Сетевая атака

Мало кто из людей, не имеющих непосредственного отношения к ИТ понимает, что такое сетевая атака. Рисуются какие-то таинственные злодеи за компьютерами и обязательно в капюшонах, закрывающих лицо. 
Имеющие отношение зачастую не спешат проливать свет: так выгодно продавать защиту от того, чего нет.

13.02.2020

Начнём с того, что разные люди и организации под сетевой атакой понимают разные вещи. Люди, занимающиеся продажей решений для компьютерной безопасности, само собой возглавляют список параноиков: "Сканирование портов - это уже атака!". Низкоквалифицированные админы и пофигистично настроенные руководители организаций наоборот смотрят на атаки свысока: "Пусть ломают, у нас ничего ценного нет, кому нужны наши данные?!"

Истина, как это чаще всего бывает, лежит где-то посередине.

Начну с очевидной истины: ИТ безопасность - это очередная реинкарнация вечной борьбы щита и меча. Соответственно, средства, которые вы вкладываете в свой щит, должны быть более или менее адекватны силе меча, который может по каким-либо причинам за вами прийти.

Далее сразу хочу развеять миф: 80% атак проводят вовсе не хакеры. И нет, не злокозненные правительства враждебных стран. Их проводят написанные первыми и вторыми программы, то есть атаки эти автоматизированы. Физически их проводят заражённые компьютеры, сервера, или даже целые инфицированные сети. Люди могут подключаться после того, как автоматические средства выявили одну или несколько уязвимостей, но никак не раньше. 

Далее я попытаюсь описать самые распространённые типы сетевых атак. Наберитесь терпения: картинок в этой теме будет мало, а вот букв - много.
Поехали!

  • Сканирование портов. Это само по себе не является атакой, но здесь уместна аналогия с военным делом: любая военная операция начинается с разведки. Сканирование портов - это разведка того, что у вас вообще есть. Какой установлен маршрутизатор, как он настроен, какие сервисы доступны по вашему адресу - ценна любая информация. 
    Уже на данном этапе имеет смысл пресекать разведывательную деятельность неприятеля (я намеренно прибегаю к военной терминологии). Тем самым вы можете сразу поставить точку на его планах: будучи заблокировано на вашем адресе, автоматизированное ПО хакера отправится дальше, сканировать и ломать более уязвимое оборудование.

Допустим однако, что путём сканирования противнику удалось выяснить, какими сервисами вы пользуетесь. Все варианты тут не описать, но с имеющейся информацией на руках злоумышленник может начать вести более активные действия, а именно:

  1. Начать атаку DOS или DDOS, сделав ваши сервисы недоступными, а работу с интернетом - невозможной. Этой атаке довольно часто подвергаются датацентры, выставляющие в сеть незащищённый RDP (к примеру, для 1С). То есть данные при этой атаке не страдают, но воспользоваться ими вы не можете т.к. атакуемый ресурс становится недоступным из сети.
    DOS отличается от DDOS'а одной буквой а также тем, что эта дополнительная "D" означает "распределённая". И если от обычного DOS довольно легко избавиться, запретив сетевой адрес атакующего на фаерволе, то от DDOS избавиться очень трудно, а порой даже невозможно (атака может производиться с тысяч адресов, все не запретишь) и единственное что остаётся - ждать, пока хакеру надоест вас мучать. Или менять сетевой адрес, хотя в пределах одного ДЦ хакер довольно быстро снова вас найдёт.
  2. Попробовать найти уязвимость в вашем оборудовании. Уязвимость - это как открытая дверь, она даже называется по английски backdoor: "Заходи кто хош, бери чо хош". Некая последовательность действий над вашим оборудованием приводит к тому, что злоумышленник заходит в вашу сеть как в свою, а дальше пределом его действий будет только его фантазия.
    Чтобы не пасть жертвой уязвимостей необходимо вовремя обновлять оборудование. Не обязательно физически (хотя порой приходится и это), первая линия обороны - свежая прошивка. 
  3. Начать подбирать пароли к сервисам. Вернёмся на минуту к RDP. Допустим, злоумышленник не ставит себе целью просто положить на время вашу 1С, он хочет поиметь доступ к базе данных, чтобы зашифровать её и потребовать денег за расшифровку. Тогда он настроит своё ПО таким образом, чтобы оно постепенно пробовало войти на сервер под самыми распространёнными именами и паролями. И не думайте, что пароль "flvby864" чем-то сильно лучше, чем просто "admin": современное ПО для взлома умеет подбирать пароли в разных раскладках и с разными "довесками" не сильно теряя при этом в скорости.
    Классикой противодействия такой атаке является настройка блокировки по введению неправильного пароля. Ввёл пользователь неправильный пароль 3 раза - пусть отдохнёт 10 минут, уймёт дрожь в руках. Ввёл 10 раз неправильно - это уже явно требует более длительного отдыха. Навсегда блокировать адреса смысла нет: интернет динамичен и адрес злоумышленника (или его роботизированной жертвы) может завтра стать совершенно обычным адресом, поэтому 2 недель вполне достаточно. 

Я перечислил три самые распространённые сетевые атаки и методы противодействия им. Из написанного выше ясно, что для всех атак имеются эффективные контрмеры, кроме разве что мощного DDOS'а, но он во всяком случае обладает тем плюсом, что не деструктивен для данных, редок и как правило не длится долго.

Mobirise

Для самых терпеливых - картинка! На ней отображается атака, направленная на взлом сервера PPTP VPN.

Как видно, взломщик пробует перебирать стандартные по его мнению имена пользователей, и делает это с нескольких адресов. Все эти адреса сразу попадают в список адресов, обращения с которых блокируются. 

Ещё картинка! Это любители посканировать порты. Не бойтесь, они уже занесены в блок-лист. Правая колонка - дата занесения в список. Адрес заносится в список на 2 недели, потом динамически удаляется.
Хочу особенно отменить тот факт, что практически каждый день в этом списке прибавляется записей.

Mobirise

Таким образом, грамотное построение защиты от сетевых атак включает в себя противодействие разведывательной деятельности злоумышленников и их автоматизированных комплексов а также меры по предотвращению вторжения противника на территорию нашего государ... тьфу, в нашу сеть.

Только применение комплексных мер безопасности способно обеспечить непрерывность работы сервисов, сохранность данных и мир во всём мире!

© 2020 Пашкиров Олег Викторович

Контакты:

Email: riy@yandex.ru                     
Skype: Варган Шаманов                

Website was made with Mobirise