SEOSERVISE - Защита сайтов от хакеров.

 
   
 

Главная


 


Современные методы ведения военных действий позволяют осуществлять молние­ носные атаки. Способность пресечения и отражения нападения во многом зависит от того, насколько быстро и своевременно его удалось обнаружить. Для выявления лю­ бой враждебной деятельности используются радиолокационные установки, спутники и другие системы мониторинга и наблюдений. Однако даже в реальных боевых усло­виях обнаружение атак не достигает 100%-ной точности. Иракские войска использо­вали выполненные в натуральную величину картонные макеты советских танков Т-72, которые на спутниковых снимках воспринимались союзническими силами как на­ стоящие машины. Системы выявления вторжений ( Intrusion Detection Systems — IDS ) для компью­ терных сетей во многом функционируют точно так же, как и аналогичные системы, используемые военными. Контролируются все действия, и лишь затем принимается решение об их "злонамеренности". В этой главе речь пойдет о том, как системы выявления вторжений могут исполь­зоваться для обнаружения Web -атак и как можно организовать некоторые Web -атаки, чтобы с успехом обойти системы IDS . Общие сведения о системах IDS Системы выявления вторжений ( IDS ) предназначены для выявления атак и уведом­ ления о них в реальном времени. Традиционная система IDS , в которой не используют­ ся эвристические процедуры анализа, состоит из трех функциональных элементов — модуля мониторинга, модуля логического вывода и модуля оповещения. Модуль мони­торинга собирает данные о текущей деятельности (в большинстве случаев эти данные характеризуют сетевой трафик). Поскольку в книге рассматриваются Web -атаки, основ­ ное внимание уделяется только тем из них, которые выполняются по сети, а не ини­ циируются в самой целевой системе. Данные, собранные модулем мониторинга, затем передаются модулю логического вывода. Этот модуль анализирует полученные данные и определяет, порождены они нормальными или злонамеренными действиями. С каждой атакой связана характерная для нее сигнатура — шаблон, по которому эту атаку можно распознать и классифицировать. Для выявления атак в большинстве систем IDS (как коммерческих, так и с открытым исходным кодом) используются именно сигнатуры. После обнаружения атаки модуль оповещения генерирует ответ, основанный на кон­фигурационных параметрах самой системы. Реакция системы может быть либо пассив­ ной, либо активной. Если в качестве ответного действия IDS направляет предупреж­ дающее сообщение на консоль администратора или добавляет запись в системный жур­ нал, то это пассивная реакция. Активная реакция может быть связана с передачей брандмауэру сообщения о необходимости блокирования сетевого трафика, иницииро­ ванного взломщиком. В зависимости от размещения IDS можно разделить на две кате­ гории: сетевые и хостовые (функционирующие на отдельных узлах). Сетевые IDS Сетевые системы выявления вторжений — это специализированные системы, раз­мещаемые непосредственно в сегменте сети и используемые для обнаружения атак, на­ правленных на любой узел этой сети. Одна сетевая IDS может осуществлять мониторинг

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |