|
|
Главная / Информационная безопасность / APS
Анализ атак по данным APS |
Итак, рассмотрим ситуацию, когда APS применяется в качестве Honeypot (я это использование программы называю по своему - ненаучно, но по сути - "мышеловка"). В этом случае случае ASP установлен на ПК без Firewall или в правилах персонального Firewall программе APS разрешен обмен с сетью. При этом срабатывание APS свидетельствует о том, что кто-то проявил интерес к компьютеру с APS и пытается провести сканирование портов и (или) атаку и взлом.
Для постановки точного "диагноза" необходимо проанализировать ряд факторов:
- Подключение произошло к одному порту или к нескольким? При сканировании портов в течении достаточно короткого периода времени APS регистрирует подключение к нескольким портам с одного хоста
- Подключения единичные или многократные?
- При использовании простого сканера портов обычно производится по одному подключению к каждому порту (в рамках одного хоста).
- При использовании сканера безопасности или сканера портов с функциями идентификации сервиса подключения к одному порту производятся по несколько раз с одного хоста.
- При использовании мощных сканеров безопасности может отмечаться подозрение на DoS (оно, в частности, возникает в результате попыток сканера вызвать переполнение буфера исследуемого сервиса)
- При использовании флудера (программы, которая организует множественные подключения к атакуемому порту и (или) передачу после подлючения разнообразного "мусора") для атакованных портов регистрируются сотни / тысячи попыток подключения;
- Сигнализирует ли APS о попытках DOS атаки?Детектирование DoS атак проводится по достаточно простым алгоритмам и вероятность ложного срабатывания невелика (основой детектирования DoS является прием от атакующего пакетов большого размера, попыток организации множества параллельных соединений и т.п.)
|
|
|