Классификация удаленных атак.

 

Удаленные атаки можно классифицировать по следующим признакам:

1. По характеру воздействия

- активное

- пассивное

Под активным воздействием на сетевую систему понимается воздействие, оказывающее непосредственное влияние на работу сети (изменение конфигурации сети, нарушение работы сети и.т.д.) и нарушающее политику безопасности, принятую в системе [1]. Практически все типы удаленных атак являются активными воздействиями. Основная особенность удаленного активного воздействия заключается в принципиальной возможности его обнаружения (естественно, с большей или меньшей степенью сложности).

Пассивным воздействием на сетевую систему назовем воздействие, которое не оказывает непосредственного влияния на работу сети, но может нарушать ее политику безопасности. Именно отсутствие непосредственного влияния на работу сети приводит к тому, что пассивное удаленное воздействие практически невозможно обнаружить Единственным примером пассивного типового удаленного воздействия служит прослушивание канала в сети.

2. По цели воздействия

- перехват информации

- искажение информации

Основная цель практически любой атаки — получить несанкционированный доступ к информации. Существуют две принципиальных возможности доступа к информации перехват и искажение. Возможность перехвата информации означает получение к ней доступа, но невозможность ее модификации. Примером перехвата информации может служить прослушивание канала в сети. В этом случае имеется несанкционированный доступ к информации без возможности ее искажения.

Возможность к искажению информации означает полный контроль над информационном потоком. То есть, информацию можно не только прочитать, как в случае перехвата, а иметь возможность ее модификации. Примером удаленной атаки, позволяющей модифицировать информацию, может служить ложный сервер (см. п. 4.2.2.4.).

Рассмотренные выше три классификационных признака инвариантны по отношению к типу атаки, будь то удаленная или локальная атака. Следующие классификационные признаки (за исключением 3), которые будут рассмотрены ниже, | имеют смысл только для удаленных воздействий.

3. По условию начала осуществления воздействия

Удаленное воздействие, также как и любое другое, может осуществляться при определенных условиях. В сетях ЭВМ могут существовать три вида условий начала осуществления атаки.

— атака по запросу от атакуемого объекта. В этом случае атакующая программа, запущенная на сетевом компьютере, ждет посылки от потенциальной цели атаки определенного типа запроса, который и будет условием начала осуществления атаки. Примером подобных запросов в ОС Novell NetWare может служить SAP — запрос, а ОС UNIX —DNS и ARP — запрос. Удаленные атаки на эти сетевые ОС, построенные на данном принципе, см. в п. 4.2.3.2, 4.2.4.3 и 4 2.4.2 Важно отметить, что данный тип удаленных атак наиболее характерен для сетевых ОС.

— атака по наступлению определенного события на атакуемом объекте. В случае удаленной атаки подобного рода атакующая программа ведет наблюдение за состоянием операционной системы удаленного компьютера и при возникновении определенного события в системе начинает осуществление воздействия. В этом, как и в предыдущем случае, инициатором осуществления начала атаки выступает сам атакуемый объект. Примером такого события может быть прерывание сеанса работы пользователя с сервером в ОС Novell NetWare без выдачи команды LOGOUT (например, путем отключения питания на рабочей станции). Удаленные атаки по наступлению определенного события см. в п.4 2.3.3 2.

— безусловная атака. В этом случае начало осуществления атаки безусловно по отношению к цели атаки. То есть атака осуществляется немедленно после запуска атакующей программы а, следовательно, она и является инициатором начала осуществления атаки. Пример атаки данного вида см. в п.4.2.4.4.

4. По расположению субъекта атаки относительно атакуемого объекта

— внутрисегментное

— межсегментное

Рассмотрим ряд определений:

Субъект атаки (или источник атаки) — это атакующая программа, осуществляющая воздействие.

Хост (host) — сетевой компьютер.

Маршрутизатор (router) — устройство, обеспечивающее маршрутизацию пакетов обмена в глобальной сети.

Подсеть (subnetwork) (в терминологии Internet) — совокупность хостов, являющихся частью глобальной сети, для которых маршрутизатором выделен одинаковый номер подсети. Подсеть — логическое объединение хостов маршрутизатором. Хосты внутри одной подсети могут взаимодействовать между собой непосредственно, минуя маршрутизатор.

Сегмент сети — физическое объединение хостов. Например, сегмент сети образуют совокупность хостов, подключенных к серверу по схеме общая шина. При такой схеме подключения каждый хост имеет возможность подвергать анализу любой пакет в своем сегменте.

С точки зрения удаленной атаки чрезвычайно важно как по отношению друг к другу располагаются субъект и объект атаки, то есть в одном или в разных сегментах они находятся. В случае внутрисегментной атаки, как следует из названия, субъект и объект атаки находятся в одном сегменте. Примеры такой атаки см. п. 4.2.2.1, 4.2.2.2. При межсегментной атаке субъект и объект атаки находятся в разных сегментах. Примеры см. п 4.2.2.3 — 4.2.2.6.

Данный классификационный признак позволяет судить о так называемой "степени удаленности" атаки. В дальнейшем, будет показано, что на практике межсегментную атаку осуществить на порядок труднее, чем внутрисегментную.

5. По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие

— физический

— канальный

— сетевой

— транспортный

— сеансовый

— представительный

— прикладной

Международная Организация по Стандартизации (ISO) приняла стандарт ISO 7498, описывающий взаимодействие открытых систем (OSI). Сетевые ОС также являются открытыми системами. Любой сетевой протокол обмена, также как и любую сетевую программу можно с той или иной степенью условности спроецировать на эталонную семиуровневую модель OSI. Такая многоуровневая проекция позволит

описать в терминах модели OSI функции, заложенные в сетевой протокол или сетевую программу. Удаленная атака также является сетевой программой. В связи с этим представляется логичным рассматривать удаленные атаки на сетевые ОС, проецируя их на эталонную модель ISO/OSI.