Ім'я файлу: вторгнення.docx
Розширення: docx
Розмір: 253кб.
Дата: 13.05.2022
скачати
Пов'язані файли:
ПРАКТИЧНА РОБОТА №4 Звіт.docx
Розширення: docx
Розмір: 253кб.
Дата: 13.05.2022
скачати
Пов'язані файли:
ПРАКТИЧНА РОБОТА №4 Звіт.docx
Evasion (ухилення)
Атака ухилення полягає в побудова такого ланцюжка пактів який не буде оброблений СВВ але буде оброблений кінцевою системою-отримувачем.
Цього можна досягти використовуючи фрагментацію пакетів, і СВВ може бути нездатна обробити таку велику кількість пакетів як одну команду і пропустить їх, і адресат отримає їх.
Відмова в обслуговуванні - Denial of service (Dos)
Запуск атаки спрямованої на відмову в обслуговуванні системи IDS є можливим методом обходу одного з механізмів захисту даної мережі. Атакуючий може досягти цього, використовуючи помилки в IDS, споживаючи всі обчислювальні ресурси в IDS, або навмисно запускаючи велику кількість повідомлень, щоб замаскувати фактичну атаку. Різновиди цієї атаки наведені нижче:
Виснаження процесора: пакети, захоплені IDS, зберігаються в буфері ядра, поки CPU не буде готовий до їх обробки. Якщо процесор знаходиться під високим навантаженням, він не може обробляти пакети досить швидко і цей буфер заповнюється. Після цього нові (і, можливо, шкідливі) пакети не можуть бути поміщені у вже заповнений буфер.
Зловмисник може вичерпати ресурси процесора IDS у декілька способів. Наприклад, системи виявлення вторгнень на основі сигнатур використовують алгоритми зіставлення вмісту пакетів з сигнатурами вже відомих атак. Порівняння вмісту з певними сигнатурами є більш дорогою з точки зору обчислень, ніж з іншими. Ця атака заснована на алгоритмічній складності може значно зменшити ефективність IDS відносно невеликою кількістю трафіку.
IDS, який також контролює зашифрований трафік, може витратити велику частину ресурсів ЦП на розшифровку вхідних даних.
Об'єднання цих двох факторів дозволить максимально збільшити використання ЦП, що може призвести до переповнення буферу.
Виснаження пам'яті: для того, щоб виконати перевірку на відповідність певним сигнатурам, IDS зобов'язаний зберігати стан, пов'язаний з підключеннями, які він контролює. Наприклад, IDS має підтримувати "контрольні блоки TCP" (TCBs), фрагменти пам'яті, які містять інформацію, таку як порядкові номери і стани з'єднання (ESTABLISHED, RELATED, CLOSED і т.д.), для кожного з'єднання TCP, що контролюється IDS системі. Як тільки вся оперативна пам'ять IDS (RAM) буде використана, вона буде змушена використовувати файл підкачки - віртуальну пам'ять на жорсткому диску, яка працює набагато повільніше, ніж оперативна пам'ять. Це може
спричинити проблеми з продуктивністю і пропускання потенційно небезпечних пакетів. Ефект подібний до ефекту виснаження процесора.
Якщо IDS не зберігає TCBs правильно і ефективно, зловмисник може вичерпати пам'ять IDS, запустивши велику кількість TCP з'єднань дуже швидко. Подібні атаки можуть бути зроблені шляхом фрагментації великої кількості пакетів у більшу кількість менших пакетів або відправлення великої кількості сегментів TCP в неправильному порядку.
Втома оператора: сповіщення, створені за допомогою IDS, повинні попереджати про початок атаки. Зловмисник може зменшити "доступність" IDS, перевантаживши людського оператора необмеженим числом сповіщень, посилаючи велику кількість "шкідливого" трафіку, призначеного для створення попередження від IDS. Після цього зловмисник може виконати фактичну атаку, використовуючи шум попереднього попередження як прикриття. Для цього були розроблені утиліти "Stick" та "Snot".