Мережева безпека
Мережева безпека – це комплекс заходів, спрямованих на захист мереж від атак і несанкціонованого доступу. Захист мережі забезпечується як програмними, так і апаратними засобами.
Мережева безпека складається з положень і політики, прийнятої адміністратором мережі, щоб запобігти і контролювати несанкціонований доступ, неправильне використання, зміни або відмови в комп'ютерній мережі та мережі доступних ресурсів.
Найбільш поширений і простий спосіб захисту мережевих ресурсів є присвоєння їм унікального імені та відповідного паролю.
Типи мережевих атак
Впровадження в комп'ютери шкідливих програм
Численна група атак пов'язана з впровадженням в комп'ютери шкідливих програм (Malware), до числа яких відносяться троянські та шпигунські програми, черв'яки, віруси, спам, логічні бомби і деякі інші типи програм, націлені на порушення інформаційної безпеки.
Сніфери пакетів
Сніффер пакетів являє собою прикладну програму, яка використовує мережеву карту, що працює в режимі promiscuous mode (у цьому режимі всі пакети, отримані по фізичних каналах, мережевий адаптер відправляє додатку для обробки). При цьому сніффер перехоплює усі мережні пакети, які передаються через певний домен. В даний час сніффери працюють в мережах на цілком законній підставі. Вони використовуються для діагностики несправностей і аналізу графіка.
Фішинг (phishing - спотворене fishing) використовується шахраями, що видають себе за довірених осіб, для "вивудження" персональних даних, наприклад логінів і паролів. Це може досягатися шляхом проведення масових розсилок електронних листів від імені популярних брендів, а також особистих повідомлень всередині різних сервісів. У листі може міститись пряме посилання на сайт, який ззовні не відрізнити від справжнього, або на сайт з перенаправленням.
Також проявами фішингу можуть бути спливаючі вікна, що з'являються на сайтах, яким ми цілком та повністю довіряємо і майже без роздумів можемо довіритись цьому вікну, яке навіть стилістично оформлено під сайт.
Впровадження в комп'ютери шкідливих програм
Численна група атак пов'язана з впровадженням в комп'ютери шкідливих програм (Malware), до числа яких відносяться троянські та шпигунські програми, черв'яки, віруси, спам, логічні бомби і деякі інші типи програм, націлені на порушення інформаційної безпеки.
Перехоплення і перенаправлення трафіку
Має на меті направити трафік комп'ютера за помилковою адресою, в якості якого може виступати адреса або зловмисника, або третьої сторони.
Атаки відмови в обслуговуванні
DoS (від англ. Denial of Service - Відмова в обслуговуванні) — атака, що має своєю метою змусити сервер не відповідати на запити. Такий вид атаки не передбачає отримання деякої секретної інформації, але іноді буває підмогою в ініціалізації інших атак. Наприклад, деякі програми через помилки в своєму коді можуть викликати виняткові ситуації, і при відключенні сервісів здатні виконувати код, наданий зловмисником або атаки лавинного типу, коли сервер не може обробити величезну кількість вхідних пакетів.
DDoS (від англ. Distributed Denial of Service - Розподілена DoS) — підтип DoS-атаки, що має ту ж мету що і DoS, але що проводяться не з одного комп'ютера, а з декількох комп'ютерів в мережі. У даних типах атак використовується або виникнення помилок, що призводять до відмови сервісу, або спрацьовування захисту, що приводить до блокування роботи сервісу, а в результаті також до відмови в обслуговуванні. DDoS використовується там, де звичайний DoS неефективний. Для цього кілька комп'ютерів об'єднуються, і кожен виробляє DoS-атаку на систему жертви. Разом це називається DDoS-атака.
Способи виявлення мережевих атак
Брандмауер - це поєднання програмних та апаратних засобів, які ізолюють внутрішню мережу від Інтернету, пропускаючи одні пакети і блокуючи інші. Брандмауер дозволяє адміністратору мережі контролювати доступ до ресурсів корпоративної мережі, що здійснюється зовні, а також керувати ресурсами адміністрованої мережі , регулюючи вхідний та вихідний трафік.
Всі брандмауери можна поділити на три категорії: традиційні пакети фільтрів, фільтри, що враховують стан з'єднання та шлюзи додатків.
Система виявлення вторгнень дозволяє виявити різні атаки, а саме трасування мережі, сканування портів, стеків ТСР, атаки відмови в обслуговуванні, застосування червів та вірусів, атаки на вразливості операційної системи чи окремих додатків.
В мережі організації можуть бути декілька таких систем. При одночасній роботі вони працюють узгоджено , пересилаючи повідомлення про підозрілий трафік в центральний процесор системи, який збирає та систематизує ці дані, а також повідомляє адміністратору якщо це необхідно.
Wireshark (раніше звався Ethereal) — програма для аналізу мережевих пакетів Ethernet і інших мереж (сніфер) з вільним вихідним кодом. Має графічний інтерфейс користувача. У червні 2006 року проект був перейменований на Wireshark через проблеми з торговою маркою.
Wireshark — це програма, яка розпізнає структуру найрізноманітніших мережевих протоколів, і тому дозволяє розібрати мережевий пакет, відображаючи значення кожного поля протоколу будь-якого рівня. Оскільки для захоплення пакетів використовується pcap, існує можливість захоплення даних тільки з тих мереж, які підтримуються цією бібліотекою. Проте, Wireshark вміє працювати з безліччю форматів початкових даних, відповідно, можна відкривати файли даних, захоплених іншими програмами, що розширює можливості захоплення.
Програма розповсюджується під вільною ліцензією GNU GPL і використовує для формування графічного інтерфейсу кросплатформову бібліотеку GTK+. Існують версії для більшості типів UNIX, зокрема GNU/Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Mac OS X, а також для Microsoft Windows.
Microsoft Network Monitor
Інструмент Network Monitor, реалізований у Windows та Microsoft Systems Management Server (SMS), дозволяє виконувати моніторинг мережевого трафіку. Моніторинг можна проводити в реальному часі або, перехвативши і зберегти мережевий трафік, аналізувати його пізніше. Збережені данні можуть бути використані для усунення неполадок в локальних та розподілених мережах, а також практично в усіх пристроях, які застосовують для комунікацій протоколу TCP / IP.
Мережева безпека складається з положень і політики, прийнятої адміністратором мережі, щоб запобігти і контролювати несанкціонований доступ, неправильне використання, зміни або відмови в комп'ютерній мережі та мережі доступних ресурсів.
Найбільш поширений і простий спосіб захисту мережевих ресурсів є присвоєння їм унікального імені та відповідного паролю.
Типи мережевих атак
Впровадження в комп'ютери шкідливих програм
Численна група атак пов'язана з впровадженням в комп'ютери шкідливих програм (Malware), до числа яких відносяться троянські та шпигунські програми, черв'яки, віруси, спам, логічні бомби і деякі інші типи програм, націлені на порушення інформаційної безпеки.
Сніфери пакетів
Сніффер пакетів являє собою прикладну програму, яка використовує мережеву карту, що працює в режимі promiscuous mode (у цьому режимі всі пакети, отримані по фізичних каналах, мережевий адаптер відправляє додатку для обробки). При цьому сніффер перехоплює усі мережні пакети, які передаються через певний домен. В даний час сніффери працюють в мережах на цілком законній підставі. Вони використовуються для діагностики несправностей і аналізу графіка.
![]() |
Схема сніфінгу |
Фішинг (phishing - спотворене fishing) використовується шахраями, що видають себе за довірених осіб, для "вивудження" персональних даних, наприклад логінів і паролів. Це може досягатися шляхом проведення масових розсилок електронних листів від імені популярних брендів, а також особистих повідомлень всередині різних сервісів. У листі може міститись пряме посилання на сайт, який ззовні не відрізнити від справжнього, або на сайт з перенаправленням.
Також проявами фішингу можуть бути спливаючі вікна, що з'являються на сайтах, яким ми цілком та повністю довіряємо і майже без роздумів можемо довіритись цьому вікну, яке навіть стилістично оформлено під сайт.
![]() |
Схема фішингу в інтернеті |
Впровадження в комп'ютери шкідливих програм
Численна група атак пов'язана з впровадженням в комп'ютери шкідливих програм (Malware), до числа яких відносяться троянські та шпигунські програми, черв'яки, віруси, спам, логічні бомби і деякі інші типи програм, націлені на порушення інформаційної безпеки.
Перехоплення і перенаправлення трафіку
Має на меті направити трафік комп'ютера за помилковою адресою, в якості якого може виступати адреса або зловмисника, або третьої сторони.
Атаки відмови в обслуговуванні
DoS (від англ. Denial of Service - Відмова в обслуговуванні) — атака, що має своєю метою змусити сервер не відповідати на запити. Такий вид атаки не передбачає отримання деякої секретної інформації, але іноді буває підмогою в ініціалізації інших атак. Наприклад, деякі програми через помилки в своєму коді можуть викликати виняткові ситуації, і при відключенні сервісів здатні виконувати код, наданий зловмисником або атаки лавинного типу, коли сервер не може обробити величезну кількість вхідних пакетів.
DDoS (від англ. Distributed Denial of Service - Розподілена DoS) — підтип DoS-атаки, що має ту ж мету що і DoS, але що проводяться не з одного комп'ютера, а з декількох комп'ютерів в мережі. У даних типах атак використовується або виникнення помилок, що призводять до відмови сервісу, або спрацьовування захисту, що приводить до блокування роботи сервісу, а в результаті також до відмови в обслуговуванні. DDoS використовується там, де звичайний DoS неефективний. Для цього кілька комп'ютерів об'єднуються, і кожен виробляє DoS-атаку на систему жертви. Разом це називається DDoS-атака.
![]() |
Схема DDoS атаки |
Способи виявлення мережевих атак
Брандмауер - це поєднання програмних та апаратних засобів, які ізолюють внутрішню мережу від Інтернету, пропускаючи одні пакети і блокуючи інші. Брандмауер дозволяє адміністратору мережі контролювати доступ до ресурсів корпоративної мережі, що здійснюється зовні, а також керувати ресурсами адміністрованої мережі , регулюючи вхідний та вихідний трафік.
Всі брандмауери можна поділити на три категорії: традиційні пакети фільтрів, фільтри, що враховують стан з'єднання та шлюзи додатків.
Система виявлення вторгнень дозволяє виявити різні атаки, а саме трасування мережі, сканування портів, стеків ТСР, атаки відмови в обслуговуванні, застосування червів та вірусів, атаки на вразливості операційної системи чи окремих додатків.
В мережі організації можуть бути декілька таких систем. При одночасній роботі вони працюють узгоджено , пересилаючи повідомлення про підозрілий трафік в центральний процесор системи, який збирає та систематизує ці дані, а також повідомляє адміністратору якщо це необхідно.
Wireshark (раніше звався Ethereal) — програма для аналізу мережевих пакетів Ethernet і інших мереж (сніфер) з вільним вихідним кодом. Має графічний інтерфейс користувача. У червні 2006 року проект був перейменований на Wireshark через проблеми з торговою маркою.
Wireshark — це програма, яка розпізнає структуру найрізноманітніших мережевих протоколів, і тому дозволяє розібрати мережевий пакет, відображаючи значення кожного поля протоколу будь-якого рівня. Оскільки для захоплення пакетів використовується pcap, існує можливість захоплення даних тільки з тих мереж, які підтримуються цією бібліотекою. Проте, Wireshark вміє працювати з безліччю форматів початкових даних, відповідно, можна відкривати файли даних, захоплених іншими програмами, що розширює можливості захоплення.
Програма розповсюджується під вільною ліцензією GNU GPL і використовує для формування графічного інтерфейсу кросплатформову бібліотеку GTK+. Існують версії для більшості типів UNIX, зокрема GNU/Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Mac OS X, а також для Microsoft Windows.
![]() |
Wireshark |
Визначити DDoS атаку за допомогою програми можна таким способом. Можна відфільтрувати окремі адреси джерел пакетів (на малюнку це не зображено), та проаналізувати колонки Time та DestPort. Якщо значення DestPort співпадають, то це явна ознака DDoS атаки. Ознайомтеся також зі стовпцем Time. Зауважте, як мало часу між кожним пакетом - всього тисячі секунд. Це ще одина ознака атаки DoS.
Microsoft Network Monitor
Інструмент Network Monitor, реалізований у Windows та Microsoft Systems Management Server (SMS), дозволяє виконувати моніторинг мережевого трафіку. Моніторинг можна проводити в реальному часі або, перехвативши і зберегти мережевий трафік, аналізувати його пізніше. Збережені данні можуть бути використані для усунення неполадок в локальних та розподілених мережах, а також практично в усіх пристроях, які застосовують для комунікацій протоколу TCP / IP.