направленные на захват ресурсов, обычно приводят к тому, что атакованный веб-сервер перестает обслуживать «нормальные» запросы. Поэтому подобные атаки называются атаками на отказ в обслуживании – Denied of Service (DoS). Атаки типа DoS являются сегодня одними из наиболее распространенных.
Для обнаружения атак используется либо технология обнаружения аномального поведения (anomaly detection), либо технология обнаружения злоупотреблений (misuse detection). Вторая технология заключается в описании атаки в виде шаблона или сигнатуры и поиске данного шаблона в контролируемом пространстве (например, сетевом трафике или журнале регистрации). Подобные системы очень похожи на антивирусные сканеры. Именно на такой технологии основаны практически все предлагаемые сегодня системы обнаружения атак.
Необходимо отметить, что многие персональные брандмауэры содержат функции (или модули) обнаружения атак. Разумеется, они не могут претендовать на высокую эффективность, однако для «типовых» ситуаций вполне пригодны. Например, в составе рассмотренного выше брандмауэра Outpost Firewall имеется специальный модуль обнаружения атак – Детектор атак (рис. 2.31).
Детектор атак регистрирует сведения обо всех попытках подключения к портам компьютера и адрес источника такой попытки. Для атак типа DoS модуль использует в качестве защитной меры блокирование атакуемого порта или блокирование источника угрозы (рис. 2.32).
Рис. 2.32. Брандмауэр Outpost Firewall защищает от DoS-атак
Более мощными функциями по обнаружению и блокированию атак обладает пакет BlacklCE компании PC Protection (до версии 3.0 пакет именовался BlacklCE Defender). Он ориентирован на «домашних» пользователей (оценочную версию можно найти, например, по адресу http://download.iss.net/cgi-bin/download/getFile5.pl/BIPCPEvalSetup.exe.) Этот инструмент, напротив, содержит в своем составе брандмауэр в качестве дополнительного модуля. Брандмауэр блокирует связь с теми внешними абонентами, которые были идентифицированы основным модулем как источники атак.
Сетевые сканеры и антиспамеры
Данные два типа инструментов принципиально различаются по своему предназначению и включены в один подраздел только потому, что и те и другие будут описаны вкратце.
Сетевые сканеры (или системы анализа защищенности) – это программы, которые просматривают узлы сети (ПЭВМ и серверы) с целью получения следующей информации:
имя и роль узла;
используемые сетевые сервисы (наличие средств электронной почты, вебсерверов и т. д.);
типы и версии используемых ОС и прикладного ПО;
учетные записи (параметры доступа для различных пользователей);
общие параметры политики безопасности (система паролей, категории пользователей и т. д.);
наличие незарегистрированных устройств (модемов, ноутбуков, анализаторов протоколов).
На основе полученной информации сканер выдает рекомендации по изменению установленных параметров защиты
