Описание интерфейса программы

Интерфейс программы представлен на Рисунке. Окно интерфейса условно разбито на 2 части: «Настройка» и «Результат работы».

Рисунок 8 - Интерфейс лабораторного стенда

Область «Настройка программы» содержит три пункта: «Режим работы», «Трафик» и «Сохранить отчет».

Пункт «Режим работы» позволяет выбрать один из двух режимов функционирования лабораторного стенда. В учебном режиме пользователь может просмотреть все сигнатуры, которые доступны в данной версии приложения, и выбрать только одну из них (Рисунок).

Рисунок 9. Учебный режим. Доступные сигнатуры

«Рабочий режим» запускает все сигнатуры из списка по очереди в автоматическом режиме.

В пункте «Трафик» также можно выбрать только один подпункт.

«Анализ в режиме реального времени» запускает анализатор трафика WinDump, который отлавливает количество пакетов, заданных пользователем (по умолчанию составляет 3000 пакетов, Рисунок). Вначале пользователь должен выбрать путь к приложению WinDump.exe, после чего отобразятся все доступные сетевые интерфейсы. Необходимо выбрать тот, который будет прослушан (по умолчанию выбран первый). Когда сетевой интерфейс выбран, вводится количество пакетов и нажимается кнопка «Сбор трафика». Если сбор трафика занимает более двух минут, то происходит автоматическое завершение данного процесса (рекомендуется выбрать другой сетевой интерфейс или уменьшить количество захватываемых пакетов).

Рисунок 10. Анализ трафика в режиме реального времени

«Тестовый набор» позволяет выбрать файл с заранее сформированным трафиком для последующего анализа (Рисунок). Содержание тестового файла подробно изложено в подпункте «Описание входных данных» раздела «Программная реализация».

Рисунок 11. Опция " Тестовый набор (из файла)"

При выборе «Сохранить отчет» информация об атаке заносится в файл. Содержание данного файла подробно изложено в подпункте «Описание выходных данных» раздела «Программная реализация». Если не активировать данную опцию, то информация о возможных вторжениях будет выводиться только в область «Результат работы программы».

После определения настроек работы лабораторного стенда необходимо нажать кнопку «Сбор трафика».

Результаты работы отобразятся в правой области интерфейса лабораторного стенда.

Рисунок 12. Результат работы лабораторного стенда

В поле «Отчетные данные» вначале показаны все промежуточные этапы работы лабораторного стенда: от определения IP-адреса персонального компьютера, на котором запущен лабораторный стенд, до запуска сигнатуры. После этой информации идет заключение о наличии или отсутствии признаков вторжения. Например, при анализе файла C: \Users\Anna\Desktop\tcp_scan.txt заключение выглядит следующим образом:

ВОЗМОЖНА АТАКА (TCP - сканирование)

 

Сканирование портов c 10: 33: 3.304621 до 10: 33: 20.518550

Количество просмотренных пакетов = 23

==========================================

==========================================

Статистика:

1. Порт - 110 Кол-во обращений = 2

2. Порт - 111 Кол-во обращений = 1

3. Порт - 143 Кол-во обращений = 2

4. Порт - 199 Кол-во обращений = 1

5. Порт - 256 Кол-во обращений = 1

6. Порт - 443 Кол-во обращений = 3

7. Порт - 554 Кол-во обращений = 2

8. Порт - 995 Кол-во обращений = 1

9. Порт - 1025 Кол-во обращений = 2

10. Порт - 1723 Кол-во обращений = 1

11. Порт - 3389 Кол-во обращений = 2

12. Порт - 5900 Кол-во обращений = 2

13. Порт - 8888 Кол-во обращений = 2

==========================================

В поле «Описание сигнатуры (атаки)» приводится характеристика вторжения, возможные потери от его реализации, а так же кратко описан способ обнаружения данной атаки. Более подробно об алгоритмах обнаружения вторжений описано в пункте «Сигнатуры атак» раздела «Программная реализация».

Сигнатуры атак

TCP-сканирование (SYN)

Процесс установления соединения по протоколу TCP осуществляется в 3 шага [17]:

- «А» отправляет «Б» TCP-пакет с установленным флагом SYN и начальным «случайным» номером (seq 333634780):

10: 29: 00.303502 IP 192.168.1.2.38944 > 192.168.1.5.443: S, cksum 0x8636 (correct), 333634780: 333634780(0) win 1024 < mss 1460>

- «Б» отвечает «А» TCP-сегментом с установленными флагами SYN и ACK, начальным «случайным» номером (274325955), с которого будут нумероваться байты в отправляемом им потоке. Данный пакет является подтверждением получения запроса на установление соединения для абонента «А»:

10: 29: 01.298002 IP 192.168.1. 5.443 > 192.168.1. 2.38944: S, cksum 0x8516 (correct), 274325955: 274325955(0) ack 333634781 win 1024 < mss 1460>

- «А» отправляет «Б» TCP-сегмент с флагом ACK, что является подтверждением получения сегмента от абонента «Б»:

10: 29: 01.558163 IP 192.168.1.2.38944 > 192.168.1.5.443: ., cksum 0x950c (correct), ack 1 win 270

Соединение считается установленным при выполнении данных шагов.

Порт считается просканированным, если запрос на соединение пришёл, но оно так и не было установлено, т.е. присутствуют только первый шаг или первые два. Однако заключение о сканировании портов персонального компьютера происходит только при условии обнаружении следов сканирования 20 портов в течение 60 секунд.

Диапазон номеров портов составляет от 0 до 65535. Все порты разделены на три диапазона – общеизвестные (или системные, номера от 0 до 1023), зарегистрированные (пользовательские, от 1024 до 49151) и динамические (частные, от 49152 до 65535). Учитывая данный диапазон, при скорости обнаружения сканирования, равной 1 порт в 3 сек, злоумышленнику придется анализировать 100 портов течение более 300 секунд (пяти минут), что является неприемлемым, с точки зрения времени.

Алгоритм обнаружения сканирования портов (см. Рисунок):

Рисунок 13. Обнаружение SYN-сканирования портов (часть 1)

Рисунок 14. Обнаружение SYN-сканирования портов (часть 2)

Предложенный алгоритм способен обнаружить только SYN-сканирование. SYN является популярным типом сканирования, так как способен сканировать до тысячи портов в секунду, к тому же его работе не препятствуют межсетевые экраны. Данный тип сканирования относительно незаметен, потому что TCP-соединение не устанавливается до конца при данном типе сканирования. Достоинством SYN-сканирования является его возможность предоставления достоверной дифференциации между состояниями портов – «открыт», «закрыт» и «фильтруется»:

- Если в ответе с установлены флаги SYN и ACK, то порт прослушивается (является открытым);

- ответ с установленным флагом RST (сброс) – порт не прослушивается (закрыт);

- порт помечается в качестве фильтруемого, если после нескольких запросов не приходит никакого ответа или в ответ на запрос приходит ICMP-сообщение «ошибка недостижимости».

При выборочном сканировании небольших групп портов (в данном случае, менее 20) или одиночном сканировании (например, если злоумышленнику необходимо узнать состояние порта № 137), данный алгоритм беспомощен.

ICMP-flood

DoS-атаки (Denial of Service, «отказ в обслуживании») – это атаки, приводящие к парализации работы сервера или персональной ЭВМ вследствие огромного количества запросов, с высокой скоростью поступающих на атакуемый ресурс. Если подобная атака проводится одновременно сразу с большого числа компьютеров, то говорят о DDoS-атаке (распределенной атаке типа «отказ в обслуживании»).

Осуществить атаку «отказ в обслуживании» можно двумя способами:

- Можно использовать уязвимость программного обеспечения, которое установлено на компьютере-жертве. Такая уязвимость способна вызвать определенную критическую ошибку, которая приведет к нарушению работоспособности системы.

- Каждый полученный пакет требует определенных затрат ресурсов компьютера на его обработку, поэтому DoS-атаку можно осуществить при одновременной отсылки большого количества пакетов на компьютер-жертву.

ICMP – протокол обмена сообщениями стека TCP/IP, предназначен для обнаружения ошибок и передачи информации о них. При обнаружении проблем в сети генерируются ICMP-сообщения того или иного типа, в которых указывается код ошибки. Данные сообщения передаются отправителю исходного пакета. Протокол используется утилитами ping и traceroute.

Атаку ICMP-flood считают одной из наиболее распространенных видов. Представляет собой метод забивания полосы пропускания и создания нагрузок на сетевой стек через монотонную посылку запросов ICMP ECHO (ping), ICMP-запросы имеют более высокий приоритет по сравнению с обычными пакетами.

Пример работы протокола. Утилита ping, запущенная на компьютере «А», посылает ICMP-пакет типа ECHO REQUEST компьютеру «Б». «Б» отвечает на подобный запрос пакетом ICMP ECHO REPLY. Получив его, ping выдает скорость прохождения пакета. При стандартном режиме работы пакеты посылаются через определенные промежутки времени, практически не нагружая сеть:

21: 33: 47.454210 IP 173.194.24.193 > 173.116.122.250: ICMP echo request, id 1, seq 9, length 40

21: 33: 47.454618 IP 173.116.122.250 > 173.194.24.193: ICMP echo reply, id 1, seq 9, length 40

21: 33: 48.454548 IP 174.115.20.10 > 165.12.115.17: ICMP echo request, id 1, seq 10, length 40

21: 33: 48.454662 IP 165.12.115.17 > 174.115.20.10: ICMP echo reply, id 1, seq 10, length 40

Частота отправки утилитой ping ECHO-запросов по умолчанию составляет 1 пакет в секунду (на основе данных анализатора трафика WinDump). Учитывая то, что лабораторный стенд разрабатывался для учебных целей, примерно рассчитаем величину количества ECHO-запросов, посылаемых в локальной сети одной учебной аудитории, при превышении которой может говорить об атаке.

Количество персональных компьютеров аудитории, объединенных в одну локальную сеть, для расчета примем равную одиннадцати: 1 компьютер будет принимать ICMP-сообщения, оставшиеся 10 компьютеров будут их посылать. В Таблице приведен расчет вероятностей одновременной посылки ECHO-запросов несколькими компьютерами на один IP-адрес.

Расчет осуществляется с помощью формулы, определяющей число сочетаний из n элементов по m: .

Таблица 1 - Расчет вероятности одновременного отправления ICMP-сообщений

Количество компьютеров, не посылающих ECHO-запросов	Количество компьютеров, посылающих ECHO-запросов	Число сочетаний,	Вероятность одновременного отправления ECHO-запросов
			0, 000977
			0, 009766
			0, 043945
			0, 117188
			0, 205078
			0, 246094
			0, 205078
			0, 117188
			0, 043945
			0, 009766
			0, 000977
Итого:

Математическое ожидание количества получения ICMP-сообщения в один момент времени составляет:

Математическое ожидание составляет 5 ECHO-запросов. В дальнейших вычислениях будем исходить из того, что без ущерба для производительности, компьютер может обрабатывать 5 ECHO-запросов в секунду, учитывая частоту отправления. По умолчанию утилита ping отправляет 4 ICMP-сообщения. Каждому компьютеру потребуется 4 секунды для отправки 4 ICMP-сообщений. Значит, в итоге компьютеру будет послано 20 ECHO-запросов.

Сохранив пропорцию «не более 5 пакетов в секунду», за атаку ICMP-flood примем получение компьютером более 50 пакетов в 10 секунд. Интервал в 10 секунд позволит существенно сократить возможность ложного срабатывания, т.к. в одну секунду может прийти 10 пакетов, а в другую – ни одного.

Алгоритм обнаружения атаки (см. Рисунок):

Рисунок 15. Алгоритм обнаружения ICMP-flood

Способ защиты от данной атаки основан на отключении ответов на запросы ICMP ECHO [12].

SMURF-атака

Атака SMURF являются разновидностью атаки DDoS, так как имеет эффект усиления, являющийся результатом отправки прямых широковещательных запросов рing к системам, которые обязаны послать ответ.

Принцип реализации атаки.

Атакующий компьютер посылает мистифицированный пакет IСМР ЕСНО по адресу широковещательной рассылки усиливающей сети. Адрес источника запроса заменяется адресом жертвы. Так как пакет ЕСНО послан по широковещательному адресу, все системы данной сети должны ответить компьютеру-жертве (если только конфигурация не определяет другого поведения). Послав одно IСМР-сообщение в сеть из 100 систем, атакующий обеспечивает усиление атаки DDoS примерно в сто раз. Так как коэффициент усиления зависит от состава сети, атакующему необходимо найти большую сеть, способную полностью подавить работу системы-жертвы.

Обнаружение SMURF-атаки.

Сообщение IСМР ЕСНО REPLY:

21: 33: 47.454618 IP 192.168.1.3 > 192.168.1.2: ICMP echo reply, id 1, seq 9, length 40

Данное сообщение приходит только в качестве ответа на запрос вида:

21: 33: 47.454210 IP 192.168.1.2 > 192.168.1.3: ICMP echo request, id 1, seq 9, length 40

Алгоритм обнаружения атаки (см. Рисунок):

Рисунок 16. Алгоритм обнаружения атаки SMURF

Сообщению IСМР ЕСНО REPLY всегда должно предшествовать сообщение IСМР ЕСНО REQUEST с одинаковыми номерами последовательности (параметром seq). Однако существует вероятность того, что сообщения IСМР ЕСНО REQUEST были отправлены, но не были пойманы анализатором трафика (сниффер запустили после отправки данных запросов), поэтому определенное количество запросов ЕСНО REPLY без запросов ЕСНО REQUEST всё-таки возможно обнаружить. Одним широковещательным IСМР-сообщением в сети реализовать SMURF-атаку не получится, значит, таких сообщений должно быть довольно много. Локальная сеть, в которой будет использоваться лабораторной стенд, состоит из 11 компьютеров. Приняв в качестве нормы вероятность потери 1 IСМР-запроса, получаем, что при посылке одного широковещательного запроса, на него откликнутся 10 компьютеров сети. Таким образом, при обнаружении 11 сообщений IСМР ЕСНО REQUEST без предшествующих на них запросов, можно говорить об атаке.

LAND-атака

Атака Land использует уязвимости реализаций стека TCP/IP в некоторых операционных системах. На сегодня такой уязвимости подвержены все версии ОС Windows NT/95.

Принцип атаки заключается в том, что на открытый порт компьютера-жертвы передаётся TCP-пакет с установленным флагом SYN, исходный адрес и порт данного пакета соответственно равны адресу и порту атакуемого компьютера. Загрузка процессора сильно возрастает в результате того, что компьютер-жертва пытается установить соединение сам с собой, может произойти «зависание» системы или ее перезагрузка.

Рисунок 17. Алгоритм обнаружения атаки LAND

Обнаружение атаки заключается в поиске пакета с флагом SYN и одинаковыми сокетами (совокупность порта и IP-адреса) отправителя и получателя.

Атака на сервисы Windows

Атака осуществляется путем отправки большого количества пакетов в единицу времени на компьютер-жертву. Как правило, выбираются порты, использующиеся протоколом NetBIOS. NetBIOS является протоколом для работы в локальных сетях и представляет из себя интерфейс сеансового уровня. Он обеспечивает выполнение сетевых операций ввода/вывода, а так же управляет транспортным протоколом, в качестве которого могут выступать либо TCP, либо UDP протоколы.

Алгоритм обнаружения атаки (см. Рисунок):

Рисунок 18. Алгоритм обнаружения атаки на сервисы Windows

По умолчанию порты протокола NetBIOS открыты, поэтому приложения могут через NETBIOS найти необходимые им ресурсы и установить связь, а так же послать или получить информацию.

Порты данного протокола:

- порт № 137 – используется для службы имен;

- порт № 138 – используется для службы дейтограмм;

- порт № 139 – используется для сессий;

Уязвимыми можно считать и порты № 135, 445. Порт 135 используется для удаленного управления служб, включая DNS-сервер, в то время как 445 используется в Microsoft Windows 2000 и поздних версий для прямого TCP/IP-доступа без использования NetBIOS (например, в Active Directory). Порт № 445 способен предоставить также доступ к жесткому диску персонального компьютера.

Лабораторный стенд сообщает об атаке при интенсивности поступления пакетов на данные порты более чем 1000 в секунду. Такая интенсивность может свидетельствовать о наличии DoS- или DDos-атаке.

⇐ Предыдущая12345678910Следующая ⇒

Поделиться:

Популярное:

1. II. Описание экспериментальной установки.
2. III. Описание мнении (doxography)
3. V. Сира (Жизнеописание Пророка Мухаммада (да благословит его Аллах и приветствует)
4. Автор программы: доцент кафедры психологии, канд. психол. наук Недосека О. Н., старший преподаватель кафедры психологии Н.В. Юшина
5. Анимационные программы и тематические парки.
6. Библиографическое описание диссертации и авторефератов
7. Библиографическое описание документов
8. БИБЛИОГРАФИЧЕСКОЕ ОПИСАНИЕ КНИГ
9. Библиографическое описание многотомного документа
10. Библиографическое описание является основной частью библиографическое записи.
11. ВЗГЛЯД НА ОПЕРАТОРЫ ПРОГРАММЫ
12. Возможности применения программы Мастер – Тур в работе туристской фирмы