• ×

    • Обзор бесплатных программ для обнаружения и предотвращения вторжений. Технологии систем обнаружения сетевых атак

    26.05.2019

    Проникнуть в чужую беспроводную сеть – чем не забава?! Пошалишь - и смотаешься. Взломщик не подключается к сети по проводам и может находиться где угодно, лишь бы был уверенный прием. В автомобиле, на улице, например. Попробуй поймай! Только вот что я тебе скажу: все это — популярное заблуждение. Технологии защиты развиваются, и даже банальное сканирование эфира самими обычными программами выдаст тебя с потрохами. А ты не знал?

    Как выявить сканирование?

    Чтобы найти поблизости беспроводные устройства , а следовательно, и
    беспроводные сети , используют специальные сканеры эфира. Поставил такую штуку на ноутбук или КПК и гуляешь по городу, в то время как программа ведет логи всех найденных точек доступа, с указанием SSID (идентификатора сети), производителя оборудования, механизма шифрования, скорости работы и даже координат, если к ноуту подключен GPS-модуль.

    Знакомые софтины - Netstambler, Macstambler, Kismet (или его версия под винду — Kiswin) - в два счета просканируют эфир и выдадут всю информацию на экран.

    Но тут есть один важный момент, о котором многие даже не подозревают! Эти сканеры не просто пассивно просматривают эфир, но также используют активные методы исследования, посылая в сеть специальные пакеты. Если ты просканировал эфир Netstambler’ом, то считай, ты уже выдал свое присутствие. Хорошо, если
    беспроводная сеть - это одинокая точка доступа, которой вряд ли даже поменяли пароль для администрирования через веб-панель. Но если это серьезная компания, то к любой подобной активности (внутри закрытой сети) отнесутся с подозрением. И дело тут вот в чем.

    Когда осуществляется пассивное сканирование (в соответствии со стандартом 802.11, то есть Wi-Fi), ничего страшного не происходит, но и эффективность такого сканирования нулевая! Как только дело касается интимной информации о сети (которая может быть очень полезна взломщику), стемблер выдает свое присутствие из-за специального LLC/SNAP-фрейма.

    Еще 3 года назад (23 марта 2004 года) хакер-исследователь Mike Craik предложил уникальный идентификатор, по которому можно задетектить трафик программы NetStumbler: LLC-фреймы, генерируемые сканером и содержащие уникальный идентификатор (OID) 0x00601d и идентификатор протокола (PID) 0x0001. Кроме того, специальная строковая переменная, передающаяся через 58-байтное поле данных, содержит информацию о версии продукта в так называемом «пасхальном яйце»:

    0.3.2 Flurble gronk bloopit, bnip Frundletrune
    0.3.2 All your 802.11b are belong to us
    0.3.3 " intentionally blank"

    Причин для таких подвохов может быть много, в том числе просьба оперативных органов, ссориться с которыми автору бесплатной программы, естественно, не хочется. Чтобы устранить «пасхальное яйцо», следует поковырять бинарник netstumbler.exe редактором ресурсов и изменить его. Но это не решит проблему обнаружения сканирования (с LLC-фреймом ничего не сделать). И к слову, Ministumbler — тулза из той же серии, только для платформы Pocket PC, —
    содержит аналогичные подвохи.

    А как насчет альтернативы Netstumbler’у?

    Теперь понятно, каким образом тебя может выдать обычное сканирование? И вроде бы ничего не делал, а по шапке получить уже можешь. Причем что с Netstumbler’ом, что с любым другим софтом. Рассмотрим лишь несколько примеров.

    Это известнейший BSD-сканер беспроводных сетей , который, в отличие от Netstumbler, может проводить пассивное сканирование (режим RFMON), то есть определяет наличие точки доступа и ее SSID. Тем не менее, в режиме активного сканирования в нем тоже существуют эксклюзивные свойства. В поисках точки доступа программа генерирует огромное количество запросов (frame_control 0x0040). После получения ответа точки доступа на подобный запрос будет произведена попытка запроса авторизации (0x0b) и ассоциации (0x0c). Эти значения являются константами, что
    дает право на их использование в качестве уникального идентификатора.

    Может быть, кто-то, прочитав это, подумает: «А в чем проблема? Заюзай тот самый, пассивного сканирования, и все дела!» Возьмем сканер Wellenreiter, включенный в состав известного хакерского LiveCD-дистрибутива - BackTrack. Утилита заточена под Unixware-окружение и в качестве базового условия для старта, естественно, использует iwconfig. После опознавания
    беспроводной карточки ESSID будет автоматически выставлен на «This is used for wellenreiter», а MAC-адрес сконфигурирован на произвольный. Опять палево!

    После такого разгрома даже руки опускаются. Не софт, а настоящее западло для хакера. Что же делать? Заюзать Windows-механизм? Скачивать ничего не надо, и работает он, в общем-то, неплохо - хороший, вроде бы, вариант… Как бы не так! Его механизм тоже использует активный режим сканирования, посылаются те же запросы с широковещательным SSID и уникальным программным идентификатором, что и будет основой детекта подобного рода сканирования. Уникальный фрагмент находится в части «SSID Parameter Set» и состоит из 32 байтов.

    Воспользовавшись функциональными способностями снифера Ethereal (Wireshark), можно без труда определить подобную активность потенциального «воздушного» хакера:

    Netstumbler: wlan.fc.type_subtype eq 32 and llc.oui eq 0x00601d and llc.pid eq 0x0001

    Dstumbler: (wlan.seq eq 11 and wlan.fc.subtype eq 11) or (wlan.seq eq 12 and wlan.fc.subtype eq 00)

    Как поймать хулигана?

    Важно не столько засечь несанкционированные действия в сети, сколько выявить нарушителя. Здесь возникает определенная головоломка, так как мобильность самой технологии Wi-Fi изначально подразумевает таких же мобильных клиентов, которые могут перемещаться во время сеанса пользования сетью. Нашей задачей будет выработка схемы сетевой инфраструктуры, в которой существовало бы как минимум две предпосылки, свидетельствующих о наличии злоумышленника среди доверенного радиопокрытия. Способы обнаружения злоумышленника обычно базируются на данных, поступающих из разных, удаленных друг от друга источников. При этом анализируются данные об уровне приема абонента, а также информация из логов систем обнаружения вторжений
    (IDS).

    Лог IDS-системы, отмечающий активность беспроводных соединений с помощью стандартного механизма Windows XP

    На представленной схеме перед нами модель тривиальной постановки: точки Y и Z выступают в роли AP-«мониторов» (сенсоров нападения), так или иначе передающих событие «произошло сканирование» на специальную систему. Конец коридора ограничен бетонными стенами, изолирующими сигнал от помех извне. Задавая границу в радиопокрытии точки (к примеру, 10 метрами), можно выработать действия по реагированию на подозрительные события.

    Модель логики построения безопасности с участием сенсоров

    Не трудно догадаться, что если будет заподозрен последовательный Stumbling от точек z,y к x, то злоумышленник находится в вполне определенном квадрате пространства. Соответственно, создавая подобную архитектуру по флагам и опираясь на внимание и определенный набор ПО, можно давать указание службе безопасности выдвигаться в соответствующие стороны.

    Остается вопрос: чем фиксировать действия сканера? Это реализуется следующими программными решениями.

    Snort Wireless

    Адрес: snort-wireless.org
    Платформа: Unix

    Эдакая «пожарная сигнализация», которая предупредит практически о любой попытке взлома. Главное, чтобы были грамотно настроены все правила или, иначе говоря, предварительно заданные шаблоны
    атак и вредоносных объектов. Snort Wireless работает подобно популярному Snort, но в
    беспроводных сетях 802.11x , защищая их от нападения. Настройка сводится к следующим пунктам:

    • указание информации об охраняемой территории (параметры сети, имя точки доступа);
    • конфигурация предпроцессоров;
    • конфигурация плагинов;
    • дополнительные собственные правила.

    Наиболее важный пункт здесь – конфигурация предпроцессоров, благодаря которым и происходит переход с намека на
    атаку к боевой тревоге.

    Предпроцессор Anti Stumbler. Для обнаружения точек доступа Netstumbler рассылает широковещательные нулевые SSID, которые заставляют другие точки доступа прислать свои SSID нам. Snort осознает массовость этого дела с одного MAC-адреса и объявляет тревогу. Помимо этого, в наборе Snort Wireless присутствуют предпроцессоры для детекта пассивного скана и попытки подмены
    MAC.

    Предпроцессор Anti Flood. При превышении определенного количества кадров в единицу времени или попыток авторизации происходит распознавание Denial Of Service
    Atack.

    Предпроцессор Anti Mac spoofing. Выявление несоответствий и сравнение с базой данных доверенных клиентов.

    После редактирования всех параметров файл snort.conf обновится, и ты сможешь запустить демон в фоновый режим:

    Snort -D -A ful l

    Nssys glass

    Адрес: home.comcast.net/~jay.deboer/nsspyglass
    Платформа: Windows

    Netstumbler Spyglass использует тот же принцип, что и предпроцессор Snort Wireless. К сожалению, из-за малого спектра поддерживаемого оборудования его не так часто применяют. Рассмотрим его настройку на примере роутера LinkSys. Перед работой необходимо позаботиться о наличии драйвера WinPcap
    (winpcap.polito.it).

    Конфигурация Nssys требует обязательного указания сетевого адаптера

    0402011110BB Access Point MAC Address (No colons and No spaces)
    C:\windows\calc.exe
    0
    5
    C:\windows\notepad.exe
    0
    1
    1
    0
    1
    0
    1

    В таком непонятном конфиге сам черт ногу сломит, поэтому я объясню все по-порядку. В первой строке требуется прописать MAC-адрес точки доступа. Вторая строка указывает путь к приложению, которое будет запущено в момент опознания злоумышленника. Третья принимает значения 0 или 1, в зависимости от твоего желания запускать указанное приложение или нет. Четвертая строка – таймаут в секундах до запуска следующего приложения после обнаружения вардрайвера. Пятая и шестая строка аналогичны второй и третьей, но как раз следующего приложения. Седьмая определяет запись истории событий в лог NSSpyglassLog.txt. Остальное неважно – скопируй, как есть.

    После пробы такого софта Nestumbler использовать даже как-то не хочется

    Airsnare

    Адрес: home.comcast.net/~jay.deboer/airsnare
    Платформа: Windows

    Если в сети работают одни и те же устройства (например, ноутбуки сотрудников), то можно легко внести их MAC-адреса в «белый список» и отслеживать появление посторонних устройств, которые в этот список не входят. На таком простом принципе, в частности, базируется программа Airsnare. Все, что тебе понадобится для работы, - это библиотека WinPcap (winpcap.polito.it) и свободный компьютер, подсоединенный к
    беспроводной точке доступа . В настройках программы не забудь выбрать требуемый адаптер и внести в Friendly Mac list все доверенные устройства, подключенные к твоей сети, включая Mac’и, Xbox’ы, сетевые принт-серверы, лэптопы, iPod’ы с поднятым Wi-Fi и тому подобные излишки моды. Нажимаем «Start», и экран меняет цвет на красный, что говорит о том, что твоя тачка перешла в боевой режим, режим поиска прыщавых хакеров.

    Мониторинг долбящихся в сеть студентов налицо

    Активные методы

    Во всех этих примерах так или иначе были задействованы статические системы обнаружения
    атак в беспроводной среде . Но наверняка есть и более сложные и эффективные техники обнаружения злоумышленника! Хочу обратить твое внимание на систему
    Distributed Wireless Security Auditor , которая принципиально отличается от остальных.


    Комплекс DWSA собственной персоной! Точки доступа, сотрудники, доверенное оборудование и даже нарушители – все, как на ладони.

    Возможности DWSA позволяют определять физическое положение злоумышленника и даже отображать его на интерактивной карте, то есть осуществлять самую настоящую привязку к местности. Это становится вполне реальным за счет постоянного распределенного мониторинга сети. Осуществляется это следующим образом: определенному количеству сотрудников компании, предположим, службе безопасности, выдаются портативные компьютеры со специальным программным оснащением. Параллельно с этим устанавливается back-end сервер безопасности, который будет считывать целевую информацию с устройств сотрудников и заодно определять их местоположение относительно точек доступа на основе сведений о сигнале и их радиопокрытии. Обработку этих данных централизованно выполняет специальный сервер. Он анализирует состояние радиоэфира различных источников и с помощью законов геометрии и дискретной математики определяет примерное расположения объекта. Понятно, что чем больше элементов будет участвовать в работе распределенной системы мониторинга, тем выше будет точность определения на данной территории.

    Какой же принцип лежит в основе определения координат объекта? Банальная триангуляция, которая также применяется в глобальной системе позиционирования GPS. В качестве тех самых портативных девайсов было принято задействовать разработку IBM, именуемую Wireless Security Auditor (WSA). Девайс представляет собой самый обычный iPAQ PDA со специальным дистрибутивом Linux и набором предустановленных тулз для пен-тестов и аудита
    беспроводных сетей : wlandump, ethereal, Sniffer и т.п. Используя их, сотрудники, по сути, проводят активный аудит, отчитываясь главному серверу.

    Метод триангуляции на пальцах

    Ох уж этот MAC-адрес

    Даже просто обнаружив чужого в сети, о нем можно кое-что узнать. Тот же MAC-адрес, который является уникальным признаком любого оборудования, выдаст некоторую информацию. Ведь очень просто установить связь между ним и производителем девайса. Дело в том, что по первым октетам MAC’a и
    базе OUI можно сделать соотношение, определив производителя. Вспомни, на это, в частности, опирается Netstumbler при нахождении точки, высвечивая в графе VENDOR используемое оборудование, например CISCO. В базе OUI это выглядит вот так:

    00-00-0C (hex) CISCO SYSTEMS, INC.
    00000C (base 16) CISCO SYSTEMS, INC.

    Специализированные структуры ведут учет подобных сведений с привязкой к продаваемым устройствам. Обратившись к компании-производителю, компетентные структуры в первую очередь выявят, по каким точкам оно было распределено и каким лицам продано. Кредиты и пластиковые карты еще никто не отменял, поэтому при определенном везении и наличии возможностей (которая есть у органов) можно найти хакера, даже зная, казалось бы, какой-то, MAC-адрес. Ну что, ты засомневался в своей полной анонимности?

    Злоумышленники редко бесцеремонно вторгаются в сеть с «оружием» в руках. Они предпочитают проверить, надежны ли запоры на двери и все ли окна закрыты. Они незаметно анализируют образцы трафика, входящего в вашу сеть и исходящего из нее, отдельные IP-адреса, а также выдают внешне нейтральные запросы, адресованные от­дельным пользователям и сетевым устройствам.

    Для обнаружения этих искусно закамуфлированных врагов приходится устанавливать интеллектуальное программное обеспечение детектирования сетевых атак, обладающее высокой чувствительностью. Приоб­ретаемый продукт должен предупреждать админист­ратора не только о случаях явного нарушения систе­мы информационной безопасности, но и о любых подозрительных событиях, которые на первый взгляд кажутся совершенно безобидными, а в действительно­сти скрывают полномасштабную хакерскую атаку. Нет нужды доказывать, что о вся­кой активной попытке взлома системных паролей администратор должен быть изве­щен немедленно.

    Современные корпорации находятся буквально под перекрестным огнем со сторо­ны злоумышленников, стремящихся похитить ценные сведения или просто вывести из строя информационные системы. Задачи, преследуемые в борьбе с хакерами, доста­точно очевидны:

    – уведомление о предпринятой попытке несанкционированного доступа должно быть немедленным;

    – отражение атаки и минимизация потерь (чтобы противостоять злоумышленни­ку, следует незамедлительно разорвать сеанс связи с ним);

    – переход в контрнаступление (злоумышленник должен быть идентифицирован и наказан).

    Именно такой сценарий использовался при тестировании четырех наиболее попу­лярных систем выявления сетевых атак из присутствующих сегодня на рынке:

    – Intruder Alert;

    – еTrust Intrusion Detection.

    Характеристика указанных программных систем обнаружения сетевых атак при­ведена в табл. 3.2.

    Программа BlackICE фирмы Network ICE - специализированное приложение-агент, предназначенное исключительно для выявления злоумышленников. Обнаружив непрошеного гостя, оно направляет отчет об этом событии управляющему модулю ICEcap, анализирующему информацию» поступившую от разных агентов, и стремяще­муся локализовать атаку на сеть.

    Программное обеспечение Intruder Alert компании Alert Technologies больше похоже на инструментарий для специалистов в области информационной безопасности, посколь­ку оно предоставляет максимальную гибкость в определении стратегий защиты сети.

    Пакет Centrax производства CyberSafe устроен по принципу «все в одном»: в его составе есть средства контроля за системой безопасности, мониторинга трафика, вы­явления атак и выдачи предупреждающих сообщений.



    Система eTrust Intrusion Detection корпорации Computer Associates особенно силь­на функциями контроля за информационной безопасностью и управления стратегия­ми защиты, хотя и в этом продукте реализованы средства выдачи предупреждений в режиме реального времени, шифрования данных и обнаружения атак.

    Таблица 3.2. Характеристика программных систем обнаружения сетевых атак
    Программная система Производитель Характеристика системы
    BlackICE (специализированное приложение-агент) Network ICE Устанавливается на компьютере удаленного поль­зователя или на узле корпоративной сети. Выдает предупреждение об атаке на экран мони­тора пользователя. Сообщает о попытке НСД на средства сетевого мониторинга. Имеет возможность загрузки свежих сигнатур ха­керских атак с сервера. Выявляет источник атаки сети.
    Intruder Alert (инструментарий детектирования сетевых атак) Alert Technologies Выбирает стратегию защиты сети. Поддерживает высокий уровень набора правил се­тевой защиты. Загружает сигнатуры хакерских атак. Требует наличия опытных специалистов для об­служивания.
    Centrax (инструментарий детектирования сетевых атак) Cyber Safe Контролирует систему безопасности сети. Осуществляет мониторинг трафика. Выдает предупреждающие сообщения о сетевой атаке. Требует наличия опытных специалистов для об­служивания.
    eTrust Intrusion Detection (анализатор трафика сети сегмента) Computer Associates Управляет стратегиями защиты. Выдает предупреждения об атаке в режиме реаль­ного времени. Осуществляет мониторинг трафика. Предупреждает администратора о нарушениях стратегии защиты. Сообщает о наличии ненормативной лексики в электронной почте. Располагает информацией о злоумышленнике

    Предупреждения, генерируемые агентами BlackICE, очень конкретны. Текст сооб­щений не заставит администратора усомниться в характере зарегистрированного со­бытия, а в большинстве случаев и в его важности. Кроме того, продукт позволяет ад­министратору настроить содержание собственных предупреждающих сообщений, но по большому счету в этом нет необходимости.

    Весьма полезным свойством разработок Network ICE, а также пакета Intruder Alert является возможность загрузки самых свежих сигнатур хакерских атак с сервера.

    Попытки вывести из строя корпоративный сервер, который в результате вынужден на запросы об обслуживании отвечать отказом (denial-of-service), таят в себе довольно серьезную угрозу бизнесу компаний, предоставляющих своим клиентам услуги по глобальной сети. Суть нападения сводится к тому, что злоумышленник генерирует тысячи запросов SYN (на установление соединения), адресованных атакуемому сер­веру. Каждый запрос снабжается фальшивым адресом источника, что значительно зат­рудняет точную идентификацию самого факта атаки и выслеживание атакующего. Приняв очередной запрос SYN, сервер предполагает, что речь идет о начале нового сеанса связи и переходит в режим ожидания передачи данных. Несмотря на то, что данные после этого не поступают, сервер обязан выждать определенное время (макси­мум 45 с), перед тем как разорвать соединение. Если несколько тысяч таких ложных запросов будут направлены на сервер в течение считанных минут, он окажется пере­гружен, так что на обработку настоящих запросов о предоставлении того или иного сервиса ресурсов попросту не останется. Другими словами, в результате SYN-атаки настоящим пользователям будет отказано в обслуживании.

    Во всех описываемых системах, за исключением eTrust Intrusion Detection корпо­рации Computer Associates, использована модель программных агентов, которые сна­чала инсталлируются на сетевых устройствах, а затем осуществляют сбор информа­ции о потенциальных атаках и пересылают ее на консоль. Агенты выявляют случаи нарушения установленных стратегий защиты и после этого генерируют соответству­ющие сообщения.

    Системы на базе агентов являются наилучшим решением для коммутируемых се­тей, поскольку в таких сетях не существует какой-либо одной точки, через которую обязательно проходит весь трафик. Вместо того чтобы следить за единственным со­единением, агент осуществляет мониторинг всех пакетов, принимаемых или отправ­ляемых устройством, где он установлен. В результате злоумышленникам не удается «отсидеться» за коммутатором.

    Сказанное можно проиллюстрировать на примере продукции фирмы Network ICE. Программе BlackICE отведена роль агента, устанавливаемого в полностью автоном­ной операционной среде, например, на компьютере удаленного пользователя либо на одном из узлов корпоративной сети передачи данных. Обнаружив хакера, атакующего удаленную машину, агент выдаст предупреждение непосредственно на ее экран. Если же аналогичное событие окажется зафиксировано в корпоративной сети, сообщение о попытке несанкционированного доступа будет передано другому приложению - ICEcap, содержащему средства сетевого мониторинга. Последнее собирает и сопос­тавляет информацию, поступающую от разных подчиненных ему агентов, и это дает ему возможность оперативно выявлять события, действительно угрожающие безопас­ности сети.

    Система eTrust, напротив, основана на централизованной архитектуре. Она уста­навливается на центральном узле и анализирует трафик в подведомственном сетевом сегменте. Отсутствие агентов не позволяет данному продукту отслеживать все собы­тия в коммутируемой сети, поскольку в ней невозможно выбрать единственную «смот­ровую площадку», откуда вся сеть была бы видна как на ладони.

    Пакет Intruder Alert и система Centrax производства CyberSafe представляют со­бой скорее инструментарий для построения собственной системы детектирования се­тевых атак. Чтобы в полной мере воспользоваться их возможностями, организация должна иметь в своем штате программистов соответствующей квалификации либо располагать бюджетом, позволяющим заказать подобную работу.

    Несмотря на то, что все описываемые продукты легко инсталлировать, управление системами Intruder Alert и Centrax простым не назовешь. Скажем, если Centrax выда­ет предупреждающее сообщение неизвестного или неопределенного содержания (а такая ситуация не раз имела место в наших тестах), администратор вряд ли сумеет быстро определить, что же, собственно, произошло, особенно если для уточнения диагноза ему придется обратиться к файлам регистрации событий. Эти файлы отлича­ются исчерпывающей полнотой, однако разработчики, по-видимому, решили, что обыч­ному человеку достаточно только намекнуть, о чем может идти речь, и характер происходящего будет безошибочно идентифицирован. В регистрационных журналах этой системы присутствуют описания выданных предупреждений, но нет их идентификато­ров. Администратор видит адреса портов, к которым относились подозрительные зап­росы, либо параметры других операций, но не получает никакой информации о том, что же все это может означать.

    Отмеченное обстоятельство значительно снижает ценность сообщений, выдавае­мых в режиме реального времени, поскольку невозможно сразу сообразить, отражает ли описание события реальную угрозу системе безопасности или это всего лишь по­пытка провести более тщательный анализ трафика. Иными словами, покупать назван­ные продукты имеет смысл лишь в том случае, если в штате вашей организации есть опытные специалисты по информационной безопасности.

    Программное обеспечение eTrust Intrusion Detection корпорации Computer Associates представляет собой нечто большее, чем просто систему мониторинга сете­вой активности и выявления хакерских атак. Этот продукт способен не только декоди­ровать пакеты различных протоколов и служебный трафик, но и перехватывать их для последующего вывода на управляющую консоль в исходном формате. Система осуще­ствляет мониторинг всего трафика ТСРЯР и предупреждает администратора о случа­ях нарушения установленных стратегий в области информационной безопасности. Правда, эта разработка не поддерживает такого же уровня детализации наборов пра­вил, как Intruder Alert.

    Однако детектирование попыток несанкционированного доступа и выдача предуп­реждающих сообщений - это только полдела. Программные средства сетевой защи­ты должны остановить действия хакера и принять контрмеры. В этом смысле наилуч­шее впечатление производят пакеты Intruder Alert и Centrax, те самые, что вызвали немалые нарекания по части настройки конфигурации. Если программы фирмы Network ICE и ПО eTrust мгновенно закрывают угрожающие сеансы связи, то системы Intruder Alert и Centrax идут еще дальше. Например, приложение компании Axent Technologies можно настроить таким образом, что оно будет запускать тот или иной командный файл в зависимости от характера зарегистрированных событий, скажем перезагружать сервер, который подвергся атаке, приводящей к отказу в обслуживании.

    Отразив атаку, хочется сразу перейти в контрнаступление. Приложения Black-ICE и Centrax поддерживают таблицы с идентификаторами хакеров. Эти таблицы заполня­ются после прослеживания всего пути до «логовища», где затаился неприятель. Воз­можности программного обеспечения BlackICE особенно впечатляют, когда дело до­ходит до выявления источника атаки, расположенного внутри или вне сети: несмотря на многочисленные хитроумные маневры, нам так и не удалось сохранить инкогнито.

    А вот система eTrust поражает степенью проникновения в характер деятельности каждого пользователя сети, зачастую даже не подозревающего о том, что он находит­ся под пристальным наблюдением. Одновременно этот пакет предоставляет наиболее полную (и, пожалуй, наиболее точную) информацию о злоумышленниках, даже о том, где они находятся.

    Приложение Centrax способно создавать так называемые файлы-приманки, при­сваивая второстепенному файлу многозначительное название вроде «Ведомость.xls» и тем самым вводя в заблуждение излишне любопытных пользователей. Такой алго­ритм представляется нам слишком прямолинейным, но и он может сослужить неплохую службу: с его помощью удается «застукать» сотрудников за «прочесыванием» корпоративной сети на предмет выявления конфиденциальной информации.

    Каждый из рассмотренных программных продуктов генерирует отчеты о подозри­тельных случаях сетевой активности. Высоким качеством таких отчетов и удобством работы с ними выделяются приложения ICEcap и eTrust Intrusion Detection. После­дний пакет отличается особенной гибкостью, возможно, потому, что ведет свое проис­хождение от декодера протоколов. В частности, администратор может проанализиро­вать сетевые события в проекции на отдельные ресурсы, будьте протоколы, станции-клиенты или серверы. В eTrust предусмотрено множество заранее разрабо­танных форматов отчетов. Их хорошо продуманная структура заметно облегчает об­наружение злоумышленников и позволяет наказать провинившихся пользователей.

    Каждый продукт имеет свои сильные и слабые стороны, поэтому рекомендовать его можно только для решения определенных задач. Если речь идет о защите комму­тируемых сетей, неплохим выбором являются разработки Network ICE, Axent Technologies и CyberSafe. Пакет eTrust Intrusion Detection идеален для своевременно­го уведомления о случаях нарушения этики бизнеса, например, об употреблении не­нормативной лексики в сообщениях электронной почты. Системы Intruder Alert и Centrax - прекрасный инструментарии для консультантов по вопросам информаци­онной безопасности и организаций, располагающих штатом профессионалов в данной области. Однако тем компаниям, которые не могут себе позволить прибегнуть к услу­гам высокооплачиваемых специалистов, рекомендуем установить продукты компании Network ICE. Эти приложения заменят истинного эксперта по сетевой защите лучше любой другой системы из тех, что когда-либо попадалась нам на глаза.

    Задачи, преследуемые в борьбе с хакерами, достаточно очевидны:

    Уведомление: о предпринятой попытке несанкционированного доступа должно быть известно немедленно;

    Отражение атаки и минимизация потерь: чтобы противостоять злоумышленнику, следует незамедлительно разорвать сеанс связи с ним;

    Переход в контрнаступление: хакер должен быть идентифицирован и наказан.

    Именно такой сценарий использовался при тестировании четырех наиболее популярных систем выявления сетевых атак из присутствующих сегодня на рынке. Программное обеспечение BlackICE и ICEcap производства Network ICE получило Голубую ленту за доблесть, проявленную в сражении с хакерами, и титул «Продукт мирового класса» (World Class Award) за превосходные средства мониторинга сетевого трафика и выдачи предупреждающих сообщений.

    BlackICE - специализированное приложение-агент, которое предназначено исключительно для выявления злоумышленников. Обнаружив непрошеного гостя, оно направляет отчет об этом событии управляющему модулю ICEcap, анализирующему информацию, поступившую от разных агентов, и стремящемуся локализовать атаку на сеть.

    Впрочем, протестированные продукты трех других производителей тоже неплохо справлялись со своими обязанностями. Так, ПО Intruder Alert компании Axent Technologies больше похоже на инструментарий для специалистов в области информационной безопасности, поскольку оно предоставляет максимальную гибкость в определении стратегий защиты сети. Пакет Centrax производства CyberSafe устроен по принципу «все в одном»: в его составе нам удалось обнаружить средства контроля за системой безопасности, мониторинга трафика, выявления атак и выдачи предупреждающих сообщений. Система eTrust Intrusion Detection корпорации Computer Associates, напротив, особенно сильна функциями контроля за информационной безопасностью и управления стратегиями защиты, хотя и в этом продукте реализованы средства выдачи предупреждений в режиме реального времени, шифрования данных и обнаружения атак.

    Общая тревога

    Хакеры нечасто бесцеремонно вторгаются в вашу сеть с оружием в руках. Вместо этого они предпочитают проверить, надежны ли запоры на задней двери и все ли окна вы закрыли. Они незаметно анализируют образцы трафика, входящего в вашу сеть и исходящего из нее, отдельные IP-адреса, а также выдают внешне нейтральные запросы, адресованные отдельным пользователям и сетевым устройствам.

    Для обнаружения этих искусно закамуфлированных врагов приходится устанавливать интеллектуальное ПО детектирования сетевых атак, обладающее высокой чувствительностью. Приобретаемый продукт должен предупреждать администратора не только о случаях явного нарушения системы информационной безопасности, но и о любых подозрительных событиях, которые на первый взгляд кажутся совершенно безобидными, а в действительности скрывают полномасштабную хакерскую атаку.

    Нет нужды доказывать, что о всякой активной попытке взлома системных паролей администратор должен быть извещен немедленно. Но предположим, что один из компьютеров сети получил ping-запрос от управляющего приложения pcANYWHERE. Источником такого события может быть как зарегистрированный удаленный пользователь указанного ПО, так и хакер, стремящийся установить связь с незащищенной станцией-клиентом, где инсталлировано приложение pcANYWHERE. В обоих случаях эта ситуация должна быть отмечена для последующего углубленного анализа.

    Предупреждения, генерируемые агентами BlackICE, очень конкретны, чтобы не сказать прямолинейны. Вот примеры выдаваемых ими сообщений: «Атака BackOrifice», «Команда ping от pcANYWHERE», «Unix-команда scan». Подобный текст не заставит администратора усомниться в характере зарегистрированного события, а в большинстве случаев и в его важности. Кроме того, продукт позволяет администратору настроить содержание собственных предупреждающих сообщений, но по большому счету в этом нет никакой необходимости.

    Весьма полезным свойством разработок Network ICE, а также пакета Intruder Alert компании Axent Technologies является возможность загрузки самых свежих сигнатур хакерских атак с сервера фирмы-производителя: ведь именно сигнатуры позволяют точно идентифицировать злоумышленника. Правда, отыскать интересовавшие нас сигнатуры для ПО Intruder Alert оказалось не так-то просто, зато на сервере корпорации Network ICE мы сразу нашли все что нужно.

    По средствам уведомления администратора пальму первенства могли бы разделить упомянутый пакет Intruder Alert и система Centrax производства CyberSafe, однако они превратятся в эффективное средство отражения внешних нападений только после того, как будут определены наборы правил, относящиеся к защите данных, заданы тексты предупреждающих сообщений и сконфигурированы сценарии их выдачи. Другими словами, эти две разработки представляют собой скорее инструментарий для построения собственной системы детектирования сетевых атак. Чтобы в полной мере воспользоваться их возможностями, организация должна иметь в своем штате программистов соответствующей квалификации либо располагать бюджетом, позволяющим заказать подобную работу по схеме аутсорсинга.

    Как написано в «Руководстве пользователя» к пакету Intruder Alert, «необходимо выполнить компоновку правил защиты для выявления таких изощренных атак, в которых используются сетевые зонды или SYN-запросы». Приведенная фраза вызвала у нас неподдельное удивление, поскольку упомянутые в ней атаки широко распространены и непонятно, почему средства их выявления надо разрабатывать с нуля.

    Несмотря на то что все испытывавшиеся продукты легко инсталлируются, управление системами Intruder Alert и Centrax простым не назовешь. Скажем, если Centrax выдает предупреждающее сообщение неизвестного или неопределенного содержания (а такая ситуация не раз имела место в наших тестах), администратор вряд ли сумеет быстро определить, что же, собственно, произошло, особенно если для уточнения диагноза ему придется обратиться к файлам регистрации событий. Эти файлы отличаются исчерпывающей полнотой, однако разработчики, по-видимому, решили, что обычному человеку достаточно только намекнуть, о чем может идти речь, и характер происходящего будет безошибочно идентифицирован. В регистрационных журналах этой системы присутствуют описания выданных предупреждений, но нет их идентификаторов. Администратор видит адреса портов, к которым относились подозрительные запросы, либо параметры других операций, но не получает никакой информации о том, что же все это может означать.

    Отмеченное обстоятельство сильно снижает ценность сообщений, выдаваемых в режиме реального времени, поскольку невозможно сразу сообразить, отражает ли описание события реальную угрозу системе безопасности или это всего лишь попытка провести более тщательный анализ трафика. Иными словами, покупать названные продукты имеет смысл лишь в том случае, если в штате вашей организации есть опытные специалисты по информационной безопасности. Впрочем, фирма CyberSafe, как и ее конкуренты Axent и Network ICE, за отдельную плату оказывает профессиональные консалтинговые услуги в данной области.

    Программное обеспечение eTrust Intrusion Detection корпорации Computer Associates представляет собой нечто большее, чем просто систему мониторинга сетевой активности и выявления хакерских атак. Этот продукт способен не только декодировать пакеты различных протоколов и служебный трафик, но и перехватывать их для последующего вывода на управляющую консоль в исходном формате. Система производства CA осуществляет мониторинг всего трафика TCP/IP и предупреждает администратора о случаях нарушения установленных стратегий в области информационной безопасности. Правда, эта разработка не поддерживает такого же уровня детализации наборов правил, как Intruder Alert.

    В любом случае продукт Computer Associates не стоит сбрасывать со счетов. Представление захваченных сетевых пакетов в их первоначальном формате позволяет администратору использовать eTrust для чтения электронной почты, просмотра содержимого Web-страниц, которые загружают пользователи на свои компьютеры, и идентификации запрашиваемых ими документов. Все это заметно упрощает наблюдение за подозрительными видами сетевой активности. Однако чтобы достичь подлинного разнообразия типов сетевых атак, выявляемых этим пакетом, администратору придется сначала потратить изрядное количество времени на разработку наборов правил и интеграцию их в систему eTrust Intrusion Detection.

    В пылу борьбы

    С целью проверить способность каждого из пакетов обнаружить попытку вторжения и дать неприятелю достойный отпор мы попытались сымитировать несколько серьезных хакерских атак на тестовую сеть. Единственными продуктами, сумевшими распознать все предпринятые атаки и сгенерировать соответствующие предупреждения, оказались BlackICE и ICEcap компании Network ICE. Все остальные пропустили отдельные события, представлявшие серьезную угрозу сетевой безопасности, в основном из-за невозможности детально описать стратегии защиты. Например, в ответ на атаку типа BackOrifice программы Centrax и Intruder Alert просто не могли ничего предпринять, поскольку не знали, к какому типу относится возникшая угроза. Эти два продукта оказались особенно сложными в плане конфигурирования, так что нападение типа BackOrifice нам просто не удалось описать. Что же касается упомянутых BlackICE и ICEcap, моделировавшиеся атаки сразу же выявлялись и мы немедленно получали предупреждающие сообщения.

    Нельзя не признать, что в конечном счете не все угрозы были опознаны из-за того, что мы не обладали достаточным опытом работы с этими сложными продуктами, ведь после нескольких попыток нам удалось-таки залатать дыры, которые первоначально возникли в системе сетевой защиты. Однако в реальной жизни никто не может позволить себе роскошь второго или третьего «подхода к снаряду», особенно столкнувшись с новым типом несанкционированного доступа, несущего реальную угрозу бизнесу компании. Вот почему мы отдали свои симпатии разработкам фирмы Network ICE: они оказались в состоянии полной боевой готовности сразу после инсталляции.

    В процессе отражения атак неприятеля легко увлечься защитой ресурсов корпоративной сети как таковой. Но нельзя забывать и о безопасности удаленных сотрудников. В этом отношении нам показалось особенно полезным присутствие в составе ПО BlackICE персонального брандмауэра, предназначенного для пользователей, которые работают в сети своей организации через коммутируемое соединение. Как известно, с удаленным доступом связано наибольшее число лазеек для недоброжелателей, и система BlackICE была единственным из протестированных продуктов, обеспечивающим комплексную защиту удаленных и мобильных пользователей.

    BlackICE выдает предупреждающие сообщения непосредственно на экран удаленной станции-клиента, а не пытается немедленно отправить их на управляющую консоль корпоративной сети. Это позволяет пользователю оперативно среагировать на происходящее. Впрочем, в последующих версиях этого продукта мы все же надеемся увидеть функцию генерации отчетов, передающую информацию о нападении, которому подвергся удаленный компьютер, на центральную административную консоль, поскольку анализ этих сведений помог бы бороться с аналогичными атаками в дальнейшем.

    Однако детектирование попыток несанкционированного доступа и выдача предупреждающих сообщений - это только полдела. Программные средства сетевой защиты должны остановить действия хакера и принять контрмеры. В этом смысле наилучшее впечатление на нас произвели пакеты Intruder Alert и Centrax, те самые, что вызвали немалые нарекания по части настройки конфигурации. Если программы фирмы Network ICE и ПО eTrust мгновенно закрывают угрожающие сеансы связи, то системы Intruder Alert и Centrax идут еще дальше. Например, приложение компании Axent Technologies можно настроить таким образом, что оно будет запускать на выполнение тот или иной командный файл в зависимости от характера зарегистрированных событий, скажем перезагружать сервер, который подвергся атаке, приводящей к отказу в обслуживании.

    Отразив атаку, хочется сразу перейти в контрнаступление. Приложения BlackICE и Centrax поддерживают таблицы с идентификаторами хакеров. Эти таблицы заполняются после прослеживания всего пути до «логовища», где затаился неприятель. Возможности программного обеспечения BlackICE особенно впечатляют, когда дело доходит до выявления источника атаки, расположенного внутри или вне сети: несмотря на многочисленные хитроумные маневры, нам так и не удалось сохранить инкогнито.

    А вот система eTrust поразила нас степенью проникновения в характер деятельности каждого пользователя сети, зачастую даже не подозревающего о том, что он находится под пристальным наблюдением. Одновременно этот пакет предоставляет наиболее полную (и, пожалуй, наиболее точную) информацию о злоумышленниках и их расположении. В ходе тестирования, воспользовавшись ПО BlackICE, мы попытались выявить предполагаемых хакеров внутри сети, а затем при помощи пакета eTrust определить их точное местонахождение.

    Завершая тему, отметим, что приложение Centrax способно создавать так называемые файлы-приманки, присваивая второстепенному файлу многозначительное название вроде «Ведомость.xls» и тем самым вводя в заблуждение излишне любопытных пользователей. Такой алгоритм представляется нам слишком прямолинейным, но и он может сослужить неплохую службу - с его помощью удается «застукать» сотрудников за «прочесыванием» корпоративной сети на предмет выявления конфиденциальной информации.

    Каждый из протестированных продуктов генерирует отчеты о подозрительных случаях сетевой активности. Высоким качеством таких отчетов и удобством работы с ними выделяются приложения ICEcap и eTrust Intrusion Detection. Последний пакет отличается особенной гибкостью, возможно, потому, что ведет свое происхождение от декодера протоколов. В частности, администратор может проанализировать сетевые события в проекции на отдельные ресурсы, будь то протоколы, станции-клиенты или серверы. В eTrust предусмотрено множество заранее разработанных форматов отчетов. Их хорошо продуманная структура заметно облегчает обнаружение злоумышленников и позволяет наказать провинившихся пользователей.

    Резюме

    Каждый продукт имеет свои сильные и слабые стороны, поэтому рекомендовать его можно только для решения определенных задач. Если речь идет о защите коммутируемых сетей, неплохим выбором, на наш взгляд, являются разработки Network ICE, Axent Technologies и CyberSafe. Пакет eTrust Intrusion Detection корпорации CA идеален для своевременного уведомления о случаях нарушения этики бизнеса, например об употреблении ненормативной лексики в сообщениях электронной почты. Системы Intruder Alert и Centrax являются прекрасным инструментарием для консультантов по вопросам информационной безопасности и организаций, располагающих штатом профессионалов в данной области. Однако тем компаниям, которые не могут себе позволить прибегнуть к услугам высокооплачиваемых гуру, мы рекомендуем установить продукты компании Network ICE. Эти приложения заменят истинного эксперта по сетевой защите лучше любой другой системы из тех, что когда-либо попадалась нам на глаза.

    ОБ АВТОРЕ

    Тер Парнелл - консультант по телекоммуникационным технологиям и независимый автор из Далласа (шт. Техас). С ним можно связаться по электронной почте:

    SYN-атаки

    Эти попытки вывести из строя корпоративный сервер, который в результате вынужден на запросы об обслуживании отвечать отказом (denial-of-service), таят в себе довольно серьезную угрозу бизнесу компаний, предоставляющих своим клиентам услуги по глобальной сети. Суть нападения сводится к тому, что злоумышленник генерирует тысячи запросов SYN (запросов на установление соединения), адресованных атакуемому серверу. Каждый запрос снабжается фальшивым адресом источника, что значительно затрудняет точную идентификацию самого факта атаки и выслеживание атакующего. Приняв очередной запрос SYN, сервер предполагает, что речь идет о начале нового сеанса связи и переходит в режим ожидания передачи данных. Несмотря на то что данные после этого не поступают, сервер обязан выждать определенное время (максимум 45 секунд), перед тем как разорвать соединение. Если несколько тысяч таких ложных запросов будут направлены на сервер в течение считанных минут, он окажется перегружен их обслуживанием, так что на обработку настоящих запросов о предоставлении того или иного сервиса ресурсов попросту не останется. Другими словами, в результате предпринятой SYN-атаки настоящим пользователям будет отказано в обслуживании.
    Архитектурные вариации

    Способность того или иного приложения выявлять злоумышленников напрямую зависела от его архитектуры и от усилий, требующихся для настройки конфигурации продукта.

    Во всех тестировавшихся системах, за исключением eTrust Intrusion Detection корпорации Computer Associates, использована модель программных агентов, которые сначала инсталлируются на сетевых устройствах, а затем осуществляют сбор информации о потенциальных атаках и пересылают ее на консоль. Агенты выявляют случаи нарушения установленных стратегий защиты и после этого генерируют соответствующие сообщения.

    Системы на базе агентов являются наилучшим решением для коммутируемых сетей, поскольку в таких сетях не существует какой-либо одной точки, через которую обязательно проходит весь трафик. Вместо того чтобы следить за единственным соединением, агент осуществляет мониторинг всех пакетов, принимаемых или отправляемых устройством, где он установлен. В результате злоумышленникам не удается «отсидеться» за коммутатором.

    Сказанное можно проиллюстрировать на примере продукции фирмы Network ICE. Программе BlackICE отведена роль агента, устанавливаемого в полностью автономной операционной среде, например на компьютере удаленного пользователя либо на одном из узлов корпоративной сети передачи данных. Обнаружив хакера, атакующего удаленную машину, агент выдаст предупреждение непосредственно на ее экран. Если же аналогичное событие окажется зафиксировано в корпоративной сети, сообщение о попытке несанкционированного доступа будет передано другому приложению - ICEcap, содержащему средства сетевого мониторинга. ICEcap собирает и сопоставляет информацию, поступающую от разных подчиненных ему агентов, и это дает ему возможность оперативно выявлять события, действительно угрожающие безопасности сети.

    Система eTrust, напротив, основана на централизованной архитектуре. Она устанавливается на центральном узле и анализирует трафик в подведомственном сетевом сегменте. Отсутствие агентов не позволяет данному продукту отслеживать все события в коммутируемой сети, поскольку в ней невозможно выбрать единственную «смотровую площадку», откуда вся сеть была бы видна как на ладони.
    Процедура тестирования

    Для изучения функциональных возможностей программ обнаружения сетевых атак в тестовую сеть были объединены три сервера под Windows NT 4.0, брандмауэр, пять рабочих станций с операционной системой Windows NT Workstation и десять компьютеров под Windows 95 или 98. Клиентские компьютеры были оснащены процессорами Pentium II-266, а серверы - процессорами Pentium III с тактовой частотой 500 МГц. На отдельном компьютере (также с процессором Pentium III-500) был установлен брандмауэр Raptor Firewall for NT 5.0.1 компании Axent Technologies. Указанный брандмауэр мы сконфигурировали таким образом, что компьютеры сети в ответ на поступавшие извне запросы могли предоставлять наиболее общеупотребительные сервисы вроде DNS, HTTP и telnet, однако любое взаимодействие с внешним миром по протоколам FTP и SMTP допускалось только через брандмауэр. Впрочем, для имитации атаки, приводящей к отказам в обслуживании, мы разрешили брандмауэру пропускать SYN-запросы.

    После инсталляции продукта мы запустили сценарии, позволившие смоделировать традиционную сетевую активность: обращение к документам, базам данных и Web-серверам, а также отправку и прием сообщений электронной почты. Затем мы предприняли несколько открытых хакерских атак на тестовую сеть и ряд замаскированных подозрительных действий. Здесь были и попытка прямого несанкционированного вторжения, и атака при помощи SYN-запросов, и сканирование трафика на отдельных портах, а также стробирующее и разделяемое сканирование пакетов, атака типа BackOrifice и выдача команд ping ко всем узлам сети.

    Перейдя в наступление на сеть, мы тут же регистрировали выдачу предупреждающих сообщений, факты активизации средств защиты данных (в том числе на основе наборов правил), инициируемые тестировавшимися системами, и работу механизмов обнаружения источника атаки. Впоследствии нам удалось также проанализировать содержание сгенерированных отчетов, результаты слежения за действиями «хакера» и рекомендации в области сетевой защиты, выданные отдельными системами. Если продукт советовал администратору произвести корректирующие действия или исправить ошибку в конфигурации, мы скрупулезно следовали этим рекомендациям, а затем предпринимали атаку повторно. В том случае, когда системе удавалось идентифицировать возмутителя спокойствия, мы проверяли, насколько эта идентификация соответствует действительности. Наконец, у всех приложений оценивались функции управления выдачей уведомлений и генерацией отчетов о зафиксированных событиях, а также простота использования продуктов.

    Основным назначением данной программы является обнаружение хакерских атак. Как известно, первой фазой большинства хакерских атак является инвентаризация сети и сканирование портов на обнаруженных хостах. Сканирование портов помогает произвести определение типа операционной системы и обнаружить потенциально уязвимые сервисы (например, почту или WEB-сервер). После сканирования портов многие сканеры производят определение типа сервиса путем передачи тестовых запросов и анализа ответа сервера. Утилита APS проводит обмен с атакующим и позволяет однозначно идентифицировать факт атаки.


    Кроме этого, назначением утилиты является:

    • обнаружение разного рода атак (в первую очередь сканирования портов и идентификации сервисов) и появления в сети программ и сетевых червей (в базе APS более сотни портов, используемых червями и Backdoor - компонентами);
    • тестирование сканеров портов и сетевой безопасности (для проверки работы сканера необходимо запустить на тестовом компьютере APS и провести сканирование портов - по протоколам APS нетрудно установить, какие проверки провидит сканер и в какой последовательности);
    • тестирование и оперативный контроль за работой Firewall - в этом случае утилита APS запускается на компьютере с установленным Firewall и проводится сканирование портов и (или иные атаки) против ПК. Если APS выдает сигнал тревоги, то это является сигналом о неработоспособности Firewall или о его неправильной настройке. APS может быть постоянно запущен за защищенном при помощи Firewall компьютере для контроля за исправным функционирование Firewall в реальном времени;
    • блокировка работы сетевых червей и Backdoor модулей и их обнаружение - принцип обнаружения и блокирования основан на том, что один и тот-же порт может быть открыт на прослушивание только один раз. Следовательно, открытие портов, используемых троянскими и Backdoor программами до их запуска помешает их работе, после запуска - приведет к обнаружению факта использования порта другой программой;
    • тестирование антитроянских и программ, систем IDS - в базе APS заложено более сотни портов наиболее распространенных троянских программ. Некоторые антитроянских средства обладают способностью проводить сканирование портов проверяемого ПК (или строить список прослушиваемых портов без сканирования при помощи API Windows) - такие средства должны сообщать о подозрении на наличие троянских программы (с выводом списка "подозрительных" портов) - полученный список легко сравнить со списком портов в базе APS и сделать выводы о надежность применяемого средства.

    Принцип работы программы основан на прослушивании портов, описанных в базе данных. База данных портов постоянно обновляется. База данных содержит краткое описание каждого порта - краткие описания содержат или названия использующих порт вирусов, или название стандартного сервиса, которому этот порт соответствует. При обнаружении попытки подключения к прослушиваемому порту программа фиксирует факт подключения в протоколе, анализирует полученные после подключения данные и для некоторых сервисов передает так называемый баннер - некоторый набор текстовых или бинарных данных,передаваемых реальным сервисом после подключения.

    Похожие статьи
     
    Категории
    Видеоматериалы
    Популярное
    Новое