Реферат на тему сетевые атаки

Обновлено: 04.07.2024

Информационная безопасность является одной из проблем, с которой столкнулось современное общество в процессе массового использования автоматизированных средств ее обработки.
Проблема информационной безопасности обусловлена возрастающей ролью информации в общественной жизни. Современное общество все более приобретает черты информационного общества.

Прикрепленные файлы: 1 файл

реферат1.docx

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

Федеральное государственное автономное образовательное учреждение

высшего профессионального образования

Кафедра информатики, информационных технологий и методики обучения

Выполнил студент гр. М2101

Проверил доктор ф.м.наук, профессор

Информационная безопасность является одной из проблем, с которой столкнулось современное общество в процессе массового использования автоматизированных средств ее обработки.

Проблема информационной безопасности обусловлена возрастающей ролью информации в общественной жизни. Современное общество все более приобретает черты информационного общества.

    1. Классификация угроз "информационной безопасности"

    1.1 Классы угроз информационной безопасности

    Анализ и выявление угроз информационной безопасности является второй важной функцией административного уровня обеспечения информационной безопасности. Во многом облик разрабатываемой системы защиты и состав механизмов ее реализации определяется потенциальными угрозами, выявленными на этом этапе. Например, если пользователи вычислительной сети организации имеют доступ в Интернет, то количество угроз информационной безопасности резко возрастает, соответственно, это отражается на методах и средствах защиты и т. д.

    Угроза информационной безопасности – это потенциальная возможность нарушения режима информационной безопасности (рис. 1). Преднамеренная реализация угрозы называется атакой на информационную систему. Лица, преднамеренно реализующие угрозы, являются злоумышленниками.

    Рисунок 1- Угроза информационной безопасности

    История развития информационных систем показывает, что новые уязвимые места появляются постоянно. С такой же регулярностью, но с небольшим отставанием, появляются и средства защиты. В большинстве своем средства защиты появляются в ответ на возникающие угрозы, так, например, постоянно появляются исправления к программному обеспечению фирмы Microsoft, устраняющие очередные его уязвимые места и др. Такой подход к обеспечению безопасности малоэффективен, поскольку всегда существует промежуток времени между моментом выявления угрозы и ее устранением. Именно в этот промежуток времени злоумышленник может нанести непоправимый вред информации.

    В этой связи более приемлемым является другой способ - способ упреждающей защиты, заключающийся в разработке механизмов защиты от возможных, предполагаемых и потенциальных угроз.

    Особенности информационной безопасности в компьютерных сетях

    Сетевые системы характерны тем, что наряду с локальными угрозами, осуществляемыми в пределах одной компьютерной системы, к ним применим специфический вид угроз, обусловленный распределенностью ресурсов и информации в пространстве. Это так называемые сетевые или удаленные угрозы. Они характерны, во-первых, тем, что злоумышленник может находиться за тысячи километров от атакуемого объекта, и, во-вторых, тем, что нападению может подвергаться не конкретный компьютер, а информация, передающаяся по сетевым соединениям. С развитием локальных и глобальных сетей именно удаленные атаки становятся лидирующими как по количеству попыток, так и по успешности их применения и, соответственно, обеспечение безопасности вычислительных сетей с точки зрения противостояния удаленным атакам приобретает первостепенное значение. Специфика распределенных вычислительных систем состоит в том, что если в локальных вычислительных сетях наиболее частыми являются угрозы раскрытия и целостности, то в сетевых системах на первое место выходит угроза отказа в обслуживании.

    Удаленная угроза – потенциально возможное информационное разрушающее воздействие на распределенную вычислительную сеть, осуществляемая программно по каналам связи. Это определение охватывает обе особенности сетевых систем – распределенность компьютеров и распределенность информации. Поэтому при рассмотрении вопросов информационной безопасности вычислительных сетей рассматриваются два подвида удаленных угроз – это удаленные угрозы на инфраструктуру и протоколы сети и удаленные угрозы на телекоммуникационные службы. Первые используют уязвимости в сетевых протоколах и инфраструктуре сети, а вторые – уязвимости в телекоммуникационных службах.

    Цели сетевой безопасности могут меняться в зависимости от ситуации, но основные цели обычно связаны с обеспечением составляющих "информационной безопасности":

    • целостности данных;
    • конфиденциальности данных;
    • доступности данных.

    Исторически первой глобальной атакой на компьютерные сети считается распространение вируса Морриса (4 ноября 1988) в сети "Arpanet", когда примерно из 60 000 компьютеров в сети было заражено около 10% (примерно 6 000). Неконтролируемый процесс распространения вируса привел к блокировке сети.

    3.5.2. Классы удаленных угроз и их характеристика

    При изложении данного материала в некоторых случаях корректнее говорить об удаленных атаках нежели, об удаленных угрозах объектам вычислительных сетей, тем не менее, все возможные удаленные атаки являются в принципе удаленными угрозами информационной безопасности.

    Удаленные угрозы можно классифицировать по следующим признакам (рис.2).

    Рисунок 2-Классификация атак

    1. По характеру воздействия:
      • пассивные;
      • активные.

    Пассивным воздействием на распределенную вычислительную систему называется воздействие, которое не оказывает непосредственного влияния на работу системы, но может нарушать ее политику безопасности. Именно отсутствие непосредственного влияния на работу сети приводит к тому, что пассивное удаленное воздействие практически невозможно обнаружить. Примером пассивного типового удаленного воздействия в вычислительных сетях является прослушивание канала связи в сети.

    1. По цели воздействия:
      • нарушение конфиденциальности информации;
      • нарушение целостности информации;
      • нарушение доступности информации (работоспособности системы).

    Этот классификационный признак является прямой проекцией трех основных типов угроз – раскрытия, целостности и отказа в обслуживании.

    Одна из основных целей злоумышленников – получение несанкционированного доступа к информации. Существуют две принципиальные возможности доступа к информации: перехват и искажение. Возможность перехвата информации означает получение к ней доступа, но невозможность ее модификации. Следовательно, перехват информации ведет к нарушению ее конфиденциальности. Примером перехвата информации может служить прослушивание канала в сети. В этом случае имеется несанкционированный доступ к информации без возможности ее искажения. Очевидно также, что нарушение конфиденциальности информации является пассивным воздействием.

    Принципиально другая цель преследуется злоумышленником при реализации угрозы для нарушения работоспособности сети. В этом случае не предполагается получение несанкционированного доступа к информации. Его основная цель – добиться, чтобы узел сети или какой-то из сервисов поддерживаемый им вышел из строя и для всех остальных объектов сети доступ к ресурсам атакованного объекта был бы невозможен. Примером удаленной атаки, целью которой является нарушение работоспособности системы, может служить типовая удаленная атака "отказ в обслуживании".

    Удаленное воздействие, также как и любое другое, может начать осуществляться только при определенных условиях. В вычислительных сетях можно выделить три вида условий начала осуществления удаленной атаки:

      • атака по запросу от атакуемого объекта;
      • атака по наступлению ожидаемого события на атакуемом объекте;
      • безусловная атака.

      В первом случае, злоумышленик ожидает передачи от потенциальной цели атаки запроса определенного типа, который и будет условием начала осуществления воздействия. Примером подобных запросов в сети Internet служат DNS-запросы. Отметим, что данный тип удаленных атак наиболее характерен для распределенных вычислительных сетей.

      Во втором случае, злоумышленник осуществляет постоянное наблюдение за состоянием операционной системы удаленной цели атаки и при возникновении определенного события в этой системе начинает воздействие. Как и в предыдущем случае, инициатором осуществления начала атаки выступает сам атакуемый объект.

      Реализация третьего вида атаки не связана ни с какими событиями и реализуется безусловно по отношению к цели атаки, то есть атака осуществляется немедленно.

      1. По наличию обратной связи с атакуемым объектом:
        • с обратной связью;
        • без обратной связи (однонаправленная атака).

      Удаленная атака, осуществляемая при наличии обратной связи с атакуемым объектом, характеризуется тем, что на некоторые запросы, переданные на атакуемый объект, атакующему требуется получить ответ, а следовательно, между атакующим и целью атаки существует обратная связь, которая позволяет атакующему адекватно реагировать на все изменения, происходящие на атакуемом объекте.

      В отличие от атак с обратной связью удаленным атакам без обратной связи не требуется реагировать на какие-либо изменения, происходящие на атакуемом объекте. Атаки данного вида обычно осуществляются передачей на атакуемый объект одиночных запросов, ответы на которые атакующему не нужны. Подобную удаленную атаку можно называть однонаправленной удаленной атакой. Примером однонаправленных атак является типовая удаленная атака "отказ в обслуживании".

      1. По расположению субъекта атаки относительно атакуемого объекта:
        • внутрисегментное;
        • межсегментное.

      Рассмотрим ряд определений:

      Субъект атаки (или источник атаки) – это атакующая программа или злоумышленник, непосредственно осуществляющие воздействие.

      Маршрутизатор (router) – устройство, обеспечивающее маршрутизацию пакетов обмена в глобальной сети.

      Подсеть (subnetwork) (в терминологии Internet) – совокупность хостов, являющихся частью глобальной сети, для которых маршрутизатором выделен одинаковый номер подсети. Хосты внутри одной подсети могут взаимодействовать между собой непосредственно, минуя маршрутизатор.

      Сегмент сети – физическое объединение хостов. Например, сегмент сети образуют совокупность хостов, подключенных к серверу по схеме "общая шина". При такой схеме подключения каждый хост имеет возможность подвергать анализу любой пакет в своем сегменте.


      В статье представлен обзор существующих методов обнаружение аномальной активности в сетевом трафике. Данные методы основаны на особенностях атак и поведении злоумышленников. Описаны типы атак и классификация обнаружения.

      С развитием открытых сетей угрозы безопасности для сети значительно возросли за последние несколько лет. Различные типы атак обладают различными типами угроз для сети и сетевых ресурсов. Многие механизмы обнаружения были предложены различными исследователями. В данной статье рассматриваются различные типы возможных сетевых атак и механизмы обнаружения.

      Атаки могут быть классифицированы в широком смысле на следующие два типа:

      Пассивная Атака

      Пассивная атака включает в себя анализ сетевого трафика, расшифровку слабо зашифрованного содержимого в трафике,мониторинг незащищенных коммуникаций и захват аутентификационной информации, такой как пароль.

      Активная Атака

      Активная атака включает в себя попытки обхода или взлома функций, реализованных для защиты, внедрения вредоносного кода, а также изменения или кражи информации. Активные атаки приводят к обнаружению или распространению файлов данных, DoS (отказ в обслуживании) или модификации данных.

      КЛАССИФИКАЦИЯ СИСТЕМ ОБНАРУЖЕНИЯ АТАК

      Обнаружение на основе хоста

      Системы обнаружения на базе хоста отслеживают и анализируют внутренние компоненты вычислительной системы, а не ее внешние интерфейсы. Такие системы могут обнаруживать внутреннюю активность, например, какая программа обращается к каким ресурсам и пытается получить незаконный доступ. Примером может служить текстовый процессор, который внезапно и необъяснимо начинает изменять базу данных системных паролей.

      Обнаружение на основе сети

      Сеть подключена к остальному миру через Интернет. Сетевая система обнаружения считывает все входящие пакеты или потоки, пытаясь найти подозрительные паттерны. Например, если в течение короткого времени наблюдается большое количество запросов TCP-соединения к очень большому количеству различных портов, мы можем предположить, что кто-то совершает "сканирование портов" на каком-то компьютере(компьютерах) в сети.

      СИСТЕМЫ ОБНАРУЖЕНИЯ

      Алгоритмы машинного обучения

      Применяется несколько известных алгоритмов машинного обучения, таких как дерево решений, правило пульсаций, случайный лес и байесовская сеть.

      Рассмотрены только 12 признаков данных сетевого трафика, которые эффективны для обнаружения и классификации 17 типов атак зондирования и отказа в обслуживании, а также нормальной сетевой активности. Система начинает обнаруживать пакет из Ethernet и отправлять пакетные данные в часть предварительной обработки для извлечения важных функций для формирования записи данных в течение определенного интервала времени.

      Сниффер пакетов на языке Java используется для захвата пакетной информации между IP-парой источник-назначение, включая IP-заголовок, TCP-заголовок, UDP-заголовок и ICMP-заголовок с интерфейсной платы Ethernet.

      Затем предварительно обработанные данные отправляются вклассификационную часть для идентификации типов атак, или же данные являются нормальной сетевой активностью. Предварительно обработанные данные классифицируются алгоритмами машинного обучения, написанными на java из библиотеки Weka. Для классификации используются известные алгоритмы, состоящие из правила пульсации, случайного леса,дерева решений C4.5 и байесовской сети. Результат от части обнаружения затем отправляется в часть защиты. Сетевые пакеты данных блокируются с помощью IPtable при обнаружении сетевых атак. Если результатом работы сетевых типов является Probe, система записывает IP-адрес отправителя как IP-адрес атакующего и блокирует или отбрасывает все пакеты с IP-адреса атакующего. Если результатом является DoS, система записывает номер порта соединения, который был атакован, а затем блокирует или отбрасывает все пакеты, проходящие черезномер порта atta cked. Их экспериментальные результаты показали, что правило пульсации, дерево решений, байесовские сетевые алгоритмы имеют очень высокую скорость обнаружения, в то время как случайный лес не так хорош, как другие, особенно для обнаружения зонда.

      Многомерная корреляция

      Zhiyuan Tan разработал систему обнаружения DoS-атак. Вся система работает в три этапа. На этапе 1 Основные функции генерируются из входящего сетевого трафика во внутреннюю сеть, где находятся защищенные серверы, и используются для формирования записей трафика в течение четко определенного интервала времени. На этапе 2 выполняется многомерный корреляционный анализ, в котором применяется модуль “генерация карты площади треугольника” для извлечения корреляций между двумя различными признаками внутри каждого сигнала трафика, поступающего с первого шага, или записи трафика, нормализованной модулем “нормализация признаков”.

      На этапе 3 в процессе принятия решений используется механизм обнаружения аномалий. Принятие решений осуществляется с использованием двухфазного процесса.

      Модуль "генерация нормальных профилей “работает в” фазе обучения" для генерации профилей для различных типов законных записей трафика, и сгенерированные нормальные профили хранятся в базе данных. Модуль "генерация тестируемого профиля “используется на” тестовой фазе" для построения профилей для отдельных наблюдаемых записей трафика. Затем протестированные профили передаются в модуль "обнаружение атак". В этом модуле все протестированные профили сравниваются с соответствующими сохраненными нормальными профилями. В модуле “обнаружение атак” используется пороговый классификатор, позволяющий отличать DoS-атаки от законного трафика.

      Наивный Байесовский Классификатор

      A. Kumaravel разработал сетевую систему обнаружения вторжений. Система анализирует данные дампа TCP с использованием методов интеллектуального анализа данных для классификации сетевых записей как обычных, так и аномальных, а также определяет тип атаки. Система состоит из двух этапов. На первом этапе обнаружение атак осуществляется с помощью наивного байесовского классификатора, а на втором этапе, состоящем из четырех последовательных слоев, по одному для каждого типа класса (R2L, U2R, Dos, Probe) классификация атак осуществляется с помощью слоя, отвечающего за идентификацию типа атаки приходящей записи в соответствии с ее классовым типом.

      Ристо Вааранди представил два алгоритма обнаружения аномалий в частных сетях. Оба алгоритма используют метод обнаружения служб , который обнаруживает сетевые службы на основе TCP и UDP из наборов данных недавнего прошлого (например, данные за последние 30 дней). Эта информация используется для создания профилей поведения для каждого клиента. Предлагаемые алгоритмы обнаружения аномалий используют эти профили для обнаружения аномальных сетевых потоков почти в реальном времени, а также для ежедневного обнаружения зависаний поведения узлов с помощью кластеризации данных. Для обнаружения аномальных сетевых потоков был разработан метод, который строит профили использования услуг для каждого клиента из прошлых наборов данных, а затем использует эти профили для различения аномальной сетевой активности от нормального трафика в режиме почти реального времени.

      Интеллектуальный Анализ Данных

      Shin-Ying Huang предложил подход для обнаружения сетевой аномалии. Этот подход состоит из двух этапов: этапа разработки и этапа идентификации.

      Во-первых, обучающие выборки собираются из данных сетевого трафика посредством агрегирования оповещений. Этап интеллектуального анализа данных включает в себя кластеризацию данных, визуализацию данных и этап маркировки паттернов атак

      Эти два этапа могут быть интегрированы в автономную оценку обнаружения вторжений, а полученные знания об обнаружении сетевых аномалий могут быть интегрированы в IDS.

      P. Jongsuebsuk использовал подход нечеткого генетического алгоритма для обнаружения неизвестных или новых типов сетевых атак. Он применил подход алгоритм для реализации системы обнаружения вторжений в реальном времени. В своих экспериментах он рассматривал различные атаки типа "отказ в обслуживании" (DoS) и зондирующие атаки. Он оценил свои идентификаторы с точки зрения частоты обнаружения, времени обнаружения и частоты ложных тревог. Он получил среднюю частоту обнаружения примерно более 97% в результате своего эксперимента

      Kapil Wankhade описал различные методы интеллектуального анализа данных, такие как классификация, кластеризация и гибридные подходы к обучению, такие как комбинация методов кластеризации и классификации для обнаружения attacks. Он использовал метод классификации для обнаружения только известных атак и метод кластеризации для обнаружения неизвестных атак.

      Были рассмотренны различные методы и методы обнаружения атакующих пакетов в сети. Большинство представленных результатов зависят от результатов, наблюдаемых на тренажерах. Внедрение некоторых из предложенных систем в живую сеть является непростой задачей. Некоторые из существующих системных подходов могут быть объединены для обнаружения известных, а также новых атак. Для принятия превентивных мер против сетевых атак наиболее подходящая система, должна анализировать данные в режиме реального времени. Автономный анализ всех полученных пакетов может быть полезен для обнаружения новых атак, которые в дальнейшем могут быть использованы для создания сигнатур атак. Эти сигнатуры затем могут быть использованы для обнаружения таких атак в реальном времени в будущем.

      Защита от сетевых атак

      Сетевые атаки способны вывести из строя ресурсы организации, что ведет к финансовым и репутационным потерям, практические способы их подавления и раннего выявления позволяют обеспечить комплексную защиту.

      Виды сетевых атак

      Обнаружение сетевых атак

      Комплексное решение от сетевых атак

      Введение

      Сетевые атаки с каждым годом становятся изощреннее и приносят серьезный финансовый и репутационный ущерб. Атака поражает все коммуникации и блокирует работу организации на продолжительный период времени. Наиболее значимые из них были через вирусов шифровальщиков в 2017 году — Petya и Wanna Cry. Они повлекли за собой миллионные потери разных сфер бизнеса по всему миру и показали уязвимость и незащищенность сетевой инфраструктуры даже крупных компаний. Защиты от сетевых атак просто не было предусмотрено, в большинстве организаций информационная безопасность сводилась в лучшем случае к установке антивируса. При этом с каждым днем их видов становится на сотни больше и мощность от последствий только растет. Как же защитить бизнес от таких киберинцидентов, какие программы для этого существуют, рассмотрим в этой статье.

      Виды сетевых атак

      Разновидностей сетевых атак появляется все больше, вот только наиболее распространенные, с которыми может столкнуться как малый бизнес, так и крупная корпорация, разница будет только в последствиях и возможностях их остановить при первых попытках внедрения в сетевую инфраструктуру:

      Сетевая разведка — сведения из сети организации собирают с помощью приложений, находящихся в свободном доступе. В частности, сканирование портов — злоумышленник сканирует UDP- и TCP-порты, используемые сетевыми службами на атакуемом компьютере, и определяет уязвимость атакуемого компьютера перед более опасными видами вторжений;

      IP-спуфинг — хакер выдает себя за легитимного пользователя;

      Mail Bombing — отказ работы почтового ящика или всего почтового сервера;

      DDоS-атака — отказ от обслуживания, когда обычные пользователи сайта или портала не могут им воспользоваться;

      Man-in-the-Middle — внедрение в корпоративную сеть с целью получения пакетов, передаваемых внутри системы);

      XSS-атака — проникновение на ПК пользователей через уязвимости на сервере;

      Применение специализированных приложений — вирусов, троянов, руткитов, снифферов;

      Переполнение буфера — поиск программных или системных уязвимостей и дальнейшая провокация нарушение границ оперативной памяти, завершение работы приложения в аварийном режиме и выполнение любого двоичного кода.

      Защита от сетевых атак строится на непрерывном мониторинге всего, что происходит в сети компании и мгновенном реагировании уже на первые признаки появления нелегитимных пользователей, открытых уязвимостей или заражений.

      Обнаружение сетевых атак

      Один из наиболее актуальных и сложных вопросов со стороны службы безопасности всегда будет — как обнаружить сетевую атаку еще до того, как нанесен существенный ущерб.

      Обнаружение атак на сеть организации — прямая задача службы безопасности. Но зачастую атаки настолько продуманные и изощренные, что внешне могут не отличаться от обычной пользовательской активности или проходить незаметно для пользователей с использованием их ресурсов. Обнаружить аномалии трафика — первые признаки инцидента— вручную можно лишь тогда, когда он уже хотя бы частично совершен.

      Чтобы обнаружить аномалии в трафике с момента их появления в сети, необходимы специализированные решения для непрерывного мониторинга всех потоков трафика — почтовых адресов, серверов, подключений, портов и пр. на уровне сетевых пакетов.

      С помощью специализированных решений выявление сетевых атак происходит автоматически, о чем специалист службы безопасности получает мгновенное оповещение на почту или в SIEM. Сразу формируется отчет, откуда взялась вредоносная активность, кто явился ее инициатором. У службы безопасности есть возможность оперативных действий по предотвращению инцидентов. По результату нивелирования угрозы можно также прописать политику безопасности по блокировке подобных вторжений в дальнейшем.

      Наносимый ущерб

      Эксперты в сфере ИБ сходятся во мнении, что реально оценить ущерб от кибератак практически невозможно. Во-первых, не все организации точно знают о своих потерях, в связи с тем, что не занимаются информационной безопасностью в своих компаниях. Во-вторых, многие организации, столкнувшиеся с кибератаками, не спешат обнародовать свои убытки, чтобы избежать санкций со стороны регуляторов.

      Портал Tadviser еще в 2018 году посчитал, что убытки российских компаний от сетевых атак превысили 116 млн руб. И эта цифра ежегодно только растет.

      Если говорить о мировых масштабах ущерба для мировой экономики, компания Allianz Global Corporate & Specialty оценила его в более чем 575 млрд долларов — порядка 1% мирового ВВП.

      Атаки на сеть в большинстве своем имеют цели наживы или нанесения умышленного вреда, к примеру, со стороны конкурентов или уволенных сотрудников, к примеру. Поэтому результат атаки, если ее не предотвратить, всегда плачевный. Масштаб также зависит от целей и профессионализма ее инициатора — просто приостановить работу компании, выкрасть те или иные данные, заблокировать сеть с целью выкупа или нецелевое использование ресурсов компании.

      Отсутствие специализированных систем для выявления, подавления и расследования делает организацию уязвимой в каждый момент.

      Способы защиты

      Каждую сетевую атаку можно рассматривать как отдельный и серьезный инцидент безопасности. И, по сути, есть множество программ, способных обеспечить защиту от отдельных видов сетевых вторжений:

      Шифрование данных — возможность скрыть информацию, в случае утечки злоумышленник не прочитает ее.

      Блокировщики снифферов и руткитов.

      Межсетевой экран — фильтрация всего проходящего через него трафика.

      Anti-DDoS — решения или возможности ими пользоваться через подключение защиты у оператора связи.

      IDS-решения, позволяющие обнаружить сетевые вторжения.

      Стоит учитывать и тот факт, что атаки не остаются на том же уровне, растет их сложность. И программы защиты, даже если внедрены, имеют свойства устаревать — им постоянно нужно обновление, по факту опережающее или хотя бы не отстающее от киберугроз.

      У стандартных способов защиты от угроз получается сразу две проблемы — во-первых, они по большей части не автоматизированы и требуют ручных действий от сотрудников безопасности, а во-вторых, не всегда могут обнаружить новые типы угроз.

      Поэтому организациям, которые ценят свою репутацию, и не готовы терпеть репутационные и финансовые потери вследствие кибератак, нужно задуматься и выделить бюджеты на внедрение комплексного автоматизированного решения по защите от инцидентов.

      Какие преимущества это дает? У службы безопасности есть предустановленные политики безопасности со сценарием реагирования на большинство известных типов атак. То есть, многие сетевые инциденты будут подавлены по первым признакам.

      Новые типы вторжений также не останутся незамеченными, так как система выявит нетипичное поведение пользователя или программы и сигнализирует об этом службе безопасности. Останется посмотреть уязвимости, закрыть их и провести расследование, чтобы устранить подобную угрозу в дальнейшем.

      Еще один существенный плюс комплексного решения безопасности — это постоянное обновление. Центр компетенций разработчика постоянно мониторит появление новых угроз и формирует базу защиты от них и предоставляет эту информацию пользователям системы, что в разы сокращает риски атак и заражений в сети. Более того, решения часто дополняются новыми возможностями защиты под потребности клиентов. То есть, приобретая комплексное решение по защите от сетевых инцидентов, организация получает настраиваемый эффективный инструмент для безопасности своих активов от всех типов сетевых угроз.

      Система работает на уровне сетевых пакетов и позволяет мгновенно детектировать любые нарушения в сети. Пользователь программы в интерфейсе видит все, что происходит в сети, в каких узлах и на каких рабочих местах и может оперативно закрыть уязвимости и заблокировать распространение атаки или заражения по сети.

      Сетевые атаки столь же разнообразны, как и системы, против которых они направлены. Некоторые атаки отличаются большой сложностью. Другие может осуществить обычный пользователь, даже не предполагающий, какие последствия может иметь его деятельность. Сеть Интернет создавалась для связи между государственными учреждениями и университетами в помощь учебному процессу и научным исследованиям.

      Содержание работы

      ВВЕДЕНИЕ……………………………………………………………………………..4
      1 Информационная безопасность и основные виды угроз. ………………. ………5
      2 Методы и средства защиты от сетевых атак…………………………..………. 11
      Вывод…………………………………………………………………………………..16
      Библиографический список…………………………………………………………..17

      Содержимое работы - 1 файл

      Анализ сетевых атак и способы защиты от них.doc

      1 Информационная безопасность и основные виды угроз. ………………. ………5

      2 Методы и средства защиты от сетевых атак…………………………..………. 11

      Сетевые атаки столь же разнообразны, как и системы, против которых они направлены. Некоторые атаки отличаются большой сложностью. Другие может осуществить обычный пользователь, даже не предполагающий, какие последствия может иметь его деятельность. Сеть Интернет создавалась для связи между государственными учреждениями и университетами в помощь учебному процессу и научным исследованиям. Создатели этой сети не подозревали, насколько широко она распространится, в результате в спецификациях ранних версий Интернет-протокола (IP) отсутствовали требования безопасности. Изначально средства защиты для протокола IP не разрабатывались - все его реализации стали дополняться разнообразными сетевыми процедурами, услугами и продуктами, снижающими риски, присущие этому протоколу.

      1. Анализ компьютерных атак

      Атакующим информационным оружием сегодня можно назвать:

      1. компьютерные вирусы, способные размножаться, внедряться в программы, передаваться по линиям связи, сетям передачи данных, выводить из строя системы управления и т. п.;

      2. логические бомбы — запрограммированные устройства, которые внедряют в информационно-управляющие центры военной или гражданской инфраструктуры, чтобы по сигналу или в установленное время привести их в действие;

      3. средства подавления информационного обмена в телекоммуникационных сетях, фальсификация информации в каналах государственного и военного управления;

      4. средства нейтрализации тестовых программ;

      5. ошибки различного рода, сознательно вводимые лазутчиками в программное обеспечение объекта.

      Хакеры, в отличие от других компьютерных пиратов, иногда заранее, как бы бравируя, оповещают владельцев компьютеров о намерениях проникнуть в их системы. О своих успехах они сообщают на сайтах Internet. При этом хакеры, руководствующиеся соревновательными побуждениями, как правило, не наносят ущерба компьютерам, в которые им удалось проникнуть.

      Наиболее серьезную угрозу информационной безопасности представляет третий тип: пираты. Компьютерные пираты — это высококлассные специалисты фирм и компаний, занимающиеся хищением информации по заказам конкурирующих фирм и даже иностранных спецслужб. Кроме того, ими практикуется изъятие денежных средств с чужих банковских счетов.

      Компьютерные вирусы теперь способны делать то же, что и настоящие вирусы: переходить с одного объекта на другой, изменять способы атаки и мутировать, чтобы проскользнуть мимо выставленных против них защитных кордонов.

      Поэтому необходимо знать, что случится, если новый не идентифицированный вирус попадает в вашу сеть, насколько быстро поможет антивирусное решение, скоро ли эта помощь достигнет всех клиентских настольных систем и как не допустить распространения такой заразы.

      До широкого распространения Internet-вирусов было относительно немного, и они передавались преимущественно на дискетах. Вирусы достаточно просто было выявить и составить их список после того, как они проявили себя и нанесли вред. Если такой список содержал распознаваемые строки байт (сигнатуры) из программного кода, составляющего вирус, то любой файл (или загрузочный сектор) можно было достаточно быстро просмотреть на предмет наличия такой строки. В случае ее обнаружения файл с большой степенью вероятности содержал вирус.

      Взлом парольной защиты операционных систем.

      Проблему безопасности компьютерных сетей не назовешь надуманной. Практика показывает: чем масштабнее сеть и чем ценнее информация, доверяемая подключенным к ней компьютерам, тем больше находится желающих нарушить их нормальное функционирование ради материальной выгоды или просто из праздного любопытства.

      В самой крупной компьютерной сети в мире (Internet) атаки на компьютерные системы возникают подобно волнам цунами, сметая все защитные барьеры и оставляя после себя парализованные компьютеры и опустошенные винчестеры. Эти атаки не знают государственных границ. Идет постоянная виртуальная война, в ходе которой организованности системных администраторов противостоит изобретательность компьютерных взломщиков. Наиболее опасным при этом является взлом парольной защиты операционных систем, которые содержат системный файл с паролями пользователей сети.

      Иногда злоумышленнику удается путем различных ухищрений получить в свое распоряжение файл с именами пользователей и их зашифрованными паролями. И тогда ему на помощь приходят специализированные программы, так называемые парольные взломщики.

      Типовые способы удаленных атак на информацию в сети

      Злоумышленники могут предпринимать удаленные атаки на компьютерные сети. Строятся такие атаки на основе знаний о протоколах, используемых в сети Internet. В результате успех атаки не зависит от того, какую именно программно-аппаратную платформу использует пользователь. Хотя, с другой стороны, это внушает и известный оптимизм. Кроме того, существуют еще и внутренние атаки на информацию в компьютерных сетях.

      За счет того, что все атаки построены на основе некоторого конечного числа базовых принципов работы сети Internet, становится возможным выделить типовые удаленные атаки и предложить некоторые типовые комплексы мер противодействия им.

      Наиболее типовыми удаленными атаками на информацию в сети из-за несовершенства Internet-протоколов являются:

      1. анализ сетевого трафика сети;

      2. внедрение ложного объекта сети;

      3. внедрение ложного маршрута.

      Распределенные атаки на отказ от обслуживания

      Атаки на отказ от обслуживания, нацеленные на конкретные Web-узлы, вызывают переполнение последних за счет преднамеренного направления на них Internet-трафика большого объема. Такие атаки, предусматривающие запуск программ, иногда называемых зомби, ранее были скрыты на сотнях подключенных к Internet компьютерах, которые принадлежали обычно ничего не подозревающим организациям.

      Распределенные атаки на отказ от обслуживания — DDoS (Distributed Denial of Service) — сравнительно новая разновидность компьютерных преступлений. Но распространяется она с пугающей скоростью.

      Угроза отказа в обслуживании возникает всякий раз, когда в результате некоторых действий блокируется доступ к некоторому ресурсу вычислительной системы

      Существуют различные причины, по которым может возникнуть DoS-условие:

       Ошибка в программном коде, приводящая к обращению к неиспользуемому фрагменту адресного пространства, выполнению недопустимой инструкции или другой необрабатываемой исключительной ситуации, когда происходит аварийное завершение программы-сервера — серверной программы. Классическим примером является обращение по нулевому (англ. null) адресу.

       Недостаточная проверка данных пользователя, приводящая к бесконечному либо длительному циклу или повышенному длительному потреблению процессорных ресурсов (вплоть до исчерпания процессорных ресурсов) либо выделению большого объёма оперативной памяти (вплоть до исчерпания доступной памяти).

       Атака второго рода — атака, которая стремится вызвать ложное срабатывание системы защиты и таким образом привести к недоступности ресурса.

      Если атака (обычно флуд) производится одновременно с большого количества IP-адресов — с нескольких рассредоточенных в сети компьютеров — то в этом случае она называется распределённой атакой на отказ в обслуживании (DDoS).

      Объектом выполненной работы является телекоммуникационные службы.

      Цель работы – классификация сетевых атак, описание их разновидностей, а также определение методов борьбы с ними.

      В результате исследований были определены некоторые типы сетевых атак, а также отмечены способы борьбы с ними.

      Содержание

      1.1 По характеру воздействия ……………………………………………..

      1.3 По наличию обратной связи с атакуемым объектом ……………….

      1.4 По условия начала осуществления воздействия ……………………..

      1.5 По расположению субъекта атаки относительно атакуемого объекта ………………………………………………………………………….

      2 Краткое описание некоторых сетевых атак …………………………………

      2.6 Sniffing – прослушивание канала ……………………………………..

      2.7 Перехват пакетов на маршрутизаторе ………………………………..

      2.8 Навязывание хосту ложного маршрута с помощью протокола ICMP ……………………………………………………………………………..

      2.9 Подмена доверенного хоста ………………………………………….

      3 Технологии обнаружения атак ……………………………………………….

      3.1 Методы анализа сетевой информации ………………………………..

      3.1.1 Статистический метод ………………………………………….

      Список использованных источников ………………………………………….

      Введение

      Для организации коммуникаций в неоднородной сетевой среде применяются набор протоколов TCP/IP, обеспечивая совместимость между компьютерами разных типов. Данный набор протоколов завоевал популярность благодаря совместимости и предоставлению доступа к ресурсам глобальной сети Интернет и стал стандартом для межсетевого взаимодействия. Однако повсеместное распространение стека протоколов TCP/IP обнажило и его слабые стороны. В особенности из-за этого удалённым атакам подвержены распределённые системы, поскольку их компоненты обычно используют открытые каналы передачи данных, и нарушитель может не только проводить пассивное прослушивание передаваемой информации, но и модифицировать передаваемый трафик.

      Трудность выявления проведения удалённой атаки и относительная простота проведения (из-за избыточной функциональности современных систем) выводит этот вид неправомерных действий на первое место по степени опасности и препятствует своевременному реагированию на осуществлённую угрозу, в результате чего у нарушителя увеличиваются шансы успешной реализации атаки.

      Читайте также: