Атаки на основе технологических особенностей протокола TCP
Большинство злоумышленников, не являясь специалистами в области телекоммуникационных технологий, вряд ли смогут осуществить атаку, требующую, например, проведения анализа сетевого трафика. Их главной целью является реализация угрозы отказа в обслуживании с применением готовых программ, использующих известные ошибки в модулях сетевых служб. Производители сетевых операционных систем, конечно же, знают о существовании таких уязвимостей, но устранить ошибку не всегда удается локально, без кардинальной переработки ядра системы.
Атака с использованием некорректных данных в заголовке. Одним из таких способов является атака с использованием пакета, в заголовке которого IP-адрес источника совпадает с IP-адресом получателя, а в TCP-заголовке порт назначения совпадает с портом источника. Как показывают эксперименты, многие операционные системы неадекватно реагируют на получение такого пакета. Сервер может тратить 100% процессорного времени в течение нескольких десятков секунд на обработку принятой информации, отказывая в обслуживании легальным пользователям сети. Таким образом, можно «притормозить» работу сервера и на более длительный срок, периодически посылая ему некорректные данные.
Атака с использованием ошибки в модуле сборки фрагментированных пакетов. Разработчики сетевых протоколов постарались предусмотреть различные нестандартные ситуации, возникающие в процессе сборки-разборки пакетов. В частности, может возникнуть ситуация, когда началу следующего фрагмента отвечает адрес, попадающий не в конец, а в середину предыдущего. В этом случае нужно выровнять фрагменты и поставить данные на положенные им места. Алгоритм выравнивания приводит к отрицательной величине смещения, если длина пришедшего фрагмента меньше размера перекрытия. Этим может воспользоваться злоумышленник. Так как смещение указывает на текущий адрес в оперативной памяти компьютера, то его отрицательная величина приводит к записи фрагмента по случайному адресу, и это, в свою очередь, может вызвать отказ в работе программ операционной системы.
Атаку такого типа тоже нужно идентифицировать с помощью разрабатываемой системы путем анализа длин фрагмента и смещения.
Удаленное сканирование портов на объектах атаки. На начальном этапе организации удаленной атаки злоумышленнику важно определить потенциальные возможности для ее проведения. Для этого ему необходимо собрать информацию о задействованных на объекте службах и сервисах. Каждая из таких программ является серверным приложением, отвечающим на запросы клиентов. Обращение к требуемому сервису происходит после идентификации соответствующего номера порта протокола TCP. При этом каждый из обращающихся клиентов перед началом взаимодействия с сервером обязан установить виртуальное TCP-соединение, независимо от интересующей его службы, т. е. на начальном этапе все обращения имеют одинаковую форму, меняется только номер порта назначения. Атакующему остается лишь сгенерировать TCP-запросы с перебором возможных TCP-портов. Получение на посланный им запрос подтверждения с поднятыми флагами SYN и ACK позволяет обнаружить работающую серверную программу.
Сканирование TCP-портов должно быть обнаружено с помощью разрабатываемой системы по регулярному поступлению на определенный IP-адрес пакетов с запросами, содержащими последовательный перебор портов назначения.
Заключение
Анализ существующих систем безопасности показывает, что доступные коммерческие системы обнаружения атак не способны обеспечить эффективную защиту КС. Существует множество нерешенных на данный момент проблем, сдерживающих интенсивное развитие и массовое внедрение систем обнаружения вторжения.
Системы обеспечения безопасности различных производителей используют разные протоколы обмена сообщениями и управляющей информацией, поскольку не существует ни международных, ни де-факто стандартов для систем защиты сетевых ресурсов.
Системы обнаружения вторжений на основе высокоскоростных аппаратных датчиков чрезвычайно дороги (требуется большое количество датчиков, изготовленных на заказ, да еще с необходимостью конфигурирования каждого датчика в отдельности).
Существует тенденция разработки систем обнаружения вторжений с большим количеством датчиков и агентов для установки «внутри» локальных сетей, однако высокая сложность соединений в глобальных сетях, рост размеров сетей подчеркивают перспективность разработки систем работающих именно на границах сетей.
Коммерческие системы, будучи полностью закрытыми для пользователей, не позволяют добавлять собственные сценарии для борьбы с новыми типами атак, чем сильно огранивают свои возможности.
С учетом вышесказанного, на этапе разработки подсистемы обеспечения безопасности КС должно быть выполнено следующее:
· создать базу данных со сценариями поведения сетевого трафика (база шаблонов) для рассмотренного выше набора типовых атак;
· разработать систему кэширования сетевого трафика с последующим анализом по шаблонам сетевых атак;
· разработать комплекс методов противодействия сетевым атакам в режиме реального времени, основанных на принципе «свой-чужой».
Следует отметить важную особенность разрабатываемого подхода: несмотря на то, что система защиты КС устанавливается на компьютере-маршрутизаторе, т.е. на границе между подсетями, она не является аналогом firewallа, а значит не препятствует функционированию распределенных сетевых приложений. В этой связи появляется возможность применения такого подхода в GRID-технологиях, где защита на основе firewallа не может использоваться в принципе.
Литература
1. Лукацкий А.В. Обнаружение атак. - СПб.: БХВ-Петербург, 2001.
2. North Atlantic Treaty Organisation, Research and Technology Organisation, RTO Technical Report 49, Intrusion Detection: Generics and State-of-the-Art. Copyright RTO/NATO, 2002.
3. Материалы сайта http://www.hackzone.ru/
4. Олифер В. Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы.-СПб.: «Питер», 1999.
References
1.A.V. Lukatsky. Detection of attacks // Proceedings of the Spb, 2001/
5. North Atlantic Treaty Organisation, Research and Technology Organisation, RTO Technical Report 49, Intrusion Detection: Generics and State-of-the-Art. Copyright RTO/NATO, 2002.
2.Materials of site http://www.hackzone.ru/
3.V. G. Olifer, N.A Olifer. Computer network. Principles, technologies, protokols// Proceedings of the Spb, «Piter», 1999.