Приложение А. Каталог распространенных сетевых атак

Данное приложение содержит список всех наиболее известных и часто встречающихся сетевых атак различного уровня. МЭ могут и должны отвергать большинство из ниже указанных атак. Соответственно, при сертификации конкретного МЭ, эффективность и надежность последнего в основном определяется исходя из успешности противостояния данным атакам.

Все атаки разбиты на 4 класса, исходя из вида той угрозы, которую они представляют:

Каждая атака в списке сопровождается описанием условий и сути осуществления атаки, а так же оценкой ее серьезности и последствий.

Отказ в обслуживании

Отказ в обслуживании (denial of service) - это любое действие или последовательность действий, которая приводит любую часть атакуемой системы к выходу из строя, при котором та перестает выполнять свои функции. Причиной может быть несанкционированный доступ, задержка в обслуживании и т.д.

  1. Фрагментация данных. При передачи пакета данных протокола IP по сети может осуществляться деление этого пакета на несколько фрагментов. В последствии, при достижении адресата, пакет восстанавливается из этих фрагментов. Злоумышленник может инициировать посылку большого числа фрагментов, что приводит к переполнению программных буферов на приемной стороне и, в ряде случаев, к аварийному завершению системы. Количество реализаций атак, использующих возможность фрагментации пакетов, достаточно велико. Например, возможна посылка на компьютер-жертву несколько фрагментированных IP пакетов, которые при сборке образуют один пакет размером более 64К (максимальный размер IP пакета равен 64К минус длина заголовка). Данная атака эффективна против компьютеров с ОС Windows 95/NT. Другие варианты подобных атак используют неправильные смещения в IP-фрагментах, что приводит к некорректному выделению памяти, переполнению буферов и, в конечном итоге, к сбоям в работе систем. Для выявления таких атак необходимо осуществлять и анализировать сборку пакетов "на лету", а это существенно повысит требования к аппаратному обеспечению (производительности процессора, памяти и т.п.) средства контроля информационных потоков.
  2. Ping flooding. Злоумышленник посылает продолжительные серии эхо-запросов по протоколу ICMP. Атакуемая система тратит свои вычислительные ресурсы, отвечая на эти запросы. Таким образом существенно снижается производительность системы и возрастает загруженность каналов связи.
  3. UDP bomb. Передаваемый пакет UDP содержит неправильный формат служебных полей. Некоторые старые версии сетевого ПО приводят при получении подобного пакета к аварийному завершению системы.
  4. SYN flooding. При установлении соединения по протоколу TCP приемная сторона, получив запрос на соединение (пакет с флагом SYN), посылает источнику ответ (пакет с флагами SYN и ACK) о готовности установить это соединение. При этом система размещает в своей памяти служебную запись об устанавливаемом соединении и хранит ее до тех пор, пока источник не пришлет пакет-подтверждение либо не истечет время ожидания данного пакета. Злоумышленник посылает большое количество запросов на установление соединения без передачи пакетов подтверждения. Вследствие этого происходит резкое снижение производительности и при определенных обстоятельствах аварийное завершение системы.
  5. Атака SMURF. Атака SMURF заключается в передаче в сеть широковещательных ICMP запросов от имени компьютера-жертвы. В результате компьютеры, принявшие такие широковещательные пакеты, отвечают компьютеру-жертве, что приводит к существенному снижение пропускной способности канала связи и, в ряде случаев, к полной изоляции атакуемой сети. Для распознавания данной атаки необходимо анализировать загрузку канала и определять причины снижения пропускной способности. Атака SMURF исключительно эффективна и широко распространена.
  6. Атака Land. Атака Land использует уязвимости реализаций стека TCP/IP в некоторых ОС. Она заключается в передаче на открытый порт компьютера-жертвы TCP-пакета с установленным флагом SYN, причем исходный адрес и порт такого пакета равны соответственно адресу и порту атакуемого компьютера. Это приводит к тому, что компьютер-жертва пытается установить соединение сам с собой, в результате чего сильно возрастает загрузка процессора и может произойти "зависание" или перезагрузка системы. Данная атака весьма эффективна на некоторых моделях маршрутизаторов Cisco, причем успешное применение атаки к маршрутизатору может вывести из строя всю сеть организации. Защититься от данной атаки можно, например, фильтруя пакеты между внутренней сетью и сетью Интернет по правилу, указывающему подавлять пакеты, пришедшие из сети Интернет, но с исходными адресами компьютеров внутренней сети.
  7. Атака DNS flooding. DNS flooding - это атака, направленная на сервера имен Интернет. Она заключается в передаче большого числа DNS запросов и приводит к тому, что у пользователей нет возможности обращаться к сервису имен и, следовательно, обеспечивается невозможность работы обычных пользователей. Для выявления данной атаки необходимо анализировать загрузку сервера DNS и выявлять источники запросов.

Попытка несанкционированного доступа

Попытка НСД (unauthorized access attempt) представляет собой любое действие или последовательность действий, которая приводит к попытке чтения файлов или выполнения команд в обход установленной политики безопасности. Также включает попытки злоумышленника получить привилегии, большие, чем установлены администратором системы.

  1. Переполнение буферов. Данная атака заключается в посылке на компьютер-жертву сообщения, приводящего к переполнению буфера-приемника приложения-агента. Переполнение буфера возможно из-за отсутствия проверки длина принимаемых данных в большинстве приложений (Sendmail, Telnet, FTP и др.), особенно старых версий. При переполнении буфера обычно происходит затирание части кода или других данных приложения, в связи с чем, появляется возможность исполнения собственного кода, подготовленного злоумышленником, на компьютере-жертве (возможно, в привилегированном режиме). Атака, связанная с переполнением буферов приложений и нацеленная на осуществление НСД, является одной из самых распространенных. Для выявления и противодействия атакам такого типа необходимо осуществлять фильтрацию протоколов прикладного уровня с учетом особенностей конкретных приложений.
  2. Атака DNS spoofing. Результатом данной атаки является внесение навязываемого соответствия между IP адресом и доменным именем в кэше сервера DNS. В результате успешного проведения такой атаки все пользователи севера DNS получат неверную информацию о доменных именах и IP адресах. Данная атака характеризуется большим количеством DNS пакетов с одним и тем же доменным именем. Это связано с необходимостью подбора некоторых параметров DNS обмена. Для выявления такой атаки необходимо анализировать содержимое DNS трафика.
  3. Атака IP spoofing (syslog). Большое количество атак в сети Интернет связано с подменой исходного IP адреса. К таким атакам относится syslog spoofing, которая заключается в передаче на компьютер-жертву сообщения от имени другого компьютера внутренней сети. Поскольку протокол syslog используется для ведения системных журналов, путем передачи ложных сообщений на компьютер-жертву можно навязать информацию или скрыть следы несанкционированного доступа. Выявление атак, связанных с подменой IP адресов, возможно при контроле получения на одном из интерфейсов пакета с исходным адресом этого же интерфейса или при контроле получения на внешнем интерфейсе пакетов с IP адресами внутренней сети.

Предварительное зондирование

Предварительное зондирование (pre-attack probe) - любое действие или последовательность действий по получению информации из или о сети (например, имена и пароли пользователей), используемые в дальнейшем для осуществления неавторизованного доступа.

  1. Сканирование Half scan. Атака состоит в незаметном выявлении каналов информационного воздействия на систему. Злоумышленник посылает пакеты установления соединения и при получении ответов от системы сбрасывает соединение (пакет с флагом RST). При этом стандартные средства не фиксируют попытку установления соединения, в то время как злоумышленник определяет присутствие служб на определенных портах.
  2. Сканирование системы средством Internet Security Scanner или SATAN. Фиксируется факт сканирования системы с помощью продукта ISS коммерческой или свободно распространяемой версии.
  3. Сканирование сети посредством DNS. Известно, что прежде чем начинать атаку, злоумышленники осуществляют выявление целей, т.е. выявление компьютеров, которые будут жертвами атаки, а также компьютеров, которые осуществляют информационный обмен с жертвами. Одним из способов выявления целей заключается в опросе сервера имён и получение от него всей имеющейся информации о домене. Для определения такого сканирования необходимо анализировать DNS-запросы, приходящие, быть может, от разных DNS серверов, но за определенный, фиксированный промежуток времени.
  4. Сканирование TCP портов. Сканирование портов представляет собой известный метод распознавания конфигурации компьютера и доступных сервисов. Для успешного проведения атак злоумышленникам необходимо знать, какие службы установлены на компьютере-жертве. Существует несколько методов TCP сканирования, часть из них называется скрытными (stealth), поскольку они используют уязвимости реализаций стека TCP/IP в большинстве современных ОС и не обнаруживаются стандартными средствами. Выявить данную атаку можно путем полного перехвата трафика TCP и анализа номеров портов. Кроме того, существуют возможности противодействия TCP сканированию. Это противодействие можно осуществлять, например, передавая TCP пакеты с установленным флагом RST от имени сканируемого компьютера на компьютер злоумышленника, таким образом, вводя его в заблуждение.
  5. Сканирование UDP портов. Другой вид сканирования портов основывается на использовании протокола UDP и заключается в следующем: на сканируемый компьютер передаётся UDP пакет, адресованный к порту, который проверяется на предмет доступности. Если порт недоступен, то в ответ приходит ICMP сообщение о недоступности (destination port unreachable), в противном случае ответа нет. Данный вид сканирования достаточно эффективен. Он позволяет за короткое время сканировать все порты на компьютере-жертве. Кроме того, этот вид сканирования широко известен в Интернет. В тоже время, противодействовать сканированию данного рода возможно путём передачи сообщений о недоступности порта на компьютер злоумышленника.
  6. Сканирование сети методом ping sweep. Ping sweep или выявление целей с помощью протокола ICMP также является эффективным методом. Для определения факта ping-сканирования целей, находящихся внутри подсети, необходимо анализировать исходные и конечные адреса ICMP пакетов.

"Подозрительная" сетевая активность

"Подозрительная" сетевая активность (suspicious activity) представляет класс атак, характерной особенностью которых является наличие сетевого трафика, выходящего за рамки определения "стандартного" трафика. Подобная активность может указывать на подозрительные действия, осуществляемые в сети.

  1. Нестандартные протоколы, инкапсулированные в IP. Пакет IP содержит поле, определяющее протокол инкапсулированного пакета (TCP, UDP, ICMP). Злоумышленники могут использовать нестандартное значение данного поля для передачи данных, которые не будут фиксироваться стандартными средствами контроля информационных потоков.
  2. Использование протокола ARP. Данный тип запросов может быть использован злоумышленниками для определения функционирующих систем в сегментах локальной сети.
  3. Использование маршрутизации источника. При пересылке пакетов IP по сети Интернет обычно используется динамическая маршрутизация, т.е. решение о направлении дальнейшего продвижения каждого конкретного пакета по сети принимается каждым отдельным маршрутизатором в момент получения данного пакета исходя из алгоритма маршрутизации. Однако, существует и возможность указания в пакете конкретного маршрута, по которому должен быть послан пакет. Эта возможность может быть использована злоумышленником для обхода элементов защиты (например, МЭ) локальной сети. Для противодействия подобной атаке необходимо запретить маршрутизацию источника внутри локальной сети.
  4. Дублирующий IP-адрес. Каждая система в сети Интернет характеризуется своим уникальным цифровым адресом. Если обнаруживается, что одна система (имеющая другой MAC-адрес) посылает пакет с IP адресом, совпадающий с адресом другой, то значит одна из этих систем была неправильно настроена. Подобная техника может применяться атакующей стороной, для незаметной подмены работающей "доверенной" системы и осуществления атак от ее имени. Защита от данной атаки может быть реализована путем хранения для всех активных систем пары адресов (IP и MAC) и анализа адресов в заголовках пакетов, пересылаемых по локальной сети.