Безопасность IIS
[+]
Опубликован: 16.10.2006 | Доступ: свободный | Студентов: 2186 / 313 | Оценка: 4.44 / 4.23 | Длительность: 26:41:00
Темы: Интернет-технологии, Безопасность
Специальности: Специалист по безопасности, Архитектор программного обеспечения
Теги: asp, computer management, cookies, ERD, iis, ISAPI, NIDS, privacy, security policy, активное содержимое, анонимный доступ, аутентификация, безопасность, вирусы, группы новостей, интернет, интранет, каталоги, клиенты, политика, приложения, протоколы, серверы, шифрование, электронная почта
Лекция 2:

Удаление, повреждение и отказ в доступе к данным
A
|
версия для печати
< Лекция 1 || Лекция 2: 12345678910 || Лекция 3 >

Распределенный отказ в обслуживании

Уязвимые места DoS существовали на компьютерах с самого начала появления ЭВМ. Хакеры вызывали отказ в обслуживании систем посредством физической атаки (отключая электроэнергию) или посредством других атак с вторжением. Злоумышленники освоили атаки как с внутренней, так и с наружной стороны системы.

Внешние атаки на отказ в обслуживании осуществляются через сеть интернет. Например, при использовании одного известного эксплоита, называемого "атакой Smurf" (Smurf – автоматизированное средство для выполнения этой атаки) хакер отправляет большой ping-трафика ICMP по широкому рассеянному диапазону IP-адресов. Эта атака срабатывает, потому что большая часть подключенных к интернету маршрутизаторов и узлов отвечают на ping-запросы рассеянными ECHO-пакетами. Таким образом, в сети интернет с экспоненциальной скоростью растет количество пакетов, что и вызывает отказ в обслуживании.

В течение последних двух лет выявлена новая DoS-уязвимость. С помощью метода, называемого распределенным отказом в обслуживании (DDoS), можно задействовать большое число компьютеров сети для перегрузки и выхода из строя одного веб-сайта. Атака DDoS в течение долгого времени обосновывалась лишь теоретически. Однако 7-го и 8-го февраля 2000 г. она была успешно реализована на сайтах Yahoo!, Amazon, eBay, Buy.com, CNN, E*TRADE и ZDNet.

Как и атаки с применением вредоносного кода, распределенные атаки DDoS попадают в категорию эксплоитов, которым трудно противостоять, так как злоумышленникам не требуется проникновение в систему для успешной реализации атаки. Скорее всего, такие атаки будут еще долгое время будоражить сознание специалистов в области информационной безопасности.

Стратегия атак DDoS

Известные на сегодняшний день атаки DDoS попадают либо в категорию атак типа "flood" (перегрузка сети огромным числом пакетов), либо в категорию атак, использующих предумышленно некорректные пакеты. Атаки на перегрузку выводят сайты из строя посредством использования протоколов TCP для перегрузки маршрутизаторов и серверов, обеспечивающих работу сайтов. Принцип этих атак заключается в том, что после их осуществления пропускная способность каналов связи сводится к нулю, и становится невозможным обслуживание легальных пользователей, пытающихся открыть сайт в своих браузерах.

Атаки с применением некорректных пакетов осуществляются через выявление уязвимых серверов, не поддерживающих ошибки. Отправка пакетов, размер которых превышает допустимую норму для IP-пакетов, или пакетов с одним и тем же IP-адресом источника и пункта назначения, может вывести из строя такие системы.

Для успешного осуществления атака DDoS должна производиться с набора систем, совместные действия которых помогут вывести из строя компьютер-жертву. Иногда атака планируется группой хакеров. Каждая система в такой атаке выполняет свою собственную роль. В модели атаки, приведенной на рис. 2.6, используются системы, выполняющих два различных набора функций и совместно атакующие систему-цель.

С главной атакующей системы осуществляется управление вспомогательными системами, каждая из которых, в свою очередь, управляет группой агентов, генерирующих сетевой трафик. Если хакеру необходимо привлечь произвольные системы в качестве вспомогательных узлов, он с помощью различных методов сканирования захватит управление необходимыми системами, после чего установит на них средства, необходимые для реализации атаки.

Сокрушение системы-жертвы с помощью атаки DDoS

увеличить изображение
Рис. 2.6. Сокрушение системы-жертвы с помощью атаки DDoS
Защита от атак DDoS

Защита от атак DDoS требует не меньших усилий, чем сама организация данной атаки. В сетях организаций, подключенных к интернету, должны использоваться сетевые экраны, настроенные на обнаружение массового потока ICMP-пакетов и на соответствующие ответные меры. Поставщики услуг интернета должны принимать все меры для защиты от возможных атак данного рода.

Начинающим пользователям следует удостовериться в отсутствии на их компьютерах средств для осуществления атак DdoS. Установите надстройки Microsoft Service Pack и "заплатки", устраняющие уязвимые места, перечисленные в перечне SANS/FBI Top 20. Это исключит возможность использования хакером системы в качестве принудительного агента атаки DDoS.

Перечень известных уязвимых мест

  • Конфигурация операционных систем и приложений по умолчанию.
  • Учетные записи с уязвимыми или несуществующими паролями.
  • Большое число открытых портов.
  • Отсутствие фильтрации адресов.
  • Неправильное ведение журнала или его отсутствие.
  • Программные "дыры" в CGI.
  • Злоумышленный или вредоносный код.
  • Проход по папкам веб-сервера.
  • Переполнение буфера.
  • Доступ к общим ресурсам SMB посредством соединения с NetBIOS с помощью NULL-сеанса.
  • Microsoft Remote Networking (Удаленная работа с сетью) и Data Services (Службы данных).
Дальше >>
< Лекция 1 || Лекция 2: 12345678910 || Лекция 3 >

Вопросы и ответы

вопросов: 0