, черви, вирусы, сиам, логические бомбы и некоторые другие типы программ, нацеленные иа нарушение информационной безопасности, Эти программы могут проникать иа атакуемые компьютеры разными путями.
Самый простой из иих — «самодоставка», когда пользователь загружает файлы из непроверенных источников (съемиых носителей или веб-сайтов) либо беспечно открывает подозрительный файл, пришедший к нему по электронной почте. Существуют и более сложные представители вредоносных программ, обладающие собственными механизмами «размиожеиия», копии таких программ распространяются по компьютерам сети без участия пользователей.
Ущерб, наносимый вредоносными программами, может выражаться ие только в уничтожении, искажении или похищении информации, приведении в нерабочее состояние программного обеспечения, а значит, и компьютера в целом, но и в значительных затратах времени и сил администраторов на обнаружение и распознавание атак, фильтрацию внешних сообщений, тестирование и перезагрузку систем. Вредоносные программы в начале этого десятилетия были одной из основных причин нарушения безопасности компьютерных сетей.
Однако как показала статистика, в последние два года суммарный ущерб, нанесенный вредоносными программами предприятиям, резко снизился. Это связывают, в том числе, с улучшением качества антивирусных средств и ужесточением наказаний за такого рода преступления. Прежде чем перейти к рассмотрению конкретных типов вредоносных программ, заметим, что иа практике злоумышленники часто сочетают в одной и той же программе различные типы угроз.
Например, некоторые черви способны маскироваться под троянские программы или подобно вирусам заражать исполняемые файлы на локальном диске, а некоторые вирусы наделены способностями червей самокопироваться иа другие компьютеры. Кроме того, вы можете встретить и другую классификацию вредоносных программ, где, скажем, троянские программы и черви рассматриваются как разновидности вирусов. Троянские программы треянскне программы, илн траяны (нс)ап), — зто разновидность вредоносных программ, которые наносят 1яцерб системе, маскируясь под какие-либо полезные приложения. Троянские программы могут применять в качестве прикрытия знакомые пользователю приложения, с которыми ои рафэтал и раньше, до появления в компьютере «троянского коня».
При другом подходе в полном соответствии с древней легендой троянская программа принимает вид нового приложения, которое пытается заинтересовать пользователя-жертву какими-то своими якобы полезными функциями. Однако суть троянской программы и в том и в другом случаях остается вредительской: оиа может уничтожать или искажать информацию иа диске, передавать данные (например, пароли) с «зараженного» компьютера иа удаленный компьютер хакера, приводить взв Глава 24.
Сетевая безопасность в неработоспособноесостояние установленное на атакованном компьютере программное обеспечение, участвовать в проведении Роб-атак на другие удаленные компьютеры. Так, одна из известных троянских программ А10$ ТКО)АХ Р1Ж7, разосланная нескольким тысячам исследовательских организаций на дискете, при запуске перемешивала символы в именах всех файлов и заполняла все свободное пространство жесткого диска. После этого программа от имени злоумышленника предлагала помощь в восстановлении диска, требуя взамен вознаграждение для автора этой программы. (Злоумышленники могут также шантажировать пользователя, зашифровывая его данные.) Кстати, описанное компьютерное преступление завершилось поимкой хакера-шантажиста. Троянские программы могут быть отнесены к самому простому по реализации виду вредоносных программ.
Сетевые черви Сртера)р.черви,(вюпп) — его программы, способные к самостоятельному распространению '~Фея(ййввф4щдр й()))рв)айййделек локальной сети, в тапке по еабальным связям, перемецяиюь ; от (ярЫМЫ каяяэлвггйш к л(г1гому беа валкого учаотйя в этом процессе пользователей сети. Поскольку большинство сетевых червей передаются в виде файлов, основным механизмом их распространения являются сетевые службы, основанные иа файловом обмене. Так, червь может рассылать свои копии по сети в виде вложений в сообщения электронной почты или путем размещения ссылок на зараженный файл на каком-либо веб-сайте. Однако существуют и другие разновидности червей, которые для своей экспансии используют более сложные приемы, например, связанные с ошибками (кдырамиь) в программном обеспечении. Главная цель и результат деятельности червя состоит в том, чтобы передать свою копию на максимально возможное число компьютеров.
При этом для поиска компьютеров— новых потенциальных жертв — черви задействуют встроенные в них средства. Типичная программа-червь не удаляет и не искажает пользовательские и системные файлы, не перехватывает электронную почту пользователей, не портит содержимое бэз данных, а наносит вред атакованным компьютерам путем потребления их ресурсов. Если червь обладает возможностью повторного заражения, то число его копий растет лавинообразно, и вредоносные программы все более и более загружают процессор, захватывая новые области памяти, отбирая пропускную способность сетевых соединений, пока, наконец, программы легальных пользователей ие потеряют возможность выполняться.
При создании типичного сетевого червя хакер, прежде всего, определяет перечень сетевых уязвимостей, которые он собирается использовать для проведения атак средствами создаваемого червя. Такими уязвимостями могут быть как известные, но не исправленные на некоторых компьютерах ошибки в программном обеспечении, так и пока неизвестные никому ошибки, которые обнаружил сам хакер, Чем шире перечень уязвимостей и чем более они распространены, тем больше узлов может быть поражено данным червем. Червь состоит из двух основных функциональных компонентов: атакующего блока и блока поиска целей.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
