مقدمة

تُستخدم أنظمة اكتشاف عمليات اقتحام الشبكات وتحديد علامات الهجمات الحاسوبية على أنظمة المعلومات منذ فترة طويلة كأحد خطوط الدفاع الضرورية لأنظمة المعلومات. يستخدم مطورو أنظمة أمن المعلومات والاستشاريون في هذا المجال بنشاط مثل هذه المفاهيم (المنقولة من اتجاه ضمان الأمن المادي والصناعي) حيث بدأت مصطلحات الحماية "المحيطية" والحماية "الثابتة" و"الديناميكية" في الظهور؛ على سبيل المثال، العلاجات "الاستباقية".

لقد تم إجراء الأبحاث في مجال اكتشاف الهجمات على شبكات وأنظمة الكمبيوتر في الخارج منذ أكثر من ربع قرن. تتم دراسة علامات الهجمات، ويتم تطوير واستخدام أساليب ووسائل اكتشاف محاولات الاختراق غير المصرح به من خلال أنظمة الأمان، سواء المتصلة بالإنترنت أو المحلية، على المستوى المنطقي وحتى المادي. في الواقع، يمكن أن يشمل ذلك أيضًا البحث في مجال PEMIN، نظرًا لأن التلاعب الكهرومغناطيسي له نظائره المباشرة في بيئة الشبكة التي أصبحت شائعة بالفعل بالنسبة لمستخدم الكمبيوتر العادي. يتم تمثيل أنظمة كشف التسلل والهجمات التجارية (IDAs) من الشركات الأجنبية (ISS RealSecure، وNetPatrol، وSnort، وCisco، وما إلى ذلك) على نطاق واسع في السوق الروسية، وفي الوقت نفسه، لا يتم تمثيل الحلول المعقدة من المطورين الروس عمليًا. ويرجع ذلك إلى حقيقة أن العديد من الباحثين والمطورين المحليين يطبقون SOA، مع الحفاظ على تشابهات البنيات والحلول القياسية للأنظمة المعروفة بالفعل، دون محاولة خاصة زيادة كفاءة الكشف الوقائي عن الهجمات والاستجابة لها. عادة ما يتم تحقيق المزايا التنافسية في هذا القطاع من السوق الروسية من خلال التخفيض الكبير في الأسعار والاعتماد على "الدعم من المنتجين المحليين".

الشكل 2. هرم المعلومات

الجزء العلوي من هرم المعلومات هو المخاطر والتهديدات الكامنة في النظام المعني. فيما يلي خيارات مختلفة لتنفيذ التهديدات (الهجمات)، وأدنى مستوى هو علامات الهجمات. يتمتع المستخدم النهائي، بالإضافة إلى نظام كشف الهجوم، بالقدرة على تسجيل عملية تطوير هجوم معين فقط أو حقيقة الهجوم المنجزة بناءً على السمات المميزة التي تمت ملاحظتها. علامات الهجوم هي شيء يمكننا تسجيله ومعالجته فعليًا باستخدام وسائل تقنية مختلفة، وبالتالي، نحتاج إلى وسائل لتسجيل علامات الهجمات.

إذا تم النظر في هذه العملية مع مرور الوقت، فيمكننا القول أن تسلسلات معينة من العلامات المرصودة تؤدي إلى أحداث أمنية. يمكن للأحداث الأمنية نقل الكائنات المحمية لنظام المعلومات إلى حالة غير آمنة. لذلك، يتطلب نظام كشف الهجوم شريحة معلومات كاملة بما فيه الكفاية، تحتوي على جميع الأحداث الأمنية التي حدثت في نظام المعلومات خلال الفترة قيد المراجعة. بالإضافة إلى ذلك، عند صعود الهرم، بالنسبة لحدث أمني، يمكنك تحديد نوع التهديدات التي يمكن أن يؤدي إليها، من أجل التنبؤ بتطورها أثناء تطور الهجوم واتخاذ التدابير لمواجهة التهديدات التي قد يسببها هذا الهجوم.

تتضمن منهجية معالجة البيانات في نظم المعلومات الحديثة الاستخدام الواسع النطاق للمستويات المتعددة. بالنسبة لنوع جديد من SOA، يمكن تمييز المستويات الكبيرة التالية التي يمكن من خلالها الوصول إلى المعلومات المعالجة:

1. مستوى البرمجيات التطبيقيةالتي يعمل بها المستخدم النهائي لنظام المعلومات. غالبًا ما تحتوي البرامج التطبيقية على ثغرات أمنية يمكن للمهاجمين استخدامها للوصول إلى بيانات البرنامج التي تتم معالجتها.
2. مستوى نظم إدارة قواعد البيانات.يعد مستوى نظام إدارة قواعد البيانات (DBMS) حالة خاصة من أدوات مستوى التطبيق، ولكن يجب فصله إلى فئة منفصلة نظرًا لخصائصه. كقاعدة عامة، لدى نظام إدارة قواعد البيانات نظام خاص به لسياسات الأمان ووصول المستخدم، والذي لا يمكن تجاهله عند تنظيم الأمان.
3. مستوى نظام التشغيل.يعد نظام التشغيل الخاص بأجهزة الكمبيوتر التي تحمل عنوان IP المحمي عنصرًا مهمًا للحماية، نظرًا لأن أي برنامج تطبيقي يستخدم الأدوات التي يوفرها نظام التشغيل. لا فائدة من تحسين جودة وموثوقية البرامج التطبيقية إذا تم تشغيلها على نظام تشغيل غير محمي.
4. ناقل الحركة متوسط ​​المستوى.تتضمن الدوائر المتكاملة الحديثة استخدام وسائط نقل البيانات المختلفة لربط مكونات الأجهزة التي تشكل الدائرة المتكاملة. تعد وسائط نقل البيانات أحد أكثر مكونات نظم المعلومات غير المحمية اليوم. يعد التحكم في وسيط النقل والبيانات المرسلة أحد المكونات الإلزامية لآليات حماية البيانات.

وبشكل توضيحي، يتم عرض مستويات معالجة تدفقات البيانات في نظام المعلومات.

الشكل 3. مستويات معالجة المعلومات في نظام المعلومات

بناءً على ما سبق، يمكننا أن نستنتج أن أي أدوات لأمن المعلومات، بما في ذلك أنظمة الكشف عن الهجمات والوقاية منها، يجب أن تكون قادرة على تحليل البيانات المعالجة والمرسلة على كل مستوى من المستويات المحددة. تؤدي متطلبات وجود نظام كشف الهجوم على كل مستوى وظيفي لنظام المعلومات إلى الحاجة إلى فصل النظام الفرعي لتسجيل الأحداث الأمنية إلى مجموعة منفصلة من تحقيقات معلومات SOA، والتي تضمن جمع المعلومات داخل الشبكة بأكملها نظام معلومات. وفي الوقت نفسه، يتطلب عدم تجانس الأنظمة الأساسية للبرامج والأجهزة والمهام التي يتم حلها بواسطة كائنات IS المختلفة استخدام بنية معيارية لتحقيقات المعلومات لضمان أقصى قدر من التكيف مع ظروف التطبيق المحددة.

استخدام المعرفة حول تهديدات أمن المعلومات للكشف عن الهجمات على نظام المعلومات

عادةً ما تكون تهديدات أمن المعلومات مترابطة بطريقة ما. على سبيل المثال، يمكن أن يؤدي التهديد بالاستيلاء على خادم ويب ضعيف لعقدة شبكة إلى التهديد بالاستيلاء الكامل على السيطرة على هذه العقدة، لذلك، من أجل التنبؤ بالموقف وتقييمه، من المستحسن أن تأخذ في الاعتبار الاحتمالية علاقة التهديدات.

إذا اعتبرنا U - مجموعة التهديدات الأمنية لنظام المعلومات قيد النظر، فإن u i O U هو التهديد الأول. بافتراض أن مجموعة التهديدات محدودة، سنفترض أن تنفيذ التهديد الأول يمكن، مع بعض الاحتمالات، أن يؤدي إلى إمكانية تنفيذ تهديدات أخرى. في هذه الحالة، تنشأ مهمة حساب P(u|u i1 ,u i2 ,...,u ik) - احتمالية تحقيق التهديد u، بشرط أن تكون التهديدات u i1 ,u i2 ,..., لقد تم تحقيق u ik (انظر).

الشكل 4. عرض الرسم البياني لتبعية تهديدات أمن المعلومات

الطريقة الأكثر موثوقية لاكتشاف الهجوم هي الحصول على أكبر قدر ممكن من المعلومات حول الحدث الذي وقع. كما يتبين من الأقسام السابقة، فإن الأنظمة الحديثة غالبًا ما تكتشف الهجمات بناءً على وجود توقيع معين ومحدد للغاية.

ومن خلال توسيع هذا النهج، يمكننا التركيز على عملية تحديد المراحل (المراحل) المختلفة لتنفيذها في هجمات الكمبيوتر. يعد تحديد مراحل الهجوم، وخاصة المراحل المبكرة، عملية مهمة تسمح في النهاية باكتشاف الهجوم أثناء تطوره. ومع ذلك، لا يمكن القيام بذلك إلا من خلال التحديد المناسب لقائمة التهديدات التي يتعرض لها نظام المعلومات والتي يمكن تنفيذها في كل مرحلة من مراحل الهجوم، وعكس هذه الحقيقة بشكل مناسب في التصنيف. في أقرب تقدير تقريبي، هناك ثلاث مراحل رئيسية للهجوم: استطلاع الشبكة، والتنفيذ، والدمج، وإخفاء الآثار.

يعد تحليل العلاقة بين التهديدات ومراحل الهجوم والتنبؤ بالتهديدات الأكثر احتمالية التي يمكن أن ينفذها المهاجم مهمة مهمة في توفير أمن المعلومات. يعد ذلك ضروريًا لاتخاذ القرار في الوقت المناسب لمنع التأثيرات الضارة.

العنصر التالي في مفهوم اكتشاف الهجوم هو التصنيف. لا يزال تصنيف هجمات الكمبيوتر قيد البحث بنشاط. تتمثل المهمة الرئيسية لتطوير تصنيف لهجمات الكمبيوتر في ضمان سهولة استخدام هذا التصنيف عمليًا. المتطلبات الأساسية للتصنيف هي كما يلي: الفئات غير المتداخلة، والاكتمال، وقابلية التطبيق، والموضوعية، وقابلية التوسع، والنهايات. تم اقتراح طرق مثيرة للاهتمام لتصنيف هجمات الشبكة في. يجب أن يأخذ تصنيف التهديدات الأمنية في الاعتبار هيكل ومراحل الهجوم على أنظمة الكمبيوتر، وتحديد سمات مثل مصادر الهجوم وأهدافه، وخصائصها الإضافية، والتصنيف متعدد المستويات. ينبغي بناء نموذج كشف التسلل على أساس التصنيف المطور.

وبالتالي، من الضروري في المستقبل حل المشكلات التالية - تحديد التنفيذ الأكثر احتمالاً للتهديد في الوقت الحالي من أجل الحصول على فكرة عن العواقب التي يمكن أن يتوقعها نظام المعلومات في أقصر وقت ممكن، كما وكذلك وضع توقعات لتطور الوضع من أجل تحديد التنفيذ الأكثر احتمالا للتهديدات في المستقبل.

تحسين فعالية أنظمة كشف التسلل - نهج متكامل

بشكل عام، لا تزال أنظمة كشف التسلل والهجمات الحديثة بعيدة كل البعد عن الحلول المريحة والفعالة من الناحية الأمنية. ينبغي إدخال زيادة الكفاءة ليس فقط في مجال اكتشاف التأثيرات الضارة على البنية التحتية لكائنات المعلومات المحمية، ولكن أيضًا من وجهة نظر التشغيل "القتال" اليومي لهذه الأموال، فضلاً عن توفير موارد الحوسبة والمعلومات مالك نظام الحماية هذا.

إذا تحدثنا مباشرة عن وحدات معالجة البيانات، فاتباع منطق القسم السابق، فإن كل توقيع هجوم في مخطط معالجة معلومات الهجوم المقدم هو عنصر أساسي للتعرف على الإجراءات الأكثر عمومية - التعرف على مرحلة الهجوم (مرحلة تنفيذه). يتم تعميم مفهوم التوقيع على بعض القواعد الحاسمة (على سبيل المثال، من خلال البحث عن الحالات الشاذة في حركة مرور الشبكة أو ضربات لوحة المفاتيح للمستخدم). وكل هجوم، على العكس من ذلك، ينقسم إلى مجموعة من مراحل تنفيذه. كلما كان الهجوم أبسط، كان من الأسهل اكتشافه وزادت فرص تحليله. يقوم كل توقيع بتعيين حدث معين في شبكة الحوسبة والبيئة المحلية في مرحلة هجمات الكمبيوتر. يمكن تحديد المراحل بحرية، ولكن من الأفضل الاحتفاظ بتفاصيل كافية لتتمكن من وصف الهجمات باستخدام سيناريوهات الهجوم التفصيلية (قائمة بمراحل الهجوم والانتقالات بينها).

سيناريو الهجوم في هذه الحالة هو رسم بياني انتقالي مشابه للرسم البياني لآلة حتمية محدودة. ويمكن وصف مراحل الهجوم، على سبيل المثال، على النحو التالي:

• اختبار المنفذ
• تحديد البرامج والأجهزة؛
• مجموعة من اللافتات
• استخدام مآثر؛
• تعطيل وظائف الشبكة باستخدام هجمات رفض الخدمة؛
• التحكم من خلال الأبواب الخلفية.
• البحث عن أحصنة طروادة المثبتة؛
• البحث عن خوادم بروكسي؛
• إزالة آثار الوجود؛
• إلخ. (إذا لزم الأمر بدرجات متفاوتة من التفاصيل).

مزايا هذا النهج واضحة - في حالة المعالجة المنفصلة لمراحل مختلفة من الهجوم، يصبح من الممكن التعرف على التهديد أثناء عملية إعداده وتشكيله، وليس في مرحلة تنفيذه، كما يحدث في الأنظمة الحالية. أنظمة. في الوقت نفسه، يمكن أن يكون الأساس الأولي للاعتراف هو البحث عن التوقيع والكشف عن الحالات الشاذة، واستخدام أساليب وأنظمة الخبراء، وعلاقات الثقة وغيرها من المعلومات، المعروفة والمنفذة بالفعل، والشبكة والأوليات المحلية لتقييم تدفق الأحداث التي تحدث في بيئة الحوسبة.

يسمح النهج العام للتحليل بتحديد التهديدات الموزعة (بكل المعاني) على التوالي، سواء في الفضاء الزمني أو المنطقي أو المادي. كما يسمح المخطط العام لمعالجة الأحداث الواردة بالبحث عن الهجمات الموزعة - عن طريق التجميع اللاحق للبيانات من مختلف المصادر والبيانات الوصفية للتصميم حول الحوادث المعروفة على طول "المحيط" المحمي (انظر).

الشكل 5. دائرة كشف الهجمات الحاسوبية المتكاملة

يتم تحديد الهجمات الموزعة من خلال تجميع البيانات حول الهجمات الواردة والأنشطة المشبوهة ومطابقة الأنماط والتصفية الإحصائية. وبالتالي، يتم الإبلاغ عن الأنشطة المشبوهة في أنظمة الكمبيوتر على عدة مستويات:

• يُبلغ المستوى الأدنى عن الأحداث البدائية (مطابقات التوقيع، والكشف عن الشذوذ)؛
• تستخرج الطبقة الوسطى المعلومات من الطبقة السفلى وتجميعها باستخدام أجهزة الحالة المحدودة (نصوص الهجوم)، والتحليل الإحصائي وآليات تصفية العتبة؛
• يقوم المستوى الأعلى بتجميع المعلومات من الاثنين السابقين ويسمح لك بتحديد الهجمات التقليدية والموزعة ومصدرها الحقيقي والتنبؤ بسلوكها الإضافي بناءً على التحليل الذكي.

يجب فصل جوهر نظام كشف الهجمات الحاسوبية بشكل واضح عن نظام التصور والإنذار.

للبحث عن التوقيعات في حزم الشبكة، يتم استخدام القواعد التي تشكل قائمة من الخيارات (جواز السفر) التي يتم من خلالها فحص حزم الشبكة الواردة. تستخدم الأنظمة الحالية (مثل Snort أو PreludeIDS، التي تستخدم قواعد Snort) أوصافًا مبنية على الأسطر لهذه القواعد:

تنبيه tcp $HOME_NET 1024:65535 ->
$EXTERNAL_NET 1024:65535
(msg:"BLEEDING-EDGE TROJAN Trojan.Win32.Qhost C&C Traffic Outbound (case1)";
التدفق: أنشئت؛
حجم:>1000;
المحتوى:"|00 00 00 28 0a 00 00 02 0f|حزمة الخدمة 1|00|";
classtype:نشاط طروادة؛
المرجع: url,/www.viruslist.com/en/viruses/encyclopedia?virusid=142254;
سيد:2007578;
المراجعة: 1؛
)

هذا النوع أكثر ملاءمة للمعالجة الآلية السريعة، ولكنه أقل ملاءمة للبشر. بالإضافة إلى ذلك، فهو يفتقر إلى القدرات اللازمة لتوسيع الوظائف المتأصلة في التطبيقات المشابهة لـ XML لقواعد بيانات التوقيع. على سبيل المثال، يتيح لك التكوين البسيط "الذي يشبه القوس" كتابة عدد من متغيرات التحكم ووصف القواعد في شكل مرئي أكثر متعة ومفهومة، مع الحفاظ على القدرة على توسيع الوظائف بسهولة. وبالتالي، فإن تحديد مراحل الهجمات والكائنات المحمية والأحداث التي تحدث على الشبكة قد يبدو كما يلي:

نوع_defs(
تنبيه = 1؛
تحذير = 2؛
فشل = 4؛
}
srcdst_defs(
هوم_نت = 195.208.245.212
المضيف المحلي = 127.0.0.1
}
بروتو_ديفس (
تكب = 1؛
أودب = 2؛
تدفق برنامج التعاون الفني = 10؛
}
phase_defs(
port_scanning = 1;
استغلال = 2؛
icmp_sweeping = 3;
ftp_bouncing = 4;
shell_using = 5;
dir_listing = 6;
file_opening = 7;
}

وقد يكون لقسم تحديد تهديدات أمن المعلومات مناصب رئيسية مشابهة لما يلي:

علاج_defs = (
يعامل (
الاسم = الوصول غير المصرح به للملف؛
المعرف = FUAC؛
msg = "رسالة باللغة الإنجليزية";
}
}

بالإضافة إلى التهديدات ومراحل الهجوم والكائنات المحمية المشار إليها في شكل مرن، فإن المعالجة المتكاملة للمعلومات المرتبطة بتحديد التهديدات لأمن المعلومات تجعل من الممكن أيضًا تقديم نهج موجه نحو الخدمة لاكتشاف الهجمات، وإنشاء أوصاف الشبكة والبيانات تلقائيًا أو يدويًا. الخدمات المحلية، فضلاً عن إعطاء الأولوية للأهمية، من وجهة نظر ضمان المستوى المناسب لأمن المعلومات والنشاط الحيوي للبنية التحتية لمعلومات الشبكة.

Service_defs = (
خدمة (
الاسم = بوب3؛
رسالة = "";
مجموعات القواعد = "أبواب خلفية، ماسحات ضوئية من نوع pop3";
التسامح الأمني ​​= 3
التأمين على الحياة = 5
}
}

تبدو القواعد نفسها، على سبيل المثال، كما يلي:

مجموعة القواعد(
الاسم = أبواب خلفية؛
قاعدة(
المعرف = 0x1000؛
اكتب = تنبيه؛
بروتو = تكب؛
src = مضيف محلي;
التوقيت الصيفي = 195.208.245.0/24:2000;
msg = "service::ما هو العيب في هذا التنبيه";
الخيارات = ا ف ب، Vice_versa؛
يحتوي على = "|0a0a0d03|";
المرحلة = الاستغلال؛
علاج = الوصول غير المصرح به للملف؛
المراجعة = 1؛
}
}

هنا، يتم أخذ كل من العلامات الكلاسيكية للحدث في الاعتبار (نوع الحدث، وبروتوكول الكشف، ومصدر التأثير وهدفه، والرسالة القصيرة)، والعلامات الإضافية - مرحلة الهجوم، ونوع التهديد الذي يتعلق به الحدث. في هذه الحالة، يمكن تجميع القواعد نفسها في مجموعات، والتي تكون مناسبة بعد ذلك لربطها بالشبكة والخدمات المحلية المثبتة في النظام المحمي.

إذا عدنا إلى فعالية التحقق من القواعد في أنظمة الكشف عن هجمات الشبكة، فيجب أن نلاحظ الحقيقة التالية. حاليًا، يتم فحص جميع القواعد في أنظمة SOA على النحو التالي (انظر). يتم فحص القواعد غير المتجانسة بشكل منفصل، قاعدة بقاعدة، بينما يتم تنفيذ العمليات المتجانسة على الحزم بشكل منفصل طوال الوقت. لا يسمح هذا النهج بموازاة معالجة حزم الشبكة بشكل فعال، أو الاستخدام الكامل لقدرات العديد من خطوط الأنابيب على المعالجات الحديثة، أو تحسين البحث عن قواعد توقيع متشابهة جزئيًا.

ومع ذلك، هناك أيضًا عيب في هذا النهج عندما تكون الأنماط مرتبطة ببعضها البعض، على سبيل المثال (إليك مثال على هذا النمط: ابحث عن التواجد الأول، ثم تحقق من وجود تسلسل ثنائي معين بالنسبة إليه بعد ذلك) بضعة بايت). صحيح أن هذه القواعد تمثل أقلية ساحقة (حتى إذا حكمنا من خلال القواعد المقبولة عمومًا لـ SOA Snort الشهيرة)، مما يجعل من الممكن وضعها في فئة منفصلة من الأساليب القابلة للتوازي واستخدام أي طرق فحص تسلسلية بسيطة فيها.

بالإضافة إلى ميزة موازنة عملية البحث عن التوقيع، يصبح من الممكن استخدام طرق للبحث المتزامن عن العديد من التوقيعات في تدفق الشبكة في مسار واحد (يمكنك، على سبيل المثال، بناء جهاز حالة كبير واحد لمعظم الأنماط المشاركة في القواعد، أو استخدم ترقية متعددة التوقيع لخوارزمية Boyer-Moore).

أظهرت الاختبارات التجريبية لخيارات التنفيذ المختلفة لطرق البحث المتزامن عن العديد من التوقيعات أن الأسرع هو تنفيذ آلة كبيرة ذات حالة محدودة، تم تعديلها بطريقة تسمح بـ "تخطي" الأخطاء المتجانسة - عمليات الإغفال والإدراج ذات الطول التعسفي، بالإضافة إلى أخطاء الاستبدال (نتيجة تعديل التوقيع، وهو أمر شائع إلى حد ما، وذلك لإخفائه من SOA).

يمكن تجميع القواعد (القوالب) التي يصعب التحقق منها مسبقًا في مكونات إضافية ثنائية (كما يحدث، على سبيل المثال، في نظام RealSecure IDS).

خاتمة

إن النهج الحديث لبناء أنظمة كشف التسلل إلى الشبكات وتحديد علامات الهجمات الحاسوبية على أنظمة المعلومات مليء بأوجه القصور ونقاط الضعف التي، لسوء الحظ، تسمح للتأثيرات الضارة بالتغلب على أنظمة أمن المعلومات بنجاح. إن الانتقال من البحث عن توقيعات الهجوم إلى تحديد المتطلبات الأساسية لظهور التهديدات لأمن المعلومات يجب أن يساعد في تغيير هذا الوضع بشكل جذري، مما يقلل الفجوة في تطوير أنظمة الحماية من أنظمة التغلب عليها.

بالإضافة إلى ذلك، يجب أن يساهم هذا الانتقال في زيادة كفاءة إدارة أمن المعلومات، وأخيرا، في أمثلة أكثر تحديدا لتطبيق الوثائق التنظيمية والتوجيهية التي أصبحت بالفعل معايير.

تتميز أي طريقة هجوم بمجموعة معينة من الخصائص. تشمل العلامات النموذجية للهجمات ما يلي: :

1) تكرار أحداث وأفعال معينة. على سبيل المثال، الوصول إلى المنافذ (المسح)، وتخمين كلمة المرور، وتكرار الطلبات لإنشاء اتصال، مما يؤدي إلى قائمة الانتظار أو تجاوز سعة المخزن المؤقت؛

2) معلمات غير متوقعة في حزم الشبكة

· سمات العناوين غير المتوقعة (على سبيل المثال، عناوين IP غير القابلة للتوجيه أو المحجوزة، قيمة حقل منفذ المصدر أو الوجهة صفر، طلب خوادم غير قياسية)؛

· معلمات غير متوقعة لأعلام حزم الشبكة (على سبيل المثال، عند تعيين علامة ACK، يكون رقم الإقرار صفرًا؛ وهناك علامتان SYN+FIN متبادلتان في الحزمة؛ ووجود علامة FIN فقط؛ واستخدام مجموعة من أعلام SYN+RST وRST+FIN)؛

· سمات الوقت أو التاريخ غير المتوقعة؛

3) معلمات حركة مرور الشبكة غير مناسبة

· معلمات حركة المرور الواردة (على سبيل المثال، الحزم التي تدخل الشبكة المحلية من الخارج والتي لها عنوان مصدر يتوافق مع نطاق عنوان الشبكة الداخلية)؛

· معلمات حركة المرور الصادرة (على سبيل المثال، الحزم الصادرة من الشبكة المحلية بعنوان مصدر يتوافق مع نطاق عناوين الشبكة الخارجية)؛

· الأوامر التي لا تتوافق مع الوضع الحالي (طلبات أو ردود غير صحيحة)؛

· شذوذ حركة مرور الشبكة (على سبيل المثال، التغيرات في عامل التحميل، وحجم الحزمة، ومتوسط ​​عدد الحزم المجزأة)؛

4) سمات أداء النظام غير مناسبة

· خصائص النظام غير الطبيعية (تحميل وحدة المعالجة المركزية الثقيلة، الوصول المكثف إلى ذاكرة الوصول العشوائي أو ذاكرة القرص، الملفات)؛

· التناقض بين خصائص أداء المستخدم وملفاته الشخصية (الانحراف عن أوقات الذروة والحد الأدنى للتحميل، من مدة جلسة العمل النموذجية، من الوقت المعتاد للدخول والخروج من النظام).

الخيارات الرئيسية لتنفيذ هجمات الكمبيوتر

يمكن تنفيذ الهجمات عبر تسجيل الدخول المباشر أو عبر الشبكة إلى النظام. ولذلك، هناك خياران رئيسيان لتنفيذ الهجمات:

1) النظام –حيث يُفترض أن المهاجم لديه بالفعل حساب على النظام الذي تمت مهاجمته مع بعض الامتيازات (المنخفضة عادةً) أو أنه من الممكن تسجيل الدخول إلى النظام كمستخدم مجهول. في هذه الحالة، يتم تنفيذ الهجوم عن طريق قيام المهاجم بتسجيل الدخول إلى النظام تحت هذا الحساب والحصول على صلاحيات إدارية إضافية. نتيجة للهجوم، يتم تحقيق الوصول غير المصرح به إلى المعلومات الموجودة على الكائن (المضيف). على وجه الخصوص، يمكن تنفيذ هذا النوع من الهجوم باستخدام برنامج GetAdmin.

2) شبكة– مما يعني أن الدخيل يحاول اختراق النظام عن بعد عبر الشبكة. يكون هذا الاختراق ممكنًا عندما يكون كمبيوتر الدخيل موجودًا في نفس قطاع الشبكة، أو في قطاعات مختلفة، أو مع إمكانية الوصول عن بعد إلى الكائن الذي تمت مهاجمته (على سبيل المثال، باستخدام اتصالات الطلب الهاتفي أو المودم المخصص). ونتيجة لهذه الهجمات، قد يتمكن المهاجم من التحكم عن بعد في جهاز الكمبيوتر عبر الشبكة، والوصول إلى موارد المعلومات الخاصة بالكائن الذي تمت مهاجمته، وتغيير وضع التشغيل الخاص به، بما في ذلك رفض الخدمة. يمكن استخدام برامج NetBus أو BackOrifice كبرامج تسمح لك بتنفيذ هجمات على الشبكة.

لتنفيذ الهجمات، يمكن استخدام أوامر معينة (تسلسلات الأوامر) في واجهة سطر الأوامر أو البرامج النصية أو البرامج أو الوكلاء المستقلين المثبتين على واحدة أو موزعين على عدة عقد (أجهزة كمبيوتر) في الشبكة.

06/20/05 37.2 ألف

يغير الإنترنت أسلوب حياتنا تمامًا: العمل والدراسة والترفيه. وسوف تحدث هذه التغييرات في المجالات التي نعرفها بالفعل (التجارة الإلكترونية، والوصول إلى المعلومات في الوقت الحقيقي، وزيادة قدرات الاتصال، وما إلى ذلك) وفي المجالات التي ليس لدينا فكرة عنها بعد.

قد يأتي الوقت الذي تقوم فيه إحدى الشركات بإجراء جميع مكالماتها الهاتفية عبر الإنترنت مجانًا تمامًا. في الحياة الخاصة، قد تظهر مواقع ويب خاصة يمكن للوالدين من خلالها معرفة أحوال أطفالهم في أي وقت. لقد بدأ مجتمعنا للتو في إدراك الإمكانيات اللامحدودة للإنترنت.

مقدمة

بالتزامن مع النمو الهائل في شعبية الإنترنت، ينشأ خطر غير مسبوق يتمثل في الكشف عن البيانات الشخصية وموارد الشركة الهامة وأسرار الدولة وما إلى ذلك.

كل يوم، يهدد المتسللون هذه الموارد من خلال محاولة الوصول إليها باستخدام هجمات خاصة أصبحت تدريجيًا أكثر تعقيدًا من ناحية وأسهل في التنفيذ من ناحية أخرى. هناك عاملان رئيسيان يساهمان في ذلك.

أولا، هذا هو الاختراق الواسع النطاق للإنترنت. هناك الملايين من الأجهزة المتصلة بالإنترنت اليوم، وسيتم توصيل ملايين الأجهزة بالإنترنت في المستقبل القريب، مما يزيد من احتمالية وصول المتسللين إلى الأجهزة المعرضة للخطر.

وبالإضافة إلى ذلك، فإن الاستخدام الواسع النطاق للإنترنت يسمح للمتسللين بتبادل المعلومات على نطاق عالمي. إن البحث البسيط عن كلمات رئيسية مثل "hacker" أو "hacking" أو "hack" أو "crack" أو "phreak" سيعود إليك بآلاف المواقع، التي يحتوي الكثير منها على تعليمات برمجية ضارة وكيفية استخدامها.

ثانيا، هذا هو التوزيع الأوسع لأنظمة التشغيل وبيئات التطوير سهلة الاستخدام. هذا العامل يقلل بشكل حاد من مستوى المعرفة والمهارات التي يحتاجها المتسلل. في السابق، من أجل إنشاء وتوزيع تطبيقات سهلة الاستخدام، كان على المتسلل أن يتمتع بمهارات برمجة جيدة.

الآن، للوصول إلى أداة الهاكر، ما عليك سوى معرفة عنوان IP الخاص بالموقع المطلوب، وتنفيذ الهجوم بنقرة واحدة فقط على الفأرة.

تصنيف هجمات الشبكة

تتنوع هجمات الشبكة مثل الأنظمة التي تستهدفها. بعض الهجمات معقدة للغاية، والبعض الآخر يقع ضمن قدرات المشغل العادي، الذي لا يتخيل حتى عواقب أنشطته. لتقييم أنواع الهجمات، تحتاج إلى معرفة بعض القيود المتأصلة في بروتوكول TPC/IP. شبكة

تم إنشاء شبكة الإنترنت للتواصل بين الجهات الحكومية والجامعات لمساعدة العملية التعليمية والبحث العلمي. لم يكن لدى منشئي هذه الشبكة أي فكرة عن مدى انتشارها. ونتيجة لذلك، كانت مواصفات الإصدارات المبكرة من بروتوكول الإنترنت (IP) تفتقر إلى متطلبات الأمان. وهذا هو السبب في أن العديد من تطبيقات IP معرضة للخطر بطبيعتها.

بعد سنوات عديدة، وبعد العديد من الشكاوى (طلب التعليقات، RFC)، بدأ أخيرًا تنفيذ التدابير الأمنية الخاصة بالملكية الفكرية. ومع ذلك، نظرًا لأن التدابير الأمنية لبروتوكول IP لم يتم تطويرها في البداية، فقد بدأ استكمال جميع تطبيقاتها بمجموعة متنوعة من إجراءات الشبكة والخدمات والمنتجات التي تقلل من المخاطر الكامنة في هذا البروتوكول. بعد ذلك، سنلقي نظرة سريعة على أنواع الهجمات شائعة الاستخدام ضد شبكات IP وسندرج طرق مكافحتها.

علبة الشم

أداة التعرف على الحزم هي برنامج تطبيقي يستخدم بطاقة شبكة تعمل في الوضع المختلط (في هذا الوضع، يرسل محول الشبكة جميع الحزم المستلمة عبر القنوات المادية إلى التطبيق للمعالجة).

في هذه الحالة، يعترض المتشمم جميع حزم الشبكة التي يتم إرسالها عبر مجال معين. حاليًا، يعمل المتشممون على الشبكات على أساس قانوني تمامًا. يتم استخدامها لتشخيص الأخطاء وتحليل حركة المرور. ومع ذلك، نظرًا لأن بعض تطبيقات الشبكة تنقل البيانات بتنسيق نصي ( تيلنت، بروتوكول نقل الملفات، SMTP، POP3، الخ..) باستخدام أداة الشم، يمكنك اكتشاف معلومات مفيدة وسرية في بعض الأحيان (على سبيل المثال، أسماء المستخدمين وكلمات المرور).

يشكل اعتراض تسجيل الدخول وكلمة المرور تهديدًا كبيرًا لأن المستخدمين غالبًا ما يستخدمون نفس تسجيل الدخول وكلمة المرور لتطبيقات وأنظمة متعددة. يمتلك العديد من المستخدمين عمومًا كلمة مرور واحدة للوصول إلى جميع الموارد والتطبيقات.

إذا كان التطبيق يعمل في وضع خادم العميل، وتم إرسال بيانات المصادقة عبر الشبكة بتنسيق نص قابل للقراءة، فمن المرجح أن يتم استخدام هذه المعلومات للوصول إلى موارد الشركة أو الموارد الخارجية الأخرى. يعرف المتسللون نقاط الضعف البشرية ويستغلونها جيدًا (تعتمد أساليب الهجوم غالبًا على أساليب الهندسة الاجتماعية).

إنهم يدركون جيدًا أننا نستخدم نفس كلمة المرور للوصول إلى العديد من الموارد، وبالتالي يتمكنون غالبًا من الوصول إلى المعلومات المهمة من خلال معرفة كلمة المرور الخاصة بنا. في أسوأ السيناريوهات، يحصل المتسلل على حق الوصول على مستوى النظام إلى مورد المستخدم ويستخدمه لإنشاء مستخدم جديد يمكن استخدامه في أي وقت للوصول إلى الشبكة ومواردها.

يمكنك تقليل خطر استنشاق الحزم باستخدام الأدوات التالية::

المصادقة. المصادقة القوية هي أهم وسيلة دفاع ضد استنشاق الحزم. نعني بكلمة "قوية" طرق المصادقة التي يصعب تجاوزها. مثال على هذه المصادقة هو كلمات المرور لمرة واحدة (OTP).

OTP هي تقنية مصادقة ثنائية تجمع بين ما لديك وما تعرفه. من الأمثلة النموذجية للمصادقة الثنائية هو تشغيل ماكينة الصراف الآلي العادية، والتي تحدد هويتك، أولاً، من خلال بطاقتك البلاستيكية، وثانيًا، من خلال رمز PIN الذي تدخله. مطلوب أيضًا رمز PIN وبطاقتك الشخصية للمصادقة في نظام OTP.

نعني بـ "البطاقة" (الرمز المميز) جهازًا أو أداة برمجية تنشئ (بمبدأ عشوائي) كلمة مرور فريدة لمرة واحدة. إذا اكتشف أحد المتسللين كلمة المرور هذه باستخدام أداة الشم، فستكون هذه المعلومات عديمة الفائدة، لأنه في تلك اللحظة سيتم بالفعل استخدام كلمة المرور وإيقافها.

لاحظ أن طريقة مكافحة الاستنشاق هذه فعالة فقط في حالات اعتراض كلمة المرور. تظل برامج التجسس التي تعترض المعلومات الأخرى (مثل رسائل البريد الإلكتروني) فعالة.

البنية التحتية المحولة. هناك طريقة أخرى لمكافحة استنشاق الحزم في بيئة الشبكة الخاصة بك وهي إنشاء بنية تحتية مبدلة. على سبيل المثال، إذا كانت المؤسسة بأكملها تستخدم إيثرنت الطلب الهاتفي، فلن يتمكن المتسللون إلا من الوصول إلى حركة المرور الواردة إلى المنفذ الذي يتصلون به. لا تقضي البنية التحتية المبدلة على خطر الاستنشاق، ولكنها تقلل بشكل كبير من خطورته.

مضادات الشم. الطريقة الثالثة لمكافحة التجسس هي تثبيت أجهزة أو برامج تتعرف على المتطفلين الذين يعملون على شبكتك. لا يمكن لهذه الأدوات القضاء على التهديد بشكل كامل، ولكن، مثل العديد من أدوات أمان الشبكة الأخرى، يتم تضمينها في نظام الحماية الشامل. تقوم برامج مكافحة التجسس بقياس أوقات استجابة المضيف وتحديد ما إذا كان يتعين على المضيفين معالجة حركة المرور غير الضرورية. أحد هذه المنتجات، المتوفر من شركة LOpht Heavy Industries، يسمى AntiSniff.

التشفير. هذه الطريقة الأكثر فعالية لمكافحة استنشاق الحزم، على الرغم من أنها لا تمنع اعتراضها ولا تتعرف على عمل المتشممين، إلا أنها تجعل هذا العمل عديم الفائدة. إذا كانت قناة الاتصال آمنة تشفيريًا، فلن يعترض المتسلل الرسالة، بل النص المشفر (أي تسلسل غير مفهوم من البتات). يعتمد تشفير طبقة الشبكة من Cisco على IPSec، وهي طريقة قياسية للاتصال الآمن بين الأجهزة التي تستخدم بروتوكول IP. تتضمن بروتوكولات إدارة شبكة التشفير الأخرى بروتوكولات SSH (Secure Shell) وSSL (طبقة المقابس الآمنة).

إب خداع

يحدث انتحال عنوان IP عندما ينتحل أحد المتسللين، داخل الشركة أو خارجها، شخصية مستخدم معتمد. يمكن القيام بذلك بطريقتين: يمكن للمتسلل استخدام إما عنوان IP الذي يقع ضمن نطاق عناوين IP المعتمدة، أو عنوان خارجي معتمد يسمح له بالوصول إلى موارد شبكة معينة.

غالبًا ما تكون هجمات انتحال عنوان IP نقطة البداية لهجمات أخرى. والمثال الكلاسيكي هو هجوم حجب الخدمة (DoS)، الذي يبدأ من عنوان شخص آخر، ويخفي هوية المتسلل الحقيقية.

عادةً ما يقتصر انتحال IP على إدخال معلومات خاطئة أو أوامر ضارة في التدفق الطبيعي للبيانات المنقولة بين تطبيق العميل والخادم أو عبر قناة اتصال بين الأجهزة النظيرة.

بالنسبة للاتصال ثنائي الاتجاه، يجب على المتسلل تغيير جميع جداول التوجيه لتوجيه حركة المرور إلى عنوان IP الزائف. ومع ذلك، فإن بعض المتسللين لا يحاولون حتى الحصول على رد من التطبيقات - إذا كان الهدف الرئيسي هو الحصول على ملف مهم من النظام، فإن استجابات التطبيقات لا تهم.

إذا تمكن أحد المتسللين من تغيير جداول التوجيه وتوجيه حركة المرور إلى عنوان IP مزيف، فسوف يتلقى جميع الحزم وسيكون قادرًا على الرد عليها كما لو كان مستخدمًا معتمدًا.

يمكن التخفيف من خطر الانتحال (لكن لا يمكن القضاء عليه) من خلال التدابير التالية:

• صلاحية التحكم صلاحية الدخول. أسهل طريقة لمنع انتحال IP هي تكوين عناصر التحكم في الوصول بشكل صحيح. لتقليل فعالية انتحال IP، قم بتكوين التحكم في الوصول لرفض أي حركة مرور قادمة من شبكة خارجية بعنوان مصدر يجب أن يكون موجودًا داخل شبكتك.

  صحيح أن هذا يساعد في مكافحة انتحال IP، عندما يتم السماح بالعناوين الداخلية فقط؛ إذا تم ترخيص بعض عناوين الشبكة الخارجية أيضًا، تصبح هذه الطريقة غير فعالة؛

• تصفية RFC 2827. يمكنك منع المستخدمين على شبكتك من انتحال شبكات الآخرين (ولتصبح مواطنًا صالحًا عبر الإنترنت). للقيام بذلك، يجب عليك رفض أي حركة مرور صادرة لا يعد عنوان مصدرها أحد عناوين IP الخاصة بمؤسستك.

  يمكن أيضًا تنفيذ هذا النوع من التصفية، المعروف باسم RFC 2827، بواسطة موفر خدمة الإنترنت (ISP) الخاص بك. ونتيجة لذلك، يتم رفض كافة حركة المرور التي ليس لها عنوان مصدر متوقع على واجهة معينة. على سبيل المثال، إذا كان مزود خدمة الإنترنت يوفر اتصالاً بعنوان IP 15.1.1.0/24، فيمكنه تكوين عامل تصفية بحيث يُسمح فقط بحركة المرور الصادرة من 15.1.1.0/24 من تلك الواجهة إلى جهاز توجيه مزود خدمة الإنترنت.

لاحظ أنه حتى يقوم جميع مقدمي الخدمة بتنفيذ هذا النوع من التصفية، ستكون فعاليته أقل بكثير من الممكن. بالإضافة إلى ذلك، كلما كنت بعيدًا عن الأجهزة التي تتم تصفيتها، زادت صعوبة إجراء الترشيح الدقيق. على سبيل المثال، تتطلب تصفية RFC 2827 على مستوى موجه الوصول تمرير كل حركة المرور من عنوان الشبكة الرئيسي (10.0.0.0/8)، بينما على مستوى التوزيع (في بنية معينة) من الممكن تقييد حركة المرور بشكل أكثر دقة (العنوان - 10.1.5.0/24).

الطريقة الأكثر فعالية لمكافحة انتحال IP هي نفسها كما في حالة استنشاق الحزم: تحتاج إلى جعل الهجوم غير فعال تمامًا. لا يمكن أن يعمل انتحال IP إلا إذا كانت المصادقة تعتمد على عناوين IP.

ولذلك، فإن إدخال طرق مصادقة إضافية يجعل مثل هذه الهجمات عديمة الفائدة. أفضل نوع من المصادقة الإضافية هو التشفير. إذا لم يكن ذلك ممكنًا، فإن المصادقة الثنائية باستخدام كلمات مرور لمرة واحدة يمكن أن تعطي نتائج جيدة.

الحرمان من الخدمة

يعد رفض الخدمة (DoS) بلا شك الشكل الأكثر شهرة لهجمات القرصنة. بالإضافة إلى ذلك، فإن هذه الأنواع من الهجمات هي الأكثر صعوبة في توفير حماية بنسبة 100% ضدها. من بين المتسللين، تعتبر هجمات DoS لعبة أطفال، واستخدامها يسبب ابتسامات ازدراء، لأن تنظيم DoS يتطلب الحد الأدنى من المعرفة والمهارات.

ومع ذلك، فإن سهولة التنفيذ وحجم الضرر الهائل الذي تسببه حجب الخدمة هو بالضبط ما يجذب الاهتمام الوثيق للمسؤولين المسؤولين عن أمان الشبكة. إذا كنت تريد معرفة المزيد عن هجمات DoS، عليك أن تفكر في أشهر أنواعها وهي:

• فيضان TCP SYN؛
• بينغ الموت؛
• شبكة الفيضانات القبيلة (TFN) وشبكة الفيضانات القبيلة 2000 (TFN2K)؛
• ترينكو.
• ستاتشيلدراخت؛
• الثالوث.

أحد المصادر الممتازة للمعلومات الأمنية هو فريق الاستجابة لطوارئ الكمبيوتر (CERT)، الذي نشر أعمالًا ممتازة حول مكافحة هجمات DoS.

تختلف هجمات DoS عن أنواع الهجمات الأخرى. وهي لا تهدف إلى الوصول إلى شبكتك، ولا إلى الحصول على أي معلومات من تلك الشبكة، ولكن هجوم DoS يجعل شبكتك غير متاحة للاستخدام العادي عن طريق تجاوز الحدود المقبولة للشبكة أو نظام التشغيل أو التطبيق.

في حالة بعض تطبيقات الخادم (مثل خادم الويب أو خادم FTP)، يمكن أن تتضمن هجمات DoS الاستيلاء على جميع الاتصالات المتاحة لتلك التطبيقات وإبقائها مشغولة، مما يمنع المستخدمين العاديين من الخدمة. يمكن أن تستخدم هجمات DoS بروتوكولات الإنترنت الشائعة مثل TCP وICMP ( بروتوكول التحكم برسائل شبكة الانترنت).

لا تستهدف معظم هجمات DoS الأخطاء البرمجية أو الثغرات الأمنية، بل تستهدف نقاط الضعف العامة في بنية النظام. تؤدي بعض الهجمات إلى إعاقة أداء الشبكة عن طريق إغراقها بحزم غير مرغوب فيها وغير ضرورية أو معلومات مضللة حول الحالة الحالية لموارد الشبكة.

يصعب منع هذا النوع من الهجمات لأنه يتطلب التنسيق مع المزود. إذا لم تقم بإيقاف حركة المرور التي تهدف إلى إرباك شبكتك عند الموفر، فلن تتمكن بعد الآن من القيام بذلك عند مدخل الشبكة، حيث سيتم احتلال النطاق الترددي بالكامل. عندما يتم تنفيذ هذا النوع من الهجمات في وقت واحد عبر العديد من الأجهزة، فإننا نتحدث عن هجوم DoS الموزع (DoS الموزعة، DDoS).

يمكن تقليل تهديد هجمات DoS بثلاث طرق:

• ميزات مكافحة الغش. سيساعد تكوين ميزات مكافحة الانتحال بشكل صحيح على أجهزة التوجيه وجدران الحماية لديك على تقليل مخاطر حجب الخدمة (DoS). كحد أدنى، يجب أن تتضمن هذه الميزات تصفية RFC 2827. إذا لم يتمكن المتسلل من إخفاء هويته الحقيقية، فمن غير المرجح أن ينفذ هجومًا.
• وظائف مكافحة دوس. يمكن أن يؤدي التكوين الصحيح لميزات مكافحة DoS على أجهزة التوجيه وجدران الحماية إلى الحد من فعالية الهجمات. غالبًا ما تحد هذه الميزات من عدد القنوات نصف المفتوحة في أي وقت محدد.
• الحد من معدل حركة المرور. قد تطلب إحدى المؤسسات من مزود خدمة الإنترنت (ISP) الخاص بها تحديد مقدار حركة المرور. يسمح لك هذا النوع من التصفية بالحد من مقدار حركة المرور غير الهامة التي تمر عبر شبكتك. أحد الأمثلة النموذجية هو تحديد حجم حركة مرور ICMP، والتي يتم استخدامها لأغراض التشخيص فقط. (د) غالبًا ما تستخدم هجمات DoS بروتوكول ICMP.

هجمات كلمة المرور

يمكن للمتسللين تنفيذ هجمات كلمة المرور باستخدام عدد من الأساليب، مثل هجوم القوة الغاشمة، وحصان طروادة، وانتحال IP، واستنشاق الحزم. على الرغم من إمكانية الحصول على تسجيل الدخول وكلمة المرور في كثير من الأحيان من خلال انتحال عنوان IP واستنشاق الحزم، إلا أن المتسللين غالبًا ما يحاولون تخمين كلمة المرور وتسجيل الدخول من خلال محاولات وصول متعددة. يُسمى هذا الأسلوب بالبحث البسيط (هجوم القوة الغاشمة).

في كثير من الأحيان، يستخدم مثل هذا الهجوم برنامجا خاصا يحاول الوصول إلى مورد عام (على سبيل المثال، الخادم). إذا تم منح المتسلل، نتيجة لذلك، حق الوصول إلى الموارد، فإنه يحصل عليها مع حقوق المستخدم العادي الذي تم تحديد كلمة المرور الخاصة به.

إذا كان هذا المستخدم يتمتع بامتيازات وصول كبيرة، فيمكن للمتسلل إنشاء "تصريح مرور" للوصول المستقبلي والذي سيظل صالحًا حتى إذا قام المستخدم بتغيير كلمة المرور وتسجيل الدخول.

تنشأ مشكلة أخرى عندما يستخدم المستخدمون نفس كلمة المرور (حتى الجيدة جدًا) للوصول إلى العديد من الأنظمة: أنظمة الشركات، والأنظمة الشخصية، وأنظمة الإنترنت. وبما أن قوة كلمة المرور تساوي قوة المضيف الأضعف، فإن المتسلل الذي يتعلم كلمة المرور من خلال ذلك المضيف يمكنه الوصول إلى جميع الأنظمة الأخرى التي يتم فيها استخدام نفس كلمة المرور.

يمكن تجنب هجمات كلمة المرور من خلال عدم استخدام كلمات مرور نصية عادية. يمكن لكلمات المرور لمرة واحدة و/أو مصادقة التشفير القضاء فعليًا على تهديد مثل هذه الهجمات. لسوء الحظ، لا تدعم كافة التطبيقات والمضيفين والأجهزة طرق المصادقة المذكورة أعلاه.

عند استخدام كلمات مرور عادية، حاول التوصل إلى كلمة مرور يصعب تخمينها. يجب أن يكون الحد الأدنى لطول كلمة المرور ثمانية أحرف على الأقل. يجب أن تتضمن كلمة المرور أحرفًا كبيرة وأرقامًا وأحرفًا خاصة (#، %، $، وما إلى ذلك).

من الصعب تخمين أفضل كلمات المرور وتذكرها، مما يجبر المستخدمين على كتابتها على الورق. ولتجنب ذلك، يمكن للمستخدمين والمسؤولين استخدام عدد من التطورات التكنولوجية الحديثة.

على سبيل المثال، هناك برامج تطبيقية تعمل على تشفير قائمة من كلمات المرور التي يمكن تخزينها في كمبيوتر الجيب. ونتيجة لذلك، يحتاج المستخدم فقط إلى تذكر كلمة مرور معقدة واحدة، بينما سيتم حماية جميع الآخرين بشكل موثوق بواسطة التطبيق.

هناك عدة طرق يمكن للمسؤول من خلالها مكافحة تخمين كلمة المرور. أحدها هو استخدام أداة L0phtCrack، والتي غالبًا ما يستخدمها المتسللون لتخمين كلمات المرور في بيئة Windows NT. ستوضح لك هذه الأداة بسرعة ما إذا كان من السهل تخمين كلمة المرور التي اختارها المستخدم. لمزيد من المعلومات، قم بزيارة http://www.l0phtcrack.com/.

هجمات رجل في الوسط

بالنسبة لهجوم رجل في الوسط، يحتاج المتسلل إلى الوصول إلى الحزم المرسلة عبر الشبكة. يمكن، على سبيل المثال، الحصول على مثل هذا الوصول إلى جميع الحزم المرسلة من مزود الخدمة إلى أي شبكة أخرى، بواسطة موظف لدى هذا المزود. غالبًا ما يتم استخدام برامج استشعار الحزم وبروتوكولات النقل وبروتوكولات التوجيه لهذا النوع من الهجمات.

يتم تنفيذ الهجمات بهدف سرقة المعلومات واعتراض الجلسة الحالية والوصول إلى موارد الشبكة الخاصة، وتحليل حركة المرور والحصول على معلومات حول الشبكة ومستخدميها، وتنفيذ هجمات حجب الخدمة، وتشويه البيانات المرسلة وإدخال معلومات غير مصرح بها. في جلسات الشبكة.

لا يمكن مكافحة هجمات الرجل في الوسط بشكل فعال إلا باستخدام التشفير. إذا اعترض أحد المتسللين بيانات من جلسة مشفرة، فإن ما سيظهر على شاشته ليس الرسالة التي تم اعتراضها، بل مجموعة من الأحرف التي لا معنى لها. لاحظ أنه إذا حصل أحد المتسللين على معلومات حول جلسة تشفير (على سبيل المثال، مفتاح جلسة)، فقد يجعل ذلك هجوم Man-in-the-Middle ممكنًا حتى في بيئة مشفرة.

الهجمات على مستوى التطبيق

يمكن تنفيذ الهجمات على مستوى التطبيق بعدة طرق. وأكثرها شيوعًا هو استخدام نقاط الضعف المعروفة في برامج الخادم (sendmail، HTTP، FTP). من خلال استغلال نقاط الضعف هذه، يمكن للمتسللين الوصول إلى جهاز كمبيوتر باعتباره المستخدم الذي يقوم بتشغيل التطبيق (عادةً ليس مستخدمًا عاديًا، ولكن مسؤول مميز يتمتع بحقوق الوصول إلى النظام).

يتم نشر المعلومات حول الهجمات على مستوى التطبيق على نطاق واسع لمنح المسؤولين الفرصة لتصحيح المشكلة باستخدام الوحدات التصحيحية (التصحيحات). ولسوء الحظ، يتمتع العديد من المتسللين أيضًا بإمكانية الوصول إلى هذه المعلومات، مما يسمح لهم بالتحسين.

المشكلة الرئيسية في الهجمات على مستوى التطبيق هي أن المتسللين غالبًا ما يستخدمون المنافذ المسموح لهم بالمرور عبر جدار الحماية. على سبيل المثال، غالبًا ما يستخدم المتسلل الذي يستغل نقطة ضعف معروفة في خادم الويب المنفذ 80 في هجوم TCP نظرًا لأن خادم الويب يوفر صفحات ويب للمستخدمين، فيجب أن يوفر جدار الحماية الوصول إلى هذا المنفذ. من وجهة نظر جدار الحماية، يتم التعامل مع الهجوم على أنه حركة مرور قياسية على المنفذ 80.

لا يمكن القضاء على الهجمات على مستوى التطبيق بشكل كامل. يكتشف المتسللون باستمرار وينشرون نقاط ضعف جديدة في برامج التطبيقات على الإنترنت. الشيء الأكثر أهمية هنا هو الإدارة الجيدة للنظام. فيما يلي بعض الإجراءات التي يمكنك اتخاذها لتقليل تعرضك لهذا النوع من الهجمات:

• قراءة ملفات سجل نظام التشغيل والشبكة و/أو تحليلها باستخدام تطبيقات تحليلية خاصة؛
• اشترك في خدمة الإبلاغ عن ثغرات التطبيقات: Bugtrad (http://www.securityfocus.com).

ذكاء الشبكة

يشير ذكاء الشبكة إلى جمع معلومات الشبكة باستخدام البيانات والتطبيقات المتاحة للجمهور. عند التحضير لهجوم ضد إحدى الشبكات، يحاول المتسلل عادةً الحصول على أكبر قدر ممكن من المعلومات حولها. يتم إجراء استطلاع الشبكة في شكل استعلامات DNS وفحص الأصوات وفحص المنافذ.

تساعدك استعلامات DNS على فهم من يملك مجالًا معينًا والعناوين المخصصة لهذا المجال. تسمح لك عناوين Pinging التي كشف عنها DNS بمعرفة المضيفين الذين يعملون بالفعل في بيئة معينة. بعد تلقي قائمة بالمضيفين، يستخدم المتسلل أدوات فحص المنافذ لتجميع قائمة كاملة من الخدمات التي يدعمها هؤلاء المضيفون. وأخيرًا، يقوم المتسلل بتحليل خصائص التطبيقات التي تعمل على الأجهزة المضيفة. ونتيجة لذلك، يحصل على معلومات يمكن استخدامها للقرصنة.

من المستحيل التخلص تمامًا من ذكاء الشبكة. على سبيل المثال، إذا قمت بتعطيل صدى ICMP ورد الصدى على أجهزة توجيه الحافة، فستتخلص من اختبار ping، لكنك ستفقد البيانات اللازمة لتشخيص فشل الشبكة.

بالإضافة إلى ذلك، يمكنك فحص المنافذ دون اختبار Ping الأولي - سيستغرق الأمر المزيد من الوقت، حيث سيتعين عليك فحص عناوين IP غير الموجودة. عادةً ما تقوم أنظمة IDS على مستوى الشبكة والمضيف بعمل جيد في تنبيه المسؤولين إلى استطلاع الشبكة المستمر، مما يسمح لهم بالاستعداد بشكل أفضل للهجوم القادم وتنبيه مزود خدمة الإنترنت (ISP) الذي يثير النظام اهتمامًا مفرطًا بشبكته:

1. استخدام أحدث إصدارات أنظمة التشغيل والتطبيقات وأحدث وحدات التصحيح (التصحيحات)؛
2. بالإضافة إلى إدارة النظام، استخدم أنظمة الكشف عن الهجمات (IDS) - تقنيتان متكاملتان للمعرفات:
   • يقوم نظام معرفات الشبكة (NIDS) بمراقبة جميع الحزم التي تمر عبر مجال معين. عندما يرى نظام NIDS حزمة أو سلسلة من الحزم مطابقة لتوقيع هجوم معروف أو محتمل، فإنه يصدر إنذارًا و/أو ينهي الجلسة؛
   • يقوم نظام IDS (HIDS) بحماية المضيف باستخدام وكلاء البرمجيات. هذا النظام يحارب الهجمات ضد مضيف واحد فقط.

تستخدم أنظمة IDS في عملها توقيعات الهجوم، وهي عبارة عن ملفات تعريف لهجمات أو أنواع معينة من الهجمات. تحدد التوقيعات الشروط التي بموجبها تعتبر حركة المرور متسللة. يمكن اعتبار نظائر IDS في العالم المادي بمثابة نظام تحذير أو كاميرا مراقبة.

أكبر عيب في IDS هو قدرتها على توليد الإنذارات. لتقليل عدد الإنذارات الكاذبة وضمان الأداء الصحيح لنظام IDS على الشبكة، من الضروري تكوين النظام بعناية.

خيانة الامانة

بالمعنى الدقيق للكلمة، هذا النوع من العمل ليس بالمعنى الكامل للكلمة هجوما أو اعتداء. إنه يمثل الاستغلال الضار لعلاقات الثقة الموجودة في الشبكة. من الأمثلة الكلاسيكية على مثل هذه الإساءات الوضع في الجزء المحيطي من شبكة الشركة.

غالبًا ما يضم هذا القطاع خوادم DNS وSMTP وHTTP. نظرًا لأنهم جميعًا ينتمون إلى نفس الشريحة، فإن اختراق أي منهم يؤدي إلى اختراق جميع الخوادم الأخرى، نظرًا لأن هذه الخوادم تثق في الأنظمة الأخرى الموجودة على شبكتها.

مثال آخر هو نظام مثبت على الجزء الخارجي من جدار الحماية وله علاقة ثقة مع نظام مثبت على الجزء الداخلي من جدار الحماية. إذا تم اختراق نظام خارجي، فيمكن للمتسلل استخدام علاقة الثقة لاختراق النظام المحمي بواسطة جدار الحماية.

يمكن تقليل مخاطر انتهاك الثقة من خلال التحكم بشكل أكثر إحكامًا في مستويات الثقة داخل شبكتك. لا ينبغي أبدًا أن تتمتع الأنظمة الموجودة خارج جدار الحماية بالثقة المطلقة من الأنظمة المحمية بجدار الحماية.

يجب أن تقتصر علاقات الثقة على بروتوكولات محددة، وإذا أمكن، يجب مصادقتها بواسطة معلمات أخرى غير عناوين IP.

ميناء الشحن

يعد إعادة توجيه المنفذ أحد أشكال إساءة استخدام الثقة حيث يتم استخدام مضيف مخترق لتمرير حركة المرور عبر جدار الحماية الذي قد يتم رفضه. دعونا نتخيل جدار الحماية مع ثلاث واجهات، كل منها متصل بمضيف معين.

يمكن لمضيف خارجي الاتصال بمضيف مشترك (DMZ)، ولكن ليس بمضيف مثبت داخل جدار الحماية. يمكن للمضيف المشترك الاتصال بمضيف داخلي وخارجي. إذا استولى أحد المتسللين على مضيف مشترك، فيمكنه تثبيت برنامج عليه يعيد توجيه حركة المرور من المضيف الخارجي مباشرة إلى المضيف الداخلي.

على الرغم من أن هذا لا ينتهك أيًا من القواعد التي تظهر على الشاشة، إلا أن المضيف الخارجي يتمتع بإمكانية الوصول المباشر إلى المضيف المحمي نتيجة لإعادة التوجيه. مثال على التطبيق الذي يمكنه توفير هذا الوصول هو netcat. يمكن العثور على مزيد من المعلومات على http://www.avian.org.

الطريقة الرئيسية لمكافحة إعادة توجيه المنفذ هي استخدام نماذج الثقة القوية (انظر القسم السابق). بالإضافة إلى ذلك، يمكن لنظام IDS المضيف (HIDS) منع المتسلل من تثبيت برنامجه على المضيف.

دخول غير مرخص

لا يمكن تحديد الوصول غير المصرح به كنوع منفصل من الهجوم، حيث يتم تنفيذ معظم هجمات الشبكة على وجه التحديد للحصول على وصول غير مصرح به. لتخمين تسجيل دخول Telnet، يجب على المتسلل أولاً الحصول على تلميح Telnet على نظامه. بعد الاتصال بمنفذ Telnet، تظهر رسالة "الترخيص مطلوب لاستخدام هذا المورد" على الشاشة (" مطلوب إذن لاستخدام هذا المورد.»).

إذا استمر المتسلل في محاولة الوصول بعد ذلك، فسيتم اعتباره غير مصرح به. يمكن أن يكون مصدر مثل هذه الهجمات إما داخل الشبكة أو خارجها.

طرق مكافحة الوصول غير المصرح به بسيطة للغاية. الشيء الرئيسي هنا هو تقليل قدرة المتسلل أو القضاء عليها تمامًا على الوصول إلى النظام باستخدام بروتوكول غير مصرح به.

على سبيل المثال، فكر في منع المتسللين من الوصول إلى منفذ Telnet على خادم يوفر خدمات الويب للمستخدمين الخارجيين. وبدون الوصول إلى هذا المنفذ، لن يتمكن المتسلل من مهاجمته. أما بالنسبة لجدار الحماية، فمهمته الرئيسية هي منع أبسط محاولات الوصول غير المصرح به.

تطبيقات الفيروسات وأحصنة طروادة

محطات عمل المستخدم النهائي معرضة بشدة للفيروسات وأحصنة طروادة. الفيروسات هي برامج ضارة يتم إدراجها في برامج أخرى لأداء وظيفة معينة غير مرغوب فيها على محطة عمل المستخدم النهائي. ومن الأمثلة على ذلك فيروس مكتوب في ملف Command.com (المترجم الرئيسي لأنظمة Windows) ويقوم بمسح الملفات الأخرى، ويصيب أيضًا جميع الإصدارات الأخرى من Command.com التي يعثر عليها.

حصان طروادة ليس برنامجًا مُدرجًا، ولكنه برنامج حقيقي يبدو للوهلة الأولى أنه تطبيق مفيد، ولكنه في الواقع يلعب دورًا ضارًا. مثال على حصان طروادة النموذجي هو البرنامج الذي يبدو كلعبة بسيطة على محطة عمل المستخدم.

ومع ذلك، أثناء قيام المستخدم بتشغيل اللعبة، يرسل البرنامج نسخة منه عبر البريد الإلكتروني إلى كل مشترك في دفتر عناوين ذلك المستخدم. يتلقى جميع المشتركين اللعبة عن طريق البريد، مما يؤدي إلى مزيد من التوزيع.

تتم مكافحة الفيروسات وأحصنة طروادة بمساعدة برامج مكافحة الفيروسات الفعالة التي تعمل على مستوى المستخدم، وربما على مستوى الشبكة. تكتشف منتجات مكافحة الفيروسات معظم الفيروسات وأحصنة طروادة وتوقف انتشارها.

إن الحصول على أحدث المعلومات حول الفيروسات سيساعدك على مكافحتها بشكل أكثر فعالية. مع ظهور فيروسات وأحصنة طروادة جديدة، يجب على الشركات تثبيت إصدارات جديدة من أدوات وتطبيقات مكافحة الفيروسات.

عند كتابة هذا المقال، تم استخدام المواد المقدمة من Cisco Systems.

جيد سيئ

باستخدام برامج مثل WinNuke وPapa Smurf وTeardrop، يمكن للمهاجمين مهاجمة جهاز الكمبيوتر الخاص بك وإلحاق الضرر بك. وفقاً لدراسة أجراها معهد أمن الكمبيوتر/مكتب التحقيقات الفيدرالي عام 1999 حول جرائم الكمبيوتر، أفادت 57 بالمائة من المؤسسات التي شملها الاستطلاع أنها تعتبر اتصالات شبكتها بالإنترنت "موقعًا متكررًا للهجمات". وأفاد 30% ممن شملهم الاستطلاع أن شبكاتهم قد تم اختراقها، وقال 26% إن الهجمات أدت إلى سرقة معلومات سرية. أفاد المركز الفيدرالي لمكافحة جرائم الكمبيوتر في الولايات المتحدة - FedCIRC أنه في عام 1998، تمت مهاجمة حوالي 130.000 شبكة حكومية تحتوي على 1.100.000 جهاز كمبيوتر. تصنيف الهجمات الحاسوبيةعندما نقول "هجوم على الكمبيوتر"، فإننا نعني أن الأشخاص يطلقون برامج للوصول غير المصرح به إلى جهاز الكمبيوتر. تتنوع أشكال تنظيم الهجمات بشكل كبير، ولكنها بشكل عام تنتمي جميعها إلى إحدى الفئات التالية: اقتحام الكمبيوتر عن بعد: البرامج التي تحصل على وصول غير مصرح به إلى كمبيوتر آخر عبر الإنترنت (أو الشبكة المحلية) اقتحام الكمبيوتر المحلي: البرامج التي تحصل على وصول غير مصرح به إلى الكمبيوتر الذي تعمل عليه. حظر الكمبيوتر عن بعد: البرامج التي تمنع، عبر الإنترنت (أو الشبكة)، تشغيل كمبيوتر بعيد بالكامل أو برنامج فردي عليه (لاستعادة الوظيفة، يجب في أغلب الأحيان إعادة تشغيل الكمبيوتر) حظر الكمبيوتر المحلي: البرامج التي تحظر الكمبيوتر الذي تعمل عليه برامج فحص الشبكة: البرامج التي تجمع معلومات حول الشبكة لتحديد أجهزة الكمبيوتر والبرامج التي تعمل عليها والتي من المحتمل أن تكون عرضة للهجوم. برامج فحص ثغرات البرامج: برامج تقوم بفحص مجموعات كبيرة من أجهزة الكمبيوتر الموجودة على الإنترنت، للبحث عن أجهزة الكمبيوتر المعرضة لنوع معين من الهجمات. أدوات كسر كلمات المرور: برامج تكتشف كلمات المرور سهلة التخمين في ملفات كلمات المرور المشفرة. يمكن لأجهزة الكمبيوتر الآن تخمين كلمات المرور بسرعة كبيرة بحيث يمكن تخمين كلمات المرور التي تبدو معقدة. محللو الشبكة (sniffers): البرامج التي تستمع إلى حركة مرور الشبكة. غالبًا ما يكون لديهم القدرة على استخراج أسماء المستخدمين وكلمات المرور وأرقام بطاقات الائتمان تلقائيًا من حركة المرور. كيف تحمي نفسك من معظم هجمات الكمبيوترتعد حماية شبكتك من هجمات الكمبيوتر مهمة ثابتة وغير تافهة؛ لكن يمكن لعدد من الإجراءات الأمنية البسيطة إيقاف معظم محاولات اختراق الشبكة. على سبيل المثال، يمكن لجدار الحماية جيد التكوين وبرنامج مكافحة الفيروسات المثبت على جميع محطات العمل أن يجعل معظم الهجمات على الكمبيوتر مستحيلة. نوضح أدناه بإيجاز 14 إجراءً أمنيًا مختلفًا، والتي عند تنفيذها، ستساعد في حماية شبكتك. تصحيح البرامج عبر الإنترنت (Patching) غالبًا ما تقوم الشركات بإصدار تصحيحات البرامج لإزالة الآثار الضارة للأخطاء فيها. إذا لم تقم بإصلاح البرامج، فيمكن للمهاجم لاحقًا استغلال هذه الأخطاء واقتحام جهاز الكمبيوتر الخاص بك. يجب على مسؤولي النظام حماية أنظمتهم الأكثر أهمية عن طريق تصحيح البرامج عليها على الفور. ومع ذلك، فمن الصعب تصحيح البرامج على جميع الأجهزة المضيفة على الشبكة لأن التصحيحات قد تظهر بشكل متكرر. في هذه الحالة، من الضروري إجراء تصحيحات على البرامج الموجودة على أهم المضيفين، بالإضافة إلى تثبيت تدابير أمنية أخرى عليها الموضحة أدناه. بشكل عام، يجب الحصول على التصحيحات فقط من الشركات المصنعة للبرامج. اكتشاف الفيروسات وأحصنة طروادة تعد برامج مكافحة الفيروسات الجيدة أداة لا غنى عنها لزيادة الأمان على أي شبكة. يقومون بمراقبة تشغيل أجهزة الكمبيوتر والكشف عن البرامج الضارة عليها. المشكلة الوحيدة معهم هي أنه لتحقيق أقصى قدر من الفعالية، يجب تثبيتهم على كافة أجهزة الكمبيوتر الموجودة على الشبكة. قد يستغرق تثبيت برامج مكافحة الفيروسات على جميع أجهزة الكمبيوتر وتحديث قواعد بيانات مكافحة الفيروسات فيها بانتظام وقتًا طويلاً - ولكن بخلاف ذلك لن تكون هذه الأداة فعالة. وينبغي تعليم المستخدمين كيفية إجراء هذه التحديثات بأنفسهم، ولكن لا ينبغي عليهم الاعتماد عليها بالكامل. بالإضافة إلى تشغيل برنامج مكافحة فيروسات عادي على كل جهاز كمبيوتر، نوصي المؤسسات بفحص مرفقات البريد الإلكتروني على خادم البريد. وبهذه الطريقة، يمكن اكتشاف معظم الفيروسات قبل أن تصل إلى أجهزة المستخدمين. جدران الحماية تعد جدران الحماية من أهم وسائل حماية شبكة المؤسسة. إنهم يتحكمون في حركة مرور الشبكة التي تدخل وتخرج من الشبكة. يمكن لجدار الحماية منع أنواع معينة من حركة المرور من الدخول إلى الشبكة أو إجراء فحوصات معينة على أنواع أخرى من حركة المرور. يمكن لجدار الحماية الذي تم تكوينه جيدًا أن يوقف معظم هجمات الكمبيوتر المعروفة. غالبًا ما يستغل المتسللون نقاط الضعف غير المعروفة في أجهزة الكمبيوتر لسرقة ملفات كلمات المرور المشفرة. ثم يستخدمون برامج خاصة لكسر كلمات المرور يمكنها اكتشاف كلمات المرور الضعيفة في هذه الملفات المشفرة. بمجرد اكتشاف كلمة مرور ضعيفة، يمكن للمهاجم تسجيل الدخول إلى جهاز الكمبيوتر الخاص بك كمستخدم عادي واستخدام مجموعة متنوعة من التقنيات للوصول الكامل إلى جهاز الكمبيوتر الخاص بك وشبكتك. على الرغم من أن هذه الأداة يتم استخدامها من قبل المهاجمين، إلا أنها ستكون مفيدة أيضًا لمسؤولي النظام. ويجب عليهم تشغيل هذه البرامج بشكل دوري على ملفات كلمات المرور المشفرة الخاصة بهم لاكتشاف كلمات المرور الضعيفة في الوقت المناسب. غالبًا ما يخترق مهاجمو التشفير الشبكات من خلال الاستماع إلى حركة مرور الشبكة في المواقع الحساسة واستخراج أسماء المستخدمين وكلمات المرور منها. ولذلك، يجب تشفير الاتصالات المحمية بكلمة مرور بالأجهزة البعيدة. وهذا مهم بشكل خاص في الحالات التي يكون فيها الاتصال عبر الإنترنت أو بخادم مهم. هناك عدد من البرامج التجارية والمجانية لتشفير حركة مرور TCP/IP (SSH هو الأكثر شهرة). برامج فحص الثغرات الأمنية هي برامج تقوم بفحص الشبكة بحثًا عن أجهزة الكمبيوتر المعرضة لأنواع معينة من الهجمات. تمتلك الماسحات الضوئية قاعدة بيانات كبيرة من الثغرات الأمنية، والتي تستخدمها عند فحص جهاز كمبيوتر معين بحثًا عن الثغرات الأمنية. تتوفر كل من الماسحات الضوئية التجارية والمجانية. تكوين أجهزة الكمبيوتر بشكل صحيح للأمان غالبًا ما تكون أجهزة الكمبيوتر المزودة بأنظمة تشغيل مثبتة حديثًا عرضة للهجمات. والسبب في ذلك هو أن التثبيت الأولي لنظام التشغيل يسمح عادةً بجميع ميزات الشبكة، وغالبًا ما يسمح بها بطريقة غير آمنة. وهذا يسمح للمهاجم باستخدام العديد من الأساليب لشن هجوم على الجهاز. يجب تعطيل كافة أدوات الشبكة غير الضرورية. غالبًا ما يتجاوز مستخدمو برنامج War Dialer أمان الشبكة التنظيمية من خلال السماح لأجهزة الكمبيوتر الخاصة بهم بتلقي المكالمات الهاتفية الواردة. قبل مغادرة العمل، يقوم المستخدم بتشغيل المودم وتهيئة البرامج على الكمبيوتر وفقًا لذلك، وبعد ذلك يمكنه إجراء مكالمات عبر المودم من المنزل واستخدام شبكة الشركة. يمكن للمهاجمين استخدام برامج الاتصال القتالية للاتصال بعدد كبير من أرقام الهواتف، والبحث عن أجهزة الكمبيوتر التي تعالج المكالمات الواردة. نظرًا لأن المستخدمين يقومون عادةً بتكوين أجهزة الكمبيوتر الخاصة بهم بأنفسهم، فغالبًا ما ينتهي بهم الأمر إلى حماية سيئة ويمنحون المهاجم فرصة أخرى لشن هجوم على الشبكة. يجب على مسؤولي النظام استخدام برامج الاتصال القتالية بانتظام للتحقق من أرقام هواتف مستخدميهم واكتشاف أجهزة الكمبيوتر التي تم تكوينها بهذه الطريقة. تتوفر كل من برامج الاتصال القتالية التجارية والمتاحة مجانًا. النصائح الأمنية النصائح الأمنية هي تحذيرات تنشرها فرق مكافحة جرائم الكمبيوتر وبائعي البرامج حول الثغرات الأمنية المكتشفة حديثًا. تغطي النصائح عادةً التهديدات الأكثر خطورة التي تشكلها نقاط الضعف هذه، وبالتالي فهي سريعة القراءة ولكنها مفيدة جدًا. يصفون التهديد بشكل عام ويقدمون نصائح محددة إلى حد ما حول ما يجب القيام به للقضاء على هذه الثغرة الأمنية. يمكنك العثور عليها في عدد من الأماكن، ولكن اثنين من أكثرها فائدة هي تلك التي نشرها فريق جرائم الكمبيوترسياكوCERT كشف التسلل تعمل أنظمة كشف التسلل على اكتشاف هجمات الكمبيوتر بسرعة. ويمكن تثبيتها خلف جدار الحماية لاكتشاف الهجمات التي تنشأ من داخل الشبكة. أو يمكن تثبيتها أمام جدار الحماية لاكتشاف الهجمات على جدار الحماية. يمكن أن تتمتع الأدوات من هذا النوع بمجموعة متنوعة من القدرات. متاحمقالة عن استخدامها وأنواع أنظمة الكشف عن الهجمات أدوات الكشف عن طوبولوجيا الشبكة وماسحات المنافذ تتيح لك هذه البرامج الحصول على صورة كاملة عن كيفية هيكلة شبكتك وأجهزة الكمبيوتر التي تعمل عليها، بالإضافة إلى تحديد جميع الخدمات التي تعمل على كل جهاز. يستخدم المهاجمون هذه الأدوات لتحديد أجهزة الكمبيوتر والبرامج الضعيفة الموجودة عليها. يجب على مسؤولي النظام استخدام هذه الأدوات لمراقبة البرامج التي يتم تشغيلها على أجهزة الكمبيوتر الموجودة على شبكتهم. وبمساعدتهم، يمكنك اكتشاف البرامج التي تم تكوينها بشكل غير صحيح على أجهزة الكمبيوتر وتثبيت الإصلاحات عليها. فريق التحقيق في الحوادث الأمنية تواجه كل شبكة، بغض النظر عن مدى أمانها، أحداثًا أمنية (وربما حتى إنذارات كاذبة). يجب أن يعرف موظفو المنظمة مسبقًا ما يجب القيام به في حالة معينة. من المهم تحديد النقاط التالية مسبقًا - متى يتم الاتصال بسلطات إنفاذ القانون، ومتى يتم الاتصال بفريق جرائم الكمبيوتر، ومتى يتم فصل الشبكة عن الإنترنت، وماذا تفعل في حالة اختراق خادم مهم.CERTيقدم الاستشارات العامة داخل الولايات المتحدة. FedCIRC مسؤول عن تقديم المشورة للوكالات الحكومية المدنية في الولايات المتحدة. سياسات الأمان قوة نظام أمان الشبكة هي فقط بقدر قوة أضعف نقاطه. إذا كانت هناك شبكات متعددة داخل نفس المؤسسة ذات سياسات أمان مختلفة، فقد تتعرض إحدى الشبكات للخطر بسبب ضعف الأمان على شبكة أخرى. يجب على المؤسسات كتابة سياسة أمنية تحدد المستوى المتوقع من الحماية، والتي يجب تنفيذها بشكل متسق طوال الوقت. الجانب الأكثر أهمية في هذه السياسة هو وضع متطلبات موحدة لحركة المرور التي يجب أن تمر عبر جدران الحماية الخاصة بالشبكة. ويجب أن تحدد السياسة أيضًا كيف وما هي التدابير الأمنية (على سبيل المثال، أدوات الكشف عن الهجمات أو أدوات فحص الثغرات الأمنية) التي يجب استخدامها على الشبكة. لتحقيق مستوى موحد من الأمان، يجب أن تحدد السياسة التكوينات الآمنة القياسية لأنواع مختلفة من أجهزة الكمبيوتر. اختبار جدران الحماية وخوادم WWW لمقاومة محاولات حظرها. تعد هجمات حظر الكمبيوتر أمرًا شائعًا على الإنترنت. يقوم المهاجمون باستمرار بتعطيل مواقع WWW أو التحميل الزائد على أجهزة الكمبيوتر أو إغراق الشبكات بحزم لا معنى لها. يمكن أن يكون هذا النوع من الهجمات خطيرًا جدًا، خاصة إذا كان المهاجم ذكيًا جدًا لدرجة أنه يشن هجومًا متواصلًا لا يمكن تتبع مصدره. يمكن للشبكات الأمنية أن تشن هجمات ضد نفسها لتحديد مقدار الضرر الذي يمكن أن يحدث لها. نوصي بإجراء هذا النوع من تحليل الثغرات الأمنية فقط من قبل مسؤولي النظام ذوي الخبرة أو المستشارين المتخصصين.

أدى تطور تكنولوجيا المعلومات والشعبية المتزايدة للإنترنت إلى حقيقة أن أجهزة الكمبيوتر أصبحت جزءًا مهمًا من حياة الناس. نحن نستخدمها للعمل، والبحث عن المعلومات اللازمة في مجالات مختلفة تماما، والتفاعل مع الأشخاص الموجودين في أماكن مختلفة وأكثر من ذلك بكثير، وغالبا ما يؤدي عدم القدرة على استخدام الكمبيوتر في الوقت المناسب في بعض الأحيان إلى عواقب وخيمة.

اليوم، أصبحت أجهزة الكمبيوتر بشكل متزايد ضحايا للهجمات. لا تتعرض أجهزة الشركة والشبكات المحلية للشركات الكبيرة فقط للهجوم، ولكن أيضًا أجهزة الكمبيوتر الخاصة بالمستخدمين العاديين. يمكن تنفيذ الهجمات بهدف سرقة البيانات الشخصية، وخاصة البيانات المالية، ومن باب الفضول والترفيه البسيط، على سبيل المثال، من قبل المتسللين المبتدئين. ومن الأسباب الشائعة أيضًا للهجمات العداء الشخصي تجاه أصحاب الموارد والمنافسة. وفي الحالة الأخيرة، يتم تنفيذها عند الطلب ومقابل رسوم. هناك الكثير من أساليب وأنواع الهجمات، وكل عام تصبح أكثر تعقيدًا ومكرًا.

هجوم الكمبيوتر- يؤثر ذلك على النظام أو الوصول غير المصرح به إليه باستخدام البرامج أو البرامج الثابتة

من الأمثلة الصارخة على الهجمات التي لا تهدف إلى سرقة البيانات هجمات DoS. فهي تؤدي إلى انقطاع الخدمة عن المستخدمين الشرعيين، أو تجعل خدمات معينة أو النظام بأكمله غير متاح، وهو أمر غير سار للغاية. وعلى الرغم من الحفاظ على سرية البيانات، إلا أنه يصبح من المستحيل تمامًا استخدامها؛ حيث تتعارض الهجمات من هذا النوع مع التشغيل الكامل لموارد الكمبيوتر.

يتمثل جوهر هجوم DoS في أن المهاجم يحاول جعل خادم معين غير متاح مؤقتًا، أو زيادة التحميل على الشبكة، أو المعالج، أو ملء القرص. الهدف من الهجوم هو تعطيل الكمبيوتر والاستيلاء على جميع موارد الكمبيوتر الضحية حتى لا يتمكن المستخدمون الآخرون من الوصول إليها. تتضمن الموارد، على سبيل المثال، الذاكرة ووقت وحدة المعالجة المركزية ومساحة القرص وموارد الشبكة وما إلى ذلك. نص المصطلح

هجوم DoS (رفض الخدمة)هو هجوم يؤدي إلى شل عمل الخادم أو الكمبيوتر الشخصي بسبب وصول عدد كبير من الطلبات إلى المورد المهاجم بسرعة عالية

الطرق الأساسية لتنفيذ هجمات DoS

هناك طريقتان رئيسيتان لتنفيذ هجمات DoS.

أولاًومن المنطقي استغلال نقاط الضعف في البرامج المثبتة على الكمبيوتر الذي تمت مهاجمته. تسمح لك الثغرة الأمنية بالتسبب في خطأ فادح معين يؤدي إلى تعطيل النظام. تستهدف هذه الهجمات نقاط الضعف في أنظمة التشغيل والبرامج والمعالجات والرقائق القابلة للبرمجة.

ثانيةوتتكون الطريقة من إرسال عدد كبير من حزم المعلومات إلى الكمبيوتر الذي تمت مهاجمته، مما يتسبب في زيادة التحميل على الشبكة. يمكن تقسيم الهجمات التي يتم تنفيذها عن طريق إرسال عدد كبير من الحزم إلى نوعين رئيسيين.

تهدف الهجمات إلى حجب قنوات الاتصال وأجهزة التوجيه.جوهر الهجوم هو إرسال دفق هائل من الفيضان إلى الكمبيوتر الذي تمت مهاجمته، أي طلبات ذات تنسيق خاطئ أو لا معنى لها في جوهرها. يسد الفيضان العرض الكامل لقناة البيانات أو جهاز توجيه الإدخال بالكامل. وبما أن حجم البيانات يتجاوز الموارد اللازمة لمعالجتها، يصبح من المستحيل تلقي حزم البيانات الصحيحة من مستخدمين آخرين. ونتيجة لذلك، يرفض النظام تقديم الخدمة لهم.

تهدف الهجمات إلى زيادة التحميل على نظام التشغيل أو موارد التطبيق. لا يستهدف هذا النوع من الهجوم قناة الاتصال، بل النظام نفسه. يحتوي كل نظام على العديد من القيود على المعلمات المختلفة (وقت المعالج، ومساحة القرص، والذاكرة، وما إلى ذلك)، والهدف من الهجوم هو إجبار النظام على انتهاك هذه القيود. للقيام بذلك، يتم إرسال عدد كبير من الطلبات إلى جهاز الكمبيوتر الخاص بالضحية. ونتيجة لقوة الحوسبة المفرطة على الخادم، يرفض النظام تلبية طلبات المستخدمين الشرعيين.

الأنواع الرئيسية لهجمات DoS

هناك عدة أنواع من هجمات رفض الخدمة استنادًا إلى ميزات مكدس بروتوكول TCP/IP. دعونا قائمة الأكثر شهرة.

هجوم بينغ من الموتيستغل ثغرة أمنية في بروتوكول TCP/IP، مثل تجزئة حزم البيانات. أثناء النقل عبر الشبكة، يتم تقسيم حزم البيانات إلى أجزاء، يتم تجميعها في وحدة واحدة عند وصولها إلى الكمبيوتر الوجهة. يحدث الهجوم على النحو التالي: يتم إرسال حزمة ICMP مجزأة للغاية إلى كمبيوتر الضحية، ويتجاوز حجمها ما هو مسموح به في البروتوكول (أكثر من 64 كيلو بايت). عندما يتلقى الجهاز الذي تمت مهاجمته أجزاءً ويحاول استعادة الحزمة، يتجمد نظام التشغيل تمامًا، كما يتوقف الماوس ولوحة المفاتيح عن العمل. يمكن أن تتعرض أنظمة التشغيل من عائلة Windows وMac وبعض إصدارات Unix لهجمات من هذا النوع.

هجوم فيضان SYN ("المصافحة القاتلة")يستخدم ميزة بروتوكول TCP/IP مثل آلية "المصافحة الثلاثية". لنقل البيانات، يرسل العميل حزمة مع مجموعة إشارة SYN (المزامنة). ردًا على ذلك، يجب أن يستجيب الخادم بمجموعة من إشارات SYN+ACK (الإقرارات). يجب على العميل بعد ذلك الاستجابة بعلامة ACK، وبعد ذلك يعتبر الاتصال قد تم تأسيسه.

يتمثل جوهر هذا الهجوم في إنشاء عدد كبير من اتصالات TCP غير المكتملة. من خلال إرسال عدد كبير من حزم TCP SYN إلى الضحية، يجبرها المهاجم على فتح العدد المقابل من اتصالات TCP والاستجابة لها، ثم لا يكمل عملية إنشاء الاتصال. إما أنه لا يرسل حزمة استجابة مع علامة ACK، أو أنه يقوم بتزوير رأس الحزمة بحيث يتم إرسال الاستجابة ACK إلى عنوان غير موجود. وبالتالي، لم يتم استيفاء متطلبات آلية "المصافحة الثلاثية". تستمر الاتصالات في انتظار دورها، وتبقى في حالة نصف مفتوحة. يقوم الخادم الذي تمت مهاجمته بتخصيص الموارد لكل حزمة SYN مستلمة، والتي سيتم استنفادها قريبًا. وبعد فترة زمنية معينة، يتم التخلص من الاتصالات نصف المفتوحة. يحاول المهاجم إبقاء قائمة الانتظار ممتلئة لمنع الاتصالات الجديدة من العملاء الشرعيين. ونتيجة لذلك، يحدث إنشاء الاتصال مع تأخيرات طويلة أو لا يحدث على الإطلاق.

هجوم برييستخدم أيضًا ميزة بروتوكول TCP/IP التي تقضي بضرورة الرد على طلب الاتصال. جوهر هذا الهجوم هو أن الكمبيوتر الضحية، نتيجة تصرفات المهاجمين، يحاول إنشاء اتصال مع نفسه، مما يؤدي إلى التحميل الزائد على المعالج ويتسبب في تجميد النظام أو تعطله.

تجزئة الدفعة.يستخدم هذا النوع من الهجمات آلية نقل البيانات المذكورة أعلاه عبر بروتوكول TCP/IP، والذي يتم بموجبه تقسيم حزم البيانات إلى أجزاء. يتم استخدام التجزئة عندما يكون من الضروري إرسال مخطط بيانات IP، أي كتلة من المعلومات المرسلة باستخدام بروتوكول IP، عبر شبكة يكون فيها الحد الأقصى لوحدة نقل البيانات المسموح بها أقل من حجم مخطط البيانات. يؤدي هذا النوع من الهجمات إلى رفض الخدمة من خلال استغلال الثغرات الأمنية في بعض مجموعات TCP/IP المرتبطة بإعادة تجميع أجزاء IP.

على سبيل المثال سيكون الهجوم دمعةونتيجة لذلك، أثناء نقل الأجزاء، يتم تهجيرها، مما يؤدي إلى تداخلها عند تجميع الحزمة. تؤدي محاولة الكمبيوتر المهاجم لاستعادة التسلسل الصحيح للأجزاء إلى تعطل النظام.

هجوم فيضانات DNSيتكون من إرسال عدد كبير من طلبات DNS. يؤدي هذا إلى زيادة التحميل على خادم DNS ويجعل من المستحيل على المستخدمين الآخرين الوصول إليه.

إذا تم تنفيذ هجوم رفض الخدمة في وقت واحد من عدد كبير من أجهزة الكمبيوتر في وقت واحد، ففي هذه الحالة نتحدث عن هجوم DDoS.

هجوم DDoS (رفض الخدمة الموزعة)هو نوع من هجمات حجب الخدمة (DoS) يتم تنظيمه باستخدام عدد كبير جدًا من أجهزة الكمبيوتر، مما قد يجعل الخوادم حتى ذات النطاق الترددي العالي جدًا للإنترنت عرضة للهجوم.

لتنظيم هجمات DDoS، يستخدم المهاجمون شبكة الروبوتات – وهي شبكة خاصة من أجهزة الكمبيوتر المصابة بنوع خاص من الفيروسات. يمكن للمهاجم التحكم في كل جهاز كمبيوتر عن بعد، دون علم المالك. باستخدام فيروس أو برنامج يتنكر بمهارة كفيروس شرعي، يتم تثبيت رمز برمجي ضار على جهاز الكمبيوتر الضحية، والذي لا يتعرف عليه برنامج مكافحة الفيروسات ويعمل في الخلفية. في اللحظة المناسبة، بناء على أمر مالك الروبوتات، يتم تنشيط مثل هذا البرنامج ويبدأ في إرسال الطلبات إلى الخادم المهاجم، ونتيجة لذلك تمتلئ قناة الاتصال بين الخدمة التي يتم الهجوم عليها ومزود الإنترنت والخادم توقف عن العمل.

يمكن تنفيذ الهجوم الموزع ليس فقط باستخدام شبكة الروبوتات، ولكن أيضًا باستخدام آلية الانعكاس. تسمى هذه الهجمات بهجمات DrDOS (هجمات التأثير غير المباشر، DoS الانعكاس الموزع). ولا يتم تنفيذها بشكل مباشر، بل من خلال وسطاء. في أغلب الأحيان، تحدث هجمات DrDoS على النحو التالي: لا يتم إرسال حزمة TCP إلى الكمبيوتر المهاجم، ولكن إلى أي خادم على الإنترنت، ولكن تتم الإشارة إلى عنوان الكمبيوتر الضحية كعنوان الإرجاع. نظرًا لأن أي خادم يستجيب دائمًا لحزمة TCP بعلامة SYN مع حزمة TCP بعلامات SYN+ACK، فإن الكمبيوتر الذي تم اختياره عشوائيًا، غير مدرك لذلك، يستجيب للطلبات الخاطئة ويقصف الكمبيوتر الضحية تلقائيًا بتدفقات من الحزم.

كيف تحمي نفسك من الهجمات « الحرمان من الخدمة » ?

هناك عدد من الطرق التي يمكن أن تساعد في منع هذه الأنواع من الهجمات. فيما بينها.