Pag-uuri ng mga pag-atake sa network

Ang mga pag-atake sa network ay iba-iba gaya ng mga system na kanilang tina-target. Ang ilang mga pag-atake ay napakahirap. Ang iba ay maaaring isagawa ng isang ordinaryong operator na hindi man lang naisip kung ano ang mga kahihinatnan ng kanyang mga aktibidad. Upang suriin ang mga uri ng pag-atake, kailangan mong malaman ang ilan sa mga likas na limitasyon ng TPC/IP protocol. Ang Internet ay nilikha para sa komunikasyon sa pagitan ng mga ahensya ng gobyerno at mga unibersidad upang tulungan ang proseso ng edukasyon at siyentipikong pananaliksik. Walang ideya ang mga tagalikha ng network na ito kung gaano ito kakalat. Bilang resulta, ang mga pagtutukoy ng mga unang bersyon ng Internet Protocol (IP) ay kulang sa mga kinakailangan sa seguridad. Ito ang dahilan kung bakit maraming mga pagpapatupad ng IP ang likas na mahina. Pagkaraan ng maraming taon, na nakatanggap ng maraming reklamo (RFC - Request for Comments), sa wakas ay nagsimula kaming magpatupad ng mga hakbang sa seguridad para sa IP. Gayunpaman, dahil sa ang katunayan na ang mga hakbang sa seguridad ay hindi paunang binuo para sa IP protocol, ang lahat ng mga pagpapatupad nito ay nagsimulang dagdagan ng iba't ibang mga pamamaraan sa network, mga serbisyo at mga produkto na nagbabawas sa mga panganib na likas sa protocol na ito. Susunod, tatalakayin natin sandali ang mga uri ng pag-atake na karaniwang ginagamit laban sa mga IP network at maglilista ng mga paraan upang labanan ang mga ito.

Packet sniffers
Ang packet sniffer ay isang application program na gumagamit ng network card na tumatakbo sa promiscuous mode (sa mode na ito, ipinapadala ng network adapter ang lahat ng packet na natanggap sa mga pisikal na channel sa application para sa pagproseso). Sa kasong ito, hinarang ng sniffer ang lahat ng packet ng network na ipinapadala sa pamamagitan ng isang partikular na domain. Sa kasalukuyan, ang mga sniffer ay gumagana sa mga network sa ganap na legal na batayan. Ginagamit ang mga ito para sa diagnosis ng fault at pagsusuri sa trapiko. Gayunpaman, dahil ang ilang application ng network ay naglilipat ng data sa format ng teksto (telnet, FTP, SMTP, POP3, atbp.), ang paggamit ng sniffer ay maaaring magbunyag ng kapaki-pakinabang at kung minsan ay sensitibong impormasyon (halimbawa, mga username at password).

Ang pag-login at pagharang ng password ay nagdudulot ng malaking banta dahil ang mga gumagamit ay madalas na gumagamit ng parehong pag-login at password para sa maraming mga application at system. Maraming user ang karaniwang may isang password para ma-access ang lahat ng mapagkukunan at application. Kung tumatakbo ang application sa client/server mode at ang data ng pagpapatotoo ay ipinadala sa network sa isang nababasang format ng text, malamang na magagamit ang impormasyong ito para ma-access ang iba pang corporate o external na mapagkukunan. Alam na alam ng mga hacker at sinasamantala ang ating mga kahinaan ng tao (ang mga paraan ng pag-atake ay kadalasang nakabatay sa mga pamamaraan ng social engineering). Alam na alam nila na ginagamit namin ang parehong password upang ma-access ang maraming mapagkukunan, at samakatuwid ay madalas nilang nagagawang makakuha ng access sa mahalagang impormasyon sa pamamagitan ng pag-aaral ng aming password. Sa pinakamasamang sitwasyon, ang isang hacker ay nakakakuha ng access sa antas ng system sa isang mapagkukunan ng gumagamit at ginagamit ito upang lumikha ng isang bagong user na maaaring magamit anumang oras upang ma-access ang network at mga mapagkukunan nito.

Maaari mong pagaanin ang banta ng packet sniffing sa pamamagitan ng paggamit ng mga sumusunod na tool:
Authentication - Ang malakas na authentication ay ang unang depensa laban sa packet sniffing. Ang ibig sabihin ng "malakas" ay isang paraan ng pagpapatunay na mahirap i-bypass. Ang isang halimbawa ng naturang pagpapatotoo ay isang beses na password (OTP - One-Time Passwords). Ang OTP ay isang two-factor authentication technology na pinagsasama kung ano ang mayroon ka sa kung ano ang alam mo. Ang karaniwang halimbawa ng two-factor authentication ay ang pagpapatakbo ng isang regular na ATM, na nagpapakilala sa iyo, una, sa pamamagitan ng iyong plastic card at, pangalawa, sa pamamagitan ng PIN code na iyong ipinasok. Ang pagpapatunay sa OTP system ay nangangailangan din ng PIN code at ang iyong personal na card. Ang "card" (token) ay nauunawaan bilang isang hardware o software tool na bumubuo (sa pamamagitan ng random na prinsipyo) ng isang natatanging isang beses, isang beses na password. Kung nalaman ng isang hacker ang password na ito gamit ang isang sniffer, ang impormasyong ito ay magiging walang silbi dahil sa puntong iyon ang password ay nagamit na at nagretiro na. Tandaan na ang pamamaraang ito ng paglaban sa pagsinghot ay epektibo lamang laban sa pagharang ng password. Nananatiling epektibo ang mga sniffer na humahadlang sa iba pang impormasyon (gaya ng mga mensaheng email).
Switched Infrastructure - Ang isa pang paraan upang labanan ang packet sniffing sa iyong network environment ay ang gumawa ng switched infrastructure. Kung, halimbawa, ang buong organisasyon ay gumagamit ng dial-up Ethernet, maa-access lang ng mga hacker ang trapikong papasok sa port kung saan sila nakakonekta. Ang inilipat na imprastraktura ay hindi nag-aalis ng banta ng pagsinghot, ngunit makabuluhang binabawasan nito ang kalubhaan nito.
Anti-sniffers - Ang ikatlong paraan upang labanan ang sniffing ay ang pag-install ng hardware o software na kumikilala sa mga sniffer na tumatakbo sa iyong network. Ang mga tool na ito ay hindi maaaring ganap na maalis ang banta, ngunit, tulad ng maraming iba pang mga tool sa seguridad ng network, ang mga ito ay kasama sa pangkalahatang sistema ng proteksyon. Sinusukat ng tinatawag na "mga anti-sniffer" ang mga oras ng pagtugon ng host at tinutukoy kung ang mga host ay kailangang magproseso ng "dagdag" na trapiko. Ang isang naturang produkto, na ibinibigay ng LOpht Heavy Industries, ay tinatawag na AntiSniff(. Ang karagdagang impormasyon ay matatagpuan sa website

Cryptography - Ang pinaka-epektibong paraan upang labanan ang packet sniffing ay hindi pumipigil sa pagharang o pagkilala sa gawain ng mga sniffer, ngunit ginagawang walang silbi ang gawaing ito. Kung ang channel ng komunikasyon ay cryptographically secure, nangangahulugan ito na ang hacker ay hindi humarang sa mensahe, ngunit ang ciphertext (iyon ay, isang hindi maintindihan na pagkakasunud-sunod ng mga bit). Ang Cisco network layer cryptography ay batay sa IPSec protocol. Ang IPSec ay isang karaniwang paraan ng secure na komunikasyon sa pagitan ng mga device gamit ang IP protocol. Kasama sa iba pang mga cryptographic network management protocol ang SSH (Secure Shell) at SSL (Secure Socket Layer).

IP spoofing
Nangyayari ang IP spoofing kapag ang isang hacker, sa loob o labas ng isang korporasyon, ay nagpapanggap bilang isang awtorisadong gumagamit. Magagawa ito sa dalawang paraan. Una, maaaring gumamit ang isang hacker ng isang IP address na nasa saklaw ng mga awtorisadong IP address, o isang awtorisadong panlabas na address na pinapayagang ma-access sa ilang partikular na mapagkukunan ng network. Ang mga pag-atake sa panggagaya ng IP ay kadalasang ang panimulang punto para sa iba pang mga pag-atake. Ang isang klasikong halimbawa ay isang pag-atake ng DoS, na nagsisimula sa address ng ibang tao, na itinatago ang tunay na pagkakakilanlan ng hacker.

Karaniwan, ang IP spoofing ay limitado sa pagpasok ng maling impormasyon o malisyosong mga utos sa normal na daloy ng data na ipinadala sa pagitan ng application ng kliyente at server o sa isang channel ng komunikasyon sa pagitan ng mga peer device. Para sa two-way na komunikasyon, dapat baguhin ng hacker ang lahat ng mga routing table upang idirekta ang trapiko sa maling IP address. Ang ilang mga hacker, gayunpaman, ay hindi man lang sumusubok na makakuha ng tugon mula sa mga application. Kung ang pangunahing gawain ay upang makakuha ng isang mahalagang file mula sa system, ang mga tugon ng application ay hindi mahalaga.

Kung ang isang hacker ay namamahala na baguhin ang mga routing table at idirekta ang trapiko sa isang maling IP address, matatanggap ng hacker ang lahat ng mga packet at makakatugon sa mga ito na parang siya ay isang awtorisadong gumagamit.

Ang banta ng spoofing ay maaaring mabawasan (ngunit hindi maalis) sa pamamagitan ng mga sumusunod na hakbang:
Access Control - Ang pinakamadaling paraan upang maiwasan ang IP spoofing ay ang wastong pag-configure ng mga access control. Upang bawasan ang bisa ng IP spoofing, i-configure ang access control para tanggihan ang anumang trapikong nagmumula sa isang external na network na may source address na dapat ay nasa loob ng iyong network. Tandaan na nakakatulong ito na labanan ang IP spoofing, kung saan ang mga panloob na address lamang ang pinapahintulutan. Kung ang ilang mga panlabas na address ng network ay pinahintulutan din, ang pamamaraang ito ay magiging hindi epektibo.
RFC 2827 Filtering - Maaari mong pigilan ang mga user sa iyong network sa panggagaya sa mga network ng ibang tao (at maging isang mabuting "online citizen"). Upang gawin ito, dapat mong tanggihan ang anumang papalabas na trapiko na ang source address ay hindi isa sa mga IP address ng iyong organisasyon. Ang ganitong uri ng pag-filter, na kilala bilang "RFC 2827", ay maaari ding gawin ng iyong Internet Service Provider (ISP). Bilang resulta, lahat ng trapiko na walang source address na inaasahan sa isang partikular na interface ay tinatanggihan. Halimbawa, kung ang isang ISP ay nagbibigay ng koneksyon sa IP address na 15.1.1.0/24, maaari itong mag-configure ng isang filter upang ang trapiko lamang na nagmula sa 15.1.1.0/24 ang pinapayagan mula sa interface na iyon patungo sa router ng ISP. Tandaan na hanggang sa ipatupad ng lahat ng provider ang ganitong uri ng pag-filter, ang pagiging epektibo nito ay magiging mas mababa kaysa posible. Bukod pa rito, kung mas malayo ka sa mga device na sinasala, mas mahirap gawin ang tumpak na pagsasala. Halimbawa, ang pag-filter ng RFC 2827 sa antas ng access router ay nangangailangan ng pagpasa sa lahat ng trapiko mula sa pangunahing address ng network (10.0.0.0/8), habang sa antas ng pamamahagi (sa arkitektura na ito) posible na paghigpitan ang trapiko nang mas tumpak (address - 10.1). .5.0/24 ).

Ang pinaka-epektibong paraan para labanan ang IP spoofing ay kapareho ng para sa packet sniffing: kailangan mong gawing ganap na hindi epektibo ang pag-atake. Gagana lang ang IP spoofing kung ang pagpapatunay ay batay sa mga IP address. Samakatuwid, ang pagpapakilala ng mga karagdagang pamamaraan ng pagpapatunay ay ginagawang walang silbi ang ganitong uri ng pag-atake. Ang pinakamahusay na uri ng karagdagang pagpapatotoo ay cryptographic. Kung hindi ito posible, ang dalawang-factor na pagpapatotoo gamit ang isang beses na mga password ay maaaring magbigay ng magagandang resulta.

Pagtanggi sa Serbisyo (DoS)
Ang DoS ay, walang anumang pagdududa, ang pinakakilalang anyo ng pag-atake ng hacker. Bilang karagdagan, ang mga ganitong uri ng pag-atake ang pinakamahirap na lumikha ng 100% na proteksyon laban sa. Kahit na sa mga hacker, ang mga pag-atake ng DoS ay itinuturing na walang halaga, at ang paggamit ng mga ito ay nagdudulot ng mapanlait na ngiti, dahil ang pag-aayos ng DoS ay nangangailangan ng kaunting kaalaman at kasanayan. Gayunpaman, ito ay ang kadalian ng pagpapatupad at ang napakalaking pinsala na naidulot na ang DoS ay umaakit ng malapit na atensyon ng mga administrador na responsable para sa seguridad ng network. Kung gusto mong matuto nang higit pa tungkol sa mga pag-atake ng DoS, dapat mong isaalang-alang ang mga pinakakilalang uri, katulad ng:

TCP SYN Flood
Ping ng Kamatayan
Tribe Flood Network (TFN) at Tribe Flood Network 2000 (TFN2K)
Trinco
Stacheldracht
Trinidad

Ang mga pag-atake ng DoS ay iba sa iba pang mga uri ng pag-atake. Ang mga ito ay hindi naglalayong makakuha ng access sa iyong network o makakuha ng anumang impormasyon mula sa network na iyon. Ang pag-atake ng DoS ay ginagawang hindi magagamit ang iyong network para sa normal na paggamit sa pamamagitan ng paglampas sa network, operating system, o mga limitasyon sa pagpapatakbo ng application.

Sa kaso ng ilang mga application ng server (tulad ng isang Web server o FTP server), ang mga pag-atake ng DoS ay maaaring may kasamang pagkuha sa lahat ng mga koneksyon na magagamit sa mga application na iyon at panatilihing abala ang mga ito, na pumipigil sa mga normal na user na maihatid. Ang mga pag-atake ng DoS ay maaaring gumamit ng mga karaniwang Internet protocol tulad ng TCP at ICMP (Internet Control Message Protocol). Karamihan sa mga pag-atake ng DoS ay hindi umaasa sa mga bug ng software o mga butas sa seguridad, ngunit sa mga pangkalahatang kahinaan sa arkitektura ng system. Ang ilang mga pag-atake ay nakakapinsala sa pagganap ng network sa pamamagitan ng pagbaha dito ng mga hindi kanais-nais at hindi kinakailangang mga packet o mapanlinlang na impormasyon tungkol sa kasalukuyang estado ng mga mapagkukunan ng network. Ang ganitong uri ng pag-atake ay mahirap pigilan dahil nangangailangan ito ng koordinasyon sa ISP. Kung ang trapiko na inilaan upang mapuspos ang iyong network ay hindi maaaring ihinto sa provider, pagkatapos ay sa pasukan sa network ay hindi mo na magagawa ito, dahil ang lahat ng bandwidth ay sasakupin. Kapag ang ganitong uri ng pag-atake ay isinasagawa nang sabay-sabay sa pamamagitan ng maraming device, pinag-uusapan natin ang isang distributed DoS attack (DDoS).

Ang banta ng mga pag-atake ng DoS ay maaaring mabawasan sa tatlong paraan:
Mga feature na anti-spoofing - Ang wastong pag-configure ng mga feature na anti-spoofing sa iyong mga router at firewall ay makakatulong na mabawasan ang panganib ng DoS. Ang mga tampok na ito ay dapat, sa pinakamababa, kasama ang pag-filter ng RFC 2827 Kung hindi maitago ng isang hacker ang kanyang tunay na pagkakakilanlan, malamang na hindi siya magsagawa ng pag-atake.
Mga Tampok na Anti-DoS - Maaaring limitahan ng wastong pagsasaayos ng mga tampok na anti-DoS sa mga router at firewall ang bisa ng mga pag-atake. Kadalasang nililimitahan ng mga feature na ito ang bilang ng mga kalahating bukas na channel sa anumang oras.
Paglilimita sa rate ng trapiko - maaaring hilingin ng isang organisasyon sa ISP na limitahan ang dami ng trapiko. Ang ganitong uri ng pag-filter ay nagbibigay-daan sa iyong limitahan ang dami ng hindi kritikal na trapiko na dumadaan sa iyong network. Ang isang karaniwang halimbawa ay ang paglilimita sa dami ng trapiko ng ICMP na ginagamit para sa mga layuning diagnostic lamang. (D)Ang mga pag-atake ng DoS ay kadalasang gumagamit ng ICMP.

Mga pag-atake ng password
Maaaring magsagawa ng mga pag-atake ng password ang mga hacker gamit ang iba't ibang paraan, tulad ng brute force attack, Trojan horse, IP spoofing at packet sniffing. Bagama't madalas na makukuha ang login at password sa pamamagitan ng IP spoofing at packet sniffing, madalas na sinusubukan ng mga hacker na hulaan ang password at mag-log in sa pamamagitan ng maraming pagsubok sa pag-access. Ang pamamaraang ito ay tinatawag na simpleng brute force attack. Kadalasan, ang ganitong pag-atake ay gumagamit ng isang espesyal na programa na sumusubok na makakuha ng access sa isang pampublikong mapagkukunan (halimbawa, isang server). Kung, bilang isang resulta, ang hacker ay nakakakuha ng access sa mga mapagkukunan, siya ay nakakakuha ng access sa mga karapatan ng isang regular na user na ang password ay nahulaan. Kung ang user na ito ay may makabuluhang mga pribilehiyo sa pag-access, ang hacker ay maaaring lumikha ng isang "pass" para sa hinaharap na pag-access na mananatiling wasto kahit na binago ng user ang kanyang password at login.

Ang isa pang problema ay lumitaw kapag ang mga gumagamit ay gumagamit ng parehong (kahit na napakahusay) na password upang ma-access ang maraming mga system: corporate, personal, at mga sistema ng Internet. Dahil ang isang password ay kasing lakas lamang ng pinakamahinang host, ang isang hacker na natututo ng password sa pamamagitan ng host na iyon ay nakakakuha ng access sa lahat ng iba pang mga system na gumagamit ng parehong password.

Una sa lahat, maiiwasan ang pag-atake ng password sa pamamagitan ng hindi paggamit ng mga password sa text form. Ang isang beses na password at/o cryptographic authentication ay maaaring halos maalis ang banta ng naturang mga pag-atake. Sa kasamaang palad, hindi lahat ng application, host, at device ay sumusuporta sa mga pamamaraan sa pagpapatunay sa itaas.

Kapag gumagamit ng mga regular na password, subukang makabuo ng isang password na mahirap hulaan. Ang minimum na haba ng password ay dapat na hindi bababa sa walong character. Ang password ay dapat magsama ng malalaking character, numero, at espesyal na character (#, %, $, atbp.). Ang pinakamahusay na mga password ay mahirap hulaan at mahirap tandaan, na pinipilit ang mga user na isulat ang mga password sa papel. Upang maiwasan ito, maaaring samantalahin ng mga user at administrator ang ilang kamakailang pagsulong sa teknolohiya. Halimbawa, may mga application program na nag-e-encrypt ng listahan ng mga password na maaaring maimbak sa isang pocket computer. Bilang resulta, kailangan lang matandaan ng user ang isang kumplikadong password, habang ang lahat ng iba pang mga password ay mapagkakatiwalaan na mapoprotektahan ng application. Mula sa pananaw ng isang administrator, mayroong ilang mga paraan upang labanan ang paghula ng password. Ang isa sa mga ito ay ang paggamit ng tool na L0phtCrack, na kadalasang ginagamit ng mga hacker upang hulaan ang mga password sa kapaligiran ng Windows NT. Mabilis na ipapakita sa iyo ng tool na ito kung madaling hulaan ang napiling password ng user. Maaaring makuha ang karagdagang impormasyon sa

Man-in-the-Middle na pag-atake

Para sa isang Man-in-the-Middle na pag-atake, ang isang hacker ay nangangailangan ng access sa mga packet na ipinadala sa network. Ang ganitong pag-access sa lahat ng mga packet na ipinadala mula sa isang provider sa anumang iba pang network ay maaaring, halimbawa, ay makuha ng isang empleyado ng provider na ito. Ang mga packet sniffer, transport protocol, at routing protocol ay kadalasang ginagamit para sa ganitong uri ng pag-atake. Ang mga pag-atake ay isinasagawa na may layuning magnakaw ng impormasyon, humarang sa kasalukuyang session at makakuha ng access sa mga pribadong mapagkukunan ng network, upang pag-aralan ang trapiko at makakuha ng impormasyon tungkol sa network at mga gumagamit nito, upang isagawa ang mga pag-atake ng DoS, pagbaluktot ng ipinadalang data at pagpasok ng hindi awtorisadong impormasyon sa mga sesyon ng network.

Ang mga pag-atake ng Man-in-the-Middle ay maaari lamang mabisang labanan gamit ang cryptography. Kung ang isang hacker ay humarang ng data mula sa isang naka-encrypt na session, ang lalabas sa kanyang screen ay hindi ang naharang na mensahe, ngunit isang walang kabuluhang hanay ng mga character. Tandaan na kung ang isang hacker ay nakakuha ng impormasyon tungkol sa isang cryptographic session (halimbawa, isang session key), maaari nitong gawing posible ang isang Man-in-the-Middle na pag-atake kahit na sa isang naka-encrypt na kapaligiran.

Mga pag-atake sa antas ng aplikasyon
Maaaring isagawa ang mga pag-atake sa antas ng aplikasyon sa maraming paraan. Ang pinakakaraniwan ay ang pagsasamantala sa mga kilalang kahinaan sa software ng server (sendmail, HTTP, FTP). Sa pamamagitan ng pagsasamantala sa mga kahinaang ito, ang mga hacker ay maaaring makakuha ng access sa isang computer bilang gumagamit na nagpapatakbo ng application (karaniwan ay hindi isang regular na user, ngunit isang may pribilehiyong administrator na may mga karapatan sa pag-access ng system). Ang impormasyon tungkol sa mga pag-atake sa antas ng application ay malawakang nai-publish upang bigyang-daan ang mga administrator na itama ang problema gamit ang mga corrective module (mga patch). Sa kasamaang palad, maraming mga hacker ang mayroon ding access sa impormasyong ito, na nagpapahintulot sa kanila na matuto.

Ang pangunahing problema sa mga pag-atake sa antas ng aplikasyon ay madalas silang gumagamit ng mga port na pinapayagang dumaan sa firewall. Halimbawa, ang isang hacker na nagsasamantala sa isang kilalang kahinaan sa isang Web server ay kadalasang gumagamit ng port 80 sa isang pag-atake ng TCP Dahil ang Web server ay nagbibigay ng mga Web page sa mga user, ang firewall ay dapat na payagan ang pag-access sa port na ito. Mula sa punto ng view ng firewall, ang pag-atake ay itinuturing bilang karaniwang trapiko sa port 80.

Mayroong dalawang pantulong na teknolohiya ng IDS:
Sinusubaybayan ng Network IDS System (NIDS) ang lahat ng packet na dumadaan sa isang partikular na domain. Kapag ang sistema ng NIDS ay nakakita ng isang packet o serye ng mga packet na tumutugma sa lagda ng isang kilala o malamang na pag-atake, ito ay bumubuo ng isang alarma at/o tinatapos ang session;
Pinoprotektahan ng Host IDS System (HIDS) ang host gamit ang mga ahente ng software. Ang sistemang ito ay lumalaban lamang sa mga pag-atake laban sa isang host;
Sa kanilang trabaho, ang mga sistema ng IDS ay gumagamit ng mga lagda ng pag-atake, na mga profile ng mga partikular na pag-atake o mga uri ng pag-atake. Tinutukoy ng mga lagda ang mga kundisyon kung saan itinuturing na hacker ang trapiko. Ang mga analogue ng IDS sa pisikal na mundo ay maaaring ituring na isang sistema ng babala o surveillance camera. Ang pinakamalaking kawalan ng isang IDS ay ang kakayahang mag-isyu ng mga alarma. Upang mabawasan ang bilang ng mga maling alarma at matiyak ang tamang paggana ng sistema ng IDS sa network, kailangan ang maingat na pagsasaayos ng system.

Network intelligence
Ang network intelligence ay tumutukoy sa koleksyon ng impormasyon sa network gamit ang pampublikong magagamit na data at mga application. Kapag naghahanda ng pag-atake laban sa isang network, karaniwang sinusubukan ng isang hacker na makakuha ng mas maraming impormasyon tungkol dito hangga't maaari. Ang network reconnaissance ay isinasagawa sa anyo ng mga DNS query, ping sweep at port scanning. Tinutulungan ka ng mga query sa DNS na maunawaan kung sino ang nagmamay-ari ng isang partikular na domain at kung anong mga address ang itinalaga sa domain na iyon. Nagbibigay-daan sa iyo ang mga ping sweeping address na inihayag gamit ang DNS na makita kung aling mga host ang aktwal na tumatakbo sa isang partikular na kapaligiran. Pagkatapos makatanggap ng listahan ng mga host, gumagamit ang hacker ng mga tool sa pag-scan ng port upang mag-compile ng kumpletong listahan ng mga serbisyong sinusuportahan ng mga host na iyon. Sa wakas, sinusuri ng hacker ang mga katangian ng mga application na tumatakbo sa mga host. Bilang resulta, nakuha ang impormasyon na maaaring magamit para sa pag-hack.

Imposibleng ganap na mapupuksa ang network intelligence. Kung, halimbawa, hindi mo pinagana ang ICMP echo at echo reply sa mga edge na router, aalisin mo ang pagsubok sa ping, ngunit nawala mo ang data na kinakailangan upang masuri ang mga pagkabigo sa network. Bilang karagdagan, maaari mong i-scan ang mga port nang walang paunang pagsubok sa ping. Magtatagal lang ang isang ito, dahil kakailanganin mong i-scan ang mga hindi umiiral na IP address. Ang mga network- at host-level na IDS system ay karaniwang gumagawa ng isang mahusay na trabaho ng pag-abiso sa mga administrator ng patuloy na network reconnaissance, na nagbibigay-daan sa kanila na mas mahusay na maghanda para sa isang paparating na pag-atake at alertuhan ang ISP kung kaninong network ang isang system ay masyadong interesado.

Paglabag sa tiwala
Sa mahigpit na pagsasalita, ang ganitong uri ng aksyon ay hindi isang "pag-atake" o "pag-atake." Kinakatawan nito ang malisyosong pagsasamantala sa mga relasyon sa pagtitiwala na umiiral sa isang network. Ang isang klasikong halimbawa ng naturang pang-aabuso ay ang sitwasyon sa paligid na bahagi ng corporate network. Ang segment na ito ay madalas na naglalaman ng mga DNS, SMTP, at HTTP server. Dahil lahat sila ay kabilang sa parehong segment, ang pag-hack ng isa sa mga ito ay humahantong sa pag-hack ng lahat ng iba pa, dahil ang mga server na ito ay nagtitiwala sa ibang mga system sa kanilang network. Ang isa pang halimbawa ay isang system na naka-install sa labas ng isang firewall na may kaugnayan sa tiwala sa isang system na naka-install sa loob ng firewall. Kung ang isang panlabas na sistema ay nakompromiso, maaaring gamitin ng hacker ang ugnayan ng tiwala upang mapasok ang system na protektado ng firewall.

Ang panganib ng paglabag sa tiwala ay maaaring mabawasan sa pamamagitan ng mas mahigpit na pagkontrol sa mga antas ng tiwala sa loob ng iyong network. Ang mga system na nasa labas ng firewall ay hindi dapat magkaroon ng ganap na tiwala mula sa mga system na protektado ng firewall. Ang mga relasyon sa tiwala ay dapat na limitado sa mga partikular na protocol at, kung maaari, pinatotohanan ng mga parameter maliban sa mga IP address.

Pagpapasa ng Port
Ang pagpapasa ng port ay isang uri ng pang-aabuso sa tiwala kung saan ang isang nakompromisong host ay ginagamit upang ipasa ang trapiko sa pamamagitan ng isang firewall na kung hindi man ay tatanggihan. Isipin natin ang isang firewall na may tatlong interface, na ang bawat isa ay konektado sa isang partikular na host. Ang isang panlabas na host ay maaaring kumonekta sa isang pampublikong domain (DMZ) na host, ngunit hindi sa isang host na naka-install sa loob ng firewall. Ang isang shared host ay maaaring kumonekta sa parehong panloob at panlabas na host. Kung ang isang hacker ang pumalit sa isang pampublikong host, maaari siyang mag-install ng software dito na nagre-redirect ng trapiko mula sa panlabas na host nang direkta sa panloob na host. Bagama't hindi ito lumalabag sa alinman sa mga panuntunan sa screen, ang panlabas na host ay nakakakuha ng direktang access sa protektadong host bilang resulta ng pag-redirect. Ang isang halimbawa ng isang application na maaaring magbigay ng ganoong access ay netcat. Ang mas detalyadong impormasyon ay matatagpuan sa website

Ang pangunahing paraan upang labanan ang pagpapasa ng port ay ang paggamit ng mga matibay na modelo ng tiwala (tingnan ang nakaraang seksyon). Bilang karagdagan, maaaring pigilan ng isang host IDS system (HIDS) ang isang hacker sa pag-install ng kanyang software sa isang host.

Hindi awtorisadong pag-access

Ang hindi awtorisadong pag-access ay hindi maaaring ituring na isang hiwalay na uri ng pag-atake. Karamihan sa mga pag-atake sa network ay isinasagawa upang makakuha ng hindi awtorisadong pag-access. Upang hulaan ang isang telnet login, ang isang hacker ay dapat munang makakuha ng isang telnet prompt sa kanyang system. Pagkatapos kumonekta sa telnet port, ang mensaheng "kinakailangan ang pahintulot para magamit ang mapagkukunang ito" sa screen (kinakailangan ang pahintulot upang magamit ang mapagkukunang ito). Kung patuloy na susubukan ng hacker ang pag-access pagkatapos nito, ituturing silang "hindi awtorisado." Ang pinagmulan ng naturang mga pag-atake ay maaaring nasa loob ng network o sa labas.

Ang mga paraan upang labanan ang hindi awtorisadong pag-access ay medyo simple. Ang pangunahing bagay dito ay upang bawasan o ganap na alisin ang kakayahan ng hacker na makakuha ng access sa system gamit ang isang hindi awtorisadong protocol. Bilang halimbawa, isaalang-alang ang pagpigil sa mga hacker sa pag-access sa telnet port sa isang server na nagbibigay ng mga serbisyo sa Web sa mga panlabas na user. Kung walang access sa port na ito, hindi ito maaatake ng isang hacker. Tulad ng para sa firewall, ang pangunahing gawain nito ay upang maiwasan ang pinakasimpleng mga pagtatangka ng hindi awtorisadong pag-access.

Mga virus at Trojan horse application
Ang mga end user workstation ay napaka-bulnerable sa mga virus at Trojan horse. Ang mga virus ay mga malisyosong program na ipinapasok sa ibang mga program upang magsagawa ng isang partikular na hindi gustong function sa workstation ng end user. Ang isang halimbawa ay isang virus na nakasulat sa command.com file (ang pangunahing interpreter ng mga sistema ng Windows) at binubura ang iba pang mga file, at na-infect din ang lahat ng iba pang bersyon ng command.com na nahanap nito. Ang isang Trojan horse ay hindi isang software insert, ngunit isang tunay na programa na mukhang isang kapaki-pakinabang na application, ngunit sa katunayan ay gumaganap ng isang nakakapinsalang papel. Ang isang halimbawa ng tipikal na Trojan horse ay isang program na mukhang isang simpleng laro sa workstation ng user. Gayunpaman, habang naglalaro ang user, nagpapadala ang program ng kopya ng sarili nito sa pamamagitan ng email sa bawat subscriber sa address book ng user na iyon. Natatanggap ng lahat ng mga subscriber ang laro sa pamamagitan ng koreo, na nagiging sanhi ng karagdagang pamamahagi nito.

Ang paglaban sa mga virus at Trojan horse ay isinasagawa sa tulong ng epektibong anti-virus software na gumagana sa antas ng user at, posibleng, sa antas ng network. Nakikita ng mga produktong antivirus ang karamihan sa mga virus at Trojan horse at pinipigilan ang pagkalat ng mga ito. Ang pagkuha ng pinakabagong impormasyon tungkol sa mga virus ay makakatulong sa iyong labanan ang mga ito nang mas epektibo. Habang lumalabas ang mga bagong virus at Trojan horse, dapat mag-install ang mga negosyo ng mga bagong bersyon ng mga tool at application ng antivirus.

Pag-atake ng malayuang network- impormasyon mapanirang epekto sa isang distributed computing system, natupad programmatically sa pamamagitan ng mga channel ng komunikasyon.

Panimula

Upang ayusin ang mga komunikasyon sa isang magkakaibang kapaligiran ng network, isang hanay ng mga protocol ng TCP/IP ang ginagamit, na tinitiyak ang pagiging tugma sa pagitan ng mga computer na may iba't ibang uri. Ang hanay ng mga protocol na ito ay nakakuha ng katanyagan dahil sa pagiging tugma nito at pagbibigay ng access sa mga mapagkukunan ng pandaigdigang Internet at naging pamantayan para sa internetworking. Gayunpaman, ang ubiquity ng TCP/IP protocol stack ay inilantad din ang mga kahinaan nito. Lalo na dahil dito, ang mga distributed system ay madaling kapitan ng malayuang pag-atake, dahil ang kanilang mga bahagi ay karaniwang gumagamit ng bukas na mga channel ng paghahatid ng data, at ang isang attacker ay hindi lamang basta-basta nakikinig sa ipinadalang impormasyon, ngunit binago din ang ipinadalang trapiko.

Ang kahirapan sa pag-detect ng isang malayuang pag-atake at ang kamag-anak na kadalian ng pagpapatupad (dahil sa kalabisan na pag-andar ng mga modernong sistema) ay naglalagay ng ganitong uri ng iligal na aksyon sa unang lugar sa mga tuntunin ng antas ng panganib at pinipigilan ang isang napapanahong pagtugon sa banta, bilang isang resulta kung saan pinapataas ng umaatake ang mga pagkakataong matagumpay na maipatupad ang pag-atake.

Pag-uuri ng mga pag-atake

Sa likas na katangian ng epekto

• Passive
• Aktibo

Ang passive impact sa isang distributed computing system (DCS) ay ilang epekto na hindi direktang nakakaapekto sa pagpapatakbo ng system, ngunit sa parehong oras ay maaaring lumabag sa patakaran sa seguridad nito. Ang kakulangan ng direktang impluwensya sa pagpapatakbo ng RVS ay tiyak na humahantong sa katotohanan na ang passive remote influence (RPI) ay mahirap makita. Ang isang posibleng halimbawa ng isang tipikal na PUV sa isang DCS ay ang pakikinig sa isang channel ng komunikasyon sa isang network.

Aktibong epekto sa DCS - isang epekto na may direktang epekto sa pagpapatakbo ng system mismo (pagpapahina ng pag-andar, pagbabago sa configuration ng DCS, atbp.), na lumalabag sa patakaran sa seguridad na pinagtibay dito. Halos lahat ng uri ng malayuang pag-atake ay mga aktibong impluwensya. Ito ay dahil sa ang katunayan na ang mismong likas na katangian ng nakakapinsalang epekto ay may kasamang aktibong prinsipyo. Ang malinaw na pagkakaiba sa pagitan ng aktibong impluwensya at passive na impluwensya ay ang pangunahing posibilidad ng pagtuklas nito, dahil bilang resulta ng pagpapatupad nito ang ilang mga pagbabago ay nangyayari sa system. Sa pasibong impluwensya, ganap na walang natitira (dahil sa katotohanang tinitingnan ng umaatake ang mensahe ng ibang tao sa system, walang magbabago sa parehong sandali).

Sa layunin ng impluwensya

• pagkagambala sa paggana ng system (pag-access sa system)
• paglabag sa integridad ng mga mapagkukunan ng impormasyon (IR)
• paglabag sa IR confidentiality

Ang tampok na ito, kung saan ginawa ang pag-uuri, ay mahalagang direktang projection ng tatlong pangunahing uri ng pagbabanta - pagtanggi sa serbisyo, pagsisiwalat at paglabag sa integridad.

Ang pangunahing layunin na hinahabol sa halos anumang pag-atake ay upang makakuha ng hindi awtorisadong pag-access sa impormasyon. Mayroong dalawang pangunahing opsyon para sa pagkuha ng impormasyon: pagbaluktot at pagharang. Ang opsyon ng pagharang ng impormasyon ay nangangahulugan ng pagkakaroon ng access dito nang walang posibilidad na baguhin ito. Ang pagharang ng impormasyon samakatuwid ay humahantong sa isang paglabag sa pagiging kompidensyal nito. Ang pakikinig sa isang channel sa isang network ay isang halimbawa ng pagharang ng impormasyon. Sa kasong ito, mayroong hindi lehitimong pag-access sa impormasyon nang walang posibleng mga pagpipilian para sa pagpapalit nito. Malinaw din na ang paglabag sa pagiging kumpidensyal ng impormasyon ay tumutukoy sa mga pasibong impluwensya.

Ang kakayahang palitan ang impormasyon ay dapat na maunawaan bilang kumpletong kontrol sa daloy ng impormasyon sa pagitan ng mga object ng system, o ang kakayahang magpadala ng iba't ibang mga mensahe sa ngalan ng ibang tao. Samakatuwid, malinaw na ang pagpapalit ng impormasyon ay humahantong sa isang paglabag sa integridad nito. Ang ganitong impormasyon na mapanirang impluwensya ay isang tipikal na halimbawa ng aktibong impluwensya. Ang isang halimbawa ng isang malayuang pag-atake na idinisenyo upang labagin ang integridad ng impormasyon ay ang "False RVS object" remote attack (RA).

Batay sa pagkakaroon ng feedback mula sa inatakeng bagay

• may feedback
• walang feedback (unidirectional attack)

Nagpapadala ang attacker ng ilang kahilingan sa inatakeng bagay, kung saan inaasahan niyang makakatanggap ng tugon. Dahil dito, lumilitaw ang feedback sa pagitan ng umaatake at ng inaatake, na nagpapahintulot sa nauna na sapat na tumugon sa lahat ng uri ng mga pagbabago sa inaatakeng bagay. Ito ang kakanyahan ng isang malayuang pag-atake, na isinasagawa sa pagkakaroon ng feedback mula sa umaatake na bagay. Ang mga ganitong pag-atake ay pinakakaraniwan para sa RVS.

Ang mga open-loop na pag-atake ay nailalarawan sa pamamagitan ng katotohanan na hindi nila kailangang tumugon sa mga pagbabago sa inatakeng bagay. Ang ganitong mga pag-atake ay karaniwang isinasagawa sa pamamagitan ng pagpapadala ng mga solong kahilingan sa inaatakeng bagay. Hindi kailangan ng umaatake ng mga sagot sa mga kahilingang ito. Ang nasabing UA ay maaari ding tawaging unidirectional UA. Ang isang halimbawa ng unidirectional na pag-atake ay isang tipikal na pag-atake ng DoS.

Ayon sa kondisyon ng simula ng epekto

Ang malayong impluwensya, tulad ng iba pa, ay maaaring magsimulang maganap lamang sa ilalim ng ilang mga kundisyon. May tatlong uri ng naturang kondisyonal na pag-atake sa RVS:

• pag-atake sa kahilingan mula sa inatakeng bagay
• pag-atake sa paglitaw ng isang inaasahang kaganapan sa inatake na bagay
• walang kondisyong pag-atake

Ang epekto mula sa umaatake ay magsisimula sa kondisyon na ang potensyal na target ng pag-atake ay nagpapadala ng isang kahilingan ng isang partikular na uri. Ang ganitong pag-atake ay maaaring tawaging pag-atake sa kahilingan mula sa inatakeng bagay. Ang ganitong uri ng UA ay pinakakaraniwan para sa RVS. Ang isang halimbawa ng mga naturang kahilingan sa Internet ay ang mga kahilingan sa DNS at ARP, at sa Novell NetWare - isang kahilingan sa SAP.

Isang pag-atake sa paglitaw ng isang inaasahang kaganapan sa inatake na bagay. Patuloy na sinusubaybayan ng umaatake ang estado ng OS ng malayong target ng pag-atake at nagsisimulang maimpluwensyahan kapag may nangyaring partikular na kaganapan sa system na ito. Ang inatakeng bagay mismo ay ang nagpasimula ng pag-atake. Ang isang halimbawa ng naturang kaganapan ay ang session ng isang user sa server ay naantala nang hindi naglalabas ng LOGOUT command sa Novell NetWare.

Ang isang walang kondisyong pag-atake ay isinasagawa kaagad at anuman ang estado ng operating system at ang inatakeng bagay. Samakatuwid, ang umaatake ay ang nagpasimula ng pag-atake sa kasong ito.

Kung ang normal na operasyon ng system ay naabala, ang iba pang mga layunin ay hinahabol at ang umaatake ay hindi inaasahang makakakuha ng ilegal na pag-access sa data. Ang layunin nito ay i-disable ang OS sa inaatakeng bagay at gawing imposible para sa iba pang mga object ng system na ma-access ang mga mapagkukunan ng bagay na ito. Ang isang halimbawa ng isang pag-atake ng ganitong uri ay isang pag-atake ng DoS.

Sa pamamagitan ng lokasyon ng paksa ng pag-atake na may kaugnayan sa inatakeng bagay

• intrasegmental
• intersegmental

Ilang mga kahulugan:

Pinagmulan ng pag-atake (paksa ng pag-atake)- isang programa (maaaring isang operator) na nangunguna sa pag-atake at nagsasagawa ng direktang epekto.

Host- isang computer na isang elemento ng isang network.

Router- isang device na nagruruta ng mga packet sa isang network.

Subnetwork ay isang pangkat ng mga host na bahagi ng isang pandaigdigang network, na naiiba dahil ang router ay naglalaan ng parehong subnet number para sa kanila. Maaari din nating sabihin na ang isang subnet ay isang lohikal na samahan ng mga host sa pamamagitan ng isang router. Ang mga host sa loob ng parehong subnet ay maaaring direktang makipag-usap sa isa't isa nang hindi gumagamit ng router.

Segment ng network- pag-iisa ng mga host sa pisikal na antas.

Mula sa punto ng view ng isang malayuang pag-atake, ang kamag-anak na lokasyon ng paksa at bagay ng pag-atake ay napakahalaga, iyon ay, kung sila ay nasa magkaiba o magkaparehong mga segment. Sa panahon ng isang intra-segment na pag-atake, ang paksa at target ng pag-atake ay matatagpuan sa parehong segment. Sa kaso ng isang intersegment attack, ang paksa at target ng pag-atake ay matatagpuan sa iba't ibang mga segment ng network. Ginagawang posible ng tampok na pag-uuri na ito na hatulan ang tinatawag na "degree of remoteness" ng pag-atake.

Ipapakita sa ibaba na ang isang intra-segment na pag-atake ay mas madaling isagawa kaysa sa isang inter-segment na pag-atake. Napansin din namin na ang isang inter-segment na malayuang pag-atake ay nagdudulot ng mas malaking panganib kaysa sa isang intra-segment. Ito ay dahil sa ang katunayan na sa kaso ng isang intersegment na pag-atake, ang target at ang umaatake ay maaaring matatagpuan sa layo na maraming libu-libong kilometro mula sa isa't isa, na maaaring makabuluhang makahadlang sa mga hakbang upang maitaboy ang pag-atake.

Ayon sa antas ng modelo ng sangguniang ISO/OSI kung saan isinasagawa ang epekto

• pisikal
• maliit na tubo
• network
• transportasyon
• sessional
• kinatawan
• inilapat

Pinagtibay ng International Organization for Standardization (ISO) ang pamantayang ISO 7498, na naglalarawan ng open systems interconnection (OSI), kung saan kabilang din ang mga RBC. Ang bawat network exchange protocol, pati na rin ang bawat network program, ay maaaring i-project sa isang paraan o iba pa sa OSI reference na 7-layer na modelo. Ginagawang posible ng multi-level na projection na ito na ilarawan ang mga function na ginagamit sa isang network protocol o program sa mga tuntunin ng modelo ng OSI. Ang UA ay isang network program, at lohikal na isaalang-alang ito mula sa punto ng view ng projection papunta sa ISO/OSI reference model.

Maikling paglalarawan ng ilang pag-atake sa network

Pagkapira-piraso ng data

Kapag ang isang IP data packet ay ipinadala sa isang network, ang packet ay maaaring hatiin sa ilang mga fragment. Kasunod nito, kapag naabot ang patutunguhan, ang packet ay muling itinayo mula sa mga fragment na ito. Maaaring simulan ng isang attacker ang pagpapadala ng malaking bilang ng mga fragment, na humahantong sa pag-apaw ng mga buffer ng software sa gilid ng pagtanggap at, sa ilang mga kaso, sa isang pag-crash ng system.

Pag-atake ng pagbaha ng ping

Ang pag-atake na ito ay nangangailangan ng umaatake na magkaroon ng access sa mabilis na mga channel sa Internet.

Ang ping program ay nagpapadala ng isang ICMP packet ng uri ng ECHO REQUEST, na nagtatakda ng oras at ang identifier nito sa loob nito. Ang kernel ng receiving machine ay tumutugon sa naturang kahilingan gamit ang isang ICMP ECHO REPLY packet. Kapag natanggap ito, ipinapakita ng ping ang bilis ng packet.

Sa karaniwang operating mode, ang mga packet ay ipinapadala sa mga regular na pagitan, na halos walang load sa network. Ngunit sa "agresibo" na mode, ang isang baha ng ICMP echo request/reply packet ay maaaring magdulot ng congestion sa isang maliit na linya, na pumipigil dito sa pagpapadala ng kapaki-pakinabang na impormasyon.

Hindi karaniwang mga protocol na naka-encapsulate sa IP

Ang IP packet ay naglalaman ng isang field na tumutukoy sa protocol ng encapsulated packet (TCP, UDP, ICMP). Maaaring gumamit ang mga umaatake ng hindi karaniwang halaga ng field na ito upang magpadala ng data na hindi itatala ng mga karaniwang tool sa pagkontrol sa daloy ng impormasyon.

Pag-atake ng Smurf

Ang pag-atake ng smurf ay nagsasangkot ng pagpapadala ng mga kahilingan sa broadcast ICMP sa network sa ngalan ng computer ng biktima.

Bilang resulta, ang mga computer na nakatanggap ng naturang mga broadcast packet ay tumutugon sa computer ng biktima, na humahantong sa isang makabuluhang pagbawas sa throughput ng channel ng komunikasyon at, sa ilang mga kaso, upang makumpleto ang paghihiwalay ng inaatakeng network. Ang pag-atake ng smurf ay lubos na epektibo at laganap.

Counteraction: upang makilala ang pag-atake na ito, kinakailangan upang pag-aralan ang pag-load ng channel at matukoy ang mga dahilan para sa pagbaba ng throughput.

Pag-atake ng DNS spoofing

Ang resulta ng pag-atake na ito ay ang pagpapakilala ng isang sapilitang pagsusulatan sa pagitan ng isang IP address at isang domain name sa cache ng DNS server. Bilang resulta ng matagumpay na pag-atake, ang lahat ng user ng DNS server ay makakatanggap ng maling impormasyon tungkol sa mga domain name at IP address. Ang pag-atake na ito ay nailalarawan sa pamamagitan ng isang malaking bilang ng mga DNS packet na may parehong domain name. Ito ay dahil sa pangangailangang pumili ng ilang parameter ng palitan ng DNS.

Pagsalungat: upang matukoy ang gayong pag-atake, kinakailangan na pag-aralan ang mga nilalaman ng trapiko ng DNS o gumamit ng DNSSEC.

Pag-atake ng IP spoofing

Ang isang malaking bilang ng mga pag-atake sa Internet ay nauugnay sa panggagaya sa pinagmulang IP address. Kasama rin sa mga naturang pag-atake ang syslog spoofing, na kinabibilangan ng pagpapadala ng mensahe sa computer ng biktima sa ngalan ng isa pang computer sa panloob na network. Dahil ang syslog protocol ay ginagamit upang mapanatili ang mga log ng system, sa pamamagitan ng pagpapadala ng mga maling mensahe sa computer ng biktima, posibleng mag-udyok ng impormasyon o pagtakpan ang mga track ng hindi awtorisadong pag-access.

Counteraction: ang pagtuklas ng mga pag-atake na may kaugnayan sa panggagaya ng IP address ay posible sa pamamagitan ng pagsubaybay sa resibo sa isa sa mga interface ng isang packet na may source address ng parehong interface o sa pamamagitan ng pagsubaybay sa pagtanggap ng mga packet na may mga IP address ng panloob na network sa panlabas na interface .

Pagpataw ng package

Nagpapadala ang attacker ng mga packet na may maling return address sa network. Sa pag-atakeng ito, maaaring ilipat ng isang attacker ang mga koneksyong naitatag sa pagitan ng iba pang mga computer sa kanyang sariling computer. Sa kasong ito, ang mga karapatan sa pag-access ng attacker ay magiging katumbas ng mga karapatan ng user na ang koneksyon sa server ay inilipat sa computer ng attacker.

Sniffing - pakikinig sa isang channel

Posible lamang sa segment ng lokal na network.

Halos lahat ng network card ay sumusuporta sa kakayahang maharang ang mga packet na ipinadala sa isang karaniwang channel ng lokal na network. Sa kasong ito, maaaring makatanggap ang workstation ng mga packet na naka-address sa ibang mga computer sa parehong segment ng network. Kaya, ang lahat ng pagpapalitan ng impormasyon sa segment ng network ay magiging available sa umaatake. Upang matagumpay na maipatupad ang pag-atakeng ito, ang computer ng umaatake ay dapat na matatagpuan sa parehong segment ng lokal na network gaya ng inatakeng computer.

Packet interception sa router

Ang network software ng router ay may access sa lahat ng network packet na ipinadala sa pamamagitan ng router, na nagpapahintulot sa packet interception. Upang maisakatuparan ang pag-atakeng ito, ang umaatake ay dapat na may privileged access sa kahit isang router sa network. Dahil napakaraming packet ang karaniwang ipinapadala sa pamamagitan ng isang router, ang kabuuang pagharang ng mga ito ay halos imposible. Gayunpaman, ang mga indibidwal na packet ay maaaring maharang at maimbak para sa pagsusuri sa ibang pagkakataon ng isang umaatake. Ang pinaka-epektibong pagharang ng mga FTP packet na naglalaman ng mga password ng user, pati na rin ang email.

Pinipilit ang isang maling ruta sa isang host gamit ang ICMP

Sa Internet mayroong isang espesyal na protocol ICMP (Internet Control Message Protocol), isa sa mga pag-andar kung saan ay upang ipaalam sa mga host ang tungkol sa pagbabago ng kasalukuyang router. Ang control message na ito ay tinatawag na redirect. Posibleng magpadala ng maling mensahe sa pag-redirect mula sa alinmang host sa segment ng network sa ngalan ng router sa inaatakeng host. Bilang resulta, ang kasalukuyang routing table ng host ay nagbabago at, sa hinaharap, ang lahat ng trapiko sa network ng host na ito ay dadaan, halimbawa, sa pamamagitan ng host na nagpadala ng maling mensahe sa pag-redirect. Sa ganitong paraan, posibleng aktibong magpataw ng maling ruta sa loob ng isang segment ng Internet.

Kasama ng regular na data na ipinadala sa isang koneksyon sa TCP, ang pamantayan ay nagbibigay din para sa pagpapadala ng agarang (Out Of Band) na data. Sa antas ng mga format ng TCP packet, ito ay ipinahayag bilang isang non-zero na kagyat na pointer. Karamihan sa mga PC na may naka-install na Windows ay mayroong NetBIOS network protocol, na gumagamit ng tatlong IP port para sa mga pangangailangan nito: 137, 138, 139. Kung kumonekta ka sa isang Windows machine sa pamamagitan ng port 139 at magpapadala ng ilang byte ng OutOfBand data doon, ang pagpapatupad ng NetBIOS ay hindi alam kung ano ang gagawin sa data na ito, ito ay nag-hang o nag-reboot lamang sa makina. Para sa Windows 95, ito ay karaniwang mukhang isang asul na screen ng teksto na nagpapahiwatig ng isang error sa driver ng TCP/IP, at ang kawalan ng kakayahang magtrabaho kasama ang network hanggang sa ma-reboot ang OS. Ang NT 4.0 na walang service pack ay nagre-reboot, ang NT 4.0 na may ServicePack 2 pack ay bumagsak sa isang asul na screen. Sa paghusga sa impormasyon mula sa network, parehong Windows NT 3.51 at Windows 3.11 para sa Workgroups ay madaling kapitan sa naturang pag-atake.

Ang pagpapadala ng data sa port 139 ay humahantong sa isang pag-reboot ng NT 4.0, o isang "asul na screen ng kamatayan" na may naka-install na Service Pack 2 Ang isang katulad na pagpapadala ng data sa 135 at ilang iba pang mga port ay humahantong sa isang makabuluhang pag-load sa proseso ng RPCSS.EXE. Sa Windows NT WorkStation, humahantong ito sa isang makabuluhang paghina ng Windows NT Server.

Pinagkakatiwalaang host spoofing

Ang matagumpay na pagpapatupad ng mga malayuang pag-atake ng ganitong uri ay magbibigay-daan sa umaatake na magsagawa ng isang session sa server sa ngalan ng isang pinagkakatiwalaang host. (Trusted host - isang istasyon na legal na nakakonekta sa server). Ang pagpapatupad ng ganitong uri ng pag-atake ay karaniwang binubuo ng pagpapadala ng mga exchange packet mula sa istasyon ng umaatake sa ngalan ng isang pinagkakatiwalaang istasyon sa ilalim ng kanyang kontrol.

Mga teknolohiya sa pagtuklas ng atake
Mabilis na nagbabago ang mga teknolohiya ng network at impormasyon na ang mga static na mekanismo ng proteksyon, na kinabibilangan ng mga access control system, mga firewall, at mga sistema ng pagpapatunay, sa maraming kaso ay hindi makapagbibigay ng epektibong proteksyon. Samakatuwid, ang mga dynamic na pamamaraan ay kinakailangan upang mabilis na matukoy at maiwasan ang mga paglabag sa seguridad. Ang isang teknolohiyang maaaring makakita ng mga paglabag na hindi matukoy gamit ang mga tradisyonal na modelo ng kontrol sa pag-access ay ang teknolohiya sa pagtuklas ng panghihimasok.

Sa pangkalahatan, ang proseso ng pag-detect ng pag-atake ay ang proseso ng pagtatasa ng mga kahina-hinalang aktibidad na nangyayari sa isang corporate network. Sa madaling salita, ang intrusion detection ay ang proseso ng pagtukoy at pagtugon sa kahina-hinalang aktibidad na nakadirekta sa computing o mga mapagkukunan ng network.

Mga pamamaraan para sa pagsusuri ng impormasyon sa network

Ang pagiging epektibo ng isang sistema ng pag-detect ng pag-atake ay higit na nakadepende sa mga pamamaraang ginamit upang pag-aralan ang natanggap na impormasyon. Ang unang intrusion detection system, na binuo noong unang bahagi ng 1980s, ay gumamit ng mga istatistikal na pamamaraan upang makita ang mga pag-atake. Sa kasalukuyan, maraming mga bagong diskarte ang naidagdag sa pagsusuri sa istatistika, simula sa mga ekspertong sistema at malabo na lohika at nagtatapos sa paggamit ng mga neural network.

Paraan ng istatistika

Ang mga pangunahing bentahe ng diskarte sa istatistika ay ang paggamit ng isang binuo at napatunayan na kagamitan ng mga istatistika ng matematika at pagbagay sa pag-uugali ng paksa.

Una, ang mga profile ay tinutukoy para sa lahat ng mga paksa ng nasuri na sistema. Ang anumang paglihis ng ginamit na profile mula sa sanggunian ay itinuturing na hindi awtorisadong aktibidad. Ang mga pamamaraan ng istatistika ay pangkalahatan dahil ang pagsusuri ay hindi nangangailangan ng kaalaman sa mga posibleng pag-atake at ang mga kahinaan na kanilang pinagsamantalahan. Gayunpaman, kapag ginagamit ang mga diskarteng ito, lumitaw ang mga problema:

• Ang mga "statistical" na sistema ay hindi sensitibo sa pagkakasunud-sunod ng mga kaganapan; sa ilang mga kaso, ang parehong mga kaganapan, depende sa pagkakasunud-sunod kung saan nangyari ang mga ito, ay maaaring makilala ang abnormal o normal na aktibidad;
• mahirap magtakda ng mga hangganan (threshold) na mga halaga ng mga katangiang sinusubaybayan ng sistema ng pagtuklas ng pag-atake upang sapat na makilala ang maanomalyang aktibidad;
• Ang mga "statistical" na sistema ay maaaring "sinanay" ng mga umaatake sa paglipas ng panahon upang ang mga pagkilos ng pag-atake ay makita bilang normal.

Dapat ding isaalang-alang na ang mga pamamaraan ng istatistika ay hindi naaangkop sa mga kaso kung saan walang pattern ng tipikal na pag-uugali para sa user o kapag ang mga hindi awtorisadong aksyon ay karaniwan para sa user.

Mga sistema ng dalubhasa

Ang mga sistema ng eksperto ay binubuo ng isang hanay ng mga panuntunan na kumukuha ng kaalaman ng isang dalubhasa ng tao. Ang paggamit ng mga expert system ay isang karaniwang paraan ng pag-detect ng pag-atake kung saan ang impormasyon ng pag-atake ay nabuo sa anyo ng mga panuntunan. Ang mga patakarang ito ay maaaring isulat, halimbawa, bilang isang pagkakasunod-sunod ng mga aksyon o bilang isang lagda. Kapag natugunan ang alinman sa mga panuntunang ito, ang isang desisyon ay ginawa tungkol sa pagkakaroon ng hindi awtorisadong aktibidad. Ang isang mahalagang bentahe ng diskarteng ito ay ang halos kumpletong kawalan ng mga maling alarma.

Ang database ng expert system ay dapat maglaman ng mga script para sa karamihan sa mga kasalukuyang kilalang pag-atake. Upang manatiling patuloy na napapanahon, ang mga ekspertong sistema ay nangangailangan ng patuloy na pag-update ng database. Bagama't nag-aalok ang mga ekspertong system ng magandang paraan upang tingnan ang data sa mga log, maaaring balewalain o manu-manong isagawa ng administrator ang mga kinakailangang update. Sa pinakamababa, nagreresulta ito sa isang ekspertong sistema na may mahinang kakayahan. Sa pinakamasamang kaso, ang kakulangan ng wastong pagpapanatili ay binabawasan ang seguridad ng buong network, na nililinlang ang mga gumagamit nito tungkol sa aktwal na antas ng seguridad.

Ang pangunahing kawalan ay ang kawalan ng kakayahan na maitaboy ang mga hindi kilalang pag-atake. Bukod dito, kahit na ang isang maliit na pagbabago sa isang kilalang pag-atake ay maaaring maging isang seryosong balakid sa paggana ng sistema ng pagtuklas ng pag-atake.

Mga neural network

Karamihan sa mga modernong paraan ng pag-detect ng pag-atake ay gumagamit ng ilang anyo ng kontroladong pagsusuri sa espasyo, alinman sa batay sa panuntunan o istatistikal na diskarte. Ang kinokontrol na espasyo ay maaaring mga log o trapiko sa network. Ang pagsusuri ay batay sa isang hanay ng mga paunang natukoy na panuntunan na ginawa ng administrator o mismo ng intrusion detection system.

Ang anumang paghihiwalay ng isang pag-atake sa paglipas ng panahon o sa maraming umaatake ay mahirap matukoy gamit ang mga ekspertong system. Dahil sa malawak na pagkakaiba-iba ng mga pag-atake at mga hacker, kahit na ad hoc, ang patuloy na pag-update sa database ng panuntunan ng ekspertong system ay hindi kailanman magagarantiya ng tumpak na pagkakakilanlan ng buong hanay ng mga pag-atake.

Ang paggamit ng mga neural network ay isa sa mga paraan upang malampasan ang mga problemang ito ng mga expert system. Hindi tulad ng mga ekspertong sistema, na maaaring magbigay sa user ng isang tiyak na sagot tungkol sa pagsunod sa mga katangiang isinasaalang-alang sa mga patakarang naka-embed sa database, ang isang neural network ay nagsusuri ng impormasyon at nagbibigay ng pagkakataong suriin kung ang data ay naaayon sa mga katangian na ito sinanay na makilala. Habang ang antas ng pagsusulatan ng isang representasyon ng neural network ay maaaring umabot sa 100%, ang pagiging maaasahan ng pagpili ay ganap na nakasalalay sa kalidad ng system sa pagsusuri ng mga halimbawa ng gawaing nasa kamay.

Una, ang neural network ay sinanay upang matukoy nang tama gamit ang isang paunang napiling sample ng mga halimbawa ng domain. Ang tugon ng neural network ay sinusuri at ang sistema ay inaayos sa paraang makamit ang mga kasiya-siyang resulta. Bilang karagdagan sa paunang yugto ng pagsasanay, ang neural network ay nakakakuha ng karanasan sa paglipas ng panahon habang sinusuri nito ang data na partikular sa domain.

Ang isang mahalagang bentahe ng mga neural network sa pag-detect ng pang-aabuso ay ang kanilang kakayahang "matutunan" ang mga katangian ng sinasadyang pag-atake at tukuyin ang mga elemento na hindi katulad ng mga nauna nang naobserbahan sa network.

Ang bawat isa sa mga pamamaraan na inilarawan ay may isang bilang ng mga pakinabang at disadvantages, kaya ngayon ay halos mahirap na makahanap ng isang sistema na nagpapatupad lamang ng isa sa mga inilarawan na pamamaraan. Bilang isang patakaran, ang mga pamamaraan na ito ay ginagamit sa kumbinasyon.

Pinoprotektahan ng Kaspersky Internet Security ang iyong computer mula sa mga pag-atake sa network.

Pag-atake sa network ay isang panghihimasok sa operating system ng isang malayuang computer. Ang mga attacker ay naglulunsad ng mga pag-atake sa network upang kontrolin ang isang operating system, maging sanhi ng pagtanggi sa serbisyo, o makakuha ng access sa protektadong impormasyon.

Ang mga pag-atake sa network ay mga malisyosong pagkilos na ginawa ng mga umaatake mismo (tulad ng pag-scan sa port, paghula ng password), pati na rin ang mga pagkilos na ginawa ng mga nakakahamak na program na naka-install sa inaatakeng computer (tulad ng paglilipat ng protektadong impormasyon sa umaatake). Kasama sa malware na kasangkot sa mga pag-atake sa network ang ilang Trojan horse, mga tool sa pag-atake ng DoS, mga malisyosong script at network worm.

Ang mga pag-atake sa network ay maaaring nahahati sa mga sumusunod na uri:

• Pag-scan sa port. Ang ganitong uri ng pag-atake sa network ay karaniwang yugto ng paghahanda para sa isang mas mapanganib na pag-atake sa network. Ini-scan ng attacker ang mga UDP at TCP port na ginagamit ng mga serbisyo ng network sa target na computer at tinutukoy ang kahinaan ng target na computer sa mas mapanganib na mga uri ng pag-atake sa network. Ang pag-scan sa port ay nagpapahintulot din sa isang umaatake na matukoy ang operating system sa target na computer at pumili ng mga pag-atake sa network na angkop para dito.
• Mga pag-atake ng DoS, o mga pag-atake sa network na nagdudulot ng pagtanggi sa serbisyo. Ang mga ito ay mga pag-atake sa network, bilang isang resulta kung saan ang inaatake na operating system ay nagiging hindi matatag o ganap na hindi nagagamit.

  Mayroong mga sumusunod na pangunahing uri ng pag-atake ng DoS:

  • Pagpapadala ng mga espesyal na ginawang network packet sa isang malayuang computer na hindi inaasahan ng computer na ito, na nagiging sanhi ng hindi paggana o paghinto ng operating system.
  • Nagpapadala ng malaking bilang ng mga network packet sa isang malayuang computer sa maikling panahon. Ang lahat ng mga mapagkukunan ng inatake na computer ay ginagamit upang iproseso ang mga packet ng network na ipinadala ng umaatake, kaya naman huminto ang computer sa pagganap ng mga function nito.
• Mga pag-atake sa network-mga panghihimasok. Ito ang mga pag-atake sa network na ang layunin ay "i-hijack" ang operating system ng inatakeng computer. Ito ang pinaka-mapanganib na uri ng pag-atake sa network, dahil kung ito ay matagumpay, ang operating system ay ganap na nasa ilalim ng kontrol ng umaatake.

  Ang ganitong uri ng pag-atake sa network ay ginagamit sa mga kaso kung saan ang isang attacker ay kailangang kumuha ng kumpidensyal na data mula sa isang malayuang computer (halimbawa, mga numero ng bank card o mga password) o gamitin ang remote na computer para sa kanyang sariling mga layunin (halimbawa, upang atakehin ang iba pang mga computer mula dito. computer) nang hindi nalalaman ng gumagamit.

1. Sa tab na Proteksyon sa block Proteksyon laban sa mga pag-atake sa network alisan ng tsek ang kahon.

Maaari mo ring paganahin ang Network Attack Protection sa Sentro ng Depensa. Ang pag-disable sa mga bahagi ng proteksyon o proteksyon ng iyong computer ay makabuluhang nagpapataas ng panganib na ma-infect ang iyong computer, kaya naman ang impormasyon tungkol sa hindi pagpapagana ng proteksyon ay ipinapakita sa Protection Center.

Mahalaga: Kung na-off mo ang Network Attack Protection, pagkatapos ay pagkatapos i-restart ang Kaspersky Internet Security o i-reboot ang operating system, hindi ito awtomatikong mag-o-on at kakailanganin mong i-on ito nang manu-mano.

Kapag natukoy ang mapanganib na aktibidad ng network, awtomatikong idinaragdag ng Kaspersky Internet Security ang IP address ng umaatakeng computer sa listahan ng mga naka-block na computer kung hindi idinagdag ang computer na ito sa listahan ng mga pinagkakatiwalaang computer.

1. Sa menu bar, mag-click sa icon ng programa.
2. Sa menu na bubukas, piliin ang Mga Setting.

   Magbubukas ang window ng mga setting ng programa.

3. Sa tab na Proteksyon sa block Proteksyon laban sa mga pag-atake sa network lagyan ng tsek ang kahon I-enable ang Network Attack Protection.
4. Mag-click sa button na Exceptions.

   Magbubukas ang isang window na may listahan ng mga pinagkakatiwalaang computer at listahan ng mga naka-block na computer.

5. Magbukas ng bookmark Mga naka-lock na computer.
6. Kung sigurado ka na ang naka-block na computer ay hindi nagbabanta, piliin ang IP address nito sa listahan at i-click ang pindutang I-unblock.

   Magbubukas ang isang window ng kumpirmasyon.

7. Sa window ng pagkumpirma, gawin ang isa sa mga sumusunod:
   • Kung gusto mong i-unlock ang iyong computer, i-click ang pindutang I-unlock.

     Ina-unblock ng Kaspersky Internet Security ang IP address.

   • Kung gusto mong hindi kailanman harangan ng Kaspersky Internet Security ang napiling IP address, i-click ang button I-unblock at idagdag sa mga exception.

     Ia-unblock ng Kaspersky Internet Security ang IP address at idagdag ito sa listahan ng mga pinagkakatiwalaang computer.

8. Mag-click sa pindutang I-save upang i-save ang iyong mga pagbabago.

Maaari kang lumikha ng isang listahan ng mga pinagkakatiwalaang computer. Hindi awtomatikong hinaharangan ng Kaspersky Internet Security ang mga IP address ng mga computer na ito kapag nakita nito ang mapanganib na aktibidad ng network na nagmumula sa kanila.

Kapag may nakitang pag-atake sa network, ang Kaspersky Internet Security ay nagse-save ng impormasyon tungkol dito sa isang ulat.

1. Buksan ang menu ng Proteksyon.
2. Piliin ang Mga Ulat.

   Magbubukas ang window ng mga ulat ng Kaspersky Internet Security.

3. Magbukas ng bookmark Proteksyon laban sa mga pag-atake sa network.

Tandaan: Kung ang bahagi ng Network Attack Protection ay nakakumpleto ng isang error, maaari mong tingnan ang ulat at subukang i-restart ang bahagi. Kung hindi mo malutas ang isyu, mangyaring makipag-ugnayan sa Technical Support.

Sa kasalukuyan, ang DDoS ay isa sa mga pinaka-naa-access at pinakakalat na uri ng pag-atake sa network. Ilang linggo na ang nakalipas, ang mga resulta ng mga pag-aaral sa paglaganap ng DDoS na isinagawa ng Arbor Networks at Verisign Inc.

Ang mga resulta ng pananaliksik ay kahanga-hanga:
Araw-araw, ang mga umaatake ay nagsasagawa ng higit sa 2,000 pag-atake ng DDoS;
Ang halaga ng isang linggong pag-atake sa isang average na data center ay $150 lamang;
Mahigit sa kalahati ng mga kalahok sa survey ang nakaranas ng mga problema dahil sa DDoS;
Isang ikasampu ng mga kalahok sa survey ang tumugon na ang kanilang mga kumpanya ay dumanas ng mga pag-atake ng DDoS nang higit sa anim na beses bawat taon;
Halos kalahati ng mga kumpanya ay nakaranas ng mga problema dahil sa DDoS, ang average na oras ng pag-atake ay mga 5 oras;
Ang mga pag-atake ng ganitong uri ay isa sa mga pangunahing dahilan para sa pagsara ng server at downtime.

Mga pangunahing uri ng pag-atake ng DDoS

Sa pangkalahatan, may ilang uri ng DDoS, at sa ibaba ay sinubukan naming ilista ang karamihan sa mga karaniwang pag-atake, na may paglalarawan ng prinsipyo ng pagpapatakbo ng bawat uri ng pag-atake.

UDP baha

Isa sa mga pinaka-epektibo, at sa parehong oras, mga simpleng uri ng pag-atake. Ginagamit ang UDP protocol, na hindi nangangailangan ng pagtatatag ng session sa pagpapadala ng anumang uri ng tugon. Sa isang random na pagkakasunud-sunod, inaatake ng attacker ang mga port ng server, nagpapadala ng malaking bilang ng mga packet ng data. Bilang resulta, sinisimulan ng makina na suriin kung ang port kung saan dumating ang packet ay ginagamit ng anumang aplikasyon. At dahil maraming mga naturang pakete, ang isang makina ng anumang kapangyarihan ay hindi maaaring makayanan ang gawain. Bilang resulta, ang lahat ng mga mapagkukunan ng makina ay "kinakain" at ang server ay "bumababa".

Ang pinakasimpleng paraan upang maprotektahan laban sa ganitong uri ng pag-atake ay ang pagharang sa trapiko ng UDP.

baha sa ICMP

Ang umaatake ay patuloy na nagpi-ping sa server ng biktima, kung saan ang huli ay patuloy na tumutugon. Mayroong isang malaking bilang ng mga ping, at, bilang isang resulta, ang mga mapagkukunan ng server ay natupok at ang makina ay nagiging hindi naa-access.

Bilang proteksiyon na panukala, maaari mong gamitin ang pagharang sa mga kahilingan sa ICMP sa antas ng firewall. Sa kasamaang palad, sa kasong ito, hindi mo magagawang i-ping ang makina para sa mga malinaw na dahilan.

SYN baha

Kasama sa ganitong uri ng pag-atake ang pagpapadala ng SYN packet sa server ng biktima. Bilang resulta, ang server ay tumugon gamit ang isang SYN-ACK packet, at ang makina ng attacker ay dapat magpadala ng isang ACK na tugon, ngunit hindi ito ipinadala. Ang resulta ay ang pagbubukas at pagsasabit ng isang malaking bilang ng mga koneksyon, na sarado lamang pagkatapos mag-expire ang timeout.

Kung nalampasan ang limitasyon ng bilang ng mga kahilingan/tugon, hihinto ang server ng biktima sa pagtanggap ng mga packet ng anumang uri at magiging hindi magagamit.

MAC baha

Isang hindi pangkaraniwang uri ng pag-atake kung saan maraming uri ng kagamitan sa network ang naka-target. Nagsisimulang magpadala ang attacker ng malaking bilang ng mga Ethernet packet na may ganap na magkakaibang mga MAC address. Bilang resulta, ang switch ay nagsisimulang magreserba ng isang tiyak na halaga ng mga mapagkukunan para sa bawat isa sa mga pakete, at kung mayroong maraming mga pakete, ang switch ay naglalaan ng lahat ng magagamit na mga kahilingan at nag-freeze. Ang pinakamasamang sitwasyon ay ang pagkabigo sa routing table.

Ping ng Kamatayan

Ang ganitong uri ng pag-atake ay hindi isang malaking problema ngayon, bagama't dati itong isang karaniwang uri ng pag-atake. Ang kahulugan ng ganitong uri ng pag-atake ay isang memory buffer overflow dahil sa paglampas sa maximum na magagamit na laki ng IP packet, at bilang resulta, ang server at network equipment ay tumatangging magserbisyo sa anumang uri ng packet.

Slowloris

Ang isang nakatutok na pag-atake ng ganitong uri ay nagpapahintulot sa maliliit na pwersa na makamit ang malalaking resulta. Sa madaling salita, gamit ang isang server na hindi pinakamakapangyarihan, maaari kang gumamit ng mas produktibong kagamitan. Hindi na kailangang gumamit ng iba pang mga protocol. Sa ganitong uri ng pag-atake, binubuksan ng server ng umaatake ang maximum na bilang ng mga koneksyon sa HTTP at sinusubukang panatilihing bukas ang mga ito hangga't maaari.

Siyempre, ang bilang ng mga koneksyon sa server na nakalantad sa pag-atake ay nagtatapos, at ang mga kapaki-pakinabang na kahilingan ay hindi na tinatanggap at naproseso.

Sinasalamin ang mga pag-atake

Isang hindi pangkaraniwang uri ng pag-atake kapag ang server ng umaatake ay nagpapadala ng mga packet na may pekeng IP ng nagpadala, at ang pagpapadala ay napupunta sa pinakamataas na posibleng bilang ng mga makina. Ang lahat ng mga server na apektado ng naturang mga aksyon ay nagpapadala ng tugon sa IP na tinukoy sa packet, bilang isang resulta kung saan ang tatanggap ay hindi makayanan ang pag-load at nag-freeze. Sa kasong ito, ang pagganap ng server ng attacker ay maaaring 10 beses na mas mababa kaysa sa nakaplanong lakas ng pag-atake. Ang isang server na nagpapadala ng 100 Mbps ng mga maling kahilingan ay maaaring ganap na sirain ang gigabit channel ng server ng biktima.

Degradasyon

Sa ganitong uri ng pag-atake, ginagaya ng server ng attacker ang mga aksyon ng isang tunay na tao o ng buong audience. Bilang isang halimbawa ng pinakasimpleng opsyon, maaari kang magpadala ng mga kahilingan para sa parehong pahina ng mapagkukunan, at gawin ito ng libu-libong beses. Ang pinakasimpleng paraan upang malutas ang problema ay pansamantalang mag-ulat ng error at i-block ang inaatakeng page.

Ang isang mas kumplikadong uri ng pag-atake ay isang kahilingan para sa isang malaking bilang ng iba't ibang mga mapagkukunan ng server, kabilang ang mga media file, mga pahina at lahat ng iba pa, bilang isang resulta kung saan ang server ng biktima ay huminto sa paggana.

Ang mga kumplikadong pag-atake ng ganitong uri ay medyo mahirap i-filter, bilang isang resulta, kailangan mong gumamit ng mga espesyal na programa at serbisyo.

Zero day attack

Ito ang pangalan para sa mga pag-atake na nagsasamantala hanggang ngayon sa hindi kilalang mga kahinaan/kahinaan ng serbisyo. Upang labanan ang problema, ang ganitong uri ng pag-atake ay kailangang pag-aralan upang may magawa.

Konklusyon: ang pinaka-kumplikadong uri ng pag-atake ay pinagsama, kung saan ginagamit ang iba't ibang uri ng DDoS. Kung mas kumplikado ang kumbinasyon, mas mahirap itong ipagtanggol. Ang isang karaniwang problema para sa DDoS, o sa halip para sa mga biktima ng DDoS, ay ang pangkalahatang pagkakaroon ng ganitong uri ng pag-atake. Mayroong isang malaking bilang ng mga application at serbisyo sa Internet na nagbibigay-daan sa iyo upang magsagawa ng malalakas na pag-atake nang libre o halos walang bayad.