А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
204<br />
Предпринимает повторные попытки<br />
вторжения в сеть<br />
ИДЕНТИФИК<strong>А</strong>ЦИЯ<br />
ЗЛОУ<strong>М</strong>ЫШЛЕННИК<strong>А</strong><br />
Допускает очевидные ошибки<br />
I<br />
ПО ЕГО ДЕЙСТ<strong>В</strong>ИЯ!<br />
YD° опытки скрыть свои следы<br />
^ Попытки атаки в разное время в течение дня<br />
Рис. 3.10. Идентификация злоумышленника<br />
по его действиям<br />
О предпринимает повторные попытки вторжения в сеть;<br />
Q допускает очевидные ошибки;<br />
Q предпринимает попытки атаки в разное время в течение дня;<br />
Q хочет скрыть свои следы.<br />
<strong>В</strong> случае неудачной попытки доступа к серверу случайные злоумышленники оставят<br />
вас в покое. С другой стороны, опытные злоумышленники постараются собрать<br />
информацию о сервере, чтобы вернуться позже и попытаться использовать другие слабости.<br />
Например, в один прекрасный день при просмотре журналов IDS вы обращаете<br />
внимание на то, что кто-то сканирует ваш почтовый сервер в поисках открытых портов<br />
TCP и UDP. Двумя днями позже IP-адрес злоумышленника всплывает вновь, но на<br />
этот раз злоумышленник нацеливается на открытые порты. Несколько часов спустя<br />
он вводит последовательность команд SMTP через порт 25.<br />
Каждое нажатие клавиши во время атаки дает ценную информацию об опыте атакующего.<br />
Серьезный хакер не позволит себе терять драгоценное время на синтаксические<br />
ошибки и метод проб и ошибок. Попытка ввести команды SMTP через порт<br />
NNTP служит ясным свидетельством неопытности атакующего.<br />
Картина доступа может дать такие важные сведения о злоумышленнике, как его<br />
местонахождение, профессия и возраст. Большинство случайных атакующих осуществляют<br />
свои попытки между 9 часами вечера и 1 часом ночи. Если попытки проникновения<br />
имеют место по будним дням с 9 утра до 5 вечера, то наверняка они производятся<br />
с рабочего места.<br />
Были ли случаи, когда при проверке системных журналов событий вы обнаруживали,<br />
что все записи за последние 12 часов пропали? Когда-либо замечали, что файл<br />
истории команд для бюджета root таинственно исчез? Это признаки опытного атакующего.<br />
Он позаботился об удалении всех свидетельств своих действий, не опасаясь, что<br />
это приведет к подаче тревожного сигнала. Такое поведение аналогично действиям<br />
грабителя, поджигающего дом перед тем, как бежать оттуда с награбленным.<br />
Существенную помощь администратору в данном случае могут оказать системы<br />
выявления атак.<br />
Хотя системы выявления атак до сих пор считаются экспериментальными, они стали<br />
значительно совершеннее с момента первого их использования (1988г.), причем до