Бесплатная горячая линия

8 800 301 63 12
Главная - Другое - Анализ сетевого трафика сканирование сети угроза выявления пароля

Анализ сетевого трафика сканирование сети угроза выявления пароля

Угрозы несанкционированного доступа к информации. Основные классы атак в сетях на базе TCP/IP


Если АС имеет подключение к сетям общего пользования, то могут быть реализованы сетевые атаки на нее.

К сетям общего пользования на основе стека протоколов TCP/IP относится и Интернет, на примере которого мы будем рассматривать наиболее распространенные в настоящее время атаки.

Сеть Интернет создавалась для связи между государственными учреждениями и университетом с целью оказания помощи учебному процессу.

На начальном этапе никто не мог предположить дальнейший масштаб его развития и интеграции в жизнь современного общества, в связи с чем вопросам безопасности не уделялось должного внимания. Как следствие, на данный момент стек обладает множеством уязвимостей, которыми с успехом пользуются злоумышленники для реализации атак. Уязвимости протоколов, входящих в стек TCP/IP обусловлены, как правило, слабой аутентификацией, ограничением размера буфера, отсутствием проверки корректности служебной информации и т.п.

Краткая характеристика наиболее опасных уязвимостей приведена в . Таблица 9.1. Наименование протокола Уровень стека протоколов Наименование (характеристика) уязвимости Содержание нарушения безопасности информации FTP (File Transfer Protocol) – протокол передачи файлов по сети Прикладной, представительный, сеансовый

  1. Наличие двух открытых портов
  2. Доступ по умолчанию
  3. Аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде)
  1. Получение удаленного доступа к хостам
  2. Возможность перехвата данных учетной записи (имен зарегистрированных пользователей, паролей).

telnet – протокол управления удаленным терминалом Прикладной, представительный, сеансовый Аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде)

  1. Возможность перехвата данных учетной записи (имен зарегистрированных пользователей, паролей).
  2. Получение удаленного доступа к хостам

UDP – протокол передачи данных без установления соединения Транспортный Отсутствие механизма предотвращения перегрузок буфера

  1. В результате обмена пакетами происходит существенное снижение производительности сервера
  2. Возможность реализации UDР-шторма.

ARP – протокол преобразования IP-адреса в физический адрес Сетевой Аутентификация на базе открытого текста (информация пересылается в незашифрованном виде) Возможность перехвата трафика пользователя злоумышленником RIP – протокол маршрутной информации Транспортный Отсутствие аутентификации управляющих сообщений об изменении маршрута Возможность перенаправления трафика через хост злоумышленника TCP – протокол управления передачей Транспортный Отсутствие механизма проверки корректности заполнения служебных заголовков пакета Существенное снижение скорости обмена и даже полный разрыв произвольных соединений по протоколу TCP DNS – протокол установления соответствия мнемонических имен и сетевых адресов Прикладной, представительный, сеансовый Отсутствие средств проверки аутентификации полученных данных от источника Фальсификация ответа DNS-сервера IGMP – протокол передачи сообщений о маршрутизации Сетевой Отсутствие аутентификации сообщений об изменении параметров маршрута Зависание систем Win 9x/NT/2000 SMTP – протокол обеспечения сервиса доставки сообщений по электронной почте Прикладной, представительный, сеансовый Отсутствие поддержки аутентификации заголовков сообщений Возможность подделывания сообщений электронной почты, а также адреса отправителя сообщения SNMP – протокол управления маршрутизаторами в сетях Прикладной, представительный, сеансовый Отсутствие поддержки аутентификации заголовков сообщений Возможность переполнения пропускной способности сети Угрозы, реализуемые по сети, классифицируются по следующим основным признакам:

  • без обратной связи – соответственно, нет обратной связи и необходимости злоумышленнику реагировать на изменения атакуемого объекта.
  • безусловное воздействие – злоумышленник ничего не ждет, то есть угроза реализуется сразу и безотносительно к состоянию атакуемого объекта.
  • по наступлению ожидаемого события на атакуемом объекте.

  • уровень эталонной модели ISO/OSI, на котором реализуется угроза: физический, канальный, сетевой, транспортный, сеансовый, представительный, прикладной.
  • наличие обратной связи с атакуемым объектом:
    • с обратной связью, то есть на некоторые запросы злоумышленнику необходимо получить ответ. Таким образом, между атакуемым и атакующим есть обратная связь, позволяющая злоумышленнику следить за состоянием атакуемого объекта и адекватно реагировать на его изменения.
    • без обратной связи – соответственно, нет обратной связи и необходимости злоумышленнику реагировать на изменения атакуемого объекта.
  • расположение нарушителя относительно атакуемой информационной системы: внутрисегментно и межсегментно. Сегмент сети – физическое объединение хостов, технических средств и других компонентов сети, имеющих сетевой адрес. Например, один сегмент образуют компьютеры, подключенные к общей шине на основе Token Ring.

  • цель реализации угрозы (соответственно, конфиденциальность, доступность, целостность информации).
  • характер угрозы.

    Пассивная – угроза, которая не оказывает влияния на работу информационной системы, но может нарушить правила доступа к защищаемой информации. Пример: использование sniffer для «прослушивания» сети. Активная – угроза, которая воздействуют на компоненты информационной системы, при реализации которой оказывается непосредственное влияние на работу системы.

    Пример: DDOS-атака в виде шторма TCP-запросами.

  • по запросу от атакуемого. То есть злоумышленник ожидает передачи запроса определенного типа, который и будет условием начала НСД.
  • условие начала атаки:
    • по запросу от атакуемого. То есть злоумышленник ожидает передачи запроса определенного типа, который и будет условием начала НСД.
    • по наступлению ожидаемого события на атакуемом объекте.
    • безусловное воздействие – злоумышленник ничего не ждет, то есть угроза реализуется сразу и безотносительно к состоянию атакуемого объекта.
  • с обратной связью, то есть на некоторые запросы злоумышленнику необходимо получить ответ.

    Таким образом, между атакуемым и атакующим есть обратная связь, позволяющая злоумышленнику следить за состоянием атакуемого объекта и адекватно реагировать на его изменения.

Рассмотрим наиболее распространенные на настоящее время атаки в сетях на основе стека протоколов TCP/IP.

  • TCP SYN flood — при проведении такого рода атаки выдается большое количество запросов на инициализацию TCP-соединений с атакуемым узлом, которому, в результате, приходится расходовать все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения.

  • Отказ в обслуживании или Denial of Service (DoS) — атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён. DoS-атака является наиболее распространенной и известной атакой в последнее время, что обусловлено в первую очередь простотой реализации. Организация DOS-атаки требует минимум знаний и умений и строится на недостатках сетевого программного обеспечения и сетевых протоколов.

    Если атака проводится для множества сетевых устройств, говорят о распределенной атаке DoS (DDoS — distributed DoS). Сегодня наиболее часто используются следующие пять разновидностей DoS-атак, для проведения которых существует большое количество программного обеспечения и от которых наиболее тяжело защититься:

    • Smurf — ping-запросы ICMP. При посылке ping-пакета (сообщение ICMP ECHO) по широковещательному адресу (например, 10.255.255.255), он доставляется каждой машине в этой сети. Принцип атаки заключается в посылке пакета ICMP ECHO REQUEST с адресом-источником атакуемого узла. Злоумышленник шлет постоянный поток ping-пакетов по сетевому широковещательному адресу. Все машины, получив запрос, отвечают источнику пакетом ICMP ECHO REPLY. Соответственно, размер ответного потока пакетов возрастает в пропорциональное количеству хостов число раз. В результате, вся сеть подвергается отказу в обслуживании из-за перегрузки.
    • ICMP flood — атака, аналогичная Smurf, только без усиления, создаваемого запросами по направленному широковещательному адресу.
    • UDP flood — отправка на адрес атакуемого узла множества пакетов UDP (User Datagram Protocol).
    • TCP flood — отправка на адрес атакуемого узла множества TCP-пакетов.
    • TCP SYN flood — при проведении такого рода атаки выдается большое количество запросов на инициализацию TCP-соединений с атакуемым узлом, которому, в результате, приходится расходовать все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения.

    Если используется серверное приложение Web-сервер или FTP-сервер, в результате атаки DoS все соединения, доступные для этих приложений, оказываются занятыми, и пользователи не могут получить к ним доступ. Некоторые атаки способны вывести из строя целую сеть, наполнив ее ненужными пакетами.

    Для противодействия таким атакам необходимо участие провайдера, потому что если он не остановит нежелательный трафик на входе в сеть, атаку не остановить, потому что полоса пропускания будет занята.

    Для реализации DoS-атаки наиболее часто используются следующие программы:

    • Trinoo – представляет собой довольно примитивную программу, которая исторически стала первой для организации DoS-атак единственного типа – UDP-flood. Программы семейства «trinoo» легко обнаруживаются стандартными средствами защиты и не несут угрозы для тех, кто хотя бы чуть-чуть заботиться о своей безопасности.
    • TFN и TFN2K – более серьезное оружие. Позволяют одновременно организовать атаки нескольких типов — Smurf, UDP flood, ICMP flood и TCP SYN flood. Использование этих программ требует от злоумышленника намного более высокой квалификации.
    • Новейшее средство организации DoS-атак — Stacheldracht («колючая проволока»). Этот пакет позволяет организовывать самые различные типы атак и лавины широковещательных ping-запросов. Кроме того, обмен данными между контроллерами и агентами шифруется, а в само программное обеспечение встроена функция автомодификации. Шифрование сильно затрудняет обнаружение атакующего.

    Для ослабления угрозы можно воспользоваться следующим:

    • Функции анти-спуфинга — правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827.

      Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.

    • Функции анти-DoS — правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак.

      Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.

    • Ограничение объема трафика (traffic rate limiting) — организация может попросить провайдера (ISP) ограничить объем трафика.
      Этот тип фильтрации позволяет ограничить объем некритического трафика, проходящего по вашей сети. Обычным примером является ограничение объемов трафика ICMP, который используется только для диагностических целей.

      Атаки DoS часто используют ICMP.

    Можно выделить несколько разновидностей угроз данного типа:

    • Скрытый отказ в обслуживании, когда часть ресурсов сети задействован на обработку пакетов, передаваемых злоумышленником со снижением пропускной способности канала, нарушением времени обработки запросов, нарушением производительности сетевых устройств.
      Пример: направленный шторм эхо-запросов по протоколу ICMP или шторм запросов на установление TCP-соединения.

    • Явный отказ в обслуживании, вызванный тем, что ресурсы сети исчерпались в результате обработки пакетов, посланных злоумышленниками.
      При этом легальные запросы пользователей не могут быть обработаны из-за того, что вся полоса пропускания канала занята, переполнены буферы, переполнение дискового пространства и т.д.
      Пример: направленный шторм(SYN-flooding).
    • Явный отказ в обслуживании, вызванный нарушением логической связности между техническими средствами сети при передаче злоумышленником управляющих сообщений от имени сетевых устройств.

      При этом изменяются маршрутно-адресные данные. Пример: ICMP Redirect Host или DNS-flood.

    • Явный отказ в обслуживании, вызванный тем, что злоумышленник передает пакеты с нестандартными атрибутами (например, UDP-bomb) или имеющих длину, превышающую максимальную (Ping Death).

    Атаки DoS нацелены на нарушение доступности информации и не нарушают целостность и конфиденциальность.

  • Фильтрация RFC 2827 – данный тип фильтрации позволяет пресечь попытки спуфинга чужих сетей пользователями вашей сети.
    Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации. Часто этот тип фильтрации выполняется провайдером. В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе.

    В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе. К примеру, если ISP предоставляет соединение с IP-адресом 15.1.1.0/24, он может настроить фильтр таким образом, чтобы с данного интерфейса на маршрутизатор ISP допускался только трафик, поступающий с адреса 15.1.1.0/24. Заметим, что до тех пор, пока все провайдеры не внедрят этот тип фильтрации, его эффективность будет намного ниже возможной.

  • эхо-тестирование – выявляет работающие хосты на основе DNS-адресов, полученных ранее;
  • Скрытый отказ в обслуживании, когда часть ресурсов сети задействован на обработку пакетов, передаваемых злоумышленником со снижением пропускной способности канала, нарушением времени обработки запросов, нарушением производительности сетевых устройств.

    Пример: направленный шторм эхо-запросов по протоколу ICMP или шторм запросов на установление TCP-соединения.

  • TCP flood — отправка на адрес атакуемого узла множества TCP-пакетов.
  • Новейшее средство организации DoS-атак — Stacheldracht («колючая проволока»).

    Этот пакет позволяет организовывать самые различные типы атак и лавины широковещательных ping-запросов. Кроме того, обмен данными между контроллерами и агентами шифруется, а в само программное обеспечение встроена функция автомодификации.

    Шифрование сильно затрудняет обнаружение атакующего.

  • Анализ сетевого трафика.

    Данная атака реализуется с помощью специальной программы, называемой sniffer.

    Sniffer представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode, так называемый «неразборчивый» режим в котором сетевая плата позволяет принимать все пакеты независимо от того кому они адресованы. В нормальном состоянии на Ethernet-интерфейсе используется фильтрация пакетов канального уровня и если MAC-адрес в заголовке назначения принятого пакета не совпадает с MAC-адресом текущего сетевого интерфейса и не является широковещательным, то пакет отбрасывается.
    В нормальном состоянии на Ethernet-интерфейсе используется фильтрация пакетов канального уровня и если MAC-адрес в заголовке назначения принятого пакета не совпадает с MAC-адресом текущего сетевого интерфейса и не является широковещательным, то пакет отбрасывается.

    В «неразборчивом» режиме фильтрация на сетевом интерфейсе отключается и все пакеты, включая не предназначенные текущему узлу, пропускаются в систему. Надо заметить, что многие подобные программы используются в легальных целях, например, для диагностики неисправностей или анализа трафика. Тем не менее, в рассмотренной нами выше таблице перечислены протоколы, которые отправляют информацию, в том числе пароли, в открытом виде – FTP, SMTP, POP3 и т.д.

    Таким образом, с помощью sniffer можно перехватить имя и пароль и осуществить несанкционированный доступ к конфиденциальной информации.

    Более того, многие пользователи используют одни и те же пароли для доступа ко многим сетевым сервисам.

    То есть, если в одном месте сети есть слабость в виде слабой аутентификации, пострадать может вся сеть. Злоумышленники хорошо знают людские слабости и широко применяют методы социальной инженерии.

    Защита от данного вида атаки может заключаться в следующем:

    • Сильная аутентификация, например, использование одноразовых паролей (one-time password). Суть состоит в том, что пароль можно использовать однократно, и даже если злоумышленник перехватил его с помощью sniffer, он не представляет никакой ценности. Конечно, данный механизм защиты спасает только от перехвата паролей, и является бесполезным в случае перехвата другой информации, например, электронной почты.
    • Анти-снифферы – аппаратные или программные средства, способные выявить работу сниффера в сегменте сети. Как правило, они проверяют нагрузку на узлах сети с целью определения «лишней» нагрузки.
    • Коммутируемая инфраструктура. Понятно, что анализ сетевого трафика возможен только внутри одного сегмента сети. Если сеть построена на устройствах, разбивающих ее на множество сегментов (коммутаторы и маршрутизаторы), то атака возможна только в тех участках сети, которые относятся к одному из портов данных устройств. Это не решает проблемы сниффинга, но уменьшает границы, которые может «прослушивать» злоумышленник.
    • Криптографические методы. Самый надежный способ борьбы с работой sniffer. Информация, которая может быть получена с помощью перехвата, является зашифрованной и, соответственно, не имеет никакой пользы. Чаще всего используются IPSec, SSL и SSH.
  • Явный отказ в обслуживании, вызванный нарушением логической связности между техническими средствами сети при передаче злоумышленником управляющих сообщений от имени сетевых устройств. При этом изменяются маршрутно-адресные данные.

    Пример: ICMP Redirect Host или DNS-flood.

  • использование IDS.
  • Анти-снифферы – аппаратные или программные средства, способные выявить работу сниффера в сегменте сети. Как правило, они проверяют нагрузку на узлах сети с целью определения «лишней» нагрузки.
  • Trinoo – представляет собой довольно примитивную программу, которая исторически стала первой для организации DoS-атак единственного типа – UDP-flood. Программы семейства «trinoo» легко обнаруживаются стандартными средствами защиты и не несут угрозы для тех, кто хотя бы чуть-чуть заботиться о своей безопасности.
  • чтение логов (системных и сетевых);
  • Функции анти-спуфинга — правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS.

    Эти функции, как минимум, должны включать фильтрацию RFC 2827.

    Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.

  • Выявление пароля.Основной целью данной атаки является получение несанкционированного доступа к защищаемым ресурсам путем преодоления парольной защиты. Чтобы получить пароль, злоумышленник может использовать множество способов – простой перебор, перебор по словарю, сниффинг и др.

    Самым распространенным является простой перебор всех возможных значений пароля. Для защиты от простого перебора необходимо применять сильные пароли, которые не просто подобрать: длина 6-8 символов, использование букв верхнего и нижнего регистра, использование специальных знаков (@,#,$ и т.д.). Еще одной проблемой информационной безопасности является то, что большинство людей используют одинаковые пароли ко всем службам, приложениям, сайтам и пр.

    При этом уязвимость пароля зависит от самого слабого участка его использования.

    Подобного рода атак можно избежать, если использовать одноразовые пароли, о которых мы говорили ранее, или криптографическую аутентификацию.

  • Явный отказ в обслуживании, вызванный тем, что ресурсы сети исчерпались в результате обработки пакетов, посланных злоумышленниками. При этом легальные запросы пользователей не могут быть обработаны из-за того, что вся полоса пропускания канала занята, переполнены буферы, переполнение дискового пространства и т.д.

    Пример: направленный шторм(SYN-flooding).

  • сканирование портов – составляется полный перечень услуг, поддерживаемых этими хостами, открытые порты, приложения и т.п.

  • Криптографические методы. Самый надежный способ борьбы с работой sniffer.

    Информация, которая может быть получена с помощью перехвата, является зашифрованной и, соответственно, не имеет никакой пользы. Чаще всего используются IPSec, SSL и SSH.

  • Внедрение дополнительных методов аутентификации.

    IP-spoofing возможен только в случае аутентификации на основе IP.

    Если ввести какие–то дополнительные меры по аутентификации, например, криптографические, атака становится бесполезной.

  • Коммутируемая инфраструктура. Понятно, что анализ сетевого трафика возможен только внутри одного сегмента сети.

    Если сеть построена на устройствах, разбивающих ее на множество сегментов (коммутаторы и маршрутизаторы), то атака возможна только в тех участках сети, которые относятся к одному из портов данных устройств.

    Это не решает проблемы сниффинга, но уменьшает границы, которые может «прослушивать» злоумышленник.

  • UDP flood — отправка на адрес атакуемого узла множества пакетов UDP (User Datagram Protocol).

  • IP-spoofing или подмена доверенного объекта сети.Под доверенным в данном случае понимается объект сети ( компьютер, маршрутизатор, межсетевой экран и т.п.), легально подключенный к серверу. Угрозы заключается в том, что злоумышленник выдает себя за доверенный объект сети.

    Это можно сделать двумя способами.

    Во-первых, воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки данного типа часто являются отправной точкой для прочих атак. Обычно подмена доверенного объекта сети ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между объектами сети.

    Для двусторонней связи злоумышленник должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес, что тоже является возможным.

    Для ослабления угрозы (но не ее ликвидации) можно использовать следующее:

    • контроль доступа. Можно настроить контроль доступа на отсечение любого трафика, поступающего из внешней сети с исходным адресом внутри сети. Этот метод является действенным, если санкционированы только внутренние адреса и не работает, если есть санкционированные внешние адреса.
    • Фильтрация RFC 2827 – данный тип фильтрации позволяет пресечь попытки спуфинга чужих сетей пользователями вашей сети. Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации. Часто этот тип фильтрации выполняется провайдером. В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе. К примеру, если ISP предоставляет соединение с IP-адресом 15.1.1.0/24, он может настроить фильтр таким образом, чтобы с данного интерфейса на маршрутизатор ISP допускался только трафик, поступающий с адреса 15.1.1.0/24. Заметим, что до тех пор, пока все провайдеры не внедрят этот тип фильтрации, его эффективность будет намного ниже возможной.
    • Внедрение дополнительных методов аутентификации. IP-spoofing возможен только в случае аутентификации на основе IP. Если ввести какие–то дополнительные меры по аутентификации, например, криптографические, атака становится бесполезной.
  • Smurf — ping-запросы ICMP.

    При посылке ping-пакета (сообщение ICMP ECHO) по широковещательному адресу (например, 10.255.255.255), он доставляется каждой машине в этой сети.

    Принцип атаки заключается в посылке пакета ICMP ECHO REQUEST с адресом-источником атакуемого узла. Злоумышленник шлет постоянный поток ping-пакетов по сетевому широковещательному адресу.

    Все машины, получив запрос, отвечают источнику пакетом ICMP ECHO REPLY.

    Соответственно, размер ответного потока пакетов возрастает в пропорциональное количеству хостов число раз. В результате, вся сеть подвергается отказу в обслуживании из-за перегрузки.

  • Ограничение объема трафика (traffic rate limiting) — организация может попросить провайдера (ISP) ограничить объем трафика. Этот тип фильтрации позволяет ограничить объем некритического трафика, проходящего по вашей сети.

    Обычным примером является ограничение объемов трафика ICMP, который используется только для диагностических целей. Атаки DoS часто используют ICMP.

  • запросы DNS помогают выяснить злоумышленнику владельца домена, адресную область,
  • TFN и TFN2K – более серьезное оружие.

    Позволяют одновременно организовать атаки нескольких типов — Smurf, UDP flood, ICMP flood и TCP SYN flood. Использование этих программ требует от злоумышленника намного более высокой квалификации.

  • отслеживание уязвимостей в новом программном обеспечении с помощью специализированных сайтов, например, .
  • Явный отказ в обслуживании, вызванный тем, что злоумышленник передает пакеты с нестандартными атрибутами (например, UDP-bomb) или имеющих длину, превышающую максимальную (Ping Death).

  • контроль доступа. Можно настроить контроль доступа на отсечение любого трафика, поступающего из внешней сети с исходным адресом внутри сети. Этот метод является действенным, если санкционированы только внутренние адреса и не работает, если есть санкционированные внешние адреса.

  • ICMP flood — атака, аналогичная Smurf, только без усиления, создаваемого запросами по направленному широковещательному адресу.
  • Атаки на уровне приложений.Атака данного типа заключается в использовании «брешей» в серверном программном обеспечении (HTML, sendmail, FTP).

    Используя эти уязвимости, злоумышленник получает доступ к компьютеру от имени пользователя приложения. Для атак на уровне приложений часто используются порты, которые могут «проходить» через межсетевой экран.

    Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран. К примеру, хакер, нападающий на Web-сервер, может использовать ТСР порт 80.

    Чтобы Web-сервер мог предоставлять пользователям страницы, порт 80 на межсетевом экране должен быть открыт. С точки зрения межсетевого экрана, атака рассматривается как стандартный трафик для порта 80. Полностью исключить атаки на уровне приложений невозможно, так как прикладные программы с новыми уязвимостями возникают регулярно.

    Самое главное здесь — хорошее системное администрирование.

    Вот некоторые меры, которые можно предпринять, чтобы снизить уязвимость для атак этого типа:

    • чтение логов (системных и сетевых);
    • отслеживание уязвимостей в новом программном обеспечении с помощью специализированных сайтов, например, .
    • использование IDS.
  • Сканирование сети.Целью сканирования сети является выявление работающих в сети служб, открытых портов, активных сетевых сервисов, используемых протоколов и т.п., то есть сбор информации о сети. Для сканирования сети чаще всего используются:
    • запросы DNS помогают выяснить злоумышленнику владельца домена, адресную область,
    • эхо-тестирование – выявляет работающие хосты на основе DNS-адресов, полученных ранее;
    • сканирование портов – составляется полный перечень услуг, поддерживаемых этими хостами, открытые порты, приложения и т.п.

    Хорошей и наиболее распространенной контрмерой является использование IDS, которая успешно находит признаки ведения сканирования сети и уведомляет об этом администратора. Полностью избавиться от данной угрозы невозможно, так как если, например, отключить эхо ICMP и эхо-ответ на маршрутизаторе, то можно избавиться от угрозы эхо-тестирования, но при этом потерять данные, необходимые для диагностики сетевых сбоев.

  • Функции анти-DoS — правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.

  • Сильная аутентификация, например, использование одноразовых паролей (one-time password).

    Суть состоит в том, что пароль можно использовать однократно, и даже если злоумышленник перехватил его с помощью sniffer, он не представляет никакой ценности. Конечно, данный механизм защиты спасает только от перехвата паролей, и является бесполезным в случае перехвата другой информации, например, электронной почты.

Из самой природы сетевой атаки понятно, что ее появление не контролируется каждым конкретным узлом сети.

Мы рассмотрели далеко не все атаки, возможные в сети, – на практике их значительно больше. Тем не менее, защититься от всех типов атак не видится возможным.

Наиболее оптимальным подходом к защите периметра сети является устранение уязвимостей, которые используются в большинстве атак злоумышленников. Списки таких уязвимостей публикуются на многих сайтах, занимающихся сбором подобной статистики, например, сайт института SANS: . Рядовой злоумышленник не ищет каких-то оригинальных способов для атаки, а сканирует сеть в поиске известной уязвимости и использует ее.

8 лучших программ для анализа сетевого трафика

/ Анализ трафика является процессом, важность которого известна любому ИТ-профессионалу, не зависимо от того, работает ли он в небольшой компании или в крупной корпорации. Ведь выявление и исправления проблем с сетью — это настоящее искусство, которое напрямую зависит как от инстинкта самого специалиста, так и от глубины и качества оперируемых им данных. И анализатор трафика является именно тем инструментом, который эти данные предоставляет вам.

Выбранное с умом решение для анализа сетевого трафика может не только помочь вам выяснить, как пакеты отправляются, принимаются и насколько сохранно передаются по вашей сети, но и позволит сделать намного-намного больше! Сейчас на рынке представлено большое количество вариаций программного обеспечения для анализа сетевого трафика.

Причем некоторые из них способны вызвать ностальгические воспоминания у специалистов «старой школы»; они используют терминальный шрифт и интерфейс командной строки, и на первый взгляд кажутся сложными в использовании.

Другие решения, наоборот, — выделяются простотой установки и ориентированы на аудиторию с визуальным восприятием (они буквально перенасыщены различными графиками). Ценовой диапазон этих решений также весьма существенно отличается — от бесплатных до решений с весьма дорогой корпоративной лицензией. Для того, чтобы вы в зависимости от своих задач и предпочтений смогли выбрать лучшее решение для анализа сетевого трафика, представляем вам список из наиболее интересных из доступных сейчас на рынке программных продуктов для анализа трафика, а также краткий обзор встроенной в них функциональности для извлечения, обработки и визуального предоставления различной сетевой информации.

Часть этих функций у всех приведенных в этом обзоре решений для анализа сетевого трафика схожая — они позволяют с тем или иным уровнем детализации увидеть отправленные и полученные сетевые пакеты, — но практически все из них имеют некоторые характерные особенности, которые делают их уникальными при использовании в определенных ситуациях или сетевых средах.

В конце концов, к анализу сетевого трафика мы прибегаем тогда, когда у нас появилась сетевая проблема, но мы не можем быстро свести ее к определенной машине, устройству или протоколу, и нам приходится проводить более глубокий поиск. Мы поможем вам выбрать наиболее подходящее для этих целей программное решение для анализа трафика.

Данное решение позиционируется производителем как программный пакет из двух продуктов — Network Performance Monitor (базовое решение) и NetFlow Traffic Analyzer (модульное расширение).

Как заявляется, они имеют схожие, но все же отличающиеся функциональные возможности для анализа сетевого трафика, дополняющие друг друга при совместном использовании сразу двух продуктов. Network Performance Monitor, как следует из названия, осуществляет мониторинг производительности сети и станет для вас заманчивым выбором, если вы хотите получить общее представление о том, что происходит в вашей сети.

Покупая это решение, вы платите за возможность контролировать общую работоспособность вашей сети: опираясь на огромное количество статистических данных, таких как скорость и надежность передачи данных и пакетов, в большинстве случаев вы сможете быстро идентифицировать неисправности в работе вашей сети. А продвинутые интеллектуальные возможности программы по выявлению потенциальных проблем и широкие возможности по визуальному представлению результатов в виде таблиц и графиков с четкими предупреждениями о возможных проблемах, еще больше облегчат эту работу. Модульное расширение NetFlow Traffic Analyzer больше сконцентрировано на анализе самого трафика.

В то время, как функциональность базового программного решения Network Performance Monitor больше предназначена для получения общего представления о производительности сети, в NetFlow Traffic Analyzer фокус внимания направлен на более детальный анализ процессов, происходящих в сети. В частности, эта часть программного пакета позволит проанализировать перегрузки или аномальные скачки полосы пропускания и предоставит статистику, отсортированную по пользователям, протоколам или приложениям.

Обратите внимание, что данная программа доступна только для среды Windows.

является относительно новым инструментом в большой семье решений для сетевой диагностики, но за это время он уже успел завоевать себе признание и уважение со стороны ИТ-профессионалов. С анализом трафика WireShark справляется превосходно, прекрасно выполняя для вас свою работу. Разработчики смогли найти золотую середину между исходными данными и визуальным представлением этих данных, поэтому в WireShark вы не найдете перекосов в ту или иную сторону, которым грешат большинство других решений для анализа сетевого трафика.

WireShark прост, совместим и портативен. Используя WireShark, вы получаете именно то, что ожидаете, и получаете это быстро.

WireShark имеет прекрасный пользовательский интерфейс, множество опций для фильтрации и сортировки, и, что многие из нас смогут оценить по достоинству, анализ трафика WireShark прекрасно работает с любым из трех самых популярных семейств операционных систем — *NIX, Windows и macOS.

Добавьте ко всему вышеперечисленному тот факт, что WireShark — программный продукт с открытым исходным кодом и распространяется бесплатно, и вы получите прекрасный инструмент для проведения быстрой диагностики вашей сети. Анализатор трафика tcpdump выглядит как некий древний инструмент, и, если уж быть до конца откровенными, с точки зрения функциональности работает он также. Несмотря на то, что со своей работой он справляется и справляется хорошо, причем используя для этого минимум системных ресурсов, насколько это вообще возможно, многим современным специалистам будет сложно разобраться в огромном количестве «сухих» таблиц с данными.

Но бывают в жизни ситуации, когда использование столь обрезанных и неприхотливых к ресурсам решений может быть полезно. В некоторых средах или на еле работающих ПК минимализм может оказаться единственным приемлемым вариантом. Изначально программное решение tcpdump разработано для среды *NIX, но на данный момент он также работает с несколькими портами Windows.

Он обладает всей базовой функциональностью, которую вы ожидаете увидеть в любом анализаторе трафика — захват, запись и т.д., — но требовать чего-то большего от него не стоит.

Анализатор трафика Kismet — еще один пример программного обеспечения с открытым исходным кодом, заточенного для решения конкретных задач.

Kismet не просто анализирует сетевой трафик, он предоставляет вам гораздо более расширенные функциональные возможности. К примеру, он способен проводить анализ трафика скрытых сетей и даже беспроводных сетей, которые не транслируют свой идентификатор SSID!

Подобный инструмент для анализа трафика может быть чрезвычайно полезен, когда в вашей беспроводной сети есть что-то, вызывающее проблемы, но быстро найти их источник вы не можете.

Kismet поможет вам обнаружить неавторизированную сеть или точку доступа, которая работает, но имеет не совсем правильные настройки.

Многие из нас знают не понаслышке, что задача становится более сложной, когда дело доходит до анализа трафика беспроводных сетей, поэтому наличие под рукой такого специализированного инструмента, как Kismet, не только желательно, но и, зачастую, необходимо.

Анализатор трафика Kismet станет прекрасным выбором для вас, если вы постоянно имеете дело с большим количеством беспроводного трафика и беспроводных устройств, и вы нуждаетесь в хорошем инструменте для анализа трафика беспроводной сети. Kismet доступен для сред * NIX, Windows под Cygwin и macOS. По своим функциональным возможностям EtherApe во многом приближается к WireShark, и он также является программным обеспечением с открытым исходным кодом и распространяется бесплатно.

Однако то, чем он действительно выделяется на фоне других решений — это ориентация на графику.

И если вы, к примеру, результаты анализа трафика WireShark просматриваете в классическом цифровом виде, то сетевой трафик EtherApe отображается с помощью продвинутого графического интерфейса, где каждая вершина графа представляет собой отдельный хост, размеры вершин и ребер указывают на размер сетевого трафика, а цветом отмечаются различные протоколы. Для тех людей, кто отдает предпочтение визуальному восприятию статистической информации, анализатор EtherApe может стать лучшим выбором.

Доступен для сред *NIX и macOS. У данного программного обеспечения с весьма любопытным названием возможность анализа трафика является скорее вспомогательной функцией, чем основной.

Если ваши задачи выходят далеко за пределы простого анализа трафика, то вам стоит обратить внимание на этот инструмент.

С его помощью вы можете восстанавливать пароли для ОС Windows, производить атаки для получения потерянных учетных данных, изучать данные VoIP в сети, анализировать маршрутизацию пакетов и многое другое. Это действительно мощный инструментарий для системного администратора с широкими полномочиями. Работает только в среде Windows.

Решение NetworkMiner — еще одно программное решение, чья функциональность выходит за рамки обычного анализа трафика.

В то время как другие анализаторы трафика сосредотачивают свое внимание на отправке и получении пакетов, NetworkMiner следит за теми, кто непосредственно осуществляет эту отправку и получение.

Этот инструмент больше подходит для выявления проблемных компьютеров или пользователей, чем для проведения общей диагностики или мониторинга сети как таковой. NetworkMiner разработан для ОС Windows.

KisMAC — название данного программного продукта говорит само за себя — это Kismet для macOS. В наши дни Kismet уже имеет порт для операционной среды macOS, поэтому существование KisMAC может показаться излишним, но тут стоит обратить внимание на тот факт, что решение KisMAC фактически имеет свою собственную кодовую базу и не является непосредственно производным от анализатора трафика Kismet. Особо следует отметить, что KisMAC предлагает некоторые возможности, такие как нанесение на карту местоположения и атака деаутентификации на macOS, которые Kismet сам по себе не предоставляет.

Эти уникальные особенности в определенных ситуациях могут перевесить чашу весов в пользу именно этого программного решения. Программы для анализа сетевого трафика могут стать жизненно важным для вас инструментарием, когда вы периодически сталкиваетесь с сетевыми проблемами разных видов — будь то производительность, сброшенные соединения или проблемы с сетевыми резервными копиями. Практически все, что связано с передачей и получением данных в сети, может быть быстро идентифицировано и исправлено благодаря сведениям, полученным с помощью программного обеспечения из вышеприведенного списка.

Результаты, которые даст вам проведенный качественный анализ трафика сети с помощью проверенного специализированного программного инструментария, поможет вам углубится значительно ниже верхнего слоя проблемы, и понять, что на самом деле происходит в вашей сети, или не происходит, но должно происходить.

Последние новости по теме статьи

Важно знать!
  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов.
  • Знание базовых основ желательно, но не гарантирует решение именно вашей проблемы.

Поэтому, для вас работают бесплатные эксперты-консультанты!

Расскажите о вашей проблеме, и мы поможем ее решить! Задайте вопрос прямо сейчас!

  • Анонимно
  • Профессионально

Задайте вопрос нашему юристу!

Расскажите о вашей проблеме и мы поможем ее решить!

+