Red de conocimiento informático - Consumibles informáticos - Métodos de intrusión de los piratas informáticos~ ~

Métodos de intrusión de los piratas informáticos~ ~

Ping of Death (Ping of Death)

Descripción general: los primeros enrutadores tenían limitaciones en el tamaño máximo de paquete y muchos sistemas operativos especificaban 64 KB para la implementación de la pila TCP/IP en paquetes ICMP. Después de leer el encabezado del paquete, se debe generar un búfer para la carga útil en función de la información contenida en el encabezado. Cuando un paquete con formato incorrecto afirma ser mayor que el límite superior de ICMP, es decir, el tamaño cargado excede el límite superior de 64 KB, se produce un error de asignación de memoria, lo que provoca que la pila TCP/IP falle.

Defensa: ahora se han implementado todas las implementaciones estándar de TCP/IP para hacer frente a paquetes de gran tamaño, y la mayoría de los cortafuegos pueden filtrar automáticamente estos ataques, incluidos: Windows después de Windows 98, después del Service Pack 3), Linux, Solaris. , y Mac OS son capaces de resistir ataques generales de ping de la muerte. Además, configurar el firewall para bloquear ICMP y cualquier protocolo desconocido sirve para evitar este tipo de ataques.

Teardrop

Descripción general: el ataque Teardrop utiliza la información contenida en el encabezado del paquete en el fragmento de IP confiable implementado en la pila TCP/IP para implementar su propio ataque. Un segmento IP contiene información que indica qué segmento del paquete original contiene el segmento. Algunos TCP/IP (incluido NT anterior al servicepack 4) fallan al recibir segmentos falsificados con desplazamientos superpuestos.

Defensa: El servidor aplica el último service pack o vuelve a ensamblar segmentos en lugar de reenviarlos al configurar un firewall.

UDP Flood

Descripción general: varios ataques de suplantación de identidad utilizan servicios TCP/IP simples, como Chargen y Echo, para transmitir datos inútiles llenos de ancho de banda. Al forjar una conexión UDP con el servicio Chargen del host, la dirección de respuesta apunta al host con el servicio Echo habilitado, generando así suficiente flujo de datos inútil entre los dos hosts que conducirá a un ataque al servicio de ancho de banda.

Medidas defensivas: desactive los servicios TCP/IP innecesarios o configure un firewall para bloquear las solicitudes UDP de estos servicios desde Internet.

Inundación sintética

Descripción general: algunas implementaciones de la pila TCP/IP solo pueden esperar a que se envíen mensajes de confirmación desde un número limitado de computadoras porque tienen buffers de memoria limitados para crear conexiones. . Si este búfer se llena con información inicial para una mala conexión, el servidor dejará de responder a la siguiente conexión hasta que se agote el tiempo de espera del intento de conexión en el búfer. La inundación SYN tiene un efecto similar en algunas implementaciones que crean conexiones sin límite.

Defensa: Filtrar conexiones posteriores desde el mismo host en el firewall.

Las futuras inundaciones SYN son preocupantes porque quienes las liberan no buscan una respuesta y, por lo tanto, no pueden identificarse a partir de simples transmisiones masivas.

Ataque terrestre

Descripción general: en un ataque terrestre, la dirección original y la dirección de destino de un paquete SYN especialmente diseñado se configuran en una determinada dirección de servidor, lo que hará que el servidor receptor enviarse una solicitud a sí mismo. Enviar un mensaje SYN-ACK a la dirección. Por lo tanto, la dirección enviará un mensaje de confirmación y creará una conexión vacía. Cada una de estas conexiones se mantendrá hasta que se agote el tiempo de espera. Muchas implementaciones de UNIX fallarán y NT se volverá extremadamente lento (durante unos cinco minutos).

Defensa: cree el último parche o configúrelo en el firewall para filtrar el tráfico entrante con una dirección de origen interna en la interfaz externa. (Incluyendo 10 dominios, 127 dominios, 192,168 dominios, 172,16 a 172,31 dominios)

Ataque pitufo

Descripción general: un ataque pitufo simple envía datos de solicitud de respuesta ICMP (ping) al host de la víctima Esto se implementa con un paquete cuya dirección de respuesta se establece en la dirección de transmisión de la red víctima. Al final, todos los hosts de la red responden a esta solicitud de respuesta ICMP, lo que provoca una congestión de la red uno o dos órdenes de magnitud mayor que una avalancha de ping mortal. Los Pitufos más sofisticados cambian la dirección de origen a una tercera víctima, lo que en última instancia provoca una avalancha de terceros.

Defensa: para evitar que los piratas informáticos utilicen su red para atacar a otros, desactive la función de transmisión de direcciones de su enrutador o firewall externo. Para evitar ataques, establezca reglas en el firewall y elimine los paquetes ICMP.

Ataque frágil

Descripción general: el ataque Fraggle es una modificación simple del ataque Smurf, que utiliza mensajes de respuesta UDP en lugar de ICMP.

Defensa: filtrar mensajes de respuesta UDP en el firewall

Bombas de correo electrónico

Descripción general: las bombas de correo electrónico son uno de los ataques anónimos más antiguos. Al configurar una máquina para enviar una gran cantidad de correos electrónicos a la misma dirección, un atacante puede agotar el ancho de banda de la red del destinatario.

Defensa: Configura direcciones de correo electrónico para eliminar automáticamente mensajes excesivos o duplicados del mismo host.

Ataque de mensajes con formato incorrecto

Descripción general: muchos servicios en varios sistemas operativos tienen este tipo de problemas. Debido a que estos servicios no verifican adecuada y correctamente si hay errores antes de procesar la información, pueden fallar al recibir un mensaje de excepción.

Defensa: Aplicar el último parche de servicio.

Ataque de explotación

Un exploit es un ataque que intenta tomar el control directo de su máquina. Hay tres ataques más comunes:

Adivinación de contraseña

Descripción general: una vez que un pirata informático ha identificado el host y ha encontrado cuentas de usuario disponibles basadas en servicios como NetBIOS, Telnet o NFS, puede lograrlo con éxito. adivinar la contraseña puede controlar la máquina.

Defensa: Elige contraseñas que sean difíciles de adivinar, como una combinación de palabras y signos de puntuación. Asegúrese de que los servicios disponibles como NFS, NetBIOS y Telnet no estén expuestos al dominio público. Si el servicio admite una política de bloqueo, bloquéela.

Caballo de Troya

Descripción general: un caballo de Troya es un programa que se instala de forma encubierta en un sistema de destino, ya sea directamente por un hacker o un usuario desprevenido. Una vez que la instalación se realiza correctamente y se obtienen los derechos de administrador, la persona que instaló el programa puede controlar directamente el sistema de destino de forma remota.

El más eficaz se llama programa de puerta trasera. Los programas maliciosos incluyen NetBus, BackOrifice y BO2k. Los programas benignos utilizados para controlar el sistema incluyen netcat, VNC y pcAnywhere. La puerta trasera ideal funciona de forma transparente.

Defensa: Evitar descargar programas sospechosos y negarse a ejecutarlos. Utilice software de escaneo de red para monitorear periódicamente los servicios TCP en los hosts internos.

Desbordamiento de búfer

Descripción general: en muchos programas de servicio, los programadores descuidados utilizan funciones como strcpy() y strcat() que no verifican los bits válidos, lo que eventualmente puede conducir a errores maliciosos. El usuario escribe un pequeño programa para abrir aún más el agujero de seguridad y luego agrega el código al final de la carga útil del búfer para que cuando el búfer se desborde, el puntero de retorno apunte al código malicioso y se tome el control del sistema.

Defensa: Utilice SafeLib, tripwire y otros programas para proteger el sistema, o explore los últimos boletines de seguridad y actualice constantemente el sistema operativo.

Ataque de recopilación de información

El ataque de recopilación de información no dañará al objetivo en sí. Como sugiere el nombre, este ataque se utiliza para proporcionar información útil para futuras intrusiones. Incluye principalmente: tecnología de escaneo, detección de arquitectura y utilización de servicios de información.

Tecnología de escaneo

Escaneo de direcciones

Descripción general: utilice un programa similar a ping para detectar una dirección de destino y responder a ella para indicar su presencia.

Defensa: Filtra los mensajes de respuesta ICMP en el firewall.

Escaneo de puertos

Descripción general: algunos programas se usan generalmente para conectar una serie de puertos TCP a una amplia gama de hosts. El software de escaneo informará los puertos abiertos por los hosts conectados. han sido establecidos exitosamente.

Defensa: Muchos firewalls pueden detectar si están siendo escaneados y bloquear automáticamente los intentos de escaneo.

Mapeo de eco

Descripción general: los piratas informáticos envían mensajes falsos a los hosts y luego determinan qué hosts existen en función de las características del mensaje "host inalcanzable". Actualmente, debido a que los firewalls detectan fácilmente las actividades de escaneo normales, los piratas informáticos recurren a tipos de mensajes comunes que no activan reglas de firewall, incluidos mensajes RESET, mensajes SYN-ACK y paquetes de respuesta DNS.

Defensa: ¿Pueden los servidores NAT y proxy sin enrutamiento defenderse automáticamente contra tales ataques, y pueden filtrarse en el firewall las respuestas ICMP de "alojamiento inalcanzable"? .

Escaneo lento

Descripción general: dado que el detector de escaneo general determina si la conexión se está procesando al monitorear la cantidad de conexiones iniciadas por un host específico dentro de un cierto período de tiempo (por ejemplo, , 10 veces por segundo), para que los piratas informáticos puedan escanear utilizando un software de escaneo más lento.

Defensa: Detecta escaneos lentos mediante servicios señuelo.

Detección de arquitectura

Descripción general: los piratas informáticos utilizan herramientas automatizadas con una base de datos de tipos de respuesta conocidos para examinar la respuesta del host objetivo a transmisiones de paquetes erróneas. Dado que cada sistema operativo tiene su propia respuesta única (por ejemplo, la implementación específica de la pila TCP/IP es diferente entre NT y Solaris), los piratas informáticos a menudo pueden determinar el host de destino comparando esta respuesta única con respuestas conocidas en la base de datos. sistema operativo que se está ejecutando.

Defensa: elimine o modifique varios banners, incluidos sistemas operativos y diversos servicios de aplicaciones, y bloquee los puertos utilizados para la identificación para interrumpir el plan de ataque de la otra parte.

Uso de servicios de información

Traducción de dominio DNS

Descripción general: el protocolo DNS no autentica la identidad de la información que se traduce o actualiza, lo que lo hace útil en de varias maneras diferentes. Si mantiene un servidor DNS público, un pirata informático puede obtener los nombres y las direcciones IP internas de todos sus hosts simplemente realizando una operación de traducción de dominio.

Defensa: filtra las solicitudes de conversión de dominio en el firewall.

Servicio Finger

Descripción general: los piratas informáticos utilizan el comando Finger para monitorear el servidor Finger y obtener información del usuario del sistema.

Defensa: desactive el servicio Finger, registre la dirección IP de la otra parte que intenta conectarse al servicio o filtre en el firewall.

Servicio LDAP

Descripción general: los piratas informáticos utilizan el protocolo LDAP para espiar la información de los sistemas internos y de los usuarios de la red.

Defensa: Intercepta y registra el espionaje LDAP en la red interna. Si el servicio LDAP se proporciona en una máquina pública, el servidor LDAP debe ubicarse en la DMZ.

Ataques de noticias falsas

Los mensajes utilizados para atacar objetivos configurados incorrectamente incluyen principalmente: contaminación de la caché de DNS y correos electrónicos falsos.

Contaminación de la caché de DNS

Descripción general: debido a que los servidores DNS no se autentican cuando intercambian información con otros servidores de nombres, los piratas informáticos pueden mezclar información incorrecta y señalar a los usuarios su propio host.

Defensa: Filtra las actualizaciones de DNS entrantes en el firewall. Los servidores DNS externos no deberían poder cambiar la comprensión que tiene su servidor interno de las máquinas internas.

Correo electrónico falso

Descripción general: debido a que SMTP no verifica la identidad del remitente del correo electrónico, un pirata informático puede falsificar un correo electrónico para su cliente interno, afirmando que el correo electrónico proviene de alguien del cliente. sabe y cree e incluye troyanos instalables o enlaces a sitios web maliciosos.

Defensa: Utiliza herramientas de seguridad como PGP para instalar certificados de correo electrónico.

Ataque de vulnerabilidad

Para Microsoft, lo más irónico es que los piratas informáticos siempre descubren las vulnerabilidades primero. No fue hasta después del colapso de Windows que Microsoft se levantó y añadió: "El último parche tiene. Lanzamiento. Si los clientes no descargan el parche a tiempo, ¡no seremos responsables de las consecuencias!"

Ataque:

Después de una investigación cuidadosa, el ataque de vulnerabilidad se concentra principalmente en dos partes del sistema: 1. Servicios externos del sistema, como el servicio de "Asistencia remota" para el virus "Shock Wave" del sistema; el virus "Nimda" está infectado a través de la "vulnerabilidad IPC" del sistema (fuente * * *). 2. En términos de software de aplicación integrada, las aplicaciones integradas como IE, OutLook Express, MSN Messager y Media Player pueden convertirse en puentes para ataques de vulnerabilidad.

Entonces, ¿cómo aprovechan los piratas informáticos estas vulnerabilidades para llevar a cabo ataques? Primero, utilice tecnología de escaneo para descubrir qué vulnerabilidades existen en la computadora de la otra parte y luego elija un método de ataque dirigido. Tomemos como ejemplo la vulnerabilidad IFRAME de IE. Los piratas informáticos pueden utilizar código malicioso en la página web (el código malicioso puede escribirse a mano o con la ayuda de una herramienta de software) para crear páginas web venenosas y luego atraer a la otra parte para que vea la página web. IE sin parches ayudará a que el virus ingrese a la computadora y el sistema infectado usará la libreta de direcciones de IE para enviar una gran cantidad de correos electrónicos venenosos, bloqueando eventualmente la red del usuario.

Notas:

Para la prevención de vulnerabilidades, la actualización es, naturalmente, la primera opción. Hay dos formas de actualizar bien:

1. Actualizar

En el menú "Inicio" del sistema, habrá un enlace "Windows Update". Después de seleccionar, ingrese a la página de inicio de actualización de Microsoft. El programa en el sitio web escaneará automáticamente qué vulnerabilidades existen en el sistema actual y cuáles deben actualizarse. Simplemente siga el "asistente" para completarlo, como se muestra en la imagen (recomiendo esto). método).

Ataque de vulnerabilidad

Para Microsoft, lo más irónico es que los piratas informáticos siempre descubren las vulnerabilidades primero. No fue hasta después del colapso de Windows que Microsoft se levantó y añadió: "El último parche tiene. Lanzado. Si los clientes no descargan el parche a tiempo, ¡no somos responsables de las consecuencias!"

Ataque:

Después de una investigación cuidadosa, el ataque de vulnerabilidad se concentra principalmente en dos. Partes del sistema: 1. Servicios externos del sistema, como el servicio de "Asistencia remota" para el virus "Shock Wave" del sistema; el virus "Nimda" está infectado a través de la "vulnerabilidad IPC" del sistema (fuente * * *). 2. En términos de software de aplicación integrada, las aplicaciones integradas como IE, OutLook Express, MSN Messager y Media Player pueden convertirse en puentes para ataques de vulnerabilidad.

Entonces, ¿cómo utilizan los piratas informáticos estas vulnerabilidades para llevar a cabo ataques? Primero, utilice tecnología de escaneo para descubrir qué vulnerabilidades existen en la computadora de la otra parte y luego elija un método de ataque dirigido. Tomemos como ejemplo la vulnerabilidad IFRAME de IE. Los piratas informáticos pueden utilizar código malicioso en la página web (el código malicioso puede escribirse a mano o con la ayuda de una herramienta de software) para crear páginas web venenosas y luego atraer a la otra parte para que vea la página web. IE sin parches ayudará a que el virus ingrese a la computadora y el sistema infectado usará la libreta de direcciones de IE para enviar una gran cantidad de correos electrónicos venenosos, bloqueando eventualmente la red del usuario.

Nota:

Para la prevención de vulnerabilidades, la actualización es, naturalmente, la primera opción. Hay dos formas de actualizar bien:

1. Actualizar

Utiliza el programa de actualización

Aunque utilizar Update es más preciso y completo. Sin embargo, todos sus componentes de actualización deben descargarse del sitio web de Microsoft, lo que obviamente no es realista en el caso de la "banda ancha" y también lleva mucho tiempo; Microsoft proporciona descargas empaquetadas de programas de actualización, o algunos CD de herramientas también contienen estos paquetes de actualización. Los "Service Pack 1" y "Service Pack 2", mencionados a menudo, se refieren a estos paquetes de actualización.

Además de actualizar, también puede utilizar algunas herramientas y software para lograr resultados, como el "Asistente de Internet" de 3721, que puede llenar las lagunas de IE. Este software generalmente está orientado a proteger las aplicaciones del sistema y menos a las vulnerabilidades de "servicios externos".

Ataque DDOS

La esencia de DDOS (ataque de denegación de servicio distribuido) es utilizar solicitudes de servicio razonables para ocupar demasiados recursos de servicio, de modo que los usuarios legítimos no puedan obtener respuestas de servicio. Es sencillo de implementar y actualmente es un método comúnmente utilizado por los piratas informáticos.

Ataque:

Hay muchas formas de implementar DDOS, como que varias personas realicen solicitudes web al host al mismo tiempo; muchas personas hagan ping al host al mismo tiempo. .Lo siguiente es un "avanzado" "Un ataque de ping de inundación disfrazado de dirección IP".

El comando Ping es un comando de red que se utiliza para detectar el estado de comunicación de la red y el estado de otros hosts. En el pasado, había información sobre hacer ping constantemente al otro host, lo que podía llevar a una situación que el host no podía tolerar. Sin embargo, con la popularización de nuevos sistemas como Windows XP y la actualización del ancho de banda de la red y el hardware de la computadora, una gran cantidad de paquetes Ping simples son básicamente inútiles.

El flujo de trabajo del comando Ping es el siguiente: primero, el host A que utiliza el comando Ping envía un mensaje ICMP al host B; luego, el host b envía un mensaje ICMP de regreso al host a.

Existe un método de comunicación en red llamado “broadcasting”. La llamada transmisión significa que hay una dirección y cualquier host en la LAN recibirá los mensajes enviados a esta dirección (al igual que la transmisión de radio), y así sucesivamente.

Si envía un mensaje ICMP (es decir, hace ping a la dirección de transmisión) a una dirección de transmisión LAN (que se puede encontrar con algún "software de rastreo de LAN"), obtendrá muchas respuestas de mensajes ICMP. Disfraze la dirección de la computadora actual como la IP del host atacado (SOCK_RAW se puede usar para disfrazar la IP). Cuando se envía una solicitud de Ping a una dirección de transmisión, todos los hosts en la dirección de transmisión responderán a la solicitud de Ping y el host atacado se verá obligado a aceptar una gran cantidad de paquetes Ping. Esto forma un ataque de ping de inundación que disfraza las direcciones IP.

Nota:

En lo que respecta a DDOS, actualmente no se ha encontrado ningún método de defensa eficaz en la red. Aunque para el modo de ataque que utiliza paquetes Ping, se pueden usar algunos firewalls para denegar los paquetes Ping, pero si DDOS usa otro vector de solicitudes web legítimas (abriendo páginas web en el host), aún no se puede bloquear. El método común actual para lidiar con DDOS es que los administradores bloqueen manualmente la forma de origen y servidor de DDOS. Si una dirección IP provoca un ataque DDOS en el host, el host bloqueará el acceso a esa dirección IP. DDOS utiliza servicios FTP y HTTP, por lo que detiene temporalmente estos servicios.

Finalmente, me gustaría recordarles a todos que los hackers inteligentes harán un trabajo final después de un ataque. El trabajo final consiste en eliminar cierta información residual que pueden encontrar por sí solos. Para los usuarios, esta información residual solo se puede capturar a través de registros, como registros del servidor web (IIS y Server_U tienen funciones de visualización de registros). Que pueda encontrar esta información residual a través de los registros depende de la suerte. Un hacker verdaderamente poderoso se irá silenciosamente, sin dejar ninguna "nube" detrás.

6. ¿Se pueden prevenir las inundaciones de ICMP?

Primero déjame hacerte una pregunta: Cuando la inundación llega rápidamente, ¿podrás resistirla con un lavabo? (Es una buena idea sentarse en el lavabo y ser un Robinson moderno. Quizás puedas flotar hacia MM)

El firewall de red del software puede lidiar con algunas lagunas, desbordamientos, ataques OOB e IGMP, pero es No es apto para el ataque Flood pero no puede hacer nada. Mi explicación habitual es "saca la basura": "Si las cucarachas o los ratones pasan el rato frente a tu casa, puedes ahuyentarlos, pero ¿qué pasa si alguien tira un camión lleno de basura frente a tu casa? Primeras palabras". Tian vio que el hermano Mikespook tenía una explicación más decente para esto y la reimprimió: "El principio de la cáscara de plátano: si alguien te da un plátano y una cáscara de plátano, puedes notar la diferencia y tirar la cáscara de plátano inútil". Juzga y descarta paquetes de datos de esta manera. Sin embargo, si alguien te arroja un montón de cáscaras de plátano al mismo tiempo, no te ayudará a distinguir si es útil o no~ ~porque estás ahogado en cáscaras de plátano~ ~ ~(. Entonces, incluso si el firewall puede distinguir los paquetes de ataque DoS, solo puede identificarlos y ya es demasiado tarde para descartarlos ~ ~Muerto, muerto, muerto~ ~)"

¡No hay manera de prevenir inundaciones! La única manera de hacerlo es aumentar el ancho de banda y evitar inundaciones (aunque los firewalls de hardware y la tecnología de descarga pueden hacer esto, son demasiado costosos y no es necesario que la gente común lo haga)

Si te atacan, la mejor manera es tomar la IP del atacante (a menos que la otra parte use la primera, es inútil tomarla, una IP falsa) y luego desconectarte y cambiar la IP inmediatamente (¿Qué? ¡Hazlo! ¿Tienes una IP fija? No hay manera, llama a la policía.)

7. Características de ser atacado por inundaciones ICMP

¿Cómo encontrar inundaciones ICMP? p>Cuando tenga los siguientes síntomas, debe prestar atención para saber si está sufriendo un ataque:

1. En el estado de transmisión, el icono de la computadora que representa la recepción remota de datos está siempre encendido y. no estás navegando por la web ni descargando.

2. El firewall sigue indicando que alguien está intentando hacer ping.

La velocidad de la red es extremadamente lenta. p>4. En casos severos, el sistema casi pierde su respuesta y el mouse salta.

Si esto sucede, no entre en pánico, observe con calma la frecuencia y la IP de la alarma del firewall, confirme si. Es un ping normal o una inundación, y toma las medidas correspondientes (de hecho, en la mayoría de los casos, solo puedes cambiar la IP).

1. Ping ordinario

Este "ataque" generalmente lo inicia la otra parte escaneando la red o usando ping -t, y no es muy letal (la función del firewall en este tiempo es el intervalo de demora para que el atacante envíe datagramas, así que no apague el firewall, de lo contrario, ¡las consecuencias serán graves!), generalmente de la siguiente manera:

===== ============= ======================================= =======

[13:09:20]61.151.252 106 Intente hacer ping a esta máquina.

La operación fue denegada.

[13:09:24]61.151.252. 106 Intente hacer ping a esta máquina.

La operación fue denegada.

[13:09:26]61.151.252. 106 Intente hacer ping a esta máquina.

La operación fue denegada.

[13:09:30]61.151.252. 106 Intente hacer ping a esta máquina.

La operación fue denegada.

============================================ = ===================

Esta lentitud es obviamente causada por ping.exe o IcmpSendEcho. Si la otra parte sigue haciendo ruido en su firewall, puede darle un saludo de inundación ICMP real.

2. Inundación directa

Esta es una inundación lo suficientemente fuerte como para que la densidad de alarma del firewall aumente en un orden de magnitud:

==== ==== =============================================== ==== ====