Soorten gedetecteerde netwerkaanvallen
Vandaag de dag bestaan er een groot aantal netwerkaanvallen. Deze aanvallen benutten kwetsbaarheden in het besturingssysteem en andere software, van het systeemtype of andere typen, die op uw computer is geïnstalleerd.
U moet weten welke soorten netwerkaanvallen u kunt tegenkomen om de beveiliging van uw computer te garanderen. De bekende netwerkaanvallen kunnen in drie groepen worden verdeeld:
- Poortscan : deze bedreiging is zelf geen aanval maar gaat er meestal aan vooraf, aangezien het een van de meest gebruikelijke manieren is om informatie over een externe computer te verkrijgen. De UDP-/TCP-poorten die gebruikt worden door netwerktools op de computer die wordt aangevallen door een indringer, worden gescand om hun status uit te vinden (open of gesloten).
Poortscans kunnen de hacker vertellen welke aanvallen wel en welke niet zullen slagen op dit systeem. Bovendien kan de hacker aan de hand van de informatie die tijdens deze scan (een model van het systeem) verkregen wordt, bepalen welk besturingssysteem de externe computer gebruikt. Dit beperkt het aantal potentiële aanvallen nog meer, en tegelijkertijd ook de tijd die eraan moet worden besteed. Het helpt de hacker ook om kwetsbaarheden te gebruiken die typerend zijn voor het besturingssysteem.
- DoS-aanvallen of Denial-of-Service-aanvallen zijn aanvallen die een onstabiele werking of het vastlopen van het systeem tot gevolg hebben. Dit soort aanvallen kunnen het gebruik van aangevallen informatiebronnen beïnvloeden (bijvoorbeeld geen toegang tot het internet).
Er zijn twee basistypen DoS-aanvallen:
- Het versturen van onverwachte, speciaal gemaakte pakketten naar de doelcomputer heeft tot gevolg dat het systeem opnieuw opstart of stopt;
- De doelcomputer zoveel pakketten binnen een bepaald tijdsbestek sturen, dat deze niet verwerkt kunnen worden en systeembronnen uitgeput raken.
De meest voorkomende voorbeelden van deze groep aanvallen zijn:
- De Ping-of-death-aanval bestaat uit het versturen van een ICMP-pakket die de maximumgrootte van 64 KB overschrijdt. Dit kan sommige besturingssystemen doen crashen.
- De Land-aanval bestaat uit het versturen van een verzoek naar een open poort op de doelcomputer om een verbinding met zichzelf tot stand te brengen. Door deze aanval komt de computer in een cyclus terecht, wat grotere druk op de processor uitoefent en sommige besturingssystemen kan doen vastlopen.
- De ICMP Flood-aanval verstuurt grote hoeveelheden ICMP-pakketten naar uw computer. De computer probeert op elke inkomende pakket te antwoorden, waardoor de processor uitermate traag gaat werken.
- De SYN-Flood-aanval bestaat uit het versturen van een groot aantal query’s naar een externe computer om zo een schijnverbinding tot stand te brengen. Het systeem reserveert bepaalde bronnen voor elk van deze verbindingen, waardoor uw systeembronnen volledig worden uitgeput en de computer niet meer op andere verbindingspogingen reageert.
- Intrusion-aanvallen, die uw computer trachten over te nemen. Dit is de gevaarlijkste aanval, want als deze lukt, heeft de hacker de volledige controle over uw systeem.
Hackers gebruiken deze aanval om vertrouwelijke informatie over een externe computer te verkrijgen (bijvoorbeeld creditcardnummers of wachtwoorden) of om het systeem binnen te dringen en zijn bronnen later te gebruiken voor kwaadaardige processen (zoals het binnengedrongen systeem gebruiken in een zombienetwerk of als een platform voor nieuwe aanvallen).
Dit is de grootste groep van het aantal aanvallen. Ze kunnen in drie groepen worden ingedeeld, afhankelijk van het besturingssysteem dat op de computer van de gebruiker is geïnstalleerd: Microsoft Windows-aanvallen, Unix-aanvallen, en de algemene groep voor netwerkservices die in beide besturingssystemen beschikbaar zijn.
De volgende typen aanvallen komen het meest voor onder de aanvallen die de netwerkbronnen van besturingssystemen gebruiken:
- Bufferoverloopaanvallen. Een bufferoverloop kan worden veroorzaakt door een gebrek (of tekort) aan controle bij het werken met een grote hoeveelheid gegevens. Dit type kwetsbaarheid is een van de oudste en kan het gemakkelijkst door hackers uitgebuit worden.
- Structuurreeksaanvallen. Fouten bij de structuurreeks komen voort uit onvoldoende controle over invoerwaarden voor I/O-functies zoals printf(), fprintf(), scanf() en andere uit de bibliotheek met C-standaarden. Als een programma deze kwetsbaarheid vertoont, kan een hacker, aan de hand van verzoeken die met een speciale techniek zijn gemaakt, volledige controle over het systeem verkrijgen.
Het systeem voor inbraakdetectie analyseert en voorkomt automatisch pogingen tot het uitbuiten van deze kwetsbaarheden in de meest voorkomende netwerkservices (FTP, POP3, IMAP) als deze op de computer van de gebruiker worden uitgevoerd.
- Aanvallen gericht op computers met Microsoft Windows zijn gebaseerd op het gebruik van kwetsbaarheden in de software die op de computer is geïnstalleerd (zoals Microsoft SQL Server, Microsoft Internet Explorer, Messenger, en systeemcomponenten die via het netwerk beschikbaar zijn: DCom, SMB, Wins, LSASS, IIS5).
Bovendien kan het gebruik van diverse malafide scripts, inclusief scripts verwerkt door Microsoft Internet Explorer en Helkern-type wormen, worden geclassificeerd als afzonderlijke aanvallen van indringers. Een dergelijke aanval verstuurt een speciaal type UDP-pakket naar een externe computer die schadelijke code kan uitvoeren.
|