Metody ataków sieciowych


Co to jest atak sieciowy?

Atak sieciowy jest typem ataku, który obejmuje kradzież poufnych lub prywatnych informacji,
dowolną zmianę lub usunięcie danych, zmianę ustawień konfiguracyjnych lub zablokowanie usługi.
Podczas ataku tego typu może również zostać zablokowane konfigurowanie zabezpieczeń, na przykład zamiana programów konfiguracyjnych,
w celu ułatwienia następnych włamań.

Profilaktyka

Podstawą profilaktyki jest odpowiednio skonfigurowana zapora sieciowa z aktualnym oprogramowaniem,
która na celu będzie miała rejestrowanie ruchu w sieci i w razie przypadku ataku zablokowanie połączenia.
Oprócz zapory sieciowej również przydatne jest oprogramowanie,
które będzie wykrywało różne niepowołane procesy działające w tle systemu, które mogą powodować wirusy komputerowe.
Ważne jest również posiadanie najnowszej wersji systemu operacyjnego oraz zainstalowanych aplikacji.

Podział ataków

Ataki możemy podzielić na:

Podział ze wzgledu na miejsce ataku

Ataki możemy podzielić uwzględniając miejsce ataku:

DoS

DoS (Denial of Service) – rodzaj ataku sieciowego powodujący, że atakowany system przestaje działać prawidłowo przez zapełnienie portu serwera
nieprawidłowymi pakietami. Może to być usterka tylko jednej usługi internetowej (np. www) lub całego serwera. W skrajnych przypadkach dochodzi
nawet do zupełnego zawieszenia pracy systemu co wymaga podniesienia takiego systemu poprzez fizyczną interwencję administratora.
Atak DoS korzysta z błędów i luk występujących w systemie. Założeniem ataku nie jest kradzież danych lub usunięcie, lecz o
przynoszenie wielkich strat firmom, które przez niedostępność usług nie mogą zarabiać. Obroną przed tego typem ataków jest
instalacja łat na znane luki w systemach operacyjnych oraz filtrowanie za pomocą zapory sieciowej pakietów niosących atak.

DDoS

DDoS (Distributed Denial of Service) - To ulepszona wersja ataku typu DoS, której znacznemu zmodyfikowaniu uległy głównie skuteczność oraz "bezpieczeństwo" hakera.
Różnica polega na tym, że atak DoS odbywał się z komputera hakera, a atak DDoS przeprowadzany jest w sposób rozproszony tzn. z wielu komputerów jednocześnie.
Zainfekowane wirusem komputery znajdują się w różnych lokalizacjach, a ich użytkownicy nie są świadomi tego, iż właśnie biorą udział w ataku
na serwer internetowy. Wykrycie wirusa jest stosunkowo trudne ze względu na to, iż aktywuje się on tylko i wyłącznie w momencie ataku,
po czym znów przechodzi w stan uśpienia lub po przeprowadzonym ataku samoczynnie się deinstalują i kasują.

Email bombing

Email bombing - bomba pocztowa jest efektem wysyłaniu komuś ton e-maili, przeładowując jego skrzynkę pocztową lub sieciowe połączenie.
Skrzynka może ulec zablokowaniu przez jej przepełnienie. Czasami można dokonać tego za pomocą specjalnego programu,
lub po prostu zapisać ofiarę do dużej ilości grup dyskusyjnych. Namierzenie sprawcy jest dość trudne.
Programy te mają możliwość ukrywania tożsamości nadawcy oraz źródła pochodzenia przesyłki.

Tabnapping

Tabnapping - polega na otwieraniu stron w wielu zakładkach przeglądarki internetowej. Podmienia zawartość innej strony znajdującej się w innej zakładce przeglądarki.
Jeśli podmienioną w tle stroną jest np. strona banku, użytkownik może przypadkowo próbować się zalogować na podszywającą się pod prawdziwą witrynę banku
spreparowaną stronę, która zdobędzie hasło do naszego konta bankowego. Podmieniana może być również strona logowania serwisu aukcyjnego,
systemu pocztowego w zależności od złych zamiarów atakującego. Najprościej chronić się przed tego typu atakiem przez otwieranie niezbyt
przesadnej ilości zakładek aby móc kontrolować ich zawartość oraz nie logować się do żadnego z serwisów, zanim nie upewnimy się,
że logujemy się rzeczywiście w oryginalnym serwisie, a nie w jego podmienionej wersji.

Teardrop IP Attack

Teardrop IP Attack - polega na wykorzystaniu błędu protokołu IP. Wymaga on zbyt dużego pakietu danych, który nie może być przesłany przez następny router,
więc jest on dzielony na części. Fragment pakietu rozpoznaje miejsce, w którym zaczyna się pierwsza część pakietu i uruchamia proces łączenia
wszystkich fragmentów w całość. Osoba atakująca zmienia fragment odpowiedzialny za odnalezienie początku pakietu i rozpoczęcie procesu scalania
przez co system ma problemy z poskładaniem pakietu w całość i przesłaniu go dalej. To najczęściej doprowadza do zawieszenia systemu.
Aby uniknąć tego ataku należy określić regułę na zaporze sieciowej, która odrzucająca wszystkie przychodzące pofragmentowane pakiety UDP.

Ping of Death

Ping of Death - polega na wysyłaniu do komputera pakietu ping o złej długości może obciążyć lub nawet zawiesić cały komputer. Podczas ataku do ofiary jest
wysyłany pofragmentowany pakiet IP. Poszczególne fragmenty zostają spreparowane tak, aby po ich złożeniu przez odbiorcę powstał pakiet o długości
przekraczającej maksymalny rozmiar pakietów IP. Odebranie takich nieprawidłowych danych często powodowało zawieszenie się lub restart serwera.
Aby uniknąć tego ataku należy określić regułę na zaporze sieciowej dopuszczającą pakiety ICMP Echo request o wielkości od 60 do 65535 bajtów.

DNS Spoofing

DNS Spoofing - jest to atak na serwer DNS, który posiada bazę danych przechowującą numery IP dla poszczególnych adresów mnemonicznych.
Atak DNS spoofing polega na ingerencji w tablicę DNS i modyfikacji poszczególnych wpisów tak, aby klient zamiast do komputera docelowego
kierowany był do komputera atakującego. Większości ataków DNS można zapobiec poprzez odpowiednie ustawienia serwera.
Należy ograniczyć zaufanie wobec danych przesyłanych przez inne serwery DNS, zwłaszcza te prywatne. Ważne jest też ignorowanie
tych spośród odebranych rekordów, które nie są bezpośrednio związane z wysłanym przez nasz serwer zapytaniem.

Kret

Kret - wiadomość e-mail, którą nadawca wykorzystuje w celu otrzymania określonych informacji najczęściej jego adresu IP. Nadawca po odebraniu odpowiedzi na
wiadomość może z nagłówka odczytać adres IP komputera oraz informacje na temat systemu operacyjnego danej osoby. Inna metoda polega na wysłaniu wiadomości
w formacie HTML zawierającej odwołanie do pliku (np. grafiki) znajdującego się na serwerze nadawcy. Podczas otwierania takiej przesyłki program
automatycznie wysyła żądanie pobrania obrazka pozostawiając w ten sposób ślad po sobie na serwerze oraz własny adres IP. Metoda ta wykorzystywana
jest zwłaszcza do przechwytywania dynamicznych adresów IP przydzielanych komputerom korzystającym z połączeń modemowych.

SQL Injection

SQL Injection - ten rodzaj ataku polega na nieupragnionym dostępie do bazy danych dzięki odpowiedniej manipulacji aplikacją, która komunikuje się z ową bazą danych.
Z reguły to polega to na spreparowaniu specjalnego ciągu i wprowadzeniu go do aplikacji poprzez pasek URL lub formularz on-line. Spreparowanym ciągiem może być czyste
wyrażenie SQL lub charakterystyczny dla danej platformy język komunikacji z nią. Podatna aplikacja pobiera dane od atakującego i wykonuje zapytania SQL
bez wcześniejszego sprawdzenia, czy dane te są poprawnym czystym tekstem. Dzięki temu, włamywacz dostaje m.in możliwość modyfikacji,
usuwania oraz dodawania nowych wpisóww bazie danych.

LAND

LAND - komputer na skutek odebrania odpowiednio spreparowanych pakietów danych wpada w nieskończoną pętlę, co w konsekwencji powoduje unieruchomienie
połączenia sieciowego. Grozi to zupełnym zablokowaniem połączenia sieciowego, wymagającym lokalnego zrestartowania stanu połączenia,
zazwyczaj przez ponowne uruchomienie systemu operacyjnego. Podstawą profilaktyki jest odpowiednio skonfigurowana zapora sieciowa,
która blokuje pakiety o identycznym adresie źródłowym i docelowym.

Copyright © Damian Lewandowski 2017