Acest tip de atac face cam acelaşi lucru ca şi DoS-ul, numai că se foloseşte pentru atingerea scopului său de către nişte computere intermediare, numite agenţi, pe care rulează nişte aplicaţii (zombies) care au fost instalate pe calculatoare anterior. Hacker-ul (v-am zis că nu îmi place cuvântul ăsta, nu?) activează remote aceste “progrămele” în aşa fel încât toate aceste sisteme intermediare să lanseze atacul DDoS în acelaşi timp. Din cauză că atacul provine de la mai multe calculatoare care pot să fie răspândite prin toată lumea, originea reală a pericolului este foarte greu de găsit. Vă daţi seama aşadar că DDoS-ul este un pericol dublu. Pe lângă posibilitatea ca reţeaua ta să fie pusă în cap cu tot cu servere, mai există şi “opţiunea” ca sistemele tale să fie folosite pe post de agenţi intermediari.

Atacul DNS DoS

Acest tip de atac exploatează diferenţele de mărime între DNS querry(interogarea name server-ului) şi DNS response (răspunsul name server-ului). Atacatorul foloseşte serverele de DNS ca şi amplificatoare pentru a mări traficul de DNS. Cum funcţionează chestia asta? Persoana rea işi alege victima şi trimite în numele ei (IP spoofing) DNS querries către diferite servere de DNS. Servere de DNS răspund cu pachete mult mai mari decât cele din querries către ţintă, până când bandwidth-ul acesteia pur şi simplu devine 0. Rezulta un prea frumos atac DoS, incapacitatea targetului de a mai funcţiona la parametri normali.

Atacul SYN şi LAND

Atacurile de tip SYN (synchronization request) exploatează handshake-ul three-way al protocolului de transport TCP, procesul prin care se stabilişte o sesiune de comunicare între două computere. Deoarece TCP-ul este un protocol de transport connection-oriented, o sesiune sau un link de comunicare one-to-one, trebuie stabilite între cele două sisteme, înainte ca ele să poată comunica între ele. Ce este fapt acest handshake şi ce presupune el? Să zicem că un computer iniţiază comunicarea cu un server. Handshake-ul dintre cele două conţine următorii paşi:

1. Clientul trimite un segment SYN.
2. Serverul trimite înapoi un mesaj ACK şi un SYN, prin încare spune clientului că a primit SYN-ul lui, deasemena trimiţînd şi el la rândul lui SYN-ul propriu.
3. Clientul trimite şi el un ACK prin care îl anunţă pe server că a primit SYN-ul lui. După ce maşinile au înţeles request-urile reciproce SYN, handshake-ul este complet şi un link one-to-one între cele două este stabilit.

Ok. Acum că am explicat cât de cât ce înseamnă three-way handshake, să vorbim despre atacul ce exploatează acest proces. Să zicem că un atacator trimite un SYN înspre un server cu un IP sursă spoofed. Normal că server-ul va trimite înspre client un ACK/SYN. Dar cum IP-ul sursă nu este bun, serverul aşteaptă mult şi bine după ACK-ul clientului. El nu va veni. Serverul va pune atunci ACK/SYN-ul trimis către client într-un queue. Şi uite unde era problema. Acest queue poate stoca un număr limitat de mesaje. Când este full, toate SYN request-urile care vor urma vor fi ignorate. Voila! Atac reuşit! Serverul va ignora orice request venit din partea clienţilor legitimi.

Atacul LAND derivă din cel descris mai sus, cu un mic amendament. În acest caz, atacatorul în loc să trimită SYN-uri cu adrese IP care nu există, trimite pachete SYN cu adresa IP a clientului-target care este victima în acest caz. Nice, nu?

Atacul Ping of Death

Mai este cunoscut şi sub numele de large packet ping. Se creează un pachet IP mai mare decât valoarea admisă de specificaţiile protocolului IP, adică 65 536 bytes. Sistemul ţintă “se crăşuie” sau îşi dă un reboot frumos.

Atacul Teardrop

Acest atac are aceleaşi rezultate ca şi cel de sus, dar metoda este alta. Programul teardrop crează fragmente IP care fac parte dintr-un pachet IP. Problema este că aceste fragmente au nişte offset fields (rolul lor este de a indica porţiunea în bytes a acestor fragmente). De exemplu, câmpurile offset din două fragmente normale sunt ceva de genul:

fragment1: offset 100 – 300
fragment2: offset 301 – 600

Şi pentru că tot ziceam de problemă…ea apare atunci când aceste offset-uri se suprapun. Exemplu:

fragment1: offset 100 – 300
fragment2: offset 200 – 400

Ce se întâmplă când computerul ţintă încearcă să reasambleze aceste fragmente în pachetul IP original? Crash, freeze sau reboot.

Hai că deja ne-am lungit cam mult. Vom continua în următorul material.

Vă salut!

La categoria viruşilor este inclus orice program care este instalat pe sistemul unui user fără ca acesta să îşi dea acordul sau să ştie, şi care în urma executării sale are acţiuni nefaste asupra sistemului informatic, unele dintre ele fiind dezastruoase, iar altele limitîndu-se doar la încetinirea calculatorului.

Viruşii se pot replica singuri, infectînd alte computere “scriindu-se singuri” pe un CD, USB stick etc. care este introdus în “victimă” sau replicîndu-se prin reţea. De obicei sunt distribuiţi ca şi attachment-uri la emailuri. Dar posibilităţile de răspândire sunt diversificate. Ei se activează ori imediat ori o dată cu pornirea unui anumit proces într-un sistem.

Viruşii pot avea ca rezultat o grămadă de chestii. De la popup-uri cu mesajul “Salut!” până la ştergerea întregului hard disk.

Trecem mai departe la viermi sau worms. Chestiile astea sunt nişte programe care pot trece de la un calculator la altul prin reţea. Câteodată o parte dintr-un worm rulează pe un sistem, iar cealaltă pe altul. Distincţia între viruşi şi worms a devenit cu timpul neclară. Iniţial termenul “worm” era folosit pentru a descrie o aplicaţie ce atacă o reţea, iar virusul o aplicaţie ce afectează doar un sistem. Principalul scop al unui worm este acela de a se replica. La începuturi, programele de tip worm erau folosite în scopuri pozitive. De exemplu, se uzitau în joburile de management al reţelei, dar abilitatea lor de a se multiplica foarte repede a fost exploatată de către hackeri care au creat ceea ce cunoaştem azi sub numele de worms.

Clasificarea tipurilor de atacuri

Când spunem tip de atac ne referim la modul în care un hacker reuşeşte să preia controlul asupra unui sistem şi ce poate el să facă după ce a reuşit penetrarea (nu vă gândiţi la prostii ). Cele mai des întâlnite tipuri de atacuri sunt următoarele:

- atacuri social engineering;
- atacuri DoS;
- scanări şi spoofing;
- source routing şi alte exploituri de protocoale;
- exploituri de software;
- troieni, viruşi şi worms.

Să începem să vorbim despre atacurile de tip social engineering.

Spre deosebire de celelalte tipuri de atacuri, acesta nu implică nicio manipulare tehnologică a hardware-ului unui sistem sau a vulnerabilităţilor software ale acestuia şi nu necesită skill-uri tehnice foarte dezvoltate. În schimb, social engineering aduce în prim plan omul şi greşelile lui. Atacatorul trebuie doar să posede “people skills”. Ei câştigă încrederea userilor (sau şi mai bine, a adminilor) şi obţin credenţialele cu ajutorul cărora se pot loga pe sisteme. În multe cazuri, această metodă este cea mai uşoară. Ok…acum că am aflat cam ce înseamnă social engineering, să aflăm şi cum putem să ne protejăm.

Măsurile de protecţie împotriva acestui tip de atac sunt cel puţin “challenging”. În primul rând deschizi ochii foarte bine atunci când faci angajări. Apoi îţi “educi” personalul IT. În ce sens? Niciodată să nu divulge parole, username-uri sau informaţii legate de sistemele administrate sau reţea. Şi bineînţeles să le explici fenomenul de social engineering. Avînd în vedere faptul că acest tip de atac are la bază încrederea prea mare în persoanele nepotrivite, naivitatea, frica sau alte “sentimente” de genul, principala metodă de apărare este educarea personalului şi nu implementarea de soluţii tehnice.

Atacuri Denial-of-Service (DoS)

Anul 2000, luna februarie. O serie de atacuri DoS au pus la pământ web site-uri ca yahoo.com sau buy.com. Vă daţi seama de forţa acestor atacuri, dacă au putut să doboare astfel de “mamuţi”? Atacurile DoS sunt printre cele mai “populare” printre hackeri atunci când este vizată întreruperea serviciilor unei reţele sau ale unui server.

Scopul unui atac DoS este de a genera o cantitate foarte mare de trafic care pune în cap servere, routere sau alte device-uri, astfel ele nemaifiind capabile să funcţioneze normal.

Va urma…

După 18 luni de la atacul de tip denial-of-service, Ministerul Apărării estonian a postat un raport detaliat vis a vis de aceste atacuri. La vremea respectivă aceste atacuri DoS au dat de pământ cu ISP-urile făcînd un mare deranj pentru mai multe zile.