|
Tarmoq hujumlari uchun IP sarlavhasini ishlatish
|
| bet | 25/26 | | Sana | 01.02.2024 | | Hajmi | 2,07 Mb. | | #150023 |
1.13. Tarmoq hujumlari uchun IP sarlavhasini ishlatish.
Ishning maqsadi: IP sarlavhalarni tahlil qilish.
Tarmoq orqali amalga oshiriladigan tahdidlar quyidagi asosiy xususiyatlarga ko‘ra tasniflanadi:
1.Tahdidning tabiati.
Passiv-axborot tizimining ishlashiga ta'sir qilmaydigan, ammo himoyalangan ma'lumotlarga kirish qoidalarini buzishi mumkin bo‘lgan tahdid. Misol: tarmoqni "tinglash" uchun snifferdan foydalaning. Faol-axborot tizimining tarkibiy qismlariga ta'sir qiluvchi tahdid bo‘lib, uning amalga oshirilishi tizim ishiga bevosita ta'sir ko‘rsatadi. Misol: TCP so‘rovlari bilan bo‘ron shaklida DDOS hujumi.
2.Tahdidni amalga oshirishning maqsadi (maxfiylik, mavjudlik, axborotning yaxlitligi).
3.Hujumni boshlash holati:
- hujumchidan talab qilingan. Ya'ni, tajovuzkor ma'lum bir turdagi so‘rovni topshirishni kutadi, bu esa NSDNI boshlash uchun shart bo‘ladi; - hujumga uchragan obyektda kutilgan voqea yuz berdi;
- shartsiz ta'sir-tajovuzkor hech narsa kutmaydi, ya'ni tahdid hujum qilingan obyektning holatiga zudlik bilan va qat'iy nazar amalga oshiriladi.
4.Hujum qilingan obyekt bilan aloqa qilish:
- geribildirim bilan, ya'ni ba'zi so‘rovlar uchun tajovuzkorga javob olish kerak. Shunday qilib, tajovuzkor va tajovuzkor o‘rtasida tajovuzkorga hujum qilingan obyektning holatini kuzatib borish va uning o‘zgarishiga yetarlicha javob berishga imkon beradigan fikr-mulohazalar mavjud;
- fikr-mulohazasiz-shunga ko‘ra, tajovuzkorga hujum qilingan obyektning o‘zgarishiga javob berishga hojat yo‘q.
5. Tajovuzkorning hujum qilingan axborot tizimiga nisbatan joylashuvi: intraegmental va intersegmental. Tarmoq segmenti xostlar, texnik vositalar va tarmoq manziliga ega bo‘lgan boshqa tarmoq komponentlarini jismoniy birlashtirishdir. Misol uchun, bitta segment Token ringga asoslangan umumiy avtobusga ulangan kompyuterlarni tashkil qiladi.
6. Tahdidni amalga oshiradigan ISO/OSI mos yozuvlar modeli darajasi: jismoniy, kanal, tarmoq, transport, sessiya, vakillik, amaliy.
TCP/IP protokollari to‘plamiga asoslangan tarmoqlarda eng keng tarqalgan hujumlarni ko‘rib chiqing.
1. Tarmoq trafigini tahlil qilish. Ushbu hujum sniffer deb nomlangan maxsus dastur yordamida amalga oshiriladi. Sniffer-bu promiscuous mode rejimida ishlaydigan tarmoq kartasidan foydalanadigan dastur dasturi, ya'ni tarmoq kartasi kimga murojaat qilishidan qat'i nazar, barcha paketlarni qabul qilish imkonini beruvchi" ajralmas " rejim. Oddiy holatda, Ethernet interfeysi kanal darajasidagi paketlarni filtrlashdan foydalanadi va qabul qilingan paketning maqsadidagi MAC manzili joriy tarmoq interfeysining MAC manziliga mos kelmasa va efirga uzatilmasa, paket bekor qilinadi. "Noto‘g‘ri" rejimda tarmoq interfeysida filtrlash o‘chiriladi va barcha paketlar, jumladan, mavjud tugunni mo‘ljallanmagan tizimga o‘tkaziladi. Shuni ta'kidlash kerakki, bunday dasturlarning aksariyati huquqiy maqsadlar uchun, masalan, noto‘g‘ri tashxis qo‘yish yoki trafikni tahlil qilish uchun ishlatiladi. Shunga qaramay, yuqorida muhokama qilingan jadvalda ma'lumotlarni, jumladan, parollarni – FTP, SMTP, POP3 va boshqalarni yuboradigan protokollar keltirilgan.shunday qilib, sniffer yordamida siz nom va parolni ushlashingiz va nozik ma'lumotlarga ruxsatsiz kirishingiz mumkin. Bundan tashqari, ko‘plab foydalanuvchilar ko‘plab tarmoq xizmatlariga kirish uchun bir xil parollardan foydalanadilar. Ya'ni, agar tarmoqning bir joyida zaif autentifikatsiya shaklida zaiflik mavjud bo‘lsa, butun tarmoq ta'sir qilishi mumkin. Tajovuzkorlar inson zaif tomonlarini Yaxshi bilishadi va ijtimoiy muhandislik usullarini keng qo‘llashadi.
Ushbu turdagi hujumlardan himoya qilish quyidagilar bo‘lishi mumkin:
-kuchli autentifikatsiya, masalan, bir martalik parollarni ishlatish (bir martalik parol). Pastki satrda parol bir marta ishlatilishi mumkin va hatto tajovuzkor uni sniffer bilan ushlagan bo‘lsa ham, u hech qanday qiymatga ega emas. Albatta, bu himoya mexanizmi faqat parollarni ushlab turishdan saqlaydi va boshqa ma'lumotlarni, masalan, elektron pochtani ushlashda foydasiz;
-anti-sniffers-tarmoq segmentida sniffer ishini aniqlashga qodir apparat yoki dasturiy ta'minot. Odatda, ular "ortiqcha" yukni aniqlash uchun tarmoq tugunlarida yukni tekshiradilar;
-kommutatsiya infratuzilmasi. Tarmoq trafigini tahlil qilish faqat bitta tarmoq segmentida bo‘lishi mumkinligi aniq. Agar tarmoq ko‘plab segmentlarga (kalitlarga va marshrutizatorlarga) bo‘linadigan qurilmalarda qurilgan bo‘lsa, hujum faqat ushbu qurilmalarning portlaridan biriga tegishli bo‘lgan tarmoq saytlarida amalga oshirilishi mumkin. Bu sniffing muammolarini hal qilmaydi, lekin tajovuzkorni "tinglashi" mumkin bo‘lgan chegaralarni pasaytiradi;
- kriptografik usullar. Sniffer ishiga qarshi kurashishning eng ishonchli usuli. Ushlash yo‘li bilan olinishi mumkin bo‘lgan ma'lumotlar shifrlangan va shuning uchun hech qanday foyda yo‘q. Eng ko‘p ishlatiladigan IPSec, SSL va SSH.
2. Tarmoqni skanerlash. Tarmoqni skanerlashning maqsadi tarmoqdagi xizmatlarni, ochiq portlarni, faol tarmoq xizmatlarini, ishlatiladigan protokollarni va boshqalarni, ya'ni tarmoq haqida ma'lumot to‘plashni aniqlashdan iborat. Tarmoqni skanerlash uchun ko‘pincha ishlatiladi:
- DNS so‘rovlari domen egasining tajovuzkorini, manzil maydonini aniqlashga yordam beradi,
- echo test – ilgari olingan DNS manzillariga asoslangan ishlaydigan xostlarni aniqlaydi;
- portlarni skanerlash-ushbu xostlar tomonidan qo‘llab-quvvatlanadigan xizmatlarning to‘liq ro‘yxati, ochiq portlar, ilovalar va boshqalar. Yaxshi va eng keng tarqalgan qarshi choralar, tarmoqni skanerlash belgilarini
muvaffaqiyatli topadigan va administratorni xabardor qiladigan IDS dan foydalanishdir. Bu tahdiddan butunlay qutulish mumkin emas, chunki, masalan, ICMP echo va routerdagi echo-javobni o‘chirib qo‘ysangiz, echo-test tahdididan xalos bo‘lishingiz mumkin, biroq ayni paytda tarmoq xatolarini tashxislash uchun zarur bo‘lgan ma'lumotlarni yo‘qotishingiz mumkin.
3. Parolni aniqlash. Ushbu hujumning asosiy maqsadi parolni himoya qilish orqali himoyalangan resurslarga ruxsatsiz kirishni olishdir. Parolni olish uchun tajovuzkor ko‘plab usullardan foydalanishi mumkin-oddiy qidirish, lug‘atni qidirish,sniffing va boshqalar. 6-8 belgilar uzunligi, katta va kichik harflar foydalanish, maxsus belgilar (@ ,#,$, va hokazo) foydalanish: oddiy busting qarshi himoya qilish uchun, siz faqat pick up emas kuchli parollar, foydalanish kerak.
Axborot xavfsizligining yana bir muammosi shundaki, ko‘pchilik odamlar barcha xizmatlar, ilovalar, saytlar va boshqalar uchun bir xil parollardan foydalanadilar.
Biz ilgari aytib o‘tgan bir martalik parollardan yoki kriptografik autentifikatsiyadan foydalansak, bunday hujumlardan qochish mumkin.
4. IP-spoofing yoki ishonchli tarmoq obyektini almashtirish. Bu holda ishonchli tarmoq obyekti ( kompyuter, router, xavfsizlik devori va h.k.), qonuniy ravishda serverga ulangan. Tahdidlar tajovuzkor ishonchli tarmoq obyekt uchun o‘zini beradi, deb aslida yotadi. Bu ikki yo‘l bilan amalga oshirilishi mumkin. Birinchidan, ruxsat berilgan IP-manzillar oralig‘ida joylashgan IP-manzildan yoki muayyan tarmoq resurslariga kirishga ruxsat berilgan vakolatli tashqi manzildan foydalaning. Ushbu turdagi hujumlar ko‘pincha boshqa hujumlar uchun boshlang‘ich nuqtadir.
Odatda, ishonchli tarmoq obyektini almashtirish tarmoq obyektlari o‘rtasida uzatiladigan odatiy ma'lumotlar oqimiga noto‘g‘ri ma'lumot yoki zararli buyruqlarni kiritish bilan cheklanadi. Ikki tomonlama muloqot qilish uchun tajovuzkor barcha marshrutlash jadvallarini noto‘g‘ri IP-manzilga yo‘naltirish uchun o‘zgartirishi kerak, bu ham mumkin. Tahdidni yumshatish uchun (lekin uni yo‘q qilish emas) quyidagilarni qo‘llashingiz mumkin:
- kirishni boshqarish. Tarmoq ichidagi manba manzili bilan tashqi tarmoqdan kelgan har qanday trafikni kesish uchun kirishni nazorat qilish mumkin. Agar ruxsat etilgan tashqi manzillar mavjud bo‘lsa, bu usul faqat ichki manzillarga ruxsat berilsa va ishlamasa samarali bo‘ladi;
- RFC 2827 filtrlash-bu turdagi filtrlash sizning tarmoq foydalanuvchilari tomonidan boshqa odamlarning tarmoqlarini buzish urinishlarini to‘xtatish imkonini beradi. Buning uchun manba manzili tashkilotingizning IP-manzillaridan biri bo‘lmagan har qanday chiquvchi trafikni rad etishingiz kerak. Ko‘pincha bunday filtrlash provayder tomonidan amalga oshiriladi. Natijada, ma'lum bir interfeysda kutilgan asl manzilga ega bo‘lmagan barcha trafik bekor qilinadi. Misol uchun, agar ISP 15.1.1.0/24 IP-manziliga ulanishni ta'minlasa, filtrni ushbu interfeysdan faqat 15.1.1.0/24 manzilidan keladigan trafik ISP routerga ruxsat berilishi uchun sozlashi mumkin. Shuni esda tutingki, barcha provayderlar ushbu turdagi filtrlashni amalga oshirmaguncha, uning samaradorligi imkon qadar ancha past bo‘ladi;
- qo‘shimcha autentifikatsiya usullarini amalga oshirish. IP-spoofing faqat ip ga asoslangan autentifikatsiya qilishda mumkin. Agar kriptografik kabi ba'zi qo‘shimcha autentifikatsiya choralarini joriy qilsangiz, hujum foydasiz bo‘ladi.
5. Xizmatni rad etish(DOS) - uni rad etish uchun hisoblash tizimiga hujum qilish, ya'ni tizimning qonuniy foydalanuvchilari taqdim etilgan resurslarga kira olmaydigan shartlarni yaratish.
DOS hujumi so‘nggi paytlarda eng keng tarqalgan va mashhur hujum bo‘lib, bu asosan amalga oshirishning soddaligi bilan bog‘liq. DOS hujumini tashkil qilish minimal bilim va ko‘nikmalarni talab qiladi va tarmoq dasturlari va tarmoq protokollarining kamchiliklariga asoslanadi. Agar hujum ko‘plab tarmoq qurilmalari uchun amalga oshirilsa, tarqalgan DOS (DDOS - tarqalgan DOS) hujumi haqida gapirish mumkin.
|
| |
