Введение
Широкое распространение стека протоколов ТСР/IP и использование технологий Intranet обнажило слабые стороны IP-сетей. Создавая свое детище, архитекторы стека ТСР/IP не видели причин особенно беспокоиться о защите сетей, которые строятся на его основе. Они и не допускали, что когда-нибудь отсутствие эффективных средств защиты станет основным фактором, сдерживающим применение протоколов ТСР/IP.
Остановимся на более детальном рассмотрении важных проблем недостаточной информационной безопасности протоколов ТСР/IP, IP- сетей и служб Internet. Эти изъяны являются "врожденными" практически для всех протоколов стека ТСР/IP и служб Internet. Большая часть этих проблем связана с исторической зависимостью Internet от операционной системы UNIX. Сеть ARPANET строилась как сеть, которая связывает исследовательские центры, научные, военные и правительственные учреждения, большие университеты США. Эти структуры использовали операционную систему UNIX в качестве платформы для коммуникаций и решения собственных заданий. Поэтому особенности методологии программирования в среде UNIX и его архитектура наложили отпечаток на реализацию протоколов обмена ТСР/IP и политики безопасности в сети. Через открытость и распространенность система UNIX оказалась любимой добычей хакеров. Тому не удивительно, что и набор протоколов TCP/IP имеет "прирожденные" недостатки защиты.
На практике ІР-сети уязвимы для ряда способов несанкционированного вторжения в процесс обмена данными. По мере развития компьютерных и сетевых технологий список возможных типов сетевых атак на ІР-сети постоянно расширяется. Сегодня наиболее распространенными являются следующие варианты атак:
Подслушивание. Большинство данных передаются по компьютерным сетям в незащищенном формате (открытым текстом), что позволяет злоумышленнику, который получил доступ к линиям передачи информации вашей сети, подслушивать или считывать траффик. Подслушивание в компьютерных сетях называется слежкой (sniffing). Если не использовать служб, которые обеспечивают стойкую шифровку, то данные, которые передаются по сети, будут доступны для чтения. Для подслушивания в сетях могут использоваться так называемые, снифферы пакетов. Сниффер пакетов является прикладной программой, которая перехватывает все сетевые пакеты, которые передаются через определенный домен. Некоторые сетевые дополнения передают данные в текстовом формате(Telnet, FTP, SMTP и так далее), и с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли).
Парольные атаки. Хакеры могут проводить парольные атаки с помощью целого ряда методов, таких, как IP-спуффинг и сниффинг пакетов, атака полного перебора (brute force attack), "троянский конь". Перехват паролей и имен пользователей, которые передаются по сети в незашифрованной форме, путем "подслушивания" канала (password sniffing) создает большую опасность, поскольку пользователи часто применяют один и тот же логин и пароль для огромного количества дополнений и систем. Многие пользователи вообще имеют один пароль для доступа ко всем ресурсам. Если дополнение работает в режиме "клиент-сервер", а аутентификационные данные передаются по сети в текстовом формате, эту информацию с большой достоверностью можно использовать для доступа к другим корпоративным или внешним ресурсам. Хотя логин и пароль часто можно получить с помощью IP-спуффинга и сниффинга пакетов, хакеры часто пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Часто для атаки полного перебора используется специальная программа, которая дает возможность получить доступ к ресурсу общего пользования (например, к серверу). В результате хакер допускается к ресурсам на правах обычного пользователя, пароль которого был подобран. Если этот пользователь имеет значительные привилегии доступа, хакер может создать себе "проход" для будущего доступа.
"Атаки на отказ". Типичный сценарий атаки на отказ заключается в следующем: нападающий инициирует начало атаки, после чего одно или несколько источников атаки начинают посылать злоумышленные пакеты через сеть Интернет, который приводит к блокированию услуги для клиентов. Как правило при атаке нападающий не использует свой собственный компьютер, потому источники атаки, в действительности, являются агентами - машинами третьих лиц, которые были взяты под контроль атакующим. Атака может блокировать ключевой ресурс путем использования определенных слабостей в программном обеспечении жертвы (атаки уязвимости - vulnerability attacks) или путем пересылки больших объемов траффика, который жертва должна обрабатывать (атаки переполнения - flooding attacks). Атаки уязвимости обычно используют пакеты специального типа или содержания для использования конкретных уязвимостей. Как правило для успешного использования уязвимости достаточно нескольких пакетов, потому такие атаки имеют низкий объем траффика. Эти два свойства (специальный вид пакетов и низкие объемы) упрощают противодействие таким атакам. Во-первых, уязвимости можно исправлять регулярным обновлением версий программного обеспечения. Во-вторых, специальные типы пакетов можно отлавливать и обрабатывать отдельно. При атаке переполнения происходит перегрузка ресурсов жертвы большими объемами. С такой атакой тяжелее бороться, поскольку пакеты могут быть любого типа, а большой объем траффика мешает детальному анализу частот. Если в атаке на отказ принимает участие одна машина, то наилучшим решением будет обустроить машину жертвы дополнительными ресурсами. В этом случае атакующему будет сложно найти машину с достаточными возможностями для перегрузки компьютера жертвы.
Распределенные атаки на отказ
Распределенная атака на отказ(Distributed denial - of - service(DDoS)) это атака на отказ, который реализуется из нескольких подконтрольных машин (агентов). При наиболее распространенном сценарии все машины, задействованные в схеме одновременно начинают посылать пакеты жертве с максимальной интенсивностью. Большое количество агентов позволяет быстро загрузить ресурсы жертвы как основные так и резервные. Типичная DDoS атака состоит из двух этапов. На первом этапе происходит поиск уязвимых систем в сети Интернет и установление на них инструментов атаки. Этот этап также известен как превращение компьютеров на "зомби". На втором этапе атакующий дает команду своим "зомби" через защищенный канал на осуществление атаки против выбранной жертвы. Заметим, что пакеты трафика атаки могут использовать фальшивую IP адрес источника, чтобы усложнить для жертвы идентификацию атакующих компьютеров. Количество управляемых агентов при осуществлении распределенной атаки на отказ может колебаться от нескольких десятков до 100000 скомпроментированних машин. Ярким примером такой атаки было распространение черва "Code Red", который захватывал машины через эксплойт в сервере Microsoft's IIS, чтобы через определенное время начать атаку на отказ сайту Белого Дома. Анализ этого события показал, что существует несколько особенностей, присущих только распределенным атакам на отказ. Во-первых, объем трафика распределенной атаки может достигать 10 Гигабит в секунду, которая может загрузить возможности большинства корпоративных Интернет соединений. Во-вторых, при распределенной атаке пакеты приходят из многих источников, которые географически разнесены. Это значительно усложняет отслеживание IP адресов. В-третьих, трафик от каждого источника может не сильно отличаться от обычного трафика. Таким образом, трафик распределенной атаки может казаться полностью "законным", что существенно усложняет задачу фильтрования фальшивых пакетов без вреда обычным пользователям. Собственно, атаки такого типа подобны скоплению (flash crowd), которое возникает когда большое количество обычных пользователей обращается к серверу одновременно. Как правило для успешной распределенной атаки нужно большое количество источников трафика (несколько тысяч). К сожалению, в наше время создания такой армии подконтрольных агентов достаточно простое учитывая автоматизированные хакерские инструменты, которые легко можно найти в сети.