Виды хакерских атак. DOS и DDoS-атаки: понятие, разновидности, методы выявления и защиты Основные виды сетевых атак исследование

Переполнение буфера . Пожалуй, один из самых распространенных типов атак в Интернете. Принцип данной атаки построен на использовании программных ошибок, позволяющих вызвать нарушение границ памяти и аварийно завершить приложение или выполнить произвольный бинарный код от имени пользователя, под которым работала уязвимая программа. Если программа работает под учётной записью администратора системы, то данная атака позволит получить полный контроль над компьютером жертвы, поэтому рекомендуется работать под учётной записью рядового пользователя, имеющего ограниченные права на системе, а под учётной записью администратора системы выполнять только операции, требующие административные права.

Вирусы , троянские кони, почтовые черви, снифферы, Rootkit-ы и другие специальные программы. Следующий вид атаки представляет собой более изощренный метод получения доступа к закрытой информации - это использование специальных программ для ведения работы на компьютере жертвы. Такие программы предназначены для поиска и передачи своему владельцу секретной информации, либо просто для нанесения вреда системе безопасности и работоспособности компьютера жертвы. Принципы действия этих программ различны, поэтому мы не будем рассматривать отдельно.

Сетевая разведка . В ходе такой атаки хакер собственно не производит никаких деструктивных действий, но в результате он может получить закрытую информацию о построении и принципах функционирования вычислительной системы жертвы. Полученная информация может быть использована для грамотного построения предстоящей атаки, и обычно производится на подготовительных этапах. В ходе такой разведки злоумышленник может производить сканирование портов, запросы DNS, эхо-тестирование открытых портов, наличие и защищённость прокси-серверов. В результате можно получить информацию о существующих в системе DNS-адресах, кому они принадлежат, какие сервисы на них доступны, уровень доступа к этим сервисам для внешних и внутренних пользователей.

Сниффинг пакетов . Также довольно распространенный вид атаки, основанный на работе сетевой карты в режиме promiscuous mode, а также monitor mode для сетей Wi-Fi. В таком режиме все пакеты, полученные сетевой картой, пересылаются на обработку специальному приложению, называемым сниффером, для обработки. В результате злоумышленник может получить большое количество служебной информации: кто, откуда, куда передавал пакеты, через какие адреса эти пакеты проходили. Самой большой опасностью такой атаки является получение самой информации, например логинов и паролей сотрудников, которые можно использовать для незаконного проникновения в систему под видом обычного сотрудника компании.

Сниффер - анализатор трафика, или сниффер (от англ. to sniff - нюхать) - сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов. Во время работы сниффера сетевой интерфейс переключается в «режим прослушивания» (Promiscuous mode), что и позволяет ему получать пакеты, адресованные другим интерфейсам в сети.

Перехват трафика может осуществляться: обычным «прослушиванием» сетевого интерфейса; подключением сниффера в разрыв канала; ответвлением (программным или аппаратным) трафика и направлением его копии на сниффер; через анализ побочных электромагнитных излучений и восстановление, таким образом, прослушиваемого трафика; через атаку на канальном или сетевом уровне, приводящую к перенаправлению трафика жертвы или всего трафика сегмента на сниффер с последующим возвращением трафика в надлежащий адрес.

· Выявить в сети вредоносное и несанкционированное ПО;

· Локализовать неисправность сети или ошибку конфигурации сетевых агентов;

· Перехватить любой не зашифрованный пользовательский трафик с целью получения паролей и другой информации;

IP-спуфинг . Тоже распространенный вид атаки в недостаточно защищённых сетях, когда злоумышленник выдает себя за санкционированного пользователя, находясь в самой организации, или за её пределами. Для этого хакеру необходимо воспользоваться IP-адресом, разрешённым в системе безопасности сети. Такая атака возможна, если система безопасности позволяет идентификацию пользователя только по IP-адресу и не требует дополнительных подтверждений.

Man-in-the-Middle . Вид атаки, когда злоумышленник перехватывает канал связи между двумя системами, и получает доступ ко всей передаваемой информации. При получении доступа на таком уровне можно модифицировать информацию нужным образом, чтобы достичь своих целей. Цель такой атаки - кража или фальсифицированные передаваемой информации, или же получение доступа к ресурсам сети. Такие атаки крайне сложно отследить, так как обычно злоумышленник находится внутри организации.

Инъекция. Атака, связанная с различного рода инъекциями, подразумевает внедрение сторонних команд или данных в работающую систему с целью изменения хода работы системы, а в результате - получение доступа к закрытым функциям и информации, либо дестабилизации работы системы в целом. Наиболее популярна такая атака в сети Интернет, но также может быть проведена через командную строку системы.

Виды инъекций:

SQL-инъекция - атака, в ходе которой изменяются параметры SQL-запросов к базе данных. В результате запрос приобретает совершенно иной смысл, и в случае недостаточной фильтрации входных данных способен не только произвести вывод конфиденциальной информации, но и изменить/удалить данные. Очень часто такой вид атаки можно наблюдать на примере сайтов, которые используют параметры командной строки (в данном случае - переменные URL) для построения SQL-запросов к базам данных без соответствующей проверки.

PHP -инъекция – один из способов взлома веб-сайтов, работающих на PHP. Он заключается в том, чтобы внедрить специально сформированный злонамеренный сценарий в код веб-приложения на серверной стороне сайта, что приводит к выполнению произвольных команд. Известно, что во многих распространённых в интернете бесплатных движках и форумах, работающих на PHP (чаще всего это устаревшие версии) есть непродуманные модули или отдельные конструкции с уязвимостями. Хакеры анализируют такие уязвимости, как не экранированные переменные, получающие внешние значения.

C крипт-инъекция илиXSS Cross Site Scripting - тип уязвимости интерактивных информационных систем в вебе. «XSS» возникает, когда в генерируемые сервером страницы по какой-то причине попадают пользовательские скрипты. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера они используют уязвимый сервер в качестве средства атаки на клиента. Долгое время программисты не уделяли им должного внимания, считая их неопасными. Однако это мнение ошибочно: на странице или в HTTP- Cookies могут быть весьма уязвимые данные (например, идентификатор сессии администратора). На популярном сайте скрипт может устроить DoS-атакy.

XPath-инъекция. Вид уязвимостей, который заключается во внедрении XPath-выражений в оригинальный запрос к базе данных XML. Как и при остальных видах инъекций, уязвимость возможна ввиду недостаточной проверки входных данных.

DoS - (Denial of Service - Отказ в обслуживании) - атака, имеющая своей целью заставить сервер не отвечать на запросы. Такой вид атаки не подразумевает получение некоторой секретной информации, но иногда бывает подспорьем в инициализации других атак. Например, некоторые программы из-за ошибок в своем коде могут вызывать исключительные ситуации, и при отключении сервисов способны исполнять код, предоставленный злоумышленником или атаки лавинного типа, когда сервер не может обработать огромное количество входящих пакетов.

DDoS - (Distributed Denial of Service) - имеющий ту же цель что и DoS, но производимой не с одного компьютера, а с нескольких компьютеров в сети. В данных типах атак используется либо возникновение ошибок, приводящих к отказу сервиса, либо срабатывание защиты, приводящей к блокированию работы сервиса, а в результате также к отказу в обслуживании. DDoS используется там, где обычный DoS неэффективен. Для этого несколько компьютеров объединяются, и каждый производит DoS атаку на систему жертвы. Вместе это называется DDoS-атака.

Любая атака представляет собой не что иное, как попытку использовать несовершенство системы безопасности жертвы либо для получения информации, либо для нанесения вреда системе, поэтому причиной любой удачной атаки является профессионализм хакера и ценность информации, а так же недостаточная компетенция администратора системы безопасности в частности, несовершенство программного обеспечения, и недостаточное внимание к вопросам безопасности в компании в принципе.

Угрозы, реализуемые по сети, классифицируются по следующим основным признакам:

1. характер угрозы .

   Пассивная – угроза, которая не оказывает влияния на работу информационной системы, но может нарушить правила доступа к защищаемой информации. Пример: использование sniffer для "прослушивания" сети. Активная – угроза, которая воздействуют на компоненты информационной системы, при реализации которой оказывается непосредственное влияние на работу системы. Пример: DDOS -атака в виде шторма TCP-запросами.

2. цель реализации угрозы (соответственно, конфиденциальность, доступность, целостность информации).
3. условие начала атаки :
   • по запросу от атакуемого. То есть злоумышленник ожидает передачи запроса определенного типа, который и будет условием начала НСД.
   • по наступлению ожидаемого события на атакуемом объекте.
   • безусловное воздействие – злоумышленник ничего не ждет, то есть угроза реализуется сразу и безотносительно к состоянию атакуемого объекта.
4. наличие обратной связи с атакуемым объектом:
   • с обратной связью, то есть на некоторые запросы злоумышленнику необходимо получить ответ. Таким образом, между атакуемым и атакующим есть обратная связь, позволяющая злоумышленнику следить за состоянием атакуемого объекта и адекватно реагировать на его изменения.
   • без обратной связи – соответственно, нет обратной связи и необходимости злоумышленнику реагировать на изменения атакуемого объекта.
5. расположение нарушителя относительно атакуемой информационной системы : внутрисегментно и межсегментно. Сегмент сети – физическое объединение хостов, технических средств и других компонентов сети, имеющих сетевой адрес. Например, один сегмент образуют компьютеры, подключенные к общей шине на основе Token Ring .
6. уровень эталонной модели ISO/OSI, на котором реализуется угроза : физический, канальный, сетевой, транспортный, сеансовый, представительный, прикладной.

Рассмотрим наиболее распространенные на настоящее время атаки в сетях на основе стека протоколов TCP/IP.

1. Анализ сетевого трафика. Данная атака реализуется с помощью специальной программы, называемой sniffer . Sniffer представляет собой прикладную программу, которая использует сетевую карту , работающую в режиме promiscuous mode , так называемый "неразборчивый" режим в котором сетевая плата позволяет принимать все пакеты независимо от того кому они адресованы. В нормальном состоянии на Ethernet-интерфейсе используется фильтрация пакетов канального уровня и если MAC-адрес в заголовке назначения принятого пакета не совпадает с MAC-адресом текущего сетевого интерфейса и не является широковещательным, то пакет отбрасывается. В "неразборчивом" режиме фильтрация на сетевом интерфейсе отключается и все пакеты, включая не предназначенные текущему узлу, пропускаются в систему. Надо заметить, что многие подобные программы используются в легальных целях, например, для диагностики неисправностей или анализа трафика . Тем не менее, в рассмотренной нами выше таблице перечислены протоколы, которые отправляют информацию, в том числе пароли, в открытом виде – FTP, SMTP, POP3 и т.д. Таким образом, с помощью sniffer можно перехватить имя и пароль и осуществить несанкционированный доступ к конфиденциальной информации. Более того, многие пользователи используют одни и те же пароли для доступа ко многим сетевым сервисам. То есть, если в одном месте сети есть слабость в виде слабой аутентификации, пострадать может вся сеть. Злоумышленники хорошо знают людские слабости и широко применяют методы социальной инженерии.

   Защита от данного вида атаки может заключаться в следующем:

   • Сильная аутентификация , например, использование одноразовых паролей (one- time password ). Суть состоит в том, что пароль можно использовать однократно, и даже если злоумышленник перехватил его с помощью sniffer , он не представляет никакой ценности. Конечно, данный механизм защиты спасает только от перехвата паролей, и является бесполезным в случае перехвата другой информации, например, электронной почты.
   • Анти-снифферы – аппаратные или программные средства, способные выявить работу сниффера в сегменте сети. Как правило, они проверяют нагрузку на узлах сети с целью определения "лишней" нагрузки.
   • Коммутируемая инфраструктура. Понятно, что анализ сетевого трафика возможен только внутри одного сегмента сети. Если сеть построена на устройствах, разбивающих ее на множество сегментов (коммутаторы и маршрутизаторы), то атака возможна только в тех участках сети, которые относятся к одному из портов данных устройств. Это не решает проблемы сниффинга, но уменьшает границы, которые может "прослушивать" злоумышленник.
   • Криптографические методы. Самый надежный способ борьбы с работой sniffer . Информация, которая может быть получена с помощью перехвата, является зашифрованной и, соответственно, не имеет никакой пользы. Чаще всего используются IPSec , SSL и SSH .
2. Сканирование сети .Целью сканирования сети является выявление работающих в сети служб, открытых портов, активных сетевых сервисов , используемых протоколов и т.п., то есть сбор информации о сети. Для сканирования сети чаще всего используются:
   • запросы DNS помогают выяснить злоумышленнику владельца домена, адресную область,
   • эхо-тестирование – выявляет работающие хосты на основе DNS-адресов, полученных ранее;
   • сканирование портов – составляется полный перечень услуг, поддерживаемых этими хостами, открытые порты, приложения и т.п.

   Хорошей и наиболее распространенной контрмерой является использование IDS , которая успешно находит признаки ведения сканирования сети и уведомляет об этом администратора. Полностью избавиться от данной угрозы невозможно, так как если, например, отключить эхо ICMP и эхо-ответ на маршрутизаторе, то можно избавиться от угрозы эхо-тестирования, но при этом потерять данные, необходимые для диагностики сетевых сбоев.

3. Выявление пароля .Основной целью данной атаки является получение несанкционированного доступа к защищаемым ресурсам путем преодоления парольной защиты. Чтобы получить пароль, злоумышленник может использовать множество способов – простой перебор, перебор по словарю, сниффинг и др. Самым распространенным является простой перебор всех возможных значений пароля. Для защиты от простого перебора необходимо применять сильные пароли, которые не просто подобрать: длина 6-8 символов, использование букв верхнего и нижнего регистра, использование специальных знаков (@,#,$ и т.д.).

   Еще одной проблемой информационной безопасности является то, что большинство людей используют одинаковые пароли ко всем службам, приложениям, сайтам и пр. При этом уязвимость пароля зависит от самого слабого участка его использования.

   Подобного рода атак можно избежать, если использовать одноразовые пароли, о которых мы говорили ранее, или криптографическую аутентификацию.

4. IP-spoofing или подмена доверенного объекта сети .Под доверенным в данном случае понимается объект сети (компьютер, маршрутизатор, межсетевой экран и т.п.), легально подключенный к серверу. Угрозы заключается в том, что злоумышленник выдает себя за доверенный объект сети. Это можно сделать двумя способами. Во-первых, воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки данного типа часто являются отправной точкой для прочих атак.

   Обычно подмена доверенного объекта сети ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между объектами сети. Для двусторонней связи злоумышленник должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес, что тоже является возможным. Для ослабления угрозы (но не ее ликвидации) можно использовать следующее:

   • контроль доступа. Можно настроить контроль доступа на отсечение любого трафика, поступающего из внешней сети с исходным адресом внутри сети. Этот метод является действенным, если санкционированы только внутренние адреса и не работает, если есть санкционированные внешние адреса.
   • Фильтрация RFC 2827 – данный тип фильтрации позволяет пресечь попытки спуфинга чужих сетей пользователями вашей сети. Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации. Часто этот тип фильтрации выполняется провайдером. В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе. К примеру, если ISP предоставляет соединение с IP-адресом 15.1.1.0/24, он может настроить фильтр таким образом, чтобы с данного интерфейса на маршрутизатор ISP допускался только трафик, поступающий с адреса 15.1.1.0/24. Заметим, что до тех пор, пока все провайдеры не внедрят этот тип фильтрации, его эффективность будет намного ниже возможной.
   • Внедрение дополнительных методов аутентификации. IP-spoofing возможен только в случае аутентификации на основе IP. Если ввести какие–то дополнительные меры по аутентификации, например, криптографические, атака становится бесполезной.
5. Отказ в обслуживании или Denial of Service (DoS) - атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён.

   DoS-атака является наиболее распространенной и известной атакой в последнее время, что обусловлено в первую очередь простотой реализации. Организация DOS-атаки требует минимум знаний и умений и строится на недостатках сетевого программного обеспечения и сетевых протоколов. Если атака проводится для множества сетевых устройств, говорят о распределенной атаке DoS ( DDoS - distributed DoS).

   Сегодня наиболее часто используются следующие пять разновидностей DoS-атак, для проведения которых существует большое количество программного обеспечения и от которых наиболее тяжело защититься:

   • Smurf - ping-запросы ICMP . При посылке ping-пакета (сообщение ICMP ECHO) по широковещательному адресу (например, 10.255.255.255), он доставляется каждой машине в этой сети. Принцип атаки заключается в посылке пакета ICMP ECHO REQUEST с адресом-источником атакуемого узла. Злоумышленник шлет постоянный поток ping-пакетов по сетевому широковещательному адресу. Все машины, получив запрос, отвечают источнику пакетом ICMP ECHO REPLY. Соответственно, размер ответного потока пакетов возрастает в пропорциональное количеству хостов число раз. В результате, вся сеть подвергается отказу в обслуживании из-за перегрузки.
   • ICMP flood - атака, аналогичная Smurf, только без усиления, создаваемого запросами по направленному широковещательному адресу.
   • UDP flood - отправка на адрес атакуемого узла множества пакетов UDP (User Datagram Protocol).
   • TCP flood - отправка на адрес атакуемого узла множества TCP-пакетов.
   • TCP SYN flood - при проведении такого рода атаки выдается большое количество запросов на инициализацию TCP-соединений с атакуемым узлом, которому, в результате, приходится расходовать все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения.

   Если используется серверное приложение Web-сервер или FTP-сервер, в результате атаки DoS все соединения, доступные для этих приложений, оказываются занятыми, и пользователи не могут получить к ним доступ. Некоторые атаки способны вывести из строя целую сеть, наполнив ее ненужными пакетами. Для противодействия таким атакам необходимо участие провайдера, потому что если он не остановит нежелательный трафик на входе в сеть, атаку не остановить, потому что полоса пропускания будет занята.

   Для реализации DoS-атаки наиболее часто используются следующие программы:

   • Trinoo – представляет собой довольно примитивную программу, которая исторически стала первой для организации DoS-атак единственного типа – UDP-flood. Программы семейства "trinoo" легко обнаруживаются стандартными средствами защиты и не несут угрозы для тех, кто хотя бы чуть-чуть заботиться о своей безопасности.
   • TFN и TFN2K – более серьезное оружие. Позволяют одновременно организовать атаки нескольких типов - Smurf, UDP flood, ICMP flood и TCP SYN flood. Использование этих программ требует от злоумышленника намного более высокой квалификации.
   • Новейшее средство организации DoS-атак - Stacheldracht ("колючая проволока"). Этот пакет позволяет организовывать самые различные типы атак и лавины широковещательных ping-запросов. Кроме того, обмен данными между контроллерами и агентами шифруется, а в само программное обеспечение встроена функция автомодификации. Шифрование сильно затрудняет обнаружение атакующего.

   Для ослабления угрозы можно воспользоваться следующим:

   • Функции анти-спуфинга - правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827. Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.
   • Функции анти-DoS - правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.
   • Ограничение объема трафика (traffic rate limiting) - организация может попросить провайдера (ISP) ограничить объем трафика. Этот тип фильтрации позволяет ограничить объем некритического трафика, проходящего по вашей сети. Обычным примером является ограничение объемов трафика ICMP , который используется только для диагностических целей. Атаки DoS часто используют ICMP .

   Можно выделить несколько разновидностей угроз данного типа:

   • Скрытый отказ в обслуживании, когда часть ресурсов сети задействован на обработку пакетов, передаваемых злоумышленником со снижением пропускной способности канала, нарушением времени обработки запросов, нарушением производительности сетевых устройств. Пример: направленный шторм эхо-запросов по протоколу ICMP или шторм запросов на установление TCP-соединения.
   • Явный отказ в обслуживании, вызванный тем, что ресурсы сети исчерпались в результате обработки пакетов, посланных злоумышленниками. При этом легальные запросы пользователей не могут быть обработаны из-за того, что вся полоса пропускания канала занята, переполнены буферы, переполнение дискового пространства и т.д. Пример: направленный шторм(SYN-flooding).
   • Явный отказ в обслуживании, вызванный нарушением логической связности между техническими средствами сети при передаче злоумышленником управляющих сообщений от имени сетевых устройств. При этом изменяются маршрутно-адресные данные. Пример: ICMP Redirect Host или DNS-flood.
   • Явный отказ в обслуживании, вызванный тем, что злоумышленник передает пакеты с нестандартными атрибутами (например, UDP-bomb) или имеющих длину, превышающую максимальную (Ping Death).

   Атаки DoS нацелены на нарушение доступности информации и не нарушают целостность и конфиденциальность.

6. Атаки на уровне приложений. Атака данного типа заключается в использовании "брешей" в серверном программном обеспечении (HTML, sendmail, FTP). Используя эти уязвимости, злоумышленник получает доступ к компьютеру от имени пользователя приложения. Для атак на уровне приложений часто используются порты, которые могут "проходить" через межсетевой экран.

   Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран. К примеру, хакер, нападающий на Web-сервер, может использовать ТСР порт 80. Чтобы Web-сервер мог предоставлять пользователям страницы, порт 80 на межсетевом экране должен быть открыт. С точки зрения межсетевого экрана, атака рассматривается как стандартный трафик для порта 80.

   Полностью исключить атаки на уровне приложений невозможно, так как прикладные программы с новыми уязвимостями возникают регулярно. Самое главное здесь - хорошее системное администрирование. Вот некоторые меры, которые можно предпринять, чтобы снизить уязвимость для атак этого типа:

   • чтение логов (системных и сетевых);
   • отслеживание уязвимостей в новом программном обеспечении с помощью специализированных сайтов, например, http://www.cert.com .
   • использование IDS .

Из самой природы сетевой атаки понятно, что ее появление не контролируется каждым конкретным узлом сети. Мы рассмотрели далеко не все атаки, возможные в сети, – на практике их значительно больше. Тем не менее, защититься от всех типов атак не видится возможным. Наиболее оптимальным подходом к защите периметра сети является устранение уязвимостей, которые используются в большинстве атак злоумышленников. Списки таких уязвимостей публикуются на многих сайтах, занимающихся сбором подобной статистики, например, сайт института SANS: http://www.sans.org/top-cyber-security-risks/?ref=top20 . Рядовой злоумышленник не ищет каких-то оригинальных способов для атаки, а сканирует сеть в поиске известной уязвимости и использует ее.

DoS и DDoS-атака — это агрессивное внешнее воздействие на вычислительные ресурсы сервера или рабочей станции, проводимое с целью доведения последних до отказа. Под отказом мы понимаем не физический выход машины из строя, а недоступность ее ресурсов для добросовестных пользователей — отказ системы в их обслуживании (D enial o f S ervice, из чего и складывается аббревиатура DoS).

Если такая атака проводится с одиночного компьютера, она классифицируется как DoS (ДоС), если с нескольких — DDoS (ДиДоС или ДДоС), что означает «D istributed D enial o f S ervice» — распределенное доведение до отказа в обслуживании. Далее поговорим, для чего злоумышленники проводят подобные воздействия, какими они бывают, какой вред причиняют атакуемым и как последним защищать свои ресурсы.

Кто может пострадать от DoS и DDoS атак

Атакам подвергаются корпоративные сервера предприятий и веб-сайты, значительно реже — личные компьютеры физических лиц. Цель подобных акций, как правило, одна — нанести атакуемому экономический вред и остаться при этом в тени. В отдельных случаях DoS и DDoS атаки являются одним из этапов взлома сервера и направлены на кражу или уничтожение информации. По сути, жертвой злоумышленников может стать предприятие или сайт, принадлежащие кому угодно.

Схема, иллюстрирующая суть DDoS-атаки:

DoS и DDoS-атаки чаще всего проводят с подачи нечестных конкурентов. Так, «завалив» веб-сайт интернет-магазина, который предлагает аналогичный товар, можно на время стать «монополистом» и забрать его клиентов себе. «Положив» корпоративный сервер, можно разладить работу конкурирующей компании и тем самым снизить ее позиции на рынке.

Масштабные атаки, способные нанести существенный урон, выполняются, как правило, профессиональными киберпреступниками за немалые деньги. Но не всегда. Атаковать ваши ресурсы могут и доморощенные хакеры-любители — из интереса, и мстители из числа уволенных сотрудников, и просто те, кто не разделяет ваши взгляды на жизнь.

Иногда воздействие проводится с целью вымогательства, злоумышленник при этом открыто требует от владельца ресурса деньги за прекращение атаки.

На сервера государственных компаний и известных организаций нередко нападают анонимные группы высококвалифицированных хакеров с целью воздействия на должностных лиц или вызова общественного резонанса.

Как проводятся атаки

Принцип действия DoS и DDoS-атак заключается в отправке на сервер большого потока информации, который по максимуму (насколько позволяют возможности хакера) загружает вычислительные ресурсы процессора, оперативной памяти, забивает каналы связи или заполняет дисковое пространство. Атакованная машина не справляется с обработкой поступающих данных и перестает откликаться на запросы пользователей.

Так выглядит нормальная работа сервера, визуализированная в программе Logstalgia :

Эффективность одиночных DOS-атак не слишком высока. Кроме того, нападение с личного компьютера подвергает злоумышленника риску быть опознанным и пойманным. Гораздо больший профит дают распределенные атаки (DDoS), проводимые с так называемых зомби-сетей или ботнетов.

Так отображает деятельность ботнета сайт Norse-corp.com:

Зомби-сеть (ботнет) — это группа компьютеров, не имеющих физической связи между собой. Их объединяет то, что все они находятся под контролем злоумышленника. Контроль осуществляется посредством троянской программы, которая до поры до времени может никак себя не проявлять. При проведении атаки хакер дает зараженным компьютерам команду посылать запросы на сайт или сервер жертвы. И тот, не выдержав натиска, перестает отвечать.

Так Logstalgia показывает DDoS-атаку:

Войти в состав ботнета может абсолютно любой компьютер. И даже смартфон. Достаточно подхватить троянца и вовремя его не обнаружить. Кстати, самый крупный ботнет насчитывал почти 2 млн машин по всему миру, а их владельцы понятия не имели, чем им приходится заниматься.

Способы нападения и защиты

Перед началом атаки хакер выясняет, как провести ее с максимальным эффектом. Если атакуемый узел имеет несколько уязвимостей, воздействие может быть проведено по разным направлениям, что значительно усложнит противодействие. Поэтому каждому администратору сервера важно изучить все его «узкие места» и по возможности их укрепить.

Флуд

Флуд, говоря простым языком, это информация, не несущая смысловой нагрузки. В контексте DoS/DDoS-атак флуд представляет собой лавину пустых, бессмысленных запросов того или иного уровня, которые принимающий узел вынужден обрабатывать.

Основная цель использования флуда — полностью забить каналы связи, насытить полосу пропускания до максимума.

Виды флуда:

• MAC-флуд — воздействие на сетевые коммуникаторы (блокировка портов потоками данных).
• ICMP-флуд — заваливание жертвы служебными эхо-запросами с помощью зомби-сети или рассылка запросов «от имени» атакуемого узла, чтобы все члены ботнета одновременно отправили ему эхо-ответ (атака Smurf). Частный случай ICMP-флуда — ping-флуд (отправка на сервер запросов ping).
• SYN-флуд — отправка жертве многочисленных SYN-запросов, переполняя очередь TCP-подключений путем создавая большого количества полуоткрытых (ожидающих подтверждения клиента) соединений.
• UDP-флуд — работает по схеме Smurf-атак, где вместо ICMP-пакетов пересылаются датаграммы UDP.
• HTTP-флуд — заваливание сервера многочисленными HTTP-сообщениями. Более изощренный вариант — HTTPS-флуд, где пересылаемые данные предварительно шифруются, и прежде чем атакуемый узел их обработает, ему предстоит их расшифровать.

Как защититься от флуда

• Настроить на сетевых коммутаторах проверку на валидность и фильтрацию MAC-адресов.
• Ограничить или запретить обработку эхо-запросов ICMP.
• Блокировать пакеты, приходящие с определенного адреса или домена, который дает повод подозревать его в неблагонадежности.
• Установить лимит на количество полуоткрытых соединений с одним адресом, сократить время их удержания, удлинить очередь TCP-подключений.
• Отключить сервисы UDP от приема трафика извне или ограничить количество UDP-соединений.
• Использовать CAPTCHA, задержки и другие приемы защиты от ботов.
• Увеличить максимальное количество HTTP-подключений, настроить кэширование запросов с помощью nginx.
• Расширить пропускную способность сетевого канала.
• По возможности выделить отдельный сервер для обработки криптографии (если используется).
• Создать резервный канал для административного доступа к серверу в аварийных ситуациях.

Перегрузка аппаратных ресурсов

Существуют разновидности флуда, которые воздействуют не на канал связи, а на аппаратные ресурсы атакуемого компьютера, загружая их по полной и вызывая зависание или аварийное завершение работы. Например:

• Создание скрипта, который разместит на форуме или сайте, где у пользователей есть возможность оставлять комментарии, огромное количество бессмысленной текстовой информации, пока не заполнится всё дисковое пространство.
• То же самое, только заполнять накопитель будут логи сервера.
• Загрузка сайта, где выполняется какое-либо преобразование введенных данных, непрерывной обработкой этих данных (отправка так называемых «тяжелых» пакетов).
• Загрузка процессора или памяти выполнением кода через интерфейс CGI (поддержка CGI позволяет запускать на сервере какую-либо внешнюю программу).
• Вызов срабатывания системы безопасности, что делает сервер недоступным извне и т. д.

Как защититься от перегрузки аппаратных ресурсов

• Увеличить производительность оборудования и объем дискового пространства. При работе сервера в штатном режиме свободными должны оставаться не менее 25-30% ресурсов.
• Задействовать системы анализа и фильтрации трафика до передачи его на сервер.
• Лимитировать использование аппаратных ресурсов компонентами системы (установить квоты).
• Хранить лог-файлы сервера на отдельном накопителе.
• Рассредоточить ресурсы по нескольким независимым друг от друга серверам. Так, чтобы при отказе одной части другие сохраняли работоспособность.

Уязвимости в операционных системах, программном обеспечении, прошивках устройств

Вариантов проведения такого рода атак неизмеримо больше, чем с использованием флуда. Их реализация зависит от квалификации и опыта злоумышленника, его умения находить ошибки в программном коде и использовать их во благо себе и во вред владельцу ресурса.

После того как хакер обнаружит уязвимость (ошибку в программном обеспечении, используя которую можно нарушить работу системы), ему останется лишь создать и запустить эксплойт — программу, которая эксплуатирует эту уязвимость.

Эксплуатация уязвимостей не всегда имеет цель вызвать только отказ в обслуживании. Если хакеру повезет, он сможет получить контроль над ресурсом и распорядиться этим «подарком судьбы» по своему усмотрению. Например, использовать для распространения вредоносных программ, украсть и уничтожить информацию и т. д.

Методы противодействия эксплуатации уязвимостей в софте

• Своевременно устанавливать обновления, закрывающие уязвимости операционных систем и приложений.
• Изолировать от стороннего доступа все службы, предназначенные для решения административных задач.
• Использовать средства постоянного мониторинга работы ОС сервера и программ (поведенческий анализ и т. п.).
• Отказаться от потенциально уязвимых программ (бесплатных, самописных, редко обновляемых) в пользу проверенных и хорошо защищенных.
• Использовать готовые средства защиты систем от DoS и DDoS-атак, которые существуют как в виде аппаратных, так и программных комплексов.

Как определить, что ресурс подвергся нападению хакера

Если злоумышленнику удалось достичь цели, не заметить атаку невозможно, но в отдельных случаях администратор не может точно определить, когда она началась. То есть от начала нападения до заметных симптомов иногда проходит несколько часов. Однако во время скрытого воздействия (пока сервер не «лег») тоже присутствуют определенные признаки. Например:

• Неестественное поведение серверных приложений или операционной системы (зависание, завершение работы с ошибками и т. д.).
• Нагрузка на процессор, оперативную память и накопитель по сравнению с исходным уровнем резко возрастает.
• Объем трафика на один или несколько портов увеличивается в разы.
• Наблюдаются многократные обращения клиентов к одним и тем же ресурсам (открытие одной страницы сайта, скачивание одного и того же файла).
• Анализ логов сервера, брандмауэра и сетевых устройств показывает большое количество однообразных запросов с различных адресов, часто направленных на конкретный порт или сервис. Особенно если сайт ориентирован на узкую аудиторию (например, русскоязычную), а запросы идут со всего мира. Качественный анализ трафика при этом показывает, что обращения не имеют практического смысла для клиентов.

Всё перечисленное не является стопроцентным признаком атаки, но это всегда повод обратить на проблему внимание и принять надлежащие меры защиты.

1. Перехват пакетов.

Сниффер пакетов (от англ. sniff - нюхать) представляет собой прикладную программу, которая использует сетевой интерфейс, работающий в «неразборчивом» режиме (от англ. promiscuous mode). В этом режиме сетевой адаптер позволяет принимать все пакеты, полученные по физическим каналам, независимо от того кому они адресованы и отправляет приложению для обработки. В настоящее время снифферы используются в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Однако из-за того, что некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли).

Перехват логинов и паролей создает большую опасность. Если приложение работает в режиме «клиент-сервер», а аутентификационные данные передаются по сети в читаемом текстовом формате, то эту информацию с большой долей вероятности можно использовать для доступа к другим корпоративным или внешним ресурсам. В самом худшем случае злоумышленник получит доступ к пользовательскому ресурсу на системном уровне и с его помощью создает нового пользователя, которого можно в любой момент использовать для доступа в сеть и к ее ресурсам.

2. IP-спуфинг.

IP-спуфинг (от англ. spoof - мистификация) происходит в том случае, когда злоумышленник, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя. Этого можно достичь двумя способами:

а) использование IP-адреса, находящегося в пределах диапазона санкционированных IP-адресов;

Атаки IP-спуфинга часто являются начальным этапом для прочих атак. Классический пример -- атака DoS, которая начинается с чужого адреса, скрывающего истинную личность злоумышленника.

Как правило, IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между одноранговыми устройствами. Для двусторонней связи злоумышленник должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес.

Если же злоумышленник сумел поменять таблицы маршрутизации и направить сетевой трафик на ложный IP-адрес, то он получит все пакеты и сможет отвечать на них так, как будто является санкционированным пользователем.

3. Отказ в обслуживании.

Отказ в обслуживании (от англ. Denial of Service, сокращенно DoS), без сомнения, является наиболее известной формой сетевых атак. Кроме того, против атак такого типа труднее всего создать стопроцентную защиту. Для организации DoS требуется минимум знаний и умений. Тем не менее именно простота реализации и огромные масштабы причиняемого вреда привлекают злоумышленников к DoS-атакам.

Данная атака существенно отличается от других видов атак. Злоумышленники не имеют своей целью получение доступа к сети, а также получение из этой сети какой-либо информации, но атака DoS делает вашу сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения. В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания рядовых пользователей. В ходе атак DoS могут использоваться обычные интернет-протоколы, такие как TCP и ICMP.

Некоторые атаки сводят к нулю производительность сети, переполняя ее нежелательными и ненужными пакетами или сообщая ложную информацию о текущем состоянии сетевых ресурсов. Когда атака данного типа проводится одновременно через множество устройств, мы говорим о распределенной атаке DoS (от англ. distributed DoS, сокращенно DDoS).

4. Парольные атаки.

Злоумышленники могут проводить парольные атаки с помощью целого ряда методов, таких как простой перебор (brute force attack), троянский конь, IP-спуфинг и сниффинг пакетов. Не смотря на то, что логин и пароль зачастую можно получить при помощи IP-спуфинга и сниффинга пакетов, злоумышленники нередко пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название простого перебора.

Для такой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате злоумышленнику предоставляется доступ к ресурсам, то он получает его на правах пользователя, пароль которого был подобран. Если данный пользователь имеет значительные привилегии доступа, злоумышленник может создать себе «проход» для будущего доступа, который будет действовать, даже если пользователь изменит свой пароль.

5. Атаки типа «человек посередине».

Для атаки типа человек посередине (от англ. Man-in-the-Middle) злоумышленнику нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера. Для атак данного типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.

6. Атаки на уровне приложений.

Атаки на уровне приложений могут проводиться несколькими способами. Самый распространенный из них -- использование хорошо известных слабостей серверного программного обеспечения (sendmail, HTTP, FTP). Используя эти слабости, злоумышленники могут получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно это бывает не простой пользователь, а привилегированный администратор с правами системного доступа). Сведения об атаках на уровне приложений широко публикуются, чтобы дать администраторам возможность исправить проблему с помощью коррекционных модулей (патчей). К сожалению, многие хакеры также имеют доступ к этим сведениям, что позволяет им совершенствоваться.

Главная проблема при атаках на уровне приложений заключается в том, что злоумышленники часто пользуются портами, которым разрешен проход через межсетевой экран (firewall). К примеру, злоумышленник, эксплуатирующий известную слабость Web-сервера, часто использует в ходе атаки ТСР порт 80. Поскольку web-сервер предоставляет пользователям Web-страницы, то межсетевой экран должен обеспечивать доступ к этому порту. С точки зрения межсетевого экрана атака рассматривается как стандартный трафик для порта 80.

7. Сетевая разведка.

Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети злоумышленник, как правило, пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, злоумышленник использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. И наконец, он анализирует характеристики приложений, работающих на хостах. В результате он добывает информацию, которую можно использовать для взлома.

8. Злоупотребление доверием.

Собственно говоря, этот тип действий не является в полном смысле слова атакой или штурмом. Он представляет собой злонамеренное использование отношений доверия, существующих в сети. Классическим примером такого злоупотребления является ситуация в периферийной части корпоративной сети. В этом сегменте часто располагаются серверы DNS, SMTP и HTTP. Поскольку все они принадлежат к одному и тому же сегменту, взлом любого из них приводит к взлому всех остальных, так как эти серверы доверяют другим системам своей сети. Другим примером является установленная с внешней стороны межсетевого экрана система, имеющая отношения доверия с системой, установленной с его внутренней стороны. В случае взлома внешней системы злоумышленник может использовать отношения доверия для проникновения в систему, защищенную межсетевым экраном.

9. Переадресация портов.

Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран трафика, который в противном случае был бы обязательно отбракован. Представим себе межсетевой экран с тремя интерфейсами, к каждому из которых подключен определенный хост. Внешний хост может подключаться к хосту общего доступа (DMZ), но не к тому, что установлен с внутренней стороны межсетевого экрана. Хост общего доступа может подключаться и к внутреннему, и к внешнему хосту. Если злоумышленник захватит хост общего доступа, он сможет установить на нем программное средство, перенаправляющее трафик с внешнего хоста прямо на внутренний. Хотя при этом не нарушается ни одно правило, действующее на экране, внешний хост в результате переадресации получает прямой доступ к защищенному хосту. Примером приложения, которое может предоставить такой доступ, является netcat.

10. Несанкционированный доступ.

Несанкционированный доступ не может быть выделен в отдельный тип атаки, поскольку большинство сетевых атак проводятся именно ради получения несанкционированного доступа. Чтобы подобрать логин Тelnet, злоумышленник должен сначала получить подсказку Тelnet на своей системе. После подключения к порту Тelnet на экране появляется сообщение «authorization required to use this resource» («Для пользования этим ресурсом нужна авторизация»). Если после этого злоумышленник продолжит попытки доступа, они будут считаться несанкционированными. Источник таких атак может находиться как внутри сети, так и снаружи.

11. Вирусы и приложения типа «троянский конь»

Рабочие станции конечных пользователей очень уязвимы для вирусов и троянских коней. Вирусами называются вредоносные программы, которые внедряются в другие программы для выполнения определенной нежелательной функции на рабочей станции конечного пользователя. В качестве примера можно привести вирус, который прописывается в файле command.com (главном интерпретаторе систем Windows) и стирает другие файлы, а также заражает все другие найденные им версии command.com.

Троянский конь -- это не программная вставка, а настоящая программа, которая на первый взгляд кажется полезным приложением, а на деле исполняет вредную роль. Примером типичного троянского коня является программа, которая выглядит, как простая игра для рабочей станции пользователя. Однако пока пользователь играет в игру, программа отправляет свою копию по электронной почте каждому абоненту, занесенному в адресную книгу этого пользователя. Все абоненты получают по почте игру, вызывая ее дальнейшее распространение .

Из класса сетевых атак можно выделить атаки, которые вызывают подозрительное, аномальное поведение сетевого трафика в корпоративной сети. Это так называемые сетевые аномалии. Сетевые аномалии можно также проклассифицировать. Их можно разделить на две основные группы: программно-аппаратные отклонения и проблемы безопасности (Рис. 1.2.1.)

1. Программно-аппаратные отклонения.

Ошибки программного обеспечения компонентов информационной системы могут повлечь за собой перевод в нештатный режим с последующим прекращением предоставления сервисов.

Ошибки конфигурирования переводят функциональные возможности компонентов информационной системы в несоответствие штатным проектным параметрам, что нарушает общую работоспособность.

Нарушения производительности влекут за собой выход параметров информационной сисетмы за пределы расчетных значений, что сопровождается нарушением обеспечения предоставления сервисов.

Аппаратные неисправности могут повлечь за собой как полный выход из строя отдельных компонентов информационной системы, так и деградирующее влияние отдельной подсистемы на весь комплекс.

2. Нарушения безопасности.

Сетевое сканирование (network scan) производится с целью анализа топологии сети и обнаружения доступных для атаки сервисов. В процессе сканирования производится попытка соединения с сетевыми сервисами методом обращения по определенному порту. В случае открытого сканирования сканер выполняет трехстороннюю процедуру квитирования, а в случае закрытого (stealth) - не завершает соединение. Так как при сканировании отдельного хоста происходит перебор сервисов (портов), то данная аномалия характеризуется попытками обращения с одного IP адреса сканера на определенный IP адрес по множеству портов. Однако, чаще всего сканированию подвергаются целые подсети, что выражается в наличии в атакованной сети множества пакетов с одного IP адреса сканера по множеству IP адресов исследуемой подсети, иногда даже методом последовательного перебора. Наиболее известными сетевыми сканерами являются: nmap, ISS, satan, strobe, xscan и другие.

Анализаторы трафика или снифферы предназначены для перехвата и анализа сетевого трафика. В простейшем случае для этого производится перевод сетевого адаптера аппаратного комплекса в прослушивающий режим и потоки данных в сегменте, к которому он подключен, становятся доступны для дальнейшего изучения. Так как многие прикладные программы используют протоколы, передающие информацию в открытом, незашифрованном виде, работа снифферов резко снижает уровень безопасности. Отметим, что выраженных аномалий в работе сети снифферы не вызывают. Наиболее известными снифферами являются: tcpdump, ethereal, sniffit, Microsoft network monitor, netxray, lan explorer.

В компьютерной безопасности термин уязвимость (vulnerability) используется для обозначения слабозащищенного от несанкционированного воздействия компонента информационной системы. Уязвимость может являться результатом ошибок проектирования, программирования или конфигурирования. Уязвимость может существовать только теоретически или иметь эксплуатирующую программную реализацию - эксплоит. В сетевом аспекте уязвимостям могут быть подвержены информационные ресурсы, такие как операционные системы и ПО сервисов.

Вирусная сетевая активность является результатом попыток распространения компьютерных вирусов и червей, используя сетевые ресурсы. Чаще всего компьютерный вирус эксплуатирует какую-нибудь единственную уязвимость в сетевой прикладной службе, поэтому вирусный трафик характеризуется наличием множества обращений с одного зараженного IP адреса ко многим IP адресам по определенному порту, соответствующему потенциально уязвимому сервису.

Проблема защиты ресурсов информационно-коммуникационных систем и сетей (ИКСМ), становится еще более актуальной в связи с развитием и распространением глобальных вычислительных сетей, территориально распределенных информационных комплексов и систем с удаленным управлением доступом к информационным ресурсам.

Весомым аргументом для повышения внимания к вопросам безопасности ИКСМ является бурное развитие программно-аппаратных методов и средств, способных скрытно существовать в системе и осуществлять потенциально любые несанкционированные действия (процессы), что препятствует нормальной работе пользователя и самой системы и непосредственно наносит вред свойствам информации (конфиденциальности, доступности, целостности).

Несмотря на разработку специальных программно-аппаратных средств защиты от воздействия угроз информационным ресурсам автоматизированных систем, количество новых методов реализации атак постоянно растет. Указанный влияние может быть реализовано технически или организационно, только в том случае, когда известна информация о принципах функционирования ИКСМ, ее структуру, программное обеспечение и т.д.

В настоящее время существует несколько классических определений понятия "атака" (вторжение, нападение) на информационную систему и ее ресурсы. Данный срок может определяться, как процедура вторжения, что приводит к нарушению политики безопасности или действие (процесс), что приводит к нарушению целостности, конфиденциальности и доступности информации системы. Однако, более распространенная трактовка, непосредственно связано с термином «уязвимость», или «возможность реализации угрозы». Под атакой (attack, intrusion) на информационную систему, будем понимать действия (процессы) или последовательность связанных между собой действий нарушителя, которые приводят к реализации угроз информационным ресурсам ИКСМ, путем использования уязвимостей этой информационной системы.

Базовыми причинами нарушения функционирования информационной системы является сбои и отказы в работе информационной системы, которые частично или полностью препятствуют функционированию ИКСМ, возможностям доступа к информационным ресурсам и услугам системы. Кроме того, сбои и отказы в работе является одной из основных причин потери данных.

Существуют различные методы классификации атак. Например, деление на пассивные и активные, внешние и внутренние атаки, умышленные и неумышленные.Однако, в данной статье, приведем более характерные типы атак на информационные системы и проведем их краткое описание реализации и определим характерные признаки.

Удаленное проникновение (remote penetration). Тип информационных атак, которые позволяют реализовать удаленное управление компьютером пользователя информационных ресурсов системы по сети на базе удаленного доступа. Примером такой программы является NetBus или BackOrifice.

Локальное проникновение (local penetration). Атака, приводящая к получению несанкционированного доступа к узлу ИКСМ, на котором она запущена. Примером такой программы является GetAdmin.

Удаленная отказ в обслуживании (remote denial of service). Атаки, которые позволяют нарушить функционирование информационной системы по условиям реализации ее услуг или имеют возможность котрольованного перезагрузки системы путем удаленного доступа.Примером такой атаки является Teardrop или trin00.

Локальная отказ в обслуживании (local denial of service). Атаки, позволяющие нарушить функционирование системы или перезагрузить систему, на которой они реализуются. В качестве примера такой атаки, можно привести использование несанкционированных апплетов, которые загружают центральный процессор бесконечным циклом, что делает невозможным обработку запросов других приложений.

Сетевые сканеры (network scanners). Программы, которые анализируют топологию сети и обнаруживают сервисы, доступные для атаки. Примером такой программы можно назвать систему nmap.

Сканеры уязвимостей (vulnerability scanners). Программы, осуществляющие поиск уязвимостей на узлах сети, могут быть использованы для реализации атак.Примеры: система SATAN или Shadow Security Scanner.

Взломщики паролей (password crackers). Программы, которые подбирают пароли авторизованных пользователей информационных ресурсов системы и ее услуг.Примером взломщика паролей может служить несанкционированное программное обеспечение: L0phtCrack для Windows или Crack для Unix.

Анализаторы протоколов (sniffers). Программы, которые "прослушивают" сетевой трафик. С помощью этих программ можно автоматически найти такую ​​информацию, как идентификаторы и пароли пользователей, информацию о кредитных картах и ​​т.д.Анализатором протоколов можно назвать программные продукты: Microsoft Network Monitor, NetXRay компании Network Associates или LanExplorer.

Компания Internet Security Systems, Inc. еще больше сократила число возможных категорий атак на информационную систему, доведя их до минимума.