Contatti      Informazioni sul sito
casa computer, ferro

Analisi degli obiettivi esistenti degli attacchi alla rete e dei metodi di attacco ai servizi Web Dudnikov е.а. Tipi e classificazione degli attacchi ai sistemi informativi Caratteristiche caratteristiche degli attacchi alla rete

Esistono quattro categorie principali di attacchi:

Accedere agli attacchi

Attacchi di modifica

attacchi Denial of Service

attacchi di negazione.

Diamo un'occhiata più da vicino a ciascuna categoria. Esistono molti modi per effettuare attacchi: utilizzando strumenti appositamente progettati, metodi di ingegneria sociale, attraverso vulnerabilità nei sistemi informatici. L'ingegneria sociale non utilizza mezzi tecnici per ottenere l'accesso non autorizzato al sistema. Un utente malintenzionato ottiene informazioni tramite una semplice telefonata o si infiltra in un'organizzazione sotto le spoglie di un dipendente. Gli attacchi di questo tipo sono i più distruttivi.

Gli attacchi volti a catturare informazioni archiviate in forma elettronica hanno una caratteristica interessante: le informazioni non vengono rubate, ma copiate. Rimane con il proprietario originale, ma lo ottiene anche l'attaccante. Pertanto, il proprietario delle informazioni sopporta delle perdite ed è molto difficile rilevare il momento in cui ciò è accaduto.

Accedere agli attacchi

Accesso all'attaccoè un tentativo da parte di un utente malintenzionato di ottenere informazioni che non ha il permesso di visualizzare. L'attuazione di un tale attacco è possibile ovunque ci siano informazioni e mezzi per la sua trasmissione. Un attacco di accesso mira a violare la riservatezza delle informazioni. Esistono i seguenti tipi di attacchi di accesso:

· sbirciare;

origliare

intercettazione.

sbirciando(snooping) è la visualizzazione di file o documenti al fine di trovare informazioni di interesse per l'attaccante. Se i documenti vengono archiviati come stampe, l'attaccante aprirà i cassetti della scrivania e li frugherà. Se le informazioni sono in un sistema informatico, passerà in rassegna file per file finché non trova le informazioni di cui ha bisogno.

Intercettare(intercettazione) è l'intercettazione non autorizzata di una conversazione in cui l'attaccante non è un partecipante. Per ottenere l'accesso non autorizzato alle informazioni, in questo caso, l'attaccante deve essere vicino ad esse. Molto spesso utilizza dispositivi elettronici. L'introduzione delle reti wireless ha aumentato la probabilità di intercettazioni riuscite. Ora l'attaccante non ha bisogno di trovarsi all'interno del sistema o di collegare fisicamente il dispositivo di ascolto alla rete.

A differenza delle intercettazioni. intercettazione(intercettazione) è un attacco attivo. Un utente malintenzionato acquisisce informazioni nel processo di trasmissione alla sua destinazione. Dopo aver analizzato le informazioni, decide di consentire o vietarne l'ulteriore passaggio.

Gli attacchi di accesso assumono varie forme a seconda di come le informazioni vengono archiviate: sotto forma di documenti cartacei o elettronicamente su un computer. Se le informazioni necessarie all'attaccante sono archiviate sotto forma di documenti cartacei, avrà bisogno di accedere a questi documenti. Si possono trovare nei seguenti luoghi: negli schedari, nei cassetti delle scrivanie o sulle scrivanie, in un fax o in una stampante nella spazzatura, nell'archivio. Pertanto, un attaccante deve penetrare fisicamente in tutti questi luoghi.

Pertanto, l'accesso fisico è la chiave per ottenere i dati. Va notato che una protezione affidabile dei locali proteggerà i dati solo da persone non autorizzate, ma non dai dipendenti dell'organizzazione o dagli utenti interni.

Le informazioni sono archiviate elettronicamente: sulle postazioni di lavoro, sui server, nei computer portatili, su floppy disk, su CD, su nastri magnetici di backup.

Un utente malintenzionato può semplicemente rubare un supporto di archiviazione (floppy disk, CD, nastro di backup o computer portatile). A volte questo è più facile rispetto all'accesso ai file archiviati sui computer.

Se un utente malintenzionato ha accesso legale al sistema, analizzerà i file semplicemente aprendoli uno per uno. Con il giusto livello di controllo sulle autorizzazioni, l'accesso a un utente illegale verrà negato e i tentativi di accesso verranno registrati.

Le autorizzazioni correttamente configurate impediranno la perdita accidentale di informazioni. Tuttavia, un aggressore serio cercherà di aggirare il sistema di controllo e ottenere l'accesso alle informazioni necessarie. Ci sono un gran numero di vulnerabilità che lo aiuteranno in questo.

Quando si passano informazioni sulla rete, è possibile accedervi ascoltando la trasmissione. L'attaccante esegue questa operazione installando uno sniffer di pacchetti di rete (sniffer) sul sistema informatico. Di solito si tratta di un computer configurato per acquisire tutto il traffico di rete (non solo il traffico diretto a questo computer). Per fare ciò, l'attaccante deve elevare i propri privilegi nel sistema o connettersi alla rete. L'analizzatore è configurato per acquisire qualsiasi informazione che passa attraverso la rete, ma soprattutto ID utente e password.

Le intercettazioni vengono effettuate anche nelle reti informatiche globali come linee affittate e collegamenti telefonici. Tuttavia, questo tipo di intercettazione richiede attrezzature adeguate e conoscenze speciali.

L'intercettazione è possibile anche nei sistemi di comunicazione in fibra ottica che utilizzano apparecchiature specializzate, solitamente eseguite da un abile aggressore.

L'accesso alle informazioni tramite l'intercettazione è uno dei compiti più difficili per un utente malintenzionato. Per avere successo, deve posizionare il suo sistema nella linea di trasmissione tra il mittente e il destinatario dell'informazione. Su Internet, ciò avviene modificando la risoluzione dei nomi, che traduce il nome del computer in un indirizzo non valido. Il traffico viene reindirizzato al sistema dell'attaccante anziché alla destinazione reale. Con l'opportuna configurazione di un tale sistema, il mittente non saprà mai che le sue informazioni non hanno raggiunto il destinatario.

L'intercettazione è possibile anche durante una sessione di comunicazione vera e propria. Questo tipo di attacco è più adatto per catturare il traffico interattivo. In questo caso, l'attaccante deve trovarsi sullo stesso segmento di rete del client e del server. L'attaccante attende che un utente legittimo apra una sessione sul server, quindi, utilizzando un software specializzato, prende la sessione già in corso.

Attacchi di modifica

Attacco di modificaè un tentativo non autorizzato di modificare le informazioni. Un tale attacco è possibile ovunque esistano o vengano trasmesse informazioni. Ha lo scopo di violare l'integrità delle informazioni.

Un tipo di attacco di modifica è sostituzione informazioni esistenti, come una modifica della retribuzione di un dipendente. L'attacco di sostituzione è diretto contro informazioni segrete e pubblicamente disponibili.

Un altro tipo di attacco è aggiungendo nuovi dati, ad esempio informazioni sulla storia dei periodi passati. In questo caso, l'attaccante esegue un'operazione nel sistema bancario, a seguito della quale i fondi dal conto del cliente vengono trasferiti sul proprio conto.

attacco rimozione significa spostare i dati esistenti, come cancellare una transazione dal bilancio di una banca, lasciare i fondi prelevati dal conto per rimanere lì.

Come gli attacchi di accesso, gli attacchi di modifica vengono eseguiti contro le informazioni archiviate in documenti cartacei o elettronicamente su un computer.

I documenti sono difficili da modificare in modo che nessuno se ne accorga: se è presente una firma (ad esempio in un contratto), è necessario occuparsi della sua contraffazione, il documento fissato deve essere accuratamente rimontato. Se ci sono copie del documento, anche queste devono essere rifatte, come l'originale. E poiché è quasi impossibile trovare tutte le copie, è molto facile individuare un falso.

È molto difficile aggiungere o rimuovere voci dai registri delle attività. Innanzitutto, le informazioni in esse contenute sono disposte in ordine cronologico, quindi qualsiasi cambiamento verrà immediatamente notato. Il modo migliore è rimuovere il documento e sostituirlo con uno nuovo. Questi tipi di attacchi richiedono l'accesso fisico alle informazioni.

Modificare le informazioni archiviate elettronicamente è molto più semplice. Dato che l'attaccante ha accesso al sistema, tale operazione lascia dietro di sé un minimo di prove. In assenza di accesso autorizzato ai file, l'attaccante deve prima proteggere un accesso al sistema o modificare le impostazioni di controllo dell'accesso ai file.

La modifica dei file di database o dell'elenco delle transazioni deve essere eseguita con molta attenzione. Le transazioni sono numerate in sequenza e si noterà l'eliminazione o l'aggiunta di numeri di transazione errati. In questi casi, è necessario lavorare sodo sull'intero sistema per impedire il rilevamento.

Nella maggior parte dei casi, la comparsa di un qualche tipo di codice dannoso sul sito non è il risultato di un comportamento dannoso da parte del proprietario del sito, ma spesso si rivela una sorpresa per il proprietario del sito, essendo il risultato di un hack .

Abbiamo lavorato con questo per molti anni, abbiamo esaminato molti casi diversi e negli ultimi anni ho anche visto un numero abbastanza elevato di casi molto diversi di hacking di vari siti. Questi sono entrambi siti molto grandi, ad esempio, come i più famosi media online, banche, siti di grandi aziende e talvolta siti molto piccoli, siti di biglietti da visita, alcuni siti di istituzioni educative, religiose.

Come proteggere il tuo sito

Tutti sono più o meno esposti a qualche tipo di minaccia, ai rischi associati alla sicurezza informatica, e questo sarà discusso. Parleremo anche di come ridurre questi rischi, di alcuni minimi di base, una panoramica generale di tutto ciò che è connesso a questo, di quali minacce esistono, cosa deve affrontare il webmaster di un determinato sito nel suo lavoro.

Oggi parleremo dell'esempio più comune, quando abbiamo una sorta di aggressore esterno che minaccia il sito in un modo o nell'altro.

Per capire cosa aspettarsi, quali danni sono possibili, quali possibili attacchi, è necessario capire chi è questo attaccante.

Tutti questi intrusi e tipi di attacchi rientrano in due grandi categorie. Con quali criteri si possono dividere?

  • sugli approcci utilizzati agli attacchi;
  • da gruppi di siti soggetti a un particolare gruppo di attacchi;
  • secondo le tecniche di mitigazione del rischio appropriate per ciascuno di questi gruppi.

Ad esempio, gli attacchi di massa sono in gran parte automatizzati, come ad esempio l'ottenimento di accessi non autorizzati. Gli attacchi di massa sono un tentativo di ottenere sempre l'accesso all'intero sito. Anche qui si verificano estorsioni di massa, ma vengono attuate anche attraverso l'ottenimento di accessi non autorizzati.

Spesso, interi sistemi automatici funzionano e basta, uno script funziona, che cerca semplicemente versioni vulnerabili di vari componenti software che lo interessano. Ad esempio, versioni vulnerabili del sistema di gestione dei contenuti, o viceversa, oppure cerca alcuni problemi tipici con la configurazione dell'ambiente server. Ad esempio, hai una sorta di server HTTP che sporge e inizia l'enumerazione delle password.

Essendo tutto automatizzato, è automatizzato anche lo sfruttamento degli accessi ottenuti, e se hai un database con i dati di pagamento sul sito, in caso di attacco automatico, puoi ritenerti fortunato, perché lo script non verrà analizzato, sono per lo più piuttosto stupidi.

Non scoprirà quali dati importanti hai sul tuo sito, implementerà uno schema molto semplice nello stile dell'invio di spam, organizzando attacchi denial of service distribuiti, alcune semplici piccole estorsioni, infettando i visitatori del tuo sito.

Nel caso di attacchi mirati, tutto è un po' più triste per il proprietario del sito. Spesso sono soggetti a un attacco importante, una persona arriva con le sue mani con una così grande esperienza e strumenti ben sviluppati e inizia a cercare problemi caratteristici. Con una probabilità molto alta, come mostra la pratica, trova.

E più avanti, inizia lo sfruttamento particolarmente malvagio, che è molto più difficile, in primo luogo, da rilevare che nel caso di attacchi di massa, e in secondo luogo, è molto più difficile ridurre al minimo i possibili danni in anticipo. Pertanto, da attaccante, essendo entrato nel sistema con le mani, comprende molto bene il contesto e spesso inizialmente sa perché sta andando.

Cosa è più sicuro da usare? Ad esempio, un sistema di gestione dei contenuti popolare di questo tipo o qualcosa di auto-scritto? Per ridurre il rischio di attacchi di massa, è meglio usare qualcosa di non standard.

Poiché tutto questo è automatizzato, vengono cercate alcune soluzioni standard e l'uso di una sorta di sistema di gestione dei contenuti auto-scritto, praticamente, un captcha auto-scritto - qualsiasi soluzione auto-scritta da qualche tipo di attacco di massa, quando uno script arriva sul tuo sito che sta cercando qualcosa di familiare , ma non funzionerà.

Nel caso di attacchi mirati, tutto è piuttosto il contrario. Cioè, la probabilità che vengano commessi errori critici tipici in una sorta di soluzione auto-scritta, che poi diventano vulnerabilità, vengano sfruttate per ottenere l'accesso, è molto più alta che se si utilizzassero alcune soluzioni software popolari che, nel corso della lunga storia del loro sviluppo ha raccolto molti "rastrelli" da questa parte. Pertanto, quando le vulnerabilità vengono pubblicate al loro interno, sono spesso intricate o si verificano all'incrocio di sistemi diversi.


L'attacco consiste nei seguenti passaggi:


Soprattutto per un evento di massa. Viene presa una stringa speciale, come Power Add Buy, phpBB versione 1.6.1. Un insieme di siti viene ricercato automaticamente utilizzando una tecnologia specifica: uno dei vettori. Tutti questi siti si trovano, viene lanciato uno script su di essi, lo script va, alla ricerca di alcune vulnerabilità, diversi amministratori. pannelli in percorsi standard, alcuni strumenti standard, come php my admin, che si trovano anche in percorsi standard.

E, di conseguenza, se c'è una vulnerabilità, vengono automaticamente sfruttati se ci sono degli amministratori. pannelli in cui è possibile inserire password e allo stesso tempo non c'è protezione contro l'enumerazione, inizia l'enumerazione dei casi semplici, che, come mostra la pratica, è anche molto efficace.

Dopo aver ottenuto l'accesso, viene versato un componente chiamato web-shell: questo è uno strumento del genere, un tale pezzo di un'applicazione Web, uno script che apre ampie possibilità, lascia una backdoor permanente sul tuo server per continuare ulteriori azioni.

Dopodiché, quando l'attaccante ha un percorso stabile verso il tuo server aggirando tutti i mezzi di autoinfezione, l'attaccante cerca di prendere piede nel sistema e, ad esempio, disperde tutti i tipi di shell Web di riserva, sfrutta, ad esempio, una vulnerabilità nel sistema operativo, elevare i privilegi. Ad esempio, diventare root, che spesso è anche automatizzato e poi lo sfruttamento diventa ancora più grave. E poi inizia la spremitura di denaro a causa del fatto che il sito è stato violato. Ora è raro trovare casi in cui qualcuno o qualcosa hackera un sito con qualcosa di diverso dal denaro come motivo in un modo o nell'altro.

Ecco come appare proprio questa web-shell dal punto di vista dell'attaccante:


Questo è un sistema che ti permette di lavorare attraverso l'interfaccia e automaticamente. Curiosamente, c'è una riga in alto: informazioni molto dettagliate sul kernel del sistema operativo. Solo per automatizzare l'operazione di escalation dei privilegi proprio lì.

Quando vengono rilevate vulnerabilità nel kernel del sistema operativo, gli exploit vengono pubblicati su siti popolari. Cos'è un exploit? Un programma che utilizza questa vulnerabilità per realizzare il proprio scopo e vengono sollevati privilegi. Approssimativamente si presenta così:


Oltre al fatto che vari script dannosi iniziano a diffondersi nel server, succede che anche i componenti binari attraversano il sito. Ad esempio, come l'assembly binario principale o i plug-in per il server Web stesso. Questi sono moduli per una patch, per njinx, njinx ricostruito o qualche altro importante componente binario che hai nel sistema, SSHD.

Questo è un sito Virustotal in cui puoi controllare qualsiasi file, cosa ne pensano 50 motori antivirus.

Questi sono esempi di alcuni componenti binari, quando vengono aggiunti, cosa dicono vari scanner antivirus su vari server Web dannosi o moduli per loro che ci è capitato di trovare:


Voglio notare che quando li abbiamo trovati, era vuoto ovunque, nessuno spesso rilevava nulla. Solo più tardi, a volte abbiamo iniziato a inviare questi esempi alle società di antivirus e sono comparsi i rilevamenti.

A volte, se stai già cercando di trovare l'origine del codice dannoso sul tuo sito, l'industria degli antivirus può aiutarti in qualche modo. Tutti i file preparatori possono essere “alimentati” sia al sito che a utilità specifiche, ma di questo ne parleremo un po' più avanti, ma il punto è questo.


Dopo lo sfruttamento, vengono visualizzati gli script del server e le configurazioni del server Web modificate. C'era un esempio del genere, spesso riscontrato, quando, quando un sito veniva violato, anche la configurazione del server web veniva modificata automaticamente aggiungendo reindirizzamenti condizionali.

Tutti i visitatori del tuo sito da dispositivo mobile sono stati reindirizzati a vari siti fraudolenti, monetizzandoli così. E, siccome, non molto tempo fa, un paio di anni fa, molti webmaster non pensavano agli utenti mobile per i loro siti, non potevano nemmeno accorgersi per molto tempo che i visitatori mobili, entrando nel loro sito, venivano indirizzati a varie truffe. Molti webmaster lo impostano consapevolmente, cercando di fare una tale monetizzazione, ma c'erano davvero casi di massa in cui tutto questo appariva come parte di un hack.

È anche possibile che nel database sia presente codice dannoso. L'esempio più banale è quando viene effettuato l'attacco conservato in classe XXS. Ad esempio, hai un modulo per inserire commenti sul sito e la convalida dei parametri è insufficiente.

Gli aggressori, come ho detto, sono spesso sistemi completamente automatizzati che cercano essi stessi il tuo sito, non caricano solo del testo lì, ma un carico speciale, che, quando la pagina viene renderizzata, diventerà uno script controllato da un utente malintenzionato. E in questo modo puoi fare qualsiasi cosa con i visitatori del tuo sito.

Succede in statico, quando del codice dannoso viene semplicemente aggiunto ai modelli, a JavaScript statico. Come ho detto, capita che i file binari vengano sostituiti. Ci sono casi molto complicati in cui, ad esempio, gli aggressori realizzano un sistema così complicato, ci siamo già imbattuti in questo.

Il file principale del server Web viene preso, ad esempio, se si tratta di una patch del server Web, è un file binario sshd che viene copiato in un'altra posizione, al suo posto viene inserito un assembly dannoso e quindi viene avviato.

Successivamente, il file modificato viene eliminato dal file system e viene posizionato quello originale. Hai un server Web dannoso in esecuzione e ne hai una versione invariata nel file system e anche il controllo dell'integrità non mostra alcun problema.

Gli aggressori, salendo sul server, soprattutto nel caso di attacchi mirati, sono piuttosto astuti nelle loro invenzioni e, a volte, per la maggior parte, per gli attacchi mirati, quando arrivano persone reali, devi mostrare una sorta di abilità non pesante in al fine di trovare la fonte di compromissione del sito in generale.

Perché tutto questo viene fatto? È anche importante capire per tenere a mente alcuni modelli di minaccia, per prevedere cosa accadrà al sito e quali problemi potrebbero esserci in generale. Come ho detto, i metodi di monetizzazione che motivano gli aggressori ad attaccare differiscono tra questi gruppi per gli attacchi mirati e di massa.


Se per gli attacchi di massa abbiamo qualcosa che si può fare senza approfondire il contesto del sito. Siamo appena arrivati ​​al server astratto, cosa possiamo farci? Ha visitatori, quindi possono essere infettati. Molto probabilmente appare nel motore di ricerca, quindi può essere utilizzato nella posizione del motore di ricerca per vari SEO black hat.

Aggiungi cataloghi con porte ad esso, elencalo nello scambio di riferimento, in generale, tutto ciò che riguarda questo. Invio di spam, organizzazione di attacchi DDoS, ad esempio. Per gli attacchi DDoS, di cui parleremo più avanti, gli aggressori necessitano anche di alcune risorse, ad esempio molti, molti server diversi.

La linea "estorsione" è molto interessante. Anche questo si è sviluppato molto ultimamente. Tutti hanno sentito e probabilmente incontrato tali trojan ransomware molte volte, ad esempio sui desktop, sul sistema operativo Windows. Qualche anno fa, hanno più o meno iniziato a riempire, a salire sui telefoni Android, quando...

Tutti sanno, tutti si sono incontrati in un modo o nell'altro, o almeno hanno sentito parlare di come viene lanciato un file dannoso. Inizia a crittografare l'intero file system, quindi chiede un riscatto. Quindi, nell'ultimo anno abbiamo visto che queste cose sono iniziate solo sui server. Il sito viene hackerato, dopodiché l'intero contenuto dei database viene crittografato, così come l'intero file system, e l'attaccante chiede un riscatto all'amministratore, sperando che l'amministratore non disponga di backup aggiornati del file sistema e database.

Negli attacchi mirati, tutto è ancora più sofisticato. Spesso, se viene effettuato un attacco mirato, si sa già cosa si può ottenere dal sito. Questa è una base di clienti o moltissimi visitatori, che possono anche essere monetizzati in vari modi. Spesso inosservato dall'amministratore delle risorse per mesi.

È possibile, una volta entrati, interferire con il sito in ogni modo possibile, creare varie difficoltà tecniche ai fini di concorrenza sleale. C'è da capire che in effetti esiste un tale mito nell'ambiente antivirus che, ad esempio, ho un computer in periferia, o nel caso di un sito, il sito ha poco traffico, il che significa che nessuno ne ha bisogno. Non è vero.

Anche il sito più squallido su alcuni hosting gratuiti è in qualche modo monetizzato almeno un po', e rappresenterà sempre un obiettivo desiderato per attacchi massicci. Per non parlare, ovviamente, dei grandi siti che sono ancora più facili da monetizzare.

Attacco ai visitatori: download drive-by

Sì, abbiamo parlato dell'infezione dei visitatori, letteralmente, in poche parole. Probabilmente, nell'ultimo anno, questa minaccia sta scomparendo da sola ora. Che cos'è l'infezione del visitatore? L'attaccante ha violato il sito e cosa succede dopo se vuole ottenere denaro infettando i visitatori:


Come ho detto, può reindirizzare gli utenti mobili a qualche sito in cui viene offerto loro di inserire l'applicazione sotto le spoglie di una sorta di aggiornamento del flash player o qualcosa del genere. E per i desktop, uno schema così popolare è quando viene sfruttata una vulnerabilità nel browser del visitatore o in uno dei plug-in del suo ambiente.

Ad esempio, nel 2012, le vulnerabilità più sfruttate erano nel plug-in Java, che è stato sfruttato da più della metà degli utenti di Adobe Reader nel 2012. Adesso non sfruttano Adobe Reader, non sfruttano Java, sfruttano Flash Player adesso.

Nuove vulnerabilità in Flash Player vengono rilasciate regolarmente e ognuna di esse spesso consente un tale attacco, chiamato download drive-by. Cosa significa? Ciò significa che il visitatore entra semplicemente nel sito, non fa nulla in più e nel suo sistema, a causa dello sfruttamento della vulnerabilità del plug-in, compare un programma dannoso che si avvia automaticamente e infetta il sistema.

Denial of Service, noto anche come DDoS

Questo se stiamo parlando di quando un utente malintenzionato ottiene ancora l'accesso al sito e alla sua gestione. In molti casi, l'attaccante non tenta nemmeno di ottenere l'accesso, vuole solo interferire con il normale funzionamento del tuo sito in un modo o nell'altro. Tutti probabilmente hanno sentito, di fronte a un denial of service, che si chiama Distributed Denial of Service.


Motivi principali: competitività ed estorsioni. Concorrenza - è chiaro, finché gli utenti non visitano il tuo sito, vanno al sito di un concorrente, estorsioni - è anche abbastanza ovvio che inizia un attacco al tuo sito, ricevi una specie di lettera che chiede qualcosa per pagare qualcuno, e lì devi farci qualcosa.

Gli attacchi si dividono in tre categorie principali

L'attacco più semplice è un attacco dell'applicazione. Lo scenario più tipico per un attacco a un'applicazione è se si dispone di una sorta di sito Web, diciamo un negozio online con una sorta di ricerca. Hai lì una ricerca avanzata su una serie di parametri che crea una query di database relativamente pesante. Viene un utente malintenzionato, vede che hai un'opzione di ricerca avanzata e crea uno script che inizia a inviare query pesanti nel tuo modulo di ricerca avanzata. Il database cade rapidamente anche sotto la pressione di un host standard per molti siti in pratica e il gioco è fatto. Per questo, non sono necessarie risorse speciali da parte dell'attaccante.

Attacco allo strato di trasporto. A livello di trasporto, infatti, sono presenti due protocolli. Attacchi su UDP, si riferiscono piuttosto a un attacco al canale, perché lì non c'è sessione. E se stiamo parlando del protocollo TCP, allora questo è un caso abbastanza comune di attacchi.

Qual è il protocollo TCP? Il protocollo TCP implica che tu abbia un server e abbia una tabella di connessioni aperte con gli utenti. È chiaro che questa tabella non può essere di dimensione infinita e l'attaccante costruisce deliberatamente molti, molti pacchetti che avviano la creazione di una nuova connessione, mentre i pacchetti spesso provengono anche da indirizzi IP falsi.

Supera questa tabella, quindi gli utenti legali che visitano il tuo sito non possono entrare in questa tabella di connessione e, di conseguenza, non ricevono il tuo servizio. Questo è un tipico esempio di attacco comune che si è imparato a gestire negli ultimi anni.

E la cosa peggiore è l'attacco al canale. Questo è quando hai un canale in entrata attraverso il quale alcune richieste possono arrivare al tuo server e solo l'intero canale è completamente ostruito.

Se in due attacchi di livello superiore è ancora possibile applicare una logica sul server stesso per in qualche modo capovolgere questi attacchi avanti e indietro, allora in caso di attacco al canale sul server stesso non si può fare nulla, perché in per fare qualcosa devi almeno accettare la richiesta e l'intero canale è già pieno, gli utenti non possono bussare affatto.

Come mai? Perché stiamo anche discutendo di una tale classificazione e perché ne hai bisogno? Sì, semplicemente perché ognuno di questi tipi di attacchi ha la sua contromisura. Se incontri, capisci di avere un attacco Denial of Service e la prima cosa da fare è decidere quale tipo di attacco sta arrivando e scegliere il modo giusto per iniziare a combattere questo attacco. Anche se sono anche combinati.

Magomed Cherbizhev

Procedura per il rilevamento degli attacchi alla rete.

1. Classificazione degli attacchi alla rete

1.1. Sniffer di pacchetti

Uno sniffer di pacchetti è un programma applicativo che utilizza una scheda di rete in esecuzione in modalità promiscua ( in questa modalità, tutti i pacchetti ricevuti tramite i canali fisici vengono inviati dall'adattatore di rete all'applicazione per l'elaborazione). In questo caso, lo sniffer intercetta tutti i pacchetti di rete che vengono trasmessi attraverso un dominio specifico.

1.2. Spoofing IP

Lo spoofing IP si verifica quando un hacker, all'interno o all'esterno del sistema, si atteggia a utente autorizzato. Questo può essere fatto in due modi. In primo luogo, un hacker può utilizzare un indirizzo IP compreso nell'intervallo di indirizzi IP autorizzati o un indirizzo esterno autorizzato a cui è consentito accedere a determinate risorse di rete. Gli attacchi di spoofing IP sono spesso il punto di partenza per altri attacchi. Un classico esempio è un attacco DoS che inizia con l'indirizzo di qualcun altro che nasconde la vera identità dell'hacker.

In genere, lo spoofing IP si limita all'inserimento di informazioni false o comandi dannosi in un normale flusso di dati trasmesso tra un'applicazione client e server o su un canale di comunicazione tra peer. Per la comunicazione bidirezionale, un hacker deve modificare tutte le tabelle di routing per indirizzare il traffico a un indirizzo IP falso. Alcuni hacker, tuttavia, non tentano nemmeno di ottenere una risposta dalle applicazioni. Se l'attività principale è ricevere un file importante dal sistema, le risposte delle applicazioni non contano.

Se l'hacker riesce a modificare le tabelle di routing e indirizzare il traffico a un indirizzo IP falso, l'hacker riceverà tutti i pacchetti e sarà in grado di rispondere come se fosse un utente autorizzato.

1.3. Negazione del servizio ( Denial of Service - DoS)

DoS è la forma più nota di attacchi degli hacker. Contro attacchi di questo tipo, è molto difficile creare una protezione al cento per cento.

I tipi più famosi di DoS:

  • TCP SYN Flood Ping of Death Tribe Flood Network ( TFN);
  • Tribe Flood Network 2000 TFN2K);
  • Trinco;
  • Stacheldracht;
  • Trinità.

Gli attacchi DoS sono diversi dagli altri tipi di attacchi. Non hanno lo scopo di accedere alla rete o di ottenere informazioni da questa rete. Un attacco DoS rende una rete non disponibile per l'uso normale superando i limiti consentiti della rete, del sistema operativo o dell'applicazione.

Quando si utilizzano alcune applicazioni server (come server Web o server FTP) Gli attacchi DoS possono consistere nel prendere tutte le connessioni disponibili per queste applicazioni e mantenerle occupate, impedendo il servizio agli utenti normali. Gli attacchi DoS possono utilizzare protocolli Internet comuni come TCP e ICMP ( Protocollo messaggi di controllo Internet). La maggior parte degli attacchi DoS non si basa su bug del software o falle di sicurezza, ma su debolezze generali nell'architettura del sistema. Alcuni attacchi annullano le prestazioni della rete inondandola di pacchetti indesiderati e non necessari o travisando lo stato attuale delle risorse di rete. Questo tipo di attacco è difficile da prevenire in quanto richiede il coordinamento con l'ISP. Se il traffico destinato a inondare la tua rete non viene fermato al provider, all'ingresso della rete non sarai più in grado di farlo, perché l'intera larghezza di banda sarà occupata. Quando questo tipo di attacco viene effettuato contemporaneamente attraverso più dispositivi, l'attacco è un DoS distribuito ( DDoS - DoS distribuito).

1.4. Attacchi con password

Gli hacker possono eseguire attacchi alle password utilizzando una varietà di metodi, come la forza bruta ( attacco di forza bruta), Trojan Horse, IP spoofing e packet sniffing. Sebbene l'accesso e la password possano essere spesso ottenuti utilizzando lo spoofing IP e lo sniffing dei pacchetti, gli hacker spesso cercano di indovinare la password e di accedere utilizzando più tentativi di accesso. Questo approccio è chiamato iterazione semplice. (attacco di forza bruta). Spesso, un tale attacco utilizza un programma speciale che tenta di accedere a una risorsa condivisa ( ad esempio al server). Se, di conseguenza, un hacker ottiene l'accesso alle risorse, lo ottiene come un normale utente la cui password è stata indovinata. Se questo utente dispone di privilegi di accesso significativi, un hacker può creare un "gateway" per se stesso per l'accesso futuro, che funzionerà anche se l'utente cambia password e login.

Un altro problema sorge quando gli utenti usano lo stesso ( anche se è molto buono) password per l'accesso a molti sistemi: aziendali, personali e sistemi Internet. Poiché la forza della password è uguale a quella dell'host più debole, un hacker che apprende la password tramite questo host ottiene l'accesso a tutti gli altri sistemi in cui viene utilizzata la stessa password.

1.5. Attacchi Man-in-the-Middle

Per un attacco Man-in-the-Middle, un hacker ha bisogno dell'accesso ai pacchetti inviati sulla rete. Tale accesso a tutti i pacchetti trasmessi dal provider a qualsiasi altra rete può, ad esempio, essere ottenuto da un dipendente di tale provider. Per questo tipo di attacco vengono spesso utilizzati sniffer di pacchetti, protocolli di trasporto e protocolli di routing. Gli attacchi vengono effettuati per rubare informazioni, intercettare la sessione corrente e accedere a risorse di rete private, per analizzare il traffico e ottenere informazioni sulla rete e sui suoi utenti, per effettuare attacchi DoS, distorcere i dati trasmessi e inserire informazioni non autorizzate nelle sessioni di rete.

1.6. Attacchi al livello dell'applicazione

Gli attacchi a livello di applicazione possono essere eseguiti in diversi modi. Il più comune di questi è lo sfruttamento dei punti deboli del software del server ( sendmail, HTTP, FTP). Utilizzando questi punti deboli, gli hacker possono accedere al computer per conto dell'utente che esegue l'applicazione ( di solito non si tratta di un semplice utente, ma di un amministratore privilegiato con diritti di accesso al sistema). Gli attacchi a livello di applicazione sono ampiamente pubblicati per consentire agli amministratori di correggere il problema utilizzando moduli correttivi ( cerotti). Il problema principale con gli attacchi a livello di applicazione è che spesso utilizzano porte che possono passare attraverso il firewall. Ad esempio, un hacker che sfrutta una nota debolezza in un server Web utilizza spesso la porta 80 in un attacco TCP.Poiché un server Web espone le pagine Web agli utenti, il firewall deve fornire l'accesso a questa porta. Dal punto di vista del firewall, l'attacco viene trattato come traffico standard sulla porta 80.

1.7. intelligenza di rete

L'intelligence di rete è la raccolta di informazioni sulla rete utilizzando dati e applicazioni pubblicamente disponibili. Quando si prepara un attacco contro una rete, un hacker di solito cerca di ottenere quante più informazioni possibili al riguardo. La ricognizione della rete assume la forma di query DNS, ping sweep e scansioni delle porte. Le query DNS ti aiutano a capire chi possiede un particolare dominio e quali indirizzi sono assegnati a quel dominio. Test dell'eco ( ping sweep) di indirizzi rilevati dal DNS ti consente di vedere quali host stanno effettivamente operando in un determinato ambiente. Dato un elenco di host, l'hacker utilizza strumenti di scansione delle porte per compilare un elenco completo di servizi supportati da tali host. Infine, l'hacker analizza le caratteristiche delle applicazioni in esecuzione sugli host. Di conseguenza, si ottengono informazioni che possono essere utilizzate per l'hacking.

1.8. rottura della fiducia

Questo tipo di azione non lo è "attacco" o "tempesta". È uno sfruttamento dannoso delle relazioni di fiducia esistenti sulla rete. Un esempio è un sistema installato all'esterno di un firewall che ha una relazione di fiducia con un sistema installato al suo interno. Nel caso in cui un sistema esterno venga violato, un hacker può utilizzare le relazioni di fiducia per entrare in un sistema protetto da un firewall.

1.9. Port forwarding

Il port forwarding è una forma di violazione della fiducia in cui un host compromesso viene utilizzato per inviare traffico attraverso un firewall che altrimenti sarebbe sicuramente rifiutato. Un esempio di un'applicazione in grado di fornire questo accesso è netcat.

1.10. Accesso non autorizzato

L'accesso non autorizzato non può essere considerato un tipo di attacco separato. La maggior parte degli attacchi alla rete vengono effettuati per ottenere accessi non autorizzati. Per ottenere un accesso telnet, un hacker deve prima ricevere un prompt telnet sul proprio sistema. Dopo la connessione alla porta telnet, sullo schermo viene visualizzato un messaggio "autorizzazione richiesta per utilizzare questa risorsa" (Per utilizzare questa risorsa è necessaria l'autorizzazione.). Se in seguito l'hacker continua a tentare l'accesso, verrà preso in considerazione "non autorizzato". La fonte di tali attacchi può essere sia all'interno della rete che all'esterno.

1.11. Virus e applicazioni del tipo "Cavallo di Troia"

Le workstation client sono molto vulnerabili a virus e cavalli di Troia. "Cavallo di Troia"- questo non è un inserto software, ma un vero programma che sembra un'applicazione utile, ma in realtà svolge un ruolo dannoso.

2. Metodi per contrastare gli attacchi alla rete

2.1. Puoi mitigare la minaccia dello sniffing dei pacchetti utilizzando i seguenti strumenti:

2.1.1. Autenticazione: l'autenticazione forte è la prima difesa contro lo sniffing dei pacchetti. Sotto "forte" comprendiamo un metodo di autenticazione difficile da aggirare. Un esempio di tale autenticazione sono le password monouso ( OTP - Password una tantum). OTP è una tecnologia di autenticazione a due fattori che combina ciò che hai con ciò che conosci. Sotto la "carta" ( gettone) indica uno strumento hardware o software che genera ( su base casuale) password univoca monouso. Se un hacker apprende questa password utilizzando uno sniffer, questa informazione sarà inutile perché a quel punto la password sarà già utilizzata e obsoleta. Questo modo di gestire lo sniffing è efficace solo per gestire lo sniffing delle password.

2.1.2. Infrastruttura commutata - Un altro modo per combattere lo sniffing dei pacchetti in un ambiente di rete consiste nel creare un'infrastruttura commutata in modo che gli hacker possano accedere al traffico solo sulla porta a cui sono connessi. L'infrastruttura commutata non elimina la minaccia di sniffing, ma ne riduce notevolmente la gravità.

2.1.3. Anti-sniffer: un terzo modo per combattere lo sniffer consiste nell'installare hardware o software che riconoscano gli sniffer in esecuzione sulla rete. Questi strumenti non possono eliminare completamente la minaccia, ma, come molti altri strumenti di sicurezza della rete, sono inclusi nel sistema di protezione generale. Così chiamato "anti-sniffer" misurare il tempo di risposta degli host e determinare se gli host devono essere elaborati "extra" traffico.

2.1.4. Crittografia - Il modo più efficace per gestire lo sniffing dei pacchetti non impedisce lo sniffing e non riconosce il lavoro degli sniffer, ma lo rende inutile. Se il canale di comunicazione è crittograficamente sicuro, significa che l'hacker non sta intercettando il messaggio, ma il testo cifrato (cioè una sequenza incomprensibile di bit).

2.2. La minaccia di spoofing può essere mitigata ( ma non eliminare) attraverso le seguenti misure:

2.2.1. Controllo dell'accesso - Il modo più semplice per prevenire lo spoofing IP è impostare correttamente il controllo dell'accesso. Per ridurre l'efficacia dello spoofing IP, il controllo dell'accesso è configurato per interrompere il traffico proveniente da una rete esterna con un indirizzo di origine che deve trovarsi all'interno della rete. Questo aiuta a combattere lo spoofing IP quando sono autorizzati solo gli indirizzi interni. Se vengono autorizzati anche alcuni indirizzi di rete esterni, questo metodo diventa inefficace.

2.2.2. Filtraggio RFC 2827 - soppressione dei tentativi di spoofing di reti straniere da parte degli utenti di una rete aziendale. Per fare ciò è necessario rifiutare qualsiasi traffico in uscita il cui indirizzo di origine non sia uno degli indirizzi IP della Banca. Questo tipo di filtraggio, noto come "RFC 2827", può essere eseguito anche da un ISP ( ISP). Di conseguenza, tutto il traffico che non dispone di un indirizzo di origine previsto su una determinata interfaccia viene rifiutato.

2.2.3. Il metodo più efficace per affrontare lo spoofing IP è lo stesso del caso dello sniffing dei pacchetti: è necessario rendere l'attacco completamente inefficace. Lo spoofing IP può funzionare solo se l'autenticazione è basata su indirizzi IP. Pertanto, l'introduzione di metodi di autenticazione aggiuntivi rende inutile questo tipo di attacco. Il miglior tipo di autenticazione aggiuntiva è crittografica. Se ciò non è possibile, l'autenticazione a due fattori tramite password monouso può dare buoni risultati.

2.3. La minaccia degli attacchi DoS può essere mitigata nei seguenti modi:

2.3.1. Funzionalità anti-spoofing: la corretta configurazione delle funzionalità anti-spoofing sui router e sui firewall contribuirà a ridurre il rischio di DoS. Queste funzionalità dovrebbero, come minimo, includere il filtro RFC 2827. A meno che un hacker non possa nascondere la sua vera identità, è improbabile che tenti un attacco.

2.3.2. Funzioni anti-DoS - La corretta configurazione delle funzioni anti-DoS su router e firewall può limitare l'efficacia degli attacchi. Queste funzionalità limitano il numero di canali semiaperti in qualsiasi momento.

2.3.3. Limitare la quantità di traffico ( limitazione del traffico) – contratto con il fornitore ( ISP) sulla limitazione della quantità di traffico. Questo tipo di filtraggio consente di limitare la quantità di traffico non critico che passa attraverso la rete. Un esempio comune consiste nel limitare la quantità di traffico ICMP utilizzato solo per scopi diagnostici. attacchi ( D) I DoS usano spesso ICMP.

2.3.4. Blocco degli indirizzi IP - dopo aver analizzato l'attacco DoS e identificato l'intervallo di indirizzi IP da cui viene effettuato l'attacco, contattare il provider per bloccarli.

2.4. Gli attacchi alle password possono essere evitati non utilizzando password di testo normale. Le password monouso e/o l'autenticazione crittografica possono virtualmente eliminare la minaccia di tali attacchi. Non tutte le applicazioni, gli host e i dispositivi supportano i metodi di autenticazione sopra indicati.

Quando si utilizzano password normali, è necessario trovare una password difficile da indovinare. La lunghezza minima della password deve essere di almeno otto caratteri. La password deve includere caratteri maiuscoli, numeri e caratteri speciali ( #, %, $, ecc.). Le password migliori sono difficili da indovinare e difficili da ricordare, costringendo gli utenti a scrivere le password su carta.

2.5. Gli attacchi Man-in-the-Middle possono essere gestiti in modo efficace solo utilizzando la crittografia. Se un hacker intercetta i dati di una sessione crittografata, non avrà sullo schermo un messaggio intercettato, ma un insieme di caratteri senza senso. Tieni presente che se un hacker ottiene informazioni su una sessione crittografica ( ad esempio chiave di sessione), questo può rendere possibile un attacco Man-in-the-Middle anche in un ambiente crittografato.

2.6. Non è possibile eliminare completamente gli attacchi a livello di applicazione. Gli hacker scoprono e pubblicano costantemente nuove vulnerabilità delle applicazioni su Internet. La cosa più importante è una buona amministrazione del sistema.

Passaggi che puoi intraprendere per ridurre la tua vulnerabilità a questo tipo di attacco:

  • lettura e/o analisi di file di registro di sistemi operativi e file di registro di rete utilizzando speciali applicazioni analitiche;
  • aggiornamento tempestivo delle versioni dei sistemi operativi e delle applicazioni e installazione degli ultimi moduli di correzione ( cerotti);
  • utilizzo di sistemi di riconoscimento degli attacchi ( ID).

2.7. È impossibile eliminare completamente l'intelligenza di rete. Se disabiliti l'eco ICMP e la risposta eco sui router periferici, eliminerai il ping, ma perderai i dati necessari per diagnosticare i guasti della rete. Puoi anche scansionare le porte senza prima eseguire il ping. Questo richiederà solo più tempo, poiché anche gli indirizzi IP inesistenti dovranno essere scansionati. I sistemi IDS a livello di rete e host sono generalmente utili per notificare all'amministratore la ricognizione della rete in corso, il che consente loro di prepararsi meglio per un attacco imminente e notificare l'ISP ( ISP) sulla cui rete è installato un sistema che mostra eccessiva curiosità.

2.8. Puoi ridurre il rischio di violazione della fiducia controllando più strettamente i livelli di fiducia all'interno della tua rete. I sistemi al di fuori del firewall non dovrebbero mai essere assolutamente attendibili dai sistemi protetti dal firewall. Le relazioni di fiducia dovrebbero essere limitate a determinati protocolli e, se possibile, essere autenticate non solo dagli indirizzi IP, ma anche da altri parametri.

2.9. Il modo principale per gestire il port forwarding è utilizzare modelli di fiducia forte ( vedi punto 2.8 ). Inoltre, il sistema host IDS ( NASCOSTI).

2.10. I modi per combattere l'accesso non autorizzato sono abbastanza semplici. La cosa principale qui è ridurre o eliminare completamente la capacità di un hacker di accedere al sistema utilizzando un protocollo non autorizzato. Ad esempio, prendere in considerazione la possibilità di impedire agli hacker di accedere alla porta telnet su un server che fornisce servizi Web a utenti esterni. Senza l'accesso a questa porta, un hacker non sarà in grado di attaccarla. Per quanto riguarda il firewall, il suo compito principale è prevenire i più semplici tentativi di accesso non autorizzato.

2.11. La lotta contro virus e cavalli di Troia viene condotta con l'ausilio di efficaci software antivirus che operano a livello di utente e di rete. Gli strumenti antivirus rilevano la maggior parte dei virus e dei cavalli di Troia e ne prevengono la diffusione.

3. Algoritmo di azioni quando vengono rilevati attacchi di rete

3.1. La maggior parte degli attacchi alla rete viene bloccata da strumenti di protezione delle informazioni installati automaticamente ( firewall, strumenti di avvio affidabili, router di rete, strumenti antivirus, ecc.).

3.2. Gli attacchi che richiedono l'intervento umano per bloccarli o mitigare la gravità delle conseguenze includono gli attacchi DoS.

3.2.1. Gli attacchi DoS vengono rilevati analizzando il traffico di rete. L'inizio dell'attacco è caratterizzato da " guida» canali di comunicazione che utilizzano pacchetti ad alta intensità di risorse con indirizzi falsi. Un tale attacco al sito di Internet banking complica l'accesso degli utenti legittimi e la risorsa web potrebbe diventare inaccessibile.

3.2.2. Se viene rilevato un attacco, l'amministratore di sistema esegue le seguenti azioni:

  • esegue il passaggio manuale del router al canale di backup e viceversa al fine di identificare un canale meno caricato (canale con una larghezza di banda più ampia);
  • rivela l'intervallo di indirizzi IP da cui viene effettuato l'attacco;
  • invia una richiesta al provider per bloccare gli indirizzi IP dall'intervallo specificato.

3.3. Un attacco DoS viene in genere utilizzato per mascherare un attacco riuscito alle risorse di un client al fine di renderne più difficile il rilevamento. Pertanto, quando viene rilevato un attacco DoS, è necessario analizzare le ultime transazioni per identificare le transazioni insolite, bloccarle (se possibile) e contattare i clienti tramite un canale alternativo per confermare le transazioni.

3.4. Se vengono ricevute informazioni su azioni non autorizzate dal cliente, tutte le prove disponibili vengono registrate, viene eseguita un'indagine interna e viene presentata una domanda alle forze dell'ordine.

Scarica il file ZIP (24151)

I documenti sono tornati utili: metti un "mi piace":

Ho parlato un po' di chi sono gli hacker e in questo articolo voglio continuare questo argomento e scrivere sui tipi di attacchi degli hacker e dare consigli su come prevenirli.

attacco(attacco) su un sistema informativo è un'azione o una sequenza di azioni interconnesse di un intruso che portano all'attuazione di una minaccia sfruttando le vulnerabilità di tale sistema informativo. Iniziamo a studiare gli attacchi:

pesca

Pesca (o Phishing). Il suo significato è ottenere informazioni (password, numeri di carta di credito, ecc.) o denaro dagli utenti. Questa tecnica non è rivolta a un utente, ma a molti. Ad esempio, le lettere presumibilmente del servizio di supporto tecnico vengono inviate a tutti i clienti noti di una banca.

Le lettere di solito contengono una richiesta di invio di una password all'account, apparentemente a causa di alcuni lavori tecnici. Tali lettere sono generalmente molto credibili e ben scritte, il che, forse, affascina gli utenti creduloni.

Raccomandazioni: la paranoia è la miglior difesa. Non fidarti di nulla di sospetto, non dare i tuoi dati a nessuno. Gli amministratori non hanno bisogno di conoscere la tua password se è destinata ad accedere al loro server. Hanno il pieno controllo del server e possono vedere la password da soli o cambiarla.

Ingegneria sociale

L'ingegneria sociale non è una tecnica tecnica, ma psicologica. Utilizzando i dati ottenuti durante l'inventario, un utente malintenzionato può chiamare un utente (ad esempio una rete aziendale) per conto di un amministratore e provare a chiedergli, ad esempio, una password.

Ciò diventa possibile quando, in reti di grandi dimensioni, gli utenti non conoscono tutti i dipendenti e, a maggior ragione, non possono sempre riconoscerli accuratamente per telefono. Inoltre, vengono utilizzate tecniche psicologiche complesse, quindi le possibilità di successo aumentano notevolmente.

Suggerimenti: lo stesso. Se c'è una reale necessità, fornire i dati necessari di persona. Se hai annotato la password su carta, non lasciarla da nessuna parte e, se possibile, distruggila e non gettarla semplicemente nella spazzatura.

DoS

DoS (Denial of Service o Denial of Service). Questo non è un singolo attacco, ma il risultato di un attacco; utilizzato per disabilitare il sistema o i singoli programmi. Per fare ciò, il cracker forma una richiesta a qualsiasi programma in un modo speciale, dopodiché smette di funzionare. È necessario un riavvio per ripristinare il funzionamento del programma.

Puffo

Puffo (un attacco mirato a errori di implementazione del protocollo). Ora questo tipo di attacco è considerato esotico, ma prima, quando il protocollo TCP-IP era piuttosto nuovo, conteneva una serie di errori che consentivano, ad esempio, di sostituire gli indirizzi IP.

Tuttavia, questo tipo di attacco è ancora utilizzato oggi. Alcuni esperti distinguono Puffo TCP, Puffo UDP, Puffo ICMP. Naturalmente, questa divisione si basa sul tipo di pacchetti.

Tempesta UDP

Tempesta UDP (tempesta UDP): utilizzata se sulla vittima sono aperte almeno due porte UDP, ciascuna delle quali invia una risposta al mittente. Ad esempio, la porta 37 con il server dell'ora invia la data e l'ora correnti alla richiesta. Il cracker invia un pacchetto UDP a una delle porte della vittima, ma specifica l'indirizzo della vittima e la seconda porta UDP aperta della vittima come mittente.

Quindi le porte iniziano a rispondere all'infinito l'una con l'altra, il che riduce le prestazioni. La tempesta si fermerà non appena uno dei pacchetti viene perso (ad esempio, a causa del sovraccarico di risorse).

Bomba UDP

Bomba UDP: un utente malintenzionato invia un pacchetto UDP al sistema con campi dati di servizio errati. I dati possono essere interrotti in qualsiasi modo (ad esempio, lunghezza del campo errata, struttura). Ciò potrebbe causare un arresto anomalo. Raccomandazioni: aggiornare il software.

bombardamento postale

Mail Bombing ("Mail bombing"). Se è presente un server di posta sul computer attaccato, gli viene inviata un'enorme quantità di messaggi di posta per disabilitarlo.

Inoltre, tali messaggi vengono archiviati sul disco rigido del server e possono riempirlo, causando DoS. Naturalmente, ora questo attacco è più una storia, ma in alcuni casi può ancora essere utilizzato. Raccomandazioni: configurazione competente del server di posta.

annusando

Sniffing (sniffare o ascoltare la rete). Nel caso in cui siano installati hub invece di switch nella rete, i pacchetti ricevuti vengono inviati a tutti i computer della rete e quindi i computer determinano se questo pacchetto è per loro o meno.

Se un intruso accede a un computer incluso in tale rete, o accede direttamente alla rete, tutte le informazioni trasmesse all'interno del segmento di rete, comprese le password, diventeranno disponibili.

Il cracker metterà semplicemente la scheda di rete in modalità di ascolto e accetterà tutti i pacchetti, indipendentemente dal fatto che fossero destinati a lui.

Puoi saperne di più nell'articolo "".

Dirottamento IP

Dirottamento IP (dirottamento IP). Se c'è un accesso fisico alla rete, un utente malintenzionato può "colpire" il cavo di rete e fungere da intermediario nella trasmissione di pacchetti, quindi ascolterà tutto il traffico tra due computer. Un modo molto scomodo, che spesso non si giustifica, tranne nei casi in cui nessun altro modo può essere attuato.

Tale inclusione di per sé è scomoda, sebbene esistano dispositivi che semplificano un po' questo compito, in particolare monitorano la numerazione dei pacchetti per evitare guasti e possibili rilevamenti di intrusioni nel canale.

Server DNS fittizio

Server DNS fittizio (server DNS falso). Se le impostazioni di rete sono impostate su automatiche, quando si accende la rete, il computer "chiede" chi sarà il suo server DNS, al quale invierà query DNS in futuro.

Dato l'accesso fisico alla rete, un utente malintenzionato può intercettare tale richiesta di trasmissione e rispondere che il suo computer sarà un server DNS.

Dopodiché, potrà inviare la vittima ingannata lungo qualsiasi percorso. Ad esempio, se una vittima desidera accedere al sito Web di una banca e trasferire denaro, un hacker può inviarlo al suo computer, dove verrà creato un modulo di immissione della password. Successivamente, la password apparterrà all'attaccante.

Un metodo piuttosto complicato, perché l'attaccante deve rispondere alla vittima prima del server DNS.

Spoofing IP

Spoofing IP (spoofing o spoofing dell'indirizzo IP). L'attaccante sostituisce la sua vera IP con una fittizia. Ciò è necessario se solo determinati indirizzi IP hanno accesso alla risorsa. Un utente malintenzionato deve cambiare il suo IP reale in "privilegiato" o "fidato" per ottenere l'accesso. Questo metodo può essere utilizzato in modo diverso.

Dopo che due computer hanno stabilito una connessione tra loro controllando le password, un utente malintenzionato può far sì che la vittima sovraccarichi le risorse di rete con pacchetti appositamente generati. Pertanto, può reindirizzare il traffico a se stesso e quindi aggirare la procedura di autenticazione.

Raccomandazioni: ridurre il tempo del pacchetto di risposta con i flag SYN e ACK impostati, nonché aumentare il numero massimo di richieste SYN per connessione nella coda (tcp_max_backlog), ridurrà la minaccia. Puoi anche utilizzare i cookie SYN.

Vulnerabilità del software

Vulnerabilità del software. Sfruttare i bug nel software. L'effetto potrebbe essere diverso. Dall'ottenere informazioni insignificanti all'ottenere il pieno controllo del sistema. Gli attacchi tramite bug del software sono i più popolari di tutti i tempi.

I vecchi bug vengono corretti dalle nuove versioni, ma i nuovi bug compaiono nelle nuove versioni, che possono essere riutilizzate.

Virus

Il problema più noto all'utente comune. La linea di fondo è l'introduzione di malware nel computer dell'utente. Le conseguenze possono essere diverse e dipendono dal tipo di virus con cui il computer è infetto.

Ma in generale, dal furto di informazioni all'invio di spam, all'organizzazione di attacchi DDoS e al pieno controllo del computer. Oltre al file allegato alla lettera, i virus possono entrare nel computer attraverso alcune vulnerabilità del sistema operativo.

Raccomandazioni: utilizzare un software antivirus. Non limitarti a DrWEB o Kaspersky Anti-Virus (perché non controllano il registro), usa antivirus anti-malware specializzati come Ad-Aware, SpyBot, XSpy.

Inoltre, non aprire allegati sospetti e generalmente non aprire programmi da mittenti sconosciuti. Anche se il mittente ti è familiare, verificalo prima con un antivirus.

Tabella 9.1.
Nome del protocollo Livello pila di protocollo Nome (caratteristico) della vulnerabilità Contenuto della violazione informazioni di sicurezza
FTP ( File Transfer Protocol ) - un protocollo per il trasferimento di file su una rete
  • Autenticazione basata testo in chiaro(le password vengono inviate non crittografate)
  • Accesso predefinito
  • Avere due porte aperte
  • Possibilità intercettazione dei dati
telnet- protocollo di controllo terminale remoto Applicato, rappresentante, sessione Autenticazione basata testo in chiaro(le password vengono inviate non crittografate)
  • Possibilità intercettazione dei dati account (nomi utente registrati, password).
  • Ottenere l'accesso remoto agli host
UDP- protocollo di trasferimento dati senza connessione Trasporto Nessun meccanismo per prevenire i sovraccarichi del buffer
  • Possibilità di realizzazione di UDR-tempesta.
  • Lo scambio di pacchetti comporta un significativo degrado delle prestazioni del server
ARP - protocollo per la conversione di un indirizzo IP in un indirizzo fisico Rete Autenticazione basata testo in chiaro(le informazioni vengono inviate non crittografate) Possibilità di intercettare il traffico degli utenti da parte di un utente malintenzionato
RIP - Protocollo informativo di instradamento Trasporto Nessuna autenticazione dei messaggi di controllo del reindirizzamento Possibilità di reindirizzare il traffico attraverso l'host dell'attaccante
TCP- protocollo di controllo trasferimento Trasporto Assenza di un meccanismo di verifica della correttezza della compilazione delle intestazioni di servizio del pacchetto Una significativa diminuzione del tasso di cambio e persino una completa interruzione delle connessioni arbitrarie tramite il protocollo TCP
DNS - Protocollo di mappatura per nomi mnemonici e indirizzi di rete Applicato, rappresentante, sessione Mancanza di mezzi per verificare l'autenticazione dei dati ricevuti dalla fonte Spoofing della risposta del server DNS
IGMP - Routing Message Transfer Protocol Rete Nessuna autenticazione dei messaggi di modifica dei parametri di percorso Appendere i sistemi Win 9x/NT/2000
SMTP è un protocollo per fornire un servizio di recapito dei messaggi di posta elettronica. Applicato, rappresentante, sessione Possibilità di falsificare i messaggi di posta elettronica e gli indirizzi mittente del messaggio
SNMP- protocollo di controllo router nelle reti Applicato, rappresentante, sessione Nessun supporto per l'autenticazione dell'intestazione del messaggio Possibilità di congestione della larghezza di banda della rete

Le minacce implementate sulla rete sono classificate in base alle seguenti caratteristiche principali:

  1. natura della minaccia.

    Passivo: una minaccia che non influisce sul funzionamento del sistema informativo, ma può violare le regole per l'accesso alle informazioni protette. Esempio: utilizzo di uno sniffer per "ascoltare" la rete. Attivo: una minaccia che colpisce i componenti del sistema informativo, la cui implementazione ha un impatto diretto sul funzionamento del sistema. Esempio: attacco DDOS sotto forma di tempesta con richieste TCP.

  2. scopo della minaccia(rispettivamente, riservatezza, disponibilità, integrità delle informazioni).
  3. condizione di inizio dell'attacco:
    • su richiesta dell'attaccante. Cioè, l'attaccante attende la trasmissione di una richiesta di un certo tipo, che sarà la condizione per l'avvio dell'UA.
    • al verificarsi dell'evento atteso sull'oggetto attaccato.
    • impatto incondizionato: l'attaccante non si aspetta nulla, ovvero la minaccia si realizza immediatamente e indipendentemente dallo stato dell'oggetto attaccato.
  4. reazione con l'oggetto attaccato:
    • con feedback, ovvero per alcune richieste, l'attaccante ha bisogno di ottenere una risposta. Pertanto, c'è un feedback tra l'attaccato e l'attaccante, che consente all'attaccante di monitorare lo stato dell'oggetto attaccato e rispondere adeguatamente ai suoi cambiamenti.
    • senza feedback - di conseguenza, non c'è feedback e la necessità che l'attaccante risponda ai cambiamenti nell'oggetto attaccato.
  5. localizzazione dell'intruso rispetto al sistema informativo attaccato: intrasegmento e intersegmento. Un segmento di rete è un'associazione fisica di host, hardware e altri componenti di rete che dispongono di un indirizzo di rete. Ad esempio, un segmento è formato da computer collegati a un bus comune basato su Token Ring.
  6. il livello del modello di riferimento ISO/OSI a cui viene implementata la minaccia: fisico, canale, rete, trasporto, sessione, rappresentante, applicato.

Considera gli attacchi più comuni nelle reti basati su pila di protocollo TCP/IP.

  1. Analisi del traffico di rete. Questo attacco viene implementato utilizzando un programma speciale chiamato sniffer. Sniffer è un'applicazione che utilizza una scheda di rete in esecuzione in modalità promiscua, la cosiddetta modalità "promiscua" in cui la scheda di rete consente di ricevere tutti i pacchetti, indipendentemente da chi sono indirizzati. Nello stato normale, l'interfaccia Ethernet utilizza il filtraggio dei pacchetti a livello di collegamento e se l'indirizzo MAC nell'intestazione di destinazione del pacchetto ricevuto non corrisponde all'indirizzo MAC dell'attuale interfaccia di rete e non viene trasmesso, il pacchetto viene eliminato. In modalità "promiscua", filtraggio attivo interfaccia di reteè disabilitato e tutti i pacchetti, compresi quelli non destinati all'host corrente, sono ammessi nel sistema. Va notato che molti di questi programmi vengono utilizzati per scopi legali, ad esempio per la risoluzione dei problemi o l'analisi del traffico. Tuttavia, la tabella che abbiamo esaminato sopra elenca i protocolli che inviano informazioni, comprese le password, in testo non crittografato: FTP, SMTP, POP3, ecc. Pertanto, utilizzando uno sniffer, è possibile intercettare il nome e la password e effettuare l'accesso non autorizzato a informazioni riservate. Inoltre, molti utenti utilizzano le stesse password per accedere a molti servizi di rete. Cioè, se c'è un punto debole in un punto della rete sotto forma di autenticazione debole, l'intera rete può risentirne. Gli aggressori sono ben consapevoli delle debolezze umane e utilizzano ampiamente i metodi di ingegneria sociale.

    La protezione contro questo tipo di attacco può essere la seguente:

    • Autenticazione forte, ad esempio, utilizzando password monouso(password monouso). La linea di fondo è che la password può essere utilizzata una volta e, anche se un utente malintenzionato l'ha intercettata utilizzando uno sniffer , non ha alcun valore. Naturalmente, questo meccanismo di protezione salva solo dall'intercettazione delle password, ed è inutile in caso di intercettazione di altre informazioni, come la posta elettronica.
    • Gli anti-sniffer sono strumenti hardware o software in grado di rilevare il funzionamento di uno sniffer in un segmento di rete. Di norma, controllano il carico sui nodi di rete per determinare il carico "extra".
    • infrastruttura commutata. È chiaro che l'analisi del traffico di rete è possibile solo all'interno di un segmento di rete. Se la rete è costruita su dispositivi che la dividono in molti segmenti (switch e router), un attacco è possibile solo in quelle parti della rete che appartengono a una delle porte di questi dispositivi. Questo non risolve il problema dello sniffing, ma riduce i confini che un attaccante può "ascoltare".
    • metodi crittografici. Il modo più affidabile per gestire il lavoro di sniffer. Le informazioni che si possono ottenere tramite l'intercettazione sono crittografate e quindi inutili. I più comunemente usati sono IPSec, SSL e SSH.
  2. Scansione in rete.Lo scopo della scansione della rete è identificare i servizi in esecuzione sulla rete, porte aperte, attive servizi di rete, protocolli utilizzati, ecc., ovvero la raccolta di informazioni sulla rete. I più comunemente usati per la scansione di rete sono:
    • Le query DNS aiutano un utente malintenzionato a scoprire il proprietario di un dominio, l'area degli indirizzi,
    • ping - identifica gli host live in base agli indirizzi DNS ricevuti in precedenza;
    • port scan: viene compilato un elenco completo di servizi supportati da questi host, porte aperte, applicazioni, ecc.

    Una buona e più comune contromisura consiste nell'utilizzare un IDS, che rileva correttamente i segni di una scansione della rete in corso e ne informa l'amministratore. È impossibile eliminare completamente questa minaccia, perché se, ad esempio, si disabilita l'eco ICMP e la risposta eco sul router, è possibile eliminare la minaccia ping, ma allo stesso tempo perdere i dati necessari per diagnosticare i guasti della rete .

  3. Rivelazione della password.Lo scopo principale di questo attacco è ottenere l'accesso non autorizzato alle risorse protette superando la protezione tramite password. Per ottenere una password, un utente malintenzionato può utilizzare molti metodi: semplice enumerazione, ricerca nel dizionario, sniffing, ecc. Il più comune è una semplice enumerazione di tutti i possibili valori di password. Per proteggersi dalla semplice enumerazione, è necessario utilizzare password complesse e non facili da indovinare: lunghezza 6-8 caratteri, uso di lettere maiuscole e minuscole, uso di caratteri speciali (@, #, $, ecc.).

    Un altro problema di sicurezza delle informazioni è che la maggior parte delle persone utilizza le stesse password per tutti i servizi, applicazioni, siti, ecc. Allo stesso tempo, la vulnerabilità di una password dipende dalla parte più debole del suo utilizzo.

    Questo tipo di attacco può essere evitato utilizzando password monouso, di cui abbiamo parlato in precedenza, o l'autenticazione crittografica.

  4. Spoofing IP o spoofing di un oggetto di rete attendibile.Un oggetto attendibile in questo caso è un oggetto di rete (computer, router, firewall, ecc.) legalmente connesso al server. La minaccia sta nel fatto che un utente malintenzionato finge di essere un oggetto di rete affidabile. Questo può essere fatto in due modi. Innanzitutto, utilizzare un indirizzo IP che rientri nell'intervallo di indirizzi IP autorizzati o un indirizzo esterno autorizzato a cui è consentito accedere a determinate risorse di rete. Questo tipo di attacco è spesso il punto di partenza per altri attacchi.

    In genere, lo spoofing di un oggetto di rete attendibile si limita all'inserimento di informazioni false o comandi dannosi nel normale flusso di dati trasmesso tra gli oggetti di rete. Per la comunicazione bidirezionale, un utente malintenzionato deve modificare tutte le tabelle di routing per indirizzare il traffico a un indirizzo IP falso, il che è anche possibile. Per mitigare la minaccia (ma non eliminarla), puoi utilizzare quanto segue:

    • controllo di accesso. È possibile configurare il controllo dell'accesso per interrompere il traffico proveniente da una rete esterna con un indirizzo di origine all'interno della rete. Questo metodo è valido se sono autorizzati solo gli indirizzi interni e ha esito negativo se sono presenti indirizzi esterni autorizzati.
    • Filtraggio RFC 2827: questo tipo di filtro consente di impedire agli utenti della rete di eseguire lo spoofing di reti straniere. A tale scopo, devi rifiutare qualsiasi traffico in uscita il cui indirizzo di origine non sia uno degli indirizzi IP della tua organizzazione. Spesso questo tipo di filtraggio viene eseguito dal provider. Di conseguenza, tutto il traffico che non dispone di un indirizzo di origine previsto su una determinata interfaccia viene rifiutato. Ad esempio, se un ISP fornisce una connessione all'indirizzo IP 15.1.1.0/24, può configurare il filtro in modo che solo il traffico proveniente da 15.1.1.0/24 sia consentito da quell'interfaccia al router ISP. Tieni presente che fino a quando tutti i provider non implementeranno questo tipo di filtro, la sua efficacia sarà molto inferiore al possibile.
    • Implementazione di metodi di autenticazione aggiuntivi. Lo spoofing IP è possibile solo con l'autenticazione basata su IP. Se vengono introdotte alcune misure di autenticazione aggiuntive, ad esempio quelle crittografiche, l'attacco diventa inutile.
  5. Denial of Service o Denial of Service (DoS)- un attacco a un sistema informatico con l'obiettivo di portarlo al fallimento, cioè la creazione di condizioni tali in cui gli utenti legittimi del sistema non possono accedere alle risorse fornite dal sistema, o tale accesso è difficoltoso.

    L'attacco DoS è l'attacco più comune e noto degli ultimi tempi, principalmente per la facilità di implementazione. L'organizzazione di un attacco DOS richiede un minimo di conoscenze e competenze e si basa sulle carenze del software di rete e dei protocolli di rete. Se l'attacco viene effettuato per molti dispositivi di rete, si parla di attacco DoS distribuito (DDoS - Distributed DoS).

    I seguenti cinque tipi di attacchi DoS sono oggi più comunemente usati, per i quali esiste una grande quantità di software e contro i quali è più difficile difendersi:

    • Puffo- Richieste ping ICMP. Quando un pacchetto ping (un messaggio ICMP ECHO) viene inviato a un indirizzo broadcast (ad esempio, 10.255.255.255), viene consegnato a ogni macchina su quella rete. Il principio dell'attacco è inviare un pacchetto ICMP ECHO REQUEST con l'indirizzo di origine dell'host attaccato. Un utente malintenzionato invia un flusso costante di pacchetti ping a un indirizzo di trasmissione di rete. Tutte le macchine, dopo aver ricevuto la richiesta, rispondono alla fonte con un pacchetto ICMP ECHO REPLY. Di conseguenza, la dimensione del flusso di pacchetti di risposta aumenta in proporzione al numero di host. Di conseguenza, l'intera rete è soggetta a divieto di servizio a causa della congestione.
    • Alluvione dell'ICMP- un attacco simile a Smurf, solo senza l'amplificazione creata dalle richieste all'indirizzo broadcast diretto.
    • Alluvione dell'UDP- invio di molti pacchetti UDP (User Datagram Protocol) all'indirizzo dell'host attaccato.
    • Inondazione TCP- invio di molti pacchetti TCP all'indirizzo dell'host attaccato.
    • Inondazione SYN TCP- quando si esegue questo tipo di attacco, vengono emesse numerose richieste per inizializzare le connessioni TCP con il nodo attaccato, il quale, di conseguenza, deve spendere tutte le sue risorse per tracciare queste connessioni parzialmente aperte.

    Se si utilizza un server Web o un'applicazione server FTP, un attacco DoS provoca l'occupazione di tutte le connessioni disponibili a tali applicazioni e gli utenti non possono accedervi. Alcuni attacchi possono eliminare un'intera rete inondandola di pacchetti non necessari. Per contrastare tali attacchi è necessaria la partecipazione del provider, perché se non interrompe il traffico indesiderato all'ingresso della rete, l'attacco non può essere fermato, perché la larghezza di banda sarà occupata.

    I seguenti programmi sono più comunemente usati per implementare un attacco DoS:

    • Trino- è un programma piuttosto primitivo, che storicamente è diventato il primo a organizzare attacchi DoS di un unico tipo: UDP-flood. I programmi della famiglia "trinoo" sono facilmente rilevabili dagli strumenti di sicurezza standard e non rappresentano una minaccia per coloro che si preoccupano anche solo un po' della loro sicurezza.
    • TFN e TFN2K- un'arma più seria. Consentono di organizzare contemporaneamente attacchi di diversi tipi: Smurf, UDP flood, ICMP flood e TCP SYN flood. L'uso di questi programmi richiede un'abilità molto più elevata da parte dell'attaccante.
    • L'ultimo strumento per organizzare gli attacchi DoS - Stacheldracht("filo spinato"). Questo pacchetto consente di organizzare una varietà di tipi di attacchi e una valanga di richieste di ping di trasmissione. Inoltre, la comunicazione tra controller e agenti è crittografata e una funzione di modifica automatica è integrata nel software stesso. La crittografia rende molto difficile rilevare un utente malintenzionato.

    Per mitigare la minaccia, puoi utilizzare quanto segue:

    • Funzionalità anti-spoofing: la corretta configurazione delle funzionalità anti-spoofing sui router e sui firewall contribuirà a ridurre il rischio di DoS. Queste funzionalità dovrebbero, come minimo, includere il filtro RFC 2827. A meno che un hacker non possa nascondere la sua vera identità, è improbabile che tenti un attacco.
    • Funzioni anti-DoS - La corretta configurazione delle funzioni anti-DoS su router e firewall può limitare l'efficacia degli attacchi. Queste funzionalità spesso limitano il numero di canali semiaperti in qualsiasi momento.
    • Limitazione della velocità di traffico: un'organizzazione può chiedere a un ISP di limitare la quantità di traffico. Questo tipo di filtraggio consente di limitare la quantità di traffico non critico che passa attraverso la rete. Un esempio comune è la limitazione del traffico ICMP, utilizzata solo per scopi diagnostici. Gli attacchi DoS utilizzano spesso ICMP.

    Esistono diversi tipi di minacce di questo tipo:

    • Un latente Denial of Service, quando parte delle risorse di rete viene utilizzata per elaborare i pacchetti trasmessi da un utente malintenzionato con una riduzione della larghezza di banda del canale, una violazione del tempo di elaborazione delle richieste e una violazione delle prestazioni dei dispositivi di rete. Esempio: tempesta di richiesta echo ICMP diretta o tempesta di richiesta di connessione TCP.
    • Un esplicito denial of service causato dal fatto che le risorse di rete sono state esaurite a seguito dell'elaborazione dei pacchetti inviati dagli aggressori. Allo stesso tempo, le richieste degli utenti legittime non possono essere elaborate a causa del fatto che l'intera larghezza di banda del canale è occupata, i buffer sono pieni, lo spazio su disco è pieno, ecc. Esempio: tempesta diretta (inondazione SYN).
    • Un esplicito denial of service causato da una violazione della connettività logica tra i mezzi tecnici della rete quando un utente malintenzionato invia messaggi di controllo per conto dei dispositivi di rete. Questo cambia i dati di instradamento. Esempio: host di reindirizzamento ICMP o DNS flood.
    • Un esplicito denial of service causato da un utente malintenzionato che trasmette pacchetti con attributi non standard (come UDP-bomb) o che superano la lunghezza massima (Ping Death).

    Gli attacchi DoS hanno lo scopo di interrompere la disponibilità delle informazioni e non violano l'integrità e la riservatezza.

  6. Attacchi a livello di applicazione. Questo tipo di attacco consiste nell'utilizzare dei "gap" nel software del server (HTML, sendmail, FTP). Utilizzando queste vulnerabilità, un utente malintenzionato ottiene l'accesso a un computer per conto di un utente dell'applicazione. Gli attacchi a livello di applicazione spesso utilizzano porte che possono "passare" attraverso il firewall.

    Il problema principale con gli attacchi a livello di applicazione è che spesso utilizzano porte che possono passare attraverso il firewall. Ad esempio, un hacker che attacca un server Web potrebbe utilizzare la porta TCP 80. Affinché il server Web possa fornire pagine agli utenti, la porta 80 deve essere aperta sul firewall. Dal punto di vista del firewall, l'attacco viene trattato come traffico standard sulla porta 80.

    Non è possibile eliminare completamente gli attacchi a livello di applicazione, poiché le applicazioni con nuove vulnerabilità emergono regolarmente. La cosa più importante qui è una buona amministrazione del sistema. Di seguito sono riportati alcuni passaggi che puoi intraprendere per ridurre la tua vulnerabilità a questo tipo di attacco:

    • lettura dei log (sistema e rete);
    • monitoraggio delle vulnerabilità nel nuovo software utilizzando siti specializzati, come http://www.cert.com.
    • uso dell'IDS.

Dalla natura stessa di un attacco di rete, è chiaro che il suo verificarsi non è controllato da ogni nodo di rete specifico. Non abbiamo considerato tutti gli attacchi possibili sulla rete, in pratica ce ne sono molti di più. Tuttavia, non è possibile proteggersi da tutti i tipi di attacchi. L'approccio più ottimale per proteggere il perimetro della rete consiste nell'eliminare le vulnerabilità utilizzate nella maggior parte degli attacchi dannosi. Gli elenchi di tali vulnerabilità sono pubblicati su molti siti Web che raccolgono tali statistiche, ad esempio il sito Web del SANS Institute: http://www.sans.org/top-cyber-security-risks/?ref=top20 . Un normale aggressore non cerca alcun modo originale per attaccare, ma scansiona la rete alla ricerca di una vulnerabilità nota e la utilizza.

Condividi con gli amici o salva per te:

Caricamento in corso...
Articoli correlati consigliati
Sony Ericsson Xperia Neo V - Specifiche
Sony Ericsson Xperia Neo V - Specifiche
Smartphone Samsung Galaxy Ace 2
Smartphone Samsung Galaxy Ace 2
Recensione completa di Sony Xperia go: cammina, corri, chiama Xperia go
Recensione completa di Sony Xperia go: cammina, corri, chiama Xperia go