Категории атак. Виды сетевых атак

Я немного рассказал кто такие хакеры, а в этой статье хочу продолжить данную тему и написать о видах хакерских атак и дать рекомендации по их предотвращению.

Атакой (attack) на информационную систему называется действие или последовательность связанных между собой действий нарушителя, которые приводят к реализации угрозы путем использования уязвимостей этой информационной системы. Приступим к изучению атак:

Fishing

Fishing (или Фишинг). Смысл его в том, чтобы получить от пользователей информацию (пароли, номера кредитных карт и т.д.) или деньги. Этот приём направлен не на одного пользователя, а на многих. Например, письма якобы от службы технической поддержки рассылаются всем известным клиентам какого-либо банка. В письмах обычно содержится просьба выслать пароль к учётной записи, якобы из-за проведения каких-либо технических работ. Подобные письма, обычно очень правдоподобно и грамотно составлены, что, возможно, подкупает доверчивых пользователей.

Подробнее о фишинге можете узнать в статье “ “.

Рекомендации: Паранойя – лучшая защита. Не доверяйте ничему подозрительному, никому не давайте свои данные. Администраторам не нужно знать Ваш пароль, если он предназначен для доступа к их серверу. Они полностью управляют сервером и могут сами посмотреть пароль или изменить его.

Социальная инженерия

Социальная инженерия – это не технический, а психологический приём. Пользуясь данными, полученными при инвентаризации, взломщик может позвонить какому-либо пользователю (например, корпоративной сети) от имени администратора и попытаться узнать у него, например, пароль. Это становится возможным, когда в больших сетях, пользователи не знают всех работников, и тем более не всегда могут точно узнать их по телефону. Кроме этого, используются сложные психологические приёмы, поэтому шанс на успех сильно возрастает.

Рекомендации: те же самые. Если действительно есть необходимость, то сообщите нужные данные лично. Если Вы записали пароль на бумаге, не оставляйте её где попало и по возможности уничтожайте, а не просто выбрасывайте в мусорную корзину.

DoS

DoS (Denial of Service или Отказ от Обслуживания). Это не отдельная атака, а результат атаки; используется для вывода системы или отдельных программ из строя. Для этого взломщик особым образом формирует запрос к какой-либо программе, после чего она перестаёт функционировать. Требуется перезагрузка, чтобы вернуть рабочее состояние программы.

Smurf

Smurf (атака, направленная на ошибки реализации TCP-IP протокола). Сейчас этот вид атаки считается экзотикой, однако раньше, когда TCP-IP протокол был достаточно новым, в нём содержалось некоторое количество ошибок, которые позволяли, например, подменять IP адреса. Однако, этот тип атаки применяется до сих пор. Некоторые специалисты выделяют TCP Smurf, UDP Smurf, ICMP Smurf. Конечно, такое деление основано на типе пакетов.

UDP Storm

UDP Storm (UDP шторм) – используется в том случае, если на жертве открыто как минимум два UDP порта, каждый из которых отсылает отправителю какой-нибудь ответ. Например, порт 37 с сервером time на запрос отправляет текущую дату и время. Взломщик отправляет UDP пакет на один из портов жертвы, но в качестве отправителя указывает адрес жертвы и второй открытый UDP порт жертвы. Тогда порты начинают бесконечно отвечать друг другу, что снижает производительность. Шторм прекратится, как только один из пакетов пропадёт (например, из-за перегрузки ресурсов).

UDP Bomb

UDP Bomb – взломщик отправляет системе UDP пакет с некорректными полями служебных данных. Данные могут быть нарушены как угодно (например, некорректная длина полей, структура). Это может привести к аварийному завершению. Рекомендации: обновите ПО.

Mail Bombing

Mail Bombing («Почтовая бомбёжка»). Если на атакуемом компьютере есть почтовый сервер, то на него посылается огромное количество почтовых сообщений с целью вывода его из строя. Кроме того, такие сообщения сохраняются на жёстком диске сервера и могут переполнить его, что может вызвать DoS. Конечно, сейчас эта атака, скорее история, но в некоторых случаях всё же может быть использована. Рекомендации: грамотная настройка почтового сервера.

Sniffing

Sniffing (Сниффинг или прослушивание сети). В том случае, если вместо коммутаторов в сети установлены концентраторы, полученные пакеты рассылаются всем компьютерам в сети, а дальше уже компьютеры определяют для них этот пакет или нет.

Если взломщик получит доступ к компьютеру, который включен в такую сеть, или получит доступ к сети непосредственно, то вся информация, передаваемая в пределах сегмента сети, включая пароли, станет доступна. Взломщик просто поставит сетевую карту в режим прослушивания и будет принимать все пакеты независимо от того, ему ли они предназначались.

IP Hijack

IP Hijack (IP хайджек). Если есть физический доступ к сети, то взломщик может «врезаться» в сетевой кабель и выступить в качестве посредника при передаче пакетов, тем самым он будет слушать весь трафик между двумя компьютерами. Очень неудобный способ, который часто себя не оправдывает, за исключением случаев, когда никакой другой способ не может быть реализован. Подобное включение само по себе неудобно, хотя есть устройства, которые немного упрощают эту задачу, в частности они следят за нумерацией пакетов, чтобы избежать сбоя и возможного выявления вторжения в канал.

Dummy DNS Server

Dummy DNS Server (ложный DNS Сервер). Если настройки сети поставлены в автоматический режим, то при включении в сеть, компьютер «спрашивает» кто будет его DNS сервером, к которому он в дальнейшем будет отправлять DNS запросы. При наличии физического доступа к сети, взломщик может перехватить такой широковещательный запрос и ответить, что его компьютер будет DNS сервером. После этого он сможет отправлять обманутую жертву по любому маршруту. Например, жертва хочет пройти на сайт банка и перевести деньги, взломщик может отправить её на свой компьютер, где будет сфабрикована форма ввода пароля. После этого пароль будет принадлежать взломщику. Достаточно сложный способ, потому что взломщику необходимо ответить жертве раньше, чем DNS сервер.

IP-Spoofing

IP-Spoofing (Спуфинг или Подмена IP адреса). Атакующий подменяет свой реальный IP фиктивным. Это необходимо, если доступ к ресурсу имеют только определённые IP адреса. Взломщику нужно изменить свой реальный IP на «привилегированный» или «доверенный», чтобы получить доступ. Этот способ может быть использован по-другому. После того, как два компьютера установили между собой соединение, проверив пароли, взломщик может вызвать на жертве перегрузку сетевых ресурсов специально сгенерированными пакетами. Тем самым он может перенаправить трафик на себя и таким образом обойти процедуру аутентификации.

Рекомендации: угрозу снизит уменьшение времени ответного пакета с установленными флагами SYN и ACK, а также увеличить максимальное количество SYN-запросов на установление соединения в очереди (tcp_max_backlog). Так же можно использовать SYN-Cookies.

Software vulnerabilities

Software vulnerabilities (Ошибки ПО). Использование ошибок в программном обеспечении. Эффект может быть разный. От получения несущественной информации до получения полного контроля над системой. Атаки через ошибки ПО самые популярные во все времена. Старые ошибки исправляются новыми версиями, но в новых версиях появляются новые ошибки, которые опять могут быть использованы.

Вирусы

Самая известная простому пользователю проблема. Суть во внедрении вредоносной программы в компьютер пользователя. Последствия могут быть различны и зависят от вида вируса, которым заражён компьютер. Но в целом – от похищения информации до рассылки спама, организации DDoS атак, а так же получения полного контроля над компьютером. Помимо прикрепленного к письму файла, вирусы могут попасть в компьютер через некоторые уязвимости ОС.

Во время работы компьютерных систем часто возникают различные проблемы. Некоторые - по чьей-то оплошности, а некоторые являются результатом злоумышленных действий. В любом случае при этом наносится ущерб . Поэтому будем называть такие события атаками, независимо от причин их возникновения.

Существуют четыре основных категории атак:

• атаки доступа;
• атаки модификации;
• атаки на отказ в обслуживании;
• атаки на отказ от обязательств.

Давайте подробно рассмотрим каждую категорию. Существует множество способов выполнения атак: при помощи специально разработанных средств, методов социального инжиниринга, через уязвимые места компьютерных систем. При социальном инжиниринге для получения несанкционированного доступа к системе не используются технические средства. Злоумышленник получает информацию через обычный телефонный звонок или проникает внутрь организации под видом ее служащего. Атаки такого рода наиболее разрушительны.

Атаки, нацеленные на захват информации, хранящейся в электронном виде, имеют одну интересную особенность: информация не похищается, а копируется. Она остается у исходного владельца, но при этом ее получает и злоумышленник . Таким образом, владелец информации несет убытки, а обнаружить момент, когда это произошло, очень трудно.

Определение атаки доступа

Атака доступа - это попытка получения злоумышленником информации, для просмотра которой у него нет разрешений. Осуществление такой атаки возможно везде, где существует информация и средства для ее передачи (рис. 2.1). Атака доступа направлена на нарушение конфиденциальности информации.

Рис. 2.1.

Подсматривание

Подсматривание ( snooping ) - это просмотр файлов или документов для поиска интересующей злоумышленника информации. Если документы хранятся в виде распечаток, то злоумышленник будет вскрывать ящики стола и рыться в них. Если информация находится в компьютерной системе, то он будет просматривать файл за файлом, пока не найдет нужные сведения.

Подслушивание

Когда кто-то слушает разговор, участником которого он не является, это называется подслушиванием ( eavesdropping ). Для получения несанкционированного доступа к информации

Цель любой атаки – это устранение конкурента, отбирающего клиентов, ну или просто уникальных посетителей. Многие вебмастера не всегда используют для продвижения своего детища только «белые» методы. Не обходиться и без «черных». За счет продвижения черными методами, владелец компании или просто сайта продвигается в ТОП выдачи за счет уничтожения своих конкурентов.

Но самое страшно, что жертвой атаки могут стать ни в чем неповинные сайты, возможно даже те которые только недавно были созданы, такое может случиться, если атакуют весь сервер. Кстати говоря, это та самая причина по которой нужно покупать выделенный IP для своего сайта. И даже не смотря на то, что данные атаки караются по закону, большинство это не останавливает.

Защитить свой сайт на 100% нельзя. Если у злоумышленников имеется большой бюджет на это дело и сильное желание, то их вряд ли что-то может остановить.

Цели атак

Выделяют несколько основных целей:

— Кража паролей пользователей, доступ в закрытые разделы;

— «Уничтожение» сервера. Цель, довести до нерабочего состояния;

— Получить неограниченный доступ к серверу;

— Вживление в код ссылок, различных вирусов и прочего;

— Понижение сайта в поисковой выдаче до полного его выпадения.

Помимо выше перечисленного атаки делятся на внутренние и внешние. К внутренним можно отнести различные взломы для доступа к сайту или серверу, а к внешним , клевету или спам.

Вести борьбу с внутренними видами атак можно и довольно активно. Что же касается внешних, то тут все гораздо сложнее. Все дело в том, что владелец сервера не может взять ситуацию под контроль, что делает его очень уязвимым.

Виды атак

Ddos атака

Это самая, извиняюсь, поршивая разновидность. Следствием такой атаки будет являться полная остановка сервера, а может даже и нескольких серверов. Самое плохое заключается в том, что 100% полной защиты от DDoS не существует. Если атака не из слабых, то сервер будет находиться в нерабочем состоянии пока не будет прекращена атака.

Очередной характерной чертой DDoS-атак, является её доступность. Чтобы «завалить» сервер конкурента, не нужно быть в этом деле профи хакером. Для этого нужны всего лишь деньги или собственный ботнет (Ботнет- сеть зараженных компьетеров). А для слабенького ддоса хватит нескольких компьютеров.

Ddos – перевод данной аббревиатуры звучит как «распределенный отказ от обслуживания». Смысл атаки, заключается в одновременном, огромном обращении к серверу, которое происходит с многочисленных компьютеров.

Читайте также: Как определить время по солнцу

Как мы знаем у любого сервера есть максимальный предел нагрузки, и если эту нагрузку превысить, что и делает ддос-атака, то сервер «погибает».

Самое интересное, что в атаках участвуют обычные пользователи сети, сами того не зная. И чем больше новых юзеров в сети интернет, тем более армия ботнета, и как следствие сила атаки будет расти в геометрической прогрессии. Но сегодня хакеры перенаправили свои силы с ддос атак на мошеннические проделки для непосредственного заработка денег.

Мощность атак измеряется объемом трафика, направляемого на сервер конкурента в секунду. Атакам, объем трафика которых более нескольких ГБ/сек, противостоять очень сложно. Такой объем трафа очень сложно отфильтровать, практически невозможно. Такие мощные атаки, как правило не длятся долго, но даже и одни сутки простоя крупной компании может нанести серьезный ущерб в виде падения продаж и репутации.

Кстати атакуют не только отдельные сервера, а так же национальные сети, в результате чего отрубается сеть в целых регионах.

Для профилактики следует размещать свои сайты на серверах, на которых есть внушительный запас ресурсов, для того чтобы у вас было время принять меры.

В качестве простых методов против слабых атак можно порекомендовать:
— отдавать вместо главной страницы сайта (если атака идет на нее) страницу с редиректом. Так как ее размер намного меньше, то и нагрузка на сервер будет несравненно меньше; — если количество соединений с одного айпи превышает определенное число, заносить его в черный список;
— уменьшить число клиентов (MaxClients), одновременно подключенных к серверу;
— заблокировать зарубежный трафик, так как чаще всего атаки идут из стран Азии;

Нужно иметь отдельный независимый канал к серверу, через который можно будет получить к нему доступ в случае недоступности основного. Все серверное программное обеспечение нужно регулярно обновлять, ставить все выходящие патчи.

Некое подобие ддос-атаки могут спровоцировать поисковые или иные роботы, активно индексирующие сайт. Если движок сайта не оптимизирован, большое количество обращений к страницам за короткий промежуток времени вызовет слишком высокую нагрузку на сервер.

Взлом сервера и размещение ссылок или вирусов

Многие начинающие вебмастера обнаруживают скрытые ссылки на своих сайтах лишь тогда, когда эти ссылки уже привели к негативным последствиям – например, блокировка сайта хостером, выпадение из индекса поисковых систем, жалоба на домен. Тогда и обнаруживается, что сайт был взломан, и на нем размещены ссылки или с целью продвижения других ресурсов, или для распространения вирусов и троянов.

Читайте также: Как распознать взлом в социальной Сети

Есть вероятность, что был осуществлен взлом непосредственно сервера хостинга. Но в большинстве случаев подобные гадости на сайты попадают через дыры в движках сайта или как следствие халатности вебмастера при хранении паролей.

Скрытые ссылки являются одной из популярных причин санкций поисковиков, в частности, может быть значительная пессимизация (падение всех позиций на несколько сотен пунктов), выйти из-под которой будет крайне сложно. Если вставлены будут не просто ссылки, а код вируса, то хостер может просто удалить сайт без предупреждения. Ресурс и его айпи-адрес могут также попасть в черные списка сомнительной (если не сказать мошеннической) конторы Спамхаус, что означает конец, так как выйти оттуда практически невозможно.

Профилактика простая – следить за обновлениями движков, устанавливать все новые версии и выходящие регулярные дополнения. А пароли просто не хранить у себя на компьютере в открытом виде. Это же касается и всего серверного программного обеспечения.

Определенную опасность представляет предсказуемые названия служебных папок и файлов. (Predictable Resource Location). Путем простого перебора хакер определит их нахождение – и у него будет преимущество. Тут стоит пожертвовать удобством ради безопасности.

SQL-инъекция

Исполнение злоумышленником sql-запроса на чужом сервере, используя уязвимости движков, несовершенство программного кода. Суть бреши безопасности заключается в том, что в GET-параметре можно передать произвольный sql-запрос. Поэтому все строковые параметры необходимо экранировать (mysql_real_escape_string) и обрамлять кавычками.

Использовав инъекцию, хакер может совершить практически любое действие с базой данных – удалить ее, получить доступ к пользовательским данным и паролям и т. п.

Суть XSS-атаки заключается во внедрении в страницу, которая генерируется скриптом, произвольного кода. Это работает, если переменная, передаваемая в адресе страницы, не проверяется на присутствие в ней символов типа кавычек.

Основная опасность – кража cookies, и, следовательно, получение доступа к аккаунтам пользователей. Также хакер может получить информацию о системе посетителя, об истории посещенных сайтов и т. п. Внедрить также можно не только java-скрипт, а и ссылку на php-скрипт, размещенный на стороннем сервере, что намного опаснее.

Одно время этот метод применялся в «черном» СЕО для получения бесплатных ссылок. Владельцам сайтов это не особо вредило.

Спам с адресом сайта и реквизитами

Метод, по большому счету, безобидный, но тут опять же вступает вышеупомянутый Спамхаус. Буквально по одной жалобе сайт и его айпи могут быть занесены в черный список, и хостер будет вынужден отказать в обслуживании. А разослать несколько сотен тысяч писем с адресом любого сайта стоит копейки. Спамить также могут форумы, комментарии и т. п., и крайне сложно будет доказать, что этим занимались конкуренты.

В настоящее время DDoS — один из наиболее доступных и распространенных видов сетевых атак. Несколько недель назад были опубликованы результаты исследований о распространенности DDoS, проведенных компаниями Arbor Networks, Verisign Inc.

Результаты исследований впечатляют:
Каждый день злоумышленники проводят более 2000 DDoS-атак;
Стоимость недельной атаки на средней величины ЦОД составляет всего 150 долларов США;
Более половины участников опроса испытывали проблемы из-за DDoS;
Десятая часть участников опроса ответила, что их компании страдали от DDoS-атак более шести раз за год;
Около половины компаний испытывали проблемы из-за DDoS, время средней атаки — около 5 часов;
Атаки такого типа являются одной из основных причин остановки и простоя серверов.

Основные виды DDoS-атак

В общем-то, разновидностей DDoS довольно много, и ниже мы постарались перечислить большинство типовых атак, с описанием принципа действия кажого типа атаки.

UDP флуд

Один из наиболее действенных, и в то же время, простых видов атак. Используется UDP протокол, где не требуется установление сессии с отправкой любого типа ответа. В случайном порядке злоумышленник атакует порты сервера, отсылая огромное количество пакетов данных. В результате машина начинает проверять, используется ли порт, на который приходит пакет, каким-либо приложением. А поскольку таких пакетов — масса, то машина любой мощности просто не справляется с задачей. Как результат — все ресурсы машины «съедены», и сервер «ложится».

Наиболее простой способ защиты от такого типа атак — это блокирование UDP трафика.

ICMP флуд

Злоумышленник постоянно пингует сервер жертвы, в ходе чего последний постоянно отдает ответы. Пингов огромное количество, и, как результат — съедаются ресурсы сервера, и машина становится недоступной.

В качестве меры защиты можно использовать блокировку ICMP-запросов, на уровне брандмауэра. К сожалению, в таком случае пинговать машину не получится по понятным причинам.

SYN флуд

В этом типе атаки используется отправка SYN-пакета серверу жертвы. Как результат — сервер отвечает пакетом SYN-ACK, а машина злоумышленника должна отправить ACK-ответ, но он не отправляется. Результат — открытие и подвисание огромного количества соединений, которые закрываются только по истечению таймаута.

При превышении граничного количества запросов/ответов сервер жертвы перестает принимать пакеты любого типа, и становится недоступным.

MAC флуд

Необычный тип атаки, в котором объектом становится сетевое оборудование многих типов. Злоумышленник начинает отправлять большое количество Ethernet-пакетов с совершенно различными MAC-адресами. Как результат — свитч начинает резервировать под каждый из пакетов определенное количество ресурсов, и если пакетов много, то свитч выделяет все доступные запросы, и подвисает. Худший вариант — сбой таблицы маршрутизации.

Ping of Death

Сейчас этот тип атак не является сколько-нибудь серьезной проблемой, хотя раньше это был распространенный вариант атаки. Смысл такого типа атаки — переполнение буфера памяти из-за превышения максимально доступного размера IP пакета, и как результат — отказ сервера и сетевого оборудования от обслуживания любого типа пакетов.

Slowloris

Сфокусированная атака такого типа позволяет малыми силами добиться крупных результатов. Другими словами, используя не самый мощный сервер, можно «положить» гораздо более производительное оборудование. При этом не требуется задействовать другие протоколы. При таком типе атак сервер злоумышленника открывает максимальное количество НТТР-соединений, и старается держать их открытыми также как можно дольше.

Само собой, количество подключений на сервере, подверженному атаке, заканчивается, и полезные запросы перестают приниматься и обрабатываться.

Отражённые атаки

Необычный тип атаки, когда сервер злоумышленника отправляет пакеты с фальшивым IP отправителя, причем отправка идет по максимально возможному количеству машин. Все затронутые такими действиями сервера отправляют ответ на укзанный в пакете IP, в результате чего получатель не справляется с нагрузкой и «подвисает». При этом производительность сервера атакующего может быть в 10 раз ниже планируемой мощности атаки. Сервер, рассылающий 100 Мбит/сек ложных запросов, может полностью положить гигабитный канал сервера жертвы.

Деградация

При таком типе атаки сервер злоумышленника симулирует действия реального человека или целой аудитории. Как пример самого простого варианта — можно отсылать запросы для одной и той же страницы ресурса, причем делать это тысячи раз. Наиболее простой способ решения проблемы — временное сообщение об ошибки с блокированием атакуемой страницы.

Более сложный тип атаки — запрос большого количества различных ресурсов сервера, включая медиафайлы, страницы и все прочее, в результате чего сервер жерты перестает работать.

Сложные атаки такого типа довольно сложно отфильтровать, как результат — приходится использовать специализированные программы и сервисы.

Атака нулевого дня

Так называют атаки, где используются неизвестные доселе уязвимости/слабые места сервиса. Для борьбы с проблемой необходимо изучить такой тип атаки, чтобы можно было что-то предпринять.

Вывод: наиболее сложным типом атаки являются комбинированные, где используются различные виды DDoS. Чем сложнее комбинация, тем сложнее от нее защититься. Общей проблемой для DDoS, вернее, для жертв DDoS, является общедоступность такого типа атак. В Сети есть большое количество приложений и сервисов, позволяющих бесплатно или почти бесплатно осуществлять мощнейшие атаки.