1 ... 9 10 11 12 13 14 15 16 ... 19 Ім'я файлу: вторгнення.docx Розширення: docx Розмір: 253кб. Дата: 13.05.2022 скачати Пов'язані файли: ПРАКТИЧНА РОБОТА №4 Звіт.docx Шифрування і тунелюванняЯкщо атакуючій стороні вдається встановити зашифроване з’єднання (тунель) з системою, то СВВ цієї системи не буде перевіряти трафік що йде через тунель. Приклад зашифрованого з’єднання (тунелю): SSH SSL IPSec RDP Два комп’ютера можуть спілкуватися за допомогою IPSec або інших форм зашифрованих тунелів, і NIDS не матиме засобів для перевірки трафіку, якщо не буде надано ключів дешифрування [20]. Деякі зловмисні програми використовують ключ і побітову операцію XOR для шифрування. Враховуючи достатні ресурси, в деяких випадках NIDS може розшифрувати пакети. До переваг шифрування за допомогою операції XOR можна віднести те, що вона є швидкою та простою з обчислювальної точки зору, а найпоширеніші архітектури забезпечують цю функцію на апаратному рівні. Недоліки полягають у тому, що шкідливі програми, зашифровані за допомогою операції XOR, можуть бути виявлені з використанням статистичного аналізу, наприклад частоти байтів. Також, трафік IPSec може бути виявлений за допомогою вимірювань ентропії, хоча архівовані дані можуть мати аналогічні рівні ентропії і призвести до хибних спрацювань [21]. Зважаючи на вище сказане шифрування трафік значно збільшує шанси на виконання атаки, яка не буде виявлена СВВ. Використання невеликих пакетівОдним з основних методів є розділення корисного навантаження на кілька невеликих пакетів, так що IDS повинен зібрати потік пакетів для виявлення атаки. Простий спосіб розбиття пакетів полягає в їх фрагментації, але атакуючий може також створювати пакети з невеликими корисними навантаженнями. Один метод виконання даної атаки - це пауза між відправленнями частин атакуючої команди. Другий метод - відправлення пакетів в неправильному порядку, що може обманути прості IDS системи. Сама по собі атака фрагментацією є малоефективною, але зазвичай її використовують в поєднанні з іншими атаками. Приклад Snort для виявлення даної атаки (корисне навантаження пакету має розмір (dsize)=1 і пакет містить лише пробіл): alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-MISC whisker space splice attack"; flow:to_server,established; dsize:1; content:" "; reference:arachnids,296; reference:url,www.wiretrip.net/rfp/pages/whitepapers/whiskerids.html; classtype:attempted-recon; sid:1104; rev:11;) Фрагментація пакетівЦя атака схожа на атаку з використанням невеликих пакетів, але основна відмінність полягає в тому, що ids повинна зберігати послідовність пакетів в пам’яті перш ніж зможе порівняти їх з шаблонами. Також система повинна розуміти в якому порядку пакети мають бути зібрані системою-адресатом. На основі цієї техніки розрізняють наступні атаки: Накладання фрагментів: використовує принцип того що один фрагмент перезаписує дані з попереднього фрагмента, тим самим чином ухиляючись від розпізнавання IDS системою. Перезапис фрагменту: ця атака схожа на попередню, відмінність полягає в тому що деякі фрагменти повністю переписують попередні. Тайм Аут фрагментів: використовує факт що деякі IDS системи утримують незавершену послідовність пакетів в пам’яті певну кількість часу перш ніж відкинути її. В більшості простих систем це 60 секунд. Тобто можна затримати відправлення частини послідовності на цей час і IDS не розпізнає атаку. Один з спосіб захисту від даної атаки за допомогою Snort це фільтрація пакетів невеликого розміру: alert ip $EXTERNAL_NET any -> $HOME_NET any (msg:"MISC Tiny Fragments"; dsize:< 25; fragbits:M; classtype:bad-unknown; sid:522; rev:3;) 1 ... 9 10 11 12 13 14 15 16 ... 19 |