Урок 2

Введение в анализ сетевого трафика

В уроке
• Классификация сетевых атак
• Типичные сценарии проведения атак
• Анализ сетевого трафика
• Работа с wireshark, tcpdump
Введение
Классификация сетевых атак
Классификация сетевых атак
Все угрозы в зависимости от объекта, подвергающегося
воздействию, можно разделить условно разделить на следующие
два подмножества:
• удаленные атаки на инфраструктуру (под инфраструктурой сети
будем понимать сложившуюся систему организации отношений
между объектами сети и используемые в сети сервисные службы)
и протоколы сети;
• удаленные атаки на телекоммуникационные службы.
Классификация сетевых атак
По характеру воздействия:
• пассивное;
• активное.
Пассивным воздействием на распределенную вычислительную систему
можно назвать воздействие, которое не оказывает непосредственного
влияния на работу системы, но способно нарушать ее политику
безопасности.
Под активным воздействием на распределенную вычислительную сеть
понимается воздействие, оказывающее непосредственное влияние на
работу системы (изменение конфигурации, нарушение
работоспособности и т. д.) и нарушающее принятую в ней политику
безопасности.
Классификация сетевых атак
По цели воздействия:
• нарушение конфиденциальности информации либо ресурсов
системы;
• нарушение целостности информации;
• нарушение работоспособности (доступности) системы.
Классификация сетевых атак
По условию начала осуществления воздействия:
• атака после запроса от атакуемого объекта;
• атака после наступления ожидаемого события на атакуемом
объекте;
• безусловная атака.
Классификация сетевых атак
По наличию обратной связи с атакуемым объектом:
• с обратной связью
• без обратной связи, или однонаправленная атака.
Классификация сетевых атак
По расположению субъекта атаки относительно атакуемого
объекта:
• внутрисегментное;
• межсегментное.

В случае внутрисегментной атаки, как следует из названия, субъект

и объект атаки находятся в одном сегменте, а при межсегментной -
в разных.
Классификация сетевых атак
По уровню эталонной модели ISO/OSI, на котором
осуществляется воздействие:
• физический;
• канальный;
• сетевой;
• транспортный;
• сеансовый;
• представительный;
• прикладной.
Типичные сценарии проведения атак
Типичный сценарий атаки
1. Внешняя разведка
2. Внутренняя разведка
3. Атака
4. Скрытие следов
5. Получение прибыли
Анализ сетевого трафика
Анализ сетевого трафика
Для выполнения анализа сетевого трафика используются
анализаторы трафика, или сниферы (от англ. to sniff — нюхать).
Сетевой анализатор трафика - это программа или программно-
аппаратное устройство, предназначенное для перехвата и
последующего анализа, либо только анализа сетевого
трафика, предназначенного для других узлов.

Примеры:
Wireshark (tshark), tcpdump и др.
Анализ сетевого трафика
Перехват трафика может осуществляться:
• обычным «прослушиванием» сетевого интерфейса. Метод эффективен
при использовании в сегменте концентраторов вместо коммутаторов,
в противном случае данный метод малоэффективен, поскольку на
снифер попадают лишь отдельные кадры;
• подключением снифера в разрыв канала;
• ответвлением (программным или аппаратным) трафика и
направлением его копии на снифер;
• через атаку на канальном или сетевом уровне, приводящую к
перенаправлению трафика жертвы или всего трафика сегмента на
снифер с последующим возвращением трафика в надлежащий адрес.
Схема осуществления анализа сетевого
трафика
 Практика:
Работа с wireshark и tcpdump
Полезные ссылки

• https://www.wireshark.org/docs/wsug_html/
• http://www.tcpdump.org/
• http://bit.ly/1DOvIkD
• http://rfuk.ru/head_28.html
To be continued…