Виды (типы) угроз и атак в сети Internet

Интернет угроза безопасности является на сегодня одной из самых больших проблем в Интернете. Она касается всех, кто пользуется Интернетом.

Лучшее, что вы можете сделать, когда вы находитесь в Интернете - использовать программное обеспечение и аппаратные средства, такие как брандмауэры и серверы аутентификации, так как это самый эффективный способ защиты вашего компьютера и вашей личной информации. Проблема в том, что каждый день появляются новые вирусы, которые запускаются по всему Интернету, а значит, нужны программы, которые могут постоянно обновляться. Лучше всего, если программное обеспечение будет обновлять себя каждый раз, когда вы заходите в Интернет. Также очень важен сложный пароль, чтобы не было возможности его подобрать. Рассмотрим типы угроз и атак в сети Интернет.

Denial of service (DOS)

Класс атак, приводящих к отказу в обслуживание. Во время таких атак происходит повышенный расход ресурсов процессора и уменьшение канала пропускной возможности канала связи, что может привести в сильному замедлению работы всей компьютерной системы, отдельных задач либо вообще к полному останову задач пользователя. Пример. Вы пошли в магазин за хлебом, а там два часа назад хулиганы побили все стекла и весь персонал занят их уборкой; возле входа в магазин выстроилась огромная очередь пенсионеров т.е. шанса пройти без очереди когда магазин откроется - нет. К DOS атакам относятся Floods, ICMP ing, Identification ing и другие.

Hack

Класс атак, используемые для исследования операционных систем, приложений или протоколов с целью последующего анализа полученной информации на предмет наличия уязвимостей, например, Ports scan, который можно также отнести к малоэффективной DOS-атаке. Выявленные уязвимости могут быть использованы хакером для осуществления несанкционированного доступа к системе либо для подбора наиболее эффективной DOS-атаки.

Floods

Перевод с английского на русский - "затопление". Во время flood-атак происходит посылка большого количества на атакуемую систему ICMP (чаще всего) либо UDP пакетов, которые не несут полезной информации (мусор). В результате происходит уменьшение полосы пропускания канала и загрузка компьютерной системы анализом пришедших бесполезных пакетов и генерацией на них ответов.

SYN

Затопление SYN-пакетами - самый известный способ "забить" информационный канал. Вспомним, как работает TCP/IP в случае входящих соединений. Система отвечает на пришедший C-SYN-пакет S-SYN/CACK-пакетом, переводит сессию в состояние SYN_RECEIVED и заносит ее в очередь. Если в течение заданного времени от клиента не придет S-ACK, соединение удаляется из очереди, в противном случае соединение переводится в состояние ESTABLISHED. По RFC когда очередь входных соединений уже заполнена, а система получает SYN-пакет, приглашающий к установке соединения, он будет молча проигнорирован. Затопление SYN пакетами основано на переполнении очереди сервера, после чего сервер перестает отвечать на запросы пользователей. В различных системах работа с очередью реализована по-разному. После истечение некоторого времени (зависит от реализации) система удаляет запросы из очереди. Однако ничего не мешает хакеру послать новую порцию запросов. Таким образом, даже находясь на соединение 2400 bps, хакер может посылать каждые полторы минуты по 20-30 пакетов на сервер, поддерживая его в нерабочем состоянии. Атака обычно направлена на определённую, конкретную службу, например telnet или ftp. Она заключается в передаче пакетов установления соединения на порт, соответствующий атакуемой службе. При получении запроса система выделяет ресурсы для нового соединения, после чего пытается ответить на запрос (послать "SYN-ACK") по недоступному адресу. По умолчанию NT версий 3.5-4.0 будет пытаться повторить подтверждение 5 раз - через 3, 6, 12, 24 и 48 секунд. После этого еще 96 секунд система может ожидать ответ, и только после этого освободит ресурсы, выделенные для будущего соединения. Общее время занятости ресурсов - 189 секунд.

ICMP (ping)

Перевод с английского на русский - "поток пингов". Во время этой атаки происходит посылка компьютерной системе жертвы большого количества запросов эха ICMP (пинг системы). В результате происходит уменьшение полосы пропускания канала и загрузка компьютерной системы анализом пришедших пакетов и генерацией на них ответов. Примечание: В мирных целях пинг используется администраторами и пользователями для проверки работоспособности основных частей транспортной системы вычислительной сети, оценить работу сети при максимальной нагрузке. Программа посылает ICMP-пакет типа ECHO REQUEST, выставляя в нем время и его идентификатор. Ядро машины-получателя отвечает на подобный запрос пакетом ICMP ECHO REPLY. Получив его, ping выдает скорость прохождения пакета. При стандартном режиме работы пакеты высылаются через некоторые промежутки времени, практически не нагружая сеть.

6. Identification (identd)

Запрос идентификации системы. Эта атака очень похожа на ICMP ping, отличается только тем, что происходит запрос информации о компьютерной системе (TCP порт 113). Атака более эффективна т.к. анализ этих запросов и генерирование на них ответов забирают больше процессорного времени, чем при пингах.

DNS scan

Эта атака, направленная на сервера имён Internet. Она заключается в передаче большого числа DNS запросов и приводит к тому, что у пользователей нет возможности обращаться к сервису имен и, следовательно, обеспечивается невозможность работы обычных пользователей. DNS scan. Известно, что прежде чем начинать атаку, хакеры осуществляют выявление целей, т.е. выявление компьютеров, которые будут жертвами атаки, а также компьютеров, которые осуществляют информационный обмен с жертвами. Одним из способов выявления целей заключается в опросе сервера имён и получение от него всей имеющейся информации о домене.

Ports scan

Сканирование компьютерной системы на наличие портов, путем попыток их открытия. Эта атака также расходует ресурсы системы. Обычно она используется для поиска слабых мест <дырок> в компьютерной системе и предшествует более элегантной атаке; ресурсы системы расходует намного скромнее нежели другие.

9. Unreachable (dest_unreach, ICMP type 3)

Эта атака заключается в том, что компьютерной системе посылается сообщение ICMP type 3, которое сообщает, что порт назначения недоступен тем самым обманывая систему и вынуждая ее разорвать соединение т.к. она будет "думать" что пакеты не доходят. ICMP type 3 может посылаться клиентской машине, которая затем произведет отключение либо посылаться серверу и инициатором отключения станет он. Посылку ICMP type 3 осуществляет хакер.

WinNuke

Hаpяду с обычными данными пеpесылаемыми по TCP соединению cтандаpт пpедустатpивает также передачу срочных (Out Of Band)данных. Hа уpовне фоpматов пакетов TCP это выpажается в ненулевом urgent pointer. У большинства PC с установленным Windows пpисутствует сетевой пpотокол NetBIOS, котоpый использует для своих нужд3 IP порта: 137, 138, 139. Как выяснилось, если соединиться с Windows машиной в 139 порт и послать туда несколько байт OutOf-Band данных, то реализация NetBIOS-а не зная что делать с этими данными попросту подвешивает или пеpезагpужает машину. Для Windows 95 это обычно выглядит как синий текстовый экран, сообщающий об ошибке в дpайвеpе TCP/IP и невозможность работы с сетью до пеpезагpузки ОC. NT 4.0 без сервис паков пеpезагpужается, NT 4.0 со вторым сервис паком выпадает в синий экран.