←предыдущая следующая→
1 2 3 4 5
уязвимых к тому или иному конкретному виду атаки;
В 1998 году NIST (http://csrc.nist.gov/) проанализировал 237 компьютерных атак, информация о которых была опубликована в Интернет. Этот анализ дал следующую статистику:
Вывод: Не стоит считать опасной только Unix. Сейчас наступило время атак типа "укажи и кликни". Доступность в сети программ для взлома позволяет пользоваться ими даже ничего не знающими людьми. В будущем, вероятно, этот процент будет расти.
Вывод: атаки, в ходе которых атакующий получает неавторизованный доступ к удаленным хостам не так уж редки.
Вывод: поиск информации в WWW больше не является полностью безопасным занятием.
Вывод: Имеется много средств автоматического сканирования, с помощью которых могут быть скомпрометированы хосты. Системные администраторы должны регулярно сканировать свои системы (а не то это сделает кто-то другой).
Урок: сами компоненты инфраструктуры Интернета уязвимы к атакам (правда, большинством этих атак были атаки удаленного блокирования компьютеров и сканирования, и только небольшая часть из них были удаленным проникновением в компьютеры.)
Согласно опросу за 1999 год Института Компьютерной Безопасности и ФБР о компьютерных преступлениях, 57% опрошенных организаций сообщили, что считают соединения их сетей с Интернет "местом, откуда часто организуются атаки". 30% опрошенных сообщило, что имели место случаи проникновения в их сети, а 26% сказали, что в ходе атак происходила кража конфиденциальной информации. Федеральный центр по борьбе с компьютерными преступлениями в США – FedCIRC (http://www.fedcirc.gov) сообщил, что в 1998 году атакам подверглось около 130000 государственных сетей с 1100000 компьютерами.
Одним из способов получения паролей и идентификаторов пользователей в сети Internet является анализ сетевого трафика. Сетевой анализ осуществляется с помощью специальной пpогpаммы-анализатоpа пакетов (sniffer), перехватывающей все пакеты, передаваемые по сегменту сети, и выделяющей среди них те, в которых передаются идентификатор пользователя и его пароль.
Во многих протоколах данные передаются в открытом, незашифрованном виде. Анализ сетевого трафика позволяет перехватывать данные, передаваемые по протоколам FTP и TELNET (пароли и идентификаторы пользователей), HTTP (передача гипертекста между WEB-сервером и браузером, в том числе и вводимые пользователем в формы на web-страницах данные), SMTP, POP3, IMAP, NNTP (электронная почта и конференции) и IRC (online-разговоры, chat). Так могут быть перехвачены пароли для доступа к почтовым системам с web-интерфейсом, номера кредитных карт при работе с системами электронной коммерции и различная информация личного характера, разглашение которой нежелательно.
В настоящее время разработаны различные протоколы обмена, позволяющие защитить сетевое соединение и зашифровать трафик (например, протоколы SSL и TLS, SKIP, S-HTTP и т.п.). К сожалению, они ещё не сменили старые протоколы и не стали стандартом для каждого пользователя. В определённой степени их распространению помешали существующие в ряде стран ограничения на экспорт средств сильной криптографии. Из-за этого реализации данных протоколов либо не встраивались в программное обеспечение, либо значительно ослаблялись (ограничивалась максимальная длина ключа), что приводило к практической бесполезности их, так как шифры могли быть вскрыты за приемлемое время.
Для адресации IP-пакетов в сети Internet кроме IP-адреса хоста необходим еще либо Ethernet-адрес его сетевого адаптера (в случае адресации внутри одной подсети), либо Ethernet-адрес маршрутизатора (в случае межсетевой адресации). Первоначально хост может не иметь информации о Ethernet-адресах других хостов, находящихся с ним в одном сегменте, в том числе и о Ethernet-адресе маршрутизатора. Следовательно, перед хостом встает стандартная проблема, решаемая с помощью алгоритма удаленного поиска.
В сети Internet для решения этой проблемы используется протокол ARP (Address Resolution Protocol). Протокол ARP позволяет получить взаимно однозначное соответствие IP- и Ethernet-адресов для хостов, находящихся внутри одного сегмента. Этот протокол работает следующим образом: при первом обращении к сетевому ресурсу хост отправляет широковещательный ARP-запрос, в котором указывает IP-адрес нужного ресурса (маршрутизатора или хоста) и просит сообщить его Ethernet-адрес. Этот запрос получают все станции в данном сегменте сети, в том числе и та, адрес которой ищется. Получив этот запрос, хост вносит запись о запросившей станции в свою ARP-таблицу, а затем отправляет на запросивший хост ARP-ответ со своим Ethernet-адресом. Полученный в ARP-ответе Ethernet-адрес заносится в ARP-таблицу, находящуюся в памяти ОС на запросившем хосте.
Из-за использования в РВС алгоритмов удаленного поиска, существует возможность осуществления в такой сети типовой удаленной атаки "Ложный объект РВС"
Общая схема этой атаки такова:
Самое простое решение по ликвидации данной атаки – создание сетевым администратором статической ARP-таблицы в виде файла, куда вносится информация об адресах, и установка этого файла на каждый хост внутри сегмента.
Как известно, для обращения к хостам в сети Internet используются 32-разрядные IP-адреса, уникально идентифицирующие каждый сетевой компьютер. Но для пользователей применение IP-адресов при обращении к хостам является не слишком удобным и далеко не самым наглядным. Поэтому для их удобства было принято решение присвоить всем компьютерам в Сети имена, что в свою очередь потребовало преобразования этих имён в IP-адреса, так как на сетевом уровне адресация пакетов идёт не по именам, а по IP-адресам.
Первоначально, когда в сети Internet было мало компьютеров, для решения проблемы преобразования
←предыдущая следующая→
1 2 3 4 5
|
|