Обнаружение телекоммуникационных атак: теория и  практика, snort

Павел Закляков

По данным CERT [1], число инцидентов в сети растёт не по дням, а по часам – если грубо поделить 100 тысяч на  365 дней и на 24 часа, то получится примерно около 11 регистрируемых инцидентов в час. Ситуацию, сложившуюся в последнее время с червём Blaster, следует убрать из рассмотрения как исключение.

       График 1. Рост числа инцидентов по годам (ось инцидентов в логарифмическом масштабе, красная линия показывает тенденцию роста)

Мы видим, что число инцидентов растёт, а в то же время последние номера журнала не изобилуют статьями по вопросам сетевой безопасности, а тем более обнаружению телекоммуникационных атак. На мой взгляд, есть ряд удачных публикаций [2-4]; менее удачных в силу сложности непосредственной применимости [5-8] и неудачных, но все они далеки от обнаружения атак. Даже широко продаваемая литература [9-14] далека от жизни, и за красивыми названиями порой ничего не стоит, кроме полного отставания в вопросах практической реализации. Хотелось бы несколько заполнить этот вакуум полезной информацией, в частности информацией про систему обнаружения атак IDS Snort [15].

Так как теория не стоит на месте и все появляющиеся упоминания скорее неполные, чем неправильные, то хотелось бы закрыть этот вакуум, подведя читателя непосредственно подкованным к вопросу использования IDS Snort.

Замечания, обсуждение и критика вопросов обнаружения телекоммуникационных атак приветствуются.

Способы классификации атак с позиции построения систем их обнаружения

Существуют различные типы классификации атак. Например, деление на активные и пассивные, внешние и внутренние, умышленные и неумышленные и др. Классы, в свою очередь, могут делиться на подклассы, подвиды, часто пересекающиеся, в результате можно получить следующую классификацию:

Рисунок 1. Классификация атак

Вышеописанные типы классификации хороши с точки зрения детализации по тем или иным критериям, но часто они выделяют отдельные классы, имеющие минимальное значение с точки зрения систем обнаружения атак (СОА). Поэтому наиболее перспективной представляется уже описанная в литературе следующая классификация, разделяющая атаки на классы, в которых их будет легче обнаружить и классифицировать:

1. Удалённое проникновение (remote penetration). Атаки, которые позволяют реализовать удалённое управление компьютером через сеть. Примерами программ, реализующих такое управление, являются, NetBus или Back Orifice, реверсивный сеанс telnet [18, стр. 314].

2. Локальное проникновение (local penetration). Атака, приводящая к получению несанкционированного доступа к узлу, на котором она запущена, либо повышению прав пользователя. Примером такой программы является GetAdmin или реализация эксплоита для уязвимости в ядрах Linux через ptrace.