ประเภทของการโจมตี การโจมตี DOS และ DDoS: แนวคิด ประเภท วิธีการตรวจจับและการป้องกัน

อินเทอร์เน็ตเปลี่ยนวิถีชีวิตของเราอย่างสิ้นเชิง ทั้งการทำงาน การเรียน การพักผ่อน การเปลี่ยนแปลงเหล่านี้จะเกิดขึ้นทั้งในด้านที่เราทราบอยู่แล้ว (การค้าทางอิเล็กทรอนิกส์ การเข้าถึงข้อมูลแบบเรียลไทม์ ความสามารถในการสื่อสารที่เพิ่มขึ้น ฯลฯ) และในด้านที่เรายังไม่มีแนวคิด

อาจถึงเวลาที่บริษัทจะโทรศัพท์ผ่านอินเทอร์เน็ตโดยไม่เสียค่าใช้จ่ายใดๆ ในชีวิตส่วนตัว เว็บไซต์พิเศษอาจปรากฏขึ้น ด้วยความช่วยเหลือซึ่งผู้ปกครองสามารถค้นหาได้ตลอดเวลาว่าลูก ๆ ของพวกเขาเป็นอย่างไร สังคมของเราเพิ่งเริ่มตระหนักถึงความเป็นไปได้ที่ไร้ขีดจำกัดของอินเทอร์เน็ต

การแนะนำ

ในขณะเดียวกันกับการเติบโตอย่างมากในความนิยมของอินเทอร์เน็ต อันตรายที่ไม่เคยเกิดขึ้นมาก่อนจากการเปิดเผยข้อมูลส่วนบุคคล ทรัพยากรที่สำคัญขององค์กร ความลับของรัฐ ฯลฯ ก็เกิดขึ้น

ทุกๆ วัน แฮกเกอร์จะคุกคามทรัพยากรเหล่านี้โดยพยายามเข้าถึงทรัพยากรเหล่านี้โดยใช้การโจมตีพิเศษที่ค่อยๆ มีความซับซ้อนมากขึ้นในด้านหนึ่งและดำเนินการได้ง่ายขึ้นในอีกด้านหนึ่ง ปัจจัยหลักสองประการมีส่วนทำให้เกิดสิ่งนี้

ประการแรก นี่คือการแพร่หลายของอินเทอร์เน็ต ปัจจุบันมีอุปกรณ์หลายล้านเครื่องเชื่อมต่อกับอินเทอร์เน็ต และอุปกรณ์หลายล้านเครื่องจะเชื่อมต่อกับอินเทอร์เน็ตในอนาคตอันใกล้นี้ ทำให้มีโอกาสมากขึ้นที่แฮกเกอร์จะสามารถเข้าถึงอุปกรณ์ที่มีช่องโหว่ได้

นอกจากนี้ การใช้อินเทอร์เน็ตอย่างแพร่หลายยังทำให้แฮกเกอร์สามารถแลกเปลี่ยนข้อมูลในระดับโลกได้ การค้นหาคำหลักง่ายๆ เช่น “แฮ็กเกอร์”, “แฮ็ก”, “แฮ็ก”, “แคร็ก” หรือ “phreak” จะทำให้คุณกลับมามีไซต์นับพันแห่ง ซึ่งหลายแห่งมีโค้ดที่เป็นอันตรายและวิธีใช้งาน

ประการที่สอง นี่คือการกระจายระบบปฏิบัติการที่ใช้งานง่ายและสภาพแวดล้อมการพัฒนาที่กว้างที่สุด ปัจจัยนี้ช่วยลดระดับความรู้และทักษะที่แฮ็กเกอร์ต้องการอย่างมาก ก่อนหน้านี้ เพื่อสร้างและแจกจ่ายแอปพลิเคชันที่ใช้งานง่าย แฮ็กเกอร์จำเป็นต้องมีทักษะการเขียนโปรแกรมที่ดี

ตอนนี้ หากต้องการเข้าถึงเครื่องมือของแฮ็กเกอร์ คุณเพียงแค่ต้องทราบที่อยู่ IP ของไซต์ที่ต้องการ และทำการโจมตีได้เพียงคลิกเมาส์

การจำแนกประเภทของการโจมตีเครือข่าย

การโจมตีเครือข่ายมีความหลากหลายตามระบบที่เป็นเป้าหมาย การโจมตีบางอย่างนั้นซับซ้อนมาก ในขณะที่บางการโจมตีนั้นอยู่ในความสามารถของผู้ปฏิบัติงานทั่วไปซึ่งไม่ได้จินตนาการถึงผลที่ตามมาของกิจกรรมของเขาด้วยซ้ำ ในการประเมินประเภทของการโจมตี คุณจำเป็นต้องทราบข้อจำกัดบางประการของโปรโตคอล TPC/IP สุทธิ

อินเทอร์เน็ตถูกสร้างขึ้นเพื่อการสื่อสารระหว่างหน่วยงานภาครัฐและมหาวิทยาลัยเพื่อช่วยในกระบวนการศึกษาและการวิจัยทางวิทยาศาสตร์ ผู้สร้างเครือข่ายนี้ไม่รู้ว่ามันจะแพร่หลายไปขนาดไหน เป็นผลให้ข้อกำหนดของ Internet Protocol (IP) เวอร์ชันแรกๆ ขาดข้อกำหนดด้านความปลอดภัย นี่คือเหตุผลว่าทำไมการใช้งาน IP จำนวนมากจึงมีความเสี่ยงโดยธรรมชาติ

หลังจากหลายปีผ่านไป หลังจากการร้องเรียนมากมาย (ขอความคิดเห็น, RFC) ในที่สุดมาตรการรักษาความปลอดภัยสำหรับ IP ก็เริ่มถูกนำมาใช้ อย่างไรก็ตาม เนื่องจากมาตรการรักษาความปลอดภัยสำหรับโปรโตคอล IP ไม่ได้รับการพัฒนาในตอนแรก การใช้งานทั้งหมดจึงเริ่มได้รับการเสริมด้วยขั้นตอนเครือข่าย บริการ และผลิตภัณฑ์ที่หลากหลาย ซึ่งช่วยลดความเสี่ยงที่มีอยู่ในโปรโตคอลนี้ ต่อไป เราจะดูประเภทของการโจมตีที่ใช้กันทั่วไปกับเครือข่าย IP โดยสรุป และระบุวิธีในการต่อสู้กับเครือข่ายเหล่านั้น

แพ็คเก็ตดมกลิ่น

ดมแพ็กเก็ตคือแอปพลิเคชันโปรแกรมที่ใช้การ์ดเครือข่ายที่ทำงานในโหมดที่หลากหลาย (ในโหมดนี้ อะแดปเตอร์เครือข่ายจะส่งแพ็กเก็ตทั้งหมดที่ได้รับผ่านช่องทางทางกายภาพไปยังแอปพลิเคชันเพื่อประมวลผล)

ในกรณีนี้ นักดมกลิ่นจะดักจับแพ็กเก็ตเครือข่ายทั้งหมดที่ส่งผ่านโดเมนที่ระบุ ปัจจุบันนักดมกลิ่นทำงานบนเครือข่ายบนพื้นฐานทางกฎหมายโดยสมบูรณ์ ใช้สำหรับการวินิจฉัยข้อผิดพลาดและการวิเคราะห์ปริมาณข้อมูล อย่างไรก็ตาม เนื่องจากแอปพลิเคชันเครือข่ายบางตัวส่งข้อมูลในรูปแบบข้อความ ( เทลเน็ต, FTP, SMTP, POP3 ฯลฯ.) การใช้ดมกลิ่นทำให้คุณสามารถค้นหาข้อมูลที่เป็นประโยชน์และบางครั้งก็เป็นความลับได้ (เช่น ชื่อผู้ใช้และรหัสผ่าน)

การสกัดกั้นการเข้าสู่ระบบและรหัสผ่านก่อให้เกิดภัยคุกคามที่สำคัญ เนื่องจากผู้ใช้มักจะใช้การเข้าสู่ระบบและรหัสผ่านเดียวกันสำหรับแอปพลิเคชันและระบบต่างๆ โดยทั่วไปผู้ใช้จำนวนมากจะมีรหัสผ่านเดียวในการเข้าถึงทรัพยากรและแอปพลิเคชันทั้งหมด

หากแอปพลิเคชันทำงานในโหมดไคลเอนต์-เซิร์ฟเวอร์ และข้อมูลการตรวจสอบสิทธิ์ถูกส่งผ่านเครือข่ายในรูปแบบข้อความที่อ่านได้ ข้อมูลนี้มักจะสามารถใช้เพื่อเข้าถึงทรัพยากรขององค์กรหรือภายนอกอื่น ๆ ได้ แฮกเกอร์รู้และใช้ประโยชน์จากจุดอ่อนของมนุษย์ดีเกินไป (วิธีการโจมตีมักอิงตามวิธีวิศวกรรมสังคม)

พวกเขาทราบดีว่าเราใช้รหัสผ่านเดียวกันในการเข้าถึงแหล่งข้อมูลจำนวนมาก ดังนั้นพวกเขาจึงมักจะจัดการเพื่อเข้าถึงข้อมูลสำคัญโดยการเรียนรู้รหัสผ่านของเรา ในกรณีที่เลวร้ายที่สุด แฮกเกอร์ได้รับสิทธิ์เข้าถึงทรัพยากรผู้ใช้ในระดับระบบ และใช้มันเพื่อสร้างผู้ใช้ใหม่ที่สามารถใช้เพื่อเข้าถึงเครือข่ายและทรัพยากรได้ตลอดเวลา

คุณสามารถลดความเสี่ยงจากการดมแพ็กเก็ตได้โดยใช้เครื่องมือต่อไปนี้::

การรับรองความถูกต้อง การรับรองความถูกต้องที่รัดกุมเป็นการป้องกันที่สำคัญที่สุดจากการดักจับแพ็กเก็ต คำว่า "แข็งแกร่ง" หมายถึงวิธีการรับรองความถูกต้องที่เลี่ยงผ่านได้ยาก ตัวอย่างของการรับรองความถูกต้องดังกล่าวคือ รหัสผ่านแบบใช้ครั้งเดียว (OTP)

OTP เป็นเทคโนโลยีการตรวจสอบสิทธิ์แบบสองปัจจัยที่รวมสิ่งที่คุณมีเข้ากับสิ่งที่คุณรู้ ตัวอย่างทั่วไปของการตรวจสอบสิทธิ์แบบสองปัจจัยคือการทำงานของตู้ ATM ทั่วไป ซึ่งจะระบุตัวคุณ ประการแรกด้วยบัตรพลาสติกของคุณ และประการที่สองด้วยรหัส PIN ที่คุณป้อน รหัส PIN และบัตรส่วนตัวของคุณจำเป็นสำหรับการตรวจสอบสิทธิ์ในระบบ OTP

คำว่า "การ์ด" (โทเค็น) เราหมายถึงเครื่องมือฮาร์ดแวร์หรือซอฟต์แวร์ที่สร้าง (ตามหลักการสุ่ม) รหัสผ่านแบบใช้ครั้งเดียวที่ไม่ซ้ำกัน หากแฮกเกอร์ค้นพบรหัสผ่านนี้โดยใช้การดมกลิ่น ข้อมูลนี้ก็จะไร้ประโยชน์เนื่องจากในขณะนั้นรหัสผ่านจะถูกใช้และเลิกใช้แล้ว

โปรดทราบว่าวิธีการต่อสู้กับการดมกลิ่นนี้จะมีผลเฉพาะในกรณีที่มีการสกัดกั้นรหัสผ่านเท่านั้น การดมกลิ่นที่ดักจับข้อมูลอื่นๆ (เช่น ข้อความอีเมล) ยังคงมีประสิทธิภาพอยู่

โครงสร้างพื้นฐานที่สับเปลี่ยน. อีกวิธีหนึ่งในการต่อสู้กับการดมแพ็กเก็ตในสภาพแวดล้อมเครือข่ายของคุณคือการสร้างโครงสร้างพื้นฐานแบบสวิตช์ ตัวอย่างเช่น หากทั้งองค์กรใช้อีเทอร์เน็ตแบบผ่านสายโทรศัพท์ แฮกเกอร์จะสามารถเข้าถึงเฉพาะการรับส่งข้อมูลที่เข้ามาในพอร์ตที่พวกเขาเชื่อมต่ออยู่เท่านั้น โครงสร้างพื้นฐานแบบสวิตช์ไม่ได้ขจัดภัยคุกคามจากการดมกลิ่น แต่จะลดความรุนแรงลงอย่างมาก

สารต่อต้านกลิ่น วิธีที่สามในการต่อสู้กับการดมกลิ่นคือการติดตั้งฮาร์ดแวร์หรือซอฟต์แวร์ที่จดจำการดมกลิ่นที่ทำงานบนเครือข่ายของคุณ เครื่องมือเหล่านี้ไม่สามารถกำจัดภัยคุกคามได้อย่างสมบูรณ์ แต่เช่นเดียวกับเครื่องมือรักษาความปลอดภัยเครือข่ายอื่นๆ เครื่องมือเหล่านี้รวมอยู่ในระบบการป้องกันโดยรวม Antisniffer จะวัดเวลาตอบสนองของโฮสต์และพิจารณาว่าโฮสต์ต้องประมวลผลการรับส่งข้อมูลที่ไม่จำเป็นหรือไม่ ผลิตภัณฑ์หนึ่งที่มีจำหน่ายจาก LOpht Heavy Industries เรียกว่า AntiSniff

การเข้ารหัส วิธีที่มีประสิทธิภาพมากที่สุดในการต่อสู้กับการดมกลิ่นแพ็กเก็ต แม้ว่าจะไม่ป้องกันการสกัดกั้นและไม่รับรู้ถึงการทำงานของผู้ดมกลิ่น แต่ทำให้งานนี้ไร้ประโยชน์ หากช่องทางการสื่อสารมีความปลอดภัยแบบเข้ารหัส แฮ็กเกอร์จะไม่สกัดกั้นข้อความ แต่สกัดกั้นข้อความไซเฟอร์เท็กซ์ (นั่นคือลำดับบิตที่เข้าใจยาก) การเข้ารหัสในชั้นเครือข่ายของ Cisco ใช้ IPSec ซึ่งเป็นวิธีมาตรฐานสำหรับการสื่อสารที่ปลอดภัยระหว่างอุปกรณ์ที่ใช้โปรโตคอล IP โปรโตคอลการจัดการเครือข่ายการเข้ารหัสอื่นๆ ได้แก่ โปรโตคอล SSH (Secure Shell) และ SSL (Secure Socket Layer)

การปลอมแปลง IP

การปลอมแปลง IP เกิดขึ้นเมื่อแฮกเกอร์ทั้งภายในและภายนอกองค์กรแอบอ้างเป็นผู้ใช้ที่ได้รับอนุญาต ซึ่งสามารถทำได้สองวิธี: แฮกเกอร์สามารถใช้ที่อยู่ IP ที่อยู่ในช่วงของที่อยู่ IP ที่ได้รับอนุญาต หรือที่อยู่ภายนอกที่ได้รับอนุญาตซึ่งได้รับอนุญาตให้เข้าถึงทรัพยากรเครือข่ายบางอย่าง

การโจมตีด้วยการปลอมแปลง IP มักเป็นจุดเริ่มต้นของการโจมตีอื่นๆ ตัวอย่างคลาสสิกคือการโจมตี DoS ซึ่งเริ่มต้นจากที่อยู่ของบุคคลอื่น โดยซ่อนตัวตนที่แท้จริงของแฮ็กเกอร์

โดยทั่วไป การปลอมแปลง IP จะจำกัดอยู่ที่การแทรกข้อมูลเท็จหรือคำสั่งที่เป็นอันตรายลงในโฟลว์ปกติของข้อมูลที่ส่งระหว่างไคลเอนต์และแอปพลิเคชันเซิร์ฟเวอร์ หรือผ่านช่องทางการสื่อสารระหว่างอุปกรณ์เพียร์

สำหรับการสื่อสารแบบสองทาง แฮกเกอร์จะต้องเปลี่ยนตารางเส้นทางทั้งหมดเพื่อกำหนดเส้นทางการรับส่งข้อมูลไปยังที่อยู่ IP ปลอม อย่างไรก็ตาม แฮกเกอร์บางคนไม่แม้แต่จะพยายามรับการตอบสนองจากแอปพลิเคชัน หากเป้าหมายหลักคือการได้รับไฟล์สำคัญจากระบบ การตอบสนองของแอปพลิเคชันก็ไม่สำคัญ

หากแฮกเกอร์จัดการเปลี่ยนตารางเส้นทางและเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังที่อยู่ IP ปลอม เขาจะได้รับแพ็กเก็ตทั้งหมดและจะสามารถตอบสนองต่อแพ็กเก็ตเหล่านั้นได้เสมือนว่าเขาเป็นผู้ใช้ที่ได้รับอนุญาต

ภัยคุกคามจากการปลอมแปลงสามารถบรรเทาลงได้ (แต่ไม่ได้กำจัด) ด้วยมาตรการต่อไปนี้:

  • การควบคุมการเข้าถึง. วิธีที่ง่ายที่สุดในการป้องกันการปลอมแปลง IP คือการกำหนดค่าการควบคุมการเข้าถึงอย่างเหมาะสม เพื่อลดประสิทธิภาพของการปลอมแปลง IP ให้กำหนดค่าการควบคุมการเข้าถึงเพื่อปฏิเสธการรับส่งข้อมูลที่มาจากเครือข่ายภายนอกด้วยที่อยู่ต้นทางที่ควรอยู่ภายในเครือข่ายของคุณ

    จริงอยู่ สิ่งนี้ช่วยต่อสู้กับการปลอมแปลง IP เมื่ออนุญาตเฉพาะที่อยู่ภายในเท่านั้น หากที่อยู่เครือข่ายภายนอกบางแห่งได้รับอนุญาต วิธีการนี้จะใช้งานไม่ได้

  • การกรอง RFC 2827 คุณสามารถหยุดผู้ใช้บนเครือข่ายของคุณจากการปลอมแปลงเครือข่ายของผู้อื่น (และกลายเป็นพลเมืองออนไลน์ที่ดี) ในการดำเนินการนี้ คุณต้องปฏิเสธการรับส่งข้อมูลขาออกซึ่งที่อยู่ต้นทางไม่ใช่หนึ่งในที่อยู่ IP ขององค์กรของคุณ

    การกรองประเภทนี้หรือที่เรียกว่า RFC 2827 สามารถทำได้โดยผู้ให้บริการอินเทอร์เน็ต (ISP) ของคุณ เป็นผลให้การรับส่งข้อมูลทั้งหมดที่ไม่มีที่อยู่ต้นทางที่คาดหวังบนอินเทอร์เฟซเฉพาะถูกปฏิเสธ ตัวอย่างเช่น หาก ISP ให้การเชื่อมต่อไปยังที่อยู่ IP 15.1.1.0/24 ก็สามารถกำหนดค่าตัวกรองเพื่อให้อนุญาตเฉพาะการรับส่งข้อมูลที่มาจาก 15.1.1.0/24 เท่านั้นที่ได้รับอนุญาตจากอินเทอร์เฟซนั้นไปยังเราเตอร์ของ ISP

โปรดทราบว่าจนกว่าผู้ให้บริการทั้งหมดจะใช้การกรองประเภทนี้ ประสิทธิภาพของการกรองจะต่ำกว่าที่เป็นไปได้มาก นอกจากนี้ ยิ่งคุณอยู่ห่างจากอุปกรณ์ที่ถูกกรองมากเท่าใด การกรองที่แม่นยำก็จะยิ่งยากขึ้นเท่านั้น ตัวอย่างเช่น การกรอง RFC 2827 ที่ระดับเราเตอร์การเข้าถึงจำเป็นต้องผ่านการรับส่งข้อมูลทั้งหมดจากที่อยู่เครือข่ายหลัก (10.0.0.0/8) ในขณะที่ระดับการกระจาย (ในสถาปัตยกรรมที่กำหนด) เป็นไปได้ที่จะจำกัดการรับส่งข้อมูลได้แม่นยำยิ่งขึ้น (ที่อยู่ - 10.1.5.0/24)

วิธีที่มีประสิทธิภาพมากที่สุดในการต่อสู้กับการปลอมแปลง IP นั้นเหมือนกับในกรณีของการดมแพ็กเก็ต: คุณต้องทำให้การโจมตีไม่ได้ผลโดยสิ้นเชิง การปลอมแปลง IP สามารถทำงานได้ก็ต่อเมื่อมีการตรวจสอบสิทธิ์ตามที่อยู่ IP

ดังนั้นการแนะนำวิธีการรับรองความถูกต้องเพิ่มเติมทำให้การโจมตีดังกล่าวไร้ประโยชน์ การรับรองความถูกต้องเพิ่มเติมประเภทที่ดีที่สุดคือการเข้ารหัส หากไม่สามารถทำได้ การรับรองความถูกต้องด้วยสองปัจจัยโดยใช้รหัสผ่านแบบครั้งเดียวสามารถให้ผลลัพธ์ที่ดีได้

การปฏิเสธการให้บริการ

ไม่ต้องสงสัยเลยว่าการปฏิเสธการให้บริการ (DoS) เป็นรูปแบบการโจมตีแบบแฮ็กที่รู้จักกันดีที่สุด นอกจากนี้ การโจมตีประเภทนี้ยังสร้างการป้องกัน 100% ได้ยากที่สุด ในหมู่แฮกเกอร์ การโจมตี DoS ถือเป็นการเล่นของเด็ก และการใช้งานทำให้เกิดรอยยิ้มที่ดูถูกเหยียดหยาม เนื่องจากการจัดระเบียบ DoS ต้องใช้ความรู้และทักษะขั้นต่ำ

อย่างไรก็ตาม มันเป็นความง่ายในการใช้งานและความเสียหายมหาศาลที่ DoS ดึงดูดความสนใจอย่างใกล้ชิดของผู้ดูแลระบบที่รับผิดชอบด้านความปลอดภัยของเครือข่าย หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการโจมตี DoS คุณควรพิจารณาประเภทที่มีชื่อเสียงที่สุด ได้แก่:

  • TCP SYN ฟลัด;
  • ปิงแห่งความตาย;
  • เครือข่ายน้ำท่วมชนเผ่า (TFN) และเครือข่ายน้ำท่วมชนเผ่า 2000 (TFN2K);
  • ทรินโก;
  • สตาเชลดราคท์;
  • ทรินิตี้.

แหล่งข้อมูลด้านความปลอดภัยที่ยอดเยี่ยมคือ Computer Emergency Response Team (CERT) ซึ่งได้ตีพิมพ์ผลงานที่ยอดเยี่ยมในการต่อสู้กับการโจมตี DoS

การโจมตี DoS แตกต่างจากการโจมตีประเภทอื่นๆ ไม่ได้มีจุดมุ่งหมายเพื่อเข้าถึงเครือข่ายของคุณ หรือรับข้อมูลใดๆ จากเครือข่ายนั้น แต่การโจมตี DoS ทำให้เครือข่ายของคุณไม่สามารถใช้งานได้ตามปกติ โดยเกินขีดจำกัดที่ยอมรับได้ของเครือข่าย ระบบปฏิบัติการ หรือแอปพลิเคชัน

ในกรณีของแอปพลิเคชันเซิร์ฟเวอร์บางตัว (เช่น เว็บเซิร์ฟเวอร์หรือเซิร์ฟเวอร์ FTP) การโจมตี DoS อาจเกี่ยวข้องกับการเข้าควบคุมการเชื่อมต่อทั้งหมดที่มีให้กับแอปพลิเคชันเหล่านั้น และทำให้พวกเขาถูกครอบครอง เพื่อป้องกันไม่ให้ผู้ใช้ทั่วไปถูกให้บริการ การโจมตี DoS สามารถใช้โปรโตคอลอินเทอร์เน็ตทั่วไป เช่น TCP และ ICMP ( โปรโตคอลข้อความควบคุมอินเทอร์เน็ต).

การโจมตี DoS ส่วนใหญ่ไม่ได้มุ่งเป้าไปที่ข้อบกพร่องของซอฟต์แวร์หรือช่องโหว่ด้านความปลอดภัย แต่เป็นการโจมตีจุดอ่อนทั่วไปในสถาปัตยกรรมระบบ บางรายโจมตีประสิทธิภาพของเครือข่ายที่พิการโดยทำให้แพ็กเก็ตที่ไม่ต้องการและไม่จำเป็นท่วมท้น หรือข้อมูลที่ทำให้เข้าใจผิดเกี่ยวกับสถานะปัจจุบันของทรัพยากรเครือข่าย

การโจมตีประเภทนี้ป้องกันได้ยากเนื่องจากต้องอาศัยการประสานงานกับผู้ให้บริการ หากคุณไม่หยุดการรับส่งข้อมูลที่ตั้งใจจะครอบงำเครือข่ายของคุณที่ผู้ให้บริการ คุณจะไม่สามารถดำเนินการนี้ที่ทางเข้าเครือข่ายได้อีกต่อไป เนื่องจากแบนด์วิดท์ทั้งหมดจะถูกครอบครอง เมื่อการโจมตีประเภทนี้ดำเนินการพร้อมกันผ่านอุปกรณ์จำนวนมาก เราจะพูดถึงการโจมตี DoS แบบกระจาย ( DoS แบบกระจาย, DDoS)

ภัยคุกคามจากการโจมตี DoS สามารถลดลงได้สามวิธี:

  • คุณสมบัติป้องกันการปลอมแปลง. การกำหนดค่าคุณสมบัติป้องกันการปลอมแปลงอย่างเหมาะสมบนเราเตอร์และไฟร์วอลล์ของคุณจะช่วยลดความเสี่ยงของ DoS ฟีเจอร์เหล่านี้ควรมีการกรอง RFC 2827 เป็นอย่างน้อย หากแฮกเกอร์ไม่สามารถปกปิดตัวตนที่แท้จริงของเขาได้ เขาไม่น่าจะทำการโจมตีได้
  • ฟังก์ชั่นต่อต้าน DoS การกำหนดค่าคุณสมบัติต่อต้าน DoS ที่เหมาะสมบนเราเตอร์และไฟร์วอลล์สามารถจำกัดประสิทธิภาพของการโจมตีได้ คุณสมบัติเหล่านี้มักจะจำกัดจำนวนช่องที่เปิดเพียงครึ่งเดียวในช่วงเวลาใดก็ตาม
  • การจำกัดอัตราการจราจร. องค์กรอาจขอให้ผู้ให้บริการอินเทอร์เน็ต (ISP) จำกัดปริมาณการรับส่งข้อมูล การกรองประเภทนี้ช่วยให้คุณสามารถจำกัดปริมาณการรับส่งข้อมูลที่ไม่สำคัญที่ส่งผ่านเครือข่ายของคุณ ตัวอย่างทั่วไปคือการจำกัดปริมาณการรับส่งข้อมูล ICMP ซึ่งใช้เพื่อวัตถุประสงค์ในการวินิจฉัยเท่านั้น (D)การโจมตี DoS มักใช้ ICMP

การโจมตีด้วยรหัสผ่าน

แฮกเกอร์สามารถทำการโจมตีด้วยรหัสผ่านได้หลายวิธี เช่น การโจมตีแบบ bruteforce ม้าโทรจัน การปลอมแปลง IP และการดมแพ็กเก็ต แม้ว่าการเข้าสู่ระบบและรหัสผ่านมักจะได้มาจากการปลอมแปลง IP และการดมแพ็กเก็ต แต่แฮกเกอร์มักจะพยายามเดารหัสผ่านและเข้าสู่ระบบด้วยความพยายามในการเข้าถึงหลายครั้ง วิธีการนี้เรียกว่าการค้นหาแบบธรรมดา (การโจมตีแบบกำลังดุร้าย)

บ่อยครั้งที่การโจมตีดังกล่าวใช้โปรแกรมพิเศษที่พยายามเข้าถึงทรัพยากรสาธารณะ (เช่น เซิร์ฟเวอร์) หากเป็นผลให้แฮกเกอร์ได้รับสิทธิ์ในการเข้าถึงทรัพยากร เขาก็จะได้รับสิทธิ์ของผู้ใช้ทั่วไปที่เลือกรหัสผ่านไว้

หากผู้ใช้รายนี้มีสิทธิ์การเข้าถึงที่สำคัญ แฮกเกอร์สามารถสร้าง "รหัสผ่าน" สำหรับการเข้าถึงในอนาคตซึ่งจะยังคงใช้ได้แม้ว่าผู้ใช้จะเปลี่ยนรหัสผ่านและการเข้าสู่ระบบก็ตาม

ปัญหาอีกประการหนึ่งเกิดขึ้นเมื่อผู้ใช้ใช้รหัสผ่านเดียวกัน (แม้จะดีมาก) ในการเข้าถึงหลายระบบ: ระบบขององค์กร ส่วนบุคคล และระบบอินเทอร์เน็ต เนื่องจากความแข็งแกร่งของรหัสผ่านเท่ากับความแข็งแกร่งของโฮสต์ที่อ่อนแอที่สุด แฮกเกอร์ที่เรียนรู้รหัสผ่านผ่านโฮสต์นั้นจะสามารถเข้าถึงระบบอื่น ๆ ทั้งหมดที่ใช้รหัสผ่านเดียวกัน

คุณสามารถหลีกเลี่ยงการโจมตีด้วยรหัสผ่านได้โดยไม่ใช้รหัสผ่านที่เป็นข้อความธรรมดา รหัสผ่านแบบครั้งเดียวและ/หรือการรับรองความถูกต้องด้วยการเข้ารหัสสามารถกำจัดภัยคุกคามจากการโจมตีดังกล่าวได้ ขออภัย ไม่ใช่ทุกแอปพลิเคชัน โฮสต์ และอุปกรณ์ที่รองรับวิธีการตรวจสอบสิทธิ์ข้างต้น

เมื่อใช้รหัสผ่านปกติ พยายามคิดรหัสผ่านที่เดาได้ยาก ความยาวรหัสผ่านขั้นต่ำต้องมีอย่างน้อยแปดตัวอักษร รหัสผ่านจะต้องมีอักขระตัวพิมพ์ใหญ่ ตัวเลข และอักขระพิเศษ (#, %, $ ฯลฯ)

รหัสผ่านที่ดีที่สุดนั้นคาดเดายากและจดจำยาก ทำให้ผู้ใช้ต้องจดบันทึกไว้ในกระดาษ เพื่อหลีกเลี่ยงปัญหานี้ ผู้ใช้และผู้ดูแลระบบสามารถใช้ความก้าวหน้าทางเทคโนโลยีล่าสุดจำนวนหนึ่งได้

ตัวอย่างเช่น มีแอพพลิเคชั่นที่เข้ารหัสรายการรหัสผ่านที่สามารถจัดเก็บไว้ในพ็อกเก็ตคอมพิวเตอร์ได้ เป็นผลให้ผู้ใช้จำเป็นต้องจำรหัสผ่านที่ซับซ้อนเพียงรหัสผ่านเดียวเท่านั้น ในขณะที่รหัสผ่านอื่นๆ ทั้งหมดจะได้รับการปกป้องอย่างน่าเชื่อถือโดยแอปพลิเคชัน

มีหลายวิธีสำหรับผู้ดูแลระบบในการต่อสู้กับการเดารหัสผ่าน หนึ่งในนั้นคือการใช้เครื่องมือ L0phtCrack ซึ่งแฮกเกอร์มักใช้เพื่อเดารหัสผ่านในสภาพแวดล้อม Windows NT เครื่องมือนี้จะแสดงให้คุณเห็นว่ารหัสผ่านที่ผู้ใช้เลือกนั้นเดาได้ง่ายหรือไม่ สำหรับข้อมูลเพิ่มเติม โปรดไปที่ http://www.l0phtcrack.com/

การโจมตีแบบคนกลาง

สำหรับการโจมตีแบบ Man-in-the-Middle แฮกเกอร์จำเป็นต้องเข้าถึงแพ็กเก็ตที่ส่งผ่านเครือข่าย การเข้าถึงแพ็กเก็ตทั้งหมดที่ส่งจากผู้ให้บริการไปยังเครือข่ายอื่น ๆ ดังกล่าวสามารถทำได้โดยพนักงานของผู้ให้บริการรายนี้ การดมกลิ่นแพ็กเก็ต โปรโตคอลการขนส่ง และโปรโตคอลการกำหนดเส้นทาง มักใช้สำหรับการโจมตีประเภทนี้

การโจมตีจะดำเนินการโดยมีจุดประสงค์เพื่อขโมยข้อมูล สกัดกั้นเซสชันปัจจุบันและเข้าถึงทรัพยากรเครือข่ายส่วนตัว เพื่อวิเคราะห์การรับส่งข้อมูลและรับข้อมูลเกี่ยวกับเครือข่ายและผู้ใช้ เพื่อทำการโจมตี DoS การบิดเบือนข้อมูลที่ส่ง และการป้อนข้อมูลที่ไม่ได้รับอนุญาต เข้าสู่เซสชันเครือข่าย

การโจมตีแบบ Man-in-the-Middle สามารถต่อสู้ได้อย่างมีประสิทธิภาพโดยใช้การเข้ารหัสเท่านั้น หากแฮ็กเกอร์ดักข้อมูลจากเซสชันที่เข้ารหัส สิ่งที่จะปรากฏบนหน้าจอของเขาไม่ใช่ข้อความที่ถูกดัก แต่เป็นชุดอักขระที่ไม่มีความหมาย โปรดทราบว่าหากแฮกเกอร์ได้รับข้อมูลเกี่ยวกับเซสชันการเข้ารหัส (เช่น คีย์เซสชัน) สิ่งนี้อาจทำให้การโจมตีแบบ Man-in-the-Middle เกิดขึ้นได้แม้ในสภาพแวดล้อมที่เข้ารหัส

การโจมตีระดับแอปพลิเคชัน

การโจมตีระดับแอปพลิเคชันสามารถทำได้หลายวิธี ปัญหาที่พบบ่อยที่สุดคือการใช้จุดอ่อนที่รู้จักกันดีในซอฟต์แวร์เซิร์ฟเวอร์ (sendmail, HTTP, FTP) ด้วยการใช้ประโยชน์จากจุดอ่อนเหล่านี้ แฮกเกอร์สามารถเข้าถึงคอมพิวเตอร์ในฐานะผู้ใช้ที่เรียกใช้แอปพลิเคชัน (โดยปกติจะไม่ใช่ผู้ใช้ทั่วไป แต่เป็นผู้ดูแลระบบที่ได้รับสิทธิพิเศษที่มีสิทธิ์การเข้าถึงระบบ)

ข้อมูลเกี่ยวกับการโจมตีระดับแอปพลิเคชันได้รับการเผยแพร่อย่างกว้างขวางเพื่อให้ผู้ดูแลระบบมีโอกาสแก้ไขปัญหาโดยใช้โมดูลแก้ไข (แพตช์) น่าเสียดายที่แฮกเกอร์จำนวนมากสามารถเข้าถึงข้อมูลนี้ได้เช่นกัน ซึ่งทำให้พวกเขาสามารถปรับปรุงได้

ปัญหาหลักของการโจมตีระดับแอปพลิเคชันคือแฮกเกอร์มักใช้พอร์ตที่ได้รับอนุญาตให้ผ่านไฟร์วอลล์ ตัวอย่างเช่น แฮกเกอร์ที่ใช้ประโยชน์จากจุดอ่อนที่ทราบในเว็บเซิร์ฟเวอร์มักจะใช้พอร์ต 80 ในการโจมตี TCP เนื่องจากเว็บเซิร์ฟเวอร์จัดเตรียมเว็บเพจให้กับผู้ใช้ ไฟร์วอลล์จึงต้องให้การเข้าถึงพอร์ตนี้ จากมุมมองของไฟร์วอลล์ การโจมตีจะถือเป็นการรับส่งข้อมูลมาตรฐานบนพอร์ต 80

การโจมตีระดับแอปพลิเคชันไม่สามารถกำจัดได้อย่างสมบูรณ์ แฮกเกอร์ค้นพบและเผยแพร่ช่องโหว่ใหม่ๆ ในโปรแกรมแอปพลิเคชันบนอินเทอร์เน็ตอย่างต่อเนื่อง สิ่งที่สำคัญที่สุดที่นี่คือการบริหารระบบที่ดี ต่อไปนี้คือมาตรการบางส่วนที่คุณสามารถใช้ลดความเสี่ยงต่อการโจมตีประเภทนี้:

  • อ่านไฟล์บันทึกระบบปฏิบัติการและเครือข่าย และ/หรือวิเคราะห์โดยใช้แอปพลิเคชันการวิเคราะห์พิเศษ
  • สมัครสมาชิกบริการรายงานช่องโหว่ของแอปพลิเคชัน: Bugtrad (http://www.securityfocus.com)

หน่วยสืบราชการลับเครือข่าย

ข่าวกรองเครือข่ายหมายถึงการรวบรวมข้อมูลเครือข่ายโดยใช้ข้อมูลและแอปพลิเคชันที่เปิดเผยต่อสาธารณะ เมื่อเตรียมการโจมตีเครือข่าย แฮกเกอร์มักจะพยายามรับข้อมูลเกี่ยวกับเครือข่ายให้ได้มากที่สุด การลาดตระเวนเครือข่ายดำเนินการในรูปแบบของการสืบค้น DNS, การปิง และการสแกนพอร์ต

การสืบค้น DNS ช่วยให้คุณเข้าใจว่าใครเป็นเจ้าของโดเมนใดโดเมนหนึ่ง และที่อยู่ใดถูกกำหนดให้กับโดเมนนั้น ที่อยู่ Ping ที่เปิดเผยโดย DNS ช่วยให้คุณเห็นว่าโฮสต์ใดกำลังทำงานอยู่ในสภาพแวดล้อมที่กำหนด หลังจากได้รับรายชื่อโฮสต์แล้ว แฮกเกอร์จะใช้เครื่องมือสแกนพอร์ตเพื่อรวบรวมรายการบริการทั้งหมดที่โฮสต์เหล่านั้นสนับสนุน ในที่สุดแฮ็กเกอร์จะวิเคราะห์ลักษณะของแอปพลิเคชันที่ทำงานบนโฮสต์ เป็นผลให้เขาได้รับข้อมูลที่สามารถนำมาใช้ในการแฮ็กได้

เป็นไปไม่ได้ที่จะกำจัดความฉลาดทางเครือข่ายออกไปโดยสิ้นเชิง ตัวอย่างเช่น หากคุณปิดใช้งาน ICMP echo และ echo Reply บนเราเตอร์ Edge คุณจะยกเลิกการทดสอบ Ping แต่คุณสูญเสียข้อมูลที่จำเป็นในการวินิจฉัยความล้มเหลวของเครือข่าย

นอกจากนี้ คุณสามารถสแกนพอร์ตโดยไม่ต้องทดสอบ Ping เบื้องต้น เนื่องจากจะใช้เวลานานกว่านี้ เนื่องจากคุณจะต้องสแกนที่อยู่ IP ที่ไม่มีอยู่จริง โดยทั่วไประบบ IDS ระดับเครือข่ายและโฮสต์จะทำงานได้ดีในการแจ้งเตือนผู้ดูแลระบบเกี่ยวกับการลาดตระเวนเครือข่ายอย่างต่อเนื่อง ช่วยให้พวกเขาสามารถเตรียมพร้อมสำหรับการโจมตีที่กำลังจะเกิดขึ้นได้ดีขึ้น และแจ้งเตือนผู้ให้บริการอินเทอร์เน็ต (ISP) ว่าเครือข่ายใดที่ระบบกำลังสงสัยมากเกินไป:

  1. ใช้ระบบปฏิบัติการและแอพพลิเคชั่นเวอร์ชันล่าสุดและโมดูลแก้ไขล่าสุด (แพตช์)
  2. นอกเหนือจากการดูแลระบบแล้ว ให้ใช้ระบบตรวจจับการโจมตี (IDS) ซึ่งเป็นเทคโนโลยี ID เสริมสองเทคโนโลยี:
    • Network IDS System (NIDS) ตรวจสอบแพ็กเก็ตทั้งหมดที่ส่งผ่านโดเมนที่ระบุ เมื่อระบบ NIDS เห็นแพ็กเก็ตหรือชุดของแพ็กเก็ตที่ตรงกับลายเซ็นของการโจมตีที่ทราบหรือน่าจะเป็นไปได้ ระบบจะสร้างสัญญาณเตือนและ/หรือยุติเซสชัน
    • ระบบ IDS (HIDS) ปกป้องโฮสต์โดยใช้ตัวแทนซอฟต์แวร์ ระบบนี้จะต่อสู้กับการโจมตีโฮสต์เดียวเท่านั้น

ในการทำงาน ระบบ IDS ใช้ลายเซ็นการโจมตี ซึ่งเป็นโปรไฟล์ของการโจมตีเฉพาะหรือประเภทของการโจมตี ลายเซ็นจะกำหนดเงื่อนไขที่การรับส่งข้อมูลถือเป็นแฮ็กเกอร์ ความคล้ายคลึงของ IDS ในโลกทางกายภาพถือได้ว่าเป็นระบบเตือนภัยหรือกล้องวงจรปิด

ข้อเสียเปรียบที่ใหญ่ที่สุดของ IDS คือความสามารถในการสร้างสัญญาณเตือน เพื่อลดจำนวนการแจ้งเตือนที่ผิดพลาดและรับประกันการทำงานที่ถูกต้องของระบบ IDS บนเครือข่าย จำเป็นต้องมีการกำหนดค่าระบบอย่างระมัดระวัง

การละเมิดความไว้วางใจ

หากพูดอย่างเคร่งครัด การกระทำประเภทนี้ไม่อยู่ในความหมายที่สมบูรณ์ของคำว่าการโจมตีหรือทำร้ายร่างกาย มันแสดงถึงการแสวงหาผลประโยชน์ที่เป็นอันตรายของความสัมพันธ์ที่เชื่อถือได้ที่มีอยู่ในเครือข่าย ตัวอย่างคลาสสิกของการละเมิดดังกล่าวคือสถานการณ์ในส่วนต่อพ่วงของเครือข่ายองค์กร

ส่วนนี้มักเป็นที่ตั้งของเซิร์ฟเวอร์ DNS, SMTP และ HTTP เนื่องจากเซิร์ฟเวอร์เหล่านี้ทั้งหมดอยู่ในกลุ่มเดียวกัน การแฮ็กกลุ่มใดกลุ่มหนึ่งจึงนำไปสู่การแฮ็กกลุ่มอื่นๆ ทั้งหมด เนื่องจากเซิร์ฟเวอร์เหล่านี้เชื่อถือระบบอื่นบนเครือข่ายของตน

อีกตัวอย่างหนึ่งคือระบบที่ติดตั้งที่ด้านนอกของไฟร์วอลล์ที่มีความสัมพันธ์ที่เชื่อถือได้กับระบบที่ติดตั้งที่ด้านในของไฟร์วอลล์ หากระบบภายนอกถูกบุกรุก แฮกเกอร์สามารถใช้ความสัมพันธ์ที่เชื่อถือได้เพื่อเจาะระบบที่ได้รับการป้องกันโดยไฟร์วอลล์

ความเสี่ยงของการละเมิดความไว้วางใจสามารถลดลงได้ด้วยการควบคุมระดับความไว้วางใจภายในเครือข่ายของคุณให้เข้มงวดมากขึ้น ระบบที่อยู่นอกไฟร์วอลล์ไม่ควรได้รับความไว้วางใจจากระบบที่ได้รับการคุ้มครองโดยไฟร์วอลล์

ความสัมพันธ์ที่เชื่อถือได้ควรจำกัดไว้เฉพาะโปรโตคอลเฉพาะ และหากเป็นไปได้ ควรตรวจสอบความถูกต้องโดยพารามิเตอร์อื่นที่ไม่ใช่ที่อยู่ IP

การส่งต่อพอร์ต

การส่งต่อพอร์ตเป็นรูปแบบหนึ่งของการใช้ความไว้วางใจในทางที่ผิด โดยโฮสต์ที่ถูกบุกรุกจะถูกนำมาใช้เพื่อส่งผ่านการรับส่งข้อมูลผ่านไฟร์วอลล์ซึ่งหากไม่เช่นนั้นจะถูกปฏิเสธ ลองจินตนาการถึงไฟร์วอลล์ที่มีอินเทอร์เฟซสามแบบ ซึ่งแต่ละอินเทอร์เฟซเชื่อมต่อกับโฮสต์เฉพาะ

โฮสต์ภายนอกสามารถเชื่อมต่อกับโฮสต์ที่ใช้ร่วมกัน (DMZ) ได้ แต่ไม่สามารถเชื่อมต่อกับโฮสต์ที่ติดตั้งภายในไฟร์วอลล์ได้ โฮสต์ที่ใช้ร่วมกันสามารถเชื่อมต่อกับทั้งโฮสต์ภายในและภายนอก หากแฮกเกอร์เข้าควบคุมโฮสต์ที่ใช้ร่วมกัน เขาสามารถติดตั้งซอฟต์แวร์บนโฮสต์นั้นซึ่งเปลี่ยนเส้นทางการรับส่งข้อมูลจากโฮสต์ภายนอกไปยังโฮสต์ภายในโดยตรง

แม้ว่าการดำเนินการนี้จะไม่ละเมิดกฎใดๆ บนหน้าจอ แต่โฮสต์ภายนอกจะสามารถเข้าถึงโฮสต์ที่ได้รับการป้องกันได้โดยตรงอันเป็นผลมาจากการเปลี่ยนเส้นทาง ตัวอย่างของแอปพลิเคชันที่สามารถให้การเข้าถึงดังกล่าวได้คือ netcat สามารถดูข้อมูลเพิ่มเติมได้ที่ http://www.avian.org

วิธีหลักในการต่อสู้กับการส่งต่อพอร์ตคือการใช้โมเดลความน่าเชื่อถือที่แข็งแกร่ง (ดูหัวข้อก่อนหน้า) นอกจากนี้ ระบบ IDS ของโฮสต์ (HIDS) ยังสามารถป้องกันไม่ให้แฮกเกอร์ติดตั้งซอฟต์แวร์ของเขาบนโฮสต์ได้

การเข้าถึงที่ไม่ได้รับอนุญาต

การเข้าถึงที่ไม่ได้รับอนุญาตไม่สามารถระบุได้ว่าเป็นการโจมตีประเภทแยกต่างหาก เนื่องจากการโจมตีเครือข่ายส่วนใหญ่ดำเนินการอย่างแม่นยำเพื่อให้เข้าถึงโดยไม่ได้รับอนุญาต หากต้องการคาดเดาการเข้าสู่ระบบ Telnet แฮกเกอร์จะต้องได้รับคำแนะนำ Telnet ในระบบของเขาก่อน หลังจากเชื่อมต่อกับพอร์ต Telnet แล้ว ข้อความ “ต้องได้รับอนุญาตเพื่อใช้ทรัพยากรนี้” จะปรากฏบนหน้าจอ (“ ต้องได้รับอนุญาตเพื่อใช้ทรัพยากรนี้»).

หากแฮกเกอร์ยังคงพยายามเข้าถึงหลังจากนี้ จะถือว่าไม่ได้รับอนุญาต แหล่งที่มาของการโจมตีดังกล่าวอาจอยู่ภายในเครือข่ายหรือภายนอกก็ได้

วิธีการต่อสู้กับการเข้าถึงโดยไม่ได้รับอนุญาตนั้นค่อนข้างง่าย สิ่งสำคัญที่นี่คือการลดหรือกำจัดความสามารถของแฮ็กเกอร์ในการเข้าถึงระบบโดยใช้โปรโตคอลที่ไม่ได้รับอนุญาตโดยสิ้นเชิง

ตามตัวอย่าง ให้พิจารณาป้องกันไม่ให้แฮกเกอร์เข้าถึงพอร์ต Telnet บนเซิร์ฟเวอร์ที่ให้บริการเว็บแก่ผู้ใช้ภายนอก หากไม่มีการเข้าถึงพอร์ตนี้ แฮกเกอร์จะไม่สามารถโจมตีได้ สำหรับไฟร์วอลล์ หน้าที่หลักคือป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตที่ง่ายที่สุด

แอปพลิเคชั่นไวรัสและม้าโทรจัน

เวิร์กสเตชันของผู้ใช้มีความเสี่ยงสูงต่อไวรัสและม้าโทรจัน ไวรัสคือโปรแกรมที่เป็นอันตรายซึ่งถูกแทรกเข้าไปในโปรแกรมอื่นเพื่อทำหน้าที่เฉพาะที่ไม่ต้องการบนเวิร์กสเตชันของผู้ใช้ ตัวอย่างคือไวรัสที่เขียนในไฟล์ command.com (ตัวแปลหลักของระบบ Windows) และลบไฟล์อื่นๆ และยังแพร่เชื้อ command.com เวอร์ชันอื่นๆ ทั้งหมดที่พบอีกด้วย

ม้าโทรจันไม่ใช่ส่วนแทรกซอฟต์แวร์ แต่เป็นโปรแกรมจริงที่ดูเหมือนเป็นแอปพลิเคชั่นที่มีประโยชน์เมื่อดูแวบแรก แต่จริงๆ แล้วมีบทบาทที่เป็นอันตราย ตัวอย่างของม้าโทรจันทั่วไปคือโปรแกรมที่ดูเหมือนเกมง่ายๆ สำหรับเวิร์กสเตชันของผู้ใช้

อย่างไรก็ตาม ในขณะที่ผู้ใช้กำลังเล่นเกม โปรแกรมจะส่งสำเนาของตัวเองทางอีเมลไปยังสมาชิกทุกคนในสมุดที่อยู่ของผู้ใช้นั้น สมาชิกทุกคนจะได้รับเกมทางไปรษณีย์ ทำให้เกิดการเผยแพร่ต่อไป

การต่อสู้กับไวรัสและม้าโทรจันนั้นดำเนินการด้วยความช่วยเหลือของซอฟต์แวร์ป้องกันไวรัสที่มีประสิทธิภาพซึ่งทำงานในระดับผู้ใช้และอาจเป็นไปได้ในระดับเครือข่าย ผลิตภัณฑ์ป้องกันไวรัสจะตรวจจับไวรัสและม้าโทรจันส่วนใหญ่และหยุดการแพร่กระจาย

การได้รับข้อมูลล่าสุดเกี่ยวกับไวรัสจะช่วยให้คุณต่อสู้กับไวรัสได้อย่างมีประสิทธิภาพมากขึ้น เมื่อมีไวรัสและม้าโทรจันตัวใหม่เกิดขึ้น ธุรกิจต่างๆ จะต้องติดตั้งเครื่องมือและแอพพลิเคชั่นป้องกันไวรัสเวอร์ชันใหม่

ระบบคอมพิวเตอร์ของเราเสี่ยงต่อการโจมตีประเภทต่างๆ เพื่อปกป้องระบบจากการโจมตีเหล่านี้ สิ่งสำคัญคือต้องทราบการโจมตีคอมพิวเตอร์ทั่วไป ในโลกปัจจุบัน เกือบจะกลายเป็นสถานการณ์ปกติเมื่อเราได้ยินเกี่ยวกับระบบคอมพิวเตอร์ส่วนบุคคลหรือเครือข่ายที่ถูกโจมตี ในยุคของเทคโนโลยีนี้ มีการโจมตีคอมพิวเตอร์หลายประเภทที่คุณต้องการเพื่อปกป้องข้อมูล ระบบ และเครือข่ายอันมีค่าของคุณ แม้ว่าการโจมตีบางอย่างอาจสร้างความเสียหายให้กับข้อมูลบนคอมพิวเตอร์ แต่ก็มีการโจมตีอื่น ๆ ที่ข้อมูลจากระบบคอมพิวเตอร์อาจสร้างความเสียหายได้ ถูกขโมย เช่นเดียวกับการโจมตีอื่น ๆ ที่สามารถปิดเครือข่ายทั้งหมดได้

พูดง่ายๆ ก็คือ มีการโจมตีสองประเภทหลัก ได้แก่ การโจมตีแบบพาสซีฟและการโจมตีแบบแอคทีฟ การโจมตีแบบพาสซีฟคือการโจมตีที่มีการตรวจสอบข้อมูลบนคอมพิวเตอร์และนำไปใช้เพื่อผลประโยชน์ที่เป็นอันตรายในภายหลัง ในขณะที่การโจมตีแบบแอคทีฟคือการโจมตีที่มีการเปลี่ยนแปลงข้อมูลหรือข้อมูล จะถูกลบหรือเครือข่ายจะถูกทำลายโดยสิ้นเชิง ด้านล่างนี้คือการโจมตีแบบแอ็คทีฟและพาสซีฟที่พบบ่อยที่สุดซึ่งอาจส่งผลต่อคอมพิวเตอร์

ประเภทของการโจมตีคอมพิวเตอร์ที่ใช้งานอยู่

ไวรัส

การโจมตีทางคอมพิวเตอร์และไวรัสที่มีชื่อเสียงที่สุดเกิดขึ้นมาเป็นเวลานานแล้วซึ่งถูกติดตั้งบนคอมพิวเตอร์และแพร่กระจายไปยังไฟล์อื่น ๆ ในระบบ ไวรัสเหล่านี้มักแพร่กระจายผ่านฮาร์ดไดรฟ์ภายนอก หรือผ่านเว็บไซต์อินเทอร์เน็ตบางแห่ง หรือเป็นไฟล์แนบในอีเมล เมื่อมีการเผยแพร่ไวรัส ไวรัสเหล่านี้จะเป็นอิสระจากผู้สร้าง และเป้าหมายของไวรัสคือการทำให้ไฟล์และระบบอื่นๆ จำนวนมากติดไวรัส

ชุดรูท

แฮกเกอร์เข้าถึงระบบโดยใช้ชุดไดรเวอร์รูทและควบคุมคอมพิวเตอร์ได้อย่างสมบูรณ์ การโจมตีเหล่านี้ถือเป็นการโจมตีทางคอมพิวเตอร์ที่อันตรายที่สุดเนื่องจากแฮ็กเกอร์สามารถควบคุมระบบได้มากกว่าเจ้าของระบบ ในบางกรณี แฮกเกอร์ยังสามารถเปิดเว็บแคมและติดตามกิจกรรมของเหยื่อโดยรู้ทุกอย่างเกี่ยวกับเขา

โทรจัน

ในรายการการโจมตีทางคอมพิวเตอร์ ม้าโทรจันมีอันดับสูงสุดรองจากไวรัส พวกมันมักจะฝังอยู่ในชิ้นส่วนของซอฟต์แวร์ ในสกรีนเซฟเวอร์ หรือในเกมที่จะทำงานได้ตามปกติ อย่างไรก็ตาม เมื่อพวกมันถูกคัดลอกไปยังระบบ พวกมันจะทำให้คอมพิวเตอร์ติดไวรัส ด้วยไวรัสหรือชุดรูท กล่าวอีกนัยหนึ่ง พวกมันทำหน้าที่เป็นพาหะไวรัสหรือรูทคิทเพื่อทำให้ระบบติดไวรัส

หนอน

เวิร์มสามารถเรียกได้ว่าเป็นญาติของไวรัส ความแตกต่างระหว่างไวรัสและเวิร์มอินเทอร์เน็ตก็คือ เวิร์มจะแพร่ระบาดในระบบโดยไม่ได้รับความช่วยเหลือจากผู้ใช้ ขั้นตอนแรกคือเวิร์มจะสแกนคอมพิวเตอร์เพื่อหาจุดอ่อน จากนั้น เวิร์มจะคัดลอกตัวเองเข้าสู่ระบบและทำให้ระบบติดไวรัส

การโจมตีคอมพิวเตอร์ประเภทพาสซีฟ

การดักฟัง

ตามชื่อที่แนะนำ แฮกเกอร์จะแอบได้ยินการสนทนาที่เกิดขึ้นระหว่างคอมพิวเตอร์สองเครื่องบนเครือข่าย สิ่งนี้สามารถเกิดขึ้นได้ในระบบปิดเช่นเดียวกับทางอินเทอร์เน็ต ชื่ออื่นๆ ที่เกี่ยวข้องคือการสอดแนม ด้วยการดักฟัง ข้อมูลที่ละเอียดอ่อนสามารถแพร่กระจายไปทั่วเครือข่ายและบุคคลอื่นสามารถเข้าถึงได้

การโจมตีด้วยรหัสผ่าน

การโจมตีทางไซเบอร์ประเภทหนึ่งที่พบบ่อยที่สุดคือการโจมตีด้วยรหัสผ่าน ในที่นี้ แฮกเกอร์สามารถเข้าถึงคอมพิวเตอร์และทรัพยากรเครือข่ายได้โดยการได้รับรหัสผ่านควบคุม มักพบว่าผู้โจมตีได้เปลี่ยนแปลงการกำหนดค่าเซิร์ฟเวอร์และเครือข่าย และในบางกรณีก็สามารถทำได้ ลบข้อมูล นอกจากนี้ข้อมูลยังสามารถส่งไปยังเครือข่ายต่างๆ

คีย์การโจมตีที่ถูกบุกรุก

ในการจัดเก็บข้อมูลที่เป็นความลับคุณสามารถใช้รหัสลับหรือหมายเลขได้ การได้รับรหัสนั้นเป็นงานใหญ่อย่างแท้จริงสำหรับแฮ็กเกอร์อย่างไม่ต้องสงสัยและเป็นไปได้ว่าหลังจากการวิจัยอย่างเข้มข้นแล้วแฮ็กเกอร์ก็สามารถวางมือบนกุญแจได้จริง เมื่อคีย์อยู่ในความครอบครองของแฮกเกอร์ จะเรียกว่าคีย์ที่ถูกบุกรุก ตอนนี้แฮกเกอร์จะสามารถเข้าถึงข้อมูลที่เป็นความลับและสามารถเปลี่ยนแปลงข้อมูลได้ อย่างไรก็ตาม มีความเป็นไปได้ที่แฮ็กเกอร์จะพยายามเปลี่ยนลำดับและผสมคีย์ต่างๆ เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนชุดอื่นๆ

การแอบอ้างตัวตน

คอมพิวเตอร์ทุกเครื่องมีที่อยู่ IP เนื่องจากถูกต้องและเป็นอิสระบนเครือข่ายหนึ่งในการโจมตีคอมพิวเตอร์ทั่วไปคือการรับข้อมูลประจำตัวของคอมพิวเตอร์เครื่องอื่น ที่นี่สามารถส่งแพ็กเก็ต IP จากที่อยู่ที่ถูกต้องและเข้าถึง IP ที่เฉพาะเจาะจงได้ ข้อมูลระบบสามารถลบ แก้ไข หรือเปลี่ยนเส้นทางได้ นอกจากนี้ แฮกเกอร์สามารถใช้ที่อยู่ IP ที่ถูกบุกรุกนี้เพื่อโจมตีระบบอื่นๆ ภายในหรือภายนอกเครือข่าย

การโจมตีเลเยอร์แอปพลิเคชัน

เป้าหมายของการโจมตีระดับแอปพลิเคชันคือการทำให้เกิดความผิดพลาดในระบบปฏิบัติการของเซิร์ฟเวอร์ เมื่อเกิดข้อผิดพลาดในระบบปฏิบัติการ แฮกเกอร์จะสามารถเข้าถึงเพื่อควบคุมเซิร์ฟเวอร์ได้ ซึ่งส่งผลให้ข้อมูลถูกแก้ไขในรูปแบบต่างๆ . ไวรัสอาจถูกนำเข้าสู่ระบบ หรือคำขอหลายรายการอาจถูกส่งไปยังเซิร์ฟเวอร์ ซึ่งอาจทำให้เกิดปัญหา หรือการควบคุมความปลอดภัยอาจถูกปิดใช้งาน ทำให้ยากต่อการกู้คืนเซิร์ฟเวอร์

นี่คือประเภทของการโจมตีที่เซิร์ฟเวอร์และระบบคอมพิวเตอร์แต่ละเครื่องสามารถเผชิญได้ รายการการโจมตีคอมพิวเตอร์ล่าสุดยังคงเพิ่มขึ้นทุกวันซึ่งแฮกเกอร์ใช้วิธีการแฮ็กแบบใหม่

ตารางที่ 9.1
ชื่อโปรโตคอล ระดับ สแต็คโปรโตคอล ชื่อ (ลักษณะ) ของช่องโหว่ เนื้อหาของการละเมิด ความปลอดภัยของข้อมูล
FTP (File Transfer Protocol) – โปรโตคอลสำหรับถ่ายโอนไฟล์ผ่านเครือข่าย
  • การรับรองความถูกต้องตาม ข้อความธรรมดา(รหัสผ่านถูกส่งโดยไม่มีการเข้ารหัส)
  • การเข้าถึงเริ่มต้น
  • ความพร้อมใช้งานของสองพอร์ตที่เปิดอยู่
  • โอกาส การสกัดกั้นข้อมูล
เทลเน็ต - โปรโตคอลการควบคุมเทอร์มินัลระยะไกล การสมัคร ตัวแทน เซสชั่น การรับรองความถูกต้องตาม ข้อความธรรมดา(รหัสผ่านถูกส่งโดยไม่มีการเข้ารหัส)
  • โอกาส การสกัดกั้นข้อมูลบัญชี (ชื่อผู้ใช้ที่ลงทะเบียน, รหัสผ่าน)
  • เข้าถึงโฮสต์จากระยะไกล
UDP- โปรโตคอลการถ่ายโอนข้อมูลไม่มีการเชื่อมต่อ ขนส่ง ไม่มีกลไกในการป้องกันการโอเวอร์โหลดบัฟเฟอร์
  • ความเป็นไปได้ของการนำ UDP storm ไปใช้
  • ผลจากการแลกเปลี่ยนแพ็กเก็ตทำให้ประสิทธิภาพของเซิร์ฟเวอร์ลดลงอย่างมาก
ARP – ที่อยู่ IP ไปยังโปรโตคอลที่อยู่ทางกายภาพ เครือข่าย การรับรองความถูกต้องตาม ข้อความธรรมดา(ข้อมูลถูกส่งโดยไม่มีการเข้ารหัส) ความเป็นไปได้ของการสกัดกั้นการรับส่งข้อมูลของผู้ใช้โดยผู้โจมตี
RIP – โปรโตคอลข้อมูลการกำหนดเส้นทาง ขนส่ง ขาดการรับรองความถูกต้องของข้อความควบคุมการเปลี่ยนเส้นทาง ความสามารถในการเปลี่ยนเส้นทางการรับส่งข้อมูลผ่านโฮสต์ของผู้โจมตี
TCP โปรโตคอลการควบคุมโอนย้าย ขนส่ง ขาดกลไกในการตรวจสอบการเติมส่วนหัวบริการแพ็คเก็ตที่ถูกต้อง ลดความเร็วการสื่อสารลงอย่างมากและแม้กระทั่งการหยุดชะงักของการเชื่อมต่อโดยพลการผ่านโปรโตคอล TCP
DNS – โปรโตคอลสำหรับสร้างการติดต่อระหว่างชื่อช่วยจำและที่อยู่เครือข่าย การสมัคร ตัวแทน เซสชั่น ขาดวิธีการในการตรวจสอบความถูกต้องของข้อมูลที่ได้รับจากแหล่งที่มา การแทรกแซงการตอบสนองของเซิร์ฟเวอร์ DNS
IGMP – โปรโตคอลข้อความกำหนดเส้นทาง เครือข่าย ขาดการตรวจสอบข้อความเกี่ยวกับการเปลี่ยนพารามิเตอร์เส้นทาง Win 9x/NT/2000 ระบบค้าง
SMTP – โปรโตคอลสำหรับการให้บริการส่งข้อความอีเมล การสมัคร ตัวแทน เซสชั่น ความเป็นไปได้ในการปลอมแปลงข้อความอีเมลและที่อยู่ ผู้ส่งข้อความ
ส.น.ม โปรโตคอลการควบคุมเราเตอร์ในเครือข่าย การสมัคร ตัวแทน เซสชั่น ไม่รองรับการตรวจสอบสิทธิ์ส่วนหัวของข้อความ ความเป็นไปได้ที่แบนด์วิธเครือข่ายจะโอเวอร์โหลด

ภัยคุกคามที่กระทำผ่านเครือข่ายถูกจำแนกตามลักษณะสำคัญดังต่อไปนี้:

  1. ลักษณะของภัยคุกคาม.

    แฝง - ภัยคุกคามที่ไม่ส่งผลกระทบต่อการทำงานของระบบข้อมูล แต่สามารถละเมิดกฎการเข้าถึงข้อมูลที่ได้รับการคุ้มครอง ตัวอย่าง: การใช้ดมกลิ่นเพื่อ "ฟัง" เครือข่าย ใช้งานอยู่ – ภัยคุกคามที่ส่งผลกระทบต่อส่วนประกอบของระบบสารสนเทศ ซึ่งการดำเนินการดังกล่าวมีผลกระทบโดยตรงต่อการทำงานของระบบ ตัวอย่าง: การโจมตี DDOS ในรูปแบบของพายุคำขอ TCP

  2. เป้าหมายของการคุกคาม(ตามลำดับ การรักษาความลับ ความพร้อมใช้งาน ความสมบูรณ์ของข้อมูล)
  3. เงื่อนไขการเริ่มต้นการโจมตี:
    • ตามคำขอของผู้ถูกโจมตี นั่นคือผู้โจมตีคาดว่าจะมีการส่งคำขอบางประเภทซึ่งจะเป็นเงื่อนไขในการเริ่มการโจมตี
    • เมื่อเกิดเหตุการณ์ที่คาดว่าจะเกิดขึ้นกับวัตถุที่ถูกโจมตี
    • ผลกระทบที่ไม่มีเงื่อนไข - ผู้โจมตีไม่รอสิ่งใด ๆ นั่นคือภัยคุกคามจะดำเนินการทันทีโดยไม่คำนึงถึงสถานะของวัตถุที่ถูกโจมตี
  4. ความพร้อมของข้อเสนอแนะกับวัตถุที่ถูกโจมตี:
    • พร้อมข้อเสนอแนะนั่นคือผู้โจมตีจำเป็นต้องได้รับคำตอบสำหรับคำขอบางอย่าง ดังนั้นจึงมีการตอบรับระหว่างเป้าหมายและผู้โจมตี ทำให้ผู้โจมตีสามารถตรวจสอบสถานะของวัตถุที่ถูกโจมตีและตอบสนองต่อการเปลี่ยนแปลงได้อย่างเพียงพอ
    • ไม่มีการตอบรับ ดังนั้นจึงไม่มีการตอบรับและผู้โจมตีไม่จำเป็นต้องตอบสนองต่อการเปลี่ยนแปลงในวัตถุที่ถูกโจมตี
  5. ตำแหน่งของผู้บุกรุกที่เกี่ยวข้องกับระบบข้อมูลที่ถูกโจมตี: ภายในส่วนงานและระหว่างส่วนงาน ส่วนเครือข่ายคือการเชื่อมโยงทางกายภาพของโฮสต์ ฮาร์ดแวร์ และส่วนประกอบเครือข่ายอื่นๆ ที่มีที่อยู่เครือข่าย ตัวอย่างเช่น ส่วนหนึ่งถูกสร้างขึ้นโดยคอมพิวเตอร์ที่เชื่อมต่อกับบัสทั่วไปโดยใช้ Token Ring
  6. เลเยอร์แบบจำลองอ้างอิง ISO/OSI ที่ใช้ภัยคุกคาม: ฟิสิคัล, ช่องทาง, เครือข่าย, การขนส่ง, เซสชัน, ตัวแทน, แอปพลิเคชัน

มาดูการโจมตีที่พบบ่อยที่สุดในเครือข่ายในปัจจุบัน สแต็คโปรโตคอลทีพีซี/ไอพี

  1. การวิเคราะห์การรับส่งข้อมูลเครือข่ายการโจมตีนี้ดำเนินการโดยใช้โปรแกรมพิเศษที่เรียกว่าดมกลิ่น Sniffer เป็นแอปพลิเคชันโปรแกรมที่ใช้การ์ดเครือข่ายที่ทำงานในโหมดที่หลากหลาย ซึ่งเรียกว่าโหมด "สำส่อน" ซึ่งการ์ดเครือข่ายอนุญาตให้ยอมรับแพ็กเก็ตทั้งหมดได้ โดยไม่คำนึงว่าจะส่งถึงใครก็ตาม ในสถานะปกติ การกรองแพ็กเก็ตเลเยอร์ลิงก์จะใช้บนอินเทอร์เฟซอีเทอร์เน็ต และหากที่อยู่ MAC ในส่วนหัวปลายทางของแพ็กเก็ตที่ได้รับไม่ตรงกับที่อยู่ MAC ของกระแส เชื่อมต่อเครือข่ายและไม่ใช่การออกอากาศ แพ็กเก็ตจะถูกละทิ้ง ในโหมด "สำส่อน" กรองตาม เชื่อมต่อเครือข่ายถูกปิดใช้งานและแพ็กเก็ตทั้งหมด รวมถึงแพ็กเก็ตที่ไม่ได้มีไว้สำหรับโหนดปัจจุบัน จะได้รับอนุญาตให้เข้าสู่ระบบ ควรสังเกตว่าโปรแกรมดังกล่าวจำนวนมากใช้เพื่อวัตถุประสงค์ทางกฎหมาย เช่น เพื่อวินิจฉัยข้อผิดพลาดหรือวิเคราะห์การรับส่งข้อมูล อย่างไรก็ตาม ตารางที่เราตรวจสอบข้างต้นแสดงรายการโปรโตคอลที่ส่งข้อมูล รวมถึงรหัสผ่าน ในรูปแบบข้อความที่ชัดเจน เช่น FTP, SMTP, POP3 ฯลฯ ดังนั้นการใช้ดมกลิ่น คุณสามารถดักจับชื่อผู้ใช้และรหัสผ่านของคุณและเข้าถึงข้อมูลที่เป็นความลับโดยไม่ได้รับอนุญาต นอกจากนี้ ผู้ใช้จำนวนมากยังใช้รหัสผ่านเดียวกันเพื่อเข้าถึงบริการออนไลน์มากมาย นั่นคือหากมีจุดอ่อนในที่เดียวในเครือข่ายในรูปแบบของการตรวจสอบสิทธิ์ที่อ่อนแอ เครือข่ายทั้งหมดอาจได้รับผลกระทบ ผู้โจมตีตระหนักดีถึงจุดอ่อนของมนุษย์และใช้วิธีการวิศวกรรมสังคมอย่างกว้างขวาง

    การป้องกันการโจมตีประเภทนี้อาจรวมถึงสิ่งต่อไปนี้:

    • การรับรองความถูกต้องที่แข็งแกร่งเช่นการใช้ รหัสผ่านแบบครั้งเดียว(รหัสผ่านครั้งเดียว). แนวคิดก็คือรหัสผ่านสามารถใช้ได้เพียงครั้งเดียว และแม้ว่าผู้โจมตีจะดักจับรหัสผ่านโดยใช้การดมกลิ่น แต่ก็ไม่มีคุณค่าใดๆ แน่นอนว่ากลไกการป้องกันนี้จะป้องกันการดักจับรหัสผ่านเท่านั้น และไม่มีประโยชน์ในกรณีของการดักข้อมูลอื่น ๆ เช่น อีเมล
    • Anti-sniffer คือฮาร์ดแวร์หรือซอฟต์แวร์ที่สามารถตรวจจับการทำงานของ sniffer ในส่วนเครือข่ายได้ ตามกฎแล้ว พวกเขาตรวจสอบโหลดบนโหนดเครือข่ายเพื่อกำหนดโหลด "ส่วนเกิน"
    • โครงสร้างพื้นฐานที่สับเปลี่ยน เป็นที่ชัดเจนว่าการวิเคราะห์การรับส่งข้อมูลเครือข่ายสามารถทำได้ภายในส่วนเครือข่ายเดียวเท่านั้น หากเครือข่ายสร้างขึ้นบนอุปกรณ์ที่แบ่งออกเป็นหลายส่วน (สวิตช์และเราเตอร์) การโจมตีจะเกิดขึ้นได้เฉพาะในส่วนของเครือข่ายที่เป็นของพอร์ตใดพอร์ตหนึ่งของอุปกรณ์เหล่านี้ การดำเนินการนี้ไม่ได้แก้ปัญหาการดมกลิ่น แต่จะลดขอบเขตที่ผู้โจมตีสามารถ "รับฟัง" ได้
    • วิธีการเข้ารหัส วิธีที่น่าเชื่อถือที่สุดในการจัดการกับงานดมกลิ่น ข้อมูลที่สามารถได้รับผ่านการสกัดกั้นจะถูกเข้ารหัสจึงไม่มีประโยชน์ ที่ใช้กันมากที่สุดคือ IPSec, SSL และ SSH
  2. การสแกนเครือข่ายวัตถุประสงค์ของการสแกนเครือข่ายคือการระบุบริการที่ทำงานบนเครือข่าย พอร์ตที่เปิดอยู่ และใช้งานอยู่ บริการเครือข่ายโปรโตคอลที่ใช้ ฯลฯ กล่าวคือ รวบรวมข้อมูลเกี่ยวกับเครือข่าย วิธีการสแกนเครือข่ายที่ใช้บ่อยที่สุดคือ:
    • การสืบค้น DNS ช่วยให้ผู้โจมตีค้นหาเจ้าของโดเมน พื้นที่ที่อยู่
    • การทดสอบ Ping – ระบุโฮสต์ที่ทำงานตามที่อยู่ DNS ที่ได้รับก่อนหน้านี้
    • การสแกนพอร์ต - รายการบริการทั้งหมดที่รองรับโดยโฮสต์เหล่านี้ พอร์ตที่เปิดอยู่ แอปพลิเคชัน ฯลฯ ได้รับการคอมไพล์แล้ว

    มาตรการตอบโต้ที่ดีและที่พบบ่อยที่สุดคือการใช้ IDS ซึ่งค้นหาสัญญาณของการสแกนเครือข่ายได้สำเร็จและแจ้งให้ผู้ดูแลระบบทราบ เป็นไปไม่ได้ที่จะกำจัดภัยคุกคามนี้โดยสิ้นเชิง เนื่องจากหากคุณปิดการใช้งาน ICMP echo และ echo Reply บนเราเตอร์ของคุณ คุณสามารถกำจัดภัยคุกคาม Ping ได้ แต่ในขณะเดียวกันก็สูญเสียข้อมูลที่จำเป็นในการวินิจฉัยความล้มเหลวของเครือข่าย .

  3. เปิดเผยรหัสผ่านเป้าหมายหลักของการโจมตีนี้คือการเข้าถึงทรัพยากรที่ได้รับการป้องกันโดยไม่ได้รับอนุญาตโดยการเอาชนะการป้องกันด้วยรหัสผ่าน ผู้โจมตีสามารถใช้วิธีต่างๆ มากมาย เช่น การบังคับเดรัจฉานแบบธรรมดา การบังคับแบบเดรัจฉานตามพจนานุกรม การดมกลิ่น ฯลฯ วิธีที่พบบ่อยที่สุดคือการค้นหาแบบใช้กำลังแบบเดรัจฉานอย่างง่าย ๆ เพื่อดูค่ารหัสผ่านที่เป็นไปได้ทั้งหมด เพื่อป้องกันการใช้กำลังดุร้าย จำเป็นต้องใช้รหัสผ่านที่คาดเดายากซึ่งเดาได้ยาก: ความยาว 6-8 ตัวอักษร ใช้อักษรตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก ใช้อักขระพิเศษ (@, #, $ ฯลฯ)

    ปัญหาด้านความปลอดภัยของข้อมูลอีกประการหนึ่งคือคนส่วนใหญ่ใช้รหัสผ่านเดียวกันสำหรับบริการ แอปพลิเคชัน ไซต์ ฯลฯ ทั้งหมด นอกจากนี้ ช่องโหว่ของรหัสผ่านยังขึ้นอยู่กับจุดอ่อนที่สุดของการใช้งาน

    การโจมตีประเภทนี้สามารถหลีกเลี่ยงได้โดยใช้รหัสผ่านแบบใช้ครั้งเดียวซึ่งเราได้กล่าวถึงไปแล้ว หรือใช้การรับรองความถูกต้องด้วยการเข้ารหัส

  4. การปลอมแปลง IP หรือการทดแทนออบเจ็กต์เครือข่ายที่เชื่อถือได้.Trusted ในกรณีนี้หมายถึงวัตถุเครือข่าย (คอมพิวเตอร์ เราเตอร์ ไฟร์วอลล์ ฯลฯ) ที่เชื่อมต่อกับเซิร์ฟเวอร์อย่างถูกกฎหมาย ภัยคุกคามประกอบด้วยผู้โจมตีที่แอบอ้างเป็นวัตถุเครือข่ายที่เชื่อถือได้ ซึ่งสามารถทำได้สองวิธี ขั้นแรก ให้ใช้ที่อยู่ IP ที่อยู่ในช่วงที่อยู่ IP ที่ได้รับอนุญาต หรือที่อยู่ภายนอกที่ได้รับอนุญาตซึ่งได้รับอนุญาตให้เข้าถึงทรัพยากรเครือข่ายบางอย่าง การโจมตีประเภทนี้มักจะเป็นจุดเริ่มต้นของการโจมตีอื่นๆ

    โดยทั่วไปแล้ว การปลอมแปลงเอนทิตีเครือข่ายที่เชื่อถือได้นั้นจำกัดอยู่เพียงการแทรกข้อมูลเท็จหรือคำสั่งที่เป็นอันตรายลงในโฟลว์ปกติของข้อมูลที่ส่งระหว่างเอนทิตีเครือข่าย สำหรับการสื่อสารแบบสองทาง ผู้โจมตีจะต้องเปลี่ยนตารางเส้นทางทั้งหมดเพื่อกำหนดเส้นทางการรับส่งข้อมูลไปยังที่อยู่ IP ปลอม ซึ่งก็เป็นไปได้เช่นกัน หากต้องการบรรเทาภัยคุกคาม (แต่ไม่กำจัด) คุณสามารถใช้สิ่งต่อไปนี้:

    • การควบคุมการเข้าถึง. คุณสามารถกำหนดค่าการควบคุมการเข้าถึงเพื่อปฏิเสธการรับส่งข้อมูลใดๆ ที่มาจากเครือข่ายภายนอกด้วยที่อยู่ต้นทางภายในเครือข่าย วิธีการนี้จะได้ผลหากอนุญาตเฉพาะที่อยู่ภายในเท่านั้น และจะไม่ได้ผลหากมีที่อยู่ภายนอกที่ได้รับอนุญาต
    • การกรอง RFC 2827 - การกรองประเภทนี้ช่วยให้คุณหยุดความพยายามของผู้ใช้เครือข่ายของคุณในการปลอมแปลงเครือข่ายอื่น ในการดำเนินการนี้ คุณต้องปฏิเสธการรับส่งข้อมูลขาออกซึ่งที่อยู่ต้นทางไม่ใช่หนึ่งในที่อยู่ IP ขององค์กรของคุณ บ่อยครั้งที่ผู้ให้บริการกรองประเภทนี้ เป็นผลให้การรับส่งข้อมูลทั้งหมดที่ไม่มีที่อยู่ต้นทางที่คาดหวังบนอินเทอร์เฟซเฉพาะถูกปฏิเสธ ตัวอย่างเช่น หาก ISP ให้การเชื่อมต่อไปยังที่อยู่ IP 15.1.1.0/24 ก็สามารถกำหนดค่าตัวกรองเพื่อให้อนุญาตเฉพาะการรับส่งข้อมูลที่มาจาก 15.1.1.0/24 เท่านั้นที่ได้รับอนุญาตจากอินเทอร์เฟซนั้นไปยังเราเตอร์ของ ISP โปรดทราบว่าจนกว่าผู้ให้บริการทั้งหมดจะใช้การกรองประเภทนี้ ประสิทธิภาพของการกรองจะต่ำกว่าที่เป็นไปได้มาก
    • การใช้วิธีการรับรองความถูกต้องเพิ่มเติม การปลอมแปลง IP สามารถทำได้ด้วยการตรวจสอบสิทธิ์แบบ IP เท่านั้น หากคุณแนะนำมาตรการพิสูจน์ตัวตนเพิ่มเติม เช่น มาตรการเข้ารหัส การโจมตีจะไม่มีประโยชน์
  5. การปฏิเสธการให้บริการ (DoS)- การโจมตีระบบคอมพิวเตอร์โดยมีจุดประสงค์เพื่อทำให้ระบบล้มเหลว นั่นคือ การสร้างเงื่อนไขที่ผู้ใช้ระบบที่ถูกต้องตามกฎหมายไม่สามารถเข้าถึงทรัพยากรที่ระบบจัดให้ หรือการเข้าถึงนี้ทำได้ยาก

    การโจมตี DoS เป็นการโจมตีที่พบบ่อยที่สุดและเป็นที่รู้จักเมื่อเร็วๆ นี้ ซึ่งมีสาเหตุหลักมาจากความง่ายในการใช้งาน การจัดการโจมตี DOS ต้องใช้ความรู้และทักษะขั้นต่ำ และขึ้นอยู่กับข้อบกพร่องของซอฟต์แวร์เครือข่ายและโปรโตคอลเครือข่าย หากมีการโจมตีบนอุปกรณ์เครือข่ายจำนวนมาก จะเรียกว่าการโจมตี DoS แบบกระจาย (DDoS)

    ปัจจุบันมีการใช้การโจมตี DoS ห้าประเภทต่อไปนี้บ่อยที่สุด ซึ่งมีซอฟต์แวร์จำนวนมากและป้องกันได้ยากที่สุด:

    • สเมิร์ฟ- คำขอปิง ICMP เมื่อแพ็กเก็ต ping (ข้อความ ICMP ECHO) ถูกส่งไปยังที่อยู่การออกอากาศ (เช่น 10.255.255.255) แพ็กเก็ตนั้นจะถูกส่งไปยังทุกเครื่องบนเครือข่ายนั้น หลักการโจมตีคือการส่งแพ็กเก็ต ICMP ECHO REQUEST พร้อมที่อยู่ต้นทางของโฮสต์ที่ถูกโจมตี ผู้โจมตีส่งแพ็กเก็ต Ping อย่างต่อเนื่องไปยังที่อยู่การออกอากาศเครือข่าย เมื่อได้รับคำขอแล้ว เครื่องทั้งหมดจะตอบสนองต่อต้นทางด้วยแพ็กเก็ต ICMP ECHO REPLY ดังนั้นขนาดของกระแสแพ็กเก็ตการตอบสนองจะเพิ่มขึ้นตามสัดส่วนกับจำนวนโฮสต์หลายครั้ง เป็นผลให้เครือข่ายทั้งหมดอาจถูกปฏิเสธการให้บริการเนื่องจากความแออัด
    • ไอซีเอ็มพีน้ำท่วม- การโจมตีที่คล้ายกับ Smurf แต่ไม่มีการขยายเสียงที่สร้างขึ้นโดยการร้องขอไปยังที่อยู่การออกอากาศโดยตรง
    • UDP น้ำท่วม- ส่งแพ็กเก็ต UDP (User Datagram Protocol) หลายรายการไปยังที่อยู่ของโหนดที่ถูกโจมตี
    • TCP ฟลัด- ส่งแพ็กเก็ต TCP หลายรายการไปยังที่อยู่ของโหนดที่ถูกโจมตี
    • TCP SYN ฟลัด- เมื่อทำการโจมตีประเภทนี้ จะมีการออกคำขอจำนวนมากเพื่อเริ่มต้นการเชื่อมต่อ TCP กับโหนดที่ถูกโจมตี ซึ่งส่งผลให้ต้องใช้ทรัพยากรทั้งหมดในการติดตามการเชื่อมต่อที่เปิดบางส่วนเหล่านี้

    หากคุณใช้เว็บเซิร์ฟเวอร์หรือแอปพลิเคชันเซิร์ฟเวอร์ FTP การโจมตี DoS จะทำให้การเชื่อมต่อทั้งหมดที่มีให้กับแอปพลิเคชันเหล่านั้นไม่ว่างและผู้ใช้ไม่สามารถเข้าถึงได้ การโจมตีบางอย่างอาจทำให้เครือข่ายทั้งหมดล่มได้ด้วยแพ็กเก็ตที่ไม่จำเป็น เพื่อตอบโต้การโจมตีดังกล่าว การมีส่วนร่วมของผู้ให้บริการเป็นสิ่งจำเป็น เพราะหากไม่หยุดการรับส่งข้อมูลที่ไม่พึงประสงค์ที่ทางเข้าเครือข่าย การโจมตีจะไม่หยุดลงเนื่องจากแบนด์วิธจะถูกครอบครอง

    โปรแกรมต่อไปนี้มักใช้ในการโจมตี DoS:

    • ทรินู- เป็นโปรแกรมที่ค่อนข้างดั้งเดิมซึ่งในอดีตกลายเป็นโปรแกรมแรกในการจัดการการโจมตี DoS ประเภทเดียว - UDP ฟลัด โปรแกรมของกลุ่ม "trinoo" ตรวจพบได้ง่ายด้วยเครื่องมือรักษาความปลอดภัยมาตรฐาน และไม่ก่อให้เกิดภัยคุกคามต่อผู้ที่ใส่ใจเรื่องความปลอดภัยอย่างน้อยเพียงเล็กน้อย
    • TFN และ TFN2K- อาวุธที่ร้ายแรงยิ่งขึ้น ช่วยให้คุณสามารถจัดระเบียบการโจมตีได้หลายประเภทพร้อมกัน - Smurf, UDP Flood, ICMP Flood และ TCP SYN Flood การใช้โปรแกรมเหล่านี้ทำให้ผู้โจมตีต้องมีทักษะมากขึ้น
    • เครื่องมือล่าสุดสำหรับการจัดการการโจมตี DoS - สตาเชลดราคท์("ลวดหนาม"). แพ็คเกจนี้ช่วยให้คุณสามารถจัดระเบียบการโจมตีและคำขอ Ping ออกอากาศได้หลากหลายประเภท นอกจากนี้ การแลกเปลี่ยนข้อมูลระหว่างตัวควบคุมและเอเจนต์จะได้รับการเข้ารหัส และมีฟังก์ชันการแก้ไขอัตโนมัติรวมอยู่ในตัวซอฟต์แวร์ด้วย การเข้ารหัสทำให้การตรวจจับผู้โจมตีเป็นเรื่องยากมาก

    เพื่อบรรเทาภัยคุกคาม คุณสามารถใช้สิ่งต่อไปนี้:

    • คุณสมบัติป้องกันการปลอมแปลง - การกำหนดค่าคุณสมบัติป้องกันการปลอมแปลงอย่างเหมาะสมบนเราเตอร์และไฟร์วอลล์ของคุณจะช่วยลดความเสี่ยงของ DoS อย่างน้อยคุณสมบัติเหล่านี้ควรมีการกรอง RFC 2827 หากแฮกเกอร์ไม่สามารถปกปิดตัวตนที่แท้จริงของเขาได้เขาก็ไม่น่าจะทำการโจมตีได้
    • คุณสมบัติ Anti-DoS - การกำหนดค่าคุณสมบัติ Anti-DoS ที่เหมาะสมบนเราเตอร์และไฟร์วอลล์สามารถจำกัดประสิทธิภาพของการโจมตีได้ คุณสมบัติเหล่านี้มักจะจำกัดจำนวนช่องที่เปิดเพียงครึ่งเดียวในช่วงเวลาใดก็ตาม
    • การจำกัดอัตราการรับส่งข้อมูล - องค์กรสามารถขอให้ ISP จำกัดจำนวนการรับส่งข้อมูลได้ การกรองประเภทนี้ช่วยให้คุณสามารถจำกัดปริมาณการรับส่งข้อมูลที่ไม่สำคัญที่ส่งผ่านเครือข่ายของคุณ ตัวอย่างทั่วไปคือการจำกัดปริมาณการรับส่งข้อมูล ICMP ซึ่งใช้เพื่อวัตถุประสงค์ในการวินิจฉัยเท่านั้น การโจมตี DoS มักใช้ ICMP

    ภัยคุกคามประเภทนี้มีหลายประเภท:

    • การปฏิเสธการบริการแบบซ่อนเร้น เมื่อส่วนหนึ่งของทรัพยากรเครือข่ายถูกใช้ในการประมวลผลแพ็กเก็ตที่ส่งโดยผู้โจมตี ลดความจุของช่องสัญญาณ รบกวนเวลาประมวลผลคำขอ และขัดขวางประสิทธิภาพของอุปกรณ์เครือข่าย ตัวอย่าง: พายุคำขอ ICMP echo โดยตรงหรือพายุคำขอการเชื่อมต่อ TCP
    • การปฏิเสธการให้บริการที่ชัดเจนซึ่งเกิดจากทรัพยากรเครือข่ายหมดลงอันเป็นผลมาจากการประมวลผลแพ็คเก็ตที่ส่งโดยผู้โจมตี ในเวลาเดียวกัน คำขอของผู้ใช้ที่ถูกต้องตามกฎหมายไม่สามารถดำเนินการได้เนื่องจากแบนด์วิธของช่องสัญญาณทั้งหมดถูกครอบครอง บัฟเฟอร์เต็ม พื้นที่ดิสก์เต็ม ฯลฯ ตัวอย่าง: พายุโดยตรง (น้ำท่วม SYN)
    • การปฏิเสธการบริการที่ชัดเจนซึ่งเกิดจากการละเมิดการเชื่อมต่อเชิงตรรกะระหว่างวิธีการทางเทคนิคของเครือข่าย เมื่อผู้โจมตีส่งข้อความควบคุมในนามของอุปกรณ์เครือข่าย ในกรณีนี้ ข้อมูลเส้นทางและที่อยู่จะเปลี่ยนไป ตัวอย่าง: โฮสต์การเปลี่ยนเส้นทาง ICMP หรือการฟลัด DNS
    • การปฏิเสธการให้บริการอย่างชัดเจนที่เกิดจากผู้โจมตีส่งแพ็กเก็ตที่มีคุณลักษณะที่ไม่เป็นมาตรฐาน (เช่น UDP-bomb) หรือมีความยาวเกินค่าสูงสุด (Ping Death)

    การโจมตี DoS มีวัตถุประสงค์เพื่อขัดขวางความพร้อมใช้งานของข้อมูล และไม่ละเมิดความสมบูรณ์และการรักษาความลับ

  6. การโจมตีระดับแอปพลิเคชันการโจมตีประเภทนี้เกี่ยวข้องกับการหาประโยชน์จากช่องโหว่ในซอฟต์แวร์เซิร์ฟเวอร์ (HTML, sendmail, FTP) ผู้โจมตีสามารถเข้าถึงคอมพิวเตอร์ในนามของผู้ใช้แอปพลิเคชันโดยใช้ช่องโหว่เหล่านี้ การโจมตีเลเยอร์แอปพลิเคชันมักจะใช้พอร์ตที่สามารถ "ส่งผ่าน" ผ่านไฟร์วอลล์ได้

    ปัญหาหลักของการโจมตีในชั้นแอปพลิเคชันก็คือ มักใช้พอร์ตที่ได้รับอนุญาตให้ผ่านไฟร์วอลล์ได้ ตัวอย่างเช่น แฮกเกอร์ที่โจมตีเว็บเซิร์ฟเวอร์อาจใช้พอร์ต TCP 80 เพื่อให้เว็บเซิร์ฟเวอร์ให้บริการเพจแก่ผู้ใช้ พอร์ต 80 บนไฟร์วอลล์จะต้องเปิดอยู่ จากมุมมองของไฟร์วอลล์ การโจมตีจะถือเป็นการรับส่งข้อมูลมาตรฐานบนพอร์ต 80

    เป็นไปไม่ได้ที่จะกำจัดการโจมตีระดับแอปพลิเคชันอย่างสมบูรณ์ เนื่องจากโปรแกรมแอปพลิเคชันที่มีช่องโหว่ใหม่จะปรากฏขึ้นเป็นประจำ สิ่งที่สำคัญที่สุดที่นี่คือการบริหารระบบที่ดี ต่อไปนี้คือมาตรการบางส่วนที่คุณสามารถใช้ลดความเสี่ยงต่อการโจมตีประเภทนี้:

    • บันทึกการอ่าน (ระบบและเครือข่าย)
    • การติดตามช่องโหว่ในซอฟต์แวร์ใหม่โดยใช้ไซต์พิเศษ เช่น http://www.cert.com
    • การใช้ไอดีเอส

จากลักษณะของการโจมตีเครือข่าย เป็นที่ชัดเจนว่าเหตุการณ์ดังกล่าวไม่ได้ถูกควบคุมโดยแต่ละโหนดเครือข่ายเฉพาะ เราไม่ได้พิจารณาถึงการโจมตีทั้งหมดที่เป็นไปได้บนเครือข่าย แต่ในทางปฏิบัติ มีการโจมตีอื่นๆ อีกมากมาย อย่างไรก็ตาม ดูเหมือนจะไม่สามารถป้องกันการโจมตีทุกประเภทได้ แนวทางที่ดีที่สุดในการปกป้องขอบเขตเครือข่ายคือการกำจัดช่องโหว่ที่ใช้ในการโจมตีทางอาญาทางไซเบอร์ส่วนใหญ่ รายการช่องโหว่ดังกล่าวได้รับการเผยแพร่บนเว็บไซต์หลายแห่งที่รวบรวมสถิติดังกล่าว เช่น เว็บไซต์ SANS Institute: http://www.sans.org/top-cyber-security-risks/?ref=top20 ผู้โจมตีทั่วไปไม่ได้มองหาวิธีการโจมตีแบบเดิม ๆ แต่จะสแกนเครือข่ายเพื่อหาจุดอ่อนที่ทราบและหาประโยชน์จากเครือข่าย

การโจมตีมีสี่ประเภทหลัก:

· การโจมตีการเข้าถึง;

· การโจมตีแบบดัดแปลง

· การปฏิเสธการโจมตีบริการ

· การโจมตีข้อจำกัดความรับผิดชอบ

มาดูแต่ละหมวดหมู่กันดีกว่า มีหลายวิธีในการโจมตี: การใช้เครื่องมือที่ออกแบบมาเป็นพิเศษ วิธีการทางวิศวกรรมสังคม และผ่านช่องโหว่ในระบบคอมพิวเตอร์ ในงานวิศวกรรมสังคม จะไม่ใช้วิธีการทางเทคนิคเพื่อเข้าถึงระบบโดยไม่ได้รับอนุญาต ผู้โจมตีได้รับข้อมูลผ่านทางโทรศัพท์ธรรมดาหรือเจาะองค์กรภายใต้หน้ากากของพนักงาน การโจมตีประเภทนี้มีการทำลายล้างมากที่สุด

การโจมตีที่มุ่งเก็บข้อมูลที่จัดเก็บด้วยระบบอิเล็กทรอนิกส์มีคุณลักษณะที่น่าสนใจประการหนึ่ง นั่นคือ ข้อมูลจะไม่ถูกขโมย แต่ถูกคัดลอก มันยังคงอยู่กับเจ้าของเดิม แต่ผู้โจมตีก็ได้รับมันเช่นกัน ดังนั้นเจ้าของข้อมูลจึงได้รับความสูญเสีย และเป็นการยากมากที่จะตรวจสอบช่วงเวลาที่เกิดเหตุการณ์นี้ขึ้น

การโจมตีการเข้าถึง

การโจมตีการเข้าถึงเป็นความพยายามของผู้โจมตีเพื่อให้ได้ข้อมูลที่เขาไม่ได้รับอนุญาตให้ดู การโจมตีดังกล่าวเกิดขึ้นได้ทุกที่ที่มีข้อมูลและวิธีการในการส่งข้อมูล การโจมตีการเข้าถึงมีวัตถุประสงค์เพื่อละเมิดการรักษาความลับของข้อมูล การโจมตีการเข้าถึงประเภทต่อไปนี้มีความโดดเด่น:

· แอบดู;

· กำลังดักฟัง;

· การสกัดกั้น

กำลังแอบดู(snooping) คือ การดูไฟล์หรือเอกสารเพื่อค้นหาข้อมูลที่น่าสนใจแก่ผู้โจมตี หากเอกสารถูกจัดเก็บในรูปแบบสิ่งพิมพ์ ผู้โจมตีจะเปิดลิ้นชักโต๊ะและค้นหาเอกสารเหล่านั้น หากข้อมูลอยู่ในระบบคอมพิวเตอร์เขาจะค้นหาไฟล์แล้วไฟล์เล่าจนกว่าจะพบข้อมูลที่ต้องการ

การดักฟัง(การดักฟัง) คือการดักฟังการสนทนาโดยไม่ได้รับอนุญาตโดยที่ผู้โจมตีไม่ใช่ผู้เข้าร่วม หากต้องการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ในกรณีนี้ ผู้โจมตีจะต้องอยู่ใกล้กับข้อมูลนั้น บ่อยครั้งเขาใช้อุปกรณ์อิเล็กทรอนิกส์ การเปิดตัวเครือข่ายไร้สายได้เพิ่มโอกาสในการดักฟังได้สำเร็จ ขณะนี้ผู้โจมตีไม่จำเป็นต้องอยู่ภายในระบบหรือเชื่อมต่ออุปกรณ์ดักฟังเข้ากับเครือข่ายทางกายภาพ

ต่างจากการแอบฟัง การสกัดกั้น(สกัดกั้น) คือการโจมตีที่แอคทีฟ ผู้โจมตีจะรวบรวมข้อมูลในขณะที่กำลังถูกส่งไปยังปลายทาง หลังจากวิเคราะห์ข้อมูลแล้ว เขาจึงตัดสินใจอนุญาตหรือห้ามไม่ให้มีการส่งต่อข้อมูลต่อไป

การโจมตีการเข้าถึงมีรูปแบบที่แตกต่างกันขึ้นอยู่กับวิธีการจัดเก็บข้อมูล: เป็นเอกสารกระดาษหรือทางอิเล็กทรอนิกส์บนคอมพิวเตอร์ หากข้อมูลที่ผู้โจมตีต้องการถูกจัดเก็บไว้ในเอกสารกระดาษ เขาจะต้องเข้าถึงเอกสารเหล่านี้ อาจพบได้ในสถานที่ต่อไปนี้: ในตู้เก็บเอกสาร ในลิ้นชักหรือบนโต๊ะ ในเครื่องแฟกซ์หรือเครื่องพิมพ์ ในถังขยะ ในที่เก็บถาวร ดังนั้นผู้โจมตีจึงต้องเข้าไปในสถานที่เหล่านี้ทั้งหมด

ดังนั้นการเข้าถึงทางกายภาพจึงเป็นกุญแจสำคัญในการรับข้อมูล ควรสังเกตว่าการป้องกันสถานที่ที่เชื่อถือได้จะปกป้องข้อมูลจากบุคคลที่ไม่ได้รับอนุญาตเท่านั้น แต่ไม่ใช่จากพนักงานขององค์กรหรือผู้ใช้ภายใน

ข้อมูลจะถูกจัดเก็บในรูปแบบอิเล็กทรอนิกส์: บนเวิร์กสเตชัน บนเซิร์ฟเวอร์ บนคอมพิวเตอร์แล็ปท็อป บนฟล็อปปี้ดิสก์ บนซีดี บนเทปแม่เหล็กสำรอง

ผู้โจมตีสามารถขโมยสื่อบันทึกข้อมูลได้ (ฟล็อปปี้ดิสก์ ซีดี เทปสำรองข้อมูล หรือแล็ปท็อป) บางครั้งการทำเช่นนี้ง่ายกว่าการเข้าถึงไฟล์ที่จัดเก็บไว้ในคอมพิวเตอร์

หากผู้โจมตีสามารถเข้าถึงระบบได้อย่างถูกกฎหมาย เขาจะวิเคราะห์ไฟล์โดยเพียงแค่เปิดทีละไฟล์ ด้วยการควบคุมการอนุญาตที่เหมาะสม การเข้าถึงของผู้ใช้ที่ผิดกฎหมายจะถูกปฏิเสธและความพยายามในการเข้าถึงจะถูกบันทึกไว้ในบันทึก

สิทธิ์ที่กำหนดค่าอย่างถูกต้องจะป้องกันการรั่วไหลของข้อมูลโดยไม่ตั้งใจ อย่างไรก็ตาม ผู้โจมตีที่ร้ายแรงจะพยายามเลี่ยงผ่านระบบควบคุมและเข้าถึงข้อมูลที่จำเป็น มีช่องโหว่จำนวนมากที่จะช่วยเขาในเรื่องนี้

เมื่อข้อมูลส่งผ่านเครือข่ายก็สามารถเข้าถึงได้โดยการฟังการส่งสัญญาณ ผู้โจมตีทำได้โดยการติดตั้งตัววิเคราะห์แพ็กเก็ตเครือข่าย (ดมกลิ่น) บนระบบคอมพิวเตอร์ โดยทั่วไปนี่คือคอมพิวเตอร์ที่กำหนดค่าให้บันทึกการรับส่งข้อมูลเครือข่ายทั้งหมด (ไม่ใช่เฉพาะการรับส่งข้อมูลที่กำหนดไว้สำหรับคอมพิวเตอร์เครื่องนั้น) ในการดำเนินการนี้ ผู้โจมตีจะต้องเพิ่มอำนาจของตนในระบบหรือเชื่อมต่อกับเครือข่าย เครื่องวิเคราะห์ได้รับการกำหนดค่าให้เก็บข้อมูลใดๆ ที่ส่งผ่านเครือข่าย โดยเฉพาะ ID ผู้ใช้และรหัสผ่าน

การดักฟังยังดำเนินการในเครือข่ายคอมพิวเตอร์ทั่วโลก เช่น สายเช่าและการเชื่อมต่อโทรศัพท์ อย่างไรก็ตามการสกัดกั้นประเภทนี้ต้องใช้อุปกรณ์ที่เหมาะสมและความรู้พิเศษ

การสกัดกั้นสามารถทำได้แม้ในระบบสื่อสารใยแก้วนำแสงโดยใช้อุปกรณ์พิเศษ ซึ่งมักดำเนินการโดยผู้โจมตีที่มีทักษะ

การเข้าถึงข้อมูลโดยใช้การสกัดกั้นเป็นหนึ่งในงานที่ยากที่สุดสำหรับผู้โจมตี เพื่อให้ประสบความสำเร็จ เขาจะต้องวางระบบของเขาไว้ในสายส่งระหว่างผู้ส่งและผู้รับข้อมูล บนอินเทอร์เน็ต ทำได้โดยการเปลี่ยนชื่อการจำแนกชื่อ ทำให้ชื่อคอมพิวเตอร์ถูกแปลงเป็นที่อยู่ไม่ถูกต้อง การรับส่งข้อมูลถูกเปลี่ยนเส้นทางไปยังระบบของผู้โจมตีแทนที่จะเป็นโหนดปลายทางจริง หากระบบดังกล่าวได้รับการกำหนดค่าอย่างเหมาะสม ผู้ส่งจะไม่มีทางรู้ว่าข้อมูลของเขาไปไม่ถึงผู้รับ

การสกัดกั้นยังเกิดขึ้นได้ในระหว่างเซสชันการสื่อสารที่ถูกต้อง การโจมตีประเภทนี้เหมาะที่สุดสำหรับการแย่งชิงการรับส่งข้อมูลเชิงโต้ตอบ ในกรณีนี้ ผู้โจมตีจะต้องอยู่ในส่วนเครือข่ายเดียวกันกับที่ไคลเอนต์และเซิร์ฟเวอร์ตั้งอยู่ ผู้โจมตีจะรอให้ผู้ใช้ที่ถูกต้องเปิดเซสชันบนเซิร์ฟเวอร์ จากนั้นจึงไฮแจ็กเซสชันในขณะที่กำลังทำงานอยู่โดยใช้ซอฟต์แวร์พิเศษ

การปรับเปลี่ยนการโจมตี

การโจมตีแบบปรับเปลี่ยนเป็นการพยายามเปลี่ยนแปลงข้อมูลโดยไม่ได้รับอนุญาต การโจมตีดังกล่าวเกิดขึ้นได้ทุกที่ที่มีข้อมูลอยู่หรือถูกส่งไป มีวัตถุประสงค์เพื่อละเมิดความสมบูรณ์ของข้อมูล

การโจมตีแบบดัดแปลงประเภทหนึ่งคือ การทดแทนข้อมูลที่มีอยู่ เช่น การเปลี่ยนแปลงเงินเดือนของพนักงาน การโจมตีทดแทนมีเป้าหมายทั้งข้อมูลที่เป็นความลับและข้อมูลสาธารณะ

การโจมตีอีกประเภทหนึ่งก็คือ ส่วนที่เพิ่มเข้าไปข้อมูลใหม่ เช่น ข้อมูลเกี่ยวกับประวัติศาสตร์ของช่วงเวลาที่ผ่านมา ในกรณีนี้ ผู้โจมตีทำธุรกรรมในระบบธนาคาร ซึ่งส่งผลให้เงินจากบัญชีของลูกค้าถูกย้ายไปยังบัญชีของเขาเอง

จู่โจม การกำจัดหมายถึง การย้ายข้อมูลที่มีอยู่ เช่น การยกเลิกรายการธุรกรรมจากงบดุลของธนาคาร ปล่อยให้เงินที่ถอนออกจากบัญชียังคงอยู่ในบัญชี

เช่นเดียวกับการโจมตีการเข้าถึง การโจมตีแบบดัดแปลงจะดำเนินการกับข้อมูลที่จัดเก็บเป็นเอกสารกระดาษหรือทางอิเล็กทรอนิกส์บนคอมพิวเตอร์

เป็นเรื่องยากที่จะเปลี่ยนเอกสารโดยไม่มีใครสังเกตเห็น หากมีลายเซ็น (เช่น ในสัญญา) คุณจะต้องดูแลการปลอมแปลงเอกสารนั้น และเอกสารที่ปิดผนึกจะต้องประกอบกลับเข้าไปใหม่อย่างระมัดระวัง หากมีสำเนาของเอกสาร ก็ต้องทำซ้ำเช่นเดียวกับต้นฉบับ และเนื่องจากแทบจะเป็นไปไม่ได้เลยที่จะค้นหาสำเนาทั้งหมด จึงเป็นเรื่องง่ายมากที่จะตรวจพบของปลอม

การเพิ่มหรือลบรายการออกจากบันทึกกิจกรรมเป็นเรื่องยากมาก ประการแรกข้อมูลในนั้นจะถูกจัดเรียงตามลำดับเวลาดังนั้นการเปลี่ยนแปลงใด ๆ จะถูกสังเกตทันที วิธีที่ดีที่สุดคือการลบเอกสารและแทนที่ด้วยเอกสารใหม่ การโจมตีประเภทนี้จำเป็นต้องมีการเข้าถึงข้อมูลทางกายภาพ

การปรับเปลี่ยนข้อมูลที่จัดเก็บไว้ในระบบอิเล็กทรอนิกส์ทำได้ง่ายกว่ามาก เมื่อพิจารณาว่าผู้โจมตีสามารถเข้าถึงระบบได้ การดำเนินการดังกล่าวจึงเหลือหลักฐานขั้นต่ำไว้ หากไม่มีสิทธิ์ในการเข้าถึงไฟล์ ผู้โจมตีจะต้องรักษาความปลอดภัยในการเข้าสู่ระบบก่อน หรือเปลี่ยนการตั้งค่าการควบคุมการเข้าถึงไฟล์

การแก้ไขไฟล์ฐานข้อมูลหรือรายการธุรกรรมต้องทำอย่างระมัดระวัง ธุรกรรมจะถูกกำหนดหมายเลขตามลำดับ และการลบหรือเพิ่มหมายเลขธุรกรรมที่ไม่ถูกต้องจะถูกบันทึกไว้ ในกรณีเหล่านี้ จะต้องทำงานอย่างกว้างขวางทั่วทั้งระบบเพื่อป้องกันการตรวจจับ

ในกรณีส่วนใหญ่ การปรากฏตัวของโค้ดที่เป็นอันตรายบนเว็บไซต์ไม่ได้เป็นผลมาจากพฤติกรรมที่เป็นอันตรายใดๆ ในส่วนของเจ้าของไซต์ แต่มักจะกลายเป็นเรื่องแปลกใจสำหรับเจ้าของไซต์ ซึ่งเป็นผลมาจากการแฮ็ก

เราทำงานด้านนี้มาหลายปี เราได้พิจารณากรณีต่างๆ มากมาย และในช่วงไม่กี่ปีที่ผ่านมา ฉันยังพบเห็นกรณีต่างๆ มากมายของการแฮ็กเว็บไซต์ต่างๆ เหล่านี้เป็นทั้งไซต์ที่มีขนาดใหญ่มาก เช่น สื่อออนไลน์ที่มีชื่อเสียงที่สุด ธนาคาร ไซต์ของบริษัทขนาดใหญ่ และบางครั้งไซต์ขนาดเล็กมาก ไซต์นามบัตร ไซต์ของสถาบันการศึกษาและศาสนาบางแห่ง

วิธีปกป้องเว็บไซต์ของคุณ

พวกเขาทั้งหมดมีความอ่อนไหวต่อภัยคุกคามและความเสี่ยงที่เกี่ยวข้องกับความปลอดภัยของคอมพิวเตอร์ในระดับหนึ่งหรืออย่างอื่นและจะมีการหารือเกี่ยวกับเรื่องนี้ นอกจากนี้เรายังจะพูดถึงวิธีลดความเสี่ยงเหล่านี้เกี่ยวกับขั้นต่ำพื้นฐานภาพรวมทั่วไปของทุกสิ่งที่เกี่ยวข้องกับสิ่งนี้ภัยคุกคามที่มีอยู่สิ่งที่ผู้ดูแลเว็บของไซต์ใดไซต์หนึ่งต้องเผชิญในการทำงานของเขา

วันนี้เราจะพูดถึงตัวอย่างที่พบบ่อยที่สุดเมื่อเรามีผู้โจมตีภายนอกที่คุกคามไซต์ไม่ทางใดก็ทางหนึ่ง

เพื่อที่จะทำความเข้าใจกับสิ่งที่คาดหวัง ความเสียหายใดที่เป็นไปได้ การโจมตีใดที่เป็นไปได้ คุณต้องเข้าใจว่าใครคือผู้โจมตี

ผู้โจมตีและประเภทของการโจมตีทั้งหมดนี้แบ่งออกเป็นสองประเภทกว้าง ๆ แบ่งตามเกณฑ์อะไรได้บ้าง?

  • เกี่ยวกับวิธีการโจมตีที่ใช้
  • โดยกลุ่มไซต์ที่เสี่ยงต่อการโจมตีกลุ่มใดกลุ่มหนึ่ง
  • ตามเทคนิคการลดความเสี่ยงที่เหมาะสมของแต่ละกลุ่ม

ตัวอย่างเช่น การโจมตีจำนวนมากส่วนใหญ่เป็นไปโดยอัตโนมัติ เช่น การเข้าถึงโดยไม่ได้รับอนุญาต เป็นต้น การโจมตีจำนวนมากเป็นความพยายามที่จะเข้าถึงเว็บไซต์ทั้งหมดอยู่เสมอ การขู่กรรโชกครั้งใหญ่เกิดขึ้นที่นี่เช่นกัน แต่ก็มีการดำเนินการผ่านการเข้าถึงที่ไม่ได้รับอนุญาตเช่นกัน

บ่อยครั้งที่ระบบอัตโนมัติทั้งหมดใช้งานได้ โดยมีสคริปต์ทำงานเพื่อค้นหาส่วนประกอบซอฟต์แวร์ต่างๆ เวอร์ชันที่มีช่องโหว่ที่สนใจ ตัวอย่างเช่น ระบบจัดการเนื้อหาเวอร์ชันที่มีช่องโหว่ หรือในทางกลับกัน หรือค้นหาปัญหาทั่วไปบางประการกับการกำหนดค่าสภาพแวดล้อมเซิร์ฟเวอร์ ตัวอย่างเช่น คุณมีเซิร์ฟเวอร์ HTTP บางประเภทโผล่ออกมาและมีการค้นหารหัสผ่าน

เนื่องจากทุกอย่างเป็นแบบอัตโนมัติ การใช้ประโยชน์จากการเข้าถึงที่ได้รับก็เป็นแบบอัตโนมัติเช่นกัน และหากคุณมีฐานข้อมูลพร้อมรายละเอียดการชำระเงินบนเว็บไซต์ของคุณ ในกรณีที่มีการโจมตีอัตโนมัติ คุณอาจถือว่าตัวเองโชคดีเพราะสคริปต์จะไม่เข้าใจ พวกเขาส่วนใหญ่ค่อนข้างโง่

เขาจะไม่ทราบว่าข้อมูลสำคัญใดที่คุณมีในไซต์ของคุณ เขาจะใช้รูปแบบที่เรียบง่ายในรูปแบบของการส่งสแปม จัดระเบียบการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย การขู่กรรโชกเล็ก ๆ น้อย ๆ ที่ทำให้ผู้เยี่ยมชมไซต์ของคุณติดไวรัส

ในกรณีของการโจมตีแบบกำหนดเป้าหมาย ทุกอย่างค่อนข้างน่าเศร้าสำหรับเจ้าของเว็บไซต์ มักจะถูกโจมตีครั้งใหญ่บุคคลนั้นมาพร้อมกับประสบการณ์มากมายและเครื่องมือที่ได้รับการพัฒนามาอย่างดีด้วยมือของเขาและเริ่มมองหาปัญหาที่เป็นลักษณะเฉพาะ ด้วยความน่าจะเป็นที่สูงมาก ดังที่แสดงให้เห็นในทางปฏิบัติ

จากนั้นการแสวงหาผลประโยชน์ที่ชั่วร้ายโดยเฉพาะก็เริ่มต้นขึ้น ซึ่งประการแรกยากต่อการตรวจจับมากกว่าในกรณีของการโจมตีจำนวนมาก และประการที่สอง เป็นการยากกว่ามากที่จะลดความเสียหายล่วงหน้าที่เป็นไปได้ ดังนั้นเมื่อผู้โจมตีเข้าสู่ระบบด้วยมือของเขา เขาจะเข้าใจบริบทเป็นอย่างดี และมักจะรู้ในตอนแรกว่าทำไมเขาถึงมา

ใช้อันไหนปลอดภัยกว่ากัน? เช่นระบบจัดการสต๊อกสินค้ายอดนิยมหรือของทำเอง? เพื่อลดความเสี่ยงของการโจมตีจำนวนมาก ควรใช้สิ่งที่ไม่ได้มาตรฐานจะดีกว่า

เนื่องจากทั้งหมดนี้เป็นแบบอัตโนมัติ จึงมีการมองหาโซลูชันมาตรฐานบางอย่าง และการใช้ระบบจัดการเนื้อหาที่เขียนขึ้นเองบางประเภท ในทางปฏิบัติ แคปช่าที่เขียนเอง - โซลูชันที่เขียนเองใด ๆ เพื่อต่อต้านการโจมตีจำนวนมากบางประเภท เมื่อสคริปต์ มาที่ไซต์ของคุณที่กำลังมองหาบางสิ่งที่คุ้นเคย แต่ทั้งหมดนี้จะไม่ได้ผล

ในกรณีของการโจมตีแบบกำหนดเป้าหมาย สิ่งที่ตรงกันข้ามจะเป็นจริง นั่นคือโอกาสที่ข้อผิดพลาดร้ายแรงทั่วไปจะเกิดขึ้นในโซลูชันที่เขียนขึ้นเองซึ่งต่อมากลายเป็นช่องโหว่และถูกนำไปใช้ประโยชน์เพื่อเข้าถึงนั้นสูงกว่าหากคุณใช้โซลูชันซอฟต์แวร์ยอดนิยมบางตัวซึ่งตลอดประวัติศาสตร์อันยาวนานของการพัฒนา เราได้รวบรวม "คราด" ไว้มากมายในบริเวณนี้ ดังนั้นเมื่อมีการเผยแพร่ช่องโหว่ในช่องโหว่เหล่านี้ ช่องโหว่เหล่านั้นมักจะซับซ้อนหรือเกิดขึ้นที่จุดตัดของระบบต่างๆ


การโจมตีประกอบด้วยขั้นตอนต่อไปนี้:


โดยเฉพาะอย่างยิ่งสำหรับโอกาสมวลชน ใช้บรรทัดพิเศษเช่น Power Add Buy, phpBB เวอร์ชัน 1.6.1 ชุดของไซต์จะถูกค้นหาโดยอัตโนมัติโดยใช้เทคโนโลยีเฉพาะ - หนึ่งในเวกเตอร์ พบไซต์เหล่านี้ทั้งหมด, มีการเปิดตัวสคริปต์, สคริปต์ไป, ค้นหาช่องโหว่บางอย่าง, ผู้ดูแลระบบหลายคน แผงตามเส้นทางมาตรฐาน เครื่องมือมาตรฐานบางอย่าง เช่น php my admin ซึ่งอยู่ตามเส้นทางมาตรฐานเช่นกัน

และหากพบช่องโหว่ ช่องโหว่เหล่านั้นก็จะถูกโจมตีโดยอัตโนมัติหากมีผู้ดูแลระบบคนใดคนหนึ่ง แผงที่คุณสามารถป้อนรหัสผ่านและไม่มีการป้องกันการใช้กำลังดุร้ายการค้นหาเริ่มต้นสำหรับกรณีง่าย ๆ ซึ่งตามที่แสดงในทางปฏิบัติก็มีประสิทธิภาพมากเช่นกัน

หลังจากได้รับการเข้าถึงแล้ว ส่วนประกอบที่เรียกว่า web-shell จะถูกอัปโหลด - นี่คือเครื่องมือ เช่น ชิ้นส่วนของเว็บแอปพลิเคชัน สคริปต์ที่เปิดความเป็นไปได้ที่หลากหลาย โดยทิ้ง "ประตู" ด้านหลังถาวรไว้บนเซิร์ฟเวอร์ของคุณ ดำเนินการต่อไป

หลังจากนี้ เมื่อผู้โจมตีสามารถเข้าถึงเซิร์ฟเวอร์ของคุณได้อย่างเสถียรโดยผ่านวิธีการบูรณาการอัตโนมัติทั้งหมด ผู้โจมตีจะพยายามเข้ายึดระบบและตัวอย่างเช่น กระจาย Web Shell สำรองทุกประเภทไปรอบๆ ใช้ประโยชน์ เป็นต้น , ช่องโหว่ในระบบปฏิบัติการและเพิ่มสิทธิพิเศษ ตัวอย่างเช่น การรูท ซึ่งมักจะเป็นไปโดยอัตโนมัติด้วย และหลังจากนั้นการแสวงหาประโยชน์ก็จะรุนแรงยิ่งขึ้น จากนั้นการบีบเงินก็เริ่มขึ้นเนื่องจากไซต์ถูกแฮ็ก ทุกวันนี้ เป็นเรื่องยากที่จะพบกรณีที่บุคคลหรือบางสิ่งแฮ็กไซต์โดยใช้สิ่งอื่นที่ไม่ใช่เงินเพื่อเป็นแรงจูงใจไม่ทางใดก็ทางหนึ่ง

นี่คือลักษณะของ Web-Shell จากมุมมองของผู้โจมตี:


นี่คือระบบที่ให้คุณทำงานผ่านอินเทอร์เฟซได้โดยอัตโนมัติ สิ่งที่น่าสนใจคือมีบรรทัดด้านบนที่ให้ข้อมูลโดยละเอียดเกี่ยวกับเคอร์เนลของระบบปฏิบัติการ เพียงเพื่อทำให้การดำเนินการเพิ่มสิทธิพิเศษตรงนั้นเป็นอัตโนมัติ

เมื่อพบช่องโหว่ในเคอร์เนลของระบบปฏิบัติการ ช่องโหว่จะถูกเผยแพร่บนเว็บไซต์ยอดนิยม การหาประโยชน์คืออะไร? โปรแกรมที่ใช้ช่องโหว่นี้เพื่อบรรลุเป้าหมายของตนเอง และเพิ่มสิทธิพิเศษ มีลักษณะประมาณนี้:


นอกเหนือจากข้อเท็จจริงที่ว่าสคริปต์ที่เป็นอันตรายต่างๆ เริ่มแพร่กระจายไปทั่วเซิร์ฟเวอร์ บางครั้งส่วนประกอบไบนารี่ก็ไปอยู่ที่ไซต์ด้วย ตัวอย่างเช่นเช่นชุดไบนารีหลักหรือปลั๊กอินสำหรับเว็บเซิร์ฟเวอร์เอง สิ่งเหล่านี้อาจเป็นโมดูลสำหรับแพตช์ สำหรับ njinx, njinx ที่สร้างใหม่ หรือส่วนประกอบไบนารีที่สำคัญอื่นๆ ที่คุณมีในระบบ SSHD

นี่คือไซต์ Virustotal ที่คุณสามารถตรวจสอบไฟล์ใดๆ ก็ได้ มีกลไกป้องกันไวรัส 50 ตัวคิดอย่างไร

นี่คือตัวอย่างขององค์ประกอบไบนารี่บางส่วนเมื่อเพิ่ม สิ่งที่สแกนเนอร์ป้องกันไวรัสต่างๆ พูดเกี่ยวกับเว็บเซิร์ฟเวอร์ที่เป็นอันตรายต่างๆ หรือโมดูลสำหรับพวกเขาที่เราพบ:


ฉันอยากจะทราบว่าเมื่อเราพบพวกเขา ทุกอย่างว่างเปล่าที่นี่ และไม่มีใครตรวจพบสิ่งใดบ่อยนัก หลังจากนั้นบางครั้งเราก็เริ่มส่งตัวอย่างเหล่านี้ไปยังบริษัทป้องกันไวรัส และการตรวจจับก็ปรากฏขึ้น

บางครั้ง หากคุณกำลังพยายามค้นหาแหล่งที่มาของโค้ดที่เป็นอันตรายบนไซต์ของคุณอยู่แล้ว อุตสาหกรรมแอนติไวรัสสามารถช่วยคุณได้ในทางใดทางหนึ่ง ไฟล์เตรียมการทั้งหมดสามารถ "ป้อน" ไปยังไซต์หรือยูทิลิตี้เฉพาะได้ แต่เราจะพูดถึงเรื่องนี้ในภายหลัง แต่นี่คือประเด็น


หลังจากการใช้ประโยชน์ สคริปต์เซิร์ฟเวอร์จะปรากฏขึ้น รวมถึงการกำหนดค่าเว็บเซิร์ฟเวอร์ที่ได้รับการแก้ไข มีตัวอย่างที่มักพบเมื่อไซต์ถูกแฮ็ก การกำหนดค่าของเว็บเซิร์ฟเวอร์ก็ได้รับการแก้ไขโดยอัตโนมัติด้วยการเพิ่มการเปลี่ยนเส้นทางแบบมีเงื่อนไข

ผู้เยี่ยมชมเว็บไซต์ของคุณทางมือถือทั้งหมดถูกเปลี่ยนเส้นทางไปยังไซต์หลอกลวงต่างๆ ดังนั้นจึงสร้างรายได้จากพวกเขา และเมื่อไม่นานมานี้ ไม่กี่ปีที่ผ่านมา เว็บมาสเตอร์จำนวนมากไม่ได้คิดถึงผู้ใช้อุปกรณ์เคลื่อนที่สำหรับไซต์ของตน พวกเขาไม่สามารถสังเกตได้เป็นเวลานานว่าผู้เยี่ยมชมอุปกรณ์เคลื่อนที่เมื่อเยี่ยมชมไซต์ของตน ถูกส่งไปยังกลโกงต่างๆ เว็บมาสเตอร์หลายคนตั้งค่านี้อย่างมีสติโดยพยายามสร้างรายได้ แต่มีกรณีใหญ่โตจริงๆ เมื่อทั้งหมดนี้ดูเหมือนเป็นส่วนหนึ่งของการแฮ็ก

อาจเป็นไปได้ว่ามีโค้ดที่เป็นอันตรายอยู่ในฐานข้อมูล ตัวอย่างที่พบบ่อยที่สุดคือเมื่อมีการโจมตีโดยใช้คลาส XXS ตัวอย่างเช่น คุณมีแบบฟอร์มในการแสดงความคิดเห็นบนเว็บไซต์และมีการตรวจสอบพารามิเตอร์ไม่เพียงพอ

อย่างที่ฉันบอกไปแล้วว่าผู้โจมตีมักจะเป็นระบบอัตโนมัติเต็มรูปแบบที่ค้นหาเว็บไซต์ของคุณด้วยตนเอง พวกเขาโหลดที่นั่นไม่ใช่แค่ข้อความ แต่เป็นโหลดพิเศษซึ่งเมื่อเพจถูกแสดงผลจะกลายเป็นสคริปต์ที่ควบคุมโดยผู้โจมตี และด้วยวิธีนี้คุณสามารถทำทุกอย่างที่คุณต้องการกับผู้เยี่ยมชมเว็บไซต์ของคุณ

มันจะเกิดขึ้นแบบคงที่ เมื่อพวกเขาเพิ่มโค้ดที่เป็นอันตรายลงในเทมเพลตหรือ JavaScript แบบคงที่ อย่างที่ฉันบอกไปแล้ว มันเกิดขึ้นที่ไฟล์ไบนารี่ถูกแทนที่ มีกรณีที่ฉลาดแกมโกงมาก เช่น เมื่อผู้โจมตีสร้างระบบที่มีไหวพริบเช่นนี้ เราพบสิ่งนี้แล้ว

ไฟล์หลักของเว็บเซิร์ฟเวอร์จะถูกนำไปใช้ เช่น หากเป็นแพทช์เว็บเซิร์ฟเวอร์ นี่เป็นไฟล์ไบนารี sshd ที่ถูกคัดลอกไปยังตำแหน่งอื่น ชุดประกอบที่เป็นอันตรายจะถูกวางแทนที่ จากนั้นจึงเปิดใช้งาน

หลังจากนั้นไฟล์ที่แก้ไขจะถูกลบออกจากระบบไฟล์และวางไฟล์ต้นฉบับไว้ คุณกำลังใช้งานเว็บเซิร์ฟเวอร์ที่เป็นอันตราย แต่คุณมีเวอร์ชันที่ไม่เปลี่ยนแปลงในระบบไฟล์ของคุณ และแม้แต่การตรวจสอบความสมบูรณ์ก็ไม่แสดงปัญหาใดๆ

เมื่อผู้โจมตีเข้าสู่เซิร์ฟเวอร์ โดยเฉพาะอย่างยิ่งในกรณีของการโจมตีแบบกำหนดเป้าหมาย พวกเขาค่อนข้างมีไหวพริบในสิ่งประดิษฐ์ของพวกเขา และบางครั้งส่วนใหญ่เป็นการโจมตีแบบกำหนดเป้าหมาย เมื่อมีผู้คนจริงเข้ามา คุณจะต้องแสดงความชำนาญพอสมควรเพื่อที่จะค้นหาแหล่งที่มาของ การประนีประนอมของไซต์

เหตุใดจึงทำเช่นนี้? สิ่งสำคัญคือต้องทำความเข้าใจเพื่อคำนึงถึงรูปแบบภัยคุกคาม เพื่อคาดการณ์สิ่งที่จะเกิดขึ้นกับไซต์และปัญหาที่อาจเกิดขึ้น ดังที่ได้กล่าวไปแล้ว วิธีการสร้างรายได้ที่จูงใจผู้โจมตีให้โจมตีแตกต่างกันระหว่างกลุ่มเหล่านี้สำหรับการโจมตีแบบกำหนดเป้าหมายและการโจมตีจำนวนมาก


หากเป็นการโจมตีครั้งใหญ่ เรามีบางอย่างที่สามารถดึงออกมาได้โดยไม่ต้องเจาะลึกบริบทของไซต์ เราเพิ่งลงเอยด้วยเซิร์ฟเวอร์นามธรรม เราจะทำอย่างไรกับมันได้บ้าง? มีผู้มาเยือนจึงสามารถติดเชื้อได้ มีแนวโน้มที่จะปรากฏในเครื่องมือค้นหามากที่สุด ดังนั้นจึงสามารถใช้ในตำแหน่งเครื่องมือค้นหาเพื่อเพิ่มประสิทธิภาพ SEO หมวกดำต่างๆ

เพิ่มแคตตาล็อกที่มีทางเข้าออกแสดงรายการในการแลกเปลี่ยนลิงค์โดยทั่วไปทุกอย่างที่เกี่ยวข้องกับสิ่งนี้ การส่งสแปม การจัดการการโจมตี DDoS เป็นต้น สำหรับการโจมตี DDoS ซึ่งเราจะพูดถึงในภายหลัง ผู้โจมตียังต้องการทรัพยากรบางอย่าง เช่น เซิร์ฟเวอร์ที่แตกต่างกันจำนวนมาก

คำว่า "กรรโชกทรัพย์" น่าสนใจมาก ช่วงนี้ก็มีการพัฒนาไปมากเช่นกัน ทุกคนคงเคยได้ยินมาหลายครั้งแล้วและอาจเคยเจอโทรจันแรนซัมแวร์ดังกล่าว เช่น บนเดสก์ท็อป บนระบบปฏิบัติการ Windows ไม่กี่ปีที่ผ่านมา พวกเขาเริ่มเข้ามามีบทบาทและเข้าสู่โทรศัพท์ Android ไม่มากก็น้อยเมื่อ...

ทุกคนรู้ดีว่าทุกคนเคยพบกับมันไม่ทางใดก็ทางหนึ่งหรืออย่างน้อยก็ได้ยินเกี่ยวกับวิธีเปิดตัวไฟล์ที่เป็นอันตราย มันเริ่มเข้ารหัสระบบไฟล์ทั้งหมดแล้วขอค่าไถ่ ดังนั้นในปีที่ผ่านมาเราได้เห็นแล้วว่าสิ่งเหล่านี้เริ่มต้นบนเซิร์ฟเวอร์ ไซต์ถูกแฮ็ก หลังจากนั้นเนื้อหาทั้งหมดของฐานข้อมูลจะถูกเข้ารหัสตลอดจนระบบไฟล์ทั้งหมด และผู้โจมตีขอให้ผู้ดูแลระบบเรียกค่าไถ่ โดยหวังว่าผู้ดูแลระบบจะไม่มีการสำรองข้อมูลปัจจุบันของระบบไฟล์และฐานข้อมูล

ในการโจมตีแบบกำหนดเป้าหมาย สิ่งต่างๆ จะมีความซับซ้อนมากยิ่งขึ้น บ่อยครั้ง หากมีการโจมตีแบบกำหนดเป้าหมาย ก็ทราบแล้วว่าสามารถได้รับอะไรจากไซต์ นี่เป็นทั้งฐานลูกค้าหรือผู้เยี่ยมชมจำนวนมากซึ่งสามารถสร้างรายได้ได้หลายวิธี ผู้ดูแลระบบทรัพยากรมักไม่มีใครสังเกตเห็นเป็นเวลาหลายเดือน

เมื่อเข้าไปข้างในแล้ว คุณสามารถเข้าไปยุ่งเกี่ยวกับไซต์ได้ทุกวิถีทาง สร้างความยุ่งยากทางเทคนิคต่างๆ เพื่อวัตถุประสงค์ของการแข่งขันที่ไม่ยุติธรรม จำเป็นต้องเข้าใจว่าในความเป็นจริง มีความเชื่อผิดๆ ในสภาพแวดล้อมต่อต้านไวรัส เช่น ฉันมีคอมพิวเตอร์อยู่นอกเขต หรือในกรณีของไซต์ ไซต์นั้นมีปริมาณการใช้งานน้อย ซึ่งหมายความว่าไม่มีใคร ต้องการมัน มันไม่เป็นความจริง

แม้แต่เว็บไซต์ที่สกปรกที่สุดบนโฮสติ้งฟรีบางแห่งก็ยังสร้างรายได้ได้อย่างน้อยก็เพียงเล็กน้อย และมันจะเป็นตัวแทนของเป้าหมายที่ต้องการสำหรับการโจมตีจำนวนมากเสมอ ไม่ต้องพูดถึงเว็บไซต์ขนาดใหญ่ซึ่งสร้างรายได้ง่ายกว่าอีกด้วย

โจมตีผู้เยี่ยมชม: ดาวน์โหลดแบบไดรฟ์

ใช่ เราได้พูดคุยเกี่ยวกับการติดเชื้อของผู้มาเยือนโดยสรุป อาจเป็นไปได้ว่าในปีที่แล้ว ภัยคุกคามนี้กำลังค่อยๆ หายไปด้วยตัวมันเอง การติดเชื้อของผู้มาเยือนคืออะไร? ผู้โจมตีแฮ็กไซต์และจะเกิดอะไรขึ้นต่อไปหากเขาต้องการสร้างรายได้ด้วยการแพร่เชื้อไปยังผู้เยี่ยมชม:


ดังที่ฉันได้กล่าวไปแล้ว มันสามารถเปลี่ยนเส้นทางผู้ใช้มือถือไปยังไซต์บางแห่งที่พวกเขาเสนอให้ติดตั้งแอปพลิเคชันภายใต้หน้ากากของการอัพเดต Flash Player หรืออะไรทำนองนั้น และสำหรับเดสก์ท็อป รูปแบบที่ได้รับความนิยมเช่นนี้คือเมื่อมีการใช้ช่องโหว่ในเบราว์เซอร์ของผู้เข้าชมหรือในปลั๊กอินตัวใดตัวหนึ่งในสภาพแวดล้อมของเขา

ตัวอย่างเช่น ในปี 2012 ช่องโหว่ที่ถูกโจมตีมากที่สุดอยู่ในปลั๊กอิน Java ซึ่งทำให้ผู้ใช้มากกว่าครึ่งหนึ่งถูกโจมตีใน Adobe Reader ในปี 2012 ตอนนี้พวกเขาไม่ได้ใช้ประโยชน์จาก Adobe Reader พวกเขาไม่ได้ใช้ประโยชน์จาก Java แต่ขณะนี้พวกเขาใช้ประโยชน์จาก Flash Player

ช่องโหว่ใหม่ใน Flash Player ได้รับการเผยแพร่เป็นประจำ และช่องโหว่แต่ละช่องโหว่มักเอื้อให้เกิดการโจมตีที่เรียกว่าการดาวน์โหลดแบบไดรฟ์ มันหมายความว่าอะไร? ซึ่งหมายความว่าผู้เยี่ยมชมเพียงเยี่ยมชมไซต์โดยไม่ทำอะไรเพิ่มเติม และเนื่องจากการใช้ประโยชน์จากช่องโหว่ของปลั๊กอิน โปรแกรมที่เป็นอันตรายจึงปรากฏขึ้นในระบบของเขา ซึ่งจะทำงานโดยอัตโนมัติและติดไวรัสในระบบ

การปฏิเสธการบริการหรือที่รู้จักในชื่อ DDoS

นี่คือหากเรากำลังพูดถึงเมื่อผู้โจมตียังคงสามารถเข้าถึงไซต์และการจัดการได้ ในหลายกรณี ผู้โจมตีไม่ได้พยายามเข้าถึงด้วยซ้ำ เขาเพียงต้องการแทรกแซงการทำงานปกติของไซต์ของคุณไม่ทางใดก็ทางหนึ่ง ทุกคนคงเคยได้ยินและเผชิญกับการปฏิเสธการให้บริการ ซึ่งเรียกว่า Distributed Denial of Service


แรงจูงใจหลัก: การแข่งขันและการขู่กรรโชก การแข่งขัน - ชัดเจน ในขณะที่ผู้ใช้ไม่ได้ไปที่ไซต์ของคุณ พวกเขาไปที่ไซต์ของคู่แข่ง การขู่กรรโชก - ยังค่อนข้างชัดเจนว่าการโจมตีไซต์ของคุณเริ่มต้นขึ้น คุณได้รับจดหมายบางประเภทเรียกร้องให้คุณจ่ายเงินให้ใครบางคน และคุณต้องทำอะไรบางอย่างเกี่ยวกับเรื่องนี้

การโจมตีแบ่งออกเป็นสามประเภทหลัก

การโจมตีที่ง่ายที่สุดคือการโจมตีแอปพลิเคชัน สถานการณ์ทั่วไปส่วนใหญ่สำหรับการโจมตีแอปพลิเคชันคือคุณมีเว็บไซต์บางประเภท เช่น ร้านค้าออนไลน์ที่มีการค้นหาบางประเภท คุณมีการค้นหาขั้นสูงพร้อมพารามิเตอร์มากมายซึ่งสร้างการสืบค้นฐานข้อมูลที่ค่อนข้างหนัก ผู้โจมตีเข้ามา เห็นตัวเลือกการค้นหาขั้นสูงของคุณ และสร้างสคริปต์ที่เริ่มส่งข้อความค้นหาจำนวนมากลงในแบบฟอร์มการค้นหาขั้นสูงของคุณ ฐานข้อมูลจะพังอย่างรวดเร็วแม้ภายใต้แรงกดดันของโฮสต์มาตรฐานเดียวสำหรับหลายๆ ไซต์ในทางปฏิบัติ แค่นั้นเอง ด้วยเหตุนี้จึงไม่จำเป็นต้องมีทรัพยากรพิเศษในส่วนของผู้โจมตี

การโจมตีของชั้นการขนส่ง ที่ชั้นการขนส่ง มีสองโปรโตคอลหลัก การโจมตีบน UDP พวกเขาหมายถึงการโจมตีในช่องมากกว่า เนื่องจากไม่มีเซสชันที่นั่น และหากเรากำลังพูดถึงโปรโตคอล TCP นี่เป็นกรณีการโจมตีที่ค่อนข้างบ่อย

โปรโตคอล TCP คืออะไร? โปรโตคอล TCP หมายความว่าคุณมีเซิร์ฟเวอร์และมีตารางการเชื่อมต่อแบบเปิดกับผู้ใช้ เห็นได้ชัดว่าตารางนี้ไม่สามารถมีขนาดไม่จำกัดได้ และผู้โจมตีได้ออกแบบแพ็กเก็ตจำนวนมากโดยเฉพาะที่เริ่มต้นการสร้างการเชื่อมต่อใหม่ และแพ็กเก็ตมักจะมาจากที่อยู่ IP ปลอมด้วยซ้ำ

มันล้นตารางนี้ ดังนั้นผู้ใช้ที่ถูกต้องตามกฎหมายที่มายังไซต์ของคุณจะไม่สามารถเข้าสู่ตารางการเชื่อมต่อนี้ได้ และเป็นผลให้ไม่ได้รับบริการของคุณ นี่เป็นตัวอย่างทั่วไปของการโจมตีทั่วไปที่ผู้คนได้เรียนรู้ที่จะต่อสู้ในช่วงไม่กี่ปีที่ผ่านมา

และที่เลวร้ายที่สุดคือการโจมตีทางช่อง นี่คือเมื่อคุณมีช่องสัญญาณขาเข้าซึ่งสามารถส่งคำขอบางรายการไปยังเซิร์ฟเวอร์ของคุณได้ และช่องทั้งหมดก็ถูกอุดตัน

หากในการโจมตีระดับสูงกว่าสองครั้ง คุณยังคงสามารถใช้ตรรกะบางอย่างบนเซิร์ฟเวอร์ของตัวเองเพื่อที่จะเปลี่ยนการโจมตีเหล่านี้ได้ ดังนั้นในกรณีของการโจมตีช่องสัญญาณบนเซิร์ฟเวอร์นั้น จะไม่สามารถทำอะไรได้เลย เพราะเพื่อที่จะทำสิ่งที่คุณต้องทำ ฉันอยากจะยอมรับคำขอแต่ช่องทั้งหมดอุดตันอยู่แล้ว ผู้ใช้ทั่วไปไม่สามารถเคาะประตูได้

ทำไม ทำไมเราถึงต้องพูดถึงการจำแนกประเภทนี้ และทำไมคุณถึงต้องการมัน? ใช่ เพียงเพราะการโจมตีแต่ละประเภทเหล่านี้มีมาตรการตอบโต้ของตัวเอง หากคุณพบสิ่งนี้ แสดงว่าคุณเข้าใจว่าคุณกำลังประสบกับการโจมตีแบบปฏิเสธการให้บริการ และสิ่งแรกที่คุณควรทำคือตัดสินใจว่าการโจมตีประเภทใดที่กำลังเกิดขึ้น และเลือกวิธีที่เหมาะสมในการเริ่มต่อสู้กับการโจมตีนี้ แม้ว่าจะสามารถรวมกันได้ก็ตาม

มาโกเมด เชอร์บิเซฟ

สิ่งพิมพ์ที่เกี่ยวข้อง