Засобів виявлення мережних атак
Організація безпеки даних при використанні
Основним призначенням утиліти APS є виявлення мережних атак. Утиліта APS проводить обмін з атакуючим і дозволяє однозначно ідентифікувати факт атаки, тому що після сканування портів багато сканерів роблять визначення типу сервісу шляхом передачі тестових запитів і аналізу відповіді сервера. Утиліта APS призначена:
– для виявлення атак сканування портів, ідентифікації сервісів, появи в мережі троянських програм, мережних хробаків. У базі APS більше сотні портів, використовуваних хробаками й Backdoor – компонентами;
– для тестування сканерів портів і мережної безпеки. Для перевірки роботи сканера необхідно запустити на тестовому комп'ютері APS і провести сканування портів, за протоколами APS можна встановити, які перевірки проводить сканер і в якій послідовності;
– для тестування й контролю за роботою Firewall. У цьому випадку утиліта APS запускається на комп'ютері із установленим Firewall і проводиться сканування портів або інших атак. Якщо APS видає сигнал тривоги, то це є сигналом про непрацездатність Firewall або про його невірне настроювання. APS може бути постійно запущений за захищеному за допомогою Firewall комп'ютері для контролю за справним функціонуванням Firewall у реальному часі;
– блокування роботи мережних хробаків і Backdoor модулів. Принцип виявлення й блокування заснований на тому, що той самий порт може бути відкритий на прослуховування тільки один раз, тому, відкриття портів, використовуваних троянськими й Backdoor програмами до їхнього запуску перешкодить їхній роботі, а після запуску приведе до виявлення факту використання порту іншою програмою;
– тестування антитроянських і антивірусних програм, систем IDS. У базі APS закладено більше сотні портів найпоширеніших троянських програм. Деякі антитроянські засоби мають здатність проводити сканування портів вузла, що перевіряється, або будувати список портів, що прослуховуються, без сканування за допомогою API Windows. Такі засоби повинні повідомляти про підозру на наявність троянської програми з виводом списку портів.
У переданому банері можливі макроси, які будуть замінені в момент відправлення на їхні значення. У даний момент підтримуються наступні макроси:
– #DATE# - заміняється на поточну дату, відформатовану відповідно до настроювань системи, формат DD.MM.YYYY;
– #TIME# - заміняється на поточний час, відформатований відповідно до настроювань системи, формат HH24.MI.SS;
– #DATETIME# - заміняється на поточну дату й час, відформатовані відповідно до настроювань системи, формат DD.MM.YYYY HH24.MI.SS;
– #UNIXDATE# - дата у форматі, прийнятому в Інтернет;
– #UNIXDATETIME# - дата і час у форматі, прийнятому в Інтернет;
– #RAND_BIN# - випадкові бінарні дані випадкової довжини, мінімальна довжина блока даних становить 50 байт, максимальна – 250;
– #RAND_TXT# - випадкові текстові дані випадкової довжини, мінімальна довжина блока даних становить 50 байт, максимальна - 250. Відрізняється від #RAND_BIN# тим, що складається з байтів з кодами 32 – 127, текст, цифри й пропуски;
– $xx - байт, xx - значення в шістнадцятирічному форматі, для символів з кодами 0 - 9 обов'язковий попередній нуль, тобто $00, $01 .... Застосовується для уведення в переданий текст бінарних даних, застосовується в першу чергу для передачі символів перекладу рядка й перекладу каретки ($0D і $0A).
Параметри, #TIME#, #DATETIME#, #UNIXDATE#, #UNIXDATETIME# застосовуються для додання відповідям APS реалістичності, сучасні сканери мають інтелект і розуміють, що замість сервісу встановлена APS, це досягається порівнянням банерів, отриманих у результаті декількох підключень до порту. Параметри #RAND_BIN# і #RAND_TXT# утруднюють роботу інтелектуального сканера, тому що він намагається аналізувати отримані дані.