Виды (типы) угроз и атак в сети Internet - Статьи - Каталог статей - World Wide WEB servises
Вторник, 06.12.2016, 14:06

Hack FoR LiFE inTeRnet -                        "hackersoft"

Вы вошли как Гость | Группа "Залетные"| 
Категории раздела
Статьи [30]
история Украины [33]
метрология [25]
психология [30]
прочее [0]
тут вы найдете информацию
+18 [0]
Мини-чат
опрос
какая у вас ОС?
Всего ответов: 535
облако
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0
...

Каталог статей

Главная » Статьи » Статьи

Виды (типы) угроз и атак в сети Internet
1. Denial of service (DOS)


Класс атак, приводящих к отказу в обслуживание. Во время таких атак происходит повышенный расход ресурсов процессора и уменьшение канала пропускной возможности канала связи, что может привести в сильному замедлению работы всей компьютерной системы, отдельных задач либо вообще к полному останову задач пользователя. Пример. Вы пошли в магазин за хлебом, а там два часа назад хулиганы побили все стекла и весь персонал занят их уборкой; возле входа в магазин выстроилась огромная очередь пенсионеров т.е. шанса пройти без очереди когда магазин откроется - нет. К DOS атакам относятся Floods, ICMP ing, Identification ing и другие.



2. Hack


Класс атак, используемые для исследования операционных систем, приложений или протоколов с целью последующего анализа полученной информации на предмет наличия уязвимостей, например, Ports scan, который можно также отнести к малоэффективной DOS-атаке. Выявленные уязвимости могут быть использованы хакером дляосуществления несанкционированного доступа к системе либо для подбора наиболее эффективной DOS-атаки.



3. Floods


Перевод с английского на русский - "затопление". Во время flood-атак происходит посылка большого количества на атакуемую систему ICMP (чаще всего) либо UDP пакетов, которые не несут полезной информации (мусор). В результате происходит уменьшение полосы пропускания канала и загрузка компьютерной системы анализом пришедших бесполезных пакетов и генерацией на них ответов.


4. SYN


Затопление SYN-пакетами - самый известный способ "забить" информационный канал. Вспомним, как работает TCP/IP в случае входящих соединений. Система отвечает на пришедший C-SYN-пакет S-SYN/CACK-пакетом, переводит сессию в состояние SYN_RECEIVED и заносит ее в очередь. Если в течении заданного времени от клиента не придет S-ACK, соединение удаляется из очереди, в противном случае соединение переводится в состояние ESTABLISHED. По RFC когда очередь входных соединений уже заполнена, а система получает SYN-пакет, приглашающий к установке соединения, он будет молча проигнорирован. Затопление SYNпакетами основано на переполненииочереди сервера, после чего сервер перестает отвечать на запросы пользователей. В различных системах работа с очередью реализована по разному. После истечение некоторого времени (зависит от реализации) система удаляет запросы из очереди. Однако ничего не мешает хакеру послать новую порцию запросов. Таким образом, даже находясь на соединение 2400 bps, хакер может посылать каждые полторы минуты по 20-30 пакетов на сервер, поддерживая его в нерабочем состоянии. Атака обычно направлена на определённую, конкретную службу, например telnet или ftp. Она заключается в передаче пакетов установления соединения на порт, соответствующий атакуемой службе. При получении запроса система выделяет ресурсы для нового соединения, после чего пытается ответить на запрос (послать "SYN-ACK") по недоступному адресу. По умолчанию NT версий 3.5-4.0 будет пытаться повторить подтверждение 5 раз - через 3, 6, 12, 24 и 48 секунд. После этого еще 96 секунд система может ожидать ответ, и только после этого освободит ресурсы, выделенные для будущего соединения. Общее время занятости ресурсов - 189 секунд.



5. ICMP ( ping)



Перевод с английского на русский - "поток пингов". Во время этой атаки происходит посылка компьютерной системе жертвы большого количества запросов эха ICMP (пинг системы). В результате происходит уменьшение полосы пропускания канала и загрузка компьютерной системы анализом пришедших пакетов и генерацией на них ответов. Примечание: В мирных целях пинг используется администраторами и пользователями для проверки работоспособности основных частей транспортной системы вычислительной сети, оценить работу сети при максимальной нагрузке. Программа посылает ICMP-пакет типа ECHO REQUEST, выставляя в нем время и его идентификатор. Ядро машины-получателя отвечает на подобный запрос пакетом ICMP ECHO REPLY. Получив его, ping выдает скорость прохождения пакета. При стандартном режиме работы пакеты высылаются через некоторые промежутки времени, практически не нагружая сеть.



6. Identification  (identd)


Запрос идентификации системы. Эта атака очень похожа на ICMP ping, отличается только тем, что происходит запрос информации о компьютерной системе (TCP порт 113). Атака более эффективна т.к. анализ этих запросов и генерирование на них ответов забирают больше процессорного времени, чем при пингах.


7.  DNS scan


Эта атака, направленная на сервера имён Internet. Она заключается в передаче большого числа DNS запросов и приводит к тому, что у пользователей нет возможности обращаться к сервису имен и, следовательно, обеспечивается невозможность работы обычных пользователей. DNS scan. Известно, что прежде чем начинать атаку, хакеры осуществляют выявление целей, т.е. выявление компьютеров, которые будут жертвами атаки, а также компьютеров, которые осуществляют информационный обмен с жертвами. Одним из способов выявления целей заключается в опросе сервера имён и получение от него всей имеющейся информации о домене.


8. Ports scan


Сканирование компьютерной системы на наличие портов, путем попыток их открытия. Эта атака также расходует ресурсы системы . Обычно она используется для поиска слабых мест <дырок> в компьютерной системе и предшествует более элегантной атаке; ресурсы системы расходует намного скромнее нежели другие.


9. Unreachable (dest_unreach, ICMP type 3)


Эта атака заключается в том, что компьютерной системе посылается сообщение ICMP type 3, которое сообщает, что порт назначения недоступен тем самым обманывая систему и вынуждая ее разорвать соединение т.к. она будет "думать" что пакеты не доходят. ICMP type 3 может посылаться клиентской машине, которая затем произведет отключение либо посылаться серверу и инициатором отключения станет он. Посылку ICMP type 3 осуществляет хакер.


10. WinNuke


Hаpяду с обычными данными пеpесылаемыми по TCP соединениюcтандаpт пpедустатpивает также пеpедачу сpочных (Out Of Band)данных. Hа уpовне фоpматов пакетов TCP это выpажается в ненулевомurgent pointer. У большинства PC с установленным Windows пpисутс-твует сетевой пpотокол NetBIOS, котоpый использует для своих нужд3 IP поpта: 137, 138, 139. Как выяснилось, если соединиться сWindows машиной в 139 поpт и послать туда несколько байт OutOf-Band данных, то pеализация NetBIOS-а не зная что делать с этимиданными попpосту подвешивает или пеpезагpужает машину. Для Windows 95 это обычно выглядит как синий текстовый экpан, сообщающийоб ошибке в дpайвеpе TCP/IP и невозможность pаботы с сетью до пеpезагpузки ОC. NT 4.0 без сеpвис паков пеpезагpужается, NT 4.0 совтоpым сеpвис паком выпадает в синий экpан.


11. Boink (Bonk, Teardrop, new Tear/Tear2)


При передачи пакета данных протокола IP по сети может осуществляться деление этого пакета на несколько фрагментов. В последствии, при достижении адресата, пакет восстанавливается из этих фрагментов. Хакер может инициировать посылку большого числа фрагментов, что приводит к переполнению программных буферов на приемной стороне и, в ряде случаев, к аварийному завершению системы. Количество реализаций этой атаки достаточно велико. На компьютер-жертву передается несколько фрагментированных IP пакетов, которые при сборке образуют один пакет размером более 64К(максимальный размер IP пакета равен 64К минус длина заголовка).Данная атака была эффективна против компьютеров с ОС Windows. При получении такого пакета Windows NT, не имеющая специального патча icmp-fix, "зависает" или аварийно завершается. Другие варианты подобных атак используют неправильные смещения в IP фрагментах,что приводит к некорректному выделению памяти, переполнению буферов и, в конечном итоге, к сбоям в работе систем.


12. PingOfDeath (Ssping, IceNuke, Jolt)


Сущность атаки в следующем: на машину жертвы посылается сильно фрагментиpованный ICMP пакет большого pазмеpа (64KB). РеакциейWindows-систем на получение такого пакета является безоговорочное повисание, включая мышь и клавиатуру. Программа для атаки широкодоступна в сети в виде исходника на C и в виде запускаемых файловдля некоторых версий Unix. Любопытно, что в отличие от WinNukeжертвой такой атаки могут стать не только Windows машины, атаке подвержены MacOS и некоторые веpсии Unix. Преимущества такого способа атаки в том, что обычно firewall пропускает ICMP пакеты,а если firewall и настроен на фильтрацию адресов посылателей, то,используя нехитрые приемы spoofing, можно обмануть и такой firewall. Недостаток PingOfDeath в том, что для одной атаки надо переслать более 64KB по сети, что делает вообще его говоря малопpименимым для шиpокомасштабных дивеpсий.


13. Land


Эта атака использует уязвимости реализаций стека TCP/IP в некоторых ОС. Она заключается в передаче на открытый порт компьютера-жертвы TCP-пакета с установленным флагом SYN, причем исходный адрес и порт такого пакета соответственно равны адресу и порту атакуемого компьютера. Это приводит к тому, что компьютер-жертва пытается установить соединение сам с собой, в результате чего сильно возрастает загрузка процессора и может произойти "подвисание" или перезагрузка. Данная атака весьма эффективна на некоторых моделях маршрутизаторов фирмы Cisco Systems, причем успешное применение атаки к маршрутизатору может вывести из строя всю сеть организации.


14. Pong


Floods атаки, перечисленные выше, но в качестве обратного действительного IP-адреса отправителя ( хакера ) используется поддельный. Тем сам затрудняется обнаружение хакера.


15. Puke


Осуществляется посылка хакером атакуемому хосту пакета ICMP unreachable error (неизвестная ошибка удаленной системы), что в свою очередь вызывает отключение хоста от сервера (обычно IRC).


16. Smurf


Атака заключается в передаче в сеть широковещательных ICMP запросов от имени компьютера-жертвы. В результате компьютеры,принявшие такие широковещательные пакеты, отвечают компьютеру-жертве, что приводит к существенному снижение пропускной способности канала связи и, в ряде случаев, к полной изоляции атакуемой сети. Посылка множество broadcast запросов от имени "жертвы"на broadcast-адреса крупных сетей, можно вызвать резкой заполнение канала "жертвы" - эффект |много для одного|. Атака smurf исключительно эффективна и широко распространена.


17. UDP bomb

Передаваемый пакет UDP содержит неправильный формат служебных полей. Некоторые старые версии сетевого ПО приводят при получении подобного пакета к аварийному завершению системы.

18. Fuzzy

Пакет IP содержит поле, определяющее какой протокол следующего уровня(TCP, UDP, ICMP) использует данные из Internet. Хакерымогут использовать нестандартное значение данного поля для передачи данных, которые не будут фиксироваться стандартными средствами контроля информационных потоков.

19. Dummy DNS


Внедрение в сеть Internet ложного DNS-сервера путем перехвата DNS-запроса. Для реализации атаки хакеру необходимо перехватить DNS-запрос, извлечь из него номер UDP-порта отправителя запроса,двухбайтовое значение ID идентификатора DNS-запроса и искомое имя и, затем, послать ложный DNS-ответ на извлеченный из DNS-запроса UDP-порт, в котором указать в качестве искомого IP-адреса настоящий IP-адрес ложного DNS-сервера. Это позволит в дальнейшем полностью перехватить и активно воздействовать на информацию, циркулирующую между "обманутым" хостом и сервером. Необходимым условием осуществления данного варианта атаки является перехват DNS-запроса. Это возможно только в том случае, если атакующий находится либо на пути основного трафика либо в сегменте настоящего DNS-сервера. Выполнение одного из этих условий местонахождения хакера в сети делает подобную удаленную атаку трудно осуществимойна практике (попасть в сегмент DNS-сервера и тем более в межсегментный канал связи атакующему скорее всего не удастся). Однако вс лучае выполнения этих условий возможно осуществить межсегментную удаленную атаку на сеть Internet.


20. Dummy DNS for host


Внедрение в сеть Internet ложного сервера путем создания направленного "шторма" ложных DNS-ответов на атакуемый хост. В этом случае хакер осуществляет постоянную передачу на атакуемый хост заранее подготовленного ложного DNS-ответа от имени настоящего DNSс ервера без приема DNS-запроса. Другими словами, атакующий создает в сети Internet направленный "шторм" ложных DNS-ответов.Это возможно, так как обычно для передачи DNS-запроса используется протокол UDP, в котором отсутствуют средства идентификации пакетов. Единственными критериями, предъявляемыми сетевой ОС хоста к полученному от DNS-сервера ответу, является, во-первых, совпадение IP-адреса отправителя ответа с IP-адресом DNS-сервера,во-вторых, чтобы в DNS-ответе было указано то же имя, что и в DNS-запросе, в-третьих, DNS-ответ должен быть направлен на тот-же UDP порт, с которого был послан DNS-запрос (в данном случае это первая проблема для атакующего), и, в-четвертых, в DNS-ответе поле идентификатор запроса в заголовке DNS (ID) должно содержать тоже значение, что и в переданном DNS-запросе (а это вторая проблема). Предполагаем, что атакующий не имеет возможности перехватить DNS-запрос, то основную проблему для него представляет номер UDP-порта, с которого был послан запрос. Но номер порта отправителя принимает ограниченный набор значений, поэтому атакующему достаточно действовать простым перебором, направляя ложные ответы на соответствующий перечень портов. На первый взгляд второй проблемой может быть двухбайтовый идентификатор DNS-запроса, но в данном случае он либо равен единице, либо имеет значение близкое к нулю (один запрос - ID увеличивается на 1). Поэтому для осуществления данной удаленной атаки атакующему необходимо выбрать интересующий его хост (А), маршрут к которому требуется изменить так, чтобы он проходил через ложный сервер - хост атакующего. Это достигается постоянной передачей (направленным "штормом") атакующим ложных DNS-ответов на атакуемый хост от имени настоящего DNS-сервера на соответствующие UDP-порты. В этих ложных DNS ответах указывается в качестве IP-адреса хоста А IP-адрес атакующего.Далее атака развивается по следующей схеме. Как только цель атаки(атакуемый хост) обратиться по имени к хосту А, то от данного хоста в сеть будет передан DNS-запрос, который атакующий никогда не получит, но этого ему и не требуется, так как на хост сразу же поступит постоянно передаваемый ложный DNS-ответ, который и будет воспринят ОС атакуемого хоста как настоящий ответ от DNS-сервера.Атака состоялась и теперь атакуемый хост будет передавать все пакеты, предназначенные для А, на IP-адрес хоста атакующего, который, в свою очередь, будет переправлять их на А, имея возможность воздействовать (менять, модифицировать, анализировать и др) на перехваченную информацию. Таким образом, реализация данной удаленной атаки, использующей пробелы в безопасности службы DNS,позволяет из любой точки сети Internet нарушить маршрутизацию между двумя заданными объектами. То есть данная удаленная атака осуществляется межсегментно по отношению к цели атаки и угрожает безопасности любого хоста Internet, использующего обычную службуDNS.



21. Dummy DNS for server


Внедрение в сеть Internet ложного сервера путем создания направленного "шторма" ложных DNS - ответов на атакуемый DNS - сервер. Из схемы удаленного DNS-поиска следует, что в том случае,если указанное в запросе имя DNS-сервер не обнаружил в своей базе имен, то запрос отсылается сервером на один из корневых DNS-серверов, адреса которых содержатся в файле настроек сервера root.cache. То есть, в том случае, если DNS-сервер не имеет сведений о запрашиваемом хосте, то он пересылает запрос далее, а значит, теперь сам DNS-сервер является инициатором удаленного DNS-поиска. Поэтому ничто не мешает атакующему, действуя методами Dummy DNS for host, направить свою атаку на DNS-сервер. То есть,в качестве цели атаки теперь будет выступать не хост, а DNS-сервер и ложные DNS-ответы будут направляться атакующим от имени корневого DNSс ервера на атакуемый DNS-сервер. При этом важно учитывать следующую особенность работы DNS-сервера. Для ускорения работы каждый DNS-сервер кэширует в области памяти свою таблицу соответствия имен и IP-адресов хостов. В том числе в кэш заносится динамически изменяемая информация об именах и IP-адресах хостов, найденных в процессе функционирования DNS сервера. То есть,если DNS-сервер, получив запрос, не находит у себя в кэш-таблице соответствующей записи, он пересылает ответ на следующий сервер и, получив ответ, заносит найденные сведения в кэш-таблицу в память. Таким образом, при получении следующего запроса DNS-серверу уже не требуется вести удаленный поиск, так как необходимые сведения уже находятся у него в кэш-таблице. Из анализа описанной схемы удаленного DNS-поиска становится очевидно, что в том случае, если в ответ на запрос от DNS-сервера атакующий направит ложный DNS-ответ (или в случае "шторма" ложных ответов будет вести их постоянную передачу), то в кэш-таблице сервера появится соответствующая запись с ложными сведениями и, в дальнейшем, все хосты, обратившиеся к данному DNS-серверу, будут дезинформированы и при обращении к хосту, маршрут к которому атакующий решил изменить, связь с ним будет осуществляться через хост атакующего. И стечением времени эта ложная информация, попавшая в кэш DNS-сервера, будет распространяться на соседние DNS-серверы высших уровней, а, следовательно, все больше хостов в Internet будут дезинформированы и атакованы.Очевидно, что в том случае, если атакующий не может перехватить DNS-запрос от DNS-сервера, то для реализации атаки ему необходим "шторм" ложных DNS-ответов, направленный на DNS-сервер. При этом возникает следующая основная проблема, отличная от проблемы подбора портов в случае атаки, направленной на хост. Как уже отмечалось ранее DNS-сервер, посылая запрос на другой DNS-сервер, идентифицирует этот запрос двухбайтовым значением (ID). Это значение увеличивается на единицу с каждым передаваемым запросом. Узнать атакующему это текущее значение идентификатора DNS-запроса не представляется возможным. Поэтому,ничего кроме перебора 216 возможных значений ID предложить что-либо достаточно сложно. Зато исчезает проблема перебора портов, так как все DNS-запросы передаются DNS-сервером на 53 порт.Следующая проблема, являющаяся условием осуществления этой удаленной атаки на DNS-сервер при направленном "шторме" ложных DNS ответов состоит в том, что атака будет иметь успех, только втом случае, если DNS-сервер пошлет запрос на поиск определенного имени (которое содержится в ложном DNS-ответе). DNS-сервер посылает этот столь необходимый и желанный для атакующего запрос в том случае, если на него придет DNS-запрос от какого-либо хоста на поиск данного имени и этого имени ни окажется в кэш-таблице DNS-сервера. В принципе этот запрос может прийти когда угодно и атакующему может быть придется ждать результатов атаки сколь угодно долго. Однако ни что не мешает атакующему, не дожидаясь никого, самому послать на атакуемый DNS-сервер подобный DNS-запрос и спровоцировать DNS-сервер на поиск указанного в запросе имени. Тогда эта атака с большой вероятностью будет иметь успех практически сразу же после начала ее осуществления.


22. Syslog spoofing


Заключается в передаче на компьютер жертву сообщения от именидругого компьютера внутренней сети. Поскольку протокол syslog используется для ведения системных журналов, путем передачи ложныхсообщений на компьютер-жертву можно навязать информацию илизамести следы несанкционированного доступа.


23. IP spoofing


Хакер отправляет в сеть пакеты с ложным обратным адресом. С помощью этой атаки хакер может переключать на свой компьютер соединения, установленные между другими компьютерами. При этом права доступа хакера становятся равными правам того пользователя, чье соединение с сервером было переключено на компьютер хакера. Установка TCP соединения происходит в три стадии: клиент выбирает и передает серверу sequence number (назовем его C-SYN), в ответ наэто сервер высылает клиенту пакет данных, содержащий подтверждение (C-ACK) и собственный sequence number сервера (S-SYN). Теперь уже клиент должен выслать подтверждение (S-ACK). После этого соединение считается установленным и начинается обмен данными. При этом каждый пакет имеет в заголовке поле для sequence number и acknowledge number. Данные числа увеличиваются при обмене даннымии позволяют контролировать корректность передачи. Предположим,что хакер может предсказать, какой sequence number (S-SYN по схеме) будет выслан сервером. Это возможно сделать на основе знанийо конкретной реализации TCP/IP. Таким образом, послав один пакет серверу, хакер получит ответ и сможет (возможно, с нескольких попыток и с поправкой на скорость соединения) предсказать sequence number для следующего соединения. Если реализация TCP/IP использует специальный алгоритм для определения sequence number, то он может быть выяснен с помощью посылки нескольких десятков пакетов серверу и анализа его ответов. Итак, предположим, что система A доверяет системе B, так, что пользователь системы B может сделать"rlogin A" и оказаться на A, не вводя пароля. Предположим, чтохакер расположен на системе C. Система A выступает в роли сервера, системы B и C - в роли клиентов. Первая задача хакера - ввести систему B в состояние, когда она не сможет отвечать на сетевые запросы. Это может быть сделано несколькими способами, в простейшем случае нужно просто дождаться перезагрузки системы B. Нескольких минут, в течении которых она будет неработоспособна,должно хватить. После этого хакер может попробовать притвориться системой B, для того, что бы получить доступ к системе A (хотя бы кратковременный). Хакер высылает несколько IP-пакетов, инициирующих соединение, системе A, для выяснения текущего состояния sequence number сервера. Хакер высылает IP-пакет, в котором в качестве обратного адреса указан уже адрес системы B. Система A отвечает пакетом с sequence number, который направляется системе B. Однако система B никогда не получит его (она выведена из строя),как, впрочем, и хакер. Но он на основе предыдущего анализа догадывается, какой sequence number был выслан системе B. Хакер подтверждает "получение" пакета от A, выслав от имени B пакет с предполагаемым S-ACK (заметим, что если системы располагаются в одном сегменте, хакеру для выяснения sequence number достаточно перехватить пакет, посланный системой A). После этого, если хакеру повезло и sequence number сервера был угадан верно, соединение считается установленным. Теперь хакер может выслать очередной фальшивый IP-пакет, который будет уже содержать данные. Например, если атака была направлена на rsh, он может содержать команды создания файла .rhosts или отправки /etc/passwd хакеру по электронной почте.


24. Host spoofing


Атака основана на протоколе ICMP, одной из функцией которого является информирование хостов о смене текущего маршрутизатора.Данное управляющее сообщение носит название redirect. Существует возможность посылки с любого хоста в сегменте сети ложного redirect-сообщения от имени маршрутизатора на атакуемый хост. В результате у хоста изменяется текущая таблица маршрутизации и, в дальнейшем, весь сетевой трафик данного хоста будет проходить,например, через хост, отославший ложное redirect сообщение. Таким образом возможно осуществить активное навязывание ложного маршрута внутри одного сегмента сети Internet.


25. Dummy ARP server


В сети Internet каждый хост имеет уникальный IP адрес, на который поступают все сообщения из глобальной сети. Однако протокол IP это не столько сетевой, сколько межсетевой протокол обмена,предназначенный для связи между объектами в глобальной сети. На канальном уровне пакеты адресуются по аппаратным адресам сетевых карт. В сети Internet для взаимно однозначного соответствия IP и Ethernet адресов используется протокол ARP (Address Resolution Protocol). Первоначально хост может не иметь информации о Ethernet-адресах других хостов, находящихся с ним в одном сегменте, в том числе и о Ethernet-адресе маршрутизатора. Соответственно, при первом обращении к сетевым ресурсам хост отправляет широковещательный ARP-запрос, который получат все станции в данном сегменте сети. Получив данный запрос, маршрутизатор отправляет на запросивший хост ARP-ответ, в котором сообщает свой Ethernet-адрес.Данная схема работы позволяет хакеру послать ложный ARP-ответ, в котором объявить себя искомым хостом, (например, маршрутизатором), и, в дальнейшем, активно контролировать весь сетевой трафик"обманутого" хоста.


26. IP Hijacking


Необходимые условия - хакер должен иметь доступ к машине, находящейся на пути сетевого потока и обладать достаточными правамина ней для генерации и перехвата IP-пакетов. Напомним, что припередаче данных постоянно используются sequence number и acknowledge number (оба поля находятся в IP-заголовке). Исходя из ихзначения, сервер и клиент проверяют корректность передачи пакетов. Существует возможность ввести соединение в "десинхронизированное состояние", когда присылаемые сервером sequence number иacknowledge number не будут совпадать с ожидаемым значениеми клиента, и наоборот. В данном случае хакер, "прослушивая" линию, может взять на себя функции посредника, генерируя корректные пакетыдля клиента и сервера и перехватывая их ответы. Метод позволяетполностью обойти такие системы защиты, как, например, одноразовые пароли, поскольку хакер начинает работу уже после того, как произойдет авторизация пользователя.


27. UDP storm


Как правило, по умолчанию системы поддерживают работу таких UDP-портов, как 7 ("эхо", полученный пакет отсылается назад), 19 ("знакогенератор", в ответ на полученный пакет отправителю выслается строка знакогенератора) и других (date etc). В данном случае хакер может послать единственный UDP-пакет, где в качестве исходного порта будет указан 7, в качестве получателя - 19-й, а в качестве адреса получателя и отправителя будут указаны, к примеру,две машины вашей сети (или даже 127.0.0.1). Получив пакет, 19-й порт отвечает строкой, которая попадает на порт 7. Седьмой порт дублирует ее и вновь отсылает на 19 и так до бесконечности. Бесконечный цикл съедает ресурсы машин и добавляет на канал бессмысленную нагрузку. Конечно, при первом потерянном UDP-пакете буря прекратиться.


28. Traffic analysis (sniffing)


Прослушивание канала. Практически все сетевые карты поддерживают возможность перехвата пакетов, передаваемых по общему каналу локальной сети. При этом рабочая станция может принимать пакеты, адресованные другим компьютерам того же сегмента сети. Таким образом, весь информационный обмен в сегменте сети становится доступным хакеру, что поможет в дальнейшем ему подобрать/придуматьдругие типы атак против Вас. Для успешной реализации этой атакикомпьютер хакера должен располагаться в том же сегменте локальной сети, что и атакуемый компьютер.


29. Brute Force


"Грубая сила",атака используемая хакерами в тех случаях, когда доступ к системе либо информации закрыт паролем, а уязвимостей не удалось обнаружить. Осуществляется простым перебором всех возможных либо наиболее часто всречающихся паролей. Во втором случае brute force достаточно часто называют "атакой по словарю".


30. Back Orifice (NetBus,Masters of Paradise и др)


ПО, используемое для удаленного администрирования ( управления ) системой. Подобные программы после установки обычно занимают какой-нибудь порт, например, 31337, и находятся в ожидание соединения. Хакеры сканирует Интернет в поиске инфицированного хоста. В случае обнаружения они могут получить достаточно полный контроль над системой, а именно: получать любые документы, пароли, информацию о владельце; следить за тем, что Вы набираете на клавиатуре; удалять, создавать, изменять и перемещать файлы; управлять CD-ROM-ом; использовать Вашу систему для осуществления атак на другие системы, так что подозрение в совершение их падет на Вас. Представте себя, какие могут быть последствия для Вас если хакер будет использовать Вашу систему для кражи денег у других людей либо для противоправных действий против гос.структур. BackOrifice может внедряться в другие программы, приложения, при запуске которых происходит инфицирование системы.


31. Spam


Рассылка по электронной почте сообщений какого-либо характера без согласия на это получателя. Периодически повторяющийся спамминг может нарушить работу пользователей из-за перегрузки сервера электронной почты; вызвать переполнение почтовых ящиков, что приведет к невозможности получения и отправки обычных сообщений;увеличит время нахождения получателя "на линии", а это дополнительные денежные расходы.


32. Virus


Программа, будучи однажды запущена, способная самопроизвольно создавать свои копии, обладающие такими же способностями. Вирусы могут искажать, модифицировать и уничтожать данные. Будучи подключенным к сети Интернет вирус можно "подцепить" путем скачивания какой-либо зараженной программы и последующего ее запуска у себяна ПК; получить по электронной почте инфицированной программы либо в качестве присоединенного исполняемого кода при просмотре сообщения; просмотреть интернет браузером www-страничку, содержащию вирус; кто-либо закачает вирус на Ваш накопитель.


33. Trojan horse


Троянский конь, по греческому преданию, огромный деревянный конь, в котором спрятались ахейские воины, осаждавшие Трою. Троянцы, не подозревая хитрости, ввезли его в Трою. Ночью ахейцы вышли из коня и впустили в город остальное войско. Выражение"Троянский конь" стало нарицательным (дар врагу с целью его погубить). Возвращаясь из прошлого к компьютерам и хакерам - "Троянским конем" стали называть любую функциональную возможность в программе, специально встроенную для того, чтобы обойти системный контроль секретности. Эта возможность может быть самоликвидируемой, что делает невозможным ее обнаружение, или же может постоянно реализовываться, но существовать скрыто. Для хакера обычно не составляет большого труда "заселить" Вам на ПК какую-либо версию программы, содержащие функцию "троянский конь". Хакер пишет программу, предназначенную, например, для выполнения какой-нибудь интересной либо полезной функции: запуска игры, оптимизации работы операционной системы или для увеличения скорости доступа в сеть Интеренет. В программе спрятаны инструкции для прочтения файлов паролей и отсылки их на адрес электронной почты хакера, или выполнения другой скрытой операции. Затем хакер посылает Вам эту программу по элетронной почте либо выкладывает ее для скачиванияна общедоступный www-сервер, подзагружает программу в BBS и надеется, что пользватель запустит программу. Для того чтобы это произошло хакер рассказавает в описаниена программу очень ярко ее необходимость и превосходство над другим подобным ПО, например, пишет так "Эта программа позволит Вам увеличить скорость доступа в Интернет на 300% - такого еще не было". Также функция "Троянкий конь" может встраиваться в вирус, заражение которым Вашей ПЭВМ приведет к активизации этой функции. Программа с функией "троянский конь" может также подделывать системное приглашение ввода логина и пароля. Неопытный пользовательне сможет отличить фальшивое приглашение запроса логина и пароляот настоящего, введет логин и пароль - тем самым отдаст их хакеру. Описать все возможные способы обмана пользователя непредстовляется возможным т.к. хакеры придумываю постоянно что-то новенькое, ранее неиспользуемое.
Категория: Статьи | Добавил: mank (29.03.2010)
Просмотров: 1928 | Теги: виды атаки, типы угроз, взлом, заражение, вида угроз, управление | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]