Модификация исходящего трафика с целью защиты от потенциальных компьютерных атак | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 28 декабря, печатный экземпляр отправим 1 января.

Опубликовать статью в журнале

Автор:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №8 (298) февраль 2020 г.

Дата публикации: 24.02.2020

Статья просмотрена: 198 раз

Библиографическое описание:

Бунин, В. С. Модификация исходящего трафика с целью защиты от потенциальных компьютерных атак / В. С. Бунин. — Текст : непосредственный // Молодой ученый. — 2020. — № 8 (298). — С. 9-10. — URL: https://moluch.ru/archive/298/67691/ (дата обращения: 16.12.2024).



В статье автор рассматривает подмену признаков, позволяющих идентифицировать операционную систему (далее — ОС) исследуемого хоста, в целях дополнительной защиты от возможных компьютерных атак.

Ключевые слова: предотвращение атак, PCAP, tcp/ip, модификация трафика.

В современном мире любая информационная инфраструктура постоянно находится под угрозой. Угроза успешного проведения атаки связана с огромным количеством уязвимостей не только в различных версиях ПО, но и в самих ОС, которые установлены на ЭВМ, находящихся непосредственно в рассматриваемом сегменте сети. Стоит также отметить, что под «различными версиями» ПО понимается не только наличие устаревших версий, требующих обновления, но и новых версий, в которых уязвимости могут быть как еще не обнаружены, так и обнаружены, но еще обнародованы. Выше сказанное касается и обновлений безопасности ОС, которые всегда будут условно запаздывать, позволяя определенное время эксплуатировать, найденные уязвимости.

Для обеспечения безопасности целевого хоста или же сегмента сети используют различные средства, в том числе межсетевые экраны, антивирусы, IDS/IPS системы, обманные системы и прочие средства защиты. Все вышеупомянутые средства, будут защищать от уже непосредственно проводимой атаки. Однако зачастую перед проведение атаки, злоумышленник, анализируя перехваченный трафик, исследует целевой сегмент. Таким образом, модифицируя признаки, по которым происходит идентификация ОС, на признаки более защищенной ОС можно добиться следующих последствий:

  1. Отказ злоумышленника от проведения атаки;
  2. Проведение неудачной атаки в связи с использованием неподходящих эксплоитов;
  3. Получение большего количества цифровых следов атакующего, что повышает шансы на его поимку и привлечение к ответственности.

В частности, если рассматривать вариант, при котором злоумышленник старается во время непосредственной подготовки атаки оставить как можно меньше следов, то стоит говорить о пассивном снятии отпечатка ОС. Самым распространенным ПО, предназначенным для решения данной задачи являются: p0f, SatoriOSfingerprinting, Ettercap и NetworkMiner. Каждое упомянутое ПО имеет встроенную базу признаков для каждой ОС. При этом для каждой ОС может быть несколько признаковых векторов, это связано с использованием различных версий ПО, используемого на рассматриваемом хосте.

Если же отбросить предварительную скрытность действий злоумышленника, то самым известным инструментом активного снятии отпечатка ОС является nmap, вызываемый с параметрами, позволяющими определить ОС на исследуемом хосте. Данное средство также имеет определенную базу отпечатков ОС, однако, содержит не только фиксированные параметры, но и рассчитывает определённые временные и другие зависимости реализации стека tcp/ip [4].

В таблице 1 представлены основные признаки, расположенные в протоколах IP и TCP (фиксированные, т. е. не измеряемые параметры).

Таблица 1

Основные признаки распознавания ОС

Windows 10

FreeBSD 7.2

TTL

128

64

DF bit

0

1

DS field

0

0

Window Size

64240

65535

TCP Options (Syn)

M1460,N,W8,N,N,S

M1460,N,W3,S,T

TCP Options (Syn, Ack)

M1460,N,W8

M1460,N,W1,N,N,T,S,E

Принцип модификации передаваемого трафика состоит в том, чтобы, используя библиотеку PCAP [1], организовать на дополнительном сетевом устройстве, имеющим 2 сетевых интерфейса сетевой мост, который бы принимал пакеты от защищаемого сегмента на сетевой интерфейс № 1, модифицировал исходные пакеты по заданным эталонам, пересчитывал контрольные суммы для протоколов IP и TCP, после чего через сетевой интерфейс № 2 переправлял их дальше. Несомненно, само сетевое устройство должно быть встроено в существующий канал передачи информации.

Для проверки алгоритма модификации сетевого трафика использовалась среда виртуализации VirtualBox, настройка сети осуществлялась в GNS3. Сетевой мост не требует дополнительной настройки адресов сетевых интерфейсов, так как они не являются адресатами передачи сетевых соединений. Общая схема встраивания в канал передачи информации проиллюстрирована на рис. 1.

Рис. 1. Схема модификации передаваемого трафика.

Подмена сетевого трафика повышает вероятность введения злоумышленника в заблуждение относительно установленных ОС на хостах в защищаемом сегменте, заставляя его думать, что установлены другие ОС, как уже говорилось — более защищенные, что в свою очередь повышает безопасность защищаемого сетевого сегмента.

Литература:

1. Manpage PCAP // TCPDump. URL: https://www.tcpdump.org/manpages/pcap.3pcap.html (дата обращения: 21.02.2020).

2. NetworkMiner // Netresec. URL: https://www.netresec.com/?page=NetworkMiner (дата обращения: 21.02.2020).

3. Transmission Control Protocol, RFC: 793 // STD7. URL: https://tools.ietf.org/html/std7 (дата обращения: 21.02.2020).

4. Understanding an Nmap Fingerprint // NMAP Book. URL: https://nmap.org/book/osdetect-fingerprint-format.html (дата обращения: 21.02.2020).

Основные термины (генерируются автоматически): TCP, PCAP, IDS, IPS, TTL, защищаемый сегмент, проведение атаки, сетевой интерфейс, сетевой мост, сетевой трафик.


Ключевые слова

предотвращение атак, PCAP, tcp/ip, модификация трафика

Похожие статьи

Методы оценки рисков нарушения целостности информации в сетях передачи данных

В статье проводится анализ методов защиты от нарушения целостности информации в сетях передачи данных. На основе анализа случайных и преднамеренных угроз рассмотрены имитационная модель для исследования методов контроля целостности информации.

Защита корпоративных сетей от внутренних атак

В данной статье исследуется разработка корпоративной сети на базе технологии Multiprotocol Label Switching (MPLS) и стратегии защиты от атак типа Address Resolution Protocol (ARP) spoofing и троянских программ [1]. Основой стратегии безопасности служ...

Исследование методов определения внутренних злоумышленников в корпоративных сетях и способов реагирования

Несмотря на суждение о том, что главную угрозу для компании представляет воздействие внешних нарушителей, действующих из глобальной сети, именуемых хакерами, настоящая опасность современной компании может исходить от нарушителей, находящихся внутри к...

Способы отслеживания нежелательного контента и их автоматизация

В данной статье рассматриваются способы модерации контента, создаваемого пользователями, предлагается способ автоматизации данного процесса с целью выявления нежелательного контента в социальных сетях и форумах.

Исследование систем обнаружения вторжений

В статье авторы проводят исследование систем обнаружения вторжений, описывая их характеристики, классификации и особенности.

Типовые атаки на DHCP

В статье авторы рассматривают типовые атаки на DHCP и рассказывают о методах обеспечения сетевой безопасности, необходимых для эффективной защиты от угроз. В данной статье меры безопасности моделируются с использованием Cisco Packet Tracer.

Принципы построения безопасности Bluetooth

В статье авторы исследуют механизмы обеспечения безопасности технологии Bluetooth, а также основные ландшафты проведения атак.

Обнаружение веб-атак с использованием машинного обучения

В статье авторы изучают используемые методы и системы машинного обучения в системах обнаружения вторжений (СОВ), в частности веб-атак.

Интеллектуализация системы обнаружения и предотвращения сбоев в сети

В статье обсуждены вопросы разработки программного приложения по обнаружению, предотвращению и предсказанию наблюдающихся сбоев в составе локальной сети. Целью создания программного приложения является интеллектуализация его алгоритмов, где на основе...

Применение инструментов OSINT для выявления уязвимостей информационной сети предприятия

В настоящее время обеспечение информационной безопасности играют важнейшую роль в предприятиях разного масштаба. Данная тенденция стала наиболее актуальной с применением инструментов OSINT. В данной статье способ применения данных инструментов для вы...

Похожие статьи

Методы оценки рисков нарушения целостности информации в сетях передачи данных

В статье проводится анализ методов защиты от нарушения целостности информации в сетях передачи данных. На основе анализа случайных и преднамеренных угроз рассмотрены имитационная модель для исследования методов контроля целостности информации.

Защита корпоративных сетей от внутренних атак

В данной статье исследуется разработка корпоративной сети на базе технологии Multiprotocol Label Switching (MPLS) и стратегии защиты от атак типа Address Resolution Protocol (ARP) spoofing и троянских программ [1]. Основой стратегии безопасности служ...

Исследование методов определения внутренних злоумышленников в корпоративных сетях и способов реагирования

Несмотря на суждение о том, что главную угрозу для компании представляет воздействие внешних нарушителей, действующих из глобальной сети, именуемых хакерами, настоящая опасность современной компании может исходить от нарушителей, находящихся внутри к...

Способы отслеживания нежелательного контента и их автоматизация

В данной статье рассматриваются способы модерации контента, создаваемого пользователями, предлагается способ автоматизации данного процесса с целью выявления нежелательного контента в социальных сетях и форумах.

Исследование систем обнаружения вторжений

В статье авторы проводят исследование систем обнаружения вторжений, описывая их характеристики, классификации и особенности.

Типовые атаки на DHCP

В статье авторы рассматривают типовые атаки на DHCP и рассказывают о методах обеспечения сетевой безопасности, необходимых для эффективной защиты от угроз. В данной статье меры безопасности моделируются с использованием Cisco Packet Tracer.

Принципы построения безопасности Bluetooth

В статье авторы исследуют механизмы обеспечения безопасности технологии Bluetooth, а также основные ландшафты проведения атак.

Обнаружение веб-атак с использованием машинного обучения

В статье авторы изучают используемые методы и системы машинного обучения в системах обнаружения вторжений (СОВ), в частности веб-атак.

Интеллектуализация системы обнаружения и предотвращения сбоев в сети

В статье обсуждены вопросы разработки программного приложения по обнаружению, предотвращению и предсказанию наблюдающихся сбоев в составе локальной сети. Целью создания программного приложения является интеллектуализация его алгоритмов, где на основе...

Применение инструментов OSINT для выявления уязвимостей информационной сети предприятия

В настоящее время обеспечение информационной безопасности играют важнейшую роль в предприятиях разного масштаба. Данная тенденция стала наиболее актуальной с применением инструментов OSINT. В данной статье способ применения данных инструментов для вы...

Задать вопрос