Bazaprogram.ru

Новости из мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Сетевые атаки и методы защиты

Защита от сетевых атак

Главные цели киберпреступников — дестабилизация работы сайтов и серверов либо их полный вывод из строя, добыча скрытой информации (конфиденциальные данные пользователей, тексты документов).

Разновидности сетевых атак и методики защиты от них

На сегодняшний день известны следующие виды сетевых атак:

  • mailbombing;
  • применение специализированных приложений;
  • переполнение буфера;
  • сетевая разведка (сбор сведений при помощи приложений, находящихся в свободном доступе);
  • IP-спуфинг (хакер выдает себя за законного пользователя);
  • DDOS-атака (путем перегрузки обслуживание обычных пользователей делается невозможным);
  • Man-in-the-Middle (внедрение с целью получения пакетов, передаваемых внутри системы);
  • XSS-атака (ПК клиента подвергаются атаке через уязвимости на сервере);
  • фишинг (обман жертвы путем отправки сообщений с якобы знакомого адреса).

О первых трех вариантах стоит рассказать отдельно, так как они самые сложные и самые распространенные.

Mailbombing

Суть действия в том, что e-mail пользователя буквально заваливается письмами. Для этого используется массовая рассылка. Цель — отказ работы почтового ящика или всего почтового сервера.

Для проведения этой атаки не нужны особые навыки. Достаточно знать электронный адрес потенциальной жертвы и адрес сервера, с которого можно отправлять сообщения анонимно.

Первое правило защиты, к которому может прибегнуть каждый, — не давать адрес своего почтового адреса сомнительным источникам. Специалисты задают определенные настройки на web-сайте провайдера. Лимит количества писем, поступающих с определенного IP, ограничен. Когда приложение «видит», что число сообщений перевалило предел нормы, письма «на автомате» отправляются в корзину. Но ничто не мешает преступнику проводить рассылку с разных адресов.

Специальные программы

Использование особых приложений — самый распространенный способ вывода серверов из строя. В ход идут вирусы, трояны, руткиты, снифферы.

Вирус — вредоносный софт, заточенный на выполнение определенной функции. Внедряется в другие программы (легальные в том числе) на ПК жертвы. После встраивания приступает к осуществлению прописанной «миссии». Например, проводит шифровку файлов, блокирует загрузку компьютерной платформы, прописав себя в BIOS, и т.д.

«Троянский конь» — это уже не программная вставка, а полноценное вредоносное приложение, которое маскируется под безобидное. Троян может выглядеть, к примеру, как игра. Если пользователь ее запустит, начнется распространение файла. Программа рассылает свои копии по всем электронным адресам, которые есть на ПК жертвы. Чаще всего «троянский конь» похищает данные банковских карт, электронных кошельков — словом, стремится получить доступ к финансовым ресурсам.

Сниффер ворует пакеты данных, переправляемых ПК на разные сайты. Для этого используется сетевая плата, функционирующая в режиме promiscuous mode. В таком режиме все пакеты, переправленные через карту, отправляются на обработку приложению. Таким образом, может быть открыт доступ к конфиденциальным сведениям — например, списку паролей и логинов от банковских счетов.

Руткит скрывает следы преступлений злоумышленников, маскирует вредоносную деятельность, из-за чего администратор не замечает происходящего.

Переполнение буфера

Злоумышленник занят поиском программных или системных уязвимостей. При обнаружении таковых провоцируется нарушение границ оперативной памяти, работа приложения завершается в аварийном режиме, выполняется любой двоичный код.

Защита состоит в том, чтобы обнаружить и устранить уязвимости. Также используются неисполнимые буфера, но этот метод способен предотвратить только те атаки, в которых применяется код.

Способы защиты от сетевых атак:

  1. Шифрование данных. Не является защитой как таковой, но в случае утечки информации злоумышленник не прочитает ее.
  2. Установка антивирусов и их своевременное обновление.
  3. Применение программ, блокирующих действие снифферов и руткитов.
  4. Использование межсетевого экрана. Этот элемент выполняет роль фильтра всего проходящего через него трафика.

Комплексная защита от сетевых атак

Наша компания выпускает комплексный продукт ИКС, способный обеспечить защиту Вашего компьютера «по всем фронтам». В функционал входит:

и многое другое.

Интернет Контроль Сервер — это универсальное и эффективное средство контроля над внутренними сетями любой организации вне зависимости от ее сферы деятельности. ИКС позволит защитить данные корпоративной сети.

Настройка программы проста в исполнении, с помощью документации и видеоуроков с ней справится даже начинающий пользователь.

Классификация и способы борьбы с сетевыми атаками

Все понимают, что общество современных людей просто не может без информационных технологий, которые настолько плотно вошли в нашу жизнь, что без них не происходят ни одни бизнес-процессы, не работают производства и офисы. Для развлечения человек также идет в интернет, ведь там можно посмотреть фильм, поиграть в онлайн-игру, почитать книгу и так далее.

Одной из главных задач интернета и интернет-специалистов является обеспечение его безопасности, потому что в противном случае данные всех людей будут в свободном доступе. Опасным процессом в интернет-сети является сетевая атака. Сразу же возникают очевидные вопросы: что такое сетевые атаки, какие атаки бывают на сетевом уровне, какова классификация сетевых атак.

Определение

Сетевая атака — это определенное действие, осуществляемое с целью получения контроля над любой локальной или удаленной вычислительной системой или компьютером. Атака может также предполагать повышение прав аккаунта в определенной сети, дестабилизацию этой сети, а также получение личных данных людей, являющихся пользователями ВС.

Читать еще:  Какой антивирус установить на ноутбук бесплатно

Классификация

На данный момент есть множество видов атак, которые различаются:

  • по характеру воздействия на сеть;
  • по цели воздействия;
  • по наличию обратной связи с атакуемой сетью;
  • по условию начала осуществления атаки;
  • по расположению субъекта атаки относительно объекта;
  • по уровню эталонной модели ISO.

По характеру воздействия на сеть

По характеру воздействия на сеть можно выделить активные и пассивные варианты. Пассивный тип не оказывает прямого воздействия на работу системы, но может нарушить ее безопасность. Такой тип сложно обнаружить, ведь он не оказывает сильного влияния на ВС. В качестве пассивного примера можно привести прослушку.

Активное воздействие предполагает прямое воздействие на сеть, включающее ограничение ее работоспособности, изменение настроек. Его главное отличие от первого типа в том, что он предполагает свое обнаружение и оставляет после себя следы. Пассивное воздействие такого себе не позволяет.

По цели

Целью могут быть нарушение функционирования, целостности или конфиденциальности ЛСВ. Главной целью любых атак является получение доступа к закрытой информации путем ее перехвата или искажения. Первый вариант подразумевает получение доступа без возможности изменения. Второй, соответственно, с возможностью.

Важно! Эта категоризация является прямой проекцией трех основных видов угроз: отказа от своевременного обслуживания, раскрытия информации и нарушения целостности.

По наличию обратной связи с атакуемым объектом

Классификация предполагает наличие обратной связи и ее отсутствие, когда атака имеет однонаправленный вид. Атакующий субъект производит обмен данными с атакуемым и между ними появляется обратная связь, которая позволяет субъекту иметь актуальную информацию о состоянии объекта. Атаки без обратной связи проводятся тогда, когда не нужно реагировать на изменение состояния объекта.

По условию начала осуществления воздействия

Условие атаки может быть разным. Среди основных: по запросу от объекта, по наступлению определенного действия на стороне объекта, атака без условия. Соответственно безусловная атака производится в любой момент времени. Доступ по запросу предполагает ожидание определенного типа запроса от атакуемого объекта.

По расположению субъекта атаки относительно атакуемого объекта

Эта категория предполагает межсегментное и внутрисегментное расположение. Первый тип означает, что объект и субъект находятся в разных сегментах сети, а второй — в одном сегменте. Под сегментом обычно понимают физически объединенные хосты (компьютеры)

По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие

Среди моделей можно выделить:

  • Физический уровень;
  • Канальный уровень;
  • Сетевой уровень;
  • Транспортный уровень;
  • Сеансовый уровень;
  • Представительный уровень;
  • Прикладной уровень.

Важно! Придумана такая система Международной организацией по стандартизации. Она описывает строение и взаимодействие систем открытого типа.

Краткое описание

Ниже будет представлен список некоторых конкретных видов атак с их описанием:

  • Фрагментация данных. Когда пакет трафика поступает в передачу по IP, он делится на части и собирается при достижении получателя. Атака предполагает посылку большого количества таких фрагментов и засорение буфера обмена, что приводит к аварии и нестабильной работе;
  • Ping Flooding. Возможна только при наличии доступа к быстрым каналам интернета. В отличие от стандартного применения команды проверки пинга, которая не нагружает сеть, флудинг может привести к перегрузке сети;
  • Использование нестандартных поддельных протоколов. Пакет данных типа IP содержит специальное поле для определения типа протокола пакета, который в него инкапсулирован. Это значение можно заменить и система безопасности не распознает передачу данных;

Технологии обнаружения и алгоритмы действий при борьбе

IT-технологии и устройства развиваются настолько быстрыми темпами, что механизмы защиты, которые являются статичными, не всегда могут должным образом защитить сеть и данные. Специально для этого разрабатываются динамические методы защиты, которые способны оперативно обнаруживать и нейтрализовывать угрозы. По своей сути такой механизм работает по принципу оценки подозрительности действий процесса или службы в сети.

Алгоритм действия направлен на идентификацию и реагирование на подозрительные объекты и осуществляемую ими деятельность, которая может быть направлена на ресурсы сети и вычислительных машин.

Методы защиты

Способы предполагают определенные действия, направленные на защиту целостности и конфиденциальности данных:

  • Шифрование данных и использование надежных портов. Если его нет, уязвимость сети повышается;
  • Использование антивирусных программ и сканеров (такие услуги предоставляет Касперский, Др. Веб, Норд и др.);
  • Установка блокираторов снифферов и руткитов;
  • Использование межсетевого экрана.

Существует много разновидностей сетевых атак. Меры по их предотвращению компьютерный специалист должен принимать заранее. В противном случае возможна утечка личных данных и нарушение целостности сети.

Сетевые атаки и методы защиты

Kaspersky Internet Security защищает ваш компьютер от сетевых атак.

Сетевая атака – это вторжение в операционную систему удаленного компьютера. Злоумышленники предпринимают сетевые атаки, чтобы захватить управление над операционной системой, привести ее к отказу в обслуживании или получить доступ к защищенной информации.

Сетевыми атаками называют вредоносные действия, которые выполняют сами злоумышленники (такие как сканирование портов, подбор паролей), а также действия, которые выполняют вредоносные программы, установленные на атакованном компьютере (такие как передача защищенной информации злоумышленнику). К вредоносным программам, участвующим в сетевых атаках, относят некоторые троянские программы, инструменты DoS-атак, вредоносные скрипты и сетевые черви.

Читать еще:  Защита от сниффера

Сетевые атаки можно условно разделить на следующие типы:

  • Сканирование портов. Этот вид сетевых атак обычно является подготовительным этапом более опасной сетевой атаки. Злоумышленник сканирует UDP- и TCP-порты, используемые сетевыми службами на атакуемом компьютере, и определяет степень уязвимости атакуемого компьютера перед более опасными видами сетевых атак. Сканирование портов также позволяет злоумышленнику определить операционную систему на атакуемом компьютере и выбрать подходящие для нее сетевые атаки.
  • DoS-атаки, или сетевые атаки, вызывающие отказ в обслуживании. Это сетевые атаки, в результате которых атакуемая операционная система становится нестабильной или полностью неработоспособной.

Существуют следующие основные типы DoS-атак:

  • Отправка на удаленный компьютер специально сформированных сетевых пакетов, не ожидаемых этим компьютером, которые вызывают сбои в работе операционной системы или ее остановку.
  • Отправка на удаленный компьютер большого количества сетевых пакетов за короткий период времени. Все ресурсы атакуемого компьютера используются для обработки отправленных злоумышленником сетевых пакетов, из-за чего компьютер перестает выполнять свои функции.
  • Сетевые атаки-вторжения. Это сетевые атаки, целью которых является «захват» операционной системы атакуемого компьютера. Это самый опасный вид сетевых атак, поскольку в случае ее успешного завершения операционная система полностью переходит под контроль злоумышленника.

    Этот вид сетевых атак применяется в случаях, когда злоумышленнику требуется получить конфиденциальные данные с удаленного компьютера (например, номера банковских карт или пароли) либо использовать удаленный компьютер в своих целях (например, атаковать с этого компьютера другие компьютеры) без ведома пользователя.

    1. В строке меню нажмите на значок программы.
    2. В открывшемся меню выберите пункт Настройки .

    Откроется окно настройки программы.

  • На закладке Защита в блоке Защита от сетевых атак снимите флажок Включить Защиту от сетевых атак .
  • Вы также можете включить Защиту от сетевых атак в Центре защиты. Отключение защиты компьютера или компонентов защиты значительно повышает риск заражения компьютера, поэтому информация об отключении защиты отображается в Центре защиты.

    Важно: Если вы выключили Защиту от сетевых атак, то после перезапуска Kaspersky Internet Security или перезагрузки операционной системы она не включится автоматически и вам потребуется включить ее вручную.

    При обнаружении опасной сетевой активности Kaspersky Internet Security автоматически добавляет IP-адрес атакующего компьютера в список заблокированных компьютеров, если этот компьютер не добавлен в список доверенных компьютеров.

    1. В строке меню нажмите на значок программы.
    2. В открывшемся меню выберите пункт Настройки .

    Откроется окно настройки программы.

  • На закладке Защита в блоке Защита от сетевых атак установите флажок Включить Защиту от сетевых атак .
  • Нажмите на кнопку Исключения .

    Откроется окно со списком доверенных компьютеров и списком заблокированных компьютеров.

  • Откройте закладку Заблокированные компьютеры .
  • Если вы уверены, что заблокированный компьютер не представляет угрозы, выберите его IP-адрес в списке и нажмите на кнопку Разблокировать .

    Откроется окно подтверждения.

    В окне подтверждения выполните одно из следующих действий:

      Если вы хотите разблокировать компьютер, нажмите на кнопку Разблокировать .

    Kaspersky Internet Security разблокирует IP-адрес.

    Если вы хотите, чтобы Kaspersky Internet Security никогда не блокировал выбранный IP-адрес, нажмите на кнопку Разблокировать и добавить к исключениям .

    Kaspersky Internet Security разблокирует IP-адрес и добавит его в список доверенных компьютеров.

  • Нажмите на кнопку Сохранить , чтобы сохранить изменения.
  • Вы можете сформировать список доверенных компьютеров. Kaspersky Internet Security не блокирует IP-адреса этих компьютеров автоматически при обнаружении исходящей с них опасной сетевой активности.

    1. В строке меню нажмите на значок программы.
    2. В открывшемся меню выберите пункт Настройки .

    Откроется окно настройки программы.

  • На закладке Защита в блоке Защита от сетевых атак установите флажок Включить Защиту от сетевых атак .
  • Нажмите на кнопку Исключения .

    Откроется окно со списком доверенных компьютеров и списком заблокированных компьютеров.

  • Откройте закладку Исключения .
  • Отредактируйте список доверенных компьютеров:
    • Чтобы добавить IP-адрес в список доверенных компьютеров:
      1. Нажмите на кнопку .
      2. В появившемся поле введите IP-адрес компьютера, в безопасности которого вы уверены.
    • Чтобы удалить IP-адрес из списка доверенных компьютеров:
      1. Выберите IP-адрес в списке.
      2. Нажмите на кнопку .
    • Чтобы изменить IP-адрес в списке доверенных компьютеров:
      1. Выберите IP-адрес в списке.
      2. Нажмите на кнопку Изменить .
      3. Измените IP-адрес.
  • Нажмите на кнопку Сохранить , чтобы сохранить изменения.
  • При обнаружении сетевой атаки Kaspersky Internet Security сохраняет информацию о ней в отчете.

    1. Откройте меню Защита .
    2. Выберите пункт Отчеты .

    Откроется окно отчетов Kaspersky Internet Security.

  • Откройте закладку Защита от сетевых атак .
  • Примечание: Если компонент Защита от сетевых атак завершил работу с ошибкой, вы можете просмотреть отчет и попробовать перезапустить компонент. Если вам не удается решить проблему, обратитесь в Службу технической поддержки.

    Сводную статистику по Защите от сетевых атак (количество заблокированных компьютеров, количество зарегистрированных событий с момента последнего запуска компонента) вы можете просмотреть в Центре защиты, нажав на кнопку Подробнее в правой части главного окна программы.

    Расширенная защита от DDoS

    Любая DDoS-атака ведет к потере легитимного трафика, иными словами — пользователей, поэтому зачастую используется недобросовестными конкурентами. От DDoS-атак часто страдают в том числе интернет-магазины, онлайн-игры и системы электронных платежей.

    Читать еще:  Телефоны со степенью защиты ip68

    В 2015 году Selectel запустил услугу Защита от DDoS, успешно справляющуюся с основными типами атак, в том числе с L2-атаками.

    Каждый сервер может принадлежать независимому заказчику. Мы не знаем, какие ip-адреса он себе поставит, какую конфигурацию и профиль трафика выберет. В одной серверной стойке могут находиться до 40 различных проектов, каждый из которых может быть подвержен DDoS, который может прилететь в любой момент. На практике мы отбиваем 12-20 атак в день. Если из строя выходит сервер, то это очень огорчительно и надо поправить моментально, поэтому важно резервирование всех каналов связи ( подробнее ).

    Типы атак

    Если в качестве отсчетной точки для классификации типов атак выбрать объект, который выводится из строя, то можно выделить четыре основных класса атак, осуществляемых на разных уровнях согласно модели OSI:

    Тип атакиОбъект атакиСпособ отражения
    Первый класс (L2)«Забивание» канала (Amplification)Поддержка доступа к внешней сети за счет увеличения емкости канала
    Второй класс (L3)Нарушение функционирования сетевой инфраструктурыПродвинутая аналитика сетевой инфраструктуры, отслеживание проблем на транзитном сетевом оборудовании
    Третий класс (L4)Эксплуатация слабых мест TCP-стекаАнализ поведения TCP-клиентов и TCP-пакетов на сервере, в том числе эвристический анализ
    Четвёртый класс (L7)Деградация Web-приложения (извлечение конкретной информации из БД, памяти или с диска, банальное исчерпание ресурсов сервера)Поведенческий и корреляционный анализ, использование инструментов мониторинга

    Увы, универсальных мер защиты от DDoS-атак не существует, так как злоумышленники постоянно находят новые уязвимости и спешат ими воспользоваться.

    Пример L2

    Рассмотрим пример амплификации DNS-атаки.

    Алгоритм поражения жертвы заключается в том, что атакующий посылает сигнал ботам на начало цикла запросов к DNS. Все зомби-компьютеры начинают выполнять запросы каждый к своему DNS-серверу с поддельным обратным IP-адресом, который указывает на компьютер жертвы.

    В результате пакет с IP-адресом должен быть доставлен клиенту ботнета, но в действительности его «усиленный» вариант будет отправлен на заранее указанный IP-адрес жертвы.

    Пример L3

    Классический пример L3-атаки— в 2008 году Пакистан из-за собственной ошибки перехватывал префиксы у YouTube посредством BGP Hijacking, то есть значительная часть трафика этого видеохостинга перенаправлялась в Пакистан.

    К сожалению, автоматически с подобной напастью бороться невозможно. Предварительно нужно определить, что данная проблема (кража префикса) вообще возникла. Далее нужна продвинутая аналитика сетевой инфраструктуры, потому что признаком Hijacking служит, в общем случае, только то, что, начиная с какого-то момента, анонсы данной сети в интернете пошли «нетипичные». То есть для своевременного обнаружения необходимо иметь, как минимум, историю анонсов.

    Если у вас своей автономной системы (AS) нет, то можно считать, что борьба с атаками на этом уровне более-менее является долгом вашего дата-центра или провайдера.

    Немного истории

    Технический прогресс идет семимильными шагами и популярность набирают сложно-организованные атаки (уровня приложений, HTTPS) атаки, как и было спрогнозировано в Лаборатории Касперского еще в конце 2016 года.

    В качестве примера можно привести смешанную (SYN + TCP Connect + HTTP-flood + UDP flood) атаку на «Национальную электронную площадку». Для отражения подобной атаки необходимо применять современные и сложные механизмы защиты.

    Отчеты за 2 квартал 2017 года с подробными графиками можно посмотреть тут .

    Услуги по защите от DDoS

    С развитием IT-технологий и на фоне снижения стоимости вычислительных ресурсов базовой защиты уже недостаточно, так как фокус DDoS-атак смещается от простых к сложноорганизованным.

    Мы также расширили наши услуги по профессиональной защите серверов и приложений от DDoS‑атак любой мощности:

    • Базовая защита — для очистки трафика предоставляются защищенные IP-адреса (один входит в базовый тариф, а дополнительные адреса можно заказать в панели управления) и выделяем специальный канал, в котором весь нелегитимный трафик отбрасывается. Подробнее об очистке трафика можно прочитать в нашей базе знаний.
    • Расширенная защита — защита от L7-атак осуществляется путём проксирования запросов к клиентским приложениям через комплекс фильтрации, на базе которого осуществляется анализ и очистка трафика на уровне протоколов приложений: HTTP, DNS, SIP, игровые протоколов и так далее. Подробнее о расширенной защите вы можете прочитать в нашей базе знаний.
    • Балансировщик нагрузки — в состав комплекса фильтрации входят инструменты не только для защиты от атак, но также для балансировки нагрузки и обеспечения отказоустойчивости. Подробнее о работе можете прочитать в нашей базе знаний.

    Преимущества защиты, предоставляемой Selectel:

    • Оплачивается только очищенный входящий трафик.
    • Предоставляется по запросу доступ в систему отчетов об очистке, включая величину и длительность атак.
    • Подбираются параметры очистки специально под требования проекта.

    Услуга «Защита от DDoS» от Selectel позволяет защитить бизнес от финансовых и репутационных потерь.

    При выборе расширенной защиты от DDoS вы платите только за подключение фильтра.

    Ознакомиться с ценами можно на странице услуги.

    Ссылка на основную публикацию
    Adblock
    detector