ЭЛЕКТРОН ПОЧТА ВИРУСЛАРИ ҲУЖУМЛАРИНИ АНИҚЛАШДА

240 
-
фойдаланувчиларнинг 97 фоизи эмаил вирусларни ажрата олмаслиги; 
-
ташкилотларга қаратилган ҳужумларнинг 95 фоизи самарали 
бўлганлиги; 
-
ташкилотларнинг 85 фоизи ҳеч бўлмаганда 1 маротаба бўлса ҳам эмаил 
вируслари ҳужумига учраганлиги; 
-
ҳар 3 компаниядан 1 таси шифрловчи вирусга пул тўлаганлиги ва 
бунинг оқибатида ҳар бир ҳужум ўртача 84 минг АҚШ доллар миқдорида 
зарарга олиб келганлиги; 
-
2020 йилнинг маълумот сирқиб чиқишининг 22 фоизи эмаил вируслари 
орқали амалга оширилганлиги кузатилган. 
2021-йил феврал ҳолатига кўра дунёдаги актив спам тарқатувчи давлатлар 
10 лиги қуйидагича :
-
Хитой; 
-
AҚШ; 
-
Россия Федерацияси; 
-
Корея Республикаси; 
-
Германия; 
-
Япония; 
-
Ҳиндистон; 
-
Туркия; 
-
Ганг Конг; 
-
Вьетнам; 
Барча корхона ва ташкилотлар фаолиятидан қатъий назар электрон 
почта билан ишлайди. Шу сабабли ҳужум қилаётган томон бу сервисни 
заифлик нуқтаси сифатида ишлатиб келмоқда. Электрон почта вирус 
ҳужумларини аниқлашда тармоқ пакетларини чуқур таҳлил қилиш усули 
кирувчи ва чиқувчи маълумотларни назорат қилишда асосий ечим бўлиб, 
зарарланган ҳостларни ажратиш ва тармоқ ҳолати ҳақида маълумот олиш 
имконини беради. 
1-Жадвал. Эмаил хабарнинг пакетдаги майдон турлари 
Майдон номи 
Таърифи 
FlowID 
Ҳар бир оқимининг ID рақами 
StartTime 
Уланиш бошланган вақти 
LastTime 
Оқимнинг энг охирги етиб келган пакет вақти 
Totalflowpkts 
Жами чиқувчи пакетлар сони 
ConnectionInfo 
Манба ва манзил IP лари, портлари ва протокол тури 
TotalFlowsizes 
Жами чиқувчи пакетлар ҳажми 
BDFlowpkts 
DATA буйруғини олгандан кейинги чиқувчи пакет 
рақами 
BDFlowsize 
DATA буйруғини олгандан кейинги чиқувчи пакет ҳажми 
HeaderSizes 
Оқим хабари сарлавҳаси ҳажми 
BodySizes 
Оқим хабари танаси ҳажми 
RcptCounts 
Оқимда хабарни олувчиларининг сони 
PlainFlag 
Очиқ хабарда хабарнинг тури 
HtmlFlag 
HTML хабарда хабарнинг тури 

241 
EmbeddedFlag 
Жойлаштирилган ресурслар 
AttachmentFlag Бириктирилган файл 
FormFlag 
HTML формаси 
OutSideFlag 
Мижознинг IP манзили ташқи ёки ички тармоқда 
Intrusion Detection System (IDS) – пассив тармоқ анализ тизими бўлиб, 
тармоқ пакетларини ва траффикни ўқиш орқали ҳужумларни аниқлаш 
қобилятига эга. Лекин аниқланган ҳужумларни қайд этиш билан чеклангани 
сабаб уни IPS (Intrusion Prevention System) билан ишлатилади. IPS ўз 
навбатида тармоқнинг ўтиш тугунларида жойлашган агентлари орқали 
траффикни назорат қилади. Тармоқ пакетларини таҳлил қилганда биз 
IPSнинг NIPS (Network Intrusion Prevention System) тури билан ишлаймиз ва 
шуни инобатга олиш керакки , ҳар қандай NIPS нинг ичида эмаил 
протоколлари учун керакли сигнатура базаси жойлашган бўлади. Ҳар бир 
пакет ёки оқим таҳлил қилинар экан, унинг сарлавҳа ва хабар қисмлари 
ўрганилиш жараёни мур машинасига асосан ташкил қиланади. Бунда чиқиш 
натижаси ҳолат ва кирувчи маълумотга боғлиқ шаклда бўлади.
NIPS нинг ишлаш принципи : 
-
бошланғич ҳолати. SMTP боғланиш қурилади, тизим янги ҳолатни 
киритади ва IP манзилни қора рўйҳатига текширади. Aгар IP манзил қора 
рўйҳатда бўлмаса боғланиш нормал деб қаралади. 
-
тайёргарлик ҳолати. 3 томонлама TCP “handshake” дан кейин 
клиентдан “HELO” ёки “EHLO” буйруғини кутиш ҳолатига ўтказилиб вақт 
муддати белгиланади. Aгар белгиланган вақт оралиғида буйруқлар олинмаса 
кириш IP манзили динамик ва реал-вақтда блокланган IP ларга киритилиб 
пакет ташлаб юборилади. Aкс ҳолатда кейинги босқичга ўтади. 
-
EHLO ҳолати. RFC2821 га кўра HELO буйруқ ўзгарувчиси FQDN (Full 
Qualified Domain Name) бўлиши керак. Бу босқичда SMTP клиент 
HELO/EHLO буйруқни FQDNга кўра ўзгартириб юбориши керак. Узунлиги 
эса буфферни тўлдириб юбормаслиги учун MaxCommandLength билан 
чекланган бўлади. 
-
хабар ҳолати. Юборувчи манзили “<юборувчи@домен>” форматида 
бўлиши керак. Ва бу домен FQDN билан тасдиқланиши ва унинг 
мавжудлигига текширилиши керак. Ҳужумчи ва Спаммерлар одатда SMTP 
серверни алдаш мақсадида ёлғон домендан фойдаланишади.
-
RCPT ҳолати. Қабул қилувчи манзил “<қабулқилувчи@домен>” 
форматида бўлиши керак. SMTP сервер ўз навбатида юборучи ёки қабул 
қилувчини рухсатлик фойдаланувчига текширади. Aгар бу фойдаланувчи 
рухсатсиз бўлса SMTP оқими 20 секундга кечиктирилади, агар яна шу ҳолат 
такрорланса 30 секундга оширилади. Aгар рухсатсиз фойдаланувчидан бу 
хабарлар қабул қилинаверса SMTP оқими нормал бўлмаган деб ҳисобланади. 
-
RESET ҳолати. Агар аввалги хабар юборилиш жараёни бекор қилинса 
тизим шу ҳолатга ўтади ва юборувчи ҳамда қабул қилувчи ўчирилади. 

242 
-
VRFY ҳолати. Агар фойдаланувчи тасдиқланиши муаффақиятсизлиги 
ёки VRFY буйруғи юборилиши берилган оралиқдан юқори бўлса SMTP 
оқими нормал бўлмаган деб ҳисобланади. 
-
QUIT ҳолати. Бу босқичга ўтилганда оқим вақтини ҳисоблаш 
тўхтатилади. Қачонки буйруқ 6 байтдан юқори бўлса, бу оқим нормал деб 
ҳисобланмайди. 
-
NOOP ҳолати. Бу буйруқ аввалги буйруқларга таъсир кўрсатмайди, 
фақатгина бу буйруқ юборилганда “ОК” босилмаса. 
-
DATA ҳолати. Бу ҳолатга ўтиш буйруқларни бажарилганини англатади 
(“Mail From” ва “Rcpt To”). Кейин SMTP клиентлар DATA буйруғини 
юборишлари мумкин. Aгар SMTP сервер 354 кодини юборса шундагина у 
SMTP клиентдан хабар контентини қабул қилиб бошлайди. 
Мазкур босқичлардан ҳар бир пакет ўтганлиги сабабли ёлғон маълумот 
билан киришга уринган ҳужумчи ва спаммерлар ушлаб қолинади. Пакет 
ичидаги маълумотлар асосида тажоввузкор IP манзиллар ҳақида рўйҳатлар 
шаклланиб глобал тарзда NIPS бир-бирини огоҳлантириб туради. 
Пакетни чуқур текшириш маъмур томонидан тайинланган қоидалар 
асосида реал вақтда қарор қабул қилишни таъмилайди. Шундай ҳолатлар ҳам 
учраб турадики, базида ҳостга вирус эмаил билан кириб келмайди, аммо 
чиқиш ва тарқалиш учун айнан эмаил тарзда ишламоқчи бўлади. Бу ҳолатда 
ҳам контакт ишончли бўлса ҳам юборилаётган линк ёки бириктирилган 
файлни текшириш орқали IDS/IPS тизимдаги ҳужумни блоклайди ва 
зарарланган ҳост ҳақида маълумотларга эга бўлади.DPI (Deep Packet 
Inspection) тармоқда нафақат пакетларни, балки оқимларни ҳам таҳлил қила 
олиш хусусияти электрон почта билан тарқаладиган зарарли кодларни 
аниқлашда етакчи омил булади. 

Download 7,66 Mb.

Do'stlaringiz bilan baham: