Показано с 1 по 1 из 1.

Справочник возможных атак злоумышленников

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3162

    Справочник возможных атак злоумышленников

    1. Атака OoB. Большинство атак используют свойства различных протоколов. Например в протоколе ТСР предусмотрен случай, когда приложение обращается с запросом о сложной передачи данных (бит PSH - установлен в 1). В этом случае протокол TCP, не ожидая заполнения буфера до уровня сегмента, немедленно передает указанные данные в сеть. О таких данных говорят, что они передаются вне потока - out of band. Для некоторых Windows атака Out of Band (OoB) основана на том, что 139 порт (порт WinNT) не закрыт для постороннего вторжения, поэтому, отослав на этот порт пакет данных с флагом заголовка ОоВ (MSG_OOB), можно спровоцировать зависание системы и появление "синего экрана смерти". Атака безнадежно устарела.

    2. DoS (Denial of Service - отказ в обслуживании) и DDoS ( Destributed DoS - распределенный DoS) атаки. Это разновидности нападений вызывающие отказ в обслуживании. Эти атаки гасит входящая фильтрации трафика.

    3. Спуфинг (spoofing). Атака вида “имитации соединения” когда атакующая система выдает себя за другую используя ее IP-адрес. Такая атака позволяет обойти пакетную фильтрацию брандмауэров. DNS-серверы привлекательны для стуфинг атак, когда злоумышленник стремится транслировать на DNS-сервер неверную схему соответствия имен хостов и их IP-адресов.

    4. SYN. Возможно самое эффективное пакетное нападение на web-серверы. Оно фальсифицирует TCP-подключения по вымышленным IP-адресам, на которые атакуемая машина не способна ответить. Даже скромное наводнение не имеющих ответа SYN-пакетов может сокрушить практически любой сервер за короткое время. Поскольку такие пакеты - необходимая часть нормального сетевого трафика, злонамеренные SYN-пакеты трудно отфильтровать.

    5. Атаки фрагментированными пакетами. Эти атаки были задуманны для нанесения удара по технологии пакетной фильтрации. Поскольку при пакетной фильтрации проверяется информация заголовка, его можно ликвидировать, разбив пакет на столь малые части (фрагменты), что целостность заголовка, содержащего информацию порта TCP и UDP, будет нарушена. Для защиты от атак такого вида существует масса решений у современных пакетных фильтров.

    Протокол ICMP - является излюбленным протоколом злоумышленников как для реализации DoS-атак (Denial of Service - отказ в обслуживании), так и зондирования. Поэтому его полная или частичная блокировка - обязательная функция пограничного брандмауэра.

    6. Smurf – атака, включает отправку эхо-запроса ICMP (ping) по широковещательным адресам, что приводит к отправке ответов из каждого хоста. Это разновидность нападения вызывающего отказ в обслуживании (DoS).

    7. Flood-атаки. Атаки , нацеленные на переполнение. Например буфера обмена маршрутной информации коммутатора и т.п. Разновидность DoS-атак.

    8. Атака по ARP протоколу. Как известно протокол разрешения адресов ARP (address resolution protocol) использует широковещательную передачу пакетов в пределах домена для выяснения неизвестного аппаратного МАС-адреса сетевой карты, для которой предназначен некий Ethernet-кадр. Взломщик может манипулировать преобразованием МАС-адресов в их IP-аналоги. Большинство реализаций ARP обновляют состояние своего кэша соответствий МАС и IP-адресов только при получении ARP-запроса или ответа на него. Таким образом взломщик может заразить кэш адресов системы А, путем передачи поддельного ARP-пакета, привязывающего IP-адрес системы В к МАС-адресу компьютера взломщика. В результате весь трафик, посылаемый системой А с использованием в качестве адреса назначения IP-адрес хоста В, будет перенаправляться на компьютер взломщика. Это довольно серьезная внутренняя атака, способом защиты ARP-кэша является аутентификация с применением протоколов более высокого уровня нежели ARP, например SSH (Secure Shell).

    С точки зрения сетевой безопасности, обмен широковещательными пакетами напоминает утечку информации с вызвавшего данный обмен приложения, поскольку эту информацию получат абсолютно все компьютеры сетевого сегмента. Надо формулировать правила ограничения широковещательного трафика.

    Кто пользуется ZoneAlarm включите защиту ARP.

    9. Teardrop. Атака вида отказ в обслуживании (DoS) на основе фрагментации пакетов. Данная атака использует слабое место процесса сборки фрагментов на хосте-получателе. Средствами программного обеспечения создаются фрагменты, в которых указанное во фрагменте смещение приводит к затиранию доставленных ранее данных. При сборке таких фрагментов на хосте-получателе некоторые системы могут выйти из строя, зависнуть или начать перезагрузку.
    Список самых атакуемых сервисов с соответствующими портами по данным SANS/FBI


    http://www.sans.org/top20.htm

    Name Port Protocol Description
    Small services <20 tcp/udp small services
    FTP 21 tcp file transfer
    SSH 22 tcp login service
    TELNET 23 tcp login service
    SMTP 25 tcp mail
    TIME 37 tcp/udp time synchronization
    WINS 42 tcp/udp WINS replication
    DNS 53 udp naming services
    DNS zone transfers 53 tcp naming services
    DHCP server 67 tcp/udp host configuration
    DHCP client 68 tcp/udp host configuration
    TFTP 69 udp miscellaneous
    GOPHER 70 tcp old WWW-like service
    FINGER 79 tcp miscellaneous
    HTTP 80 tcp web
    alternate HTTP port 81 tcp web
    alternate HTTP port 88 tcp web (sometimes Kerberos)
    LINUXCONF 98 tcp host configuration
    POP2 109 tcp mail
    POP3 110 tcp mail
    PORTMAP/RPCBIND 111 tcp/udp RPC portmapper
    NNTP 119 tcp network news service
    NTP 123 udp time synchronization
    NetBIOS 135 tcp/udp DCE-RPC endpoint mapper
    NetBIOS 137 udp NetBIOS name service
    NetBIOS 138 udp NetBIOS datagram service
    NetBIOS/SAMBA 139 tcp file sharing & login service
    IMAP 143 tcp mail
    SNMP 161 tcp/udp miscellaneous
    SNMP 162 tcp/udp miscellaneous
    XDMCP 177 udp X display manager protocol
    BGP 179 tcp miscellaneous
    FW1-secureremote 256 tcp CheckPoint FireWall-1 mgmt
    FW1-secureremote 264 tcp CheckPoint FireWall-1 mgmt
    LDAP 389 tcp/udp naming services
    HTTPS 443 tcp web
    Windows 2000 NetBIOS 445 tcp/udp SMB over IP (Microsoft-DS)
    ISAKMP 500 udp IPSEC Internet Key Exchange
    REXEC 512 tcp } the three
    RLOGIN 513 tcp } Berkeley r-services
    RSHELL 514 tcp } (used for remote login)
    RWHO 513 udp miscellaneous
    SYSLOG 514 udp miscellaneous
    LPD 515 tcp remote printing
    TALK 517 udp miscellaneous
    RIP 520 udp routing protocol
    UUCP 540 tcp/udp file transfer
    HTTP RPC-EPMAP 593 tcp HTTP DCE-RPC endpoint mapper
    IPP 631 tcp remote printing
    LDAP over SSL 636 tcp LDAP over SSL
    Sun Mgmt Console 898 tcp remote administration
    SAMBA-SWAT 901 tcp remote administration
    Windows RPC programs 1025 tcp/udp } often allocated
    Windows RPC programs to } by DCE-RPC portmapper
    Windows RPC programs 1039 tcp/udp } on Windows hosts
    SOCKS 1080 tcp miscellaneous
    LotusNotes 1352 tcp database/groupware
    MS-SQL-S 1433 tcp database
    MS-SQL-M 1434 udp database
    CITRIX 1494 tcp remote graphical display
    WINS replication 1512 tcp/udp WINS replication
    ORACLE 1521 tcp database
    NFS 2049 tcp/udp NFS file sharing
    COMPAQDIAG 2301 tcp Compaq remote administration
    COMPAQDIAG 2381 tcp Compaq remote administration
    CVS 2401 tcp collaborative file sharing
    SQUID 3128 tcp web cache
    Global catalog LDAP 3268 tcp Global catalog LDAP
    Global catalog LDAP SSL 3269 tcp Global catalog LDAP SSL
    MYSQL 3306 tcp database
    Microsoft Term. Svc. 3389 tcp remote graphical display
    LOCKD 4045 tcp/udp NFS file sharing
    Sun Mgmt Console 5987 tcp remote administration
    PCANYWHERE 5631 tcp remote administration
    PCANYWHERE 5632 tcp/udp remote administration
    VNC 5800 tcp remote administration
    VNC 5900 tcp remote administration
    X11 6000-6255 tcp X Windows server
    FONT-SERVICE 7100 tcp X Windows font service
    alternate HTTP port 8000 tcp web
    alternate HTTP port 8001 tcp web
    alternate HTTP port 8002 tcp web
    alternate HTTP port 8080 tcp web
    alternate HTTP port 8081 tcp web
    alternate HTTP port 8888 tcp web
    Unix RPC programs 32770 tcp/udp } often allocated
    Unix RPC programs to } by RPC portmapper
    Unix RPC programs 32899 tcp/udp } on Solaris hosts
    COMPAQDIAG 49400 tcp Compaq remote administration
    COMPAQDIAG 49401 tcp Compaq remote administration
    PCANYWHERE 65301 tcp remote administration

    http://www.ekorinfo.ru/index.php

  2. Реклама
     

Похожие темы

  1. Ответов: 0
    Последнее сообщение: 09.07.2012, 16:30
  2. Ответов: 0
    Последнее сообщение: 07.07.2011, 15:30
  3. Ответов: 0
    Последнее сообщение: 27.11.2010, 19:20
  4. Тест Тьюринга больше не защищает от злоумышленников
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 17.07.2008, 22:26
  5. Ответов: 1
    Последнее сообщение: 17.10.2005, 15:09

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00081 seconds with 18 queries