На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

Назначение APS
Документация
FAQ
Анализ атак по данным APS
Download / Скачать
Техническая поддержка

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)"



Главная / Информационная безопасность / APS

Анализ атак по данным APS


Итак, рассмотрим ситуацию, когда APS применяется в качестве Honeypot (я это использование программы называю по своему - ненаучно, но по сути - "мышеловка"). В этом случае случае ASP установлен на ПК без Firewall или в правилах персонального Firewall программе APS разрешен обмен с сетью. При этом срабатывание APS свидетельствует о том, что кто-то проявил интерес к компьютеру с APS и пытается провести сканирование портов и (или) атаку и взлом.

Для постановки точного "диагноза" необходимо проанализировать ряд факторов:

  1. Подключение произошло к одному порту или к нескольким? При сканировании портов в течении достаточно короткого периода времени APS регистрирует подключение к нескольким портам с одного хоста
  2. Подключения единичные или многократные?
    • При использовании простого сканера портов обычно производится по одному подключению к каждому порту (в рамках одного хоста).
    • При использовании сканера безопасности или сканера портов с функциями идентификации сервиса подключения к одному порту производятся по несколько раз с одного хоста.
    • При использовании мощных сканеров безопасности может отмечаться подозрение на DoS (оно, в частности, возникает в результате попыток сканера вызвать переполнение буфера исследуемого сервиса)
    • При использовании флудера (программы, которая организует множественные подключения к атакуемому порту и (или) передачу после подлючения разнообразного "мусора") для атакованных портов регистрируются сотни / тысячи попыток подключения;
  3. Сигнализирует ли APS о попытках DOS атаки?Детектирование DoS атак проводится по достаточно простым алгоритмам и вероятность ложного срабатывания невелика (основой детектирования DoS является прием от атакующего пакетов большого размера, попыток организации множества параллельных соединений и т.п.)



Top.Mail.Ru

(С) Зайцев О.В.
2003-2022

При использовании любых материалов данного сайта необходимо указывать источник информации.