Сигнатуры

Опытный хакер почти наверняка знает сигнатурные файлы большинства IDS- сенсоров и может использовать это знание для того, чтобы обмануть систему защиты. В качестве простейшего примера давайте рассмотрим какую-нибудь атаку, которая содержит текст «Hacked bu hAxOr». Автоматический фильтр будет искать текст «hAxOr». Если хакер знает сигнатурные файлы, то он будет посылать в вашу сеть пакеты с одной этой строкой. Это не будет настоящей атакой, но может одурачить IDS. Получая множество пакетов с угрожающей строкой, сенсор будет выдавать сигнал тревоги на каждый из них, создавая таким образом в сети огромную бессмысленную активность. Атакующий может извлечь из нее выгоду двояким путем. Он может просто затопить IDS таким большим числом пакетов, что тот не сможет их анализировать или же в обилии тревог может незамеченной пройти и реальная атака. Выбираете напольное покрытие? Обратите внимание на производство Тамбовский дом паркета. Соотношение цена/качество вас приятно удивит.

Для того чтобы избежать этих проблем, надо немного видоизменить сигнатуру на «by hAxOr», таким образом исключая возможность подобного типа атак. Надо подчеркнуть, что мы привели очень упрощенный пример написания специальных сигнатур. На самом деле анализ атак и выработка противодействия им происходят гораздо сложнее. Лучший способ научиться делать это - хорошенько изучить уже написанные и включенные в систему. В случае NFR есть много примеров N-Code, которые поставляются вместе с ПО, и еще больше может быть найдено в Интернете. Есть очень подробное руководство по использованию N-Code, которое предоставляет детальное объяснение всех особенностей и возможностей N-Code. Snort, с другой стороны, как мы уже отмечали, использует текстовый файл с некоторыми правилами. Вот как выглядит такой файл.

Все правила тревоги начинаются со слова «тревога». Три следующие буквы говорят Snort, что нужно искать TCP-пакеты, приходящие на любой порт извне сети. По другую сторону стрелки находится определение цели назначения трафика. В данном случае указан любой порт нашей домашней сети. Далее мы определяем послание, которое будет написано в файле тревоги. Всегда хочется сделать его максимально информативным, чтобы понимать, что записывается. Два последних элемента нашего правила мы заполняем информацией, собранной сниффером. Мы знаем, что TCP-флаги имеют значение FPU, его мы и заносим в поле флагов. Теперь наше правило можно прочитать таким образом: «Поднимайте тревогу, если любой TCP-пакет, пришедший извне на любой порт в нашей сети, имеет флаг FPU». А теперь попробуйте прочитать правила, приведенные чуть раньше, и вы поймете, что они означают. Первое правило звучит так: «Поднимайте тревогу, если что угодно в сети пытается соединиться с FTP-сервером извне сети и терпит неудачу». Правила для Snort достаточно просто читать и писать. Для знакомства с более сложными правилами и всеми возможностями, которые могут быть в них отражены, обращайтесь на домашнюю Интернет-страницу проекта Snort.