3.2.3. Топологические модели атак на основе сканирования портов
Цель данной атаки заключается в получении сведений о запущенных на атакуемой машине сервисах. Как правило, избыточность запущенных на компьютере сервисов и является причиной успешной реализации атаки. В результате сканирования открытых портов злоумышленник может определить название службы, которая использует данный порт, и тип ОС [23]. А далее, зная соответствующие уязвимости в этих службах, злоумышленник может проникнуть на удаленный хост и получить права на доступ в систему. Список открытых (активных) портов на сервере означает наличие запущенных на нем серверных приложений, предоставляющих удаленный доступ.
Рассмотрим топологическую модель данной атаки:
1. В интервале времени (n) составляется база данных y (рис. 3.12), номеров портов и названий служб использующих данные порты по умолчанию [24].
Рис. 3.12. Графовая модель атаки сканирования портов в (n) интервале времени
Рис. 3.13.Графовая модель атаки сканирования портов в (n+1) интервале времени
С помощью специального программного обеспечения, которой циклически перебирает порты в базе данных, злоумышленник создает объект xT, через который пробует установить соединение (рис. 3.12). Для этого посылаются команды на поиск соответствующего порта (как правило это нулевой пакет).
2. В интервале времени (n+1) объекту злоумышленника будет отправлен ответ с атакуемого сервера xк, содержащий адрес порта в случае если порт открыт и незащищен. В случае если порт закрыт, от атакуемого объекта ответа не поступит. После получения этой информации, злоумышленник с помощью базы данных (портов), путем сопоставления адреса порта с конкретным сервисом (например 21 адрес соответствует службе FTP) определяет список служб установленных на атакуемом объекте (рис. 3.13) [26].
3.2.4. Топологические модели атак на основе анализа сетевого трафика
Данная сетевая атака позволяет перехватить поток данных, которыми обмениваются абоненты системы, что адекватно несанкционированному доступу к информации. Целью данной атаки не ставится модификация трафика, а исключительно его анализ. Как правило анализ осуществляется внутри одного доступного злоумышленнику сегмента системы. Результатом перехвата могут являться имя и пароль пользователя, пересылаемые в незашифрованном виде [27].
Ниже рассмотрена графовая модель атаки анализа сетевого трафика, представленная на рис. 3.14-3.17, где xТ – хост злоумышленника, Rd – операция чтения (анализа) сетевого трафика, заключающаяся в получении имен абонентов Rd(xviXv, xkiXk), между которыми идет обмен информацией, их паролей или другой информации обмена Rd(data). При рассмотрении атак на внешнесегментный сетевой трафик графовая модель усложняется наличием маршрутизаторов m1, m2 (рис. 3.16) [28]. А перехват внешнесегментного сетевого трафика осуществляется за счет использования недостатков протоколов маршрутизации.
Рис. 3.14. Графовая модель атаки анализа внутрисегментного сетевого трафика в (n) интервале времени
Рис.
3.15.
Графовая модель атаки анализа
внутрисегментного сетевого трафика в
(n+1)
интервале времени
Рис. 3.16. Графовая модель атаки анализа внешнесегментного сетевого трафика в (n) интервале времени
Рис. 3.17. Графическая модель атаки анализа внешнесегментного сетевого трафика в (n+1) интервале времени
Для проведения атаки перехвата сетевого трафика, злоумышленник ожидает широковещательные сообщения, в котором указываются векторы расстояний до сегментов [29]. Перехватив сообщения, злоумышленник отвечает ложными сообщениями, указывая векторы меньшей длины. В результате этой операции злоумышленник ассоциируется с истинным маршрутизатором. После этого весь трафик между сегментами будет проходить через хост злоумышленника XT.