أنواع الهجمات. أنواع الهجمات الحاسوبية. مراحل تنفيذ الهجوم

09.12.2020

تتنوع هجمات الشبكة مثل الأنظمة التي تستهدفها. بعض الهجمات صعبة للغاية. يمكن تنفيذ عمليات أخرى بواسطة مشغل عادي لا يتخيل حتى العواقب التي قد تترتب على أنشطته. لتقييم أنواع الهجمات، تحتاج إلى معرفة بعض القيود المتأصلة في بروتوكول TPC/IP. تم إنشاء الإنترنت للتواصل بين الوكالات الحكوميةوالجامعات لدعم العملية التعليمية والبحث العلمي. لم يكن لدى منشئي هذه الشبكة أي فكرة عن مدى انتشارها. ونتيجة لذلك، المواصفات الإصدارات السابقةيفتقر بروتوكول الإنترنت (IP) إلى متطلبات الأمان. وهذا هو السبب في أن العديد من تطبيقات IP معرضة للخطر بطبيعتها. بعد سنوات عديدة، وبعد تلقي العديد من الشكاوى (RFC - طلب للتعليقات)، بدأنا أخيرًا في تنفيذ الإجراءات الأمنية للملكية الفكرية. ومع ذلك، نظرًا لحقيقة أن التدابير الأمنية لم يتم تطويرها في البداية لبروتوكول IP، فقد بدأ استكمال جميع تطبيقاته بمجموعة متنوعة من إجراءات الشبكة والخدمات والمنتجات التي تقلل من المخاطر الكامنة في هذا البروتوكول. بعد ذلك، سنناقش بإيجاز أنواع الهجمات المستخدمة بشكل شائع ضد شبكات IP وسندرج طرق مكافحتها.

المتشممون الحزمة

أداة شم الحزم هي برنامج تطبيقي يستخدم بطاقة الشبكةتعمل في الوضع المختلط (في هذا الوضع، يتم استقبال جميع الحزم عبر القنوات المادية محول الشبكةتم إرسالها إلى الطلب للمعالجة). في هذه الحالة، يعترض المتشمم كل شيء حزم الشبكةوالتي تنتقل عبر مجال معين. حاليًا، يعمل المتشممون على الشبكات على أساس قانوني تمامًا. يتم استخدامها لتشخيص الأخطاء وتحليل حركة المرور. ومع ذلك، ويرجع ذلك إلى حقيقة أن البعض تطبيقات الشبكةإرسال البيانات إلى تنسيق النص(telnet، FTP، SMTP، POP3، وما إلى ذلك)، باستخدام أداة الشم، يمكنك اكتشاف معلومات مفيدة وأحيانًا سرية (على سبيل المثال، أسماء المستخدمين وكلمات المرور).

يشكل اعتراض تسجيل الدخول وكلمة المرور تهديدًا كبيرًا لأن المستخدمين غالبًا ما يستخدمون نفس تسجيل الدخول وكلمة المرور لتطبيقات وأنظمة متعددة. يمتلك العديد من المستخدمين عمومًا كلمة مرور واحدة للوصول إلى جميع الموارد والتطبيقات. إذا تم تشغيل التطبيق في وضع العميل/الخادم وتم إرسال بيانات المصادقة عبر الشبكة بتنسيق نصي قابل للقراءة، فمن المحتمل استخدام هذه المعلومات للوصول إلى موارد الشركة أو الموارد الخارجية الأخرى. يعرف المتسللون جيدًا نقاط ضعفنا البشرية ويستغلونها (تعتمد أساليب الهجوم غالبًا على أساليب الهندسة الاجتماعية). إنهم يعرفون جيدًا أننا نستخدم نفس كلمة المرور للوصول إلى العديد من الموارد، وبالتالي يتمكنون غالبًا من الوصول إليها معلومات مهمة. في أسوأ السيناريوهات، يحصل المتسلل على حق الوصول على مستوى النظام إلى مورد المستخدم ويستخدمه لإنشاء مستخدم جديد يمكن استخدامه في أي وقت للوصول إلى الشبكة ومواردها.

يمكنك التخفيف من خطر استنشاق الحزم باستخدام الأدوات التالية:

· المصادقة - المصادقة القوية هي أول وسيلة دفاع ضد استنشاق الحزم. نعني بكلمة "قوية" طريقة مصادقة يصعب تجاوزها. مثال على هذه المصادقة هو كلمات المرور لمرة واحدة (OTP - كلمات المرور لمرة واحدة). OTP هي تقنية مصادقة ثنائية تجمع بين ما لديك وما تعرفه. من الأمثلة النموذجية للمصادقة الثنائية هو تشغيل ماكينة الصراف الآلي العادية، والتي تحدد هويتك، أولاً، من خلال بطاقتك البلاستيكية، وثانيًا، من خلال رمز PIN الذي تدخله. تتطلب المصادقة في نظام OTP أيضًا رمز PIN وبطاقتك الشخصية. تُفهم "البطاقة" (الرمز المميز) على أنها جهاز أو جهاز برمجي يقوم بإنشاء (بمبدأ عشوائي) كلمة مرور فريدة لمرة واحدة. إذا اكتشف أحد المتسللين كلمة المرور هذه باستخدام أداة الشم، فستكون هذه المعلومات عديمة الفائدة لأنه في هذه المرحلة ستكون كلمة المرور قد تم استخدامها بالفعل وتم إيقافها. لاحظ أن طريقة مكافحة الاستنشاق هذه فعالة فقط ضد اعتراض كلمة المرور. المتشممون الذين يعترضون المعلومات الأخرى (على سبيل المثال، الرسائل بريد إلكتروني)، لا تفقد فعاليتها.

· البنية الأساسية المبدلة - هناك طريقة أخرى لمكافحة استنشاق الحزم في بيئة الشبكة الخاصة بك وهي إنشاء بنية أساسية مبدلة. على سبيل المثال، إذا كانت المؤسسة بأكملها تستخدم إيثرنت الطلب الهاتفي، فلن يتمكن المتسللون إلا من الوصول إلى حركة المرور الواردة إلى المنفذ الذي يتصلون به. لا تقضي البنية التحتية المبدلة على خطر الاستنشاق، ولكنها تقلل بشكل كبير من خطورته.

· أدوات مكافحة المتشممين - الطريقة الثالثة لمكافحة المتشممين هي تثبيت أجهزة أو برامج تتعرف على المتشممين الذين يعملون على شبكتك. لا يمكن لهذه الأدوات القضاء على التهديد بشكل كامل، ولكن مثل العديد من أدوات أمان الشبكات الأخرى، يتم تضمينها فيها النظام المشتركحماية. ما يسمى بـ "مكافحة الشم" يقيس أوقات استجابة المضيف ويحدد ما إذا كان يتعين على المضيفين معالجة حركة المرور "الإضافية". أحد هذه المنتجات، الذي توفره شركة LOpht Heavy Industries، يسمى AntiSniff معلومات مفصلةمتاح على http://www.l0pht.com/antisniff/

· التشفير -- معظم طريقة فعالةمكافحة استنشاق الحزم لا تمنع الاعتراض ولا تتعرف على عمل المتشممين، بل تجعل هذا العمل عديم الفائدة. إذا كانت قناة الاتصال آمنة تشفيريًا، فهذا يعني أن المتسلل لا يعترض الرسالة، بل يعترض النص المشفر (أي تسلسل غير مفهوم من البتات). يعتمد تشفير طبقة شبكة Cisco على بروتوكول IPSec. IPSec هي طريقة قياسية للاتصال الآمن بين الأجهزة التي تستخدم بروتوكول IP. إلى بروتوكولات التشفير الأخرى إدارة الشبكةتتضمن البروتوكولات SSH (Secure Shell) وSSL (طبقة المقابس الآمنة).

انتحال IP

يحدث انتحال عنوان IP عندما ينتحل أحد المتسللين، داخل الشركة أو خارجها، شخصية مستخدم معتمد. يمكن القيام بذلك بطريقتين. أولاً، يمكن للمتسلل استخدام عنوان IP يقع ضمن نطاق عناوين IP المصرح بها، أو عنوان خارجي معتمد يُسمح له بالوصول إلى بعض موارد الشبكة. غالبًا ما تكون هجمات انتحال عنوان IP نقطة البداية لهجمات أخرى. المثال الكلاسيكي هو هجوم حجب الخدمة (DoS)، الذي يبدأ من عنوان شخص آخر، ويخفي هوية المتسلل الحقيقية. عادةً ما يقتصر انتحال IP على إدخال معلومات خاطئة أو أوامر ضارة في التدفق الطبيعي للبيانات المنقولة بين تطبيق العميل والخادم أو عبر قناة اتصال بين الأجهزة النظيرة. بالنسبة للاتصال ثنائي الاتجاه، يجب على المتسلل تغيير جميع جداول التوجيه لتوجيه حركة المرور إلى عنوان IP الزائف. ومع ذلك، فإن بعض المتسللين لا يحاولون حتى الحصول على رد من التطبيقات. إذا كانت المهمة الرئيسية هي الحصول عليها من النظام ملف مهم، استجابات التطبيق لا تهم.

إذا تمكن أحد المتسللين من تغيير جداول التوجيه وتوجيه حركة المرور إلى عنوان IP مزيف، فسيتلقى المتسلل جميع الحزم وسيكون قادرًا على الرد عليها كما لو كان مستخدمًا معتمدًا.

يمكن التخفيف من خطر الانتحال (لكن لا يمكن القضاء عليه) من خلال التدابير التالية:

· التحكم في الوصول - أسهل طريقة لمنع انتحال IP هي الإعداد الصحيحالتحكم في الوصول. لتقليل فعالية انتحال IP، قم بتكوين التحكم في الوصول لرفض أي حركة مرور قادمة من شبكة خارجية بعنوان مصدر يجب أن يكون موجودًا داخل شبكتك. لاحظ أن هذا يساعد في مكافحة انتحال عنوان IP، حيث يُسمح بالعناوين الداخلية فقط. إذا تم ترخيص بعض عناوين الشبكة الخارجية أيضًا، هذه الطريقةيصبح غير فعال.

· تصفية RFC 2827 - يمكنك منع المستخدمين على شبكتك من انتحال شبكات الآخرين (ولتصبح "مواطنًا صالحًا على الإنترنت"). للقيام بذلك، من الضروري رفض أي حركة المرور الصادرة، وعنوان مصدره ليس أحد عناوين IP الخاصة بمؤسستك. يمكن أيضًا تنفيذ هذا النوع من التصفية، المعروف باسم "RFC 2827"، بواسطة موفر خدمة الإنترنت (ISP). ونتيجة لذلك، يتم رفض كافة حركة المرور التي ليس لها عنوان مصدر متوقع على واجهة معينة. على سبيل المثال، إذا كان مزود خدمة الإنترنت يوفر اتصالاً بعنوان IP 15.1.1.0/24، فيمكنه تكوين عامل تصفية بحيث يُسمح فقط بحركة المرور الناشئة من 15.1.1.0/24 من تلك الواجهة إلى جهاز توجيه مزود خدمة الإنترنت. لاحظ أنه حتى يقوم جميع مقدمي الخدمة بتنفيذ هذا النوع من التصفية، ستكون فعاليته أقل بكثير من الممكن. بالإضافة إلى ذلك، كلما كنت بعيدًا عن الأجهزة التي تتم تصفيتها، زادت صعوبة إجراء الترشيح الدقيق. على سبيل المثال، تتطلب تصفية RFC 2827 على مستوى جهاز توجيه الوصول تمرير كل حركة المرور من عنوان الشبكة الرئيسي (10.0.0.0/8)، بينما على مستوى التوزيع (في هذه البنية) من الممكن تقييد حركة المرور بشكل أكثر دقة (العنوان - 10.1). .5.0/24). الطريقة الأكثر فعالية لمكافحة انتحال IP هي نفسها كما في حالة استنشاق الحزم: تحتاج إلى جعل الهجوم غير فعال تمامًا. لا يمكن أن يعمل انتحال IP إلا إذا كانت المصادقة تعتمد على عناوين IP. ولذلك، فإن إدخال طرق مصادقة إضافية يجعل هذا النوع من الهجوم عديم الفائدة. أفضل نوع من المصادقة الإضافية هو التشفير. إذا لم يكن ذلك ممكنًا، فإن المصادقة الثنائية باستخدام كلمات مرور لمرة واحدة يمكن أن تعطي نتائج جيدة.

رفض الخدمة (DoS)

DoS هو بلا شك الشكل الأكثر شهرة هجمات القراصنة. بالإضافة إلى ذلك، فإن هذه الأنواع من الهجمات هي الأكثر صعوبة في توفير حماية بنسبة 100% ضدها. حتى بين المتسللين، تعتبر هجمات حجب الخدمة تافهة، واستخدامها يسبب ابتسامات ازدراء، لأن تنظيم حجب الخدمة يتطلب الحد الأدنى من المعرفة والمهارات. ومع ذلك، فإن سهولة التنفيذ والضرر الهائل الذي تسببه حجب الخدمة هو الذي يجذب الاهتمام الوثيق للمسؤولين المسؤولين عن أمان الشبكة. إذا كنت تريد معرفة المزيد عن هجمات DoS، عليك أن تفكر في أشهر أنواعها، وهي:

فيضان TCP SYN

· بينغ الموت

· شبكة الفيضانات القبيلة (TFN) وشبكة الفيضانات القبيلة 2000 (TFN2K)

· ستشيلدراخت

تختلف هجمات DoS عن أنواع الهجمات الأخرى. ولا تهدف إلى الوصول إلى شبكتك أو الحصول على أي معلومات من تلك الشبكة. يؤدي هجوم DoS إلى جعل شبكتك غير متاحة للاستخدام العادي من خلال تجاوز حدود تشغيل الشبكة أو نظام التشغيل أو التطبيق. في حالة بعض تطبيقات الخادم (مثل خادم الويب أو خادم FTP)، يمكن أن تتضمن هجمات DoS الاستيلاء على جميع الاتصالات المتاحة لتلك التطبيقات وإبقائها مشغولة، مما يمنع المستخدمين العاديين من الخدمة. يمكن أن تستخدم هجمات DoS بروتوكولات الإنترنت الشائعة مثل TCP وICMP (بروتوكول رسائل التحكم في الإنترنت). معظم هجمات DoS لا تعتمد عليها أخطاء البرمجياتأو ثغرات أمنية، بل نقاط ضعف عامة في بنية النظام. تؤدي بعض الهجمات إلى إعاقة أداء الشبكة عن طريق إغراقها بحزم غير مرغوب فيها وغير ضرورية أو معلومات مضللة حول الحالة الحالية لموارد الشبكة. يصعب منع هذا النوع من الهجمات لأنه يتطلب التنسيق مع مزود خدمة الإنترنت. إذا لم يكن من الممكن إيقاف حركة المرور التي تهدف إلى إرباك شبكتك عند الموفر، فلن تتمكن بعد الآن من القيام بذلك عند مدخل الشبكة، لأن عرض النطاق الترددي بأكمله سيكون مشغولاً. عندما يتم تنفيذ هذا النوع من الهجمات في وقت واحد عبر العديد من الأجهزة، فإننا نتحدث عن هجوم DoS الموزع (DDoS). التهديد بالهجمات نوع دوسيمكن تقليلها بثلاث طرق:

· ميزات مكافحة الانتحال - سيساعد تكوين ميزات مكافحة الانتحال بشكل صحيح على أجهزة التوجيه وجدران الحماية الخاصة بك على تقليل مخاطر حجب الخدمة (DoS). يجب أن تتضمن هذه الميزات، على الأقل، تصفية RFC 2827. إذا لم يتمكن المتسلل من إخفاء هويته الحقيقية، فمن غير المرجح أن ينفذ هجومًا.

· ميزات مكافحة DoS - يمكن أن يؤدي التكوين الصحيح لميزات مكافحة DoS على أجهزة التوجيه وجدران الحماية إلى الحد من فعالية الهجمات. غالبًا ما تحد هذه الميزات من عدد القنوات نصف المفتوحة في أي وقت.

· تحديد معدل حركة المرور - يمكن للمؤسسة أن تطلب من مزود خدمة الإنترنت تحديد كمية حركة المرور. يسمح لك هذا النوع من التصفية بالحد من مقدار حركة المرور غير الهامة التي تمر عبر شبكتك. أحد الأمثلة الشائعة هو تحديد مقدار حركة مرور ICMP المستخدمة لأغراض التشخيص فقط. (د) غالبًا ما تستخدم هجمات DoS بروتوكول ICMP.

هجمات كلمة المرور

يمكن للمتسللين تنفيذ هجمات كلمة المرور باستخدام مجموعة متنوعة من الأساليب، مثل هجوم القوة الغاشمة، وحصان طروادة، وانتحال IP، واستنشاق الحزم. على الرغم من إمكانية الحصول على تسجيل الدخول وكلمة المرور في كثير من الأحيان من خلال انتحال عنوان IP واستنشاق الحزم، إلا أن المتسللين غالبًا ما يحاولون تخمين كلمة المرور وتسجيل الدخول من خلال محاولات وصول متعددة. ويسمى هذا النهج هجوم القوة الغاشمة البسيطة. كثيرا ما تستخدم لمثل هذا الهجوم برنامج خاص، الذي يحاول الوصول إلى مورد عام (على سبيل المثال، خادم). إذا تمكن المتسلل، نتيجة لذلك، من الوصول إلى الموارد، فإنه يحصل عليها مع الحقوق مستخدم عادي، الذي تم تخمين كلمة المرور الخاصة به. إذا كان هذا المستخدم يتمتع بامتيازات وصول كبيرة، فيمكن للمتسلل إنشاء "تصريح مرور" للوصول المستقبلي والذي سيظل ساري المفعول حتى إذا قام المستخدم بتغيير كلمة المرور وتسجيل الدخول. تنشأ مشكلة أخرى عندما يستخدم المستخدمون نفس كلمة المرور (حتى الجيدة جدًا) للوصول إلى العديد من الأنظمة: أنظمة الشركات، والأنظمة الشخصية، وأنظمة الإنترنت. نظرًا لأن كلمة المرور تكون قوية مثل أضعف مضيف، فإن المتسلل الذي يتعلم كلمة المرور من خلال هذا المضيف يمكنه الوصول إلى جميع الأنظمة الأخرى التي تستخدم نفس كلمة المرور. أولاً، يمكن تجنب هجمات كلمة المرور من خلال عدم استخدام كلمات المرور في نموذج النص. يمكن لكلمات المرور لمرة واحدة و/أو مصادقة التشفير القضاء فعليًا على تهديد مثل هذه الهجمات. لسوء الحظ، لا تدعم جميع التطبيقات والمضيفين والأجهزة طرق المصادقة المذكورة أعلاه. عند استخدام كلمات مرور عادية، حاول التوصل إلى كلمة مرور يصعب تخمينها. يجب أن يكون الحد الأدنى لطول كلمة المرور ثمانية أحرف على الأقل. يجب أن تحتوي كلمة المرور على أحرف كبيرة وأرقام و شخصيات خاصة(#، %، $، إلخ). أفضل كلمات المرورمن الصعب تخمينها وتذكرها، مما يجبر المستخدمين على كتابة كلمات المرور على الورق. ولتجنب ذلك، يمكن للمستخدمين والمسؤولين الاستفادة من عدد من التطورات التكنولوجية الحديثة. على سبيل المثال، هناك برامج تطبيقية تعمل على تشفير قائمة من كلمات المرور التي يمكن تخزينها فيها كمبيوتر الجيب. ونتيجة لذلك، يحتاج المستخدم فقط إلى تذكر كلمة مرور معقدة واحدة، بينما سيتم حماية جميع كلمات المرور الأخرى بشكل موثوق بواسطة التطبيق. من وجهة نظر المسؤول، هناك عدة طرق لمكافحة تخمين كلمة المرور. أحدها هو استخدام أداة L0phtCrack، والتي غالبًا ما يستخدمها المتسللون لتخمين كلمات المرور بيئة ويندوزن.ت. ستوضح لك هذه الأداة بسرعة ما إذا كان من السهل تخمين كلمة المرور التي اختارها المستخدم.

هجمات رجل في الوسط

بالنسبة لهجوم رجل في الوسط، يحتاج المتسلل إلى الوصول إلى الحزم المرسلة عبر الشبكة. يمكن، على سبيل المثال، الحصول على مثل هذا الوصول إلى جميع الحزم المرسلة من مزود الخدمة إلى أي شبكة أخرى بواسطة موظف لدى هذا المزود. غالبًا ما يتم استخدام برامج استشعار الحزم وبروتوكولات النقل وبروتوكولات التوجيه لهذا النوع من الهجمات. يتم تنفيذ الهجمات بهدف سرقة المعلومات واعتراض الجلسة الحالية والوصول إلى موارد الشبكة الخاصة، وتحليل حركة المرور والحصول على معلومات حول الشبكة ومستخدميها، وتنفيذ هجمات حجب الخدمة، وتشويه البيانات المرسلة وإدخال معلومات غير مصرح بها. في جلسات الشبكة. لا يمكن مكافحة هجمات الرجل في الوسط بشكل فعال إلا باستخدام التشفير. إذا اعترض أحد المتسللين بيانات من جلسة مشفرة، فإن ما سيظهر على شاشته ليس الرسالة التي تم اعتراضها، بل مجموعة من الأحرف التي لا معنى لها. لاحظ أنه إذا حصل أحد المتسللين على معلومات حول جلسة تشفير (على سبيل المثال، مفتاح جلسة)، فقد يجعل ذلك هجوم Man-in-the-Middle ممكنًا حتى في بيئة مشفرة.

الهجمات على مستوى التطبيق

يمكن تنفيذ الهجمات على مستوى التطبيق بعدة طرق. الأكثر شيوعًا هو استغلال نقاط الضعف المعروفة في الخادم. برمجة(إرسال البريد، HTTP، بروتوكول نقل الملفات). من خلال استغلال نقاط الضعف هذه، يمكن للمتسللين الوصول إلى جهاز كمبيوتر باعتباره المستخدم الذي يقوم بتشغيل التطبيق (عادةً ليس مستخدمًا عاديًا، ولكن مسؤول متميز يتمتع بحقوق الوصول إلى النظام). يتم نشر المعلومات حول الهجمات على مستوى التطبيق على نطاق واسع لتمكين المسؤولين من تصحيح المشكلة باستخدام الوحدات التصحيحية (التصحيحات). ولسوء الحظ، يستطيع العديد من المتسللين أيضًا الوصول إلى هذه المعلومات، مما يسمح لهم بالتعلم. المشكلة الرئيسية في هجمات طبقة التطبيقات هي أنها غالبًا ما تستخدم المنافذ المسموح لها بالمرور عبر جدار الحماية. على سبيل المثال، غالبًا ما يستخدم المتسلل الذي يستغل نقطة ضعف معروفة في خادم الويب المنفذ 80 في هجوم TCP نظرًا لأن خادم الويب يوفر صفحات ويب للمستخدمين، يجب أن يسمح جدار الحماية بالوصول إلى هذا المنفذ. من وجهة نظر جدار الحماية، يتم التعامل مع الهجوم على أنه حركة مرور قياسية على المنفذ 80. ومن المستحيل القضاء تمامًا على الهجمات على مستوى التطبيق. يكتشف المتسللون باستمرار وينشرون نقاط ضعف جديدة على الإنترنت. برامج التطبيق. الشيء الأكثر أهمية هنا هو الإدارة الجيدة للنظام. فيما يلي بعض الإجراءات التي يمكنك اتخاذها لتقليل تعرضك لهذا النوع من الهجمات:

· قراءة ملفات السجل أنظمة التشغيلوملفات سجل الشبكة و/أو تحليلها باستخدام تطبيقات تحليلية خاصة؛

· استخدام أحدث إصدارات أنظمة التشغيل والتطبيقات وأحدث وحدات التصحيح (التصحيحات)؛

· يستثني إدارة النظام- استخدام أنظمة كشف الهجمات (IDS). هناك نوعان من تقنيات IDS التكميلية:

س نظام الشبكةيقوم IDS (NIDS) بمراقبة جميع الحزم التي تمر عبر مجال معين. عندما يرى نظام NIDS حزمة أو سلسلة من الحزم مطابقة لتوقيع هجوم معروف أو محتمل، فإنه يصدر إنذارًا و/أو ينهي الجلسة؛

o تعمل معرفات المضيف (HIDS) على حماية المضيف باستخدام وكلاء البرامج. يحارب هذا النظام الهجمات ضد مضيف واحد فقط؛

· في عملها، تستخدم أنظمة IDS توقيعات الهجوم، وهي عبارة عن ملفات تعريف لهجمات محددة أو أنواع من الهجمات. تحدد التوقيعات الشروط التي بموجبها تعتبر حركة المرور متسللة. يمكن اعتبار نظائر IDS في العالم المادي بمثابة نظام تحذير أو كاميرا مراقبة. أكبر عيب في IDS هو قدرته على إصدار الإنذارات. لتقليل عدد الإنذارات الكاذبة وضمان الأداء الصحيح لنظام IDS في الشبكة، من الضروري تكوين النظام بعناية.

ذكاء الشبكة

يشير ذكاء الشبكة إلى جمع معلومات الشبكة باستخدام البيانات والتطبيقات المتاحة للجمهور. عند التحضير لهجوم ضد إحدى الشبكات، يحاول المتسلل عادةً الحصول على أكبر قدر ممكن من المعلومات حولها. يتم إجراء استطلاع الشبكة في شكل استعلامات DNS وعمليات مسح ping ومسح المنافذ. تساعدك استعلامات DNS على فهم من يملك مجالًا معينًا والعناوين المخصصة لهذا المجال. تسمح لك عناوين Ping الشاملة التي تم الكشف عنها باستخدام DNS بمعرفة المضيفين الذين يعملون بالفعل في بيئة معينة. بعد تلقي قائمة بالمضيفين، يستخدم المتسلل أدوات فحص المنافذ لتجميعها القائمة الكاملةالخدمات التي يدعمها هؤلاء المضيفون. وأخيرًا، يقوم المتسلل بتحليل خصائص التطبيقات التي تعمل على الأجهزة المضيفة. ونتيجة لذلك، يتم الحصول على المعلومات التي يمكن استخدامها للقرصنة. من المستحيل التخلص تمامًا من ذكاء الشبكة. على سبيل المثال، إذا قمت بتعطيل صدى ICMP ورد الصدى على أجهزة توجيه الحافة، فستتخلص من اختبار ping، لكنك ستفقد البيانات اللازمة لتشخيص فشل الشبكة. بالإضافة إلى ذلك، يمكنك فحص المنافذ دون إجراء اختبار ping مسبق. سيستغرق هذا وقتًا أطول، حيث سيتعين عليك فحص عناوين IP غير الموجودة. عادةً ما تقوم أنظمة IDS على مستوى الشبكة والمضيف بعمل جيد في إخطار المسؤولين باستطلاع الشبكة المستمر، مما يسمح لهم بالاستعداد بشكل أفضل للهجوم القادم وتنبيه مزود خدمة الإنترنت الذي يكون النظام فضوليًا للغاية بشأن شبكته.

خرق الثقة

بالمعنى الدقيق للكلمة، هذا النوع من العمل ليس "هجوما" أو "اعتداء". إنه يمثل الاستغلال الضار لعلاقات الثقة الموجودة في الشبكة. والمثال الكلاسيكي لمثل هذه الانتهاكات هو الوضع في الجزء المحيطي شبكة الشركات. يقع هذا الجزء في كثير من الأحيان خوادم DNSو SMTP و HTTP. نظرًا لأنهم جميعًا ينتمون إلى نفس الشريحة، فإن اختراق أحدهم يؤدي إلى اختراق جميع الخوادم الأخرى، نظرًا لأن هذه الخوادم تثق في الأنظمة الأخرى الموجودة على شبكتها. مثال آخر هو نظام مثبت على الجزء الخارجي من جدار الحماية وله علاقة ثقة مع نظام مثبت على الجزء الداخلي من جدار الحماية. إذا تم اختراق نظام خارجي، فيمكن للمتسلل استخدام علاقة الثقة لاختراق النظام المحمي بواسطة جدار الحماية. يمكن تقليل مخاطر انتهاك الثقة من خلال التحكم بشكل أكثر إحكامًا في مستويات الثقة داخل شبكتك. لا ينبغي أبدًا أن تتمتع الأنظمة الموجودة خارج جدار الحماية بالثقة المطلقة من الأنظمة المحمية بواسطة جدار الحماية. يجب أن تقتصر علاقات الثقة على بروتوكولات محددة، وإذا أمكن، يجب مصادقتها بواسطة معلمات أخرى غير عناوين IP.

إعادة توجيه المنفذ

يعد إعادة توجيه المنفذ أحد أشكال إساءة استخدام الثقة حيث يتم استخدام مضيف مخترق لتمرير حركة المرور عبر جدار الحماية الذي قد يتم رفضه. دعونا نتخيل جدار الحماية مع ثلاث واجهات، كل منها متصل بمضيف معين. يمكن للمضيف الخارجي الاتصال بالمضيف الوصول العام(DMZ)، ولكن ليس للمضيف المثبت داخل جدار الحماية. يمكن للمضيف المشترك الاتصال بمضيف داخلي وخارجي. إذا استولى أحد المتسللين على مضيف عام، فيمكنه تثبيت برنامج عليه يعيد توجيه حركة المرور من المضيف الخارجي مباشرة إلى المضيف الداخلي. على الرغم من أن هذا لا ينتهك أيًا من القواعد التي تظهر على الشاشة، إلا أن المضيف الخارجي يتمتع بإمكانية الوصول المباشر إلى المضيف المحمي نتيجة لإعادة التوجيه. مثال على التطبيق الذي يمكنه توفير هذا الوصول هو netcat. الطريقة الرئيسية لمكافحة إعادة توجيه المنفذ هي استخدام نماذج الثقة القوية (انظر القسم السابق). بالإضافة إلى ذلك، لمنع المتسلل من تثبيت برنامجه الخاص برمجةيمكنه استضافة نظام IDS (HIDS).

الوصول غير المصرح به

لا يمكن اعتبار الوصول غير المصرح به نوعًا منفصلاً من الهجوم. غالبية هجمات الشبكةيتم تنفيذها للحصول على وصول غير مصرح به. لتخمين تسجيل الدخول إلى telnet، يجب على المتسلل أولاً الحصول على مطالبة telnet على نظامه. بعد الاتصال بمنفذ telnet، تظهر الرسالة "التفويض مطلوب لاستخدام هذا المورد" على الشاشة (مطلوب التفويض لاستخدام هذا المورد). إذا استمر المتسلل في محاولة الوصول بعد ذلك، فسيتم اعتباره "غير مصرح به". يمكن أن يكون مصدر مثل هذه الهجمات إما داخل الشبكة أو خارجها. طرق مكافحة الوصول غير المصرح به بسيطة للغاية. الشيء الرئيسي هنا هو تقليل قدرة المتسلل أو القضاء عليها تمامًا على الوصول إلى النظام باستخدام بروتوكول غير مصرح به. على سبيل المثال، فكر في منع المتسللين من الوصول إلى منفذ telnet الموجود على خادم يوفر خدمات الويب للمستخدمين الخارجيين. وبدون الوصول إلى هذا المنفذ، لن يتمكن المتسلل من مهاجمته. أما بالنسبة لجدار الحماية فمهمته الأساسية هي منع أكثر من ذلك محاولات بسيطةالوصول غير المصرح به.

تطبيقات الفيروسات وأحصنة طروادة

محطات عمل المستخدم النهائي معرضة بشدة للفيروسات وأحصنة طروادة. الفيروسات هي برامج ضارة يتم إدراجها في برامج أخرى لأداء وظيفة معينة غير مرغوب فيها على جهاز الكمبيوتر. محطة العملالمستخدم النهائي. مثال على ذلك هو الفيروس المكتوب في ملف Command.com (المترجم الرئيسي أنظمة ويندوز) ويمسح الملفات الأخرى، ويصيب أيضًا جميع الإصدارات الأخرى من Command.com التي يعثر عليها. حصان طروادة ليس برنامجًا مُدرجًا، ولكنه برنامج حقيقي يبدو كذلك تطبيق مفيدولكنه في الواقع يؤدي دورًا ضارًا. مثال على حصان طروادة النموذجي هو البرنامج الذي يشبه لعبة بسيطةلمحطة عمل المستخدم. ومع ذلك، أثناء قيام المستخدم بتشغيل اللعبة، يرسل البرنامج نسخة منه عبر البريد الإلكتروني إلى كل مشترك مدرج في القائمة دفتر العناوينهذا المستخدم. يتلقى جميع المشتركين اللعبة عن طريق البريد، مما يؤدي إلى مزيد من التوزيع.

تتم مكافحة الفيروسات وأحصنة طروادة بمساعدة برامج مكافحة الفيروسات الفعالة التي تعمل على مستوى المستخدم، وربما على مستوى الشبكة. تكتشف منتجات مكافحة الفيروسات معظم الفيروسات وأحصنة طروادة وتوقف انتشارها. إن الحصول على أحدث المعلومات حول الفيروسات سيساعدك على مكافحتها بشكل أكثر فعالية. مع ظهور فيروسات وأحصنة طروادة جديدة، يجب على الشركات تثبيت إصدارات جديدة من أدوات وتطبيقات مكافحة الفيروسات.

وقد زاد حجم هجمات DDoS حوالي 50 مرة خلال السنوات القليلة الماضية. وفي الوقت نفسه، "يستهدف" المهاجمون كلاً من البنى التحتية المحلية والمنصات السحابية العامة حيث تتركز حلول العملاء.

وقال دارين أنستي، المتحدث باسم شركة أربور نتوركس، وهي شركة حلول أمن الشبكات: "إن الهجمات التي يتم تنفيذها بنجاح لها تأثير مباشر على أعمال العميل وتكون مدمرة".

وفي الوقت نفسه، يزداد تواتر الهجمات أيضًا. وفي نهاية عام 2014، كان عددهم 83 ألفًا، وفي الربع الأول من عام 2015 ارتفع الرقم إلى 126 ألفًا. لذلك، في مادتنا اليوم، نود أن نفكر في أنواع مختلفة من هجمات DDoS، بالإضافة إلى طرق الحماية منها هم.

إعادة تعيين TCP

يتم إجراء إعادة تعيين TCP عن طريق معالجة حزم RST على اتصال TCP. حزمة RST هي رأس يشير إلى ضرورة إعادة الاتصال. يتم استخدام هذا عادةً عند اكتشاف خطأ ما أو عند الرغبة في إيقاف تحميل البيانات. يمكن للمهاجم أن يقطع اتصال TCP عن طريق إرسال حزمة RST بقيم صالحة باستمرار، مما يجعل من المستحيل إنشاء اتصال بين المصدر والوجهة.

يمكن منع هذا النوع من الهجوم من خلال مراقبة كل حزمة مرسلة والتأكد من وصول تسلسل الأرقام بالترتيب الصحيح. يمكن لأنظمة تحليل حركة المرور العميقة التعامل مع هذا.

في الوقت الحاضر، الهدف الرئيسي لاختراق الأجهزة هو تنظيم هجمات DDoS أو التسبب في الضرر عن طريق تقييد وصول المستخدم إلى موقع ويب على الإنترنت. ولذلك، فإن مشغلي الاتصالات أنفسهم ومقدمي خدمات الإنترنت والشركات الأخرى، بما في ذلك خبراء خدمات القيمة المضافة، يقدمون أيضًا وينظمون حلولاً للحماية ضد DDoS - مراقبة حركة المرور في الوقت الفعلي لتتبع الحالات الشاذة والانفجارات في استخدام عرض النطاق الترددي، ووظيفة Carrier Grade NAT، التي تتيح لك «إخفاء» جهاز المشترك عن المتسللين، وحجب الوصول إليه من الإنترنت، بالإضافة إلى الأنظمة الذكية الأخرى وحتى ذاتية التعلم.

يتم اختراق شبكة الكمبيوتر في شكل هجمات.

الهجوم هو حدث يحاول فيه أشخاص غير مصرح لهم اختراق شبكات شخص آخر. غالبًا ما يتضمن الهجوم الحديث على الشبكة استغلال نقاط الضعف في البرامج. كانت بعض الهجمات الأكثر شيوعًا في أوائل العقد الأول من القرن الحادي والعشرين هي الهجمات المستهدفة مثل "رفض الخدمة" وDoS (Dental of Service) والهجمات الموزعة. هجمات DDoS(دوس الموزعة). يؤدي هجوم DoS إلى جعل هدف الهجوم غير قابل للوصول للاستخدام العادي عن طريق تجاوز الحدود المسموح بها لعمله. جهاز الشبكة. DoS هو هجوم مستهدف (مركز)، لأنه يأتي من مصدر واحد. في حالة DDoS الموزعة، يتم تنفيذ الهجوم من مصادر متعددة موزعة في الفضاء، وغالبًا ما تنتمي إلى شبكات مختلفة. منذ عدة سنوات بدأ استخدام المصطلح الخبيث رمز البرنامج VPK، وهو اختصار للفيروسات والديدان وأنظمة طروادة وأدوات هجمات الشبكة وإرسال البريد العشوائي وغيرها من الإجراءات غير المرغوب فيها للمستخدم. ونظرًا للطبيعة المتنوعة للتهديدات، أصبحت أنظمة الحماية الحديثة متعددة الطبقات ومعقدة. تنشر ديدان الشبكة نسخًا من نفسها عبرها شبكات الكمبيوترعبر البريد الإلكتروني، والرسائل. برامج طروادة الأكثر شيوعًا اليوم هي تلك التي تنفذ إجراءات غير مصرح بها: فهي تدمر البيانات وتستخدم موارد الكمبيوتر لأغراض ضارة. أخطر برامج طروادة تشمل برامج التجسس. فهو يجمع معلومات حول جميع تصرفات المستخدم، ثم، دون أن يلاحظها أحد، ينقل هذه المعلومات إلى المهاجمين. يمكن تسمية عام 2007 بأنه عام "وفاة" البرامج الضارة غير التجارية. لم يعد أحد يطور هذه البرامج للتعبير عن الذات. وتجدر الإشارة إلى أنه في عام 2007 لم يكن هناك واحد البرمجيات الخبيثةلن يكون لها أساس مالي تعتبر دودة العاصفة واحدة من البرامج الضارة الجديدة التي ظهرت في يناير 2007. وللانتشار، استخدمت الدودة كلا الطريقتين التقليديتين، مثل البريد الإلكتروني، والتوزيع على شكل ملفات فيديو. يمكن استخدام تقنية إخفاء التواجد في النظام (الجذور الخفية) ليس فقط في برامج طروادة، ولكن أيضًا في فيروسات الملفات. تسعى البرامج الضارة الآن إلى البقاء على النظام حتى بعد اكتشافها.

إحدى الطرق الخطيرة لإخفاء وجودها هي استخدام تقنية إصابة قطاع التمهيد القرص الصلب- ما يسمى بـ "مجموعات التمهيد". يمكن لمثل هذا البرنامج الضار التحكم حتى قبل تحميل الجزء الرئيسي من نظام التشغيل.

ولم يعد نطاق المشكلات الأمنية يقتصر على مهمة الحماية من الفيروسات، التي كان علينا التعامل معها منذ حوالي خمس سنوات. لقد أصبح خطر تسرب المعلومات الداخلية أكثر خطورة من التهديدات الخارجية. بالإضافة إلى ذلك، مع بداية القرن الحادي والعشرين، كان الغرض من جرائم الكمبيوتر هو سرقة المعلومات الاقتصادية والحسابات المصرفية وتعطيل الخدمات المصرفية. نظم المعلوماتالمنافسين, البريد الجماعيدعاية. لا يقل التهديد الذي تتعرض له أنظمة تكنولوجيا المعلومات في الشركات، بل وفي بعض الأحيان أكبر، من قبل المطلعين - موظفي الشركة الذين لديهم إمكانية الوصول إليها معلومات سريةواستخدامها لأغراض غير مرغوب فيها. يعتقد العديد من الخبراء أن الضرر الذي يسببه المطلعون لا يقل أهمية عن الضرر الذي تسببه البرامج الضارة. ومن المميزات أن جزءًا كبيرًا من تسرب المعلومات لا يحدث بسبب تصرفات الموظفين الضارة، ولكن بسبب عدم انتباههم. وينبغي أن تكون الوسائل التقنية الرئيسية لمكافحة هذه العوامل هي وسائل التوثيق وإدارة الوصول إلى البيانات. ومع ذلك، فإن عدد الحوادث مستمر في النمو (بحوالي 30٪ سنويًا في السنوات الأخيرة). تدريجيًا، بدأ دمج الإجراءات الأمنية ضد التسريبات/المطلعين في نظام أمن المعلومات الشامل. في الختام، نقدم تصنيفًا عامًا لتهديدات الشبكة (الشكل 11.3)

المحاضرة 33 أنواع وأنواع الهجمات على الشبكات

المحاضرة 33

الموضوع: أنواع وأنواع الهجمات على الشبكات

هجوم الشبكة البعيدة هو تأثير مدمر للمعلومات على نظام الحوسبة الموزع، ويتم تنفيذه برمجيًا عبر قنوات الاتصال.

مقدمة

لتنظيم الاتصالات في بيئة شبكة غير متجانسة، يتم استخدام مجموعة من بروتوكولات TCP/IP، مما يضمن التوافق بين أجهزة الكمبيوتر من مختلف الأنواع. اكتسبت هذه المجموعة من البروتوكولات شعبية بسبب توافقها وتوفير الوصول إلى موارد الإنترنت العالمية وأصبحت معيارًا للتواصل بين الشبكات. ومع ذلك، فإن انتشار مكدس بروتوكول TCP/IP قد كشف أيضًا عن نقاط ضعفه. وهذا يجعل الأنظمة الموزعة عرضة بشكل خاص للهجمات عن بعد، حيث تستخدم مكوناتها عادةً القنوات المفتوحةنقل البيانات، ولا يستطيع الدخيل التنصت بشكل سلبي على المعلومات المرسلة فحسب، بل يمكنه أيضًا تعديل حركة المرور المرسلة.

إن صعوبة اكتشاف الهجوم عن بعد والسهولة النسبية للتنفيذ (بسبب الوظائف الزائدة للأنظمة الحديثة) تضع هذا النوع من الإجراءات غير القانونية في المقام الأول من حيث درجة الخطر وتمنع الاستجابة في الوقت المناسب للتهديد، كما ونتيجة لذلك يزيد المهاجم من فرص تنفيذ الهجوم بنجاح.

تصنيف الهجمات

حسب طبيعة التأثير

سلبي

نشيط

التأثير السلبي على نظام الحوسبة الموزعة (DCS) هو بعض التأثير الذي لا يؤثر بشكل مباشر على تشغيل النظام، ولكنه في الوقت نفسه يمكن أن ينتهك سياسته الأمنية. يؤدي عدم وجود تأثير مباشر على تشغيل RVS على وجه التحديد إلى حقيقة صعوبة اكتشاف التأثير السلبي عن بعد (RPI). أحد الأمثلة المحتملة على PUV النموذجي في DCS هو الاستماع إلى قناة اتصال في الشبكة.

التأثير النشط على DCS - التأثير الذي له تأثير مباشر على تشغيل النظام نفسه (ضعف الأداء الوظيفي، والتغيير في تكوين DCS، وما إلى ذلك)، والذي ينتهك سياسة الأمان المعتمدة فيه. جميع أنواع الهجمات عن بعد تقريبًا هي تأثيرات نشطة. ويرجع ذلك إلى حقيقة أن طبيعة التأثير الضار تتضمن مبدأ نشطًا. الفرق الواضح بين التأثير النشط والتأثير السلبي هو الاحتمال الأساسي لاكتشافه، لأنه نتيجة لتنفيذه تحدث بعض التغييرات في النظام. مع التأثير السلبي، لا توجد آثار على الإطلاق (نظرًا لحقيقة أن المهاجم يرى رسالة شخص آخر في النظام، فلن يتغير شيء في نفس اللحظة).

لغرض التأثير

انتهاك أداء النظام (الوصول إلى النظام)

انتهاك سلامة مصادر المعلومات (IR)

انتهاك سرية العلاقات الدولية

هذه الميزة، التي يتم من خلالها التصنيف، هي في الأساس إسقاط مباشر لثلاثة أنواع أساسية من التهديدات - رفض الخدمة، والكشف، وانتهاك النزاهة.

الهدف الرئيسي المتبع في أي هجوم تقريبًا هو الوصول غير المصرح به إلى المعلومات. هناك خياران أساسيان للحصول على المعلومات: التشويه والاعتراض. خيار اعتراض المعلومات يعني الوصول إليها دون إمكانية تغييرها. وبالتالي فإن اعتراض المعلومات يؤدي إلى انتهاك سريتها. يعد الاستماع إلى قناة على الشبكة مثالاً على اعتراض المعلومات. في هذه الحالة، هناك إمكانية الوصول غير المشروع إلى المعلومات دون الخيارات الممكنةبديل لها. ومن الواضح أيضًا أن انتهاك سرية المعلومات يشير إلى تأثيرات سلبية.

ينبغي فهم إمكانية استبدال المعلومات إما على أنها السيطرة الكاملةعلى تدفق المعلومات بين كائنات النظام، أو القدرة على نقل رسائل مختلفة نيابة عن شخص آخر. ولذلك فمن الواضح أن استبدال المعلومات يؤدي إلى انتهاك سلامتها. مثل هذا التأثير المدمر للمعلومات هو مثال نموذجي للتأثير النشط. مثال على الهجوم عن بعد المصمم لانتهاك سلامة المعلومات هو الهجوم عن بعد "كائن RVS الكاذب" (RA).

حسب التوفر تعليقمع الكائن المهاجم

مع ردود الفعل

لا توجد تعليقات (هجوم أحادي الاتجاه)

يرسل المهاجم بعض الطلبات إلى الكائن المهاجم، ويتوقع أن يتلقى الرد عليها. ونتيجة لذلك، تظهر ردود الفعل بين المهاجم والمهاجم، مما يسمح للمهاجم بالاستجابة بشكل مناسب لجميع أنواع التغييرات في الكائن المهاجم. هذا هو جوهر الهجوم عن بعد، الذي يتم تنفيذه في ظل وجود ردود فعل من الجسم المهاجم. مثل هذه الهجمات هي الأكثر شيوعًا بالنسبة لـ RVS.

تتميز هجمات الحلقة المفتوحة بحقيقة أنها لا تحتاج إلى الاستجابة للتغيرات في الكائن المهاجم. يتم تنفيذ مثل هذه الهجمات عادةً عن طريق إرسال طلبات فردية إلى الكائن الذي تمت مهاجمته. ولا يحتاج المهاجم إلى إجابات لهذه الطلبات. يمكن أيضًا تسمية هذا UA بـ UA أحادي الاتجاه. مثال على الهجمات أحادية الاتجاه هو هجوم DoS النموذجي.

حسب حالة بداية التأثير

التأثير عن بعد، مثله مثل أي تأثير آخر، لا يمكن أن يبدأ إلا في ظل ظروف معينة. هناك ثلاثة أنواع من هذه الهجمات المشروطة في RVS:

الهجوم بناء على طلب من الكائن المهاجم

الهجوم عند وقوع حدث متوقع على الجسم المهاجم

هجوم غير مشروط

سيبدأ التأثير من المهاجم بشرط أن يرسل الهدف المحتمل للهجوم طلبًا من نوع معين. يمكن تسمية مثل هذا الهجوم بالهجوم بناءً على طلب الكائن المهاجم. هذا النوع من UA هو الأكثر شيوعًا بالنسبة لـ RVS. مثال على هذه الطلبات على الإنترنت هو طلبات DNS و ARP، وفي Novell NetWare - طلب SAP.

هجوم عند وقوع حدث متوقع على الجسم المهاجم. يراقب المهاجم باستمرار حالة نظام التشغيل للهدف البعيد للهجوم ويبدأ في التأثير عند حدوث حدث معين في هذا النظام. الكائن المهاجم نفسه هو البادئ بالهجوم. مثال على مثل هذا الحدث هو أن تتم مقاطعة جلسة عمل المستخدم مع الخادم دون إصدار أمر LOGOUT في Novell NetWare.

يتم تنفيذ الهجوم غير المشروط على الفور وبغض النظر عن حالة نظام التشغيل والكائن الذي تمت مهاجمته. ولذلك فإن المهاجم هو البادئ بالهجوم في هذه الحالة.

إذا تم تعطيل التشغيل العادي للنظام، فسيتم متابعة أهداف أخرى ولا يتوقع من المهاجم أن يحصل على وصول غير قانوني إلى البيانات. هدفها هو تعطيل نظام التشغيل على الكائن الذي تمت مهاجمته وجعل من المستحيل على كائنات النظام الأخرى الوصول إلى موارد هذا الكائن. مثال على هذا النوع من الهجمات هو هجوم DoS.

حسب موقع موضوع الهجوم بالنسبة للكائن المهاجم

داخل القطاعات

إجراءات الكشف عن هجمات الشبكة.

1. تصنيف هجمات الشبكة

1.1. المتشممون الحزمة

أداة التعرف على الحزم هي برنامج تطبيقي يستخدم بطاقة شبكة تعمل في الوضع المختلط ( في هذا الوضع، يتم إرسال كافة الحزم المستلمة عبر القنوات المادية بواسطة محول الشبكة إلى التطبيق لمعالجتها). في هذه الحالة، يعترض المتشمم جميع حزم الشبكة التي يتم إرسالها عبر مجال معين.

1.2. انتحال IP

يحدث انتحال عنوان IP عندما ينتحل أحد المتسللين، داخل النظام أو خارجه، شخصية مستخدم معتمد. يمكن القيام بذلك بطريقتين. أولاً، يمكن للمتسلل استخدام عنوان IP الذي يقع ضمن نطاق عناوين IP المعتمدة، أو عنوان خارجي معتمد يُسمح له بالوصول إلى موارد شبكة معينة. غالبًا ما تكون هجمات انتحال عنوان IP نقطة البداية لهجمات أخرى. المثال الكلاسيكي هو هجوم حجب الخدمة (DoS)، الذي يبدأ من عنوان شخص آخر، ويخفي هوية المتسلل الحقيقية.

عادةً ما يقتصر انتحال IP على إدخال معلومات خاطئة أو أوامر ضارة في التدفق الطبيعي للبيانات المنقولة بين تطبيق العميل والخادم أو عبر قناة اتصال بين الأجهزة النظيرة. بالنسبة للاتصال ثنائي الاتجاه، يجب على المتسلل تغيير جميع جداول التوجيه لتوجيه حركة المرور إلى عنوان IP الزائف. ومع ذلك، فإن بعض المتسللين لا يحاولون حتى الحصول على رد من التطبيقات. إذا كانت المهمة الرئيسية هي الحصول على ملف مهم من النظام، فلا يهم استجابات التطبيق.

1.3. الحرمان من الخدمة ( رفض الخدمة - DoS)

DoS هو الشكل الأكثر شهرة لهجمات القراصنة. هذه الأنواع من الهجمات هي الأصعب في توفير الحماية بنسبة 100% منها.

أشهر أنواع الـ DoS:

اختبار اتصال الفيضانات TCP SYN لشبكة فيضانات قبيلة الموت ( رقم الملف الضريبي);
شبكة فيضانات القبيلة 2000 ( TFN2K);
ترينكو.
ستاتشيلدراخت؛
الثالوث.

تختلف هجمات DoS عن أنواع الهجمات الأخرى. ولا تهدف إلى الوصول إلى الشبكة أو الحصول على أي معلومات من تلك الشبكة. يؤدي هجوم DoS إلى جعل الشبكة غير متاحة للاستخدام العادي من خلال تجاوز حدود التشغيل للشبكة أو نظام التشغيل أو التطبيق.

عند استخدام بعض تطبيقات الخادم (مثل خادم الويب أو خادم FTP) يمكن أن تكون هجمات DoS بسيطة مثل الاستيلاء على جميع الاتصالات المتاحة لهذه التطبيقات وإبقائها مشغولة، مما يمنع خدمة المستخدمين العاديين. يمكن أن تستخدم هجمات DoS بروتوكولات الإنترنت الشائعة مثل TCP وICMP ( بروتوكول رسائل التحكم بالإنترنت). لا تعتمد معظم هجمات DoS على أخطاء برمجية أو ثغرات أمنية، بل على نقاط الضعف العامة في بنية النظام. تؤدي بعض الهجمات إلى إعاقة أداء الشبكة عن طريق إغراقها بحزم غير مرغوب فيها وغير ضرورية أو معلومات مضللة حول الحالة الحالية لموارد الشبكة. يصعب منع هذا النوع من الهجمات لأنه يتطلب التنسيق مع مزود خدمة الإنترنت. إذا لم يكن من الممكن إيقاف حركة المرور المخصصة لإغراق شبكتك عند الموفر، فلن تتمكن من القيام بذلك عند مدخل الشبكة، لأن عرض النطاق الترددي بأكمله سيكون مشغولاً. عندما يتم تنفيذ هذا النوع من الهجوم في وقت واحد من خلال العديد من الأجهزة، فإن الهجوم يكون عبارة عن DoS موزعة ( DDoS - دوس الموزعة).

1.4. هجمات كلمة المرور

يمكن للمتسللين تنفيذ هجمات كلمة المرور باستخدام عدد من الأساليب، مثل القوة الغاشمة ( هجوم القوة الغاشمة)، حصان طروادة وانتحال IP واستنشاق الحزم. على الرغم من إمكانية الحصول على تسجيل الدخول وكلمة المرور في كثير من الأحيان من خلال انتحال عنوان IP واستنشاق الحزم، إلا أن المتسللين غالبًا ما يحاولون تخمين كلمة المرور وتسجيل الدخول من خلال محاولات وصول متعددة. ويسمى هذا النهج التعداد البسيط (هجوم القوة الغاشمة). غالبًا ما يستخدم مثل هذا الهجوم برنامجًا خاصًا يحاول الوصول إلى مورد عام ( على سبيل المثال، إلى الخادم). إذا تمكن المتسلل، نتيجة لذلك، من الوصول إلى الموارد، فإنه سيتمكن من الوصول إلى حقوق المستخدم العادي الذي تم تخمين كلمة المرور الخاصة به. إذا كان هذا المستخدم يتمتع بامتيازات وصول كبيرة، فيمكن للمتسلل إنشاء "تصريح مرور" للوصول المستقبلي والذي سيظل صالحًا حتى إذا قام المستخدم بتغيير كلمة المرور وتسجيل الدخول.

تحدث مشكلة أخرى عندما يستخدم المستخدمون نفس ( حتى لو كانت جيدة جدًا) كلمة المرور للوصول إلى العديد من الأنظمة: أنظمة الشركات والشخصية وأنظمة الإنترنت. نظرًا لأن كلمة المرور تكون قوية مثل أضعف مضيف، فإن المتسلل الذي يتعلم كلمة المرور من خلال هذا المضيف يمكنه الوصول إلى جميع الأنظمة الأخرى التي تستخدم نفس كلمة المرور.

1.5. هجمات رجل في الوسط

1.6. الهجمات على مستوى التطبيق

يمكن تنفيذ الهجمات على مستوى التطبيق بعدة طرق. وأكثرها شيوعًا هو استغلال نقاط الضعف في برنامج الخادم ( سيندميل، HTTP، بروتوكول نقل الملفات). ومن خلال استغلال نقاط الضعف هذه، يمكن للمتسللين الوصول إلى جهاز الكمبيوتر باعتباره المستخدم الذي يقوم بتشغيل التطبيق ( عادةً لا يكون هذا مستخدمًا بسيطًا، ولكنه مسؤول متميز يتمتع بحقوق الوصول إلى النظام). يتم نشر المعلومات حول الهجمات على مستوى التطبيق على نطاق واسع لتمكين المسؤولين من حل المشكلة باستخدام وحدات المعالجة ( بقع). المشكلة الرئيسية في هجمات طبقة التطبيقات هي أنها غالبًا ما تستخدم المنافذ المسموح لها بالمرور عبر جدار الحماية. على سبيل المثال، غالبًا ما يستخدم المتسلل الذي يستغل نقطة ضعف معروفة في خادم الويب المنفذ 80 في هجوم TCP نظرًا لأن خادم الويب يوفر صفحات ويب للمستخدمين، يجب أن يسمح جدار الحماية بالوصول إلى هذا المنفذ. من وجهة نظر جدار الحماية، يتم التعامل مع الهجوم على أنه حركة مرور قياسية على المنفذ 80.

1.7. ذكاء الشبكة

1.8. خرق الثقة

هذا النوع من العمل ليس كذلك "هجوم"أو "يتعدى". إنه يمثل الاستغلال الضار لعلاقات الثقة الموجودة في الشبكة. ومن الأمثلة على ذلك النظام المثبت على الجانب الخارجي لجدار الحماية والذي يتمتع بعلاقة ثقة مع نظام مثبت على الجانب الداخلي لجدار الحماية. إذا تم اختراق نظام خارجي، فيمكن للمتسلل استخدام علاقة الثقة لاختراق النظام المحمي بواسطة جدار الحماية.

1.9. إعادة توجيه المنفذ

يعد إعادة توجيه المنفذ أحد أشكال إساءة استخدام الثقة حيث يتم استخدام مضيف مخترق لتمرير حركة المرور عبر جدار الحماية الذي قد يتم رفضه. مثال على التطبيق الذي يمكنه توفير هذا الوصول هو netcat.

1.10. الوصول غير المصرح به

لا يمكن اعتبار الوصول غير المصرح به نوعًا منفصلاً من الهجوم. يتم تنفيذ معظم الهجمات على الشبكة للحصول على وصول غير مصرح به. لتخمين تسجيل الدخول إلى telnet، يجب على المتسلل أولاً الحصول على مطالبة telnet على نظامه. بعد الاتصال بمنفذ telnet، تظهر رسالة على الشاشة "الترخيص مطلوب لاستخدام هذا المورد" (لاستخدام هذه الموارد تحتاج إلى إذن). إذا استمر المتسلل بعد ذلك في محاولة الوصول، فسيتم أخذه في الاعتبار "غير مصرح به". يمكن أن يكون مصدر مثل هذه الهجمات إما داخل الشبكة أو خارجها.

1.11. الفيروسات والتطبيقات مثل "حصان طروادة"

محطات عمل العملاء معرضة بشدة للفيروسات وأحصنة طروادة. "حصان طروادة"- هذا ليس إدراج برنامج، ولكنه برنامج حقيقي يبدو وكأنه تطبيق مفيد، ولكنه في الواقع يؤدي دورًا ضارًا.

2. طرق التصدي لهجمات الشبكات

2.1. يمكنك التخفيف من خطر استنشاق الحزم باستخدام الأدوات التالية:

2.1.1. المصادقة - المصادقة القوية هي أول وسيلة دفاع ضد استنشاق الحزم. تحت "قوي"نحن ندرك أنه من الصعب تجاوز طريقة المصادقة هذه. مثال على هذه المصادقة هو كلمات المرور لمرة واحدة ( OTP - كلمات المرور لمرة واحدة). OTP هي تقنية مصادقة ثنائية تجمع بين ما لديك وما تعرفه. تحت "البطاقة" ( رمز مميز) يعني الأجهزة أو البرامج التي تنشئ ( عشوائيا) كلمة مرور فريدة لمرة واحدة. إذا اكتشف أحد المتسللين كلمة المرور هذه باستخدام أداة الشم، فستكون هذه المعلومات عديمة الفائدة لأنه في هذه المرحلة ستكون كلمة المرور قد تم استخدامها بالفعل وتم إيقافها. تعتبر طريقة مكافحة الاستنشاق هذه فعالة فقط ضد اعتراض كلمة المرور.

2.1.2. البنية التحتية المحولة - هناك طريقة أخرى لمكافحة استنشاق الحزم في بيئة الشبكة وهي إنشاء بنية أساسية محولة، حيث يمكن للمتسللين الوصول إلى حركة المرور القادمة فقط على المنفذ الذي يتصلون به. لا تقضي البنية التحتية المبدلة على خطر الاستنشاق، ولكنها تقلل بشكل كبير من خطورته.

2.1.3. مكافحة المتشممون - الطريقة الثالثة لمكافحة المتشممين هي تثبيت أجهزة أو برامج تتعرف على المتشممين الذين يعملون على شبكتك. لا يمكن لهذه الأدوات القضاء على التهديد بشكل كامل، ولكن، مثل العديد من أدوات أمان الشبكة الأخرى، يتم تضمينها في نظام الحماية الشامل. ما يسمى "مضادات المتشممات"قياس أوقات استجابة المضيف وتحديد ما إذا كان يتعين على المضيفين المعالجة أم لا "إضافي"مرور.

2.1.4. التشفير - الطريقة الأكثر فعالية لمكافحة استنشاق الحزم لا تمنع اعتراض أو التعرف على عمل المتشممين، ولكنها تجعل هذا العمل عديم الفائدة. إذا كانت قناة الاتصال آمنة تشفيريًا، فهذا يعني أن المتسلل لا يعترض الرسالة، بل يعترض النص المشفر (أي تسلسل غير مفهوم من البتات).

2.2. يمكن التخفيف من خطر الانتحال ( ولكن لم يتم القضاء عليها)باستخدام التدابير التالية:

2.2.1. التحكم في الوصول - أسهل طريقة لمنع انتحال IP هي تكوين عناصر التحكم في الوصول بشكل صحيح. لتقليل فعالية انتحال IP، تم تكوين التحكم في الوصول لرفض أي حركة مرور قادمة من شبكة خارجية بعنوان مصدر يجب أن يكون موجودًا داخل شبكتك. ويساعد هذا في مكافحة انتحال عنوان IP، حيث يُسمح بالعناوين الداخلية فقط. إذا تم ترخيص بعض عناوين الشبكة الخارجية أيضًا، تصبح هذه الطريقة غير فعالة.

2.2.2. تصفية RFC 2827 - إيقاف محاولات انتحال شبكات الآخرين من قبل مستخدمي شبكة الشركة. للقيام بذلك، من الضروري رفض أي حركة مرور صادرة لا يكون عنوان مصدرها أحد عناوين IP الخاصة بالبنك. يمكن أيضًا تنفيذ هذا النوع من التصفية، المعروف باسم "RFC 2827"، بواسطة مزود خدمة الإنترنت (ISP) مزود خدمة الإنترنت). ونتيجة لذلك، يتم رفض كافة حركة المرور التي ليس لها عنوان مصدر متوقع على واجهة معينة.

2.2.3. الطريقة الأكثر فعالية لمكافحة انتحال IP هي نفسها المستخدمة في استنشاق الحزم: تحتاج إلى جعل الهجوم غير فعال تمامًا. لا يمكن أن يعمل انتحال IP إلا إذا كانت المصادقة تعتمد على عناوين IP. ولذلك، فإن إدخال طرق مصادقة إضافية يجعل هذا النوع من الهجوم عديم الفائدة. أفضل نوع من المصادقة الإضافية هو التشفير. إذا لم يكن ذلك ممكنًا، فإن المصادقة الثنائية باستخدام كلمات مرور لمرة واحدة يمكن أن تعطي نتائج جيدة.

2.3. يمكن تقليل تهديد هجمات DoS بالطرق التالية:

2.3.1. ميزات مكافحة الانتحال - سيساعد تكوين ميزات مكافحة الانتحال بشكل صحيح على أجهزة التوجيه وجدران الحماية لديك على تقليل مخاطر حجب الخدمة (DoS). يجب أن تتضمن هذه الميزات، على الأقل، تصفية RFC 2827. إذا لم يتمكن المتسلل من إخفاء هويته الحقيقية، فمن غير المرجح أن ينفذ هجومًا.

2.3.2. ميزات مكافحة DoS - يمكن أن يؤدي التكوين الصحيح لميزات مكافحة DoS على أجهزة التوجيه وجدران الحماية إلى الحد من فعالية الهجمات. تحدد هذه الوظائف عدد القنوات نصف المفتوحة في أي وقت محدد.

2.3.3. الحد من حجم حركة المرور ( الحد من معدل حركة المرور) – الاتفاق مع المزود ( مزود خدمة الإنترنت) على الحد من حجم حركة المرور. يسمح لك هذا النوع من التصفية بالحد من مقدار حركة المرور غير الهامة التي تمر عبر الشبكة. أحد الأمثلة الشائعة هو تحديد مقدار حركة مرور ICMP المستخدمة لأغراض التشخيص فقط. الهجمات ( د) غالبًا ما تستخدم DoS ICMP.

2.3.4. حظر عناوين IP - بعد تحليل هجوم DoS وتحديد نطاق عناوين IP التي يتم تنفيذ الهجوم منها، اتصل بمزود الخدمة الخاص بك لحظرها.

2.4. يمكن تجنب هجمات كلمة المرور من خلال عدم استخدام كلمات مرور نصية عادية. يمكن لكلمات المرور لمرة واحدة و/أو مصادقة التشفير القضاء فعليًا على تهديد مثل هذه الهجمات. لا تدعم كافة التطبيقات والمضيفين والأجهزة طرق المصادقة المذكورة أعلاه.

عند استخدام كلمات مرور عادية، عليك أن تتوصل إلى كلمة مرور يصعب تخمينها. يجب أن يكون الحد الأدنى لطول كلمة المرور ثمانية أحرف على الأقل. يجب أن تتضمن كلمة المرور أحرفًا كبيرة وأرقامًا وأحرفًا خاصة ( #،٪، $، الخ.). من الصعب تخمين أفضل كلمات المرور وتذكرها، مما يجبر المستخدمين على كتابة كلمات المرور على الورق.

2.5. لا يمكن مكافحة هجمات الرجل في الوسط بشكل فعال إلا باستخدام التشفير. إذا اعترض أحد المتسللين بيانات من جلسة مشفرة، فإن ما سيظهر على شاشته ليس الرسالة التي تم اعتراضها، بل مجموعة من الأحرف التي لا معنى لها. لاحظ أنه إذا حصل أحد المتسللين على معلومات حول جلسة تشفير ( على سبيل المثال، مفتاح الجلسة)، وهذا يمكن أن يجعل هجوم Man-in-the-Middle ممكنًا حتى في بيئة مشفرة.

2.6. لا يمكن القضاء على الهجمات على مستوى التطبيق بشكل كامل. يكتشف المتسللون باستمرار وينشرون نقاط ضعف جديدة في برامج التطبيقات على الإنترنت. الشيء الأكثر أهمية هو الإدارة الجيدة للنظام.

التدابير التي يمكنك اتخاذها لتقليل تعرضك لهذا النوع من الهجمات:

قراءة و/أو تحليل ملفات سجل نظام التشغيل وملفات سجل الشبكة باستخدام تطبيقات تحليلية خاصة؛
تحديث إصدارات أنظمة التشغيل والتطبيقات في الوقت المناسب وتثبيت أحدث وحدات التصحيح ( بقع);
استخدام أنظمة كشف الهجمات ( معرفات).

2.7. من المستحيل التخلص تمامًا من ذكاء الشبكة. إذا قمت بتعطيل صدى ICMP ورد الصدى على أجهزة توجيه الحافة، فستتخلص من اختبار ping، لكنك ستفقد البيانات اللازمة لتشخيص فشل الشبكة. بالإضافة إلى ذلك، يمكنك فحص المنافذ دون إجراء اختبار ping مسبق. سيستغرق هذا وقتًا أطول، حيث سيتعين عليك فحص عناوين IP غير الموجودة. عادةً ما تقوم أنظمة IDS على مستوى الشبكة والمضيف بعمل جيد في إخطار المسؤول عن استطلاع الشبكة المستمر، مما يسمح لهم بالاستعداد بشكل أفضل للهجوم القادم وإخطار مزود خدمة الإنترنت ( مزود خدمة الإنترنت)، الذي يوجد على شبكته نظام مثبت يُظهر فضولًا مفرطًا.

2.8. يمكن تقليل مخاطر انتهاك الثقة من خلال التحكم بشكل أكثر إحكامًا في مستويات الثقة داخل شبكتك. لا ينبغي أبدًا أن تتمتع الأنظمة الموجودة خارج جدار الحماية بالثقة المطلقة من الأنظمة المحمية بواسطة جدار الحماية. يجب أن تقتصر علاقات الثقة على بروتوكولات محددة، وإذا أمكن، يجب مصادقتها بواسطة معلمات أخرى غير عناوين IP.

2.9. الطريقة الرئيسية لمكافحة إعادة توجيه المنفذ هي استخدام نماذج الثقة القوية ( انظر البند 2.8 ). بالإضافة إلى ذلك، يمكن لنظام IDS المضيف أن يمنع المتسلل من تثبيت برنامجه على المضيف ( يختبئ).

2.10. طرق مكافحة الوصول غير المصرح به بسيطة للغاية. الشيء الرئيسي هنا هو تقليل قدرة المتسلل أو القضاء عليها تمامًا على الوصول إلى النظام باستخدام بروتوكول غير مصرح به. على سبيل المثال، فكر في منع المتسللين من الوصول إلى منفذ telnet الموجود على خادم يوفر خدمات الويب للمستخدمين الخارجيين. وبدون الوصول إلى هذا المنفذ، لن يتمكن المتسلل من مهاجمته. أما بالنسبة لجدار الحماية، فمهمته الرئيسية هي منع أبسط محاولات الوصول غير المصرح به.

2.11. تتم مكافحة الفيروسات وأحصنة طروادة باستخدام برامج فعالة لمكافحة الفيروسات تعمل على مستوى المستخدم وعلى مستوى الشبكة. تكتشف منتجات مكافحة الفيروسات معظم الفيروسات وأحصنة طروادة وتوقف انتشارها.

3. خوارزمية الإجراءات عند اكتشاف هجمات الشبكة

3.1. يتم حظر معظم هجمات الشبكة بواسطة أدوات أمان المعلومات المثبتة تلقائيًا ( جدران الحماية، وأدوات التمهيد الموثوقة، وأجهزة توجيه الشبكة، عوامل مكافحة الفيروساتإلخ.).

3.2. الهجمات التي تتطلب تدخل الأفراد لمنعها أو تقليل خطورة العواقب تشمل هجمات حجب الخدمة.

3.2.1. يتم اكتشاف هجمات DoS من خلال تحليل حركة مرور الشبكة. تتميز بداية الهجوم بـ” يطرق» قنوات الاتصال التي تستخدم حزم كثيفة الموارد ذات عناوين مزيفة. يؤدي مثل هذا الهجوم على موقع ويب للخدمات المصرفية عبر الإنترنت إلى تعقيد الوصول للمستخدمين الشرعيين وقد يتعذر الوصول إلى مورد الويب.

3.2.2. في حالة اكتشاف هجوم، يقوم مسؤول النظام بتنفيذ الإجراءات التالية:

يقوم بتحويل جهاز التوجيه يدويًا إلى القناة الاحتياطية والعودة من أجل تحديد قناة أقل تحميلًا (قناة ذات نطاق ترددي أوسع)؛
يحدد نطاق عناوين IP التي يتم من خلالها تنفيذ الهجوم؛
يرسل طلبًا إلى الموفر لحظر عناوين IP من النطاق المحدد.

3.3. عادةً ما يتم استخدام هجوم DoS لإخفاء الهجوم الناجح على موارد العميل من أجل جعل اكتشافه صعبًا. لذلك، عند اكتشاف هجوم DoS، من الضروري تحليل أحدث المعاملات من أجل تحديد المعاملات غير العادية، وحظرها (إن أمكن)، والاتصال بالعملاء من خلال قناة بديلة لتأكيد المعاملات.

3.4. إذا تم تلقي معلومات حول الإجراءات غير المصرح بها من العميل، فسيتم تسجيل جميع الأدلة المتاحة وإجراء تحقيق داخلي وتقديم طلب إلى وكالات إنفاذ القانون.

تحميل ملف مضغوط (24151)

إذا كانت المستندات مفيدة، يرجى منحها "إعجاب":