Ataque y defensa de hackers
La llamada tecnología es un arma de doble filo. Los piratas informáticos pueden usar su propia tecnología para atacar las computadoras de otras personas. Sin embargo, dominar la tecnología de ataque y defensa de los piratas informáticos también puede permitir a los usuarios navegar mejor en Internet. Hoy les daré una breve introducción a varias técnicas de defensa y ataque de piratas informáticos.
Ataques de recopilación de información para ataque y defensa de piratas informáticos
Los ataques de recopilación de información no causan daño al objetivo en sí. Como sugiere el nombre, este tipo de ataque de piratas informáticos se utiliza para proporcionar información útil. para futuras intrusiones. Incluye principalmente: tecnología de escaneo, detección de arquitectura y utilización de servicios de información.
1. Tecnología de escaneo
(1) Escaneo de direcciones
Descripción general: use un programa como ping para detectar la dirección de destino y responda a ella para indicarla. su existencia.
Defensa: Filtra los mensajes de respuesta ICMP en el firewall.
(2) Escaneo de puertos
Descripción general: algún software generalmente se usa para conectar una serie de puertos TCP a una amplia gama de hosts. El software de escaneo informa que ha establecido una conexión exitosa. conexión a todos los hosts.
Defensa: Muchos firewalls pueden detectar si están siendo escaneados y bloquear automáticamente los intentos de escaneo.
(3) Mapeo de respuesta
Descripción general: los piratas informáticos envían mensajes falsos a los hosts y luego determinan qué hosts existen en función de la función de mensaje "host inalcanzable" devuelta. Actualmente, debido a que los firewalls detectan fácilmente las actividades de escaneo normales, los piratas informáticos recurren a tipos de mensajes comunes que no activan las reglas del firewall. Estos tipos incluyen: mensajes RESET, mensajes SYN-ACK y paquetes de respuesta DNS.
Defensa: NAT y servidores proxy sin enrutamiento pueden defenderse automáticamente contra tales ataques y también pueden filtrar respuestas ICMP "host inalcanzables" en el firewall.
(4) Escaneo lento
Descripción general: dado que el detector de escaneo general se implementa monitoreando la cantidad de conexiones iniciadas por un host específico en un período de tiempo determinado (por ejemplo, cada 10 veces por segundo) para determinar si se está escaneando, de modo que los piratas informáticos puedan escanear utilizando un software de escaneo más lento.
Defensa: Detecta escaneos lentos mediante servicios señuelo.
2. Detección de arquitectura
Descripción general: los piratas informáticos utilizan herramientas automatizadas con una base de datos de tipos de respuesta conocidos para detectar respuestas a transmisiones de paquetes incorrectos desde el host objetivo. Dado que cada sistema operativo tiene su propio método de respuesta único (por ejemplo, la implementación específica de la pila TCP/IP es diferente entre NT y Solaris), al comparar esta respuesta única con respuestas conocidas en la base de datos, los piratas informáticos a menudo pueden determinar el sistema operativo. que el host de destino se está ejecutando.
Defensa: Elimina o modifica varios banners, incluidos los del sistema operativo y diversos servicios de aplicaciones, y bloquea los puertos utilizados para la identificación para interrumpir el plan de ataque del oponente.
3. Conversión de dominio DNS
Descripción general: el protocolo DNS no autentica conversiones ni actualizaciones informativas, lo que permite explotar el protocolo de diferentes maneras. Si mantiene un servidor DNS público, los piratas informáticos sólo necesitan realizar una operación de conversión de dominio para obtener los nombres y las direcciones IP internas de todos sus hosts.
Defensa: Filtra las solicitudes de conversión de dominio en el firewall.
4.Servicio Finger
Descripción general: los piratas informáticos utilizan el comando Finger para espiar un servidor Finger y obtener información sobre los usuarios del sistema.
Defensa: desactive el servicio Finger y registre la dirección IP de la otra parte que intenta conectarse al servicio, o filtre en el firewall.
5. Servicio LDAP
Descripción general: los piratas informáticos utilizan el protocolo LDAP para espiar información sobre los sistemas y sus usuarios dentro de la red.
Defensa: bloquea y registra el espionaje LDAP en la red interna. Si el servicio LDAP se proporciona en una máquina pública, el servidor LDAP debe ubicarse en la DMZ.
Ataques de mensajes falsos para ataque y defensa de piratas informáticos
Mensajes utilizados para atacar objetivos con configuraciones incorrectas, que incluyen principalmente: contaminación de la caché de DNS y correos electrónicos falsificados.
1. Contaminación de la caché de DNS
Descripción general: debido a que los servidores DNS no se autentican cuando intercambian información con otros servidores de nombres, esto permite a los piratas informáticos mezclar información incorrecta y dirigir al usuario a el propio anfitrión del hacker.
Defensa: filtre las actualizaciones de DNS entrantes en el firewall. Los servidores DNS externos no deberían poder cambiar lo que sus servidores internos saben sobre las máquinas internas.
2. Correos electrónicos falsificados
Descripción general: dado que SMTP no autentica al remitente del correo electrónico, los piratas informáticos pueden falsificar correos electrónicos para sus clientes internos, afirmando ser de alguien que el cliente conoce y confía y viene con un troyano instalable o un enlace a un sitio web malicioso.
Defensa: Utiliza herramientas de seguridad como PGP e instala certificados de correo electrónico.