جميع الهجمات على الشبكات الموجودة وكيفية تجنبها

5 مايو 2021 مات ميلز نصائح والخدع 0

في الوقت الحالي ، من المستحيل سرد جميع الأنواع المختلفة للهجمات التي يمكن تنفيذها على الشبكة ، لأن هذا يختلف باستمرار في عالم الأمان. نحن نقدم لك الأكثر شيوعًا وفقًا لقواعد بيانات هجوم الشبكة ، حتى نتمكن من التحديث والحفاظ على أمان شبكتنا قدر الإمكان. من أجل بناء الدفاع ، يجب أن نعرف أولاً كيف يهاجموننا وما تتكون منه هذه التهديدات ، وبالتالي ، يمكننا الحفاظ على درجة معينة من الأمن. من خلال هذه القائمة ، يمكننا رؤية وفهم التعريف الدقيق لكل من الهجمات الأكثر شهرة وانتشارًا ، وما هي الأعراض المرتبطة بها.

في السنوات العشر أو الخمس عشرة الماضية ، رأينا كيف تغير النموذج الذي سعى من خلاله المخترقون أو مجرمو الإنترنت إلى استغلال جميع نقاط الضعف المحتملة ، داخل أي منظمة أو بنية تحتية وطنية. من أجل مواجهة هذه الحقيقة ، ما يجب أن يكون واضحًا بالنسبة لكل واحد منا هو أنه يجب علينا تغيير وجهة نظرنا تجاه الطريقة التي نرى بها الأمان في مجال الكمبيوتر والشبكات ، يجب أن نعرف بعض الهجمات وأن نفهم ما يمكن أن نتعلم منه لهم ، ليكونوا مستعدين لهم قدر الإمكان ، وأحيانًا حتى تكون قادرين على تجنبها. في عالم الأمن هذا لا يمكننا أن نقول إننا مستعدون لمنع أي هجوم.

سنبدأ قائمة التهديدات الأكثر شيوعًا منذ بداية نشاط المجرمين الإلكترونيين.

الهجمات على الشبكات الموجودة

هجوم DoS هجوم أو رفض الخدمة

هجوم الحرمان من الخدمة ، كما لها الهدف تعطيل استخدام النظام، تطبيق أو كمبيوتر أو خادم ، من أجل حظر الخدمة المخصصة لها. يمكن أن يؤثر هذا الهجوم على كل من المصدر الذي يقدم المعلومات ، مثل التطبيق أو قناة الإرسال ، وكذلك شبكة الكمبيوتر ، أو بمعنى آخر ، سيحاول المجرم الإلكتروني منع المستخدمين من الوصول إلى المعلومات أو الخدمات. النوع الأكثر شيوعًا هو عندما "يغمر" المهاجم شبكة بكمية كبيرة من البيانات ، مما يتسبب في تشبع الشبكة بالكامل. على سبيل المثال ، في هجوم DoS على موقع ويب ، عندما نكتب عنوان URL ونصل إليه ، سنرسل طلبًا لإطلاعنا على المعلومات ، وفي هذه الحالة ، يمكن للمهاجم تقديم ملايين الطلبات بهدف انهيار كامل النظام. لهذا السبب ، يأخذ هذا الهجوم اسم «الحرمان من الخدمة» ،

بعض المشاكل التي سنجدها إذا قمنا بهجوم DoS هي أننا سنلاحظ انخفاضًا كبيرًا في أداء الشبكة والكثير من البطء (فتح الملفات أو الوصول إلى مواقع الويب). موقع معين لا يمكن الوصول إليه تمامًا وغير متاح. لن نتمكن من الدخول إلى أي موقع ويب نحاول الوصول إليه. زيادة كبيرة في كمية الرسائل غير المرغوب فيها التي نتلقاها.

أنواع هجمات DoS

هجوم الفيضانات ICMP

يسمح هذا النوع من هجوم رفض الخدمة باستنفاد النطاق الترددي للضحية. وهو يتألف من إرسال كمية كبيرة من المعلومات باستخدام حزم ICMP Echo Request ، أي اختبار ping النموذجي ، ولكن تم تعديله ليكون أكبر من المعتاد. بالإضافة إلى ذلك ، يمكن للضحية الرد عليك باستخدام حزم ICMP Echo Reply (استجابة ping) ، لذلك سيكون لدينا عبء إضافي ، سواء على الشبكة أو على الضحية. الشيء الأكثر طبيعية هو استخدام واحد أو أكثر من أجهزة الكمبيوتر القوية للغاية لمهاجمة نفس الضحية ، وبهذه الطريقة لن تكون الضحية قادرة على إدارة حركة المرور المتولدة بشكل صحيح.

بينغ الموتى

يشبه هذا الهجوم الهجوم السابق ، فهو يتكون من إرسال حزمة تزيد عن 65536 بايت ، مما يتسبب في عدم معرفة نظام التشغيل بكيفية التعامل مع هذه الحزمة الكبيرة ، مما يتسبب في تعطل نظام التشغيل عند محاولة تجميعها مرة أخرى. اليوم لا يعمل هذا الهجوم ، لأن نظام التشغيل سيسقط الحزم مباشرة. من المهم جدًا معرفة هذا الهجوم لتجنبه في المستقبل ، لكننا أخبرناك بالفعل أن هذا الهجوم لم يعد يعمل لأن أنظمة التشغيل تتضمن عددًا كبيرًا من وسائل الحماية لمنعه.

هجوم إسقاط الدموع

يتكون هذا النوع من الهجوم من إرسال سلسلة من الحزم الكبيرة جدًا ، بهدف ألا يكون الهدف (الضحية) قادرًا على تجميع هذه الحزم ، وتشبع نظام التشغيل وحجبه. من الممكن أنه بمجرد توقف الهجوم ، يجب إعادة تشغيله حتى يعمل بشكل صحيح مرة أخرى. تتضمن نوى أنظمة التشغيل اليوم وسائل حماية ضد هذه الهجمات.

هجوم الهزة الثانية

يتكون هذا النوع من الهجوم من تفتيت حزمة ICMP ، بهدف عدم تمكن الضحية من إعادة تجميعها. يؤدي هذا إلى زيادة استخدام وحدة المعالجة المركزية للضحية ، ولديه مشكلة كبيرة. عادة ما تكون نتيجة هذا الهجوم أن جهاز الكمبيوتر الخاص بالضحية يصبح بطيئًا للغاية ، نظرًا لأن وحدة المعالجة المركزية مشغولة جدًا في محاولة إعادة تجميع الحزمة.

هجوم بري

يتكون هذا النوع من الهجوم من إرسال حزمة TCP SYN خاطئة ، حيث يتم استخدام عنوان IP الخاص بالهدف كمصدر ووجهة على حد سواء ، بهدف أنه عندما يستقبل الحزمة ، فإنه يتم الخلط ولا يعرف مكان إرسال الحزمة ، و كتل نفسها. عادة ما يتم التعرف على هذا النوع من الهجوم من خلال أنظمة التشغيل وجدران الحماية وحتى مجموعات مكافحة الفيروسات.

هجوم سنفور

يتكون هذا الهجوم من إرسال عدد كبير من رسائل طلب ICMP Echo إلى عنوان IP للبث باستخدام IP المصدر للضحية. وبهذه الطريقة ، ستتلقى الضحية الفعلية جميع ردود ICMP Echo Reply من الشبكة بأكملها ، مما يؤدي إلى تشبعها. قبل تنفيذ هذا الهجوم ، يجب إجراء انتحال IP لخداع عنوان IP المصدر لطلب ICMP Echo ، لتنفيذ هذا الهجوم الضخم لاحقًا. ستتوقف الشبكة عن العمل بشكل طبيعي أثناء تنفيذ الهجوم ، لأنه سيكون لدينا حركة بث عالية. مفاتيح التبديل اليوم جاهزة لمنع هذه الهجمات تلقائيًا ، استنادًا إلى PPS (Packets Per Second). ، هذه الطلبات t

فيضان SYN

يعتبر هذا النوع من الهجوم من أكثر أنواع الهجوم استخدامًا في جميع أنحاء العالم ، فهو يتكون من إرسال حزم TCP مع تنشيط علامة SYN ، بهدف إرسال مئات أو آلاف الحزم إلى خادم وفتح اتصالات مختلفة ، بهدف تشبعها مع كامل. عادةً ما يتم استخدام هذا الهجوم مع IP مصدر خاطئ ، بحيث تنتقل جميع الردود إلى عنوان IP غير موجود ، أو إلى عنوان IP للضحية يكون مشبعًا أيضًا بجميع استجابات TCP التي يتم إرسالها من الخادم.

يمكن تجنب هجمات SYN Flood بسهولة باستخدام جدار الحماية ، مما يحد من عدد حزم TCP SYN التي يمكن تلقيها ، وحتى وضع وكيل وسيط لإضافة تحقق إضافي ، قبل تمرير الرسائل إلى خادم الويب أو أي خدمة أخرى تقوم بذلك. استخدام بروتوكول TCP.

هجوم Fraggle Two

يتكون هذا الهجوم من إرسال الكثير من حركة مرور UDP إلى عنوان IP للبث ، وتحتوي هذه الحزم على IP المصدر للضحية ، ومن المنطقي أن يتم تنفيذ انتحال IP لتنفيذ هذا الهجوم. ستقوم الشبكة بتسليم حركة مرور الشبكة إلى جميع المضيفين ، لأننا نرسل حزم UDP إلى عنوان البث ، وستستجيب أجهزة الكمبيوتر. سيؤدي ذلك إلى حصول الضحية على قدر كبير من حركة المرور التي لا يستطيعون التعامل معها بشكل صحيح ، ولن يتمكنوا من العمل بشكل طبيعي.

هجوم رفض الخدمة الموزع - DDos

يتكون هجوم الشبكة هذا من انهيار ضحية من أجهزة كمبيوتر متعددة المصادر ، على سبيل المثال ، يمكن لشبكة الروبوت المكونة من ألف جهاز كمبيوتر مهاجمة هدف معين. هذه الأنواع من الهجمات شائعة جدًا ، حيث تستخدم التقنيات التي شرحناها سابقًا ، مثل SYN Flood. على الرغم من وجود خادم قوي للغاية قادر على التعامل مع ملايين طلبات SYN Flood ، إذا استخدمنا شبكة بوت نت بها مئات أو آلاف أجهزة الكمبيوتر ، فلن يكون قادرًا على الاحتفاظ بها وسينتهي الأمر بالحظر. ينتشر هذا الهجوم بين أجهزة كمبيوتر مختلفة ، سواء كانت أجهزة كمبيوتر أو خوادم مصابة أخرى أو أجهزة إنترنت الأشياء التي تم اختراقها وغير ذلك الكثير.

فيما يلي بعض النصائح للتخفيف من هجمات DDoS:

  • قم بتكوين جدار الحماية الخاص بالموجه بشكل صحيح.
  • حظر كل حركة مرور الشبكة ، باستثناء ما يُسمح لنا به على وجه التحديد.
  • قم بتعطيل أي خدمة لا نستخدمها.
  • تحقق غالبًا من تكوين الشبكة والسجلات التي لدينا.
  • سياسة تسجيل قوية ، مما يسمح بربط الأحداث (SIEM).
  • لديك سياسة كلمات مرور جيدة مع الأذونات المقابلة لها.
  • حدد النطاق الترددي في الشبكة لكل منفذ ، لتجنب الهجمات من شبكتنا الخاصة.

انتحال ARP

يعد هذا الهجوم على شبكات البيانات من أكثر الهجمات شيوعًا ، فهو يسمح بمهاجمة أجهزة الكمبيوتر الموجودة على نفس الشبكة المحلية ، سواء كانت سلكية أو لاسلكية. عندما يتم تنفيذ هجوم ARP Spoofing ، فإن ما نقوم به هو أن المهاجم يمكنه انتحال شخصية الموجه أو البوابة ، وأن كل حركة مرور الشبكة أو من جهاز كمبيوتر معين (الضحية) تمر عبرها ، مما يسمح لها بالقراءة والتعديل وحتى الحظر ازدحام انترنت.

يعمل هذا الهجوم فقط في شبكات IPv4 ، ولكن في شبكات IPv6 يوجد أيضًا هجوم مماثل ، لأن بروتوكول ARP متاح فقط في شبكات IPv4. هذا الهجوم هو أسهل طريقة لأداء رجل في الوسط والتقاط جميع المعلومات من الضحية. لاكتشاف هذه الهجمات ، يمكن استخدام Reverse ARP ، وهو بروتوكول يستخدم لاستشارة IP المرتبط بـ MAC ، إذا كان لدينا أكثر من IP واحد ، فهذا يعني أننا نواجه هجومًا. تكتشف بعض مجموعات الأمان بالفعل هذا النوع من الهجوم ، وحتى المفاتيح القابلة للإدارة تسمح بتجنب هذا النوع من الهجوم عن طريق إجراء ربط IP-MAC.

هجوم فيضان MAC

هذه واحدة من أكثر الهجمات شيوعًا في شبكات البيانات ، وتتكون من إغراق الشبكة بعناوين MAC حيث لدينا مفتاح تبديل ، كل منها بعناوين MAC مصدر مختلفة ، بهدف الحفاظ على جدول CAM للمفاتيح وأن المحول يصبح محورًا. ومع ذلك ، تتمتع جميع المفاتيح في الوقت الحاضر بحماية ضد هذا الهجوم ، مما يجعل من الممكن إزالة عناوين MAC بسرعة ، وعدم الانهيار أبدًا ، ولكن وحدة المعالجة المركزية للمحول ستكون بنسبة 100٪ وسنلاحظ البطء في الشبكة.

في حالة المحولات المدارة مع شبكات VLAN ، سيكون الفائض في شبكة VLAN المتأثرة فقط ، ولا يؤثر على بقية شبكات VLAN في الشبكة. لمنع هذا النوع من الهجوم ، يُنصح بتكوين Port Security على المحولات ، وتحديد عدد معين من عناوين MAC لكل منفذ ، وبهذه الطريقة ، يمكن إيقاف تشغيل المنفذ تلقائيًا ، أو تقييد تسجيل أجهزة MAC الجديدة مباشرةً حتى أمر جديد.

تسمم مخبأ DNS

يتكون هذا النوع من الهجوم من تقديم بيانات خاطئة عبر DNS ؛ لكي يحصل الضحية على تلك المعلومات وزيارة صفحات الويب المزيفة أو الخاضعة لسيطرتنا. يمكن أن يتلقى الكمبيوتر الذي يقدم طلبات DNS عناوين IP مخادعة بناءً على طلب DNS الخاص به ، وبهذه الطريقة يمكننا إعادة توجيه الضحية إلى أي موقع ويب تحت سيطرتنا.

خداع IP

يتكون هذا الهجوم من انتحال عنوان IP المصدر لجهاز كمبيوتر معين ، وبهذه الطريقة ، يمكن إرسال حزم TCP أو UDP أو IP باستخدام IP مصدر خاطئ ، منتحلاً صفة عنوان IP الحقيقي للجهاز. هذا له عدة أهداف ، لإخفاء الهوية الحقيقية للأصل ، أو انتحال شخصية فريق آخر بحيث تذهب جميع الإجابات إليه مباشرة.

فيضان ACK

يتكون هذا الهجوم من إرسال حزمة من نوع TCP ACK إلى هدف معين ، وعادة ما يتم تنفيذه باستخدام عنوان IP مخادع ، وبالتالي ، سيكون انتحال IP ضروريًا. إنه مشابه لهجمات TCP SYN ، ولكن إذا كان جدار الحماية يحظر حزم TCP SYN ، فهذا بديل لحظر الضحية.

اختطاف جلسة TCP

يتكون هذا الهجوم من الاستيلاء على جلسة TCP موجودة بالفعل ، حيث يستخدمها الضحية. لكي ينجح هذا الهجوم ، يجب أن يتم تنفيذه في لحظة محددة ، في بداية اتصالات TCP حيث يتم تنفيذ المصادقة ، يكون ذلك صحيحًا في تلك المرحلة التي سينفذ فيها المجرم الإلكتروني الهجوم.

رجل في منتصف الهجوم

هجمات Man in the Middle هي نوع من الهجمات التي تسمح لاحقًا بتنفيذ آخرين. تتكون هجمات MITM من وضع نفسها بين اتصال جهازي كمبيوتر أو أكثر بواسطة المهاجم ، بهدف القراءة والتعديل أثناء التنقل وحتى رفض مرور حركة المرور من الأصل إلى الوجهة. يسمح هذا النوع من الهجوم بمعرفة كل التنقل عبر الإنترنت وأي اتصال سيتم تنفيذه ، بالإضافة إلى ذلك ، يمكن توجيه جميع المعلومات إلى جهاز كمبيوتر آخر موجود.

مثال على هجوم MITM هو عندما يعترض مجرم إلكتروني اتصالاً بين شخصين ، أو بيننا وبين خادم ويب ، ويمكن لمجرم الإنترنت اعتراض جميع المعلومات الحساسة التي نرسلها إلى الموقع والتقاطها.

كيفية منع هجمات Man-In-The-Middle؟

ليس من المستحيل تجنب هجمات MITM ، بفضل تقنية "البنية التحتية للمفتاح العام" ، سنكون قادرين على حماية الفرق المختلفة من الهجمات ، وهذا سيسمح لنا بالمصادقة ضد المستخدمين الآخرين بطريقة آمنة ، وإثبات هويتنا والتحقق من هوية المتلقي مع التشفير العام ، بالإضافة إلى ذلك ، يمكننا توقيع المعلومات رقميًا ، وضمان خاصية عدم التنصل ، وحتى إرسال معلومات مشفرة بالكامل للحفاظ على السرية.

في عملية التشفير التي تستخدم البنية التحتية للمفتاح العام ، تتدخل الأجزاء التالية من الناحية المفاهيمية:

  • مستخدم يبدأ العملية.
  • بعض أنظمة الخادم التي تشهد على العملية وتضمن صلاحية الشهادات وسلطة التصديق (CA) وسلطة التسجيل ونظام ختم الوقت.
  • مستلم البيانات المشفرة التي تم توقيعها ، ويضمنها المستخدم الذي يبدأ العملية.

عمليات تشفير المفتاح العام هي العمليات التي يتم فيها استخدام خوارزميات التشفير غير المتماثل والتي تكون معروفة ومتاحة للجميع ، مثل RSA أو تستند إلى منحنيات بيضاوية. لهذا السبب ، فإن الأمان الذي يمكن أن توفره تقنية PKI يرتبط ارتباطًا وثيقًا بخصوصية ما يسمى بالمفتاح الخاص.

هجمات الهندسة الاجتماعية

على الرغم من أن هجمات الهندسة الاجتماعية ليست هجومًا على شبكات البيانات ، إلا أنها نوع شائع جدًا من الهجمات التي يستخدمها مجرمو الإنترنت. تتكون هذه الأنواع من الهجمات من التلاعب بشخص ما لتقديم بيانات اعتماد المستخدم والمعلومات الخاصة وغير ذلك. يبحث مجرمو الإنترنت دائمًا عن جميع الطرق الممكنة للحصول على بيانات اعتماد المستخدم وأرقام بطاقات الائتمان والحسابات المصرفية وما إلى ذلك ، لتحقيق ذلك ، سيحاولون الكذب على الضحايا من خلال التظاهر بأنهم أشخاص آخرون.

هذه الأنواع من الهجمات ناجحة جدًا لأنها تهاجم الحلقة الأضعف في الأمن السيبراني: الإنسان. من الأسهل محاولة الحصول على بيانات اعتماد المستخدم من خلال الهندسة الاجتماعية بدلاً من محاولة مهاجمة خدمة مثل Google لاستخراج كلمات المرور. من الضروري من نثق ، ومتى نفعل ذلك وأيضًا متى لا ينبغي لنا أن نفعل ذلك. بغض النظر عن مدى أمان شبكتنا ، إذا عهدنا بأمننا لمن لا ينبغي لنا ، فسيكون كل هذا الأمان بلا قيمة.

كيف تمنع هجمات الهندسة الاجتماعية؟

التوصية الأولى هي ألا تكون في عجلة من أمرنا للرد على المهاجمين السيبرانيين ، فالعديد من هذه الهجمات يتم إرسالها دائمًا بشكل عاجل ، على سبيل المثال ، أنه من الضروري بشكل عاجل إجراء تحويل الأموال إلى مستلم لم يكن لدينا من قبل من قبل. من الضروري أن تشك في أي رسالة غريبة أو غير مرغوب فيها ، إذا كان البريد الذي يصل إلينا من موقع ويب أو شركة نستخدمها عادةً ، فيجب علينا إجراء تحقيق صغير من جانبنا ، والذي يتضمن حتى الاتصال بالشركة المذكورة للتحقق من المعلومات.

  • احذر من طلبات المعلومات المصرفية
  • لا تقدم كلمات مرور الوصول ، ولا حتى للبنوك.
  • رفض أي نوع من المساعدة من أطراف ثالثة ، فمن الممكن أن يكونوا مجرمي إنترنت لسرقة المعلومات أو الأموال.
  • لا تنقر على الروابط عبر البريد الإلكتروني ، فقد تكون تصيد احتيالي ، وتجنب تنزيل أي مستند مشبوه.
  • قم بإنشاء عوامل تصفية لمكافحة البريد العشوائي ، وقم بتكوين فريقنا باستخدام برامج مكافحة الفيروسات والجدران النارية ، وتحقق من عوامل تصفية البريد الإلكتروني وقم بتحديث كل شيء.

طباعة إصبع نظام التشغيل

يشير مصطلح OS Finger Printing إلى أي طريقة لتحديد نظام التشغيل المستخدم على الضحية ، بهدف انتهاكه. عادةً ما يتم تنفيذ هذه الأنواع من الهجمات في مرحلة pentesting ، ويتم التعرف على نظام التشغيل من خلال تحليل مؤشرات البروتوكول ، والوقت المستغرق للاستجابة لطلب معين ، وقيم أخرى. يعد Nmap أحد أكثر البرامج استخدامًا عندما يتعلق الأمر بـ OS Finger Printing. ما فائدة المهاجم الذي يعرف نظام تشغيل الضحية؟ لتنفيذ المزيد من الهجمات المستهدفة على نظام التشغيل هذا ، تعرف على نقاط الضعف واستغلها وغير ذلك الكثير.

هناك نوعان مختلفان من طباعة أصابع نظام التشغيل:

  • النشطه : يتم تحقيقه عن طريق إرسال حزم معدلة خصيصًا تم إنشاؤها للفريق المستهدف ، والنظر في الاستجابة بالتفصيل وتحليل المعلومات التي تم جمعها. ينفذ Nmap هذه الأنواع من الهجمات للحصول على جميع المعلومات الممكنة.
  • سلبي : في هذه الحالة ، يتم تحليل المعلومات الواردة ، دون إرسال حزم مصممة خصيصًا إلى الكمبيوتر الهدف.

فحص المنفذ

في أي عملية pentesting ، يعد فحص المنافذ هو أول شيء يجب القيام به لمحاولة اختراق الهدف. إنها إحدى تقنيات التعرف الأكثر استخدامًا من قبل مجرمي الإنترنت لاكتشاف الخدمات المكشوفة ذات المنافذ المفتوحة ، في حالة استخدام جدار حماية وحتى نظام التشغيل الذي تستخدمه الضحية. تستفيد جميع أجهزة الكمبيوتر المتصلة بالشبكة المحلية أو الإنترنت من عدد كبير من الخدمات التي تستمع إلى منافذ TCP و UDP معينة. تتيح لنا عمليات فحص المنافذ هذه معرفة المنافذ المفتوحة ، وحتى الخدمة الموجودة خلفها ، من أجل استغلال ثغرة أمنية في تلك الخدمة.

في عمليات فحص المنفذ ، سنرسل رسائل إلى كل منفذ ، واحدًا تلو الآخر ، اعتمادًا على نوع الاستجابة المستلمة ، سيتم فتح المنفذ أو تصفيته أو إغلاقه. يعد Nmap أحد أكثر البرامج استخدامًا لمسح المنافذ ، وهو سكين الجيش السويسري لمسح المنافذ لأن لدينا أيضًا Nmap NSE الذي يسمح لك باستخدام البرامج النصية لاستغلال نقاط الضعف المعروفة ، أو مهاجمة خوادم Samba و FTP و SSH وما إلى ذلك.

إن معرفة المنافذ التي قمنا بفتحها مهمة جدًا أيضًا ، لأن المنفذ يحدد الخدمة التي تعمل في النظام. على سبيل المثال ، يستخدم بروتوكول FTP المنفذ 21 ، إذا كان مفتوحًا ، فقد يكون ذلك بسبب وجود خادم FTP يستمع ، ويمكننا مهاجمته. مسح المنفذ هو المرحلة الأولى من pentesting.

كيف تمنع فحص المنفذ؟

لا يمكننا تجنب فحص المنافذ ، لأننا لا نستطيع منع مجرمي الإنترنت أو مجرمي الإنترنت من محاولة معرفة المنافذ التي نفتحها ، ولكن ما في وسعنا هو حماية جميع المنافذ بجدار حماية جيد التكوين بطريقة مقيدة. يجب أن نضع في اعتبارنا أن إجراء فحص للمنافذ غير قانوني ، وفقًا لما تم الإعلان عنه في العديد من المحاكم ، لأنه الخطوة الأولى للتطفل أو لاستغلال ثغرة أمنية.

للحد من المعلومات التي سنقدمها للمهاجم في فحص المنفذ ، يجب علينا القيام بما يلي:

  • أغلق جميع المنافذ في جدار الحماية ، باستثناء تلك التي يجب أن تكون مفتوحة من أجل الأداء السليم للنظام.
  • يؤدي استخدام سياسة جدار الحماية المقيدة إلى فتح ما سيتم استخدامه فقط.
  • أغلق خدمات نظام التشغيل غير المطلوبة.
  • قم بتكوين خدمات الويب و SSH و FTP بطريقة توفر لنا معلومات مثل رقم الإصدار لتجنب استغلال الثغرات الأمنية المحتملة.
  • استخدم TCP Wrappers ، وهو عبارة عن غلاف TCP الذي يمنح المسؤول مرونة أكبر للسماح بالوصول إلى خدمات معينة أو رفضه.
  • استفد من برامج مثل fail2ban لحجب عناوين IP التي تقوم بتنفيذ الهجمات.
  • استخدم IDS / IPS مثل Snort أو Suricata ، لحظر عناوين IP الخاصة بالمهاجمين.

نفق ICMP

يستخدم هذا النوع من الهجوم بشكل أساسي لتجاوز جدران الحماية ، لأن جدران الحماية لا تمنع عادةً حزم ICMP. يمكن استخدامها أيضًا لإنشاء قناة اتصال مشفرة ويصعب تتبعها. ما يفعله نفق ICMP هو إنشاء اتصال سري بين جهازي كمبيوتر ، ويمكن أيضًا استخدام هذا مع UDP باستخدام DNS.

لمنع أنفاق ICMP ، من الضروري فحص حركة مرور ICMP بالتفصيل ومعرفة نوع الرسائل التي يتم تبادلها. بالإضافة إلى ذلك ، يكون هذا معقدًا إذا تم استخدام تشفير البيانات ، ولكن يمكننا اكتشافه لأنه سيكون حركة مرور ICMP غير "طبيعية" ، وبالتالي ، سيتم تخطي جميع تنبيهات IDS / IPS إذا قمنا بتكوينها بشكل صحيح.

هجوم LOKI

هذا ليس هجومًا على شبكات البيانات ، إنه برنامج عميل / خادم يسمح بتسلل المعلومات من خلال البروتوكولات التي لا تحتوي عادةً على حمولة ، على سبيل المثال ، يمكن ربط حركة مرور SSH داخل بروتوكول ICMP باستخدام ping وحتى مع UDP لـ DNS. يمكن استخدام هذا كباب خلفي لأنظمة Linux لاستخراج المعلومات وإرسالها عن بُعد دون إثارة الشكوك. هذا شيء يجب علينا أيضًا التحكم فيه من خلال جدران الحماية.

هجوم تسلسل TCP

يتكون هذا النوع من الهجوم من محاولة التنبؤ بالرقم التسلسلي لحركة مرور TCP ، بهدف تحديد حزم اتصال TCP ، واختطاف الجلسة. المثال النموذجي هو سيناريو حيث يقوم المهاجم بمراقبة تدفق البيانات بين جهازي كمبيوتر ، ويمكن للمهاجم قطع الاتصال بالكمبيوتر الحقيقي ، وإثبات نفسه كجهاز كمبيوتر حقيقي ، وكل ذلك يتنبأ بالرقم التسلسلي لحزمة TCP التالية. يقوم المهاجم "بقتل" الكمبيوتر الحقيقي ، باستخدام هجوم رفض الخدمة (DoS) أو ما شابه ذلك.

بفضل هذا التوقع لرقم التسلسل ، ستكون الحزمة قادرة على الوصول إلى وجهتها قبل أي معلومات من المضيف الشرعي ، لأن الأخير يخضع لهجوم DoS ولن يسمح بالاتصال بمضيف الضحية. يمكن استخدام هذه الحزمة من المهاجم للوصول إلى النظام ، أو إنهاء الاتصال بالقوة ، أو إرسال حمولة ضارة مباشرة.

كيفية منع هجوم تسلسل TCP؟

أصدرت IETF في عام 2012 معيارًا جديدًا لإنشاء خوارزمية محسنة ، ومنع المهاجم من تخمين الرقم التسلسلي الأولي في اتصالات TCP. تم تصميم هذا المعيار لزيادة متانة اتصالات TCP مقابل التحليل التنبئي ومراقبة المهاجمين. تستفيد جميع أنظمة التشغيل حاليًا من هذا المعيار الجديد لمنع هذا الهجوم ، وبالتالي ، لن يتمكن المهاجم من التنبؤ بأرقام التسلسل ، ولكن لا يزال بإمكان المهاجمين في ظروف معينة تخمينها ، على الرغم من أن الأمر أكثر صعوبة من ذي قبل.

هجمات إعادة توجيه ICMP

يسمح هجوم الشبكة هذا المسمى بإعادة توجيه ICMP ، بإعادة التوجيه إلى مضيف مصدر يستخدم بوابة مختلفة بحيث يمكن أن تكون أقرب إلى الوجهة. منطقيا ، سيضع المهاجم نفسه كبوابة ، بهدف أن تمر جميع حركة المرور من خلاله لالتقاطها أو تعديلها أو حظرها. يتم إرسال هذه الرسائل إلى مضيفين مختلفين ، ولكن في الوقت الحاضر لا يتأثر هذا النوع من هجمات ICMP Redirect على أنظمة Linux ، لأنه تم تعطيلها داخليًا ، ولكن من المحتمل أن تتأثر في أنظمة التشغيل الأخرى.

هجوم نقل منطقة DNS

يؤثر هذا الهجوم على خوادم DNS ، ويتكون من قيام خادم DNS بإرجاع قائمة بأسماء المضيف وعناوين IP في المجال ، ويتم تنفيذ عمليات نقل المنطقة هذه عادةً بين خوادم DNS الرسمية ، ولكن هذا الهجوم قد يجعل مجرمي الإنترنت يستشيرون خوادم DNS للحصول على قائمة المضيفين للهجوم.