Меню
Главная - Гражданское процессуальное право - Анализ сетевого трафика сканирование сети угроза выявления пароля

Анализ сетевого трафика сканирование сети угроза выявления пароля

анализ сетевого трафика сканирование сети угроза выявления пароля

В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т. д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли).

Перехват пароля, передаваемого по сети в незашифрованной форме, путем «подслушивания» канала является разновидностью атаки подслушивания, которую называют password sniffing. Перехват имен и паролей создает большую опасность, так как пользователи часто применяют один и тот же логин и пароль для множества приложений и систем. Многие пользователи вообще имеют один пароль для доступа ко всем ресурсам и приложениям.

Sniffer представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode, так называемый «неразборчивый» режим, в котором сетевая плата позволяет принимать все пакеты независимо от того кому они адресованы. В нормальном состоянии на Ethernet-интерфейсе используется фильтрация пакетов канального уровня и если MAC-адрес в заголовке назначения принятого пакета не совпадает с MAC-адресом текущего сетевого интерфейса и не является широковещательным, то пакет отбрасывается.

В «неразборчивом» режиме фильтрация на сетевом интерфейсе отключается и все пакеты, включая не предназначенные текущему узлу, пропускаются в систему. Надо заметить, что многие подобные программы используются в легальных целях, например, для диагностики неисправностей или анализа трафика.

Важноimportant
Некоторые атаки способны вывести из строя целую сеть, наполнив ее ненужными пакетами. Для противодействия таким атакам необходимо участие провайдера, потому что если он не остановит нежелательный трафик на входе в сеть, атаку не остановить, потому что полоса пропускания будет занята.

Для ослабления угрозы можно воспользоваться следующим:

  • Функции анти-спуфинга — правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS.
  • Функции анти-DoS — правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак.

Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.
  • Ограничение объема трафика (traffic rate limiting) — организация может попросить провайдера (ISP) ограничить объем трафика.
  • Анализ сетевого трафика сканирование сети угроза выявления пароля

    В основном для реализации угрозы используются специальные программы, которые пытаются получить доступ к хосту путем последовательного подбора паролей. В случае успеха, злоумышленник может создать для себя «проход» для будущего доступа, который будет действовать, даже если на хосте изменить пароль доступа.

    4.

    Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа (рисунок 7).

    Рисунок 7. Схема реализации угрозы «Подмена доверенного объекта сети»

    Такая угроза эффективно реализуется в системах, где применяются нестойкие алгоритмы идентификации и аутентификации хостов, пользователей и т.д.

    Возможные последствия от реализации угроз различных классов приведены в таблице 3.

    Таблица 3

    Возможные последствия реализации угроз различных классов

    N п/п Тип атаки Возможные последствия 1 Анализ сетевого трафика Исследование характеристик сетевого трафика, перехват передаваемых данных, в том числе идентификаторов и паролей пользователей 2 Сканирование сети Определение протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, активных сетевых сервисов, идентификаторов и паролей пользователей 3 «Парольная» атака Выполнение любого деструктивного действия, связанного с получением несанкционированного доступа 4 Подмена доверенного объекта сети Изменение трассы прохождения сообщений, несанкционированное изменение маршрутно-адресных данных.
    Схема реализации атаки «Навязывание ложного маршрута» (внутрисегментное) с использованием протокола ICMP с целью нарушения связи

    Рисунок 9. Схема реализации угрозы «Навязывание ложного маршрута» (межсегментное) с целью перехвата трафика

    6.
    Внедрение ложного объекта сети.

    Эта угроза основана на использовании недостатков алгоритмов удаленного поиска. В случае, если объекты сети изначально не имеют адресной информации друг о друге, используются различные протоколы удаленного поиска (например, SAP в сетях Novell NetWare; ARP, DNS, WINS в сетях со стеком протоколов TCP/IP), заключающиеся в передаче по сети специальных запросов и получении на них ответов с искомой информацией.

    Целью атак подобного типа является прослушивание каналов связи и анализ передаваемых данных и служебной информации для изучения топологии и архитектуры построения системы, получения критической пользовательской информации (например, паролей пользователей или номеров кредитных карт, передаваемых в открытом виде). Атакам этого типа подвержены такие протоколы, как FTP или Telnet, особенностью которых является то, что имя и пароль пользователя передаются в рамках этих протоколов в открытом виде.

    Подмена доверенного субъекта.
    Большая часть сетей и ОС используют IP-адрес компьютера, для того чтобы определять, тот ли это адресат, который нужен. В некоторых случаях возможно некорректное присвоение IP-адреса (подмена IP-адреса отправителя другим адресом).

    ИСПДн на обработку пакетов, передаваемых злоумышленником со снижением пропускной способности каналов связи, производительности сетевых устройств, нарушением требований ко времени обработки запросов. Примерами реализации угроз подобного рода могут служить: направленный шторм эхо-запросов по протоколу ICMP (Ping flooding), шторм запросов на установление TCP-соединений (SYN-flooding), шторм запросов к FTP-серверу;

    б) явный отказ в обслуживании, вызванный исчерпанием ресурсов ИСПДн при обработке пакетов, передаваемых злоумышленником (занятие всей полосы пропускания каналов связи, переполнение очередей запросов на обслуживание), при котором легальные запросы не могут быть переданы через сеть из-за недоступности среды передачи либо получают отказ в обслуживании ввиду переполнения очередей запросов, дискового пространства памяти и т.д.

    ICMP flood — атака, аналогичная Smurf, только без усиления, создаваемого запросами по направленному широковещательному адресу.

    UDP flood — отправка на адрес атакуемого узла множества пакетов UDP (User Datagram Protocol).

    TCP flood — отправка на адрес атакуемого узла множества TCP-пакетов.

    TCP SYN flood — при проведении такого рода атаки выдается большое количество запросов на инициализацию TCP-соединений с атакуемым узлом, которому, в результате, приходится расходовать все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения.

    Если используется серверное приложение Web-сервер или FTP-сервер, в результате атаки DoS все соединения, доступные для этих приложений, оказываются занятыми, и пользователи не могут получить к ним доступ.

    </ Анализ угроз сетевой безопасности

    сетевой атака сеть безопасность

    Для организации коммуникаций в неоднородной сетевой среде применяется набор протоколов TCP/IP, обеспечивая совместимость между компьютерами разных типов. Совместимость — одно из основных преимуществ TCP/IP, поэтому большинство компьютерных сетей поддерживает эти протоколы.


    Кроме того, протоколы TCP/IP предоставляют доступ к ресурсам глобальной сети Интернет.

    Благодаря своей популярности TCP/IP стал стандартом де-факто для межсетевого взаимодействия. Однако повсеместное распространение стека протоколов TCP/IP обнажило и его слабые стороны.
    Создавая свое детище, архитекторы стека TCP/IP не видели причин для беспокойства о защите сетей, строящихся на его основе.

    Добавить комментарий

    Ваш e-mail не будет опубликован. Обязательные поля помечены *