Справочник возможных атак злоумышленников

[SDA]

1. Атака OoB. Большинство атак используют свойства различных протоколов. Например в протоколе ТСР предусмотрен случай, когда приложение обращается с запросом о сложной передачи данных (бит PSH - установлен в 1). В этом случае протокол TCP, не ожидая заполнения буфера до уровня сегмента, немедленно передает указанные данные в сеть. О таких данных говорят, что они передаются вне потока - out of band. Для некоторых Windows атака Out of Band (OoB) основана на том, что 139 порт (порт WinNT) не закрыт для постороннего вторжения, поэтому, отослав на этот порт пакет данных с флагом заголовка ОоВ (MSG_OOB), можно спровоцировать зависание системы и появление "синего экрана смерти". Атака безнадежно устарела.

2. DoS (Denial of Service - отказ в обслуживании) и DDoS ( Destributed DoS - распределенный DoS) атаки. Это разновидности нападений вызывающие отказ в обслуживании. Эти атаки гасит входящая фильтрации трафика.

3. Спуфинг (spoofing). Атака вида “имитации соединения” когда атакующая система выдает себя за другую используя ее IP-адрес. Такая атака позволяет обойти пакетную фильтрацию брандмауэров. DNS-серверы привлекательны для стуфинг атак, когда злоумышленник стремится транслировать на DNS-сервер неверную схему соответствия имен хостов и их IP-адресов.

4. SYN. Возможно самое эффективное пакетное нападение на web-серверы. Оно фальсифицирует TCP-подключения по вымышленным IP-адресам, на которые атакуемая машина не способна ответить. Даже скромное наводнение не имеющих ответа SYN-пакетов может сокрушить практически любой сервер за короткое время. Поскольку такие пакеты - необходимая часть нормального сетевого трафика, злонамеренные SYN-пакеты трудно отфильтровать.

5. Атаки фрагментированными пакетами. Эти атаки были задуманны для нанесения удара по технологии пакетной фильтрации. Поскольку при пакетной фильтрации проверяется информация заголовка, его можно ликвидировать, разбив пакет на столь малые части (фрагменты), что целостность заголовка, содержащего информацию порта TCP и UDP, будет нарушена. Для защиты от атак такого вида существует масса решений у современных пакетных фильтров.

Протокол ICMP - является излюбленным протоколом злоумышленников как для реализации DoS-атак (Denial of Service - отказ в обслуживании), так и зондирования. Поэтому его полная или частичная блокировка - обязательная функция пограничного брандмауэра.

6. Smurf – атака, включает отправку эхо-запроса ICMP (ping) по широковещательным адресам, что приводит к отправке ответов из каждого хоста. Это разновидность нападения вызывающего отказ в обслуживании (DoS).

7. Flood-атаки. Атаки , нацеленные на переполнение. Например буфера обмена маршрутной информации коммутатора и т.п. Разновидность DoS-атак.

8. Атака по ARP протоколу. Как известно протокол разрешения адресов ARP (address resolution protocol) использует широковещательную передачу пакетов в пределах домена для выяснения неизвестного аппаратного МАС-адреса сетевой карты, для которой предназначен некий Ethernet-кадр. Взломщик может манипулировать преобразованием МАС-адресов в их IP-аналоги. Большинство реализаций ARP обновляют состояние своего кэша соответствий МАС и IP-адресов только при получении ARP-запроса или ответа на него. Таким образом взломщик может заразить кэш адресов системы А, путем передачи поддельного ARP-пакета, привязывающего IP-адрес системы В к МАС-адресу компьютера взломщика. В результате весь трафик, посылаемый системой А с использованием в качестве адреса назначения IP-адрес хоста В, будет перенаправляться на компьютер взломщика. Это довольно серьезная внутренняя атака, способом защиты ARP-кэша является аутентификация с применением протоколов более высокого уровня нежели ARP, например SSH (Secure Shell).

С точки зрения сетевой безопасности, обмен широковещательными пакетами напоминает утечку информации с вызвавшего данный обмен приложения, поскольку эту информацию получат абсолютно все компьютеры сетевого сегмента. Надо формулировать правила ограничения широковещательного трафика.

Кто пользуется ZoneAlarm включите защиту ARP.

9. Teardrop. Атака вида отказ в обслуживании (DoS) на основе фрагментации пакетов. Данная атака использует слабое место процесса сборки фрагментов на хосте-получателе. Средствами программного обеспечения создаются фрагменты, в которых указанное во фрагменте смещение приводит к затиранию доставленных ранее данных. При сборке таких фрагментов на хосте-получателе некоторые системы могут выйти из строя, зависнуть или начать перезагрузку.
Список самых атакуемых сервисов с соответствующими портами по данным SANS/FBI


http://www.sans.org/top20.htm

Name Port Protocol Description
Small services <20 tcp/udp small services
FTP 21 tcp file transfer
SSH 22 tcp login service
TELNET 23 tcp login service
SMTP 25 tcp mail
TIME 37 tcp/udp time synchronization
WINS 42 tcp/udp WINS replication
DNS 53 udp naming services
DNS zone transfers 53 tcp naming services
DHCP server 67 tcp/udp host configuration
DHCP client 68 tcp/udp host configuration
TFTP 69 udp miscellaneous
GOPHER 70 tcp old WWW-like service
FINGER 79 tcp miscellaneous
HTTP 80 tcp web
alternate HTTP port 81 tcp web
alternate HTTP port 88 tcp web (sometimes Kerberos)
LINUXCONF 98 tcp host configuration
POP2 109 tcp mail
POP3 110 tcp mail
PORTMAP/RPCBIND 111 tcp/udp RPC portmapper
NNTP 119 tcp network news service
NTP 123 udp time synchronization
NetBIOS 135 tcp/udp DCE-RPC endpoint mapper
NetBIOS 137 udp NetBIOS name service
NetBIOS 138 udp NetBIOS datagram service
NetBIOS/SAMBA 139 tcp file sharing & login service
IMAP 143 tcp mail
SNMP 161 tcp/udp miscellaneous
SNMP 162 tcp/udp miscellaneous
XDMCP 177 udp X display manager protocol
BGP 179 tcp miscellaneous
FW1-secureremote 256 tcp CheckPoint FireWall-1 mgmt
FW1-secureremote 264 tcp CheckPoint FireWall-1 mgmt
LDAP 389 tcp/udp naming services
HTTPS 443 tcp web
Windows 2000 NetBIOS 445 tcp/udp SMB over IP (Microsoft-DS)
ISAKMP 500 udp IPSEC Internet Key Exchange
REXEC 512 tcp } the three
RLOGIN 513 tcp } Berkeley r-services
RSHELL 514 tcp } (used for remote login)
RWHO 513 udp miscellaneous
SYSLOG 514 udp miscellaneous
LPD 515 tcp remote printing
TALK 517 udp miscellaneous
RIP 520 udp routing protocol
UUCP 540 tcp/udp file transfer
HTTP RPC-EPMAP 593 tcp HTTP DCE-RPC endpoint mapper
IPP 631 tcp remote printing
LDAP over SSL 636 tcp LDAP over SSL
Sun Mgmt Console 898 tcp remote administration
SAMBA-SWAT 901 tcp remote administration
Windows RPC programs 1025 tcp/udp } often allocated
Windows RPC programs to } by DCE-RPC portmapper
Windows RPC programs 1039 tcp/udp } on Windows hosts
SOCKS 1080 tcp miscellaneous
LotusNotes 1352 tcp database/groupware
MS-SQL-S 1433 tcp database
MS-SQL-M 1434 udp database
CITRIX 1494 tcp remote graphical display
WINS replication 1512 tcp/udp WINS replication
ORACLE 1521 tcp database
NFS 2049 tcp/udp NFS file sharing
COMPAQDIAG 2301 tcp Compaq remote administration
COMPAQDIAG 2381 tcp Compaq remote administration
CVS 2401 tcp collaborative file sharing
SQUID 3128 tcp web cache
Global catalog LDAP 3268 tcp Global catalog LDAP
Global catalog LDAP SSL 3269 tcp Global catalog LDAP SSL
MYSQL 3306 tcp database
Microsoft Term. Svc. 3389 tcp remote graphical display
LOCKD 4045 tcp/udp NFS file sharing
Sun Mgmt Console 5987 tcp remote administration
PCANYWHERE 5631 tcp remote administration
PCANYWHERE 5632 tcp/udp remote administration
VNC 5800 tcp remote administration
VNC 5900 tcp remote administration
X11 6000-6255 tcp X Windows server
FONT-SERVICE 7100 tcp X Windows font service
alternate HTTP port 8000 tcp web
alternate HTTP port 8001 tcp web
alternate HTTP port 8002 tcp web
alternate HTTP port 8080 tcp web
alternate HTTP port 8081 tcp web
alternate HTTP port 8888 tcp web
Unix RPC programs 32770 tcp/udp } often allocated
Unix RPC programs to } by RPC portmapper
Unix RPC programs 32899 tcp/udp } on Solaris hosts
COMPAQDIAG 49400 tcp Compaq remote administration
COMPAQDIAG 49401 tcp Compaq remote administration
PCANYWHERE 65301 tcp remote administration

http://www.ekorinfo.ru/index.php