Ўзбекистон республикаси ахборот технологиялари ва коммуникацияларини ривожлантириш вазирлиги муҳаммад ал-хоразмий номидаги


ЭЛЕКТРОН ПОЧТА ВИРУСЛАРИ ҲУЖУМЛАРИНИ АНИҚЛАШДА



Download 7,67 Mb.
Pdf ko'rish
bet112/260
Sana25.02.2022
Hajmi7,67 Mb.
#291106
1   ...   108   109   110   111   112   113   114   115   ...   260
Bog'liq
2-qism-toplam-4-5-mart

ЭЛЕКТРОН ПОЧТА ВИРУСЛАРИ ҲУЖУМЛАРИНИ АНИҚЛАШДА 
ПАКЕТЛАРНИ ЧУҚУР ТАҲЛИЛАШ УСУЛИ ҲАҚИДА 
А.А.Ганиев (доцент, Муҳаммад ал-Хоразмий номидаги ТАТУ) 
Э.А.Сайфиев (магистрант, Муҳаммад ал-Хоразмий номидаги ТАТУ) 
Электрон почта вируси - электрон почта хабарларида тарқатиладиган 
зарарли кодлардан иборат бўлиб, фойдаланувчи электрон почта хабарига 
бириктирилган файлни очганда ёки электрон почта хабаридаги ҳаволани 
босганида, ушбу код фаоллаштирилиши мумкин. Эмаил вируслар 
Ransomware (шифрловчи вируслар), Phishing, Spoofing, Spam, Key Logger, 
Zero-Day exploit, Social Engineering каби туркумларга ажралади.
2020 йил амалга оширилган эмаил вирус ҳужумлари статистикасига кўра 
қуйидаги холатлар аниқланган:


240 

фойдаланувчиларнинг 97 фоизи эмаил вирусларни ажрата олмаслиги; 

ташкилотларга қаратилган ҳужумларнинг 95 фоизи самарали 
бўлганлиги; 

ташкилотларнинг 85 фоизи ҳеч бўлмаганда 1 маротаба бўлса ҳам эмаил 
вируслари ҳужумига учраганлиги; 

ҳар 3 компаниядан 1 таси шифрловчи вирусга пул тўлаганлиги ва 
бунинг оқибатида ҳар бир ҳужум ўртача 84 минг АҚШ доллар миқдорида 
зарарга олиб келганлиги; 

2020 йилнинг маълумот сирқиб чиқишининг 22 фоизи эмаил вируслари 
орқали амалга оширилганлиги кузатилган. 
2021-йил феврал ҳолатига кўра дунёдаги актив спам тарқатувчи давлатлар 
10 лиги қуйидагича :
- Хитой; 
- AҚШ; 
- Россия Федерацияси; 
- Корея Республикаси; 
- Германия; 
- Япония; 
- Ҳиндистон; 
- Туркия; 
- Ганг Конг; 
- Вьетнам; 
Барча корхона ва ташкилотлар фаолиятидан қатъий назар электрон 
почта билан ишлайди. Шу сабабли ҳужум қилаётган томон бу сервисни 
заифлик нуқтаси сифатида ишлатиб келмоқда. Электрон почта вирус 
ҳужумларини аниқлашда тармоқ пакетларини чуқур таҳлил қилиш усули 
кирувчи ва чиқувчи маълумотларни назорат қилишда асосий ечим бўлиб, 
зарарланган ҳостларни ажратиш ва тармоқ ҳолати ҳақида маълумот олиш 
имконини беради. 
1-Жадвал. Эмаил хабарнинг пакетдаги майдон турлари 
Майдон номи 
Таърифи 
FlowID 
Ҳар бир оқимининг ID рақами 
StartTime 
Уланиш бошланган вақти 
LastTime 
Оқимнинг энг охирги етиб келган пакет вақти 
Totalflowpkts 
Жами чиқувчи пакетлар сони 
ConnectionInfo 
Манба ва манзил IP лари, портлари ва протокол тури 
TotalFlowsizes 
Жами чиқувчи пакетлар ҳажми 
BDFlowpkts 
DATA буйруғини олгандан кейинги чиқувчи пакет 
рақами 
BDFlowsize 
DATA буйруғини олгандан кейинги чиқувчи пакет ҳажми 
HeaderSizes 
Оқим хабари сарлавҳаси ҳажми 
BodySizes 
Оқим хабари танаси ҳажми 
RcptCounts 
Оқимда хабарни олувчиларининг сони 
PlainFlag 
Очиқ хабарда хабарнинг тури 
HtmlFlag 
HTML хабарда хабарнинг тури 


241 
EmbeddedFlag 
Жойлаштирилган ресурслар 
AttachmentFlag Бириктирилган файл 
FormFlag 
HTML формаси 
OutSideFlag 
Мижознинг IP манзили ташқи ёки ички тармоқда 
Intrusion Detection System (IDS) – пассив тармоқ анализ тизими бўлиб, 
тармоқ пакетларини ва траффикни ўқиш орқали ҳужумларни аниқлаш 
қобилятига эга. Лекин аниқланган ҳужумларни қайд этиш билан чеклангани 
сабаб уни IPS (Intrusion Prevention System) билан ишлатилади. IPS ўз 
навбатида тармоқнинг ўтиш тугунларида жойлашган агентлари орқали 
траффикни назорат қилади. Тармоқ пакетларини таҳлил қилганда биз 
IPSнинг NIPS (Network Intrusion Prevention System) тури билан ишлаймиз ва 
шуни инобатга олиш керакки , ҳар қандай NIPS нинг ичида эмаил 
протоколлари учун керакли сигнатура базаси жойлашган бўлади. Ҳар бир 
пакет ёки оқим таҳлил қилинар экан, унинг сарлавҳа ва хабар қисмлари 
ўрганилиш жараёни мур машинасига асосан ташкил қиланади. Бунда чиқиш 
натижаси ҳолат ва кирувчи маълумотга боғлиқ шаклда бўлади.
NIPS нинг ишлаш принципи : 

бошланғич ҳолати. SMTP боғланиш қурилади, тизим янги ҳолатни 
киритади ва IP манзилни қора рўйҳатига текширади. Aгар IP манзил қора 
рўйҳатда бўлмаса боғланиш нормал деб қаралади. 

тайёргарлик ҳолати. 3 томонлама TCP “handshake” дан кейин 
клиентдан “HELO” ёки “EHLO” буйруғини кутиш ҳолатига ўтказилиб вақт 
муддати белгиланади. Aгар белгиланган вақт оралиғида буйруқлар олинмаса 
кириш IP манзили динамик ва реал-вақтда блокланган IP ларга киритилиб 
пакет ташлаб юборилади. Aкс ҳолатда кейинги босқичга ўтади. 

EHLO ҳолати. RFC2821 га кўра HELO буйруқ ўзгарувчиси FQDN (Full 
Qualified Domain Name) бўлиши керак. Бу босқичда SMTP клиент 
HELO/EHLO буйруқни FQDNга кўра ўзгартириб юбориши керак. Узунлиги 
эса буфферни тўлдириб юбормаслиги учун MaxCommandLength билан 
чекланган бўлади. 

хабар ҳолати. Юборувчи манзили “<юборувчи@домен>” форматида 
бўлиши керак. Ва бу домен FQDN билан тасдиқланиши ва унинг 
мавжудлигига текширилиши керак. Ҳужумчи ва Спаммерлар одатда SMTP 
серверни алдаш мақсадида ёлғон домендан фойдаланишади.

RCPT ҳолати. Қабул қилувчи манзил “<қабулқилувчи@домен>” 
форматида бўлиши керак. SMTP сервер ўз навбатида юборучи ёки қабул 
қилувчини рухсатлик фойдаланувчига текширади. Aгар бу фойдаланувчи 
рухсатсиз бўлса SMTP оқими 20 секундга кечиктирилади, агар яна шу ҳолат 
такрорланса 30 секундга оширилади. Aгар рухсатсиз фойдаланувчидан бу 
хабарлар қабул қилинаверса SMTP оқими нормал бўлмаган деб ҳисобланади. 

RESET ҳолати. Агар аввалги хабар юборилиш жараёни бекор қилинса 
тизим шу ҳолатга ўтади ва юборувчи ҳамда қабул қилувчи ўчирилади. 


242 

VRFY ҳолати. Агар фойдаланувчи тасдиқланиши муаффақиятсизлиги 
ёки VRFY буйруғи юборилиши берилган оралиқдан юқори бўлса SMTP 
оқими нормал бўлмаган деб ҳисобланади. 

QUIT ҳолати. Бу босқичга ўтилганда оқим вақтини ҳисоблаш 
тўхтатилади. Қачонки буйруқ 6 байтдан юқори бўлса, бу оқим нормал деб 
ҳисобланмайди. 

NOOP ҳолати. Бу буйруқ аввалги буйруқларга таъсир кўрсатмайди, 
фақатгина бу буйруқ юборилганда “ОК” босилмаса. 

DATA ҳолати. Бу ҳолатга ўтиш буйруқларни бажарилганини англатади 
(“Mail From” ва “Rcpt To”). Кейин SMTP клиентлар DATA буйруғини 
юборишлари мумкин. Aгар SMTP сервер 354 кодини юборса шундагина у 
SMTP клиентдан хабар контентини қабул қилиб бошлайди. 
Мазкур босқичлардан ҳар бир пакет ўтганлиги сабабли ёлғон маълумот 
билан киришга уринган ҳужумчи ва спаммерлар ушлаб қолинади. Пакет 
ичидаги маълумотлар асосида тажоввузкор IP манзиллар ҳақида рўйҳатлар 
шаклланиб глобал тарзда NIPS бир-бирини огоҳлантириб туради. 
Пакетни чуқур текшириш маъмур томонидан тайинланган қоидалар 
асосида реал вақтда қарор қабул қилишни таъмилайди. Шундай ҳолатлар ҳам 
учраб турадики, базида ҳостга вирус эмаил билан кириб келмайди, аммо 
чиқиш ва тарқалиш учун айнан эмаил тарзда ишламоқчи бўлади. Бу ҳолатда 
ҳам контакт ишончли бўлса ҳам юборилаётган линк ёки бириктирилган 
файлни текшириш орқали IDS/IPS тизимдаги ҳужумни блоклайди ва 
зарарланган ҳост ҳақида маълумотларга эга бўлади.DPI (Deep Packet 
Inspection) тармоқда нафақат пакетларни, балки оқимларни ҳам таҳлил қила 
олиш хусусияти электрон почта билан тарқаладиган зарарли кодларни 
аниқлашда етакчи омил булади. 

Download 7,67 Mb.

Do'stlaringiz bilan baham:
1   ...   108   109   110   111   112   113   114   115   ...   260




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish