Удаленные атаки на интрасети
Цель предпринимаемых злоумышленниками атак на компьютеры из интрасетей, подключенных к Internet, состоит в получении доступа к их информационным и сетевым ресурсам.
Принципиальным отличием атак, осуществляемых злоумышленниками в открытых сетях, является фактор расстояния от ПК, выбранного в качестве жертвы, или "прослушиваемого" канала связи до местоположения злоумышленника. Этот фактор нашел выражение в определении подобного вида атак как "удаленных".
Под удаленной атакой принято понимать несанкционированное информационное воздействие на распределенную вычислительную систему, программно осуществляемое по каналам связи.
Для удаленной атаки можно выделить наиболее общие схемы их осуществления. Такие удаленные атаки получили название типовых.
Тогда типовая удаленная атака – это удаленное несанкционированное информационное воздействие, программно осуществляемое по каналам связи и характерное для любой распределенной вычислительной системы.
Объектом удаленных атак могут стать следующие виды сетевых устройств:
· оконечные устройства;
· каналы связи;
· промежуточные устройства: ретрансляторы, шлюзы, модемы и т.п.
Рассмотрим классификацию удаленных атак по следующим шести основным критериям:
1. По характеру воздействия удаленные атаки делятся на пассивные и активные (примером первого типа атак является, например, прослушивание каналов связи и перехват вводимой с клавиатуры информации; примером второго типа является атака "третий посередине", когда злоумышленник может, например, подменять данные информационного обмена между двумя пользователями Internet или между пользователем и запрашиваемым им сетевым сервисом, пересылаемые в обоих направлениях).
2. По цели воздействия, т.е. в зависимости от нарушения трех основных возможных свойств информации и информационных ресурсов – их конфиденциальности, целостности и доступности, плюс нарушение доступности всей системы или ее отдельных служб (пример атаки – "отказ в обслуживании).
3. По условию начала осуществления воздействия атака может быть безусловной (предпринимается злоумышленником в любом случае), или может активизироваться либо при посылке определенного запроса от атакуемого объекта, либо при наступлении ожидаемого события на атакуемом объекте.
4. По наличию обратной связи с атакуемым объектом различают атаки с обратной связью или без обратной связи (такая атака называется однонаправленной).
5. По расположению субъекта атаки относительно атакуемого объекта атаки бывают внутрисегментными (средства взлома сети или, например, прослушивания каналов связи должны располагаться в том же сегменте сети, который интересует злоумышленника) или межсегментными (в этом случае дальность расстояния от жертвы до злоумышленника не имеет значения).
6. По уровню эталонной модели взаимосвязи открытых систем OSI Международной организации стандартизации (ISO), на котором осуществляется воздействие. Атака может реализовываться на всех семи уровнях – физическом, канальном, сетевом, транспортном, сеансовом, представительном и прикладном.
Среди выше перечисленных удаленных атак можно выделить пять основных и наиболее часто предпринимаемых типовых удаленных атак:
1. Анализ сетевого трафика (или прослушивание канала связи с помощью специальных средств – снифферов). Эта атака позволяет:
· изучить логику работы сети в дальнейшем это позволит злоумышленнику на основе задания соответствующих команд получить, например, привилегированные права на действия в системе или расширить свои полномочия в ней;
· перехватить поток передаваемых данных, которыми обмениваются компоненты сетевой ОС – для извлечения коммерческой или идентификационной информации (например, паролей пользователей), ее подмены, модификации и т.п.