Добавил теоретическую часть летней практики

4 files changed, 93 insertions, 20 deletions

diff --git a/pract/sem3/images/burpsuite.png b/pract/sem3/images/burpsuite.png
new file mode 100644
index 0000000..718dae8
--- /dev/null
+++ b/pract/sem3/images/burpsuite.png
diff --git a/pract/sem3/images/ddos.png b/pract/sem3/images/ddos.png
new file mode 100644
index 0000000..5e9f13d
--- /dev/null
+++ b/pract/sem3/images/ddos.png
diff --git a/pract/sem3/images/nmap.png b/pract/sem3/images/nmap.png
new file mode 100644
index 0000000..9ab1a0c
--- /dev/null
+++ b/pract/sem3/images/nmap.png
diff --git a/pract/sem3/pract.tex b/pract/sem3/pract.tex
index 492366e..e768f3b 100644
--- a/pract/sem3/pract.tex
+++ b/pract/sem3/pract.tex
@@ -121,8 +121,8 @@
 
 % Даты начала и окончания практики (только для практики, для остальных
 % типов работ не используется)
-\practStart{22 июня 2019}
-\practFinish{05 июля 2019}
+\practStart{22 июня 2020}
+\practFinish{05 июля 2020}
 
 % Год выполнения отчета
 \date{2020}
@@ -134,11 +134,82 @@
 % (допускается оба вида нумерации)
 % \secNumbering
 
-% \tableofcontents
+\tableofcontents
 
-% \intro
+\intro
 
-% введение
+Идея о соединении нескольких компьютеров в одну сеть появилась практически во время зарождения самих ЭВМ. Сегодня сетевые технологии уже показывают себя как самое важное направление развития компьютерной индустрии. Даже небольшие предприятия активно используют сетевые технологии, в то время как существование корпораций уже немыслимо без использования сетей. Из-за повсеместности технологии появляются люди, готовые использовать её в корыстных целях. В данной работе я рассмотрел некоторые из наиболее известных видов сетевых атак.
+
+Во второй части работы рассмотрен процесс создания следов программами, а так же процесс поиска этих следов в системе. Как пример следообразующего элемента рассмотрена программа mspaint. В качестве следовоспринимающего элемента была использована программа Process Monitor от компании Sysinternals.
+
+\section{Сетевые атаки}
+
+Атака на сетевую инфраструктуру может производиться по разным причинам: от уничтожения или кражи данных до получения доступа к другой сети, недоступной извне.
+
+\subsection{Сканирование портов}
+
+Сканирование портов -- основной способ добычи информации о внутренней инфраструктуре сети. Позволяет обнаружить используемые сервисы на атакуемом сервере и, отталкиваясь от этих данных, составить план последующей атаки \cite{wiki_scanner}. Целью данной атаки является именно подготовка последующей атаки, основанной на уязвимостях обнаруженных сетевых служб, а не кража конфиденциальной информации.
+
+\begin{figure}[H]
+    \centering
+    \includegraphics[width=0.8\textwidth]{nmap.png}
+    \caption{Пример работы сетевого сканера nmap}
+    \label{fig:nmap}
+\end{figure}
+
+Самым простым способом сканирования портов является TCP сканирование с помощью сетевых функций операционной системы. Но данный способ обычно применяется тогда, когда использование других, более точных, способов не представляется возможным. Это связано с тем, что при использовании создаётся и быстро закрывается большое количество TCP соединений. Это создаёт нагрузку на сканирующую систему, а также позволяет быстро обнаружить активность сканера в сети. 
+
+Для изучения сети более предпочтительным является SYN сканирование, так как при его использовании не создаётся полноценных сетевых соединений, либо другие методы, если этот не является осуществимым. \cite{kaspersky_scanner}
+
+Для защиты от сканирования портов следует применять межсетевой экран с правильно настроенными правилами фильтрации пакетов.
+
+\subsection{Человек посередине}
+
+Человек посередине -- при доступе к каналу связи в сети, злоумышленник перехватывает сетевые пакеты для их изучения. В данных пакетах может содержаться конфиденциальная информация, так как некоторые протоколы передают информацию не используя шифрование. Помимо этого в трафике может содержаться информация о сети и её пользователях \cite{kader2003}. 
+
+\begin{figure}[H]
+    \centering
+    \includegraphics[width=0.9\textwidth]{burpsuite.png}
+    \caption{Пример программы, осуществляющей прослушивание трафика}
+    \label{fig:burpsuite}
+\end{figure}
+
+При отсутствии шифрования пользователь будет думать, что общается напрямую с сервисом, но на самом деле весь трафик перехватывается посредником и происходит утечка конфиденциальной информации. 
+
+Основным способом защиты от такого типа атак является шифрование трафика. Даже если злоумышленник сможет перехватить канал связи и начать <<слушать>> весь проходящий трафик, у него всё равно не получится получить никакой осмысленной информации за разумный промежуток времени. Помимо этого, современные технологии позволяют обнаруживать данный тип атак и предотвращать утечки информации.
+
+\subsection{Подмена IP-адресов}
+
+Смысл атаки заключается в формировании IP пакета данных с изменённым обратным IP адресом. Если на атакуемом сервере не включена защита от спуфинга (подмены) IP адресов, то такой пакет может отправиться во внутреннюю сеть и открыть доступ злоумышленникам.
+
+Обычно IP спуфинг ограничивается введением опасных данных или команд в существующий поток данных, который проходит между клиентом и сервером или при связи равноправных узлов сети. Чтобы обеспечить двунаправленное соединение, злоумышленник должен изменить все таблицы маршрутизации, чтобы направить на подмененный IP адрес. Иногда используется другой подход -- просто не беспокоиться по поводу получения какого-либо отклика от приложений. Если хакер пробует получить критически важный файл системы, ответы приложений ему не важны. Однако если хакер сможет изменить таблицы маршрутизации, чтобы направить на поддельный IP адрес, он сможет получать все сетевые пакеты, которые направляются на поддельный адрес и отвечать именно так, как отвечал бы доверенный пользователь \cite{borshevikov2011}.
+
+\subsection{DoS атака}
+
+DoS или Denial of Service атака -- вид атаки, при которой атакуемый сервис выводится из строя (затрудняется использование сервиса обычными пользователями).
+
+\begin{figure}[H]
+    \centering
+    \includegraphics[width=0.6\textwidth]{ddos.png}
+    \caption{Схема DDoS атаки с помощью зомби-сети}
+    \label{}
+\end{figure}
+
+Данный тип атаки использует ограниченную пропускную способность атакуемых серверов. DoS атаки можно использовать для дальнейшего завладения атакуемой системой, так как при критических нагрузках могут происходить ошибки в ПО и, в следствие этого выдаваться критические данные о внутренней инфраструктуре сетевого ресурса.
+
+Но, обычно, DoS атаки проводятся исключительно для вывода сервиса из строя. Таким образом можно <<экономически>> давить на атакуемую систему, так как защита от DoS атаки или восстановление работы после атаки могут обойтись в значительную сумму денег.
+
+Для более эффективного вывода сервиса из строя используются распределённые DoS (Distributed DoS или DDoS) атаки. Для формирования зомби-сети используются вирусы, троянские программы или обычные купленные сервера. После этого зомби-сеть заполняет пропускную способность атакуемого сервиса, тем самым выводя его из строя \cite{kaspersky_ddos}.
+
+\subsection{XSS атака}
+
+XSS или Cross-Site Scripting -- вид атаки, при котором в выдаваемую сервисом страницу внедряется вредоносный код. XSS атаки занимают высокое место в списке основных уязвимостей веб-систем, однако им долгое время не уделяли должного внимания.
+
+Выделяются два вида XSS атак -- отражённый и хранимый. Отражённая атака происходит когда пользователь переходит по заранее подготовленной ссылке и в следствие уязвимостей сервера, пользователю выдаётся страница со встроенным вредоносным кодом. При этом код хранится только на стороне клиента и не является опасным для других пользователей.
+
+При хранимом типе XSS атаки вредоносный код встраивается в серверное ПО и позволяет заразить все клиенты, которые запрашивают страницу с вредоносным кодом с сервера. Благодаря этому могут пополняться зомби-сети, используемые для DDoS атак \cite{wiki_xss}.
+
+Второй тип атаки является наиболее опасным, так как представляет непосредственную угрозу для всех пользователей заражённого веб-сервиса. Несвоевременное обнаружение и закрытие этого вектора атаки может грозить разрушительными последствиями для атакованного сервиса.
 
 \section{Отслеживание следов в системе}
 
@@ -199,13 +270,6 @@
     \label{fig:appletsCreate}
 \end{figure}
 
-% \begin{figure}[H]
-%     \centering
-%     \includegraphics[width=0.8\textwidth]{appletsDir.png}
-%     \caption{Ветка Applets в изучаемой (справа) и новой (слева) системах}
-%     \label{fig:applets}
-% \end{figure}
-
 Далее в списке находится большое количество однотипных операций типа CreateFile (рис. \ref{fig:phantomFiles}). При детальном рассмотрении все записи оказались фантомными: дата последнего изменения файлов не изменилась.
 
 \begin{figure}[H]
@@ -264,16 +328,25 @@
 
 При включении панели палитры этот ключ пропадает из реестра, из чего можно сделать вывод, что предположение было верным. Это важный след, который указывает на состояние, в котором находится программа после её закрытия.
 
-% \conclusion
+\conclusion
+
+В теоретической части отчёта я рассмотрел основные векторы сетевых атак и способы их предупреждения и предотвращения. Для предотвращения большинства атак необходима базовая компьютерная грамотность и внимательность со стороны пользователя, а также хорошо спланированная и защищённая архитектура веб-приложений со стороны программистов. Каждый день появляется огромное количество новых сетевых уязвимостей, но все они попадают в одну из базовых категорий, которые уже известны проектировщикам приложений, что позволяет им защитить от сетевых угроз обычных пользователей.
+
+В практической части отчета я изучил процесс отслеживания следов, которые оставляет за собой программа mspaint в системе Windows. Во время эксперимента мною были обнаружены следы, указывающие на недавние взаимодействия пользователя с файлами на диске. Также я обнаружил следы, указывающие на состояние, в котором находилась программа во время её закрытия.
+
+\begin{thebibliography}{99}
+    \bibitem{borshevikov2011} Боршевников, А. Е. Сетевые атаки. Виды. Способы борьбы / А. Е. Боршевников. — Текст : непосредственный // Современные тенденции технических наук : материалы I Междунар. науч. конф. (г. Уфа, октябрь 2011 г.). — Уфа : Лето, 2011. — С. 8-13. — URL: \url{https://moluch.ru/conf/tech/archive/5/1115/} (дата обращения: 05.07.2020).
+
+    \bibitem{kader2003} Кадер М. Разновидности сетевых атак. [Электронный ресурс] -- URL:~\url{https://www.cnews.ru/reviews/free/security/part7/net_attack.shtml} (дата обращения 05.07.2020) -- Загл. с экрана. Яз. рус.
+
+    \bibitem{kaspersky_ddos} Распределенные сетевые атаки / DDoS [Электронный ресурс] -- URL:~\url{https://www.kaspersky.ru/resource-center/threats/ddos-attacks} (дата обращения 05.07.2020) -- Загл. с экрана. Яз. рус.
+
+    \bibitem{kaspersky_scanner} Сканирование портов [Электронный ресурс] // Энциклопедия <<Касперского>> -- URL:~\url{https://encyclopedia.kaspersky.ru/glossary/port-scanning/} (дата обращения 05.07.2020) -- Загл. с экрана. Яз. рус.
 
-% заключение
+    \bibitem{wiki_xss} Cross-site scripting [Электронный ресурс] // Википедия [Электронный ресурс] : свободная энциклопедия / текст доступен по лицензии Creative Commons Attribution-ShareAlike ; Wikimedia Foundation, Inc, некоммерческой организации. - Wikipedia®, 2001- . - URL: \url{https://en.wikipedia.org/wiki/Cross-site_scripting} (дата обращения: 05.07.2020). - Загл. с экрана. - Последнее изменение страницы: 14:49, 1 июля 2020 года. - Яз. англ.
 
-% \begin{thebibliography}{99}
-%     \bibitem{Tannenbaum} Э.Танненбаум "Архитектура компьютера" (6-e издание)
-%     \bibitem{RISC} http://shackmaster.narod.ru/vidmodes.htm
-%     \bibitem{ALU} https://profi-user.ru/videoram/
-%     \bibitem{IBM} https://ru.wikipedia.org/wiki/Видеопамять
-% \end{thebibliography}
+    \bibitem{wiki_scanner} Port scanner [Электронный ресурс] // Википедия [Электронный ресурс] : свободная энциклопедия / текст доступен по лицензии Creative Commons Attribution-ShareAlike ; Wikimedia Foundation, Inc, некоммерческой организации. - Wikipedia®, 2001- . - URL: \url{https://en.wikipedia.org/wiki/Port_scanner} (дата обращения: 05.07.2020). -- Загл. с экрана. - Последнее изменение страницы: 16:56, 9 мая 2020 года. -- Яз. англ.
+\end{thebibliography}
 
 % \bibliographystyle{gost780uv}
 % \bibliography{thesis}