Все атаки на сети, которые существуют, и как их избежать

За последние десять или пятнадцать лет мы увидели, как изменилась парадигма, с помощью которой взломщики или киберпреступники пытались использовать все возможные уязвимости в любой организации или национальной инфраструктуре. Чтобы противодействовать этому факту, каждый из нас должен четко понимать, что мы должны изменить нашу точку зрения на то, как мы видим безопасность в компьютерной и сетевой области, мы должны знать определенные атаки и понимать, чему мы можем научиться. их, чтобы подготовиться к ним как можно лучше, а иногда даже избежать их. В этом мире безопасности мы не можем сказать, что готовы предотвратить любое нападение.

Мы начнем список угроз с самых распространенных с момента начала киберпреступной деятельности.

DoS-атака или отказ в обслуживании

A атака отказа в обслуживании , имеет в качестве цель отключить использование системы, приложение, компьютер или сервер, чтобы заблокировать службу, для которой они предназначены. Эта атака может затронуть как источник, предлагающий информацию, например приложение или канал передачи, так и компьютерную сеть, или, другими словами, киберпреступник попытается помешать пользователям получить доступ к информации или услугам. Самый распространенный тип - это когда злоумышленник «наводняет» сеть большим объемом данных, вызывая насыщение всей сети. Например, при DoS-атаке на веб-сайт, когда мы пишем URL-адрес и получаем к нему доступ, мы отправляем запрос, чтобы показать нам информацию, в этом случае злоумышленник может сделать миллионы запросов с целью свернуть все система. По этой причине эта атака получила название «отказ в обслуживании»,

Некоторые из проблем, которые мы обнаружим при проведении DoS-атаки, заключаются в том, что мы заметим огромное падение производительности сети и большую медлительность (открытие файлов или доступ к веб-сайтам). Определенный веб-сайт полностью недоступен. Мы не сможем войти ни на один веб-сайт, к которому мы пытаемся получить доступ. Резкое увеличение количества получаемого спама.

Типы DoS-атак

Атака ICMP Flood

Этот тип атаки типа «отказ в обслуживании» позволяет исчерпать полосу пропускания жертвы. Он состоит из отправки большого количества информации с использованием пакетов эхо-запроса ICMP, то есть стандартного пинга, но измененного, чтобы он был больше обычного. Кроме того, жертва может ответить вам пакетами эхо-ответа ICMP (ping-ответ), поэтому у нас возникнут дополнительные накладные расходы как в сети, так и на жертве. Самым нормальным является использование одного или нескольких очень мощных компьютеров для атаки одной и той же жертвы, таким образом жертва не сможет правильно управлять генерируемым трафиком.

Пинг мертвых

Эта атака аналогична предыдущей, она заключается в отправке пакета размером более 65536 байт, в результате чего операционная система не знает, как обрабатывать этот большой пакет, что приводит к сбою операционной системы при повторной попытке собрать его. Сегодня эта атака не работает, потому что операционная система напрямую сбрасывает пакеты. Очень важно знать об этой атаке, чтобы избежать ее в будущем, но мы уже говорили вам, что эта атака больше не работает, потому что операционные системы включают большое количество средств защиты для ее предотвращения.

Слезная атака

Этот тип атаки состоит из отправки серии очень больших пакетов с целью, чтобы цель (жертва) не могла собрать эти пакеты, насыщая операционную систему и блокируя ее. Возможно, что после того, как атака остановится, ее нужно будет перезапустить, чтобы она снова могла нормально функционировать. Сегодня ядра операционных систем включают защиту от этих атак.

Удар двух атак

Этот тип атаки состоит из фрагментации пакета ICMP с целью, чтобы жертва не могла его собрать. Это приводит к увеличению загрузки ЦП жертвой и является серьезным узким местом. Результатом этой атаки обычно является то, что компьютер жертвы становится очень медленным из-за того, что ЦП слишком занят попытками повторной сборки пакета.

Наземная атака

Этот тип атаки состоит в отправке ложного пакета TCP SYN, где IP-адрес цели используется как в качестве источника, так и в качестве пункта назначения, с целью, чтобы при получении пакета он запутался и не знал, куда отправить пакет, и сам себя блокирует. Этот тип атак обычно распознается операционными системами, брандмауэрами и даже антивирусными программами.

Атака Smurf

Эта атака заключается в отправке большого количества сообщений ICMP Echo-запроса на широковещательный IP-адрес с исходным IP-адресом жертвы. Таким образом, фактическая жертва получит все ответы ICMP Echo Reply от всей сети, что приведет к ее насыщению. Перед проведением этой атаки необходимо выполнить подмену IP-адреса, чтобы подменить исходный IP-адрес эхо-запроса ICMP, чтобы впоследствии провести эту массовую атаку. Во время атаки сеть перестанет нормально работать, потому что у нас будет большой широковещательный трафик. Современные коммутаторы готовы автоматически предотвращать эти атаки на основе PPS (пакетов в секунду). Эти запросы t

SYN флуд

Этот тип атак является одним из наиболее часто используемых во всем мире, он заключается в отправке TCP-пакетов с активированным флагом SYN с целью отправки сотен или тысяч пакетов на сервер и открытия различных соединений с целью его насыщения. с полной. Обычно эта атака используется с ложным IP-адресом источника, так что все ответы идут на IP-адрес, который не существует, или на IP-адрес жертвы, который также будет насыщен всеми ответами TCP, отправляемыми с сервера.

Атаки SYN Flood можно легко избежать с помощью брандмауэра, ограничив количество принимаемых TCP SYN-пакетов и даже установив промежуточный прокси для добавления дополнительной проверки перед передачей сообщений на веб-сервер или любую другую службу, которая это делает. использование протокола TCP.

Разбейте две атаки

Эта атака заключается в отправке большого количества UDP-трафика на широковещательный IP-адрес, эти пакеты имеют исходный IP-адрес жертвы, логически для проведения этой атаки был проведен IP-спуфинг. Сеть будет доставлять сетевой трафик на все хосты, потому что мы отправляем UDP-пакеты на широковещательный адрес, и компьютеры будут отвечать. Это приведет к тому, что жертва получит большой объем трафика, который она не сможет правильно обработать, и не сможет нормально работать.

Распределенная атака отказа в обслуживании - DDos

Эта сетевая атака заключается в сбивании жертвы с нескольких исходных компьютеров, например, ботнет, состоящий из тысячи компьютеров, может атаковать определенную цель. Эти типы атак очень распространены, в них используются методы, которые мы объясняли ранее, такие как SYN Flood. Несмотря на то, что существует очень мощный сервер, способный обрабатывать миллионы запросов SYN Flood, если мы используем ботнет с сотнями или тысячами компьютеров, он не сможет его удерживать и в конечном итоге заблокируется. Эта атака «распространяется» между разными компьютерами, будь то компьютеры, другие зараженные серверы, взломанные устройства Интернета вещей и многое другое.

Вот несколько советов по уменьшению DDoS-атак:

• Правильно настройте межсетевой экран маршрутизатора.
• Блокируйте весь сетевой трафик, за исключением того, что нам специально разрешено.
• Отключите все службы, которые мы не используем.
• Часто проверяйте конфигурацию сети и имеющиеся у нас журналы.
• Надежная политика ведения журнала, позволяющая корреляцию событий (SIEM).
• Имейте хорошую политику паролей с соответствующими разрешениями.
• Ограничьте пропускную способность сети на порт, чтобы избежать атак из нашей собственной сети.

ARP-спуфинг

Эта атака на сети передачи данных является одной из самых популярных, она позволяет атаковать компьютеры, находящиеся в одной локальной сети, будь то проводная или беспроводная. Когда выполняется атака ARP Spoofing, мы делаем то, что злоумышленник может выдавать себя за маршрутизатор или шлюз, и что весь сетевой трафик или с определенного ПК (жертвы) проходит через него, позволяя ему читать, изменять и даже блокировать сетевой трафик.

Эта атака работает только в сетях IPv4, но в сетях IPv6 также существует аналогичная атака, поскольку протокол ARP доступен только в сетях IPv4. Эта атака - самый простой способ задействовать человека посередине и захватить всю информацию от жертвы. Чтобы обнаружить эти атаки, можно использовать Reverse ARP, протокол, который используется для проверки IP, связанного с MAC, если у нас более одного IP, это означает, что мы столкнулись с атакой. Некоторые пакеты безопасности уже обнаруживают этот тип атаки, и даже управляемые переключатели позволяют избежать этого типа атаки, выполняя привязку IP-MAC.

MAC-флуд-атака

Это одна из наиболее типичных атак в сетях передачи данных, она заключается в заполнении сети MAC-адресами, где у нас есть коммутатор, каждый с разными исходными MAC-адресами, с целью сохранения таблицы CAM коммутаторов и того, что коммутатор становится центром. Однако в настоящее время все коммутаторы имеют защиту от этой атаки, что позволяет быстро удалять MAC-адреса и никогда не падать, но процессор коммутатора будет работать на 100%, и мы заметим замедление в сети.

В случае управляемых коммутаторов с VLAN переполнение будет только в затронутой VLAN, не затрагивая остальные VLAN в сети. Чтобы предотвратить этот тип атаки, рекомендуется настроить безопасность порта на коммутаторах и ограничить определенное количество MAC-адресов на порт, таким образом, порт может быть отключен автоматически или напрямую ограничить регистрацию новых MAC-адресов. до нового заказа.

DNS-кэша

Этот тип атаки заключается в предоставлении ложных данных через DNS; чтобы жертва могла получить эту информацию и посетить поддельные или находящиеся под нашим контролем веб-страницы. Компьютер, который делает DNS-запросы, может получать поддельные IP-адреса на основе своего DNS-запроса, таким образом мы можем перенаправить жертву на любой веб-сайт, находящийся под нашим контролем.

IP Spoofing

Эта атака состоит в имитации исходного IP-адреса определенного компьютера, таким образом, TCP, UDP или IP-пакеты могут быть отправлены с ложным исходным IP-адресом, олицетворяющим реальный IP-адрес устройства. У этого есть несколько целей: скрыть настоящую личность происхождения или выдать себя за другую команду, чтобы все ответы приходили непосредственно к нему.

ACK-флуд

Эта атака заключается в отправке пакета типа TCP ACK определенной цели, обычно она выполняется с поддельным IP-адресом, поэтому потребуется подмена IP-адреса. Это похоже на TCP SYN-атаки, но если брандмауэр блокирует TCP SYN-пакеты, это альтернатива блокировке жертвы.

Перехват TCP-сеанса

Эта атака заключается в захвате уже существующего сеанса TCP, в котором его использует жертва. Чтобы эта атака была успешной, она должна быть проведена в точный момент, когда в начале TCP-соединения выполняется аутентификация, именно в тот момент, когда киберпреступник выполнит атаку.

Атака "человек посередине"

Атаки «Человек посередине» - это тип атаки, который позже позволяет проводить другим. Атаки MITM заключаются в том, что злоумышленник помещает себя между двумя или более компьютерами с целью чтения, изменения на лету и даже запрета прохождения трафика от источника к месту назначения. Этот тип атаки позволяет узнать всю онлайн-навигацию и любую коммуникацию, которая будет осуществляться, кроме того, вся информация может быть направлена ​​на другой существующий компьютер.

Примером атаки MITM может быть ситуация, когда киберпреступник перехватывает сообщение между двумя людьми или между нами и веб-сервером, а киберпреступник может перехватить и перехватить всю конфиденциальную информацию, которую мы отправляем на сайт.

Как предотвратить атаки Man-In-The-Middle?

Атаки MITM невозможно избежать, благодаря технологии «Инфраструктура открытых ключей» мы сможем защитить различные команды от атак, и это позволит нам безопасно аутентифицироваться против других пользователей, подтверждая нашу личность и проверяя идентификация получателя с помощью общедоступной криптографии, кроме того, мы можем подписать информацию цифровой подписью, гарантировать свойство неотказуемости и даже отправлять информацию в полностью зашифрованном виде для сохранения конфиденциальности.

В криптографической операции, использующей инфраструктуру открытого ключа, концептуально вмешиваются следующие части:

• Пользователь, инициирующий операцию.
• Некоторые серверные системы, которые подтверждают работу и гарантируют действительность сертификатов, Центр сертификации (ЦС), Центр регистрации и Система отметок времени.
• Получатель зашифрованных данных, который подписан, что гарантируется пользователем, инициирующим операцию.

Криптографические операции с открытым ключом - это процессы, в которых используются известные и доступные всем асимметричные алгоритмы шифрования, такие как RSA или основанные на эллиптических кривых. По этой причине безопасность, которую может обеспечить технология PKI, тесно связана с конфиденциальностью так называемого закрытого ключа.

Социальные инженерные атаки

Хотя атаки социальной инженерии не являются атаками на сети передачи данных, это очень популярный тип атаки, используемый киберпреступниками. Эти типы атак состоят в манипулировании человеком с целью предоставления учетных данных пользователя, личной информации и т. Д. Киберпреступники всегда ищут все возможные способы получения учетных данных пользователя, номеров кредитных карт, банковских счетов и т. Д., Чтобы добиться этого, они будут пытаться лгать жертвам, выдавая себя за других людей.

Эти типы атак очень успешны, потому что они атакуют самое слабое звено в кибербезопасности: человека. Проще попытаться получить учетные данные пользователя с помощью социальной инженерии, чем пытаться атаковать сервис, такой как Google, для извлечения паролей. Важно, кому доверять, когда это делать, а когда мы не должны этого делать. Независимо от того, насколько безопасна наша сеть, если мы доверяем нашу безопасность тому, кому не следует, вся эта безопасность будет бесполезной.

Как предотвратить атаки социальной инженерии?

Первая рекомендация - не спешить с ответом на кибератак, многие из этих атак всегда передаются с некоторой срочностью, например, необходимо срочно осуществить денежный перевод получателю, которого у нас никогда не было. Необходимо, чтобы вы заподозрили какое-либо странное или нежелательное сообщение, если письмо, которое доходит до нас, отправлено с веб-сайта или компании, которую мы обычно используем, мы должны провести небольшое расследование с нашей стороны, которое включает даже обращение в указанную компанию для проверки информации.

• Остерегайтесь запросов информации о банке
• Никогда не сообщайте пароли доступа, даже в банки.
• Откажитесь от любой помощи третьих лиц, возможно, что они являются киберпреступниками с целью кражи информации или денег.
• Не переходите по ссылкам по электронной почте, это может быть фишинг, избегайте загрузки любых подозрительных документов.
• Установите фильтры защиты от спама, настройте нашу команду с помощью антивируса и брандмауэров, проверьте фильтры электронной почты и держите все в курсе.

Печать отпечатков пальцев ОС

Термин «отпечаток пальца ОС» относится к любому методу определения операционной системы, используемой жертвой, с целью ее нарушения. Обычно эти типы атак выполняются на этапе тестирования на проникновение, это распознавание операционной системы осуществляется путем анализа показателей протокола, времени, необходимого для ответа на конкретный запрос, и других значений. Nmap - одна из наиболее часто используемых программ для печати отпечатков пальцев в ОС. Какая польза от злоумышленника, зная операционную систему жертвы? Чтобы проводить более целенаправленные атаки на эту операционную систему, знать уязвимости и использовать их и многое другое.

Существует два разных типа отпечатка пальца в ОС:

• Активные : это достигается путем отправки специально модифицированных пакетов, созданных для целевой команды, и детального изучения ответа и анализа собранной информации. Nmap выполняет эти типы атак, чтобы получить всю возможную информацию.
• Пассивный : в этом случае полученная информация анализируется, без отправки специально разработанных пакетов на целевой компьютер.

Сканирование портов

В любом пентестинге сканирование портов - это первое, что нужно сделать, чтобы попытаться взломать цель. Это один из методов распознавания, который чаще всего используется киберпреступниками для обнаружения уязвимых служб с открытыми портами, если используется брандмауэр и даже какую операционную систему использует жертва. Все компьютеры, подключенные к локальной сети или Интернету, используют большое количество служб, которые прослушивают определенные порты TCP и UDP. Это сканирование портов позволяет нам узнать, какие порты открыты и даже какая служба за ними стоит, чтобы воспользоваться уязвимостью этой службы.

При сканировании портов мы будем отправлять сообщения на каждый порт, одно за другим, в зависимости от типа полученного ответа порт будет открыт, отфильтрован или закрыт. Одной из наиболее часто используемых программ для сканирования портов является Nmap, это швейцарский армейский нож сканирования портов, потому что у нас также есть Nmap NSE, который позволяет вам использовать сценарии для использования известных уязвимостей или для атаки Samba, FTP, SSH-серверов и т. Д.

Также очень важно знать, какие порты у нас открыты, потому что порт определяет службу, работающую в системе. Например, протокол FTP использует порт 21, если он открыт, это может быть связано с тем, что у нас есть FTP-сервер, который слушает, и мы можем атаковать его. Сканирование портов - это первый этап пентестинга.

Как предотвратить сканирование портов?

Мы не можем избежать сканирования портов, потому что мы не можем помешать киберпреступникам или киберпреступникам попытаться увидеть, какие порты у нас открыты, но в наших силах ограничить защиту всех портов с помощью хорошо настроенного брандмауэра. Мы должны помнить, что сканирование портов является незаконным, согласно тому, что было заявлено в нескольких судах, потому что это первый шаг вторжения или использования уязвимости.

Чтобы ограничить информацию, которую мы собираемся предоставить злоумышленнику при сканировании портов, мы должны сделать следующее:

• Закройте все порты в брандмауэре, кроме тех, которые должны быть открыты для правильного функционирования системы.
• Использование ограничительной политики брандмауэра открывает только то, что будет использоваться.
• Закройте ненужные службы операционной системы.
• Настройте веб-службы, SSH, FTP-службы таким образом, чтобы они предоставляли нам такую ​​информацию, как номер версии, чтобы избежать использования возможных уязвимостей.
• Используйте TCP Wrappers, оболочку TCP, которая предоставит администратору большую гибкость при разрешении или запрете доступа к определенным службам.
• Используйте такие программы, как fail2ban, для блокировки IP-адресов, которые проводят атаки.
• Используйте IDS / IPS, такие как Snort или Suricata, для блокировки IP-адресов злоумышленников.

ICMP-туннелирование

Этот тип атаки в основном используется для обхода брандмауэров, поскольку брандмауэры обычно не блокируют пакеты ICMP. Они также могут использоваться для установления зашифрованного и труднодоступного канала связи. Что делает туннель ICMP, так это устанавливает скрытое соединение между двумя компьютерами, это также можно использовать с UDP с использованием DNS.

Чтобы предотвратить использование туннелей ICMP, необходимо подробно изучить трафик ICMP и посмотреть, какие сообщения обмениваются. Кроме того, это сложно, если используется шифрование данных, но мы можем его обнаружить, потому что это будет ICMP-трафик, который не является «нормальным», поэтому все предупреждения IDS / IPS будут пропущены, если мы настроим их правильно.

LOKI атака

Это не атака на сети передачи данных, это программа клиент / сервер, которая позволяет передавать информацию через протоколы, которые обычно не содержат полезной нагрузки, например, трафик SSH может быть туннелирован в рамках протокола ICMP с помощью ping и даже с помощью UDP для DNS. Это можно использовать как лазейку в системах Linux для извлечения информации и ее удаленной отправки, не вызывая подозрений. Это то, что мы также должны контролировать через брандмауэры.

Атака на последовательность TCP

Этот тип атаки состоит из попытки предсказать порядковый номер TCP-трафика с целью идентификации пакетов TCP-соединения и перехвата сеанса. Типичным примером является сценарий, в котором злоумышленник отслеживает поток данных между двумя компьютерами, злоумышленник может прервать связь с реальным компьютером и установить себя как реальный компьютер, предсказывая порядковый номер следующего TCP-пакета. Злоумышленник «убьет» реальный компьютер, используя атаку отказа в обслуживании (DoS) или что-то подобное.

Благодаря такому предсказанию порядкового номера пакет сможет достичь пункта назначения раньше, чем какая-либо информация от легитимного хоста, поскольку последний подвергается DoS-атаке и не позволит установить связь с хостом-жертвой. Этот пакет от злоумышленника может быть использован для получения доступа к системе, принудительного разрыва соединения или прямой отправки вредоносной полезной нагрузки.

Как предотвратить атаку последовательности TCP?

В 2012 году IETF выпустила новый стандарт, чтобы установить улучшенный алгоритм и предотвратить возможность злоумышленника угадать начальный порядковый номер в TCP-коммуникациях. Этот стандарт разработан для повышения устойчивости TCP-коммуникаций к прогнозируемому анализу и мониторингу злоумышленников. В настоящее время все операционные системы используют этот новый стандарт для предотвращения этой атаки, поэтому злоумышленник не сможет предсказать порядковые номера, но злоумышленники при определенных обстоятельствах все еще могут их угадать, хотя это намного сложнее, чем раньше.

Атаки с перенаправлением ICMP

Эта сетевая атака, называемая перенаправлением ICMP, позволяет перенаправить на исходный хост, который использует другой шлюз, чтобы он мог быть ближе к месту назначения. Логично, что злоумышленник сделает себя шлюзом с целью, чтобы весь трафик, проходящий через него, захватил, изменил или заблокировал его. Эти сообщения отправляются на разные хосты, но в настоящее время этот тип атак с переадресацией ICMP в системах Linux не затрагивается, потому что он отключен внутри них, но возможно, что в других операционных системах они будут затронуты.

Атака передачи зоны DNS

Эта атака затрагивает DNS-серверы, она заключается в том, что DNS-сервер возвращает список имен хостов и IP-адресов в домене, эти передачи зон обычно выполняются между официальными DNS-серверами, но эта атака может заставить киберпреступников обращаться к DNS-серверам, чтобы иметь список хостов для атаки.