Установление идентичности в пространстве Интернет

Тезисы лекции

Исследование IP-адресов.

 

IV. Изложение 2-го вопроса.

Исследование адресов MAС..

 

V. Изложение 3-го вопроса.

Исследование динамических IP-адресов.

 

VI. Ответы на вопросы.

Преподаватель отвечает на вопросы курсантов.

VII. Подведение итогов.

 

VIII. Заключительная часть. Преподаватель призывает слушателей к добросовестному изучению учебного материала и необходимости их становления как будущих специалистов ИБ. Преподаватель говорит слушателям о необходимости систематического изучения материалов лекций.

 

IX. Задание на самоподготовку. С использованием рекомендованной литературы самостоятельно более детально изучить вопросы лекции.

 

Литература для подготовки:

Основная:

1. Лукацкий А. Обнаружение атак (2-е издание)/ Лукацкий А. СПб.: BHV-СПб, 2003. - 608 с.

2. Программно-аппаратные средства обеспечения информационной безопасности. Защита в операционных системах/ Учебное пособие для вузов/ Проскурин В.Г., Крутов С.А., Мацкевич И.В.–М.: Радио и связь 2000. - 168 с.

3. Секреты хакеров. Безопасность Linux-готовые решения/ Пер. с англ.-М. Издательский дом «Вильямс», 2002.-544 с.

4. Скляров Д.В. Искусство защиты и взлома информации. - СПБ.: БХВ-Петербург, 2004.-288 с.: ил.

5. Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г. Шурухнова. - М.: Щит-М. 1999.


 

Одной из задач любого исследования является установле­ние идентичности людей, которые совершили дурные поступки. Интернет создает дополнительную сложность при установлении идентичности, осо­бенно с учетом всех различных приложений, которые могут скрывать иден­тичность лиц. Такие технологии, как анонимная переадресация почты, анонимная почта на основе Web, динамическая IP-адресация, DHCP (про­токол динамической конфигурации хоста) и трансляция сетевых адресов (NAT) вносят свой вклад в анонимность, представляемую Интернетом. Другим препятствием для установления идентичности является междуна­родный характер Интернета. Коммуникации через множество различных границ подпадают под различные законы в каждой стране. Поэтому требу­ется международная кооперация для трассировки идентичности в кибер-пространстве.

В этом приложении показывается, что IP-адреса, МАС-адреса, систем­ные имена NetBIOS, адреса e-mail, псевдонимы IRC (Chat), имена пользова­телей и имена хостов являются электронными признаками, которые могут привести к идентичности атакующего. Кроме того, рассматривается, как проследить сообщение e-mail до его источника.

 

Вопрос 1. Исследование IP-адресов

 

Чтобы компьютер участвовал в коммуникациях в Интернете, он должен иметь IP-адрес. Таким образом любое действие, выполненное в Интернете или в сети на основе TCP/IP, имеет соединенный с ним IP-адрес источника. Когда мы начинаем искать доказательства, оставленные после сетевой атаки, первым электронным ключом к вопросу "кто это сделал" служит обычно IP-адрес источника. Поэтому IP-адрес источника является первым шагом для установления идентичности атакующего. Однако IP-адреса со­здают многочисленные проблемы при установлении идентичности:

• IP-адрес источника может быть подделан. IP-адрес источника обычно подделывается для атак отказа в обслуживании и любого другого типа коммуникации, которая не является интерактивной.

• IP-адрес источника атаки может находиться на расстоянии множества транзитных участков от истинного источника атаки. Большинство атакующих проходят через множество машин, прежде чем запустить атаку на основе сети. Исследователи иногда должны прослеживать множество отдельных транзитных участков.

• IP-адрес принадлежит машине (а не человеку), и соответствует опре­деленной системе в определенное время. Если вы не знаете времен­ные рамки инцидента, то трудно определить, кто "владел" IP-адресом, когда произошел инцидент,— сложно обнаружить того, кто в это время работал за определенной машиной.