Модификация исходящего трафика с целью защиты от потенциальных компьютерных атак | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 5 февраля, печатный экземпляр отправим 9 февраля.

Опубликовать статью в журнале

Автор:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №8 (298) февраль 2020 г.

Дата публикации: 24.02.2020

Статья просмотрена: 73 раза

Библиографическое описание:

Бунин, В. С. Модификация исходящего трафика с целью защиты от потенциальных компьютерных атак / В. С. Бунин. — Текст : непосредственный // Молодой ученый. — 2020. — № 8 (298). — С. 9-10. — URL: https://moluch.ru/archive/298/67691/ (дата обращения: 26.01.2022).



В статье автор рассматривает подмену признаков, позволяющих идентифицировать операционную систему (далее — ОС) исследуемого хоста, в целях дополнительной защиты от возможных компьютерных атак.

Ключевые слова: предотвращение атак, PCAP, tcp/ip, модификация трафика.

В современном мире любая информационная инфраструктура постоянно находится под угрозой. Угроза успешного проведения атаки связана с огромным количеством уязвимостей не только в различных версиях ПО, но и в самих ОС, которые установлены на ЭВМ, находящихся непосредственно в рассматриваемом сегменте сети. Стоит также отметить, что под «различными версиями» ПО понимается не только наличие устаревших версий, требующих обновления, но и новых версий, в которых уязвимости могут быть как еще не обнаружены, так и обнаружены, но еще обнародованы. Выше сказанное касается и обновлений безопасности ОС, которые всегда будут условно запаздывать, позволяя определенное время эксплуатировать, найденные уязвимости.

Для обеспечения безопасности целевого хоста или же сегмента сети используют различные средства, в том числе межсетевые экраны, антивирусы, IDS/IPS системы, обманные системы и прочие средства защиты. Все вышеупомянутые средства, будут защищать от уже непосредственно проводимой атаки. Однако зачастую перед проведение атаки, злоумышленник, анализируя перехваченный трафик, исследует целевой сегмент. Таким образом, модифицируя признаки, по которым происходит идентификация ОС, на признаки более защищенной ОС можно добиться следующих последствий:

  1. Отказ злоумышленника от проведения атаки;
  2. Проведение неудачной атаки в связи с использованием неподходящих эксплоитов;
  3. Получение большего количества цифровых следов атакующего, что повышает шансы на его поимку и привлечение к ответственности.

В частности, если рассматривать вариант, при котором злоумышленник старается во время непосредственной подготовки атаки оставить как можно меньше следов, то стоит говорить о пассивном снятии отпечатка ОС. Самым распространенным ПО, предназначенным для решения данной задачи являются: p0f, SatoriOSfingerprinting, Ettercap и NetworkMiner. Каждое упомянутое ПО имеет встроенную базу признаков для каждой ОС. При этом для каждой ОС может быть несколько признаковых векторов, это связано с использованием различных версий ПО, используемого на рассматриваемом хосте.

Если же отбросить предварительную скрытность действий злоумышленника, то самым известным инструментом активного снятии отпечатка ОС является nmap, вызываемый с параметрами, позволяющими определить ОС на исследуемом хосте. Данное средство также имеет определенную базу отпечатков ОС, однако, содержит не только фиксированные параметры, но и рассчитывает определённые временные и другие зависимости реализации стека tcp/ip [4].

В таблице 1 представлены основные признаки, расположенные в протоколах IP и TCP (фиксированные, т. е. не измеряемые параметры).

Таблица 1

Основные признаки распознавания ОС

Windows 10

FreeBSD 7.2

TTL

128

64

DF bit

0

1

DS field

0

0

Window Size

64240

65535

TCP Options (Syn)

M1460,N,W8,N,N,S

M1460,N,W3,S,T

TCP Options (Syn, Ack)

M1460,N,W8

M1460,N,W1,N,N,T,S,E

Принцип модификации передаваемого трафика состоит в том, чтобы, используя библиотеку PCAP [1], организовать на дополнительном сетевом устройстве, имеющим 2 сетевых интерфейса сетевой мост, который бы принимал пакеты от защищаемого сегмента на сетевой интерфейс № 1, модифицировал исходные пакеты по заданным эталонам, пересчитывал контрольные суммы для протоколов IP и TCP, после чего через сетевой интерфейс № 2 переправлял их дальше. Несомненно, само сетевое устройство должно быть встроено в существующий канал передачи информации.

Для проверки алгоритма модификации сетевого трафика использовалась среда виртуализации VirtualBox, настройка сети осуществлялась в GNS3. Сетевой мост не требует дополнительной настройки адресов сетевых интерфейсов, так как они не являются адресатами передачи сетевых соединений. Общая схема встраивания в канал передачи информации проиллюстрирована на рис. 1.

Рис. 1. Схема модификации передаваемого трафика.

Подмена сетевого трафика повышает вероятность введения злоумышленника в заблуждение относительно установленных ОС на хостах в защищаемом сегменте, заставляя его думать, что установлены другие ОС, как уже говорилось — более защищенные, что в свою очередь повышает безопасность защищаемого сетевого сегмента.

Литература:

1. Manpage PCAP // TCPDump. URL: https://www.tcpdump.org/manpages/pcap.3pcap.html (дата обращения: 21.02.2020).

2. NetworkMiner // Netresec. URL: https://www.netresec.com/?page=NetworkMiner (дата обращения: 21.02.2020).

3. Transmission Control Protocol, RFC: 793 // STD7. URL: https://tools.ietf.org/html/std7 (дата обращения: 21.02.2020).

4. Understanding an Nmap Fingerprint // NMAP Book. URL: https://nmap.org/book/osdetect-fingerprint-format.html (дата обращения: 21.02.2020).

Основные термины (генерируются автоматически): TCP, PCAP, IDS, IPS, TTL, защищаемый сегмент, проведение атаки, сетевой интерфейс, сетевой мост, сетевой трафик.


Ключевые слова

предотвращение атак, PCAP, tcp/ip, модификация трафика

Похожие статьи

Сетевые атаки. Виды. Способы борьбы | Статья в сборнике...

Для начала установим, что такое сетевая атака. Сетевая атака - действие, целью которого является

В ходе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP

Таким образом, были рассмотрены основные сетевые атаки и способы борьбы с ними.

Классификация IDS | Статья в журнале «Молодой ученый»

Network-based IDS (сетевая) сетевая IDS не использует ресурсы процессора и память

В сетевой СОВ, сенсоры расположены на важных для наблюдения точках сети, часто в

Сенсор перехватывает весь сетевой трафик и анализирует содержимое каждого пакета на наличие...

Сравнение некоторых модификаций протокола TCP с ARTCP

Протокол TCP осуществляет доставку дейтограмм, называемых сегментами, в виде байтовых потоков с установлением соединения. Протокол TCP применяется в тех случаях, когда требуется гарантированная доставка сообщений.

Системы сбора информации в аспекте кибербезопасности

Bro — это пассивный анализатор сетевого трафика с открытым исходным кодом.

+ Детектирование сетевой активности узлов, документация информации об активности и угрозах.

Благодаря Cortex входящему в TheHive наблюдаемые данные, такие как IP и адреса...

Применение искусственных нейронных сетей для прогнозирования...

Для успешного противодействия сетевым атакам разрабатываются методы и механизмы защиты; почти все современные программные и программно-аппаратные средства защиты используют целый набор методов. Из-за высокой стоимости средств защиты многие компании...

Методика измерения пропускной способности в сетях TCP/IP

TCP/IP — набор сетевых протоколов (IP, ARP, TCP, UDP, ICMP, и т. д.). Протоколы TCP/IP образуют стек протоколов — иерархическую

С правильным оборудованием пропускная способность этой IDS может достигать. сервисов, включая большинство популярных...

Роль протокола TCP в современных компьютерных сетях.

Самую важную роль в семействе протоколов TCP/IP играют протокол управления передачей

Как было сказано выше, протокол TCP отвечает за выполнение крайне важной задачи

Протокол TCP обеспечивает обмен сегментами в обе стороны. В связи с этим на каждой из...

Разработка программного модуля для фильтрации сетевого...

В настоящее время анализ сетевого трафика при фильтрации пакетов проводится и на

Поскольку трафик из внешних и внутренних сетей имеет разную информативность и, как

Сравнительный обзор сетевых интерфейсов для коммутации... TCP/IP — набор сетевых...

Сравнительный обзор сетевых интерфейсов для коммутации...

TCP/IP — набор сетевых протоколов (IP, ARP, TCP, UDP, ICMP, и т. д.). Протоколы TCP/IP образуют стек протоколов — иерархическую

Вывод: рассмотренные протоколы TCP и UDP поверх Ethernet обеспечивают достаточный уровень контроля целостности данных, физический...

Разработка методики выявления сетевых атак с помощью Data...

Сетевая СОВ ( Network -based IDS , NIDS) отслеживает вторжения , проверяя сетевой трафик и ведет наблюдение за несколькими хостами.

DoS атаки — это сетевые атаки , направленные на возникновение ситуации, когда на атакуемой системе происходит отказ в обслуживании .

Похожие статьи

Сетевые атаки. Виды. Способы борьбы | Статья в сборнике...

Для начала установим, что такое сетевая атака. Сетевая атака - действие, целью которого является

В ходе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP

Таким образом, были рассмотрены основные сетевые атаки и способы борьбы с ними.

Классификация IDS | Статья в журнале «Молодой ученый»

Network-based IDS (сетевая) сетевая IDS не использует ресурсы процессора и память

В сетевой СОВ, сенсоры расположены на важных для наблюдения точках сети, часто в

Сенсор перехватывает весь сетевой трафик и анализирует содержимое каждого пакета на наличие...

Сравнение некоторых модификаций протокола TCP с ARTCP

Протокол TCP осуществляет доставку дейтограмм, называемых сегментами, в виде байтовых потоков с установлением соединения. Протокол TCP применяется в тех случаях, когда требуется гарантированная доставка сообщений.

Системы сбора информации в аспекте кибербезопасности

Bro — это пассивный анализатор сетевого трафика с открытым исходным кодом.

+ Детектирование сетевой активности узлов, документация информации об активности и угрозах.

Благодаря Cortex входящему в TheHive наблюдаемые данные, такие как IP и адреса...

Применение искусственных нейронных сетей для прогнозирования...

Для успешного противодействия сетевым атакам разрабатываются методы и механизмы защиты; почти все современные программные и программно-аппаратные средства защиты используют целый набор методов. Из-за высокой стоимости средств защиты многие компании...

Методика измерения пропускной способности в сетях TCP/IP

TCP/IP — набор сетевых протоколов (IP, ARP, TCP, UDP, ICMP, и т. д.). Протоколы TCP/IP образуют стек протоколов — иерархическую

С правильным оборудованием пропускная способность этой IDS может достигать. сервисов, включая большинство популярных...

Роль протокола TCP в современных компьютерных сетях.

Самую важную роль в семействе протоколов TCP/IP играют протокол управления передачей

Как было сказано выше, протокол TCP отвечает за выполнение крайне важной задачи

Протокол TCP обеспечивает обмен сегментами в обе стороны. В связи с этим на каждой из...

Разработка программного модуля для фильтрации сетевого...

В настоящее время анализ сетевого трафика при фильтрации пакетов проводится и на

Поскольку трафик из внешних и внутренних сетей имеет разную информативность и, как

Сравнительный обзор сетевых интерфейсов для коммутации... TCP/IP — набор сетевых...

Сравнительный обзор сетевых интерфейсов для коммутации...

TCP/IP — набор сетевых протоколов (IP, ARP, TCP, UDP, ICMP, и т. д.). Протоколы TCP/IP образуют стек протоколов — иерархическую

Вывод: рассмотренные протоколы TCP и UDP поверх Ethernet обеспечивают достаточный уровень контроля целостности данных, физический...

Разработка методики выявления сетевых атак с помощью Data...

Сетевая СОВ ( Network -based IDS , NIDS) отслеживает вторжения , проверяя сетевой трафик и ведет наблюдение за несколькими хостами.

DoS атаки — это сетевые атаки , направленные на возникновение ситуации, когда на атакуемой системе происходит отказ в обслуживании .

Задать вопрос