что делать при сетевой атаке на компьютер
Сетевые атаки и методы их предотвращения
Сетевая атака подразумевает совершение покушения со стороны злоумышленника на систему информационной безопасности сети компании. Если систематически не проводится проверка информационной безопасности предприятия, то те же конкуренты будут нанимать людей, которые все чаще будут стараться проникнуть в сеть и завладеть конфиденциальной информацией.
Само проникновение в сеть может производиться при помощи самых разнообразных методов, в числе которых вредоносные программы, позволяющие копировать данные с носителей. Они могут рассылаться с почтой, проникать в при помощи подставных сотрудников
Как происходит сетевая атака
Сценарий каждой сетевой атаки примерно следующий:
Злоумышленник находит определенную уязвимость в системе информационной безопасности (например, незащищенный порт в операционной системе, установленной на компьютерах сети компании);
При помощи найденной «дыры» целенаправленно выполняет заранее спланированное действие: ворует сохраненные логины с паролями, делает рассылку сотрудникам от лица руководителя, копирует личные данные сотрудников ;
После содеянного оставляет после себя некий «след» — вредоносный код, который позволит ему все время иметь доступ к зараженному ПК и при необходимости устраивать дополнительные «пакости» (например, ).
Если же у компании, которую атаковал злоумышленник, есть собственный сайт, то в результате будущей атаки на него (или сеть компьютеров этой компании) подобные действия могут привести к крайне негативным и серьезным последствиям — вплоть до потери финансовых данных.
Главные виды сетевых атак и защита от них
Чаще всего злоумышленники для проникновения в чужую сеть используют следующие подходы:
вирусное программное обеспечение;
Независимо от вида атаки, которую использует злоумышленник, важно заранее предотвратить ее, определив наиболее уязвимые места в предприятия, и закрыть все найденные «дыры». Для таких целей используются специальные тесты.
А чтобы защититься от подобных атак, чаще всего прибегают к использованию:
антивирусного программного обеспечения;
систем предотвращения несанкционированного проникновения в сеть компании;
приложений для защиты памяти
Если компания работает в финансовой сфере, то важно привлечь сторонних специалистов, которые проверят ее систему безопасности на соответствие 152 ФЗ (федеральному закону «О персональных данных»).
Что делать при сетевой атаке на компьютер
Kaspersky Internet Security защищает ваш компьютер от сетевых атак.
Сетевая атака – это вторжение в операционную систему удаленного компьютера. Злоумышленники предпринимают сетевые атаки, чтобы захватить управление над операционной системой, привести ее к отказу в обслуживании или получить доступ к защищенной информации. Для этого злоумышленники выполняют прямые атаки, такие как сканирование портов, или используют вредоносные программы, установленные на атакуемом компьютере.
Сетевые атаки можно условно разделить на следующие типы:
Существуют следующие основные типы DoS-атак:
Этот вид сетевых атак применяется в случаях, когда злоумышленнику нужно получить конфиденциальные данные с удаленного компьютера (например, номера банковских карт или пароли), либо использовать удаленный компьютер в своих целях (например, атаковать с этого компьютера другие компьютеры) без ведома пользователя.
Откроется окно настройки программы.
Вы также можете включить Защиту от сетевых атак в Центре защиты. Выключение защиты или компонентов защиты значительно повышает риск заражения компьютера, поэтому информация о выключении защиты отображается в Центре защиты.
Важно! Если вы выключили защиту от сетевых атак, то после перезапуска Kaspersky Internet Security или перезагрузки операционной системы она не включится автоматически. Вам потребуется включить ее вручную.
При обнаружении опасной сетевой активности Kaspersky Internet Security автоматически добавляет IP-адрес атакующего компьютера в список заблокированных компьютеров, если этот компьютер не добавлен в список доверенных компьютеров.
Откроется окно настройки программы.
Откроется окно со списком доверенных компьютеров и списком заблокированных компьютеров.
Откроется окно подтверждения.
Kaspersky Internet Security разблокирует IP-адрес.
Kaspersky Internet Security разблокирует IP-адрес и добавит его в список доверенных компьютеров.
Вы можете сформировать список доверенных компьютеров. Kaspersky Internet Security не блокирует IP-адреса этих компьютеров автоматически при обнаружении исходящей с них опасной сетевой активности.
Откроется окно настройки программы.
Откроется окно со списком доверенных компьютеров и списком заблокированных компьютеров.
При обнаружении сетевой атаки Kaspersky Internet Security сохраняет информацию о ней в отчете.
Примечание. Если компонент Защита от сетевых атак завершил работу с ошибкой, вы можете просмотреть отчет и попробовать перезапустить компонент. Если вам не удается решить проблему, обратитесь в Службу технической поддержки.
Сводную статистику защиты от сетевых атак (количество заблокированных компьютеров, количество зарегистрированных событий с момента последнего запуска компонента) вы можете просмотреть в Центре защиты, нажав на кнопку Подробнее в правой части главного окна программы.
Что делать при сетевой атаке на компьютер
Kaspersky Endpoint Security защищает ваш компьютер от сетевых атак.
Сетевая атака – это вторжение в операционную систему удаленного компьютера. Злоумышленники предпринимают сетевые атаки, чтобы захватить управление над операционной системой, привести ее к отказу в обслуживании или получить доступ к защищенной информации. Для этого злоумышленники выполняют прямые атаки, такие как сканирование портов, или используют вредоносные программы, установленные на атакуемом компьютере.
Сетевые атаки можно условно разделить на следующие типы:
Существуют следующие основные типы DoS-атак:
Этот вид сетевых атак применяется в случаях, когда злоумышленнику нужно получить конфиденциальные данные с удаленного компьютера (например, номера банковских карт или пароли), либо использовать удаленный компьютер в своих целях (например, атаковать с этого компьютера другие компьютеры) без ведома пользователя.
Откроется окно настройки программы.
Вы также можете включить Защиту от сетевых атак в Центре защиты. Выключение защиты или компонентов защиты значительно повышает риск заражения компьютера, поэтому информация о выключении защиты отображается в Центре защиты.
Важно! Если вы выключили Защиту от сетевых атак, то после перезапуска Kaspersky Endpoint Security или перезагрузки операционной системы компонент не включится автоматически. Вам потребуется включить Защиту от сетевых атак вручную.
При обнаружении опасной сетевой активности Kaspersky Endpoint Security автоматически добавляет IP-адрес атакующего компьютера в список заблокированных компьютеров, если этот компьютер не добавлен в список доверенных компьютеров.
Откроется окно настройки программы.
Откроется окно со списком доверенных компьютеров и списком заблокированных компьютеров.
Откроется окно подтверждения.
Kaspersky Endpoint Security разблокирует IP-адрес.
Kaspersky Endpoint Security разблокирует IP-адрес и добавит его в список доверенных компьютеров.
Вы можете создать и изменить список доверенных компьютеров. Kaspersky Endpoint Security не блокирует IP-адреса этих компьютеров автоматически при обнаружении исходящей с них опасной сетевой активности.
Откроется окно настройки программы.
Откроется окно со списком доверенных компьютеров и списком заблокированных компьютеров.
При обнаружении сетевой атаки Kaspersky Endpoint Security сохраняет информацию о ней в отчете.
Примечание. Если компонент Защита от сетевых атак завершил работу с ошибкой, вы можете просмотреть отчет и попробовать перезапустить компонент. Если вам не удается решить проблему, обратитесь в Службу технической поддержки.
Вы можете посмотреть сводную статистику по защите от сетевых атак (количество заблокированных компьютеров, количество зарегистрированных событий с момента последнего запуска компонента) в Центре защиты, нажав на кнопку Подробнее в правой части главного окна программы.
Что делать при сетевой атаке на компьютер
Порядок действий при обнаружении сетевых атак.
1. Классификация сетевых атак
1.1. Снифферы пакетов
Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен.
IP-спуфинг происходит, когда хакер, находящийся внутри системы или вне ее выдает себя за санкционированного пользователя. Это можно сделать двумя способами. Во-первых, хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример — атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера.
Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между одноранговыми устройствами. Для двусторонней связи хакер должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес. Некоторые хакеры, однако, даже не пытаются получить ответ от приложений. Если главная задача состоит в получении от системы важного файла, ответы приложений не имеют значения.
Если же хакеру удается поменять таблицы маршрутизации и направить трафик на ложный IP-адрес, хакер получит все пакеты и сможет отвечать на них так, будто он является санкционированным пользователем.
1.3. Отказ в обслуживании (Denial of Service — DoS)
DoS является наиболее известной формой хакерских атак. Против атак такого типа труднее всего создать стопроцентную защиту.
Наиболее известные разновидности DoS:
Атаки DoS отличаются от атак других типов. Они не нацелены на получение доступа к сети или на получение из этой сети какой-либо информации. Атака DoS делает сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения.
В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol). Большинство атак DoS опирается не на программные ошибки или бреши в системе безопасности, а на общие слабости системной архитектуры. Некоторые атаки сводят к нулю производительность сети, переполняя ее нежелательными и ненужными пакетами или сообщая ложную информацию о текущем состоянии сетевых ресурсов. Этот тип атак трудно предотвратить, так как для этого требуется координация действий с провайдером. Если трафик, предназначенный для переполнения вашей сети, не остановить у провайдера, то на входе в сеть вы это сделать уже невозможно, потому что вся полоса пропускания будет занята. Когда атака этого типа проводится одновременно через множество устройств, атака является распределенной DoS (DDoS — distributed DoS).
1.4. Парольные атаки
Хакеры могут проводить парольные атаки с помощью целого ряда методов, таких как простой перебор (brute force attack), троянский конь, IP-спуфинг и сниффинг пакетов. Хотя логин и пароль часто можно получить при помощи IP-спуфинга и снифинга пакетов, хакеры часто пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название простого перебора (brute force attack). Часто для такой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате хакер получает доступ к ресурсам, он получает его на правах обычного пользователя, пароль которого был подобран. Если этот пользователь имеет значительные привилегии доступа, хакер может создать для себя «проход» для будущего доступа, который будет действовать даже если пользователь изменит свой пароль и логин.
Еще одна проблема возникает, когда пользователи применяют один и тот же (пусть даже очень хороший) пароль для доступа ко многим системам: корпоративной, персональной и системам Интернет. Поскольку устойчивость пароля равна устойчивости самого слабого хоста, хакер, узнавший пароль через этот хост, получает доступ ко всем остальным системам, где используется тот же пароль.
1.5. Атаки типа Man-in-the-Middle
Для атаки типа Man-in-the-Middle хакеру нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.
1.6. Атаки на уровне приложений
Атаки на уровне приложений могут проводиться несколькими способами. Самый распространенный из них состоит в использовании слабостей серверного программного обеспечения (sendmail, HTTP, FTP). Используя эти слабости, хакеры могут получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно это бывает не простой пользователь, а привилегированный администратор с правами системного доступа). Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей). Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран. К примеру, хакер, эксплуатирующий известную слабость Web-сервера, часто использует в ходе атаки ТСР порт 80. Поскольку Web-сервер предоставляет пользователям Web-страницы, межсетевой экран должен предоставлять доступ к этому порту. С точки зрения межсетевого экрана, атака рассматривается как стандартный трафик для порта 80.
1.7. Сетевая разведка
Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования (ping sweep) и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование (ping sweep) адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. И, наконец, хакер анализирует характеристики приложений, работающих на хостах. В результате добывается информация, которую можно использовать для взлома.
1.8. Злоупотребление доверием
Этот тип действий не является «атакой» или «штурмом». Он представляет собой злонамеренное использование отношений доверия, существующих в сети. Примером является система, установленная с внешней стороны межсетевого экрана, имеющая отношения доверия с системой, установленной с его внутренней стороны. В случае взлома внешней системы, хакер может использовать отношения доверия для проникновения в систему, защищенную межсетевым экраном.
1.9. Переадресация портов
Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран трафика, который в противном случае был бы обязательно отбракован. Примером приложения, которое может предоставить такой доступ, является netcat.
1.10. Несанкционированный доступ
Несанкционированный доступ не может считаться отдельным типом атаки. Большинство сетевых атак проводятся ради получения несанкционированного доступа. Чтобы подобрать логин telnet, хакер должен сначала получить подсказку telnet на своей системе. После подключения к порту telnet на экране появляется сообщение «authorization required to use this resource» (для пользования этим ресурсов нужна авторизация). Если после этого хакер продолжит попытки доступа, они будут считаться «несанкционированными». Источник таких атак может находиться как внутри сети, так и снаружи.
1.11. Вирусы и приложения типа «троянский конь»
Рабочие станции клиентов очень уязвимы для вирусов и троянских коней. «Троянский конь» — это не программная вставка, а настоящая программа, которая выглядит как полезное приложение, а на деле выполняет вредную роль.
2. Методы противодействия сетевым атакам
2.1. Смягчить угрозу сниффинга пакетов можно с помощью следующих средств:
2.2. Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:
2.2.3. Наиболее эффективный метод борьбы с IP-спуфингом тот же, что и в случае со сниффингом пакетов: необходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает этот вид атак бесполезными. Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.
2.3. Угроза атак типа DoS может снижаться следующими способами:
2.3.3. Ограничение объема трафика (traffic rate limiting) – договор с провайдером (ISP) об ограничении объем трафика. Этот тип фильтрации позволяет ограничить объем некритического трафика, проходящего сети. Обычным примером является ограничение объемов трафика ICMP, который используется только для диагностических целей. Атаки (D) DoS часто используют ICMP.
2.3.4. Блокирование IP адресов – после анализа DoS атаки и выявления диапазона IP адресов, с которых осуществляется атака, обратиться к провайдеру для их блокировки.
2.4. Парольных атак можно избежать, если не пользоваться паролями в текстовой форме. Одноразовые пароли и/или криптографическая аутентификация могут практически свести на нет угрозу таких атак. Не все приложения, хосты и устройства поддерживают указанные выше методы аутентификации.
2.5. Эффективно бороться с атаками типа Man-in-the-Middle можно только с помощью криптографии. Если хакер перехватит данные зашифрованной сессии, у него на экране появится не перехваченное сообщение, а бессмысленный набор символов. Заметим, что, если хакер получит информацию о криптографической сессии (например, ключ сессии), это может сделать возможной атаку Man-in-the-Middle даже в зашифрованной среде.
2.6. Полностью исключить атаки на уровне приложений невозможно. Хакеры постоянно открывают и публикуют в Интернете все новые уязвимые места прикладных программ. Самое главное — хорошее системное администрирование.
Меры, которые можно предпринять, чтобы снизить уязвимость для атак этого типа:
2.7. Полностью избавиться от сетевой разведки невозможно. Если отключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах, вы избавитесь от эхо-тестирования, но потеряете данные, необходимые для диагностики сетевых сбоев. Кроме того, сканировать порты можно и без предварительного эхо-тестирования. Просто этой займет больше времени, так как сканировать придется и несуществующие IP-адреса. Системы IDS на уровне сети и хостов обычно хорошо справляются с задачей уведомления администратора о ведущейся сетевой разведке, что позволяет лучше подготовиться к предстоящей атаке и оповестить провайдера (ISP), в сети которого установлена система, проявляющая чрезмерное любопытство.
2.8. Риск злоупотребления доверием можно снизить за счет более жесткого контроля уровней доверия в пределах своей сети. Системы, расположенные с внешней стороны межсетевого экрана, никогда не должны пользоваться абсолютным доверием со стороны защищенных экраном систем. Отношения доверия должны ограничиваться определенными протоколами и, по возможности, аутентифицироваться не только по IP-адресам, но и по другим параметрам.
2.9. Основным способом борьбы с переадресацией портов является использование надежных моделей доверия (см. п. 2.8). Кроме того, помешать хакеру установить на хосте свои программные средства может хост-система IDS (HIDS).
2.10. Способы борьбы с несанкционированным доступом достаточно просты. Главным здесь является сокращение или полная ликвидация возможностей хакера по получению доступа к системе с помощью несанкционированного протокола. В качестве примера можно рассмотреть недопущение хакерского доступа к порту telnet на сервере, который предоставляет Web-услуги внешним пользователям. Не имея доступа к этому порту, хакер не сможет его атаковать. Что же касается межсетевого экрана, то его основной задачей является предотвращение самых простых попыток несанкционированного доступа.
2.11. Борьба с вирусами и «троянскими конями» ведется с помощью эффективного антивирусного программного обеспечения, работающего на пользовательском уровне и на уровне сети. Антивирусные средства обнаруживают большинство вирусов и «троянских коней» и пресекают их распространение.
3. Алгоритм действий при обнаружении сетевых атак
3.1. Большая часть сетевых атак блокируется автоматически установленными средствами защиты информации (межсетевые экраны, средства доверенной загрузки, сетевые маршрутизаторы, антивирусные средства и т.п.).
3.2. К атакам, требующим вмешательства персонала для их блокировки или снижения тяжести последствий относятся атаки типа DoS.
3.2.1. Выявление DoS атаки осуществляется путем анализа сетевого трафика. Начало атаки характеризуется «забиванием» каналов связи с помощью ресурсоемких пакетов с поддельными адресами. Подобная атака на сайт интернет-банкинга усложняет доступ легитимных пользователей и веб-ресурс может стать недоступным.
3.2.2. В случае выявления атаки системный администратор выполняет следующие действия:
3.3. DoS атака, как правило, используется для маскировки успешно проведенной атаки на ресурсы клиента с целью затруднить ее обнаружение. Поэтому при выявлении DoS атаки необходимо провести анализ последних транзакций с целью выявления необычных операций, осуществить (при возможности) их блокировку, связаться с клиентами по альтернативному каналу для подтверждения проведенных транзакций.
3.4. В случае получения от клиента информации о несанкционированных действиях осуществляется фиксация всех имеющихся доказательств, проводится внутреннее расследование и подается заявление в правоохранительные органы.
Скачать ZIP файл (24151)
Пригодились документы — поставь «лайк» или поддержи сайт материально:
Как избавиться от сетевых атак
Kaspersky Internet Security защищает ваш компьютер от сетевых атак.
Сетевая атака – это вторжение в операционную систему удаленного компьютера. Злоумышленники предпринимают сетевые атаки, чтобы захватить управление над операционной системой, привести ее к отказу в обслуживании или получить доступ к защищенной информации.
Сетевыми атаками называют вредоносные действия, которые выполняют сами злоумышленники (такие как сканирование портов, подбор паролей), а также действия, которые выполняют вредоносные программы, установленные на атакованном компьютере (такие как передача защищенной информации злоумышленнику). К вредоносным программам, участвующим в сетевых атаках, относят некоторые троянские программы, инструменты DoS-атак, вредоносные скрипты и сетевые черви.
Сетевые атаки можно условно разделить на следующие типы:
Существуют следующие основные типы DoS-атак:
Этот вид сетевых атак применяется в случаях, когда злоумышленнику требуется получить конфиденциальные данные с удаленного компьютера (например, номера банковских карт или пароли) либо использовать удаленный компьютер в своих целях (например, атаковать с этого компьютера другие компьютеры) без ведома пользователя.
Откроется окно настройки программы.
Вы также можете включить Защиту от сетевых атак в Центре защиты. Отключение защиты компьютера или компонентов защиты значительно повышает риск заражения компьютера, поэтому информация об отключении защиты отображается в Центре защиты.
Важно: Если вы выключили Защиту от сетевых атак, то после перезапуска Kaspersky Internet Security или перезагрузки операционной системы она не включится автоматически и вам потребуется включить ее вручную.
При обнаружении опасной сетевой активности Kaspersky Internet Security автоматически добавляет IP-адрес атакующего компьютера в список заблокированных компьютеров, если этот компьютер не добавлен в список доверенных компьютеров.
Откроется окно настройки программы.
Откроется окно со списком доверенных компьютеров и списком заблокированных компьютеров.
Откроется окно подтверждения.
В окне подтверждения выполните одно из следующих действий:
Kaspersky Internet Security разблокирует IP-адрес.
Kaspersky Internet Security разблокирует IP-адрес и добавит его в список доверенных компьютеров.
Вы можете сформировать список доверенных компьютеров. Kaspersky Internet Security не блокирует IP-адреса этих компьютеров автоматически при обнаружении исходящей с них опасной сетевой активности.
Откроется окно настройки программы.
Откроется окно со списком доверенных компьютеров и списком заблокированных компьютеров.
При обнаружении сетевой атаки Kaspersky Internet Security сохраняет информацию о ней в отчете.
Откроется окно отчетов Kaspersky Internet Security.
Примечание: Если компонент Защита от сетевых атак завершил работу с ошибкой, вы можете просмотреть отчет и попробовать перезапустить компонент. Если вам не удается решить проблему, обратитесь в Службу технической поддержки.
Сводную статистику по Защите от сетевых атак (количество заблокированных компьютеров, количество зарегистрированных событий с момента последнего запуска компонента) вы можете просмотреть в Центре защиты, нажав на кнопку Подробнее в правой части главного окна программы.
Порядок действий при обнаружении сетевых атак.
1. Классификация сетевых атак
1.1. Снифферы пакетов
Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен.
IP-спуфинг происходит, когда хакер, находящийся внутри системы или вне ее выдает себя за санкционированного пользователя. Это можно сделать двумя способами. Во-первых, хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример — атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера.
Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между одноранговыми устройствами. Для двусторонней связи хакер должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес. Некоторые хакеры, однако, даже не пытаются получить ответ от приложений. Если главная задача состоит в получении от системы важного файла, ответы приложений не имеют значения.
Если же хакеру удается поменять таблицы маршрутизации и направить трафик на ложный IP-адрес, хакер получит все пакеты и сможет отвечать на них так, будто он является санкционированным пользователем.
1.3. Отказ в обслуживании (Denial of Service — DoS)
DoS является наиболее известной формой хакерских атак. Против атак такого типа труднее всего создать стопроцентную защиту.
Наиболее известные разновидности DoS:
Атаки DoS отличаются от атак других типов. Они не нацелены на получение доступа к сети или на получение из этой сети какой-либо информации. Атака DoS делает сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения.
В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol). Большинство атак DoS опирается не на программные ошибки или бреши в системе безопасности, а на общие слабости системной архитектуры. Некоторые атаки сводят к нулю производительность сети, переполняя ее нежелательными и ненужными пакетами или сообщая ложную информацию о текущем состоянии сетевых ресурсов. Этот тип атак трудно предотвратить, так как для этого требуется координация действий с провайдером. Если трафик, предназначенный для переполнения вашей сети, не остановить у провайдера, то на входе в сеть вы это сделать уже невозможно, потому что вся полоса пропускания будет занята. Когда атака этого типа проводится одновременно через множество устройств, атака является распределенной DoS (DDoS — distributed DoS).
1.4. Парольные атаки
Хакеры могут проводить парольные атаки с помощью целого ряда методов, таких как простой перебор (brute force attack), троянский конь, IP-спуфинг и сниффинг пакетов. Хотя логин и пароль часто можно получить при помощи IP-спуфинга и снифинга пакетов, хакеры часто пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название простого перебора (brute force attack). Часто для такой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате хакер получает доступ к ресурсам, он получает его на правах обычного пользователя, пароль которого был подобран. Если этот пользователь имеет значительные привилегии доступа, хакер может создать для себя «проход» для будущего доступа, который будет действовать даже если пользователь изменит свой пароль и логин.
Еще одна проблема возникает, когда пользователи применяют один и тот же (пусть даже очень хороший) пароль для доступа ко многим системам: корпоративной, персональной и системам Интернет. Поскольку устойчивость пароля равна устойчивости самого слабого хоста, хакер, узнавший пароль через этот хост, получает доступ ко всем остальным системам, где используется тот же пароль.
1.5. Атаки типа Man-in-the-Middle
Для атаки типа Man-in-the-Middle хакеру нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.
1.6. Атаки на уровне приложений
Атаки на уровне приложений могут проводиться несколькими способами. Самый распространенный из них состоит в использовании слабостей серверного программного обеспечения (sendmail, HTTP, FTP). Используя эти слабости, хакеры могут получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно это бывает не простой пользователь, а привилегированный администратор с правами системного доступа). Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей). Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран. К примеру, хакер, эксплуатирующий известную слабость Web-сервера, часто использует в ходе атаки ТСР порт 80. Поскольку Web-сервер предоставляет пользователям Web-страницы, межсетевой экран должен предоставлять доступ к этому порту. С точки зрения межсетевого экрана, атака рассматривается как стандартный трафик для порта 80.
1.7. Сетевая разведка
Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования (ping sweep) и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование (ping sweep) адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. И, наконец, хакер анализирует характеристики приложений, работающих на хостах. В результате добывается информация, которую можно использовать для взлома.
1.8. Злоупотребление доверием
Этот тип действий не является «атакой» или «штурмом». Он представляет собой злонамеренное использование отношений доверия, существующих в сети. Примером является система, установленная с внешней стороны межсетевого экрана, имеющая отношения доверия с системой, установленной с его внутренней стороны. В случае взлома внешней системы, хакер может использовать отношения доверия для проникновения в систему, защищенную межсетевым экраном.
1.9. Переадресация портов
Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран трафика, который в противном случае был бы обязательно отбракован. Примером приложения, которое может предоставить такой доступ, является netcat.
1.10. Несанкционированный доступ
Несанкционированный доступ не может считаться отдельным типом атаки. Большинство сетевых атак проводятся ради получения несанкционированного доступа. Чтобы подобрать логин telnet, хакер должен сначала получить подсказку telnet на своей системе. После подключения к порту telnet на экране появляется сообщение «authorization required to use this resource» (для пользования этим ресурсов нужна авторизация). Если после этого хакер продолжит попытки доступа, они будут считаться «несанкционированными». Источник таких атак может находиться как внутри сети, так и снаружи.
1.11. Вирусы и приложения типа «троянский конь»
Рабочие станции клиентов очень уязвимы для вирусов и троянских коней. «Троянский конь» — это не программная вставка, а настоящая программа, которая выглядит как полезное приложение, а на деле выполняет вредную роль.
2. Методы противодействия сетевым атакам
2.1. Смягчить угрозу сниффинга пакетов можно с помощью следующих средств:
2.1.1. Аутентификация — Сильные средства аутентификации являются первым способом защиты от сниффинга пакетов. Под «сильным» мы понимаем такой метод аутентификации, который трудно обойти. Примером такой аутентификации являются однократные пароли (OTP — One-Time Passwords). ОТР — это технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. Под «карточкой» (token) понимается аппаратное или программное средство, генерирующее (по случайному принципу) уникальный одномоментный однократный пароль. Если хакер узнает этот пароль с помощью сниффера, эта информация будет бесполезной, потому что в этот момент пароль уже будет использован и выведен из употребления. Этот способ борьбы со сниффингом эффективен только для борьбы с перехватом паролей.
2.1.2. Коммутируемая инфраструктура — Еще одним способом борьбы со сниффингом пакетов в сетевой среде является создание коммутируемой инфраструктуры, при этом хакеры могут получить доступ только к трафику, поступающему на тот порт, к которому они подключены. Коммутируемая инфраструктуры не ликвидирует угрозу сниффинга, но заметно снижает ее остроту.
2.1.3. Анти-снифферы — Третий способ борьбы со сниффингом заключается в установке аппаратных или программных средств, распознающих снифферы, работающие в вашей сети. Эти средства не могут полностью ликвидировать угрозу, но, как и многие другие средства сетевой безопасности, они включаются в общую систему защиты. Так называемые «анти-снифферы» измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать «лишний» трафик.
2.1.4. Криптография — Самый эффективный способ борьбы со сниффингом пакетов не предотвращает перехвата и не распознает работу снифферов, но делает эту работу бесполезной. Если канал связи является криптографически защищенным, это значит, что хакер перехватывает не сообщение, а зашифрованный текст (то есть непонятную последовательность битов).
2.2. Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:
2.2.1. Контроль доступа — Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом. Чтобы снизить эффективность IP-спуфигна, контроль доступа настраивается на отсечение любого трафика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри вашей сети. Это помогает бороться с IP-спуфингом, когда санкционированными являются только внутренние адреса. Если санкционированными являются и некоторые адреса внешней сети, данный метод становится неэффективным.
2.2.2. Фильтрация RFC 2827 — пресечение попытки спуфинга чужих сетей пользователями корпоративной сети. Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов Банка. Этот тип фильтрации, известный под названием «RFC 2827», может выполнять и провайдер (ISP). В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе.
2.2.3. Наиболее эффективный метод борьбы с IP-спуфингом тот же, что и в случае со сниффингом пакетов: необходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает этот вид атак бесполезными. Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.
2.3. Угроза атак типа DoS может снижаться следующими способами:
2.3.1. Функции анти-спуфинга — правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827. Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.
2.3.2. Функции анти-DoS — правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции ограничивают число полуоткрытых каналов в любой момент времени.
2.3.3. Ограничение объема трафика (traffic rate limiting) – договор с провайдером (ISP) об ограничении объем трафика. Этот тип фильтрации позволяет ограничить объем некритического трафика, проходящего сети. Обычным примером является ограничение объемов трафика ICMP, который используется только для диагностических целей. Атаки (D) DoS часто используют ICMP.
2.3.4. Блокирование IP адресов – после анализа DoS атаки и выявления диапазона IP адресов, с которых осуществляется атака, обратиться к провайдеру для их блокировки.
2.4. Парольных атак можно избежать, если не пользоваться паролями в текстовой форме. Одноразовые пароли и/или криптографическая аутентификация могут практически свести на нет угрозу таких атак. Не все приложения, хосты и устройства поддерживают указанные выше методы аутентификации.
2.5. Эффективно бороться с атаками типа Man-in-the-Middle можно только с помощью криптографии. Если хакер перехватит данные зашифрованной сессии, у него на экране появится не перехваченное сообщение, а бессмысленный набор символов. Заметим, что, если хакер получит информацию о криптографической сессии (например, ключ сессии), это может сделать возможной атаку Man-in-the-Middle даже в зашифрованной среде.
2.6. Полностью исключить атаки на уровне приложений невозможно. Хакеры постоянно открывают и публикуют в Интернете все новые уязвимые места прикладных программ. Самое главное — хорошее системное администрирование.
Меры, которые можно предпринять, чтобы снизить уязвимость для атак этого типа:
2.7. Полностью избавиться от сетевой разведки невозможно. Если отключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах, вы избавитесь от эхо-тестирования, но потеряете данные, необходимые для диагностики сетевых сбоев. Кроме того, сканировать порты можно и без предварительного эхо-тестирования. Просто этой займет больше времени, так как сканировать придется и несуществующие IP-адреса. Системы IDS на уровне сети и хостов обычно хорошо справляются с задачей уведомления администратора о ведущейся сетевой разведке, что позволяет лучше подготовиться к предстоящей атаке и оповестить провайдера (ISP), в сети которого установлена система, проявляющая чрезмерное любопытство.
2.8. Риск злоупотребления доверием можно снизить за счет более жесткого контроля уровней доверия в пределах своей сети. Системы, расположенные с внешней стороны межсетевого экрана, никогда не должны пользоваться абсолютным доверием со стороны защищенных экраном систем. Отношения доверия должны ограничиваться определенными протоколами и, по возможности, аутентифицироваться не только по IP-адресам, но и по другим параметрам.
2.9. Основным способом борьбы с переадресацией портов является использование надежных моделей доверия (см. п. 2.8). Кроме того, помешать хакеру установить на хосте свои программные средства может хост-система IDS (HIDS).
2.10. Способы борьбы с несанкционированным доступом достаточно просты. Главным здесь является сокращение или полная ликвидация возможностей хакера по получению доступа к системе с помощью несанкционированного протокола. В качестве примера можно рассмотреть недопущение хакерского доступа к порту telnet на сервере, который предоставляет Web-услуги внешним пользователям. Не имея доступа к этому порту, хакер не сможет его атаковать. Что же касается межсетевого экрана, то его основной задачей является предотвращение самых простых попыток несанкционированного доступа.
2.11. Борьба с вирусами и «троянскими конями» ведется с помощью эффективного антивирусного программного обеспечения, работающего на пользовательском уровне и на уровне сети. Антивирусные средства обнаруживают большинство вирусов и «троянских коней» и пресекают их распространение.
3. Алгоритм действий при обнаружении сетевых атак
3.1. Большая часть сетевых атак блокируется автоматически установленными средствами защиты информации (межсетевые экраны, средства доверенной загрузки, сетевые маршрутизаторы, антивирусные средства и т.п.).
3.2. К атакам, требующим вмешательства персонала для их блокировки или снижения тяжести последствий относятся атаки типа DoS.
3.2.1. Выявление DoS атаки осуществляется путем анализа сетевого трафика. Начало атаки характеризуется «забиванием» каналов связи с помощью ресурсоемких пакетов с поддельными адресами. Подобная атака на сайт интернет-банкинга усложняет доступ легитимных пользователей и веб-ресурс может стать недоступным.
3.2.2. В случае выявления атаки системный администратор выполняет следующие действия:
3.3. DoS атака, как правило, используется для маскировки успешно проведенной атаки на ресурсы клиента с целью затруднить ее обнаружение. Поэтому при выявлении DoS атаки необходимо провести анализ последних транзакций с целью выявления необычных операций, осуществить (при возможности) их блокировку, связаться с клиентами по альтернативному каналу для подтверждения проведенных транзакций.
3.4. В случае получения от клиента информации о несанкционированных действиях осуществляется фиксация всех имеющихся доказательств, проводится внутреннее расследование и подается заявление в правоохранительные органы.
Беспрерывно, каждые 10-15 минут, идут сетевые атаки :091: (уже давно, пару месяцев), Касперский блокирует, пишет вот что:
Сетевая атака Intruction.Win.NETAPI.buffer-overflow.exploit: ТСР от 10.229. (эти цифры все время одинаковые, дальше разные) на локальный порт.. (порт всегда одинаковый). Заблокировано. Атакующий компьютер заблокирован.
И как от этого избавиться? :009: Подскажите, пожалуйста, знатоки :support:.
на сайте кашмарского написано что это может быть вызвано вирусом
Symptoms of network infection.
1. Network traffic volume increases if there are infected PCs in the network, because network attack starts from these PCs.
2. Anti-Virus product with enabled Intrusion Detection System informs of the attack Intrusion.Win.NETAPI.buffer-overflow.exploit
3. It is impossible to access websites of the majority of anti-virus companies, e.g. avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky, etc.
4. An attempt to activate Kaspersky Anti-Virus or Kaspersky Internet Security with an activation code at a computer infected with the Net-Worm.Win32.Kido network worm may result in abnormal termination and give one of the following errors:
Activation procedure completed with system error 2.
Activation error: Server name cannot be resolved.
Activation error. Unable to connect to server.
Пороюсь в Касперском, :046: если получится. В каком разделе смотреть? :005:
а) сменить провайдера.
б) отгородиться роутером
в) настроить KIS
Провайдера менять муторно :091:
Роутер — смутно представляю, что это :009:
KIS — советуете в настройках, что ли, посмотреть? И что конкретно нужно увидеть? :040:
ЗЫ: Ответа на все вопросы не требую, это я как наглядный пример полного непонимания, о чем вы все мне тут написАли. Но направления действий вроде уловила, пойду смотреть. Спасибо! :flower:
на сайте кашмарского написано что это может быть вызвано вирусом
http://support.kaspersky.com/faq/?q >
Отдельное спасибо за ссылку :flower:. Попробую, конечно, совершить все те непонятные действия, которые там просят :)):)):)), но. ох.
Народ, Вы будете смеяться :)), но я большую часть из того, что мне ответили, даже близко не поняла. 073:
Мой — да, о чем это говорит. 009:
О том, что реконнект к провайдеру ничего не даст.
А кто у Вас провайдер, кстати? У него нет тех. возможности сделать Вам динамический IP?
Сдается мне, что у нее возможно подключение к провайдеру через VPN с адресами 10.229 — тогда у кого то вирусняк в локалке, вот и стучится всем.
Пуск — Выполнить — набрать cmd — нажать ОК.
В черном окне набрать ipconfig — сюда скопировать IP address.
Как я понял, атакуют конкретный IP. Если переконнекчиваться время от времени — атаки прекратятся. Ну не могут же они идти по всему пулу IP-ов такого прова, как, скажем, Авангард?
У меня иногда тоже кто-то ломится несколько раз подряд почти, как у автора, реконнект — и всё утихает.
Как я понял, атакуют конкретный IP. Если переконнекчиваться время от времени — атаки прекратятся. Ну не могут же они идти по всему пулу IP-ов такого прова, как, скажем, Авангард?
У меня иногда тоже кто-то ломится несколько раз подряд почти, как у автора, реконнект — и всё утихает.
Разъясняю. У оператора, которым пользуется автор — локальная сеть 10.x.x.x в которой масса чужих машинок. Ряд этих машинок, есстно, заражены и сканируют и атакуют все вокруг.
Разъясняю. У оператора, которым пользуется автор — локальная сеть 10.x.x.x в которой масса чужих машинок. Ряд этих машинок, есстно, заражены и сканируют и атакуют все вокруг.
А, ну если у автора 10.х.х.х — то да.
Просто какой ИП у автора — мы так и не узнали. Я имел в виду АДСЛ.
Тогда отключить выдачу извещений в антивируснике/бранмауере и не париться.
Мне не видно — у меня мой никнейм зелененьким цветом отображается. :073:
Попутно вопрос — у счастливых пользователей ТвоеТВ такие же проблемы?
Вар. 1: Во всплывающих оповещениях успеть нажать что-то типа «не показывать оповещений».
Вар. 2: Обновить версию антивира. Бесплатно, между прочим. У меня таким образом работает КИС 9.0.0.736. В ней на Авангарде сетевых атак 2-4 в день, не более. И узнаю я о них только когда сам обращаюсь к отчётам.
У меня лицензионный Касперский, его постоянных обновлений что, недостаточно?
А, ну если у автора 10.х.х.х — то да.
Просто какой ИП у автора — мы так и не узнали.
Если речь об интернет-провайдре — у нас ТВОЙ интернет.
А вообще читаю высокоинтеллектуальные посты отвечающих :)) и наслаждаюсь красивыми, но не понятными словами. love:
У меня лицензионный Касперский, его постоянных обновлений что, недостаточно?
Вы, видимо, нечасто сюда заглядываете. А то бы знали как часто Каспера ругают. Майкрософт же называет его лучшим в России. И всё потому что фирма не стоит на месте, постоянно совершенствует свои продукты. И претензии — у отставших от прогресса. А вы: зачем обновлять весию?!
У меня лицензионный Касперский, его постоянных обновлений что, недостаточно?
Он обновляет антивирусные базы. Обновление «оболочки» происходит вручную.
Последняя версия KIS 9.0.0.736. Взять можно здесь (http://www.kaspersky.ru/kaspersky_internet_security_downloads) и установить поверх. В момент обновления рекомендую отключить компьютер от сети дабы избежать заражения.
Вы, видимо, нечасто сюда заглядываете. А то бы знали как часто Каспера ругают.
Это всё Surgeon :))
Майкрософт же называет его лучшим в России. И всё потому что фирма не стоит на месте, постоянно совершенствует свои продукты. И претензии — у отставших от прогресса.
+1
Можно еще дурацкий вопросец :009:: перестанет постоянно уведомлять об отражении сетевых атак — это хорошо :080:. А можно вообще как-то защитить бедный комп от этих атак как таковых? Чтоб дорогу забыли, гады. 015:
Пинать провайдера. Пусть препятствуют распространению заразы — организовывают vlan’ы, подымают wsus для клиентов, отключают нерадивых.
Попинаю завтра. :046: Или он меня.
Да. Можно. ОТключиться от инета.
Эх, мЯЯЯчта, но ведь затягивает, зараза. ))
Отгородиться роутером с НАТом.
Ну что ж такое роутер? :009:Да еще и с НАТом :)).
Router (http://ru.wikipedia.org/wiki/Router)
NAT (http://ru.wikipedia.org/wiki/NAT)
Ох, и задачки Вы задаете :)). Роутер вроде есть, по крайней мере очень похожая штуковина. :)) Про NAT не уверена.
Это не та штуковина.
Умеете подбодрить :)). А я-то уже обрадовалась, что хоть что-то есть в арсенале. Облом-с :(.
Беспрерывно, каждые 10-15 минут, идут сетевые атаки :091: (
По дальнейшим ответам я понял, что Вы скорее заинтригованы, нежели чем расстроены.
Вообще, логично начинать танцы — от печки, у Вас их две.
1. Поддержка Касперского (купленного Вами легально, вот пусть и па-де-дируют по полной)
2. Поддержка Вашего интернет провайдера.
Касперский (названный здесь Кошмарским) делает в принципе тоже самое — каждую секунду пытается доказать свою полезность.
Когда Вы выходите в Интернет, Вы невольно подключаетесь к сети из нескольких тысяч компьютеров — абонентов Вашего провайдера, которые сейчас тоже работают в Интернет. Поскольку при таком количестве компьютеров, 1-2-10 из них наверняка заражены вирусами, то эти вирусы стучатся во все двери — пытаются заразить все что «видят» в пределах своей сети.
Есть тихие антивирусы, вроде кавказских овчарок, которые спросят кто там, услышать ВИРУС! и пошлют вирус на фиг.
А есть мелкие вздорные собачонки вроде Касперского, которые даже не спрашивают кто там, а просто заполняют весь Ваши дом визгливым лаем, круглые сутки.
Поэтому рано или поздно Вы заводите овчарку.