Телекоммуникационные технологии. Том 1



         

Сетевая информация, которую полезно собирать - часть 5


По этой причине вряд ли когда-либо можно будет позволить мониторировать все известные виды атак. Да и необходимость этого не очевидна (вряд ли сейчас нужно контролировать атаки ОС DOS). Здесь не рассматриваются проблемы информационной безопасности (аутентификация, сертификация, шифрование файлов и пакетов и пр.). В таблице 1 представлено распределение атак по определенным классам. (смотри http://advice.networkice.com/advice/Intrusions/)

Таблица 1

Вид атаки

Зарегистрированное число разновидностей

Доля в
процентах

Использование вирусов и червей 9 1.3
Атаки уязвимостей протоколов TCP 15 2
HTTP 69 9.2
SNMP 79 10.5
SMTP 40 5.3
DNS 21 2.8
SAMBA 15 2
Telnet 17 2.2
POP3 12 1.4
IMAP 6 0.7
NNTP 3 0.35
Finger 11 1.3
FTP 41 5.4
TFTP 12 1.4
Rlogin 5 0.6
IDENT 5 0.6
Radius 2 0.3
RPC 42 5.6
Атаки через CGI 49 6.5
Троянские кони >40 5.3
Сканирование портов 48 6.4
DoS 12 1.6
Автоматический подбор паролей (login) 10 1.3
Некорректные параметры заголовков пакетов и запросов 22 2.3
Прочие 167 22
Итого 753

В раздел “прочие” попали атаки ОС и известных слабостей системных программ и приложений (например, потайные двери/люки), атаки типа “ложный маршрутизатор” IDENT, SQL, сетевых печатающих устройств, NFS, SOCKS, SMB, WINS, IIS и т.д.

В статистику не были включены атаки маршрутизаторов (например, CISCO, Ascend и пр.), специфических серверов (например, поисковых, почтовых, печати, Firewall), атаки разнообразных драйверов баз данных, фальсификация МАС-адресов, перехват ключей, сертификатов и паролей и т.д. Реальное число зарегистрированных сигнатур атак, полагаю, давно перевалило за 1000.

Важным фактором является актуальность базы данных сигнатур, ведь наличие сигнатуры в базе данных не означает присутствия этого типа атак во входящем трафике. Некоторые сигнатуры “выходят из моды” быстро и навсегда.

Сигнатуры, распознаваемые по заголовку пакета, составляют несколько более 15% (здесь учтены манипуляции с заголовками SNMP, включая community, а также фальсификации DNS-заголовков).


Содержание  Назад  Вперед