Yazov_ITKS
.pdfНаконец, на этапе ликвидации следов атаки осу-
ществляется попытка уничтожения следов атаки. При этом удаляются соответствующие записи из всех возможных журналов аудита, в том числе записи о факте сбора информации. Для успешного скрытия следов атаки применяются самые разнообразные приемы (см. рис. 3.9), при этом в последнее время распространились способы, основанные на использование вредоносных программ, способствующих скрытному проведению атак, такие как:
бекдоры (backdoors) – программы, устанавливающие потайной ход на компьютере пользователя, что позволяет удаленно проникать в его операционную среду и управлять таким компьютером;
боты (bots) – программы, устанавливаемые на компьютеры пользователей в интересах использования инфицированных компьютеров для атак на другие компьютеры;
руткиты (rootkits) – программы, специально созданные для скрытия других вредоносных программ и т.д.
Каждая атака описывается на том или ином формальном языке. Такое описание называют сигнатурой атаки. В общем случае под сигнатурой атаки следует понимать формализованное описание атаки, включающее описание действий нарушителя, применяемых им команд и функций, особенностей протоколов межсетевого взаимодействия, уязвимостей системного и прикладного программного обеспечения, последствий и оставляемых следов деструктивных действий, используемое для обнаружения и распознавания атаки.
Все современные системы обнаружения атак располагают базами данных сигнатур сетевых атак, для заполнения которых разработаны специальные языки описания
231
атак, такие как Snort, P-BEST, N-Code, ASD, STATL, RUSSEL, NASL и др. Различают языки, учитывающие и не учитывающие динамику реализации атаки.
Типичный представитель языков описания атак, не учитывающих динамику реализации атаки, разработан для системы обнаружения атак Snort. Каждая сигнатура в ней разделена на две части:
заголовок;
тело сигнатуры.
Заголовок сигнатуры включает в себя информацию о типе протокола, а также сетевые адреса и номера портов отправителя и получателя, по отношению к которому реализуется атака. Тело сигнатуры размещается в скобках и конкретизирует условия, при которых реализуется атака.
Пример сигнатуры, идентифицирующей одну из атак на WEB-сервер с использованием протокола межсетевого взаимодействия HTTP, приведен на рис. 3.10.
аlert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg: "WEB-ATTACKS nmap command attempt"; flags: A; content: "nmap%20"; nocase; sid:1361; rev:1; classtype: web-application-attack;)
Рис. 3.10. Пример сигнатуры атаки на web-сервер
сиспользованием программы nmap
Вначале заголовка сигнатуры определяется ее тип. Описание типов сигнатур представлено в табл. 3.7.
232
|
Таблица 3.7 |
|
|
Описание типов сигнатур атак |
|
Тип сигна- |
Описание |
|
туры |
||
|
||
|
|
|
alert |
при обнаружении атаки с сигнатурой этого типа си- |
|
|
стема обнаружения атак выдает соответствующее |
|
|
предупреждение на консоль администратора |
|
|
|
|
pass |
при обнаружении атаки с сигнатурой этого типа па- |
|
|
кеты данных отбрасываются и не подвергаются |
|
|
дальнейшей обработке |
|
|
|
|
activate |
данный тип сигнатур аналогичен типу «alert», однако |
|
|
он позволяет дополнительно активизировать (выпол- |
|
|
нить) другие сигнатуры типа «dynamic» (см. ниже) |
|
|
|
|
dynamic |
сигнатуры данного типа могут быть активизированы |
|
|
сигнатурами «activate» |
|
|
|
Кроме указания типа сигнатуры в заголовке определяется также тип протокола, к которому относится данная сигнатура – «TCP», «UDP», «ICMP», «IP» или др. Заголовок сигнатуры также содержит список IP-адресов и номеров портов, по отношению к которым будет выполняться сигнатура. IP-адрес записывается в формате CIDR (см. раздел 1.3). При необходимости указания нескольких IP-адресов они могут быть определены в виде списка
(например, [194.170.3.0/24, 192.168.3.0/24]). При отсут-
ствии необходимости указания конкретного перечня IPадресов или номеров портов, используется служебное слово «any», подразумевающее «любой» IP-адрес или номер порта.
В случае необходимости определения диапазона номеров портов используется символ «:», например выражение «1:1024» определяет диапазон номеров портов с 1
до 1024.
233
В заголовке сигнатуры также определяется направление передачи пакета данных, с использованием знаков « -> », « <- », « <> ». Знак « -> » указывает, что анализируется только трафик, который поступил от отправителя с любым IP-адресом и номером порта к получателю c IPадресами 194.170.3.0/24 и номером порта 80. Знак « <- » соответствует обратному направлению трафика. Знак « <> » применяется в случае, если анализируется трафик, который передается в обоих направлениях.
Тело сигнатуры конкретизирует фрагмент пакета данных, к которому будет применена сигнатура, а также задает вспомогательные параметры. Тело сигнатуры размещается между открывающей и закрывающей скобкой. Все параметры, содержащиеся в теле сигнатуры, имеют следующий формат: «имя параметра : значение;».
В приведенном примере сигнатуры указывается, что должно выводиться сообщение об атаке на web-сервер (web-атаке), если нарушитель использует порт № 80 (порт протокола HTTP), программу nmap, в пакете установлен флаг ответа на запрос ACK (флаг А), в тексте имеется команда на использование программы nmap, при этом игнорируется регистр ее записи (nocase), указывается идентификационный номер атаки (1361), используемая версия языка описания (версия 1) и тип атаки.
Типичным представителем языка описания атак,
учитывающего динамику их реализации, является язык
STATL, который разработан в университете г. СантаБарбара и применяется в таких системах обнаружения атак, как STAT, USTAT и NETSTAT.
Описываемая на этом языке атака рассматривается как множество состояний и переходов системы обнаружения. При этом для описания состояния используются переменные, определяющие объекты и события, представ-
234
ленные в сигнатуре атаки. Переходы ассоциируются с новыми событиями в системе, влияющими на исполнение сценария атаки (например, запуск приложения, открытие TCP-соединения). Пространство переходов ограничено событиями, характерными для сигнатур (например, открытие TCP-соединения на специфичный порт).
Краткая характеристика некоторых наиболее известных типовых атак в ИТКС, функционирующих с использованием стека протоколов TCP/IP, приведена в табл. 3.8.
235
Таблица 3.8
Характеристика некоторых типовых сетевых атак в информационно-телекоммуникационных системах
|
|
Наименование |
Значение характеристик атаки |
Примечание |
|
№ |
характеристик |
|
|
||
п/п |
атаки |
|
|
|
|
|
|
|
|
Атаки, направленные на выявление данных об ИТКС |
|
1 |
|
Наименование |
ата- |
Анализ сетевого трафика («Sniffing») |
|
|
|
ки |
|
|
|
|
|
Цель атаки |
|
Выявить содержание служебных заголовков (сетевые адреса, открытые порты, интенсивность |
|
|
|
|
|
запросов, номера пакетов и др.), выявить пароли и идентификаторы пользователей и т.п. |
|
|
|
Источник угрозы |
Внешний |
|
|
|
|
Уязвимость, |
ис- |
Уязвимости протоколов межсетевого взаимодействия Нарушителю необходимо пройти процеду- |
Чаще всего используются протоколы TELNET - |
|
|
пользуемая |
при |
ру идентификации (по имени) и аутентификации (по паролю). Однако для аутентификации ис- |
протокол виртуального терминала, позволяющий |
|
|
реализации атаки |
пользуются пароли, передаваемые по сети в открытом, незашифрованном виде. |
с удаленных хостов подключаться к серверам, и |
|
|
|
|
|
|
FTP (File Transfer Protocol) - протокол передачи |
|
|
|
|
|
файлов по сети. |
Способ реализации (типовой сценарий)
|
Маршрутизатор |
Маршрутизатор |
|
|
Сервер |
4 U |
4 4UU |
Сервер |
|
сети №2 |
||||
сети №1 |
|
|
||
|
|
|
|
|
|
Хост |
|
|
Хост 1 |
1 |
|
|
|
|
|
|
Хост 2 |
Хост 2 |
|
|
Сниффер |
Хост M |
|
|
Хост N |
|
|
|
Нарушитель перехватывает трафик между абонентами двух сетей с использованием своего ком- |
|
|
|
пьютера и специальной программы перехвата пакетов |
|
Программы, |
кото- |
Программы перехвата сетевых пакетов («снифферы») - Dsniff, Sniff Pro LAN, Winsniffer, TCPSpy, |
|
рые могут |
приме- |
NTsniffer, Netmon, Etherscan Analyzer, ethdump, Buttsniffer, Session Wall, Netman, Satan, ISS и др. |
|
няться при реализа- |
|
|
|
ции атаки |
|
|
|
Объект атаки |
|
Сетевой трафик |
|
236
|
|
|
Продолжение табл. 3.8 |
|
Наименование |
Значение характеристик атаки |
Примечание |
№ |
характеристик |
|
|
п/п |
атаки |
|
|
2 |
Наименование ата- |
UDP-сканирование |
UDP (User Datagram Protocol) - дейтаграммный |
|
ки |
|
протокол передачи данных без предварительного |
|
|
|
соединения с абонентом |
Цель атаки
Источник угрозы
Уязвимость, используемая при реализации атаки
Способ реализации (типовой сценарий)
Выявить открытые порты
Внешний
Уязвимость организации взаимодействия абонентов сети: на запросы абонентов операционная система может давать ответ
Без данных
|
|
UDP-пакет |
|
Есть ответ: |
«Destination |
|
unreachable» |
Наличие ответа |
|
|
|
|
Вывод: порт |
Нет ответа |
|
|
|
|
закрыт |
Вывод: или порт открыт, или |
|
|
|
|
|
обмен данными блокируются |
|
|
пакетным фильтром |
Программы, |
котоNmap и протокол UDP операционной системы |
|
рые могут |
приме- |
|
няться при реализа- |
|
|
ции атаки |
|
|
Объект атаки |
Хост сети |
Хост – элемент сети, имеющий свой сетевой ад- |
|
|
рес |
237
|
|
|
|
|
Продолжение табл. 3.8 |
|
Наименование |
|
Значение характеристик атаки |
Примечание |
|
№ |
характеристик |
|
|
|
|
п/п |
атаки |
|
|
|
|
3 |
Наименование |
ата- |
SYN-сканирование |
|
SYN – поле в служебном заголовки пакета, |
|
ки |
|
|
|
оформленного в соответствии с протоколом TCP |
|
Цель атаки |
|
Выявление нумерации текущих и ответных пакетов, наличия открытых портов, факта взаимодей- |
|
|
|
|
|
ствия абонентов и др. |
|
|
|
Источник угрозы |
Внешний |
|
|
|
|
Уязвимость, |
ис- |
Уязвимость в организации сетевого взаимодействия |
|
|
|
пользуемая |
при |
|
|
|
|
реализации атаки |
|
|
|
|
|
Способ реализации |
1 вариант: перехват «полуоткрытых» соединений – пакетов с флагом ACK по одному из портов |
ACK – поле в служебном заголовке пакета, за- |
||
|
(типовой сценарий) |
|
SYN, N1исх |
полняемое, если пакет является ответным на за- |
|
|
|
|
|
|
прос абонента. |
|
|
|
|
SYN2, N2исх, ACK2, N2отв=N1исх+1Абонент №2 |
N1исх – номер исходящего пакет при запросе |
|
|
|
Абонент №1 |
соединения от первого абонента. |
|
|
|
|
|
Перехват ответных |
N2отв – номер ответного пакета (квитанции на |
|
|
|
|
пакетов |
|
|
|
|
|
запрос) |
|
|
|
|
|
«сниффером» |
|
|
|
|
|
|
|
Осуществляется запрос на соединение по определенному порту, ответные пакеты перехватываются.
2 вариант: перехват «полуоткрытых» соединений – пакетов с флагом ACK по нескольким портам
|
SYN, N1-Nkисх |
|
|
SYN2, Nисх2, ACK2, N2отв=Nkисх+1 |
Абонент №2 |
|
Абонент №1 |
|
|
|
|
|
Перехват ответных |
|
|
пакетов |
|
|
«сниффером» |
|
|
Осуществляется запрос на соединение сразу по нескольким портам, ответные пакеты по каждому |
|
|
открытому порту перехватываются |
|
Программы, |
котоNmap и протокол TCP операционной системы |
|
рые могут |
приме- |
|
няться при реализа- |
|
|
ции атаки |
|
|
Объект атаки |
Хост сети |
|
238
Наименование
№характеристик
п/п атаки
4Наименование атаки Цель атаки
Источник угрозы Уязвимость, используемая при реализации атаки Способ реализации (типовой сценарий)
Программы, которые могут применяться при реализации атаки
Объект атаки
Значение характеристик атаки
Инверсное отображение адресов
Вывить IP-адреса сети
Внешний
Уязвимость в организации сетевого взаимодействия
Нарушитель |
|
|
Атакуемый хост |
|
ICMP-ответ на |
|
|
||
непосланный ICMP- |
|
|||
|
запрос |
|
|
|
Сообщение |
|
|
||
host_unreachable |
|
|
||
(хост |
недоступен), |
Нет ответа, если |
||
если |
хост |
не |
||
хост существует |
||||
существует |
|
|||
|
|
|||
Утилита Ping
Хост сети
Продолжение табл. 3.8
Примечание
ICMP (Internet Control Message Protocol) - прото-
кол предназначенный для обмена информацией об ошибках между маршрутизаторами сети и ее узлами, при этом сообщается о невозможности доставки пакета, о превышении времени жизни или продолжительности сборки пакета из фрагментов, об аномальных величинах параметров, об изменении маршрута пересылки и типа обслуживания, о состоянии системы и т.п.
239
|
|
|
Продолжение табл. 3.8 |
|
Наименование |
Значение характеристик атаки |
Примечание |
№ |
характеристик |
|
|
п/п |
атаки |
|
|
5 |
Наименование ата- |
FIN-сканирование |
FIN – поле в служебном заголовке пакета; уста- |
|
ки |
|
новленный в этом поле «флаг» указывает на то, |
|
|
|
что абонент завершает отправку данных |
Цель атаки
Источник угрозы
Уязвимость, используемая при реализации атаки
Способ реализации (типовой сценарий)
Выявить версию операционной системы
Внешний
Уязвимость в организации сетевого взаимодействия
Нарушитель |
Атакуемый хост |
|
TCP-пакет с |
|
флагом FIN |
RST – поле в служебном заголовке пакета, установленный а нем флаг указывает на то, что связь экстренно прерывается
|
|
TCP-пакет с |
|
|
флагом RST |
|
|
Нарушитель отправляет пакет с установленным в служебном заголовке флагом FIN, в то время |
|
|
как сеанс даже не начинался. Разные операционные системы по-разному реагируют на такой па- |
|
|
кет; Windows, Free BSD и другие не посылают в ответ ничего, что позволяет ограничить перечь |
|
|
возможных операционных систем |
|
|
|
Программы, |
кото- |
Nmap и протокол TCP операционной системы |
рые могут |
приме- |
|
няться при реализа- |
|
|
ции атаки |
|
|
Объект атаки |
|
Хост сети |
240