Уклонение на уровне пакетов
Уклонение на уровне пакетов
На сетевые системы обнаружения вторжения возложена малопонятная задача выявления смысла из буквально миллионов ежесекундно поступающих кусочков информации при обеспечении приемлемого времени реакции (обычно желательно обеспечить время реакции настолько близко к реальному масштабу времени, насколько это возможно). Для устранения возможных ошибок анализа данных сетевая система обнаружения вторжения работает на различных уровнях стека сетевых протоколов. При его исследовании в первую очередь следует обратить внимание на сетевой и транспортный уровни, где у злоумышленника большие возможности запутать, уклониться или вывести из строя датчик системы обнаружения вторжения. Если перед злоумышленником стоит задача найти способ уклонения от обнаружения, то идеальной точкой начала исследования являются именно эти два уровня, поскольку все прочие возможности идентификации атаки системой обнаружения вторжения, впрочем, как и атакуемого хоста, зависят от возможности правильной интерпретации сетевого трафика на этих двух уровнях.
К сожалению, в силу технических особенностей протоколов IP и TCP, у лиц, ответственных за защиту данных, нет возможности четко контролировать их работу. Работу этих протоколов в динамической среде описывают стандарты, в которых оговорены два утверждения: «НЕ ПЛОХО БЫ» и «МОЖНО». Утверждение «ДОЛЖЕН» зарезервировано только для наиболее важных запросов. Подобное определение стандарта протоколов ведет ко многим осложнениям при попытке интерпретировать сетевые средства связи. Таким образом, у злоумышленника сохраняется возможность десинхронизации состояний системы обнаружения вторжения. Из-за этого она не сможет правильно скомпоновать сетевой трафик в единое целое тем же способом, что и атакуемый хост. Например, если сигнатура системы обнаружения вторжения задает поиск строки символов «CODE-RED» в любом HTTP-запросе, то атакующий может фрагментировать трафик таким образом, чтобы пакеты приходили к системе обнаружения вторжения в ином, чем для хоста получателя пакетов, порядке. Таким образом, злоумышленник может добраться до интересующего его хоста, в то время как система обнаружения вторжения не сможет правильно проинтерпретировать происходящие события.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКДанный текст является ознакомительным фрагментом.
Читайте также
Уклонение от работы
Уклонение от работы Иногда у вас попросту «сердце не лежит» к работе. Например, порученная задача вас пугает, кажется неудобной или скучной. А может, вы думаете, что она приведет к конфликтам или неминуемо загонит в сложную ситуацию? Или вам просто не хочется ее
На высшем уровне
На высшем уровне В мае 2010 года технология Punycode обрела воплощение в самых верхних доменных рядах. Появились первые многоязычные «официальные» домены верхнего уровня (арабские и кириллические).Перед этим Punycode, по заданию ICANN, тщательно испытали в лабораториях и выяснили,
Объекты на уровне понятий
Объекты на уровне понятий Если вам трудно ассоциировать объекты с графическими элементами, ячейками рабочего листа или кнопками панели инструментов, представляйте себе объекты как материальные предметы. Вы же можете представить, как вырезаете ножницами из листа бумаги
Редактирование на уровне таблицы
Редактирование на уровне таблицы Существуют два уровня редактирования таблицы: уровень таблицы и уровень ячейки. В обоих случаях необходимо использовать управляющие маркеры. Вы можете просто щелкнуть на любой линии таблицы, чтобы отобразились маркеры управления на
Редактирование на уровне сегментов
Редактирование на уровне сегментов Редактирование сплайнов на уровне сегментов позволяет выполнить следующие операции:• Detach (Отделить) – отделяет сегменты, преобразуя их в самостоятельные формы;• Delete (Удалить) – удаляет сегменты;• Divide (Разделить) – добавляет
Редактирование на уровне сплайнов
Редактирование на уровне сплайнов Чтобы отредактировать сплайн на уровне входящих в его состав сплайнов, нужно перейти на уровень подобъектов Spline (Сплайн), щелкнув в стеке модификаторов на соответствующей строке. Выделенный подобъект будет окрашен красным цветом.При
Редактирование на уровне Polygon (Полигон)
Редактирование на уровне Polygon (Полигон) Полигоны можно перемещать, поворачивать и масштабировать обычным способом. Кроме того, данный уровень редактирования содержит большое количество других интересных инструментов, которые находятся в свитке Edit Geometry (Правка
7.4. Разделение процессов на уровне проектирования
7.4. Разделение процессов на уровне проектирования Рассмотрим конкретные рекомендации по использованию описанных выше методов.Прежде всего, необходимо отметить, что временные файлы, более интерактивный способ связи главного/подчиненного процессов, сокеты, RPC и все
10.1.19. Манипулирование файлами на уровне команд
10.1.19. Манипулирование файлами на уровне команд Часто приходится манипулировать файлами так, как это делается с помощью командной строки: копировать, удалять, переименовывать и т.д.Многие из этих операций реализованы встроенными методами, некоторые находятся в модуле
Блокировка на уровне таблицы
Блокировка на уровне таблицы Транзакция может быть сконфигурирована для блокирования всей таблицы. Существует два приемлемых способа сделать это в DSQL: установив уровень изоляции транзакции в SNAPSHOT TABLE STABILITY (известный также как согласованный режим, поддерживаемый
Блокировка на уровне таблицы
Блокировка на уровне таблицы Уровень изоляции транзакции TABLE STABILITY (или согласованная изоляция) предоставляет полную блокировку таблицы по записи, включая зависимые таблицы. Этот уровень слишком агрессивен для интерактивных приложений.Более предпочтительным является
Редактирование на уровне таблицы
Редактирование на уровне таблицы Существует два уровня редактирования таблицы: уровень таблицы и уровень ячейки. В обоих случаях необходимо использовать управляющие маркеры.Вы можете просто щелкнуть на любой линии таблицы, чтобы отобразились маркеры управления на
Подход на уровне компонентов
Подход на уровне компонентов (Этот раздел описывает решение, полезное только для специального случая; его можно пропустить при первом чтении книги.)Перед тем как перейти к амбициозным схемам, таким как автоматическая сборка мусора, стоит посмотреть на решение, которое
Уклонение на уровне приложений
Уклонение на уровне приложений У датчиков системы обнаружения вторжения есть возможность исследовать внутреннее устройство протокола связи приложений в интересах обнаружения вторжения. Разработчики систем обнаружения вторжения используют два основных способа.
Уклонение при помощи морфизма кода
Уклонение при помощи морфизма кода Полиморфизм – это способ существования во множественных формах, а морфизм – это процесс, используемый для достижения полиморфизма. Полиморфный код преследует цель сохранения в другой форме функциональных свойств уникального кода.