Утилита APS – обнаружение хакерских атак

Основным назначением программ подобного типа является обнаружение хакерских атак. Как известно, первой фазой большинства хакерских атак является, так сказать, инвентаризация сети и сканирование портов на обнаруженных хостах. Сканирование портов помогает произвести определение типа операционной системы и обнаружить потенциально уязвимые сервисы (например, почту или WEB-сервер). После сканирования портов многие сканеры производят определение типа сервиса путем передачи тестовых запросов и анализа ответа сервера. Утилита APS проводит обмен с атакующим и позволяет однозначно идентифицировать факт атаки.

По сути это такой небольшой мини-фаерволл для мониторинга собственных портов на предмет атак. В принципе, по тому же самому методу работают все остальные нормальные ловушки

Архив с утилитой занимает какие-то несчастные 500 КБ, не требует установки, а сама программа предельно минималистична и проста в управлении, несмотря на хороший, в общем-то, функционал.

Вот, собственно, список того, для чего она предназначена, если брать не в общих чертах, а конкретно еѐ и в деталях:

 Для обнаружения разного рода атак (в первую очередь сканирования портов и идентификации сервисов) и появления в сети троянских программ, сетевых червей и прочего мусора.

 Для тестирования сканеров портов и сетевой безопасности.

 Для тестирования и оперативного контроля за работой Firewall (запускаем APS на компьютере с FireWall‘ом и если программа будет выдавать

―тревогу и находить атаки, то Вы сможете

понять, что у Вас недостаточно мощный\неправильно настроенный фаерволл и, соответственно, донастроить или сменить его)

 Для блокирования (и обнаружения) работы

сетевых червей и Backdoor модулей. Принцип обнаружения и блокирования основан на том, что один и тот же порт может быть открыт на прослушивание только один раз. Следовательно, открытие портов, используемых троянскими и Backdoor программами, до их запуска помешает их работе, а после запуска – приведет к обнаружению факта использования порта другой программой

 Для тестирования антитроянских и антивирусных программ, систем IDS и пр. Дело в том, что в базе APS заложено более сотни портов наиболее распространенных троянских программ. Некоторые антитроянские средства и антивирусы обладают способностью проводить сканирование портов проверяемого ПК (или строить список прослушиваемых портов без сканирования при помощи API Windows) и, следовательно, сообщать о подозрении на наличие троянских программ с выводом списка ―подозрительных портов. Полученный список легко сравнить со списком

портов в базе APS и сделать выводы о надежности применяемого антивируса\антитрояна.

Принцип работы программы, как уже говорилось выше, основан на прослушивании портов, описанных в базе данных.

Скачать программу можно c сайта разработчика или, традиционно, в интернете.

Установка не требуется. Просто запустите утилиту из архива.

В настройках программы я бы рекомендовал сразу выставить автозапуск, а также выделение цветом атакованных, запрещенных и прослушиваемых портов. К

более же глубокой настройке перейдем прямо сейчас, пока что ознакомьтесь с внешним видом и т.п.

В первую очередь программу надо настроить. Жмем

Сервис” – ―Настройка” и, собственно, приступаем.

Переходим в “Общие“Интерфейс―. Устанавливаем там всѐ по Вашему вкусу или в соответствии со скриншотом ниже:

Если Вы обычный пользователь, то, думаю, Вам не нужны никакие оповещения по сети\email или запись в syslog, а посему снимите галочки в соответствующих пунктах в разделе настроек ―Оповещение―. Если же Вы Глава

таки работаете или планируете работать в этой сфере, то рекомендую включить все уведомления и посмотреть как они выглядят.

Тоже самое касается отчетов в разделе настроек

Отчеты и протоколирования в разделе

―Протоколирование―.

Далее выставляйте всѐ так, как указано на скриншотах ниже.

Сервисы TCP:

Сервисы UDP:

С настройками будем считать покончено. Переходим к следующему этапу.

Как Вы наверное поняли, речь пойдет о том, что же делать, когда APS выявил атаку на порт или использование порта каким-нибудь вирусом\червем. О подобном событии программа салютует восклицательным знаком в трее (там где часы) или всплыванием из него (если Вы включили это в настройках).

Итак, что, собственно, делать.

Во-первых, не надо паниковать. Какой-то там вирус или хакер пупкин – это просто мелочи жизни, причем легко

устранимые. Вообще, большинство атак не способно принести много вреда, но может доставить неприятности. Впрочем, мы сейчас и делаем всѐ, чтобы их избежать.

Во-вторых… Во-вторых, всѐ почти просто:

 Смотрим, что происходит, т.е. определяем, кто творит злодеяния – вирус\троян\червь или хакер пупкин лезет к нам извне. Выявляем подробности, мол что за порт, что за гадость, откуда, зачем почему и т.д. и т.п. Далее по ситуации.

 Если это хакер\кто-то\что-то, так сказать, ломится

―извне, то смотрим лог (т.е. то, куда он, собственно, записывает все данные об атаках) фаервола и выясняем, заблокировал ли он атаку. Если нет, то берем адрес, с которого идет атака (адрес указывается APS-ом при атаке и в статистике) и добавляем этот адрес в черный список нашего фаерволла. Если да, то все равно поступаем аналогичным образом (на всякий пожарный случай). Как вариант, можно просто закрыть порт посредством все того же фаервола. Тонкости закрывания портов и блокировки адресов специфичны для каждого фаервола, т.е. описать настройки я не могу чисто физически.

 Если этот кто-то, что называется, от нас, т.е. изнутри, т.е. где-то на компьютере уже есть троян\вирус\червь и он использует порт для своих злодеяний, то с помощью фаервола закрываем порт или запрещаем работать конкретной гадости (если она представляет собой exe-файл), а потом сканируемся на вирусы, spyware и т.д. и т.п, находим заразу и устраняем еѐ.

 Универсальное решение – это отключить интернет и потом устранять проблему в тишине и покое, проверяясь всем и вся возможным. Но это скорее средство для совсем параноиков.

Далее. В главном окне программы есть такая вот табличка:

Что это за табличка?

Это список портов и названия вредоносного (не везде, но в большинстве своѐм) обеспечения (база данных). APS же в свою очередь наблюдает за портами и следит, есть ли конкретная гадость использующая конкретный порт, или не атакуется ли какой-нибудь порт (например, наиболее любимый хакерами 21-ый порт FTP-сервера) каким-нибудь гадким хакером. Проще говоря, принцип

работы программы основан на прослушивании этих самых портов, описанных в базе данных. База данных содержит краткое описание каждого порта – краткие описания содержат или названия использующих порт вирусов, или название стандартного сервиса, которому этот порт соответствует.

При обнаружении попытки подключения к прослушиваемому порту, программа фиксирует факт подключения в протоколе, анализирует полученные после подключения данные и для некоторых сервисов передает так называемый баннер – некоторый набор текстовых или бинарных данных, передаваемых реальным сервисом после подключения, т.е. симулирует отклик и таким образом, в некотором смысле, защищает Ваш компьютер и реальной атаки не получается. На имитации остановимся подробнее.

Группа параметров ―Имитация сервисов содержит настройки системы имитации сервисов. Система имитации может быть выключена (по умолчанию частично оно так и есть), в этом случае APS не производит активного взаимодействия с атакующим и немедленно разрывает соединение с ним. При включении системы имитации, APS может передавать атакующему описанные в базе портов блоки данных,

которые содержат типовые отклики имитируемых сервисов (т.е, скажем, кто-то пытается пробиться на FTP-сервер на 21-ом порту, программа это видит и выходит на связь, передавая отклик аля ―я вот FTP– сервер, да я тут, я работаю, нате Вам отклик, а в этот момент реальный FTP радуется своей жизни). Кроме того, можно включить и настроить режим передачи случайных данных – наличие в ответе APS случайной информации вводит в заблуждение сканеры сетевой безопасности, затрудняет и замедляет их работу. В настройках имитации сервисов TCP можно настроить режим удержания соединения – по умолчанию соединение разрывается сразу после завершения обмена с атакующим, но оно может удерживаться, что еще более существенно замедляет работу некоторых сканеров сетевой безопасности. Таким образом, у Вас появляется тележка времени, дабы сконфигурировать системы безопасности (в пользовательском случае – это фаерволл) так, чтобы никто с атакующего адреса к Вам не пробрался.

Фактически APS является ловушкой и средством конфигурирования и тестирования фаерволлов. Да, программа умеет блокировать работу сетевых червей и Backdoor модулей. Да, APS умеет разрывать соединения, подпихивать левые данные и т.д. и т.п. Но! Не путайте

APS с фаерволом. Таки APS – это средство контроля за безопасностью, а не сама безопасность. Чтобы было понятнее – есть охранник у магазина, а есть дядя Вася, которому поручено следить за качеством работы этого охранника. Так вот, попутно дядя Вася (раз уж он контролирует охранника, то должен знать кое-что о принципах его работы, о безопасности, о типах угрозы и т.д.и т.п.) может отваживать левых личностей подальше от магазина и говорить охраннику, что, мол, этого дядьку не пускать, он пытался разбить витрину, но я отнял у него кирпич и, если он вдруг придет еще раз, стреляй на поражение. Однако, если убрать охранника и оставить дядю Васю одного, результаты будут плачевными, ибо дядя Вася не имеет соответствующей квалификации, а точнее имеет другую специальность, а еще точнее – попросту не для того предназначен.

Таким образом, Вы смотрите, заблокирована ли в фаерволле атака (если APS про неѐ, конечно написал, а фаерволл нет), и если всѐ нормально, то поводов для беспокойства нет. Если же фаерволл эту атаку проглядел, то есть смысл думать о том, как его перенастроить.

В двух словах с ловушками, наверное, всѐ. Равно как и с антивирусной методикой как таковой. Единственное, что тут еще стоит прокомментировать – это частоту проверок на вирусы тем же самым антивирусом. Собственно, частота зависит от того, как часто Вы с вирусами вообще на машине (я про компьютер) сталкиваетесь, а также для чего используете. Средние полные проверки скорее раз в месяц. Дальше опирайтесь на личную статистику и субъективную оценку.

Похожие статьи

Читайте также:
Похожие статьи:
untitled3untitlededituntitled4folder-openhomepenciluntitled2star