Общая характеристика техник защиты от вирусов
Конспект
1. Атака на доступ (удаление файлов, изменение, шифрование, блокировка запуска системных файлов)
2. Атака на интегральность (повреждение системных файлов, стартового сектора данных в таблице FAT, модификация файлов с данными, в БД, повреждение исполнительных файлов)
3. Атака на конфиденциальность (перехват паролей, перехват конфиденциалтьных данных и т.д.)
Типы удалённых атак в сетевой среде с набором протоколов TCP/IP:
DoS-атаки.DoS-атаки (атаки типа отказ в обслуживании) представляют собой попытку сделать компьютер или сеть недоступными тем пользователями, для которых они предназначены. Обмен данными между пользователями пораженного компьютера затруднен или невозможен в приемлемом режиме.
Атака путем подделки записей кэша DNS.Атака путем подделки записей кэша DNS (сервер доменных имен) позволяет злоумышленникам убедить DNS-сервер любого компьютера в том, что предоставляемые подложные данные являются истинными. Ложная информация кэшируется на определенное время, давая злоумышленникам возможность перезаписать ответы DNS-сервера с IP-адресами. В результате при попытке посещения веб-сайтов пользователь загружает компьютерные вирусы и черви вместо исходного содержимого.
Атаки червей.Компьютерные черви — это содержащие злонамеренный код программы, которые атакуют главные компьютеры и распространяются через сеть. Сетевые черви используют сетевые уязвимости различных приложений. Благодаря Интернету они распространяются по всему земному шару за считаные часы после запуска в сеть. В некоторых случаях счет идет на минуты.
Сканирование портов.Сканирование портов используется, чтобы определить, какие порты компьютера открыты на узле сети. Сканер портов представляет собой программное обеспечение, которое предназначено для поиска таких портов.
Компьютерный порт является виртуальной точкой, которая управляет сетевым трафиком в обоих направлениях. Это является критичным с точки зрения сетевой безопасности. В больших сетях данные, которые собираются с помощью сканера портов, могут помочь выявить потенциальные уязвимости компьютерных систем. Такое использование является допустимым.
TCP-десинхронизация.TCP-десинхронизация — это метод, используемых в атаках подмены одного из участников TCP-соединения. Этот метод основан на процессах, которые происходят, когда порядковый номер приходящего пакета отличается от ожидаемого. Пакеты с неожиданными номерами пропускаются (или сохраняются в специальном буфере, если они попадают в текущее окно соединения).
При десинхронизации обе стороны обмена данными пропускают полученные пакеты. В этот момент злоумышленники могут заразить и передать пакеты с правильным порядковым номером. Злоумышленники могут даже манипулировать обменом данных и вносить в него изменения.
SMB Relay.SMBRelay и SMBRelay2 являются особыми программами, которые способны атаковать удаленные компьютеры. Эти программы используют уязвимость протокола SMB, который встроен в NetBIOS. Если пользователь предоставляет общий доступ к каким-либо папкам через локальную сеть, скорее всего это осуществляется с помощью протокола SMB.
В рамках обмена данными по локальной сети происходит обмен данными хеш-таблиц паролей. SMBRelay принимает соединения по UDP на портах 139 и 445, транслирует пакеты, которыми обменивается клиент и сервер, и подменяет их. После подключения и аутентификации соединение с клиентом прерывается. SMBRelay создает новый виртуальный IP-адрес.
Атаки по протоколу ICMP.Протокол ICMP является популярным и широко используемым протоколом Интернета. Применяется он преимущественно подключенными к сети компьютерами для отправки сообщений об ошибках.
Удаленные злоумышленники пытаются использовать уязвимости протокола ICMP. Протокол ICMP предназначен для передачи данных в одном направлении без аутентификации. Это позволяет злоумышленникам организовывать DoS-атаки (отказ в обслуживании) или атаки, предоставляющие не имеющим на это права лицам доступ ко входящим и исходящим пакетам.
Типичными примерами атак по протоколу ICMP являются ping-флуд, флуд эхо-запросов по протоколу ICMP и smurf-атаки. Компьютеры, подвергающиеся атаке по протоколу ICMP, значительно замедляют свою работу (это касается всех приложений, использующих Интернет), и у них возникают проблемы при подключении к Интернету.
Для того, чтобы не подвергнуть комп. заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила:
1. оснастить компьютер современными антивирусными программами, например Aidstest, Doctor Web, и постоянно возобновлять их версии
2. перед считыванием с дискет информации, записанной на других компьютерах, всегда проверять эти дискеты на наличие вирусов, запуская антивирусные программы своего компьютера
3. при переносе на свой компьютер файлов в архивированном виде проверять их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами
4. периодически проверять на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищенной от записи дискеты, предварительно загрузив ОС с защищенной от записи системной дискеты
5. всегда защищать свои дискеты от записи при работе на других компьютерах, если на них не будет производится запись информации
6. обязательно делать архивные копии на дискетах ценной для вас информации
7. не оставлять в кармане дисковода А дискеты при включении или перезагрузке ОС, чтобы исключить заражение компьютера загрузочными вирусами
8. использовать антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей
9. для обеспечения большей безопасности применения Aidstest и Doctor Web необходимо сочетать с повседневным использованием ревизора диска Adinf
45 Сканеры вирусов
Антивир. прогр. делятся на:
1. прогр.-детекторы (обеспечив.поиск и обнаружение вирусов в операц. памяти и на внешних носителях, при обнаружении выдают соответствующее сообщение)
2. прогр.-доктора (фаги) (не только находят но и лечат, т.е. удал. из файла тело вируса, возвращая файл в исходное состояние)
3. прогр.–ревизоры (самые надежные, запоминают исходные состояния прогр., когда комп не заражен, а потом если проверяет, то сравнивает)
4. прогр.-фильтры (небольш. резидентные прогр., предназнач. для обнаруж. подозрительных действий при работе компа, характерных для вирусов)
5. прогр.-вакцины (иммунизаторы) (резидентные прогр., предотвращ. заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится).