Сетевые атаки: классификация и виды.

[Al Sinatra]

Сетевые атаки: классификация и виды.

​

За последние двадцать лет Интернет радикально изменил нашу жизнь. Сегодня сложно представить себе существования без социальных сетей, мессенджеров, электронных почтовых ящиков и кошельков, сайтов на любую тему, и всего прочего. В Интернете можно найти любую информацию, купить любой товар, найти нужного человека, обучаться или играть, проводить денежные операции, работать и общаться...
Но с теми благами, что несет в себе Интернет, растет и темная сторона. Я сейчас имею в виду то, что постоянно растет опасность разглашения персональных данных, кражи денежных средств, важных ресурсов, и даже государственных тайн. Каждый день совершаются атаки на разные ресурсы, многие из которых проходят успешно. Из-за повсеместного распространения и использования Интернета, всегда есть риск понести ущерб от атаки хакеров.
В этой статье будут рассмотрены виды основных сетевых атак, направленных на различные виды устройств и приложений.


Классификация атак
Прежде всего стоит сказать, что все сетевые атаки можно классифицировать по несколько категориям. А именно:

• По характеру воздействия
• По цели воздействия
• По наличию обратной связи с атакуемым объектом
• По условию начала осуществления воздействия
• По расположению субъекта атаки относительно атакуемого объекта
• По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие

Рассмотрим чуть подробнее


По характеру атаки
Данная категория делится ещё на два типа:

• Пассивная
• Активная

Под пассивной атакой подразумевается воздействие, не оказывающее непосредственное влияние на работу системы, но при этом способное нарушить её политику безопасности. Поскольку отсутствует прямое влияние на атакуемую вычислительную систему, такую атаку сложно обнаружить.
Активная атака, в отличие от пассивной, оказывает прямое воздействие на работу атакуемой системы, нарушая работоспособность, изменяя конфигурацию, или нарушая политику безопасности. В отличие от пассивной атаки, активную легко обнаружить, поскольку в системе происходят конкретные изменения, тогда как при пассивной не остается никаких следов.


По цели атаки
Такие атаки можно условно разделить на следующие виды: нарушение функционирования или доступа к системе, нарушение целостности информации, или её конфиденциальности.

То, к какому из данных вариантов относится конкретная атака, зависит от того, какая именно угроза в ней таится: отказ в обслуживании, раскрытие, или нарушение целостности.
Объясню. Как правило, при любой атаке главной целью является получение доступа к информации. Тут есть два основных пути — это искажение, либо перехват. Если мы перехватываем информацию, то мы получаем к ней доступ, но без возможности её изменения. Но это уже ведет к нарушению её конфиденциальности.
В случае подмены информации уже возможен контроль над обменом данными между объектами системы. Соответственно, подмена информации ведет к нарушению целостности, и это уже вариант активного воздействия.


По наличию обратной связи с атакуемым объектом
Здесь тоже есть два варианта развития событий:

• с обратной связью
• без обратной связи (однонаправленная атака)

Думаю, разница очевидна. В первом случае атакующий отправляет цели запросы, и ожидает определенный ответ. Они нужны для того, чтобы реагировать на различные изменения на атакуемом объекте. Однако в таком случае между хакером и объектом атаки устанавливается обратная связь.
А вот атаки без обратной связи не позволяют своевременно реагировать на изменения, возникающие во время процесса. Но зато атакующему нет необходимости получать и анализировать ответы.


По условию начала осуществления атаки
И снова варианты:

• атака по получению запроса от цели
• атака по наступлению ожидаемого события на атакуемом объекте
• безусловная атака

Тут все зависит от того, что в данном конкретном случае считается началом атаки. Если речь идет про атаку по запросу от объекта — значит, хакер начнет своё дело после того, как цель передаст запрос определенного типа. Как вариант, такими запросами могут быть DNS- или ARP-запросы.
Если же атакующий уже долгое время непрерывно наблюдают за состоянием операционной системы цели своей атаки, то он может начать процесс тогда, когда возникнет конкретное событие в системе.Ну а безусловная атака — это немедленное начало действий без какого-либо ожидания или события.


По расположению хакера и атакуемого объекта
Данный вид атаки может различаться исходя из расположения атакующего и цели. Поэтому данный вид атак делят на межсегментные, и внутрисегментные.

В первом случае, хакер и цель находятся в одном сетевом сегменте. В противном случае - в разных.
Разумеется, внутрисегментную атаку проводить гораздо легче, чем межсегментную.


По уровню эталонной модели ISO/OSI
Международной организацией по стандартизации (ISO) был принят стандарт ISO 7498, который описывает взаимодействие открытых систем (OSI), к которым принадлежат также и РВС (распределительные вычислительные системы). Каждый сетевой протокол обмена, так же как и каждую сетевую программу, можно условно спроецировать на эталонную 7-уровневую модель OSI. Соответственно, такая многоуровневая проекция даёт возможность описать в терминах этой модели использующиеся в сетевом протоколе или программе функции.

Поэтому удаленные атаки можно так же описать по эталонной модели ISO/OSI, в зависимости от того, на какой из уровней осуществляется воздействие. Уровней 7:

• физический
• канальный
• сетевой
• транспортный
• сеансовый
• представительный
• прикладной

Основные сетевые атаки
Разумеется, все виды и варианты атак не перечислить. Но можно перечислить самые распространенные.

Фрагментация данных — инициирование отправки большого числа фрагментов пакета данных, что служит причиной для переполнения программных буферов на приемной стороне и, если все пройдет успешно, к аварийному завершению системы.
Нестандартные протоколы, инкапсулированные в IP - использование нестандартного значения данного поля для передачи данных, которые не будут фиксироваться стандартными средствами контроля информационных потоков.
Smurf - передача в сеть широковещательных ICMP запросов от имени атакующегося устройства, после чего компьютеры, принявшие такие широковещательные пакеты, отвечают на запросы, из-за чего происходит снижение пропускной способности канала связи, что может привести к полной изоляция атакуемой сети.
Sniffing - прослушивание канала за счет перехвата пакетов, передаваемых по локальной сети.DNS spoofing - внесение навязываемого соответствия между IP-адресом и доменным именем в кэш DNS сервера, в результате чего все пользователи DNS сервера могут получить неверную информацию о доменных именах и IP-адресах.
IP spoofing - подмена исходного IP-адреса.Ping flooding - посыл ICMP-пакет типа ECHO REQUEST, что само по себе не страшно в большинстве случаев, но в «агрессивном» режиме поток ICMP echo request/reply-пакетов может привести к перегрузке небольшой линии, из-за чего она лишится возможности передавать информацию.
Навязывание пакетов — отправка в сеть пакетов данных с ложным обратным адресом, с помощью чего можно переключать на свой компьютер соединения, установленные между другими компьютерами, и при этом права доступа атакующего становятся равными правам того пользователя, чье соединение с сервером было переключено на компьютер злоумышленника.
Перехват пакетов на маршрутизаторе — перехват пакетов, проходящих через определенный маршрутизатор, путем получения привелегированного доступа к данному маршрутизатору.
Подмена доверенного хоста — посылка пакетов обмена со станции атакующего от имени доверенной станции (хоста, легально подключившегося к Интернету), находящейся под его контролем.Навязывание хосту ложного маршрута с помощью протокола ICMP - посыл с любого хоста в сегменте сети ложного redirect-сообщения от имени маршрутизатора на атакуемый хост через специальный протокол ICMP (Internet Control Message Protocol), одной из функций которого является информирование хостов о смене текущего маршрутизатора, что в итоге может привести к активному навязыванию ложного маршрута внутри одного сегмента сети.

​