Главная » Настройка Wi-Fi

Виды компьютерных атак. Анализ существующих целей сетевых атак и способов атак на web-сервисы дудников е.а Виды атак

До сих пор нет точного определения термина "атака" (вторжение, нападение). Каждый специалист в области безопасности трактует его по-своему. Наиболее правильным и полным я считаю следующее определение.

Атакой на информационную систему называются преднамеренные действия злоумышленника, использующие уязвимости информационной системы и приводящие к нарушению доступности, целостности и конфиденциальности обрабатываемой информации.

Устраним уязвимости информационной системы - устраним и возможность реализации атак.

На сегодняшний день считается неизвестным, сколько существует методов атак. Говорят о том, что до сих пор отсутствуют какие-либо серьезные математические исследования в этой области. Но еще в 1996 году Фред Коэн описал математические основы вирусной технологии. В этой работе доказано, что число вирусов бесконечно. Очевидно, что и число атак бесконечно, поскольку вирусы - это подмножество множества атак.

Модели атак

Традиционная модель атаки строится по принципу (рис.1) или (рис.2), т.е. атака исходит из одного источника. Разработчики сетевых средств защиты (межсетевых экранов, систем обнаружения атак и т.д.) ориентированы именно на традиционную модель атаки. В различных точках защищаемой сети устанавливаются агенты (сенсоры) системы защиты, которые передают информацию на центральную консоль управления. Это облегчает масштабирование системы, обеспечивает простоту удаленного управления и т.д. Однако такая модель не справляется с относительно недавно (в 1998 году) обнаруженной угрозой - распределенными атаками.
Рисунок 1. Отношение "один к одному"

В модели распределенной атаки используются иные принципы. В отличие от традиционной модели в распределенной модели используются отношения (рис.3) и (рис.4).

Распределенные атаки основаны на "классических" атаках типа "отказ в обслуживании ", а точнее на их подмножестве, известном как Flood-атаки или Storm-атаки (указанные термины можно перевести как "шторм", "наводнение" или "лавина"). Смысл данных атак заключается в посылке большого количества пакетов на атакуемый узел. Атакуемый узел может выйти из строя, поскольку он "захлебнется" в лавине посылаемых пакетов и не сможет обрабатывать запросы авторизованных пользователей. По такому принципу работают атаки SYN-Flood, Smurf, UDP Flood, Targa3 и т.д. Однако в том случае, если пропускная способность канала до атакуемого узла превышает пропускную способность атакующего или атакуемый узел некорректно сконфигурирован, то к "успеху" такая атака не приведет. Например, с помощью этих атак бесполезно пытаться нарушить работоспособность своего провайдера. Но распределенная атака происходит уже не из одной точки Internet, а сразу из нескольких, что приводит к резкому возрастанию трафика и выведению атакуемого узла из строя. Например, по данным России-Онлайн в течение двух суток, начиная с 9 часов утра 28 декабря 2000 г. крупнейший Internet-провайдер Армении "Арминко" подвергался распределенной атаке. В данном случае к атаке подключились более 50 машин из разных стран, которые посылали по адресу "Арминко" бессмысленные сообщения. Кто организовал эту атаку, и в какой стране находился хакер - установить было невозможно. Хотя атаке подвергся в основном "Арминко", перегруженной оказалась вся магистраль, соединяющая Армению с всемирной паутиной. 30 декабря благодаря сотрудничеству "Арминко" и другого провайдера - "АрменТел" - связь была полностью восстановлена. Несмотря на это компьютерная атака продолжалась, но с меньшей интенсивностью.

Этапы реализации атак

Можно выделить следующие этапы реализации атаки:

Обычно, когда говорят об атаке, то подразумевают именно второй этап, забывая о первом и последнем. Сбор информации и завершение атаки ("заметание следов") в свою очередь также могут являться атакой и могут быть разделены на три этапа (см. рис.5).
Рисунок 5. Этапы реализации атаки

Cбор информации - это основной этап реализации атаки. Именно на данном этапе эффективность работы злоумышленника является залогом "успешности" атаки. Сначала выбирается цель атаки и собирается информация о ней (тип и версия операционной системы, открытые порты и запущенные сетевые сервисы, установленное системное и прикладное программное обеспечение и его конфигурация и т.д.). Затем идентифицируются наиболее уязвимые места атакуемой системы, воздействие на которые приводит к нужному злоумышленнику результату. Злоумышленник пытается выявить все каналы взаимодействия цели атаки с другими узлами. Это позволит не только выбрать тип реализуемой атаки, но и источник ее реализации. Например, атакуемый узел взаимодействует с двумя серверами под управлением ОС Unix и Windows NT. С одним сервером атакуемый узел имеет доверенные отношения, а с другим - нет. От того, через какой сервер злоумышленник будет реализовывать нападение, зависит, какая атака будет задействована, какое средство реализации будет выбрано и т.д. Затем, в зависимости от полученной информации и желаемого результата, выбирается атака, дающая наибольший эффект. Например:
SYN Flood, Teardrop, UDP Bomb - для нарушения функционирования узла;
CGI-скрипт - для проникновения на узел и кражи информации;
PHF - для кражи файла паролей и удаленного подбора пароля и т.п.

Традиционные средства защиты, такие как межсетевые экраны или механизмы фильтрации в маршрутизаторах, вступают в действие лишь на втором этапе реализации атаки, совершенно "забывая" о первом и третьем. Это приводит к тому, что зачастую совершаемую атаку очень трудно остановить даже при наличии мощных и дорогих средств защиты. Пример тому - распределенные атаки. Логично было бы, чтобы средства защиты начинали работать еще на первом этапе, т.е. предотвращали бы возможность сбора информации об атакуемой системе. Это позволило бы если и не полностью предотвратить атаку, то хотя бы существенно усложнить работу злоумышленника. Традиционные средства также не позволяют обнаружить уже совершенные атаки и оценить ущерб после их реализации, т.е. не работают на третьем этапе реализации атаки. Следовательно, невозможно определить меры по предотвращению таких атак впредь.

В зависимости от желаемого результата нарушитель концентрируется на том или ином этапе реализации атаки. Например:
для отказа в обслуживании подробно анализируется атакуемая сеть, в ней выискиваются лазейки и слабые места;
для хищения информации основное внимание уделяется незаметному проникновению на атакуемые узлы при помощи обнаруженных ранее уязвимостей.

Рассмотрим основные механизмы реализации атак. Это необходимо для понимания методов обнаружения этих атак. Кроме того, понимание принципов действий злоумышленников - залог успешной обороны сети.

1. Сбор информации

Первый этап реализации атак - это сбор информации об атакуемой системе или узле. Он включает такие действия как определение сетевой топологии, типа и версии операционной системы атакуемого узла, а также доступных сетевых и иных сервисов и т.п. Эти действия реализуются различными методами.

Изучение окружения

На этом этапе нападающий исследует сетевое окружение вокруг предполагаемой цели атаки. К таким областям, например, относятся узлы Internet-провайдера "жертвы" или узлы удаленного офиса атакуемой компании. На этом этапе злоумышленник может пытаться определить адреса "доверенных" систем (например, сеть партнера) и узлов, которые напрямую соединены с целью атаки (например, маршрутизатор ISP) и т.д. Такие действия достаточно трудно обнаружить, поскольку они выполняются в течение достаточно длительного периода времени и снаружи области, контролируемой средствами защиты (межсетевыми экранами, системами обнаружения атак и т.п.).

Идентификация топологии сети

Существует два основных метода определения топологии сети, используемых злоумышленниками:

  1. изменение TTL (TTL modulation),
  2. запись маршрута (record route).

По первому методу работают программы traceroute для Unix и tracert для Windows. Они используют поле Time to Live ("время жизни") в заголовке IP-пакета, которое изменяется в зависимости от числа пройденных сетевым пакетом маршрутизаторов. Для записи маршрута ICMP-пакета может быть использована утилита ping . Зачастую сетевую топологию можно выяснить при помощи протокола SNMP, установленного на многих сетевых устройствах, защита которых неверно сконфигурирована. При помощи протокола RIP можно попытаться получить информацию о таблице маршрутизации в сети и т.д.

Многие из этих методов используются современными системами управления (например, HP OpenView, Cabletron SPECTRUM, MS Visio и т.д.) для построения карт сети. И эти же методы могут быть с успехом применены злоумышленниками для построения карты атакуемой сети.

Идентификация узлов

Идентификация узла, как правило, осуществляется путем посылки при помощи утилиты ping команды ECHO_REQUEST протокола ICMP. Ответное сообщение ECHO_REPLY говорит о том, что узел доступен. Существуют свободно распространяемые программы, которые автоматизируют и ускоряют процесс параллельной идентификации большого числа узлов, например, fping или nmap. Опасность данного метода в том, что стандартными средствами узла запросы ECHO_REQUEST не фиксируются. Для этого необходимо применять средства анализа трафика, межсетевые экраны или системы обнаружения атак.

Это самый простой метод идентификации узлов. Однако он имеет два недостатка.

  1. Многие сетевые устройства и программы блокируют ICMP-пакеты и не пропускают их во внутреннюю сеть (или наоборот не пропускают их наружу). Например, MS Proxy Server 2.0 не разрешает прохождение пакетов по протоколу ICMP. В результате возникает неполная картина. С другой стороны, блокировка ICMP-пакета говорит злоумышленнику о наличии "первой линии обороны" - маршрутизаторов, межсетевых экранов и т.д.
  2. Использование ICMP-запросов позволяет с легкостью обнаружить их источник, что, разумеется, не может входить в задачу злоумышленника.

Существует еще один метод идентификации узлов - использование "смешанного" режима сетевой карты, который позволяет определить различные узлы в сегменте сети. Но он не применим в тех случаях, в которых трафик сегмента сети недоступен нападающему со своего узла, т.е. этот метод применим только в локальных сетях. Другим способом идентификации узлов сети является так называемая разведка DNS, которая позволяет идентифицировать узлы корпоративной сети при помощи обращения к серверу службы имен.

Идентификация сервисов или сканирование портов

Идентификация сервисов, как правило, осуществляется путем обнаружения открытых портов (port scanning). Такие порты очень часто связаны с сервисами, основанными на протоколах TCP или UDP. Например:

  • открытый 80-й порт подразумевает наличие Web-сервера,
  • 25-й порт - почтового SMTP-сервера,
  • 31337-й - серверной части троянского коня BackOrifice,
  • 12345-й или 12346-й - серверной части троянского коня NetBus и т.д.
Для идентификации сервисов и сканирования портов могут быть использованы различные программы, в т.ч. и свободно распространяемые. Например, nmap или netcat.

Идентификация операционной системы

Основной механизм удаленного определения ОС - анализ ответов на запросы, учитывающие различные реализации TCP/IP-стека в различных операционных системах. В каждой ОС по-своему реализован стек протоколов TCP/IP, что позволяет при помощи специальных запросов и ответов на них определить, какая ОС установлена на удаленном узле.

Другой, менее эффективный и крайне ограниченный, способ идентификации ОС узлов - анализ сетевых сервисов, обнаруженных на предыдущем этапе. Например, открытый 139-й порт позволяет сделать вывод, что удаленный узел, вероятнее всего, работает под управлением ОС семейства Windows. Для определения ОС могут быть использованы различные программы. Например, nmap или queso.

Определение роли узла

Предпоследним шагом на этапе сбора информации об атакуемом узле является определение его роли, например, выполнении функций межсетевого экрана или Web-сервера. Выполняется этот шаг на основе уже собранной информации об активных сервисах, именах узлов, топологии сети и т.п. Например, открытый 80-й порт может указывать на наличие Web-сервера, блокировка ICMP-пакета указывает на потенциальное наличие межсетевого экрана, а DNS-имя узла proxy.domain.ru или fw.domain.ru говорит само за себя.

Определение уязвимостей узла

Последний шаг - поиск уязвимостей. На этом шаге злоумышленник при помощи различных автоматизированных средств или вручную определяет уязвимости, которые могут быть использованы для реализации атаки. В качестве таких автоматизированных средств могут быть использованы ShadowSecurityScanner, nmap, Retina и т.д.

2. Реализация атаки

С этого момента начинается попытка доступа к атакуемому узлу. При этом доступ может быть как непосредственный, т.е. проникновение на узел, так и опосредованный, например, при реализации атаки типа "отказ в обслуживании". Реализация атак в случае непосредственного доступа также может быть разделена на два этапа:

  • проникновение;
  • установление контроля.

Проникновение

Проникновение подразумевает под собой преодоление средств защиты периметра (например, межсетевого экрана). Реализовываться это может быть различными путями. Например, использование уязвимости сервиса компьютера, "смотрящего" наружу или путем передачи враждебного содержания по электронной почте (макровирусы) или через апплеты Java. Такое содержание может использовать так называемые "туннели" в межсетевом экране (не путать с туннелями VPN), через которые затем и проникает злоумышленник. К этому же этапу можно отнести подбор пароля администратора или иного пользователя при помощи специализированной утилиты (например, L0phtCrack или Crack).

Установление контроля

После проникновения злоумышленник устанавливает контроль над атакуемым узлом. Это может быть осуществлено путем внедрения программы типа "троянский конь" (например, NetBus или BackOrifice). После установки контроля над нужным узлом и "заметания" следов, злоумышленник может осуществлять все необходимые несанкционированные действия дистанционно без ведома владельца атакованного компьютера. При этом установление контроля над узлом корпоративной сети должно сохраняться и после перезагрузки операционной системы. Это может быть реализовано путем замены одного из загрузочных файлов или вставка ссылки на враждебный код в файлы автозагрузки или системный реестр. Известен случай, когда злоумышленник смог перепрограммировать EEPROM сетевой карты и даже после переустановки ОС он смог повторно реализовать несанкционированные действия. Более простой модификацией этого примера является внедрение необходимого кода или фрагмента в сценарий сетевой загрузки (например, для ОС Novell Netware).

Цели реализации атак

Этапом завершения атаки является "заметание следов" со стороны злоумышленника. Обычно это реализуется путем удаления соответствующих записей из журналов регистрации узла и других действий, возвращающих атакованную систему в исходное, "предатакованное" состояние.

Классификация атак

Существуют различные типа классификации атак. Например, деление на пассивные и активные, внешние и внутренние, умышленные и неумышленные. Однако дабы не запутать вас большим разнообразием классификаций, мало применимыми на практике, предлагаю более "жизненную" классификацию:

  1. Удаленное проникновение (remote penetration) . Атаки, которые позволяют реализовать удаленное управление компьютером через сеть. Например, NetBus или BackOrifice.
  2. Локальное проникновение (local penetration) . Атака, которая приводит к получению несанкционированного доступа к узлу, на котором она запущена. Например, GetAdmin.
  3. Удаленный отказ в обслуживании (remote denial of service) . Атаки, которые позволяют нарушить функционирование или перегрузить компьютер через Internet. Например, Teardrop или trin00.
  4. Локальный отказ в обслуживании (local denial of service) . Атаки, которые позволяют нарушить функционирование или перегрузить компьютер, на котором они реализуются. Примером такой атаки является "враждебный" апплет, который загружает центральный процессор бесконечным циклом, что приводит к невозможности обработки запросов других приложений.
  5. Сетевые сканеры (network scanners) . Программы, которые анализируют топологию сети и обнаруживают сервисы, доступные для атаки. Например, система nmap.
  6. Сканеры уязвимостей (vulnerability scanners) . Программы, которые ищут уязвимости на узлах сети и которые могут быть использованы для реализации атак. Например, система SATAN или ShadowSecurityScanner.
  7. Взломщики паролей (password crackers) . Программы, которые "подбирают" пароли пользователей. Например, L0phtCrack для Windows или Crack для Unix.
  8. Анализаторы протоколов (sniffers) . Программы, которые "прослушивают" сетевой трафик. При помощи этих программ можно автоматически искать такую информацию, как идентификаторы и пароли пользователей, информацию о кредитных картах и т.д. Например, Microsoft Network Monitor, NetXRay компании Network Associates или LanExplorer.

Компания Internet Security Systems, Inc. еще больше сократила число возможных категорий, доведя их до 5:

  1. Сбор информации (Information gathering).
  2. Попытки несанкционированного доступа (Unauthorized access attempts).
  3. Отказ в обслуживании (Denial of service).
  4. Подозрительная активность (Suspicious activity).
  5. Системные атаки (System attack).

Первые 4 категории относятся к удаленным атакам, а последняя - к локальным, реализуемом на атакуемом узле. Можно заметить, что в данную классификацию не попал целый класс так называемых "пассивных" атак ("прослушивание" трафика, "ложный DNS-сервер", "подмена ARP-сервера" и т.п.).

Классификация атак, реализованная во многих системах обнаружения атак, не может быть категоричной. Например, атака, реализация которой для ОС Unix (например, переполнение буфера statd) может иметь самые плачевные последствия (самый высокий приоритет), для ОС Windows NT может быть вообще не применима или иметь очень низкую степень риска. Кроме того, существует неразбериха и в самих названиях атак и уязвимостей. Одна и та же атака, может иметь разные наименования у разных производителей систем обнаружения атак.

Одной из лучших баз уязвимостей и атак является база данных X-Force, находящаяся по адресу: http://xforce.iss.net/. Доступ к ней может осуществляться как путем подписки на свободно распространяемый список рассылки X-Force Alert, так и путем интерактивного поиска в базе данных на Web-сервере компании ISS.

Заключение

Не будь уязвимостей в компонентах информационных систем, нельзя было бы реализовать многие атаки и, следовательно, традиционные системы защиты вполне эффективно справлялись бы с возможными атаками. Однако программы пишутся людьми, которым свойственно делать ошибки. Вследствие чего и появляются уязвимости, которые используются злоумышленниками для реализации атак. Однако это только полбеды. Если бы все атаки строились по модели "один к одному", то с некоторой натяжкой, но межсетевые экраны и другие защитные системы смогли бы противостоять и им. Но появились скоординированные атаки, против которых традиционные средства уже не так эффективны. И тут на сцене и появляются новые технологии - технологии обнаружения атак. Приведенная систематизация данные об атаках и этапах их реализации дает необходимый базис для понимания технологий обнаружения атак.

Средства обнаружения компьютерных атак

Технология обнаружения атак должна решать следующие задачи:

  • Распознавание известных атак и предупреждение о них соответствующего персонала.
  • "Понимание" зачастую непонятных источников информации об атаках.
  • Освобождение или снижение нагрузки на персонал, отвечающий за безопасность, от текущих рутинных операций по контролю за пользователями, системами и сетями, являющимися компонентами корпоративной сети.
  • Возможность управления средствами защиты не-экспертами в области безопасности.
  • Контроль всех действий субъектов корпоративной сети (пользователей, программ, процессов и т.д.).

Очень часто системы обнаружения атак могут выполнять функции, существенно расширяющие спектр их применения. Например,

  • Контроль эффективности межсетевых экранов. Например, установка системы обнаружения атак после межсетевого экрана (внутри корпоративной сети) позволяет обнаружить атаки, пропускаемые МСЭ и, тем самым, определить недостающие правила на межсетевом экране.
  • Контроль узлов сети с неустановленными обновлениями или узлов с устаревшим программным обеспечением.
  • Блокирование и контроль доступа к определенным узлам Internet. Хотя системам обнаружения атак далеко до межсетевых экранов и систем контроля доступа к различным URL, например, WEBsweeper, они могут выполнять частичный контроль и блокирование доступа некоторых пользователей корпоративной сети к отдельным ресурсам Internet, например, к Web-серверам порнографического содержания. Это бывает необходимо тогда, когда в организации нет денег на приобретение и межсетевого экрана и системы обнаружение атак, и функции МСЭ разносятся между системой обнаружения атак, маршрутизатором и proxy-сервером. Кроме того, системы обнаружения атак могут контролировать доступ сотрудников к серверам на основе ключевых слов. Например, sex, job, crack и т.д.
  • Контроль электронной почты. Системы обнаружения атак могут использоваться для контроля неблагонадежных сотрудников, использующих электронную почту для выполнения задач, не входящих в их функциональные обязанности, например, рассылка резюме. Некоторые системы могут обнаруживать вирусы в почтовых сообщениях и, хотя до настоящих антивирусных систем им далеко, они все же выполняют эту задачу достаточно эффективно.

Лучшее использование времени и опыта специалистов в области информационной безопасности заключается в обнаружении и устранении причин реализации атак, скорее чем, в обнаружении самих атак. Устранив причины возникновения атак, т.е. обнаружив и устранив уязвимости, администратор тем самым устраняет и сам факт потенциальной реализации атак. Иначе атака будет повторяться раз за разом, постоянно требуя усилий и внимания администратора.

Классификация систем обнаружения атак

Существует большое число различных классификаций систем обнаружения атак, однако самой распространенной является классификация по принципу реализации:

  1. host-based , то есть обнаруживающие атаки, направленные на конкретный узел сети,
  2. network-based , то есть обнаруживающие атаки, направленные на всю сеть или сегмент сети.

Системы обнаружения атак, контролирующие отдельный компьютер, как правило, собирают и анализируют информацию из журналов регистрации операционной системы и различных приложений (Web-сервер, СУБД и т.д.). По такому принципу функционирует RealSecure OS Sensor. Однако в последнее время стали получать распространение системы, тесно интегрированные с ядром ОС, тем самым, предоставляя более эффективный способ обнаружения нарушений политики безопасности. Причем такая интеграция может быть реализовано двояко. Во-первых, могут контролироваться все системные вызовы ОС (так работает Entercept) или весь входящий/исходящий сетевой трафик (так работает RealSecure Server Sensor). В последнем случае система обнаружения атак захватывает весь сетевой трафик напрямую с сетевой карты, минуя операционную систему, что позволяет уменьшить зависимость от нее и тем самым повысить защищенность системы обнаружения атак.

Системы обнаружения атак уровня сети собирают информацию из самой сети, то есть из сетевого трафика. Выполняться эти системы могут на обычных компьютерах (например, RealSecure Network Sensor), на специализированных компьютерах (например, RealSecure for Nokia или Cisco Secure IDS 4210 и 4230) или интегрированы в маршрутизаторы или коммутаторы (например, CiscoSecure IOS Integrated Software или Cisco Catalyst 6000 IDS Module). В первых двух случаях анализируемая информация собирается посредством захвата и анализа пакетов, используя сетевые интерфейсы в беспорядочном (promiscuous) режиме. В последнем случае захват трафика осуществляется с шины сетевого оборудования.

Обнаружение атак требует выполнения одного из двух условий - или понимания ожидаемого поведения контролируемого объекта системы или знания всех возможных атак и их модификаций. В первом случае используется технология обнаружения аномального поведения, а во втором случае - технология обнаружения злоумышленного поведения или злоупотреблений. Вторая технология заключается в описании атаки в виде шаблона или сигнатуры и поиска данного шаблона в контролируемом пространстве (например, сетевом трафике или журнале регистрации). Эта технология очень похожа на обнаружение вирусов (антивирусные системы являются ярким примером системы обнаружения атак), т.е. система может обнаружить все известные атаки, но она мало приспособлена для обнаружения новых, еще неизвестных, атак. Подход, реализованный в таких системах, очень прост и именно на нем основаны практически все предлагаемые сегодня на рынке системы обнаружения атак.

Практически все системы обнаружения атак основаны на сигнатурном подходе.

Достоинства систем обнаружения атак

Можно долго перечислять различные достоинства систем обнаружения атак, функционирующих на уровне узла и сети. Однако я остановлюсь только на нескольких из них.

Коммутация позволяет управлять крупномасштабными сетями, как несколькими небольшими сетевыми сегментами. В результате бывает трудно определить наилучшее место для установки системы, обнаруживающей атаки в сетевом трафике. Иногда могут помочь специальные порты (span ports) на коммутаторах, но не всегда. Обнаружение атак на уровне конкретного узла обеспечивает более эффективную работу в коммутируемых сетях, так как позволяет разместить системы обнаружения только на тех узлах, на которых это необходимо.

Системы сетевого уровня не требуют, чтобы на каждом хосте устанавливалось программное обеспечение системы обнаружения атак. Поскольку для контроля всей сети число мест, в которых установлены IDS невелико, то стоимость их эксплуатации в сети предприятия ниже, чем стоимость эксплуатации систем обнаружения атак на системном уровне. Кроме того, для контроля сетевого сегмента, необходим только один сенсор, независимо от числа узлов в данном сегменте.

Сетевой пакет, будучи ушедшим с компьютера злоумышленника, уже не может быть возвращен назад. Системы, функционирующие на сетевом уровне, используют "живой" трафик при обнаружении атак в реальном масштабе времени. Таким образом, злоумышленник не может удалить следы своей несанкционированной деятельности. Анализируемые данные включают не только информацию о методе атаки, но и информацию, которая может помочь при идентификации злоумышленника и доказательстве в суде. Поскольку многие хакеры хорошо знакомы с механизмами системной регистрации, они знают, как манипулировать этими файлами для скрытия следов своей деятельности, снижая эффективность систем системного уровня, которым требуется эта информация для того, чтобы обнаружить атаку.

Системы, функционирующие на уровне сети, обнаруживают подозрительные события и атаки по мере того, как они происходят, и поэтому обеспечивают гораздо более быстрое уведомление и реагирование, чем системы, анализирующие журналы регистрации. Например, хакер, инициирующий сетевую атаку типа "отказ в обслуживании" на основе протокола TCP, может быть остановлен системой обнаружения атак сетевого уровня, посылающей TCP-пакет с установленным флагом Reset в заголовке для завершения соединения с атакующим узлом, прежде чем атака вызовет разрушения или повреждения атакуемого узла. Системы анализа журналов регистрации не распознают атаки до момента соответствующей записи в журнал и предпринимают ответные действия уже после того, как была сделана запись. К этому моменту наиболее важные системы или ресурсы уже могут быть скомпрометированы или нарушена работоспособность системы, запускающей систему обнаружения атак на уровне узла. Уведомление в реальном масштабе времени позволяет быстро среагировать в соответствии с предварительно определенными параметрами. Диапазон этих реакций изменяется от разрешения проникновения в режиме наблюдения для того, чтобы собрать информацию об атаке и атакующем, до немедленного завершения атаки.

И, наконец, системы обнаружения атак, функционирующие на сетевом уровне, не зависят от операционных систем, установленных в корпоративной сети, так как они оперируют сетевым трафиком, которым обмениваются все узлы в корпоративной сети. Системе обнаружения атак все равно, какая ОС сгенерировала тот или иной пакет, если он в соответствие со стандартами, поддерживаемыми системой обнаружения. Например, в сети могут работать ОС Windows 98, Windows NT, Windows 2000 и XP, Netware, Linux, MacOS, Solaris и т.д., но если они общаются между собой по протоколу IP, то любая из систем обнаружения атак, поддерживающая этот протокол, сможет обнаруживать атаки, направленные на эти ОС.

Совместное применение систем обнаружения атак на уровне сети и уровне узла повысит защищенность вашей сети.

Сетевые системы обнаружения атак и межсетевые экраны

Наиболее часто сетевые системы обнаружения атак пытаются заменить межсетевыми экранами, уповая на то, что последние обеспечивают очень высокий уровень защищенности. Однако не стоит забывать, что межсетевые экраны - это просто системы, основанные на правилах, которые разрешают или запрещают прохождение трафика через них. Даже межсетевые экраны, построенные по технологии "", не позволяют с уверенностью сказать, присутствует ли атака в контролируемом ими трафике или нет. Они могут сказать, соответствует ли трафик правилу или нет. Например, МСЭ сконфигурирован так, чтобы блокировать все соединения кроме TCP-соединений на 80 порту (то есть HTTP-трафик). Таким образом, любой трафик через 80-ый порт законен с точки зрения МСЭ. С другой стороны, система обнаружения атак также контролирует трафик, но ищет в нем признаки атаки. Ее мало заботит, для какого порта предназначен трафик. По умолчанию весь трафик для системы обнаружения атак подозрителен. То есть, несмотря на то, что система обнаружения атак работает с тем же источником данных, что и МСЭ, то есть с сетевым трафиком, они выполняют дополняющие друг друга функции. Например, HTTP-запрос "GET /../../../etc/passwd HTTP/1.0". Практически любой МСЭ разрешает прохождение данного запроса через себя. Однако система обнаружения атак легко обнаружит эту атаку и блокирует ее.

Можно провести следующую аналогию. Межсетевой экран - это обычный турникет, устанавливаемый на главном входе в вашу сеть. Но помимо главных дверей существуют и другие двери, а также окна. Маскируясь под реального сотрудника или войдя в доверие к охраннику на турникете, злоумышленник может пронести сквозь турникет взрывное устройство или пистолет. Мало того. Злоумышленник может залезть к вам через окно. Именно поэтому и нужны системы обнаружения атак, которые усиливают защиту, обеспечиваемую межсетевыми экранами, которые являются пусть и необходимым, но явно недостаточным элементом сетевой безопасности.

Межсетевой экран - не панацея!

Варианты реакций на обнаруженную атаку

Мало обнаружить атаку, - необходимо на нее соответствующим образом отреагировать. Именно варианты реагирования во многом определяют эффективность системы обнаружения атак. На сегодняшний день предлагаются следующие варианты реагирования:

  • Уведомление на консоль (включая резервную) системы обнаружения атак или на консоль интегрированной системы (например, межсетевого экрана).
  • Звуковое оповещение об атаке.
  • Генерация управляющих последовательностей SNMP для систем сетевого управления.
  • Генерация сообщения об атаке по электронной почте.
  • Дополнительные уведомления на пейджер или факс. Очень интересная, хотя и редко применяемая возможность. Оповещение об обнаружении несанкционированной деятельности посылается не администратору, а злоумышленнику. По мнению сторонников данного варианта реагирования, нарушитель, узнав, что его обнаружили, вынужден прекратить свои действия.
  • Обязательная регистрация обнаруживаемых событий. В качестве журнала регистрации могут выступать:
    • текстовый файл,
    • системный журнал (например, в системе Cisco Secure Integrated Software),
    • текстовый файл специального формата (например, в системе Snort),
    • локальная база данных MS Access,
    • SQL-база данных (например, в системе RealSecure).
    Надо только учитывать, что объемы регистрируемой информации требуют, как правило, SQL-базу - MS SQL или Oracle.
  • Трассировка событий (event trace), т.е. запись их в той последовательности и с той скоростью, с которыми их реализовывал злоумышленник. Затем администратор в любое заданное время может прокрутить (replay или playback) необходимую последовательность событий с заданной скоростью (в реальном режиме времени, с ускорением или замедлением), чтобы проанализировать деятельность злоумышленника. Это позволит понять его квалификацию, используемые средства атаки и т.д.
  • Прерывание действий атакующего, т.е. завершение соединения. Это можно сделать, как:
    • перехват соединения (session hijacking) и посылка пакета с установленным флагом RST обоим участникам сетевого соединения от имени каждого из них (в системе обнаружения атак, функционирующей на уровне сети);
    • блокировка учетной записи пользователя, осуществляющего атаку (в системе обнаружения атак на уровне узла). Такая блокировка может быть осуществлена либо на заданный промежуток времени, либо до тех пор, пока учетная запись не будет разблокирована администратором. В зависимости от привилегий, с которыми запущена система обнаружения атак, блокировка может действовать как в пределах самого компьютера, на который направлена атака, так и в пределах всего домена сети.
  • Реконфигурация сетевого оборудования или межсетевых экранов. В случае обнаружения атаки на маршрутизатор или межсетевой экран посылается команда на изменение списка контроля доступа. Впоследствии все попытки соединения с атакующего узла будут отвергаться. Как и блокировка учетной записи злоумышленника, изменение списка контроля доступа может быть осуществлено или на заданный интервал времени или до того момента, как изменение будет отменено администратором реконфигурируемого сетевого оборудования.
  • Блокирование сетевого трафика так, как это реализовано в межсетевых экранах. Этот вариант позволяет ограничить трафик, а также адресатов, которые могут получить доступ к ресурсам защищаемого компьютера, позволяя выполнять функции доступные в персональных межсетевых экранах.

Пострадать от хакерской атаки может практически любой сайт. 100% защиты от этого не существует. Например, жертвой атаки может стать случайный сайт, который размещается на одном сервере с сайтом, на который направлена атака. Если у злоумышленников есть большой бюджет и желание, то ни один сайт не может быть полностью защищен от намеренного действия.

С какой целью может совершаться атака на сайт:

– кража данных (например, пароли пользователей, доступ в скрытые разделы сайта);

– выведение сервера из рабочего состояния;

– размещение на страницах сайта скрытых ссылок, вирусов и т. п.;

– получение полного доступа к серверу;

– понижение позиций сайта в поисковых системах или полное его выпадение.

Большинство хакерских нападений осуществляются конкурентами либо с целью получения выгоды.

Рассмотрим основные виды атак на сайты.

Ddos . я уже рассматривала в одном из предыдущих материалов. Чем опасна такого рода атака?

Является самой опасной атакой на интернет-ресурс, Ddos полностью останавливает работу сервера, из-за чего сайт становится недоступным для посетителей. Сервер может “лежать” до того времени, пока атака не остановится. А это, в свою очередь, негативно влияет на репутацию Вашего сайта. Данный вид атак является доступным для многих недобросовестных конкурентов, вопрос стоит только в количестве денег, которые они готовы потратить на организацию Ddos.

Для небольшого ддоса вовсе достаточно и всего нескольких компьютеров с широким интернет-каналом. Атака происходит благодаря организации огромного количества обращений к серверу, которые совершаются с большого числа компьютеров. В результате из-за превышения допустимой нагрузки во много раз сервер “ложится”. Большинство атакующих компьютеров представляют собой ПК, которые заражены троянами. Сам пользователь ПК даже и не подозревает, что его используют мошенники. Сети зараженных компьютеров называются ботнеты.

Мощность ддос-атак измеряется в объеме трафика, посылаемого на атакуемый сервер в секунду. Например, если происходит мощная атака, то бороться с ней довольно сложно, потому что подобные объемы трафика практически невозможно фильтровать.

Важно знать, что атаки осуществляются не только на отдельные компьютеры. Часто жертвами атак становились национальные сети, корневые днс-сервера, а это может привести к недоступности Интернета в отдельных регионах.

Для профилактики Ddos специалисты рекомендуют размещать интернет-проекты на сервере с запасом ресурсов. В таком случае будет резерв, чтобы успеть принять меры. Для защиты от Ddos необходимо принимать меры в комплексе, это, например, межсетевой экран, фильтрация трафика, работа специалистов в данной области. Но даже крупные сайты с мощной защитой периодически подвергаются в атакам. Даже сайт компании Майкрософт не раз становился жертвой ддос-атак мошенников.

О на нашем блоге написан специальный материал.

Еще одна популярная атак на сайт – это взлом сервера и размещение ссылок или вирусов на нем.

В таких случаях веб-мастер обнаруживает, что сайт был взломан и использовался мошенниками.

Также возможна ситуация, когда был взломан сервер хостинга. Но все-таки в большинстве случаев вирусы попадают на сайт из-за дыр в движках или по причине неправильного хранения паролей.

Как известно, скрытые ссылки одна из причин наложения санкций поисковиками из-под которых очень сложно выйти. А если мошенники вставят не просто обычные ссылки, а код вируса, то такой сайт может быть забанен даже хостинг-провайдером. А сам ресурс и его айпи-адрес попадают в “черный список” Спамхаус, из которого выйти нереально сложно. В качестве профилактики необходимо следить за обновлениями CMS, устанавливать обновления и необходимые дополнения, ну и конечно не хранить пароли в открытом доступе.

Следующая в моем списке атак – это SQL-инъекция . Она происходит благодаря выполнению sql-запроса на чужом сервере. Такая проблема может возникнуть из-за уязвимости движков или несовершенства программного кода. В чем суть XSS-атаки? Происходит внедрение в страницу, которая генерируется скриптом, произвольного кода. Основная опасность, которая стоит за такой атакой, это кража cookies, что ведет к получению доступа к аккаунтам пользователей. В результате мошенник получает данные о системе посетителя, об истории посещенных сайтов и т. п. Кроме того внедряется не только java-скрипт, а и ссылка на php-скрипт, который размещается на стороннем сервере, а это еще опаснее.

Спам с адресом сайта и реквизитами – еще один способ безобидной атаки, благодаря которой Ваш сайт могут заблокировать на хостинге, а Ваш адрес будет внесен в черные списки. Спамить могут не только на почту пользователям, но и на форумы. В результате Вам будет сложно доказать, что этим занимались конкуренты, а не Вы.

Спам в комментариях и на форуме – ще один способ, с помощью которого мошенники могут навредить Вашему сайту. Ведь заспамленные ресурсы не только плохо ранжируются, а и вовсе могут быть забанены. Поэтому владельцам таких сайтов необходимо ставить антиспам фильтры и модерировать сообщения пользователей на форуме.

Фишинг – наносит вред репутации любому ресурсу. На другом сайте с похожим адресом, размещается копия вашего сайта с формой авторизации. Пользователь вводит данные и они попадают в руки мошенникам. Если Вы нашли такой сайт, сразу же обращайтесь к хостинг провайдеру и регистратору домена мошеннического сайта. Они обязательно заблокируют данный нечестный ресурс. О том, что такое фишинг и как себя обезопасить читайте в более подробно.

Возможно Вы знаете еще какие-то методы мошенников, которые напрямую вредят сайтам? Поделитесь ими в комментариях!

4072 раз(а) 8 Сегодня просмотрено раз(а)

В большинстве случаев, появление вообще какого-то вредоносного кода на сайте является следствием не какого-то злонамеренного поведения со стороны владельца сайта, а оказывается, зачастую, для владельца сайта неожиданностью, являясь следствием взлома.

Мы уже много лет с этим работаем, посмотрели много разных случаев и за последние годы я видел тоже довольно большое количество самых разных случаев взлома сайтов самых разных. Это как совсем крупные сайты, например, такие, как самые известные онлайн СМИ, банки, сайты крупных компаний, так и подчас совсем маленькие сайты, сайты-визитки, какие-то сайты образовательных, религиозных учреждений.

Как защитить свой сайт

Все они в той или иной мере подвержены каким-то угрозам, рискам, которые связаны с компьютерной безопасностью и об этом пойдет речь. Также мы расскажем о том, как эти риски снижать, о каком-то базовом минимуме, общем обзоре всего, что с этим связано, о том, какие угрозы существуют, с чем сталкивается вебмастер того или иного сайта в своей работе.

Сегодня мы с вами поговорим про самый обычный пример, когда у нас есть какой-то внешний злоумышленник, который тем или иным образом угрожает сайту.

Для того чтобы понять, чего ожидать, какой возможен ущерб, какие возможные атаки, нужно понять кто этот самый злоумышленник.

Все эти злоумышленники и типы атак делятся на две большие категории. По каким же критериям их можно разделить?

  • по используемым подходам к атакам;
  • по группам сайтам, которые подвержены той или иной группе атак;
  • по соответственным методикам снижения рисков для каждой из этих групп.

Например, массовые атаки во многом автоматизированы, как получение несанкционированного доступа, например. Массовые атаки – это попытка всегда получить доступ в целом к сайту. Здесь массовые вымогательства тоже бывают, но они тоже реализованы через получение несанкционированного доступа.

Зачастую просто работают автоматические системы целиком, работает скрипт, который просто выискивает уязвимые интересующие его версии различных программных компонент. Например, уязвимые версии системы управления контентом, либо наоборот, либо он выискивает какие-то типичные проблемы с конфигурацией серверного окружения. Например, что у вас наружу торчит HTTP сервер какой-нибудь и к нему начинается перебор паролей.

Поскольку все автоматизировано, эксплуатация полученного доступа тоже автоматизирована и, если у вас есть на сайте базы данных с платежными реквизитами, в случае автоматической атаки можно считать, что вам повезло, потому что скрипт не будет разбираться, они по большей части довольно все туповаты.

Он не будет разбираться, какие важные данные у вас на сайте есть, он реализует какую-то очень простую схему в стиле рассылки спама, организации распределенных атак на отказ в обслуживании, простое какое-то мелкое вымогательство, заражение посетителей вашего сайта.

В случае же целевых атак все несколько грустнее для владельца сайта. Зачастую подвержены крупной атаке, приходит человек руками с таким большим опытом и отработанным инструментарием, и начинает выискивать характерные проблемы. С очень большой вероятностью, как показывает практика, находит.

И дальше уже начинается эксплуатация особо злодейская, которую намного сложнее, во-первых, обнаружить, чем в случае массовых атак, а во-вторых, значительно сложнее минимизировать возможный ущерб заранее. Поэтому, как злоумышленник руками попав в систему, очень хорошо понимает контекст и зачастую изначально знает зачем идет.

Что безопаснее использовать? Например, какую-то такую стоковую популярную систему управления контентом или что-то самописное? Чтобы снизить риск от массовых атак лучше использовать что-то нестандартное.

Потому что все это автоматизировано, ищутся какие-то стандартные решения и использование какое-то самописной системы управления контентом, практически, самописной капчи – любых самописных решений от каких-то массовых атак, когда на ваш сайт приходит скрипт, который ищет что-то знакомое, но это все работать не будет.

В случае же целевых атак все, скорее, наоборот. То есть вероятность того, что в каком-то самописном решении будут допущены типичные критические ошибки, которые потом становятся уязвимостями, эксплуатируются для получения доступа, она намного выше, чем если бы вы использовали какие-то популярные программные решения, которые за долгую историю своей разработки собрали много «граблей» по этой части. Поэтому, когда публикуют уязвимости в них, они часто либо замысловатые, либо происходят на стыке разных систем.


Атака состоит из следующих ступеней:


Особенно для массового случая. Берется какая-нибудь специальная строка, типа Power Add Buy, phpBB версии 1.6.1. Выискивается набор сайтов автоматически с использованием какой-то конкретной технологии – один из векторов. Находятся все эти сайты, по ним запускается скрипт, скрипт идет, ищет какие-то уязвимости, разные админ. панели по стандартным путям, какие-то стандартные инструменты, типа php my admin, которые тоже расположены по стандартным путям.

И, соответственно, если находится уязвимость, они автоматически эксплуатируются, если находятся какие-то админ. панели, куда можно вводить пароли и при этом там нет никакой защиты от перебора, начинается перебор простых случаев, который, как показывает практика, тоже очень результативен.

После того, как доступ получен, заливается такой компонент, который называется web-shell – это такое средство, такой кусочек веб-приложения, скрипт, который открывает широкие возможности, оставляет постоянную заднюю «дверь» на вашем сервере для продолжения дальнейших действий.

После этого, когда у злоумышленника есть стабильный проход на ваш сервер мимо всех средств аутоинтефикации, злоумышленник пытается укрепиться в системе и, например, раскидать всяких запасных web-shell’ов вокруг, эксплуатировать, например, уязвимость в операционной системе, поднять привилегии. Например, стать root’ом, что зачастую тоже автоматизировано и после этого эксплуатация становится еще более суровой. А потом начинается выжимка денег из-за того, что сайт был взломан. Сейчас редко можно встретить случаи, когда кто-то или что-то взламывает сайт, имея в качестве мотива что-либо кроме денег в той или иной мере.

Вот так с точки зрения злоумышленника выглядит этот самый web-shell:


Это система, которая позволяет через интерфейс работать, так и автоматически. Что любопытно, тут наверху строчка – очень подробная информация о ядре операционной системы. Как раз для того, чтобы автоматизировать тут же эксплуатацию поднятия привилегий.

Когда находят уязвимости в ядре операционной системы, публикуют эксплоиты на популярных сайтах. Что такое эксплоит? Программа, которая эту уязвимость использует, чтобы реализовать свою какую-то цель, и поднимаются привилегии. Примерно это выглядит так:


Помимо того, что начинают раскидываться разные вредоносные скрипты по серверу, по сайту, бывает, попадают так же бинарные компоненты. Например, такие, как основная бинарная сборка или плагины к самому веб-серверу. Это бывают модули к патчу, к njinx, пересобранные njinx или какой-нибудь еще важный бинарный компонент, который у вас есть в системе, SSHD.

Это такой сайт Virustotal, на котором можно проверить любой файл, что про него думают 50 антивирусных движков.

Это примеры некоторых бинарных компонент, когда добавляются, что говорят различные антивирусные сканеры про различные вредоносные веб-сервера, либо модули к ним, которые нам доводилось находить:


Хочу отметить, что, когда мы их находили, тут везде было пусто, никто ничего не детектил зачастую. Это уже потом, подчас мы начинали рассылать в антивирусные компании эти примеры, появлялись детекты.

Иногда, если вы уже пытаетесь найти источник вредоносного кода на своем сайте, антивирусная индустрия в чем-то вам может помочь. Все подготовительные файлы можно «кормить» или на сайт, либо конкретным утилитам, но об этом поговорим чуть позже, но смысл такой.


После эксплуатации появляются серверные скрипты, а также модифицированные конфиги веб-сервера. Пример такой был, часто встречаемый, когда тоже автоматически при взломе сайта модифицировали конфигурацию веб-сервера, добавляя условные редиректы.

Всех посетителей мобильных устройств вашего сайта перенаправляли на различные мошеннические сайты, таким образом монетизируя их. А, поскольку, не так давно, пару лет назад многие вебмастера не задумывались про мобильных пользователей для своих сайтов, они могли этого долго даже не замечать, что мобильные посетители, заходя на их сайт, отправляются на различное мошенничество. Многие вебмастера это ставили осознанно, стараясь делать такую монетизацию, но действительно были такие массовые случаи, когда это все появлялось в рамках взлома.

Также не исключено наличие вредоносного кода в базе данных. Самый банальный пример, когда делается атака классохранимая XXS. У вас, например, есть какая-нибудь форма ввода комментариев на сайте и там недостаточная валидация параметров.

Атакующий, как я уже сказал, зачастую это полностью автоматизированные системы, которые сами ищут ваш сайт, они сгружают туда не просто текст, а специальную нагрузку, которая при отрисовке страницы станет скриптом, контролируемым злоумышленником. И таким образом можно делать с посетителями вашего сайта что угодно.

Он бывает в статике, когда просто добавляют в шаблоны, в статические JavaScript какой-то вредоносный код. Как я уже говорил, бывает, подменяют бинарные файлы. Бывают очень хитрые случаи, когда, например, злоумышленники делают такую хитрую систему, мы сталкивались уже с этим.

Берется основной файл веб-сервера, например, если это веб-сервера патч – это sshd бинарный файл, который копируется в другое место, на его место кладется вредоносная сборка, а потом она запускается.

После этого модифицированный файл с файловой системы стирается и кладется оригинальный. У вас работает вредоносный веб-сервер, а в файловой системе у вас его неизменная версия и даже проверка целостности не показывает никаких проблем.

Злоумышленники, попадая на сервер, особенно, в случае целевых атак, довольно хитры на выдумки и порой по большей части для целевых атак, когда приходят живые люди, приходится какую-то не дюжую сноровку проявлять, чтобы отыскать вообще источник компрометации сайта.

Зачем это все делается? Тоже важно понимать для того, чтобы держать в голове некоторую модель угроз, прогнозировать, что будет с сайтом и какие вообще проблемы могут быть. Как я уже говорил, методы монетизации, которые мотивируют злоумышленников для атак, различаются для этих групп для целевых и массовых атак.


Если для массовых атак у нас что-то, что можно провернуть, не вникая в контекст сайта. Просто мы попали на абстрактный сервер, что можно с ним делать? У него есть посетители, поэтому их можно заражать. Он, скорее всего, фигурирует в поисковой системе, поэтому его можно использовать в позиции в поисковой системе для различной черной сеошной оптимизации.

Добавлять ему каталоги с дорвеями, выставлять его на ссылочной бирже, в общем, все с этим связанное. Рассылка спама, организация DDoS-атак, например. Для DDoS-атак, о чем мы позже поговорим, злоумышленникам тоже нужны какие-то ресурсы, например, много-много разных серверов.

Строчка «вымогательство» очень интересная. Это тоже в последнее время очень развивается. Все много раз слышали и, возможно, сталкивались с такими троянами-вымогателями, например, на десктопах, на операционной системе Windows. Несколько лет назад они более-менее начали заполнять, попадать на андроидные телефоны, когда…

Все знают, все сталкивались в той или иной мере, или хотя бы слышали про то, как запускается вредоносный файл. Он начинает шифровать всю файловую систему, а потом просит выкуп. Так вот, последний год мы наблюдаем, что такие штуки начались как раз на серверах. Сайт взламывается, после этого шифруется целиком содержимое баз данных, а также целиком вся файловая система и злоумышленник просит у администратора выкупа, надеясь, что у администратора нет актуальных backup’ов файловой системы и базы данных.

В целевых атаках все еще более изощрено. Зачастую если делается целевая атака, то уже заведомо известно, что можно получить с сайта. Это либо клиентская база, либо очень-очень много посетителей, которых тоже можно монетизировать различными способами. Зачастую незаметно для администратора ресурса месяцами.

Можно, уже оказавшись внутри, мешать сайту всячески, создавать различные технические сложности в целях недобросовестной конкуренции. Это надо понимать, что на самом деле бытует в антивирусной среде такой миф, что у меня, например, стоит компьютер на отшибе или в случае сайта, у сайта маленькая посещаемость, значит, он никому не нужен. Это неправда.

Даже самый захудалый сайт на каком-нибудь бесплатном хостинге так или иначе хоть немного, да монетизируется, и он всегда будет представлять некоторую желанную цель для массовых атак. Не говоря уже, конечно, про крупные сайты, которые монетизировать еще проще.

Атака на посетителей: drive-by download

Да, мы говорили про заражение посетителей, буквально, в двух словах. Наверное, в последний год эта угроза сходит на нет сейчас сама по себе. Что такое заражение посетителей? Злоумышленник взломал сайт и что дальше происходит, если он хочет получать деньги за счет заражения посетителей:


Как я уже говорил, может перенаправлять мобильных пользователей на какой-нибудь сайт, где им предлагают поставить приложение под видом какого-нибудь обновления flash player или вроде того. А для десктопов такая популярная схема, когда эксплуатируется уязвимость в браузере посетителя или в каком-то из плагинов его окружения.

Например, в 2012 году больше всего эксплуатировали уязвимости в Java-плагине, которые стояли больше, чем у половины пользователей, эксплуатировали в Adobe Reader в 2012 году. Сейчас не Adobe Reader, не Java не эксплуатируют, сейчас эксплуатируют Flash Player.

Новые уязвимости во Flash Player выходят регулярно, и каждый из них зачастую позволяет производить такую атаку, которая называется drive-by download. Что это значит? Это значит, что посетитель просто заходит на сайт, ничего не делает дополнительно и у него в системе за счет эксплуатации в уязвимости плагина появляется вредоносная программа, которая автоматически запускается и инфицирует систему.

Отказ в обслуживании, он же DDoS

Это если мы говорим про то, когда злоумышленник все-таки получает доступ к сайту и его управлению. Во многих случаях злоумышленник даже и не пытается получить доступ, он просто хочет тем или иным способом помешать нормальному функционированию вашего сайта. Все, наверное, слышали, сталкивались с отказом в обслуживании, который называется Distributed Denial of Service.


Основные мотивы: конкурентность и вымогательство. Конкуренция – понятно, пока пользователи не идут на ваш сайт, они идут на сайт конкурента, вымогательство – тоже довольно очевидно, что начинается атака на ваш сайт, вы получаете какое-нибудь письмо с призывом что-то кому-то заплатить, и там приходится что-то с этим делать.

Атаки делятся на три основные категории

Самая простая атака – атака на приложение. Самый типичный сценарий атаки на приложение – у вас есть какой-то сайт, предположим, интернет-магазин с каким-нибудь поиском. У вас есть там расширенный поиск по куче параметров, который создает относительно тяжелый запрос к базе данных. Приходит злоумышленник, видит у вас возможность расширенного поиска и делает скрипт, который у вас начинает пихать тяжелые-тяжелые запросы в вашу форму расширенного поиска. База данных быстро ложится даже под напором одного стандартного хоста для многих сайтов на практике и все. Для этого никаких особых ресурсов не надо со стороны атакующего.

Атака на транспортном уровне. На транспортном уровне, по сути, есть два протокола. Атаки на UDP, они, скорее, относятся уже к атаке на канал, потому что там нет никакой сессии. А если мы говорим про протокол TCP, то это довольно частый случай атак.

Что такое протокол TCP? Протокол TCP подразумевает, что у вас есть сервер и на нем есть таблица открытых соединений с пользователями. Понятно, что эта таблица не может быть бесконечного размера и злоумышленник, специально конструируя множество-множество пакетов, которые инициируют создание нового подключения, при этом пакеты зачастую идут даже с поддельных IP-адресов.

Он переполняет эту таблицу, соответственно, легальные пользователи, которые идут к вам на сайт, не могут попасть в эту таблицу подключений и в итоге не получают ваш сервис. Это типичный пример распространенной атаки, с которой научились бороться в последние годы.

И самое ужасное – это атака на канал. Это когда у вас есть входящий канал, по которому могут к вашему серверу поступать какие-то запросы и просто весь канал забивается целиком.

Если в двух вышестоящих атаках вы еще можете какую-то логику на самом сервере применить, чтобы как-то этим атакам дать отворот-поворот, то в случае атаки на канал на самом сервере сделать ничего невозможно, потому что чтобы что-то сделать надо хотя бы запрос принять, а весь канал уже забит, пользователи вообще никак не могут простучаться.

Почему? Зачем мы вообще обсуждаем такую классификацию и для чего она вам нужна? Да просто потому, что от каждого из этих типов атак есть своя мера противодействия. Если вы сталкиваетесь, вы понимаете, что у вас происходит атака типа отказа в обслуживании и первым делом следует определиться, какого типа атака идет и выбрать верный способ как начать бороться с данной атакой. Хотя они бывают и комбинированными.

Магомед Чербижев

Основополагающими концепциями кибер-безопасности являются доступность, целостность и конфиденциальность. Атаки «отказ в обслуживании» (DoS) влияют на доступность информационных ресурсов. Отказ в обслуживании считается успешным, если он привел к недоступности информационного ресурса. Успешность атаки и влияние на целевые ресурсы отличаются тем, что влияние наносит жертве урон. Например, если атакуется интернет-магазин, то длительный отказ в обслуживании может причинить финансовые убытки компании. В каждом конкретном случае DoS-активность может либо непосредственно причинить вред, либо создать угрозу и потенциальный риск нанесения убытков.

Первая D в DDoS означает distributed : распределённая атака типа «отказ в обслуживании» . В этом случае речь идёт об огромной массе злонамеренных запросов, поступающих на сервер жертвы из множества разных мест. Обычно такие атаки организуются посредством бот-сетей.

В этой статье мы подробно рассмотрим, какие типы DDoS-трафика и какие виды DDoS-атак существуют. Для каждого вида атак будут приведены краткие рекомендации по предотвращению и восстановлению работоспособности.

Типы DDoS-трафика

Самый простой вид трафика - HTTP-запросы. С помощью таких запросов, например, любой посетитель общается с вашим сайтом посредством браузера. В основе запроса лежит HTTP-заголовок.

HTTP-заголовок . HTTP заголовки - это поля, которые описывают, какой именно ресурс запрашивается, например, URL-адрес или форма, или JPEG. Также HTTP заголовки информируют веб-сервер, какой тип браузера используется. Наиболее распространенные HTTP заголовки: ACCEPT, LANGUAGE и USER AGENT.

Запрашивающая сторона может использовать сколько угодно заголовков, придавая им нужные свойства. Проводящие DDoS-атаку злоумышленники могут изменять эти и многие другие HTTP-заголовки, делая их труднораспознаваемыми для выявления атаки. В добавок, HTTP заголовки могут быть написаны таким образом, чтоб управлять кэшированием и прокси-сервисами. Например, можно дать команду прокси-серверу не кэшировать информацию.

HTTP GET

  • HTTP(S) GET-запрос - метод, который запрашивает информацию на сервере. Этот запрос может попросить у сервера передать какой-то файл, изображение, страницу или скрипт, чтобы отобразить их в браузере.
  • HTTP(S) GET-флуд - метод DDoS атаки прикладного уровня (7) модели OSI, при котором атакующий посылает мощный поток запросов на сервер с целью переполнения его ресурсов. В результате сервер не может отвечать не только на хакерские запросы, но и на запросы реальных клиентов.

HTTP POST

  • HTTP(S) POST-запрос - метод, при котором данные помещаются в тело запроса для последующей обработки на сервере. HTTP POST-запрос кодирует передаваемую информацию и помещает на форму, а затем отправляет этот контент на сервер. Данный метод используется при необходимости передавать большие объемы информации или файлы.
  • HTTP(S) POST-флуд - это тип DDoS-атаки, при котором количество POST-запросов переполняют сервер так, что сервер не в состоянии ответить на все запросы. Это может привести к исключительно высокому использованию системных ресурсов, и, в последствии, к аварийной остановке сервера.

Каждый из описанных выше HTTP-запросов может передаваться по защищенному протоколу HTTPS . В этом случае все пересылаемые между клиентом (злоумышленником) и сервером данные шифруются. Получается, что «защищенность» тут играет на руку злоумышленникам: чтобы выявить злонамеренный запрос, сервер должен сначала расшифровать его. Т.е. расшифровывать приходится весь поток запросов, которых во время DDoS-атаки поступает очень много. Это создает дополнительную нагрузку на сервер-жертву.

SYN-флуд (TCP/SYN) устанавливает полуоткрытые соединения с узлом. Когда жертва принимает SYN-пакет через открытый порт, она должна послать в ответ SYN-ACK пакет и установить соединение. После этого инициатор посылает получателю ответ с ACK-пакетом. Данный процесс условно называется рукопожатием. Однако, во время атаки SYN-флудом рукопожатие не может быть завершено, т.к. злоумышленник не отвечает на SYN-ACK сервера-жертвы. Такие соединения остаются полуоткрытыми до истечения тайм-аута, очередь на подключение переполняется и новые клиенты не могут подключиться к серверу.

UDP-флуд чаще всего используются для широкополосных DDoS-атак в силу их бессеансовости, а также простоты создания сообщений протокола 17 (UDP) различными языками программирования.

ICMP-флуд . Протокол межсетевых управляющих сообщений (ICMP) используется в первую очередь для передачи сообщений об ошибках и не используется для передачи данных. ICMP-пакеты могут сопровождать TCP-пакеты при соединении с сервером. ICMP-флуд - метод DDoS атаки на 3-м уровне модели OSI, использующий ICMP-сообщения для перегрузки сетевого канала атакуемого.

MAC-флуд - редкий вид атаки, при котором атакующий посылает множественные пустые Ethernet-фреймы с различными MAC-адресами. Сетевые свитчи рассматривают каждый MAC-адрес в отдельности и, как следствие, резервируют ресурсы под каждый из них. Когда вся память на свитче использована, он либо перестает отвечать, либо выключается. На некоторых типах роутеров атака MAC-флудом может стать причиной удаления целых таблиц маршрутизации, таким образом нарушая работу целой сети.

Классификация и цели DDoS-атак по уровням OSI

Интернет использует модель OSI. Всего в модели присутствует 7 уровней, которые охватывают все среды коммуникации: начиная с физической среды (1-й уровень) и заканчивая уровнем приложений (7-й уровень), на котором «общаются» между собой программы.

DDoS-атаки возможны на каждом из семи уровней. Рассмотрим их подробнее.

7-й уровень OSI: Прикладной

Что делать: Мониторинг приложений - систематический мониторинг ПО, использующий определенный набор алгоритмов, технологий и подходов (в зависимости от платформы, на котором это ПО используется) для выявления 0day-уязвимостей приложений (атаки 7 уровня). Идентифицировав такие атаки, их можно раз и навсегда остановить и отследить их источник. На данном слое это осуществляется наиболее просто.

6-й уровень OSI: Представительский

Что делать: Для уменьшения вреда обратите внимание на такие средства, как распределение шифрующей SSL инфраструктуры (т.е. размещение SSL на отличном сервере, если это возможно) и проверка трафика приложений на предмет атак или нарушение политик на платформе приложений. Хорошая платформа гарантирует, что трафик шифруется и отправляется обратно начальной инфраструктуре с расшифрованным контентом, находившимся в защищенной памяти безопасного узла-бастиона.

5-й уровень OSI: Сеансовый

Что делать: Поддерживать прошивки аппаратного обеспечения в актуальном состоянии для уменьшения риска появления угрозы.

4-й уровень OSI: Транспортный

Что делать: Фильтрация DDoS-трафика, известная как blackholing - метод, часто используемый провайдерами для защиты клиентов (мы и сами используем этот метод). Однако этот подход делает сайт клиента недоступным как для трафика злоумышленника, так и для легального трафика пользователей. Тем не менее, блокировка доступа используется провайдерами в борьбе с DDoS-атаками для защиты клиентов от таких угроз, как замедление работы сетевого оборудования и отказ работы сервисов.

3-й уровень OSI: Сетевой

Что делать: Ограничить количество обрабатываемых запросов по протоколу ICMP и сократить возможное влияние этого трафика на скорость работы Firewall и пропускную способность интернет-полосы.

2-й уровень OSI: Канальный

Что делать: Многие современные свитчи могут быть настроены таким образом, что количество MAC адресов ограничивается надежными, которые проходят проверку аутентификации, авторизации и учета на сервере (протокол ААА) и в последствии фильтруются.

1-й уровень OSI: Физический

Что делать: использовать систематический подход к мониторингу работы физического сетевого оборудования.

Устранение крупномасштабных DoS/DDoS-атак

Хотя атака возможна на любом из уровней, особой популярностью пользуются атаки на 3-4 и 7 уровнях модели OSI.

  • DDoS-атаки на 3-м и 4-м уровне - инфраструктурные атаки - типы атак, основанные на использовании большого объема, мощного потока данных (флуд) на уровне инфраструктуры сети и транспортном уровне с целью замедлить работу веб-сервера, «заполнить» канал, и в конечном счете помешать доступу других пользователей к ресурсу. Эти типы атак как правило включают ICMP-, SYN- и UDP-флуд.
  • DDoS атака на 7-м уровне - атака, заключающаяся в перегрузке некоторых специфических элементов инфраструктуры сервера приложений. Атаки 7-го уровня особенно сложны, скрыты и трудны для выявления в силу их сходства с полезным веб-трафиком. Даже самые простенькие атаки 7-го уровня, например, попытка входа в систему под произвольным именем пользователя и паролем или повторяющийся произвольный поиск на динамических веб-страницах, могут критически загрузить CPU и базы данных. Также DDoS злоумышленники могут неоднократно изменять сигнатуры атак 7-го уровня, делая их еще более сложными для распознавания и устранения.

Некоторые действия и оборудование для устранения атак:

  • Брандмауэры с динамической проверкой пакетов
  • Динамические механизмы SYN прокси
  • Ограничение количества SYN-ов за секунду для каждого IP-адреса
  • Ограничение количества SYN-ов за секунду для каждого удаленного IP-адреса
  • Установка экранов ICMP флуда на брандмауэре
  • Установка экранов UDP флуда на брандмауэре
  • Ограничение скорости роутеров, примыкающих к брандмауэрам и сети

DoS и DDoS-атака — это агрессивное внешнее воздействие на вычислительные ресурсы сервера или рабочей станции, проводимое с целью доведения последних до отказа. Под отказом мы понимаем не физический выход машины из строя, а недоступность ее ресурсов для добросовестных пользователей — отказ системы в их обслуживании (D enial o f S ervice, из чего и складывается аббревиатура DoS).

Если такая атака проводится с одиночного компьютера, она классифицируется как DoS (ДоС), если с нескольких — DDoS (ДиДоС или ДДоС), что означает «D istributed D enial o f S ervice» — распределенное доведение до отказа в обслуживании. Далее поговорим, для чего злоумышленники проводят подобные воздействия, какими они бывают, какой вред причиняют атакуемым и как последним защищать свои ресурсы.

Кто может пострадать от DoS и DDoS атак

Атакам подвергаются корпоративные сервера предприятий и веб-сайты, значительно реже — личные компьютеры физических лиц. Цель подобных акций, как правило, одна — нанести атакуемому экономический вред и остаться при этом в тени. В отдельных случаях DoS и DDoS атаки являются одним из этапов взлома сервера и направлены на кражу или уничтожение информации. По сути, жертвой злоумышленников может стать предприятие или сайт, принадлежащие кому угодно.

Схема, иллюстрирующая суть DDoS-атаки:

DoS и DDoS-атаки чаще всего проводят с подачи нечестных конкурентов. Так, «завалив» веб-сайт интернет-магазина, который предлагает аналогичный товар, можно на время стать «монополистом» и забрать его клиентов себе. «Положив» корпоративный сервер, можно разладить работу конкурирующей компании и тем самым снизить ее позиции на рынке.

Масштабные атаки, способные нанести существенный урон, выполняются, как правило, профессиональными киберпреступниками за немалые деньги. Но не всегда. Атаковать ваши ресурсы могут и доморощенные хакеры-любители — из интереса, и мстители из числа уволенных сотрудников, и просто те, кто не разделяет ваши взгляды на жизнь.

Иногда воздействие проводится с целью вымогательства, злоумышленник при этом открыто требует от владельца ресурса деньги за прекращение атаки.

На сервера государственных компаний и известных организаций нередко нападают анонимные группы высококвалифицированных хакеров с целью воздействия на должностных лиц или вызова общественного резонанса.

Как проводятся атаки

Принцип действия DoS и DDoS-атак заключается в отправке на сервер большого потока информации, который по максимуму (насколько позволяют возможности хакера) загружает вычислительные ресурсы процессора, оперативной памяти, забивает каналы связи или заполняет дисковое пространство. Атакованная машина не справляется с обработкой поступающих данных и перестает откликаться на запросы пользователей.

Так выглядит нормальная работа сервера, визуализированная в программе Logstalgia :

Эффективность одиночных DOS-атак не слишком высока. Кроме того, нападение с личного компьютера подвергает злоумышленника риску быть опознанным и пойманным. Гораздо больший профит дают распределенные атаки (DDoS), проводимые с так называемых зомби-сетей или ботнетов.

Так отображает деятельность ботнета сайт Norse-corp.com:

Зомби-сеть (ботнет) — это группа компьютеров, не имеющих физической связи между собой. Их объединяет то, что все они находятся под контролем злоумышленника. Контроль осуществляется посредством троянской программы, которая до поры до времени может никак себя не проявлять. При проведении атаки хакер дает зараженным компьютерам команду посылать запросы на сайт или сервер жертвы. И тот, не выдержав натиска, перестает отвечать.

Так Logstalgia показывает DDoS-атаку:

Войти в состав ботнета может абсолютно любой компьютер. И даже смартфон. Достаточно подхватить троянца и вовремя его не обнаружить. Кстати, самый крупный ботнет насчитывал почти 2 млн машин по всему миру, а их владельцы понятия не имели, чем им приходится заниматься.

Способы нападения и защиты

Перед началом атаки хакер выясняет, как провести ее с максимальным эффектом. Если атакуемый узел имеет несколько уязвимостей, воздействие может быть проведено по разным направлениям, что значительно усложнит противодействие. Поэтому каждому администратору сервера важно изучить все его «узкие места» и по возможности их укрепить.

Флуд

Флуд, говоря простым языком, это информация, не несущая смысловой нагрузки. В контексте DoS/DDoS-атак флуд представляет собой лавину пустых, бессмысленных запросов того или иного уровня, которые принимающий узел вынужден обрабатывать.

Основная цель использования флуда — полностью забить каналы связи, насытить полосу пропускания до максимума.

Виды флуда:

  • MAC-флуд — воздействие на сетевые коммуникаторы (блокировка портов потоками данных).
  • ICMP-флуд — заваливание жертвы служебными эхо-запросами с помощью зомби-сети или рассылка запросов «от имени» атакуемого узла, чтобы все члены ботнета одновременно отправили ему эхо-ответ (атака Smurf). Частный случай ICMP-флуда — ping-флуд (отправка на сервер запросов ping).
  • SYN-флуд — отправка жертве многочисленных SYN-запросов, переполняя очередь TCP-подключений путем создавая большого количества полуоткрытых (ожидающих подтверждения клиента) соединений.
  • UDP-флуд — работает по схеме Smurf-атак, где вместо ICMP-пакетов пересылаются датаграммы UDP.
  • HTTP-флуд — заваливание сервера многочисленными HTTP-сообщениями. Более изощренный вариант — HTTPS-флуд, где пересылаемые данные предварительно шифруются, и прежде чем атакуемый узел их обработает, ему предстоит их расшифровать.


Как защититься от флуда

  • Настроить на сетевых коммутаторах проверку на валидность и фильтрацию MAC-адресов.
  • Ограничить или запретить обработку эхо-запросов ICMP.
  • Блокировать пакеты, приходящие с определенного адреса или домена, который дает повод подозревать его в неблагонадежности.
  • Установить лимит на количество полуоткрытых соединений с одним адресом, сократить время их удержания, удлинить очередь TCP-подключений.
  • Отключить сервисы UDP от приема трафика извне или ограничить количество UDP-соединений.
  • Использовать CAPTCHA, задержки и другие приемы защиты от ботов.
  • Увеличить максимальное количество HTTP-подключений, настроить кэширование запросов с помощью nginx.
  • Расширить пропускную способность сетевого канала.
  • По возможности выделить отдельный сервер для обработки криптографии (если используется).
  • Создать резервный канал для административного доступа к серверу в аварийных ситуациях.

Перегрузка аппаратных ресурсов

Существуют разновидности флуда, которые воздействуют не на канал связи, а на аппаратные ресурсы атакуемого компьютера, загружая их по полной и вызывая зависание или аварийное завершение работы. Например:

  • Создание скрипта, который разместит на форуме или сайте, где у пользователей есть возможность оставлять комментарии, огромное количество бессмысленной текстовой информации, пока не заполнится всё дисковое пространство.
  • То же самое, только заполнять накопитель будут логи сервера.
  • Загрузка сайта, где выполняется какое-либо преобразование введенных данных, непрерывной обработкой этих данных (отправка так называемых «тяжелых» пакетов).
  • Загрузка процессора или памяти выполнением кода через интерфейс CGI (поддержка CGI позволяет запускать на сервере какую-либо внешнюю программу).
  • Вызов срабатывания системы безопасности, что делает сервер недоступным извне и т. д.


Как защититься от перегрузки аппаратных ресурсов

  • Увеличить производительность оборудования и объем дискового пространства. При работе сервера в штатном режиме свободными должны оставаться не менее 25-30% ресурсов.
  • Задействовать системы анализа и фильтрации трафика до передачи его на сервер.
  • Лимитировать использование аппаратных ресурсов компонентами системы (установить квоты).
  • Хранить лог-файлы сервера на отдельном накопителе.
  • Рассредоточить ресурсы по нескольким независимым друг от друга серверам. Так, чтобы при отказе одной части другие сохраняли работоспособность.

Уязвимости в операционных системах, программном обеспечении, прошивках устройств

Вариантов проведения такого рода атак неизмеримо больше, чем с использованием флуда. Их реализация зависит от квалификации и опыта злоумышленника, его умения находить ошибки в программном коде и использовать их во благо себе и во вред владельцу ресурса.

После того как хакер обнаружит уязвимость (ошибку в программном обеспечении, используя которую можно нарушить работу системы), ему останется лишь создать и запустить эксплойт — программу, которая эксплуатирует эту уязвимость.

Эксплуатация уязвимостей не всегда имеет цель вызвать только отказ в обслуживании. Если хакеру повезет, он сможет получить контроль над ресурсом и распорядиться этим «подарком судьбы» по своему усмотрению. Например, использовать для распространения вредоносных программ, украсть и уничтожить информацию и т. д.

Методы противодействия эксплуатации уязвимостей в софте

  • Своевременно устанавливать обновления, закрывающие уязвимости операционных систем и приложений.
  • Изолировать от стороннего доступа все службы, предназначенные для решения административных задач.
  • Использовать средства постоянного мониторинга работы ОС сервера и программ (поведенческий анализ и т. п.).
  • Отказаться от потенциально уязвимых программ (бесплатных, самописных, редко обновляемых) в пользу проверенных и хорошо защищенных.
  • Использовать готовые средства защиты систем от DoS и DDoS-атак, которые существуют как в виде аппаратных, так и программных комплексов.

Как определить, что ресурс подвергся нападению хакера

Если злоумышленнику удалось достичь цели, не заметить атаку невозможно, но в отдельных случаях администратор не может точно определить, когда она началась. То есть от начала нападения до заметных симптомов иногда проходит несколько часов. Однако во время скрытого воздействия (пока сервер не «лег») тоже присутствуют определенные признаки. Например:

  • Неестественное поведение серверных приложений или операционной системы (зависание, завершение работы с ошибками и т. д.).
  • Нагрузка на процессор, оперативную память и накопитель по сравнению с исходным уровнем резко возрастает.
  • Объем трафика на один или несколько портов увеличивается в разы.
  • Наблюдаются многократные обращения клиентов к одним и тем же ресурсам (открытие одной страницы сайта, скачивание одного и того же файла).
  • Анализ логов сервера, брандмауэра и сетевых устройств показывает большое количество однообразных запросов с различных адресов, часто направленных на конкретный порт или сервис. Особенно если сайт ориентирован на узкую аудиторию (например, русскоязычную), а запросы идут со всего мира. Качественный анализ трафика при этом показывает, что обращения не имеют практического смысла для клиентов.

Всё перечисленное не является стопроцентным признаком атаки, но это всегда повод обратить на проблему внимание и принять надлежащие меры защиты.