Основные цели сетевых атак выделяют. Что такое сетевая атака

В лекции рассматриваются некоторые виды атак на информационные ресурсы предприятия, использующие определенные уязвимости. Довольно часто входной точкой для атаки служит общедоступный интернет сайт, используя который злоумышленник может получить доступ к областям сайта, предназначенным для ограниченного числа лиц, и к закрытым данным.

Подбор – автоматизированный процесс проб и ошибок, использующийся для того, чтобы угадать имя пользователя, пароль, номер кредитной карточки, ключ шифрования и т.д. Существует два вида подбора: прямой и обратный. При прямом подборе используются различные варианты пароля для одного имени пользователя. При обратном перебираются различные имена пользователей, а пароль остается неизменным.

Традиционным методом борьбы с подбором пароля является, ограничение на количество ошибочных вводов пароля. Существует множество вариантов реализаций этой идеи, от самых простых – статическое ограничение, например не более трех ошибок, до сложно реализованных динамических, с увеличивающимся промежутком времени запрета между запросами.

Небезопасное восстановление паролей. Эта уязвимость возникает, когда Веб-сервер позволяет атакующему несанкционированно получать, модифицировать или восстанавливать пароли других пользователей. Например, многие серверы требуют от пользователя указать его email в комбинации с домашним адресом и номером телефона. Эта информация может быть легко получена из сетевых справочников. В результате, данные, используемые для проверки, не являются большим секретом. Кроме того, эта информация может быть получена злоумышленником с использованием других методов, таких как межсайтовое выполнение сценариев или фишинг (phishing).

Наиболее эффективным является следующее решение: пользователь нажимает кнопку "Восстановить пароль" и попадает на страницу, где у него спрашивают его логин в системе и почтовый ящик, указанный при регистрации. Далее на почтовый ящик высылается уведомление о запросе восстановления пароля и уникальная псевдослучайно сгенерированная ссылка на страницу смены пароля. В таком случае пароль изменить может действительно только владелец почтового ящика, на который зарегистрирован аккаунт.

Недостаточная авторизация. Возникает, когда Веб-сервер позволяет атакующему получать доступ к важной информации или функциям, доступ к которым должен быть ограничен. То, что пользователь прошел аутентификацию не означает, что он должен получить доступ ко всем функциям и содержимому сервера.

Например, некоторые серверы, после аутентификации, сохраняют в cookie или скрытых полях идентификатор "роли" пользователя в рамках Веб-приложения. Если разграничение доступа основывается на проверке данного параметра без верификации принадлежности к роли при каждом запросе, злоумышленник может повысить свои привилегии, просто модифицировав значение cookie. Методы борьбы – четкое разграничение прав пользователей и их возможностей.

Отсутствие таймаута сессии. В случае если для идентификатора сессии или учетных данных не предусмотрен таймаут или его значение слишком велико, злоумышленник может воспользоваться старыми данными для авторизации.

Например, при использовании публичного компьютера, когда несколько пользователей имеют неограниченный физический доступ к машине, отсутствие таймаута сессии позволяет злоумышленнику просматривать страницы, посещенные другим пользователем. Метод борьбы – ограничение таймаута сессии.

Межсайтовое выполнение сценариев (Cross-site Scripting, XSS). Наличие уязвимости XSS позволяет атакующему передать серверу исполняемый код, который будет перенаправлен браузеру пользователя. Этот код обычно создается на языках HTML/JavaScript, но могут быть использованы VBScript, ActiveX, Java, Flash, или другие поддерживаемые браузером технологии. Переданный код исполняется в контексте безопасности (или зоне безопасности) уязвимого сервера. Используя эти привилегии, код получает возможность читать, модифицировать или передавать важные данные, доступные с помощью браузера.

Существует два типа атак, приводящих к межсайтовому выполнению сценариев: постоянные (сохраненные) и непостоянные (отраженные). Основным отличием между ними является то, что в отраженном варианте передача кода серверу и возврат его клиенту осуществляется в рамках одного HTTP-запроса, а в хранимом – в разных. Осуществление непостоянной атаки требует, чтобы пользователь перешел по ссылке, сформированной злоумышленником (ссылка может быть передана по email, ICQ и т.д.). В процессе загрузки сайта код, внедренный в URL или заголовки запроса, будет передан клиенту и выполнен в его браузере. Сохраненная разновидность уязвимости возникает, когда код передается серверу и сохраняется на нем на некоторый промежуток времени. Наиболее популярными целями атак в этом случае являются форумы, почта с Веб-интерфейсом и чаты. Для атаки пользователю не обязательно переходить по ссылке, достаточно посетить уязвимый сайт.

Проверить сайт на XSS уязвимость можно, передав в любое поле ввода HTML-код, содержащий JavaScript. Например:

">alert()

Если появится диалоговое окно, то JavaScript alert() выполнился, а значит, может выполниться любой вредоносный код.

На данный момент самый распространенный вид атаки, в связи с ростом популярности Веб 2.0 интернет наполнился различными формами обратной связи, к сожалению многие из них не фильтруются должным образом, особую сложность представляют формы, в которых разрешены некоторые теги или какие-либо конструкции форматирования, защитится же от XSS можно только путем тщательного анализа и фильтрации пришедших в запросах данных.

Внедрение операторов SQL (SQL Injection). Эти атаки направлены на Веб-серверы, создающие SQL запросы к серверам СУБД на основе данных, вводимых пользователем. Если информация, полученная от клиента, должным образом не верифицируется, атакующий получает возможность модифицировать запрос к SQL-серверу, отправляемый приложением. Запрос будет выполняться с тем же уровнем привилегий, с каким работает компонент приложения, выполняющий запрос (сервер СУБД, Веб-сервер и т.д). В результате злоумышленник может получить полный контроль на сервере СУБД и даже его операционной системой.

Возможность атаки возникает, когда SQL запрос к базе данных формируется в коде Веб-страницы посредством сложения основной части и переданного пользователем значением. Например, в коде Веб-страницы присутствует следующий код:

“Select * from Students where firstneme = ” + name + “; “

При стандартном варианте использования, запрос должен вернуть всю информацию из таблицы Students для учеников с именем, хранящимся в переменной name. Но что произойдет, если вместо имени переменная name будет содержать SQL-запрос, модифицирующий данные и схему базы данных?

Еще один пример из области автоматического распознавания автомобильных номеров:

Средства борьбы – грамотная фильтрация получаемых данных, разграничение прав доступа к базе данных.

Отказ в обслуживании (Denial of Service, DoS). Данный класс атак направлен на нарушение доступности Веб-сервера. Обычно атаки, направленные на отказ в обслуживании реализуются на сетевом уровне, однако они могут быть направлены и на прикладной уровень. Используя функции Веб-приложения, злоумышленник может исчерпать критичные ресурсы системы, или воспользоваться уязвимостью, приводящий к прекращению функционирования системы. Обычно DoS атаки направлены на исчерпание критичных системных ресурсов, таких как вычислительные мощности, оперативная память, дисковое пространство или пропускная способность каналов связи. Если какой-то из ресурсов достигнет максимальной загрузки, приложение целиком будет недоступно.Атаки могут быть направлены на любой из компонентов Веб-приложения, например, такие как сервер СУБД, сервер аутентификации и т.д.

Средствами защиты является оптимизация кода и ввод ограничений на количество посылаемых данных в единицу времени.

Доп. литература: http://www.intuit.ru/department/internet/mwebtech/

Удалённая сетевая атака - это информационное разрушающее воздействие на распределённую вычислительную систему (РВС), которое осуществляется по каналам связи.

По причине того, что проведение удаленной атаки достаточно трудно выявить, а провести ее относительно просто (из-за избыточной функциональности современных систем) этот вид неправомерных действий выходит на первое место по степени опасности. По характеру воздействия атаки бывают пассивные и активные. К первым относятся те, что не оказывают прямое влияние на работу РВС, но способны нарушить ее политику безопасности. Именно из-за отсутствия прямого влияния на систему, такую атаку обнаружить сложно. Активное воздействие на РВС – это такое, которое оказывает непосредственное влияние на работу системы, нарушает ее работоспособность, изменяет конфигурацию и т.д. При активном типе атаки в системе возникают некоторые изменения, в то время как при пассивном воздействии не остается видимых следов.

При любой атаке главная цель, как правило – это получение несанкционированного доступа к информации. Получение информации бывает двух видов: перехват и искажение. При перехвате получают информацию без возможности ее изменения. Искажение или подмен данных ведет к нарушению их целостности. Таким образом, по цели воздействия сетевые атаки можно разделить на те, которые нарушают функционирование системы, целостность информационных ресурсов или же их конфиденциальность.

Информационные и сетевые технологии развиваются и меняются настолько быстро, что статичные защитные механизмы, такие как разграничение доступа, системы аутентификации не могут во многих случаях обеспечить эффективную защиту. Требуются именно динамические методы, которые позволяют в короткий срок обнаруживать и предотвращать нарушения безопасности. Одной из таких систем, позволяющих отслеживать нарушения, которые не идентифицируются с помощью традиционных моделей контроля доступа, является технология обнаружения атак.

Обнаружение атак – это процесс распознавания и реагирования на подозрительную деятельность, направленную на сетевые или вычислительные ресурсы. Эффективность технологии во многом зависит от того, какие методы анализа полученной информации применяют. В настоящее время наряду со статистическим методом используется ряд новых методик, таких как экспертные системы и нейронные сети. Разберем каждый метод по отдельности.

Статистический анализ. Этот подход имеет два основных преимущества: использование зарекомендовавшего себя аппарата математической статистики и адаптация к поведению субъекта. В самом начале использования данного метода определяются профили для каждого субъекта анализируемой системы. Любое отклонение используемого профиля от эталона рассматривается как несанкционированная деятельность. Статистические методы универсальны, так как не требуют знаний о возможных атаках и уязвимостях системы. Однако при их использовании могут возникать некоторые трудности, связанные, например, с тем, что их можно «обучить» воспринимать несанкционированные действия как нормальные. Поэтому наряду со статистическим анализом применяются дополнительные методики.

Экспертные системы. Этот метод обнаружения атак является весьма распространенным. При его использовании информация об атаках формулируется в виде правил, которые, зачастую, записывают в виде последовательности действий или в форме сигнатуры.

Если выполняется любое из этих правил, то тут же принимается решение о наличии несанкционированной деятельности. Одно из главных достоинств этого метода — практически полное отсутствие ложных тревог. Для того чтобы экспертные системы всегда оставались актуальными, необходимо постоянно обновлять применяемые базы данных постоянно. Недостаток такого метода заключается в невозможности отражения неизвестных атак. Даже если атаку из базы данных немного изменят, то это уже может стать серьезным препятствием для ее обнаружения.

Нейронные сети. Из-за того, что хакеров и вариантов атак становится с каждым днем все больше, экспертные системы, даже в условиях постоянного обновления баз данных не могут дать гарантии точной идентификации каждого возможного вторжения. Как один из способов преодоления данной проблемы используются нейронные сети. Нейронная сеть анализирует информацию и предоставляет возможность дать оценку, насколько согласуются данные с распознаваемыми ей характеристиками. Для этого нейросеть обучают точной идентификации на подобранной выборке примеров из предметной области. Реакция нейронной сети подвергается анализу, после чего систему настраивают таким образом, чтобы достичь удовлетворительных результатов. По мере того, как нейросеть проводит анализ данных, она набирается дополнительного опыта.

Одно из важных преимуществ нейронных сетей — это их способность учитывать характеристики атак, идентифицируя элементы, не похожие на изученные.

Из-за того, что названные методы обнаружения атак имеют свои недостатки, их, как правило, используют в совокупности для обеспечения более надежной защиты.

Чтобы обеспечить безопасность компьютера, нужно знать, какие сетевые атаки могут ему угрожать. Все известные угрозы можно условно разделить на три группы:

Сканирование портов – данные угрозы сами по себе атакой не являются, но, как правило, ей предшествуют, так как это один из способов получить информацию об удаленном компьютере. Суть данного способа заключается в сканировании UDP/TCP-портов, которые используются сетевыми сервисами на нужном компьютере для выявления их состояния. Такой процесс помогает понять, какие атаки на данную систему могут быть удачными, а какие нет. Более того, сканирование дает злоумышленнику необходимые сведения об операционной системе, что позволяет подобрать еще более подходящие типы атак.

DOS -атаки – они еще известны, как «отказ в обслуживании». Это такие атаки, в результате действия которых атакуемая система приходит в нестабильное или же полностью нерабочее состояние. Их последствия могут включать в себя повреждение или разрушение информационных ресурсов и невозможность их использования.

DOS-атаки бывают двух типов. :

— компьютеру-жертве отправляются специально сформированные пакеты, которые приводят к перезагрузке системы или ее остановке

— компьютеру-жертве отправляется большое количество пакетов в единицу времени, он не справляется с их обработкой. Следствие – исчерпание ресурсов системы.

Атаки-вторжения. Их цель – «захват» системы. Такой тип атак самый опасный, так как при успешном их выполнении злоумышленник получает максимально полную информацию о системе.Атаки-вторжения применяются в тех случаях, когда есть необходимость в получении конфиденциальных данных с удаленного компьютера, такие как пароли и доступ к кредитным картам. Также целью таких атак может быть закрепление в системе для того, чтобы впоследствии в целях злоумышленника использовать ее вычислительные ресурсы. К данной группе относится самое большое количество атак.

Более распространенные виды атак, которые используют сетевые сервисы операционной системы:

— Атаки на переполнение буфера. Этот тип уязвимостей в программном обеспечении, который возникает из-за отсутствия или недостаточной меры контроля при работе с массивами данных.

— Атаки, основанные на ошибках форматных строк. Такой тип возникает из-за недостаточной степени контроля значений входных параметров функций форматного ввода-вывода. В том случае, если такая уязвимость находится в программном обеспечении, то злоумышленник может получить абсолютный контроль над системой.

Для того чтобы защитить свой персональный компьютер (ПК) от сетевых атак нужно установить качественный антивирус, а так же программу — защитника под названием FireWall. Эта программа контролирует все, что уходит и приходит по сети, защищает ваш компьютер от взломов и атак из сети, а также предотвращает передачу личной информации. FireWall решает вопрос о сканировании портов, о котором говорилось выше: софт делает компьютер невидимым в сети, закрывая все порты. Кроме того, эта программа не пропускает в сеть личные данные даже при заражении системы троянскими вирусами (целью которых является как раз кража конфиденциальной информации). Даже в том случае, если вы считаете, что на вашем ПК нет ничего, что может быть нужным преступнику, то все равно не стоит пренебрегать установкой вышеназванного софта, так как ваш компьютер после атаки может использоваться хакером для проведения атак или взлома других машин.

Под этим слоганом предполагается атака по сбору информации об информационной системе через посредника, пользователя. Простой пример, когда злоумышленник представляется пользователю уполномоченным лицом узнает у пользователя его пароль и логин. Если злоумышленнику это удалось, он получает доступ к информации без знаний технических аспектов системы, или каких либо уязвимостей. Общий подход атак социальной инженерии реализован на психологических методах таких как доверие, лень или невнимательность. Конечно, все сотрудники должны быть предупреждены о возможных подходов злоумышленников или других средств. Все эти моменты должны быть описаны в . На практике очень много случаев, когда к примеру сотрудник подписывает документы обязательства о неразглашении личного пароля к локальной сети, он тут же говорит его коллеге или произносит в слух в новом коллективе. Также существует ряд ситуаций, когда отделы предприятия и административный отдел находятся на расстоянии. И приходится использовать средства коммуникации для получения пароля, что влечет за собой новые . Или злоумышленник представится сотрудников и спросит свой пароль, или он подслушает телефонный разговор и услышит пароль. Для каждых ситуаций должен быть свои .

Модели атак

Атакой на информационную систему характеризуют намеренные действия злоумышленника, который использует уязвимости такой системы и приводящие к нарушению конфиденциальности, доступности и целостности обрабатываемой или хранящейся информации.

Стандартная модель атаки основана на принципе один к одному (рис.1) или же один ко многим (рис.2). Такие атаки реализуются от одного источника. Сетевые методы защиты (экраны, DLP) основаны как раз на такую модель атаки. В разных узлах защищаемой сети ставятся сенсоры системы защиты, которые передают данные на центральный модуль управления. Однако такая модель не справится с распределенными атаками.

Рисунок — 2

В модели распределенных атак реализуются другие принципы. В таких атаках реализовано отношение многие к одному (рис.3) и многие к многим (рис.4). Такие атаки основаны на атаках типа отказ в обслуживании . Принцип таких атак сводится к посылке множеству пакетов на атакуемый узел. Такой узел может зависнуть или выйти из строя, по сколько он не будет успевать обработать все входящие пакеты. Главный канон такой атаки, это что бы пропускная способность атакующего атакуемый узел превышал пропускную способность атакуемого узла.

Рисунок — 4

Этапы реализации атак

Когда говорят а действии таком как атака, то подразумевают только реализацию атаки , но забывают о двух главных действиях: Предпосылки реализации атаки и Завершение атаки . Сбор данных — это основной этап для создании атаки. На этом этапе вся эффективность работы зависит от отличного результата на даном этапе. Сначала выбирается цель атаки и собираются данные о объекте открытые порты, тип ОС, ПО и конфигурация и др). Затем определяются самые уязвимые места такой системы, которые при атаке дадут необходимый результат. Такая работа разрешит выбрать тип атаки и источник ее реализации.

Обычные методы защиты, работают только на втором этапе создании атаки, однако не защищают совершенно от первого и третьего этапа. Также они не разрешают обнаружить уже совершенные атаки и проанализировать ущерб. Злоумышленник в зависимости от результата, концентрируется на аспекте атаки:

• для отказа в обслуживании, анализируется атакуемая сеть, ищутся слабые места
• для хищения данных, определяется внимание незаметной атаке

Сбор информации . Этот этап включает сбор данных о сетевой топологии, версии ОС атакуемого узла и др. Злоумышленник может попробовать определить адреса доверенных систем и узлов, которые напрямую соединены с цель атаки. Есть два метода определения топологии сети, которыми может воспользоваться злоумышленник:

• изменение TTL
• запись маршрута

По первому способу работают программы tracert для Windows и traceroute для Unix. Они реализуют поле TIME to Live в заголовке IP-пакета, которое меняется относительно пройденных маршрутизатором сетевым пакетом. Также сетевую топологию можно определить с помощью протокола SNMP или же протокола RIP.

Идентификации узла обычно определяют с помощью утилиты ping команды ECHO_REQUEST протокола ICMP. Узел доступен, когда придет ответное сообщение ECHO_REPLY. Такой метод идентификации имеет два недостатка:

• Использование ICMP-запросов разрешает с легкость выявить их источник, а значит и обнаружить злоумышленника.
• Множество сетевых устройств блокируют ICMP-пакеты, не пропускают во внутрь, или не выпускают наружу.

Еще один метод идентификации узлов возможен, если нападающий находится в локальной сети жертвы с помощью своей сетевой карты. Также можно идентифицировать узлы сети с помощью DNS.

Сканирование портов . Идентификация сервисом реализуется путем обнаружения открытых портов. Программы для сканирования можно посмотреть в Сканировать К примеру:

• открытый 80-й порт говорит, что в наличии есть Web-сервера
• 25-й порт — почтовый сервер SMTP
• 31377 — серверной части троянского коня BackOrifice
• 12345 или 12346 — -//- NetBus

Определение ОС . В каждой операционной системе по-своему реализован стек протоколов ТСР/IP, что при задавании специальных вопросов, можно будет проанализировать ответы. Менее эффективный метод определения, это анализ сетевых сервисом.

Определения роли узла . Следующим шагом это определение функций узла, на который злоумышленник хочет провести атаку. Также с помощью автоматизированных методов или же вручную злоумышленник ищет уязвимости. В качестве таких методов могут подойти программы, которые описаны в статье программы для тестирования сети .

Реализация атаки . Этот этап определяет действия или попытки злоумышленника, которые направлены на атакуемый узел. Проникновение определяет обход методов защиты периметра. Пример конкретных алгоритмов проводить будет не кореткно, так как тематика сайта на защиту информации. После проникновения злоумышленник постарается удержать контроль над атакуемым узлом.

Цели реализации атак . Нужно отметить, что злоумышленник может пытаться достигнуть две цели, это получение НСД доступ к самому узлу и находящейся в ней информации. Вторая цель, это получение НСД у узлу для совершение дальнейших атак на другие узлы. Этап завершения атаки основан на заметании следов. Обычно это удаление определенных записей в различных журналах узла, а также возвращение узел в исходное — рабочее состояние.

Классификация атак

Атаки можно делить на активные и пассивные, умышленные и неумышленные или внутренние или внешние. Что бы не путать эти псевдо классификации, есть универсальное деление атак:

• Локальное проникновение — Атака, которая реализует НСД к узлу на котором она запущена
• Удаленное проникновение — Атаки, которые разрешают реализовать удаленное управление компьютером через сеть
• Сетевые сканеры — приложения, которые анализируют и обнаруживают сервисы, которые можно использовать как уязвимые места
• Локальные отказ в обслуживании (ddos) — атаки, разрешающие перегрузить или нарушить функционирование компьютера.
• Взломщики паролей — Программы которые подбирают пароли пользователей
• Сканеры уязвимостей — Программы, которые анализируют уязвимости на узлах сет
• Анализаторы протоколов (sniffers) — программы прослушивают сетевой трафик

Компания Internet Security Systems Inc. сократила классификацию до:

• Сбор информации
• Попытки НСД
• Отказ в обслуживании
• Подозрительная активность
• Системные атаки

Первые 4 категории можно отнести к удаленным атакам, а последнюю к локальным. Нужно отметить, что в такую классификацию не отнесли целый класс пассивных атак — прослушивание, ложный DNS, подмена ARP и др.).

Закладки в аппаратном обеспечении

Подавляющее большинство ИС работают исходя из аксиомы, что аппаратное обеспечение — не создает угрозы. При этом не проводится даже первичный осмотр аппарата на наличие закладок. Закладка — устройство на программном или аппаратном уровне, которые реализует несанкционированные действия(обычно нарушение конфиденциальности) в ущерб данной системы. Ясно, что не все предприятия обладают нужным штатом сотрудников, по данным вопросам, что бы выявить аппаратные закладки. Ниже наведен список различных способов стандартной проверки материальных и других ресурсов предприятия.

• Периодическая проверка аппаратных средств приглашенными специалистами отдельных предприятий.
• Автоматическая инвентаризация элементов аппаратного обеспечения на предприятии.
• Фиксация серийных номеров отдельных частей оборудования.
• Опечатывание разборных корпусов оборудования, с проверкой.

Если подойди еще ближе к этому вопросу, используют оборудование которые мониторят радио эфир, проводные сети, электрические сети питания, звуковой эфир и тд. Так как любые отклонение от нормы работы дают поводы для размышления. Также в данном вопросе пользователь играет важную роль, так как он в случае чего должен сигнализировать сразу в службу безопасности.

Также локальные атаки на ПК который соединен с локальной сетью играют важную роль. Они могут создавать . Такие атаки могут быть на firmware, или получение доступа на этапе загрузке ОС. То есть можно загрузить live-cd/usb версию ОС с чутка другими параметрами, которые разрешат войти в сеть.

Также на месте можно произвести атаку на аутентификацию. Также если есть права на установку ПО, пользователь может установить плохое ПО или зловредное. Ниже список шаблонных программ, которые есть зловредными.

• Программа повышения прав, установив плохую программку, она дает доступ к закрытым ресурсам.
• Программы подбора паролей, может работать в фоновом режиме, пока сотрудник делает свои дела при этом используя мощности самого ПК.
• Сниффер — перехват пакетов из сети.
• Взломщики шифров() — также программа которая работает в локальной сети, используя мощность ПК, ищет уязвимости в шифрах или других местах.
• Дизассемблеры — проводят анализ операционной системы или программы, что бы понять логику и уязвимости. Либо изменить шаг роботы.
• Атаки на переполнение буфера.
• Конструкторы и генераторы вирусов/сетевых пакетов — позволяет создавать программы на ПК для нанесения ущерба всей ИС.

Краткий список действий для повышения защиты информационной системы от локальных атак

• Использовать максимально безопасные настроенные конфиги
• Проводить анализ присутствия процесса сканирования портов
• Блокировать или удалять аккаунты по умолчанию
• Вовремя обновлять элементы системы
• Поддерживать политику с правилами к сложности пароля и ограничениями попыток ввода
• Наделять пользователей ровно тем уровнем доступа, что ему нужен для работы
• Защитить базу паролей пользователей от разного рода воздействия
• Вести учет ПО и его настроек на всех компьютерах
• Регулярно делать резервные копии
• Реализовать сохранение регистрационных журналов в режиме, который исключает возможность их редактирования

Не было бы уязвимостей в элементах систем, не можно было бы реализовать большинство атак. Однако защиты пишут люди, которым свойственно делать ошибки. .Подведем итоги, ниже описаны рекомендации, которые пригодятся:

• Реализуйте защиту на противостоянии не конкретной атаке, а одного типу атак.
• Нужно следить за новинками о новых атаках, и о противодействиях их.
• Установка защиты на разных уровнях, так сказать эшелонная защита.