Виды сетевых атак

В настоящее время существует множество различных видов сетевых атак, которые используют как уязвимости операционной системы, так и иного установленного программного обеспечения системного и прикладного характера. Злоумышленники постоянно совершенствуют методы нападения, результатом которых могут являться кража конфиденциальной информации, выведение системы из строя либо ее полный «захват» с последующим использованием как части зомби-сети для совершения новых атак.

Для того чтобы своевременно обеспечить безопасность компьютера, важно знать какого рода сетевые атаки могут угрожать ему. Известные сетевые угрозы можно условно разделить на три большие группы:

Примечание В данном разделе приведена общая информация об основных типах сетевых атак и их возможных последствиях. Список активных атак, которые обнаруживает непосредственно компонент Сетевой экран, может изменяться специалистами «Лаборатории Касперского» в зависимости от текущей ситуации и обновляться вместе с базами приложения.

Сканирование портов - этот вид угроз сам по себе не является атакой, а обычно предшествует ей, поскольку является одним из основных способов получить сведения об удаленном компьютере. Этот способ заключается в сканировании UDP/TCP-портов, используемых сетевыми сервисами на интересующем компьютере, для выяснения их состояния (закрытые или открытые порты).

Сканирование портов позволяет понять, какие типы атак на данную систему могут оказаться удачными, а какие нет. Кроме того, полученная в результате сканирования информация («слепок» системы) даст представление злоумышленнику о типе операционной системы на удаленном компьютере. А это, в свою очередь, еще сильнее ограничивает круг потенциальных атак и, соответственно, время, затрачиваемое на их проведение, а также позволяет попытаться использовать специфические для данной операционной системы уязвимости.

DoS-атаки или атаки, вызывающие отказ в обслуживании - это атаки, результатом которых является приведение атакуемой системы в нестабильное, либо полностью нерабочее состояние. Последствиями такого типа атак могут стать повреждение или разрушение информационных ресурсов, на которые они направлены, и, следовательно, невозможность их использования.

Существует два основных типа DoS атак:

отправка компьютеру-жертве специально сформированных пакетов, не ожидаемых этим компьютером, что приводит к перезагрузке или остановке системы;

отправка компьютеру-жертве большого количества пакетов в единицу времени, которые этот компьютер не в состоянии обработать, что приводит к исчерпанию ресурсов системы.

Яркими примерами данной группы атак являются следующие атаки:

Атака Ping of death состоит в посылке ICMP-пакета, размер которого превышает допустимое значение в 64 КБ. Эта атака может привести к аварийному завершению работы некоторых операционных систем.

Атака Land заключается в передаче на открытый порт вашего компьютера запроса на установление соединения с самим собой. Атака приводит к зацикливанию компьютера, в результате чего сильно возрастает загрузка процессора и возможно аварийное завершение работы некоторых операционных систем.

Атака ICMP Flood заключается в отправке на ваш компьютер большого количества ICMP-пакетов. Атака приводит к тому, что компьютер вынужден отвечать на каждый поступивший пакет, в результате чего сильно возрастает загрузка процессора.

Атака SYN Flood заключается в отправке на ваш компьютер большого количества запросов на установку соединения. Система резервирует определенные ресурсы для каждого из таких соединений, в результате чего тратит свои ресурсы полностью и перестает реагировать на другие попытки соединения.

Атаки-вторжения, целью которых является «захват» системы. Это самый опасный тип атак, поскольку в случае успешного выполнения система оказывается полностью скомпрометированной перед злоумышленником.

Данный тип атак применяется, когда необходимо получить конфиденциальную информацию с удаленного компьютера (например, номера кредитных карт, пароли) либо просто закрепиться в системе для последующего использования ее вычислительных ресурсов в целях злоумышленника (использование захваченной системы в зомби-сетях либо как плацдарма для новых атак).

Данная группа является также самой большой по количеству включенных в нее атак. Их можно разделить на три подгруппы в зависимости от операционной системы: атаки на Microsoft Windows-системы, атаки на Unix-системы, а также общая группа для сетевых сервисов, использующихся в обеих операционных системах.

Наиболее распространенными видами атак, использующих сетевые сервисы операционной системы, являются:

атаки на переполнение буфера - тип уязвимостей в программном обеспечении, возникающий из-за отсутствия контроля (либо недостаточном контроле) при работе с массивами данных. Это один из самых старых типов уязвимостей и наиболее простой для эксплуатации злоумышленником.

атаки, основанные на ошибках форматных строк - тип уязвимостей в программном обеспечении, возникающий из-за недостаточного контроля значений входных параметров функций форматного ввода-вывода типа printf(), fprintf(), scanf() и прочих из стандартной библиотеки языка Си. Если подобная уязвимость присутствует в программном обеспечении, то злоумышленник, имея возможность посылать специальным образом сформированные запросы, может получить полный контроль над системой.

Система обнаружения вторжений автоматически анализирует и предотвращает использование подобных уязвимостей в наиболее распространенных сетевых сервисах (FTP, POP3, IMAP), в случае если они функционируют на компьютере пользователя.

Атаки на операционную систему Microsoft Windows основаны на использовании уязвимостей установленного на компьютере программного обеспечения (например, таких программ как Microsoft SQL Server, Microsoft Internet Explorer, Messenger, а также системных компонент, доступных по сети, - DCom, SMB, Wins, LSASS, IIS5).

Кроме того, частными случаями атак-вторжений являются использование различного вида вредоносных скриптов, в том числе скриптов, обрабатываемых Microsoft Internet Explorer, а также разновидности червя Helkern. Суть последнего типа атаки заключается в отправке на удаленный компьютер UDP-пакета специального вида, способного выполнить вредоносный код.