Сетевые атаки: классификация и виды.
За последние двадцать лет Интернет радикально изменил нашу жизнь. Сегодня сложно представить себе существования без социальных сетей, мессенджеров, электронных почтовых ящиков и кошельков, сайтов на любую тему, и всего прочего. В Интернете можно найти любую информацию, купить любой товар, найти нужного человека, обучаться или играть, проводить денежные операции, работать и общаться...
Но с теми благами, что несет в себе Интернет, растет и темная сторона. Я сейчас имею в виду то, что постоянно растет опасность разглашения персональных данных, кражи денежных средств, важных ресурсов, и даже государственных тайн. Каждый день совершаются атаки на разные ресурсы, многие из которых проходят успешно. Из-за повсеместного распространения и использования Интернета, всегда есть риск понести ущерб от атаки хакеров.
В этой статье будут рассмотрены виды основных сетевых атак, направленных на различные виды устройств и приложений.
Классификация атак
Прежде всего стоит сказать, что все сетевые атаки можно классифицировать по несколько категориям. А именно:
- По характеру воздействия
- По цели воздействия
- По наличию обратной связи с атакуемым объектом
- По условию начала осуществления воздействия
- По расположению субъекта атаки относительно атакуемого объекта
- По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие
По характеру атаки
Данная категория делится ещё на два типа:
- Пассивная
- Активная
Активная атака, в отличие от пассивной, оказывает прямое воздействие на работу атакуемой системы, нарушая работоспособность, изменяя конфигурацию, или нарушая политику безопасности. В отличие от пассивной атаки, активную легко обнаружить, поскольку в системе происходят конкретные изменения, тогда как при пассивной не остается никаких следов.
По цели атаки
Такие атаки можно условно разделить на следующие виды: нарушение функционирования или доступа к системе, нарушение целостности информации, или её конфиденциальности.
То, к какому из данных вариантов относится конкретная атака, зависит от того, какая именно угроза в ней таится: отказ в обслуживании, раскрытие, или нарушение целостности.
Объясню. Как правило, при любой атаке главной целью является получение доступа к информации. Тут есть два основных пути — это искажение, либо перехват. Если мы перехватываем информацию, то мы получаем к ней доступ, но без возможности её изменения. Но это уже ведет к нарушению её конфиденциальности.
В случае подмены информации уже возможен контроль над обменом данными между объектами системы. Соответственно, подмена информации ведет к нарушению целостности, и это уже вариант активного воздействия.
По наличию обратной связи с атакуемым объектом
Здесь тоже есть два варианта развития событий:
- с обратной связью
- без обратной связи (однонаправленная атака)
А вот атаки без обратной связи не позволяют своевременно реагировать на изменения, возникающие во время процесса. Но зато атакующему нет необходимости получать и анализировать ответы.
По условию начала осуществления атаки
И снова варианты:
- атака по получению запроса от цели
- атака по наступлению ожидаемого события на атакуемом объекте
- безусловная атака
Если же атакующий уже долгое время непрерывно наблюдают за состоянием операционной системы цели своей атаки, то он может начать процесс тогда, когда возникнет конкретное событие в системе.Ну а безусловная атака — это немедленное начало действий без какого-либо ожидания или события.
По расположению хакера и атакуемого объекта
Данный вид атаки может различаться исходя из расположения атакующего и цели. Поэтому данный вид атак делят на межсегментные, и внутрисегментные.
В первом случае, хакер и цель находятся в одном сетевом сегменте. В противном случае - в разных.
Разумеется, внутрисегментную атаку проводить гораздо легче, чем межсегментную.
По уровню эталонной модели ISO/OSI
Международной организацией по стандартизации (ISO) был принят стандарт ISO 7498, который описывает взаимодействие открытых систем (OSI), к которым принадлежат также и РВС (распределительные вычислительные системы). Каждый сетевой протокол обмена, так же как и каждую сетевую программу, можно условно спроецировать на эталонную 7-уровневую модель OSI. Соответственно, такая многоуровневая проекция даёт возможность описать в терминах этой модели использующиеся в сетевом протоколе или программе функции.
Поэтому удаленные атаки можно так же описать по эталонной модели ISO/OSI, в зависимости от того, на какой из уровней осуществляется воздействие. Уровней 7:
- физический
- канальный
- сетевой
- транспортный
- сеансовый
- представительный
- прикладной
Основные сетевые атаки
Разумеется, все виды и варианты атак не перечислить. Но можно перечислить самые распространенные.
Фрагментация данных — инициирование отправки большого числа фрагментов пакета данных, что служит причиной для переполнения программных буферов на приемной стороне и, если все пройдет успешно, к аварийному завершению системы.
Нестандартные протоколы, инкапсулированные в IP - использование нестандартного значения данного поля для передачи данных, которые не будут фиксироваться стандартными средствами контроля информационных потоков.
Smurf - передача в сеть широковещательных ICMP запросов от имени атакующегося устройства, после чего компьютеры, принявшие такие широковещательные пакеты, отвечают на запросы, из-за чего происходит снижение пропускной способности канала связи, что может привести к полной изоляция атакуемой сети.
Sniffing - прослушивание канала за счет перехвата пакетов, передаваемых по локальной сети.DNS spoofing - внесение навязываемого соответствия между IP-адресом и доменным именем в кэш DNS сервера, в результате чего все пользователи DNS сервера могут получить неверную информацию о доменных именах и IP-адресах.
IP spoofing - подмена исходного IP-адреса.Ping flooding - посыл ICMP-пакет типа ECHO REQUEST, что само по себе не страшно в большинстве случаев, но в «агрессивном» режиме поток ICMP echo request/reply-пакетов может привести к перегрузке небольшой линии, из-за чего она лишится возможности передавать информацию.
Навязывание пакетов — отправка в сеть пакетов данных с ложным обратным адресом, с помощью чего можно переключать на свой компьютер соединения, установленные между другими компьютерами, и при этом права доступа атакующего становятся равными правам того пользователя, чье соединение с сервером было переключено на компьютер злоумышленника.
Перехват пакетов на маршрутизаторе — перехват пакетов, проходящих через определенный маршрутизатор, путем получения привелегированного доступа к данному маршрутизатору.
Подмена доверенного хоста — посылка пакетов обмена со станции атакующего от имени доверенной станции (хоста, легально подключившегося к Интернету), находящейся под его контролем.Навязывание хосту ложного маршрута с помощью протокола ICMP - посыл с любого хоста в сегменте сети ложного redirect-сообщения от имени маршрутизатора на атакуемый хост через специальный протокол ICMP (Internet Control Message Protocol), одной из функций которого является информирование хостов о смене текущего маршрутизатора, что в итоге может привести к активному навязыванию ложного маршрута внутри одного сегмента сети.