Защита от сетевых атак Касперского

Обновлено: 21.11.2024

Компонент Защита от сетевых угроз сканирует входящий сетевой трафик на предмет активности, характерной для сетевых атак. Когда Kaspersky Endpoint Security обнаруживает попытку сетевой атаки на компьютер пользователя, он блокирует сетевое соединение с атакующим компьютером.

Описания известных на данный момент типов сетевых атак и способов противодействия им представлены в базах Kaspersky Endpoint Security. Список сетевых атак, которые обнаруживает компонент Защита от сетевых угроз, обновляется при обновлении баз и модулей программы.

Настройки компонента Защита от сетевых угроз

Обнаружение атак сканирования портов и сетевых атак

Сетевой флуд — это атака на сетевые ресурсы организации (например, на веб-серверы). Эта атака состоит в отправке большого количества запросов, чтобы перегрузить пропускную способность сетевых ресурсов. Когда это происходит, пользователи не могут получить доступ к сетевым ресурсам организации.

Атака Port Scanning состоит из сканирования портов UDP, портов TCP и сетевых служб на компьютере. Эта атака позволяет злоумышленнику определить степень уязвимости компьютера перед проведением более опасных видов сетевых атак. Сканирование портов также позволяет злоумышленнику идентифицировать операционную систему на компьютере и выбирать подходящие сетевые атаки для этой операционной системы.

Если этот флажок установлен, Kaspersky Endpoint Security отслеживает сетевой трафик для обнаружения таких атак. При обнаружении атаки приложение фильтрует и блокирует трафик, связанный с атакой. Таким образом, если на компьютер запускается атака Network Flooding, приложение снижает нагрузку на атакуемый ресурс. Если против компьютера запущена атака сканирования портов, Kaspersky Endpoint Security предотвращает утечку данных на компьютере.

Вы можете отключить обнаружение этих типов атак, если некоторые из ваших разрешенных приложений выполняют операции, типичные для этих типов атак. Это поможет избежать ложных срабатываний.

Добавить атакующий компьютер в список заблокированных компьютеров на N минут

Если флажок установлен, компонент Защита от сетевых угроз добавляет атакующий компьютер в список заблокированных. Это означает, что компонент Защита от сетевых угроз блокирует сетевое соединение с атакующим компьютером после первой попытки сетевой атаки на заданное время. Эта блокировка автоматически защищает компьютер пользователя от возможных будущих сетевых атак с того же адреса.

Вы можете просмотреть черный список в окне инструмента Network Monitor.

Kaspersky Endpoint Security очищает черный список при перезапуске программы и изменении настроек Защиты от сетевых угроз.

Список содержит IP-адреса, с которых Защита от сетевых угроз не блокирует сетевые атаки.

Kaspersky Endpoint Security не регистрирует информацию о сетевых атаках с IP-адресов, включенных в список исключений.

Защита от подмены MAC-адреса

Атака с подделкой MAC-адреса заключается в изменении MAC-адреса сетевого устройства (сетевой карты). В результате злоумышленник может перенаправить данные, отправленные на устройство, на другое устройство и получить доступ к этим данным. Kaspersky Endpoint Security позволяет блокировать атаки MAC Spoofing и получать уведомления об атаках.

Kaspersky Endpoint Security позволяет управлять защитой от следующих типов сетевых атак:

  • Наводнение в сети — это атака на сетевые ресурсы организации (например, на веб-серверы). Эта атака состоит в отправке большого количества запросов, чтобы перегрузить пропускную способность сетевых ресурсов. Когда это происходит, пользователи не могут получить доступ к сетевым ресурсам организации.
  • Атака Port Scanning состоит из сканирования портов UDP, портов TCP и сетевых служб на компьютере. Эта атака позволяет злоумышленнику определить степень уязвимости компьютера перед проведением более опасных видов сетевых атак. Сканирование портов также позволяет злоумышленнику определить операционную систему на компьютере и выбрать подходящие сетевые атаки для этой операционной системы.
  • Атака с подделкой MAC-адреса заключается в изменении MAC-адреса сетевого устройства (сетевой карты). В результате злоумышленник может перенаправить данные, отправленные на устройство, на другое устройство и получить доступ к этим данным. Kaspersky Endpoint Security позволяет блокировать атаки MAC Spoofing и получать уведомления об атаках.

Вы можете отключить обнаружение этих типов атак, если некоторые из ваших разрешенных приложений выполняют операции, типичные для этих типов атак. Это поможет избежать ложных срабатываний.

По умолчанию Kaspersky Endpoint Security не отслеживает атаки Network Flood, Port Scanning и MAC spoofing.

Чтобы настроить защиту от сетевых атак по типу:

  1. В нижней части главного окна приложения нажмите кнопку.
  2. В окне настроек программы выберите Защита → Защита от сетевых угроз.
  3. Используйте переключатель Считать сканирование портов и переполнение сети атаками, чтобы включить или отключить обнаружение этих атак.
  4. Используйте переключатель защиты от спуфинга MAC-адресов.
  5. В блоке При обнаружении подмены MAC-адреса выберите один из следующих вариантов:
    • Только уведомления.
    • Уведомить и заблокировать .
  6. Сохраните изменения.
  7. Защита от сетевых атак загружается при запуске операционной системы и отслеживает входящий сетевой трафик на предмет действий, характерных для сетевых атак. Когда Kaspersky Total Security обнаруживает попытку сетевой атаки на компьютер пользователя, он блокирует сетевое соединение с атакующим компьютером.

    Описания известных на данный момент типов сетевых атак и способов их нейтрализации указаны в базах данных Kaspersky Total Security. Список сетевых атак, обнаруживаемых Защитой от сетевых атак, обновляется при обновлении баз и модулей программы.

    Настройки защиты от сетевых атак

    Считать сканирование портов и переполнение сети атаками

    Сетевой флуд — это атака на сетевые ресурсы организации (например, веб-серверы). Эта атака заключается в отправке большого количества трафика, чтобы исчерпать пропускную способность сети. В результате пользователи не могут получить доступ к сетевым ресурсам организации.

    Атака сканирования портов заключается в сканировании UDP- и TCP-портов, а также сетевых служб на компьютере. Эта атака позволяет определить уровень уязвимости компьютера перед еще более опасными типами сетевых атак. Сканирование портов также позволяет хакерам определять операционную систему компьютера и выбирать для нее атаки, специфичные для этой ОС.

    Если переключатель включен, компонент "Защита от сетевых атак" блокирует сканирование портов и сетевой флуд.

    Добавить атакующий компьютер в список заблокированных компьютеров на N минут

    Если переключатель включен, компонент Защита от сетевых атак добавляет атакующий компьютер в список заблокированных. Это означает, что Блокировщик сетевых атак заблокирует сетевое соединение с атакующим компьютером после первой попытки сетевой атаки в течение заданного периода времени, чтобы автоматически защитить компьютер пользователя от возможных будущих сетевых атак с того же адреса.

    Список содержит IP-адреса, с которых Защита от сетевых атак не блокирует сетевые атаки.

    Kaspersky Total Security не сообщает информацию о сетевых атаках с IP-адресов, включенных в список исключений.

    Kaspersky Endpoint Security защищает ваш компьютер от сетевых атак.

    сетевая атака — это попытка проникнуть в операционную систему удаленного компьютера. Преступники предпринимают попытки сетевых атак, чтобы установить контроль над операционной системой, вызвать отказ в обслуживании в операционной системе или получить доступ к конфиденциальной информации. Для достижения этих целей преступники либо осуществляют прямые атаки, такие как сканирование портов и атаки методом перебора, либо используют вредоносное ПО, установленное на атакуемом компьютере.

    Сетевые атаки можно разделить на следующие типы:

    • Сканирование портов. Этот тип сетевой атаки обычно выполняется для подготовки к более опасной сетевой атаке. Злоумышленник сканирует UDP/TCP-порты, которые используют сетевые службы на целевом компьютере, и определяет уязвимость целевых компьютеров к другим, более опасным типам сетевых атак. Сканирование портов также позволяет злоумышленнику определить операционную систему на целевом компьютере и выбрать подходящие сетевые атаки для этой операционной системы.
    • DoS-атаки или сетевые атаки, вызывающие отказ в обслуживании. Такие сетевые атаки делают целевую операционную систему нестабильной или полностью неработоспособной.

    • Передача специально разработанных сетевых пакетов, которые не ожидаются целевым компьютером, что приводит к сбою или сбою целевой операционной системы.
    • Отправка большого количества сетевых пакетов на удаленный компьютер за короткий промежуток времени. Все ресурсы целевого компьютера используются для обработки сетевых пакетов, отправляемых злоумышленником. В результате компьютер перестает выполнять свои функции.

    Этот тип сетевой атаки используется, когда злоумышленник хочет получить конфиденциальные данные (например, номера банковских карт или пароли) с удаленного компьютера или тайно использовать удаленный компьютер в своих целях (например, атаковать другие компьютеры из этот компьютер).

    1. В строке меню нажмите значок приложения и выберите «Настройки» .

    Откроется окно настроек приложения.

    Вы также можете включить Защиту от сетевых угроз в Protection Center. Отключение защиты компьютера или отключение компонентов защиты повышает риск заражения вашего компьютера. Вот почему Protection Center информирует вас об отключении защиты.

    Важно! Если вы отключите Защиту от сетевых угроз, она не будет повторно включена автоматически при повторном запуске Kaspersky Endpoint Security или после перезагрузки операционной системы. Вам необходимо повторно включить Защиту от сетевых угроз вручную.

    При обнаружении программой опасной сетевой активности Kaspersky Endpoint Security автоматически добавляет IP-адрес атакующего компьютера в список заблокированных компьютеров, если атакующий компьютер не находится в списке доверенных компьютеров.

    1. В строке меню нажмите значок приложения и выберите "Настройки" .

    Откроется окно настроек приложения.

    Откроется окно со списком доверенных компьютеров и списком заблокированных компьютеров.

    Откроется диалоговое окно подтверждения.

      Если вы хотите разблокировать компьютер, нажмите Разблокировать .

    Kaspersky Endpoint Security разблокирует IP-адрес.

    Kaspersky Endpoint Security разблокирует IP-адрес и добавит его в список доверенных компьютеров.

    Вы можете создавать и редактировать список доверенных компьютеров. Kaspersky Endpoint Security не блокирует автоматически IP-адреса этих компьютеров даже после обнаружения с них опасной сетевой активности.

    1. В строке меню нажмите значок приложения и выберите "Настройки" .

    Откроется окно настроек приложения.

    Откроется окно со списком доверенных компьютеров и списком заблокированных компьютеров.

    • Чтобы добавить IP-адрес в список доверенных компьютеров:
      1. Нажмите .
      2. В появившемся поле введите IP-адрес компьютера, которому вы доверяете.
    • Чтобы удалить IP-адрес из списка доверенных компьютеров:
      1. Выберите IP-адрес в списке.
      2. Нажмите .
    • Чтобы изменить IP-адрес в списке доверенных компьютеров:
      1. Выберите IP-адрес в списке.
      2. Нажмите "Изменить" .
      3. Изменить IP-адрес.

    При обнаружении сетевой атаки Kaspersky Endpoint Security регистрирует информацию об атаке в отчете.

    Примечание. Если компонент Защита от сетевых угроз перестает работать с ошибкой, вы можете просмотреть отчет и попробовать перезапустить компонент. Если проблема не устранена, вы можете обратиться в Службу технической поддержки Лаборатории Касперского.

    Откроется окно "Отчеты".

    Вы можете просмотреть общую статистику по защите от сетевых атак (количество заблокированных компьютеров и количество событий с момента последнего запуска компонента Защита от сетевых угроз) в Центре защиты, нажав кнопку Показать подробности в главном окне программы.

    Читайте также: