Засіб захисту від DOS-атак

Ще одна цікава загроза пов'язана з налаштуваннями автозапуску з CD приводу. У разі, коли включена опція автоматичного запуску диска у ОС сімейства Windows, автоматично виконується файл AUTORUN. INF, зміст якого заздалегідь невідомо.

П'яьа група містить найбільшу кількість погроз. У ній представлені загрози, які можуть бути реалізовані як при безпосередньому фізичному впливі (крадіжки, акти вандалізму і т. д.) так і віддалено.

Одним із прикладів таких загроз є дія так званого шкідливого ПЗ. Так само існують загрози, пов'язані з аналізом мережевого трафіку за допомогою спеціальних програм (sniffers). При реалізації цих загроз зловмисник може отримати несанкціонований доступ до конфіденційної інформації: e-mail, паролів (які в багатьох протоколах передаються по мережі у відкритому вигляді). Так само за допомогою мережевого трафіку зловмисник може отримати уявлення про внутрішню структуру мережі (використовувані IP адреси, топологію і т. д.), яке ПЗ використовується на машинах в мережі і т. д. Якщо зловмисник контролює мережевий пристрій (маршрутизатор, міст і т. д.) через який проходить трафік, то крім порушення конфіденційності інформації може бути присутнім порушення її цілісності.

Варто згадати загрози, пов'язані зі спуфінгом (spoofing). Прикладами таких загроз є ARP- і DNS-spoofing. Реалізація цих загроз дозволяє змінити маршрутизацію пакетів у локальних (ARP, DNS) і глобальних (DNS) мережах, в результаті чого зловмисник отримує можливість контролювати трафік атакованих систем. Так само існує загроза Web-spoofing. Вона полягає в тому, що зловмисник може імітувати будь-якої Web сайт шляхом реєстрації доменного імені зі схожою назвою, при цьому багато користувачів про це навіть не будуть здогадуватися. Наприклад, у компанії «Роги і копита Ukraine» є web сайт www. rogakopita. ua. Якщо користувачі не знають точного доменного імені? то багато хто з них почнуть пошук з www. rogakopita. com, за яким зловмисники можуть розмістити схожий сайт.

‒Загроза конфіденційності інформації полягає в тому, що інформація стає відомою тим сторонам інформаційної взаємодії, у яких немає прав на ознайомлення з цією інформацією. Прикладами реалізації такої загрози можуть бути:

‒перехоплення і аналіз мережевого трафіку за допомогою спеціалізованого програмного забезпечення. Таке ПЗ називається сніффером;

‒криптоаналіз зашифрованих даних;

‒несанкціонований доступ до даних, що знаходяться в різних пристроях зберігання даних (на жорсткому диску, в ОЗУ, flash і т. д). Загрози порушення цілісності інформації включають в себе несанкціоновані зміни або видалення даних, які обробляються в інформаційній системі. Прикладами реалізації такої загрози можуть бути:

‒модифікація трафіку, що проходить через хост атакуючого, або за допомогою спеціалізованого ПЗ;

‒модифікація файлів інших користувачів, що зберігаються на спільному дисковому просторі.

Загрози порушення автентичності полягають в тому, що в результаті проведення деяких дій користувач або процес видає себе за іншого користувача і має можливість скористатися чужими правами і привілеями. Прикладами реалізації такої загрози є:

‒нав'язування хибних мережевих адрес (ARP-spoofing) і доменних імен (DNS-spoofing), відповідно, може здійснюватися на мережевому і транспортному рівнях моделі OSI;

‒класична атака типу людина посередині (Man in the middle). Полягає в тому, що зловмисник непомітно впроваджується в канал зв'язку між двома абонентами і отримує повний контроль над інформацією (модифікація, видалення, створення дезінформації), якою обмінюються сторони. При цьому він залишається абсолютно невидимим для абонентів.

Загрози порушення спостережливості полягають в тому, що в результаті деяких дій зловмисника стає неможливим фіксування діяльності користувачів і процесів, використання пасивних об'єктів, а так само однозначно встановлювлення ідентифікаторів причетних до конкретних подій користувачів і процесів. Прикладами реалізації таких атак може бути:

‒очищення журналів аудиту;

‒відключення системи аудиту;

‒переповнення журналу аудиту, в результаті чого, записи про деякі події видаляються;

‒зараження системи rootkit'ом.

Загрози порушення доступності ресурсів полягають в проведенні деяких дій, в результаті яких блокується доступ до деякого ресурсу інформаційної системи з боку легальних користувачів. Прикладами реалізації таких загроз можуть бути:

‒завантаження ресурсів сервера фіктивними запитами зловмисника, в результаті чого запити від легальних користувачів не можуть бути оброблені.

‒обрив каналу зв'язку, між взаємодіючими сторонами

Атаки, що реалізують такі загрози, називаються DoS (Denial of Service) атаками.

 

 

В сучасному світі з кожним днем збільшується використання комп'ютерів та комп'ютерних мереж. Все більш розповсюдженими є як мобільні пристрої – телефони та планшети, так і розумна побутова електроніка – телевізори, холодильники, сучасні ігрові приставки. Однією з найбільш розповсюджених загроз є атака на відмову в обслуговуванні. Ця атака унеможливлює роботу системи, частково або повністю блокує необхідні користувачу ресурси та послуги.

Атаки на відмову в обслуговуванні можна поділити на 2 великі групи – власне Denial-of-Service-атаки та Distributed-Denial-of-Service-атаки. Остання характеризується використанням декількох мережевих вузлів для реалізації атаки, зазвичай достатньо велика кількість, що значно утруднює виявлення такої атаки та захист від неї.

Для полегшення виявлення та захисту від подібних атак необхідно мати чітку класифікацію за різними критеріями. На даний момент існує велика кількість класифікацій DoS-атак, базовою з яких вважається класифікація «Taxomony of DoS attacks» [2], проте такої, яка б дозволила максимально охопити всі сучасні особливості проведення DoS-атак, з можливістю