Características de comportamiento de los hackers.
Si buscas estos en Baidu, puedes obtener la respuesta. Lo siguiente es sólo como referencia.
Para proteger mejor la red de los ataques de los piratas informáticos, debemos tener una comprensión profunda y detallada de los métodos de ataque de los piratas informáticos, los principios de ataque y los procesos de ataque. Solo así podremos ser más. protección eficaz y proactiva. A continuación, a través del análisis de las características de los métodos de ataque de los piratas informáticos, estudiaremos cómo detectar y defendernos de los ataques de los piratas informáticos.
1. El tema central de la tecnología antiataque
El tema central de la tecnología antiataque (tecnología de detección de intrusiones) es cómo interceptar toda la información de la red. Actualmente, existen dos formas principales de obtener información. Una es obtener toda la información de la red (información de paquetes, información de tráfico de la red, información de estado de la red, información de administración de la red a través de métodos de escucha de la red (como Sniffer, Vpacket y otros programas), etc.) , que no solo es una forma inevitable de ataque para los piratas informáticos, sino también una forma necesaria de contraataque. La otra es analizar los registros del sistema operativo y las aplicaciones para descubrir comportamientos de intrusión y posibles vulnerabilidades de seguridad del sistema.
2. Los principales métodos de ataque de los piratas informáticos
Los piratas informáticos atacan la red de varias formas. En términos generales, los ataques siempre se aprovechan de "defectos de configuración del sistema", "agujeros de seguridad del sistema de funcionamiento". o "agujeros de seguridad del protocolo de comunicación". Hasta ahora, se han descubierto más de 2000 métodos de ataque y existen soluciones correspondientes a la mayoría de los métodos de ataque de piratas informáticos. Estos ataques se pueden dividir aproximadamente en las siguientes seis categorías:
1. Ataque de denegación de servicio: generalmente. , un ataque de denegación de servicio consiste en sobrecargar recursos críticos del sistema del objeto atacado (normalmente una estación de trabajo o un servidor importante), lo que provoca que el objeto atacado detenga algunos o todos los servicios. Actualmente existen cientos de ataques de denegación de servicio conocidos. Es el método de ataque de intrusión más básico y uno de los ataques de intrusión más difíciles. Los ejemplos típicos incluyen el ataque SYN Flood, el ataque Ping Flood, el ataque Land, el ataque WinNuke, etc.
2. Intentos de acceso no autorizados: intentos de los atacantes de leer, escribir o ejecutar archivos protegidos, incluidos intentos de obtener derechos de acceso protegidos.
3. Ataque previo a la detección: durante los continuos intentos de acceso no autorizado, los atacantes suelen utilizar este intento de ataque para obtener información dentro de la red e información alrededor de la red. Los ejemplos típicos incluyen escaneo SATAN, escaneo de puertos y escaneo intermedio de IP. , etc.
4. Actividades sospechosas: Son actividades que están fuera del alcance de la comunicación de red "estándar" que generalmente se define. También pueden referirse a actividades no deseadas en la red, como IP de protocolo desconocido e IP duplicada. Abordar eventos.
5. Decodificación de protocolo: la decodificación de protocolo se puede utilizar en cualquiera de los métodos no deseados anteriores. El administrador de red o de seguridad debe realizar el trabajo de decodificación y obtener los resultados correspondientes. La información del protocolo decodificado puede indicar la expectativa. Actividades, como los métodos de decodificación FTU User y Portmapper Proxy.
6. Ataque de proxy del sistema: este tipo de ataque generalmente se lanza contra un solo host, no contra toda la red, y se pueden monitorear a través del proxy del sistema RealSecure.
3. Análisis característico del comportamiento de ataque de piratas informáticos y tecnología de contraataque
El método más básico de detección de intrusiones es utilizar la coincidencia de patrones para descubrir el comportamiento de ataque de intrusión y llevar a cabo un contraataque de forma eficaz. -ataques En primer lugar, debemos comprender el principio y el mecanismo de funcionamiento de la intrusión. Sólo así podremos conocernos a nosotros mismos y a nuestros enemigos, para prevenir eficazmente la aparición de ataques de intrusión. A continuación analizamos varios ataques de intrusión típicos y proponemos las contramedidas correspondientes.
1. Ataque terrestre
Tipo de ataque: El ataque terrestre es un ataque de denegación de servicio.
Características del ataque: la dirección de origen y la dirección de destino en el paquete de datos utilizado para el ataque Land son las mismas, porque cuando el sistema operativo recibe este tipo de paquete de datos, no sabe cómo manejar la fuente de comunicación. dirección en la pila Esta situación es la misma que la dirección de destino, o el paquete de datos se envía y recibe cíclicamente, consumiendo una gran cantidad de recursos del sistema, lo que puede provocar que el sistema falle o se congele.
Método de detección: determine si la dirección de origen y la dirección de destino del paquete de red son las mismas.
Método antiataque: configurar adecuadamente las reglas de filtrado del dispositivo firewall o enrutador de filtrado puede prevenir este comportamiento de ataque (generalmente descartando el paquete de datos) y auditar este ataque (registrar el momento en que ocurre el evento). la dirección MAC y la dirección IP del host de origen y del host de destino).
2.Ataque TCP SYN
Tipo de ataque: El ataque TCP SYN es un ataque de denegación de servicio.
Características del ataque: Explota fallas en el proceso de protocolo de enlace de tres vías entre el cliente TCP y el servidor. El atacante envía una gran cantidad de paquetes SYN al host atacado falsificando la dirección IP de origen. Cuando el host atacado recibe una gran cantidad de paquetes SYN, se necesita usar una gran cantidad de caché para procesar estas conexiones y los paquetes SYN ACK. devuelto con errores y ha estado esperando la respuesta del paquete ACK, lo que eventualmente hace que el caché se agote y otras conexiones SYN legítimas ya no se puedan procesar, es decir, no se pueden proporcionar servicios normales al mundo exterior. .
Método de detección: Compruebe si la conexión SYN recibida por unidad de tiempo supera el valor establecido por el sistema.
Método antiataque: cuando reciba una gran cantidad de paquetes SYN, notifique al firewall para que bloquee las solicitudes de conexión o descarte estos paquetes y realice auditorías del sistema.
3. Ataque Ping Of Death
Tipo de ataque: El ataque Ping Of Death es un ataque de denegación de servicio.
Características del ataque: El paquete de ataque tiene un tamaño superior a 65535 bytes. Porque cuando algunos sistemas operativos reciben paquetes de datos de más de 65535 bytes, provocarán desbordamiento de la memoria, fallas del sistema, reinicios, fallas del kernel y otras consecuencias, logrando así el propósito del ataque.
Método de detección: determina si el tamaño del paquete de datos es superior a 65535 bytes.
Método antiataque: utilice el nuevo parche. Cuando reciba un paquete de datos de más de 65535 bytes, deséchelo y realice una auditoría del sistema.
4.Ataque WinNuke
Tipo de ataque: El ataque WinNuke es un ataque de denegación de servicio.
Características del ataque: El ataque WinNuke, también conocido como ataque de transmisión fuera de banda, se caracteriza por atacar el puerto objetivo. El puerto objetivo atacado suele ser 139, 138, 137, 113, 53 y. el bit URG se establece en "1", que es el modo de emergencia.
Método de detección: determine si el puerto de destino del paquete de datos es 139, 138, 137, etc., y determine si el bit URG es "1".
Método antiataque: la configuración adecuada del dispositivo firewall o del enrutador de filtrado puede evitar este método de ataque (eliminar el paquete) y auditar este ataque (registrar la hora en que ocurrió el evento, el host de origen y el de destino). La dirección MAC del host y la dirección IP (MAC).
5. Ataque de lágrima
Tipo de ataque: El ataque de lágrima es un ataque de denegación de servicio.
Características del ataque: Teardrop es un método de ataque de paquetes de fragmentación patológica basado en UDP. Su principio de funcionamiento es enviar múltiples paquetes IP fragmentados al atacante (el paquete de fragmentación IP incluye los paquetes fragmentados (información como). a qué paquete de datos pertenece el paquete de datos fragmentado y su posición en el paquete de datos). Cuando algunos sistemas operativos reciben paquetes de datos fragmentados falsificados que contienen compensaciones superpuestas, se producirán fallas y reinicios del sistema.
Método de detección: analiza el paquete de datos fragmentado recibido y calcula si el desplazamiento del fragmento (Offset) del paquete de datos es incorrecto.
Método antiataque: agregue parches al sistema, elimine los paquetes patológicamente fragmentados recibidos y audite este ataque.
6.Escaneo de puertos TCP/UDP
Tipo de ataque: El escaneo de puertos TCP/UDP es un ataque de detección previa.
Características del ataque: Envía solicitudes de conexión TCP o UDP a diferentes puertos del host atacado para detectar el tipo de servicio que ejecuta el objeto atacado.
Método de detección: cuente las solicitudes de conexión externa para los puertos del sistema, especialmente las solicitudes de conexión para puertos no utilizados distintos de 21, 23, 25, 53, 80, 8000, 8080, etc.
Método antiataque: cuando se reciben varios paquetes TCP/UDP para conectarse al puerto anormal, notifica al firewall para bloquear la solicitud de conexión y auditar la dirección IP y la dirección MAC del atacante.
Para algunos ataques de intrusión más complejos (como ataques distribuidos y ataques combinados), no solo se necesitan métodos de coincidencia de patrones, sino también transferencia de estado, topología de red y otros métodos para la detección de intrusiones.
4. Algunas reflexiones sobre los sistemas de detección de intrusiones
Desde la perspectiva del rendimiento, una de las contradicciones que enfrentan los sistemas de detección de intrusos es el compromiso entre el rendimiento y las funciones del sistema, es decir, integral y El análisis complejo de datos. La inspección plantea un gran desafío para los requisitos en tiempo real del sistema.
Técnicamente hablando, hay algunos problemas que deben resolverse con urgencia en el sistema de detección de intrusos, principalmente en los siguientes aspectos:
1. Cómo identificar "combinados a gran escala, El "ataque de intrusión" distribuido actualmente no tiene mejores métodos ni soluciones maduras. De los famosos ataques ICP como Yahoo, aprendimos que los problemas de seguridad se están volviendo cada vez más prominentes, el nivel de los atacantes mejora constantemente, junto con herramientas de ataque cada vez más maduras y diversas, y métodos de ataque cada vez más complejos, el sistema de detección de intrusiones debe realizar un seguimiento. las últimas tecnologías de seguridad.
2. El sistema de detección de intrusiones en la red descubre el comportamiento de los ataques al hacer coincidir los paquetes de datos de la red. El sistema de detección de intrusiones a menudo asume que la información del ataque se transmite en texto claro, por lo que cambiar o recodificar la información puede engañar a la detección de intrusiones. sistema de detección, por lo que el método de coincidencia de cadenas no tiene poder para paquetes de datos cifrados.
3. Los equipos de red son cada vez más complejos y diversos, lo que requiere que los sistemas de detección de intrusiones se personalicen para adaptarse a los requisitos de más entornos.
4. No existe un estándar objetivo para la evaluación de los sistemas de detección de intrusos. La inconsistencia de los estándares dificulta la interconexión de los sistemas de detección de intrusos. El sistema de detección de intrusiones es una tecnología emergente con el desarrollo de la tecnología y el aumento en la identificación de nuevos ataques, el sistema de detección de intrusiones debe actualizarse continuamente para garantizar la seguridad de la red.
5. El uso de respuestas automáticas inapropiadas también supondrá riesgos para el sistema de detección de intrusos. Los sistemas de detección de intrusiones generalmente pueden funcionar junto con firewalls. Cuando el sistema de detección de intrusiones detecta un ataque, filtra todos los paquetes IP del atacante. Cuando un atacante se hace pasar por una gran cantidad de IP diferentes para realizar ataques simulados, el sistema de detección de intrusiones automáticamente. Configurar el firewall para filtrar estas direcciones que realmente no realizan ningún ataque, provocando así nuevas denegaciones de acceso al servicio.
6. Ataques al propio IDS. Al igual que otros sistemas, el propio IDS también tiene vulnerabilidades de seguridad. Si un ataque IDS tiene éxito, la alarma fallará y el comportamiento posterior del intruso no quedará registrado, por lo que se requiere que el sistema adopte una variedad de medidas de protección de seguridad.
7. A medida que el ancho de banda de la red sigue aumentando, todavía existen muchas dificultades técnicas sobre cómo desarrollar detectores (analizadores de eventos) basados en redes de alta velocidad.
Como sistema crítico de detección y prevención para la seguridad de la red, el sistema de detección de intrusiones tiene muchos aspectos que merecen un estudio más profundo y que deben mejorarse aún más para proporcionar medios de seguridad eficaces para el futuro desarrollo de la red.