Гриняев С.Н. Поле битвы - киберпространство: Теория, приемы, средства, методы и системы ведения информационной войны
Подождите немного. Документ загружается.
ся
государственного, военного и боевого потенциала против
ника и сохранения (повышения) возможностей по использо
ванию собственного потенциала.
Мирное время�
1
1
1
1
1
1
Кризис - К
о
нфли
--- Восстановление
мира
1
1
1
1
1
И
н
форма
ц
и
онные
о
пе
ра
ц
ии
1
-�
Информационная безопасность
1
и
защита инф
ормации
1
Соо
тн
о
ш
ен
и
е
и
р
о
л
ь
ра
зл
ич
н
ы
х
в
и
дов
и
н
фор
мац
и
о
нн
ы
х
опера
ц
и
й
Информационная война состоит из действий, предприни
маемых для достижения информационного превосходства
v
в
обеспечении национальной военной стратегии путем воздеи
ствия на информацию и информационные системы противни
ка с одновременным укреплением и зашитой собственной ин
формации и информационных систем и инфраструктуры.
Способность не только реагировать, но и предвидеть про
блемы до того, как они достигнут кризисной точки - та
v
спо
собность, которую стремятся приобрести США в ближаишем
будушем. При этом они ориентируются на системы и средства
,
позволяющие резко снизить в начальной стадии конфликта (или
до его начала) функциональные возможности противодействия
государства-противника путем проведения наступательных ин-
102
ф
ор
маиионных операций. Основной целью таких операций яв
л
я
ется
достижение информационного превосходства над про
тивником.
Информационное превосходство в руководящих докумен
та
х
армии США определяется как способность собирать, обра
б
аты
вать и распределять непрерывный поток информации о
с
итуац
ии, препятствуя противнику делать то же самое. Оно
мо
жет быть также определено и как способность назначать и
под
держивать такой темп проведения операции, который пре
в
осходит любой возможный темп nр·ливника, позволяя доми
нир
овать во все время ее проведения, оставаясь непредсказуе
мым,
и действовать, опережая противника в его ответных
аиях.
Информационное превосходство позволяет иметь реальное
представление о боевой обстановке и дает интерактивную и
высокоточную картину действий противника и своих войск в
реальном масштабе времени. Информационное превосходство
является инструментом, позволяющим командованию в реша
юших операциях применять широко рассредоточенные пост
роения разнородных сил, обеспечивать защиту войск и ввод в
сражение группировок, состав которых в максимальной степе
ни соответствует задачам, а также осуществлять гибкое и целе
направленное материально-техническое обеспечение.
Информационная война ведется путем проведения мероп
риятий направленных против систем управления и принятия
ре
шений (Command & Control Warfare, C2W), а также против
компьютерных и информационных сетей и систем (Computer
Network Attack, CNA).
Деструктивное воздействие на системы управления и при
няти
я решений достигается путем проведения психологичес
ких
операций (Psychological Operations, PSYOP), направлен
н
ых
против персонала и лиц, принимающих решения и
о
казы
вающих влияние на их моральную устойчивость, эмоции
и
мотивы принятия решений; выполнения мероприятий по
о
пер
ативной и стратегической маскировке (OPSEC), дезин
фо
рма
ции и физическому разрушению объектов инфраструк
т
у
р
ьr.
Существующая в настоящее время концепция информа
цион
ной войны предусматривает:
103
*
подавление (в военное время) элементов инфраструкту
ры государственного и военного управления (поражение цент
ров командования и управления);
*
электромагнитное воздействие на элементы информаци
онных и телекоммуникационных систем (известное как радио
электронная борьба);
*
получение разведывательной информации путем пере
хвата и дешифрования информационных потоков, передавае
мых по каналам связи, а также по побочным излучениям и за
счет специального внеДрения технических средств перехвата
информации;
·
*
осуществление несанкционированного доступа к инфор
мационным ресурсам (путем использования программно-ап
паратных средств прорыва систем защиты информационных и
телекоммуникационных систем противника) с последующим
их искажением, уничтожением или хищением, либо наруше
ние нормального функционирования этих систем;
*
формирование и массовое распространение по инфор
мационным каналам противника или глобальным сетям де
зинформации или тенденциозной информации для воздействия
на оценки, намерения и ориентацию населения и лиц, при
нимающих решения;
*
получение интересующей информации путем перехвата
и обработки открытой информации, передаваемой по незащи
щенным каналам связи, циркулирующей в информационных
системах, а также публикуемой в открытой печати и средствах
массовой информации.
В качестве основных объектов воздействия в ходе инфор
мационных операций выступают:
*
сети связи и информационно-вычислительные сети, ис
пользуемые государственными организациями при выполне
нии своих управленческих функций;
*
военная информационная инфраструктура, решающая
задачи управления войсками;
*
информационные и управляющие структуры банков,
транспортных и промышленных предприятий;
*
средства массовой информации (в первую очередь - элек
тронные).
104
Информационные операции и специальные
информационные операции (lпformatioп Op era tioпs
(1 0) , Sp ecial lпformatioп Op eratioпs (S /0))
Компо
нент
ы
и
н
ф
орма
ц
и
онны
х
оп
ер
ац
и
й
(
по ма
тер
и
а
л
ам
и
но
с
транн
ой п
е
ч
а
т
и
)
Ряд специалистов отмечает, что применение информаци
онного оружия - это информационная технология, включаю
щая в себя:
u
*
анализ способов и механизмов активизации у конкрет
нои
системы - противника, заложенных в нее программ са
моуничтожения;
*
поиск программы самоуничтожения;
: разработка конкретного информационного оружия;
применение информационного оружия по заданному
объекту.
Поскольку информационная война связана с вопросами
и
нфо
рмации и коммуникаций, то это есть борьба за знания -
�
а
то,
кому известны ответы на вопросы: что, когда, где, по
ему
и насколько надежным считает отдельно взятая страна и
е
е
армия свои знания о себе и своих противниках. При этом
ср
едст
ва ведения информационной войны или <
<
информаци-
105
онное оружие>
>
есть само исnользование информации и ин
формационных технологий для воздействия на военные и граж
данские системы с целью достижения информационного
nре
восходства над nротивником.
Согласно оnубликованным материалам, ряд сnециалистов
дают такое определение информационным операциям: инфор
мационн
ая операция - это комплекс взаимосвязанных по цели,
месту
и времени мероприятий и акций, направленных на ини
циализацию и управление процессами манипулирования ин
формацией с целью достижения и удержания информацион
ного превосходства путем воздействия на информационные
процессы в информационных системах противника.
При
этом информационные системы рассматриваются в
широком смысле, т.е. не только автоматиеские и автомати
зированные технич:еские системы, но и государство и обще
ство, которые тоже рассматриваются как информационные
системы.
Информационные операции есть основа ведения инфор
мационной войны. Информационные операции являются са
мостоятельным видом оперативного обеспеч:ения, который ре
ализует на поле боя концепцию информационной войны.
По целям и задач:ам информационные операции подразде
ляются на информационное обеспечение, специальные информа
ционные операции и собственно информационное противоборство.
При этом по характеру решаемых задач: информационные опе
рации могут быть оборонительными и наступательными.
Наступательные информационные операции вклюают в
себя следующие мероприятия по достижению и удержанию ин
формационного превосходства:
*
оперативная безопасность;
*
дезинформация;
*
психологиеские операции;
*
радиоэлектронное противоборство;
*
физич:еское разрушение и унитожение объектов инфор
мационной инфраструктуры;
*
атаки на компьютерные сети противника.
Целью наступательных информационных операций явля
ется достижение и удержание информационного превосход
ства в ходе информационной войны.
106
Оборо
нительные информационные операции в
к
люч:ают
сл
еду
ющие
мероприятия по обеспеч:ению безопасности соб
ств
енных
информационных ресурсов:
* оперативная безопасность;
*
физическая защита объектов информационной инфра-
с
труктуры;
* контрпропа
г
анда;
* контрдезинформация;
* контрразведка;
* радиоэлектронная борьба.
Целью оборонительных информационных операций явля
е
тся
обеспеч:ение выполнения целевых зада информационными
и
управляющими системами в условиях ведения информаци
онной
войны, а также обеспеение сохранности информаци
онных
ресурсов и предотвращения утеч:ки, искажения, утраты
или
хищения информации в результате несанкционированно
го доступа к ней со стороны противника.
Ряд экспертов подч:еркивает, то эффеивность сдержива
ния проецирования силы и других стратегиеских концепций в
основном зависит от способности США влиять на решения пра
вительств других стран. В кризисный период информационные
операции мо
г
ут помоч:ь сдержать противника от проведения враж
дебных акций по отношению к США и их союзникам.
Следовательно, заключ:ают специалисты, на национально
стратегических и военно-стратегических уровнях как информа
ционные операции в мирное время, так и информационные бое
вые
действия в кризисные или конфлиные периоды требуют
высоко
й степени координации меу правительственными струк
тур
ами, включ:ая министерство обороны и разведсообщество.
О
пределение информационного воздействия
и инфо
рмационного ору
жия
Обес
nе
ивающее и атакующее
и
фо
р
ациоое о
р
ужие
Возможности средств ведения информационной войны все
вр
емя
возрастают с ростом возможностей и распространением
м
и
кропроцессоров, высокоскоростных систем передаи дан-
107
ных и информационных технологий в целом. По словам одного
американского военного, сегодня унция кремния может сде
лать больше, чем килограмм урана.
Согласно ряду исследований, информационное воздействие
или информационное нападение представляет собой наступа
тельную составляющую информационной войны и реизует
ся посредством наступательных информационных операций.
Информационное оружие - это совокупность специально
организованной информации, информационных технологий,
позволяющая целенаправленно изменять (уничтожать, иска
жать), копировать, блокировать информацию, преодолевать
системы защиты, ограничивать допуск законных пользователей,
осуществлять дезинформацию, нарушать фкционирование но
сителей информации, дезорганизовывать работу технических
средств, компьютерных систем и информационно-вычислитель
ньrх сетей, применяемая в ходе информационной борьбы для
достижения поставленных целей.
Средства, используемые в качестве информационного ору
жия, называются средствами информационного воздействия
(СИВ), а для нашего случая
-
это средства специьного про
граммно-математического воздействия (ССПМВ).
Под средством специального программно-математическо
го воздействия понимается некоторая самостоятельная про
грамма (набор инструкций), которая способна выполнить лю
бое непустое подмножество перечисленных ниже функций.
1. Скрывать признаки своего присутствия в программно-
аппаратной среде системы.
2. Обладать способностью к самодублированию, ассоции-
рованию себя с другими программами и/или переносу своих
фрагментов в иные области оперативной или внешней памяти.
3.
Разрушать (искажать произвольным образом) код про
грамм в оперативной памяти.
4. Сохранять фрагменты информации из оперативной
па
мяти в некоторой области внешней памяти прямого доступ
а
(локальной и удаленной).
5. Искажать, блокировать иjили подменять выводимый во
внешнюю память или в канал связи массив информации,
об
разовавшийся в результате работы прикладных программ,
ил
и
уже находящиеся во внешней памяти массивы данньrх.
108
6. Подавлять информационный обмен в телекоммуникаци
онн
ых сетях, фальсифицировать информацию в каналах госу
дар
ственного и военного управления.
7. Нейтрализовывать работу тестовых программ и систем
заш
иты информационных ресурсов.
При этом под самодублированием понимается процесс вос
про
изведения своего собственного кода в оперативной или
внешн
ей памяти системы.
Ассоциирование с другой программой - интеграция своего
ко
да либо его части в код другой программы таким образом,
чтобы
при некоторых условиях управление передавалось на код
программы с потенциально опасными последствиями.
По цели использования информационное оружие делят на
обеспечивающее и атакующее.
Обеспечивающим называется информационное оружие, с
помощью которого оказываются информационные воздействия
на средства защиты информации атакуемой системы.
В состав обеспечивающего информационного оружия входят:
*средства компьютерной разведки;
* средства преодоления системы защиты.
Успешное применение обеспечивающего информационного
оружия позволяет осуществлять деструктивные воздействия на
хранимую, обрабатываемую и передаваемую в системе инфор
мацию с использованием атакующего информационного ору
жия.
Атакующим называется информационное оружие, с по
мощью которого осуществляется воздействие на хранимую, об
рабатываемую и передаваемую в системе информацию, нару
шающее применяемые информационные технологии.
В составе атакующего информационного оружия выделя
ют четыре основных вида средств информационных воздей
ствий:
* ср едства нарушения конфиденциальности информации·
* д
'
ере ства нарушения целостности информации ·
* д
'
ер е ства нарушения доступности информации;
* ср едства психологических воздействий на абонентов
информационной системы.
109
Применение атакующего информационно�о оружия
v
на
правлено на срыв выполнения информационнои системои це-
левых задач.
По способу реизации информационное оружие можно
разделить на три больших класса:
* математическое (алгоритмическое);
* программное;
* аппаратное.
Информационное оружие, относящееся к разным классам,
может применяться совместно, а также некоторые виды ин
формационного оружия могут нести в себе черты нескольких
классов.
Специфика данной работы состоит в том, что, рассм�три-
вая все три класса информационного оружия, основнои ак
цент делается на защиту от горитмического и программнаго
информационного оружия.
К алгоритмическому информационному оружию будем от-
носить:
алгоритмы, использующие сочетание санкционированных
действий осуществления несанкционированного доступа к
информационным ресурсам;
алгоритмы применения санкционированного (легального)
программнога обеспечения и программные средства несанк
ционированного доступа для осуществления незаконного дос
тупа к информационным ресурсам.
К программному информационному оружию будем отно
сить программы с потенциально опасными последствиями сво
ей работы для информационных ресурсов системы.
Средства специального программно-математического воз
действия подразделяются на следующие классы: компьютер
ные вирусы, средства несанкционированного доступа и программ-
ные закладки.
В
иды атакующего и
обесnечивающего
и
форациоого оружия
в настоящее время известен широкий спектр ССПМВ, ко
торый включает в себя компьютерные вирусы,
<
<троянских ко
-
110
н
ей>>
, сетевых червей и др. Все они перечислены ниже с описа
н
и
tм основных характеристик.
К
о
мпьютерный вирус (КВ) - это программа, обладающая
с
пособностью к скрытому размножению в среде используемой
о
перационной системы путем включения в исполняемые
или
хран
ящиеся программы своей, возможно модифицированной,
к
опии, которая сохраняет способность к дальнейшему размно
жению.
Первые исследования саморазмножающихся искусствен
ных
конструкций проводились в середине нынешнего столе
тия.
В работах фон Неймана, Винера и других авторов дано оп
ределение и проведен математический анализ конечных
автоматов, в том числе и самовоспроизводящихся. Термин <<КОМ
пьютерный вирус>> появился позднее, официально считается,
что его впервые употребил сотрудник Лехайского университе··
та
(США) Ф. Коэн в 1984 г. на 7-й конференции по безопасно
сти информации, проходившей в США.
Заражая программы, вирус может распространяться по
компьютерной системе или сети обмена информацией, исполь
зуя полномочия пользователей для заражения их же программ.
Для использования компьютерных вирусов в качестве про
граммнога модуля системы информационного воздействия
принципиальное значение имеют следующие классификаци
онные признаки вирусов:
*
объект воздействия (заражения);
*
способ заражения объекта;
*
принцип маскировки;
*
деструктивные возможности.
Особенностью КВ является его ненаправленность на конк
рет
ные программы и также то, что основным свойством явля
етс
я самодублирование вируса. Разрушение информации виру
с
ом
не направлено на конкретного рода программы и
вст
речается не более чем у 10% такого рода программ.
Таким образом, КВ способны размножаться, внедряться в
программы, передаваться по линиям связи, сетям обмена ин
ф
ор
мацией, выводить из строя системы управления и т.п.
Ср едства
несанкционированно
го доступа (СНСД) - это
асс программ с потенциально опасными последствиями, обя
з
а
тел
ьно выполняющий функции 3-5, 7.
111
>"
"
о
�
"
u
о
с
�
-
-
�
с
�
-
�
о
о
"
"
u
u
7 7
"
"
"
о
��
Q
"
7
u
о
>
о
"
"
! �
q Q
U
о
"
l
�
"
"
O
u
�
"
u
J
о
о
"
"
о
112
��
" "
f
""
"
u
о
:
>
"
о
u
g �
u
о
с
-
�
u u
� �
т
х
u
х
"
� ш
К
СНСД относится различное штатное Программное обес
печ
ение
системы, которое противник может использовать для
нару
шения целостности операционной системы или вычисли
тель
ной среды. Часто этот тип программнога обеспечения ис
поль
зуется для анализа систем защиты, с целью их преодоле
ния
и реализации НСД к информационным ресурсам системы.
Пр ограммные закладки (ПЗ) - класс программ с потенци
ально
опасными nоследствиями, обязательно выполняющий
функ
ции 3-5.
Отличительный признак между средствами несанкциони
рован
ного доступа и программными закладками - это нали
чие
для первых и отсутствие для вторых функции преодоления
защиты.
Выдел
Я
ют несколько видов ПЗ: троянекая программа, ло
гическая бомба, логический люк, программная ловушка, про
граммный червь.
Тр оянекая программа - nрограмма, имеющая законный
доступ к системе, но выnолняющая и скрытые (необъявлен
ные) функции.
Логическая бомба - программа, осуществляющая злоумыш
ленные действия при выполнении ряда определенных логи
ческих условий.
В качестве nримера логических бомб можно назвать про
граммные закладные устройства, заранее внедряемые в инфор
мационно-управляющие центры военной инфраструктуры, что
бы
по сигналу или в установленное время nривести их в
действие.
Логический люк - механизм внутри операционной систе
мы
(программного обеспечения), позволяющий программе зло
у
мышленника получить привилегированную функцию или ре
жим
работы (которые ему не были разрешены).
Логическими люками могут быть различного рода ошиб
к
и,
сознательно вводимые злоумышленниками в Программное
о
беспечение объекта.
Пр ограммноя ловушка - программа, использующая ошиб
к
и
или неоднозначности в программнам обеспечении.
Пр ограммный червь - программа, маскирующаяся под си
с
темные
средства nоиска свободных вычислительных ресурсов
в
сет
и.
113
Сетевым червем называется компьютерный вирус, облада
ющий свойством самостоятельного распространения в систе
ме и заражающий ее элементы, функционаьные сегменты либо
систему целиком.
Универсмьность, скрытность, многовариантность фо�м
программно-аппаратной ремизации, радикмьность воздеи
ст
вия, достаточный выбор времени и места применения, на
конец, экономичность делают информааионное оружие чрез
вычайно опасным: оно легко маскируется под средство зашиты
и даже позволяет вести наступательные действия анонимно.
Особеости и
ос1ю
в
пые характеристики
атакующего информационного оружия
Сушествует ряд особенностей, определяющих качествен
ное отличие информационного оружия от других видов воору
жений. К ним относятся:
* универсмьность;
* скрытность;
* экономическая эффективность;
* возможность применения я решения широкого круга
задач;
* масштабность применения;
*
обладание эффектом << цепной реакции>>;
*
сложность осушествления международного контроля за
разработкой и применением.
Универсьность
.
Виды информационного оружия и спо-
собы
его применения не зависят от климатических и !еогр�
фических особенностей возможных театров военных деиствии,
состоя
ния инфраструктуры (например, состояния дорог и мо-
стов) и т.п.
Скрытность. При подготовке к агрессии одного государ-
ства против другого (с которым имеется общая граница)
с
применением традиционных средст� необходим�:
*
иметь мощный экономическии потенцим,
* провести мобилизацию;
*
создать группировку войск, способную выполнить
по-
ставленные задачи;
* нанести внезапный сокрушительный удар по противник
у.
114
Перечисленные условия противоречат друг другу: возмож
н
ости современной разведки таковы, что практически невоз
м
ожно скрыть от предполагаемого противника сроцессы мо
бил
изации и концентрации войск в приграничных районах.
Следовательно, противник в ответ также начнет мобилизацию
и
концентрацию войск, и внезапного удара не получится. В то
же
время для нанесения внезапного сокрушительного удара
арм
ии мирного времени недостаточно, а содержание в мирное
врем
я армии военного времени приведет к разорению госу
дарст
ва, подрыву его экономики.
Применение информационного оружия позволяет снять
указанные противоречия.
Схему вступления в войну государства, обладающего ин
формационным оружием, можно обобщенно представить сле
дующим образом:
*
скрытая подготовка и внезапное проведение широкомас
штабных долговременных информационных воздействий на
систему противника. Атаки осуществляются на системы раз
личного назначения (государственные, военные, управления
транспортом, системы финансовых учреждений, системы энер
гообеспечения и т.п.) с целью лишения противостоящей сто
роны возможности принятия управленческих решений. Одно
временно ведется психологическая война с использованием
информационных воздействий на население;
*
армия мирного времени сосредоточивается на границе,
переформировывается в первый стратегический эшелон и на
чинает захват территории противника. Одновременно объявля
ется
мобилизация, действующая армия доукомплектовывает
ся,
формируются второй и последующие стратегические
эшел
оны, которые завершают захват территории противника.
При отсутствии общей границы между противоборствую
щ
ими сторонами захват территории противника может осуте
с
твля
ться подразделениями быстрого реагирования.
Отметим еще две особенности представленной схемы вступ
ле
ния
государства в войну:
а) сложность оперативного определения истинного агрес
с
ор
а для принятия контрмер;
б) отсутствие в общем случае необходимости нмичия об
Щей
границы между противоборствующими сторонами.
115
Эконо
мическая эффективность. По предварительным оцен
кам, разработка и применение информационного оружия тре
буют, по сравнению с другими видами вооружений, существенно
меньших затрат. Очевидно, что разработка и размножение средств
информационного воздействия значительно дешевле создания
и серийного производства традиционных видов вооружения
(бронетанковой техники, ракетно-космической техники и др.).
Воожность применения информационного оружия для ре
шения широкого кр уга задач.
Информационное оружие может
быть использовано не только в первом внезапном ударе, но и
для решения стратегических, оперативно-тактических и так
тических задач на поле боя. Например, информационное ору
жие может применяться для осуществления воздействий на
средства связи и управления батальоном, ротой и взводом,
психологических и физических воздействий на отдельных
субъектов.
Ма сштабность пренения. С использованием информаци-
онного оруя возможно осуществление воздействий на ста
ционарные и мобильные элементы системы наземного, морс
кого, воздушного и космического базирования.
Обладание эффектом << цепной реакции>>. Воздействия на еди
ничный элемент системы мо привести к выводу из строя
друтих элементов, сегментов и системы целиком.
С
ложность
осуществл
ения
меж
народного
контроля.
Факты
производства и испытаний информационного оружия, а также
используемые для этого технические и программные средства
могут быть надежно скрыты от разведок других государств,
различных международных организаций, их контролирующих
органов.
Приведеиные характеристики позволяют говорить об ин-
формационном оружии как о качественно новом виде воору-
жений.
Рас
пределенн
ые ат
аки с от
казом в
обслу
живан
ии
-
наиболее харак
терный и наиболее
опасны
й тип
инфор
маци
онно
й атаки
на к
омпью
тер
н
ы
е
сети
Один из многочисленных видов удаленных атак на
компь
ютерные системы известен как << атака с отказом в обслужива
-
116
н
ии>>
(Denial-of- Seice, DoS). Данный тип нападения имеет
целью
не допустить доступа законных пользователей к ресур
сам
информационной системы. Традиционные атаки отказа в
обс
луживании используют ошибки в программнам обеспече
нии
, связанные с переполнением буфера, истощения ресур
сов
системы или эксплуатируют дефекты системы, в результа
те
чего система <<валится>> и некоторое время необходимо на ее
восстановление.
Летом 1999 года был зарегистрирован новый тип нападе
ния
на информационные системы с использованием сети Ин
тернет. Он получил название
<
<распределенная атака с отказом
в
обслуживании» (Distгibuted Deпial of Seice, DDoS). Ряд из
вестных интернет-сайтов был успешно атакован с использова
нием этого типа нападения.
Распределенная атака с отказом в обслуживании исполь
зует множество вычислительных машин, работающих совмес
тно, и воздействующих на сеть или участок сети, выбранный в
качестве мишени. Мало что можно сделать, если информаци
онная система стала мишенью для DDoS атаки. Природа этих
нападений порождает так много дополнительного трафика в
сети, что сеть оказываетсЯ перегруженной и нет возможности
заблокировать враждебные пакеты данных.
Ввиду повышенной опасности данный вид атаки на ком
пьютерные системы в течение длительного времени являлся
предметом исследования многих лабораторий, занимающихся
вопросами обеспечения защиты информации. Одно из на�бо
лее детальных исследований, проведеиных в Национальной ла
боратории Лоуренса Ливермора Министерства энергетики
США, было опубликовано в феврале 2000 года.
Большинство из существующих сегодня средств организа
ции DDoS-aтaк основано на одной и той же базовой концеп
ц
ии и топологии. Подчеркнем, что эти инструменты не использу
ются для захвата данных или проникновения в компьютерную
систему
.
Они используются исключительно для разрушения нор
мального трафика в районе узла-мишени.
Данные нападения чрезвычайно трудно проследить в силу
р
еализованных в инструментах приемов маскировки их дея
тел
ьности, о чем мы расскажем подробнее чуть ниже. Ряд ути
л
ит использует шифрование с целью скрыть их коммуника-
117
ции, а также изменяют их исходные адреса, что nозволяет
скрыть их истинное местоположение.
Как правило, средства организации DDoS-aтaк управля-
ются удаленно. Если администратор сайта, подвергшегося на
пад
ению, сможет проследить адреса агентов, то для выхода на
инициатора нападения ему необходимо будет также просле
дить трафик до узла-руководителя, и только nосле этого он
сможет выйти на нападающего.
DDоS-атаки включают две стадии. Как nравило, против-
ник затрачивает значительное время при подготовке к прове
дению первой стадии нападения.
1
·
:
J
\ �
/
·
�
Первая фа
з
а а
т
а
к
и
Эта стадия нападения заключается в поиске и комnроме
тации как можно большего количества компьютеров. Напада
ий нуждается в большом количестве компьютеров,
чтобы
:%м сгенерировать мощные nотоки фиктивнь�х пакетов
дан
ных, необходимых для << затопления>> выбраннон мишени.
118
Скрытное nроникновение противника в
информационные системы и установка на
них необходимого пграммнаго обеспечения
Компьютер, на котом установлено
программнее обеспечение реализации
DDоS·атаки
В
т
орая фа
з
а
DD
о
S-
а
т
ак
и
Таким образом, нападающий должен найти множество ком
пьютерных систем со слабой зашитой, чтобы скрытно про
никнуть в них и установить необходимый DDоS-инструмента
рий, а также скрыть присутствие этих средств.
Вторая стадия этого нападения не может быть реализована
до
тех пор, пока не будет скомпрометировано достаточно мно
го
машин для формирования мощного потока ложных пакетов.
Именно вторая стадия - фактическое осуществление на
паден
ия с отказом в обслуживании. Компрометированные си
стем
ы порождают атакующий трафик в сети с целью заблоки
р
овать
нормальную работу целевого сайта или подсети. Сами
э
т
и
скомпрометированные системы рассматриваются вторич
н
ыми
жертвами нападения.
Порожденный трафик использует ТСР-протокол. Цель, на
к
от
орую обрушивается этот поток, не может сразу обработать
в
се
поступающие пакеты и расnределяет под их nоследующую
о
бр
аботку некоторый ресурс. В конечном счете это приводит к
п
о
лному
истощению ресурсов и блокировке системы, что и
119
DS·а
а
ки.
р
ук
о
в
о
д
и1е
лей
сдн
и
й у
в
е
н
ь
о
р
г
а
н
и
3
а
ЦИ
е
с
nе
ч
е
н
ие
на ряд
ко
мnью
т
е
в
-
д
о
co
т
e комnьют
е
в
У
а
м
ав
м
в
аеr
с
• nг
р
ам
м
м_
е
r
ся
в
с
е
г
о
О' нколь
к
их ое
ся
о
в
ычн
о
м
а
"ом
энnе э
а
о
еи
с
т
в
v �
m
-
Ст
ру
кту
р
а р
ас
nр
еде
ле
н
но
й а
так
и
б
е
не
и
ме
ет
мн
ож
е
ств
е
с
лу
чае
в
в
оо
щ
а
яв
ля
етс
я
це
лью
ат
а
ки.
В
о
па
к
еты
п
оск
о
льк
у
об
ъе
м
п
-
з
на
чен
и
я,
ка
к
обр
аб
а
тыв
аю
тс
:
а
м
а
сет
�
пер
еп
олн
яе
тс
я
по
ра
ж
к
ето
в
на
ст
оль
к
о
бо
ль
ш
ой
,
чт
о
яет
пр
ох
оди
ть
зак
он
н
ом
у
тр
а
-
чт
о
н
е
п
о
зв
ол
д
ен
н
ы
м
тр
аф
ик
ом
,
в
обс
л
уж
и-
Ф·
о
й
а
т
ак
и
с
о
тка
зом
Ар
хит
ек
ту
ра
р
асп
ред
еле
нн
v
К
о
мп
р
оме
т
ир
ова
н
ны
е
си
с
-
ва
н
ии
сос
т
о
ит
и
з
чет
ы
рех
у
р
ов
�:
и
�
у
пп
<<а
ген
то
в
>>
и
са
ми
х
а
ге
н
те
м
ы
и
гра
ю
т
р
оль <
<
ру
ко
во
д
и
тел
те
к
о
мпь
ют
ер
ы,
где
по
р
о
Ж
д
�
е
тс
я
Аr
ен
т
ы
-
эт
о
со
бст
вен
н
о
бол
ее
ру
ко
вод
и
те
леи
уп
-
тов
.
Од
и
н
и
ли
к
ю
щ
и
й
п
от
ок
па
ке
т
ов.
п
одд
ер
ж
ива
ю
т
сп
ис
о
ата
ку
Р
ук
о
вод
ите
ли
г
а
вл
я
ю
т
э
ти
м
и
аге
н
та
м
и.
е
си
гн
ал
и
зир
ую
т
аг
е
нта
м,
ко
�
�
се
х
а
ген
тов
.
Р
у
к
ово
д
и
те
ли
т
��
яю
т
м
ет
о
д
на
пад
е
ни
я.
Н
апа
да
v
да
н
ача
ть
н
а
па
д
е
ни
е
,
и
оп
р
е
бол
ее
ру
ков
оди
тел
ями
,
а
ка
Ж
д
ЫИ
ю
щ
ий
упр
ав
л
яе
т
од
ни
м
ил
и
б
оль
ше
ч
ем
о
дн
ом
у
ру
ко
вод
и
а
ген
т
мо
ж
ет
отв
ет
ить
н
а
з
ап
р
ос
е
дл
я
ск
о
м
пр
ом
ети
ро
в
ан
н
ы
х
в
те
лю.
С
у
ш
ес
тв
у
ет
об
ш
ее
�:::
м
пь
ю
те
ров
-
<<з
о
м
би
>
>
.
v
то
х
о
де
п
о
дго
т
овк
и
O
Do
S-a
а
сп
е
дел
е
нн
ых
н
апа
ден
и
и
-
,
Н
аи
бол
ее
в
аж
н
ый
а
сп
ект
р
р
р
ом
ети
р
ава
н
н
ы
х
к
о
м
пь
ю
-
v
н
у
Ж
дае
тс
я
в
к
о
м
п
ч
то
на
па
да
ю
ш
и
и
\20
т
ерн
ых системах для реализации нападения. Если Интернет как
со
обшестЕо будет уверен, что каждая из его подсетей безопас
на
, то не будет места для злоумышленников, размещающих
сво
и инструменты в плохо поддерживаемых системах
.
Системы обнару
ж
ения информационных атак
на компьютерн
ы
е сети - оборонител
ь
ное
информационное оружие
По мнению ряда российских и зарубежных специалистов,
системы обнаружения вторжений в компьютерные сети сегод
ня
являются одним из рубежей обороны в киберпространстве.
Сама
технология обнаружения вторжения достаточно молода
и
динамична. Сегодня происходит активное формирование рын
ка
систем - одни производители поглощают других. В силу весь
ма
динамичных процессов любая информация о системах об
наружения вторжений быстро устаревает, что делает весьма
затруднительным подготовку сравнительного анализа техни
ческих характеристик систем этого класса. Так, представлен
ный компанией Staniford-Chen обзор, включающий краткое
описание 42 продуктов, связанных с обнаружением вторже
ния, уже серьезно устарел, так как произошло достаточно много
изменений с момента его публикации (зима 1997-1998 года).
Другой список продуктов расположен в Интернет (на сайте
SANS/NSA), что делает его более достоверным, поскольку он
постоянно модифицируется и дополняется 1•
Обнаружение вторжений остается областью активных ис
следов
аний уже в течение двух десятилетий
.
Считается, что на
ч
о
этому направлению было положено в 1980 году изданием
стат
ьи Джеймса
А
ндерсона <<Мониторинг угроз компьютерной
безо
пасности>>
2
• Несколькими годами позже (в 1987) это на
правление было развито публикацией оригинальной статьи <<О
м
одел
и обнаружения вторжения>> Дороти Деннинг3 • Эта статья
1 Sto
cksdale
, Gregory. (National Security Agency). SA NS/NSA lntrusion Detection To o/s lnvenro.
: <URL: http://w.sans.org/NSA/idtools.htm>.
2
And
erson,
James Р. Computer Securi reat Moniroring and Surveillance. Fort Washington, РА:
J
ames
Р. Anderson
Со.
)
D
e
nning,
Dorothy Е. (SRI lntemational). «An lntsion Detection Model. IEEE Tr ansacrions оп
Sof
tw
are
Engineering (SE- 13), 2
(
February 1987): 222-232.
\21