Атака на сеть это

Атака на сеть это

Kaspersky Internet Security защищает ваш компьютер от сетевых атак.

Сетевая атака – это вторжение в операционную систему удаленного компьютера. Злоумышленники предпринимают сетевые атаки, чтобы захватить управление над операционной системой, привести ее к отказу в обслуживании или получить доступ к защищенной информации.

Сетевыми атаками называют вредоносные действия, которые выполняют сами злоумышленники (такие как сканирование портов, подбор паролей), а также действия, которые выполняют вредоносные программы, установленные на атакованном компьютере (такие как передача защищенной информации злоумышленнику). К вредоносным программам, участвующим в сетевых атаках, относят некоторые троянские программы, инструменты DoS-атак, вредоносные скрипты и сетевые черви.

Сетевые атаки можно условно разделить на следующие типы:

• Сканирование портов. Этот вид сетевых атак обычно является подготовительным этапом более опасной сетевой атаки. Злоумышленник сканирует UDP- и TCP-порты, используемые сетевыми службами на атакуемом компьютере, и определяет степень уязвимости атакуемого компьютера перед более опасными видами сетевых атак. Сканирование портов также позволяет злоумышленнику определить операционную систему на атакуемом компьютере и выбрать подходящие для нее сетевые атаки.
• DoS-атаки, или сетевые атаки, вызывающие отказ в обслуживании. Это сетевые атаки, в результате которых атакуемая операционная система становится нестабильной или полностью неработоспособной.

Существуют следующие основные типы DoS-атак:

• Отправка на удаленный компьютер специально сформированных сетевых пакетов, не ожидаемых этим компьютером, которые вызывают сбои в работе операционной системы или ее остановку.
• Отправка на удаленный компьютер большого количества сетевых пакетов за короткий период времени. Все ресурсы атакуемого компьютера используются для обработки отправленных злоумышленником сетевых пакетов, из-за чего компьютер перестает выполнять свои функции.

Вы также можете включить Защиту от сетевых атак в Центре защиты. Отключение защиты компьютера или компонентов защиты значительно повышает риск заражения компьютера, поэтому информация об отключении защиты отображается в Центре защиты.

Важно: Если вы выключили Защиту от сетевых атак, то после перезапуска Kaspersky Internet Security или перезагрузки операционной системы она не включится автоматически и вам потребуется включить ее вручную.

При обнаружении опасной сетевой активности Kaspersky Internet Security автоматически добавляет IP-адрес атакующего компьютера в список заблокированных компьютеров, если этот компьютер не добавлен в список доверенных компьютеров.

1. В строке меню нажмите на значок программы.
2. В открывшемся меню выберите пункт Настройки .

Откроется окно настройки программы.

Вы можете сформировать список доверенных компьютеров. Kaspersky Internet Security не блокирует IP-адреса этих компьютеров автоматически при обнаружении исходящей с них опасной сетевой активности.

1. В строке меню нажмите на значок программы.
2. В открывшемся меню выберите пункт Настройки .

Откроется окно настройки программы.

При обнаружении сетевой атаки Kaspersky Internet Security сохраняет информацию о ней в отчете.

1. Откройте меню Защита .
2. Выберите пункт Отчеты .

Откроется окно отчетов Kaspersky Internet Security.

Примечание: Если компонент Защита от сетевых атак завершил работу с ошибкой, вы можете просмотреть отчет и попробовать перезапустить компонент. Если вам не удается решить проблему, обратитесь в Службу технической поддержки.

Сводную статистику по Защите от сетевых атак (количество заблокированных компьютеров, количество зарегистрированных событий с момента последнего запуска компонента) вы можете просмотреть в Центре защиты, нажав на кнопку Подробнее в правой части главного окна программы.

Защита от сетевых атак

Главные цели киберпреступников — дестабилизация работы сайтов и серверов либо их полный вывод из строя, добыча скрытой информации (конфиденциальные данные пользователей, тексты документов).

Разновидности сетевых атак и методики защиты от них

На сегодняшний день известны следующие виды сетевых атак:

• mailbombing;
• применение специализированных приложений;
• переполнение буфера;
• сетевая разведка (сбор сведений при помощи приложений, находящихся в свободном доступе);
• IP-спуфинг (хакер выдает себя за законного пользователя);
• DDOS-атака (путем перегрузки обслуживание обычных пользователей делается невозможным);
• Man-in-the-Middle (внедрение с целью получения пакетов, передаваемых внутри системы);
• XSS-атака (ПК клиента подвергаются атаке через уязвимости на сервере);
• фишинг (обман жертвы путем отправки сообщений с якобы знакомого адреса).

О первых трех вариантах стоит рассказать отдельно, так как они самые сложные и самые распространенные.

Mailbombing

Суть действия в том, что e-mail пользователя буквально заваливается письмами. Для этого используется массовая рассылка. Цель — отказ работы почтового ящика или всего почтового сервера.

Для проведения этой атаки не нужны особые навыки. Достаточно знать электронный адрес потенциальной жертвы и адрес сервера, с которого можно отправлять сообщения анонимно.

Первое правило защиты, к которому может прибегнуть каждый, — не давать адрес своего почтового адреса сомнительным источникам. Специалисты задают определенные настройки на web-сайте провайдера. Лимит количества писем, поступающих с определенного IP, ограничен. Когда приложение «видит», что число сообщений перевалило предел нормы, письма «на автомате» отправляются в корзину. Но ничто не мешает преступнику проводить рассылку с разных адресов.

Специальные программы

Использование особых приложений — самый распространенный способ вывода серверов из строя. В ход идут вирусы, трояны, руткиты, снифферы.

Вирус — вредоносный софт, заточенный на выполнение определенной функции. Внедряется в другие программы (легальные в том числе) на ПК жертвы. После встраивания приступает к осуществлению прописанной «миссии». Например, проводит шифровку файлов, блокирует загрузку компьютерной платформы, прописав себя в BIOS, и т.д.

«Троянский конь» — это уже не программная вставка, а полноценное вредоносное приложение, которое маскируется под безобидное. Троян может выглядеть, к примеру, как игра. Если пользователь ее запустит, начнется распространение файла. Программа рассылает свои копии по всем электронным адресам, которые есть на ПК жертвы. Чаще всего «троянский конь» похищает данные банковских карт, электронных кошельков — словом, стремится получить доступ к финансовым ресурсам.

Сниффер ворует пакеты данных, переправляемых ПК на разные сайты. Для этого используется сетевая плата, функционирующая в режиме promiscuous mode. В таком режиме все пакеты, переправленные через карту, отправляются на обработку приложению. Таким образом, может быть открыт доступ к конфиденциальным сведениям — например, списку паролей и логинов от банковских счетов.

Руткит скрывает следы преступлений злоумышленников, маскирует вредоносную деятельность, из-за чего администратор не замечает происходящего.

Переполнение буфера

Злоумышленник занят поиском программных или системных уязвимостей. При обнаружении таковых провоцируется нарушение границ оперативной памяти, работа приложения завершается в аварийном режиме, выполняется любой двоичный код.

Защита состоит в том, чтобы обнаружить и устранить уязвимости. Также используются неисполнимые буфера, но этот метод способен предотвратить только те атаки, в которых применяется код.

Способы защиты от сетевых атак:

1. Шифрование данных. Не является защитой как таковой, но в случае утечки информации злоумышленник не прочитает ее.
2. Установка антивирусов и их своевременное обновление.
3. Применение программ, блокирующих действие снифферов и руткитов.
4. Использование межсетевого экрана. Этот элемент выполняет роль фильтра всего проходящего через него трафика.

Комплексная защита от сетевых атак

Наша компания выпускает комплексный продукт ИКС, способный обеспечить защиту Вашего компьютера «по всем фронтам». В функционал входит:

и многое другое.

Интернет Контроль Сервер — это универсальное и эффективное средство контроля над внутренними сетями любой организации вне зависимости от ее сферы деятельности. ИКС позволит защитить данные корпоративной сети.

Настройка программы проста в исполнении, с помощью документации и видеоуроков с ней справится даже начинающий пользователь.

Что такое сетевая атака

Содержание статьи

• Что такое сетевая атака
• Что такое троян?
• Что такое хакерская атака

Разновидности сетевых атак

Существует огромное множество различных конфигураций компьютеров, операционных систем и сетевого оборудования, однако, это не становится препятствием для доступа в глобальную сеть. Такая ситуация стала возможной, благодаря универсальному сетевому протоколу TCP/IP, устанавливающему определенные стандарты и правила для передачи данных через интернет. К сожалению, подобная универсальность привела к тому, что компьютеры, использующие данный протокол, стали уязвимы для внешнего воздействия, а поскольку протокол TCP/IP используется на всех компьютерах, подключенных к интернету, у злоумышленников нет необходимости разрабатывать индивидуальные средства доступа к чужим машинам.

Сетевая атака – это попытка воздействовать на удаленный компьютер с использованием программных методов. Как правило, целью сетевой атаки является нарушение конфиденциальности данных, то есть, кража информации. Кроме того, сетевые атаки проводятся для получения доступа к чужому компьютеру и последующего изменения файлов, расположенных на нем.

Есть несколько типов классификации сетевых атак. Один из них – по принципу воздействия. Пассивные сетевые атаки направлены на получение конфиденциальной информации с удаленного компьютера. К таким атакам, например, относится чтение входящих и исходящих сообщений по электронной почте. Что касается активных сетевых атак, то их задачей является не только доступ к тем или иным сведениям, но и их модификация. Одно из наиболее значимых различий между этими типами атак заключается в том, что обнаружить пассивное вмешательство практически невозможно, в то время как последствия активной атаки, как правило, заметны.

Кроме того, атаки классифицируются по тому, какие задачи они преследуют. Среди основных задач, как правило, выделяют нарушение работы компьютера, несанкционированный доступ к информации и скрытое изменение данных, хранящихся на компьютере. К примеру, взлом школьного сервера с целью изменить оценки в журналах относится к активным сетевым атакам третьего типа.

Технологии защиты

Методы защиты от сетевых атак разрабатываются и совершенствуются постоянно, однако полной гарантии ни один из них не дает. Дело в том, что любая статичная защита имеет слабые места, так как невозможно защититься от всего сразу. Что же касается динамических методов защиты, таких как статистические, экспертные, защиты с нечеткой логикой и нейронные сети, то они тоже имеют свои слабые места, поскольку основаны преимущественно на анализе подозрительных действий и сравнении их с известными методами сетевых атак. Следовательно, перед неизвестными типами атак большинство систем защиты пасует, начиная отражение вторжения слишком поздно. Тем не менее, современные защитные системы позволяют настолько осложнить злоумышленнику доступ к данным, что рациональнее бывает поискать другую жертву.

Опасные DDoS атаки и их алгоритмы воздействия

Атака типа «denial-of-service» или DoS – это умышленная попытка сделать компьютерный веб-сервис недоступным. Эта цель может быть достигнута разными путями. Атакер может нарушить нормальную работу сети, или своими действиями привести к низкой производительности и блокировке системы.

Distributed denial of service или DDoS – это разновидность DoS атаки. Происходит, когда атака включает в себя несколько подключенных онлайн-устройств под общим контролем, которые используются для подавления веб-сервиса жертвы. Такая совместно используемая группа устройств называется botnet. Управление такой сетью реализовывается обычно через IRC или P2P-сети.

Крупномасштабная DDoS атака (до 400 Гбит / с) может повлиять на подключение к интернету всего географического региона.

Каковы признаки DDoS-атаки?

• Необычно низкая производительность сети.
• Недоступность конкретного веб-сервиса.
• Невозможность доступа к любому веб-сервису.
• Резкое увеличение количества полученных спам-писем.
• Отключение беспроводного или проводного подключения к интернету.
• Долгосрочный отказ в доступе к сети или другим интернет-услугам.

На сегодняшний день DDoS атак существует много, но их можно сгруппировать по цели атаки. Цель атаки может быть достигнута за счет:

• Перегрузки ресурсов сети жертвы.
• Блокировки доступа к жертве через DNS
• Перегрузки ресурсов сервера.
• Вывода из строя приложений жертвы.
• Комбинированныx вариантов.

Рассмотрим распространенные виды атак.

DDoS атаки на сеть жертвы

Общей целью такого типа атак является перегрузка сети. Атакер прямо или отраженно посылает большой объем трафика на веб-сервис жертвы. В результате, часть пользователей не имеет доступа к веб-сервису, или он становиться полностью недоступным. При прямой атаке запросы идут напрямую к веб-сервису жертвы. При отраженной атаке запрос с поддельным адресом отправителя идет на промежуточное звено, и жертва получает ответ на него.

Ping flood атака (или ICMP flood)

Алгоритм: Большое количество ICMP Echo запросов посылается жертве с разных IP. Эти запросы должны быть обработаны и сервер обычно должен отправить ответ. Если объем запросов и ответов превышает ширину полосы пропускания сети, сайт становиться не доступен для настоящих пользователей. Атака также может перегрузить CPU, если машина сайта относительно медленная. Чтобы атака была успешной, атакер должен иметь больший канал сети, чем жертва.

• Отключение ответов на ICMP-запросы.
• Понижение приоритета обработки ICMP-запросов так, чтобы они обрабатывались в последнюю очередь по остаточному принципу.
• Ограничение скорости трафика ICMP так, чтобы когда превышены настроенные пороги, не принимать ICMP-пакеты.
• Настройка фильтров ограничения скорости ICMP глобально на отдельных Интерфейсах Ethernet и в шаблонах виртуального сервера.

Smurf атака

Алгоритм: Большое количество ICMP-запросов посылается в сеть. Такая сеть называется усиливающей. При этом в запросе IP-адрес отправителя меняется на IP-адрес жертвы. Таким образом, жертва получает большое количество ответов на ICMP-запросы, которые она не делала. Это ведет к снижению или полной блокировке канала сети жертвы.

Противодействие: Анализ загрузки сети и выявление причин перегрузки поможет в выявлении атаки. Можно настроить сервер так, чтобы вообще не отвечать ICMP-запросы или запретить пересылку пакетов по таким запросам. Или через настройки Sysctl отключить ping ответы на серверах.

Fraggle атака – разновидность Smurf атаки

Алгоритм: Атакер отправляет большое количество UDP-пакетов на седьмой и девятнадцатый порты усиливающей сети. В UDP-пакетах адрес отправителя меняется на адрес жертвы. Обычно многие компьютеры реагируют на UDP-пакет и отправляют ответ на адрес жертвы. В результате сеть терпит перегрузку, и веб-сервис может быть не доступен.

Противодействие: аналогичное, как для Smurf-атаки.

UDP-flood атака

Алгоритм: Атакер отсылает жертве большое количество UDP-пакетов на разные порты хост-системы. Система жертвы пытается безуспешно проверять приложения слушающие порт и, в конечном итоге, отправляет ICMP Destination Unreachable пакет. Так как атакер передает многочисленные UDP-пакеты, веб-сервис становиться недоступен для настоящих клиентов.

Противодействие: Для противодействия необходимо ограничить скорость от определенных IP адресов или количество отправки ICMP пакетов. Запретить передачу по UDP протоколу. Чтобы использовать UDP, его можно изолировать от внешней сети.

NTP amplification атака

Алгоритм: Атакер использует общедоступные серверы протокола сетевого времени (NTP). Передача данных идет по протоколу UDP. Он отправляет запрос с командой «monlist» на NTP-сервер, но свой IP-адрес заменяет поддельным IP-адресом. В результате ответ получает жертва. При большом трафике сеть жертвы перегружается, и становиться недоступной. Усиление атаки происходит за счет размера ответа, который может от 20 до 200+ раз превышать размер запроса. Так же для усиления может использоваться botnet.

Противодействие: Сложность смягчения таких атак в том, что трафик от NTP-сервера считается легитимным. Особую угрозу несет степень усиление, которое может нанести вред даже устойчивой инфраструктуре. Для смягчения атаки можно использовать специальный софт для фильтрации трафика.

Unintentional DDoS атака

Алгоритм: Ссылка на небольшой сайт жертвы добавляется на очень популярный сайт. Трафик веб-сайта значительно увеличивается, что приводит к перегрузке сети. Такой тип атак критичен для сайтов, которые могут обрабатывать только очень ограниченный трафик. Таким образом, происходит DDoS атака через реальный трафик.

DDoS атаки на DNS сервера

Как известно, DNS- сервер возвращает IP-адрес сайта по имени хоста. Атакер может использовать уязвимости DNS-серверов для блокировки доступа к сайту жертвы.

DNS-flood атака

Алгоритм: Эта атака похожа на UDP-flood, так как DNS-серверы полагаются на UDP-протокол. Атакер шлет случайные UDP-запросы на порт 53 с поддельным IP-адресом отправителя. Эти запросы неточные и неправильно отформатированные. За счет количества запросов, идет перегрузка DNS-сервера и адрес жертвы становиться не доступным. Так как UDP не требует подтверждения соединения, подмену IP выполнить легче.

DNS amplification атака

Алгоритм: Атакер отправляет небольшой запрос для поиска IP-адреса, в котором адрес ответа заменен на адрес жертвы. Атака может усиливаться через botnet (усиливающая сеть). Усиление также происходит по причине того, что размер запроса намного меньше размера ответа и атакер стремится сделать ответ максимально большим по размеру. Коэффициент усиления за счет размера запроса может достигать 70-ти. Усиливающая сеть также может использоваться для отражения ответа, усложняя поиск атакера и дополнительно увеличивая трафик. При этом жертва получает большое количество ответов. Происходит перегрузка сети или сервера, и веб-сервис становиться недоступным.

Атакер может использовать только не правильно сконфигурированный DNS-сервер по технологии DNSSEC. Суть в том, что правильный сервер должен принимать запросы только от своего провайдера. Но на деле много DNS-серверов настроены не правильно и могут принимать любые запросы.

DNS nxdomain flood атака

Алгоритм: Атакер наводняет DNS-сервер запросами на несуществующие или недопустимые записи. DNS-сервер тратит все свои ресурсы на поиск этих записей. Кэш сервера заполняется ложными запросами, и в конечном итоге он не имеет ресурсов для обслуживания легитимных запросов.

Противодействие атакам через DNS-сервер

Защита от атак через DNS зависит во многом от провайдера DNS-сервера. Так же возможно использовать софт, который будет перенимать все запросы от DNS-сервера, и фильтровать вредоносные. Возможно использовать технологию Anycast для балансировки нагрузки атаки через глобальную сеть мощных серверов очистки, где трафик проходит процесс глубокой проверки пакетов, который отфильтровывает вредоносный трафик DDoS.

В следующей части рассмотрим опасные DDoS атаки на ресурсы сервера и приложений…

Решили защитить себя от таких атак, обращайтесь [email protected]

DDoS-атаки: типы атак и уровни модели OSI

Основополагающими концепциями кибер-безопасности являются доступность, целостность и конфиденциальность. Атаки «отказ в обслуживании» (DoS) влияют на доступность информационных ресурсов. Отказ в обслуживании считается успешным, если он привел к недоступности информационного ресурса. Успешность атаки и влияние на целевые ресурсы отличаются тем, что влияние наносит жертве урон. Например, если атакуется интернет-магазин, то длительный отказ в обслуживании может причинить финансовые убытки компании. В каждом конкретном случае DoS-активность может либо непосредственно причинить вред, либо создать угрозу и потенциальный риск нанесения убытков.

Первая D в DDoS означает distributed: распределённая атака типа «отказ в обслуживании». В этом случае речь идёт об огромной массе злонамеренных запросов, поступающих на сервер жертвы из множества разных мест. Обычно такие атаки организуются посредством бот-сетей.

В этой статье мы подробно рассмотрим, какие типы DDoS-трафика и какие виды DDoS-атак существуют. Для каждого вида атак будут приведены краткие рекомендации по предотвращению и восстановлению работоспособности.

Типы DDoS-трафика

Самый простой вид трафика — HTTP-запросы. С помощью таких запросов, например, любой посетитель общается с вашим сайтом посредством браузера. В основе запроса лежит HTTP-заголовок.

HTTP-заголовок. HTTP заголовки — это поля, которые описывают, какой именно ресурс запрашивается, например, URL-адрес или форма, или JPEG. Также HTTP заголовки информируют веб-сервер, какой тип браузера используется. Наиболее распространенные HTTP заголовки: ACCEPT, LANGUAGE и USER AGENT.

Запрашивающая сторона может использовать сколько угодно заголовков, придавая им нужные свойства. Проводящие DDoS-атаку злоумышленники могут изменять эти и многие другие HTTP-заголовки, делая их труднораспознаваемыми для выявления атаки. В добавок, HTTP заголовки могут быть написаны таким образом, чтоб управлять кэшированием и прокси-сервисами. Например, можно дать команду прокси-серверу не кэшировать информацию.

HTTP GET

• HTTP(S) GET-запрос — метод, который запрашивает информацию на сервере. Этот запрос может попросить у сервера передать какой-то файл, изображение, страницу или скрипт, чтобы отобразить их в браузере.
• HTTP(S) GET-флуд — метод DDoS атаки прикладного уровня (7) модели OSI, при котором атакующий посылает мощный поток запросов на сервер с целью переполнения его ресурсов. В результате сервер не может отвечать не только на хакерские запросы, но и на запросы реальных клиентов.

HTTP POST

• HTTP(S) POST-запрос — метод, при котором данные помещаются в тело запроса для последующей обработки на сервере. HTTP POST-запрос кодирует передаваемую информацию и помещает на форму, а затем отправляет этот контент на сервер. Данный метод используется при необходимости передавать большие объемы информации или файлы.
• HTTP(S) POST-флуд — это тип DDoS-атаки, при котором количество POST-запросов переполняют сервер так, что сервер не в состоянии ответить на все запросы. Это может привести к исключительно высокому использованию системных ресурсов, и, в последствии, к аварийной остановке сервера.

Каждый из описанных выше HTTP-запросов может передаваться по защищенному протоколу HTTPS. В этом случае все пересылаемые между клиентом (злоумышленником) и сервером данные шифруются. Получается, что «защищенность» тут играет на руку злоумышленникам: чтобы выявить злонамеренный запрос, сервер должен сначала расшифровать его. Т.е. расшифровывать приходится весь поток запросов, которых во время DDoS-атаки поступает очень много. Это создает дополнительную нагрузку на сервер-жертву.

SYN-флуд (TCP/SYN) устанавливает полуоткрытые соединения с узлом. Когда жертва принимает SYN-пакет через открытый порт, она должна послать в ответ SYN-ACK пакет и установить соединение. После этого инициатор посылает получателю ответ с ACK-пакетом. Данный процесс условно называется рукопожатием. Однако, во время атаки SYN-флудом рукопожатие не может быть завершено, т.к. злоумышленник не отвечает на SYN-ACK сервера-жертвы. Такие соединения остаются полуоткрытыми до истечения тайм-аута, очередь на подключение переполняется и новые клиенты не могут подключиться к серверу.

UDP-флуд чаще всего используются для широкополосных DDoS-атак в силу их бессеансовости, а также простоты создания сообщений протокола 17 (UDP) различными языками программирования.

ICMP-флуд. Протокол межсетевых управляющих сообщений (ICMP) используется в первую очередь для передачи сообщений об ошибках и не используется для передачи данных. ICMP-пакеты могут сопровождать TCP-пакеты при соединении с сервером. ICMP-флуд — метод DDoS атаки на 3-м уровне модели OSI, использующий ICMP-сообщения для перегрузки сетевого канала атакуемого.

MAC-флуд — редкий вид атаки, при котором атакующий посылает множественные пустые Ethernet-фреймы с различными MAC-адресами. Сетевые свитчи рассматривают каждый MAC-адрес в отдельности и, как следствие, резервируют ресурсы под каждый из них. Когда вся память на свитче использована, он либо перестает отвечать, либо выключается. На некоторых типах роутеров атака MAC-флудом может стать причиной удаления целых таблиц маршрутизации, таким образом нарушая работу целой сети.

Классификация и цели DDoS-атак по уровням OSI

Интернет использует модель OSI. Всего в модели присутствует 7 уровней, которые охватывают все среды коммуникации: начиная с физической среды (1-й уровень) и заканчивая уровнем приложений (7-й уровень), на котором «общаются» между собой программы.

DDoS-атаки возможны на каждом из семи уровней. Рассмотрим их подробнее.

7-й уровень OSI: Прикладной