Предостережение чтецам: творцы понимают, что данный материал обхватывает далековато не все вероятные типы сетевых угроз. Данный материал нацелен на семейных юзеров, обеспокоенных ужасными предостережениями, которыми их отрадно снабжает благой дядя Касперский(либо Нортон, либо еще кто-либо, в зависимости от используемого продукта). Идет держать в голове, что сетевые опасности не ограничиваются описанными тут. Для начала — что такое порт. Порт — это поле в tcp- либо udp-пакете, идентифицирующее приложение-получателя(и отправителя, в пакете этих полей два)пакета.
Формат пакета данных TCP-протокола:
Формат пакета данных UDP протокола:
Каким образом прибавление работает с сетью?Прибавление обращается к операционной системе с запросом на творение сокета. Операционная система регистрирует, какое прибавление обращается к нему с сиим запросом, и сформировывает привязку прибавления к сокету — выделяет порт. Этот порт служит для размена информацией по сетевым протоколам, и вся информация, приобретенная из сети для порта с сиим номером, в последующем передается подходящему прибавлению.
Сокет — это заглавие программного интерфейса для обеспечения информационного размена меж действиями. Процессы при таком размене могут осуществляться как на одной ЭВМтр, так и на разных ЭВМтр, связанных меж собой сетью. Сокет — абстрактный объект, представляющий окончательную точку соединения.
Что из этого вытекает?Из этого вытекает, что ежели прибыл пакет на порт, которому не сопоставлено никакое прибавление, то пакет будет просто выброшен операционной системой, и обрабатываться не будет.
С какой целью выполняется сканирование портов?А вот с данной целью и выполняется — найти, какие порты целевого хоста(хост — узел сети, неважно какая система, участвующая в сетевом размене)закреплены за прибавлениями. Сканирование есть предварительная операция, разведка периметра. Опосля того, как будет составлен перечень активных(«открытых»)портов, начнётся выяснение — какие конкретно прибавления употребляют эти порты.
Опосля определения прибавлений, а время от времени даже их версий, фаза разведки кончается, и начинается фаза активных «боевых действий» против вас — атака. Не непременно, что опосля первой фазы(разведки)сходу начнётся 2-ая. Часто через некое время разведка повторяется, причём с иных узлов сети. Это собственного рода проверка внимательности «стражи» — админов. Или не начнется, ежели не найдено ни одной потенциально уязвимой точки действия. Идет осмысливать, что сканирование само по себе ничем не может Вам испортить — испортить могут следующие события, ежели они последуют.
Каким образом выполняется атака?Как верховодило — для этого употребляются уязвимости сетевых сервисов(сетевой сервис — прибавление, обслуживающее запросы из сети). Использование уязвимости сервиса базирована на посылке ему пакета данных, сформированного таковым образом, что наше прибавление обработает его некорректно и его штатная работа будет нарушена. Последствия — прекращение профилактики обслуживанием правильных запросов(DoS — denial of service, отказ в обслуживании), либо исполнение обслуживанием событий, которые он исполнять не обязан(к примеру, Remote Code Execution — возможность злодею запустить вредный код на цели).
Какие сервисы могут быть атакованы таковым образом?Значит ли это, что ежели Вы запустили браузер, то его могут нападать из сети?Нет. Нападать сходственным образом можнож «серверные» прибавления - то есть те, которые слушают сеть и ждут подключения клиентов извне. Браузер сам является клиентским прибавлением, в общем случае он не воспринимает подключений, потому таковым образом атакован быть не может. Бояться идет, ежели на Вашем компе запущен FTP-сервер, HTTP-сервер и так дальше.
Правда, тут необходимо упомянуть, что существует еще один вид сетевой опасности, с которой юзер не может сделать фактически ничего. Это — флуд(flood)— одна из разновидностей DoS-атаки. Цель её — «затопить» Вас мусорным трафиком, почаще всего с несуществующих адресов, и лишить Вас либо Ваши сервисы способности отправлять либо принимать полезную информацию. Она не грозит Вашему компу ничем, не считая временной невозможности работать в сети. Ежели Вы нашли, что Вас пробуют «зафлудить» — необходимо непременно сказать о этом провайдеру. Иных вариантов решения данной трудности нет.
Что мне делать, ежели мой файрвол рапортует о сканировании?Давайте подумаем. Сканированием определяется наличие прибавлений, принимающих запросы из сети. Соответственно, ежели мы не выставляли никаких прибавлений наружу — волноваться вообщем не о чем. Просто еще разов проверяем, что файрвол вправду настроен на блокирование всех входящих запросов, и забываем про рапорт.
Ежели такие прибавления есть(к примеру, вы содержите у себя FTP-сервер), то тут тоже фактически нет смысла напрягаться — мы ведь добровольно выставили сервер в общий доступ. Волноваться следовало на шаге планирования сервера. Просто соблюдаем общие советы — применять более новейшую версию сервера, не предоставлять юзерам больше прав, чем им необходимо, отключить негодные функции сервера, по способности — запускать сервер от имени ограниченного юзера. Также вероятно внедрение систем обнаружения вторжений(IDS, Intrusion Detection System), но их внедрение выходит за рамки данного мат-ла. Заметим лишь, что таковые системы основаны на отслеживании обращений к сетевым сервисам извне, и определении потенциально опасных запросов по неким аспектам. Пример таковой системы — SNORT(www.snort.org).
А была ли атака?Еще один нередко задаваемый вопросец звучит приблизительно так: «Почему, когда я подключаюсь к FTP-серверу, файрвол начинает жаловаться на сканирование со стороны FTP-сервера?» Обычный пример неправильного срабатывания. Осмотрим, как работает FTP-протокол. В FTP-протоколе употребляется не одно соединение, а два — одно из их правящее, 2-ое конкретно передает данные. 1-ое(правящее)раскрывает клиент — он подключается на порт 21 сервера. 2-ое подключение зависит от режима работы клиента. Ежели клиент в активном режиме, то он передает серверу номер порта, на который сервер обязан подключиться, чтоб открыть соединение для передачи данных. В пассивном сервер разговаривает клиенту, на какой порт клиент обязан подключаться, чтоб открыть соединение для передачи данных.
Как идет из этого описания, в активном режиме FTP-сервер раскрывает подключение к клиенту. Файрвол, а почти все из их знаменитые параноики, полностью может реагировать на это, как на попытку атаки.
Подведём итоги: сетевая атака в большинстве случаев представляет собой атаку на какой-либо доступный из сети сервис на вашем компе. Ежели такового сервиса у Вас нет — можнож не волноваться, что кто-то Вас «взломает». В этом случае бояться идет иных угроз — вирусы, malware(ненужные программы), и иные внутренние действия. Советы по предотвращению — стандартны и описаны много разов. Установите антивирус, часто его обновляйте, часто устанавливайте обновления операционной системы, не запускайте безызвестные Вам программы и так дальше. Но даже и в этом случае наличие индивидуального файрвола на компе может посодействовать Вам в случае, когда антивирус либо обновления операционной системы ещё не в состоянии перекрыть новейшие опасности. Просто постоянно пристально читайте, что конкретно дает Вам сделать та либо другая программа, и пытайтесь понять, а необходимо ли, чтоб это событие вправду было выполнено.
Желаем отметить, что по умолчанию в настройках Windows систем для работы с прибавлениями в локальной сети, есть открытые для наружного доступа «серверные» сервисы, то есть те к которым можнож обратится с иного компа. Потому не стоит отключать интегрированный брандмауэр(файрвол), или не брезгайте установкой посторониих товаров сходственной функциональности.
-Разговаривают, что несчастие превосходная школа; может быть. Но счастие есть лучший институт.(Александр Пушкин)
