TCP самий надійний пакет, тому що комп’ютер повинен послати повідомлення, що пакет отриманий, якщо повідомлення немає, то пакет надсилається повторно. Тому втрата інформації виключена. Але є недолік: через посилки повідомлення про отримання кожного пакета знижується швидкість.

UDP схожий з TCP, а повідомлення про отримання не надсилається, тому можлива втрата інформації в тому випадку, якщо пакет не досягає одержувача. Але цей вид пакетів швидше, ніж TCP.

ICMP не використовуються для передачі інформації. Пакети, швидше службового плану, наприклад для діагностики мережі або для пінгу.

Зв’язок між двома комп’ютерами в моделі клієнт->сервер: Клієнт посилає серверу на відкритий порт SYN-пакет (тобто пакет, у якого установлений прапор SYN), на що сервер відповідає SYN/ACK-пакетом (в тому випадку, якщо він готовий встановити з’єднання), після цього клієнт посилає ACK-пакет, і зв’язок вважається встановленою. Це елементарна модель, яка може знадобитися для поняття деяких атак, за більш детальною інформацією слід звернутися до довідника з мережевих технологій.

IP адреса мережеву адресу комп’ютера виду ХХХ.ХХХ.ХХХ.ХХХ, де ХХХ можуть бути від 0 до 255.

MAC адресу унікальний адресу, вшитий в мережеву карту. Має вигляд: ХХ: ХХ: ХХ: ХХ: ХХ: ХХ, де ХХ можуть бути від 00 до ff

Примітка: адреси мають деякі обмеження, і деякі не можуть існувати (тобто належати комп’ютера в мережі), наприклад IP адреса 0.0.0.0 або 255.255.255.255 Деякі IP адреси не можуть належати машині, безпосередньо підключеного до Інтернет, т. к. деякі групи (тобто діапазони IP адреси зарезервовані. За більш докладною інформацією можна звернутися до спеціального довідника.

TCP/IP протокол слугує для передачі даних в Інтернеті і в більшості мереж.

ARP протокол служить для зіставлення IP-адрес MAC-адресами.

ARP-сервер сервер, який відповідає за зберігання зіставлених записів виду IP адресу, MAC адресу.

DNS сервер комп’ютер, який по DNS запитом клієнта (наприклад, Вашим запитом, коли Ви вводите адресу в рядку адреси в Internet Explorer) переводить літерні Інтернет адреси (наприклад: yandex.ru) у відповідні ним IP-адреси (наприклад: 23.145.14.155).

Комутатор і концентратор призначення у цих пристроїв однаково: приєднати до одного каналу (наприклад, Інтернету) кілька комп’ютерів. Але принцип дії розрізняється. Концентратор приймає пакет, а потім пересилає його кожного комп’ютера, а далі комп’ютери перевіряють, для них був призначений цей пакет. Комутатор точно знає, який пакет якого комп’ютера призначається, і він посилає його конкретного комп’ютера, а не всім одразу. Комутатори більш дорогі пристрої, але і більш швидкі та безпечні.

Сегмент мережі група комп’ютерів, підключена до одного концентратора або комутатора.

Deface/Defacement (або Дефейс) зміна зломщиком будь-якої сторінки на Веб-сервері (наприклад, початкову) на свою (наприклад з написом «Зламана»).

Privileges escalation (Підняття привілеїв). Тільки адміністратор може виконувати команди, критичні для роботи системи (наприклад: команда, вимикає комп’ютер). І тільки програми, запущені адміністратором, можуть отримати доступ до критичних даних. Тому, щоб мати повний контроль над системою, хакеру необхідні права адміністратора. Якщо хакер отримав доступ до системи як звичайний користувач, то йому необхідно «підняти привілеї» для отримання контролю.

Інвентаризація або Збір інформації. Необхідно для одержання максимально можливого обсягу інформації про цільовому комп’ютері.

Прийоми злому

1) Fishing (або Фішинг). Дуже широке поняття. Сенс його в тому, щоб отримати від користувачів інформацію (паролі, номери кредитних карт і т. п.) або гроші. Цей прийом спрямований не на одного користувача, а на багатьох. Наприклад, листи нібито від служби технічної підтримки розсилаються всім відомим клієнтам будь-якого банку. У листах зазвичай міститься прохання вислати пароль до облікового запису, нібито з-за проведення будь-яких технічних робіт. Незважаючи на те, що користувачів попереджають, що ніяку таку інформацію від них ніхто з працівників не може вимагати, і ця інформація не повинна розголошуватися, завжди знаходяться ті, хто із задоволенням «дарує» свої номери, паролі та інше. Подібні листи, зазвичай дуже правдоподібно і грамотно складені, що, можливо, підкуповує довірливих користувачів. Потрібно обмовитися, що прийомів для фішингу є кілька, крім листів. Деякі з нижчеподаних прийомів при правильному застосуванні підходять для фішингу (як правило, ми згадуємо про це при описі прийому).

Рекомендації: Пам’ятайте, що параноя найкращий захист. Не довіряйте нічому підозрілою, нікому не давайте свої дані. Адміністратори не потрібно знати Ваш пароль, якщо він призначений для доступу до їх серверу. Вони повністю керують сервером і можуть самі подивитися пароль або змінити його.

2) Соціальна інженерія це не технічний, а психологічний прийом. Користуючись даними, отриманими при інвентаризації, зломщик може зателефонувати будь-якому користувачеві (наприклад, корпоративної мережі) від імені адміністратора і спробувати дізнатися у нього, наприклад, пароль. Це стає можливим, коли у великих мережах, користувачі не знають всіх працівників, і тим більше не завжди можуть точно дізнатися їх по телефону. Крім цього, використовуються складні психологічні прийоми, тому шанс на успіх сильно зростає.

Рекомендації: ті ж самі. Якщо дійсно є необхідність, то повідомте потрібні дані особисто. У тому випадку, якщо Ви записали пароль на папері, не залишайте її де попало і по можливості знищуйте, а не просто викидайте у смітник.

3) Віруси. Найвідоміша простому користувачеві проблема. Суть у впровадженні шкідливої програми в комп’ютер користувача. Наслідки можуть бути різні і залежать від виду вірусу, яким заражений комп’ютер. Але в цілому — від викрадення інформації до розсилки спаму, організації DDoS атак, а так само одержання повного контролю над комп’ютером. Крім прикріпленого до листа файлу, віруси можуть потрапити в комп’ютер через деякі уразливості ОС, які описуються в нашій статті «Рейтинг вразливостей Windows». Вірусів існує величезна безліч, але все ж можливо їх класифікувати. Ми не хочемо винаходити заново велосипед, тому можна скористатися інформацією цієї сторінки school8.uriit.ru/people/av/class.html де наводиться класифікація вірусів з описом. Трохи більш докладно ця тема розкривається тут fivt.krgtu.ru/kafedri/mo/site…S/pages/02.htm

Рекомендації: Користуйтеся антивірусним ПО. Не обмежуйтеся тільки DrWEB або Kaspersky Anti-Virus (тому як вони не перевіряють реєстр), використовуйте спеціалізовані антивіруси проти Malware, наприклад Ad-Aware, SpyBot, XSpy. А так ж не відкривайте підозрілі вкладень і взагалі не відривайте програм від невідомих відправників. Навіть якщо відправник Вам знайомий, все одно спочатку перевірте антивірусом. Тут як в медицині, легше запобігти, ніж потім вилікувати.

4) DoS (Denial of Service або Відмова від Обслуговування). Ми б хотіли сказати, що це скоріше не окрема атака, а результат атаки; використовується для виведення системи або окремих програм з ладу. Для цього зломщик особливим чином формує запит до будь-якій програмі, після чого вона перестає функціонувати. Потрібно перезарузка, щоб повернути робочий стан програми. Часто зустрічається думка, що DoS, це те ж саме, що і атака типу Flood і що взагалі потрібно з’єднати всі атаки, які призводять до відмови системи під загальною назвою DoS. Тут варто обмовитися, що:

a) Загальної термінології немає, є швидше негласні правила, за якими класифікується атака, тому навіть в рамках даної статті ми наведемо чимось відому класифікацію.
b) Як ми вже сказали, до відмови від обслуговування може привести не тільки Flood, але, наприклад, і Buffer Overflow.

Тому, DoS можна охарактеризувати як результат атаки. Наприклад: «ефект відмови від обслуговування досягнуто застосуванням атаки типу Flood».

5) Flood (Флуд або Потік/Затоплення). Цей тип досить спірне, частково його можна віднести до DoS, але ми хотіли б виділити окремо. З деякої кількості машин (в цьому випадку атака буде називатися DDoS Distributed Denial of Service. Розподілена атака на відмову від обслуговування), як правило «Зомбі» посилають жертві максимально можлива кількість запитів (наприклад, запити на з’єднання). Від цього жертва не встигає відповідати на кожен запит, і в підсумку не відповідає на запити, тобто можна сказати, що перестає нормально функціонувати. Примітка: цей тип атаки можна назвати хуліганством, коли, наприклад, форуми заповнюють великою кількістю безглуздих повідомлень. Можна виділити наступні типи Flood:

a) SYN Flood Затоплення атакованого комп’ютера пакетами типу SYN. Як відомо, комп’ютер повинен на такий пакет відповісти пакетом типу SYN/ACK. Якщо пакетів SYN занадто багато, то комп’ютер не встигає відповідати на кожен і не може приймати пакети від інших комп’ютерів.
b) ICMP Flood або Ping Flood Те ж саме, тільки пакетами ICMP. Система повинна відповісти на такий пакет, тим самим створюється велика кількість пакетів, які знижують продуктивність (пропускну здатність) каналу.
c) Identification Flood (Ident Flood). Схожа на ICMP Flood, але відповідь на запит на порт 113 типу id користувача займає у системи більше часу, тому атака ефективніша.
d) DNS Flood атака спрямована на DNS сервера. Їх наповнюють DNS-запити, на які сервер не встигає відповідати, таким чином, на Ваші запити він так само відповісти не зможе. Як наслідок, Ви не зможе відвідувати Інтернет-сайти.
e) DDoS DNS Атака досить нова, і ми не зустрічали «усталеного» назви. По суті, цей прийом приблизно те ж саме, що і попередній, з тією лише різницею, що запити надходять з великої кількості машин (попередній тип цього не виключає). Адреса, за якою повинен відповісти DNS-сервер на ці запити, дорівнює адресою самого DNS сервера, тобто його не тільки наповнюють запити DNS, але він же ще й відправляє їх собі. Таким чином, прийом більш ефективний, ніж попередній, але і більш складний у реалізації.
f) Boink (Bonk, Teardrop) Жертві надсилається величезна кількість сильно фрагментованих пакетів, але при цьому фрагменти великого розміру. Для кожного фрагментованого пакету виділяється спеціальний буфер, в який надалі будуть поміщені інші фрагменти, щоб потім скласти їх докупи. Величезна кількість великих фрагментів переповнюють буфера і можуть спровокувати зависання або аварійну зупинку.
g) Pong те ж саме, що і будь-який інший з перерахованих вище видів, відмінність тільки в тому, що адреса відправника підроблений. Це дає зломщикові деяку анонімність.

Рекомендації: для кожної ОС або маршрутизатора свої; вони, як правило, надано в технічній документації. Не нехтуйте ними, чітко обмежуйте кількість допустимих пакетів. На жаль, деякі види неможливо відобразити нічим, крім фізичного відключення. Правильно налаштовані міжмережеві екрани (або Брандмауери) часто є панацеєю.

6) Smurf (атака, спрямована на помилки реалізації TCP-IP протоколу). Зараз цей вид атаки вважається екзотикою, проте раніше, коли TCP-IP протокол був досить новим, в ньому містилося деяку кількість помилок, які дозволяли, наприклад, підміняти IP адреси. Однак, цей тип атаки застосовується до цих пір. Деякі фахівці виділяють TCP Smurf, UDP Smurf, ICMP Smurf. Звичайно, такий поділ ґрунтується на типі пакетів.

Рекомендації: комутатори CISCO забезпечують хорошу захист, як і багато інших, а також свіжіше і міжмережеві екрани; необхідно блокувати широкомовні запити.

7) Ping-of-Death (або Jolt, SSPing) Атака полягає в тому, що жертві надсилається фрагментований пакет ICMP, але розмір фрагмента дуже великий (64кБ). Старі версії ОС, наприклад Windows 95, повисають. Цю атаку можна здійснити за допомогою програми Shadow Security Scanner.

Рекомендації: легше всього оновити ОС, відмовившись від старої версії.

8) UDP Storm (UDP шторм) використовується в тому разі, якщо на жертві відкрито як мінімум два UDP порту, кожен з яких надсилає відправнику який-небудь відповідь. Наприклад, порт 37 з сервером time на запит надсилає поточну дату і час. Зломщик відправляє UDP-пакет на один з портів жертви, але в якості відправника вказує адресу жертви і другий відкритий UDP порт жертви. Тоді порти починають нескінченно відповідати один одному, що знижує продуктивність. Шторм припиниться, як тільки один з пакетів пропаде (наприклад, із-за перевантаження ресурсів).

Рекомендації: по можливості виключити використання сервісів, які беруть UDP пакети, або відрізати їх від зовнішньої мережі міжмережевим екраном.

9) UDP Bomb зломщик відправляє системі UDP-пакет з некоректними полями службових даних. Дані можуть бути порушені як завгодно (наприклад, некоректна довжина полів, структура). Це може призвести до аварійного завершення.

Рекомендації: оновити.

10) Land жертві надсилається пакет на певний порт, але адресу відправника встановлюється той же самий, що і жертви, а порт відправника дорівнює порту одержувача. (приклад: отримувач: 1.1.1.1 порт 111 відправник: 1.1.1.1 порт 111). Жертва намагається встановити з’єднання з собою, через що може статися повисание системи. Подібна атака також може бути на 100% ефективна проти деяких маршрутизаторів.

11) Mail Bombing («Поштова бомбування»). Якщо на комп’ютері, що атакується є поштовий сервер, то на нього надсилається величезна кількість поштових повідомлень з метою виведення його з ладу. З одного боку, це нагадує Flood, але з іншого боку, якщо повідомлення містять великі вкладення, які будуть перевірятися серверним антивірусом, то подібна перевірка безлічі вхідних вкладень може істотно знизити продуктивність або звести її нанівець. Крім того, такі повідомлення зберігаються на жорсткому диску сервера і можуть переповнити його, що може викликати DoS. Звичайно, зараз ця атака, швидше історія, але в деяких випадках все ж може бути використана.

Рекомендації: грамотна настройка поштового сервера.

12) Sniffing (Сниффинг або прослуховування мережі). У тому випадку, якщо замість комутаторів в мережі встановлені концентратори, отримані пакети розсилаються всім комп’ютерам в мережі, а далі вже комп’ютери визначають для них цей пакет чи ні. Якщо зломщик отримає доступ до комп’ютера, який включений в таку мережу, або отримає доступ до мережі безпосередньо, то вся інформація, що передається в межах сегменту мережі, включаючи паролі, стане доступна. Зломщик просто поставить мережеву карту в режим прослуховування буде приймати всі пакети незалежно від того, чи йому вони призначалися. Можна використовувати як консольні сніфери, наприклад TcpDump (вбудований в *NIX системах), WinDump (для Windows, але не вбудований), а так само з візуалізованим інтерфейсом, наприклад Iris.

Рекомендації: використовувати комутатори замість концентраторів, шифруйте трафік.

13) IP Hijack (IP хайджек). Якщо є фізичний доступ до мережі, то зломщик може «врізатися» в мережевий кабель і виступити в якості посередника при передачі пакетів, тим самим він буде слухати весь трафік між двома комп’ютерами. Дуже незручний спосіб, який часто себе не виправдовує, за винятком випадків, коли ніякий інший спосіб не може бути реалізований. Подібне включення саме по собі незручно, хоча є пристрої, які трохи спрощують цю задачу, зокрема вони стежать за нумерацією пакетів, щоб уникнути збою і можливого виявлення вторгнення в канал. Такий спосіб використовується для обману банкоматів, але такий випадок технічно складніше, тому що неприпустимий розрив зв’язку між банком і банкоматом, а «врізання» в канал без його розриву завдання тільки для висококваліфікованого спеціаліста. Крім цього, тепер банкомати встановлюються набагато краще, що виключає можливість вільного фізичного доступу до кабелю.

Рекомендації: слідкуйте за доступом до кабелів, наприклад, використовуйте короби. Шифруйте трафік.

14) Dummy ARP (Помилковий ARP). ARP-сервер, маршрутизатор або комутатор знають які належать IP MAC-адресами (тобто мережних карт). При можливості фізичного доступу до мережі, зломщик може підробити ARP відповідь і видати себе за інший комп’ютер в мережі, отримавши його IP. Тим самим всі пакети, призначені того комп’ютера, він буде отримувати. Це можливо, якщо комп’ютер вимкнений, інакше ця дія викличе конфлікт IP адрес (в одній мережі не можуть бути 2 комп’ютера з одним і тим же IP адресою).

Рекомендації: використовувати, яке інформує про зміну MAC адрес у IP, слідкуйте за лог-файлів ARP сервера.

15) Dummy DNS Server (помилковий DNS-Сервер). Якщо налаштування мережі поставлені в автоматичний режим, то при включенні в мережу, комп’ютер «запитує» (тобто відправляє широкомовний пакет) хто буде його DNS сервером, до якого він надалі буде відправляти DNS запити. При наявності фізичного доступу до мережі, зломщик може перехопити такий широкомовний запит і відповісти, що його комп’ютер буде DNS сервером. Після цього він зможе відправляти обманутую жертву за будь-яким маршрутом. Наприклад, жертва хоче пройти на сайт банку і переказати гроші, зломщик може відправити її на свій комп’ютер, де буде сфабрикована форма введення пароля. Після цього пароль буде належати зломщикові. Досить складний спосіб, тому що зломщикові необхідно відповісти жертві раніше, ніж DNS сервер.