Другие признаки атаки
Атаки некоторых типов выявить довольно легко, например атаки на переполнение буфера, которые немедленно выводят из строя сервер, но некоторые атаки имеют менее явные симптомы. Журналы и оповещения Windows 2000 и IIS обнаруживают попытки выполнения таких атак. Ниже приведены некоторые общие признаки атак, которые следует искать.
- Неожиданное увеличение исходящего трафика. Это могут быть как действия легальных пользователей сайта, так и злоумышленные действия, особенно при исходящем трафике, как было в случае с червем Code Red. Данный признак наблюдается и тогда, когда компьютер сети управляется для участия в распределенной атаке на отказ в обслуживании. Маршрутизаторы или сетевые экраны должны иметь возможность измерять как входящий, так и исходящий трафик. В самых лучших устройствах этого типа имеются средства, генерирующие отчеты, проверяемые еженедельно, ежедневно или немедленно.
- Большое число пакетов, обнаруженное фильтрами выхода маршрутизатора или сетевого экрана. Фильтрами выхода называются наборы политик маршрутизаторов, проверяющие исходящие пакеты и отслеживающие их исходные адреса. Так как в большинстве организаций известны сетевые адреса, защищенные сетевым экраном, сразу отбрасываются пакеты, исходные адреса которых не совпадают с адресами сети. Такие системы блокируют потенциально опасный трафик, который возникает при скрытом захвате хакерами узла и генерировании исходящих от него пакетов, которые призваны перегрузить заранее известную цель в интернете. Фильтры выхода предотвращают выход исследующих пакетов из сети, поэтому при обнаружении таких пакетов необходимо выяснить их источник, так как они являются признаками проникновения в сеть.
- Неожиданный скачок числа некорректных пакетов на сетевом экране. Большинство сетевых экранов и маршрутизаторов ведут сбор статистики о пакетах на границе сети, используя коммерческое программное обеспечение. Неожиданные скачки числа некорректных пакетов, как правило, говорят о том, что система подвергается атаке на отказ в обслуживании.
