Сетевая разведка как начало кибератаки
Сетевая разведка как начало кибератаки
Компьютер или сеть подвергаются различным способам кибератак. Сетевая разведка позволяет собрать необходимую информацию о сети.
Некоторые способы кибератак
Сниффинг пакетов файлов
Также достаточно распространенный вид кибератаки, основанный на работе сетевой карты в режиме promiscuous mode, а также monitor mode для сетей Wi-Fi.
В таком режиме все пакеты, полученные сетевой картой, пересылаются на обработку специальным приложением, которое называется сниффер. В результате злоумышленник может получить большое количество служебной информации: кто, откуда, куда передавались пакеты файлов, по которым адресам эти пакеты проходили.
IP-сниффинг
Тоже распространенный вид кибератаки компьютеров пользователей в недостаточно защищенных сетях, когда злоумышленник выдает себя за санкционированного пользователя, находясь в самой организации или за ее пределами. Такая атака возможна, если система безопасности позволяет идентификацию пользователя только по IP-адресу и не требует дополнительных подтверждений.
Человек посередине
Когда злоумышленник перехватывает канал связи между двумя системами или компьютерами и получает доступ ко всей передаваемой информации. Цель такой кибератаки - кража или фальсификация передаваемой информации или же получить доступ к ресурсам сети. Поэтому в чисто техническом плане обезопасить себя можно только путем криптошифрования передаваемых данных.
Социальная инженерия
Социальная инженерия (от англ. SocialEngineering) - использование некомпетентности, непрофессионализма или халатности персонала для получения доступа к информации. Самое слабое звено в системе безопасности — человек (пользователь).
Сетевая разведка — предвестник кибератаки
Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. В ходе такой кибератаки хакер, собственно, не делает никаких деструктивных действий, но в результате он может получить закрытую информацию о построении и принципах функционирования вычислительной системы жертвы. При подготовке кибератаки против любой сети, хакер, как правило, пытается получить о ней как можно больше информации.
-
Сетевая разведка проводится в форме запросов DNS, эхо-тестирования (pingsweep) и сканирования портов.
-
Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этого домена присвоены.
-
Эхо-тестирования (ping sweep) адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде.
Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, предоставляемых этими хостами.
И наконец, хакер анализирует характеристики приложений, работающих на хостах. В результате добывается информация, которую можно использовать для взлома.
В ходе такой разведки злоумышленник может производить сканирование портов, запросы DNS, эхо-тестирования открытых портов на наличие и защищенность прокси-серверов.
Полностью избавиться от сетевой разведки невозможно. Если, например, отключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах, вы избавитесь от эхо-тестирования, но потеряете данные, необходимые для диагностики сетевых сбоев. Кроме того, сканировать порты можно и без предварительного эхо-тестирования. Просто это займет больше времени, так как сканировать придется и несуществующие IP-адреса. Системы IDS на уровне сети и хостов обычно хорошо справляются с задачей уведомления администратора о ведущейся сетевой разведке, что позволяет лучше подготовиться к предстоящей атаке и оповестить провайдера (ISP) в сети которого установлена система.
***