 Автор статьи - заместитель директора по маркетингу НИП "ИНФОРМЗАЩИТА" анализирует виды сетевых атак, разбирает в подробностях механизм действий компьютерного злоумышленника и даёт ряд ценных советов, как постараться избежать атак. ВведениеДо сих пор нет точного определения термина "атака" (вторжение, нападение). Каждый специалист в области безопасности трактует его по-своему. Например, "вторжение - это любое действие, переводящее систему из безопасного состояния в опасное". Данный термин может трактоваться и так: "вторжение - это любое нарушение политики безопасности" или "любое действие, приводящее к нарушению целостности, конфиденциальности и доступности системы и информации, в ней обрабатываемой". Однако я считаю более правильным применение нижеприведенного термина, которое тесно увязано с термином "уязвимость". Атакой (attack, intrusion) на информационную систему (ИС) называется действие или последовательность связанных между собой действий нарушителя, которые приводят к реализации угрозы путем использования уязвимостей этой информационной системы.
Т. е. можно видеть, что если бы можно было устранить уязвимости ИС, то, тем самым, мы устранили бы и возможность реализации атак. На сегодняшний день неизвестно, сколько существует методов атак. Связано это в первую очередь с тем, что до сих пор отсутствуют какие-либо серьезные математические исследования в этой области. Из близких к этой области исследований можно привести работу, написанную в 1996 году Фредом Коэном, в которой описывались математические основы вирусной технологии. Как один из результатов этой работы было приведено доказательство бесконечности числа вирусов. Эти же результаты можно перенести и на область атак, поскольку вирусы - это нечто иное, как одно из подмножеств атак. Модели атакТрадиционная модель атаки строится по принципу "один к одному" (Рис.1.) или "один ко многим" (Рис.2.), т. е. атака исходит из одного источника. Разработчики сетевых средств защиты (межсетевых экранов, систем обнаружения атак и т. д.) ориентированы именно на традиционную модель атаки. В различных точках защищаемой сети устанавливаются агенты (сенсоры) системы защиты, которые передают информацию на центральную консоль управления. Это облегчает масштабирование системы, простоту удаленного управления и т. д. Однако такая модель не справляется с относительно недавно (в 1998 году) обнаруженной угрозой - распределенными атаками. Рисунок 1. Отношение "один к одному"Рисунок 2. Отношение "один ко многим"В модели распределенной или скоординированной (distributed или coordinated attack) атаки используются иные принципы. В отличие от традиционной модели, использующей отношения "один к одному" и "один ко многим", в распределенной модели используются отношения "много к одному" и "много ко многим" (рис.3 и 4 соответственно).Рисунок 3. Отношение "многие к одному"Рисунок 4. Отношение "многие ко многим"Распределенные атаки основаны на "классических" атаках типа "отказ в обслуживании", которые будут рассмотрены ниже, а точнее на их подмножестве, известном как Flood - или Storm-атаки (указанные термины можно перевести как "шторм", "наводнение" или "лавина"). Смысл данных атак заключается в посылке большого количества пакетов на заданный узел или сегмент сети (цель атаки), что может привести к выведению этого узла или сегмента из строя, поскольку он "захлебнется" в лавине посылаемых пакетов и не сможет обрабатывать запросы авторизованных пользователей. По такому принципу работают атаки SYN-Flood, Smurf, UDP Flood, Targa3 и т. д. Однако в том случае, если пропускная способность канала до цели атаки превышает пропускную способность атакующего или целевой узел некорректно сконфигурирован, то к "успеху" такая атака не приведет. Например, с помощью этих атак бесполезно пытаться нарушить работоспособность своего провайдера. В случае же распределенной атаки ситуация коренным образом меняется. Атака происходит уже не из одной точки Internet, а сразу из нескольких, что приводит к резкому возрастанию трафика и выведению атакуемого узла из строя. Например, по данным России-Онлайн в течение двух суток, начиная с 9 часов утра 28 декабря 2000 г. крупнейший Internet-провайдер Армении "Арминко" подвергался распределенной атаке. В данном случае к атаке подключились более 50 машин из разных стран, которые посылали по адресу "Арминко" бессмысленные сообщения. Кто организовал эту атаку, и в какой стране находился хакер - установить было невозможно. Хотя атаке подвергся в основном "Арминко", перегруженной оказалась вся магистраль, соединяющая Армению с всемирной паутиной. 30 декабря благодаря сотрудничеству "Арминко" и другого провайдера - "АрменТел" - связь была полностью восстановлена. Несмотря на это компьютерная атака продолжалась, но с меньшей интенсивностью.
|