1. Denial of service (DOS) Клас атак, що призводять до відмови в обслуговування. Під час таких атак відбувається підвищена витрата ресурсів процесора і зменшення каналу пропускної можливості каналу зв'язку, що може привести до сильного уповільнення роботи всієї комп'ютерної системи, окремих завдань або взагалі до повного зупинення завдань користувача.
Приклад. Ви пішли в магазин за хлібом, а там дві години назад хулігани побили всі вітрини і весь персонал зайнятий їх прибиранням, біля входу в магазин вишикувалася величезна черга пенсіонерів, тобто шансу пройти без черги поки магазин відкриється - нема.
До DOS атакам відносяться Floods, ICMP flooding, Identification flooding і інші.
2. Hack Клас атак, що використовуються для дослідження операційних систем, додатків або протоколів з метою подальшого аналізу отриманої інформації на випадок наявності вразливостей. наприклад, Ports scan, який можна також віднести до малоефективною DOS-атаки. Виявлені вразливості можуть бути використані хакером для здійснення несанкціонованого доступу до системи або для підбіру найбільш ефективної DOS-атаки.
3. Floods Переклад з англійської на українську - "повінь". Під час floods-атак відбувається посилка великої кількості, на атакуючу систему, ICMP (найчастіше) або UDP пакетів, які не несуть корисної інформації (сміття). У результаті відбувається зменшення розміру пропускної здатності каналу та завантаження комп'ютерної системи аналізом отриманих непотрібних пакетів і генерацією на них відповідей.
4. SYN flooding Затоплення SYN-пакетами - найвідоміший спосіб "забити" інформаційний канал. Згадаймо, як працює TCP / IP у разі вхідних з'єднаннях. Система відповідає що прийшов C-SYN-пакет S-SYN/CACK-пакетом, переводить сесію в стан SYN_RECEIVED і заносить її в чергу. Якщо протягом заданого часу від клієнта не прийде S-ACK, з'єднання видаляється з черги, в іншому випадку з'єднання переводиться в стан ESTABLISHED. По РФЦ коли черга вхідних з'єднань вже заповнена, а система отримує SYN-пакет, що запрошує до установки з'єднання, він буде мовчки проігнорований. Повінь SYN-пакетами засноване на переповненні черги сервера, після чого сервер перестає відповідати на запити користувачів. У різних системах робота з чергою реалізована по різному. Після закінчення деякого часу (залежить від реалізації) система видаляє запити з черги. Однак нічого не заважає хакеру послати нову порцію запитів. Таким чином, навіть перебуваючи на з'єднання 2400 bps, хакер може посилати кожні півтори хвилини по 20-30 пакетів на сервер, підтримуючи його в неробочому стані. Атака зазвичай спрямована на певну, конкретну службу, наприклад telnet або ftp. Вона полягає в передачі пакетів встановлення з'єднання на порт, відповідний атакується службі. При отриманні запиту система виділяє ресурси для нового з'єднання, після чого намагається відповісти на запит (послати "SYN-ACK") за недоступною адресою. За замовчуванням NT версій 3.5-4.0 буде намагатися повторити підтвердження 5 разів - через 3, 6, 12, 24 і 48 секунд. Після цього ще 96 секунд система може очікувати відповідь, і тільки після цього звільнить ресурси, виділені для майбутнього з'єднання. Загальний час зайнятості ресурсів - 189 секунд.
5. ICMP flooding (flood ping) Переклад з англійської на українську - "потік пінгів". Під час цієї атаки відбувається посилка комп'ютерній системі жертви великої кількості запитів відлуння ICMP (пінг системи). У результаті відбувається зменшення смуги пропускної здатності каналу та завантаження комп'ютерної системи аналізом прийшли пакетів і генерацією на них відповідей. Примітка: У мирних цілях пінг використовується адміністраторами і користувачами для перевірки працездатності основних частин транспортної системи обчислювальної мережі, оцінки роботи мережі при максимальному навантаженні. Програма посилає ICMP-пакет типу ECHO REQUEST, виставляючи в ньому час і його ідентифікатор. Ядро машини-одержувача відповідає на подібний запит пакетом ICMP ECHO REPLY. Отримавши його, ping видає швидкість проходження пакета. При стандартному режимі роботи пакети висилаються через деякі проміжки часу, практично не навантажуючи мережу.
6. Identification flooding (identd) Запит ідентифікації системи. Ця атака дуже схожа на ICMP flooding, відрізняється тільки тим, що відбувається запит інформації про комп'ютерну систему (TCP порт 113). Атака ефективніша тому що аналіз цих запитів і генерування на них відповідей забирають більше процесорного часу, ніж при пінгу.
7. DNS flooding Ця атака, спрямована на сервера імен Internet. Вона полягає у передачі значної частини DNS запитів і призводить до того, що у користувачів немає можливості звертатися до сервісу імен і, отже, забезпечується неможливість роботи звичайних користувачів.
8. DNS scan Відомо, що перш ніж починати атаку, хакери здійснюють виявлення цілей, тобто виявлення комп'ютерів, які будуть жертвами атаки, а також комп'ютерів, які здійснюють інформаційний обмін з жертвами. Одним із способів виявлення цілей полягає в опитуванні сервера імен та отримання від нього всієї наявної інформації про домен.
9. Ports scan Сканування комп'ютерної системи на наявність портів, шляхом спроб їх відкриття. Ця атака також витрачає ресурси системи. Зазвичай вона використовується для пошуку слабких місць <дірок> в комп'ютерній системі і передує більш елегантній атаці; ресурси системи витрачаються набагато скромніше, ніж інші floods.
10. Unreachable (dest_unreach, ICMP type 3) Ця атака полягає в тому, що комп'ютерній системі надсилається повідомлення ICMP type 3, яке повідомляє, що порт призначення недоступний тим самим обманюючи систему і змушуючи її розірвати з'єднання тому вона буде "думати" що пакети не доходять. ICMP type 3 може надсилатися клієнтській машині, яка потім зробить відключення або надсилатиметься серверу та ініціатором відключення стане він. Посилку ICMP type 3 здійснює хакер.
11. WinNuke Hаpяду зі звичайними даними пеpесилаемих по TCP з'єднанню cтандаpт передбачає також пеpедачу сpочних (Out Of Band) даних. Hа pівні фоpмату пакетів TCP це виpажается в ненульовому urgent pointer. У більшості PC зі встановленим Windows пpисутній мережевий пpотокол NetBIOS, який використовує для своїх потреб 3 IP поpта: 137, 138, 139. Як з'ясувалося, якщо з'єднатися з Windows-машиною через 139 поpт і послати туди кілька байт OutOfBand даних, то pеализация NetBIOS-а не знаючи що робити з цими даними зазвичай підвішує або пеpезавантажує машину. Для Windows 95 це зазвичай виглядає як синій текстовий екpан, повідомляє про помилку в дpайвеp TCP / IP і неможливість роботи з мережею до пеpезагpузкі ОC. NT 4.0 без сеpвіс паків пеpезавантажується, NT 4.0 з другим сеpвіс паком впадає в синій екpан. 12. Boink (Bonk, Teardrop, new Tear/Tear2)
При передачі пакету даних протоколу IP по мережі може здійснюватися поділ цього пакета на кілька фрагментів. Надалі, при досягненні адресата, пакет відновлюється з цих фрагментів. Хакер може ініціювати посилку великого числа фрагментів, що призводить до переповнення програмних буферів на приймальній стороні і, в ряді випадків, до аварійного завершення системи. Кількість реалізацій цієї атаки досить велике. На компьютер-жертву передається кілька фрагментованих IP-пакетів, які при складанні утворюють один пакет розміром більше 64К (максимальний розмір IP-пакета дорівнює 64К мінус довжина заголовка). Дана атака була ефективна проти комп'ютерів з ОС Windows. При отриманні такого пакета Windows NT, не має спеціального патча ICMP-фікс "зависає" або аварійно завершується. Інші варіанти подібних атак використовують неправильний зсуву в IP фрагментах, що призводить до некоректного виділення пам'яті, переповнення буферів і, в кінцевому підсумку, до збоїв у роботі систем.
13. PingOfDeath (Ssping, IceNuke, Jolt)
Сутність атаки в наступному: на машину жертви надсилається сильно фрагментіpованний ICMP пакет великого діаметра (64 Кб). Реакцією Windows-систем на отримання такого пакету є беззастережне зависання, включаючи мишу і клавіатуру. Програма для атаки широко доступна в мережі у вигляді відкритого коду на C і у вигляді виконуючих файлів для деяких версій Unix. Цікаво, що на відміну від WinNuke жертвою такої атаки можуть стати не тільки для Windows машини, атаці піддані MacOS і деякі веpсії Unix. Переваги такого способу атаки в тому, що зазвичай брандмауер пропускає ICMP-пакети, а якщо брандмауер і налаштований на фільтрацію адреси відправника, то, використовуючи нехитрі прийоми підміни, можна обдурити і такий брандмауер. Недолік PingOfDeath в тому, що для однієї атаки треба переслати більш 64KB по мережі, що робить його кажучи малоефективним для шиpокомаштабних дивеpсій.
14. Land
Ця атака використовує уразливості реалізацій стека TCP/IP в деяких ОС. Вона полягає в передачі на відкритий порт комп'ютера-жертви TCP-пакета з встановленим прапором SYN, причому вихідна адреса і порт такого пакета відповідно рівні адресі і порту атакуючого комп'ютера. Це призводить до того, що комп'ютер-жертва намагається встановити з'єднання сам з собою, в результаті чого сильно зростає завантаження процесора і може статися "підвисання" або перезавантаження. Дана атака досить ефективна на деяких моделях маршрутизаторів фірми Cisco Systems, причому успішне застосування атаки до маршрутизатора може вивести з ладу всю мережу організації.
15. Pong
Повені атаки, перераховані вище, але в якості зворотного дійсного IP-адреси відправника (хакера) використовується підроблений. Тим сам не може виявлення хакера.
16. Puke
Здійснюється відправлення хакером атакованого хосту пакета ICMP помилку про недосяжність (невідома помилка віддаленої системи), що в свою чергу викликає відключення хоста від сервера (зазвичай IRC).
17. Smurf
Атака полягає передачі в мережу широкомовних ICMP запитів від імені комп'ютера-жертви. У результаті комп'ютери, які виконують ці широкомовні пакети, відповідають комп'ютеру-жертви, що призводить до значного зниження пропускної здатності каналу зв'язку і, в ряді випадків, до повної ізоляції атакуючої мережі. Здійснення безліч broadcast-запитів від імені "жертви" на трансляцію-адреси великих мереж, можна викликати різке заповнення каналу "жертви" - ефективно для одного. Атака Smurf виключно ефективна і широко поширена.
18. UDP-bomb
Передаваємий пакет UDP містить неправильний формат службових полів. Деякі старі версії мережевого ПО призводять при отриманні подібного пакета до аварійного завершення системи.
19. Fuzzy
Пакет IP містить поле, що визначає який протокол наступного рівня (TCP, UDP, ICMP) використовує дані з Інтернету. Хакери можуть використовувати нестандартне значення даного поля для передачі даних, які не будуть фіксуватися стандартними засобами контролю інформаційних потоків.
20. Dummy DNS
Впровадження в мережу Інтернет помилкового DNS-сервера шляхом перехоплення DNS-запиту. Для реалізації атаки хакеру необхідно перехопити DNS-запит, витягнути з нього номер UDP-порта відправника запиту, двухбайтовое значення ID ідентифікатора DNS-запиту і шукане ім'я, потім, послати помилкову DNS-відповідь на витягнутий з DNS-запиту UDP-порт, в якому вказати як шуканого IP-адресу справжню IP-адресу хибного DNS-сервера. Це дозволить, в подальшому, повністю перехопити і активно впливати на інформацію, яка циркулює між "обдуреним" хостом і сервером. Необхідною умовою здійснення даного варіанту атаки є перехоплення DNS-запиту. Це можливо тільки в тому випадку, якщо, атакуючий знаходиться, або на шляху основного трафіку, або в сегменті цього DNS-сервера. Виконання однієї з цих умов місцезнаходження хакера в мережі робить подібну віддалену атаку важко здійсненною на практиці (потрапити в сегмент DNS-сервера і тим більше в міжсегментний канал зв'язку атакуючому швидше за все не вдасться). Проте в разі виконання цих умов можливо здійснити міжсегментний віддалену атаку на мережу Інтернет.
21. Dummy DNS for host
Впровадження в мережу Інтернет помилкового сервера шляхом створення спрямованого "шторму" помилкових DNS-відповідей на хост, що атакується. В цьому випадку хакер здійснює постійну передачу на атакується хост заздалегідь підготовленого помилкової DNS-відповіді від імені справжнього DNS-сервера без прийому DNS-запиту. Іншими словами, атакуючий створює в мережі Інтернет спрямований "шторм" помилкових DNS-відповідей. Це можливо, тому що, для передачі DNS-запиту використовується протокол UDP, у якому відсутні засоби ідентифікації пакетів. Єдиними критеріями, що висуваються мережевої ОС хоста до отриманого від DNS-сервера відповіді, є, по-перше, збіг IP-адреси відправника відповіді з IP-адресою DNS-сервера, по-друге, щоб в DNS-відповіді було зазначено те ж ім'я, що і в DNS-запит, по-третє, DNS-відповідь повинна бути спрямований на той же UDP-порт, з якого був відправлений DNS-запит (в даному випадку це перша проблема для атакуючого), і, по-четверте, в DNS-відповіді поле ідентифікатор запиту в заголовку DNS (ID) повинно містити те ж значення, що і в переданому DNS-запиту (а це друга проблема). Передбачається, що атакуючий не має можливості перехопити DNS-запит, то основну проблему для нього представляє номер UDP-порта, з якого був відправлений запит. Але номер порту відправника приймає обмежений набір значень, тому атакуючому досить діяти простим перебором, направляючи помилкові відповіді на відповідний перелік портів. На перший погляд другою проблемою може бути багатобайтовий ідентифікатор DNS-запиту, але в даному випадку він, або дорівнює одиниці, або має значення близьке до нуля (один запит - ID збільшується на 1). Тому для здійснення даної віддаленої атаки атакуючому необхідно вибрати що цікавить його хост (А), маршрут до якого потрібно змінити так, щоб він проходив через помилковий сервер - хост атакуючого. Це досягається постійною передачею (спрямованим "штормом") атакуючим помилкових DNS-відповідей на хост, що атакується від імені справжнього DNS-сервера на відповідні UDP-порти. У цих помилкових DNS-відповідях вказується як IP-адреси хоста (А) IP-адреса атакуючого. Далі атака розвивається за наступною схемою. Як тільки мета атаки (атакується хост) звернутися по імені до хосту (А), то від даного хоста в мережу буде переданий DNS-запит, який атакуючий ніколи не отримає, але цього йому і не потрібно, тому що на хост відразу ж надійде постійно рухаючийся помилкова DNS-відповідь, яка і буде сприйнята, ОС, атакуючого хоста як справжня відповідь від DNS-сервера. Атака відбулася і тепер атакований хост буде передавати всі пакети, призначені для (А), на IP-адреса хоста атакуючого, який, у свою чергу, буде переправляти їх на (А), маючи можливість впливати (змінювати, модифікувати, аналізувати і тд.) на перехоплену інформацію. Таким чином, реалізація даної віддаленої атаки, що використовує прогалини в безпеці служби DNS, дозволяє з будь-якої точки мережі Інтернет порушити маршрутизацію між двома заданими об'єктами. Тобто дана віддалена атака здійснюється міжсегментної по відношенню до мети атаки і загрожує безпеці будь-якого хоста Інтернету, що використовує звичайну службу DNS.
22. Dummy DNS for server Впровадження в мережу Інтернет помилкового сервера шляхом створення спрямованого "шторму" помилкових DNS-відповідей на атакуючий DNS - сервер. За схемою віддаленого DNS-пошуку слід, що в тому випадку, якщо вказане в запиті ім'я DNS-сервер не знайшов у своїй базі імен, то запит відсилається сервером на один з кореневих DNS-серверів, адреси які містяться у файлі налаштувань сервера root.cache. Тобто, в тому випадку, якщо DNS-сервер не має відомостей про запитуваній хості, то він пересилає запит далі, а значить, тепер сам DNS-сервер є ініціатором віддаленого DNS-пошуку. Тому ніщо не заважає атакуючому, діючи методами Dummy DNS for host, направити свою атаку на DNS-сервер. Тобто, в якості мети атаки тепер буде виступати не хост, а DNS-сервер і помилкові DNS-відповіді будуть направлятися атакуючим від імені кореневого DNS-сервера на атакуючий DNS-сервер. При цьому важливо враховувати наступну особливість роботи DNS-сервера. Для прискорення роботи кожен DNS-сервер кешує в області пам'яті свою таблицю відповідності імен і IP-адрес хостів. У тому числі в кеш заноситься динамічно змінена інформація про імена і IP-адреси хостів, знайдених в процесі функціонування DNS-сервера. Тобто, якщо DNS-сервер, отримавши запит, не знаходить у себе в кеш-таблиці відповідного запису, він пересилає відповідь на наступний сервер і, отримавши відповідь, заносить знайдені відомості в кеш-таблицю в пам'ять. Таким чином, при отриманні наступного запиту DNS-сервера вже не потрібно вести віддалений пошук, тому що необхідні відомості вже знаходяться у нього в кеш-таблиці. З аналізу описаної схеми віддаленого DNS-пошуку стає очевидним, що в тому випадку, якщо у відповідь на запит від DNS-сервера атакуючий направить помилкову DNS-відповідь (або у випадку "шторму" помилкових відповідей буде вести їх постійну передачу), то в кеш-таблиці сервера з'явиться відповідний запис з неправдивими відомостями і, надалі, всі хости, які звернулися до даного DNS-сервера, будуть дезінформовані і при зверненні до хоста, маршрут до якого атакуючий вирішив змінити, зв'язок з ним буде здійснюватися через хост атакуючого. І з плином часу ця неправдива інформація, що потрапила в кеш DNS-сервера, буде поширюватися на сусідні DNS-сервери вищих рівнів, а, отже, все більше хостів в Інтернеті будуть дезінформовані і атаковані.Очевідно, що в тому випадку, якщо атакуючий не може перехопити DNS-запит від DNS-сервера, то для реалізації атаки йому необхідний "шторм" помилкових DNS-відповідей, спрямований на DNS-сервер. При цьому виникає наступна основна проблема, відмінна від проблеми підбору портів у разі атаки, спрямованої на хост. Як уже зазначалося раніше DNS-сервер, посилаючи запит на інший DNS-сервер, ідентифікує цей запит багатобайтових значенням (ID). Це значення збільшується на одиницю з кожним переданим запитом. Дізнатися атакуючому це поточне значення ідентифікатора DNS-запиту не представляється можливим. Тому, нічого крім перебору 216 можливих значень ID запропонувати що-небудь досить складно. Зате зникає проблема перебору портів, так як всі DNS-запити передаються DNS-сервером на 53 порт. Наступна проблема, яка є умовою здійснення цієї віддаленої атаки на DNS-сервер при направленому "штормі" помилкових DNS-відповідей полягає в тому, що атака буде мати успіх, тільки в тому випадку, якщо DNS-сервер відправить запит на пошук певного імені (яке міститься в хибній DNS-відповіді). DNS-сервер посилає цей такий необхідний і бажаний для атакуючого запит в тому випадку, якщо на нього прийде DNS-запит від якогось хоста на пошук даного імені і цього імені ні опиниться в кеш-таблиці DNS-сервера. В принципі цей запит може прийти коли завгодно і атакуючому може доведеться чекати результатів атаки як завгодно довго. Однак ніщо не заважає атакуючому, не чекаючи нікого, самому послати на атакуючий DNS-сервер подібний DNS-запит і спровокувати DNS-сервер на пошук зазначеного в запиті імені. Тоді ця атака з великою ймовірністю буде мати успіх практично відразу ж після початку її здійснення.
23. Syslog spoofing
Полягає в передачі на комп'ютер жертви повідомлення від імені іншого комп'ютера внутрішньої мережі. Оскільки протокол syslog використовується для ведення системних журналів, шляхом передачі помилкових повідомлень на комп'ютер-жертви, можна нав'язати інформацію або замести сліди несанкціонованого доступу.
24. IP spoofing Хакер відправляє в мережу пакети з помилковою зворотною адресою. За допомогою цієї атаки хакер може перемикнути на свій комп'ютер з'єднання, встановлені між іншими комп'ютерами. При цьому права доступу хакера стають рівними прав того користувача, чиє з'єднання з сервером було переключено на комп'ютер хакера. Установка TCP-з'єднання відбувається в три стадії: клієнт вибирає і передає серверу sequence number (назвемо його C-SYN), у відповідь на це сервер висилає клієнту пакет даних, що містить підтвердження (C-ACK) і власний порядковий номер сервера (S-SYN). Тепер уже клієнт повинен вислати підтвердження (S-ACK). Після цього з'єднання вважається встановленим і починається обмін даними. При цьому кожен пакет має в заголовку поле для sequence number і acknowledge number. Дані числа збільшуються при обміні даними і дозволяють контролювати коректність передачі. Припустимо, що хакер може передбачити, який sequence number (S-SYN по схемі) буде висланий сервером. Це можливо зробити на основі знань про конкретну реалізацію TCP/IP. Таким чином, пославши один пакет серверу, хакер отримає відповідь і зможе (можливо, з декількох спроб і з поправкою на швидкість з'єднання) пророчити sequence number для наступного з'єднання. Якщо реалізація TCP/IP використовує спеціальний алгоритм для визначення sequence number, то він може бути з'ясований за допомогою посилки декількох десятків пакетів серверу й аналізу його відповідей. Отже, припустимо, що система довіряє системі (B), так, що користувач системи (B) може зробити "Rlogin А" і опинитися на A, не вводячи пароля. Припустимо, що хакер розташований на системі (C). Система виступає в ролі сервера, системи (B) і (C) - у ролі клієнтів. Перша задача хакера - ввести систему (B) у стан, коли вона не зможе відповідати на мережні запити. Це може бути зроблено декількома способами, у найпростішому випадку потрібно просто дочекатися перезавантаження системи (B). Декількох хвилин, протягом яких вона буде непрацездатна, повинно вистачити. Після цього хакер може спробувати прикинутися системою (B), для того, щоб отримати доступ до системи (хоча б короткочасний). Хакер висилає кілька IP-пакетів, що ініціюють з'єднання, системі (A), для з'ясування поточного стану sequence number сервера. Хакер висилає IP-пакет, в якому як sequence number зазначена вже адреса системи (B). Система (А) відповідає пакетом з sequence number, який направляється системі (B). Однак система (B) ніколи не одержить його (вона виведена з ладу), як, втім, і хакер. Але він на основі попереднього аналізу догадується, який sequence number був висланий системі (B). Хакер підтверджує "одержання" пакета від (A), виславши від імені (B) пакет з передбачуваним S-ACK (помітимо, що якщо системи розташовуються в одному сегменті, хакеру для з'ясування sequence number досить перехопити пакет, відправлений системою (A)). Після цього, якщо хакеру пощастило і sequence number сервера був вгаданий вірно, з'єднання вважається встановленим. Тепер хакер може вислати черговий фальшивий IP-пакет, який буде вже містити дані. Наприклад, якщо атака була спрямована на RSH, він може містити команди створення файлу. Rhosts або відправлення /etc/passwd хакеру по електронній пошті.
25. Host spoofing
Атака заснована на протоколі ICMP, однією з функцією якого є інформування хостів про зміну поточного маршрутизатора. Дане управляюче повідомлення носить назву redirect. Існує можливість відправки з будь-якого хоста в сегменті мережі помилкового redirect-повідомлення від імені маршрутизатора на хост, що атакується. В результаті у хоста змінюється поточна таблиця маршрутизації і, надалі, весь мережевий трафік даного хоста буде проходити, наприклад, через хост, відіславши помилкове redirect-повідомлення. Таким чином можливо здійснити активне нав'язування помилкового маршруту всередині одного сегмента мережі Інтернет.
26. Dummy ARP-server У мережі Інтернет кожен хост має унікальний IP-адреса, на який надходять всі повідомлення з глобальної мережі. Однак протокол IP це не стільки мережевий, скільки міжмережевий протокол обміну, призначений для зв'язку між об'єктами в глобальній мережі. На канальному рівні пакети адресуються по апаратним адресами мережевих карт. У мережі Інтернет для взаємно однозначної відповідності IP і Ethernet-адреса використовується протокол ARP (Address Resolution Protocol). Спочатку хост може не мати інформації про Ethernet-адресу інших хостів, що знаходяться з ним в одному сегменті, в тому числі і про Ethernet-адресу маршрутизатора. Відповідно, при першому зверненні до мережевих ресурсів хост відправляє широкомовний ARP-запит, який отримають всі станції в даному сегменті мережі. Отримавши даний запит, маршрутизатор відправляє на хост ARP-відповідь, в якому повідомляє свою Ethernet-адресу. Дана схема роботи дозволяє хакеру послати помилковий ARP-відповідь, в якому оголосити себе шуканим хостом, (наприклад, маршрутизатором), і, в подальшому, активно контролювати весь мережевий трафік "обдуреного" хоста.
27. IP Hijacking
Необхідні умови - хакер повинен мати доступ до машини, що знаходиться на шляху мережного потоку і володіти достатніми правами на ній для генерації і перехоплення IP-пакетів. Нагадаємо, що при передачі даних постійно використовуються sequence number і acknowledge number (обидва поля перебувають в IP-заголовку). Виходячи з їх значення, сервер і клієнт перевіряють коректність передачі пакетів. Існує можливість ввести з'єднання в "десинхронізований стан", коли надсилаються сервером sequence number і acknowledge number не будуть збігатися з очікуваним значеніемі клієнта, і навпаки. В даному випадку хакер, "прослуховуючи" лінію, може взяти на себе функції посередника, генеруючи коректні пакети для клієнта і сервера і перехоплюючи їх відповіді. Метод дозволяє повністю обійти такі системи захисту, як, наприклад, одноразові паролі, оскільки хакер починає роботу вже після того, як відбудеться авторизація користувача.
28. UDP storm
Як правило, за замовчуванням системи підтримують роботу таких UDP-портів, як 7 ("echo", отриманий пакет відсилається назад), 19 ("знакогенератор", у відповідь на отриманий пакет відправникові вислати рядок знакогенератора) та інші (date etc). В даному випадку хакер може послати єдиний UDP-пакет, де в якості вихідного порту буде вказано 7, в якості одержувача - 19-й, а в якості адреси отримувача та відправника будуть вказані, наприклад, дві машини вашої мережі (або навіть 127.0. 0.1). Отримавши пакет, 19-й порт відповідає рядком, який потрапляє на порт 7. Сьомий порт дублює її і знову відсилає на 19 і так до нескінченності. Нескінченний цикл з'їдає ресурси машин і додає на канал безглузде навантаження. Звичайно, при першому втраченні UDP-пакету буря припинитися.
29. Traffic analysis (sniffing) Прослуховування каналу. Практично всі мережеві карти підтримують можливість перехоплення пакетів, що передаються по загальному каналу локальної мережі. При цьому робоча станція може приймати пакети, адресовані іншим комп'ютерам того ж сегменту мережі. Таким чином, весь інформаційний обмін в сегменті мережі стає доступним хакеру, що допоможе в подальшому йому підібрати/придумати інші типи атак проти Вас. Для успішної реалізації цієї атаки комп'ютер хакера повинен розташовуватися в тому ж сегменті локальної мережі, що і атакований комп'ютер.
30. Brute Force
"Груба сила", атака використовується хакерами в тих випадках, коли доступ до системи чи інформації закриті перелом, а вразливостей не вдалося виявити. Здійснюється простим перебором всіх можливих або найбільш часто вживаних паролів. У другому випадку Brute Force досить часто називають "атакою по словнику".
31. Back Orifice (NetBus,Masters of Paradise и др)
ПЗ, що використовується для віддаленого адміністрування (управління) системою. Подібні програми після встановлення зазвичай займаю якийсь порт, наприклад, 31 377, і знаходяться в режимі очікування з'єднання. Хакери сканують Інтернет у пошуках інфікованого хоста. У разі виявлення, вони можуть отримати достатньо повний контроль над системою, а саме: отримувати будь-яких документів, паролі, інформацію про власника, стежити за тим, що він набирає на клавіатурі, видаляти, створювати, редагувати та переміщувати файли, управляти CD-ROM-ом ; використовувати Вашу систему для здійснення атак на інші системи, так що підозра у вчиненні впаде на локального користувача. Представте собі, які можуть бути наслідки, якщо хакер буде використовувати Вашу систему для крадіжки грошей у інших людей або для протиправових дій проти держ.структур. Back Orifice може впроваджуватися в інші програми, програми, при запуску яких відбувається інфікування системи.
32. Spam
Розсилка по електронній пошті повідомлень будь-якого характеру без згоди на це одержувача. Періодично повторюється? спаммінг може порушити роботу користувачів через перевантаження сервера електронної пошти, викликати переповнення поштових скриньок, що призведе до неможливості отримання і відправки звичайних повідомлень, збільшить час перебування одержувача "на лінії", а це додаткові грошові витрати.
33. Virus Програма, будучи одного разу запущена, здатна мимоволі створювати свої копії, що володіють такими ж здібностями. Віруси можуть спотворювати, модифікувати і знищувати дані. Будучи підключеним до мережі Інтернет вірус можна «підчепити» шляхом скачування зараженої програми і подальшого її запуску у себе на ПК; отримати електронною поштою інфіковану програми або як приєднаного виконуваного коду при перегляді повідомлення; переглянути інтернет-броузером www-сторінку, що містить вірус; будь-хто закачає вірус на накопичувач.
34. Trojan horse
Троянський кінь, за грецьким переказами, величезний дерев'яний кінь, в якому сховалися ахейські воїни, облягали Трою. Троянці, не підозрюючи хитрості, ввезли його в Трою. Вночі ахейці вийшли з коня і впустили до міста решту війська. Вираз "Троянський кінь" стало прозивним (дар ворогу з метою його погубити). Повертаючись з минулого до комп'ютерів і хакерам - "троянським конем" стали називати будь-яку функціональну можливість в програмі, спеціально вбудовану для того, щоб обійти системний контроль секретності. Ця можливість може бути самоліквідуємою, що робить неможливим її виявлення, або ж може постійно реалізовуватись, але існувати приховано. Для хакера зазвичай не становить великої праці "заселити" Вам на ПК будь-яку версію програми, що містять функию "троянський кінь". Хакер пише програму, призначену, наприклад, для виконання якої-небудь цікавої або корисної функції: запуску гри, оптимізації роботи операційної системи або для збільшення швидкості доступу в мережу Інтеренет. У програмі заховані інструкції для прочитання файлів паролів і відсилання їх на адресу електронної пошти хакера, або виконання іншої прихованої операції. Потім хакер посилає Вам цю програму по елетронній пошті або викладає її для скачування на загальнодоступний www-сервер, підзагружаюь програму в BBS і - увагу, це важливо! - Сподівається, що користувач запустить програму. Для того щоб це відбулося хакер дуже яскраво описує програму, її необхідність і перевагу над іншим подібним ПЗ, наприклад, пише так - ця програма дозволить Вам збільшити швидкість доступу в Інтернет на 300% - такого ще не було. Також функція "Троянки кінь" може вбудовуватися в вірус, зараження яким призведе до активізації цієї функції. Програма з функцією "троянський кінь" може також підробляти системне запрошення введення логіна і пароля. Недосвідчений користувач не зможе відрізнити фальшиве запрошення запиту логіна і пароля від справжнього, введе логін і пароль - тим самим віддасть їх хакеру. Описати всі можливі способи обману користувача неможливо, так як хакери придумую постійно щось новеньке, раніше невикористовуване.
|
