Mayfly все записи автора

04/11/2004
-----------------------------------
1. Denial of service (DOS)


Класс атак, приводящих к отказу в обслуживание. Во время та-
ких атак происходит повышенный расход ресурсов процессора и
уменьшение канала пропускной возможности канала связи, что может
привести в сильному замедлению работы всей компьютерной системы,
отдельных задач либо вообще к полному останову задач пользовате-
ля. Пример. Вы пошли в магазин за хлебом, а там два часа назад
хулиганы побили все стекла и весь персонал занят их уборкой; воз-
ле входа в магазин выстроилась огромная очередь пенсионеров т.е.
шанса пройти без очереди когда магазин откроется - нет. К DOS
атакам относятся Floods, ICMP flooding, Identification flooding и
другие.

2. Hack


Класс атак, используемые для исследования операционных сис-
тем, приложений или протоколов с целью последующего анализа полу-
ченной информации на предмет наличия уязвимостей, например, Ports
scan, который можно также отнести к малоэффективной DOS-атаке.
Выявленные уязвимости могут быть использованы хакером для осу-
ществления несанкционированного доступа к системе либо для подбо-
ра наиболее эффективной DOS-атаки.

3. Floods


Перевод с английского на русский - "затопление". Во время
floods атак происходит посылка большого количества на атакуемую
систему ICMP (чаще всего) либо UDP пакетов, которые не несут по-
лезной информации (мусор). В результате происходит уменьшение по-
лосы пропускания канала и загрузка компьютерной системы анализом
пришедших бесполезных пакетов и генерацией на них ответов.

4. SYN flooding


Затопление SYN-пакетами - самый известный способ "забить" ин-
формационный канал. Вспомним, как работает TCP/IP в случае входя-
щих соединений. Система отвечает на пришедший C-SYN-пакет
S-SYN/CACK-пакетом, переводит сессию в состояние SYN_RECEIVED и
заносит ее в очередь. Если в течении заданного времени от клиента
не придет S-ACK, соединение удаляется из очереди, в противном
случае соединение переводится в состояние ESTABLISHED. По RFC
когда очередь входных соединений уже заполнена, а система получа-
ет SYN-пакет, приглашающий к установке соединения, он будет молча
проигнорирован. Затопление SYNпакетами основано на переполнении
очереди сервера, после чего сервер перестает отвечать на запросы
пользователей. В различных системах работа с очередью реализована
по разному. После истечение некоторого времени (зависит от реали-
зации) система удаляет запросы из очереди. Однако ничего не меша-
ет хакеру послать новую порцию запросов. Таким образом, даже на-
ходясь на соединение 2400 bps, хакер может посылать каждые полто-
ры минуты по 20-30 пакетов на сервер, поддерживая его в нерабочем
состоянии. Атака обычно направлена на определённую, конкретную
службу, например telnet или ftp. Она заключается в передаче паке-
тов установления соединения на порт, соответствующий атакуемой
службе. При получении запроса система выделяет ресурсы для нового
соединения, после чего пытается ответить на запрос (послать
"SYN-ACK") по недоступному адресу. По умолчанию NT версий 3.5-4.0
будет пытаться повторить подтверждение 5 раз - через 3, 6, 12, 24
и 48 секунд. После этого еще 96 секунд система может ожидать от-
вет, и только после этого освободит ресурсы, выделенные для буду-
щего соединения. Общее время занятости ресурсов - 189 секунд.

5. ICMP flooding (flood ping)


Перевод с английского на русский - "поток пингов". Во время
этой атаки происходит посылка компьютерной системе жертвы большо-
го количества запросов эха ICMP (пинг системы). В результате про-
исходит уменьшение полосы пропускания канала и загрузка компь-
ютерной системы анализом пришедших пакетов и генерацией на них
ответов. Примечание: В мирных целях пинг используется администра-
торами и пользователями для проверки работоспособности основных
частей транспортной системы вычислительной сети, оценить работу
сети при максимальной нагрузке. Программа посылает ICMP-пакет ти-
па ECHO REQUEST, выставляя в нем время и его идентификатор. Ядро
машины-получателя отвечает на подобный запрос пакетом ICMP ECHO
REPLY. Получив его, ping выдает скорость прохождения пакета. При
стандартном режиме работы пакеты высылаются через некоторые про-
межутки времени, практически не нагружая сеть.

6. Identification flooding (identd)


Запрос идентификации системы. Эта атака очень похожа на ICMP
flooding, отличается только тем, что происходит запрос информации
о компьютерной системе (TCP порт 113). Атака более эффективна
т.к. анализ этих запросов и генерирование на них ответов забирают
больше процессорного времени, чем при пингах.

7. DNS flooding DNS scan


Эта атака, направленная на сервера имён Internet. Она заклю-
чается в передаче большого числа DNS запросов и приводит к тому,
что у пользователей нет возможности обращаться к сервису имен и,
следовательно, обеспечивается невозможность работы обычных поль-
зователей. DNS scan. Известно, что прежде чем начинать атаку, ха-
керы осуществляют выявление целей, т.е. выявление компьютеров,
которые будут жертвами атаки, а также компьютеров, которые осу-
ществляют информационный обмен с жертвами. Одним из способов вы-
явления целей заключается в опросе сервера имён и получение от
него всей имеющейся информации о домене.

8. Ports scan


Сканирование компьютерной системы на наличие портов, путем
попыток их открытия. Эта атака также расходует ресурсы системы .
Обычно она используется для поиска слабых мест <дырок> в компь-
ютерной системе и предшествует более элегантной атаке; ресурсы
системы расходует намного скромнее нежели другие floods.

9. Unreachable (dest_unreach, ICMP type 3)


Эта атака заключается в том, что компьютерной системе посыла-
ется сообщение ICMP type 3, которое сообщает, что порт назначения
недоступен тем самым обманывая систему и вынуждая ее разорвать
соединение т.к. она будет "думать" что пакеты не доходят. ICMP
type 3 может посылаться клиентской машине, которая затем произве-
дет отключение либо посылаться серверу и инициатором отключения
станет он. Посылку ICMP type 3 осуществляет хакер.

10. WinNuke


Hаpяду с обычными данными пеpесылаемыми по TCP соединению
cтандаpт пpедустатpивает также пеpедачу сpочных (Out Of Band)
данных. Hа уpовне фоpматов пакетов TCP это выpажается в ненулевом
urgent pointer. У большинства PC с установленным Windows пpисутс-
твует сетевой пpотокол NetBIOS, котоpый использует для своих нужд
3 IP поpта: 137, 138, 139. Как выяснилось, если соединиться с
Windows машиной в 139 поpт и послать туда несколько байт OutOf-
Band данных, то pеализация NetBIOS-а не зная что делать с этими
данными попpосту подвешивает или пеpезагpужает машину. Для Win-
dows 95 это обычно выглядит как синий текстовый экpан, сообщающий
об ошибке в дpайвеpе TCP/IP и невозможность pаботы с сетью до пе-
pезагpузки ОC. NT 4.0 без сеpвис паков пеpезагpужается, NT 4.0 со
втоpым сеpвис паком выпадает в синий экpан.

11. Boink (Bonk, Teardrop, new Tear/Tear2)


При передачи пакета данных протокола IP по сети может осу-
ществляться деление этого пакета на несколько фрагментов. В пос-
ледствии, при достижении адресата, пакет восстанавливается из
этих фрагментов. Хакер может инициировать посылку большого числа
фрагментов, что приводит к переполнению программных буферов на
приемной стороне и, в ряде случаев, к аварийному завершению сис-
темы. Количество реализаций этой атаки достаточно велико. На
компьютержертву передается несколько фрагментированных IP паке-
тов, которые при сборке образуют один пакет размером более 64К
(максимальный размер IP пакета равен 64К минус длина заголовка).
Данная атака была эффективна против компьютеров с ОС Windows. При
получении такого пакета Windows NT, не имеющая специального патча
icmp-fix, "зависает" или аварийно завершается. Другие варианты
подобных атак используют неправильные смещения в IP фрагментах,
что приводит к некорректному выделению памяти, переполнению буфе-
ров и, в конечном итоге, к сбоям в работе систем.

12. PingOfDeath (Ssping, IceNuke, Jolt)


Сущность атаки в следующем: на машину жертвы посылается силь-
но фрагментиpованный ICMP пакет большого pазмеpа (64KB). Реакцией
Windows-систем на получение такого пакета является безоговорочное
повисание, включая мышь и клавиатуру. Программа для атаки широко
доступна в сети в виде исходника на C и в виде запускаемых файлов
для некоторых версий Unix. Любопытно, что в отличие от WinNuke
жертвой такой атаки могут стать не только Windows машины, атаке
подвержены MacOS и некоторые веpсии Unix. Преимущества такого
способа атаки в том, что обычно firewall пропускает ICMP пакеты,
а если firewall и настроен на фильтрацию адресов посылателей, то,
используя нехитрые приемы spoofing, можно обмануть и такой fire-
wall. Недостаток PingOfDeath в том, что для одной атаки надо пе-
реслать более 64KB по сети, что делает вообще его говоря малопpи-
менимым для шиpокомасштабных дивеpсий.

13. Land


Эта атака использует уязвимости реализаций стека TCP/IP в не-
которых ОС. Она заключается в передаче на открытый порт компьюте-
ра-жертвы TCP-пакета с установленным флагом SYN, причем исходный
адрес и порт такого пакета соответственно равны адресу и порту
атакуемого компьютера. Это приводит к тому, что компьютер-жертва
пытается установить соединение сам с собой, в результате чего
сильно возрастает загрузка процессора и может произойти "подвиса-
ние" или перезагрузка. Данная атака весьма эффективна на некото-
рых моделях маршрутизаторов фирмы Cisco Systems, причем успешное
применение атаки к маршрутизатору может вывести из строя всю сеть
организации.

14. Pong


Floods атаки, перечисленные выше, но в качестве обратного
действительного IP-адреса отправителя ( хакера ) используется
поддельный. Тем сам затрудняется обнаружение хакера.

15. Puke


Осуществяляется посылка хакером атакуемому хосту пакета ICMP
unreachable error (неизвестная ошибка удаленной системы), что в
свою очередь вызывает отключение хоста от сервера (обычно IRC).

16. Smurf


Атака заключается в передаче в сеть широковещательных ICMP
запросов от имени компьютера-жертвы. В результате компьютеры,
принявшие такие широковещательные пакеты, отвечают компьюте-
ру-жертве, что приводит к существенному снижение пропускной спо-
собности канала связи и, в ряде случаев, к полной изоляции атаку-
емой сети. Посылка множество broadcastзапросов от имени "жертвы"
на broadcast-адреса крупных сетей, можно вызвать резкой заполне-
нение канала "жертвы" - эффект |много для одного|. Атака smurf
исключительно эффективна и широко распространена.

17. UDP bomb


Передаваемый пакет UDP содержит неправильный формат служебных
полей. Некоторые старые версии сетевого ПО приводят при получении
подобного пакета к аварийному завершению системы.

18. Fuzzy


Пакет IP содержит поле, определяющее какой протокол следующе-
го уровня(TCP, UDP, ICMP) использует данные из Internet. Хакеры
могут использовать нестандартное значение данного поля для пере-
дачи данных, которые не будут фиксироваться стандартными средс-
твами контроля информационных потоков.

19. Dummy DNS


Внедрение в сеть Internet ложного DNS-сервера путем перехвата
DNS-запроса. Для реализации атаки хакеру необходимо перехватить
DNS-запрос, извлечь из него номер UDP-порта отправителя запроса,
двухбайтовое значение ID идентификатора DNS-запроса и искомое имя
и, затем, послать ложный DNS-ответ на извлеченный из DNS-запроса
UDP-порт, в котором указать в качестве искомого IP-адреса настоя-
щий IP-адрес ложного DNS-сервера. Это позволит в дальнейшем пол-
ностью перехватить и активно воздействовать на информацию, цирку-
лирующую между "обманутым" хостом и сервером. Необходимым услови-
ем осуществления данного варианта атаки является перехват
DNS-запроса. Это возможно только в том случае, если атакующий на-
ходится либо на пути основного трафика либо в сегменте настоящего
DNS-сервера. Выполнение одного из этих условий местонахождения
хакера в сети делает подобную удаленную атаку трудно осуществимой
на практике (попасть в сегмент DNS-сервера и тем более в межсег-
ментный канал связи атакующему скорее всего не удастся). Однако в
случае выполнения этих условий возможно осуществить межсегментную
удаленную атаку на сеть Internet.

20. Dummy DNS for host


Внедрение в сеть Internet ложного сервера путем создания нап-
равленного "шторма" ложных DNS-ответов на атакуемый хост. В этом
случае хакер осуществляет постоянную передачу на атакуемый хост
заранее подготовленного ложного DNS-ответа от имени настоящего
DNSсервера без приема DNS-запроса. Другими словами, атакующий
создает в сети Internet направленный "шторм" ложных DNS-ответов.
Это возможно, так как обычно для передачи DNS-запроса использует-
ся протокол UDP, в котором отсутствуют средства идентификации па-
кетов. Единственными критериями, предъявляемыми сетевой ОС хоста
к полученному от DNS-сервера ответу, является, во-первых, совпа-
дение IP-адреса отправителя ответа с IP-адресом DNS-сервера,
во-вторых, чтобы в DNS-ответе было указано то же имя, что и в
DNS-запросе, в-третьих, DNS-ответ должен быть направлен на тот же
UDPпорт, с которого был послан DNS-запрос (в данном случае это
первая проблема для атакующего), и, в-четвертых, в DNS-ответе по-
ле идентификатор запроса в заголовке DNS (ID) должно содержать то
же значение, что и в переданном DNS-запросе (а это вторая пробле-
ма). Предпологаем, что атакующий не имеет возможности перехватить
DNS-запрос, то основную проблему для него представляет номер
UDP-порта, с которого был послан запрос. Но номер порта отправи-
теля принимает ограниченный набор значений, поэтому атакующему
достаточно действовать простым перебором, направляя ложные ответы
на соответствующий перечень портов. На первый взгляд второй проб-
лемой может быть двухбайтовый идентификатор DNS-запроса, но в
данном случае он либо равен единице, либо имеет значение близкое
к нулю (один запрос - ID увеличивается на 1). Поэтому для осу-
ществления данной удаленной атаки атакующему необходимо выбрать
интересующий его хост (А), маршрут к которому требуется изменить
так, чтобы он проходил через ложный сервер - хост атакующего. Это
достигается постоянной передачей (направленным "штормом") атакую-
щим ложных DNS-ответов на атакуемый хост от имени настоящего
DNS-сервера на соответствующие UDP-порты. В этих ложных DNSотве-
тах указывается в качестве IP-адреса хоста А IP-адрес атакующего.
Далее атака развивается по следующей схеме. Как только цель атаки
(атакуемый хост) обратиться по имени к хосту А, то от данного
хоста в сеть будет передан DNS-запрос, который атакующий никогда
не получит, но этого ему и не требуется, так как на хост сразу же
поступит постоянно передаваемый ложный DNS-ответ, который и будет
воспринят ОС атакуемого хоста как настоящий ответ от DNS-сервера.
Атака состоялась и теперь атакуемый хост будет передавать все па-
кеты, предназначенные для А, на IP-адрес хоста атакующего, кото-
рый, в свою очередь, будет переправлять их на А, имея возможность
воздействовать (менять, модифицировать, анализировать и др) на
перехваченную информацию. Таким образом, реализация данной уда-
ленной атаки, использующей пробелы в безопасности службы DNS,
позволяет из любой точки сети Internet нарушить маршрутизацию
между двумя заданными объектами. То есть данная удаленная атака
осуществляется межсегментно по отношению к цели атаки и угрожает
безопасности любого хоста Internet, использующего обычную службу
DNS.

21. Dummy DNS for server


Внедрение в сеть Internet ложного сервера путем создания нап-
равленного "шторма" ложных DNS - ответов на атакуемый DNS - сер-
вер. Из схемы удаленного DNS-поиска следует, что в том случае,
если указанное в запросе имя DNS-сервер не обнаружил в своей базе
имен, то запрос отсылается сервером на один из корневых DNS-сер-
веров, адреса которых содержатся в файле настроек сервера ro-
ot.cache. То есть, в том случае, если DNS-сервер не имеет сведе-
ний о запрашиваемом хосте, то он пересылает запрос далее, а зна-
чит, теперь сам DNS-сервер является инициатором удаленного
DNS-поиска. Поэтому ничто не мешает атакующему, действуя методами
Dummy DNS for host, направить свою атаку на DNS-сервер. То есть,
в качестве цели атаки теперь будет выступать не хост, а DNS-сер-
вер и ложные DNS-ответы будут направляться атакующим от имени
корневого DNSсервера на атакуемый DNS-сервер. При этом важно учи-
тывать следующую особенность работы DNS-сервера. Для ускорения
работы каждый DNS-сервер кэширует в области памяти свою таблицу
соответствия имен и IP-адресов хостов. В том числе в кэш заносит-
ся динамически изменяемая информация об именах и IP-адресах хос-
тов, найденных в процессе функционирования DNSсервера. То есть,
если DNS-сервер, получив запрос, не находит у себя в кэштаблице
соответствующей записи, он пересылает ответ на следующий сервер
и, получив ответ, заносит найденные сведения в кэш-таблицу в па-
мять. Таким образом, при получении следующего запроса DNS-серверу
уже не требуется вести удаленный поиск, так как необходимые све-
дения уже находятся у него в кэш-таблице. Из анализа описанной
схемы удаленного DNS-поиска становится очевидно, что в том слу-
чае, если в ответ на запрос от DNS-сервера атакующий направит
ложный DNS-ответ (или в случае "шторма" ложных ответов будет вес-
ти их постоянную передачу), то в кэш-таблице сервера появится со-
ответствующая запись с ложными сведениями и, в дальнейшем, все
хосты, обратившиеся к данному DNS-серверу, будут дезинформированы
и при обращении к хосту, маршрут к которому атакующий решил изме-
нить, связь с ним будет осуществляться через хост атакующего. И с
течением времени эта ложная информация, попавшая в кэш DNS-серве-
ра, будет распространяться на соседние DNS-серверы высших уров-
ней, а, следовательно, все больше хостов в Internet будут дезин-
формированы и атакованы.Очевидно, что в том случае, если атакую-
щий не может перехватить DNS-запрос от DNS-сервера, то для реали-
зации атаки ему необходим "шторм" ложных DNS-ответов, направлен-
ный на DNS-сервер. При этом возникает следующая основная пробле-
ма, отличная от проблемы подбора портов в случае атаки, направ-
ленной на хост. Как уже отмечалось ранее DNS-сервер, посылая зап-
рос на другой DNS-сервер, идентифицирует этот запрос двухбайтовым
значением (ID). Это значение увеличивается на единицу с каждым
передаваемым запросом. Узнать атакующему это текущее значение
идентификатора DNS-запроса не представляется возможным. Поэтому,
ничего кроме перебора 216 возможных значений ID предложить
что-либо достаточно сложно. Зато исчезает проблема перебора пор-
тов, так как все DNS-запросы передаются DNS-сервером на 53 порт.
Следующая проблема, являющаяся условием осуществления этой уда-
ленной атаки на DNS-сервер при направленном "шторме" ложных
DNSответов состоит в том, что атака будет иметь успех, только в
том случае, если DNS-сервер пошлет запрос на поиск определенного
имени (которое содержится в ложном DNS-ответе). DNS-сервер посы-
лает этот столь необходимый и желанный для атакующего запрос в
том случае, если на него прийдет DNS-запрос от какого-либо хоста
на поиск данного имени и этого имени ни окажется в кэш-таблице
DNS-сервера. В принципе этот запрос может прийти когда угодно и
атакующему может быть придется ждать результатов атаки сколь
угодно долго. Однако ни что не мешает атакующему, не дожидаясь
никого, самому послать на атакуемый DNS-сервер подобный DNS-зап-
рос и спровоцировать DNS-сервер на поиск указанного в запросе
имени. Тогда эта атака с большой вероятностью будет иметь успех
практически сразу же после начала ее осуществления.

22. Syslog spoofing


Заключается в передаче на компьютер жертву сообщения от имени
другого компьютера внутренней сети. Поскольку протокол syslog ис-
пользуется для ведения системных журналов, путем передачи ложных
сообщений на компьютер-жертву можно навязать информацию или за-
мести следы несанкционированного доступа.

23. IP spoofing


Хакер отправляет в сеть пакеты с ложным обратным адресом. С
помощью этой атаки хакер может переключать на свой компьютер сое-
динения, установленные между другими компьютерами. При этом права
доступа хакера становятся равными правам того пользователя, чье
соединение с сервером было переключено на компьютер хакера. Уста-
новка TCPсоединения происходит в три стадии: клиент выбирает и
передает серверу sequence number (назовем его C-SYN), в ответ на
это сервер высылает клиенту пакет данных, содержащий подтвержде-
ние (C-ACK) и собственный sequence number сервера (S-SYN). Теперь
уже клиент должен выслать подтверждение (S-ACK). После этого сое-
динение считается установленным и начинается обмен данными. При
этом каждый пакет имеет в заголовке поле для sequence number и
acknowledge number. Данные числа увеличиваются при обмене данными
и позволяют контролировать корректность передачи. Предположим,
что хакер может предсказать, какой sequence number (S-SYN по схе-
ме) будет выслан сервером. Это возможно сделать на основе знаний
о конкретной реализации TCP/IP. Таким образом, послав один пакет
серверу, хакер получит ответ и сможет (возможно, с нескольких по-
пыткок и с поправкой на скорость соединения) предсказать sequence
number для следующего соединения. Если реализация TCP/IP исполь-
зует специальный алгоритм для определения sequence number, то он
может быть выяснен с помощью посылки нескольких десятков пакетов
серверу и анализа его ответов. Итак, предположим, что система A
доверяет системе B, так, что пользователь системы B может сделать
"rlogin A" и оказаться на A, не вводя пароля. Предположим, что
хакер расположен на системе C. Система A выступает в роли серве-
ра, системы B и C - в роли клиентов. Первая задача хакера - ввес-
ти систему B в состояние, когда она не сможет отвечать на сетевые
запросы. Это может быть сделано несколькими способами, в простей-
шем случае нужно просто дождаться перезагрузки системы B. Нес-
кольких минут, в течении которых она будет неработоспособна,
должно хватить. После этого хакер может попробовать притвориться
системой B, для того, что бы получить доступ к системе A (хотя бы
кратковременный). Хакер высылает несколько IP-пакетов, инициирую-
щих соединение, системе A, для выяснения текущего состояния sequ-
ence number сервера. Хакер высылает IP-пакет, в котором в качест-
ве обратного адреса указан уже адрес системы B. Система A отвеча-
ет пакетом с sequence number, который направляется системе B. Од-
нако система B никогда не получит его (она выведена из строя),
как, впрочем, и хакер. Но он на основе предыдущего анализа дога-
дывается, какой sequence number был выслан системе B. Хакер подт-
верждает "получение" пакета от A, выслав от имени B пакет с пред-
полагаемым S-ACK (заметим, что если системы располагаются в одном
сегменте, хакеру для выяснения sequence number достаточно перех-
ватить пакет, посланный системой A). После этого, если хакеру по-
везло и sequence number сервера был угадан верно, соединение счи-
тается установленным. Теперь хакер может выслать очередной фаль-
шивый IP-пакет, который будет уже содержать данные. Например, ес-
ли атака была направлена на rsh, он может содержать команды соз-
дания файла .rhosts или отправки /etc/passwd хакеру по электрон-
ной почте.

24. Host spoofing


Атака основана на протоколе ICMP, одной из функцией которого
является информирование хостов о смене текущего маршрутизатора.
Данное управляющее сообщение носит название redirect. Существует
возможность посылки с любого хоста в сегменте сети ложного redi-
rect-сообщения от имени маршрутизатора на атакуемый хост. В ре-
зультате у хоста изменяется текущая таблица маршрутизации и, в
дальнейшем, весь сетевой трафик данного хоста будет проходить,
например, через хост, отославший ложное redirectсообщение. Таким
образом возможно осуществить активное навязывание ложного маршру-
та внутри одного сегмента сети Internet.

25. Dummy ARP server


В сети Internet каждый хост имеет уникальный IPадрес, на ко-
торый поступают все сообщения из глобальной сети. Однако протокол
IP это не столько сетевой, сколько межсетевой протокол обмена,
предназначенный для связи между объектами в глобальной сети. На
канальном уровне пакеты адресуются по аппаратным адресам сетевых
карт. В сети Internet для взаимно однозначного соответствия IP и
Ethernet адресов используется протокол ARP (Address Resolution
Protocol). Первоначально хост может не иметь информации о Ether-
net-адресах других хостов, находящихся с ним в одном сегменте, в
том числе и о Ethernet-адресе маршрутизатора. Соответственно, при
первом обращении к сетевым ресурсам хост отправляет широковеща-
тельный ARP-запрос, который получат все станции в данном сегменте
сети. Получив данный запрос, маршрутизатор отправляет на запро-
сивший хост ARP-ответ, в котором сообщает свой Ethernet-адрес.
Данная схема работы позволяет хакеру послать ложный ARP-ответ, в
котором объявить себя искомым хостом, (например, маршрутизато-
ром), и, в дальнейшем, активно контролировать весь сетевой трафик
"обманутого" хоста.

26. IP Hijacking


Необходимые условия - хакер должен иметь доступ к машине, на-
ходящейся на пути сетевого потока и обладать достаточными правами
на ней для генерации и перехвата IP-пакетов. Напомним, что при
передаче данных постоянно используются sequence number и acknow-
ledge number (оба поля находятся в IP-заголовке). Исходя из их
значения, сервер и клиент проверяют корректность передачи паке-
тов. Существует возможность ввести соединение в "десинхронизиро-
ванное состояние", когда присылаемые сервером sequence number и
acknowledge number не будут совпадать с ожидаемым значениеми кли-
ента, и наоборот. В данном случае хакер, "прослушивая" линию, мо-
жет взять на себя функции посредника, генерируя корректные пакеты
для клиента и сервера и перехватывая их ответы. Метод позволяет
полностью обойти такие системы защиты, как, например, одноразовые
пароли, поскольку хакер начинает работу уже после того, как прои-
зойдет авторизация пользователя.


27. UDP storm


Как правило, по умолчанию системы поддерживают работу таких
UDP-портов, как 7 ("эхо", полученный пакет отсылается назад), 19
("знакогенератор", в ответ на полученный пакет отправителю высла-
ется строка знакогенератора) и других (date etc). В данном случае
хакер может послать единственный UDP-пакет, где в качестве исход-
ного порта будет указан 7, в качестве получателя - 19-й, а в ка-
честве адреса получателя и отправителя будут указаны, к примеру,
две машины вашей сети (или даже 127.0.0.1). Получив пакет, 19-й
порт отвечает строкой, которая попадает на порт 7. Седьмой порт
дублирует ее и вновь отсылает на 19 и так до бесконечности. Бес-
конечный цикл съедает ресурсы машин и добавляет на канал бессмыс-
ленную нагрузку. Конечно, при первом потерянном UDP-пакете буря
прекратиться.


28. Traffic analysis (sniffing)


Прослушивание канала. Практически все сетевые карты поддержи-
вают возможность перехвата пакетов, передаваемых по общему каналу
локальной сети. При этом рабочая станция может принимать пакеты,
адресованные другим компьютерам того же сегмента сети. Таким об-
разом, весь информационный обмен в сегменте сети становится дос-
тупным хакеру, что поможет в дальнейшем ему подобрать/придумать
другие типы атак против Вас. Для успешной реализации этой атаки
компьютер хакера должен располагаться в том же сегменте локальной
сети, что и атакуемый компьютер.


29. Brute Force


"Грубая сила",
атака используемая хакерами в тех случаях, когда доступ к системе
либо информации закрыт паролем, а уязвимостей не удалось обнару-
жить. Осуществляется простым перебором всех возможных либо наибо-
лее часто всречающихся паролей. Во втором случае brute force дос-
таточно часто называют "атакой по словарю".
30. Back Orifice (NetBus,Masters of Paradise и др)
ПО, используемое для удаленного администрирования ( управле-
ния ) системой. Подобные программы после установки обычно занимаю
какой-нибудь порт, например, 31337, и находятся в ожидание соеди-
нения. Хакеры сканирует Интернет в поиске инфицированного хоста.
В случае обнаружения они могут получить достаточно полный конт-
роль над системой, а именно: получать любые документы, пароли,
информацию о владельце; следить за тем, что Вы набираете на кла-
виатуре; удалять, создавать, изменять и перемещать файлы; управ-
лять CD-ROM-ом; использовать Вашу систему для осуществления атак
на другие системы, так что подозрение в совершение их падет на
Вас. Представте себя, какие могут быть последствия для Вас если
хакер будет использовать Вашу систему для кражи денег у других
людей либо для противопровных действий против гос.структур. Back
Orifice может внедряться в другие программы, приложения, при за-
пуске которых происходит инфицирование системы.


31. Spam


Рассылка по электронной почте сообщений какого-либо характера
без согласия на это получателя. Периодически повторяющийся спам-
минг может нарушить работу пользователей из-за перегрузки сервера
электронной почты; вызвать переполнение почтовых ящиков, что при-
ведет к невозможности получения и отправки обычных сообщений;
увеличит время нахождения получателя "на линии", а это дополни-
тельные денежные расходы.


32. Virus


Программа, будучи однажды запущена, способная самопроизвольно
создавать свои копии, обладающие такими же способностями. Вирусы
могут искажать, модифицировать и уничтожать данные. Будучи подк-
люченным к сети Интернет вирус можно "подцепить" путем скачивания
какой-либо зараженной программы и последующего ее запуска у себя
на ПК; получить по электронной почте инфицированной программы ли-
бо в качестве присоединенного исполняемого кода при просмотре со-
общения; просмотреть интернетброузером www-страничку, содержащию
вирус; кто-либо закачает вирус на Ваш накопитель.


33. Trojan horse


Троянский конь, по греческому преданию, огромный деревянный
конь, в котором спрятались ахейские воины, осаждавшие Трою. Тро-
янцы, не подозревая хитрости, ввезли его в Трою. Ночью ахейцы
вышли из коня и впустили в город остальное войско. Выражение
"Троянский конь" стало нарицательным (дар врагу с целью его погу-
бить). Возвращаясь из прошлого к компьютерам и хакерам - "Троянс-
ким конем" стали называть любую функциональную возможность в
программе, специально встроенную для того, чтобы обойти системный
контроль секретности. Эта возможность может быть самоликвидируе-
мой, что делает невозможным ее обнаружение, или же может постоян-
но реализовываться, но существовать скрыто. Для хакера обычно не
составляет большого труда "заселить" Вам на ПК какую-либо версию
программы, содержащие функию "троянский конь". Хакер пишет прог-
рамму, предназначенную, например, для выполнения какой-нибудь ин-
тересной либо полезной функции: запуска игры, оптимизации работы
операционной системы или для увеличения скорости доступа в сеть
Интеренет. В программе спрятаны инструкции для прочтения файлов
паролей и отсылки их на адрес электронной почты хакера, или вы-
полнения другой скрытой операции. Затем хакер посылает Вам эту
программу по элетронной почте либо выкладывает ее для скачивания
на общедоступный www-сервер, подзагружает программу в BBS и -
внимание, это важно! - надеется, что пользватель запустит прог-
рамму. Для того чтобы это произошло хакер рассказавает в описание
на программу очень ярко ее необходимость и превосходство над дру-
гим подобным ПО, например, пишет так |эта программа позволит Вам
увеличить скорость доступа в Интернет на 300% - такого еще не бы-
ло|. Также функция "Троянкий конь" может встраиваться в вирус,
заражание которым Вашей ПЭВМ приведет к активизации этой функции.
Программа с функией "троянский конь" может также подделывать сис-
темное приглашение ввода логина и пароля. Неопытный пользователь
не сможет отличить фальшивое приглашение запроса логина и пароля
от настоящего, введет логин и пароль - тем самым отдаст их хаке-
ру. Описать все возможные способы обмана пользователя непредстов-
ляется возможным т.к. хакеры придумываю постоянно что-то новень-
кое, ранее неиспользуемое.

 

Источник - http://www.inattack.ru/article/201.html