Métodos comunes de intrusión en la red
1. Ataques de intrusión al sistema
Existen muchos tipos de técnicas de ataque, pero el objetivo final del atacante es hacerse con el control del sistema host, destruyendo así el sistema host y la red. . Este tipo de ataque se divide en: ataque de recopilación de información, ataque de contraseña, ataque de vulnerabilidad
El ataque de recopilación de información no daña al objetivo en sí. Este tipo de ataque se utiliza para proporcionar información útil para una mayor intrusión. Incluyen principalmente: ataques a tecnología de escaneo; ataques de detección de arquitectura; ataques a servicios de información falsificados; etc. Los piratas informáticos también utilizan la ingeniería social para recopilar información.
Los ataques a contraseñas son el método más común de ataques en línea. Los intrusos recopilan cuentas a través de servicios comunes del sistema o monitorean las comunicaciones de la red. Cuando descubren que hay cuentas válidas en el host, utilizan el agotamiento del diccionario. obtienen archivos de contraseñas a través de varios métodos y luego usan programas de adivinación de contraseñas para descifrar cuentas de usuario y contraseñas.
Utilice vulnerabilidades en las políticas de administración del sistema o archivos de configuración para obtener permisos operativos superiores a los permisos legales, como: DEBUG, Decode, Pipe, Wiz para correo electrónico, Site Exec para ataque de fragmentación de IP; , Adivinación de NFS, NFS Mknod, verificación de UID de NFS, verificación de Rlogin-froot, etc.
Ataques de intrusión que aprovechan una configuración negligente del sistema, como: ataques de intrusión que aprovechan permisos de script CGI configurados incorrectamente; ataques de intrusión que aprovechan una configuración negligente de variables de entorno;
Ataques de vulnerabilidad de protocolo, como ataques de vulnerabilidad de programa de servicio FTP; ataques de vulnerabilidad de programa de servicio, como ataques de vulnerabilidad de wu-ftpd, ataques de vulnerabilidad de IIS;
Utilice la configuración irrazonable del servidor WEB o el ataque de vulnerabilidad del programa CGI para obtener el código fuente del script, ejecutar ilegalmente el programa y bloquear el servidor WWW. Por ejemplo: varios ataques al servidor IIS de NT, ataques a muchos programas CGI gratuitos, ataques de vulnerabilidad a programas de script asp y java, etc.
2. Ataque de desbordamiento del búfer
Escribiendo contenido que excede su longitud en el búfer del programa, provocando un desbordamiento del búfer, destruyendo así la pila del programa y provocando que el programa ejecute otras instrucciones. Si estas instrucciones se colocan en la memoria con privilegios de root. Una vez ejecutadas, el hacker controlará todo el sistema con privilegios de root para lograr el propósito de la intrusión. El propósito de los ataques de buffer es dañar el sistema. El propósito de un ataque de buffer es interrumpir la funcionalidad de algún programa que se ejecuta como usuario privilegiado, permitiendo así al atacante obtener el control del programa.
Los pasos generales de un ataque de desbordamiento de búfer son: organizar el código apropiado en el espacio de direcciones del programa (implantar un método o usar código preexistente) y luego inicializar los registros y la memoria con la dirección apropiada. para que el programa salte al espacio de direcciones organizado por el pirata informático para su ejecución (por ejemplo, registro de activación, puntero de función o búfer de salto largo, etc.).
3. Ataques de engaño
Algunas fallas en el propio protocolo TCP/IP pueden explotarse para que los piratas informáticos puedan atacar la red TCP/IP. Las principales tecnologías de engaño de red incluyen: HoneyPot. y distribuyó HoneyPot, tecnología espacial engañosa. Los métodos principales incluyen suplantación de IP; suplantación de ARP; suplantación de DNS; suplantación de ruta de correo electrónico (comunicación legal con otros hosts con identidades falsas a través de rutas designadas o envío de mensajes falsos para provocar que el host atacado realice acciones incorrectas); Falsificación de direcciones (incluidas direcciones de origen falsificadas y sitios intermedios falsificados), etc.
Tome el ataque de suplantación de IP como ejemplo. Los pasos de implementación son los siguientes: seleccione el host de destino, descubra el modo de confianza entre hosts, deshabilite los hosts confiables, muestree números de secuencia TCP y envíe mensajes falsificados. Inhabilite el funcionamiento del host comprometido. - Muestreo y predicción de números de secuencia TCP: hacerse pasar por un host confiable para ingresar al sistema y dejar una puerta trasera para su uso posterior.
4. Ataque de denegación de servicio
A través de la red, la computadora que se está utilizando también puede dejar de responder o fallar. Este es un ataque de denegación de servicio, conocido como DoS (Denegación de servicio). Servicio). Este comportamiento de ataque envía una cierta cantidad de mensajes en un orden determinado, llenando el servidor de red con una gran cantidad de mensajes solicitando respuestas, consumiendo ancho de banda de la red o recursos del sistema, causando que la red o el sistema se sobrecargue hasta el punto de paralizarse y detener la normalidad. servicios de red.
Las herramientas DoS comunes incluyen: inundación sincrónica, WinNuke, PING de la muerte, ataque Echl, ICMP/SMURF, bomba de dedo, ataque terrestre, inundación de ping, Rwhod, tearDrop, TARGA3, ataque UDP, OOB, etc. .
Ataque de denegación de servicio distribuido: este ataque utiliza una arquitectura bastante especial para atacar al objetivo simultáneamente desde muchos hosts distribuidos, inhabilitando así el objetivo, llamado DDoS (Denegación de servicio distribuida). Los pasos del ataque son los siguientes: detectar y escanear una gran cantidad de hosts para encontrar hosts vulnerables que puedan ser invadidos - invadir hosts con vulnerabilidades de seguridad y obtener control - instalar programas de ataque en cada host comprometido (todo el proceso está automatizado y se puede completar en poco tiempo) Invadir miles de hosts)--Después de controlar suficientes hosts, seleccione uno de ellos como máquina de administración e instale el programa de ataque principal--Después de alcanzar el estado lógico especificado, la máquina de administración ordena a todas las máquinas controladas que inicien un ataque al objetivo, provocando que la máquina objetivo se paralice. Por ejemplo, ataques Trinoo, TFN, Stacheldraht, TFN2K, Blitznet, Fapi, Shaft, Trank, etc.
5. Ataques a firewalls
En términos generales, los firewalls tienen una fuerte resistencia a los ataques, pero no son irrompibles. De hecho, los firewalls también se componen de software y hardware, y es inevitable que existan fallas en el diseño y la implementación. Las tecnologías para detectar ataques de firewall incluyen la tecnología Firewalking y la tecnología Hping.
Las técnicas de ataque para eludir la autenticación del firewall incluyen: suplantación de direcciones y ataques coordinados con números de secuencia TCP, ataques de fragmentación de IP, secuestro de sesiones TCP/IP, ataques de túnel de protocolo, ataques de interferencia y uso de FTP-pasv para eludir los firewalls. ataques.
Los medios comunes para atacar directamente los sistemas de firewall incluyen: Vulnerabilidades de seguridad en los firewalls CiscoPix: las vulnerabilidades de denegación de servicio en los firewalls CiscoPIX y las vulnerabilidades FTP en los firewalls CISCOPIX permiten el paso ilegal a través del firewall.
6. Utilice virus para atacar
Los virus son uno de los medios eficaces para que los piratas informáticos lleven a cabo ataques a la red. Son contagiosos, encubiertos, parasitarios, reproductivos, latentes y dirigidos. derivados, impredecibles y destructivos, el daño en la red es aún más aterrador. Hay decenas de miles de tipos de virus que pueden propagarse a través de la red, y la tecnología de inyección se puede utilizar para realizar daños y ataques.
Los métodos de propagación de ataques de virus informáticos incluyen correo electrónico, disquetes tradicionales, CD, BBS, navegación WWW, descargas de archivos FTP, grupos de noticias, sistemas de comunicación punto a punto y sistemas de comunicación inalámbrica, etc.
7. Ataque de caballo de Troya
El caballo de Troya es un programa estafador que proporciona ciertas funciones como cebo y hace algunas cosas misteriosas detrás de escena. Cuando la computadora de destino se inicia, el troyano se inicia y escucha en un puerto específico. Después de recibir el comando a través del puerto de escucha, el programa troyano realizará algunas operaciones en la computadora de destino de acuerdo con el comando, como transferir o eliminar archivos, robar contraseñas, reiniciar la computadora, etc. El programa troyano escuchará un puerto específico. Después de recibir un comando a través del puerto de escucha, el programa troyano realizará algunas operaciones en la computadora de destino de acuerdo con el comando, como transferir o eliminar archivos, robar contraseñas y reiniciar la computadora. , etc. Los programas troyanos comunes incluyen BO, Netspy, Netbus, etc.
8. Ataque de puerta trasera
La puerta trasera se refiere a la tecnología utilizada por los intrusos para evitar registros y regresar al sistema invadido. Los más comunes incluyen: puertas traseras de depuración y. puertas traseras de administración, puerta trasera maliciosa, puerta trasera de inicio de sesión, puerta trasera de Telnet, puerta trasera de rhosts+, puerta trasera de servicio, puerta trasera de sistema de archivos, puerta trasera de kernel, puerta trasera de arranque, puerta trasera de TCP Shell, etc.
9. Guerra de información
La guerra de información se refiere al uso de medios de información modernos para lograr los propios objetivos militares aprovechando la ventaja de la información, incluido el ataque al conocimiento y las creencias de la otra parte, y el uso. La superioridad de la información derrota al oponente en el combate real. Incluye: guerra de información ofensiva (como ataques de guerra electrónica, ataques a redes informáticas, interceptación y uso de información enemiga, engaño militar, guerra psicológica ofensiva, destrucción física, ataques a chips de microprocesadores, uso de radiación electromagnética para robar información, microondas de alta potencia armas, etc.) y guerra de información defensiva (como defensa de guerra electrónica, comunicaciones informáticas y defensa de redes, defensa de redes informáticas, defensa de guerra electrónica, comunicaciones informáticas y defensa de redes, etc.), defensa de guerra electrónica, comunicaciones informáticas y seguridad de redes y protección, contrainteligencia, engaño y contraengaño militar defensivo, guerra psicológica defensiva, destrucción contrafísica, armas de información defensiva, etc.).