Internet Security

Typy wykrywanych ataków sieciowych

Liczba ataków sieciowych jest bardzo duża. Ataki te wykorzystują luki systemu operacyjnego oraz innego oprogramowania zainstalowanego na komputerze.

Aby zapewnić należytą ochronę swojemu komputerowi, warto jest poznać rodzaje ataków sieciowych. Wyróżnia się trzy główne grupy najczęstszych ataków sieciowych:

• Skanowanie portów – tego typu zagrożenie nie jest atakiem samo w sobie, lecz zazwyczaj go poprzedza, ponieważ jest jedną z najbardziej popularnych metod uzyskiwania informacji o zdalnym komputerze. Porty UDP/TCP używane przez narzędzia sieciowe na atakowanym komputerze skanowane są w celu uzyskania informacji o ich stanie (zamknięty lub otwarty).

  Skanowanie portów umożliwia intruzowi wybór możliwego do przeprowadzenia rodzaju ataku. Ponadto, wynik skanowania może informować o rodzaju systemu operacyjnego zainstalowanego na zdalnym komputerze. Ogranicza to liczbę potencjalnych ataków oraz czas potrzebny do ich przeprowadzenia. Jest to również pomocne podczas prób wykorzystania luk charakterystycznych dla danego systemu operacyjnego.

• Ataki DoS, zwane Denial of Service, są atakami, których celem jest osiągnięcie niestabilnego działania systemu operacyjnego lub jego awarii. Tego typu ataki mogą uniemożliwiać dostęp do pewnych zasobów (np. blokowanie dostępu do Internetu).

  Istnieją dwa podstawowe typy ataków DoS:

  • wysyłanie do komputera docelowego specjalnie spreparowanych pakietów, które mogą być przyczyną ponownego uruchomienia lub zatrzymania komputera;
  • wysyłanie do komputera docelowego wielu pakietów w danym czasie, których komputer nie jest w stanie przetworzyć, co powoduje opróżnianie zasobów systemowych.

  Najczęstszymi przykładami w tej grupie ataków są:

  • Atak Ping of death polegający na wysyłaniu pakietów ICMP o rozmiarze większym niż maksymalny 64 KB. Tego typu atak może spowodować awarię niektórych systemów operacyjnych.
  • Atak Land polegający na wysyłaniu żądań do otwartego portu na komputerze docelowym w celu nawiązania połączenia z samym sobą. W wyniku ataku komputer wpada w pętlę, co zwiększa obciążenie procesora i może spowodować awarię systemu operacyjnego.
  • Atak ICMP Flood składający się na wysyłanie dużej liczby pakietów ICMP do komputera. Wymusza na komputerze udzielanie odpowiedzi na wszystkie pakiety przychodzące, co powoduje duże obciążenie procesora.
  • Atak SYN Flood polegający na wysyłaniu dużej liczby zapytań do komputera w celu nawiązania fałszywego połączenia. Dla każdego z tych połączeń system rezerwuje określone zasoby systemowe, co powoduje ich całkowite opróżnianie i wstrzymywanie reakcji komputera na inne próby nawiązania połączenia.
• Ataki intruzów opierający się na przejęciu kontroli nad atakowanym komputerem. Jest to najbardziej niebezpieczny typ ataku, ponieważ jeżeli się powiedzie, haker uzyskuje pełną kontrolę nad komputerem.

  Hakerzy używają tego typu ataku w celu uzyskania poufnych informacji znajdujących się na zdalnym komputerze (na przykład: numerów kart kredytowych lub haseł) lub do przejęcia kontroli nad systemem w celu wykorzystania jego zasobów systemowych do szkodliwych celów w przyszłości (użycie przejętego systemu jako elementu sieci zombie lub jako źródła nowego ataku).

  Jest to najliczniejsza grupa ataków. W oparciu o rodzaj systemu operacyjnego może ona zostać podzielona na trzy podgrupy: Ataki na systemy Microsoft Windows, ataki na systemy Unix i grupa usług sieciowych uruchamianych na obu systemach operacyjnych.

  Wśród ataków używających zasobów sieciowych systemu operacyjnego najczęściej występującymi są:

  • Ataki Buffer overflow. Ataki Buffer overflow mogą być spowodowane przez brak kontroli (lub niedostateczną kontrolę) podczas pracy z dużą ilością danych. Jest to jeden ze starszych typów luk, który bez problemu może zostać wykorzystany przez hakera.
  • Ataki Format string. Błędy oprogramowania polegające na nieodpowiedniej kontroli w obsłudze wartości wejściowych dla funkcji I/O, takich jak printf(), fprintf(), scanf() oraz innych funkcji standardowej biblioteki języka C. W przypadku występowania tego błędu w programie, haker przy użyciu zapytań utworzonych za pomocą specjalnej techniki może uzyskać pełną kontrolę nad systemem.

    System wykrywania włamań automatycznie analizuje i zapobiega próbom wykorzystania tych luk w najbardziej popularnych usługach sieciowych (FTP, POP3, IMAP) uruchomionych na komputerze użytkownika.

  • Ataki na systemy Microsoft Windows polegają na wykorzystaniu luk w oprogramowaniu zainstalowanym na komputerze (na przykład programów typu Microsoft SQL Server, Microsoft Internet Explorer, Messenger i komponentów systemowych dostępnych poprzez sieć – DCom, SMB, Wins, LSASS, IIS5).

  Dodatkowo, jako osobny przypadek ataków hakerów może zostać zaklasyfikowane używanie różnych szkodliwych skryptów, łącznie ze skryptami przetworzonymi przez Microsoft Internet Explorer i robaki typu Helkern. Istotą tego typu ataków jest wysyłanie do zdalnego komputera specjalnych typów pakietów UDP, które mogą uruchomić szkodliwy kod.