Descrierea principalelor atacuri pe Internet

scanare de porturi (port de scanare) - Nu a fost un atac în sine, dar efectul este de obicei precedat de atac, atunci când TCP și UDP porturile de pe sistemul dvs. sunt interogate pentru a identifica potențialele vulnerabilități, cum ar fi porturile deschise (la care un atacator poate conecta pentru a obține controlul asupra calculatorului) , răspunsul sistemului la diverse cereri etc. În rețelele mari se poate întâmpla atunci când se utilizează programe care scanează sistemul pentru resursele de rețea disponibile (instrumente cum ar fi „Network Scan“).







Există mai multe varietăți ale acestei clase de atacuri, de exemplu:

JOLT2, un atac de refuz al serviciului care utilizează un flux continuu de pachete IP fragmentate identice pentru a consuma o cantitate mare de resurse procesor. Cele mai multe sisteme de operare Windows sunt predispuse la acest atac din cauza erorilor în metodele de construire a pachetelor IP.

TARGA3, trimite pachete IP incorecte care determină căderea sau comportamentul neașteptat al unor stive IP. Pachetele IP nevalide constau în date nevalide (protocol, dimensiune pachet, antet, parametri, offseturi, segmente TCP și steaguri de rutare) și sunt fragmentate incorect. Atunci când o stivă TCP primește un pachet nevalid, nucleul este forțat să aloce resurse pentru procesarea acestuia. Dacă sistemul primește un număr suficient de mare de pachete incorect formate, atunci utilizarea tuturor resurselor poate cauza o cădere.

Fragmente pachete IGMP (Fragmentate IGMP) - La fel ca Fragmentate ICMP, se utilizează numai pachete IGMP.

Fragmente scurte - Acest atac folosește funcțiile de procesare a pachetelor IP prea mari care sunt împărțite în mai multe fragmente și apoi nucleul colectează toate fragmentele pentru a obține pachetul original. Atacul trimite prea scurt un fragment al pachetului, care nu poate conține nici măcar un antet, ceea ce face ca sistemul să se prăbușească după construire.

Un exemplu de atac al acestei clase este atacul cu Snork.

Fragmentele Suprapunerea (Fragments suprapuse) - specificație IP-protocol descrie algoritmul de colectare, care duce la suprascrierea porțiunile anterioare suprapuse ale fragmentelor obținute fragmente noi. În această implementare, atacatorul de asamblare poate crea o secvență de pachete, în care primul fragment va conține date inofensive și oricare dintre următoarele vor fi suprapuse parțial pe informația din TCP-header (portul de destinație, de exemplu) și astfel încât să determine modificarea acesteia, ceea ce duce la o scădere datorită erorilor de memorie.

Atac de "Winnuke" - Aceste atacuri vizează sistemele Windows 95, NT și 3.11 și utilizează capacitatea TCP Out-of-Band (OOB). Atacatorul trimite un pachet cu date OOB la cel de-al 139-lea port al calculatorului victimei. Cel de-al 139-lea port este un port NetBIOS care nu acceptă pachetele primite fără setul de pavilioane OOB. Computerul nu poate procesa acest pachet, ceea ce poate duce la pierderea conexiunii la Internet sau chiar la refuzul de serviciu și la scăderea sistemului.

Atac „Teardrop“ - Teardrop folosește „eroare care se suprapun IP-fragmente“, ceea ce duce la prelucrarea incorectă a acestor fragmente de asamblare algoritm implementat în TCP / IP așa-numitele. Acest atac constă în trimiterea unei datagrame cu valori de pornire setate incorect și lungimi ale fragmentelor. Prin modificarea valorilor acestor parametri pachet instalat, astfel încât compensate fragmentele schimba poziția lor după asamblarea datagramei în memorie, provocând erori de memorie ca rezultat negarea serviciului sau a sistemelor intră sub controlul Windows 3.1, 95, NT.







Nestea - Nestea este un fel de atac folosind fragmente, cum ar fi Teardrop. Unele stive TCP / IP nu reușesc atunci când secvențele specifice ale fragmentelor sunt procesate incorect, rezultând un accident de sistem. Nestea atac este cel mai frecvent în sistemul de operare Linux și utilizează eroare refragmentatsionnom Linux în codul (codul care formatează și colectează au primit pachete supradimensionate).
Sistemele afectate de acest atac: Win 3.1, 95, NT și unele versiuni de Linux.

Atacul "Iceping" - Utilizează așa-numitul. SPing vulnerabilitate în implementarea protocolului ICMP. Această vulnerabilitate este cauzată de manipulare incorectă de mare pentru Windows (un pic mai mult de 64 KB) ICMP-pachete, împărțite în mai multe fragmente mici de mai puțin de kilobytes, determinând sistemul să stea sau accident după construirea unui pachet.
Atacul nu a afectat numai sistemele Windows, ci și Mac OS și unele versiuni ale Unix.

Atacurile ICMP - atacurile ICMP folosesc vulnerabilități în implementarea protocolului ICMP. ICMP este utilizat de stratul IP pentru a trimite mesaje informative unidirecționale către noduri. Deoarece nu există autentificare în ICMP, atacurile utilizând acest protocol pot conduce la o negare a serviciului și permit atacatorului să intercepteze pachetele.

Printre atacurile acestei clase - 1234 și MOARI13. Semnificația ambelor atacuri este de a trimite tot felul de pachete ICMP incorecte la calculatorul victimei, cauzând prăbușirea sistemului de operare atunci când devine (stack-ul rețelei nu mai răspunde). Atacul este folosit împotriva Windows 95/98.

Atacurile IGMP - atacurile IGMP exploatează vulnerabilitatea protocolului IGMP sau implementarea acestuia. Atacurile acestei clase sunt:
FAWX, FAWX2, KOX, SYN.

FAWX, cum ar fi KOX, este atac de tip "denial of service" de tip IGMP. FAWX și KOX utilizează pachete fragmentate IGMP de dimensiuni mari, cauzând prăbușirea sistemului pe computerul victimei. Sistemele afectate de acest atac: Win 95, 98, NT.

Atacul SYN (solicitare de conectare TCP) este un atac obișnuit de negare a serviciului, constând în următoarele:

Atacul asupra portului 139 - Trimite SMB-cadru cu un câmp Nume necompletat (NULL), provocând instabilitate și căderea următoarele sisteme: Windows 95, 98, NT.

TIDCMP Atac - TIDCMP este un atac de suprimare a sursei ICMP care trimite un mesaj ICMP fals de tip 4 către ruterul victimei. Scopul suprimării sursei este de a anunța computerul sursă că nodul destinatarului nu mai poate procesa datele și trebuie să suspende operația până când poate continua.

Atac "RFPOISON" - Un pachet special creat poate provoca o negare a serviciului pe nodurile care rulează NT 4.0, cauzând inutilizarea conexiunilor de rețea. Acest atac determină scăderea procesului services.exe, ceea ce la rândul său face imposibilă efectuarea de acțiuni prin intermediul unor conducte numite. Ca urmare, utilizatorii nu pot conecta la distanță, deconectează, gestionează registrul, creează noi conexiuni la folderele de fișiere partajate sau efectuează administrare la distanță. De asemenea, serviciile precum Internet Information Server pot să nu mai funcționeze corespunzător. Reinstalarea sistemului atacat va rezolva problema în cazul în care nu este atacat din nou.

Sursa problemei constă în modul în care srvsvc.dll face apeluri la services.exe. Unele apeluri MSRPC returnează o valoare NULL care este interpretată incorect de procesul services.exe, ceea ce poate duce la căderea acesteia.

Dacă această vulnerabilitate este utilizată împreună cu alții, este posibil ca un astfel de atac să cauzeze un computer de depanare (de exemplu, Dr. Watson). Dacă programul de depanare a fost înlocuit anterior cu un troian, acesta va porni codul său rău intenționat pe computerul care atacă.

Atac "RFPARALYZE" - Punerea în aplicare a NetBIOS (Network Basic Input / Output System, rețea de bază sistem de intrare / ieșire - un protocol care permite aplicațiilor să comunice într-o rețea locală) Microsoft Windows 95/98 sisteme, există la distanță vulnerabilități exploatabile care împiedică Windows 95/98 să controleze corect intrarea utilizatorului. Prin trimiterea unui pachet special - o cerere de NetBIOS sesiune cu NULL numele său inițial, un atacator ar putea cauza la distanță o negare a serviciului.

RFParalyze folosește această vulnerabilitate la NetBIOS și are ca scop serviciu Windows Messenger Service (a nu se confunda cu mesagerie instantanee MSN Messenger), care se poate baza pe NetBIOS și permite aplicațiilor să informeze utilizatorul despre un eveniment care vine posturi. Sistemul Target este blocat, reporniri sau pierde capacitatea de a rețelei de conexiuni.

Pachet IP nevalid - În cazul atacului pe computerul victimei, sunt trimise pachete IP-, TCP- sau UDP cu lungimea greșită a antetului. Astfel de pachete nu sunt ignorate de sistem, iar numărul lor excesiv duce la căderi și alte erori ale sistemului.







Articole similare

Trimiteți-le prietenilor: