Các loại tấn công. Tấn công mạng là gì. Các kiểu tấn công máy tính thụ động

1. Chặn gói tin.

Gói sniffer (từ tiếng Anh sniff - sniff) là một chương trình ứng dụng sử dụng giao diện mạng hoạt động ở chế độ lăng nhăng. Ở chế độ này, bộ điều hợp mạng cho phép bạn nhận tất cả các gói nhận được qua các kênh vật lý, bất kể chúng được gửi đến ai và gửi chúng đến ứng dụng để xử lý. Hiện nay, sniffer được sử dụng trong mạng hoàn toàn hợp pháp. Chúng được sử dụng để chẩn đoán lỗi và phân tích lưu lượng. Tuy nhiên, do một số ứng dụng mạng truyền dữ liệu ở định dạng văn bản (Telnet, FTP, SMTP, POP3, v.v.), việc sử dụng trình thám thính có thể tiết lộ thông tin hữu ích và đôi khi nhạy cảm (ví dụ: tên người dùng và mật khẩu) .

Việc chặn thông tin đăng nhập và mật khẩu tạo ra mối nguy hiểm lớn. Nếu ứng dụng chạy ở chế độ máy khách-máy chủ và dữ liệu xác thực được truyền qua mạng ở định dạng văn bản có thể đọc được thì thông tin này rất có thể được sử dụng để truy cập các tài nguyên bên ngoài hoặc công ty khác. Trong trường hợp xấu nhất, kẻ tấn công sẽ có quyền truy cập vào tài nguyên người dùng ở cấp hệ thống và sử dụng nó để tạo một người dùng mới có thể được sử dụng bất cứ lúc nào để truy cập mạng và tài nguyên của mạng.

2. Giả mạo IP.

Giả mạo IP (từ giả mạo tiếng Anh - trò lừa bịp) xảy ra khi kẻ tấn công, bên trong hoặc bên ngoài công ty, mạo danh người dùng được ủy quyền. Điều này có thể đạt được theo hai cách:

a) sử dụng địa chỉ IP nằm trong phạm vi địa chỉ IP được ủy quyền;

Các cuộc tấn công giả mạo IP thường là điểm khởi đầu cho các cuộc tấn công khác. Một ví dụ điển hình là cuộc tấn công DoS, bắt đầu từ địa chỉ của người khác, che giấu danh tính thực sự của kẻ tấn công.

Thông thường, việc giả mạo IP được giới hạn ở việc chèn thông tin sai lệch hoặc các lệnh độc hại vào luồng dữ liệu thông thường được truyền giữa ứng dụng khách và máy chủ hoặc qua kênh liên lạc giữa các thiết bị ngang hàng. Để liên lạc hai chiều, kẻ tấn công phải sửa đổi tất cả các bảng định tuyến để hướng lưu lượng truy cập đến địa chỉ IP sai.

Nếu kẻ tấn công cố gắng thay đổi bảng định tuyến và hướng lưu lượng truy cập mạng đến một địa chỉ IP sai thì kẻ tấn công sẽ nhận được tất cả các gói và có thể phản hồi chúng như thể hắn là người dùng được ủy quyền.

3. Từ chối dịch vụ.

Từ chối dịch vụ (Từ chối dịch vụ, viết tắt là DoS) chắc chắn là hình thức tấn công mạng nổi tiếng nhất. Ngoài ra, những kiểu tấn công này khó tạo ra sự bảo vệ 100% nhất. Để tổ chức DoS, cần có kiến ​​thức và kỹ năng tối thiểu. Tuy nhiên, chính sự đơn giản trong việc thực hiện và mức độ tổn hại to lớn đã thu hút những kẻ tấn công vào các cuộc tấn công DoS.

Cuộc tấn công này khác biệt đáng kể so với các loại tấn công khác. Những kẻ tấn công không có ý định truy cập vào mạng hoặc lấy bất kỳ thông tin nào từ mạng đó, nhưng một cuộc tấn công DoS khiến mạng của bạn không thể sử dụng bình thường bằng cách vượt quá giới hạn cho phép của mạng, hệ điều hành hoặc ứng dụng. Trong trường hợp một số ứng dụng máy chủ (chẳng hạn như máy chủ Web hoặc máy chủ FTP), các cuộc tấn công DoS có thể liên quan đến việc chiếm đoạt tất cả các kết nối có sẵn cho các ứng dụng đó và khiến chúng bị chiếm dụng, ngăn cản việc phục vụ người dùng thông thường. Các cuộc tấn công DoS có thể sử dụng các giao thức Internet phổ biến như TCP và ICMP.

Một số cuộc tấn công làm tê liệt hiệu suất mạng bằng cách làm tràn ngập các gói không mong muốn và không cần thiết hoặc thông tin sai lệch về trạng thái hiện tại của tài nguyên mạng. Khi một cuộc tấn công kiểu này được thực hiện đồng thời thông qua nhiều thiết bị, chúng ta nói về một cuộc tấn công DoS phân tán (từ tiếng Anh là DoS phân tán, viết tắt là DDoS).

4. Tấn công mật khẩu.

Những kẻ tấn công có thể tiến hành các cuộc tấn công mật khẩu bằng nhiều phương pháp khác nhau, chẳng hạn như tấn công vũ phu, ngựa Trojan, giả mạo IP và đánh hơi gói. Mặc dù thực tế là thông tin đăng nhập và mật khẩu thường có thể lấy được bằng cách giả mạo IP và đánh hơi gói, những kẻ tấn công thường cố gắng đoán mật khẩu và đăng nhập bằng nhiều lần truy cập. Cách tiếp cận này được gọi là liệt kê đơn giản.

Đối với một cuộc tấn công như vậy, một chương trình đặc biệt được sử dụng để cố gắng giành quyền truy cập vào tài nguyên công cộng (ví dụ: máy chủ). Kết quả là, nếu kẻ tấn công được cấp quyền truy cập vào tài nguyên thì hắn sẽ nhận được nó với tư cách là người dùng có mật khẩu đã được chọn. Nếu một người dùng nhất định có các đặc quyền truy cập quan trọng, kẻ tấn công có thể tạo một cổng để truy cập trong tương lai và cổng này vẫn có hiệu lực ngay cả khi người dùng thay đổi mật khẩu của họ.

5. Tấn công trung gian.

Đối với cuộc tấn công Man-in-the-Middle, kẻ tấn công cần truy cập vào các gói được truyền qua mạng. Ví dụ: quyền truy cập vào tất cả các gói được truyền từ nhà cung cấp đến bất kỳ mạng nào khác có thể được lấy bởi nhân viên của nhà cung cấp này. Trình đánh hơi gói, giao thức truyền tải và giao thức định tuyến thường được sử dụng cho kiểu tấn công này. Các cuộc tấn công được thực hiện với mục đích đánh cắp thông tin, chặn phiên hiện tại và giành quyền truy cập vào tài nguyên mạng riêng, để phân tích lưu lượng truy cập và lấy thông tin về mạng và người dùng, để thực hiện các cuộc tấn công DoS, làm biến dạng dữ liệu được truyền và nhập thông tin trái phép vào các phiên mạng.

6. Tấn công cấp ứng dụng.

Các cuộc tấn công cấp ứng dụng có thể được thực hiện theo nhiều cách. Phổ biến nhất trong số đó là việc sử dụng các điểm yếu nổi tiếng trong phần mềm máy chủ (sendmail, HTTP, FTP). Lợi dụng những điểm yếu này, kẻ tấn công có thể giành quyền truy cập vào máy tính thay mặt cho người dùng đang chạy ứng dụng (thường đây không phải là người dùng đơn giản mà là quản trị viên đặc quyền có quyền truy cập hệ thống). Thông tin về các cuộc tấn công cấp ứng dụng được công bố rộng rãi nhằm mang đến cho quản trị viên cơ hội khắc phục sự cố bằng cách sử dụng các mô-đun khắc phục (bản vá). Thật không may, nhiều tin tặc cũng có quyền truy cập vào thông tin này, điều này cho phép chúng cải thiện.

Vấn đề chính với các cuộc tấn công cấp ứng dụng là kẻ tấn công thường sử dụng các cổng được phép đi qua tường lửa. Ví dụ: kẻ tấn công khai thác điểm yếu đã biết trong máy chủ Web sẽ thường sử dụng cổng 80 trong cuộc tấn công TCP Vì máy chủ Web cung cấp các trang Web cho người dùng nên tường lửa phải cung cấp quyền truy cập vào cổng này. Theo quan điểm của tường lửa, cuộc tấn công được coi là lưu lượng truy cập tiêu chuẩn trên cổng 80.

7. Mạng thông minh.

Trí tuệ mạng đề cập đến việc thu thập thông tin mạng bằng cách sử dụng dữ liệu và ứng dụng có sẵn công khai. Khi chuẩn bị tấn công mạng, kẻ tấn công thường cố gắng thu thập càng nhiều thông tin về mạng đó càng tốt. Việc trinh sát mạng được thực hiện dưới dạng truy vấn DNS, ping và quét cổng. Truy vấn DNS giúp bạn biết ai sở hữu một miền cụ thể và địa chỉ nào được gán cho miền đó. Địa chỉ ping được DNS tiết lộ cho phép bạn xem máy chủ nào đang thực sự chạy trong một môi trường nhất định. Sau khi nhận được danh sách máy chủ, kẻ tấn công sử dụng các công cụ quét cổng để biên soạn danh sách đầy đủ các dịch vụ được các máy chủ đó hỗ trợ. Cuối cùng, nó phân tích các đặc điểm của ứng dụng đang chạy trên máy chủ. Kết quả là anh ta có được thông tin có thể được sử dụng để hack.

8. Vi phạm lòng tin.

Nói đúng ra, loại hành động này không phải là một cuộc tấn công hay hành hung theo đúng nghĩa đầy đủ của từ này. Nó đại diện cho việc khai thác độc hại các mối quan hệ tin cậy tồn tại trong mạng. Một ví dụ kinh điển về sự lạm dụng như vậy là tình huống xảy ra ở phần ngoại vi của mạng công ty. Phân khúc này thường chứa các máy chủ DNS, SMTP và HTTP. Vì tất cả chúng đều thuộc cùng một phân khúc nên việc hack bất kỳ máy chủ nào trong số chúng sẽ dẫn đến việc hack tất cả các máy chủ khác vì các máy chủ này tin cậy các hệ thống khác trên mạng của chúng. Một ví dụ khác là một hệ thống được cài đặt bên ngoài tường lửa có mối quan hệ tin cậy với hệ thống được cài đặt bên trong tường lửa. Nếu hệ thống bên ngoài bị xâm phạm, kẻ tấn công có thể sử dụng các mối quan hệ tin cậy để xâm nhập vào hệ thống được bảo vệ bằng tường lửa.

9. Chuyển tiếp cổng.

Chuyển tiếp cổng là một hình thức lạm dụng lòng tin, trong đó máy chủ bị xâm nhập được sử dụng để chuyển lưu lượng truy cập qua tường lửa mà lẽ ra sẽ bị từ chối. Hãy tưởng tượng một tường lửa có ba giao diện, mỗi giao diện được kết nối với một máy chủ cụ thể. Máy chủ bên ngoài có thể kết nối với máy chủ dùng chung (DMZ), nhưng không thể kết nối với máy chủ được cài đặt bên trong tường lửa. Máy chủ chia sẻ có thể kết nối với cả máy chủ bên trong và bên ngoài. Nếu kẻ tấn công chiếm lấy một máy chủ dùng chung, hắn có thể cài đặt phần mềm trên đó để chuyển hướng lưu lượng truy cập từ máy chủ bên ngoài trực tiếp sang máy chủ bên trong. Mặc dù điều này không vi phạm bất kỳ quy tắc nào trên màn hình, nhưng máy chủ bên ngoài có quyền truy cập trực tiếp vào máy chủ được bảo vệ do chuyển hướng. Một ví dụ về ứng dụng có thể cung cấp quyền truy cập như vậy là netcat.

10. Truy cập trái phép.

Truy cập trái phép không thể được xác định là một loại tấn công riêng biệt, vì hầu hết các cuộc tấn công mạng được thực hiện chính xác để đạt được quyền truy cập trái phép. Để đoán thông tin đăng nhập Telnet, trước tiên kẻ tấn công phải nhận được gợi ý Telnet trên hệ thống của mình. Sau khi kết nối với cổng Telnet, thông báo “cần có quyền để sử dụng tài nguyên này” xuất hiện trên màn hình. Nếu kẻ tấn công tiếp tục cố gắng truy cập sau đó, chúng sẽ bị coi là trái phép. Nguồn của các cuộc tấn công như vậy có thể ở bên trong mạng hoặc bên ngoài.

11. Virus và ứng dụng ngựa Trojan

Máy trạm của người dùng cuối rất dễ bị nhiễm vi-rút và ngựa Trojan. Virus là các chương trình độc hại được chèn vào các chương trình khác để thực hiện một chức năng không mong muốn cụ thể trên máy trạm của người dùng cuối. Một ví dụ là một loại vi-rút được ghi trong tệp command.com (trình thông dịch chính của hệ thống Windows) và xóa các tệp khác, đồng thời lây nhiễm sang tất cả các phiên bản command.com khác mà nó tìm thấy.

Trojan horse không phải là một phần mềm chèn vào mà là một chương trình thực sự, thoạt nhìn có vẻ là một ứng dụng hữu ích nhưng thực tế lại đóng vai trò có hại. Một ví dụ về ngựa Trojan điển hình là một chương trình trông giống như một trò chơi đơn giản dành cho máy trạm của người dùng. Tuy nhiên, trong khi người dùng đang chơi trò chơi, chương trình sẽ gửi một bản sao của chính nó qua email tới mọi người đăng ký trong sổ địa chỉ của người dùng đó. Tất cả người đăng ký đều nhận được trò chơi qua thư, khiến trò chơi được phân phối nhiều hơn.

Lớp tấn công mạng bao gồm các cuộc tấn công gây ra hành vi đáng ngờ, bất thường đối với lưu lượng truy cập mạng trên mạng công ty. Đây được gọi là sự bất thường của mạng. Sự bất thường của mạng cũng có thể được phân loại. Chúng có thể được chia thành hai nhóm chính: sai lệch phần cứng và phần mềm và các vấn đề bảo mật (Hình 1.2.1.)

1. Sai lệch về phần mềm và phần cứng.

Lỗi trong phần mềm của các thành phần hệ thống thông tin có thể dẫn đến việc chuyển sang chế độ bất thường dẫn đến việc chấm dứt cung cấp dịch vụ sau đó.

Lỗi cấu hình chuyển chức năng của các thành phần hệ thống thông tin thành không tuân thủ các thông số thiết kế tiêu chuẩn, làm gián đoạn hiệu suất tổng thể.

Vi phạm hiệu suất kéo theo sự sai lệch của các tham số của hệ thống thông tin vượt quá giá trị được tính toán, đi kèm với việc vi phạm việc cung cấp dịch vụ.

Lỗi phần cứng có thể dẫn đến sự cố hoàn toàn của các thành phần riêng lẻ của hệ thống thông tin và ảnh hưởng suy giảm của một hệ thống con riêng biệt đối với toàn bộ tổ hợp.

2. Vi phạm an ninh.

Quét mạng được thực hiện để phân tích cấu trúc liên kết mạng và phát hiện các dịch vụ có sẵn để tấn công. Trong quá trình quét, một nỗ lực được thực hiện để kết nối với các dịch vụ mạng bằng cách truy cập vào một cổng cụ thể. Trong trường hợp quét mở, máy quét thực hiện quy trình bắt tay ba chiều và trong trường hợp quét kín (ẩn), nó không hoàn thành kết nối. Vì khi quét một máy chủ, việc liệt kê các dịch vụ (cổng) sẽ xảy ra, sự bất thường này được đặc trưng bởi các nỗ lực truy cập từ một địa chỉ IP của máy quét đến một địa chỉ IP cụ thể trên nhiều cổng. Tuy nhiên, hầu hết các mạng con thường được quét, điều này được thể hiện ở việc có nhiều gói tin trong mạng bị tấn công từ một địa chỉ IP của máy quét đến nhiều địa chỉ IP của mạng con đang được kiểm tra, thậm chí đôi khi sử dụng phương pháp tìm kiếm tuần tự. Các máy quét mạng nổi tiếng nhất là: nmap, ISS, satan, strobe, xscan và các máy quét khác.

Máy phân tích lưu lượng truy cập hoặc trình đánh hơi được thiết kế để chặn và phân tích lưu lượng mạng. Trong trường hợp đơn giản nhất, điều này liên quan đến việc chuyển đổi bộ điều hợp mạng của tổ hợp phần cứng sang chế độ nghe và các luồng dữ liệu trong phân đoạn mà nó được kết nối sẽ có sẵn để nghiên cứu thêm. Vì nhiều chương trình ứng dụng sử dụng các giao thức truyền thông tin ở dạng rõ ràng, không được mã hóa nên công việc của các trình thám thính làm giảm đáng kể mức độ bảo mật. Lưu ý rằng trình thám thính không gây ra sự bất thường rõ rệt trong hoạt động của mạng. Các sniffer nổi tiếng nhất là: tcpdump, ethereal, sniffit, Microsoft Network Monitor, netxray, lan explorer.

Trong bảo mật máy tính, thuật ngữ lỗ hổng bảo mật được sử dụng để chỉ một thành phần của hệ thống thông tin được bảo vệ yếu khỏi những ảnh hưởng trái phép. Lỗ hổng có thể là kết quả của lỗi thiết kế, lập trình hoặc cấu hình. Một lỗ hổng có thể chỉ tồn tại về mặt lý thuyết hoặc có một phần mềm khai thác được triển khai - khai thác. Ở khía cạnh mạng, các tài nguyên thông tin, chẳng hạn như hệ điều hành và phần mềm dịch vụ, có thể dễ bị tổn thương.

Hoạt động mạng lan truyền là kết quả của nỗ lực phát tán virus và sâu máy tính bằng cách sử dụng tài nguyên mạng. Thông thường, vi-rút máy tính khai thác một lỗ hổng duy nhất trong dịch vụ ứng dụng mạng, do đó lưu lượng vi-rút được đặc trưng bởi sự hiện diện của nhiều cuộc gọi từ một địa chỉ IP bị nhiễm đến nhiều địa chỉ IP trên một cổng cụ thể tương ứng với một dịch vụ có khả năng dễ bị tấn công.

Vấn đề bảo mật mạng IP

Phân tích các mối đe dọa an ninh mạng.

Để tổ chức liên lạc trong môi trường mạng không đồng nhất, một bộ giao thức TCP/IP được sử dụng, đảm bảo khả năng tương thích giữa các loại máy tính khác nhau. Khả năng tương thích là một trong những ưu điểm chính của TCP/IP, đó là lý do tại sao hầu hết các mạng máy tính đều hỗ trợ các giao thức này. Ngoài ra, các giao thức TCP/IP còn cung cấp khả năng truy cập vào các tài nguyên của Internet toàn cầu.

Do tính phổ biến của nó, TCP/IP đã trở thành tiêu chuẩn thực tế cho kết nối mạng. Tuy nhiên, sự phổ biến của chồng giao thức TCP/IP cũng bộc lộ những điểm yếu của nó. Khi tạo ra đứa con tinh thần của mình, các kiến ​​trúc sư của ngăn xếp TCP/IP thấy không có lý do gì phải đặc biệt lo lắng về việc bảo vệ các mạng được xây dựng trên nó. Do đó, các thông số kỹ thuật của các phiên bản đầu tiên của giao thức IP thiếu các yêu cầu bảo mật, dẫn đến lỗ hổng cố hữu trong quá trình triển khai.

Sự phát triển nhanh chóng về mức độ phổ biến của công nghệ Internet đi kèm với sự gia tăng các mối đe dọa nghiêm trọng về việc tiết lộ dữ liệu cá nhân, các nguồn lực quan trọng của công ty, bí mật nhà nước, v.v.

Hàng ngày, tin tặc và các tác nhân độc hại khác đe dọa tài nguyên thông tin trực tuyến bằng cách cố gắng truy cập chúng bằng các cuộc tấn công đặc biệt. Những cuộc tấn công này ngày càng có tác động phức tạp hơn và thực hiện đơn giản hơn. Hai yếu tố chính góp phần vào việc này.

Thứ nhất, đây là sự thâm nhập rộng rãi của Internet. Ngày nay, hàng triệu máy tính được kết nối với mạng này. Với hàng triệu máy tính được kết nối Internet trong thời gian tới, khả năng tin tặc truy cập vào các máy tính và mạng máy tính dễ bị tấn công ngày càng tăng. Ngoài ra, việc sử dụng rộng rãi Internet cho phép tin tặc trao đổi thông tin trên quy mô toàn cầu.

Thứ hai, có sự phổ biến rộng rãi của các hệ điều hành và môi trường phát triển dễ sử dụng. Yếu tố này làm giảm đáng kể yêu cầu về mức độ hiểu biết của kẻ tấn công. Trước đây, một hacker cần có kiến ​​thức và kỹ năng lập trình tốt để tạo và phát tán phần mềm độc hại. Giờ đây, để có quyền truy cập vào công cụ của hacker, bạn chỉ cần biết địa chỉ IP của trang web mong muốn và để thực hiện một cuộc tấn công, chỉ cần nhấp chuột.

Vấn đề đảm bảo an ninh thông tin trong mạng máy tính doanh nghiệp xuất phát từ các mối đe dọa an ninh đối với các máy trạm cục bộ, mạng cục bộ và các cuộc tấn công vào mạng doanh nghiệp có quyền truy cập vào mạng dữ liệu công cộng.

Các cuộc tấn công mạng cũng đa dạng như các hệ thống mà chúng nhắm tới. Một số cuộc tấn công rất khó khăn. Những việc khác có thể được thực hiện bởi một người điều hành bình thường, người thậm chí không tưởng tượng được những hậu quả mà hoạt động của mình có thể gây ra.

Kẻ xâm nhập khi thực hiện tấn công thường đặt cho mình những mục tiêu sau:

v vi phạm tính bảo mật của thông tin được truyền đi;

v vi phạm tính toàn vẹn và độ tin cậy của thông tin được truyền đi;

v sự gián đoạn của toàn bộ hệ thống hoặc các bộ phận riêng lẻ của nó.

Từ quan điểm bảo mật, các hệ thống phân tán được đặc trưng chủ yếu bởi sự hiện diện tấn công từ xa , do các thành phần của hệ thống phân tán thường sử dụng các kênh truyền dữ liệu mở và kẻ xâm nhập không chỉ có thể nghe trộm thông tin được truyền một cách thụ động mà còn có thể sửa đổi lưu lượng được truyền (ảnh hưởng tích cực). Và nếu tác động tích cực đến giao thông có thể được ghi lại thì tác động thụ động thực tế là không thể phát hiện được. Nhưng vì trong quá trình vận hành hệ thống phân tán, việc trao đổi thông tin dịch vụ giữa các thành phần hệ thống cũng được thực hiện thông qua các kênh truyền dữ liệu mở nên thông tin dịch vụ trở thành đối tượng bị tấn công giống như dữ liệu người dùng.

Khó khăn trong việc phát hiện thực tế của một cuộc tấn công từ xa đặt loại hành động bất hợp pháp này lên hàng đầu về mức độ nguy hiểm, vì nó ngăn cản phản ứng kịp thời trước mối đe dọa, do đó kẻ vi phạm tăng cơ hội thực hiện thành công. ra cuộc tấn công.

Bảo mật mạng cục bộ, so với bảo mật mạng nội bộ, khác ở chỗ trong trường hợp này, bảo mật được đặt lên hàng đầu. vi phạm của người dùng đã đăng ký , vì nhìn chung, các kênh truyền dữ liệu mạng cục bộ được đặt trong khu vực được kiểm soát và việc bảo vệ khỏi kết nối trái phép với chúng được thực hiện bằng các phương pháp quản trị.

Trong thực tế, mạng IP dễ bị tấn công bởi một số phương pháp xâm nhập trái phép vào quá trình trao đổi dữ liệu. Khi công nghệ máy tính và mạng phát triển (ví dụ: với sự ra đời của các ứng dụng Java di động và điều khiển ActiveX), danh sách các kiểu tấn công mạng có thể xảy ra trên mạng IP không ngừng mở rộng [Galitsky A.V., Ryabko S.D., Shangin V.F. Bảo vệ thông tin trên mạng - phân tích công nghệ và tổng hợp giải pháp. M.: Nhà xuất bản DMK, 2004].

Hãy xem xét các loại tấn công mạng phổ biến nhất.

Nghe lén (nghe lén). Phần lớn dữ liệu trên mạng máy tính được truyền ở định dạng không bảo mật (văn bản thuần túy), cho phép kẻ tấn công có quyền truy cập vào các đường dữ liệu trên mạng của bạn để nghe lén hoặc đọc lưu lượng. Để nghe lén mạng máy tính họ sử dụng người đánh hơi Lính bắn tỉa là một chương trình ứng dụng chặn tất cả các gói mạng được truyền qua một miền cụ thể.

Hiện nay, những kẻ đánh hơi hoạt động trên mạng hoàn toàn có cơ sở hợp pháp. Chúng được sử dụng để chẩn đoán lỗi và phân tích lưu lượng. Tuy nhiên, do một số ứng dụng mạng truyền dữ liệu ở định dạng văn bản (Telnet, FTP, SMTP, POP3, v.v.), việc sử dụng trình thám thính có thể tiết lộ thông tin hữu ích và đôi khi nhạy cảm (ví dụ: tên người dùng và mật khẩu).

Đánh hơi mật khẩuđược truyền qua mạng dưới dạng không được mã hóa bằng cách “nghe lén” trên kênh là một kiểu tấn công nghe lén. Việc chặn đăng nhập và mật khẩu gây ra mối đe dọa lớn vì người dùng thường sử dụng cùng một thông tin đăng nhập và mật khẩu cho nhiều ứng dụng và hệ thống. Nhiều người dùng thường có một mật khẩu để truy cập tất cả các tài nguyên và ứng dụng. Nếu ứng dụng chạy ở chế độ máy khách/máy chủ và dữ liệu xác thực được truyền qua mạng ở định dạng văn bản có thể đọc được thì thông tin này có thể được sử dụng để truy cập các tài nguyên bên ngoài hoặc công ty khác.

Trong trường hợp xấu nhất, tin tặc có quyền truy cập cấp hệ thống vào tài nguyên người dùng và sử dụng tài nguyên đó để tạo các thuộc tính người dùng mới có thể được sử dụng để truy cập mạng và tài nguyên của mạng bất kỳ lúc nào.

Bạn có thể ngăn chặn mối đe dọa đánh cắp gói bằng cách sử dụng các cách sau:
biện pháp và phương tiện:

v sử dụng mật khẩu một lần để xác thực;

v cài đặt phần cứng hoặc phần mềm nhận dạng
người đánh hơi;

v ứng dụng bảo vệ mật mã các kênh truyền thông.

Thay đổi dữ liệu. Kẻ tấn công có thể đọc được
dữ liệu của bạn, sẽ có thể thực hiện bước tiếp theo - thay đổi chúng. Dữ liệu trong
gói có thể được thay đổi ngay cả khi kẻ tấn công không biết gì
về người gửi hoặc người nhận. Ngay cả khi bạn không cần nghiêm ngặt
tính bảo mật của tất cả dữ liệu được truyền, có thể bạn không muốn,
để chúng được thay đổi trên đường đi.

Phân tích lưu lượng mạng. Mục đích của các cuộc tấn công như thế này
loại đang lắng nghe các kênh liên lạc và phân tích truyền đi
dữ liệu và thông tin dịch vụ để nghiên cứu cấu trúc liên kết và kiến ​​trúc
xây dựng hệ thống, thu thập thông tin quan trọng của người dùng
(ví dụ: mật khẩu người dùng hoặc số thẻ tín dụng được truyền
ở dạng mở). Các giao thức như FTP dễ bị tấn công kiểu này.
hoặc Telnet, điểm đặc biệt của nó là tên người dùng và mật khẩu
được truyền trong các giao thức này dưới dạng văn bản rõ ràng.

Thay thế một chủ đề đáng tin cậy. Hầu hết các mạng và hoạt động
hệ thống sử dụng địa chỉ IP của máy tính để xác định xem
đây chính là người nhận cần thiết. Trong một số trường hợp có thể sai
gán địa chỉ IP (thay thế địa chỉ IP của người gửi bằng địa chỉ khác) - chẳng hạn
phương pháp tấn công được gọi là giả mạo địa chỉ(giả mạo IP).

Giả mạo IP xảy ra khi kẻ tấn công, trong hoặc ngoài công ty, mạo danh một người dùng hợp pháp. Kẻ tấn công có thể sử dụng địa chỉ IP nằm trong phạm vi địa chỉ IP được ủy quyền hoặc địa chỉ bên ngoài được ủy quyền được phép truy cập vào một số tài nguyên mạng nhất định. Kẻ tấn công cũng có thể sử dụng các chương trình đặc biệt định hình các gói IP sao cho chúng có vẻ đến từ các địa chỉ nội bộ được ủy quyền trên mạng công ty.

Các cuộc tấn công giả mạo IP thường là điểm khởi đầu cho các cuộc tấn công khác. Ví dụ cổ điển là tấn công như " từ chối dịch vụ"(DoS), bắt đầu bằng địa chỉ của người khác, che giấu danh tính thực sự của hacker. Thông thường, việc giả mạo IP được giới hạn ở việc chèn thông tin sai lệch hoặc các lệnh độc hại vào luồng dữ liệu thông thường được truyền giữa ứng dụng khách và máy chủ hoặc qua kênh liên lạc giữa các thiết bị ngang hàng.

Mối đe dọa giả mạo có thể được giảm thiểu (nhưng không loại bỏ) bằng các biện pháp sau:

v cấu hình chính xác của kiểm soát truy cập từ mạng bên ngoài;

v ngăn chặn nỗ lực giả mạo mạng của người khác bởi người dùng mạng của họ.

Cần lưu ý rằng việc giả mạo IP có thể xảy ra nếu người dùng được xác thực dựa trên địa chỉ IP, do đó việc giới thiệu các phương pháp xác thực người dùng bổ sung (dựa trên mật khẩu một lần hoặc các phương pháp mã hóa khác) có thể ngăn chặn các cuộc tấn công giả mạo IP.

Hòa giải. Cuộc tấn công trung gian bao gồm việc chủ động nghe lén, chặn và kiểm soát dữ liệu được truyền bởi một nút trung gian vô hình. Khi máy tính giao tiếp ở mức độ mạng thấp, chúng không thể luôn xác định được chúng đang liên lạc với ai.

Hòa giải trong việc trao đổi các khóa không được mã hóa (Tấn công Man-in-the-Middle).Để thực hiện cuộc tấn công Man-in-the-Middle, kẻ tấn công cần truy cập vào các gói được truyền qua mạng. Ví dụ: quyền truy cập vào tất cả các gói được truyền từ ISP đến bất kỳ mạng nào khác có thể được lấy bởi nhân viên của nhà cung cấp này. Trình đánh hơi gói, giao thức truyền tải và giao thức định tuyến thường được sử dụng cho kiểu tấn công này.

Trong trường hợp tổng quát hơn, các cuộc tấn công Man-in-the-Middle được thực hiện để đánh cắp thông tin, chặn phiên hiện tại và giành quyền truy cập vào tài nguyên mạng riêng, để phân tích lưu lượng truy cập và lấy thông tin về mạng và người dùng của nó, để thực hiện DoS tấn công và bóp méo dữ liệu được truyền và nhập thông tin trái phép vào các phiên mạng.

Các cuộc tấn công Man-m-the-Middle chỉ có thể được chống lại một cách hiệu quả bằng cách sử dụng mật mã. Để chống lại kiểu tấn công này, cơ sở hạ tầng quản lý khóa công khai PKI (Cơ sở hạ tầng khóa công khai) được sử dụng.

Chiếm quyền điều khiển phiên. Khi kết thúc quy trình xác thực ban đầu, kết nối được thiết lập bởi người dùng hợp pháp, chẳng hạn như với máy chủ thư, sẽ bị kẻ tấn công chuyển sang máy chủ mới và máy chủ ban đầu được lệnh chấm dứt kết nối. Kết quả là “người đối thoại” của người dùng hợp pháp được thay thế một cách lặng lẽ.

Sau khi có được quyền truy cập vào mạng, kẻ tấn công có cơ hội lớn:

v nó có thể gửi dữ liệu không chính xác đến các ứng dụng và dịch vụ mạng, khiến chúng gặp sự cố hoặc trục trặc;

v nó cũng có thể làm tràn lưu lượng truy cập vào một máy tính hoặc toàn bộ mạng cho đến khi hệ thống gặp sự cố do quá tải;

v Cuối cùng, kẻ tấn công có thể chặn lưu lượng truy cập, điều này sẽ dẫn đến mất quyền truy cập vào tài nguyên mạng đối với người dùng được ủy quyền.

Từ chối dịch vụ (DoS). Cuộc tấn công này khác với các loại tấn công khác. Nó không nhằm mục đích giành quyền truy cập vào mạng của bạn hoặc trích xuất bất kỳ thông tin nào từ mạng đó. Một cuộc tấn công DoS khiến mạng của tổ chức không thể sử dụng bình thường bằng cách vượt quá giới hạn cho phép của mạng, hệ điều hành hoặc ứng dụng. Về cơ bản, cuộc tấn công này từ chối người dùng bình thường truy cập vào tài nguyên hoặc máy tính trên mạng của tổ chức.

Hầu hết các cuộc tấn công DoS đều dựa vào điểm yếu chung trong kiến ​​trúc hệ thống. Trong trường hợp một số ứng dụng máy chủ (chẳng hạn như máy chủ Web hoặc máy chủ FTP), các cuộc tấn công DoS có thể liên quan đến việc chiếm đoạt tất cả các kết nối có sẵn cho các ứng dụng đó và khiến chúng bận rộn, ngăn chặn việc

phục vụ người dùng thông thường. Các cuộc tấn công DoS có thể sử dụng các giao thức Internet phổ biến như TCP và ICMP (Giao thức tin nhắn điều khiển Internet).

Các cuộc tấn công DoS rất khó ngăn chặn vì chúng yêu cầu sự phối hợp với ISP của bạn. Nếu nhà cung cấp không thể dừng lưu lượng nhằm mục đích áp đảo mạng của bạn, thì khi vào mạng, bạn sẽ không thể thực hiện việc này được nữa vì toàn bộ băng thông sẽ bị chiếm dụng.

Nếu kiểu tấn công này được thực hiện đồng thời thông qua nhiều thiết bị, chúng tôi nói về cuộc tấn công DDoS từ chối dịch vụ phân tán(DoS phân tán).

Sự dễ dàng thực hiện các cuộc tấn công DoS và tác hại to lớn mà chúng gây ra cho các tổ chức và người dùng thu hút sự chú ý chặt chẽ của các quản trị viên an ninh mạng đối với các cuộc tấn công này.

Tấn công mật khẩu. Mục tiêu của các cuộc tấn công này là lấy được mật khẩu và thông tin đăng nhập của người dùng hợp pháp. Kẻ tấn công có thể tiến hành tấn công mật khẩu bằng các phương pháp như:

v O Thay thế địa chỉ IP (giả mạo 1P);

v nghe lén (đánh hơi);

v tìm kiếm đơn giản.

Việc giả mạo IP và đánh hơi gói đã được thảo luận ở trên. Các phương pháp này cho phép bạn lấy được mật khẩu của người dùng và đăng nhập nếu chúng được truyền dưới dạng văn bản rõ ràng qua kênh không an toàn.

Thông thường, tin tặc cố gắng đoán mật khẩu và đăng nhập bằng nhiều lần thử truy cập. Cách tiếp cận này được gọi là tấn công vũ phu(tấn công bạo lực). Cuộc tấn công này sử dụng một chương trình đặc biệt nhằm cố gắng giành quyền truy cập vào tài nguyên công cộng (ví dụ: máy chủ). Kết quả là nếu kẻ tấn công đoán được mật khẩu, hắn sẽ có quyền truy cập vào tài nguyên như một người dùng thông thường. Nếu người dùng này có các đặc quyền truy cập quan trọng, kẻ tấn công có thể tự tạo một "thẻ" để truy cập trong tương lai. Thẻ này sẽ vẫn có hiệu lực ngay cả khi người dùng thay đổi mật khẩu và thông tin đăng nhập.

Các công cụ chặn, chọn và bẻ khóa mật khẩu hiện được coi là hợp pháp trên thực tế và được sản xuất chính thức bởi một số lượng khá lớn các công ty. Chúng được tiếp thị dưới dạng phần mềm kiểm tra bảo mật và khôi phục mật khẩu bị mất và có thể được mua hợp pháp từ các nhà phát triển.

Có thể tránh được các cuộc tấn công mật khẩu bằng cách không sử dụng mật khẩu văn bản đơn giản. Việc sử dụng mật khẩu một lần và xác thực bằng mật mã hầu như có thể loại bỏ mối đe dọa từ các cuộc tấn công như vậy. Thật không may, không phải tất cả các ứng dụng, máy chủ và thiết bị đều hỗ trợ các phương thức xác thực này.

Khi sử dụng mật khẩu thông thường, bạn cần đưa ra mật khẩu khó đoán. Độ dài mật khẩu tối thiểu phải có ít nhất tám ký tự. Mật khẩu phải bao gồm các ký tự viết hoa, số và ký tự đặc biệt (#, $, &, %, v.v.).

Đoán chìa khóa. Khóa mật mã là mã hoặc số cần thiết để giải mã thông tin được bảo vệ. Mặc dù việc tìm ra khóa truy cập rất khó và đòi hỏi nhiều tài nguyên nhưng vẫn có thể thực hiện được. Đặc biệt, để xác định giá trị của khóa, có thể sử dụng một chương trình đặc biệt thực hiện phương pháp tìm kiếm toàn diện. Chìa khóa mà kẻ tấn công có được quyền truy cập được gọi là bị xâm phạm. Kẻ tấn công sử dụng khóa bị xâm phạm để có quyền truy cập vào dữ liệu được truyền được bảo vệ mà người gửi và người nhận không hề hay biết. Chìa khóa giúp giải mã và thay đổi dữ liệu.

Các cuộc tấn công ở cấp độ ứng dụng Những cuộc tấn công này có thể được thực hiện theo nhiều cách. Phổ biến nhất trong số đó là khai thác những điểm yếu đã biết trong phần mềm máy chủ (FTP, HTTP, Web server).

Vấn đề chính của các cuộc tấn công lớp ứng dụng là chúng thường sử dụng các cổng được phép đi qua tường lửa.

Thông tin về các cuộc tấn công cấp ứng dụng được công bố rộng rãi để cho phép quản trị viên khắc phục sự cố bằng cách sử dụng các mô-đun khắc phục (bản vá). Thật không may, nhiều hacker cũng có quyền truy cập vào thông tin này, điều này cho phép chúng tìm hiểu.

Không thể loại bỏ hoàn toàn các cuộc tấn công cấp ứng dụng. Tin tặc liên tục phát hiện và công bố các lỗ hổng mới trong các chương trình ứng dụng trên trang Internet của chúng.

Quản trị hệ thống tốt là quan trọng ở đây. Để giảm khả năng dễ bị tổn thương trước kiểu tấn công này, bạn có thể thực hiện các bước sau:

v phân tích các tệp nhật ký hệ điều hành và tệp nhật ký mạng bằng các ứng dụng phân tích đặc biệt;

v giám sát dữ liệu CERT về điểm yếu của phần mềm ứng dụng;

v sử dụng các phiên bản mới nhất của hệ điều hành và ứng dụng cũng như các mô-đun sửa lỗi (bản vá lỗi) mới nhất;

v sử dụng hệ thống phát hiện tấn công IDS (Hệ thống phát hiện xâm nhập).

Mạng thông minh là việc thu thập thông tin mạng bằng cách sử dụng dữ liệu và ứng dụng có sẵn công khai. Khi chuẩn bị tấn công mạng, tin tặc thường cố gắng lấy càng nhiều thông tin về mạng đó càng tốt.

Việc trinh sát mạng được thực hiện dưới dạng truy vấn DNS,
kiểm tra tiếng vang (quét ping) và quét cổng. Truy vấn DNS giúp bạn biết ai sở hữu một miền cụ thể và địa chỉ nào được gán cho miền đó. Địa chỉ ping được DNS tiết lộ cho phép bạn xem máy chủ nào đang thực sự chạy trong một môi trường nhất định. Sau khi nhận được danh sách các máy chủ, hacker sử dụng các công cụ quét cổng để biên soạn danh sách đầy đủ các dịch vụ được các máy chủ đó hỗ trợ. Kết quả là, thông tin thu được có thể được sử dụng để hack.

Không thể loại bỏ hoàn toàn trí thông minh mạng. Ví dụ: nếu bạn tắt tính năng trả lời tiếng vang và tiếng vang ICMP trên các bộ định tuyến biên, bạn sẽ thoát khỏi kiểm tra ping nhưng sẽ mất dữ liệu cần thiết để chẩn đoán lỗi mạng. Ngoài ra, bạn có thể quét các cổng mà không cần kiểm tra ping trước. Sẽ chỉ mất nhiều thời gian hơn vì bạn cũng sẽ phải quét các địa chỉ IP không tồn tại.

Các hệ thống IDS cấp độ mạng và máy chủ thường thực hiện tốt công việc cảnh báo cho quản trị viên về hoạt động trinh sát mạng đang diễn ra, cho phép họ chuẩn bị tốt hơn cho một cuộc tấn công sắp tới và cảnh báo cho ISP biết hệ thống của họ đang quá tò mò.

Vi phạm lòng tin. Kiểu hành động này không phải là một cuộc tấn công theo đúng nghĩa của từ này. Nó đại diện cho việc khai thác độc hại các mối quan hệ tin cậy tồn tại trong mạng. Một ví dụ điển hình của việc lạm dụng đó là tình trạng xảy ra ở phần ngoại vi của mạng công ty. Phân khúc này thường chứa các máy chủ DNS, SMTP và HTTP. Vì tất cả chúng đều thuộc cùng một phân khúc nên việc hack một trong số chúng sẽ dẫn đến hack tất cả những máy chủ khác, vì các máy chủ này tin cậy các hệ thống khác trên mạng của chúng.

Nguy cơ vi phạm lòng tin có thể giảm bớt bằng cách kiểm soát chặt chẽ hơn mức độ tin cậy trong mạng của bạn. Các hệ thống nằm bên ngoài tường lửa không bao giờ được tin cậy tuyệt đối từ các hệ thống được bảo vệ bởi tường lửa.

Các mối quan hệ tin cậy nên được giới hạn ở các giao thức cụ thể và, nếu có thể, được xác thực không chỉ bằng địa chỉ IP mà còn bằng các tham số khác. Các chương trình độc hại. Những chương trình như vậy bao gồm virus máy tính, sâu mạng và chương trình ngựa Trojan.

Virus là các chương trình độc hại được chèn vào các chương trình khác để thực hiện một chức năng không mong muốn cụ thể trên máy trạm của người dùng cuối. Virus thường được những kẻ tấn công phát triển theo cách không bị phát hiện trong hệ thống máy tính càng lâu càng tốt. Thời kỳ ngủ đông ban đầu của virus là cơ chế tồn tại của chúng. Virus biểu hiện đầy đủ tại một thời điểm cụ thể, khi một số sự kiện kêu gọi xảy ra, ví dụ như Thứ Sáu ngày 13, một ngày đã biết, v.v.

Một loại chương trình virus sâu mạng,được phân phối trên mạng toàn cầu và không để lại bản sao của nó trên môi trường từ tính. Thuật ngữ này được sử dụng để đặt tên cho các chương trình, giống như sán dây, di chuyển qua mạng máy tính từ hệ thống này sang hệ thống khác. Sâu sử dụng cơ chế hỗ trợ mạng để xác định máy chủ nào có thể bị ảnh hưởng. Sau đó, bằng cách sử dụng các cơ chế tương tự, sâu chuyển cơ thể của nó đến nút này và được kích hoạt hoặc chờ các điều kiện thích hợp để kích hoạt. Sâu mạng là một loại phần mềm độc hại nguy hiểm vì mục tiêu tấn công của chúng có thể là bất kỳ máy tính nào trong số hàng triệu máy tính được kết nối với Internet toàn cầu. Để bảo vệ khỏi sâu máy tính, bạn phải đề phòng việc truy cập trái phép vào mạng nội bộ của mình.

Virus máy tính có liên quan đến cái gọi là "ngựa thành Troy"(chương trình trojan). “Trojan horse” là một chương trình trông giống như một ứng dụng hữu ích nhưng thực tế lại thực hiện các chức năng có hại (phá hủy phần mềm).
cung cấp, sao chép và gửi các tập tin có dữ liệu bí mật cho kẻ tấn công, v.v.). Sự nguy hiểm của ngựa Trojan nằm ở một khối lệnh bổ sung được chèn vào chương trình vô hại ban đầu, sau đó được cung cấp cho người dùng AS. Khối lệnh này có thể được kích hoạt khi xảy ra bất kỳ điều kiện nào (ngày, trạng thái hệ thống) hoặc khi có lệnh bên ngoài. Người dùng chạy một chương trình như vậy sẽ gây nguy hiểm cho cả tệp của mình và toàn bộ hệ thống.

Theo Báo cáo quản lý mối đe dọa an ninh của Sophos, số lượng ngựa Trojan đông hơn virus và sâu với tỷ lệ 4:1 trong nửa đầu năm 2006, tăng từ mức tăng gấp đôi trong sáu tháng đầu năm 2005. Sophos cũng báo cáo sự xuất hiện của một loại "chương trình Trojan" mới , được gọi là phần mềm tống tiền. Những chương trình như vậy đánh cắp dữ liệu từ các máy tính bị nhiễm độc và sau đó người dùng được yêu cầu trả một khoản tiền chuộc nhất định cho dữ liệu đó.

Máy trạm của người dùng cuối rất dễ bị nhiễm vi-rút, sâu và ngựa Trojan.

Một đặc điểm của phần mềm độc hại hiện đại là nhắm mục tiêu vào phần mềm ứng dụng cụ thể, vốn đã trở thành tiêu chuẩn thực tế cho hầu hết người dùng, chủ yếu là Microsoft Internet Explorer và Microsoft Outlook. Việc tạo ra hàng loạt virus cho các sản phẩm của Microsoft không chỉ được giải thích bởi mức độ bảo mật và độ tin cậy thấp của các chương trình mà còn bởi sự phân phối toàn cầu của các sản phẩm này. Tác giả của phần mềm độc hại ngày càng bắt đầu khám phá các “lỗ hổng” trong các DBMS phổ biến, phần mềm trung gian và các ứng dụng kinh doanh của công ty được xây dựng trên các hệ thống này.

Virus, sâu và ngựa Trojan không ngừng phát triển và xu hướng phát triển chính của chúng là đa hình. Ngày nay, khá khó để phân biệt giữa virus, sâu và Trojan; chúng sử dụng các cơ chế gần như giống nhau; sự khác biệt nhỏ chỉ nằm ở mức độ sử dụng này. Thiết kế của phần mềm độc hại ngày nay đã trở nên thống nhất đến mức gần như không thể phân biệt được virus email với sâu có chức năng phá hoại. Ngay cả các chương trình “Trojan” cũng có chức năng sao chép (là một trong những phương tiện chống lại các công cụ chống vi-rút), để nếu muốn, chúng có thể được gọi là vi-rút (với cơ chế phân phối dưới dạng giả mạo là chương trình ứng dụng).

Để bảo vệ khỏi các chương trình độc hại này, cần thực hiện một số biện pháp:

v ngăn chặn truy cập trái phép vào các tập tin thực thi;

v thử nghiệm phần mềm đã mua;

v giám sát tính toàn vẹn của các tập tin thực thi và các vùng hệ thống;

v tạo môi trường thực thi chương trình khép kín.

Virus, sâu và ngựa Trojan được chống lại bằng phần mềm chống vi-rút hiệu quả hoạt động ở cấp độ người dùng và có thể ở cấp độ mạng. Khi virus, sâu và ngựa Trojan mới xuất hiện, cơ sở dữ liệu mới về các công cụ và ứng dụng chống vi-rút cần được cài đặt.

Thư rác và lừa đảođề cập đến các mối đe dọa không phải phần mềm. Sự phổ biến của hai mối đe dọa này đã tăng lên đáng kể trong thời gian gần đây.

Thư rác, khối lượng hiện vượt quá 80% tổng khối lượng lưu lượng thư, có thể gây ra mối đe dọa đối với tính sẵn có của thông tin bằng cách chặn máy chủ thư hoặc được sử dụng để phân phối phần mềm độc hại.

Lừa đảo(lừa đảo) là một loại gian lận Internet tương đối mới, mục đích của nó là lấy dữ liệu nhận dạng người dùng. Điều này bao gồm việc đánh cắp mật khẩu, số thẻ tín dụng, tài khoản ngân hàng, mã PIN và các thông tin bí mật khác cho phép truy cập vào tiền của người dùng. Lừa đảo không khai thác lỗi kỹ thuật của phần mềm mà khai thác sự cả tin của người dùng Internet. Bản thân thuật ngữ lừa đảo, phụ âm với câu cá, là viết tắt của câu cá thu thập mật khẩu - câu cá để lấy mật khẩu. Thật vậy, lừa đảo rất giống với câu cá. Kẻ tấn công ném mồi lên Internet và “bắt hết cá” - Người dùng Internet sẽ cắn câu.

Kẻ tấn công tạo ra một bản sao gần như chính xác của trang web của ngân hàng được chọn (hệ thống thanh toán điện tử, đấu giá, v.v.). Sau đó, bằng cách sử dụng công nghệ thư rác, một bức thư sẽ được gửi qua email, được soạn theo cách giống nhất có thể với một bức thư thật từ ngân hàng đã chọn. Khi soạn thư, logo của ngân hàng, tên và họ của những người quản lý ngân hàng thực sự được sử dụng. Theo quy định, một bức thư như vậy thông báo rằng do có sự thay đổi trong phần mềm trong hệ thống ngân hàng Internet, người dùng cần xác nhận hoặc thay đổi thông tin đăng nhập của mình. Nguyên nhân thay đổi dữ liệu có thể do phần mềm ngân hàng bị lỗi hoặc bị hacker tấn công. Sự hiện diện của một truyền thuyết hợp lý khuyến khích người dùng thực hiện các hành động cần thiết là một phần không thể thiếu trong sự thành công của những kẻ lừa đảo lừa đảo. Trong mọi trường hợp, mục đích của những bức thư đó là như nhau - buộc người dùng nhấp vào liên kết được cung cấp và sau đó nhập dữ liệu bí mật của họ (mật khẩu, số tài khoản, mã PIN) trên trang web lớp phủ của ngân hàng (hệ thống thanh toán điện tử, đấu giá) . Sau khi truy cập một trang web giả mạo, người dùng nhập dữ liệu bí mật của mình vào các dòng thích hợp, sau đó những kẻ lừa đảo tốt nhất có quyền truy cập vào hộp thư của anh ta hoặc tệ nhất là vào tài khoản điện tử của anh ta.

Công nghệ lừa đảo đang được cải tiến và các phương pháp kỹ thuật xã hội đang được sử dụng. Họ đang cố gắng hù dọa khách hàng và đưa ra một lý do quan trọng để anh ta tiết lộ dữ liệu bí mật của mình. Thông thường, tin nhắn chứa đựng những mối đe dọa, chẳng hạn như chặn tài khoản nếu người nhận không tuân thủ các yêu cầu đặt ra trong tin nhắn.

Liên hợp xuất hiện với khái niệm lừa đảo - dược phẩm . Đây cũng là một trò lừa đảo, mục tiêu của nó là lấy dữ liệu cá nhân của người dùng, nhưng không phải qua thư mà trực tiếp qua các trang Web chính thức. Nông dân thay thế địa chỉ kỹ thuật số của các trang web hợp pháp trên máy chủ DNS bằng địa chỉ của các trang giả mạo, do đó người dùng bị chuyển hướng đến các trang web lừa đảo. Kiểu lừa đảo này thậm chí còn nguy hiểm hơn vì gần như không thể nhận ra hàng giả.

Ngày nay, những kẻ lừa đảo thường sử dụng ngựa Trojan. Trong trường hợp này, nhiệm vụ của kẻ lừa đảo được đơn giản hóa rất nhiều - chỉ cần buộc người dùng truy cập trang lừa đảo và “chọn” một chương trình sẽ độc lập tìm thấy mọi thứ cần thiết trên ổ cứng nạn nhân. Cùng với các chương trình Trojan, chúng bắt đầu được sử dụng keylogger. Trên các trang web giả mạo, các công cụ phần mềm gián điệp theo dõi thao tác gõ phím được tải xuống máy tính của nạn nhân. Khi sử dụng phương pháp này, không cần thiết phải tìm quyền truy cập vào khách hàng của một ngân hàng hoặc công ty cụ thể và do đó những kẻ lừa đảo bắt đầu giả mạo các trang web có mục đích chung, chẳng hạn như nguồn cấp tin tức và công cụ tìm kiếm.

Sự thành công của các trò lừa đảo lừa đảo được tạo điều kiện thuận lợi bởi mức độ nhận thức thấp của người dùng về các quy tắc hoạt động của các công ty mà bọn tội phạm thay mặt họ hành động. Đặc biệt, khoảng 5% người dùng không biết một sự thật đơn giản: các ngân hàng không gửi thư yêu cầu họ xác nhận số thẻ tín dụng và mã PIN trực tuyến.

Theo các nhà phân tích (www.cnews.ru), thiệt hại do những kẻ lừa đảo gây ra cho nền kinh tế toàn cầu lên tới 14 tỷ USD vào năm 2003, và một năm sau nó lên tới 44 tỷ USD. Theo thống kê của Symantec, vào giữa năm 2004, bộ lọc của công ty này đã chặn tới 9 triệu email có nội dung lừa đảo mỗi tuần. Đến cuối năm, 33 triệu phim đã được sàng lọc trong cùng thời gian.

Bộ lọc thư rác vẫn là biện pháp bảo vệ chính chống lại lừa đảo. Thật không may, các công cụ phần mềm chống lừa đảo có hiệu quả hạn chế vì những kẻ tấn công chủ yếu khai thác tâm lý con người hơn là các lỗi phần mềm. Các biện pháp bảo mật kỹ thuật đang được tích cực phát triển, chủ yếu là plugin cho các trình duyệt phổ biến. Bản chất của biện pháp bảo vệ là chặn các trang web nằm trong “danh sách đen” chứa các tài nguyên gian lận. Bước tiếp theo có thể là hệ thống tạo mật khẩu một lần để truy cập Internet vào tài khoản ngân hàng và tài khoản trong hệ thống thanh toán, đồng thời phân phối rộng rãi các cấp độ bảo vệ bổ sung thông qua việc kết hợp nhập mật khẩu bằng khóa phần cứng USB.

Các cuộc tấn công được liệt kê trên mạng IP có thể xảy ra vì một số lý do:

v sử dụng các kênh truyền dữ liệu công cộng. Dữ liệu quan trọng được truyền qua mạng ở dạng không được mã hóa;

v lỗ hổng trong quy trình xác thực được triển khai trong ngăn xếp TCP/IP. Thông tin nhận dạng ở lớp IP được truyền dưới dạng văn bản rõ ràng;

v sự vắng mặt trong phiên bản cơ bản của các cơ chế giao thức TCP/IP nhằm đảm bảo tính bảo mật và tính toàn vẹn của các tin nhắn được truyền đi;

v người gửi được xác thực bằng địa chỉ IP của nó. Thủ tục xác thực chỉ được thực hiện ở giai đoạn thiết lập kết nối và sau đó tính xác thực của các gói nhận được không được kiểm tra;

v thiếu khả năng kiểm soát đường đi của tin nhắn trên Internet, khiến cho các cuộc tấn công mạng từ xa hầu như không bị trừng phạt.

Hầu như bất kỳ trang web nào cũng có thể bị hacker tấn công. Không có sự bảo vệ 100% chống lại điều này. Ví dụ: một trang web ngẫu nhiên được lưu trữ trên cùng một máy chủ với trang web bị tấn công nhắm mục tiêu có thể trở thành nạn nhân của một cuộc tấn công. Nếu những kẻ tấn công có ngân sách và mong muốn lớn thì không trang web nào có thể được bảo vệ hoàn toàn khỏi hành động có chủ ý.

Vì mục đích gì một cuộc tấn công có thể được thực hiện trên một trang web:

– đánh cắp dữ liệu (ví dụ: mật khẩu người dùng, quyền truy cập vào các phần ẩn của trang web);

– đưa máy chủ ra khỏi tình trạng hoạt động;

– vị trí của các liên kết ẩn, vi-rút, v.v. trên các trang của trang web;

– có được quyền truy cập đầy đủ vào máy chủ;

– vị trí của trang web bị giảm trong các công cụ tìm kiếm hoặc bị mất hoàn toàn.

Hầu hết các cuộc tấn công của hacker đều do đối thủ cạnh tranh thực hiện hoặc vì mục đích thu lợi nhuận.

Hãy xem xét các kiểu tấn công chính vào các trang web.

Ddos. Tôi đã thảo luận về nó trong một trong những tài liệu trước đó. Tại sao kiểu tấn công này lại nguy hiểm?

Cuộc tấn công nguy hiểm nhất vào tài nguyên Internet, Ddos làm dừng hoàn toàn máy chủ, khiến trang web không thể truy cập được đối với khách truy cập. Máy chủ có thể “nằm yên” cho đến khi cuộc tấn công dừng lại. Và điều này lại ảnh hưởng tiêu cực đến danh tiếng trang web của bạn. Kiểu tấn công này có thể xảy ra với nhiều đối thủ cạnh tranh vô đạo đức; câu hỏi duy nhất là số tiền họ sẵn sàng chi cho việc tổ chức Ddos.

Đối với một cuộc DDoS nhỏ, chỉ cần một vài máy tính có kênh Internet rộng là đủ. Cuộc tấn công xảy ra do việc tổ chức một số lượng lớn các yêu cầu đến máy chủ, được thực hiện từ một số lượng lớn máy tính. Kết quả do nhiều lần vượt quá tải cho phép nên máy chủ bị treo. Hầu hết các máy tính tấn công đều là những PC bị nhiễm Trojan. Bản thân người dùng PC thậm chí còn không nghi ngờ rằng mình đang bị những kẻ lừa đảo lợi dụng. Mạng của các máy tính bị nhiễm virus được gọi là botnet.

Sức mạnh của các cuộc tấn công DDoS được đo bằng lưu lượng truy cập được gửi đến máy chủ bị tấn công mỗi giây. Ví dụ: nếu một cuộc tấn công mạnh mẽ xảy ra, việc chống lại nó là khá khó khăn vì khối lượng lưu lượng truy cập như vậy hầu như không thể lọc được.

Điều quan trọng cần biết là các cuộc tấn công không chỉ được thực hiện trên các máy tính cá nhân. Mạng quốc gia và máy chủ DNS gốc thường trở thành nạn nhân của các cuộc tấn công và điều này có thể dẫn đến việc không có Internet ở một số khu vực nhất định.

Để ngăn chặn Ddos, các chuyên gia khuyên bạn nên đặt các dự án Internet trên một máy chủ có nguồn tài nguyên dự trữ. Trong trường hợp này sẽ có dự phòng kịp thời để hành động. Để bảo vệ khỏi Ddos, cần phải thực hiện các biện pháp toàn diện, chẳng hạn như tường lửa, lọc lưu lượng và công việc của các chuyên gia trong lĩnh vực này. Nhưng ngay cả những trang web lớn với khả năng bảo vệ mạnh mẽ cũng thỉnh thoảng bị tấn công. Ngay cả trang web của Microsoft cũng đã hơn một lần trở thành nạn nhân của các cuộc tấn công DDoS của những kẻ lừa đảo.

VỀ Tài liệu đặc biệt đã được viết trên blog của chúng tôi.

Một cuộc tấn công phổ biến khác vào trang web làĐây là việc hack một máy chủ và đặt các liên kết hoặc vi-rút trên đó.

Trong những trường hợp như vậy, quản trị viên web phát hiện ra rằng trang web đã bị những kẻ lừa đảo tấn công và sử dụng.

Cũng có thể máy chủ lưu trữ đã bị hack. Tuy nhiên, trong hầu hết các trường hợp, vi-rút xâm nhập vào trang web do lỗ hổng trong động cơ hoặc do lưu trữ mật khẩu không chính xác.

Như bạn đã biết, liên kết ẩn là một trong những nguyên nhân khiến các công cụ tìm kiếm áp dụng các biện pháp trừng phạt, rất khó thoát ra. Và nếu những kẻ lừa đảo không chỉ chèn các liên kết thông thường mà còn chèn mã vi-rút, thì một trang web như vậy thậm chí có thể bị nhà cung cấp dịch vụ lưu trữ cấm. Và bản thân tài nguyên đó cùng địa chỉ IP của nó cũng được đưa vào “danh sách đen” của Spamhouse, từ đó rất khó để thoát ra ngoài một cách phi thực tế. Là một biện pháp phòng ngừa, cần phải theo dõi các bản cập nhật CMS, cài đặt các bản cập nhật và các bổ sung cần thiết và tất nhiên là không lưu trữ mật khẩu trong phạm vi công cộng.

Tiếp theo trong danh sách tấn công của tôi làSQL tiêm. Nó xảy ra do việc thực hiện truy vấn sql trên máy chủ của người khác. Vấn đề này có thể phát sinh do lỗ hổng của động cơ hoặc mã chương trình không hoàn hảo. Bản chất của một cuộc tấn công XSS là gì? Mã tùy ý được đưa vào trang do tập lệnh tạo ra. Mối nguy hiểm chính đằng sau cuộc tấn công như vậy là việc đánh cắp cookie, dẫn đến việc giành quyền truy cập vào tài khoản người dùng. Do đó, kẻ lừa đảo nhận được dữ liệu về hệ thống của khách truy cập, lịch sử các trang web đã truy cập, v.v. Ngoài ra, không chỉ một tập lệnh java được nhúng mà còn có một liên kết đến tập lệnh php được lưu trữ trên máy chủ của bên thứ ba, và điều này còn nguy hiểm hơn.

Thư rác với địa chỉ và chi tiết trang web– một phương pháp tấn công vô hại khác, nhờ đó trang web của bạn có thể bị chặn trên dịch vụ lưu trữ và địa chỉ của bạn sẽ bị đưa vào danh sách đen. Thư rác có thể được gửi không chỉ đến email của người dùng mà còn đến các diễn đàn. Kết quả là bạn sẽ khó chứng minh được rằng đối thủ cạnh tranh của bạn đang làm điều này chứ không phải bạn.

Spam trong bình luận và trên diễn đàn– một cách khác mà những kẻ lừa đảo có thể gây hại cho trang web của bạn. Rốt cuộc, các tài nguyên bị spam không chỉ xếp hạng kém mà thậm chí có thể bị cấm hoàn toàn. Vì vậy, chủ sở hữu của những trang web như vậy cần cài đặt bộ lọc chống thư rác và kiểm duyệt bài đăng của người dùng trên diễn đàn.

Lừa đảo– làm tổn hại đến danh tiếng của bất kỳ nguồn tài nguyên nào. Trên một trang web khác có địa chỉ tương tự, một bản sao trang web của bạn có biểu mẫu ủy quyền sẽ được đặt. Người dùng nhập dữ liệu và nó rơi vào tay những kẻ lừa đảo. Nếu bạn tìm thấy một trang web như vậy, hãy liên hệ ngay với nhà cung cấp dịch vụ lưu trữ và công ty đăng ký tên miền của trang web lừa đảo. Họ chắc chắn sẽ chặn tài nguyên không trung thực này. Đọc về lừa đảo là gì và cách tự bảo vệ mình trong chi tiết.

Có lẽ bạn biết một số phương pháp lừa đảo khác gây tổn hại trực tiếp đến các trang web? Chia sẻ chúng trong bình luận!

4072 lần 8 lượt xem hôm nay

Bảng 9.1.

Tên giao thức	Mức độ giao thức ngăn xếp	Tên (đặc điểm) của lỗ hổng	Nội dung vi phạm bảo mật thông tin
FTP (Giao thức truyền tệp) – giao thức truyền tệp qua mạng		Xác thực dựa trên văn bản thô(mật khẩu được gửi không được mã hóa) Địa chỉ mặc định Có sẵn hai cổng mở	Cơ hội chặn dữ liệu
telnet - giao thức điều khiển thiết bị đầu cuối từ xa	Đơn đăng ký, người đại diện, phiên họp	Xác thực dựa trên văn bản thô(mật khẩu được gửi không được mã hóa)	Cơ hội chặn dữ liệu tài khoản (tên người dùng đã đăng ký, mật khẩu). Đạt được quyền truy cập từ xa vào máy chủ
UDP- giao thức truyền dữ liệu không có kết nối	Chuyên chở	Không có cơ chế ngăn chặn tình trạng quá tải bộ đệm	Khả năng thực hiện cơn bão UDP. Do trao đổi gói, hiệu suất máy chủ giảm đáng kể
ARP - Địa chỉ IP thành giao thức địa chỉ vật lý	Mạng	Xác thực dựa trên văn bản thô(thông tin được gửi không được mã hóa)	Khả năng chặn lưu lượng truy cập của người dùng bởi kẻ tấn công
RIP – Giao thức thông tin định tuyến	Chuyên chở	Thiếu xác thực các thông báo kiểm soát thay đổi tuyến đường	Khả năng chuyển hướng lưu lượng truy cập thông qua máy chủ của kẻ tấn công
TCP giao thức điều khiển chuyển khoản	Chuyên chở	Thiếu cơ chế kiểm tra việc điền đúng tiêu đề dịch vụ gói	Giảm đáng kể tốc độ liên lạc và thậm chí gián đoạn hoàn toàn các kết nối tùy ý thông qua giao thức TCP
DNS - giao thức thiết lập sự tương ứng giữa tên dễ nhớ và địa chỉ mạng	Đơn đăng ký, người đại diện, phiên họp	Thiếu phương tiện để xác minh tính xác thực của dữ liệu nhận được từ nguồn	Giả mạo phản hồi của máy chủ DNS
IGMP - Giao thức tin nhắn định tuyến	Mạng	Thiếu xác thực thông báo về việc thay đổi tham số tuyến đường	Win 9x/NT/2000 hệ thống đóng băng
SMTP – giao thức cung cấp dịch vụ gửi tin nhắn e-mail	Đơn đăng ký, người đại diện, phiên họp		Khả năng giả mạo tin nhắn email cũng như địa chỉ người gửi tin nhắn
SNMP giao thức điều khiển bộ định tuyến trong mạng	Đơn đăng ký, người đại diện, phiên họp	Không hỗ trợ xác thực tiêu đề tin nhắn	Khả năng quá tải băng thông mạng

Các mối đe dọa được thực hiện qua mạng được phân loại theo các đặc điểm chính sau:

1. bản chất của mối đe dọa.

   Bị động - một mối đe dọa không ảnh hưởng đến hoạt động của hệ thống thông tin, nhưng có thể vi phạm các quy tắc truy cập thông tin được bảo vệ. Ví dụ: sử dụng sniffer để “nghe” mạng. Hoạt động – mối đe dọa ảnh hưởng đến các thành phần của hệ thống thông tin, việc triển khai chúng có tác động trực tiếp đến hoạt động của hệ thống. Ví dụ: Tấn công DDOS dưới dạng cơn bão yêu cầu TCP.

2. mục tiêu của mối đe dọa(tương ứng, tính bảo mật, tính sẵn có, tính toàn vẹn của thông tin).
3. điều kiện bắt đầu tấn công:
   • theo yêu cầu của kẻ bị tấn công. Nghĩa là, kẻ tấn công mong đợi việc truyền một loại yêu cầu nhất định, đây sẽ là điều kiện để bắt đầu cuộc tấn công.
   • khi xảy ra một sự kiện dự kiến ​​tại đối tượng bị tấn công.
   • tác động vô điều kiện - kẻ tấn công không chờ đợi bất cứ điều gì, nghĩa là mối đe dọa được thực hiện ngay lập tức và bất kể trạng thái của đối tượng bị tấn công.
4. sự sẵn có của phản hồi với đối tượng bị tấn công:
   • với phản hồi, nghĩa là kẻ tấn công cần nhận được câu trả lời cho một số yêu cầu. Do đó, có phản hồi giữa mục tiêu và kẻ tấn công, cho phép kẻ tấn công theo dõi trạng thái của đối tượng bị tấn công và phản ứng đầy đủ với những thay đổi của nó.
   • không có phản hồi - theo đó, không có phản hồi và kẻ tấn công không cần phản ứng với những thay đổi của đối tượng bị tấn công.
5. Vị trí của kẻ xâm nhập so với hệ thống thông tin bị tấn công: nội đoạn và liên đoạn. Phân đoạn mạng là sự liên kết vật lý của máy chủ, phần cứng và các thành phần mạng khác có địa chỉ mạng. Ví dụ: một phân đoạn bao gồm các máy tính được kết nối với một bus chung dựa trên Token Ring.
6. Lớp mô hình tham chiếu ISO/OSI nơi mối đe dọa được thực hiện: vật lý, kênh, mạng, vận chuyển, phiên, đại diện, ứng dụng.

Hãy xem xét các cuộc tấn công phổ biến nhất hiện nay trong các mạng dựa trên giao thức ngăn xếp TCP/IP.

1. Phân tích lưu lượng mạng. Cuộc tấn công này được thực hiện bằng một chương trình đặc biệt gọi là sniffer. Sniffer là một chương trình ứng dụng sử dụng card mạng hoạt động ở chế độ lăng nhăng, còn được gọi là chế độ "lăng nhăng", trong đó card mạng cho phép tất cả các gói được chấp nhận, bất kể chúng được gửi đến ai. Ở trạng thái bình thường, tính năng lọc gói lớp liên kết được sử dụng trên giao diện Ethernet và nếu địa chỉ MAC trong tiêu đề đích của gói nhận được không khớp với địa chỉ MAC của gói hiện tại. giao diện mạng và không phải là quảng bá, gói tin sẽ bị loại bỏ. Ở chế độ "lăng nhăng", lọc theo giao diện mạng bị vô hiệu hóa và tất cả các gói, kể cả những gói không dành cho nút hiện tại, đều được phép vào hệ thống. Cần lưu ý rằng nhiều chương trình như vậy được sử dụng cho mục đích pháp lý, chẳng hạn như để chẩn đoán lỗi hoặc phân tích lưu lượng truy cập. Tuy nhiên, bảng chúng tôi đã xem xét ở trên liệt kê các giao thức gửi thông tin, bao gồm mật khẩu, ở dạng văn bản rõ ràng - FTP, SMTP, POP3, v.v. Do đó, bằng cách sử dụng trình thám thính, bạn có thể chặn tên người dùng và mật khẩu của mình và có được quyền truy cập trái phép vào thông tin bí mật. Hơn nữa, nhiều người dùng sử dụng cùng một mật khẩu để truy cập nhiều dịch vụ trực tuyến. Nghĩa là, nếu có điểm yếu ở một nơi trong mạng dưới dạng xác thực yếu thì toàn bộ mạng có thể bị ảnh hưởng. Những kẻ tấn công nhận thức rõ điểm yếu của con người và sử dụng rộng rãi các phương pháp lừa đảo qua mạng.

   Việc bảo vệ chống lại kiểu tấn công này có thể bao gồm:

   • Xác thực mạnh mẽ ví dụ như sử dụng mật khẩu một lần(mật khẩu một lần). Ý tưởng là mật khẩu có thể được sử dụng một lần và ngay cả khi kẻ tấn công chặn nó bằng trình thám thính, nó cũng không có giá trị. Tất nhiên, cơ chế bảo vệ này chỉ bảo vệ chống lại việc chặn mật khẩu và vô ích trong trường hợp chặn các thông tin khác, chẳng hạn như email.
   • Anti-sniffers là phần cứng hoặc phần mềm có thể phát hiện hoạt động của sniffer trong một phân đoạn mạng. Theo quy định, họ kiểm tra tải trên các nút mạng để xác định tải “vượt mức”.
   • Cơ sở hạ tầng chuyển đổi. Rõ ràng là việc phân tích lưu lượng mạng chỉ có thể thực hiện được trong một phân đoạn mạng. Nếu mạng được xây dựng trên các thiết bị chia nó thành nhiều phân đoạn (bộ chuyển mạch và bộ định tuyến), thì một cuộc tấn công chỉ có thể xảy ra ở những phần mạng thuộc một trong các cổng của các thiết bị này. Điều này không giải quyết được vấn đề đánh hơi nhưng nó làm giảm ranh giới mà kẻ tấn công có thể "lắng nghe".
   • Các phương pháp mật mã. Cách đáng tin cậy nhất để giải quyết công việc của sniffer. Thông tin có thể thu được thông qua việc chặn được mã hóa và do đó không có tác dụng. Được sử dụng phổ biến nhất là IPSec, SSL và SSH.
2. Quét mạng.Mục đích của việc quét mạng là xác định các dịch vụ đang chạy trên mạng, cổng mở, hoạt động dịch vụ mạng, các giao thức được sử dụng, v.v., tức là thu thập thông tin về mạng. Các phương pháp được sử dụng phổ biến nhất để quét mạng là:
   • Truy vấn DNS giúp kẻ tấn công tìm ra chủ sở hữu tên miền, vùng địa chỉ,
   • kiểm tra ping – xác định các máy chủ đang hoạt động dựa trên địa chỉ DNS thu được trước đó;
   • quét cổng - một danh sách đầy đủ các dịch vụ được hỗ trợ bởi các máy chủ này, các cổng mở, ứng dụng, v.v. được biên soạn.

   Một biện pháp đối phó tốt và phổ biến nhất là sử dụng IDS, nó tìm thấy thành công các dấu hiệu quét mạng và thông báo cho quản trị viên về điều đó. Không thể loại bỏ hoàn toàn mối đe dọa này, vì chẳng hạn, nếu bạn tắt tính năng trả lời tiếng vang và tiếng vang ICMP trên bộ định tuyến của mình, bạn có thể loại bỏ mối đe dọa ping, nhưng đồng thời mất dữ liệu cần thiết để chẩn đoán lỗi mạng .

3. Tiết lộ mật khẩu.Mục tiêu chính của cuộc tấn công này là giành quyền truy cập trái phép vào các tài nguyên được bảo vệ bằng cách vượt qua chế độ bảo vệ bằng mật khẩu. Để lấy được mật khẩu, kẻ tấn công có thể sử dụng nhiều phương pháp - vũ phu đơn giản, bạo lực từ điển, đánh hơi, v.v. Phổ biến nhất là tìm kiếm vũ phu đơn giản tất cả các giá trị mật khẩu có thể có. Để bảo vệ khỏi những hành vi bạo lực đơn giản, cần sử dụng mật khẩu mạnh, không dễ đoán: dài 6-8 ký tự, sử dụng chữ hoa và chữ thường, sử dụng ký tự đặc biệt (@, #, $, v.v.).

   Một vấn đề bảo mật thông tin khác là hầu hết mọi người đều sử dụng cùng một mật khẩu cho tất cả các dịch vụ, ứng dụng, trang web, v.v. Hơn nữa, tính dễ bị tổn thương của mật khẩu còn phụ thuộc vào lĩnh vực yếu nhất trong việc sử dụng nó.

   Có thể tránh được những kiểu tấn công này bằng cách sử dụng mật khẩu một lần mà chúng ta đã thảo luận trước đó hoặc xác thực bằng mật mã.

4. Giả mạo IP hoặc thay thế một đối tượng mạng đáng tin cậy.Trusted trong trường hợp này có nghĩa là một đối tượng mạng (máy tính, bộ định tuyến, tường lửa, v.v.) được kết nối hợp pháp với máy chủ. Mối đe dọa bao gồm kẻ tấn công mạo danh một đối tượng mạng đáng tin cậy. Điều này có thể được thực hiện theo hai cách. Trước tiên, hãy sử dụng địa chỉ IP nằm trong phạm vi địa chỉ IP được ủy quyền hoặc địa chỉ bên ngoài được ủy quyền được phép truy cập vào một số tài nguyên mạng nhất định. Kiểu tấn công này thường là điểm khởi đầu cho các cuộc tấn công khác.

   Thông thường, việc giả mạo một thực thể mạng đáng tin cậy chỉ giới hạn ở việc chèn thông tin sai lệch hoặc các lệnh độc hại vào luồng dữ liệu thông thường được truyền giữa các thực thể mạng. Để liên lạc hai chiều, kẻ tấn công phải thay đổi tất cả các bảng định tuyến để hướng lưu lượng truy cập đến địa chỉ IP sai, điều này cũng có thể xảy ra. Để giảm thiểu mối đe dọa (nhưng không loại bỏ nó), bạn có thể sử dụng các cách sau:

   • kiểm soát truy cập. Bạn có thể định cấu hình kiểm soát truy cập để từ chối mọi lưu lượng truy cập đến từ mạng bên ngoài có địa chỉ nguồn bên trong mạng. Phương pháp này có hiệu quả nếu chỉ có các địa chỉ nội bộ được cấp phép và không hoạt động nếu có các địa chỉ bên ngoài được cấp phép.
   • Lọc RFC 2827 – loại lọc này cho phép bạn ngăn chặn nỗ lực của người dùng trong mạng của bạn nhằm giả mạo các mạng khác. Để thực hiện việc này, bạn phải từ chối mọi lưu lượng truy cập gửi đi có địa chỉ nguồn không phải là một trong các địa chỉ IP của tổ chức bạn. Thông thường kiểu lọc này được thực hiện bởi nhà cung cấp. Kết quả là tất cả lưu lượng truy cập không có địa chỉ nguồn dự kiến ​​trên một giao diện cụ thể đều bị từ chối. Ví dụ: nếu ISP cung cấp kết nối đến địa chỉ IP 15.1.1.0/24, thì nó có thể định cấu hình bộ lọc để chỉ cho phép lưu lượng truy cập bắt nguồn từ 15.1.1.0/24 từ giao diện đó đến bộ định tuyến của ISP. Lưu ý rằng cho đến khi tất cả các nhà cung cấp triển khai kiểu lọc này, hiệu quả của nó sẽ thấp hơn nhiều so với mức có thể.
   • Thực hiện các phương pháp xác thực bổ sung. Việc giả mạo IP chỉ có thể thực hiện được bằng xác thực dựa trên IP. Nếu bạn đưa ra một số biện pháp xác thực bổ sung, chẳng hạn như biện pháp xác thực bằng mật mã, thì cuộc tấn công sẽ trở nên vô ích.
5. Từ chối dịch vụ (DoS)- một cuộc tấn công vào hệ thống máy tính nhằm mục đích khiến nó bị lỗi, nghĩa là tạo điều kiện mà theo đó những người dùng hợp pháp của hệ thống không thể truy cập vào các tài nguyên do hệ thống cung cấp hoặc việc truy cập này rất khó khăn.

   Cuộc tấn công DoS là cuộc tấn công phổ biến và nổi tiếng nhất gần đây, chủ yếu là do tính dễ thực hiện. Tổ chức một cuộc tấn công DOS đòi hỏi kiến ​​thức và kỹ năng tối thiểu và dựa trên những thiếu sót của phần mềm mạng và giao thức mạng. Nếu một cuộc tấn công được thực hiện trên nhiều thiết bị mạng thì nó được gọi là cuộc tấn công DoS phân tán (DDoS).

   Ngày nay, năm loại tấn công DoS sau đây được sử dụng phổ biến nhất, có số lượng lớn phần mềm và khó bảo vệ nhất:

   • Xì Trum- Yêu cầu ping ICMP. Khi một gói ping (tin nhắn ICMP ECHO) được gửi đến một địa chỉ quảng bá (ví dụ: 10.255.255.255), nó sẽ được gửi đến mọi máy trên mạng đó. Nguyên tắc của cuộc tấn công là gửi gói ICMP ECHO REQUEST với địa chỉ nguồn của máy chủ bị tấn công. Kẻ tấn công gửi một luồng gói ping liên tục đến một địa chỉ quảng bá trên mạng. Tất cả các máy, khi nhận được yêu cầu, sẽ phản hồi nguồn bằng gói ICMP ECHO REPLY. Theo đó, kích thước của luồng gói phản hồi tăng tỷ lệ thuận với số lượng máy chủ một số lần. Kết quả là toàn bộ mạng có thể bị từ chối dịch vụ do tắc nghẽn.
   • Lũ lụt ICMP- một cuộc tấn công tương tự như Smurf, nhưng không có sự khuếch đại được tạo ra bởi các yêu cầu tới địa chỉ quảng bá được chỉ đạo.
   • Lũ UDP- gửi nhiều gói UDP (Giao thức gói dữ liệu người dùng) đến địa chỉ của nút bị tấn công.
   • lũ TCP- gửi nhiều gói TCP đến địa chỉ của nút bị tấn công.
   • Lũ SYN TCP- khi thực hiện kiểu tấn công này, một số lượng lớn yêu cầu được đưa ra để khởi tạo các kết nối TCP với nút bị tấn công, do đó, nút này phải dành toàn bộ tài nguyên để theo dõi các kết nối mở một phần này.

   Nếu bạn đang sử dụng máy chủ Web hoặc ứng dụng máy chủ FTP, một cuộc tấn công DoS sẽ khiến tất cả các kết nối có sẵn cho các ứng dụng đó bị bận và người dùng không thể truy cập chúng. Một số cuộc tấn công có thể làm sập toàn bộ mạng bằng cách làm tràn ngập các gói không cần thiết. Để chống lại các cuộc tấn công như vậy, cần có sự tham gia của nhà cung cấp, vì nếu không ngăn chặn lưu lượng không mong muốn ở lối vào mạng thì cuộc tấn công sẽ không dừng lại vì băng thông sẽ bị chiếm dụng.

   Các chương trình sau đây thường được sử dụng nhất để thực hiện tấn công DoS:

   • trinoo- là một chương trình khá nguyên thủy, trong lịch sử đã trở thành chương trình đầu tiên tổ chức các cuộc tấn công DoS thuộc một loại duy nhất - lũ UDP. Các chương trình thuộc họ "trinoo" dễ dàng bị phát hiện bởi các công cụ bảo mật tiêu chuẩn và không gây ra mối đe dọa cho những người quan tâm ít nhất một chút đến bảo mật của chúng.
   • TFN và TFN2K- một vũ khí nghiêm trọng hơn. Cho phép bạn tổ chức đồng thời một số loại tấn công - Smurf, lũ UDP, lũ ICMP và lũ TCP SYN. Việc sử dụng các chương trình này đòi hỏi kẻ tấn công phải có tay nghề cao hơn nhiều.
   • Công cụ mới nhất để tổ chức các cuộc tấn công DoS - Stacheldracht("dây thép gai"). Gói này cho phép bạn tổ chức nhiều kiểu tấn công khác nhau và các yêu cầu ping phát sóng tràn lan. Ngoài ra, việc trao đổi dữ liệu giữa bộ điều khiển và tác nhân được mã hóa và chức năng tự động sửa đổi được tích hợp vào chính phần mềm. Mã hóa làm cho việc phát hiện kẻ tấn công rất khó khăn.

   Để giảm thiểu mối đe dọa, bạn có thể sử dụng như sau:

   • Tính năng chống giả mạo - Cấu hình đúng tính năng chống giả mạo trên bộ định tuyến và tường lửa của bạn sẽ giúp giảm nguy cơ DoS. Các tính năng này tối thiểu phải bao gồm tính năng lọc RFC 2827. Nếu tin tặc không thể che giấu danh tính thực sự của mình thì hắn khó có thể thực hiện một cuộc tấn công.
   • Tính năng chống DoS - Cấu hình thích hợp các tính năng chống DoS trên bộ định tuyến và tường lửa có thể hạn chế hiệu quả của các cuộc tấn công. Những tính năng này thường giới hạn số lượng kênh nửa mở tại bất kỳ thời điểm nào.
   • Giới hạn tốc độ lưu lượng - một tổ chức có thể yêu cầu ISP giới hạn lưu lượng truy cập. Kiểu lọc này cho phép bạn giới hạn lượng lưu lượng truy cập không quan trọng đi qua mạng của bạn. Một ví dụ phổ biến là giới hạn lưu lượng ICMP, lưu lượng này chỉ được sử dụng cho mục đích chẩn đoán. Các cuộc tấn công DoS thường sử dụng ICMP.

   Có một số loại mối đe dọa thuộc loại này:

   • Từ chối dịch vụ ẩn, khi một phần tài nguyên mạng được sử dụng để xử lý các gói do kẻ tấn công truyền đi, làm giảm dung lượng kênh, làm gián đoạn thời gian xử lý yêu cầu và làm gián đoạn hiệu suất của các thiết bị mạng. Ví dụ: cơn bão yêu cầu tiếng vang ICMP được định hướng hoặc cơn bão yêu cầu kết nối TCP.
   • Sự từ chối dịch vụ rõ ràng do tài nguyên mạng bị cạn kiệt do xử lý các gói được gửi bởi kẻ tấn công. Đồng thời, các yêu cầu hợp pháp của người dùng không thể được xử lý do toàn bộ băng thông kênh bị chiếm, bộ đệm đầy, dung lượng ổ đĩa đầy, v.v. Ví dụ: bão định hướng (SYN-lũ lụt).
   • Sự từ chối dịch vụ rõ ràng do vi phạm kết nối logic giữa các phương tiện kỹ thuật mạng khi kẻ tấn công thay mặt các thiết bị mạng truyền các thông báo điều khiển. Trong trường hợp này, dữ liệu định tuyến và địa chỉ thay đổi. Ví dụ: Máy chủ chuyển hướng ICMP hoặc lũ DNS.
   • Từ chối dịch vụ rõ ràng do kẻ tấn công truyền các gói có thuộc tính không chuẩn (ví dụ: bom UDP) hoặc có độ dài vượt quá mức tối đa (Ping Death).

   Các cuộc tấn công DoS nhằm mục đích phá vỡ tính sẵn có của thông tin và không vi phạm tính toàn vẹn và bảo mật.

6. Các cuộc tấn công ở cấp độ ứng dụng Kiểu tấn công này liên quan đến việc khai thác các lỗ hổng trong phần mềm máy chủ (HTML, sendmail, FTP). Lợi dụng những lỗ hổng này, kẻ tấn công sẽ thay mặt người dùng ứng dụng giành quyền truy cập vào máy tính. Các cuộc tấn công lớp ứng dụng thường sử dụng các cổng có thể "vượt qua" tường lửa.

   Vấn đề chính của các cuộc tấn công lớp ứng dụng là chúng thường sử dụng các cổng được phép đi qua tường lửa. Ví dụ: một hacker tấn công máy chủ Web có thể sử dụng cổng TCP 80. Để máy chủ Web phục vụ các trang cho người dùng, cổng 80 trên tường lửa phải được mở. Theo quan điểm của tường lửa, cuộc tấn công được coi là lưu lượng truy cập tiêu chuẩn trên cổng 80.

   Không thể loại bỏ hoàn toàn các cuộc tấn công cấp ứng dụng, vì các chương trình ứng dụng có lỗ hổng mới xuất hiện thường xuyên. Điều quan trọng nhất ở đây là quản trị hệ thống tốt. Dưới đây là một số biện pháp bạn có thể thực hiện để giảm khả năng bị tổn thương trước kiểu tấn công này:

   • đọc nhật ký (hệ thống và mạng);
   • theo dõi các lỗ hổng trong phần mềm mới bằng cách sử dụng các trang web chuyên biệt, ví dụ: http://www.cert.com.
   • việc sử dụng IDS.

Từ bản chất của một cuộc tấn công mạng, rõ ràng là sự xuất hiện của nó không được kiểm soát bởi từng nút mạng cụ thể. Chúng tôi chưa xem xét tất cả các cuộc tấn công có thể xảy ra trên mạng; trên thực tế, còn rất nhiều cuộc tấn công như vậy. Tuy nhiên, dường như không thể bảo vệ khỏi tất cả các kiểu tấn công. Cách tiếp cận tốt nhất để bảo vệ phạm vi mạng là loại bỏ các lỗ hổng được sử dụng trong hầu hết các cuộc tấn công tội phạm mạng. Danh sách các lỗ hổng như vậy được công bố trên nhiều trang web thu thập số liệu thống kê như vậy, ví dụ: trang web của Viện SANS: http://www.sans.org/top-cyber-security-risks/?ref=top20. Kẻ tấn công thông thường không tìm kiếm bất kỳ phương thức tấn công ban đầu nào mà quét mạng để tìm lỗ hổng đã biết và khai thác nó.

Cuộc tấn công DoS và DDoS là một tác động mạnh mẽ từ bên ngoài lên tài nguyên máy tính của máy chủ hoặc máy trạm, được thực hiện với mục tiêu khiến máy chủ hoặc máy trạm bị lỗi. Khi nói đến lỗi, chúng tôi không muốn nói đến lỗi vật lý của máy mà là việc người dùng thực sự không thể truy cập được tài nguyên của nó—hệ thống từ chối phục vụ họ ( Dđố kỵ ồ f S dịch vụ, đó là tên viết tắt của DoS).

Nếu một cuộc tấn công như vậy được thực hiện từ một máy tính, nó được phân loại là DoS (DoS), nếu từ một số - DDoS (DiDoS hoặc DDoS), có nghĩa là "Dđược phân phối Dđố kỵ ồ f S ervice" - từ chối dịch vụ phân tán. Tiếp theo, chúng ta sẽ nói về lý do tại sao những kẻ tấn công thực hiện các cuộc tấn công như vậy, chúng là gì, chúng gây ra tác hại gì cho kẻ bị tấn công và cách kẻ tấn công có thể bảo vệ tài nguyên của chúng.

Ai có thể bị tấn công DoS và DDoS?

Máy chủ doanh nghiệp và trang web bị tấn công, ít thường xuyên hơn - máy tính cá nhân của cá nhân. Mục đích của những hành động như vậy, theo quy định, là một - gây thiệt hại kinh tế cho người bị tấn công và ở trong bóng tối. Trong một số trường hợp, các cuộc tấn công DoS và DDoS là một trong những giai đoạn hack máy chủ và nhằm mục đích đánh cắp hoặc phá hủy thông tin. Trên thực tế, một công ty hoặc trang web thuộc sở hữu của bất kỳ ai cũng có thể trở thành nạn nhân của những kẻ tấn công.

Sơ đồ minh họa bản chất của một cuộc tấn công DDoS:

Các cuộc tấn công DoS và DDoS thường được thực hiện dưới sự xúi giục của các đối thủ cạnh tranh không trung thực. Vì vậy, bằng cách “đánh sập” trang web của một cửa hàng trực tuyến cung cấp sản phẩm tương tự, bạn có thể tạm thời trở thành “nhà độc quyền” và chiếm lấy khách hàng của cửa hàng đó cho riêng mình. Bằng cách “hạ bệ” máy chủ của công ty, bạn có thể làm gián đoạn công việc của một công ty cạnh tranh và do đó làm giảm vị thế của công ty đó trên thị trường.

Các cuộc tấn công quy mô lớn có thể gây ra thiệt hại đáng kể thường được thực hiện bởi tội phạm mạng chuyên nghiệp với số tiền rất lớn. Nhưng không phải lúc nào cũng vậy. Tài nguyên của bạn có thể bị tấn công bởi các tin tặc nghiệp dư trong nước vì lợi ích, những kẻ báo thù trong số những nhân viên bị sa thải và đơn giản là những người không chia sẻ quan điểm của bạn về cuộc sống.

Đôi khi tác động được thực hiện nhằm mục đích tống tiền, trong khi kẻ tấn công công khai đòi tiền từ chủ sở hữu tài nguyên để ngăn chặn cuộc tấn công.

Máy chủ của các công ty nhà nước và các tổ chức nổi tiếng thường bị tấn công bởi các nhóm hacker ẩn danh có tay nghề cao nhằm gây ảnh hưởng đến các quan chức hoặc gây ra sự phản đối kịch liệt của công chúng.

Cách các cuộc tấn công được thực hiện

Nguyên tắc hoạt động của các cuộc tấn công DoS và DDoS là gửi một luồng thông tin lớn đến máy chủ, tải ở mức tối đa (trong khả năng của hacker cho phép) tải tài nguyên máy tính của bộ xử lý, RAM, làm tắc nghẽn các kênh liên lạc hoặc lấp đầy dung lượng ổ đĩa. . Máy bị tấn công không thể xử lý dữ liệu đến và ngừng phản hồi yêu cầu của người dùng.

Đây là hoạt động bình thường của máy chủ, được hiển thị trong chương trình Logstalgia:

Hiệu quả của các cuộc tấn công DOS đơn lẻ không cao lắm. Ngoài ra, một cuộc tấn công từ máy tính cá nhân khiến kẻ tấn công có nguy cơ bị nhận dạng và bắt giữ. Các cuộc tấn công phân tán (DDoS) được thực hiện từ cái gọi là mạng zombie hoặc botnet mang lại lợi nhuận lớn hơn nhiều.

Đây là cách trang web Norse-corp.com hiển thị hoạt động của mạng botnet:

Mạng zombie (botnet) là một nhóm máy tính không có kết nối vật lý với nhau. Điểm chung của chúng là đều nằm dưới sự kiểm soát của kẻ tấn công. Việc kiểm soát được thực hiện thông qua một chương trình Trojan, chương trình này hiện tại có thể không biểu hiện dưới bất kỳ hình thức nào. Khi thực hiện tấn công, hacker sẽ hướng dẫn các máy tính bị nhiễm gửi yêu cầu đến trang web hoặc máy chủ của nạn nhân. Và anh ta, không thể chịu được áp lực, ngừng trả lời.

Đây là cách Logstalgia thể hiện một cuộc tấn công DDoS:

Tuyệt đối bất kỳ máy tính nào cũng có thể tham gia mạng botnet. Và thậm chí cả một chiếc điện thoại thông minh. Chỉ cần bắt được Trojan và không phát hiện kịp thời là đủ. Nhân tiện, mạng botnet lớn nhất bao gồm gần 2 triệu máy trên khắp thế giới và chủ sở hữu của chúng không biết chúng đang làm gì.

Phương thức tấn công và phòng thủ

Trước khi phát động một cuộc tấn công, hacker tìm ra cách thực hiện nó với hiệu quả tối đa. Nếu nút bị tấn công có một số lỗ hổng, tác động có thể được thực hiện theo các hướng khác nhau, điều này sẽ làm phức tạp đáng kể việc phản ứng. Vì vậy, điều quan trọng là mọi quản trị viên máy chủ phải nghiên cứu tất cả các “nút cổ chai” của nó và nếu có thể, hãy củng cố chúng.

Lụt

Lũ lụt, hiểu một cách đơn giản, là thông tin không mang bất kỳ ý nghĩa nào. Trong bối cảnh các cuộc tấn công DoS/DDoS, lũ lụt là một loạt các yêu cầu trống rỗng, vô nghĩa ở cấp độ này hay cấp độ khác mà nút nhận buộc phải xử lý.

Mục đích chính của việc sử dụng Flooding là làm tắc nghẽn hoàn toàn các kênh liên lạc và bão hòa băng thông đến mức tối đa.

Các loại lũ lụt:

• Lũ MAC - tác động đến các thiết bị truyền thông mạng (chặn các cổng có luồng dữ liệu).
• Lũ lụt ICMP - gửi cho nạn nhân các yêu cầu tiếng vang dịch vụ bằng cách sử dụng mạng zombie hoặc gửi yêu cầu “thay mặt” nút bị tấn công để tất cả các thành viên của mạng botnet đồng thời gửi phản hồi tiếng vang (tấn công Smurf). Một trường hợp đặc biệt của ICMP Flood là ping Flood (gửi yêu cầu ping đến máy chủ).
• SYN Flood - gửi nhiều yêu cầu SYN đến nạn nhân, làm tràn hàng đợi kết nối TCP bằng cách tạo ra một số lượng lớn các kết nối nửa mở (chờ xác nhận của khách hàng).
• Lũ UDP - hoạt động theo sơ đồ tấn công Smurf, trong đó các gói dữ liệu UDP được gửi thay vì các gói ICMP.
• Lũ HTTP - làm ngập một máy chủ với nhiều thông báo HTTP. Một tùy chọn phức tạp hơn là tràn HTTPS, trong đó dữ liệu đã gửi được mã hóa trước và trước khi nút bị tấn công xử lý, nó phải giải mã dữ liệu đó.

Cách tự bảo vệ mình khỏi lũ lụt

• Định cấu hình các bộ chuyển mạch mạng để kiểm tra tính hợp lệ và lọc địa chỉ MAC.
• Hạn chế hoặc vô hiệu hóa việc xử lý các yêu cầu tiếng vang ICMP.
• Chặn các gói đến từ một địa chỉ hoặc miền cụ thể khiến bạn nghi ngờ nó không đáng tin cậy.
• Đặt giới hạn về số lượng kết nối nửa mở với một địa chỉ, giảm thời gian lưu giữ của chúng và kéo dài hàng đợi kết nối TCP.
• Vô hiệu hóa dịch vụ UDP nhận lưu lượng truy cập từ bên ngoài hoặc giới hạn số lượng kết nối UDP.
• Sử dụng CAPTCHA, độ trễ và các kỹ thuật bảo vệ bot khác.
• Tăng số lượng kết nối HTTP tối đa, định cấu hình bộ nhớ đệm yêu cầu bằng nginx.
• Mở rộng dung lượng kênh mạng.
• Nếu có thể, hãy dành một máy chủ riêng để xử lý mật mã (nếu có).
• Tạo kênh dự phòng để truy cập quản trị vào máy chủ trong các tình huống khẩn cấp.

Quá tải tài nguyên phần cứng

Có những kiểu ngập lụt không ảnh hưởng đến kênh liên lạc mà ảnh hưởng đến tài nguyên phần cứng của máy tính bị tấn công, tải chúng hết công suất và gây ra tình trạng treo hoặc treo máy. Ví dụ:

• Tạo một tập lệnh sẽ đăng một lượng lớn thông tin văn bản vô nghĩa trên một diễn đàn hoặc trang web nơi người dùng có cơ hội để lại nhận xét cho đến khi lấp đầy toàn bộ dung lượng đĩa.
• Điều tương tự, chỉ có nhật ký máy chủ mới lấp đầy ổ đĩa.
• Đang tải một trang web nơi thực hiện một số loại chuyển đổi dữ liệu đã nhập, liên tục xử lý dữ liệu này (gửi cái gọi là gói "nặng").
• Tải bộ xử lý hoặc bộ nhớ bằng cách thực thi mã thông qua giao diện CGI (hỗ trợ CGI cho phép bạn chạy bất kỳ chương trình bên ngoài nào trên máy chủ).
• Kích hoạt hệ thống bảo mật, khiến máy chủ từ bên ngoài không thể truy cập được, v.v.

Cách tự bảo vệ mình khỏi tình trạng quá tải tài nguyên phần cứng

• Tăng hiệu suất phần cứng và dung lượng ổ đĩa. Khi máy chủ hoạt động bình thường, ít nhất 25-30% tài nguyên sẽ còn trống.
• Sử dụng hệ thống phân tích và lọc lưu lượng trước khi truyền nó đến máy chủ.
• Hạn chế việc sử dụng tài nguyên phần cứng theo các thành phần hệ thống (đặt hạn ngạch).
• Lưu trữ tệp nhật ký máy chủ trên một ổ đĩa riêng.
• Phân phối tài nguyên trên một số máy chủ độc lập với nhau. Vì vậy, nếu một bộ phận bị hỏng thì những bộ phận khác vẫn hoạt động.

Lỗ hổng trong hệ điều hành, phần mềm, firmware thiết bị

Có vô số lựa chọn để thực hiện kiểu tấn công này hơn là sử dụng lũ lụt. Việc triển khai chúng phụ thuộc vào trình độ và kinh nghiệm của kẻ tấn công, khả năng tìm ra lỗi trong mã chương trình và sử dụng chúng để mang lại lợi ích cho mình cũng như gây bất lợi cho chủ sở hữu tài nguyên.

Khi hacker phát hiện ra lỗ hổng (lỗi trong phần mềm có thể được sử dụng để làm gián đoạn hoạt động của hệ thống), tất cả những gì anh ta phải làm là tạo và chạy một khai thác - một chương trình khai thác lỗ hổng này.

Việc khai thác các lỗ hổng không phải lúc nào cũng nhằm mục đích từ chối dịch vụ. Nếu hacker may mắn, anh ta sẽ có thể giành quyền kiểm soát tài nguyên và sử dụng “món quà định mệnh” này theo ý mình. Ví dụ: sử dụng nó để phát tán phần mềm độc hại, đánh cắp và phá hủy thông tin, v.v.

Các phương pháp chống khai thác lỗ hổng phần mềm

• Cài đặt kịp thời các bản cập nhật che các lỗ hổng của hệ điều hành và ứng dụng.
• Cô lập tất cả các dịch vụ nhằm giải quyết các nhiệm vụ quản trị khỏi sự truy cập của bên thứ ba.
• Sử dụng các phương tiện giám sát liên tục hoạt động của hệ điều hành và chương trình máy chủ (phân tích hành vi, v.v.).
• Từ chối các chương trình có khả năng dễ bị tấn công (miễn phí, tự viết, hiếm khi cập nhật) để ủng hộ những chương trình đã được chứng minh và được bảo vệ tốt.
• Sử dụng các phương tiện có sẵn để bảo vệ hệ thống khỏi các cuộc tấn công DoS và DDoS tồn tại ở cả dạng hệ thống phần cứng và phần mềm.

Cách xác định tài nguyên đã bị hacker tấn công

Nếu kẻ tấn công đạt được mục tiêu thành công thì không thể không nhận thấy cuộc tấn công, nhưng trong một số trường hợp, quản trị viên không thể xác định chính xác thời điểm nó bắt đầu. Nghĩa là, đôi khi mất vài giờ kể từ khi bắt đầu cuộc tấn công đến các triệu chứng đáng chú ý. Tuy nhiên, trong quá trình ảnh hưởng ẩn (cho đến khi máy chủ ngừng hoạt động), một số dấu hiệu nhất định cũng xuất hiện. Ví dụ:

• Hành vi không tự nhiên của các ứng dụng máy chủ hoặc hệ điều hành (đóng băng, chấm dứt do lỗi, v.v.).
• Tải cho bộ xử lý, RAM và bộ lưu trữ tăng mạnh so với mức ban đầu.
• Lưu lượng truy cập trên một hoặc nhiều cổng tăng lên đáng kể.
• Có nhiều yêu cầu từ khách hàng đến cùng một tài nguyên (mở cùng một trang web, tải xuống cùng một tệp).
• Phân tích nhật ký máy chủ, tường lửa và thiết bị mạng cho thấy số lượng lớn các yêu cầu đơn điệu từ nhiều địa chỉ khác nhau, thường hướng đến một cổng hoặc dịch vụ cụ thể. Đặc biệt nếu trang web nhắm đến đối tượng hẹp (ví dụ: nói tiếng Nga) và các yêu cầu đến từ khắp nơi trên thế giới. Phân tích định tính về lưu lượng truy cập cho thấy các yêu cầu không có ý nghĩa thực tế đối với khách hàng.

Tất cả những điều trên không phải là dấu hiệu 100% của một cuộc tấn công, nhưng nó luôn là lý do để bạn chú ý đến vấn đề và thực hiện các biện pháp bảo vệ thích hợp.