നുഴഞ്ഞുകയറ്റം കണ്ടെത്തൽ സംവിധാനങ്ങൾ. പ്രവർത്തന തത്വങ്ങൾ

സിംബിയനു വേണ്ടി 30.04.2021
സിംബിയനു വേണ്ടി
അടിസ്ഥാനപരമായി, ഈ പ്രോഗ്രാമുകൾ പരിഷ്കരിച്ച അനലൈസറുകളാണ്, അത് നെറ്റ്‌വർക്കിലെ എല്ലാ ഡാറ്റ ഫ്ലോകളും കാണുകയും ഹാനികരമായ നെറ്റ്‌വർക്ക് ട്രാഫിക് തിരിച്ചറിയാൻ ശ്രമിക്കുകയും അത് ദൃശ്യമാകുമ്പോൾ നിങ്ങൾക്ക് മുന്നറിയിപ്പ് നൽകുകയും ചെയ്യുന്നു. കടന്നുപോകുന്ന ട്രാഫിക് പരിശോധിച്ച് സിഗ്നേച്ചറുകൾ എന്ന് വിളിക്കപ്പെടുന്ന ക്ഷുദ്ര പ്രവർത്തനത്തിൻ്റെ അറിയപ്പെടുന്ന പാറ്റേണുകളുടെ ഒരു ഡാറ്റാബേസുമായി താരതമ്യം ചെയ്യുക എന്നതാണ് അവരുടെ പ്രധാന പ്രവർത്തന രീതി. ആൻ്റിവൈറസ് പ്രോഗ്രാമുകൾ എങ്ങനെ പ്രവർത്തിക്കുന്നു എന്നതിന് സമാനമാണ് ഒപ്പുകളുടെ ഉപയോഗം. TCP/IP തലത്തിലുള്ള മിക്ക തരത്തിലുള്ള ആക്രമണങ്ങൾക്കും സ്വഭാവ സവിശേഷതകളുണ്ട്. IP വിലാസങ്ങൾ, പോർട്ട് നമ്പറുകൾ, എന്നിവയെ അടിസ്ഥാനമാക്കിയുള്ള ഒരു നുഴഞ്ഞുകയറ്റം കണ്ടെത്തൽ സംവിധാനത്തിന് ആക്രമണങ്ങൾ കണ്ടെത്താനാകും. വിവര ഉള്ളടക്കംഒരു ഏകപക്ഷീയമായ മാനദണ്ഡങ്ങളും. സിസ്റ്റം തലത്തിൽ നുഴഞ്ഞുകയറ്റങ്ങൾ കണ്ടെത്തുന്നതിനുള്ള മറ്റൊരു മാർഗമുണ്ട്, അതിൽ പ്രധാന ഫയലുകളുടെ സമഗ്രത നിരീക്ഷിക്കുന്നു. കൂടാതെ, നുഴഞ്ഞുകയറ്റം കണ്ടെത്തലും ഫയർവാൾ ആശയങ്ങളും സംയോജിപ്പിക്കുന്ന പുതിയ സാങ്കേതിക വിദ്യകൾ വികസിപ്പിച്ചുകൊണ്ടിരിക്കുന്നു അല്ലെങ്കിൽ ലളിതമായ കണ്ടെത്തലിനുമപ്പുറം കൂടുതൽ നടപടികൾ കൈക്കൊള്ളുന്നു (സൈഡ്ബാർ "ഇൻട്രൂഷൻ ഡിറ്റക്ഷൻ സിസ്റ്റങ്ങളുടെ അടുത്ത തലമുറ" കാണുക). എന്നിരുന്നാലും, ഈ പ്രഭാഷണം നെറ്റ്‌വർക്കുകളിലും സിസ്റ്റങ്ങളിലുമുള്ള നുഴഞ്ഞുകയറ്റങ്ങൾ കണ്ടെത്തുന്നതിനുള്ള ഏറ്റവും ജനപ്രിയമായ രണ്ട് രീതികളിൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്നു: നെറ്റ്‌വർക്ക് നുഴഞ്ഞുകയറ്റം കണ്ടെത്തൽ കൂടാതെ സമഗ്രത നിയന്ത്രണംഫയലുകൾ.

ഒരു നെറ്റ്‌വർക്ക് ഇൻട്രൂഷൻ ഡിറ്റക്ഷൻ സിസ്റ്റത്തിന് കടന്നുപോകുന്ന ആക്രമണങ്ങളിൽ നിന്ന് പരിരക്ഷിക്കാൻ കഴിയും ഫയർവാൾആന്തരിക LAN-ലേക്ക്. നെറ്റ്‌വർക്കിലേക്ക് അനാവശ്യ ട്രാഫിക് അനുവദിക്കുന്ന ഫയർവാളുകൾ തെറ്റായി ക്രമീകരിച്ചേക്കാം. ശരിയായി പ്രവർത്തിക്കുമ്പോൾ പോലും, ഫയർവാളുകൾ സാധാരണയായി അപകടകരമായേക്കാവുന്ന ചില ആപ്ലിക്കേഷൻ ട്രാഫിക്കിനെ അനുവദിക്കുന്നു. പോർട്ടുകൾ പലപ്പോഴും ഫയർവാളിൽ നിന്ന് ഇൻ്റേണൽ സെർവറുകളിലേക്ക് ഫോർവേഡ് ചെയ്യപ്പെടുന്നു, ഒരു ഇമെയിലിനോ മറ്റ് പൊതു സെർവറിനോ വേണ്ടിയുള്ള ട്രാഫിക്കുണ്ട്. ഒരു നെറ്റ്‌വർക്ക് ഇൻട്രൂഷൻ ഡിറ്റക്ഷൻ സിസ്റ്റത്തിന് ഈ ട്രാഫിക് നിരീക്ഷിക്കാനും അപകടകരമായേക്കാവുന്ന പാക്കറ്റുകൾ ഫ്ലാഗ് ചെയ്യാനും കഴിയും. ശരിയായി ക്രമീകരിച്ച നെറ്റ്‌വർക്ക് നുഴഞ്ഞുകയറ്റം കണ്ടെത്തൽ സംവിധാനത്തിന് ഫയർവാൾ നിയമങ്ങൾ ക്രോസ്-ചെക്ക് ചെയ്യാനും അധിക പരിരക്ഷ നൽകാനും കഴിയും ആപ്ലിക്കേഷൻ സെർവറുകൾ.

ബാഹ്യ ആക്രമണങ്ങളിൽ നിന്ന് പരിരക്ഷിക്കുന്നതിന് നെറ്റ്‌വർക്ക് നുഴഞ്ഞുകയറ്റ കണ്ടെത്തൽ സംവിധാനങ്ങൾ ഉപയോഗപ്രദമാണ്, എന്നാൽ അവയുടെ പ്രധാന നേട്ടങ്ങളിലൊന്ന് ആന്തരിക ആക്രമണങ്ങൾ കണ്ടെത്താനുള്ള കഴിവാണ്. സംശയാസ്പദമായ പ്രവർത്തനംഉപയോക്താക്കൾ. ഫയർവാൾപല ബാഹ്യ ആക്രമണങ്ങളിൽ നിന്നും സംരക്ഷിക്കും, എന്നാൽ ആക്രമണകാരി പ്രാദേശിക നെറ്റ്‌വർക്കിലായിരിക്കുമ്പോൾ, ഫയർവാൾസഹായിക്കാൻ സാധ്യതയില്ല. അതിലൂടെ കടന്നുപോകുന്ന ട്രാഫിക് മാത്രമേ അത് കാണൂ, കൂടാതെ പ്രാദേശിക നെറ്റ്‌വർക്കിലെ പ്രവർത്തനത്തിൽ സാധാരണയായി അന്ധത കാണിക്കുന്നു. ഒരു നെറ്റ്‌വർക്ക് ഇൻട്രൂഷൻ ഡിറ്റക്ഷൻ സിസ്റ്റം പരിഗണിക്കുക ഫയർവാൾസുരക്ഷിതമായ ഡോർ ലോക്ക്, നെറ്റ്‌വർക്ക് സെക്യൂരിറ്റി അലാറം സിസ്റ്റം തുടങ്ങിയ അനുബന്ധ സുരക്ഷാ ഉപകരണങ്ങൾ. അവയിലൊന്ന് നിങ്ങളുടെ പുറം അതിർത്തി സംരക്ഷിക്കുന്നു, മറ്റൊന്ന് നിങ്ങളുടെ ആന്തരിക ഭാഗം സംരക്ഷിക്കുന്നു (ചിത്രം 7.1).


അരി. 7.1

ആന്തരിക നെറ്റ്‌വർക്ക് ട്രാഫിക് സൂക്ഷ്മമായി നിരീക്ഷിക്കുന്നതിന് നല്ല കാരണമുണ്ട്. കമ്പ്യൂട്ടർ കുറ്റകൃത്യങ്ങളിൽ 70 ശതമാനത്തിലേറെയും ഉത്ഭവിക്കുന്നത് ആന്തരിക ഉറവിടത്തിൽ നിന്നാണെന്ന് എഫ്ബിഐ സ്ഥിതിവിവരക്കണക്കുകൾ കാണിക്കുന്നു. ഞങ്ങളുടെ സഹപ്രവർത്തകർ നമ്മെ ദ്രോഹിക്കാൻ ഒന്നും ചെയ്യില്ലെന്ന് ഞങ്ങൾ വിശ്വസിക്കുന്നുണ്ടെങ്കിലും, ചിലപ്പോൾ ഇത് അങ്ങനെയല്ല. ആന്തരിക ആക്രമണകാരികൾ- എപ്പോഴും രാത്രി ഹാക്കർമാർ അല്ല. ഇവർ സിസ്റ്റർ അഡ്മിനിസ്ട്രേറ്റർമാരോ അശ്രദ്ധരായ ജീവനക്കാരോ ആയിരിക്കും. ഒരു ഫയൽ ഡൗൺലോഡ് ചെയ്യുകയോ ഒരു ഇമെയിൽ സന്ദേശവുമായി അറ്റാച്ച് ചെയ്‌തിരിക്കുന്ന ഫയൽ തുറക്കുകയോ ചെയ്യുന്ന ലളിതമായ പ്രവൃത്തി നിങ്ങളുടെ സിസ്റ്റത്തിലേക്ക് ഒരു ട്രോജൻ കുതിരയെ അവതരിപ്പിക്കും, ഇത് എല്ലാത്തരം കുഴപ്പങ്ങൾക്കും നിങ്ങളുടെ ഫയർവാളിൽ ഒരു ദ്വാരം ഉണ്ടാക്കും. ഒരു നെറ്റ്‌വർക്ക് ഇൻട്രൂഷൻ ഡിറ്റക്ഷൻ സിസ്റ്റത്തിൻ്റെ സഹായത്തോടെ, നിങ്ങൾക്ക് അത്തരം പ്രവർത്തനങ്ങളും മറ്റ് സാധ്യമായ കമ്പ്യൂട്ടർ ഗൂഢാലോചനകളും നിർത്താനാകും. നന്നായി ക്രമീകരിച്ച നെറ്റ്‌വർക്ക് നുഴഞ്ഞുകയറ്റം കണ്ടെത്തൽ സംവിധാനത്തിന് നിങ്ങളുടെ നെറ്റ്‌വർക്കിനുള്ള ഒരു ഇലക്ട്രോണിക് "അലാറം സിസ്റ്റം" ആയി പ്രവർത്തിക്കാനാകും.

നുഴഞ്ഞുകയറ്റം കണ്ടെത്തൽ സംവിധാനങ്ങളുടെ പുതിയ തലമുറ

അസാധാരണമായ പ്രവർത്തന കണ്ടെത്തലിനെ അടിസ്ഥാനമാക്കിയുള്ള നുഴഞ്ഞുകയറ്റം കണ്ടെത്തൽ സംവിധാനങ്ങൾ

വ്യക്തമായ ക്ഷുദ്രകരമായ പ്രവർത്തനം മാത്രം കണ്ടുപിടിക്കാൻ കഴിയുന്ന സ്റ്റാറ്റിക് സിഗ്നേച്ചറുകൾ ഉപയോഗിക്കുന്നതിനുപകരം, അടുത്ത തലമുറയിലെ സിസ്റ്റങ്ങൾ നെറ്റ്‌വർക്കിലെ വിവിധ തരത്തിലുള്ള പ്രവർത്തനങ്ങളുടെ സാധാരണ നില നിരീക്ഷിക്കുന്നു. FTP ട്രാഫിക്കിൽ പെട്ടെന്ന് ഒരു കുതിച്ചുചാട്ടം ഉണ്ടായാൽ, സിസ്റ്റം അതിനെക്കുറിച്ച് നിങ്ങൾക്ക് മുന്നറിയിപ്പ് നൽകും. ഇത്തരത്തിലുള്ള സിസ്റ്റങ്ങളുടെ പ്രശ്നം, അവ തെറ്റായ പോസിറ്റീവുകൾക്ക് വളരെ സാധ്യതയുണ്ട് എന്നതാണ് - അതായത്, നെറ്റ്‌വർക്കിൽ സാധാരണവും സാധുവായതുമായ പ്രവർത്തനം നടക്കുമ്പോൾ അലാറങ്ങൾ ഉയർത്തുന്നു. അതിനാൽ, FTP ട്രാഫിക്ക് ഉദാഹരണത്തിൽ, ഒരു വലിയ ഫയൽ ഡൗൺലോഡ് ചെയ്യുന്നത് ഒരു അലാറം ഉയർത്തും.

അനോമലസ് പ്രവർത്തനം കണ്ടെത്തുന്നതിനെ അടിസ്ഥാനമാക്കിയുള്ള ഒരു നുഴഞ്ഞുകയറ്റം കണ്ടെത്തൽ സംവിധാനം നെറ്റ്‌വർക്കിൻ്റെ കൃത്യമായ മാതൃക നിർമ്മിക്കാൻ സമയമെടുക്കുമെന്നതും കണക്കിലെടുക്കണം. ആദ്യം, സിസ്റ്റം വളരെയധികം അലാറങ്ങൾ സൃഷ്ടിക്കുന്നു, അത് ഉപയോഗശൂന്യമാണ്. കൂടാതെ, നെറ്റ്‌വർക്ക് നന്നായി അറിയുന്നതിലൂടെ അത്തരം നുഴഞ്ഞുകയറ്റം കണ്ടെത്തൽ സംവിധാനങ്ങളെ കബളിപ്പിക്കാനാകും. ഹാക്കർമാർ വേണ്ടത്ര രഹസ്യസ്വഭാവമുള്ളവരും നെറ്റ്‌വർക്കിൽ സജീവമായി ഉപയോഗിക്കുന്ന പ്രോട്ടോക്കോളുകൾ ഉപയോഗിക്കുന്നവരുമാണെങ്കിൽ, അവർ ഇത്തരത്തിലുള്ള സിസ്റ്റങ്ങളുടെ ശ്രദ്ധ ആകർഷിക്കില്ല. മറുവശത്ത്, അത്തരം സിസ്റ്റങ്ങളുടെ ഒരു പ്രധാന നേട്ടം ഒപ്പുകളുടെ കൂട്ടം നിരന്തരം അപ്ഡേറ്റ് ചെയ്യേണ്ടതിൻ്റെ അഭാവമാണ്. ഈ സാങ്കേതികവിദ്യ പക്വത പ്രാപിക്കുകയും മതിയായ ബുദ്ധിശക്തിയിൽ എത്തുകയും ചെയ്തുകഴിഞ്ഞാൽ, ഇത് ഒരു സാധാരണ നുഴഞ്ഞുകയറ്റം കണ്ടെത്തൽ രീതിയായി മാറും.

നുഴഞ്ഞുകയറ്റം തടയൽ സംവിധാനങ്ങൾ

എല്ലാ കോർപ്പറേറ്റ് സുരക്ഷാ പ്രശ്‌നങ്ങൾക്കുമുള്ള പരിഹാരമായി, നുഴഞ്ഞുകയറ്റ പ്രിവൻഷൻ സിസ്റ്റങ്ങൾ എന്ന് വിളിക്കപ്പെടുന്ന ഒരു പുതിയ തരം നെറ്റ്‌വർക്ക് നുഴഞ്ഞുകയറ്റം കണ്ടെത്തൽ സംവിധാനം പ്രഖ്യാപിച്ചു. അലാറങ്ങൾ ജനറേറ്റുചെയ്യുമ്പോൾ, ഈച്ചയിൽ ഇഷ്‌ടാനുസൃത ഫയർവാൾ നിയമങ്ങൾ എഴുതുന്നത് പോലെയുള്ള പ്രതികരണ പ്രവർത്തനങ്ങൾ നടത്തുക എന്നതാണ് അടിസ്ഥാന ആശയം. റൂട്ടറുകൾ, സംശയാസ്പദമായ IP വിലാസങ്ങൾ, അഭ്യർത്ഥനകൾ അല്ലെങ്കിൽ കുറ്റകരമായ സിസ്റ്റങ്ങളുടെ പ്രത്യാക്രമണങ്ങൾ എന്നിവയുടെ പ്രവർത്തനം തടയുന്നു.

ഈ പുതിയ സാങ്കേതികവിദ്യ നിരന്തരം വികസിക്കുകയും മെച്ചപ്പെടുകയും ചെയ്യുന്നുണ്ടെങ്കിലും, മാനുഷിക തലത്തിലുള്ള വിശകലനത്തിൽ നിന്നും തീരുമാനങ്ങൾ എടുക്കുന്നതിൽ നിന്നും ഇത് ഇപ്പോഴും വളരെ അകലെയാണ്. 100% മെഷീനും സോഫ്‌റ്റ്‌വെയറും ആശ്രയിക്കുന്ന ഏതൊരു സിസ്റ്റവും ഒരു സമർപ്പിത വ്യക്തിക്ക് എപ്പോഴും വഞ്ചിക്കപ്പെടാം എന്നതാണ് വസ്തുത (ചില ചെസ്സ് ഗ്രാൻഡ്‌മാസ്റ്റർമാർക്ക് വിയോജിക്കാം). ഒരു ഓപ്പൺ സോഴ്‌സ് നുഴഞ്ഞുകയറ്റ പ്രിവൻഷൻ സിസ്റ്റത്തിൻ്റെ ഒരു ഉദാഹരണം ജെഡ് ഹെയ്‌ലിൻ്റെ ഇൻലൈൻ സ്‌നോർട്ട് ആണ്, ഈ പ്രഭാഷണത്തിൽ ചർച്ച ചെയ്ത സ്‌നോർട്ട് നെറ്റ്‌വർക്ക് ഇൻട്രൂഷൻ ഡിറ്റക്ഷൻ സിസ്റ്റത്തിനായുള്ള ഒരു ഫ്രീ മൊഡ്യൂളാണ്.

ഐഡിഎസ്/ഐപിഎസ് സിസ്റ്റങ്ങൾ നെറ്റ്‌വർക്കുകളെ അനധികൃത ആക്‌സസിൽ നിന്ന് സംരക്ഷിക്കാൻ രൂപകൽപ്പന ചെയ്‌തിരിക്കുന്ന അതുല്യ ഉപകരണങ്ങളാണ്. നുഴഞ്ഞുകയറ്റങ്ങൾ വേഗത്തിൽ കണ്ടെത്താനും ഫലപ്രദമായി തടയാനും കഴിയുന്ന ഹാർഡ്‌വെയർ അല്ലെങ്കിൽ കമ്പ്യൂട്ടർ ടൂളുകളാണ് അവ. ഹാക്കിംഗ്, ക്ഷുദ്രവെയർ ശ്രമങ്ങൾ എന്നിവയെക്കുറിച്ച് സുരക്ഷാ പ്രൊഫഷണലുകളെ അറിയിക്കുക, ആക്രമണകാരികളുമായുള്ള കണക്ഷനുകൾ അവസാനിപ്പിക്കുക, കോർപ്പറേറ്റ് ഡാറ്റയിലേക്കുള്ള ആക്സസ് തടയുന്നതിന് ഫയർവാൾ പുനഃക്രമീകരിക്കൽ എന്നിവ പ്രധാന ഐഡിഎസ്/ഐപിഎസ് ലക്ഷ്യങ്ങൾ കൈവരിക്കുന്നതിന് സ്വീകരിച്ച നടപടികളിൽ ഉൾപ്പെടുന്നു.

നെറ്റ്‌വർക്ക് ഇൻട്രൂഷൻ ഡിറ്റക്ഷൻ സിസ്റ്റങ്ങൾ എന്തിനുവേണ്ടിയാണ് ഉപയോഗിക്കുന്നത്?

വിവര ഉറവിടങ്ങൾ സ്വന്തമായുള്ള സ്ഥാപനങ്ങൾ അഭിമുഖീകരിക്കുന്ന പ്രധാന പ്രശ്നങ്ങളിലൊന്നാണ് സൈബർ ആക്രമണങ്ങൾ. അറിയപ്പെടുന്ന ആൻ്റിവൈറസ് പ്രോഗ്രാമുകളും ഫയർവാളുകളും പോലും നെറ്റ്‌വർക്കുകളിലേക്കുള്ള വ്യക്തമായ ആക്‌സസ് പോയിൻ്റുകൾ പരിരക്ഷിക്കുന്നതിന് ഫലപ്രദമായ ഉപകരണങ്ങളാണ്. എന്നിരുന്നാലും, ആക്രമണകാരികൾക്ക് ഏറ്റവും നൂതനമായ സുരക്ഷാ സംവിധാനങ്ങളിൽ പോലും ബൈപാസ് പാതകളും ദുർബലമായ സേവനങ്ങളും കണ്ടെത്താൻ കഴിയും. അത്തരമൊരു അപകടം കണക്കിലെടുക്കുമ്പോൾ, നുഴഞ്ഞുകയറ്റ സാധ്യതയും ക്ഷുദ്രവെയറുകൾ (വേമുകൾ, ട്രോജനുകൾ, കമ്പ്യൂട്ടർ വൈറസുകൾ) വ്യാപിക്കുന്നതിനുള്ള സാധ്യതയും ഇല്ലാതാക്കാൻ ആഗ്രഹിക്കുന്ന ഓർഗനൈസേഷനുകൾക്കിടയിൽ വിദേശ, റഷ്യൻ യുടിഎം പരിഹാരങ്ങൾ കൂടുതൽ പ്രചാരത്തിലാകുന്നതിൽ അതിശയിക്കാനില്ല. സമഗ്രമായ വിവര സംരക്ഷണത്തിനായി ഒരു സർട്ടിഫൈഡ് ഫയർവാൾ അല്ലെങ്കിൽ മറ്റ് ടൂൾ വാങ്ങാൻ പല കമ്പനികളും തീരുമാനിക്കുന്നു.

നുഴഞ്ഞുകയറ്റം കണ്ടെത്തൽ സംവിധാനങ്ങളുടെ സവിശേഷതകൾ

ഇന്ന് നിലവിലുള്ള എല്ലാ നുഴഞ്ഞുകയറ്റം കണ്ടെത്തലും പ്രതിരോധ സംവിധാനങ്ങളും, അവ പരിഹരിക്കാൻ വിവര സുരക്ഷാ വിദഗ്ധർ ഉപയോഗിക്കുന്ന നിരവധി പൊതുവായ ഗുണങ്ങളും പ്രവർത്തനങ്ങളും ചുമതലകളും ചേർന്നതാണ്. അത്തരം ഉപകരണങ്ങൾ വാസ്തവത്തിൽ ചില വിഭവങ്ങളുടെ പ്രവർത്തനത്തിൻ്റെ തുടർച്ചയായ വിശകലനം നടത്തുകയും അസാധാരണ സംഭവങ്ങളുടെ ഏതെങ്കിലും അടയാളങ്ങൾ തിരിച്ചറിയുകയും ചെയ്യുന്നു.

കോർപ്പറേറ്റ് നെറ്റ്‌വർക്കുകളുടെ സുരക്ഷാ ഓർഗനൈസേഷൻ നിരവധി സാങ്കേതികവിദ്യകൾക്ക് വിധേയമാകാം, അത് കണ്ടെത്തിയ സംഭവങ്ങളുടെ തരത്തിലും അത്തരം ഇവൻ്റുകൾ കണ്ടെത്തുന്നതിനുള്ള രീതികളിലും വ്യത്യാസമുണ്ട്. എന്താണ് സംഭവിക്കുന്നതെന്ന് നിരന്തരമായ നിരീക്ഷണത്തിൻ്റെയും വിശകലനത്തിൻ്റെയും പ്രവർത്തനങ്ങൾക്ക് പുറമേ, എല്ലാ ഐഡിഎസ് സിസ്റ്റങ്ങളും ഇനിപ്പറയുന്ന പ്രവർത്തനങ്ങൾ ചെയ്യുന്നു:

  • വിവരങ്ങൾ ശേഖരിക്കുകയും രേഖപ്പെടുത്തുകയും ചെയ്യുക;
  • സംഭവിച്ച മാറ്റങ്ങളെക്കുറിച്ച് നെറ്റ്‌വർക്ക് അഡ്മിനിസ്ട്രേറ്റർമാർക്കുള്ള അറിയിപ്പുകൾ (അലേർട്ട്);
  • ലോഗുകൾ സംഗ്രഹിക്കാൻ റിപ്പോർട്ടുകൾ സൃഷ്ടിക്കുന്നു.

ഐപിഎസ് സാങ്കേതികവിദ്യ, മുകളിൽ വിവരിച്ച ഒന്നിനെ പൂരകമാക്കുന്നു, കാരണം ഭീഷണിയും അതിൻ്റെ ഉറവിടവും തിരിച്ചറിയാൻ മാത്രമല്ല, അവയെ തടയാനും ഇതിന് കഴിയും. അത്തരമൊരു പരിഹാരത്തിൻ്റെ വിപുലീകരിച്ച പ്രവർത്തനത്തെക്കുറിച്ചും ഇത് സംസാരിക്കുന്നു. ഇനിപ്പറയുന്ന പ്രവർത്തനങ്ങൾ നടത്താൻ ഇത് പ്രാപ്തമാണ്:

  • ക്ഷുദ്രകരമായ സെഷനുകൾ അവസാനിപ്പിക്കുകയും നിർണായക ഉറവിടങ്ങളിലേക്കുള്ള പ്രവേശനം തടയുകയും ചെയ്യുക;
  • "സംരക്ഷിത" പരിസ്ഥിതിയുടെ കോൺഫിഗറേഷൻ മാറ്റുക;
  • ആക്രമണ ഉപകരണങ്ങളിൽ പ്രവർത്തനങ്ങൾ നടത്തുക (ഉദാഹരണത്തിന്, രോഗബാധിതമായ ഫയലുകൾ ഇല്ലാതാക്കുക).

UTM ഫയർവാളും ഏതെങ്കിലും ആധുനിക നുഴഞ്ഞുകയറ്റം കണ്ടെത്തലും പ്രതിരോധ സംവിധാനങ്ങളും IDS, IPS സിസ്റ്റം സാങ്കേതികവിദ്യകളുടെ സമുചിതമായ സംയോജനമാണ് എന്നത് ശ്രദ്ധിക്കേണ്ടതാണ്.

ക്ഷുദ്രകരമായ ആക്രമണങ്ങൾ എങ്ങനെയാണ് കണ്ടെത്തുന്നത്

ഐപിഎസ് സാങ്കേതികവിദ്യകൾ ഒപ്പുകളെ അടിസ്ഥാനമാക്കിയുള്ള രീതികൾ ഉപയോഗിക്കുന്നു - അനുബന്ധ സംഭവങ്ങളുമായി ബന്ധപ്പെട്ട പാറ്റേണുകൾ. ഒപ്പുകൾ കണക്ഷനുകൾ, ഇൻകമിംഗ് ഇമെയിലുകൾ, ഓപ്പറേറ്റിംഗ് സിസ്റ്റം ലോഗുകൾ മുതലായവ ആകാം. അറിയപ്പെടുന്ന ഭീഷണികൾ കൈകാര്യം ചെയ്യുമ്പോൾ ഈ കണ്ടെത്തൽ രീതി വളരെ ഫലപ്രദമാണ്, എന്നാൽ ഒപ്പുകളില്ലാത്ത ആക്രമണങ്ങൾ കൈകാര്യം ചെയ്യുമ്പോൾ വളരെ ദുർബലമാണ്.

HIPS എന്ന് വിളിക്കപ്പെടുന്ന മറ്റൊരു ടാംപർ ഡിറ്റക്ഷൻ രീതി, "പരിശീലന കാലയളവ്" എന്ന് വിളിക്കപ്പെടുന്ന സമയത്ത് ലഭിച്ച സാധാരണ പ്രവർത്തന നിലയുമായി നടന്നുകൊണ്ടിരിക്കുന്ന ഇവൻ്റുകളുടെ പ്രവർത്തന നിലയെ സ്ഥിതിവിവരക്കണക്കനുസരിച്ച് താരതമ്യം ചെയ്യുന്നത് ഉൾപ്പെടുന്നു. ഒരു നുഴഞ്ഞുകയറ്റം കണ്ടെത്തൽ ഉപകരണത്തിന് സിഗ്നേച്ചർ ഫിൽട്ടറിംഗ് പൂർത്തീകരിക്കാനും അത് മറികടക്കാൻ കഴിയുന്ന ഹാക്കർ ആക്രമണങ്ങളെ തടയാനും കഴിയും.

IDS, IPS നുഴഞ്ഞുകയറ്റ പ്രിവൻഷൻ സിസ്റ്റങ്ങളുടെ പ്രവർത്തനങ്ങളും പ്രവർത്തന തത്വങ്ങളും സംഗ്രഹിച്ചാൽ, അവ രണ്ട് പ്രധാന പ്രശ്നങ്ങൾ പരിഹരിക്കുമെന്ന് നമുക്ക് പറയാം:

  • വിവര ശൃംഖല ഘടകങ്ങളുടെ വിശകലനം;
  • ഈ വിശകലനത്തിൻ്റെ ഫലങ്ങളോട് മതിയായ പ്രതികരണം.

Suricata ആക്രമണ ഡിറ്റക്ടറുകൾ

ഐപിഎസ് നുഴഞ്ഞുകയറ്റ പ്രതിരോധ പരിഹാരങ്ങളിലൊന്ന് ആക്രമണ ഡിറ്റക്ടറുകളാണ്, അവ വിവിധതരം ക്ഷുദ്ര ഭീഷണികളെ സമയബന്ധിതമായി തിരിച്ചറിയാൻ രൂപകൽപ്പന ചെയ്‌തിരിക്കുന്നു. ഇൻറർനെറ്റ് കൺട്രോൾ സെർവറിൽ അവ സുരികാറ്റ സിസ്റ്റത്തിൻ്റെ രൂപത്തിലാണ് നടപ്പിലാക്കുന്നത് - നെറ്റ്‌വർക്കുകളുടെ പ്രതിരോധ പരിരക്ഷയ്‌ക്കായി രൂപകൽപ്പന ചെയ്‌തിരിക്കുന്ന വിപുലമായ, മൾട്ടിടാസ്‌കിംഗ്, വളരെ ഉൽപാദനക്ഷമതയുള്ള ഉപകരണം, അതുപോലെ തന്നെ ഏതെങ്കിലും ഇൻകമിംഗ് സിഗ്നലുകളെക്കുറിച്ചുള്ള വിവരങ്ങൾ ശേഖരിക്കുകയും സംഭരിക്കുകയും ചെയ്യുന്നു. ആക്രമണ ഡിറ്റക്ടറിൻ്റെ പ്രവർത്തനം സിഗ്നേച്ചർ അനാലിസിസ്, ഹ്യൂറിസ്റ്റിക്സ് എന്നിവയെ അടിസ്ഥാനമാക്കിയുള്ളതാണ്, കൂടാതെ സോഴ്സ് കോഡിലേക്കുള്ള ഓപ്പൺ ആക്സസ് ലഭ്യത മൂലമാണ് ഇതിൻ്റെ സൗകര്യം. വ്യക്തിഗത പ്രശ്നങ്ങൾ പരിഹരിക്കുന്നതിന് സിസ്റ്റം ഓപ്പറേഷൻ പാരാമീറ്ററുകൾ ക്രമീകരിക്കാൻ ഈ സമീപനം നിങ്ങളെ അനുവദിക്കുന്നു.

ട്രാഫിക് വിശകലനത്തിന് വിധേയമാകുന്ന നിയമങ്ങൾ, അഡ്മിനിസ്ട്രേറ്റർമാർക്കുള്ള മുന്നറിയിപ്പുകളുടെ പ്രദർശനം പരിമിതപ്പെടുത്തുന്ന ഫിൽട്ടറുകൾ, വ്യത്യസ്ത സെർവറുകളുടെ വിലാസ ശ്രേണികൾ, സജീവ പോർട്ടുകൾ, നെറ്റ്‌വർക്കുകൾ എന്നിവ Suricata-യുടെ എഡിറ്റ് ചെയ്യാവുന്ന പാരാമീറ്ററുകളിൽ ഉൾപ്പെടുന്നു.

അതിനാൽ, ഐപിഎസ് സൊല്യൂഷൻ എന്ന നിലയിൽ സൂറികാറ്റ തികച്ചും വഴക്കമുള്ള ഉപകരണമാണ്, ഇതിൻ്റെ പ്രവർത്തനം ആക്രമണത്തിൻ്റെ സ്വഭാവമനുസരിച്ച് മാറ്റങ്ങൾക്ക് വിധേയമാണ്, ഇത് കഴിയുന്നത്ര ഫലപ്രദമാക്കുന്നു.

സംശയാസ്പദമായ പ്രവർത്തനത്തെക്കുറിച്ചുള്ള വിവരങ്ങൾ ICS രേഖപ്പെടുത്തുകയും സംഭരിക്കുകയും ചെയ്യുന്നു, ബോട്ട്‌നെറ്റുകൾ, ഡോസ് ആക്രമണങ്ങൾ, അതുപോലെ TOR, അജ്ഞാതമാക്കുന്നവർ, P2P, ടോറൻ്റ് ക്ലയൻ്റുകൾ എന്നിവ തടയുന്നു.

ഒരു മൊഡ്യൂളിൽ പ്രവേശിക്കുമ്പോൾ, അതിൻ്റെ സ്റ്റാറ്റസ്, "അപ്രാപ്തമാക്കുക" ബട്ടൺ (അല്ലെങ്കിൽ മൊഡ്യൂൾ പ്രവർത്തനരഹിതമാക്കിയിട്ടുണ്ടെങ്കിൽ "പ്രാപ്തമാക്കുക"), ലോഗിലെ ഏറ്റവും പുതിയ സന്ദേശങ്ങൾ എന്നിവ പ്രദർശിപ്പിക്കും.

ക്രമീകരണങ്ങൾ

ക്രമീകരണ ടാബിൽ, നിങ്ങൾക്ക് ആക്രമണ ഡിറ്റക്ടറിൻ്റെ പാരാമീറ്ററുകൾ എഡിറ്റുചെയ്യാനാകും. ഇവിടെ നിങ്ങൾക്ക് ആന്തരികവും ബാഹ്യവുമായ നെറ്റ്‌വർക്കുകൾ, വിവിധ സെർവറുകളുടെ വിലാസ ശ്രേണികൾ, അതുപോലെ ഉപയോഗിച്ച പോർട്ടുകൾ എന്നിവ വ്യക്തമാക്കാൻ കഴിയും. ഈ വേരിയബിളുകൾക്കെല്ലാം ഡിഫോൾട്ട് മൂല്യങ്ങൾ നൽകിയിട്ടുണ്ട്, അറ്റാക്ക് ഡിറ്റക്ടറിന് ശരിയായി ആരംഭിക്കാനാകും. സ്ഥിരസ്ഥിതിയായി, ബാഹ്യ ഇൻ്റർഫേസുകളിലെ ട്രാഫിക് വിശകലനം ചെയ്യുന്നു.

നിയമങ്ങൾ

അറ്റാക്ക് ഡിറ്റക്ടറെ ട്രാഫിക് വിശകലനം ചെയ്യുന്ന നിയമങ്ങളുമായി ബന്ധിപ്പിക്കാൻ കഴിയും. ഈ ടാബിൽ, നിങ്ങൾക്ക് ഒരു പ്രത്യേക ഫയലിൻ്റെ സാന്നിധ്യവും ഉള്ളടക്കവും നിയമങ്ങളോടെ കാണാനാകും, അതോടൊപ്പം അതിൻ്റെ പ്രവർത്തനം പ്രവർത്തനക്ഷമമാക്കുകയോ പ്രവർത്തനരഹിതമാക്കുകയോ ചെയ്യാം (വലതുവശത്തുള്ള ചെക്ക്ബോക്സുകൾ ഉപയോഗിച്ച്). മുകളിൽ വലത് കോണിൽ ഫയലിലെ നിയമങ്ങളുടെ പേരോ എണ്ണമോ ഉപയോഗിച്ച് ഒരു തിരയൽ ഉണ്ട്.

ഫിൽട്ടറുകൾ

ആക്രമണ ഡിറ്റക്ടർ മുഖേന മുന്നറിയിപ്പുകളുടെ ഔട്ട്പുട്ടിൽ നിയന്ത്രണങ്ങൾ ക്രമീകരിക്കുന്നതിന്, നിങ്ങൾ "ഫിൽട്ടറുകൾ" ടാബിലേക്ക് പോകേണ്ടതുണ്ട്. ഇവിടെ നിങ്ങൾക്ക് ഇനിപ്പറയുന്ന നിയന്ത്രണങ്ങൾ ചേർക്കാൻ കഴിയും:

  • സന്ദേശങ്ങളുടെ എണ്ണം അനുസരിച്ച് ഫിൽട്ടർ ചെയ്യുക,
  • സംഭവത്തിൻ്റെ ആവൃത്തി അനുസരിച്ച് സന്ദേശങ്ങൾ ഫിൽട്ടർ ചെയ്യുക,
  • മിശ്രിത തരം ഫിൽട്ടർ,
  • ഒരു പ്രത്യേക തരത്തിലുള്ള സന്ദേശങ്ങൾ നിരോധിക്കുക;

സജ്ജീകരിക്കുമ്പോൾ, വ്യത്യസ്ത ഫിൽട്ടറുകളിലെ "റൂൾ ഐഡി" ഫീൽഡ് വ്യത്യസ്തമായിരിക്കണമെന്ന് നിങ്ങൾ ഓർക്കണം.

സംഘടനയുടെ തരം

സംഘടനയുടെ തരം തിരഞ്ഞെടുക്കുക വിദ്യാഭ്യാസ സ്ഥാപനം ബഡ്ജറ്ററി സ്ഥാപനം വാണിജ്യ സംഘടന

സ്വകാര്യ നോൺ-സ്റ്റേറ്റ് സ്ഥാപനങ്ങൾക്കും ബിരുദാനന്തര പ്രൊഫഷണൽ വിദ്യാഭ്യാസ സ്ഥാപനങ്ങൾക്കും വിലകൾ ബാധകമല്ല

ICS പതിപ്പുകൾ

ICS ആവശ്യമില്ല സാധാരണ ICS FSTEC

FSTEC യുടെ ചെലവ് കണക്കാക്കാൻ, വിൽപ്പന വകുപ്പുമായി ബന്ധപ്പെടുക

ഡെലിവറി തരം

ICS ICS + SkyDNS ICS + Kaspersky വെബ് ഫിൽട്ടറിംഗ്

ലൈസൻസ് തരം

പുതിയ ലൈസൻസ് അപ്ഡേറ്റ് ലൈസൻസ്

പ്രീമിയം അപ്‌ഡേറ്റ് ലൈസൻസ് വിപുലീകരണം

IDS ഉപയോഗിക്കുന്നതിനുള്ള തത്വങ്ങൾ

നുഴഞ്ഞുകയറ്റം കണ്ടെത്തലും പ്രതിരോധവും(IDP) നുഴഞ്ഞുകയറ്റ ശ്രമങ്ങളിൽ നിന്ന് പരിരക്ഷിക്കുന്നതിനായി രൂപകൽപ്പന ചെയ്തിട്ടുള്ള ഒരു NetDefendOS ഉപസിസ്റ്റമാണ്. സിസ്റ്റം നെറ്റ്‌വർക്ക് ട്രാഫിക്ക് കടന്നുപോകുന്നത് വീക്ഷിക്കുന്നു ഫയർവാൾ, ഒപ്പം ട്രാഫിക്ക് പൊരുത്തപ്പെടുന്ന പാറ്റേണുകൾക്കായി തിരയുന്നു. അത്തരം ട്രാഫിക് കണ്ടെത്തുന്നത് ഒരു നുഴഞ്ഞുകയറ്റ ശ്രമത്തെ സൂചിപ്പിക്കുന്നു. അത്തരം ട്രാഫിക് കണ്ടെത്തിയാൽ, നുഴഞ്ഞുകയറ്റവും അതിൻ്റെ ഉറവിടവും നിർവീര്യമാക്കാൻ IDP നടപടികൾ കൈക്കൊള്ളുന്നു.

നുഴഞ്ഞുകയറ്റം കണ്ടെത്തുന്നതിനും തടയുന്നതിനും, നിങ്ങൾ ഇനിപ്പറയുന്ന വിവരങ്ങൾ നൽകണം:

  1. എന്ത് ട്രാഫിക് വിശകലനം ചെയ്യണം.
  2. വിശകലനം ചെയ്ത ട്രാഫിക്കിൽ എന്താണ് ശ്രദ്ധിക്കേണ്ടത്.
  3. നുഴഞ്ഞുകയറ്റം കണ്ടെത്തിയാൽ എന്ത് നടപടിയാണ് സ്വീകരിക്കേണ്ടത്.

ഈ വിവരങ്ങൾ സൂചിപ്പിച്ചിരിക്കുന്നു IDP നിയമങ്ങൾ.

മെയിൻ്റനൻസും അഡ്വാൻസ്ഡ് ഐഡിപിയും

ഡി-ലിങ്ക് രണ്ട് തരം IDP നൽകുന്നു:

  1. മെയിൻ്റനൻസ് ഐ.ഡി.പി

    മെയിൻ്റനൻസ് IDP എന്നത് IDP സിസ്റ്റത്തിൻ്റെ കാതലാണ്, NetDefendDFL-210, 800, 1600, 2500 എന്നിവയിൽ സ്റ്റാൻഡേർഡ് ഉൾപ്പെടുത്തിയിട്ടുണ്ട്.

    ആക്രമണങ്ങൾക്കെതിരെ അടിസ്ഥാന സംരക്ഷണം നൽകുന്ന ലളിതമായ ഐഡിപിയാണ് മെയിൻ്റനൻസ് ഐഡിപി, ഇത് കൂടുതൽ സമഗ്രമായ അഡ്വാൻസ്ഡ് ഐഡിപിയിലേക്ക് വിപുലീകരിക്കാം.

    DFL-260, 860, 1660, 2560, 2560G എന്നിവയിൽ IDP നിലവാരമുള്ളതല്ല; ഈ ഫയർവാൾ മോഡലുകൾക്ക് വിപുലമായ IDP സബ്‌സ്‌ക്രിപ്‌ഷൻ ആവശ്യമാണ്.

  2. വിപുലമായ ഐ.ഡി.പി

    വിപുലമായ സിഗ്നേച്ചർ ഡാറ്റാബേസുകളും ഉയർന്ന ഹാർഡ്‌വെയർ ആവശ്യകതകളുമുള്ള മെച്ചപ്പെടുത്തിയ ഐഡിപി സംവിധാനമാണ് അഡ്വാൻസ്ഡ് ഐഡിപി. 12 മാസത്തെ സബ്‌സ്‌ക്രിപ്‌ഷൻ സ്റ്റാൻഡേർഡ് ആണ് കൂടാതെ IDP സിഗ്‌നേച്ചർ ഡാറ്റാബേസിലേക്ക് സ്വയമേവയുള്ള അപ്‌ഡേറ്റുകൾ നൽകുന്നു.

    മെയിൻ്റനൻസ് ഐഡിപിയിൽ നിലവാരമില്ലാത്തവ ഉൾപ്പെടെ എല്ലാ ഡി-ലിങ്ക് നെറ്റ് ഡിഫെൻഡ് മോഡലുകളിലും ഈ ഐഡിപി ഓപ്ഷൻ ലഭ്യമാണ്.

    മെയിൻ്റനൻസ് ഐഡിപിയെ അഡ്വാൻസ്ഡ് ഐഡിപിയുടെ പരിമിതമായ ഉപവിഭാഗമായി കണക്കാക്കാം. അഡ്വാൻസ്ഡ് ഐഡിപിയുടെ പ്രവർത്തനം നോക്കാം.

    NetDefendOS അടിസ്ഥാന ലൈസൻസിൻ്റെ ഒരു അധിക ഘടകമായി വിപുലമായ IDP വാങ്ങുന്നു. സബ്‌സ്‌ക്രിപ്‌ഷൻ എന്നതിനർത്ഥം IDP സിഗ്‌നേച്ചർ ഡാറ്റാബേസ് NetDefendOS-ലേക്ക് ഡൗൺലോഡ് ചെയ്യാമെന്നും പുതിയ ഭീഷണികൾ ഉയർന്നുവരുന്നതിനനുസരിച്ച് ഡാറ്റാബേസ് പതിവായി അപ്‌ഡേറ്റ് ചെയ്യപ്പെടുന്നുവെന്നും ആണ്.

    സിഗ്നേച്ചർ ഡാറ്റാബേസ് അപ്‌ഡേറ്റുകൾ ഒരു കോൺഫിഗർ ചെയ്ത സമയ ഇടവേളയിൽ NetDefendOS സ്വയമേവ ഡൗൺലോഡ് ചെയ്യുന്നു. ഏറ്റവും പുതിയ സിഗ്നേച്ചർ ഡാറ്റാബേസ് അപ്‌ഡേറ്റുകൾ നൽകുന്ന ഡി-ലിങ്ക് നെറ്റ്‌വർക്ക് സെർവറിലേക്കുള്ള ഒരു HTTP കണക്ഷൻ ഉപയോഗിച്ചാണ് ഇത് ചെയ്യുന്നത്. സിഗ്നേച്ചർ ഡാറ്റാബേസിൻ്റെ ഒരു പുതിയ പതിപ്പ് സെർവറിൽ നിലവിലുണ്ടെങ്കിൽ, അത് പഴയ പതിപ്പിന് പകരമായി ലോഡ് ചെയ്യും.

    ഇൻട്രൂഷൻ ഡിറ്റക്ഷൻ ആൻഡ് പ്രിവൻഷൻ (ഐഡിപി), ഇൻട്രൂഷൻ പ്രിവൻഷൻ സിസ്റ്റം (ഐഡിപി), ഇൻട്രൂഷൻ ഡിറ്റക്ഷൻ സിസ്റ്റം (ഐഡിഎസ്) എന്നീ പദങ്ങൾ മാറിമാറി ഉപയോഗിക്കുന്നു. അവയെല്ലാം IDP ഫംഗ്ഷനിൽ പെടുന്നു.

പാക്കറ്റ് പ്രോസസ്സിംഗ് സീക്വൻസ്

IDP ഉപയോഗിക്കുമ്പോൾ പാക്കറ്റ് പ്രോസസ്സിംഗ് ക്രമം ഇപ്രകാരമാണ്:

  1. പാക്കറ്റ് ഫയർവാളിൽ എത്തുന്നു. പാക്കറ്റ് ഒരു പുതിയ കണക്ഷൻ്റെ ഭാഗമാണെങ്കിൽ, അനുബന്ധ ഐപി ഫിൽട്ടർ റൂൾ നോക്കുക എന്നതാണ് ആദ്യപടി. പാക്കറ്റ് നിലവിലുള്ള കണക്ഷൻ്റെ ഭാഗമാണെങ്കിൽ, അത് ഉടനടി IDP മൊഡ്യൂളിലേക്ക് പോകുന്നു. പാക്കറ്റ് നിലവിലുള്ള ഒരു കണക്ഷൻ്റെ ഭാഗമല്ലെങ്കിലോ ഒരു IP റൂൾ ഉപയോഗിച്ച് നിരസിക്കുകയാണെങ്കിലോ, ആ പാക്കറ്റിൻ്റെ കൂടുതൽ പ്രോസസ്സിംഗ് സംഭവിക്കുന്നില്ല.

    2. പാക്കറ്റിൻ്റെ ഉറവിടവും ലക്ഷ്യസ്ഥാന വിലാസങ്ങളും IDP റൂൾ സെറ്റുമായി താരതമ്യം ചെയ്യുന്നു. അനുയോജ്യമായ ഒരു നിയമം കണ്ടെത്തിയാൽ, പാക്കറ്റിൻ്റെ ഉള്ളടക്കവും ടെംപ്ലേറ്റുകളിലൊന്നും തമ്മിലുള്ള പൊരുത്തം തിരയുന്ന, പ്രോസസ്സിംഗിനായി പാക്കറ്റ് IDP സിസ്റ്റത്തിലേക്ക് അയയ്‌ക്കും. പൊരുത്തമൊന്നും കണ്ടെത്തിയില്ലെങ്കിൽ, പാക്കറ്റ് ഐഡിപി സംവിധാനം വഴി കൈമാറും. NAT, ലോഗിംഗ് എന്നിവ പോലുള്ള IP ഫിൽട്ടറിംഗ് നിയമങ്ങളിലെ കൂടുതൽ പ്രവർത്തനങ്ങൾ നിർവചിക്കാവുന്നതാണ്.

പാറ്റേൺ പൊരുത്തപ്പെടുത്തൽ തിരയൽ

ഒപ്പുകൾ

ആക്രമണങ്ങളെ കൃത്യമായി തിരിച്ചറിയാൻ, ഐഡിപി സിസ്റ്റം വിവിധ തരത്തിലുള്ള ആക്രമണങ്ങളുമായി ബന്ധപ്പെട്ട പാറ്റേണുകൾ ഉപയോഗിക്കുന്നു. സിഗ്നേച്ചറുകൾ എന്നും വിളിക്കപ്പെടുന്ന ഈ മുൻകൂട്ടി നിശ്ചയിച്ച പാറ്റേണുകൾ ഒരു പ്രാദേശിക ഡാറ്റാബേസിൽ സംഭരിക്കുകയും ട്രാഫിക് വിശകലനം ചെയ്യാൻ IDP സിസ്റ്റം ഉപയോഗിക്കുകയും ചെയ്യുന്നു. ഓരോ ഒപ്പിനും ഒരു അദ്വിതീയ സംഖ്യയുണ്ട്.

ഒരു എഫ്‌ടിപി സെർവർ ആക്‌സസ് ചെയ്യുന്ന ലളിതമായ ആക്രമണത്തിൻ്റെ ഒരു ഉദാഹരണം നോക്കാം. FTP RETR passwd കമാൻഡ് ഉപയോഗിച്ച് ഒരു FTP സെർവറിൽ നിന്ന് ഒരു അനധികൃത ഉപയോക്താവ് പാസ്‌വേഡ് പാസ്‌വേഡ് ഫയൽ നേടാൻ ശ്രമിച്ചേക്കാം. ASCII ടെക്‌സ്‌റ്റ് സ്‌ട്രിംഗുകൾ RETR, passwd എന്നിവ അടങ്ങുന്ന ഒരു ഒപ്പ്, ആക്രമണം സാധ്യമായ ഒരു പൊരുത്തം കണ്ടെത്തും. ഈ ഉദാഹരണത്തിൽ, പാറ്റേൺ ASCII ടെക്‌സ്‌റ്റായി വ്യക്തമാക്കിയിട്ടുണ്ട്, പക്ഷേ തിരയൽ ആണ് പാറ്റേൺ പൊരുത്തപ്പെടുത്തൽബൈനറി ഡാറ്റയ്ക്ക് സമാനമായി പ്രവർത്തിക്കുന്നു.

അജ്ഞാത ഭീഷണികൾ തിരിച്ചറിയുന്നു

പുതിയ ആക്രമണങ്ങൾ വികസിപ്പിക്കുന്ന ആക്രമണകാരികൾ പലപ്പോഴും പഴയ കോഡ് പരിഷ്ക്കരിക്കുന്നു. ഇതിനർത്ഥം പുതിയ ആക്രമണങ്ങൾ പഴയവയുടെ വിപുലീകരണമായും സാമാന്യവൽക്കരണമായും വളരെ വേഗത്തിൽ ദൃശ്യമാകും. ഇതിനെ പ്രതിരോധിക്കാൻ, D-Link IDP ഒരു സമീപനം ഉപയോഗിക്കുന്നു, അവിടെ മൊഡ്യൂൾ സ്കാൻ ചെയ്യുന്നു, ഘടകങ്ങളുടെ പുനരുപയോഗം കണക്കിലെടുക്കുന്നു, തിരിച്ചറിയുന്നു പാറ്റേൺ പൊരുത്തപ്പെടുത്തൽപൊതുവായ ബ്ലോക്കുകൾ, പ്രത്യേക കോഡ് അല്ല. ഇത് അറിയപ്പെടുന്നതും പുതിയതും അടുത്തിടെ വികസിപ്പിച്ചതും ആക്രമണ കോഡിൻ്റെ പരിഷ്‌ക്കരണത്തിലൂടെ സൃഷ്ടിക്കപ്പെട്ടതുമായ അജ്ഞാത ഭീഷണികളിൽ നിന്ന് സംരക്ഷണം നേടുന്നു.

ഒപ്പ് വിവരണങ്ങൾ

ഓരോ ഒപ്പിനും ഒരു വിശദീകരണ ടെക്സ്റ്റ് വിവരണം ഉണ്ട്. ഒപ്പിൻ്റെ വാചക വിവരണം വായിക്കുന്നതിലൂടെ, ഏത് തരത്തിലുള്ള ആക്രമണമോ വൈറസോ കണ്ടെത്താൻ ഈ ഒപ്പ് സഹായിക്കുമെന്ന് നിങ്ങൾക്ക് മനസിലാക്കാൻ കഴിയും. സിഗ്നേച്ചർ ഡാറ്റാബേസിൻ്റെ മാറിക്കൊണ്ടിരിക്കുന്ന സ്വഭാവം കാരണം, വാചക വിവരണങ്ങൾ ഡി-ലിങ്ക് ഡോക്യുമെൻ്റേഷനിൽ അടങ്ങിയിട്ടില്ല, എന്നാൽ ഡി-ലിങ്ക് വെബ്സൈറ്റിൽ ലഭ്യമാണ്: http://security.dlink. com.tw

IDP ഒപ്പുകളുടെ തരങ്ങൾ

IDP-ക്ക് മൂന്ന് തരത്തിലുള്ള ഒപ്പുകളുണ്ട്, അത് ഭീഷണികളെ തിരിച്ചറിയുന്നതിൽ വ്യത്യസ്ത തലത്തിലുള്ള ആത്മവിശ്വാസം നൽകുന്നു:

  • നുഴഞ്ഞുകയറ്റ സംരക്ഷണ ഒപ്പുകൾ (IPS)- ഇത്തരത്തിലുള്ള ഒപ്പ് വളരെ കൃത്യമാണ്, മിക്ക കേസുകളിലും ഈ പാറ്റേണുമായി പൊരുത്തപ്പെടുന്ന ട്രാഫിക് ആക്രമണത്തെ അർത്ഥമാക്കുന്നു. ഈ ഭീഷണികൾക്കായി, പരിരക്ഷാ പ്രവർത്തനം വ്യക്തമാക്കാൻ ശുപാർശ ചെയ്യുന്നു. ഈ ഒപ്പുകൾക്ക് അഡ്മിൻ ആക്രമണങ്ങളും സുരക്ഷാ സ്കാനറുകളും കണ്ടെത്താനാകും.
  • നുഴഞ്ഞുകയറ്റം കണ്ടെത്തൽ ഒപ്പുകൾ (IDS)- ഈ സിഗ്നേച്ചർ തരത്തിന് IPS-നേക്കാൾ കൃത്യത കുറവാണ്, അത് തെറ്റായ പോസിറ്റീവുകൾക്ക് കാരണമാകും, അതിനാൽ പരിരക്ഷാ പ്രവർത്തനം വ്യക്തമാക്കുന്നതിന് മുമ്പ് ഓഡിറ്റ് പ്രവർത്തനം ഉപയോഗിക്കാൻ ശുപാർശ ചെയ്യുന്നു.
  • നയ ഒപ്പുകൾ- ഇത്തരത്തിലുള്ള ഒപ്പ് വിവിധ തരത്തിലുള്ള ആപ്ലിക്കേഷൻ ട്രാഫിക്കുകൾ കണ്ടെത്തുന്നു. ആപ്പ് പങ്കിടലിനും തൽക്ഷണ സന്ദേശമയയ്‌ക്കുന്നതിനുമായി രൂപകൽപ്പന ചെയ്‌തിരിക്കുന്ന ചില ആപ്പുകൾ ബ്ലോക്ക് ചെയ്യാൻ ഈ ഒപ്പുകൾ ഉപയോഗിക്കാം.

സേവന നിഷേധ ആക്രമണങ്ങൾ തടയുന്നു

DoS ആക്രമണങ്ങളുടെ സംവിധാനങ്ങൾ

DoS ആക്രമണങ്ങൾ പല തരത്തിൽ നടത്താം, എന്നാൽ അവയെല്ലാം മൂന്ന് പ്രധാന തരങ്ങളായി തിരിക്കാം:

  • ബാൻഡ്‌വിഡ്ത്ത്, ഡിസ്ക് സ്പേസ്, സിപിയു സമയം തുടങ്ങിയ കമ്പ്യൂട്ടിംഗ് ഉറവിടങ്ങളുടെ ക്ഷീണം.
  • റൂട്ടിംഗ് വിവരങ്ങൾ പോലുള്ള കോൺഫിഗറേഷൻ വിവരങ്ങൾ മാറ്റുന്നു.
  • ഫിസിക്കൽ നെറ്റ്‌വർക്ക് ഘടകങ്ങൾക്ക് കേടുപാടുകൾ.

ഏറ്റവും സാധാരണയായി ഉപയോഗിക്കുന്ന രീതികളിലൊന്നാണ് കമ്പ്യൂട്ടിംഗ് ഉറവിടങ്ങളുടെ ക്ഷീണം, അതായത്. വലിയ തോതിലുള്ള അഭ്യർത്ഥനകൾ, പലപ്പോഴും തെറ്റായി ഫോർമാറ്റ് ചെയ്തതും, നിർണായക ആപ്ലിക്കേഷനുകൾ പ്രവർത്തിപ്പിക്കുന്നതിന് ഉപയോഗിക്കുന്ന വിഭവങ്ങളുടെ ഉപഭോഗവും കാരണം നെറ്റ്‌വർക്കിൻ്റെ സാധാരണ പ്രവർത്തനത്തിൻ്റെ അസാധ്യത. യുണിക്സ്, വിൻഡോസ് ഓപ്പറേറ്റിംഗ് സിസ്റ്റങ്ങളിലെ കേടുപാടുകൾ ഒരു സിസ്റ്റത്തെ ബോധപൂർവം നശിപ്പിക്കാനും ഉപയോഗിക്കാം.

ഏറ്റവും സാധാരണയായി ഉപയോഗിക്കുന്ന ചില DoS ആക്രമണങ്ങൾ ഇതാ:

  • പിംഗ് ഓഫ് ഡെത്ത് / ജോൾട്ട് ആക്രമണങ്ങൾ
  • ശകലം ഓവർലേ: ടിയർഡ്രോപ്പ് / ബോങ്ക് / ബോയിൻക് / നെസ്റ്റിയ
  • ലാൻഡ്, ലാറ്റിയറ ആക്രമണങ്ങൾ
  • WinNuke ആക്രമണം
  • ബഫ് ആക്രമണങ്ങൾ: സ്മർഫ്, പാപ്പാസ്മർഫ്, ഫ്രാഗിൾ
  • TCP SYN വെള്ളപ്പൊക്കം
  • ജോൾട്ട്2

പിംഗ് ഓഫ് ഡെത്ത് ആൻഡ് ജോൾട്ട് ആക്രമണങ്ങൾ

പ്രോട്ടോക്കോൾ സ്റ്റാക്കിൻ്റെ 3, 4 ലെയറുകളിൽ നടത്തിയ ആദ്യകാല ആക്രമണങ്ങളിൽ ഒന്നാണ് "പിംഗ് ഓഫ് ഡെത്ത്". ഈ ആക്രമണം നടത്താനുള്ള ഏറ്റവും ലളിതമായ മാർഗ്ഗം വിൻഡോസ് 95-ൽ ping -l 65510 1.2.3.4 പ്രവർത്തിപ്പിക്കുക എന്നതാണ്, ഇവിടെ 1.2.3.4 എന്നത് ഇരയായ കമ്പ്യൂട്ടറിൻ്റെ IP വിലാസമാണ്. ഒരു ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തിൽ പാക്കറ്റുകൾ സൃഷ്ടിക്കുന്നതിനുള്ള പ്രത്യേകം എഴുതിയ പ്രോഗ്രാമാണ് "ജോൾട്ട്", അതിൽ പിംഗ് കമാൻഡിന് സ്റ്റാൻഡേർഡ് വലുപ്പത്തിൽ കവിയുന്ന പാക്കറ്റുകൾ സൃഷ്ടിക്കാൻ കഴിയില്ല.

മൊത്തം പാക്കറ്റ് വലുപ്പം 65535 ബൈറ്റുകൾ കവിയുന്നു എന്നതാണ് ആക്രമണത്തിൻ്റെ പോയിൻ്റ്, ഇത് 16-ബിറ്റ് പൂർണ്ണസംഖ്യ കൊണ്ട് പ്രതിനിധീകരിക്കാവുന്ന പരമാവധി മൂല്യമാണ്. വലുപ്പം വലുതാണെങ്കിൽ, ഓവർഫ്ലോ സംഭവിക്കുന്നു.

മൊത്തം പാക്കറ്റ് വലുപ്പം 65535 ബൈറ്റുകൾ കവിയുന്നതിന് കാരണമാകുന്ന വിഘടനം തടയുന്നതാണ് സംരക്ഷണം. കൂടാതെ, IP പാക്കറ്റിൻ്റെ ദൈർഘ്യത്തിൽ നിങ്ങൾക്ക് നിയന്ത്രണങ്ങൾ ക്രമീകരിക്കാൻ കഴിയും.

Ping of Death, Jolt attacks എന്നിവ "LogOversizedPackets" റൂൾ സൂചിപ്പിക്കുന്ന ഡ്രോപ്പ്ഡ് പാക്കറ്റുകളായി ലോഗ് ചെയ്തിരിക്കുന്നു. ഈ സാഹചര്യത്തിൽ, അയച്ചയാളുടെ ഐപി വിലാസം വ്യാജമാകുമെന്ന് ഓർമ്മിക്കേണ്ടതാണ്.

ഫ്രാഗ്മെൻ്റ് ഓവർലാപ്പ് ആക്രമണങ്ങൾ: ടിയർഡ്രോപ്പ്, ബോങ്ക്, ബോങ്ക്, നെസ്റ്റിയ

ശകലങ്ങൾ ഓവർലാപ്പ് ചെയ്യുന്ന ഒരു ആക്രമണമാണ് ടിയർഡ്രോപ്പ്. പല പ്രോട്ടോക്കോൾ സ്റ്റാക്ക് നടപ്പിലാക്കലുകളും ഓവർലാപ്പിംഗ് ശകലങ്ങൾ സ്വീകരിക്കുന്ന പാക്കറ്റുകൾ കൈകാര്യം ചെയ്യുന്നില്ല. ഈ സാഹചര്യത്തിൽ, റിസോഴ്സ് ക്ഷീണവും പരാജയവും സാധ്യമാണ്.

NetDefendOS ഫ്രാഗ്മെൻ്റ് ഓവർലാപ്പ് ആക്രമണങ്ങളിൽ നിന്ന് സംരക്ഷണം നൽകുന്നു. ഓവർലാപ്പുചെയ്യുന്ന ശകലങ്ങൾ സിസ്റ്റത്തിലൂടെ കടന്നുപോകാൻ അനുവദിക്കില്ല.

ടിയർഡ്രോപ്പും സമാനമായ ആക്രമണങ്ങളും NetDefendOS ലോഗുകളിൽ "IllegalFrags" റൂൾ ഉപയോഗിച്ച് ഡ്രോപ്പ് ചെയ്ത പാക്കറ്റുകളായി ലോഗിൻ ചെയ്തിരിക്കുന്നു. ഈ സാഹചര്യത്തിൽ, അയച്ചയാളുടെ ഐപി വിലാസം വ്യാജമാകുമെന്ന് ഓർമ്മിക്കേണ്ടതാണ്.

ലാൻഡ്, ലാറ്റിയറ ആക്രമണങ്ങൾ

ലാൻഡ്, ലാറ്റിയറ ആക്രമണങ്ങൾ ഇരയായ കമ്പ്യൂട്ടറിലേക്ക് ഒരു പാക്കറ്റ് അയയ്ക്കുന്നത് ഉൾക്കൊള്ളുന്നു, അത് സ്വയം പ്രതികരിക്കുന്നതിന് കാരണമാകുന്നു, അത് സ്വയം മറ്റൊരു മറുപടി സൃഷ്ടിക്കുന്നു, അങ്ങനെ പലതും. ഇത് കമ്പ്യൂട്ടറിൻ്റെ പൂർണ്ണമായ സ്‌റ്റോപ്പിന് അല്ലെങ്കിൽ അതിൻ്റെ ഏതെങ്കിലും ഉപസിസ്റ്റത്തിൻ്റെ തകർച്ചയ്ക്ക് കാരണമാകും

ആക്രമണത്തിൽ ഇരയായ കമ്പ്യൂട്ടറിൻ്റെ ഐപി വിലാസം ഉറവിടം, ലക്ഷ്യസ്ഥാനം എന്നീ ഫീൽഡുകളിൽ ഉപയോഗിക്കുന്നു.

എല്ലാ പാക്കറ്റുകളിലും ഐപി സ്പൂഫിംഗ് സംരക്ഷണം പ്രയോഗിച്ചുകൊണ്ട് NetDefendOS ലാൻഡ് ആക്രമണത്തിനെതിരെ സംരക്ഷണം നൽകുന്നു. സ്ഥിരസ്ഥിതി ക്രമീകരണങ്ങൾ ഉപയോഗിക്കുമ്പോൾ, എല്ലാ ഇൻകമിംഗ് പാക്കറ്റുകളും റൂട്ടിംഗ് ടേബിളിലെ ഉള്ളടക്കങ്ങളുമായി താരതമ്യം ചെയ്യുന്നു; സോഴ്സ് ഐപി വിലാസത്തിൽ എത്താൻ കഴിയാത്ത ഒരു ഇൻ്റർഫേസിൽ ഒരു പാക്കറ്റ് വന്നാൽ, പാക്കറ്റ് ഉപേക്ഷിക്കപ്പെടും.

Land, LaTierra ആക്രമണങ്ങൾ NetDefendOS ലോഗുകളിൽ ലോഗിൻ ചെയ്‌തിരിക്കുന്നു, അത് ഡിഫോൾട്ട് AutoAccess റൂളിനെ സൂചിപ്പിക്കുന്നു, അല്ലെങ്കിൽ, മറ്റ് ആക്‌സസ്സ് നിയമങ്ങൾ നിർവചിച്ചിട്ടുണ്ടെങ്കിൽ, പാക്കറ്റ് ഡ്രോപ്പ് ചെയ്യപ്പെടുന്നതിന് കാരണമായ ആക്‌സസ് റൂൾ വ്യക്തമാക്കുന്നു. ഈ സാഹചര്യത്തിൽ, അയച്ചയാളുടെ IP വിലാസം താൽപ്പര്യമുള്ളതല്ല, കാരണം അത് സ്വീകർത്താവിൻ്റെ IP വിലാസവുമായി പൊരുത്തപ്പെടുന്നു.

WinNuke ആക്രമണം

WinNuke ആക്രമണത്തിൻ്റെ തത്വം "ഔട്ട്-ഓഫ്-ബാൻഡ്" ഡാറ്റ (URG ബിറ്റ് സെറ്റുള്ള ടിസിപി പാക്കറ്റുകൾ) പ്രോസസ്സ് ചെയ്യാൻ കഴിയാത്ത ഒരു TCP സേവനത്തിലേക്ക് കണക്റ്റുചെയ്യുക എന്നതാണ്, പക്ഷേ ഇപ്പോഴും അവ സ്വീകരിക്കുന്നു. ഇത് സാധാരണയായി എല്ലാ സിപിയു റിസോഴ്സുകളും ലൂപ്പ് ചെയ്യുന്നതിനും ഉപയോഗിക്കുന്നതിനും കാരണമാകുന്നു.

ഈ സേവനങ്ങളിൽ ഒന്ന്, വിൻഡോസ് മെഷീനുകളിൽ TCP/IP വഴിയുള്ള NetBIOS ആയിരുന്നു, ഇത് ഈ നെറ്റ്‌വർക്ക് ആക്രമണത്തിന് പേര് നൽകി.

NetDefendOS രണ്ട് തരത്തിൽ പരിരക്ഷ നൽകുന്നു:

  • ഇൻകമിംഗ് ട്രാഫിക്കിനായുള്ള നയങ്ങൾ സാധാരണയായി വളരെ ശ്രദ്ധാപൂർവ്വം വികസിപ്പിച്ചെടുക്കുന്നു, അതിനാൽ വിജയകരമായ ആക്രമണങ്ങളുടെ എണ്ണം ചെറുതാണ്. പ്രവേശനത്തിനായി തുറന്നിരിക്കുന്ന പൊതു സേവനങ്ങൾ മാത്രമേ പുറത്ത് നിന്ന് ആക്സസ് ചെയ്യാൻ കഴിയൂ. അവർക്ക് മാത്രമേ ആക്രമണത്തിന് ഇരയാകാൻ കഴിയൂ.
  • എല്ലാ TCP പാക്കറ്റുകളിൽ നിന്നും URG ബിറ്റ് നീക്കംചെയ്യുന്നു.

വെബ് ഇൻ്റർഫേസ്

വിപുലമായ ക്രമീകരണങ്ങൾ -> TCP -> TCPUrg

സാധാരണഗതിയിൽ, WinNuke ആക്രമണങ്ങൾ കണക്ഷൻ ശ്രമം നിരസിക്കുന്ന ഒരു നിയമത്തെ സൂചിപ്പിക്കുന്ന ഡ്രോപ്പ്ഡ് പാക്കറ്റുകളായി ലോഗിൻ ചെയ്യപ്പെടുന്നു. അനുവദനീയമായ കണക്ഷനുകൾക്കായി, "TCP URG" എന്ന റൂൾ നാമത്തിൽ "TCP" അല്ലെങ്കിൽ "DROP" വിഭാഗത്തിൻ്റെ ഒരു എൻട്രി ദൃശ്യമാകുന്നു (TCP URG ക്രമീകരണം അനുസരിച്ച്). ഔട്ട്-ഓഫ്-ബാൻഡ് പാക്കറ്റുകൾ അയയ്‌ക്കുമ്പോഴേക്കും കണക്ഷൻ പൂർണ്ണമായി സ്ഥാപിച്ചിരിക്കണം എന്നതിനാൽ ഉറവിട IP വിലാസം കബളിപ്പിക്കപ്പെട്ടേക്കില്ല.

ട്രാഫിക് വർദ്ധിപ്പിക്കുന്ന ആക്രമണങ്ങൾ: സ്മർഫ്, പാപാസ്മർഫ്, ഫ്രാഗിൾ

ട്രാഫിക്കിൻ്റെ ഒഴുക്ക് വർദ്ധിപ്പിക്കുന്നതിനും ടാർഗെറ്റ് സിസ്റ്റത്തിലേക്ക് നയിക്കുന്നതിനും തെറ്റായ കോൺഫിഗർ ചെയ്ത നെറ്റ്‌വർക്കുകൾ ഈ വിഭാഗം ആക്രമണങ്ങൾ ഉപയോഗിക്കുന്നു. ഇരയുടെ ബാൻഡ്‌വിഡ്ത്ത് തീവ്രമായി ഉപയോഗിക്കുക എന്നതാണ് ലക്ഷ്യം. ഉയർന്ന ബാൻഡ്‌വിഡ്ത്ത് ഉള്ള ഒരു ആക്രമണകാരിക്ക് ഇരയുടെ മുഴുവൻ ബാൻഡ്‌വിഡ്ത്തും പൂർണ്ണമായി ലോഡുചെയ്യാൻ ആംപ്ലിഫിക്കേഷൻ ഇഫക്റ്റ് ഉപയോഗിക്കാൻ കഴിഞ്ഞേക്കില്ല. ഈ ആക്രമണങ്ങൾ ഇരയേക്കാൾ ബാൻഡ്‌വിഡ്ത്ത് കുറവുള്ള ആക്രമണകാരികളെ ഇരയുടെ ബാൻഡ്‌വിഡ്ത്ത് കൈവശപ്പെടുത്താൻ ആംപ്ലിഫിക്കേഷൻ ഉപയോഗിക്കാൻ അനുവദിക്കുന്നു.

  • "Smurf" ഉം "Papasmurf" ഉം ഇരയുടെ IP വിലാസം ഉറവിട IP വിലാസമായി ഉപയോഗിച്ച് ഒരു പ്രക്ഷേപണ വിലാസത്തിലേക്ക് ICMP എക്കോ പാക്കറ്റുകൾ അയയ്ക്കുന്നു. ഇതിനുശേഷം, എല്ലാ കമ്പ്യൂട്ടറുകളും ഇരയ്ക്ക് പ്രതികരണ പാക്കറ്റുകൾ അയയ്ക്കുന്നു.
  • "Fraggle" എന്നത് "Smurf" അടിസ്ഥാനമാക്കിയുള്ളതാണ്, എന്നാൽ UDP എക്കോ പാക്കറ്റുകൾ ഉപയോഗിക്കുകയും അവയെ പോർട്ട് 7-ലേക്ക് അയയ്ക്കുകയും ചെയ്യുന്നു. പൊതുവേ, "Fraggle" ആക്രമണത്തിന് ദുർബലമായ ആംപ്ലിഫിക്കേഷൻ ഉണ്ട്, കാരണം ചെറിയ എണ്ണം ഹോസ്റ്റുകളിൽ എക്കോ സേവനം പ്രവർത്തനക്ഷമമാക്കിയിരിക്കുന്നു.

Smurf ആക്രമണങ്ങൾ NetDefendOS ലോഗുകളിൽ ധാരാളം ഡ്രോപ്പ് ചെയ്ത ICMP എക്കോ മറുപടി പാക്കറ്റുകളായി രേഖപ്പെടുത്തിയിട്ടുണ്ട്. അത്തരം നെറ്റ്‌വർക്ക് തിരക്ക് ഉണ്ടാക്കാൻ ഒരു വ്യാജ ഐപി വിലാസം ഉപയോഗിക്കാം. ഡ്രോപ്പ് ചെയ്ത പാക്കറ്റുകളുടെ ഒരു വലിയ സംഖ്യയായി NetDefendOS ലോഗുകളിലും ഫ്രാഗിൾ ആക്രമണങ്ങൾ ദൃശ്യമാകുന്നു. നെറ്റ്‌വർക്ക് ഓവർലോഡ് ചെയ്യാൻ ഒരു വ്യാജ ഐപി വിലാസം ഉപയോഗിക്കുന്നു.

സ്ഥിരസ്ഥിതി ക്രമീകരണങ്ങൾ ഉപയോഗിക്കുമ്പോൾ, പ്രക്ഷേപണ വിലാസത്തിലേക്ക് അയച്ച പാക്കറ്റുകൾ നിരസിക്കപ്പെടും.

വെബ് ഇൻ്റർഫേസ്

വിപുലമായ ക്രമീകരണങ്ങൾ -> IP -> DirectedBroadcasts

ഇൻബൗണ്ട് പോളിസികൾ ഏതെങ്കിലും സുരക്ഷിതമല്ലാത്ത നെറ്റ്‌വർക്ക് ഇത്തരം ആംപ്ലിഫിക്കേഷൻ ആക്രമണങ്ങളുടെ ഉറവിടമാകുമെന്ന് അറിഞ്ഞിരിക്കണം.

ഇരയുടെ കമ്പ്യൂട്ടറിൻ്റെ വശത്ത് സംരക്ഷണം

സ്മർഫും സമാനമായ ആക്രമണങ്ങളും കണക്ഷൻ-ദഹിപ്പിക്കുന്ന ആക്രമണങ്ങളാണ്. പൊതുവായി ഫയർവാൾനെറ്റ്‌വർക്കിലെ തടസ്സമാണ്, ഇത്തരത്തിലുള്ള ആക്രമണത്തിനെതിരെ മതിയായ സംരക്ഷണം നൽകാൻ കഴിയില്ല. പാക്കറ്റുകൾ ഫയർവാളിൽ എത്തുമ്പോഴേക്കും കേടുപാടുകൾ തീർന്നിരിക്കുന്നു.

എന്നിരുന്നാലും, NetDefendOS-ന് ആന്തരിക സെർവറുകളുടെ സേവനങ്ങൾ ആന്തരികമായി ലഭ്യമാക്കുന്നതിലൂടെയോ ആക്രമണത്തിൻ്റെ ലക്ഷ്യമല്ലാത്ത ഒരു ബദൽ കണക്ഷനിലൂടെയോ ലോഡ് കുറയ്ക്കാൻ കഴിയും.

  • Smurf, Papasmurf വെള്ളപ്പൊക്ക ആക്രമണ തരങ്ങൾ ഇരയുടെ ഭാഗത്ത് ICMP എക്കോ പ്രതികരണങ്ങൾ പോലെ കാണപ്പെടുന്നു. FwdFast നിയമങ്ങൾ ഉപയോഗിക്കുന്നില്ലെങ്കിൽ, പാക്കറ്റുകൾ കടന്നുപോകാൻ അനുവദിക്കുന്നതിനുള്ള നിയമങ്ങൾ നിലവിലുണ്ടോ എന്നത് പരിഗണിക്കാതെ തന്നെ, പുതിയ കണക്ഷനുകൾ ആരംഭിക്കാൻ അത്തരം പാക്കറ്റുകളെ അനുവദിക്കില്ല.
  • ആക്രമണകാരി ലക്ഷ്യമിടുന്ന ഏത് യുഡിപി ഡെസ്റ്റിനേഷൻ പോർട്ടിലും ഫ്രാഗിൾ പാക്കറ്റുകൾ എത്താം. റൂൾസെറ്റിലെ നിയന്ത്രണങ്ങൾ വർദ്ധിപ്പിക്കുന്നത് ഈ സാഹചര്യത്തിൽ സഹായിക്കും.

സംരക്ഷിത സെർവറുകളിൽ ചില വെള്ളപ്പൊക്ക ആക്രമണങ്ങൾ തടയാനും ട്രാഫിക് രൂപപ്പെടുത്തൽ സഹായിക്കുന്നു.

TCP SYN വെള്ളപ്പൊക്ക ആക്രമണങ്ങൾ

TCP SYN ഫ്ലഡ് ആക്രമണങ്ങളുടെ തത്വം, SYN ഫ്ലാഗ് സജ്ജീകരിച്ച ഒരു വലിയ സംഖ്യ TCP പാക്കറ്റുകൾ ഒരു നിർദ്ദിഷ്ട പോർട്ടിലേക്ക് അയയ്ക്കുകയും SYN ACK ഫ്ലാഗ് സെറ്റിനൊപ്പം പ്രതികരണമായി അയച്ച പാക്കറ്റുകൾ അവഗണിക്കുകയും ചെയ്യുക എന്നതാണ്. ഇത് പ്രോട്ടോക്കോൾ സ്റ്റാക്ക് ഉറവിടങ്ങൾ എക്‌സ്‌ഹോസ്റ്റ് ചെയ്യാൻ ഇരയായ സെർവറിനെ അനുവദിക്കുന്നു, പകുതി-ഓപ്പൺ കണക്ഷൻ ടൈംഔട്ട് കാലഹരണപ്പെടുന്നതുവരെ പുതിയ കണക്ഷനുകൾ സ്ഥാപിക്കാൻ കഴിയില്ല.

IP ഫിൽട്ടറിംഗ് റൂളിൽ വ്യക്തമാക്കിയിട്ടുള്ള അനുബന്ധ സേവനത്തിൽ SYN ഫ്ലഡ് പ്രൊട്ടക്ഷൻ ഓപ്ഷൻ ഇൻസ്റ്റാൾ ചെയ്തിട്ടുണ്ടെങ്കിൽ TCP SYN വെള്ളപ്പൊക്ക ആക്രമണങ്ങളിൽ നിന്ന് NetDefendOS പരിരക്ഷ നൽകുന്നു. ചിലപ്പോൾ ഓപ്ഷൻ SYN റിലേ എന്ന് ലേബൽ ചെയ്തേക്കാം.

http -in, https-in, smtp -in, ssh-in തുടങ്ങിയ സേവനങ്ങളിൽ വെള്ളപ്പൊക്ക ആക്രമണങ്ങൾക്കെതിരായ സംരക്ഷണം ഡിഫോൾട്ടായി പ്രവർത്തനക്ഷമമാക്കിയിരിക്കുന്നു.

SYN വെള്ളപ്പൊക്ക ആക്രമണ സംരക്ഷണ സംവിധാനം

ക്ലയൻ്റുമായി ഒരു ബന്ധം സ്ഥാപിക്കുമ്പോൾ സംഭവിക്കുന്ന മൂന്ന് തവണ ഹാൻഡ്‌ഷെക്കിലാണ് SYN വെള്ളപ്പൊക്ക ആക്രമണങ്ങളിൽ നിന്നുള്ള സംരക്ഷണം സംഭവിക്കുന്നത്. NetDefendOS ഏറ്റവും ഒപ്റ്റിമൽ പ്രകടനം നടത്തുന്നതിനാൽ സാധാരണയായി വിഭവങ്ങൾ തീരുന്നില്ല റിസോഴ്സ് മാനേജ്മെൻ്റ്കൂടാതെ മറ്റ് ഓപ്പറേറ്റിംഗ് സിസ്റ്റങ്ങളിൽ ഉണ്ടാകുന്ന നിയന്ത്രണങ്ങൾ ഒന്നുമില്ല. ഓപ്പറേറ്റിംഗ് സിസ്റ്റങ്ങൾക്ക് 5 ഹാഫ്-ഓപ്പൺ കണക്ഷനുകൾ ക്ലയൻ്റ് അംഗീകരിക്കാത്തതിൽ പ്രശ്‌നങ്ങളുണ്ടാകുമെങ്കിലും, ഏതെങ്കിലും ഉറവിടങ്ങൾ തീരുന്നതിന് മുമ്പ് NetDefendOS മുഴുവൻ സ്റ്റേറ്റ് ടേബിളും നിറച്ചേക്കാം. സ്റ്റേറ്റ് ടേബിൾ നിറയുമ്പോൾ, പുതിയ കണക്ഷനുകൾക്ക് ഇടം നൽകുന്നതിനായി പഴയ അംഗീകൃതമല്ലാത്ത കണക്ഷനുകൾ ഉപേക്ഷിക്കപ്പെടും.

SYN വെള്ളപ്പൊക്കങ്ങൾ കണ്ടെത്തൽ

TCP SYN വെള്ളപ്പൊക്ക ആക്രമണങ്ങൾ NetDefendOS ലോഗുകളിൽ ധാരാളം പുതിയ കണക്ഷനുകളായി രേഖപ്പെടുത്തിയിട്ടുണ്ട് (അല്ലെങ്കിൽ അടച്ച പോർട്ടിൽ ആക്രമണം നടത്തുകയാണെങ്കിൽ പാക്കറ്റുകൾ ഉപേക്ഷിച്ചു). ഈ സാഹചര്യത്തിൽ, അയച്ചയാളുടെ ഐപി വിലാസം വ്യാജമാകുമെന്ന് ഓർമ്മിക്കേണ്ടതാണ്.

വെള്ളപ്പൊക്ക ആക്രമണങ്ങളിൽ നിന്ന് ALG സ്വയമേ സംരക്ഷണം നൽകുന്നു

ALG വ്യക്തമാക്കിയിട്ടുള്ള ഒരു സേവനത്തിനായി SYN ഫ്ലഡ് സംരക്ഷണം പ്രവർത്തനക്ഷമമാക്കേണ്ട ആവശ്യമില്ല എന്നത് ശ്രദ്ധിക്കേണ്ടതാണ്. SYN വെള്ളപ്പൊക്ക ആക്രമണങ്ങളിൽ നിന്ന് ALG സ്വയമേ സംരക്ഷണം നൽകുന്നു.

Jolt2 ആക്രമണം

ഇരയായ കമ്പ്യൂട്ടറിലേക്ക് സമാനമായ ശകലങ്ങളുടെ തുടർച്ചയായ സ്ട്രീം അയയ്ക്കുക എന്നതാണ് Jolt2 ആക്രമണത്തിൻ്റെ തത്വം. സെക്കൻഡിൽ നൂറുകണക്കിന് പാക്കറ്റുകളുടെ ഒഴുക്ക്, ഫ്ലോ പൂർണ്ണമായും നിർത്തുന്നത് വരെ ദുർബലമായ കമ്പ്യൂട്ടറുകളുടെ പ്രവർത്തനം നിർത്തുന്നതിന് കാരണമാകുന്നു.

NetDefendOS ഈ ആക്രമണത്തിനെതിരെ പൂർണ്ണമായ സംരക്ഷണം നൽകുന്നു. ലഭിച്ച ആദ്യ ശകലം മുമ്പത്തെ ശകലങ്ങൾ വരുന്നതുവരെ ക്യൂവിൽ നിൽക്കുന്നു, അങ്ങനെ എല്ലാ ശകലങ്ങളും ആവശ്യമുള്ള ക്രമത്തിൽ കൈമാറാൻ കഴിയും. ഒരു ആക്രമണം ഉണ്ടെങ്കിൽ, ടാർഗെറ്റ് ആപ്ലിക്കേഷനിലേക്ക് ഒരു ശകലവും കൈമാറില്ല. തുടർന്നുള്ള ശകലങ്ങൾ ഉപേക്ഷിക്കപ്പെടും, കാരണം അവ ആദ്യം ലഭിച്ച ശകലത്തിന് സമാനമാണ്.

NetDefendOS-ലെ വിപുലമായ ക്രമീകരണങ്ങൾ -> ദൈർഘ്യ പരിധി ക്രമീകരണങ്ങളിൽ വ്യക്തമാക്കിയ പരിധികളേക്കാൾ കൂടുതലാണ് ആക്രമണകാരി തിരഞ്ഞെടുത്ത ഫ്രാഗ്മെൻ്റ് ഓഫ്‌സെറ്റ് മൂല്യം എങ്കിൽ, പാക്കറ്റുകൾ ഉടനടി ഉപേക്ഷിക്കപ്പെടും. Jolt2 ആക്രമണങ്ങൾ ലോഗുകളിൽ രേഖപ്പെടുത്താം. ഒരു ആക്രമണകാരി ഒരു ആക്രമണത്തിന് വളരെ വലുതായ ഒരു ഫ്രാഗ്മെൻ്റ് ഓഫ്‌സെറ്റ് മൂല്യം തിരഞ്ഞെടുക്കുകയാണെങ്കിൽ, ഇത് LogOversizedPackets റൂൾ സൂചിപ്പിക്കുന്ന ഡ്രോപ്പ്ഡ് പാക്കറ്റുകളായി ലോഗിൻ ചെയ്യപ്പെടും. ഫ്രാഗ്‌മെൻ്റ് ഓഫ്‌സെറ്റ് മൂല്യം ആവശ്യത്തിന് ചെറുതാണെങ്കിൽ, ലോഗിംഗ് ഉണ്ടാകില്ല. അയച്ചയാളുടെ ഐപി വിലാസം കബളിപ്പിക്കാം.

വിതരണം ചെയ്ത DoS (DDoS) ആക്രമണങ്ങൾ

ഡിസ്ട്രിബ്യൂട്ടഡ് ഡിനയൽ ഓഫ് സർവീസ് ആക്രമണമാണ് ഏറ്റവും സങ്കീർണ്ണമായ DoS ആക്രമണം. ഇൻറർനെറ്റിലുടനീളം നൂറുകണക്കിന് അല്ലെങ്കിൽ ആയിരക്കണക്കിന് കമ്പ്യൂട്ടറുകൾ ഹാക്കർമാർ ഉപയോഗിക്കുന്നു, ഇൻസ്റ്റാൾ ചെയ്യുന്നു സോഫ്റ്റ്വെയർ DDoS ആക്രമണങ്ങൾ നടത്താനും ഇരയുടെ സൈറ്റുകളിൽ കോർഡിനേറ്റഡ് ആക്രമണങ്ങൾ നടത്താൻ ഈ കമ്പ്യൂട്ടറുകളെല്ലാം നിയന്ത്രിക്കാനും. സാധാരണഗതിയിൽ, ഈ ആക്രമണങ്ങൾ ബാൻഡ്‌വിഡ്ത്ത്, റൂട്ടർ പ്രോസസ്സിംഗ് പവർ അല്ലെങ്കിൽ പ്രോട്ടോക്കോൾ സ്റ്റാക്ക് പ്രോസസ്സിംഗ് ഉറവിടങ്ങൾ ഉപയോഗിക്കുന്നു, ഇത് ഇരയുമായുള്ള നെറ്റ്‌വർക്ക് കണക്ഷനുകൾ സ്ഥാപിക്കാൻ കഴിയില്ല.

സ്വകാര്യ, പൊതു നെറ്റ്‌വർക്കുകളിൽ നിന്ന് സമീപകാല DDoS ആക്രമണങ്ങൾ ആരംഭിച്ചിട്ടുണ്ടെങ്കിലും, ഹാക്കർമാർ പലപ്പോഴും മുൻഗണന നൽകുന്നു കോർപ്പറേറ്റ് നെറ്റ്‌വർക്കുകൾഅവയുടെ തുറന്നതും വിതരണം ചെയ്തതുമായ സ്വഭാവം കാരണം. DDoS ആക്രമണങ്ങൾ ആരംഭിക്കാൻ ഉപയോഗിക്കുന്ന ടൂളുകളിൽ Trin00, TribeFlood Network (TFN), TFN2K, Stacheldraht എന്നിവ ഉൾപ്പെടുന്നു.

പ്രായോഗിക ജോലിയുടെ വിവരണം

ഒപ്പുകളുടെ പൊതുവായ പട്ടിക

വെബ് ഇൻ്റർഫേസിൽ, എല്ലാ ഒപ്പുകളും IDP / IPS -> IDP സിഗ്നേച്ചർ വിഭാഗത്തിൽ ലിസ്റ്റ് ചെയ്തിരിക്കുന്നു.

IDP നിയമങ്ങൾ

ഏത് തരത്തിലുള്ള ട്രാഫിക് ആണ് വിശകലനം ചെയ്യേണ്ടതെന്ന് IDP റൂൾ നിർണ്ണയിക്കുന്നു. ഐപി ഫിൽട്ടറിംഗ് നിയമങ്ങൾ പോലെയുള്ള മറ്റ് നിയമങ്ങൾക്ക് സമാനമായാണ് ഐഡിപി നിയമങ്ങൾ സൃഷ്ടിക്കുന്നത്. ഏത് പ്രോട്ടോക്കോളുകളാണ് സ്കാൻ ചെയ്യേണ്ടതെന്ന് നിർണ്ണയിക്കുന്ന ഉറവിടം/ലക്ഷ്യസ്ഥാന വിലാസം/ഇൻ്റർഫേസ്, സേവനം എന്നിവയുടെ സംയോജനമാണ് IDP റൂൾ വ്യക്തമാക്കുന്നത്. ഫിൽട്ടറിംഗ് നിയമങ്ങളിൽ നിന്നുള്ള പ്രധാന വ്യത്യാസം, ഒരു നുഴഞ്ഞുകയറ്റം കണ്ടെത്തുമ്പോൾ സ്വീകരിക്കേണ്ട നടപടി ഒരു IDP റൂൾ വ്യക്തമാക്കുന്നു എന്നതാണ്.

വെബ് ഇൻ്റർഫേസ്:

IDP/IPS -> IDP നിയമങ്ങൾ -> ചേർക്കുക -> IDP റൂൾ

IDP പ്രവർത്തനങ്ങൾ

ഒരു നുഴഞ്ഞുകയറ്റം കണ്ടെത്തിയാൽ, IDP റൂളിൽ വ്യക്തമാക്കിയ പ്രവർത്തനം നടപ്പിലാക്കും. മൂന്ന് പ്രവർത്തനങ്ങളിൽ ഒന്ന് വ്യക്തമാക്കാം:

  1. അവഗണിക്കുക - ഒരു നുഴഞ്ഞുകയറ്റം കണ്ടെത്തിയാൽ, ഒരു നടപടിയും എടുക്കാതെ കണക്ഷൻ തുറന്നിടുക.
  2. ഓഡിറ്റ് - കണക്ഷൻ തുറന്നിടുക എന്നാൽ ഇവൻ്റ് ലോഗ് ചെയ്യുക.
  3. പരിരക്ഷിക്കുക - കണക്ഷൻ പുനഃസജ്ജമാക്കി ഇവൻ്റ് ലോഗ് ചെയ്യുക. കണക്ഷൻ ഉറവിടം ബ്ലാക്ക്‌ലിസ്റ്റ് ചെയ്യുന്നതിനുള്ള അധിക ഓപ്ഷൻ ഉപയോഗിക്കാൻ കഴിയും.

HTTP നോർമലൈസേഷൻ

IDP HTTP നോർമലൈസേഷൻ നടത്തുന്നു, അതായത്. HTTP അഭ്യർത്ഥനകളിലെ URI-കളുടെ കൃത്യത പരിശോധിക്കുന്നു. ഒരു IDP റൂളിൽ, ഒരു അസാധുവായ URI കണ്ടെത്തുമ്പോൾ ചെയ്യേണ്ട പ്രവർത്തനം നിങ്ങൾക്ക് വ്യക്തമാക്കാം.

IDP ഇനിപ്പറയുന്ന അസാധുവായ URI-കൾ കണ്ടെത്തിയേക്കാം:

തെറ്റായ UTF8 എൻകോഡിംഗ്

URI-യിൽ ഏതെങ്കിലും അസാധുവായ UTF8 പ്രതീകങ്ങൾക്കായി തിരയുന്നു.

അസാധുവായ ഹെക്സാഡെസിമൽ കോഡ്

ശരിയായ ഹെക്സാഡെസിമൽ സീക്വൻസ് എന്നത് ഒരു ശതമാനം ചിഹ്നവും തുടർന്ന് രണ്ട് ഹെക്സാഡെസിമൽ മൂല്യങ്ങളും ഉള്ളിടത്താണ്, അത് ഒരു ബൈറ്റിൻ്റെ കോഡാണ്. ഒരു അസാധുവായ ഹെക്സാഡെസിമൽ സീക്വൻസ് എന്നത് ഒരു ശതമാനം ചിഹ്നം ഉൾക്കൊള്ളുന്ന ഒരു ശ്രേണിയാണ്, അത് ഒരു ഹെക്സാഡെസിമൽ മൂല്യം പിന്തുടരുന്നില്ല, അത് ചില ബൈറ്റുകളുടെ കോഡാണ്.

ഇരട്ട കോഡിംഗ്

മറ്റ് ഹെക്‌സാഡെസിമൽ എസ്‌കേപ്പ് സീക്വൻസുകൾ ഉപയോഗിച്ച് എൻകോഡ് ചെയ്‌തിരിക്കുന്ന ഏതെങ്കിലും ഹെക്‌സാഡെസിമൽ സീക്വൻസിനായി തിരയുന്നു. ഒരു ഉദാഹരണം % 2526 എന്ന ക്രമം ആയിരിക്കും, അതേസമയം % 25 എന്നത് HTTP സെർവറിന് % ആയി വ്യാഖ്യാനിക്കാം, അതിൻ്റെ ഫലമായി % 26 എന്ന ക്രമം & ആയി വ്യാഖ്യാനിക്കപ്പെടും.

പ്രതീക കുത്തിവയ്പ്പ് ആക്രമണങ്ങൾ തടയൽ അല്ലെങ്കിൽ IDP മെക്കാനിസങ്ങൾ മറികടക്കൽ

IDP റൂളിൽ, നിങ്ങൾക്ക് ഇൻസേർഷൻ/എവഷൻ ആക്രമണത്തിനെതിരെ പരിരക്ഷിക്കുക എന്ന ഓപ്‌ഷൻ സജ്ജമാക്കാം. ഐഡിപി സംവിധാനങ്ങളെ മറികടക്കാൻ ലക്ഷ്യമിട്ടുള്ള ആക്രമണങ്ങളിൽ നിന്നുള്ള സംരക്ഷണമാണിത്. ടിസിപി/ഐപി പ്രോട്ടോക്കോളുകളിൽ ഒരു പാക്കറ്റ് വിഘടിപ്പിക്കാനും വ്യക്തിഗത പാക്കറ്റുകൾ ക്രമരഹിതമായ ക്രമത്തിൽ എത്തിച്ചേരാനും കഴിയും എന്ന വസ്തുത ഈ ആക്രമണങ്ങൾ പ്രയോജനപ്പെടുത്തുന്നു. ക്യാരക്ടർ ഇൻജക്ഷൻ ആക്രമണങ്ങളും ബൈപാസിംഗ് ഐഡിപി മെക്കാനിസങ്ങളും സാധാരണയായി പാക്കറ്റ് വിഘടനം ഉപയോഗിക്കുകയും പാക്കറ്റ് അസംബ്ലി പ്രക്രിയയിൽ സംഭവിക്കുകയും ചെയ്യുന്നു.

ഉൾപ്പെടുത്തൽ ആക്രമണങ്ങൾ

ഇൻസേർഷൻ ആക്രമണങ്ങളിൽ ഡാറ്റാ സ്ട്രീം പരിഷ്ക്കരിക്കുന്നത് ഉൾക്കൊള്ളുന്നു, അങ്ങനെ പാക്കറ്റുകളുടെ തത്ഫലമായുണ്ടാകുന്ന ക്രമം IDP സിസ്റ്റത്തിലൂടെ അനുവദനീയമാണ്, എന്നാൽ ഈ ക്രമം ടാർഗെറ്റ് ആപ്ലിക്കേഷനിൽ ആക്രമണമാണ്. രണ്ട് വ്യത്യസ്ത ഡാറ്റ സ്ട്രീമുകൾ സൃഷ്ടിച്ചുകൊണ്ട് ഈ ആക്രമണം നടപ്പിലാക്കാൻ കഴിയും.

ഉദാഹരണമായി, ഒരു ഡാറ്റ സ്ട്രീമിൽ 4 പാക്കറ്റ് ശകലങ്ങൾ അടങ്ങിയിരിക്കുന്നുവെന്ന് കരുതുക: p1, p2, p3, p4. ഒരു ആക്രമണകാരിക്ക് ആദ്യം ടാർഗെറ്റ് ആപ്ലിക്കേഷനിലേക്ക് p1, p4 പാക്കറ്റുകളുടെ ശകലങ്ങൾ അയയ്ക്കാൻ കഴിയും. പി2, പി3 ശകലങ്ങൾ എത്തുന്നത് വരെ ഐഡിപി സംവിധാനവും ആപ്ലിക്കേഷനും അവ സൂക്ഷിക്കും, അതിനുശേഷം പുനഃസംയോജനം നടത്തും. ആക്രമണകാരിയുടെ ചുമതല, രണ്ട് ശകലങ്ങൾ p2', p3' എന്നിവ IDP സിസ്റ്റത്തിലേക്കും മറ്റ് രണ്ട് ശകലങ്ങൾ p2, p3 എന്നിവ ആപ്ലിക്കേഷനിലേക്കും അയയ്ക്കുക എന്നതാണ്. IDP സിസ്റ്റത്തിനും ആപ്ലിക്കേഷനും ലഭിക്കുന്ന വ്യത്യസ്ത ഡാറ്റ സ്ട്രീമുകളാണ് ഫലം.

ബൈപാസ് ആക്രമണങ്ങൾ

ബൈപാസ് ആക്രമണങ്ങൾക്ക് ഇൻസെർഷൻ ആക്രമണങ്ങളുടെ അതേ അന്തിമ ഫലമുണ്ട്, കൂടാതെ രണ്ട് വ്യത്യസ്ത ഡാറ്റ സ്ട്രീമുകളും നിർമ്മിക്കുന്നു: ഒന്ന് IDP സിസ്റ്റം കാണുന്നു, മറ്റൊന്ന് ടാർഗെറ്റ് ആപ്ലിക്കേഷൻ കാണുന്നു, എന്നാൽ ഈ സാഹചര്യത്തിൽ ഫലം ലഭിക്കുന്നത് വിപരീത രീതിയിലാണ്, അതായത് അയയ്ക്കുക IDP സിസ്റ്റം നിരസിക്കുന്ന പാക്കറ്റുകളുടെ ശകലങ്ങൾ, എന്നാൽ ടാർഗെറ്റ് ആപ്ലിക്കേഷൻ സ്വീകരിക്കുന്നു.

സമാനമായ ആക്രമണങ്ങൾ കണ്ടെത്തൽ

Insertion/Evasion Protect attacks ഓപ്ഷൻ പ്രവർത്തനക്ഷമമാക്കിയിട്ടുണ്ടെങ്കിൽ, ഒപ്പം

നുഴഞ്ഞുകയറ്റം കണ്ടെത്തൽ

1. ദ്രുതഗതിയിലുള്ള നുഴഞ്ഞുകയറ്റം കണ്ടെത്തൽ, നുഴഞ്ഞുകയറ്റക്കാരനെ തിരിച്ചറിയാനും അത് ദോഷം വരുത്തുന്നതിന് മുമ്പ് പുറത്താക്കാനും അനുവദിക്കുന്നു.

2. നുഴഞ്ഞുകയറ്റം തടയുന്നതിനുള്ള ഫലപ്രദമായ ഒരു നുഴഞ്ഞുകയറ്റ സംവിധാനം.

3. 3 നുഴഞ്ഞുകയറ്റം കണ്ടെത്തൽ പ്രതിരോധത്തിൻ്റെ വിശ്വാസ്യത മെച്ചപ്പെടുത്തുന്നതിന് ഉപയോഗിക്കാവുന്ന നുഴഞ്ഞുകയറ്റ രീതികളെക്കുറിച്ചുള്ള വിവരങ്ങൾ ശേഖരിക്കുന്നു.

നുഴഞ്ഞുകയറ്റങ്ങൾ കണ്ടെത്തുന്നതിനുള്ള സമീപനങ്ങൾ

· സ്റ്റാറ്റിസ്റ്റിക്കൽ വ്യതിയാനങ്ങൾ കണ്ടെത്തൽ (ത്രെഷോൾഡ് ഡിറ്റക്ഷൻ, പ്രൊഫൈൽ ഡിറ്റക്ഷൻ).

· റൂൾ അടിസ്ഥാനമാക്കിയുള്ള കണ്ടെത്തൽ (സാധാരണ സ്വഭാവസവിശേഷതകളിൽ നിന്നുള്ള വ്യതിയാനങ്ങൾ കണ്ടെത്തൽ, നുഴഞ്ഞുകയറ്റ തിരിച്ചറിയൽ - സംശയാസ്പദമായ പെരുമാറ്റം തിരയുന്നു).

നുഴഞ്ഞുകയറ്റം കണ്ടെത്തൽ സംവിധാനങ്ങൾ (IDS) ഒരു നെറ്റ്‌വർക്കിലോ സിസ്റ്റത്തിലോ അനധികൃതവും കൂടാതെ/അല്ലെങ്കിൽ ക്ഷുദ്ര പ്രവർത്തനവും വിശകലനം ചെയ്യുന്ന പ്രവർത്തന പ്രക്രിയകളോ ഉപകരണങ്ങളോ ആണ്. ചില ഐഡിഎസ് സംവിധാനങ്ങൾ അറിവ് അടിസ്ഥാനമാക്കിയുള്ളതും സാധാരണ ആക്രമണങ്ങളുടെ ഒരു ഡാറ്റാബേസ് ഉപയോഗിച്ചുള്ള നുഴഞ്ഞുകയറ്റങ്ങളെക്കുറിച്ച് മുൻകൂർ മുന്നറിയിപ്പ് നൽകുന്നതുമാണ്. സ്വഭാവം അടിസ്ഥാനമാക്കിയുള്ള ഐഡിഎസ് സിസ്റ്റങ്ങൾ, വിപരീതമായി, വിഭവങ്ങളുടെ ഉപയോഗം നിരീക്ഷിക്കുന്നതിലൂടെ ആക്രമണകാരികളുടെ പ്രവർത്തനത്തിൻ്റെ അടയാളമായ അപാകതകൾ കണ്ടെത്തുന്നു. ചില IDS-കൾ പശ്ചാത്തലത്തിൽ പ്രവർത്തിക്കുന്ന പ്രത്യേക സേവനങ്ങളാണ്, കൂടാതെ പുറത്തുനിന്നുള്ള എല്ലാ സംശയാസ്പദമായ പാക്കറ്റുകളും ലോഗിൻ ചെയ്യുന്നതും നിഷ്ക്രിയമായി പ്രവർത്തനം വിശകലനം ചെയ്യുന്നതുമാണ്. മറ്റ് ശക്തമായ നുഴഞ്ഞുകയറ്റം കണ്ടെത്തൽ ടൂളുകൾ സ്റ്റാൻഡേർഡ് സിസ്റ്റം ടൂളുകൾ, പരിഷ്കരിച്ച കോൺഫിഗറേഷനുകൾ, അഡ്മിനിസ്ട്രേറ്റർ അവബോധവും അനുഭവവും ഉള്ള വിശദമായ ലോഗിംഗ് എന്നിവയുടെ സംയോജനത്തിൽ നിന്നാണ് വരുന്നത്.

നുഴഞ്ഞുകയറ്റങ്ങൾ കണ്ടെത്തുന്നതിനുള്ള പ്രധാന ഉപകരണം ഓഡിറ്റ് ഡാറ്റ റെക്കോർഡുകളാണ്.

ഓഡിറ്റ്(ഓഡിറ്റിംഗ്) - സുരക്ഷയുമായി ബന്ധപ്പെട്ടതും സംരക്ഷിത സിസ്റ്റം റിസോഴ്സുകളിലേക്കുള്ള പ്രവേശനവുമായി ബന്ധപ്പെട്ടതുമായ ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തിൽ സംഭവിക്കുന്ന ഇവൻ്റുകളുടെ സിസ്റ്റം ലോഗിൽ റെക്കോർഡിംഗ്.

· വിജയകരവും പരാജയപ്പെട്ടതുമായ പ്രവർത്തനങ്ങളുടെ രജിസ്ട്രേഷൻ:

· സിസ്റ്റത്തിൽ രജിസ്ട്രേഷൻ;

· കണക്കുകള് കൈകാര്യംചെയ്യുക;

· ഡയറക്ടറി സേവനങ്ങളിലേക്കുള്ള പ്രവേശനം;

· സൗകര്യത്തിലേക്കുള്ള പ്രവേശനം;

· പ്രത്യേകാവകാശങ്ങളുടെ ഉപയോഗം;

· നയ മാറ്റങ്ങൾ;

· പ്രോസസ്സ് എക്സിക്യൂഷനും സിസ്റ്റം ഇവൻ്റുകളും.

പ്രാദേശിക (ഗ്രൂപ്പ്) ഓഡിറ്റ് നയത്തിൽ ഓഡിറ്റിംഗ് പ്രവർത്തനക്ഷമമാക്കിയിരിക്കുന്നു.

സുരക്ഷാ ലോഗിൽ സുരക്ഷാ സംവിധാനവുമായി ബന്ധപ്പെട്ട എൻട്രികൾ അടങ്ങിയിരിക്കുന്നു.

തിരഞ്ഞെടുത്ത ഒബ്‌ജക്റ്റുകളിലും അവയുടെ ഉപയോക്താക്കളിലും "ചാരൻ" ചെയ്യാനും ആരെങ്കിലും ഒരു സിസ്റ്റം ഫയൽ വായിക്കാനോ പരിഷ്‌ക്കരിക്കാനോ ശ്രമിക്കുമ്പോൾ അലാറം പുറപ്പെടുവിക്കാനുമുള്ള ഒരു സുരക്ഷാ സംവിധാനത്തിൻ്റെ കഴിവിനെ അക്കൗണ്ടിംഗും നിരീക്ഷണവും സൂചിപ്പിക്കുന്നു. മോണിറ്ററിംഗിനായി സുരക്ഷാ സംവിധാനം തിരിച്ചറിഞ്ഞ പ്രവർത്തനങ്ങൾ നടത്താൻ ആരെങ്കിലും ശ്രമിക്കുകയാണെങ്കിൽ, ഓഡിറ്റ് സിസ്റ്റം ഉപയോക്താവിനെ തിരിച്ചറിഞ്ഞുകൊണ്ട് ലോഗിലേക്ക് ഒരു സന്ദേശം എഴുതുന്നു. സിസ്റ്റം മാനേജർക്ക് ലോഗ് വിവരങ്ങൾ അടങ്ങിയ സുരക്ഷാ റിപ്പോർട്ടുകൾ സൃഷ്ടിക്കാൻ കഴിയും. സുരക്ഷാ അഡ്മിനിസ്ട്രേറ്റർമാരുടെ മെഷീനുകളിൽ ഇൻസ്റ്റാൾ ചെയ്ത ഓഡിയോ, വീഡിയോ അലാറങ്ങൾ "അൾട്രാ സെക്യൂർ" സിസ്റ്റങ്ങളിൽ ഉൾപ്പെടുന്നു.

ഒരു സുരക്ഷാ സംവിധാനവും 100% പരിരക്ഷ ഉറപ്പുനൽകാത്തതിനാൽ, ലംഘനങ്ങൾക്കെതിരായ പോരാട്ടത്തിലെ അവസാന വരി ഓഡിറ്റ് സംവിധാനമാണ്.

തീർച്ചയായും, ആക്രമണകാരിക്ക് വിജയകരമായ ആക്രമണം നടത്താൻ കഴിഞ്ഞാൽ, ഇരയ്ക്ക് ഓഡിറ്റ് സേവനത്തിലേക്ക് തിരിയുകയല്ലാതെ മറ്റ് മാർഗമില്ല. ഓഡിറ്റ് സേവനം ക്രമീകരിക്കുമ്പോൾ, നിരീക്ഷിക്കേണ്ട ഇവൻ്റുകൾ ശരിയായി വ്യക്തമാക്കിയിട്ടുണ്ടെങ്കിൽ, ലോഗ് എൻട്രികളുടെ വിശദമായ വിശകലനത്തിന് ധാരാളം ഉപയോഗപ്രദമായ വിവരങ്ങൾ നൽകാൻ കഴിയും. ഈ വിവരങ്ങൾ ആക്രമണകാരിയെ കണ്ടെത്തുന്നത് സാധ്യമാക്കിയേക്കാം അല്ലെങ്കിൽ സുരക്ഷാ വൈകല്യങ്ങൾ ഇല്ലാതാക്കി സമാനമായ ആക്രമണങ്ങൾ ആവർത്തിക്കുന്നത് തടയാം.

നുഴഞ്ഞുകയറ്റം കണ്ടെത്തലും തടയലും ഉപസിസ്റ്റംഉൾപ്പെടുന്നു:

പട്ടിക 1. നുഴഞ്ഞുകയറ്റം കണ്ടെത്തലും പ്രതിരോധ ഉപസിസ്റ്റങ്ങളും

നുഴഞ്ഞുകയറ്റം കണ്ടെത്തൽ എന്നത് ഒരു വിവര സിസ്റ്റത്തിൽ സംഭവിക്കുന്ന ഇവൻ്റുകൾ നിരീക്ഷിക്കുകയും നുഴഞ്ഞുകയറ്റ ശ്രമങ്ങളെ സൂചിപ്പിക്കുന്ന അടയാളങ്ങൾക്കായി അവയെ വിശകലനം ചെയ്യുകയും ചെയ്യുന്ന പ്രക്രിയയാണ്: രഹസ്യസ്വഭാവം, സമഗ്രത, വിവര ലഭ്യത അല്ലെങ്കിൽ വിവര സുരക്ഷാ നയങ്ങളുടെ ലംഘനങ്ങൾ. തിരിച്ചറിഞ്ഞ നുഴഞ്ഞുകയറ്റങ്ങളെ തടയുന്ന പ്രക്രിയയാണ് നുഴഞ്ഞുകയറ്റ പ്രതിരോധം.

നുഴഞ്ഞുകയറ്റം കണ്ടെത്തലും പ്രിവൻഷൻ സബ്സിസ്റ്റം ടൂളുകളും ഈ പ്രക്രിയകളെ ഓട്ടോമേറ്റ് ചെയ്യുന്നു, കൂടാതെ നുഴഞ്ഞുകയറ്റത്തിന് കാരണമായേക്കാവുന്ന നാശനഷ്ടങ്ങളും നഷ്ടങ്ങളും തടയുന്നതിന് ഏത് തലത്തിലുള്ള ഓർഗനൈസേഷനിലും ഇത് ആവശ്യമാണ്.

നിരീക്ഷണ രീതിയെ അടിസ്ഥാനമാക്കി, ഉപസിസ്റ്റം ടൂളുകൾ തിരിച്ചിരിക്കുന്നു:

  • നെറ്റ്‌വർക്ക് സെഗ്‌മെൻ്റുകളുടെ നെറ്റ്‌വർക്ക് ട്രാഫിക് നിരീക്ഷിക്കുന്ന നെറ്റ്‌വർക്ക്-ലെവൽ ഇൻട്രൂഷൻ പ്രിവൻഷൻ ടൂളുകൾ (നെറ്റ്‌വർക്ക് അടിസ്ഥാനമാക്കിയുള്ള ഐഡിഎസ്/ഐപിഎസ്).
  • സംരക്ഷിത ഹോസ്റ്റിനുള്ളിൽ വിവര സുരക്ഷാ ഇവൻ്റുകൾ കണ്ടെത്തുകയും തിരുത്തൽ പ്രവർത്തനങ്ങൾ നടത്തുകയും ചെയ്യുന്ന സിസ്റ്റം-ലെവൽ ഇൻട്രൂഷൻ പ്രിവൻഷൻ ടൂളുകൾ (ഹോസ്റ്റ് അധിഷ്ഠിത ഐഡിഎസ്/ഐപിഎസ്).

ഇവൻ്റുകൾ വിശകലനം ചെയ്യുന്നതിന് നിരവധി മാർഗങ്ങളുണ്ട്:

  • ദുരുപയോഗം കണ്ടെത്തൽ, അറിയപ്പെടുന്ന ആക്രമണത്തെ വിവരിക്കുന്ന ഒരു മുൻകൂട്ടി നിശ്ചയിച്ച പാറ്റേണിൽ ഒരു ഇവൻ്റ് അല്ലെങ്കിൽ ഇവൻ്റുകളുടെ സെറ്റ് പരിശോധിക്കുന്നു. അറിയപ്പെടുന്ന ആക്രമണത്തിൻ്റെ മാതൃകയെ സിഗ്നേച്ചർ എന്ന് വിളിക്കുന്നു.
  • അസാധാരണമായ (അസാധാരണമായ) സംഭവങ്ങളെ തിരിച്ചറിയുന്ന അനോമലി ഡിറ്റക്ഷൻ. ഒരു നുഴഞ്ഞുകയറ്റം ശ്രമിക്കുമ്പോൾ, ഫലമായുണ്ടാകുന്ന ഇവൻ്റുകൾ സാധാരണ ഉപയോക്തൃ പ്രവർത്തനത്തിൻ്റെ അല്ലെങ്കിൽ നെറ്റ്‌വർക്ക് നോഡ് ഇടപെടലുകളിൽ നിന്ന് വ്യത്യസ്തമാണെന്നും അതിനാൽ നിർണ്ണയിക്കാൻ കഴിയുമെന്നും ഈ രീതി അനുമാനിക്കുന്നു. സെൻസറുകൾ ഇവൻ്റ് ഡാറ്റ ശേഖരിക്കുകയും സാധാരണ പ്രവർത്തനത്തിൻ്റെ പാറ്റേണുകൾ സൃഷ്ടിക്കുകയും സാധാരണ അവസ്ഥകളിൽ നിന്നുള്ള വ്യതിയാനങ്ങൾ കണ്ടെത്തുന്നതിന് വിവിധ അളവുകൾ ഉപയോഗിക്കുകയും ചെയ്യുന്നു.

അനോമലി ഡിറ്റക്ഷൻ രീതി ഉപയോഗിച്ച് എഡ്ജ് നെറ്റ്‌വർക്ക് ട്രാഫിക്ക് വിശകലനം ചെയ്യുന്ന DDoS ആക്രമണങ്ങളിൽ നിന്ന് ഉപസിസ്റ്റം പരിരക്ഷ നൽകുന്നു.

സെൻസറുകൾ, ഒന്നോ അതിലധികമോ മാനേജ്‌മെൻ്റ് സെർവറുകൾ, ഒരു ഓപ്പറേറ്റർ കൺസോൾ, അഡ്മിനിസ്‌ട്രേറ്റർമാർ എന്നിവ ഉൾപ്പെടുന്നതാണ് നുഴഞ്ഞുകയറ്റ പ്രതിരോധ പരിഹാരം. ചിലപ്പോൾ വിവര സുരക്ഷാ ഇവൻ്റുകളെക്കുറിച്ചും അവയുടെ പാരാമീറ്ററുകളെക്കുറിച്ചും വിവരങ്ങൾ സംഭരിക്കുന്നതിന് ഒരു ബാഹ്യ ഡാറ്റാബേസ് അനുവദിച്ചിരിക്കുന്നു.

കൺട്രോൾ സെർവർ സെൻസറുകളിൽ നിന്ന് വിവരങ്ങൾ സ്വീകരിക്കുകയും അവ നിയന്ത്രിക്കുകയും ചെയ്യുന്നു. സാധാരണഗതിയിൽ, സെർവറുകൾ ഇവൻ്റ് ഏകീകരണവും പരസ്പര ബന്ധവും നടത്തുന്നു. പ്രധാനപ്പെട്ട ഇവൻ്റുകളുടെ ആഴത്തിലുള്ള പ്രോസസ്സിംഗിനായി, സിസ്റ്റം-ലെവൽ ഇൻട്രൂഷൻ പ്രിവൻഷൻ ടൂളുകൾ നിരീക്ഷണ, സംഭവ മാനേജ്മെൻ്റ് സബ്സിസ്റ്റവുമായി സംയോജിപ്പിച്ചിരിക്കുന്നു.

കൺസോളുകൾ ഓപ്പറേറ്റർമാർക്കും സബ്സിസ്റ്റം അഡ്മിനിസ്ട്രേറ്റർമാർക്കും ഇൻ്റർഫേസുകൾ നൽകുന്നു. സാധാരണ ഇത് ഒരു വർക്ക്സ്റ്റേഷനിൽ ഇൻസ്റ്റാൾ ചെയ്തിട്ടുള്ള ഒരു സോഫ്റ്റ്വെയർ ടൂളാണ്.

കേന്ദ്രീകൃത അഡ്മിനിസ്ട്രേഷൻ സംഘടിപ്പിക്കുന്നതിനും സിഗ്നേച്ചർ അപ്‌ഡേറ്റുകൾ നിയന്ത്രിക്കുന്നതിനും കോൺഫിഗറേഷനുകൾ നിയന്ത്രിക്കുന്നതിനും ഓർഗനൈസേഷൻ്റെ സുരക്ഷാ മാനേജ്‌മെൻ്റ് സബ്‌സിസ്റ്റവുമായുള്ള സംയോജനമാണ് ഉപയോഗിക്കുന്നത്.

വിവിധ തരത്തിലുള്ള സബ്സിസ്റ്റം ടൂളുകളുടെ സംയോജിത ഉപയോഗം മാത്രമേ സമഗ്രവും കൃത്യവുമായ നുഴഞ്ഞുകയറ്റം കണ്ടെത്തലും പ്രതിരോധവും കൈവരിക്കുന്നത് സാധ്യമാക്കുന്നു എന്നത് കണക്കിലെടുക്കേണ്ടതാണ്.

സിസ്റ്റം തലത്തിലുള്ള നുഴഞ്ഞുകയറ്റം തടയൽ

സിസ്റ്റം-ലെവൽ ഇൻട്രൂഷൻ പ്രിവൻഷൻ സബ്സിസ്റ്റം (ഹോസ്റ്റ്-അടിസ്ഥാന ഐഡിഎസ്/ഐപിഎസ്) സിസ്റ്റം-ലെവൽ ആക്രമണങ്ങളെ ഉടനടി തടയുകയും ഉത്തരവാദികളെ അറിയിക്കുകയും ചെയ്യുന്നു. സിസ്റ്റം-ലെവൽ ആക്രമണം കണ്ടെത്തൽ ഏജൻ്റുകൾ (സെൻസറുകൾ) ഒരു വ്യക്തിഗത ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തിൽ സംഭവിക്കുന്ന പ്രവർത്തനത്തെ പ്രതിഫലിപ്പിക്കുന്ന വിവരങ്ങൾ ശേഖരിക്കുന്നു.

നോഡ് ഇൻഫർമേഷൻ ഒബ്‌ജക്റ്റുകളിലേക്കുള്ള ആക്‌സസ് നിയന്ത്രിക്കാനും അവയുടെ സമഗ്രത പരിശോധിക്കാനും ഒരു നിർദ്ദിഷ്ട ഉപയോക്താവിൻ്റെ അസാധാരണ പ്രവർത്തനങ്ങൾ രജിസ്റ്റർ ചെയ്യാനും ഉള്ള കഴിവാണ് ഈ ഉപസിസ്റ്റത്തിൻ്റെ പ്രയോജനങ്ങൾ.

പോരായ്മകളിൽ സങ്കീർണ്ണമായ അസാധാരണ സംഭവങ്ങൾ കണ്ടെത്താനുള്ള കഴിവില്ലായ്മ, സംരക്ഷിത സിസ്റ്റത്തിൻ്റെ അധിക വിഭവങ്ങളുടെ ഉപയോഗം, എല്ലാ സംരക്ഷിത നോഡുകളിലും ഇൻസ്റ്റാളേഷൻ്റെ ആവശ്യകത എന്നിവ ഉൾപ്പെടുന്നു. കൂടാതെ, ഓപ്പറേറ്റിംഗ് സിസ്റ്റം കേടുപാടുകൾ സെൻസറുകളുടെ സമഗ്രതയും പ്രവർത്തനവും വിട്ടുവീഴ്ച ചെയ്യും.

പരിഹാരങ്ങൾ:

സിസ്കോ സെക്യൂരിറ്റി ഏജൻ്റ്

പോയിൻ്റ് എൻഡ്‌പോയിൻ്റ് സുരക്ഷ പരിശോധിക്കുക
സിമാൻടെക് എൻഡ്‌പോയിൻ്റ് പരിരക്ഷണം
ട്രെൻഡ് മൈക്രോ ഓഫീസ് സ്കാൻ കോർപ്പറേറ്റ് പതിപ്പ്
IBM പ്രൊവെൻഷ്യ സെർവർ ഇൻട്രൂഷൻ പ്രിവൻഷൻ സിസ്റ്റം
കാസ്‌പെർസ്‌കി ടോട്ടൽ സെക്യൂരിറ്റി


നെറ്റ്‌വർക്ക് ലെയർ നുഴഞ്ഞുകയറ്റം തടയൽ

നെറ്റ്‌വർക്ക്-ലെവൽ ഇൻട്രൂഷൻ പ്രിവൻഷൻ സബ്സിസ്റ്റം (നെറ്റ്‌വർക്ക് അധിഷ്‌ഠിത ഐപിഎസ് അല്ലെങ്കിൽ എൻഐപിഎസ്) നെറ്റ്‌വർക്ക് ആക്രമണങ്ങളെ ഉടനടി തടയുകയും ഉത്തരവാദികളെ അറിയിക്കുകയും ചെയ്യുന്നു. നെറ്റ്‌വർക്ക് ലെവൽ ടൂളുകൾ ഉപയോഗിക്കുന്നതിൻ്റെ പ്രയോജനം ഒരു ടൂൾ ഉപയോഗിച്ച് നിരവധി നോഡുകൾ അല്ലെങ്കിൽ നെറ്റ്‌വർക്ക് സെഗ്‌മെൻ്റുകൾ സംരക്ഷിക്കാനുള്ള കഴിവാണ്.

ഒരു കണക്ഷൻ തകരാറിലാകുമ്പോഴോ ചില നോഡുകളുടെയോ നെറ്റ്‌വർക്ക് സെഗ്‌മെൻ്റുകളുടെയോ നെറ്റ്‌വർക്ക് ട്രാഫിക് നിഷ്ക്രിയമായി കാണുകയും നെറ്റ്‌വർക്ക്, ഗതാഗതം, ആപ്ലിക്കേഷൻ ഇൻ്ററാക്ഷൻ പ്രോട്ടോക്കോളുകൾ എന്നിവ വിശകലനം ചെയ്യുകയും ചെയ്യുമ്പോൾ സോഫ്റ്റ്‌വെയർ അല്ലെങ്കിൽ ഹാർഡ്‌വെയർ-സോഫ്റ്റ്‌വെയർ സെൻസറുകൾ ഇൻസ്റ്റാൾ ചെയ്യപ്പെടുന്നു.

ക്യാപ്‌ചർ ചെയ്‌ത ട്രാഫിക്കിനെ ആക്രമണങ്ങളുടെ അല്ലെങ്കിൽ സുരക്ഷാ നയ നിയമങ്ങളുടെ ലംഘനങ്ങളുടെ ഒരു കൂട്ടം പ്രത്യേക പാറ്റേണുകളുമായി (ഒപ്പ്) താരതമ്യം ചെയ്യുന്നു. ഒരു നെറ്റ്‌വർക്ക് പാക്കറ്റിൽ ഒപ്പുകൾ കണ്ടെത്തിയാൽ, പ്രതിരോധ നടപടികൾ പ്രയോഗിക്കും.

പ്രതിരോധ നടപടികളായി, ഇനിപ്പറയുന്നവ നടപ്പിലാക്കാൻ കഴിയും:

  • തിരഞ്ഞെടുത്ത നെറ്റ്‌വർക്ക് പാക്കറ്റുകൾ തടയുന്നു;
  • നുഴഞ്ഞുകയറ്റം കൂടുതൽ ഫലപ്രദമായി തടയുന്നതിന് മറ്റ് വിവര സുരക്ഷാ ഉപസിസ്റ്റങ്ങളുടെ (ഉദാഹരണത്തിന്, ഒരു ഫയർവാൾ) കോൺഫിഗറേഷൻ മാറ്റുക;
  • പിന്നീടുള്ള വിശകലനത്തിനായി തിരഞ്ഞെടുത്ത പാക്കേജുകൾ സംരക്ഷിക്കുന്നു;
  • സംഭവങ്ങളുടെ രജിസ്ട്രേഷനും ഉത്തരവാദിത്തപ്പെട്ട വ്യക്തികളുടെ അറിയിപ്പും.

ഈ ടൂളുകളുടെ ഒരു അധിക സവിശേഷത സംരക്ഷിത നോഡുകളെക്കുറിച്ചുള്ള വിവരങ്ങളുടെ ശേഖരണമായിരിക്കാം. ഒരു നോഡിൻ്റെയോ നെറ്റ്‌വർക്ക് സെഗ്‌മെൻ്റിൻ്റെയോ സുരക്ഷയെയും നിർണായകതയെയും കുറിച്ചുള്ള വിവരങ്ങൾ ലഭിക്കുന്നതിന്, വിവര സുരക്ഷയുടെ ഫലപ്രാപ്തി നിരീക്ഷിക്കുന്നതിനുള്ള ഒരു സബ്സിസ്റ്റവുമായുള്ള സംയോജനം ഉപയോഗിക്കുന്നു.

Cisco Systems ഉൽപ്പന്നങ്ങളെ അടിസ്ഥാനമാക്കിയുള്ള ഒരു നെറ്റ്‌വർക്ക് ലെയർ നുഴഞ്ഞുകയറ്റ പ്രതിരോധ പരിഹാരത്തിൻ്റെ ഒരു ഉദാഹരണം ചിത്രത്തിൽ കാണിച്ചിരിക്കുന്നു:

ചിത്രം 1. Cisco Systems ഉൽപ്പന്നങ്ങളെ അടിസ്ഥാനമാക്കിയുള്ള ഒരു നെറ്റ്‌വർക്ക് ലെയർ നുഴഞ്ഞുകയറ്റ പ്രതിരോധ പരിഹാരത്തിൻ്റെ ഉദാഹരണം

പരിഹാരങ്ങൾ:


DDoS ആക്രമണങ്ങൾക്കെതിരായ സംരക്ഷണം

പരിണതഫലങ്ങളുടെ അടിസ്ഥാനത്തിൽ, കമ്പ്യൂട്ടർ ആക്രമണങ്ങളുടെ ക്ലാസുകളിൽ ഏറ്റവും നിർണായകമായ ഒന്ന്, വിവര വിഭവങ്ങളുടെ ലഭ്യതയെ തടസ്സപ്പെടുത്താൻ ലക്ഷ്യമിട്ടുള്ള ഡിസ്ട്രിബ്യൂട്ടഡ് ഡിനയൽ ഓഫ് സർവീസ് (DDoS) ആക്രമണങ്ങളാണ്. ഇൻ്റർനെറ്റിലെ ഹോസ്റ്റുകളിൽ ഹോസ്റ്റ് ചെയ്‌തിരിക്കുന്ന ഒന്നിലധികം സോഫ്റ്റ്‌വെയർ ഘടകങ്ങൾ ഉപയോഗിച്ചാണ് ഈ ആക്രമണങ്ങൾ നടത്തുന്നത്. അവ വ്യക്തിഗത നോഡുകളുടെയും സേവനങ്ങളുടെയും പരാജയത്തിന് മാത്രമല്ല, റൂട്ട് ഡിഎൻഎസ് സെർവറുകളുടെ പ്രവർത്തനം നിർത്താനും നെറ്റ്‌വർക്കിൻ്റെ ഭാഗികമായോ പൂർണ്ണമായോ ഷട്ട്‌ഡൗണിന് കാരണമാകും.

DDoS ആക്രമണങ്ങളിൽ നിന്നുള്ള സംരക്ഷണത്തിൻ്റെ പ്രധാന ലക്ഷ്യം അവ സംഭവിക്കുന്നത് തടയുക, ഈ ആക്രമണങ്ങൾ കൃത്യമായി കണ്ടെത്തുകയും അവയോട് വേഗത്തിൽ പ്രതികരിക്കുകയും ചെയ്യുക എന്നതാണ്. അതേസമയം, നുഴഞ്ഞുകയറ്റ ട്രാഫിക്കിന് സമാനമായ സ്വഭാവസവിശേഷതകളുള്ള നിയമാനുസൃത ട്രാഫിക് ഫലപ്രദമായി തിരിച്ചറിയുകയും ഉദ്ദേശിച്ച ലക്ഷ്യസ്ഥാനത്തേക്ക് നിയമാനുസൃതമായ ട്രാഫിക്കിൻ്റെ വിശ്വസനീയമായ ഡെലിവറി ഉറപ്പാക്കുകയും ചെയ്യേണ്ടത് പ്രധാനമാണ്.

DDoS ആക്രമണങ്ങളിൽ നിന്ന് പരിരക്ഷിക്കുന്നതിനുള്ള ഒരു പൊതു സമീപനത്തിൽ ഇനിപ്പറയുന്ന സംവിധാനങ്ങൾ ഉൾപ്പെടുന്നു:

  • നുഴഞ്ഞുകയറ്റം കണ്ടെത്തൽ;
  • നുഴഞ്ഞുകയറ്റത്തിൻ്റെ ഉറവിടം നിർണ്ണയിക്കുന്നു;
  • നുഴഞ്ഞുകയറ്റം തടയുന്നു.


ടെലികോം ഓപ്പറേറ്റർമാർക്കുള്ള പരിഹാരം

നടപ്പിലാക്കിയ പരിഹാരത്തിൻ്റെ ബിസിനസ്സ് നേട്ടങ്ങൾ:

  • വലിയ, ഇടത്തരം, ചെറുകിട സംരംഭങ്ങൾക്കായി സ്കെയിലിംഗ് സാധ്യതയുള്ള ഒരു പുതിയ ഉയർന്ന തലത്തിലുള്ള സേവനം വാഗ്ദാനം ചെയ്യാനുള്ള അവസരം;
  • ക്ലയൻ്റുകൾക്ക് നാശവും നഷ്ടവും തടയുന്നതിൽ ഉൾപ്പെട്ടിരിക്കുന്ന വിശ്വസ്ത വ്യക്തിയായി സ്വയം സ്ഥാപിക്കാനുള്ള കഴിവ്;
  • നെറ്റ്‌വർക്ക് ഇൻഫ്രാസ്ട്രക്ചർ കൺട്രോളബിലിറ്റി മെച്ചപ്പെടുന്നു;
  • ആക്രമണങ്ങളെക്കുറിച്ചുള്ള റിപ്പോർട്ടുകൾ വരിക്കാർക്ക് നൽകാനുള്ള കഴിവ്.

ഈ പരിഹാരം ടെലികോം ഓപ്പറേറ്റർമാരെ വിതരണം ചെയ്ത DoS ആക്രമണങ്ങളിൽ നിന്ന് ഉപഭോക്താക്കൾക്ക് സംരക്ഷണം നൽകാൻ അനുവദിക്കുന്നു, അതേ സമയം അവരുടെ സ്വന്തം നെറ്റ്‌വർക്കുകളെ ശക്തിപ്പെടുത്തുകയും സംരക്ഷിക്കുകയും ചെയ്യുന്നു. ആശയവിനിമയ ചാനലിൽ നിന്ന് അസാധാരണമായ ട്രാഫിക് നീക്കം ചെയ്യുകയും നിയമാനുസൃതമായ ട്രാഫിക് മാത്രം നൽകുകയും ചെയ്യുക എന്നതാണ് പരിഹാരത്തിൻ്റെ അടിസ്ഥാന ലക്ഷ്യം.

ഒരു സേവന ദാതാവിന് അതിൻ്റെ കോർപ്പറേറ്റ് ക്ലയൻ്റുകൾക്ക് രണ്ട് തരത്തിൽ DDoS പരിരക്ഷ നൽകാൻ കഴിയും:

  • സമർപ്പിത സേവനം- ഇൻ്റർനെറ്റുമായി ബന്ധിപ്പിച്ചിട്ടുള്ള ബിസിനസ്സ് കമ്പനികൾക്ക് അനുയോജ്യം: ഇവ "ഓൺലൈൻ" വ്യാപാരം, സാമ്പത്തിക സ്ഥാപനങ്ങൾ, ഇ-കൊമേഴ്‌സിൽ ഏർപ്പെട്ടിരിക്കുന്ന മറ്റ് സംരംഭങ്ങൾ എന്നിവയിൽ ഏർപ്പെട്ടിരിക്കുന്ന കമ്പനികളാണ്. സമർപ്പിത സേവനം പ്രക്ഷേപണം ചെയ്ത ട്രാഫിക്ക് വൃത്തിയാക്കാനുള്ള കഴിവ് നൽകുന്നു, കൂടാതെ ക്ലയൻ്റിൻ്റെ അഭ്യർത്ഥന പ്രകാരം DDoS ആക്രമണങ്ങൾ കണ്ടെത്തുന്നതിനും ട്രാഫിക് ക്ലീനപ്പ് നടപടിക്രമങ്ങൾ സജീവമാക്കുന്നതിനുമുള്ള അധിക കഴിവുകൾ;
  • പങ്കിട്ട സേവനം- അവരുടെ "ഓൺലൈൻ" സേവനങ്ങൾക്കായി DDoS ആക്രമണങ്ങളിൽ നിന്ന് ഒരു നിശ്ചിത തലത്തിലുള്ള പരിരക്ഷ ആവശ്യമുള്ള കോർപ്പറേറ്റ് ക്ലയൻ്റുകൾക്കായി രൂപകൽപ്പന ചെയ്‌തിരിക്കുന്നു. എന്നിരുന്നാലും, ഈ പ്രശ്നം അവരെ സംബന്ധിച്ചിടത്തോളം നിശിതമല്ല. എല്ലാ ക്ലയൻ്റുകൾക്കും കൂട്ടായി ട്രാഫിക്ക് ക്ലിയർ ചെയ്യാനുള്ള കഴിവും DDoS ആക്രമണങ്ങൾ കണ്ടെത്തുന്നതിനുള്ള ഒരു സ്റ്റാൻഡേർഡ് പോളിസിയും ഈ സേവനം വാഗ്ദാനം ചെയ്യുന്നു.


പരിഹാര വാസ്തുവിദ്യ

ചിത്രം 2. ടെലികോം ഓപ്പറേറ്റർമാർക്കുള്ള ഒരു DDoS സംരക്ഷണ പരിഹാരത്തിൻ്റെ ആർക്കിടെക്ചർ

വിതരണം ചെയ്ത DoS ആക്രമണങ്ങൾ കണ്ടെത്തുന്നതിനും അവയുടെ ഉറവിടം ട്രാക്കുചെയ്യുന്നതിനും വിതരണം ചെയ്ത DoS ആക്രമണങ്ങൾ ലഘൂകരിക്കുന്നതിനും പരിഹാര വാസ്തുവിദ്യ ഒരു കാര്യക്ഷമമായ സമീപനം വാഗ്ദാനം ചെയ്യുന്നു.

ആരംഭിക്കുന്നതിന്, DDoS പരിരക്ഷണ ഉപകരണങ്ങൾ ഒരു പഠന പ്രക്രിയയിലൂടെ കടന്നുപോകുകയും റൂട്ടറുകളിൽ നിന്ന് ലഭ്യമായ ഡാറ്റ സ്ട്രീം ഉപയോഗിച്ച് നെറ്റ്‌വർക്കിനുള്ളിലെ ട്രാഫിക്കിൻ്റെ സാധാരണ സ്വഭാവത്തിൻ്റെ ഒരു മാതൃക സൃഷ്ടിക്കുകയും വേണം. പഠന പ്രക്രിയയ്ക്ക് ശേഷം, സിസ്റ്റം ട്രാഫിക് മോണിറ്ററിംഗ് മോഡിലേക്ക് പോകുന്നു, അസാധാരണമായ ഒരു സാഹചര്യം കണ്ടെത്തിയാൽ, സിസ്റ്റം അഡ്മിനിസ്ട്രേറ്റർക്ക് ഒരു അറിയിപ്പ് അയയ്ക്കും. ആക്രമണം സ്ഥിരീകരിച്ചാൽ, നെറ്റ്‌വർക്ക് സുരക്ഷാ അഡ്‌മിനിസ്‌ട്രേറ്റർ ട്രാഫിക് ക്ലീനിംഗ് ഉപകരണത്തെ പരിരക്ഷണ മോഡിലേക്ക് മാറ്റുന്നു. അസാധാരണമായ ട്രാഫിക് കണ്ടെത്തുമ്പോൾ ട്രാഫിക്ക് ക്ലീനപ്പ് ടൂളുകൾ സ്വയമേവ സജീവമാക്കുന്നതിന് മോണിറ്ററിംഗ് ഉപകരണങ്ങൾ കോൺഫിഗർ ചെയ്യാനും സാധിക്കും. പരിരക്ഷണ മോഡിൽ പ്രവർത്തനക്ഷമമാക്കുമ്പോൾ, ഇൻകമിംഗ് ട്രാഫിക്കിനെ അതിലേക്ക് റീഡയറക്‌ട് ചെയ്യുന്നതിനായി ഫിൽട്ടറിംഗ് ടൂൾ എഡ്ജ് റൂട്ടറിൻ്റെ റൂട്ടിംഗ് ടേബിൾ പരിഷ്‌ക്കരിക്കുകയും അത് വൃത്തിയാക്കുകയും ചെയ്യുന്നു. ക്ലിയർ ചെയ്ത ട്രാഫിക് പിന്നീട് നെറ്റ്‌വർക്കിലേക്ക് റീഡയറക്‌ട് ചെയ്യുന്നു.


എൻ്റർപ്രൈസ് സൊല്യൂഷൻ

ഈ പരിഹാരം വികസിപ്പിക്കുമ്പോൾ, വ്യക്തിഗത എൻ്റർപ്രൈസ് സെർവറുകൾ മാത്രമല്ല, ബന്ധപ്പെട്ട ടെലികോം ഓപ്പറേറ്റർമാരുമായുള്ള ആശയവിനിമയ ചാനലുകളും പരിരക്ഷിക്കാൻ കഴിവുള്ള ഒരു സുരക്ഷാ സംവിധാനം നിർമ്മിക്കാൻ ഒരു സംയോജിത സമീപനം ഉപയോഗിച്ചു. പ്രതിരോധത്തിൻ്റെ വ്യക്തമായി നിർമ്മിച്ച ഒരു മൾട്ടി-ലെവൽ സംവിധാനമാണ് പരിഹാരം. കോർപ്പറേറ്റ് നെറ്റ്‌വർക്ക്, റൂട്ടിംഗ് ഉപകരണങ്ങൾ, ആശയവിനിമയ ചാനൽ, മെയിൽ സെർവറുകൾ, വെബ് സെർവറുകൾ, ഡിഎൻഎസ് സെർവറുകൾ എന്നിവയുടെ സുരക്ഷ വർദ്ധിപ്പിക്കാൻ പരിഹാരം നടപ്പിലാക്കുന്നത് നിങ്ങളെ അനുവദിക്കുന്നു.

  • ഇൻ്റർനെറ്റ് വഴി തങ്ങളുടെ ബിസിനസ്സ് നടത്തുന്ന കമ്പനികൾ;
  • കമ്പനിയുടെ കോർപ്പറേറ്റ് വെബ്സൈറ്റിൻ്റെ ലഭ്യത;
  • ബിസിനസ് പ്രക്രിയകൾ നടപ്പിലാക്കാൻ ഇൻ്റർനെറ്റ് ഉപയോഗിക്കുന്നു.


പരിഹാര വാസ്തുവിദ്യ

ചിത്രം 3. സംരംഭങ്ങൾക്കായുള്ള ഒരു DDoS പ്രൊട്ടക്ഷൻ സൊല്യൂഷൻ്റെ ആർക്കിടെക്ചർ

ഈ പരിഹാരം ബാഹ്യ ട്രാഫിക്കിനെ തുടർച്ചയായി നിരീക്ഷിക്കുന്ന അനോമലി ഡിറ്റക്ഷൻ സെൻസറുകൾ ഉപയോഗിക്കുന്നു. ടെലികോം ഓപ്പറേറ്ററുമായുള്ള അതിർത്തിയിലാണ് ഈ സംവിധാനം സ്ഥിതിചെയ്യുന്നത്, അതിനാൽ ആക്രമണ ട്രാഫിക് കമ്പനിയുടെ ആന്തരിക നെറ്റ്‌വർക്കിലേക്ക് പ്രവേശിക്കുന്നതിന് മുമ്പുതന്നെ ക്ലീനിംഗ് പ്രക്രിയ ആരംഭിക്കുന്നു.

ഒരു അപാകത കണ്ടെത്തൽ രീതിക്ക് ട്രാഫിക്ക് ക്ലിയർ ചെയ്യാനുള്ള 100% പ്രോബബിലിറ്റി നൽകാൻ കഴിയില്ല, അതിനാൽ നെറ്റ്‌വർക്കിലും സിസ്റ്റം തലത്തിലും ആക്രമണ പ്രതിരോധ ഉപസിസ്റ്റങ്ങളുമായി സംയോജനത്തിൻ്റെ ആവശ്യകതയുണ്ട്.

നടപ്പിലാക്കിയ പരിഹാരങ്ങളുടെ സാങ്കേതിക നേട്ടങ്ങൾ:

  • DDoS ആക്രമണങ്ങൾക്കുള്ള തൽക്ഷണ പ്രതികരണം;
  • ആവശ്യാനുസരണം മാത്രം സിസ്റ്റം ഓണാക്കാനുള്ള കഴിവ് പരമാവധി വിശ്വാസ്യതയും കുറഞ്ഞ സ്കെയിലിംഗ് ചെലവും ഉറപ്പാക്കുന്നു.

പരിഹാരങ്ങൾ:

ആർബർ പീക്ക്ഫ്ലോ എസ്പി

സിസ്കോ ഗാർഡ്
സിസ്കോ ട്രാഫിക് അനോമലി ഡിറ്റക്ടർ


വായിക്കാൻ ഞങ്ങൾ ശുപാർശ ചെയ്യുന്നു