49
6.2.3 Атаки червей
Компьютерные черви — это злонамеренные программы, которые
атакуют компьютеры ираспространяются через сеть. Сетевые
черви используют сетевые уязвимости различных приложений.
Благодаря Интернету они распространяются по всему земному
шару за считанные часы после запуска в сеть. В некоторых случаях
счет идет на минуты.
Многих из атак червей (Sasser, SqlSlammer) можно избежать,
используя настройки персонального брандмауэра по умолчанию
или блокировку незащищенных инеиспользуемых портов.
Очень важно регулярно устанавливать пакеты обновления
операционной системы.
6.2.4 Сканирование портов
Сканирование портов является процедурой поиска открытых
портов, ожидающихсетевые соединения. Сканер портов
представляет собой программное обеспечение, которое
предназначено для поиска таких портов.
Компьютерный порт является виртуальной точкой, которая
управляет сетевым трафиком в обоих направлениях, что является
критичным с точки зрения сетевой безопасности. В больших
сетях данные, которые собирает сканер портов, могут помочь
выявить потенциальные уязвимости компьютерных систем.
Такоеиспользование сканеров является допустимым.
Однако сканеры часто используются злоумышленниками для
взлома систем безопасности. На первом этапе на каждый из
портов отправляется серия пакетов. В зависимости от полученных
ответов определяется, какой из портов можно использовать.
Сканирование само по себе не причиняет вреда, но следует
иметь в виду, что такая активность зачастую является признаком
попытки выявления уязвимости ипоследующей атаки системы
злоумышленниками.
Сетевые администраторы обычно советуют блокировать
все неиспользуемые порты изащищать используемые от
неавторизованного доступа.
6.2.5 Нарушение синхронизации TCP
В атаках подмены одного из участников TCP-соединения используется
техника нарушения синхронизации протокола TCP. Этотметод
основан на процессах, которые происходят, когда порядковый
номер входящего пакета отличается от ожидаемого. Пакеты
с неожиданными номерами пропускаются (или сохраняются
в специальном буфере, если они попадают в текущее окно
соединения).
В состоянии нарушения синхронизации обе стороны начинают
игнорировать пакеты. В этот момент атакующая сторона может
внедриться в процесс обмена пакетами иосуществить подлог
пакетов с правильными номерами. Таким образом, атакующая
сторона может манипулировать обменом данных с помощью
своих команд или вмешиваться в процесс другим способом.
В методе подмены одного из участников целью является
внедрение в двухсторонний обмен данными между сервером
иклиентом или двумя равноправными узлами. Многие атаки
вэтом случае могут быть предотвращены путем использования
аутентификации для каждого из сегментов TCP. Кроме того,
следует использовать рекомендуемые параметры для сетевых
устройств.
6.2.6 Атака SMB Relay
SMBRelay иSMBRelay2 являются программами, которые несут
в себе угрозу со стороны удаленных компьютеров. Программы
используют уязвимость протокола обеспечения общего доступа
к файлам Server Message Block, который встроен в NetBIOS.
Если пользователь предоставляет общий доступ к файлам
ипапкам через локальную сеть, скорее всего это осуществляется
спомощью протокола SMB.
В рамках обмена данными по локальной сети происходит обмен
данными хеш-таблиц паролей.
SMBRelay принимает соединения по UDP на портах 139 и445,
транслирует пакеты, которыми обмениваются клиент исервер,
иподменяет их. После подключения иаутентификации
соединение с клиентом прерывается. SMBRelay создает новый
виртуальный IP-адрес. Новый адрес доступен с помощью
следующей команды: net use \\192.168.1.1. После этого доступ
кадресу открыт для любой сетевой функции Windows. SMBRelay
транслирует через себя весь обмен данными, кроме процессов
установления соединения иаутентификации. Удаленная
атакующая сторона может использовать IP-адрес до тех пор,
покаподключен компьютер клиента.
SMBRelay2 работает по тому же принципу, что иSMBRelay,
ноиспользует имена NetBIOS вместо IP-адресов. Оба приложения
используют атаки методом перехвата пакетов.--- Метод позволяет
удаленной атакующей стороне считывать, подменять иизменять
содержимое сообщений между двумя сторонами, но не позволяет
обнаружить себя. Атакованные таким методом компьютеры часто
прекращают отвечать на запросы пользователя или внезапно
перезагружаются.
Для того чтобы избежать проблем подобного рода, рекомендуется
использовать пароли или ключи для аутентификации.
6.2.7 Атаки по протоколу ICMP
Протокол управляющих сообщений сети Интернет (ICMP —
Internet Control Message Protocol) является популярным ишироко
используемым протоколом Интернета.- Он обычно используется
сетевыми компьютерами для отправки сообщений об ошибках.
Злоумышленники пытаются использовать уязвимости этого
протокола в своих целях. Протокол ICMP разработан как средство
передачи данных в одном направлении без аутентификации.-
Это позволяет злоумышленникам организовывать атаки типа
«отказ в обслуживании» (DoS — Denial of Service) или атаки
сцелью получения несанкционированного доступа к входящим
иисходящим пакетам.
Типичными примерами атак ICMP является множество
пакетов ping, множество пакетов ICMP_ECHO или атака smurf.
Компьютеры, подвергающиеся атаке ICMP, значительно
замедляют свою работу (особенно это касается сетевых
приложений), иу них возникают проблемы при установлении
сетевых соединений.
6.3 Электронная почта
Электронная почта является современным средством общения,
которое применяется во многих областях. Это средство является
гибким, быстрым ипрямым способом передачи информации.
Электронная почта сыграла ключевую роль в развитии
Интернетав начале 90-х годов прошлого века.
К сожалению, вследствие высокого уровня анонимности
электронная почта иИнтернет оставляют пространство для
незаконных действий, таких как рассылка нежелательных
сообщений. Нежелательная почта может содержать рекламу,
мистификации или вложения, содержащие злонамеренное
программное обеспечение. Неудобство иопасность усиливаются
из-за того, что стоимость рассылки таких сообщений стремится
к нулю, а средства массовой рассылки иполучения адресов
электронной почты все время совершенствуются. Кроме того,
объемы иразнообразие нежелательной почты делают ее
фильтрацию крайне затруднительной. Чем дольше используется
адрес электронной почты, тем выше вероятность того, что
он попал в базы данных рассылки нежелательной почты.
Вотнекоторые советы, помогающие избежать этого:
Commentaires sur ces manuels