Жизнь не стоит на месте, и распределенные атаки, еще недавно
считавшиеся верхом хакерской мысли, тоже стали модифицироваться. В
частности, появились гибридные атаки (hybrid attack), также называемые
смешанной угрозой (blended threat), продвинутым червем (advanced worm)
или гидрой (hydra attack). Примерами таких атак являются Nimda, Code Red,
SirCam и Klez [1SS1-02],
До лета 2001 года, когда впервые появились гибридные атаки, доминировали
атаки "отказ в обслуживании" (в т. ч. и распределенные), число которых
не упало и сейчас, как и угроза, которую они несут. Однако в связи с
эпидемией гибридных атак процентное соотношение DoS-атак с общим числом
атак упало на порядок (всего 9,65%).
Основное отличие гибридных атак от распределенных (хотя правильнее было
бы сказать, что гибридные атаки - это одна из модификаций или одно из
расширений распределенных атак) - в отсутствии агентов-мастеров,
управляющих своими демонами. Поэтому обнаружить настоящий источник
заразы становится практически невозможно. Кстати, очень часто путают
вирусы и гибридные атаки. Мне видится, что вирусы в традиционном
понимании уже отжили свой век. Ведь раньше вирусы заражали файлы, как
правило, на одном узле. Гибридные атаки в качестве единицы заражения
используют не файлы, а хосты. Да и способы заражения и проникновения на
атакуемый узел отличаются от вирусных. Если раньше пользователь должен
был сам, вольно или невольно, инициировать запуск вируса, то для
гибридных атак это условие уже не является необходимым. Они сами ищут
уязвимые узлы, сами проникают на них и продолжают размножаться без
посторонней помощи.
Nimda стал самым известным самораспространяющимся и самоактивизирующимся
червем за последнее время [ISS1-02]. По данным X-Force, этот червь,
используя свой уникальный алгоритм, атаковал различные системы со
средней скоростью 3500 нападений в час (самая низкая граница - 800
нападений в час, самая высокая - 8000 нападений в час). Общее число
нападений червя Nimda за первый квартал 2002 года составило 7 665 000.
Автоматизированная технология нападения, используемая гибридными
атаками, очень часто позволяет обходить защитные средства, такие как
антивирусные системы и межсетевые экраны. Старые формы нападений, такие
как отказ в обслуживании, вирусы, подбор пароля и т. д., могли быть
обнаружены и блокированы одним из типов защитных систем. Однако
гибридные атаки, использующие множество стратегий нападения, могут быть
остановлены только многоуровневой, эшелонированной линией обороны.
Некоторые производители антивирусных средств убеждают своих
пользователей, что они обнаруживают со 100%-ной вероятностью всех
Internet-червей. Однако, к сожалению, это не так. Гибридные атаки
распространяются с помощью различных механизмов, которые включают не
только рассылку своих копий по электронной почте, но и внедрение на
атакуемые узлы через различные Internet-пейджеры (например, ICQ),
технологию ShockWave или Flash и т. п. Кроме того, эти атаки используют
и хакерские методики (например, подбор пароля), против которых бессильны
антивирусные системы.
Применение межсетевых экранов также не является эффективной мерой против
гибридных атак. Как отмечено в работе [ISS2-02], большинство атак
реализуется через 80-й порт, который практически никогда не блокируется
межсетевыми экранами и фильтрующими маршрутизаторами.
Да и средства построения VPN не обеспечивают всесторонней защиты.
Вредоносный трафик от скомпрометированных узлов будет зашифрован так же,
как и от обычных, еще "незараженных" узлов. Мало того, данные от этих,
якобы "защищенных" с помощью VPN узлов, проникнут во внутреннюю сеть, в
которой они уже, вероятнее всего, не встретят средств защиты. Тем более
что периметровые средства защиты "доверяют" информации с таких узлов и
меньше всего ожидают от них различных пакостей.
Системы обнаружения атак могут идентифицировать и блокировать
практически все способы, используемые гибридными атаками для своего
распространения. Однако у этих систем есть один недостаток - они не
могут "вылечивать" уже зараженные системы.
Отказ в обслуживании (denial of service) - умышленное снижение
производительности или блокировка доступа к сети или компьютеру и его
ресурсам.