Что такое сетевая атака
Подключенный к интернету компьютер не только получает доступ к информации, расположенной на серверах глобальной сети, но и становится уязвим для внешних сетевых атак, подготовленных злоумышленниками.
- Что такое сетевая атака
- Что такое хакерская атака
- Как провести атаку
Введение
Сетевые атаки с каждым годом становятся изощреннее и приносят серьезный финансовый и репутационный ущерб. Атака поражает все коммуникации и блокирует работу организации на продолжительный период времени. Наиболее значимые из них были через вирусов шифровальщиков в 2017 году — Petya и Wanna Cry. Они повлекли за собой миллионные потери разных сфер бизнеса по всему миру и показали уязвимость и незащищенность сетевой инфраструктуры даже крупных компаний. Защиты от сетевых атак просто не было предусмотрено, в большинстве организаций информационная безопасность сводилась в лучшем случае к установке антивируса. При этом с каждым днем их видов становится на сотни больше и мощность от последствий только растет. Как же защитить бизнес от таких киберинцидентов, какие программы для этого существуют, рассмотрим в этой статье.
Разновидностей сетевых атак появляется все больше, вот только наиболее распространенные, с которыми может столкнуться как малый бизнес, так и крупная корпорация, разница будет только в последствиях и возможностях их остановить при первых попытках внедрения в сетевую инфраструктуру:
Сетевая разведка — сведения из сети организации собирают с помощью приложений, находящихся в свободном доступе. В частности, сканирование портов — злоумышленник сканирует UDP- и TCP-порты, используемые сетевыми службами на атакуемом компьютере, и определяет уязвимость атакуемого компьютера перед более опасными видами вторжений;
IP-спуфинг — хакер выдает себя за легитимного пользователя;
Mail Bombing — отказ работы почтового ящика или всего почтового сервера;
DDоS-атака — отказ от обслуживания, когда обычные пользователи сайта или портала не могут им воспользоваться;
Man-in-the-Middle — внедрение в корпоративную сеть с целью получения пакетов, передаваемых внутри системы);
XSS-атака — проникновение на ПК пользователей через уязвимости на сервере;
Фишинг — обман путем отправки сообщений с якобы знакомого адреса или подмена знакомого сайта на фальшивую копию.
Применение специализированных приложений — вирусов, троянов, руткитов, снифферов;
Переполнение буфера — поиск программных или системных уязвимостей и дальнейшая провокация нарушение границ оперативной памяти, завершение работы приложения в аварийном режиме и выполнение любого двоичного кода.
Атаки-вторжения — сетевые атаки по «захвату» операционной системы атакуемого компьютера. Это самый опасный вид, поскольку в случае ее успешного завершения операционная система полностью переходит под контроль злоумышленника.
Защита от сетевых атак строится на непрерывном мониторинге всего, что происходит в сети компании и мгновенном реагировании уже на первые признаки появления нелегитимных пользователей, открытых уязвимостей или заражений.
Поиск хостов, имеющих доступ во внешнюю сеть
Хоть и на деле сложно назвать действия, которые предпринимаются в этой группе, атаками, но тем не менее без применения этой группы вряд ли может быть успешна хоть какое-то поползновение на безопасность сети.
Набор атак этой группы можно назвать специфичным типом сканирования сети. Они позволяют идентифицировать, какие именно хосты доступны извне, то есть определить, есть ли с ними связь. Обычно эта группа реализуется за счет наблюдения за стандартными механизмами протоколов, которые и должны работать на доступных хостах.
Можно отметить, что построение схемы сбора данных о сети в большинстве случаев опирается на так называемые RFC. К примеру, RFC 1122 напрямую дает рекомендации о том, какие существуют коды для диагностики состояния хоста, участвующего во взаимодействии с сетью интернет. Таким образом, хотя бы отчасти эти требования можно применить к хостам, которые будут видны извне организации.
Пример использования стандартного функционала:
Для поиска живых хостов можно пользоваться протоколом ICMP. Этот протокол был создан для того, чтобы собирать данные о неполадках в сети. Осуществить сбор данных можно, основываясь на ответах от хостов. Вообще протокол поддерживает около 15 специальных кодов, определяющих, какие проблемы появились в сети и сообщить о них всем участникам или тем, кто столкнулся с проблемой передачи данных. Для операции сбора данных о доступности хоста может быть задействован по меньшей мере 1 код, который называется echo запрос. Если внимательно изучить RFC 1122, то можно заметить, что некоторые хосты еще так же могут использовать следующие коды ICMP — 13, 15, 17. На основании хотя бы факта ответа от исследуемого хоста уже можно судить о его доступности.
Примерно по тому же принципу возможно проводить поиск хостов, если использовать наиболее популярные для сетевого взаимодействия протоколы: TCP, UDP, SCTP, HTTP. В этих случаях могут использоваться обычные алгоритмы настройки взаимодействия, которые и предполагаются протоколом в документации. И так же, как и с ICMP, здесь любые ответы от целевых хостов будут интерпретироваться как наличие доступности хоста в принципе.
Все исследования можно проводить с помощью 2 инструментов и их аналогов:
nmap — универсален, но может быть недостаточно быстрым.
Митигация сетевых атак
Давайте рассмотрим несколько мер, которые вы можете предпринять, чтобы поставить барьер, который обеспечит значительный уровень безопасности для предотвращения возможных сетевых атак.
1. Своевременно обновляйте программные приложения
Обновление ваших программных пакетов исправит все существующие уязвимости, которые могут подвергнуть вашу систему риску взлома, запущенного хакерами.
2. Реализовать межсетевой экран на основе хоста
Помимо сетевых брандмауэров, которые обычно обеспечивают первую линию защиты от вторжений, вы также можете реализовать брандмауэр на основе хоста, такой как firewalld и брандмауэр UFW.
Это простые, но эффективные брандмауэры, которые обеспечивают дополнительный уровень безопасности за счет фильтрации сетевого трафика на основе набора правил.
3. Отключите службы, которые вам не нужны.
Если у вас есть запущенные службы, которые активно не используются, отключите их.
Это помогает минимизировать поверхность атаки и оставляет злоумышленнику минимальные возможности для использования и поиска лазеек.
Вы можете использовать инструмент сетевого сканирования, такой как Nmap, для сканирования и проверки любых открытых портов.
Если открыты ненужные порты, подумайте о том, чтобы заблокировать их на брандмауэре.
4. Настройте TCP врапперы
Врапперы TCP – это списки ACL (списки контроля доступа) на основе хоста, которые ограничивают доступ к сетевым службам на основе набора правил, таких как IP-адреса.
Врапперы ссылаются на следующие файлы хоста, чтобы определить, где клиенту будет предоставлен или запрещен доступ к сетевой службе.
- /etc/hosts.allow
- /etc/hosts.deny
- Правила читаются сверху вниз. Первое правило сопоставления для данной службы применяется первым. Обратите внимание, что порядок чрезвычайно важен.
- Правила в файле /etc/hosts.allow применяются первыми и имеют приоритет над правилом, определенным в файле /etc/hosts.deny. Это означает, что если доступ к сетевой службе разрешен в файле /etc/hosts.allow, запрет доступа к той же службе в файле /etc/hosts.deny будет пропущен или проигнорирован.
- Если правила службы не существуют ни в одном из файлов хоста, доступ к службе предоставляется по умолчанию.
- Изменения, внесенные в оба файла хоста, вступают в силу немедленно, без перезапуска служб.
5. Безопасные удаленные протоколы и использование VPN
В наших предыдущих разделах мы рассмотрели, как можно защитить протокол SSH, чтобы предотвратить доступ злонамеренных пользователей к вашей системе.
Не менее важно использование VPN для инициирования удаленного доступа к серверу Linux, особенно через общедоступную сеть.
VPN шифрует все данные, которыми обмениваются сервер и удаленные хосты, и это исключает вероятность перехвата пакетов.
6. Круглосуточный мониторинг сети.
Мониторинг вашей инфраструктуры с помощью таких инструментов, как WireShark, поможет вам отслеживать и проверять трафик на предмет вредоносных пакетов данных.
Вы также можете реализовать fail2ban или crowdsec, чтобы защитить свой сервер от атак брутфорса
7. Установите программное обеспечение для защиты от вредоносных программ.
Linux все чаще становится мишенью для хакеров из-за его растущей популярности и использования.
Поэтому разумно установить инструменты безопасности для сканирования системы на наличие руткитов, вирусов, троянов и любых вредоносных программ.
Существуют популярные решения с открытым исходным кодом, такие как ClamAV, которые эффективно обнаруживают вредоносные программы.
Вы также можете рассмотреть возможность установки chkrootkit, чтобы проверить наличие каких-либо признаков руткитов в вашей системе.
8. Сегментация сети.
Рассмотрите возможность сегментации вашей сети на VLAN (виртуальные локальные сети).
Это делается путем создания подсетей в той же сети, которые действуют как автономные сети.
Сегментирование вашей сети имеет большое значение для ограничения воздействия взлома одной зоной и усложняет хакерам доступ через другие подсети.
9. Шифрование беспроводных устройств.
Если в вашей сети есть беспроводные маршрутизаторы или точки доступа, убедитесь, что они используют новейшие технологии шифрования, чтобы минимизировать риски атак типа «MITM».
-
(48) (12) (98) (27) (2 093) (66) (39) (23) (771) (33) (3) (107) (316) (81) (17)
Anything in here will be replaced on browsers that support the canvas element
Что такое JWT (JSON Web Token)? JSON Web Token (JWT) – это открытый стандарт (RFC 7519) для безопасной передачи информации между сторонами в виде объекта JSON. Он компактен, доступен для чтения и подписан цифровой подписью с использованием закрытого ключа или пары открытых ключей провайдера идентификации (IdP). Таким образом, целостность и подлинность токена может быть проверена […]
Всемирная паутина изменила способ ознакомления людей с новостями. Вместо чтения бумажных газет можно загрузить в свой смартфон новостные приложения и максимально оперативно узнавать о самых актуальных событиях. Ниже описано несколько наиболее популярных приложений, используемых в этих целях. Приложение Google Все существующие новостные приложения условно делятся на специализированные и универсальные. Первые акцентируют внимание на какой-то одой […]
Ubuntu – это операционная система на базе Linux, принадлежащая к семейству Debian. Поскольку она основана на Linux, она свободно доступна для использования и имеет открытый исходный код. Она была разработана командой “Canonical” под руководством Марка Шаттлворта. Термин “ubuntu” происходит от африканского слова, означающего “человечность для других”. Китайская версия Ubuntu используется для работы самого быстрого в […]
Shell – это программа, которая интерпретирует наши команды и отдает их операционной системе. Она действует как интерфейс между пользователем и операционной системой. Она принимает ввод с клавиатуры и отдает его ОС, а терминал позволяет вводить команды и взаимодействовать с оболочкой. Некоторые популярные оболочки: Windows PowerShell Командная строка Windows bash sh dash Born Korn Порт Простыми […]
Это очень интересный трюк оболочки bash. Вы можете использовать оператор . чтобы отредактировать ошибочно написанную команду в истории bash и повторно выполнить ее правильно. Это позволяет исправить ошибку, допущенную в предыдущей команде, как показано ниже. ehco hello -bash: ehco: command not found Как мы видим, это легко исправить. . gs/ehco/echo/ echo hello hello Это повторное выполнение […]
Методы защиты
Способы предполагают определенные действия, направленные на защиту целостности и конфиденциальности данных:
- Шифрование данных и использование надежных портов. Если его нет, уязвимость сети повышается;
- Использование антивирусных программ и сканеров (такие услуги предоставляет Касперский, Др. Веб, Норд и др.);
- Установка блокираторов снифферов и руткитов;
- Использование межсетевого экрана.
Существует много разновидностей сетевых атак. Меры по их предотвращению компьютерный специалист должен принимать заранее. В противном случае возможна утечка личных данных и нарушение целостности сети.
Подгорнов Илья Владимирович Всё статьи нашего сайта проходят аудит технического консультанта. Если у Вас остались вопросы, Вы всегда их можете задать на его странице.
Классификация сетевых атак
Сетевой атакой называю намеренные действия третьих лиц, направленные на установлению контроля над локальным или удаленным компьютером или вычислительной системой. В результате атак злоумышленники могут нарушать работу сети, изменять права аккаунта, получать персональные данные пользователей и реализовывать другие цели.
Виды сетевых атак и их последствия имеют значительные отличия друг от друга. Современная классификация угроз проводится по следующим параметрам:
- характер воздействия, оказываемого на сеть;
- цель оказываемого воздействия;
- наличие обратной связи с сетью, подвергнутой атаке;
- условие начала атаки;
- расположение субъекта по отношению к объекту атаки;
- уровень эталонной модели ISO.
Рассмотрим подробнее основные виды сетевых атак по этим категориям.
По характеру воздействия на сеть
Виды сетевых атак по характеру воздействия на атакуемую сеть можно разделить на активные и пассивные.
Активная атака проводится с непосредственным воздействием на сеть, которые может предусматривать ограничение ее работоспособности, модификацию настроек. Воздействие такого рода обязательно оставляет следы, поэтому при его планировании изначально предусматривается обнаружение.
Пассивная атака проводится без непосредственного влияния на работу сети. Однако в ее результате нарушается сетевая безопасность. Обнаружить пассивную атаку намного сложнее именно из-за отсутствия прямого воздействия. Примером таких угроз можно назвать постановку наблюдения или прослушки.
По цели атаки
В зависимости от цели различают виды сетевых атак, направленных на нарушение:
- функционирования;
- конфиденциальности;
- целостности атакуемой сети.
Основной целью является, как правило, несанкционированный доступ к закрытой информации методом ее искажения или перехвата. В первом случае сведения могут быть изменены, во втором – доступ производится без изменения данных.
По наличию обратной связи с атакуемой сетью
Атака может проводиться с обратной связью или без нее (однонаправленная атака).
В первом случае атакующим субъектом устанавливается обмен данными с атакуемым объектом. В результате злоумышленники получают актуальные данные о состоянии сети.
Однонаправленная атака не предусматривает установления обратной связи. Ее проводят, когда для реализации целей злоумышленников не требуется оперативной реакции на изменения состояния объекта.
По условию начала атаки
Существуют разные условия начала воздействия. В том числе можно выделить такие типы сетевых атак по этому критерию:
- по запросу от объекта;
- по выполнению на стороне объекта определенного действия;
- безусловные атаки.
Первые два типа атак начинаются после соответствующего события, а безусловные – в любой момент.
По расположению субъекта по отношению к объекту атаки
По этому критерию различают сетевые атаки межсегментного и внутрисегментного типа. Особенностью категории первого типа является расположение субъекта и объекта в разных сегментах сети. Второй тип характеризуется их расположением в одном сегменте.
Сегментом сети называю хосты (компьютеры), физически объединенные между собой.
По уровню эталонной модели ISO/OSI
Воздействие на атакуемую сеть может осуществляться на разных уровнях эталонной модели ISO/OSI.
В том числе выделяются такие уровни:
- физический;
- сетевой;
- транспортный;
- канальный;
- сеансовый;
- прикладной;
- представительный.
3. Алгоритм действий при обнаружении сетевых атак
3.1. Большая часть сетевых атак блокируется автоматически установленными средствами защиты информации (межсетевые экраны, средства доверенной загрузки, сетевые маршрутизаторы, антивирусные средства и т.п.).
3.2. К атакам, требующим вмешательства персонала для их блокировки или снижения тяжести последствий относятся атаки типа DoS.
3.2.1. Выявление DoS атаки осуществляется путем анализа сетевого трафика. Начало атаки характеризуется «забиванием» каналов связи с помощью ресурсоемких пакетов с поддельными адресами. Подобная атака на сайт интернет-банкинга усложняет доступ легитимных пользователей и веб-ресурс может стать недоступным.
3.2.2. В случае выявления атаки системный администратор выполняет следующие действия:
- осуществляет ручное переключение маршрутизатора на резервный канал и обратно с целью выявления менее загруженного канала (канала с более широкой пропускной способностью);
- выявляет диапазон IP – адресов, с которых осуществляется атака;
- отправляет провайдеру заявку на блокировку IP адресов из указанного диапазона.
3.3. DoS атака, как правило, используется для маскировки успешно проведенной атаки на ресурсы клиента с целью затруднить ее обнаружение. Поэтому при выявлении DoS атаки необходимо провести анализ последних транзакций с целью выявления необычных операций, осуществить (при возможности) их блокировку, связаться с клиентами по альтернативному каналу для подтверждения проведенных транзакций.
3.4. В случае получения от клиента информации о несанкционированных действиях осуществляется фиксация всех имеющихся доказательств, проводится внутреннее расследование и подается заявление в правоохранительные органы.