Лекц 33 Сүлжээний халдлагын төрөл, төрлүүд

Лекц 33

Сэдэв: Сүлжээний халдлагын төрөл, төрөл

Сүлжээний алсын халдлага нь холбооны сувгаар программчлагдсан тархсан тооцооллын системд мэдээлэл сүйтгэх нөлөө юм.

Оршил

Сүлжээний янз бүрийн орчинд харилцаа холбоог зохион байгуулахын тулд янз бүрийн төрлийн компьютеруудын нийцтэй байдлыг баталгаажуулдаг TCP/IP протоколуудын багцыг ашигладаг. Энэхүү протоколуудын багц нь нийцтэй байдал, дэлхийн интернетийн нөөцөд нэвтрэх боломжийг олгодог тул түгээмэл болж, интернетээр ажиллах стандарт болжээ. Гэсэн хэдий ч TCP/IP протоколын стек хаа сайгүй байгаа нь түүний сул талуудыг мөн илчилсэн. Ялангуяа үүнээс болж тархсан системүүд нь алсаас халдлагад өртөмтгий байдаг, учир нь тэдгээрийн бүрэлдэхүүн хэсгүүд нь ихэвчлэн нээлттэй өгөгдөл дамжуулах сувгуудыг ашигладаг бөгөөд халдагч нь дамжуулагдсан мэдээллийг чагнаж чагнахаас гадна дамжуулагдсан траффикийг өөрчлөх боломжтой байдаг.

Алсын халдлагыг илрүүлэхэд хүндрэлтэй, хэрэгжүүлэхэд харьцангуй хялбар байдал (орчин үеийн системийн хэт их ажиллагаатай тул) энэ төрлийн хууль бус үйлдлийг аюулын зэрэглэлээр нэгдүгээрт тавьж, аюул заналхийллийн эсрэг цаг тухайд нь хариу арга хэмжээ авахаас сэргийлдэг. Үүний үр дүнд халдагчид халдлагыг амжилттай хэрэгжүүлэх боломжийг нэмэгдүүлдэг.

Довтолгооны ангилал

Нөлөөллийн шинж чанараар

Идэвхгүй

Идэвхтэй

Түгээмэл тооцооллын системд (DCS) идэвхгүй нөлөөлөл нь системийн үйл ажиллагаанд шууд нөлөөлдөггүй, гэхдээ үүний зэрэгцээ түүний аюулгүй байдлын бодлогыг зөрчиж болзошгүй нөлөөлөл юм. RVS-ийн үйл ажиллагаанд шууд нөлөө үзүүлэхгүй байх нь идэвхгүй алсын нөлөөг (RPI) илрүүлэхэд хэцүү байдаг. DCS дахь ердийн PUV-ийн боломжит жишээ бол сүлжээнд байгаа холбооны сувгийг сонсох явдал юм.

DCS-д идэвхтэй нөлөөлөл - системийн өөрийнх нь үйл ажиллагаанд шууд нөлөөлдөг нөлөөлөл (үйл ажиллагааны доголдол, DCS тохиргооны өөрчлөлт гэх мэт), энэ нь түүнд батлагдсан аюулгүй байдлын бодлогыг зөрчиж байна. Бараг бүх төрлийн алсын халдлага нь идэвхтэй нөлөөлөл юм. Энэ нь хор хөнөөлийн нөлөөний мөн чанар нь идэвхтэй зарчмыг агуулдагтай холбоотой юм. Идэвхтэй нөлөөлөл ба идэвхгүй нөлөөллийн хоорондох тодорхой ялгаа нь түүнийг илрүүлэх үндсэн боломж юм, учир нь үүнийг хэрэгжүүлсний үр дүнд системд зарим өөрчлөлтүүд гардаг. Идэвхгүй нөлөөгөөр ямар ч ул мөр үлдэхгүй (халдагчид систем дэх өөр хэн нэгний мессежийг хардаг тул яг тэр мөчид юу ч өөрчлөгдөхгүй).

Нөлөөллийн зорилгоор

Системийн ажиллагааг зөрчих (системд нэвтрэх)

Мэдээллийн нөөцийн бүрэн бүтэн байдлыг зөрчих (IR)

IR нууцлалыг зөрчсөн

Ангилал хийсэн энэ шинж чанар нь үндсэндээ үйлчилгээ үзүүлэхээс татгалзах, задруулах, бүрэн бүтэн байдлыг зөрчих гэсэн гурван үндсэн аюулын шууд төсөөлөл юм.

Бараг ямар ч халдлагын гол зорилго нь мэдээлэлд зөвшөөрөлгүй хандах явдал юм. Мэдээлэл олж авах үндсэн хоёр сонголт байдаг: гуйвуулах, таслах. Мэдээллийг таслан зогсоох сонголт гэдэг нь түүнийг өөрчлөхгүйгээр түүнд хандах боломжтой гэсэн үг юм. Тиймээс мэдээллийг саатуулах нь түүний нууцлалыг зөрчихөд хүргэдэг. Сүлжээний сувгийг сонсох нь мэдээллийг таслан зогсоох жишээ юм. Энэ тохиолдолд түүнийг солих боломжит сонголтгүйгээр мэдээлэлд хууль бус хандалт байдаг. Мэдээллийн нууцлалыг зөрчих нь идэвхгүй нөлөөллийг хэлдэг нь ойлгомжтой.

Мэдээллийг солих чадварыг системийн объектуудын хоорондох мэдээллийн урсгалыг бүрэн хянах, эсвэл өөр хэн нэгний өмнөөс янз бүрийн мессеж дамжуулах чадвар гэж ойлгох ёстой. Тиймээс мэдээллийг орлуулах нь түүний бүрэн бүтэн байдлыг зөрчихөд хүргэдэг нь тодорхой юм. Ийм мэдээллийн хор хөнөөлтэй нөлөө нь идэвхтэй нөлөөллийн ердийн жишээ юм. Мэдээллийн бүрэн бүтэн байдлыг зөрчих зорилготой алсын халдлагын жишээ бол "Худал RVS объект" алсын зайн халдлага (RA) юм.

Халдлагад өртсөн объектын санал хүсэлт байгаа эсэх дээр үндэслэн

Санал хүсэлтийн хамт

Санал хүсэлт байхгүй (нэг чиглэлтэй халдлага)

Халдагч халдлагад өртсөн объект руу зарим хүсэлт илгээдэг бөгөөд үүнд хариу өгөх болно. Үүний үр дүнд халдагч болон халдлагад өртсөн хүмүүсийн хооронд санал хүсэлт гарч ирдэг бөгөөд энэ нь халдлагад өртсөн объектын бүх төрлийн өөрчлөлтөд зохих хариу өгөх боломжийг олгодог. Энэ бол довтолж буй объектын санал хүсэлтийн дэргэд хийгдэх алсын халдлагын мөн чанар юм. Ийм халдлага нь RVS-ийн хувьд хамгийн түгээмэл байдаг.

Нээлттэй давталт нь халдсан объектын өөрчлөлтөд хариу үйлдэл үзүүлэх шаардлагагүй гэдгээрээ онцлог юм. Ийм халдлага нь ихэвчлэн халдсан объект руу ганц хүсэлт илгээх замаар хийгддэг. Халдагчид эдгээр хүсэлтэд хариу өгөх шаардлагагүй. Ийм UA гэж бас нэг чиглэлтэй UA гэж нэрлэж болно. Нэг чиглэлтэй халдлагын жишээ бол ердийн DoS халдлага юм.

Нөлөөллийн эхлэлийн нөхцөлийн дагуу

Алсын нөлөөлөл нь бусадтай адил зөвхөн тодорхой нөхцөлд л явагдаж эхэлдэг. RVS-д ийм нөхцөлт халдлагын гурван төрөл байдаг:

Халдлагад өртсөн объектын хүсэлтээр довтолно

Довтолж буй объект дээр хүлээгдэж буй үйл явдал тохиолдоход довтлох

Болзолгүй дайралт

Довтолгооны боломжит зорилт нь тодорхой төрлийн хүсэлтийг дамжуулсан тохиолдолд халдагчийн нөлөөлөл эхэлнэ. Ийм халдлагыг халдлагад өртсөн объектын хүсэлтээр халдлага гэж нэрлэж болно. Энэ төрлийн UA нь RVS-ийн хувьд хамгийн түгээмэл байдаг. Интернет дэх ийм хүсэлтийн жишээ бол DNS болон ARP хүсэлтүүд, Novell NetWare-д SAP хүсэлт юм.

Халдлагад өртсөн объект дээр хүлээгдэж буй үйл явдал тохиолдсон үед довтолж байна. Халдагч нь халдлагын алсын зорилтот үйлдлийн системийн төлөв байдлыг тасралтгүй хянаж, энэ системд тодорхой үйл явдал тохиолдоход нөлөөлж эхэлдэг. Халдлагад өртсөн объект нь өөрөө халдлагыг санаачлагч юм. Ийм үйл явдлын жишээ нь Novell NetWare дээр LOGOUT командыг гаргалгүйгээр хэрэглэгчийн сервертэй харилцах үйлдлийг тасалдуулах явдал юм.

Нөхцөлгүй халдлага нь үйлдлийн систем болон халдсан объектын төлөв байдлаас үл хамааран нэн даруй хийгддэг. Тиймээс халдлага үйлдэгч нь энэ тохиолдолд халдлагын санаачлагч юм.

Хэрэв системийн хэвийн үйл ажиллагаа доголдсон бол бусад зорилгыг хэрэгжүүлэх бөгөөд халдагч нь өгөгдөлд хууль бусаар нэвтрэх боломжгүй болно. Үүний зорилго нь халдлагад өртсөн объектын үйлдлийн системийг идэвхгүй болгож, бусад системийн объектуудад энэ объектын нөөцөд хандах боломжгүй болгох явдал юм. Энэ төрлийн халдлагын жишээ бол DoS халдлага юм.

Халдлагад өртсөн объекттой харьцуулахад халдлагын субъектын байршлаар

Сегмент доторх

Манай компьютерийн системүүд янз бүрийн төрлийн халдлагад өртөмтгий байдаг. Эдгээр халдлагаас системийг хамгаалахын тулд компьютерийн нийтлэг халдлагыг мэдэх нь чухал юм.Өнөөгийн ертөнцөд бид персонал компьютерийн систем эсвэл сүлжээнд халдлагад өртөж байгаа тухай сонсох нь бараг энгийн үзэгдэл болсон. Технологийн эрин зуунд та өөрийн үнэт өгөгдөл, систем, сүлжээгээ хамгаалах шаардлагатай олон төрлийн компьютерийн халдлагууд байдаг.Зарим халдлага нь компьютер дээрх өгөгдлийг зүгээр л гэмтээж болох ч компьютерийн системийн өгөгдлийг гэмтээж болзошгүй бусад халдлага байдаг. хулгайлагдсан байх. түүнчлэн сүлжээг бүхэлд нь хаах боломжтой бусад халдлага.

Энгийнээр хэлбэл, идэвхгүй халдлага, идэвхтэй дайралт гэсэн хоёр үндсэн төрөл байдаг.Идэвхгүй халдлага нь компьютер дээрх өгөгдлийг хянаж, хожим нь хорлонтой ашиг сонирхолд ашиглахыг, харин идэвхтэй халдлага нь өгөгдөл эсвэл өгөгдөлд өөрчлөлт оруулахыг хэлнэ. устгагдах эсвэл сүлжээнүүд бүрэн устах болно. Компьютерт нөлөөлж болох хамгийн түгээмэл идэвхтэй болон идэвхгүй халдлагуудын заримыг доор харуулав.

Компьютерийн халдлагын идэвхтэй төрлүүд

Вирус

Хамгийн алдартай компьютерийн халдлага, вирусууд нь удаан хугацааны туршид байсаар ирсэн.Тэдгээрийг компьютер дээр суулгаж, системийн бусад файлууд руу тараадаг. Тэдгээр нь ихэвчлэн гадны хатуу дискээр, эсвэл тодорхой интернет сайтуудаар эсвэл цахим шуудангийн хавсралтаар тархдаг.Вирусууд нэгэнт гарч ирснээр тэд үүсгэгчээс хараат бус болж, олон файл болон бусад системийг халдварлах зорилготой байдаг.

Root Kit

Хакерууд драйверуудын үндсэн багцыг ашиглан системд нэвтэрч, компьютерийг бүрэн хяналтандаа авдаг.Хакер нь системийн эзэмшигчээс илүү системийг хянах чадвартай тул компьютерийн хамгийн аюултай халдлагын тоонд ордог. Зарим тохиолдолд хакерууд вэбкамерыг асааж, хохирогчийн үйл ажиллагааг хянаж, түүний тухай бүгдийг мэдэж чаддаг.

Троян

Компьютерийн халдлагын жагсаалтад трояны морьд вирусын дараа дээгүүрт ордог.Тэдгээрийг ихэвчлэн програм хангамж, дэлгэц амраагч эсвэл хэвийн ажиллах тоглоомд суулгасан байдаг.Гэхдээ тэдгээрийг систем рүү хуулж авмагцаа компьютерт халдварладаг. вирус эсвэл root хэрэгсэлтэй. Өөрөөр хэлбэл, системд халдварлах вирус тээгч эсвэл rootkit-ийн үүрэг гүйцэтгэдэг.

Хорхой

Хорхойг вирусын хамаатан садан гэж нэрлэж болно. Вирус, интернет өт хоёрын ялгаа нь өт нь хэрэглэгчийн ямар ч тусламжгүйгээр системийг халдварладагт оршино. Эхний алхам бол өт хорхойнууд компьютерийн эмзэг байдлыг шалгадаг.Дараа нь систем рүү өөрсдийгөө хуулж, системд халдварладаг ба үйл явц давтагдана.

Компьютерийн халдлагын идэвхгүй төрлүүд

Чагнасан

Нэрнээс нь харахад хакерууд сүлжээн дэх хоёр компьютерын хооронд болж буй яриаг нууцаар сонсох болно. Энэ нь хаалттай системд ч, интернетээр ч тохиолдож болно. Үүнтэй холбоотой бусад нэрсийг шалгаж байна. Чагнасанаар нууц мэдээлэл нь сүлжээнд нэвтэрч, бусад хүмүүс хандах боломжтой.

Нууц үгийн халдлага

Цахим халдлагын хамгийн түгээмэл хэлбэрүүдийн нэг бол нууц үгийн халдлага юм.Энд хакерууд хяналтын нууц үг олж авснаар компьютер болон сүлжээний нөөцөд нэвтэрдэг.Халдагчид сервер болон сүлжээний тохиргоог өөрчилсөн байх нь элбэг тохиолддог ба зарим тохиолдолд бүр нэвтэрч болно. Өгөгдлийг устгах.Үүнээс гадна өгөгдлийг өөр өөр сүлжээнд дамжуулах боломжтой.

Халдлагын түлхүүр

Нууц мэдээллийг хадгалахын тулд нууц код эсвэл дугаарыг ашиглаж болно.Түлхүүрийг олж авах нь хакерын хувьд үнэхээр асар том ажил бөгөөд эрчимтэй судалгаа хийсний дараа хакер түлхүүр дээр гараа тавих боломжтой байдаг. Түлхүүр хакерын мэдэлд байвал түүнийг нууцлагдсан түлхүүр гэж нэрлэдэг. Хакер одоо нууц мэдээлэлд хандах боломжтой бөгөөд өгөгдөлд өөрчлөлт оруулах боломжтой болно. Гэсэн хэдий ч хакер бусад нууц мэдээллийн багцад хандахын тулд өөр өөр солих, түлхүүрийн хослолыг оролдох магадлал бас бий.

Биеийн дүр эсгэх

Компьютер бүр өөрийн гэсэн IP хаягтай тул сүлжээндээ хүчинтэй бөгөөд бие даасан байдаг.Компьютерийн нийтлэг халдлагын нэг нь өөр компьютерийг таних явдал юм.Энд IP пакетуудыг хүчинтэй хаягуудаас илгээж, тодорхой IP хаяг руу хандаж болно. Хандалтыг олж авсны дараа системийн өгөгдлийг устгах, өөрчлөх, дахин чиглүүлэх боломжтой.Түүгээр ч зогсохгүй хакер нь сүлжээний доторх болон гаднах бусад системд халдахын тулд энэхүү нууцлагдсан IP хаягийг ашиглаж болно.

Хэрэглээний давхаргын халдлага

Хэрэглээний түвшний халдлагын зорилго нь серверийн үйлдлийн системд гэмтэл учруулах явдал юм.Үйлдлийн системд алдаа гарсны дараа хакер серверийг удирдах эрхтэй болдог.Энэ нь эргээд өгөгдлийг янз бүрийн аргаар өөрчлөхөд хүргэдэг. . Системд вирус нэвтэрч, сервер рүү олон хүсэлт илгээж, энэ нь гацах, аюулгүй байдлын хяналтыг идэвхгүй болгож серверийг сэргээхэд хүндрэл учруулж болзошгүй.

Эдгээр нь серверүүд болон бие даасан компьютерийн системд өртөж болох зарим төрлийн халдлагууд байв.Сүүлийн үеийн компьютерийн халдлагын жагсаалт өдөр бүр нэмэгдсээр байгаа бөгөөд хакерууд хакердах шинэ аргуудыг ашиглаж байна.

Сүлжээний халдлагыг илрүүлэх журам.

1. Сүлжээний халдлагын ангилал

1.1. Пакет үнэрлэгч

Пакет sniffer нь садар самуун горимд ажилладаг сүлжээний карт ашигладаг хэрэглээний программ юм ( Энэ горимд физик сувгаар хүлээн авсан бүх пакетуудыг сүлжээний адаптер программ руу илгээдэг). Энэ тохиолдолд sniffer нь тодорхой домайнаар дамждаг бүх сүлжээний пакетуудыг саатуулдаг.

1.2. IP хуурамчаар үйлдэх

Системийн дотор болон гадна байгаа хакер эрх бүхий хэрэглэгчийн дүр эсгэх үед IP хууран мэхлэлт үүсдэг. Үүнийг хоёр аргаар хийж болно. Нэгдүгээрт, хакер нь зөвшөөрөгдсөн IP хаягийн хүрээнд байгаа IP хаяг эсвэл тодорхой сүлжээний эх сурвалжид хандах зөвшөөрөлтэй гадаад хаягийг ашиглаж болно. IP хууран мэхлэх халдлага нь бусад халдлагын эхлэлийн цэг болдог. Сонгодог жишээ бол хэн нэгний хаягаар эхэлж, хакерын үнэн төрхийг нуун дарагдуулдаг DoS халдлага юм.

Ер нь IP хууран мэхлэлт нь үйлчлүүлэгч болон серверийн програмын хооронд эсвэл үе тэнгийн төхөөрөмжүүдийн хоорондох холбооны сувгаар дамждаг өгөгдлийн ердийн урсгалд хуурамч мэдээлэл эсвэл хортой тушаал оруулах замаар хязгаарлагддаг. Хоёр талын харилцааны хувьд хакер нь траффикийг хуурамч IP хаяг руу чиглүүлэхийн тулд бүх чиглүүлэлтийн хүснэгтийг өөрчлөх ёстой. Гэсэн хэдий ч зарим хакерууд програмаас хариу авах гэж оролддоггүй. Хэрэв гол ажил бол системээс чухал файл авах юм бол програмын хариулт хамаагүй.

Хэрэв хакер чиглүүлэлтийн хүснэгтүүдийг өөрчилж, траффикийг хуурамч IP хаяг руу чиглүүлж чадвал хакер бүх пакетуудыг хүлээн авч, түүнд эрх бүхий хэрэглэгч мэт хариу өгөх боломжтой болно.

1.3. Үйлчилгээнээс татгалзах ( Үйлчилгээнээс татгалзах - DoS)

DoS бол хакерын халдлагын хамгийн алдартай хэлбэр юм. Эдгээр төрлийн халдлагууд нь 100% хамгаалалт үүсгэхэд хамгийн хэцүү байдаг.

DoS-ийн хамгийн алдартай төрлүүд:

• TCP SYN Flood Ping of Death овгийн үерийн сүлжээ ( TFN);
• Овгийн үерийн сүлжээ 2000 ( TFN2K);
• Тринко;
• Стачелдрах;
• Гурвал.

DoS халдлага нь бусад төрлийн халдлагаас ялгаатай. Эдгээр нь сүлжээнд нэвтрэх, эсвэл тухайн сүлжээнээс ямар нэгэн мэдээлэл авах зорилготой биш юм. DoS халдлага нь сүлжээ, үйлдлийн систем эсвэл програмын зөвшөөрөгдөх хязгаарыг давснаар сүлжээг хэвийн ашиглах боломжгүй болгодог.

Зарим серверийн програмуудыг ашиглах үед (Вэб сервер эсвэл FTP сервер гэх мэт) DoS халдлага нь эдгээр аппликейшнд байгаа бүх холболтыг булаан авч, тэднийг завгүй байлгаснаар энгийн хэрэглэгчдэд үйлчлэхээс сэргийлж чадна. DoS халдлага нь TCP, ICMP зэрэг нийтлэг интернет протоколуудыг ашиглаж болно. Интернетийн хяналтын мессежийн протокол). Ихэнх DoS халдлага нь програм хангамжийн алдаа эсвэл аюулгүй байдлын цоорхойд тулгуурладаггүй, харин системийн архитектурын ерөнхий сул талуудаас хамаардаг. Зарим халдлага нь сүлжээг хүсээгүй, шаардлагагүй пакетууд эсвэл сүлжээний нөөцийн өнөөгийн байдлын талаар төөрөгдүүлсэн мэдээллээр дүүргэх замаар сүлжээний гүйцэтгэлийг саатуулдаг. Энэ төрлийн халдлагыг ISP-тэй зохицуулах шаардлагатай тул урьдчилан сэргийлэхэд хэцүү байдаг. Хэрэв таны сүлжээг дүүргэх зорилготой урсгалыг үйлчилгээ үзүүлэгч дээр зогсоож чадахгүй бол сүлжээний үүдэнд та үүнийг хийх боломжгүй болно, учир нь бүх зурвасын өргөнийг эзлэх болно. Энэ төрлийн халдлагыг олон төхөөрөмжөөр нэгэн зэрэг хийх үед халдлага нь тархсан DoS ( DDoS - тархсан DoS).

1.4. Нууц үгийн халдлага

Хакерууд нууц үгээр халдлага хийх боломжтой, тухайлбал харгис хүч ( харгис хүчний дайралт), Трояны морь, IP хууран мэхлэх, пакет үнэрлэх. Нэвтрэх болон нууц үгийг IP хууран мэхлэх, пакет үнэрлэх замаар олж авах боломжтой ч хакерууд олон удаа нэвтрэх оролдлогоор нууц үгээ тааж, нэвтрэхийг оролддог. Энэ аргыг энгийн тооллого гэж нэрлэдэг (харгис хүчний дайралт). Ихэнхдээ ийм халдлага нь нийтийн нөөцөд нэвтрэхийг оролддог тусгай програмыг ашигладаг ( жишээ нь сервер рүү). Үүний үр дүнд хакер эх сурвалжид нэвтэрч чадвал нууц үг нь таамагласан энгийн хэрэглэгчийн эрхийг олж авдаг. Хэрэв энэ хэрэглэгч чухал ач холбогдолтой хандалтын эрхтэй бол хакер нь ирээдүйд нэвтрэх эрхийг "нэвтрүүлэх" боломжтой бөгөөд энэ нь хэрэглэгч нууц үг, нэвтрэх эрхээ өөрчилсөн ч хүчинтэй хэвээр байх болно.

Хэрэглэгчид ижил зүйлийг ашиглах үед өөр нэг асуудал гардаг ( маш сайн байсан ч гэсэн) олон системд нэвтрэх нууц үг: байгууллагын, хувийн болон интернетийн систем. Нууц үг нь хамгийн сул хост шиг хүчтэй байдаг тул тухайн хостоор дамжуулан нууц үгээ сурсан хакер нь ижил нууц үгийг ашигладаг бусад бүх системд нэвтрэх эрхтэй болдог.

1.5. Дунд дахь хүн дайралт

Man-in-the-Middle халдлагын хувьд хакер сүлжээгээр дамждаг пакетуудад хандах шаардлагатай. Үйлчилгээ үзүүлэгчээс өөр ямар ч сүлжээнд дамжуулсан бүх пакетуудад ийм хандалтыг жишээлбэл, энэ үйлчилгээ үзүүлэгчийн ажилтан авах боломжтой. Энэ төрлийн халдлагад ихэвчлэн пакет sniffers, transport protocols, routing протоколуудыг ашигладаг. Мэдээллийг хулгайлах, одоогийн сессийг таслан зогсоох, хувийн сүлжээний нөөцөд нэвтрэх, урсгалыг шинжлэх, сүлжээ болон түүний хэрэглэгчдийн талаарх мэдээллийг олж авах, DoS халдлага хийх, дамжуулсан өгөгдлийг гажуудуулах, зөвшөөрөлгүй мэдээлэл оруулах зорилгоор халдлага үйлддэг. сүлжээний сессүүд рүү.

1.6. Хэрэглээний түвшний халдлага

Хэрэглээний түвшний халдлагыг хэд хэдэн аргаар хийж болно. Эдгээрээс хамгийн түгээмэл нь серверийн програм хангамжийн сул талыг ашиглах явдал юм ( sendmail, HTTP, FTP). Эдгээр сул талуудыг ашигласнаар хакерууд програмыг ажиллуулж буй хэрэглэгчийн хувьд компьютерт нэвтрэх боломжтой болно ( Энэ нь ихэвчлэн энгийн хэрэглэгч биш, харин системд нэвтрэх эрхтэй давуу эрхтэй администратор юм). Програмын түвшний халдлагын талаарх мэдээллийг администраторуудад засварлах модулиуд ( засварууд). Хэрэглээний түвшний халдлагын гол асуудал бол галт ханаар дамжин өнгөрөх боломжтой портуудыг ихэвчлэн ашигладагт оршино. Жишээ нь вэб серверийн мэдэгдэж байгаа сул талыг ашиглаж байгаа хакер TCP халдлагад ихэвчлэн 80-р портыг ашигладаг.Вэб сервер нь хэрэглэгчдэд вэб хуудсуудыг өгдөг учраас галт хана нь энэ порт руу нэвтрэхийг зөвшөөрөх ёстой. Галт хананы үүднээс авч үзвэл халдлагыг 80-р портын стандарт урсгал гэж үздэг.

1.7. Сүлжээний тагнуул

Сүлжээний тагнуул гэдэг нь олон нийтэд нээлттэй өгөгдөл, программуудыг ашиглан сүлжээний мэдээллийг цуглуулахыг хэлнэ. Сүлжээний эсрэг довтолгоонд бэлтгэхдээ хакер ихэвчлэн энэ талаар аль болох их мэдээлэл авахыг оролддог. Сүлжээний хайгуул нь DNS асуулга, пинг шүүрдэх, порт скан хийх хэлбэрээр явагддаг. DNS асуулга нь тодорхой домэйныг хэн эзэмшдэг, тухайн домэйнд ямар хаягууд оноож байгааг ойлгоход тусална. Цуурай туршилт ( пинг шүүрдэх) DNS-ийн илрүүлсэн хаягууд нь тухайн орчинд яг ямар хостууд ажиллаж байгааг харах боломжийг олгодог. Хостуудын жагсаалтыг хүлээн авсны дараа хакер порт сканнердах хэрэгслийг ашиглан тэдгээр хостуудын дэмждэг үйлчилгээний бүрэн жагсаалтыг гаргадаг. Эцэст нь хакер нь хостууд дээр ажиллаж байгаа програмуудын шинж чанарыг шинжилдэг. Үүний үр дүнд хакердахад ашиглаж болох мэдээллийг олж авдаг.

1.8. Итгэлийг зөрчих

Энэ төрлийн үйлдэл нь тийм биш юм "дайралт"эсвэл "дайрах". Энэ нь сүлжээнд байгаа итгэлцлийн харилцааг хортойгоор ашиглахыг илэрхийлдэг. Жишээ нь галт ханын гадна талд суурилуулсан систем нь галт ханын дотор талд суулгасан системтэй итгэлцлийн харилцаатай байдаг. Хэрэв гадны систем эвдэрсэн бол хакер нь галт ханаар хамгаалагдсан систем рүү нэвтрэхийн тулд итгэлцлийн харилцааг ашиглаж болно.

1.9. Порт дамжуулах

Порт дамжуулалт гэдэг нь эвдэрсэн хостыг галт ханаар дамжуулан траффик дамжуулахад ашигладаг итгэлийг урвуулан ашиглах нэг хэлбэр бөгөөд эс тэгвээс татгалзах болно. Ийм хандалт хийх боломжтой програмын жишээ бол netcat юм.

1.10. Зөвшөөрөлгүй нэвтрэх

Зөвшөөрөлгүй хандалтыг халдлагын тусдаа төрөл гэж үзэх боломжгүй. Ихэнх сүлжээний халдлагууд нь зөвшөөрөлгүй нэвтрэх зорилгоор хийгддэг. Хакер телнетэд нэвтрэхийг таахын тулд эхлээд систем дээрээ telnet prompt авах ёстой. Telnet порт руу холбогдсоны дараа дэлгэцэн дээр мессеж гарч ирнэ "Энэ нөөцийг ашиглах зөвшөөрөл шаардлагатай" (Эдгээр нөөцийг ашиглахын тулд танд зөвшөөрөл хэрэгтэй). Үүний дараа хакер нэвтрэх оролдлого хийсээр байвал тэдгээрийг авч үзэх болно "зөвшөөрөлгүй". Ийм халдлагын эх үүсвэр нь сүлжээний дотор болон гадна байж болно.

1.11. Вирус болон програмууд гэх мэт "Троя морь"

Үйлчлүүлэгчийн ажлын станцууд нь вирус болон трояны морьдод маш эмзэг байдаг. "Троя морь"- Энэ бол програмын оруулга биш, харин ашигтай програм мэт харагддаг, гэхдээ үнэндээ хортой үүрэг гүйцэтгэдэг жинхэнэ програм юм.

2. Сүлжээний халдлагыг эсэргүүцэх аргууд

2.1. Та дараах хэрэгслийг ашиглан пакет үнэрлэх аюулыг багасгаж болно.

2.1.1. Баталгаажуулалт - Хүчтэй баталгаажуулалт нь пакет үнэрлэхээс хамгаалах анхны хамгаалалт юм. Доод "хүчтэй"Энэ баталгаажуулалтын аргыг тойрч гарахад хэцүү гэдгийг бид ойлгож байна. Ийм баталгаажуулалтын жишээ нь нэг удаагийн нууц үг ( OTP - Нэг удаагийн нууц үг). OTP нь хоёр хүчин зүйлийн баталгаажуулалтын технологи бөгөөд танд байгаа зүйлээ мэддэг зүйлтэйгээ хослуулдаг. "Карт" дор ( жетон) үүсгэдэг техник хангамж эсвэл програм хангамжийг хэлнэ ( санамсаргүй байдлаар) өвөрмөц нэг удаагийн нууц үг. Хэрэв хакер энэ нууц үгийг sniffer ашиглан олж мэдвэл энэ мэдээлэл ашиггүй болно, учир нь тухайн үед нууц үг аль хэдийн ашиглагдаж, хүчингүй болсон байх болно. Үнэрлэхтэй тэмцэх энэ арга нь зөвхөн нууц үг таслах эсрэг үр дүнтэй байдаг.

2.1.2. Switched Infrastructure - Сүлжээний орчинд пакет үнэрлэхтэй тэмцэх өөр нэг арга бол хакерууд зөвхөн холбогдсон порт дээрээ ирж буй траффикт хандах боломжтой сэлгэн залгах дэд бүтцийг бий болгох явдал юм. Шилжүүлсэн дэд бүтэц нь үнэрлэх аюулыг арилгадаггүй ч түүний ноцтой байдлыг эрс багасгадаг.

2.1.3. Антиснифер - үнэрлэхтэй тэмцэх гурав дахь арга бол өөрийн сүлжээнд ажиллаж буй үнэрлэгчийг таних техник хангамж эсвэл программ хангамжийг суулгах явдал юм. Эдгээр хэрэгслүүд нь аюулыг бүрэн арилгах боломжгүй боловч бусад сүлжээний аюулгүй байдлын хэрэгслүүдийн нэгэн адил ерөнхий хамгаалалтын системд багтдаг. Гэж нэрлэдэг "үнэрчдийн эсрэг"хостын хариу өгөх хугацааг хэмжиж, хостууд боловсруулах шаардлагатай эсэхийг тодорхойлох "нэмэлт"замын хөдөлгөөн.

2.1.4. Криптографи - Пакет үнэрлэхтэй тэмцэх хамгийн үр дүнтэй арга бол саатуулахаас сэргийлж, үнэрлэгчийн ажлыг танихгүй, харин энэ ажлыг ашиггүй болгодог. Хэрэв харилцаа холбооны суваг нь криптографийн хувьд аюулгүй бол энэ нь хакер нь мессежийг бус харин шифрлэгдсэн текстийг (өөрөөр хэлбэл ойлгомжгүй битийн дараалал) саатуулж байна гэсэн үг юм.

2.2. Хуурамчлах аюулыг багасгаж болно ( гэхдээ хасагдаагүй)дараах арга хэмжээг ашиглан:

2.2.1. Хандалтын хяналт - IP хуурамчаар үйлдэхээс сэргийлэх хамгийн хялбар арга бол хандалтын хяналтыг зөв тохируулах явдал юм. IP хууран мэхлэлтийн үр нөлөөг бууруулахын тулд хандалтын хяналт нь таны сүлжээнд байрлах эх хаяг бүхий гадаад сүлжээнээс ирж буй аливаа траффикаас татгалзахаар тохируулагдсан. Энэ нь зөвхөн дотоод хаягийг зөвшөөрдөг IP хууран мэхлэлттэй тэмцэхэд тусалдаг. Хэрэв зарим гадаад сүлжээний хаягууд зөвшөөрөгдсөн бол энэ арга нь үр дүнгүй болно.

2.2.2. RFC 2827 шүүлтүүр - корпорацийн сүлжээний хэрэглэгчид бусдын сүлжээг хуурах оролдлогыг зогсоох. Үүнийг хийхийн тулд эх хаяг нь Банкны IP хаягуудын нэг биш гадагшаа гарч буй урсгалаас татгалзах шаардлагатай. "RFC 2827" гэгддэг энэ төрлийн шүүлтүүрийг ISP ( ISP). Үүний үр дүнд, тодорхой интерфэйс дээр хүлээгдэж буй эх хаяггүй бүх урсгал татгалздаг.

2.2.3. IP хууран мэхлэхтэй тэмцэх хамгийн үр дүнтэй арга бол пакет үнэрлэхтэй адил юм: та халдлагыг бүрэн үр дүнгүй болгох хэрэгтэй. IP хаягийг баталгаажуулах нь зөвхөн IP хаяг дээр суурилсан тохиолдолд л IP хуурамчаар үйлдэх боломжтой. Тиймээс баталгаажуулалтын нэмэлт аргуудыг нэвтрүүлэх нь энэ төрлийн халдлагыг ашиггүй болгодог. Нэмэлт баталгаажуулалтын хамгийн сайн төрөл бол криптограф юм. Хэрэв энэ боломжгүй бол нэг удаагийн нууц үг ашиглан хоёр хүчин зүйлийн баталгаажуулалт нь сайн үр дүнг өгөх болно.

2.3. DoS халдлагын аюулыг дараах байдлаар бууруулж болно.

2.3.1. Хууран мэхлэхээс хамгаалах функцууд - Өөрийн чиглүүлэгч болон галт хананд хуурамчаар үйлдэхээс хамгаалах функцуудыг зөв тохируулах нь DoS-ийн эрсдлийг бууруулахад тусална. Эдгээр функцууд нь дор хаяж RFC 2827 шүүлтүүрийг агуулсан байх ёстой.Хэрэв хакер өөрийн жинхэнэ дүр төрхийг нууж чадахгүй бол халдлага үйлдэх магадлал багатай.

2.3.2. Anti-DoS функцууд - Чиглүүлэгч болон галт хана дээрх DoS-ийн эсрэг функцуудыг зөв тохируулснаар халдлагын үр нөлөөг хязгаарлаж болно. Эдгээр функцууд нь аль ч үед хагас нээлттэй сувгийн тоог хязгаарладаг.

2.3.3. Замын хөдөлгөөний хэмжээг хязгаарлах ( хөдөлгөөний хурдыг хязгаарлах) - үйлчилгээ үзүүлэгчтэй хийсэн гэрээ ( ISP) хөдөлгөөний хэмжээг хязгаарлах тухай. Энэ төрлийн шүүлтүүр нь сүлжээгээр дамжих чухал бус урсгалын хэмжээг хязгаарлах боломжийг олгодог. Нийтлэг жишээ бол зөвхөн оношлогооны зорилгоор ашигладаг ICMP урсгалын хэмжээг хязгаарлах явдал юм. Довтолгоо ( Д) DoS ихэвчлэн ICMP ашигладаг.

2.3.4. IP хаягийг хаах - DoS халдлагад дүн шинжилгээ хийж, халдлага хийгдсэн IP хаягийн хүрээг тодорхойлсны дараа тэдгээрийг блоклохын тулд үйлчилгээ үзүүлэгчтэйгээ холбоо барина уу.

2.4. Энгийн текст нууц үг ашиглахгүй байх замаар нууц үгийн халдлагаас зайлсхийх боломжтой. Нэг удаагийн нууц үг болон/эсвэл криптографийн баталгаажуулалт нь ийм халдлагын аюулыг бараг устгаж чадна. Бүх програмууд, хостууд болон төхөөрөмжүүд дээрх баталгаажуулалтын аргуудыг дэмждэггүй.

Ердийн нууц үг ашиглахдаа та таахад хэцүү нууц үг гаргах хэрэгтэй. Хамгийн бага нууц үгийн урт нь дор хаяж найман тэмдэгт байх ёстой. Нууц үг нь том үсэг, тоо, тусгай тэмдэгт агуулсан байх ёстой ( #, %, $ гэх мэт.). Шилдэг нууц үг нь таахад хэцүү, санахад хэцүү байдаг тул хэрэглэгчдэд нууц үгээ цаасан дээр бичихийг албаддаг.

2.5. Man-in-the-Middle халдлагатай зөвхөн криптограф ашиглан үр дүнтэй тэмцэх боломжтой. Хэрэв хакер шифрлэгдсэн сессийн өгөгдлийг таслан авбал түүний дэлгэц дээр гарч ирэх зүйл бол таслагдсан мессеж биш харин утгагүй тэмдэгтүүдийн багц юм. Хэрэв хакер криптограф сессийн талаарх мэдээллийг олж авбал ( жишээ нь сессийн түлхүүр), энэ нь шифрлэгдсэн орчинд ч гэсэн Дундад хүн халдлага хийх боломжтой болгодог.

2.6. Хэрэглээний түвшний халдлагыг бүрэн арилгах боломжгүй. Хакерууд интернет дэх хэрэглээний программуудын шинэ сул талуудыг байнга илрүүлж, нийтэлсээр байна. Хамгийн гол нь системийн сайн удирдлага юм.

Энэ төрлийн халдлагад өртөмтгий байдлаа багасгахын тулд авах арга хэмжээ:

• тусгай аналитик програм ашиглан үйлдлийн системийн бүртгэлийн файлууд болон сүлжээний бүртгэлийн файлуудыг унших ба/эсвэл дүн шинжилгээ хийх;
• үйлдлийн систем, програмын хувилбаруудыг цаг тухайд нь шинэчлэх, хамгийн сүүлийн үеийн залруулгын модулиудыг суулгах ( засварууд);
• халдлага илрүүлэх системийг ашиглах ( IDS).

2.7. Сүлжээний тагнуулаас бүрэн ангижрах боломжгүй юм. Хэрэв та захын чиглүүлэгчид ICMP echo болон echo reply-ийг идэвхгүй болговол та пинг тестээс ангижрах боловч сүлжээний доголдлыг оношлоход шаардлагатай өгөгдлийг алдах болно. Нэмж дурдахад та пинг тест хийхгүйгээр портуудыг сканнердах боломжтой. Та байхгүй IP хаягуудыг сканнердах шаардлагатай тул энэ нь зүгээр л удаан үргэлжлэх болно. Сүлжээ болон хостын түвшний IDS системүүд нь сүлжээний байнгын хайгуулын талаар администраторт мэдэгдэх ажлыг сайн гүйцэтгэдэг бөгөөд энэ нь удахгүй болох халдлагад илүү сайн бэлдэж, ISP-д мэдэгдэх боломжийг олгодог ( ISP), сүлжээнд хэт их сониуч байдлыг харуулсан систем суурилуулсан.

2.8. Сүлжээн дэх итгэлцлийн түвшинг илүү хатуу хянах замаар итгэлийг зөрчих эрсдэлийг бууруулж болно. Галт ханын гадна байрлах системүүд галт ханаар хамгаалагдсан системд хэзээ ч бүрэн итгэх ёсгүй. Итгэлцлийн харилцааг тодорхой протоколоор хязгаарлаж, боломжтой бол IP хаягаас өөр параметрээр баталгаажуулах ёстой.

2.9. Порт дамжуулахтай тэмцэх гол арга бол найдвартай итгэлцлийн загваруудыг ашиглах явдал юм ( 2.8-р зүйлийг үзнэ үү ). Нэмж дурдахад, IDS хост систем нь хакерыг өөрийн програм хангамжийг хост дээр суулгахаас сэргийлж чадна ( ДАХЬ).

2.10. Зөвшөөрөлгүй хандалттай тэмцэх арга нь маш энгийн. Энд гол зүйл бол хакерын зөвшөөрөлгүй протокол ашиглан системд нэвтрэх боломжийг багасгах эсвэл бүрмөсөн устгах явдал юм. Жишээлбэл, гадны хэрэглэгчдэд вэб үйлчилгээ үзүүлдэг серверийн telnet порт руу хакерууд нэвтрэхээс урьдчилан сэргийлэх талаар авч үзье. Энэ порт руу нэвтрэхгүй бол хакер түүн рүү халдаж чадахгүй. Галт хананы хувьд түүний гол үүрэг бол зөвшөөрөлгүй нэвтрэх хамгийн энгийн оролдлогоос урьдчилан сэргийлэх явдал юм.

2.11. Вирус, троян морьтой тэмцэх нь хэрэглэгчийн түвшинд болон сүлжээний түвшинд ажилладаг үр дүнтэй вирусны эсрэг програм хангамж ашиглан хийгддэг. Вирусны эсрэг бүтээгдэхүүн нь ихэнх вирус, трояны морьдыг илрүүлж, тархалтыг зогсоодог.

3. Сүлжээний халдлагыг илрүүлэх үед хийх үйлдлийн алгоритм

3.1. Ихэнх сүлжээний халдлагыг автоматаар суулгасан мэдээллийн аюулгүй байдлын хэрэгслээр хаадаг ( галт хана, найдвартай ачаалах хэрэгсэл, сүлжээний чиглүүлэгч, вирусны эсрэг хэрэгсэл гэх мэт.).

3.2. Тэднийг хаах эсвэл үр дагаврыг нь багасгахын тулд боловсон хүчний оролцоо шаардлагатай халдлагад DoS халдлага орно.

3.2.1. DoS халдлагыг сүлжээний урсгалд дүн шинжилгээ хийх замаар илрүүлдэг. Довтолгооны эхлэл нь " цохих» Хуурамч хаяг бүхий нөөц их шаарддаг пакетуудыг ашиглан харилцах сувгууд. Онлайн банкны вэб сайт руу хийсэн ийм халдлага нь хууль ёсны хэрэглэгчдийн хандалтыг хүндрүүлж, вэб эх сурвалжид хандах боломжгүй болж болзошгүй юм.

3.2.2. Хэрэв халдлага илэрсэн бол системийн администратор дараах үйлдлүүдийг хийнэ.

• бага ачаалалтай сувгийг (илүү өргөн зурвасын өргөнтэй суваг) тодорхойлохын тулд чиглүүлэгчийг нөөц суваг руу гараар шилжүүлдэг;
• халдлага хийх IP хаягийн хүрээг тодорхойлдог;
• заасан мужаас IP хаягийг хаах хүсэлтийг үйлчилгээ үзүүлэгч рүү илгээдэг.

3.3. DoS халдлага нь ихэвчлэн үйлчлүүлэгчийн нөөцөд амжилттай халдлага хийж байгааг нуун дарагдуулахын тулд үүнийг илрүүлэхэд хүндрэлтэй болгоход ашиглагддаг. Тиймээс DoS халдлагыг илрүүлэхдээ ер бусын гүйлгээг илрүүлэхийн тулд хамгийн сүүлийн үеийн гүйлгээнд дүн шинжилгээ хийх, тэдгээрийг блоклох (боломжтой бол), гүйлгээг баталгаажуулахын тулд өөр сувгаар үйлчлүүлэгчидтэй холбоо тогтоох шаардлагатай.

3.4. Үйлчлүүлэгчээс зөвшөөрөлгүй үйлдлийн талаарх мэдээлэл ирсэн тохиолдолд байгаа бүх нотлох баримтыг бүртгэж, дотоод шалгалт явуулж, хууль хяналтын байгууллагад өргөдөл гаргадаг.

ZIP файлыг татаж авах (24151)

Хэрэв баримт бичиг хэрэгтэй байсан бол тэдэнд "лайк" дарна уу:

DoS болон DDoS халдлага нь сервер эсвэл ажлын станцын тооцооллын нөөцөд гадны түрэмгий нөлөөлөл бөгөөд сүүлийнх нь бүтэлгүйтэлд хүргэх зорилготой юм. Алдаа гэж бид машины бие махбодийн эвдрэлийг биш, харин түүний нөөцийг шударга хэрэглэгчдэд хүртээмжгүй, систем нь тэдэнд үйлчлэхээс татгалзаж байгааг хэлж байна ( Дичгүүртэй ое Сүйлчилгээ, DoS гэсэн товчлолоос гаралтай).

Хэрэв ийм халдлагыг нэг компьютерээс хийвэл DoS (DoS), хэд хэдэн халдлага бол DDoS (DiDoS эсвэл DDoS) гэж ангилдаг. "Дхуваарилагдсан Дичгүүртэй ое Сүйлчилгээ" - үйлчилгээний тараагдсан татгалзал. Дараа нь бид халдагчид яагаад ийм халдлага үйлддэг, тэдгээр нь юу вэ, халдлагад өртсөн хүмүүст ямар хор хөнөөл учруулдаг, мөн тэд нөөцөө хэрхэн хамгаалах талаар ярилцах болно.

DoS болон DDoS халдлагаас хэн хохирч болох вэ?

Аж ахуйн нэгжүүд болон вэбсайтуудын корпорацийн серверүүд, хувь хүмүүсийн хувийн компьютерууд ихэвчлэн халдлагад өртдөг. Ийм үйлдлийн зорилго нь дүрмээр бол нэг юм - халдлагад өртсөн хүнд эдийн засгийн хохирол учруулж, сүүдэрт үлдэх явдал юм. Зарим тохиолдолд DoS болон DDoS халдлага нь серверийг хакердах үе шатуудын нэг бөгөөд мэдээллийг хулгайлах, устгахад чиглэгддэг. Үнэн хэрэгтээ хэн нэгэнд харьяалагддаг компани эсвэл вэбсайт халдагчдын хохирогч болж чаддаг.

DDoS халдлагын мөн чанарыг харуулсан диаграмм:

DoS болон DDoS халдлага нь ихэвчлэн шударга бус өрсөлдөгчдийн өдөөн хатгалгаар хийгддэг. Тиймээс ижил төстэй бүтээгдэхүүн санал болгодог онлайн дэлгүүрийн вэб сайтыг "гацааснаар" та түр зуур "монополь" болж, үйлчлүүлэгчдийг нь өөртөө авч болно. Корпорацийн серверийг "таатгаснаар" та өрсөлдөгч компанийн ажлыг тасалдуулж, улмаар зах зээл дэх байр сууриа бууруулж чадна.

Их хэмжээний хохирол учруулах томоохон халдлагыг ихэвчлэн мэргэжлийн кибер гэмт хэрэгтнүүд их хэмжээний мөнгөөр ​​хийдэг. Гэхдээ үргэлж биш. Таны нөөц бололцоог сонирхлоор гэртээ өссөн сонирхогч хакерууд, халагдсан ажилтнуудын өшөө авагчид, зүгээр л амьдралын талаарх таны үзэл бодлыг хуваалцдаггүй хүмүүс халдаж болно.

Заримдаа цохилтыг дарамтлах зорилгоор хийдэг бол халдагч этгээд халдлагыг зогсоохын тулд нөөцийн эзэмшигчээс мөнгө нэхдэг.

Төрийн өмчит компаниуд болон нэр бүхий байгууллагуудын серверүүд албан тушаалтнуудад нөлөөлөх, олон нийтийн дургүйцлийг төрүүлэхийн тулд өндөр ур чадвартай хакеруудын нэргүй бүлэглэлийн халдлагад өртдөг.

Халдлага хэрхэн явагддаг

DoS ба DDoS халдлагын үйл ажиллагааны зарчим нь сервер рүү их хэмжээний мэдээллийн урсгалыг илгээх явдал бөгөөд энэ нь процессор, RAM-ийн тооцоолох нөөцийг хамгийн дээд хэмжээнд нь (хакерын боломжоор) ачаалж, холбооны сувгийг бөглөж эсвэл дискний зайг дүүргэдэг. . Халдлагад өртсөн машин нь ирж буй өгөгдлийг боловсруулах боломжгүй бөгөөд хэрэглэгчийн хүсэлтэд хариу өгөхөө больсон.

Logstalgia программ дээр дүрслэгдсэн серверийн хэвийн ажиллагаа иймэрхүү харагдаж байна.

Ганц DOS халдлагын үр нөлөө тийм ч өндөр биш юм. Түүнчлэн, хувийн компьютерийн халдлага нь халдагчийг таньж, барьж авах эрсдэлд хүргэдэг. Зомби сүлжээ эсвэл ботнетээс хийсэн тархсан халдлага (DDoS) нь илүү их ашиг өгдөг.

Norse-corp.com вэбсайт ботнетийн үйл ажиллагааг ингэж харуулдаг.

Зомби сүлжээ (ботнет) нь бие биетэйгээ ямар ч физик холболтгүй компьютеруудын бүлэг юм. Тэдний нийтлэг зүйл бол тэд бүгд халдагчийн хяналтанд байдаг. Хяналтыг Трояны програмаар дамжуулан гүйцэтгэдэг бөгөөд энэ нь одоогоор ямар ч байдлаар илрэхгүй байж магадгүй юм. Хакер халдлага үйлдэхдээ халдвар авсан компьютерт хохирогчийн вэб сайт эсвэл сервер рүү хүсэлт илгээхийг даалгадаг. Тэгээд тэр дарамтыг тэсвэрлэх чадваргүй тул хариулахаа болино.

Logstalgia DDoS халдлагыг ингэж харуулдаг.

Ботнетэд ямар ч компьютер нэгдэх боломжтой. Мөн ухаалаг утас хүртэл. Трояныг барьж, цаг тухайд нь илрүүлэхгүй байх нь хангалттай юм. Дашрамд хэлэхэд, хамгийн том ботнет нь дэлхий даяар бараг 2 сая машинаас бүрдсэн бөгөөд тэдний эзэд юу хийж байгаагаа мэдэхгүй байв.

Довтолгооны болон хамгаалалтын аргууд

Хакер халдлага үйлдэхээсээ өмнө түүнийг хэрхэн хамгийн их үр дүнтэйгээр гүйцэтгэхээ бодож олдог. Хэрэв халдлагад өртсөн зангилаа хэд хэдэн эмзэг байдалтай байвал нөлөөллийг өөр өөр чиглэлд хийж болох бөгөөд энэ нь эсрэг үйл ажиллагааг ихээхэн хүндрүүлнэ. Тиймээс, серверийн администратор бүр түүний бүх "гацаа" -ыг судалж, боломжтой бол бэхжүүлэх нь чухал юм.

Үер

Үер гэдэг нь энгийнээр хэлбэл ямар ч утга агуулаагүй мэдээлэл юм. DoS/DDoS халдлагын хүрээнд үер гэдэг нь хүлээн авагч зангилаа боловсруулахаас өөр аргагүйд хүрсэн нэг түвшний хоосон, утгагүй хүсэлтүүдийн нуранги юм.

Үерийг ашиглах гол зорилго нь холбооны сувгийг бүрэн бөглөж, зурвасын өргөнийг дээд зэргээр хангах явдал юм.

Үерийн төрлүүд:

• MAC үер - сүлжээний холболтод үзүүлэх нөлөө (өгөгдлийн урсгал бүхий портуудыг хаах).
• ICMP үер - зомби сүлжээг ашиглан хохирогчийг үйлчилгээний цуурайны хүсэлтээр дүүргэх эсвэл халдлагад өртсөн зангилааны "нэрийн өмнөөс" хүсэлтийг илгээснээр ботнетийн бүх гишүүд нэгэн зэрэг цуурай хариу илгээдэг (Smurf халдлага). ICMP үерийн онцгой тохиолдол бол ping flood (сервер рүү ping хүсэлт илгээх) юм.
• SYN үер - хохирогч руу олон тооны SYN хүсэлт илгээж, олон тооны хагас нээлттэй (үйлчлүүлэгчийн баталгаажуулалтыг хүлээж байгаа) холболт үүсгэснээр TCP холболтын дарааллыг дүүргэх.
• UDP үер - Smurf халдлагын схемийн дагуу ажилладаг бөгөөд ICMP пакетуудын оронд UDP датаграммуудыг илгээдэг.
• HTTP үер - серверийг олон тооны HTTP мессежээр дүүргэх. Илүү боловсронгуй сонголт бол HTTPS-ийн үерлэх бөгөөд илгээсэн өгөгдөл нь урьдчилан шифрлэгдсэн байдаг бөгөөд халдлагад өртсөн зангилаа үүнийг боловсруулахаас өмнө кодыг тайлах шаардлагатай болдог.

Үерээс өөрийгөө хэрхэн хамгаалах вэ

• Хүчинтэй эсэхийг шалгахын тулд сүлжээний шилжүүлэгчийг тохируулж, MAC хаягуудыг шүүнэ үү.
• ICMP echo хүсэлтийн боловсруулалтыг хязгаарлах эсвэл идэвхгүй болгох.
• Тодорхой хаяг эсвэл домэйноос ирж буй пакетуудыг хаах нь найдваргүй гэж сэжиглэх шалтгаан болдог.
• Нэг хаягтай хагас задгай холболтын тоонд хязгаарлалт тавьж, тэдгээрийн барих хугацааг багасгаж, TCP холболтын дарааллыг уртасгана.
• UDP үйлчилгээг гаднаас урсгал хүлээн авахыг идэвхгүй болгох эсвэл UDP холболтын тоог хязгаарлах.
• CAPTCHA, саатал болон бусад робот хамгаалах арга техникийг ашигла.
• HTTP холболтын дээд тоог нэмэгдүүлж, nginx ашиглан хүсэлтийн кэшийг тохируулна уу.
• Сүлжээний сувгийн багтаамжийг нэмэгдүүлэх.
• Боломжтой бол криптографийг (хэрэв ашигласан бол) зохицуулах тусдаа серверийг зориул.
• Онцгой байдлын үед серверт захиргааны хандалт хийх нөөц суваг үүсгэх.

Техник хангамжийн хэт ачаалал

Харилцаа холбооны сувагт бус харин халдлагад өртсөн компьютерийн техник хангамжид нөлөөлж, бүрэн хүчин чадлаараа ачаалж, хөлдөх, эвдрэлд хүргэдэг үерийн төрлүүд байдаг. Жишээлбэл:

• Хэрэглэгчид дискний орон зайг бүхэлд нь дүүргэх хүртэл сэтгэгдэл үлдээх боломжтой форум эсвэл вэбсайт дээр асар их хэмжээний утгагүй текст мэдээллийг байршуулах скрипт үүсгэх.
• Үүнтэй адил зүйл бол зөвхөн серверийн бүртгэлүүд нь дискийг дүүргэх болно.
• Оруулсан өгөгдлийг ямар нэгэн байдлаар хувиргах сайтыг ачаалж, энэ өгөгдлийг тасралтгүй боловсруулдаг ("хүнд" пакетуудыг илгээх).
• Процессор эсвэл санах ойг CGI интерфэйсээр дамжуулан кодыг ачаалах (CGI дэмжлэг нь сервер дээр ямар ч гадны програмыг ажиллуулах боломжийг олгодог).
• Хамгаалалтын системийг идэвхжүүлэх, серверийг гаднаас нь нэвтрэх боломжгүй болгох гэх мэт.

Техник хангамжийн нөөцийг хэт ачааллаас хэрхэн хамгаалах вэ

• Техник хангамжийн гүйцэтгэл болон дискний зайг нэмэгдүүлэх. Сервер хэвийн ажиллаж байх үед нөөцийн дор хаяж 25-30% нь чөлөөтэй байх ёстой.
• Сервер рүү дамжуулахаасаа өмнө замын хөдөлгөөний шинжилгээ, шүүлтүүрийн системийг ашиглана уу.
• Системийн бүрэлдэхүүн хэсгүүдээр техник хангамжийн нөөцийн хэрэглээг хязгаарлах (квот тогтоох).
• Серверийн бүртгэлийн файлуудыг тусдаа драйв дээр хадгал.
• Нөөцүүдийг бие биенээсээ хамааралгүй хэд хэдэн серверт түгээх. Ингэснээр нэг хэсэг нь бүтэлгүйтвэл бусад нь ажиллах боломжтой болно.

Үйлдлийн систем, програм хангамж, төхөөрөмжийн програм хангамжийн эмзэг байдал

Энэ төрлийн халдлага үйлдэх нь үерлэхээс илүү олон сонголт байдаг. Тэдгээрийн хэрэгжилт нь халдагчийн ур чадвар, туршлага, програмын код дахь алдааг олж илрүүлэх, тэдгээрийг өөрийн ашиг тусын тулд ашиглах, нөөцийн эзэмшигчид хохирол учруулах чадвараас хамаарна.

Хакер нэг эмзэг байдлыг (системийн үйл ажиллагааг тасалдуулахад ашиглаж болох програм хангамжийн алдаа) олж мэдсэний дараа түүний хийх ёстой зүйл бол энэ эмзэг байдлыг ашигладаг программ болох exploit-ийг үүсгэж ажиллуулах явдал юм.

Эмзэг байдлыг ашиглах нь зөвхөн үйлчилгээ үзүүлэхээс татгалзахад чиглэгддэггүй. Хэрэв хакер азтай бол тэр нөөцийг хянаж, энэхүү "хувь заяаны бэлгийг" өөрийн үзэмжээр ашиглах боломжтой болно. Жишээлбэл, хортой програм түгээх, мэдээллийг хулгайлах, устгах гэх мэт.

Програм хангамжийн сул талыг ашиглахтай тэмцэх аргууд

• Үйлдлийн систем болон програмын эмзэг байдлыг хамарсан шинэчлэлтүүдийг цаг тухайд нь суулгаарай.
• Захиргааны ажлыг шийдвэрлэхэд зориулагдсан бүх үйлчилгээг гуравдагч этгээдийн хандалтаас тусгаарла.
• Серверийн үйлдлийн систем болон програмын ажиллагааг тасралтгүй хянах хэрэгслийг ашиглах (зан үйлийн шинжилгээ гэх мэт).
• Батлагдсан, сайн хамгаалагдсан програмуудыг ашиглахын тулд эмзэг байж болзошгүй програмуудаас (үнэгүй, өөрөө бичсэн, ховор шинэчлэгдсэн) татгалз.
• Техник хангамж, програм хангамжийн систем хэлбэрээр байдаг DoS ба DDoS халдлагаас системийг хамгаалах бэлэн хэрэгслийг ашигла.

Хакерын халдлагад өртсөн нөөцийг хэрхэн тодорхойлох вэ

Хэрэв халдагч зорилгодоо хүрч чадвал халдлагыг анзаарахгүй байх боломжгүй ч зарим тохиолдолд администратор яг хэзээ эхэлснийг тодорхойлж чадахгүй. Өөрөөр хэлбэл, халдлага эхэлснээс хойш мэдэгдэхүйц шинж тэмдэг хүртэл хэдэн цаг өнгөрдөг. Гэсэн хэдий ч далд нөлөөллийн үед (сервер унтрах хүртэл) зарим шинж тэмдгүүд бас байдаг. Жишээлбэл:

• Серверийн програмууд эсвэл үйлдлийн системийн хэвийн бус үйлдэл (царцаах, алдаатай дуусгавар болох гэх мэт).
• Процессор, RAM болон санах ойн ачаалал анхны түвшинтэй харьцуулахад огцом нэмэгддэг.
• Нэг буюу хэд хэдэн портын хөдөлгөөний хэмжээ ихээхэн нэмэгддэг.
• Үйлчлүүлэгчдээс ижил нөөцөд олон хүсэлт ирдэг (нэг вэбсайтын хуудсыг нээх, ижил файлыг татаж авах).
• Сервер, галт хана, сүлжээний төхөөрөмжийн бүртгэлд хийсэн дүн шинжилгээ нь янз бүрийн хаягуудаас ихэвчлэн тодорхой порт эсвэл үйлчилгээ рүү чиглэсэн олон тооны монотон хүсэлтүүдийг харуулдаг. Ялангуяа сайт нь явцуу үзэгчдэд (жишээлбэл, орос хэлээр ярьдаг) зориулагдсан бол дэлхийн өнцөг булан бүрээс хүсэлт ирдэг. Хөдөлгөөний чанарын дүн шинжилгээ нь хүсэлт нь үйлчлүүлэгчдэд ямар ч практик утгагүй болохыг харуулж байна.

Дээр дурдсан бүх зүйл бол халдлагын 100% шинж тэмдэг биш боловч энэ нь үргэлж асуудалд анхаарлаа хандуулж, зохих хамгаалалтын арга хэмжээ авах шалтгаан болдог.

Довтолгооны ангилал

1. Нөлөөллийн шинж чанараар

• идэвхгүй
• идэвхтэй

Тархсан тооцоолох системд идэвхгүй нөлөөлөл- системийн үйл ажиллагаанд шууд нөлөөлөхгүй боловч түүний аюулгүй байдлын бодлогыг зөрчиж болзошгүй нөлөөлөл.

Алсын идэвхгүй өртөлтийг бараг илрүүлэх боломжгүй.

Жишээ нь: сүлжээн дэх харилцааны сувгийг сонсох.

Тархсан тооцоолох системд идэвхтэй нөлөөлөл- системийн үйл ажиллагаанд шууд нөлөөлж буй нөлөөлөл (DCS-ийн тохиргооны өөрчлөлт, доголдол гэх мэт) бөгөөд үүнд батлагдсан аюулгүй байдлын бодлогыг зөрчсөн.

Бараг бүх төрлийн алсын халдлага нь идэвхтэй нөлөөлөл юм. Идэвхгүй нөлөөлөлтэй харьцуулахад идэвхтэй нөлөөллийн онцлог нь түүнийг илрүүлэх үндсэн боломж юм, учир нь түүнийг хэрэгжүүлсний үр дүнд системд тодорхой өөрчлөлтүүд гардаг. Идэвхтэй байдлаас ялгаатай нь идэвхгүй өртөлт нь ямар ч ул мөр үлдээдэггүй.

2. Нөлөөллийн зорилгын дагуу

• мэдээллийн нууцлалыг зөрчсөн
• мэдээллийн бүрэн бүтэн байдлыг зөрчих
• системийн гүйцэтгэлийн тасалдал (боломж)

Мэдээллийг саатуулсан тохиолдолд түүний нууцлал зөрчигддөг.

Жишээ нь: сүлжээн дэх сувгийг сонсох.

Мэдээллийг гажуудуулсан тохиолдолд түүний бүрэн бүтэн байдал зөрчигддөг.

Жишээ нь: DVR-д хуурамч объект оруулах.

Алдаа гарсан тохиолдолд зөвшөөрөлгүй нэвтрэх боломжгүй, жишээлбэл. Мэдээллийн бүрэн бүтэн байдал, нууцлалыг хадгалдаг боловч хууль ёсны хэрэглэгчдэд хандах боломжгүй байдаг.

3. Нөлөөллийн эхлэлийн нөхцлийн дагуу

• Халдлагад өртсөн объектын хүсэлтээр довтолно
• Довтолж буй объект дээр хүлээгдэж буй үйл явдал тохиолдоход довтлох
• Болзолгүй дайралт

Хүсэлтийн хувьд халдагч нь халдлагын боломжит бай нь тодорхой төрлийн хүсэлтийг дамжуулахыг хүлээж байгаа бөгөөд энэ нь нөлөөллийн эхлэлийн нөхцөл болно.

Жишээ нь: TCP/IP стек дэх DNS болон ARP асуулга.

Үйл явдал тохиолдсон тохиолдолд халдагчид халдлагын алсын зорилтот үйлдлийн системийн төлөв байдлыг байнга хянаж байдаг бөгөөд энэ системд тодорхой үйл явдал тохиолдоход түүнд нөлөөлж эхэлдэг.

Довтолгооны санаачлагч нь халдсан объект юм.

Жишээ нь: LOGOUT командыг гаргалгүйгээр сүлжээний үйлдлийн систем дэх сервертэй хэрэглэгчийн сессийг тасалдуулах.

Болзолгүй довтолгооны хувьд түүний хэрэгжилтийн эхлэл нь халдлагын байтай холбоотой болзолгүй, өөрөөр хэлбэл системийн төлөв байдал болон халдсан объектоос үл хамааран халдлагыг нэн даруй гүйцэтгэдэг. Тиймээс энэ тохиолдолд халдагч нь халдлагыг санаачлагч юм.

4. Халдлагад өртсөн объектын санал хүсэлт байгаа эсэхэд үндэслэнэ

• санал хүсэлттэй
• санал хүсэлтгүйгээр (нэг чиглэлтэй халдлага)

Санал хүсэлтийн дайралт- халдагч этгээд өөрийн үйлдлийнхээ нэг хэсэгт халдсан объектоос хариу хүлээн авах халдлага. Халдлагад өртсөн системд гарсан өөрчлөлтөд хариу үйлдэл үзүүлэхийн тулд халдлагыг үргэлжлүүлэх ба/эсвэл илүү үр дүнтэй явуулахад эдгээр хариу шаардлагатай.

Санал хүсэлтгүйгээр дайрах- халдлагад өртсөн системийн зан төлөвт хариу үйлдэл үзүүлэхгүйгээр тохиолддог халдлага.

Жишээ нь: үйлчилгээ үзүүлэхээс татгалзах (DoS).

5. Довтолж буй объекттой харьцуулахад халдагчийн байршлаар

• сегмент доторх
• сегмент хоорондын

Сегмент доторх халдлага- халдлагын субьект ба объект нь нэг сүлжээний сегмент дотор байрлах халдлага бөгөөд сегмент нь холбоосын түвшнээс өндөргүй холбооны төхөөрөмжийг ашигладаг станцуудын физик хослол юм.

Сегмент хоорондын халдлага- халдлагын субьект болон бай нь сүлжээний өөр өөр сегментүүдэд байрладаг халдлага.

6. Халдагчдын тоогоор

• тараасан
• хуваарилагдаагүй

Тархсан довтолгоо- нэг төлөвлөгөө, цаг хугацаагаар нэгдсэн нэг компьютерийн систем дээр хоёр ба түүнээс дээш халдагчид хийсэн халдлага.

Тархаагүй халдлаганэг халдлага үйлдсэн.

7. Нөлөөллийн үйл ажиллагаа явуулж буй ISO/OSI жишиг загварын түвшний дагуу

• физик
• Суваг
• сүлжээ
• тээвэрлэлт
• сессийн
• төлөөлөгч
• хэрэглэсэн

2. Халдлагыг илрүүлэх, хамгаалах аргуудын ангилал

Хамгаалалтын хэрэгслийн ангилал

загварын түвшний талаархи мэдээлэл ISO/OSI

ISO 7498-2 стандартын дагуу.

Биеийн түвшин.

Энэ түвшинд хангагдсан байгууламжууд нь ISO 7498-2 стандартын дагуу холболтын нууцлал болон өгөгдлийн урсгалын нууцлалаар хязгаарлагддаг.Энэ түвшний нууцлалыг ихэвчлэн битийн шифрлэлтээр хангадаг. Эдгээр байгууламжийг бараг ил тод байдлаар, өөрөөр хэлбэл нэмэлт өгөгдөл (холболт үүсгэхээс бусад) харагдахгүйгээр хэрэгжүүлэх боломжтой.

Энэ давхаргын битийн түвшний интерфэйс нь эдгээр байгууламжийг хэрэгжүүлэхэд шаардлагатай нэмэлт өгөгдлийг зөөвөрлөх чадваргүй тул бүрэн бүтэн байдал, баталгаажуулалт энд ихэвчлэн боломжгүй байдаг. Гэсэн хэдий ч, энэ түвшинд тохирох шифрлэлтийн технологийг ашиглах нь хангаж чаднаэдгээр сангууд илүү өндөр түвшинд байна.

Жишээлбэл, гаралтын санал хүсэлтийн горимд DES гэх мэт криптограф загварууд тийм ч их өгдөггүйШифр текстийг өөрчлөхөд маш олон алдаа гардаг тул танд нууцлалаас илүү шаардлагатай бол энэ горим нь буруу сонголт байх болно. Үүний эсрэгээр, нэг шифрлэгдсэн битийн санал хүсэлтийн горим гэх мэт DES горим нь шаардлагатай алдааны гүйцэтгэлийг хангаж, бүрэн бүтэн байдал, баталгаажуулалтад тохиромжтой үндэслэл болж чадна. Физик болон өгөгдлийн давхаргын нууцлалын хэрэгслийг ихэвчлэн нэмэлт техник хангамж хэлбэрээр хэрэгжүүлдэг.

Өгөгдлийн холбоосын давхарга

ISO 7498-2 стандартын дагуу өгөгдлийн холбоосын түвшинд хангагдсан хэрэгслүүд нь холболтын нууцлал ба датаграмын нууцлал юм.

Холболтын давхаргын нууцлалыг ихэвчлэн физик давхаргын нууцлалтай адил цэгээс цэгийн үндсэн дээр хангадаг. Дахин хэлэхэд, хөрөнгийн хамрах хүрээ нь байх ёстойТөгсгөл нь харилцан үйлчилдэг нэгжүүд, өөрөөр хэлбэл төгсгөлийн систем, унтраалга байрладаг. LAN (WAN) орчинд нууцлалын хэрэгслийг LAN технологид суурилсан өргөн нэвтрүүлэг эсвэл олон дамжуулалтаар дамжуулж, цэгээс цэг рүү холбох боломжтой.

Сүлжээний давхарга

Сүлжээний түвшний нууцлалыг ашигласан свичээс үл хамааран сүлжээн дэх төгсгөлийн системүүдийн хооронд хангаж болно (жишээ нь X.25 пакет шилжүүлэгч). ISO 7498-2 нь энэ түвшний хэд хэдэн нууцлалын хяналтыг ашиглах боломжтойг тэмдэглэсэн: холболтын нууцлал, датаграммын нууцлал, өгөгдлийн урсгалын нууцлал, бүрэн бүтэн байдал (сэргээгдэхгүй холболт болон датаграммуудын хувьд), өгөгдлийн эх үүсвэр болон харилцах байгууллагуудын баталгаажуулалт, хандалтын хяналт.

Тээврийн давхарга

Тээврийн давхаргын хувьд ISO 7498-2 нь дараах аюулгүй байдлын арга хэмжээг тодорхойлдог: нууцлал (холболт эсвэл датаграммын хувьд), бүрэн бүтэн байдал (бүх зүйлээс бусад зүйл).бие даасан талбарууд), өгөгдлийн эх сурвалж болон харилцан үйлчлэгч байгууллагуудын баталгаажуулалт, хандалтын хяналт. Датаграммтай харилцахад зориулагдсан нууцлалын хэрэгслүүдийн хооронд зөвхөн нэг ялгаа бийсүлжээний давхаргын дээгүүр санал болгож буй тээврийн давхарга ба байгууламжууд. Энэ нь зөвхөн төгсгөлийн системд (тээврийн түвшний механизмыг ашиглах) бус завсрын системд (сүлжээний түвшний механизмыг ашиглан) хамгаалалтыг хангах чадварт оршдог.

Сеанс давхарга

ISO 7498-2 нь сессийн түвшинд тоног төхөөрөмжөөр хангахыг зөвшөөрдөггүй. Энэ түвшин нь тээвэрлэлттэй харьцуулахад харилцан үйлчлэлийн хэрэгслийн хувьд бага зэрэг өгдөгхэрэглээний түвшин. Тухайн давхарга дахь харилцан ажиллах чадварт үл нийцэх нууцлалыг хангах нь утгагүй гэсэн зарчимд үндэслэн сессийн түвшинд нууцлалыг хангахын эсрэг маргаж болно. Нэмж дурдахад, нууцлалын шинж чанарууд нь тээвэрлэлт, танилцуулга эсвэл хэрэглээний давхаргад илүү сайн хангагдсан гэж маргаж болно.

Төлөөлөгчийн түвшин

Энэ давхарга нь ердийн болон сүлжээний дүрслэлүүдийн хооронд өгөгдлийг хөрвүүлэхэд ашиглагддаг тул програмын давхаргад биш энэ давхаргад өгөгдлийг шифрлэх нь ашигтай байдаг. Хэрэв програм шифрлэлт хийвэл хамгаалнаэнэ чиг үүргийг хэрэгжүүлэхээс төлөөллийн түвшин. Энэ нь шууд харилцдаг (зуучлагчаар биш) программуудын түвшний шифрлэлтийг хэрэгжүүлэхийн эсрэг аргумент юм. Үүний өөр нэг хувилбар бол үзүүлэнгийн давхаргын чадавхийг програмууд даяар хуулбарлах явдал юм. TCP/IP стек дээр үзүүлэнгийн функцууд нь тусдаа давхаргад биш, харин програмын дотор суулгагдсан байдаг тул энэ зөрчил арилдаг.

Хэрэглээний давхарга

ISO 7498-2 стандартад бүх нууц чадамжийг хэрэглээний давхаргад өгөх боломжтой бөгөөд зөвхөн энэ давхаргад харилцаа холбооны оролцогчдыг хянах боломжтой гэж заасан байдаг. Гэсэн хэдий ч тодорхой хэмжээний санхүүжилт олгодогЭнэ түвшинд төлөөллийн түвшний чадавхитай зөрчилдсөний улмаас асуудал үүсдэг. Энэ хязгаарлалтыг цахим шуудан гэх мэт олон үе шаттай өгөгдөл дамжуулах програмын хувьд тойрч гардаглавлах ном (X.400 ба X.500 техникийн үзүүлэлтүүд). Энэхүү зөрчилдөөнийг мөн танилцуулгын функцүүд нь ихэвчлэн программд багтаасан TCP/IP стек дээр даван туулдаг.

Үнэн хэрэгтээ имэйл, лавлах хэрэгсэл зэрэг програмуудыг зөвхөн хэрэглээний түвшний нууцлалыг ашиглан хамгаалж болно. Имэйл нь хэд хэдэн шалтгааны улмаас энэ түвшний хамгаалалтыг шаарддаг.

Нэгдүгээрт, түүний ашигладаг нууцлалын зарим функцийг зөвхөн энэ түвшинд, тухайлбал оролцогчийн хяналтыг хангах боломжтой. Хоёрдугаарт, мессежийг ихэвчлэн хүлээн авагчдын бүлэгт чиглүүлдэг (олон дамжуулалт).хэрэглээний давхарга), хүргэх нь мессеж шилжүүлэгчийг ашиглан хэд хэдэн үе шаттайгаар явагддаг. Доод түвшний хамгаалалтыг зөвхөн бодит цаг хугацаанд, цэгээс цэг рүү холбоход зориулж өгдөг.

Имэйлийн хувьдДоод түвшний нууцлалын механизмыг ашиглах нь илгээгчээс мессеж шилжүүлэгч (MTA), MTA хооронд, MTA болон хүлээн авагчийн хооронд хамгаалалтыг хангаж чадна, гэхдээ зөвхөн аажмаар. Зохиогчийн уншигчийн нууцлалыг хангахын тулд цахим шуудангийн тусгай технологийг ашиглах шаардлагатай.

Лавлах хэрэгслүүдийн хувьд ижил төстэй асуудлууд нь доод түвшний хамгаалалтын хэрэгслүүдийг нууцлалын шаардлагыг хангалттай хангахад саад болдог. Жишээлбэл, хэрэглэгчийн лавлах сервер рүү илгээсэн хүсэлтийг хариу өгөх явцад бусад серверүүд рүү шилжүүлж болно. Хэрэв хүсэлтийг эцсийн байдлаар хүлээн авсан лавлах сервер нь хүсэлт гаргагчийн хувийн мэдээлэлд үндэслэн хандалт олгох шийдвэр гаргах ёстой бол доод түвшний протоколуудын мэдээлэлд үндэслэн энэ шийдвэрийг гаргах боломжгүй.

Түүнчлэн, энэ хүсэлтийг илгээсэн серверт итгэхгүйгээр хариу өгч буй сервер үүнд итгэлтэй байж чадахгүйхүсэлтийг өөрчлөөгүй байна. Тиймээс энэ програм нь цахим шуудангийн нэгэн адил хэрэглээний түвшний нууцлалын үндсэн шалтгааныг, өөрөөр хэлбэл зөвхөн доод түвшний чадавхид тулгуурлан нууцлалын шаардлагыг хангах боломжгүйг харуулж байна.

Довтолгоог илрүүлэх аргуудын ангилал.

Илрүүлэх технологиор

· гажиг илрүүлэх

Энэ арга нь хэрэглэгчийн хэвийн зан байдлын статистик загварыг бий болгоход чиглэгддэг. Загвараас хазайх нь халдлагын шинж тэмдэг юм. Энэ арга нь хэтэрхий олон хуурамч дохиолол үүсгэдэг тул зовдог.

· буруу ашиглах илрүүлэх

Энэ аргын тусламжтайгаар систем нь мэдэгдэж буй гарын үсгийг хайж олох бөгөөд дохиолол өгдөг. Илүү найдвартай, боломжтой. Өнөөдөр зах зээл дээр санал болгож буй бараг бүх халдлагыг илрүүлэх системүүд энэ арга дээр суурилдаг. Одоо эхний аргын хөгжилд өөрчлөлт гарч байна.

Илрүүлэх түвшингээр

Сүлжээний түвшинд халдлагыг илрүүлэх

Сүлжээний түвшний халдлагыг илрүүлэх системүүд нь түүхий сүлжээний пакетуудыг өгөгдлийн эх сурвалж болгон ашигладаг. Ихэвчлэн сүлжээний түвшний халдлагыг илрүүлэх систем (IDS) нь завхайрсан горимд ажилладаг сүлжээний адаптерийг ашигладаг бөгөөд сүлжээний сегментээр дамжин өнгөрөх урсгалыг бодит цаг хугацаанд шинжилдэг. Халдлагыг таних модуль нь халдлагын гарын үсгийг таних дөрвөн алдартай аргыг ашигладаг.

· Хөдөлгөөн нь халдлага, сэжигтэй үйлдлийг харуулсан загвар (гарын үсэг), илэрхийлэл, байт кодтой нийцэж байгаа;

· Үйл явдлын давтамж эсвэл босго хэмжээнээс давсан байдалд хяналт тавих;

· Олон тооны бага ач холбогдолтой үйл явдлын хамаарал;

· Статистикийн гажиг илрүүлэх.

Халдлагыг илрүүлсний дараа хариу үйлдлийн модуль нь довтолгооны хариуд мэдэгдэл, дохиолол, эсрэг арга хэмжээ авах өргөн хүрээний сонголтыг өгдөг. Эдгээр сонголтууд нь системээс системд өөр өөр байдаг боловч ихэвчлэн: администраторт консол эсвэл имэйлээр мэдэгдэх, халдлага үйлдэж буй хосттой холболтыг таслах,/эсвэл дараа нь дүн шинжилгээ хийх, нотлох баримт цуглуулах зорилгоор сессийг бүртгэх зэрэг орно.

Сүлжээний түвшинд халдлагыг илрүүлэх системийн давуу тал

Сүлжээний түвшний IDS нь системийн түвшний халдлагыг илрүүлэх системд байдаггүй олон давуу талтай. Үнэн хэрэгтээ бага өртөгтэй, цаг тухайд нь хариу үйлдэл үзүүлдэг тул олон хэрэглэгчид сүлжээний түвшний халдлагыг илрүүлэх системийг ашигладаг. Сүлжээний түвшний халдлагыг илрүүлэх нь аюулгүй байдлын бодлогыг үр дүнтэй хэрэгжүүлэх хамгийн чухал бүрэлдэхүүн хэсэг болгодог гол шалтгааныг доор харуулав.

1.Үйл ажиллагааны зардал бага . Олон систем хоорондын урсгалыг хянахын тулд сүлжээний түвшний IDS-ийг сүлжээний чухал цэгүүдэд суурилуулсан байх ёстой. Сүлжээний түвшний системүүд нь халдлагыг илрүүлэх програм хангамжийг хост бүрт суулгах шаардлагагүй. Сүлжээг бүхэлд нь хянахын тулд IDS суурилуулсан газруудын тоо бага байдаг тул тэдгээрийг аж ахуйн нэгжийн сүлжээнд ажиллуулах зардал нь системийн түвшинд халдлага илрүүлэх системийг ажиллуулах зардлаас бага байдаг.

2.Системийн түвшинд алга болсон халдлагуудыг илрүүлэх . Сүлжээний түвшний IDS нь сүлжээний багцын толгой хэсгийг сэжигтэй эсвэл дайсагнасан үйл ажиллагаа байгаа эсэхийг шалгадаг. Системийн түвшний IDS нь пакет толгойтой харьцдаггүй тул ийм төрлийн халдлагуудыг илрүүлж чадахгүй. Жишээлбэл, үйлчилгээ үзүүлэхээс татгалзах, нулимс дуслах гэх мэт олон сүлжээний халдлагыг зөвхөн сүлжээгээр дамжиж байгаа пакетийн толгойн хэсэгт дүн шинжилгээ хийх замаар л тодорхойлж болно. Энэ төрлийн халдлагыг бодит цагийн урсгалыг хардаг сүлжээний түвшний IDS ашиглан хурдан илрүүлж болно. Сүлжээний түвшний IDS нь багцын өгөгдлийн агуулгыг шалгаж, тодорхой халдлагад ашигладаг командууд эсвэл тусгай синтаксийг хайж олох боломжтой. Жишээлбэл, хакер Back Orifice програмыг хараахан өртөөгүй байгаа системүүд дээр ашиглахыг оролдох үед энэ баримтыг багцын өгөгдлийн агуулгыг шалгаж үзэх замаар олж болно. Дээр дурдсанчлан системийн түвшний системүүд сүлжээний түвшинд ажилладаггүй тул ийм халдлагыг таних боломжгүй байдаг.

3.Хакерын хувьд түүний оршихуйн ул мөрийг арилгах нь илүү хэцүү байдаг . Сүлжээний түвшний IDS нь халдлагыг бодит цаг хугацаанд илрүүлэхийн тулд шууд урсгалыг ашигладаг. Тиймээс хакер түүний оршихуйн ул мөрийг арилгаж чадахгүй. Шинжилсэн өгөгдөлд халдлагын аргын талаарх мэдээлэл төдийгүй халдагчийг таньж, шүүхээр нотлоход тус болох мэдээллийг багтаасан болно. Олон хакерууд логуудыг сайн мэддэг учраас үйл ажиллагааныхаа ул мөрийг нуухын тулд эдгээр файлуудыг хэрхэн удирдахаа мэддэг тул халдлагыг илрүүлэхийн тулд энэ мэдээллийг шаарддаг системийн түвшний системийн үр нөлөөг бууруулдаг.

4.Бодит цагийн илрүүлэлт, хариу үйлдэл . Сүлжээний түвшний IDS нь сэжигтэй, дайсагнасан халдлагыг ТЭД БАЙХ ТОГТМОЛ илрүүлдэг тул системийн түвшний IDS-ээс хамаагүй хурдан мэдэгдэл, хариу үйлдэл үзүүлдэг. Жишээлбэл, TCP-д суурилсан сүлжээний давхаргын үйлчилгээг үгүйсгэх халдлагыг эхлүүлж буй хакерыг халдлага нь устгал, гэмтэл учруулахаас өмнө халдлага үйлдэж буй хосттой холболтыг зогсоохын тулд TCP пакетийн толгой хэсэгт тохируулсан Reset тугийг илгээж сүлжээний түвшний IDS-ээр зогсоож болно. зорилт. hosta Системийн түвшний IDS нь халдлагыг бүртгэх хүртэл халдлагыг танихгүй бөгөөд халдлагыг бүртгэсний дараа хариу үйлдэл үзүүлдэг. Энэ үед хамгийн чухал системүүд эсвэл нөөцүүд аль хэдийн эвдэрсэн эсвэл системийн түвшний IDS ажиллаж байгаа систем эвдэрч болзошгүй. Бодит цагийн мэдэгдэл нь урьдчилан тодорхойлсон параметрийн дагуу хурдан хариу өгөх боломжийг олгодог. Эдгээр хариу үйлдэл нь халдлага болон халдагчийн талаар мэдээлэл цуглуулахын тулд тандалтын горимд нэвтрэлтийг зөвшөөрөхөөс эхлээд халдлагыг нэн даруй зогсоох хүртэл байдаг.

5.Амжилтгүй халдлага эсвэл сэжигтэй зорилгыг илрүүлэх . Галт хананы гадна талд суурилуулсан сүлжээний түвшний IDS нь галт хана нь эдгээр оролдлогыг няцаах ч галт хананы ард байгаа нөөц рүү чиглэсэн халдлагыг илрүүлж чадна. Системийн түвшний системүүд галт хананы цаана байгаа хост руу хүрч чадахгүй байгаа халдлагуудыг хардаггүй. Энэхүү алдагдсан мэдээлэл нь аюулгүй байдлын бодлогыг үнэлэх, сайжруулахад хамгийн чухал байж болох юм.

6.OS-ийн бие даасан байдал . Сүлжээний түвшний IDS нь корпорацийн сүлжээнд суулгасан үйлдлийн системээс хамааралгүй байдаг. Системийн түвшний халдлагыг илрүүлэх системүүд нь тодорхой үйлдлийн системийг зөв ажиллаж, шаардлагатай үр дүнг гаргахыг шаарддаг.

Системийн түвшний халдлагыг илрүүлэх

1980-аад оны эхээр сүлжээ үүсэхээс өмнө халдлагыг илрүүлэх хамгийн түгээмэл арга бол сэжигтэй үйлдлийг илтгэх үйл явдлын бүртгэлийг шалгах явдал байв. Орчин үеийн системийн түвшний халдлагыг илрүүлэх системүүд нь өнгөрсөн халдлагыг ойлгох, ирээдүйн мөлжлөгийг бууруулах тохиромжтой арга техникийг тодорхойлох хүчирхэг хэрэгсэл хэвээр байна. Орчин үеийн системийн түвшний IDS нь бүртгэлийг ашигладаг хэвээр байгаа ч тэдгээр нь илүү автоматжсан бөгөөд хамгийн сүүлийн үеийн математикийн судалгаанд суурилсан нарийн илрүүлэх арга техникийг багтаасан.

Ерөнхийдөө системийн түвшний IDS систем, үйл явдал, аюулгүй байдлын бүртгэлийг (аюулгүй байдлын бүртгэл эсвэл системийн бүртгэл) Windows NT эсвэл Unix үйлдлийн системтэй сүлжээнд хянадаг.Эдгээр файлуудын аль нэг нь өөрчлөгдөхөд IDS шинэ оруулгуудыг халдлагын гарын үсэгтэй харьцуулж таарч байгаа эсэхийг шалгадаг. Хэрэв ийм тохирол олдвол систем нь администратор руу дохио илгээх эсвэл хариу өгөх бусад механизмуудыг идэвхжүүлдэг. Системийн түвшний IDS нь байнга шинэчлэгдэж, илрүүлэх шинэ аргуудыг аажмаар нэвтрүүлж байна. Ийм түгээмэл аргуудын нэг бол зөвшөөрөлгүй өөрчлөлтүүдийг шалгахын тулд түлхүүр систем болон гүйцэтгэх файлуудын хяналтын нийлбэрийг тогтмол хугацаанд шалгах явдал юм. Хариултыг цаг тухайд нь өгөх нь судалгааны давтамжтай шууд холбоотой. Зарим бүтээгдэхүүн идэвхтэй портуудыг сонсож, хэн нэгэн нэвтрэх гэж оролдох үед админд мэдэгддэг.

Системийн түвшний халдлагыг илрүүлэх системийн давуу талууд

Хэдийгээр системийн түвшний халдлагыг илрүүлэх системүүд нь сүлжээний түвшнийхтэй адил хурдан биш боловч сүүлийнх нь тийм ч сайн биш юм. Эдгээр давуу талууд нь илүү нарийн дүн шинжилгээ хийх, зохион байгуулагчдын үйл явдлын өгөгдөлд илүү анхаарал хандуулах, хэрэгжүүлэх зардлыг бууруулах зэрэг орно.

1.Довтолгооны амжилт эсвэл бүтэлгүйтлийг баталгаажуулдаг . Системийн түвшний IDS нь бодит болсон үйл явдлын талаарх мэдээллийг агуулсан бүртгэлийг ашигладаг тул энэ ангийн IDS нь халдлага үнэхээр амжилттай болсон эсэхийг өндөр нарийвчлалтайгаар тодорхойлж чадна. Үүнтэй холбогдуулан системийн түвшний IDS нь сүлжээний түвшний халдлагыг илрүүлэх системд маш сайн нэмэлт болж өгдөг. Энэ хослол нь сүлжээний бүрэлдэхүүн хэсгийг ашиглан халдлага эхлэх, системийн бүрэлдэхүүн хэсгийг ашиглан халдлага амжилттай болох талаар эрт сэрэмжлүүлдэг.

2.Тодорхой зангилааны үйл ажиллагааг хянадаг . Системийн түвшний IDS нь хэрэглэгчийн үйл ажиллагаа, файлын хандалт, файлын зөвшөөрлийн өөрчлөлт, шинэ програм суулгах оролдлого болон/эсвэл давуу эрхтэй үйлчилгээнд хандах оролдлого зэргийг хянадаг. Жишээлбэл, системийн түвшний IDS нь хэрэглэгчийн бүх нэвтрэх болон гарах үйлдлүүд болон сүлжээнд холбогдсон үед хэрэглэгч бүрийн хийж буй үйлдлүүдийг хянах боломжтой. Сүлжээний түвшний систем ийм түвшний үйл явдлын дэлгэрэнгүй мэдээллийг өгөхөд маш хэцүү байдаг. Системийн түвшний халдлагыг илрүүлэх технологи нь зөвхөн администраторын гүйцэтгэх үйл ажиллагааг хянах боломжтой. Үйлдлийн систем нь хэрэглэгчийн бүртгэлийг нэмэх, устгах, өөрчлөх аливаа үйл явдлыг бүртгэдэг. Системийн түвшний IDS нь холбогдох өөрчлөлтийг гарсан даруйд нь илрүүлж чаддаг. Системийн түвшний IDS нь системүүд өөрсдийн бүртгэлийг хэрхэн хянах гэх мэт аюулгүй байдлын бодлогын өөрчлөлтийг шалгах боломжтой.

Эцсийн дүндээ системийн түвшний халдлагыг илрүүлэх системүүд нь системийн үндсэн файлууд эсвэл гүйцэтгэх боломжтой файлуудын өөрчлөлтийг хянах боломжтой. Ийм файлуудыг дарж бичих эсвэл трояны морь суулгах оролдлогыг илрүүлж, зогсоож болно. Сүлжээний түвшний системүүд заримдаа ийм төрлийн үйл ажиллагааг орхигдуулдаг.

3.Сүлжээний давхаргын систем алдагдсан халдлагуудыг илрүүлэх . Системийн түвшний IDS нь сүлжээний түвшний хэрэгслүүд илрүүлж чадахгүй байгаа халдлагуудыг илрүүлж чаддаг. Жишээлбэл, халдлагад өртсөн серверээс үүссэн халдлагыг сүлжээний түвшний халдлагыг илрүүлэх систем илрүүлж чадахгүй.

4.Шифрлэгдсэн болон шилжүүлсэн сүлжээнд тохиромжтой . Системийн түвшний IDS нь байгууллагын сүлжээн дэх янз бүрийн хостууд дээр суурилагдсан байдаг тул сүлжээний түвшний системийг сэлгэн залгасан болон шифрлэгдсэн сүлжээнд ажиллуулахад тулгардаг зарим сорилтуудыг даван туулж чадна.

Шилжүүлэлт нь том хэмжээний сүлжээг олон жижиг сүлжээний сегмент болгон удирдах боломжийг олгодог. Үүний үр дүнд сүлжээний түвшний IDS суулгах хамгийн тохиромжтой байршлыг тодорхойлоход хэцүү байж болно. Заримдаа портууд болон толин тусгал портуудыг удирдах, шилжүүлэгч дээрх траффикийн портуудыг удирдах нь тусалж болох боловч эдгээр аргууд нь үргэлж хэрэглэгдэхгүй. Системийн түвшинд халдлагыг илрүүлэх нь шилжүүлсэн сүлжээнд илүү үр ашигтай ажиллах боломжийг олгодог, учир нь... IDS-ийг зөвхөн шаардлагатай цэгүүд дээр байрлуулах боломжийг танд олгоно.

Зарим төрлийн шифрлэлт нь сүлжээний түвшний халдлагыг илрүүлэх системд хүндрэл учруулдаг. Шифрлэлт хаана хийгдэж байгаагаас хамааран (холбоос эсвэл захиалагч) сүлжээний түвшний IDS нь тодорхой халдлагад "харалган" хэвээр байж болно. Системийн түвшний IDS-д ийм хязгаарлалт байхгүй. Нэмж дурдахад, үйлдлийн систем, улмаар системийн түвшний IDS нь шифрлэгдсэн ирж буй урсгалд дүн шинжилгээ хийдэг.

5.Ойролцоогоор бодит цагийн илрүүлэлт, хариу үйлдэл . Системийн түвшний халдлагыг илрүүлэх нь үнэхээр бодит цагийн хариу үйлдэл үзүүлэхгүй ч зөв хэрэгжүүлснээр бодит цагийн хэмжээнд хүрэх боломжтой. Бүртгэлийн статус, агуулгыг урьдчилан тодорхойлсон интервалаар шалгадаг хуучин системүүдээс ялгаатай нь орчин үеийн системийн түвшний олон IDS нь шинэ бүртгэлийн оруулга гарч ирмэгц үйлдлийн системээс тасалдлыг хүлээн авдаг. Энэ шинэ оруулгыг нэн даруй боловсруулж болох бөгөөд энэ нь халдлагыг таних болон түүнд хариу үйлдэл үзүүлэх хоорондох хугацааг эрс багасгадаг. Үйлдлийн систем нь бүртгэлд үйл явдал бичих болон халдлагыг илрүүлэх системээр танигдах хооронд саатал байсаар байгаа ч ихэнх тохиолдолд ямар нэгэн гэмтэл учруулахаас өмнө халдагчийг илрүүлж, зогсоож болно.

6.Нэмэлт техник хангамж шаарддаггүй . Системийн түвшний халдлагыг илрүүлэх системийг одоо байгаа сүлжээний дэд бүтцэд суулгасан бөгөөд үүнд файлын сервер, вэб сервер болон ашигласан бусад эх сурвалжууд орно. Энэ чадвар нь системийн түвшний IDS-ийг маш хэмнэлттэй болгож чадна, учир нь тэдгээрт сүлжээнд өөр зангилаа оролцох, засвар үйлчилгээ хийх, удирдах шаардлагагүй болно.

7.Бага үнэ . Хэдийгээр сүлжээний түвшний халдлагыг илрүүлэх системүүд нь бүхэл бүтэн сүлжээний хөдөлгөөний шинжилгээг өгдөг боловч тэдгээр нь ихэвчлэн нэлээд үнэтэй байдаг. Халдлага илрүүлэх нэг системийн үнэ 10,000 доллараас давж болно. Нөгөөтэйгүүр, системийн түвшний халдлагыг илрүүлэх систем нь нэг агент бүрт хэдэн зуун долларын үнэтэй байдаг бөгөөд хэрэв худалдан авагч сүлжээний халдлагыг хянахгүйгээр зөвхөн аж ахуйн нэгжийн зарим зангилааг хянах шаардлагатай бол худалдан авагч худалдан авч болно.