Сетевой пакет, будучи ушедшим с компьютера злоумышленника, уже не может быть возвращен назад. Системы, функционирующие на сетевом уровне, используют "живой" трафик при обнаружении атак в реальном масштабе времени. Таким образом, злоумышленник не может удалить следы своей несанкционированной деятельности. Анализируемые данные включают не только информацию о методе атаки, но и информацию, которая может помочь при идентификации злоумышленника и доказательстве в суде. Поскольку многие хакеры хорошо знакомы с механизмами системной регистрации, они знают, как манипулировать этими файлами для скрытия следов своей деятельности, снижая эффективность систем системного уровня, которым требуется эта информация для того, чтобы обнаружить атаку.

     Системы, функционирующие на уровне сети, обнаруживают подозрительные события и атаки по мере того, как они происходят, и поэтому обеспечивают гораздо более быстрое уведомление и реагирование, чем системы, анализирующие журналы регистрации. Например, хакер, инициирующий сетевую атаку типа "отказ в обслуживании" на основе протокола TCP, может быть остановлен системой обнаружения атак сетевого уровня, посылающей TCP-пакет с установленным флагом Reset в заголовке для завершения соединения с атакующим узлом, прежде чем атака вызовет разрушения или повреждения атакуемого узла. Системы анализа журналов регистрации не распознают атаки до момента соответствующей записи в журнал и предпринимают ответные действия уже после того, как была сделана запись. К этому моменту наиболее важные системы или ресурсы уже могут быть скомпрометированы или нарушена работоспособность системы, запускающей систему обнаружения атак на уровне узла. Уведомление в реальном масштабе времени позволяет быстро среагировать в соответствии с предварительно определенными параметрами. Диапазон этих реакций изменяется от разрешения проникновения в режиме наблюдения для того, чтобы собрать информацию об атаке и атакующем, до немедленного завершения атаки.

     И, наконец, системы обнаружения атак, функционирующие на сетевом уровне, не зависят от операционных систем, установленных в корпоративной сети, так как они оперируют сетевым трафиком, которым обмениваются все узлы в корпоративной сети. Системе обнаружения атак все равно, какая ОС сгенерировала тот или иной пакет, если он в соответствие со стандартами, поддерживаемыми системой обнаружения. Например, в сети могут работать ОС Windows 98, Windows NT, Windows 2000 и XP, Netware, Linux, MacOS, Solaris и т.д., но если они общаются между собой по протоколу IP, то любая из систем обнаружения атак, поддерживающая этот протокол, сможет обнаруживать атаки, направленные на эти ОС.  

     Совместное  применение систем обнаружения атак на уровне сети и уровне узла повысит  защищенность вашей сети.

2. 9.  Выводы

 

     Рассмотрев  основные виды сетевых атак и способов защиты от них, можно сделать определённые выводы: 

     

1. Несмотря  на усилия разработчиков, практический любое программное средство защиты от сетевых атак обладает набором  уязвимостей, воспользовавшись которыми, злоумышленник может атаковать  защищаемую компьютерную сеть.

 
     

2. Значительное влияние на проблему обеспечения сетевой безопасности оказывает человеческий фактор.

 
     

3. Среди рассмотренных  средств сетевой защиты наиболее совершенным и современным типом  подобного средства является система  обнаружения атак (СОА), которая является более лучшим выбором, чем межсетевой экран (МСЭ).

 

3.  Постановка  задачи

 

     В результате общего аналитического обзора технических проблем сетевой  безопасности были сделаны определённые выводы. Так, неоспоримым выводом  является важность и актуальность темы сетевой компьютерной безопасности. Практически это одна из ключевых проблем развития информационного общества.

     Другим  выводом является представление  о том, что существующие на сегодняшний  день технические средства сетевой  безопасности достаточно совершенны, однако практически любое из них обладает определёнными недостатками, что в определённой мере делает возможным существование сетевых компьютерных атак.

     Также на основании обзора можно сделать  вывод о том, что наиболее совершенными на сегодняшний день средствами защиты и безопасности локальных компьютерных систем являются комплексные системы  обнаружения атак (СОА).

3. 1.  Концепция программного  средства

 

     На  основании сделанных выводов  можно сформулировать концептуальный план программного средства, которое  будет создано в рамках данного  дипломного проекта. 

     Системы обнаружения атак (СОА) определяются в англоязычной документации как  NIDS – Network Intrusion Detection System. Большинство СОА создано для работы в ОС UNIX, потому что эта ОС обладает более развитым набором сетевых программных средств. Как правило, СОА представляют из себя анализаторы сетевых пакетов (чаще всего IP-пакетов), совмещённые с базой данных сигнатур атак. К таким системам относятся программы Shadow, Snort [9]. Существуют специальные организации, отслеживающие появление новых типов атак и описывающие их. СОА расширяемы за счёт пополнения встроенных баз данных сигнатур атак. Так, программа Snort обладает специализированным встроенным высокоуровневым языком написания правил [10], по которым оцениваются входящие пакеты и принимаются решения о наличии/отсутствии атаки. Программа Snort бесплатна и имеет открытые исходные коды. Однако она довольно сложна в применении и, кроме того, её настройка и настройка любой иной аналогичной программы на рынке СОА затруднена из-за того, что они требуют дополнительного приобретения специализированных отладочных генераторов сетевых атак (например, таких как TigerTools). 

     Таким образом, задача создания собственной  системы обнаружения атак включает в себя следующие  аспекты: 

     

1. Создание  анализатора сетевых пакетов  на третьем уровне модели OSI.
2. Создание базы данных правил регистрации атак.
3. Создание отладочной системы генерации атак.
4. Создание системы управления и регистрации.

3. 2.  Сетевое программирование  под OC Windows

 

     Поскольку наиболее распространённой в мире ОС является ОС Windows, то рассмотрим ключевой аспект создания СОА – создание генератора (анализатора) сетевых пакетов средствами ОС Windows. 

     Для этого существуют по крайней мере 2 варианта библиотек низкоуровневого сетевого программирования: 

     

1. Библиотека Windows Sockets v2.0 (Microsoft Corporation) [7].
2. Библиотека Windows Packet Capture Library (Torino Netgroup) [4].

 

     На  базе этих двух вариантов реализовано  множество низкоуровневых сетевых  приложений для ОС Windows [5] – анализаторы, снифферы,  СОА, и т.д. Наиболее ярко такая двойственная возможность реализации проявилась в программном продукте daSniff [8], который реализован обоими способами. 

     Оба подхода в реализации низкоуровневых сетевых приложений имеют свои достоинства и недостатки. Так, библиотека Windows Sockets v2.0 требует для низкоуровневых сетевых приложений права Администратора при работе под Windows 2000 и не способна в большинстве случаев перехватывать исходящие пакеты. Библиотека Windows Packet Capture Library не поддерживает Loopback Adapter.

     Общим недостатком обоих вариантов  реализации явлется то обстоятельство, что для отладки полноценного анализатора пакетов необходимо иметь как минимум два (а не один) компьютера, объединённых в локальную  сеть. В случае отсутствия второго компьютера совершенно невозможно организовать отладочную атаку на проектируемую СОА для практически всех протоколов. Единственным (известным) исключением является протокол ICMP, реализованный с помощью библиотеки Windows Sockets v2.0. В этом случае возможно на одном и том же компьютере как генерировать отладочную атаку средствами протокола ICMP, так и перехватывать её. Все остальные протоколы (в случае использования только одного компьютера) на низком уровне позволяют (при использовании библиотеки Windows Sockets v2.0) лишь генерировать атаки, а перехватывать – только на высоком уровне (что практически не имеет смысла). И только применив второй компьютер (с библиотекой Windows Sockets v2.0), подключённый к первому по локальной сети,  можно перехватывать атакующие пакеты на низком (а не на высоком) уровне.

     Библиотека  Windows Packet Capture Library [4] вообще не предполагает никаких вариантов одновременной работы на одном компьютере отладочного генератора атак вместе с системой обнаружения атак.

     Теоретически  можно попробовать обойти это  принципиальное ограничение (требование наличия двух компьютеров, объединённых в локальную сеть) при помощи такого специализированного ПО, как Virtual PC (или VMWare для Linux) – программы, которая эмулирует несколько виртуальных компьютеров на одном. Однако подобная задача выходит за рамки данного дипломного проекта.

     Другой  аспект создания собственной СОА  – это разработка и применение сигнатур атак. После создания низкоуровневого  сетевого анализатора пакетов задача регистрации атак сводится к анализу полей входящих пакетов (IP) и их последовательности.

     Для любой дипломной работы наибольший практический интерес представляет такой программный продукт, который  может полноценно работать на одном  компьютере (не требуя наличия нескольких компьютеров). Из этого краткого обзора средств реализации низкоуровневого сетевого программирования под ОС Windows видно, что единственным подходящим вариантом является клиент-серверная реализация системы «отладочный генератор атак – система обнаружения атак» на основе протокола ICMP, реализованного низкоуровневыми средствами библиотеки Windows Sockets v2.0. Только этот вариант из всех рассмотренных позволяет создать полноценную систему обнаружения атак, основанную на использовании протокола IP и ICMP. Ценность такой системы состоит в том, что впоследствии она может быть легко переделана под протоколы TCP и UDP (с подключением второго компьютера по локальной сети) из-за концептуального сходства формата полей протокола ICMP и протоколов TCP и UDP.

     Библиотека  Windows Sockets v2.0 [7] – это стандартное средство для программирования сетевых приложений для ОС MS Windows. Помимо стандартных и общеизвестных функций эта библиотека содержит также некоторые малоизвестные низкоуровневые возможности. Существуют некоторые удачные их описания [3] и примеры (см. программу «Ping» в [7]).

     Для создания низкоуровнего сетевого ICMP-приложения необходимо ознакомиться в общих чертах с работой протокола IP [14], затем подробно изучить протокол IP [12] и протокол ICMP [13], а также изучить сетевые атаки на базе протокола ICMP [6].

     Протокол  ICMP – это служебный протокол, применяемый в основном для сообщений об ошибках и для настройки протоколов TCP и UDP. Он также применяется в известных утилитах Ping и Traceroute. Протокол ICMP – это протокол сетевого (третьего) уровня, также, как и протокол IP. Это проявляется тем, что для протокола ICMP не существует понятия «порт» и «вложенное сообщение» (в отличие от протоколов транспортного (четвёртого) уровня – TCP и UDP). Однако формат полей пакета концептуально тот же, что и для протоколов TCP и UDP – в пакете сначала идёт заголовок IP, затем – заголовок ICMP. ICMP-пакет не может нести полезное сообщение (в отличие от протоколов TCP и UDP), но зато он предусматривает поля «тип» и «код», каждое из которых может принимать значения от 0 до 127. Многие комбинации полей «тип» и «код» имеют предопределённое значение [3]. Все ICMP-сообщения делятся на 2 группы – ошибки и запросы [3]. Библиотека Windows Sockets v2.0 не может регистрировать ICMP-пакеты типа «ошибка», сгенерированные на том же компьютере, а только ICMP-пакеты типа «запрос» (также за некоторыми исключениями).

3. 3.  Атакующие воздействия  для программного  средства

 

     Разрабатываемое в рамках данной дипломной работы программное средство будет работать исключительно с протоколом ICMP, т.к. только этот протокол допускает полноценную работу с ним на одном компьютере. Поэтому мы рассмотрим сетевые атаки на базе протокола ICMP [6] и разработаем способы их обнаружения. К таким атакам относятся: лавинное затопление ICMP-пакетами, атака «Smurf», подмена IP-адреса и другие.

3. 3. 1.  Атака Smurf

 

Атака Smurf (рис. 1) основана на использовании возможности протокола ICMP рассылать дейтаграммы по нескольким адресам. Ответить на один широковещательный эхо-запрос ICMP может большое количество хостов. Эта возможность используется для проведения атаки отказа в обслуживании на избранный хост или сеть.

Сначала  злоумышленник  должен  сформировать  широковещательный  эхо-запрос ICMP к хостам атакуемой сети, подменив при этом действительный IP-адрес своего компьютера. 

Рис. 1. Схема атаки Smurf 

В качестве этого IP-адреса используется адрес атакуемого хоста (или сети). Чтобы запрос попал ко всем хостам сети, его должен пропустить внешний маршрутизатор. Успешным завершением атаки является отправка всеми работающими хостами эхо-ответов на адрес атакуемого хоста. Атакованный хост (или сеть, в которой он находится) может пострадать от такой внезапной активности и перестанет выполнять возложенные на него задачи при следующих условиях: 

• нарушитель   отправляет   большое   количество   широковещательных   эхо-запросов;
• внешний узел (маршрутизатор) позволяет прохождение входящего трафика с указанием широковещательного адреса;
• машрутизатор работает в крупной сети, хосты которой одновременно отправляют большое количество эхо-ответов (с другой стороны, того же результата можно добиться, использовав несколько машрутизаторов более мелких сетей);
• канал, с помощью которого атакуемый узел соединен с Internet, имеет низкую пропускную способность. Точнее, количество одновременно отправленных пакетов должно превысить максимальную пропускную способность этого канала. Хотя можно "затопить" пакетами любое Internet-соединение при наличии достаточного трафика, но для соединений с меньшей пропускной способностью сделать это будет проще.