คุณลักษณะเฉพาะของการโจมตีเครือข่าย การวิเคราะห์เป้าหมายที่มีอยู่ของการโจมตีเครือข่ายและวิธีการโจมตีบนบริการเว็บ dudnikov e.a การโจมตีเครือข่ายหลักในสารสนเทศ

การโจมตีมีสี่ประเภทหลัก:

การโจมตีการเข้าถึง

การปรับเปลี่ยนการโจมตี

ปฏิเสธการโจมตีบริการ

ปฏิเสธการโจมตี

เรามาดูรายละเอียดแต่ละประเภทกันดีกว่า มีหลายวิธีในการโจมตี: ใช้เครื่องมือที่ออกแบบมาเป็นพิเศษ, วิธีการวิศวกรรมสังคม, ผ่านช่องโหว่ในระบบคอมพิวเตอร์ วิศวกรรมสังคมไม่ใช้วิธีการทางเทคนิคเพื่อเข้าถึงระบบโดยไม่ได้รับอนุญาต ผู้โจมตีได้รับข้อมูลผ่านทางโทรศัพท์ธรรมดาหรือแทรกซึมเข้าไปในองค์กรภายใต้หน้ากากของพนักงาน การโจมตีประเภทนี้มีการทำลายล้างมากที่สุด

การโจมตีที่มุ่งดักจับข้อมูลที่จัดเก็บไว้ในรูปแบบอิเล็กทรอนิกส์มีลักษณะที่น่าสนใจประการหนึ่ง คือ ข้อมูลไม่ได้ถูกขโมย แต่จะถูกคัดลอก มันยังคงอยู่กับเจ้าของเดิม แต่ผู้โจมตีก็ได้รับมันเช่นกัน ดังนั้นเจ้าของข้อมูลจึงต้องสูญเสียและเป็นการยากที่จะตรวจจับช่วงเวลาที่สิ่งนี้เกิดขึ้น

การโจมตีการเข้าถึง

การโจมตีการเข้าถึงเป็นความพยายามของผู้โจมตีเพื่อให้ได้ข้อมูลที่ไม่ได้รับอนุญาตให้ดู การดำเนินการโจมตีดังกล่าวเกิดขึ้นได้ทุกที่ที่มีข้อมูลและวิธีการส่ง การโจมตีการเข้าถึงมีเป้าหมายเพื่อละเมิดความลับของข้อมูล การโจมตีการเข้าถึงมีประเภทต่อไปนี้:

· แอบดู;

แอบฟัง

การสกัดกั้น

แอบดู(snooping) คือการดูไฟล์หรือเอกสารเพื่อค้นหาข้อมูลที่ผู้โจมตีสนใจ หากเอกสารถูกจัดเก็บเป็นแบบพิมพ์ ผู้โจมตีจะเปิดลิ้นชักโต๊ะและค้นหาเอกสารเหล่านั้น หากข้อมูลอยู่ในระบบคอมพิวเตอร์ เขาก็จะค้นหาทีละไฟล์จนกว่าจะพบข้อมูลที่ต้องการ

ดักฟัง(ดักฟัง) คือการดักฟังการสนทนาโดยไม่ได้รับอนุญาตซึ่งผู้โจมตีไม่ใช่ผู้เข้าร่วม ในการรับการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ในกรณีนี้ ผู้โจมตีต้องอยู่ใกล้ข้อมูลนั้น บ่อยครั้งที่เขาใช้อุปกรณ์อิเล็กทรอนิกส์ การเปิดตัวเครือข่ายไร้สายได้เพิ่มโอกาสในการดักฟังที่ประสบความสำเร็จ ตอนนี้ผู้โจมตีไม่จำเป็นต้องอยู่ในระบบหรือเชื่อมต่ออุปกรณ์ที่รับฟังเข้ากับเครือข่าย

ต่างจากการดักฟัง การสกัดกั้น(การสกัดกั้น) เป็นการโจมตีที่ใช้งานอยู่ ผู้โจมตีดักจับข้อมูลในกระบวนการส่งข้อมูลไปยังปลายทาง หลังจากวิเคราะห์ข้อมูลแล้ว เขาตัดสินใจอนุญาตหรือห้ามการส่งต่อข้อมูลต่อไป

การโจมตีการเข้าถึงมีหลายรูปแบบขึ้นอยู่กับวิธีการจัดเก็บข้อมูล: ในรูปแบบของเอกสารกระดาษหรือทางอิเล็กทรอนิกส์บนคอมพิวเตอร์ หากข้อมูลที่ผู้โจมตีต้องการถูกเก็บไว้ในรูปแบบของเอกสารกระดาษ เขาจะต้องเข้าถึงเอกสารเหล่านี้ อาจพบได้ในที่ต่างๆ ต่อไปนี้: ในตู้เก็บเอกสาร ในลิ้นชักโต๊ะหรือบนโต๊ะทำงาน ในแฟกซ์หรือเครื่องพิมพ์ในถังขยะ ในเอกสารเก็บถาวร ดังนั้นผู้โจมตีจำเป็นต้องเจาะสถานที่เหล่านี้ทั้งหมด

ดังนั้น การเข้าถึงทางกายภาพจึงเป็นกุญแจสำคัญในการได้รับข้อมูล ควรสังเกตว่าการป้องกันสถานที่ที่เชื่อถือได้จะปกป้องข้อมูลจากบุคคลที่ไม่ได้รับอนุญาตเท่านั้น แต่ไม่ใช่จากพนักงานขององค์กรหรือผู้ใช้ภายใน

ข้อมูลจะถูกจัดเก็บทางอิเล็กทรอนิกส์: ที่เวิร์กสเตชัน บนเซิร์ฟเวอร์ ในคอมพิวเตอร์พกพา บนฟล็อปปี้ดิสก์ บนซีดี บนเทปแม่เหล็กสำรอง

ผู้โจมตีสามารถขโมยสื่อจัดเก็บข้อมูล (ฟล็อปปี้ดิสก์ ซีดี เทปสำรองข้อมูล หรือคอมพิวเตอร์แล็ปท็อป) บางครั้งก็ง่ายกว่าการเข้าถึงไฟล์ที่จัดเก็บไว้ในคอมพิวเตอร์เสียอีก

หากผู้โจมตีมีสิทธิ์เข้าถึงระบบอย่างถูกกฎหมาย เขาจะวิเคราะห์ไฟล์โดยเพียงแค่เปิดทีละไฟล์ ด้วยระดับการควบคุมสิทธิ์ที่เหมาะสม การเข้าถึงสำหรับผู้ใช้ที่ผิดกฎหมายจะถูกปฏิเสธ และความพยายามในการเข้าถึงจะถูกบันทึก

สิทธิ์ที่กำหนดค่าอย่างเหมาะสมจะป้องกันการรั่วไหลของข้อมูลโดยไม่ตั้งใจ อย่างไรก็ตาม ผู้โจมตีที่ร้ายแรงจะพยายามหลีกเลี่ยงระบบควบคุมและเข้าถึงข้อมูลที่จำเป็น มีช่องโหว่จำนวนมากที่จะช่วยเขาในเรื่องนี้

เมื่อส่งข้อมูลผ่านเครือข่าย คุณสามารถเข้าถึงได้โดยการฟังการส่งสัญญาณ ผู้โจมตีทำสิ่งนี้โดยการติดตั้งตัวตรวจจับแพ็คเก็ตเครือข่าย (sniffer) บนระบบคอมพิวเตอร์ โดยปกติจะเป็นคอมพิวเตอร์ที่กำหนดค่าให้จับทราฟฟิกเครือข่ายทั้งหมด (ไม่ใช่เฉพาะทราฟฟิกที่ส่งตรงไปยังคอมพิวเตอร์เครื่องนี้) ในการทำเช่นนี้ ผู้โจมตีจะต้องยกระดับสิทธิ์ของตนในระบบหรือเชื่อมต่อกับเครือข่าย ตัววิเคราะห์ได้รับการกำหนดค่าให้ดักจับข้อมูลใดๆ ที่ส่งผ่านเครือข่าย โดยเฉพาะ ID ผู้ใช้และรหัสผ่าน

การดักฟังยังดำเนินการในเครือข่ายคอมพิวเตอร์ทั่วโลก เช่น สายเช่าและการเชื่อมต่อโทรศัพท์ อย่างไรก็ตาม การสกัดกั้นประเภทนี้ต้องใช้อุปกรณ์ที่เหมาะสมและความรู้พิเศษ

การสกัดกั้นทำได้แม้ในระบบสื่อสารใยแก้วนำแสงโดยใช้อุปกรณ์พิเศษ ซึ่งมักจะดำเนินการโดยผู้โจมตีที่มีทักษะ

การเข้าถึงข้อมูลโดยใช้การสกัดกั้นเป็นหนึ่งในงานที่ยากที่สุดสำหรับผู้โจมตี เพื่อให้ประสบความสำเร็จ เขาต้องวางระบบของเขาไว้ในสายส่งระหว่างผู้ส่งและผู้รับข้อมูล บนอินเทอร์เน็ต ทำได้โดยการเปลี่ยนชื่อ ซึ่งแปลชื่อคอมพิวเตอร์เป็นที่อยู่ไม่ถูกต้อง ทราฟฟิกถูกเปลี่ยนเส้นทางไปยังระบบของผู้โจมตีแทนที่จะเป็นปลายทางจริง ด้วยการกำหนดค่าที่เหมาะสมของระบบดังกล่าว ผู้ส่งจะไม่มีทางรู้ว่าข้อมูลของเขายังไม่ถึงผู้รับ

การสกัดกั้นสามารถทำได้ในระหว่างเซสชันการสื่อสารจริง การโจมตีประเภทนี้เหมาะที่สุดสำหรับการดักจับทราฟฟิกแบบโต้ตอบ ในกรณีนี้ ผู้โจมตีต้องอยู่ในส่วนเครือข่ายเดียวกันกับไคลเอ็นต์และเซิร์ฟเวอร์ ผู้โจมตีจะรอให้ผู้ใช้ที่ถูกต้องตามกฎหมายเปิดเซสชันบนเซิร์ฟเวอร์ จากนั้นใช้ซอฟต์แวร์พิเศษ เข้าใช้เซสชันที่อยู่ในกระบวนการแล้ว

การปรับเปลี่ยนการโจมตี

การปรับเปลี่ยนการโจมตีเป็นความพยายามโดยไม่ได้รับอนุญาตในการเปลี่ยนแปลงข้อมูล การโจมตีดังกล่าวเกิดขึ้นได้ทุกที่ที่มีข้อมูลอยู่หรือถูกส่งไป มีวัตถุประสงค์เพื่อละเมิดความสมบูรณ์ของข้อมูล

การโจมตีดัดแปลงประเภทหนึ่งคือ เปลี่ยนข้อมูลที่มีอยู่ เช่น การเปลี่ยนแปลงเงินเดือนของพนักงาน การโจมตีเพื่อทดแทนมุ่งเป้าไปที่ข้อมูลที่เป็นความลับและข้อมูลสาธารณะที่เปิดเผย

การโจมตีอีกประเภทหนึ่งคือ ส่วนที่เพิ่มเข้าไปข้อมูลใหม่ เช่น ข้อมูลเกี่ยวกับประวัติของช่วงเวลาที่ผ่านมา ในกรณีนี้ ผู้โจมตีดำเนินการในระบบธนาคาร ซึ่งเป็นผลมาจากการที่เงินจากบัญชีของลูกค้าถูกโอนไปยังบัญชีของเขาเอง

จู่โจม การกำจัดหมายถึง การย้ายข้อมูลที่มีอยู่ เช่น การลบธุรกรรมออกจากงบดุลของธนาคาร ปล่อยให้เงินที่ถอนออกจากบัญชียังคงอยู่

เช่นเดียวกับการโจมตีการเข้าถึง การโจมตีเพื่อแก้ไขจะทำกับข้อมูลที่จัดเก็บไว้ในเอกสารกระดาษหรือทางอิเล็กทรอนิกส์ในคอมพิวเตอร์

เอกสารยากที่จะเปลี่ยนแปลงเพื่อไม่ให้ใครสังเกตเห็น: หากมีลายเซ็น (เช่นในสัญญา) คุณต้องดูแลเรื่องการปลอมแปลงเอกสารที่ยึดจะต้องประกอบใหม่อย่างระมัดระวัง หากมีสำเนาของเอกสารจะต้องทำใหม่เช่นเดียวกับต้นฉบับ และเนื่องจากแทบจะเป็นไปไม่ได้เลยที่จะค้นหาสำเนาทั้งหมด จึงเป็นเรื่องง่ายมากที่จะสังเกตเห็นของปลอม

การเพิ่มหรือลบรายการออกจากบันทึกกิจกรรมทำได้ยากมาก ประการแรก ข้อมูลในนั้นจัดเรียงตามลำดับเวลา ดังนั้นการเปลี่ยนแปลงใด ๆ จะสังเกตเห็นได้ทันที วิธีที่ดีที่สุดคือการลบเอกสารออกและแทนที่ด้วยเอกสารใหม่ การโจมตีประเภทนี้ต้องการการเข้าถึงข้อมูลทางกายภาพ

การแก้ไขข้อมูลที่จัดเก็บทางอิเล็กทรอนิกส์ทำได้ง่ายกว่ามาก เนื่องจากผู้โจมตีสามารถเข้าถึงระบบได้ การดำเนินการดังกล่าวจะทิ้งหลักฐานขั้นต่ำไว้เบื้องหลัง ในกรณีที่ไม่มีสิทธิ์เข้าถึงไฟล์ ผู้โจมตีจะต้องรักษาความปลอดภัยการเข้าสู่ระบบหรือเปลี่ยนการตั้งค่าการควบคุมการเข้าถึงไฟล์ก่อน

การแก้ไขไฟล์ฐานข้อมูลหรือรายการธุรกรรมต้องทำอย่างระมัดระวัง ธุรกรรมจะถูกกำหนดหมายเลขตามลำดับ และจะสังเกตเห็นการลบหรือการเพิ่มหมายเลขธุรกรรมที่ไม่ถูกต้อง ในกรณีเหล่านี้ คุณต้องทำงานหนักทั้งระบบเพื่อป้องกันการตรวจจับ

บทนำ ระดับและอัตราการพัฒนาเครื่องมือรักษาความปลอดภัยข้อมูลที่ทันสมัยล้าหลังกว่าระดับและอัตราการพัฒนาเทคโนโลยีสารสนเทศอย่างมาก ด้วยความนิยมที่เพิ่มขึ้นของทรัพยากรอินเทอร์เน็ต ปัญหามากมายเกิดขึ้นเกี่ยวกับการใช้งานและผลที่ตามมา: 1. เนื่องจากอินเทอร์เน็ตเป็นระบบเครือข่ายคอมพิวเตอร์ที่เชื่อมต่อถึงกัน จึงกลายเป็นแหล่งแนะนำและแจกจ่ายรหัสที่เป็นอันตราย (ซอฟต์แวร์ที่เป็นอันตราย) ไปยัง ทำลาย บล็อก แก้ไข หรือคัดลอกข้อมูล ทำให้คอมพิวเตอร์เสียหาย 2. อินเทอร์เน็ตเป็นหนึ่งในช่องทางหลักของการรั่วไหลของข้อมูลส่วนบุคคลและข้อมูลลับ ตัวอย่างนี้คือการใช้ไคลเอนต์อีเมลและกล่องจดหมายฟรี การควบคุมทรัพยากรนี้ลดลงเหลือน้อยที่สุด ซึ่งรวมถึงการเจาะจากภายนอกโปรแกรมที่เป็นอันตรายต่างๆ และความสามารถในการส่งข้อมูลที่เป็นความลับและข้อมูลส่วนบุคคล (คนใน) ภายนอกองค์กร 3. ในระบบหรือแอปพลิเคชันใด ๆ มีข้อบกพร่อง (ช่องโหว่) ซึ่งคุณสามารถละเมิดความสมบูรณ์และประสิทธิภาพได้ ช่องโหว่อาจเกิดจากจุดบกพร่องในซอฟต์แวร์แอปพลิเคชัน ข้อบกพร่องในการออกแบบระบบ รหัสผ่านเข้าสู่ระบบที่ไม่รัดกุม ข้อผิดพลาดในการเขียนโปรแกรม ไวรัสและมัลแวร์อื่นๆ การเขียนสคริปต์ข้ามไซต์ และการแทรก SQL 4. การใช้ทรัพยากรอินเทอร์เน็ตในปัจจุบันไม่สามารถจินตนาการได้หากปราศจากการใช้บริการเว็บ แอปพลิเคชันที่สามารถค้นพบ เปิดใช้ และเผยแพร่ผ่านทางอินเทอร์เน็ต พวกมันเสี่ยงต่อการถูกโจมตีเท่าๆ กัน แต่ใช้หลักการโจมตีต่างกัน การโจมตีบริการเว็บอาจนำไปสู่การรั่วไหลของข้อมูลและการดำเนินการคำสั่งจากระยะไกล ฯลฯ 1.1 เป้าหมายของการโจมตีเครือข่าย อ้างอิงจาก The Web Application Security Consortium 2013 เปอร์เซ็นต์ของการโจมตีเว็บแอปพลิเคชันคือ: 1.1. วัตถุประสงค์ของการโจมตีเครือข่าย รูปที่ 1.1 แสดงให้เห็นว่าวัตถุประสงค์หลักของการโจมตีเครือข่าย เช่น การทำลายข้อมูล การติดตั้งซอฟต์แวร์ที่เป็นอันตราย การโจรกรรมข้อมูลและข้อมูลที่ผิด เกี่ยวข้องกับการเปิดเผย การแก้ไขข้อมูล เพื่อให้ได้รับการเข้าถึงโดยไม่ได้รับอนุญาต เพื่อสิทธิของเจ้าของที่มีสิทธิเข้าถึงการใช้ทรัพยากรคอมพิวเตอร์ นอกจากนี้ยังควรสังเกตเป้าหมายเช่นการบังคับไม่ให้ใช้งานเครือข่าย จุดประสงค์ของการปฏิเสธบริการแบบกระจาย และแม้แต่เป้าหมายที่ไม่ชัดเจน เช่น สแปมลิงก์ จุดประสงค์ของการเพิ่มดัชนีการอ้างอิงของไซต์ เมื่อสรุปข้อมูลของเป้าหมายการโจมตีเครือข่ายแล้ว เราได้ไดอะแกรมต่อไปนี้: รูปที่ 1.2 สรุปเป้าหมายการโจมตีเครือข่าย จากรูปที่ 1.2 จะเห็นได้ว่า 21% ของการโจมตีเกี่ยวข้องกับการโจมตีที่มุ่งเป้าไปที่การบังคับไม่ให้ใช้งานเครือข่าย อีก 13.5% เป็นการโจมตีใหม่ที่ยังไม่รู้ และการโจมตีเล็กน้อยอื่นๆ เช่น ฟิชชิ่ง การฉ้อโกง ฯลฯ ง. 61% ของเป้าหมายของการโจมตีเครือข่ายมุ่งเป้าไปที่ระบบไฟล์ OS ดังนั้น สิ่งที่เกี่ยวข้องมากที่สุดในปัจจุบันคือการป้องกันทรัพยากรไฟล์ระบบปฏิบัติการจากการโจมตีเครือข่าย 1.2 วิธีการโจมตีบนเว็บเซอร์วิส เว็บแอปพลิเคชันเป็นเป้าหมายการโจมตีที่พบบ่อยที่สุด ถูกใช้ในหลายองค์กรในฐานะทรัพยากรที่สำคัญที่สุดซึ่งต้องรองรับธุรกรรมมูลค่าหลายล้านดอลลาร์อย่างต่อเนื่อง นอกจากนี้ การโจมตีเว็บแอปพลิเคชันยังนำไปสู่การติดไวรัสของไคลเอ็นต์ที่เชื่อมต่อโดยตรงกับเซิร์ฟเวอร์ . รูปที่ 1.3 แสดงวิธีหลักในการบุกรุกบริการเว็บ รูปที่ 1.3 วิธีการบุกรุกบริการเว็บ สิ่งสำคัญคือต้องทราบว่า 11% ของการโจมตีที่ประสบความสำเร็จทั้งหมดเป็นวิธีที่ไม่รู้จักมาก่อน นี่เป็นเพราะทั้งการติดตามการโจมตีที่ไม่มีประสิทธิภาพและความเต็มใจของเหยื่อที่จะเปิดเผยข้อมูลเกี่ยวกับการโจมตีที่ประสบความสำเร็จ นอกจากนี้ ควรสังเกตว่าการโจมตีเครือข่ายส่วนใหญ่บนเว็บเซิร์ฟเวอร์เกี่ยวข้องกับการกำหนดค่าเว็บเซิร์ฟเวอร์ที่ไม่ถูกต้อง การโจมตีเหล่านี้มีดังต่อไปนี้: การโจมตีด้วยการรับรองความถูกต้องไม่เพียงพอ - ช่องโหว่นี้เกิดขึ้นเมื่อเว็บเซิร์ฟเวอร์อนุญาตให้ผู้โจมตีเข้าถึงข้อมูลที่ละเอียดอ่อนหรือฟังก์ชันเซิร์ฟเวอร์โดยไม่มีการรับรองความถูกต้องที่เหมาะสม ข. การโจมตีไคลเอนต์เว็บเซิร์ฟเวอร์ที่คำนึงถึงความสัมพันธ์ที่ไว้วางใจระหว่างผู้ใช้และเซิร์ฟเวอร์: ผู้ใช้คาดหวังว่าไซต์จะจัดหาเนื้อหาที่ถูกต้องตามกฎหมายให้กับเขา และไม่คาดว่าจะถูกโจมตีจากไซต์: 1) การปลอมแปลงเนื้อหา ซึ่งผู้โจมตีทำ ผู้ใช้เชื่อว่าเพจที่ได้รับสร้างขึ้นโดยเว็บเซิร์ฟเวอร์และไม่ได้ส่งมาจากแหล่งภายนอก 2) cross-site scripting (XSS) - ช่องโหว่ที่ทำให้ผู้โจมตีสามารถส่งรหัสปฏิบัติการไปยังเซิร์ฟเวอร์ซึ่งจะถูกเปลี่ยนเส้นทางไปยังเบราว์เซอร์ของผู้ใช้ ลักษณะเฉพาะของการโจมตีดังกล่าวคือรหัสที่เป็นอันตรายสามารถใช้การอนุญาตของผู้ใช้ในเว็บได้ ระบบเพื่อรับการเข้าถึงหรือรับข้อมูลการอนุญาตผู้ใช้ โค้ดที่เป็นอันตรายสามารถแทรกลงในเพจได้ไม่ว่าจะผ่านช่องโหว่ในเว็บเซิร์ฟเวอร์หรือผ่านช่องโหว่ในคอมพิวเตอร์ของผู้ใช้ คำนี้ย่อว่า "XSS" เพื่อหลีกเลี่ยงความสับสนกับสไตล์ชีตเรียงซ้อนที่ใช้ตัวย่อ "CSS" XSS อยู่ในอันดับที่สามในการจัดอันดับ OWASP 2013 ของความเสี่ยงหลักของเว็บแอปพลิเคชัน เป็นเวลานาน โปรแกรมเมอร์ไม่ได้ให้ความสนใจกับสิ่งเหล่านี้เนื่องจากพิจารณาว่าไม่เป็นอันตราย อย่างไรก็ตาม ความคิดเห็นนี้ผิดพลาด: อาจมีข้อมูลที่ละเอียดอ่อนมากบนหน้าหรือในคุกกี้ HTTP (เช่น ตัวระบุเซสชันของผู้ดูแลระบบหรือหมายเลขเอกสารการชำระเงิน) และในกรณีที่ไม่มีการป้องกัน CSRF ผู้โจมตีสามารถดำเนินการใดๆ ได้ มีให้สำหรับผู้ใช้ สามารถใช้สคริปต์ข้ามไซต์เพื่อดำเนินการโจมตี DoS; 3) Cross-Site Request Forgery (CSRF) - ช่องโหว่ที่คล้ายกับ XSS ซึ่งมุ่งเป้าไปที่ความจริงที่ว่าเบราว์เซอร์ของผู้ใช้ไม่ได้ตรวจสอบแหล่งที่มาของคำขอ CSRF เป็นรูปแบบหนึ่งของ Cross-Site Scripting (XSS) ความคล้ายคลึงกันเพียงอย่างเดียวระหว่าง CSRF และ XSS คือการใช้เว็บแอปพลิเคชันไคลเอ็นต์ (การโจมตีฝั่งไคลเอ็นต์ในคำศัพท์ WASC) เป็นเวกเตอร์การโจมตี ช่องโหว่เช่น CSRF สามารถถูกโจมตีร่วมกับ XSS หรือ "ตัวเปลี่ยนเส้นทาง" แต่เป็นช่องโหว่ที่แยกจากกัน ช่องโหว่ CSRF นั้นพบได้ไม่บ่อยนักและยากที่จะใช้ประโยชน์ ข้อมูลที่ได้รับจาก Positive Technologies ในระหว่างการทดสอบการเจาะระบบและการประเมินความปลอดภัยของเว็บแอปพลิเคชันแสดงให้เห็นว่าเว็บแอปพลิเคชันส่วนใหญ่ได้รับผลกระทบจากช่องโหว่นี้ ซึ่งแตกต่างจากช่องโหว่อื่นๆ CSRF ไม่ได้เกิดขึ้นเนื่องจากข้อผิดพลาดในการเขียนโปรแกรม แต่เป็นลักษณะการทำงานปกติของเว็บเซิร์ฟเวอร์และเบราว์เซอร์ เหล่านั้น. ไซต์ส่วนใหญ่ที่ใช้สถาปัตยกรรมมาตรฐานมีความเสี่ยงตามค่าเริ่มต้น วี. การโจมตีที่มุ่งรันโค้ดบนเว็บเซิร์ฟเวอร์ โดยเฉพาะอย่างยิ่ง การแนะนำคำสั่ง SQL (การฉีด SQL ภาษาอังกฤษ) - การโจมตีเหล่านี้มุ่งเป้าไปที่เว็บเซิร์ฟเวอร์ที่สร้างการสืบค้น SQL ไปยังเซิร์ฟเวอร์ DBMS ตามข้อมูลที่ป้อนโดยผู้ใช้ d. การโจมตีที่มุ่งใช้ประโยชน์จากฟังก์ชันของแอปพลิเคชันหรือตรรกะของการทำงานของแอปพลิเคชัน: 1) การปฏิเสธการให้บริการ (DoS) - การโจมตีประเภทนี้มุ่งเป้าไปที่การละเมิดความพร้อมใช้งานของเว็บเซิร์ฟเวอร์ การโจมตี DDoS ส่วนใหญ่ใช้ช่องโหว่ในหลัก โปรโตคอลอินเทอร์เน็ต (TCP / IP) คือวิธีที่ระบบจัดการกับคำขอ SYN มีสองประเภทหลักของการโจมตีที่ทำให้เกิดการปฏิเสธบริการ ผลจากการโจมตีประเภทแรก การทำงานของระบบหรือเครือข่ายทั้งหมดหยุดลง แฮ็กเกอร์ส่งข้อมูลหรือแพ็กเก็ตไปยังระบบที่ไม่คาดคิด และทำให้ระบบหยุดทำงานหรือรีบูต การโจมตี DDoS ประเภทที่สองส่งผลให้ระบบหรือเครือข่ายท้องถิ่นเต็มไปด้วยข้อมูลจำนวนมากที่ไม่สามารถประมวลผลได้ การโจมตี DDoS ประกอบด้วยการเข้าถึงไซต์อย่างต่อเนื่องจากคอมพิวเตอร์หลายเครื่องที่อยู่ในส่วนต่างๆ ของโลก ในกรณีส่วนใหญ่ คอมพิวเตอร์เหล่านี้จะติดไวรัสที่ควบคุมจากส่วนกลางโดยสแกมเมอร์และรวมกันเป็นบ็อตเน็ตเดียว คอมพิวเตอร์ที่เป็นส่วนหนึ่งของบ็อตเน็ตจะส่งสแปมออกมา จึงเข้าร่วมในการโจมตี DDoS 2) การต่อต้านการทำงานอัตโนมัติไม่เพียงพอ - ช่องโหว่เหล่านี้เกิดขึ้นหากเซิร์ฟเวอร์อนุญาตให้คุณดำเนินการโดยอัตโนมัติที่ต้องดำเนินการด้วยตนเอง เช่น การป้อนรหัสผ่านผู้ใช้ด้วยตนเองโดยห้ามการเลือกอัตโนมัติ (Eng. BruteForce) ดังนั้น การโจมตีเครือข่ายส่วนใหญ่บน เว็บเซิร์ฟเวอร์สามารถป้องกันได้โดยกำหนดการตั้งค่าให้เหมาะสม ดังนั้นเราจะพิจารณาภารกิจในการปกป้องเวิร์กสเตชันและเซิร์ฟเวอร์จากการโจมตีเครือข่ายที่เกี่ยวข้องมากที่สุด สรุป ทุกวันนี้ แรงผลักดันและเป้าหมายหลักของกิจกรรมมนุษย์ทุกสาขาคือข้อมูล และความปลอดภัยของข้อมูลที่เป็นความลับ ข้อมูลส่วนบุคคล ความปลอดภัยของเซิร์ฟเวอร์กำลังกลายเป็นพื้นฐานของการพัฒนาเศรษฐกิจ เทคโนโลยีเครือข่ายที่ซับซ้อนค่อนข้างเสี่ยงต่อการโจมตีแบบกำหนดเป้าหมาย จากการวิเคราะห์สถิติพบว่ามีวิธีการโจมตีหลายวิธีรวมถึงวิธีที่ไม่รู้จัก แต่จำนวนของเป้าหมายมี จำกัด ซึ่งทำให้ไม่จำเป็นต้องจัดการกับการโจมตีเอง แต่มีวัตถุประสงค์และผลที่ตามมา 61% ของเป้าหมายของการโจมตีเครือข่ายมุ่งเป้าไปที่ระบบไฟล์ OS ดังนั้นสิ่งที่เกี่ยวข้องมากที่สุดในปัจจุบันคือการป้องกันการโจมตีเครือข่ายของทรัพยากรไฟล์

ในกรณีส่วนใหญ่ การปรากฏตัวของโค้ดที่เป็นอันตรายบางประเภทบนไซต์ไม่ได้เป็นผลมาจากพฤติกรรมที่เป็นอันตรายในส่วนของเจ้าของไซต์ แต่มักจะกลายเป็นเรื่องน่าประหลาดใจสำหรับเจ้าของไซต์ ซึ่งเป็นผลมาจากการแฮ็ก .

เราได้ทำงานกับสิ่งนี้มาหลายปี เราได้ตรวจสอบกรณีต่างๆ มากมาย และในช่วงไม่กี่ปีที่ผ่านมา ฉันได้เห็นกรณีการแฮ็กเว็บไซต์ต่างๆ ที่แตกต่างกันจำนวนมากพอสมควร ไซต์เหล่านี้มีทั้งไซต์ขนาดใหญ่มาก เช่น สื่อออนไลน์ที่มีชื่อเสียงที่สุด ธนาคาร ไซต์ของบริษัทขนาดใหญ่ และบางครั้งไซต์ขนาดเล็กมาก ไซต์นามบัตร ไซต์สถาบันการศึกษา ศาสนาบางแห่ง

วิธีปกป้องไซต์ของคุณ

พวกเขาทั้งหมดมีความเสี่ยงไม่มากก็น้อยต่อภัยคุกคามบางประเภท ความเสี่ยงที่เกี่ยวข้องกับความปลอดภัยของคอมพิวเตอร์ และจะมีการหารือเรื่องนี้ นอกจากนี้ เราจะพูดถึงวิธีลดความเสี่ยงเหล่านี้ เกี่ยวกับขั้นต่ำขั้นพื้นฐาน ภาพรวมทั่วไปของทุกสิ่งที่เกี่ยวข้องกับสิ่งนี้ เกี่ยวกับภัยคุกคามที่มีอยู่ สิ่งที่ผู้ดูแลเว็บของไซต์ใดไซต์หนึ่งต้องเผชิญในการทำงานของเขา

วันนี้เราจะพูดถึงตัวอย่างที่พบบ่อยที่สุด เมื่อเรามีผู้โจมตีภายนอกบางประเภทที่คุกคามไซต์ไม่ทางใดก็ทางหนึ่ง

เพื่อให้เข้าใจถึงสิ่งที่คาดหวัง ความเสียหายที่เป็นไปได้ การโจมตีที่เป็นไปได้ คุณต้องเข้าใจว่าผู้โจมตีรายนี้คือใคร

ผู้บุกรุกและประเภทของการโจมตีเหล่านี้แบ่งออกเป็นสองประเภทกว้างๆ สามารถแบ่งตามเกณฑ์ใดได้บ้าง

• เกี่ยวกับวิธีการโจมตีที่ใช้;
• โดยกลุ่มของไซต์ที่อยู่ภายใต้การโจมตีกลุ่มใดกลุ่มหนึ่ง
• ตามเทคนิคการลดความเสี่ยงที่เหมาะสมในแต่ละกลุ่มเหล่านี้

ตัวอย่างเช่น การโจมตีจำนวนมากเป็นแบบอัตโนมัติ เช่น การเข้าถึงโดยไม่ได้รับอนุญาต เป็นต้น การโจมตีจำนวนมากเป็นความพยายามที่จะเข้าถึงไซต์ทั้งหมดได้ตลอดเวลา การขู่กรรโชกจำนวนมากเกิดขึ้นที่นี่เช่นกัน แต่ก็มีการดำเนินการผ่านการเข้าถึงโดยไม่ได้รับอนุญาตเช่นกัน

บ่อยครั้งที่ระบบอัตโนมัติทั้งหมดทำงานได้ สคริปต์ทำงาน ซึ่งเพียงแค่มองหาส่วนประกอบซอฟต์แวร์เวอร์ชันต่างๆ ที่มีช่องโหว่ซึ่งเป็นที่สนใจ ตัวอย่างเช่น ระบบจัดการเนื้อหาเวอร์ชันที่มีช่องโหว่ หรือในทางกลับกัน หรือมองหาปัญหาทั่วไปบางประการเกี่ยวกับการกำหนดค่าสภาพแวดล้อมเซิร์ฟเวอร์ ตัวอย่างเช่น คุณมีเซิร์ฟเวอร์ HTTP บางประเภทยื่นออกมา และการแจงนับรหัสผ่านเริ่มต้นขึ้น

เนื่องจากทุกอย่างเป็นแบบอัตโนมัติ การใช้ประโยชน์จากการเข้าถึงที่ได้รับจึงเป็นแบบอัตโนมัติด้วย และหากคุณมีฐานข้อมูลพร้อมรายละเอียดการชำระเงินบนเว็บไซต์ ในกรณีที่มีการโจมตีอัตโนมัติ ถือว่าคุณโชคดีเพราะสคริปต์จะไม่ถูกแยกวิเคราะห์ พวกเขาส่วนใหญ่ค่อนข้างโง่

มันจะไม่ทราบว่าข้อมูลสำคัญใดที่คุณมีอยู่บนเว็บไซต์ของคุณ มันจะใช้รูปแบบง่ายๆ ในรูปแบบของการส่งสแปม จัดระเบียบการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย การขู่กรรโชกเล็กน้อย การแพร่เชื้อให้กับผู้เยี่ยมชมไซต์ของคุณ

ในกรณีของการโจมตีแบบกำหนดเป้าหมาย ทุกอย่างค่อนข้างน่าเศร้าสำหรับเจ้าของไซต์ บ่อยครั้งที่พวกเขาถูกโจมตีครั้งใหญ่ คน ๆ หนึ่งมาพร้อมกับประสบการณ์ที่ยอดเยี่ยมและเครื่องมือที่ได้รับการพัฒนามาอย่างดี และเริ่มมองหาปัญหาที่เป็นลักษณะเฉพาะ ด้วยความน่าจะเป็นที่สูงมากตามที่แสดงให้เห็นในทางปฏิบัติ

และยิ่งไปกว่านั้น การแสวงหาประโยชน์จากผู้ร้ายโดยเฉพาะอย่างยิ่งเริ่มต้นขึ้น ซึ่งประการแรก การตรวจจับทำได้ยากกว่าในกรณีของการโจมตีจำนวนมาก และประการที่สอง เป็นการยากกว่ามากในการลดความเสียหายที่อาจเกิดขึ้นล่วงหน้า ดังนั้นในฐานะผู้โจมตีที่เข้าสู่ระบบด้วยมือของเขาเขาจึงเข้าใจบริบทเป็นอย่างดีและมักจะรู้ในตอนแรกว่าทำไมเขาถึงไป

ใช้อะไรปลอดภัยกว่ากัน? ตัวอย่างเช่น ระบบจัดการเนื้อหาที่เป็นที่นิยมในสต็อกหรือบางอย่างที่เขียนขึ้นเอง เพื่อลดความเสี่ยงของการโจมตีจำนวนมากควรใช้สิ่งที่ไม่ได้มาตรฐาน

เนื่องจากทั้งหมดนี้เป็นไปโดยอัตโนมัติ โซลูชันมาตรฐานบางอย่างจึงได้รับการมองหาและใช้ระบบจัดการเนื้อหาที่เขียนขึ้นเองบางประเภท ซึ่งในทางปฏิบัติแล้ว แคปต์ชาที่เขียนขึ้นเอง - โซลูชันใดๆ ที่เขียนขึ้นเองจากการโจมตีจำนวนมากเมื่อสคริปต์ มาที่ไซต์ของคุณซึ่งกำลังมองหาสิ่งที่คุ้นเคย แต่ไม่สามารถใช้งานได้

ในกรณีของการโจมตีแบบกำหนดเป้าหมาย ทุกอย่างค่อนข้างตรงกันข้าม นั่นคือ โอกาสที่ข้อผิดพลาดร้ายแรงทั่วไปจะเกิดขึ้นในโซลูชันที่เขียนขึ้นเองบางประเภท ซึ่งต่อมากลายเป็นช่องโหว่ ถูกโจมตีเพื่อเข้าถึง ซึ่งสูงกว่าถ้าคุณใช้โซลูชันซอฟต์แวร์ยอดนิยมบางรายการที่ตลอดประวัติศาสตร์อันยาวนาน การพัฒนาของพวกเขารวบรวม "คราด" จำนวนมากในส่วนนี้ ดังนั้น เมื่อมีการเผยแพร่ช่องโหว่ในช่องโหว่ ช่องโหว่เหล่านี้จึงมักซับซ้อนหรือเกิดขึ้นที่จุดเชื่อมต่อของระบบต่างๆ

การโจมตีประกอบด้วยขั้นตอนต่อไปนี้:

โดยเฉพาะอย่างยิ่งสำหรับงานมวลชน มีการใช้สตริงพิเศษบางอย่าง เช่น Power Add Buy, phpBB เวอร์ชัน 1.6.1 ชุดของไซต์จะถูกค้นหาโดยอัตโนมัติโดยใช้เทคโนโลยีเฉพาะ - หนึ่งในเวกเตอร์ ไซต์ทั้งหมดเหล่านี้ตั้งอยู่, มีการเปิดตัวสคริปต์, สคริปต์ไป, มองหาช่องโหว่, ผู้ดูแลระบบที่แตกต่างกัน พาเนลในพาธมาตรฐาน เครื่องมือมาตรฐานบางอย่าง เช่น php my admin ซึ่งอยู่ในพาธมาตรฐานด้วย

และด้วยเหตุนี้ หากมีช่องโหว่ พวกเขาจะถูกโจมตีโดยอัตโนมัติหากมีผู้ดูแลระบบ พาเนลที่คุณสามารถป้อนรหัสผ่านและในขณะเดียวกันก็ไม่มีการป้องกันการแจงนับ การแจงนับกรณีง่าย ๆ จะเริ่มขึ้น ซึ่งจากการปฏิบัติแสดงให้เห็นว่ามีประสิทธิภาพมากเช่นกัน

หลังจากได้รับการเข้าถึงแล้ว คอมโพเนนต์ที่เรียกว่า web-shell จะถูกเท - นี่คือเครื่องมือ เช่น ชิ้นส่วนของเว็บแอปพลิเคชัน สคริปต์ที่เปิดโอกาสมากมาย ทิ้งแบ็คดอร์ถาวรไว้บนเซิร์ฟเวอร์ของคุณเพื่อดำเนินการต่อไป

หลังจากนั้น เมื่อผู้โจมตีมีเส้นทางที่มั่นคงไปยังเซิร์ฟเวอร์ของคุณโดยผ่านทุกวิถีทางของการติดไวรัสอัตโนมัติ ผู้โจมตีจะพยายามตั้งหลักในระบบ และยกตัวอย่างเช่น กระจาย Web Shell สำรองทุกประเภทไปรอบๆ หาประโยชน์ เช่น ช่องโหว่ ในระบบปฏิบัติการ ยกระดับสิทธิ์ ตัวอย่างเช่น การรูท ซึ่งมักจะเป็นแบบอัตโนมัติด้วย และหลังจากนั้นการแสวงประโยชน์จะรุนแรงยิ่งขึ้น จากนั้นการบีบเงินก็เริ่มขึ้นเนื่องจากไซต์ถูกแฮ็ก ในปัจจุบัน เป็นเรื่องยากที่จะพบกรณีที่มีบางคนหรือบางสิ่งแฮ็กเข้าไปในไซต์โดยมีอย่างอื่นที่ไม่ใช่เงินเป็นแรงจูงใจไม่ทางใดก็ทางหนึ่ง

นี่คือลักษณะของเว็บเชลล์นี้จากมุมมองของผู้โจมตี:

นี่คือระบบที่ช่วยให้คุณทำงานผ่านอินเทอร์เฟซโดยอัตโนมัติ อยากรู้อยากเห็นว่ามีบรรทัดด้านบน - ข้อมูลโดยละเอียดเกี่ยวกับเคอร์เนลของระบบปฏิบัติการ เพียงเพื่อทำให้การดำเนินการยกระดับสิทธิ์เป็นไปโดยอัตโนมัติ

เมื่อพบช่องโหว่ในเคอร์เนลของระบบปฏิบัติการ ช่องโหว่จะถูกเผยแพร่บนเว็บไซต์ยอดนิยม การเอาเปรียบคืออะไร? โปรแกรมที่ใช้ช่องโหว่นี้เพื่อให้บรรลุวัตถุประสงค์ของตนเอง และสิทธิพิเศษต่างๆ จะเพิ่มขึ้น หน้าตาประมาณนี้

นอกเหนือจากความจริงที่ว่าสคริปต์ที่เป็นอันตรายต่าง ๆ เริ่มกระจายไปทั่วเซิร์ฟเวอร์ มันเกิดขึ้นที่ส่วนประกอบไบนารีสามารถผ่านไซต์ได้เช่นกัน ตัวอย่างเช่น แอสเซมบลีไบนารีหลักหรือปลั๊กอินสำหรับเว็บเซิร์ฟเวอร์เอง เหล่านี้คือโมดูลสำหรับแพตช์ สำหรับ njinx, njinx ที่สร้างใหม่ หรือองค์ประกอบไบนารีที่สำคัญอื่นๆ ที่คุณมีในระบบ SSHD

นี่คือไซต์ Virustotal ที่คุณสามารถตรวจสอบไฟล์ใด ๆ โปรแกรมป้องกันไวรัส 50 รายการคิดอย่างไรเกี่ยวกับมัน

นี่คือตัวอย่างขององค์ประกอบไบนารีบางส่วน เมื่อเพิ่มเข้าไป สิ่งที่โปรแกรมสแกนป้องกันไวรัสต่างๆ พูดเกี่ยวกับเว็บเซิร์ฟเวอร์ที่เป็นอันตรายต่างๆ หรือโมดูลสำหรับสิ่งเหล่านี้ที่เราบังเอิญพบ:

ฉันต้องการทราบว่าเมื่อเราพบพวกเขาทุกที่ว่างเปล่าไม่มีใครตรวจพบอะไรเลย ต่อมาบางครั้งเราเริ่มส่งตัวอย่างเหล่านี้ไปยังบริษัทป้องกันไวรัส และการตรวจจับก็ปรากฏขึ้น

บางครั้ง หากคุณพยายามค้นหาแหล่งที่มาของโค้ดที่เป็นอันตรายบนไซต์ของคุณแล้ว อุตสาหกรรมป้องกันไวรัสสามารถช่วยคุณได้ในทางใดทางหนึ่ง ไฟล์เตรียมการทั้งหมดสามารถ "ป้อน" ไปยังไซต์หรือยูทิลิตี้เฉพาะ แต่เราจะพูดถึงเรื่องนี้ในภายหลัง แต่ประเด็นก็คือ

หลังจากการแสวงประโยชน์ สคริปต์เซิร์ฟเวอร์จะปรากฏขึ้น รวมถึงการกำหนดค่าเว็บเซิร์ฟเวอร์ที่แก้ไขแล้ว มีตัวอย่างที่มักพบเมื่อไซต์ถูกแฮ็ก การกำหนดค่าของเว็บเซิร์ฟเวอร์ยังถูกแก้ไขโดยอัตโนมัติด้วยการเพิ่มการเปลี่ยนเส้นทางแบบมีเงื่อนไข

ผู้เข้าชมอุปกรณ์เคลื่อนที่ทั้งหมดที่มายังไซต์ของคุณถูกเปลี่ยนเส้นทางไปยังไซต์ฉ้อฉลต่างๆ ซึ่งจะทำให้พวกเขาสร้างรายได้ และเนื่องจากเมื่อไม่กี่ปีที่ผ่านมา ผู้ดูแลเว็บจำนวนมากไม่ได้คิดถึงผู้ใช้อุปกรณ์เคลื่อนที่สำหรับเว็บไซต์ของตน พวกเขาไม่สามารถสังเกตได้เป็นเวลานานว่าผู้เข้าชมอุปกรณ์เคลื่อนที่ที่เข้าสู่เว็บไซต์ของพวกเขาจะถูกส่งไปยังการหลอกลวงต่างๆ ผู้ดูแลเว็บหลายคนตั้งค่านี้อย่างมีสติ พยายามสร้างรายได้ดังกล่าว แต่มีกรณีจำนวนมากเช่นนี้เมื่อทั้งหมดนี้ปรากฏเป็นส่วนหนึ่งของการแฮ็ก

อาจเป็นไปได้ว่ามีรหัสที่เป็นอันตรายในฐานข้อมูล ตัวอย่างที่ซ้ำซากที่สุดคือเมื่อมีการโจมตีแบบรักษาระดับ XXS ตัวอย่างเช่น คุณมีแบบฟอร์มสำหรับป้อนความคิดเห็นบนไซต์ และมีการตรวจสอบพารามิเตอร์ไม่เพียงพอ

อย่างที่ฉันได้กล่าวไปแล้วว่าผู้โจมตีมักเป็นระบบอัตโนมัติเต็มรูปแบบที่ค้นหาไซต์ของคุณ พวกเขาไม่ได้อัปโหลดเพียงข้อความในนั้นเท่านั้น แต่ยังมีการโหลดพิเศษ ซึ่งเมื่อหน้าเว็บถูกแสดงผล จะกลายเป็นสคริปต์ที่ควบคุมโดยผู้โจมตี และด้วยวิธีนี้ คุณสามารถทำอะไรก็ได้กับผู้เยี่ยมชมไซต์ของคุณ

มันเกิดขึ้นในสแตติกเมื่อมีการเพิ่มโค้ดที่เป็นอันตรายลงในเทมเพลตไปยัง JavaScript แบบสแตติก อย่างที่ฉันพูด มันเกิดขึ้นที่ไฟล์ไบนารีถูกแทนที่ มีกรณีที่ยุ่งยากมาก เช่น เมื่อผู้โจมตีสร้างระบบที่ยุ่งยากเช่นนี้ เราเคยเจอมาแล้ว

ไฟล์หลักของเว็บเซิร์ฟเวอร์จะถูกนำมาใช้ ตัวอย่างเช่น หากเป็นแพตช์ของเว็บเซิร์ฟเวอร์ ไฟล์ดังกล่าวจะเป็นไฟล์ไบนารี sshd ที่คัดลอกไปยังตำแหน่งอื่น ชุดประกอบที่เป็นอันตรายจะถูกแทนที่ จากนั้นจึงเปิดใช้งาน

หลังจากนั้นไฟล์ที่แก้ไขจะถูกลบออกจากระบบไฟล์และวางไฟล์ต้นฉบับไว้ คุณมีเว็บเซิร์ฟเวอร์ที่เป็นอันตรายทำงานอยู่ และคุณมีเวอร์ชันที่ไม่เปลี่ยนแปลงในระบบไฟล์ และแม้แต่การตรวจสอบความสมบูรณ์ก็ไม่แสดงปัญหาใดๆ

ผู้โจมตีที่เข้าสู่เซิร์ฟเวอร์โดยเฉพาะอย่างยิ่งในกรณีของการโจมตีแบบกำหนดเป้าหมายนั้นค่อนข้างมีไหวพริบในสิ่งประดิษฐ์ของพวกเขาและบางครั้งส่วนใหญ่สำหรับการโจมตีแบบกำหนดเป้าหมาย เมื่อมีคนจริงมาคุณต้องแสดงทักษะที่ไม่แข็งแกร่งตามลำดับ เพื่อค้นหาแหล่งที่มาของการประนีประนอมของไซต์โดยทั่วไป

ทำไมทั้งหมดนี้ถึงถูกทำ? สิ่งสำคัญคือต้องทำความเข้าใจเพื่อระลึกถึงรูปแบบภัยคุกคาม เพื่อคาดการณ์ว่าจะเกิดอะไรขึ้นกับไซต์และปัญหาที่อาจเกิดขึ้นโดยทั่วไป อย่างที่ฉันได้กล่าวไปแล้ว วิธีการสร้างรายได้ที่กระตุ้นให้ผู้โจมตีทำการโจมตีนั้นแตกต่างกันระหว่างกลุ่มเหล่านี้สำหรับการโจมตีแบบกำหนดเป้าหมายและแบบหมู่

หากเป็นการโจมตีจำนวนมาก เรามีบางสิ่งที่สามารถทำได้โดยไม่ต้องเจาะลึกถึงบริบทของไซต์ เราเพิ่งไปที่เซิร์ฟเวอร์นามธรรม เราจะทำอย่างไรกับมัน เขามีผู้มาเยี่ยมดังนั้นพวกเขาจึงสามารถติดเชื้อได้ มักจะปรากฏในเครื่องมือค้นหาดังนั้นจึงสามารถใช้ในตำแหน่งเครื่องมือค้นหาสำหรับ SEO หมวกดำต่างๆ

เพิ่มแคตตาล็อกพร้อมทางเข้ารายการในการแลกเปลี่ยนอ้างอิงโดยทั่วไปทุกอย่างที่เกี่ยวข้องกับสิ่งนี้ การส่งสแปม การจัดการการโจมตี DDoS เป็นต้น สำหรับการโจมตี DDoS ซึ่งเราจะพูดถึงในภายหลัง ผู้โจมตียังต้องการทรัพยากรบางอย่าง เช่น เซิร์ฟเวอร์ต่างๆ จำนวนมาก

บรรทัด "การกรรโชก" นั้นน่าสนใจมาก สิ่งนี้ได้รับการพัฒนาอย่างมากเมื่อเร็ว ๆ นี้ ทุกคนเคยได้ยินและอาจพบโทรจันแรนซัมแวร์ดังกล่าวหลายครั้ง เช่น บนเดสก์ท็อป บนระบบปฏิบัติการ Windows ไม่กี่ปีที่ผ่านมาพวกเขาเริ่มเติมลงในโทรศัพท์ Android ไม่มากก็น้อยเมื่อ ...

ทุกคนรู้ ทุกคนเคยเจอไม่ทางใดก็ทางหนึ่ง หรืออย่างน้อยก็เคยได้ยินเกี่ยวกับการเปิดไฟล์ที่เป็นอันตราย เขาเริ่มเข้ารหัสระบบไฟล์ทั้งหมดแล้วเรียกค่าไถ่ ดังนั้นในปีที่แล้ว เราได้เห็นแล้วว่าสิ่งเหล่านี้เริ่มต้นบนเซิร์ฟเวอร์เท่านั้น ไซต์ถูกแฮ็ก หลังจากนั้นเนื้อหาทั้งหมดของฐานข้อมูลจะถูกเข้ารหัส เช่นเดียวกับระบบไฟล์ทั้งหมด และผู้โจมตีขอค่าไถ่จากผู้ดูแลระบบ โดยหวังว่าผู้ดูแลระบบจะไม่มีข้อมูลสำรองล่าสุดของไฟล์ ระบบและฐานข้อมูล

ในการโจมตีแบบกำหนดเป้าหมาย ทุกอย่างยังคงซับซ้อนมากขึ้น บ่อยครั้งหากมีการโจมตีแบบกำหนดเป้าหมาย ก็จะทราบอยู่แล้วว่าสามารถรับอะไรได้บ้างจากไซต์ ซึ่งอาจเป็นทั้งฐานลูกค้าหรือผู้เยี่ยมชมจำนวนมาก ซึ่งสามารถสร้างรายได้ด้วยวิธีต่างๆ ผู้ดูแลทรัพยากรมักจะไม่มีใครสังเกตเห็นเป็นเวลาหลายเดือน

เมื่อเข้าไปข้างในแล้ว คุณสามารถแทรกแซงเว็บไซต์ได้ในทุกวิถีทาง สร้างปัญหาทางเทคนิคต่างๆ เพื่อจุดประสงค์ของการแข่งขันที่ไม่เป็นธรรม ต้องเข้าใจว่าในความเป็นจริงมีตำนานดังกล่าวในสภาพแวดล้อมป้องกันไวรัสที่ตัวอย่างเช่น ฉันมีคอมพิวเตอร์อยู่ที่ชานเมือง หรือในกรณีของไซต์ ไซต์มีการรับส่งข้อมูลน้อย ซึ่งหมายความว่าไม่มีใคร ต้องการมัน มันไม่เป็นความจริง

แม้แต่ไซต์ที่โทรมที่สุดบนโฮสติ้งฟรีบางแห่งก็สามารถสร้างรายได้อย่างน้อยเล็กน้อย และมันจะเป็นตัวแทนของเป้าหมายที่ต้องการสำหรับการโจมตีครั้งใหญ่เสมอ แน่นอนว่าไม่ต้องพูดถึงเว็บไซต์ขนาดใหญ่ที่สร้างรายได้ได้ง่ายกว่า

โจมตีผู้เยี่ยมชม: ไดรฟ์โดยการดาวน์โหลด

ใช่ เราได้พูดคุยเกี่ยวกับการติดเชื้อของผู้เข้าชมโดยสังเขป อาจเป็นไปได้ว่าในปีที่แล้วภัยคุกคามนี้กำลังหายไปเอง การติดเชื้อของผู้เยี่ยมชมคืออะไร? ผู้โจมตีแฮ็กไซต์และจะเกิดอะไรขึ้นต่อไปหากเขาต้องการรับเงินจากการแพร่ระบาดของผู้เข้าชม:

อย่างที่ฉันบอก มันสามารถเปลี่ยนเส้นทางผู้ใช้มือถือไปยังบางไซต์ที่พวกเขาเสนอให้วางแอปพลิเคชันภายใต้หน้ากากของการอัปเดตโปรแกรมเล่นแฟลชบางประเภทหรืออะไรทำนองนั้น และสำหรับเดสก์ท็อป รูปแบบยอดนิยมดังกล่าวคือเมื่อมีการโจมตีช่องโหว่ในเบราว์เซอร์ของผู้เยี่ยมชมหรือในปลั๊กอินตัวใดตัวหนึ่งของสภาพแวดล้อมของเขา

ตัวอย่างเช่น ในปี 2012 ช่องโหว่ที่ถูกโจมตีมากที่สุดคือปลั๊กอิน Java ซึ่งถูกโจมตีโดยผู้ใช้มากกว่าครึ่งใน Adobe Reader ในปี 2012 ตอนนี้พวกเขาไม่ได้ใช้ประโยชน์จาก Adobe Reader พวกเขาไม่ได้ใช้ประโยชน์จาก Java พวกเขาใช้ประโยชน์จาก Flash Player ในตอนนี้

ช่องโหว่ใหม่ใน Flash Player นั้นถูกปล่อยออกมาเป็นประจำ และแต่ละช่องโหว่มักจะอนุญาตให้มีการโจมตีดังกล่าวได้ ซึ่งเรียกว่าการดาวน์โหลดแบบ Drive-by มันหมายความว่าอะไร? ซึ่งหมายความว่าผู้เยี่ยมชมเพียงแค่เข้าสู่ไซต์ ไม่ได้ทำอะไรเพิ่มเติม และในระบบของเขา เนื่องจากการใช้ประโยชน์จากช่องโหว่ของปลั๊กอิน โปรแกรมที่เป็นอันตรายปรากฏขึ้นซึ่งเริ่มทำงานโดยอัตโนมัติและทำให้ระบบติดไวรัส

การปฏิเสธการให้บริการ หรือที่เรียกว่า DDoS

หากเรากำลังพูดถึงเวลาที่ผู้โจมตียังคงเข้าถึงไซต์และการจัดการได้ ในหลายกรณี ผู้โจมตีไม่แม้แต่พยายามเข้าถึง เขาแค่ต้องการแทรกแซงการทำงานปกติของไซต์ของคุณไม่ทางใดก็ทางหนึ่ง ทุกคนคงเคยได้ยินการปฏิเสธการให้บริการที่เรียกว่า Distributed Denial of Service

แรงจูงใจหลัก: ความสามารถในการแข่งขันและการขู่กรรโชก การแข่งขัน - ชัดเจน ตราบใดที่ผู้ใช้ไม่ไปที่ไซต์ของคุณ พวกเขาไปที่ไซต์ของคู่แข่ง การขู่กรรโชก - ค่อนข้างชัดเจนว่าการโจมตีไซต์ของคุณเริ่มต้นขึ้น คุณได้รับจดหมายบางอย่างเรียกร้องให้จ่ายเงินให้ใครบางคน และคุณต้องทำอะไรสักอย่างกับมัน

การโจมตีแบ่งออกเป็นสามประเภทหลัก

การโจมตีที่ง่ายที่สุดคือการโจมตีแอปพลิเคชัน สถานการณ์ทั่วไปที่สุดสำหรับการโจมตีแอปพลิเคชันคือหากคุณมีเว็บไซต์ประเภทใดประเภทหนึ่ง สมมติว่ามีร้านค้าออนไลน์ที่มีการค้นหาประเภทหนึ่ง คุณมีการค้นหาขั้นสูงเกี่ยวกับพารามิเตอร์จำนวนมากที่สร้างการสืบค้นฐานข้อมูลที่ค่อนข้างหนัก ผู้โจมตีเข้ามา เห็นว่าคุณมีตัวเลือกการค้นหาขั้นสูง และสร้างสคริปต์ที่เริ่มส่งคำค้นหาจำนวนมากไปยังแบบฟอร์มการค้นหาขั้นสูงของคุณ ฐานข้อมูลตกอยู่ภายใต้แรงกดดันของโฮสต์มาตรฐานเดียวสำหรับหลาย ๆ ไซต์ที่ใช้งานจริงอย่างรวดเร็ว แค่นั้น สำหรับสิ่งนี้ ไม่จำเป็นต้องใช้ทรัพยากรพิเศษจากฝั่งของผู้โจมตี

โจมตีชั้นการขนส่ง ที่เลเยอร์การขนส่ง จริงๆ แล้วมีโปรโตคอลอยู่สองโปรโตคอล การโจมตีบน UDP พวกเขาค่อนข้างจะอ้างถึงการโจมตีบนช่องสัญญาณ เนื่องจากไม่มีเซสชันอยู่ที่นั่น และถ้าเรากำลังพูดถึงโปรโตคอล TCP นี่เป็นกรณีทั่วไปของการโจมตี

โปรโตคอล TCP คืออะไร? โปรโตคอล TCP บอกเป็นนัยว่าคุณมีเซิร์ฟเวอร์และมีตารางการเชื่อมต่อแบบเปิดกับผู้ใช้ เป็นที่ชัดเจนว่าตารางนี้ไม่สามารถมีขนาดไม่จำกัดได้ และผู้โจมตีจงใจสร้างแพ็กเก็ตจำนวนมากเพื่อเริ่มต้นการสร้างการเชื่อมต่อใหม่ ในขณะที่แพ็กเก็ตมักมาจากที่อยู่ IP ปลอมด้วยซ้ำ

มันล้นตารางนี้ตามลำดับ ผู้ใช้ตามกฎหมายที่ไปที่ไซต์ของคุณไม่สามารถเข้าสู่ตารางการเชื่อมต่อนี้และไม่ได้รับบริการของคุณ นี่เป็นตัวอย่างทั่วไปของการโจมตีทั่วไปที่ได้รับการเรียนรู้เพื่อรับมือในช่วงไม่กี่ปีที่ผ่านมา

และสิ่งที่แย่ที่สุดคือการโจมตีช่อง นี่คือเมื่อคุณมีช่องสัญญาณขาเข้าซึ่งบางคำขอสามารถส่งไปยังเซิร์ฟเวอร์ของคุณได้ และมีเพียงช่องสัญญาณทั้งหมดเท่านั้นที่อุดตันโดยสิ้นเชิง

หากในการโจมตีระดับสูงกว่าสองครั้ง คุณยังสามารถใช้ตรรกะบางอย่างกับเซิร์ฟเวอร์เองเพื่อเปลี่ยนการโจมตีเหล่านี้กลับไปกลับมาได้ ดังนั้นในกรณีที่มีการโจมตีช่องสัญญาณบนเซิร์ฟเวอร์เอง จะไม่สามารถทำอะไรได้ เพราะใน เพื่อทำบางสิ่งอย่างน้อยคุณต้องยอมรับคำขอและช่องสัญญาณทั้งหมดเต็มแล้ว ผู้ใช้ไม่สามารถเคาะได้เลย

ทำไม ทำไมเราถึงพูดถึงการจำแนกประเภทนี้และทำไมคุณถึงต้องการมัน? ใช่ เพียงเพราะการโจมตีแต่ละประเภทมีมาตรการตอบโต้ของตัวเอง หากคุณพบ คุณเข้าใจว่าคุณกำลังมีการโจมตีแบบปฏิเสธการให้บริการ และสิ่งแรกที่ต้องทำคือตัดสินใจว่าการโจมตีประเภทใดกำลังจะมา และเลือกวิธีที่เหมาะสมในการเริ่มต่อสู้กับการโจมตีนี้ แม้ว่าพวกเขาจะรวมเข้าด้วยกัน

มาโกเมด เชอร์บิเซฟ

การโจมตีเครือข่ายนั้นแตกต่างกันไปตามระบบที่พวกเขากำหนดเป้าหมาย การโจมตีบางอย่างทำได้ยากมาก ผู้ดำเนินการทั่วไปสามารถดำเนินการอื่น ๆ ได้โดยไม่ต้องคาดเดาว่ากิจกรรมของเขาอาจมีผลตามมาอย่างไร ในการประเมินประเภทของการโจมตี จำเป็นต้องทราบข้อจำกัดบางประการที่มีอยู่ในโปรโตคอล TPC/IP อินเทอร์เน็ตถูกสร้างขึ้นเพื่อการสื่อสารระหว่างหน่วยงานของรัฐและมหาวิทยาลัยเพื่อช่วยในกระบวนการศึกษาและการวิจัยทางวิทยาศาสตร์ ผู้สร้างเครือข่ายนี้ไม่ได้สงสัยว่าเครือข่ายนี้จะแพร่กระจายไปในวงกว้างเพียงใด ด้วยเหตุนี้ ข้อกำหนด Internet Protocol (IP) ในยุคแรกๆ จึงขาดข้อกำหนดด้านความปลอดภัย นี่คือสาเหตุที่การใช้งาน IP จำนวนมากมีความเสี่ยงโดยเนื้อแท้ หลังจากหลายปี ได้รับการร้องเรียนจำนวนมาก (RFC - ขอความคิดเห็น) ในที่สุดเราก็เริ่มใช้เครื่องมือรักษาความปลอดภัยสำหรับ IP อย่างไรก็ตาม เนื่องจากข้อเท็จจริงที่ว่าการป้องกัน IP ไม่ได้รับการพัฒนาแต่เดิม การใช้งานทั้งหมดจึงเริ่มได้รับการเสริมด้วยขั้นตอนเครือข่าย บริการ และผลิตภัณฑ์ที่หลากหลาย ซึ่งช่วยลดความเสี่ยงที่มีอยู่ในโปรโตคอลนี้ ต่อไป เราจะหารือโดยสังเขปเกี่ยวกับประเภทของการโจมตีที่ใช้กันทั่วไปกับเครือข่าย IP และระบุวิธีการต่อสู้กับการโจมตีเหล่านั้น

นักดมกลิ่นแพ็คเก็ต

การดมกลิ่นแพ็กเก็ตเป็นโปรแกรมแอปพลิเคชันที่ใช้การ์ดเครือข่ายที่ทำงานในโหมดที่หลากหลาย (ในโหมดนี้ แพ็กเก็ตทั้งหมดที่ได้รับผ่านช่องทางกายภาพจะถูกส่งโดยอะแดปเตอร์เครือข่ายไปยังแอปพลิเคชันสำหรับการประมวลผล) ในกรณีนี้ sniffer จะสกัดกั้นแพ็กเก็ตเครือข่ายทั้งหมดที่ส่งผ่านโดเมนเฉพาะ ปัจจุบันนักดมกลิ่นทำงานในเครือข่ายบนพื้นฐานทางกฎหมายอย่างสมบูรณ์ ใช้สำหรับแก้ไขปัญหาและวิเคราะห์ทราฟฟิก อย่างไรก็ตาม เนื่องจากแอปพลิเคชันเครือข่ายบางตัวส่งข้อมูลในรูปแบบข้อความ (telnet, FTP, SMTP, POP3 เป็นต้น) การใช้ sniffer สามารถเปิดเผยข้อมูลที่เป็นประโยชน์และบางครั้งเป็นความลับ (เช่น ชื่อผู้ใช้และรหัสผ่าน)

การดักจับชื่อและรหัสผ่านทำให้เกิดอันตรายอย่างมาก เนื่องจากผู้ใช้มักจะใช้ชื่อและรหัสผ่านเดียวกันสำหรับแอปพลิเคชันและระบบจำนวนมาก โดยทั่วไป ผู้ใช้หลายคนมีรหัสผ่านเดียวเพื่อเข้าถึงทรัพยากรและแอปพลิเคชันทั้งหมด หากแอปพลิเคชันทำงานในโหมดไคลเอ็นต์/เซิร์ฟเวอร์ และข้อมูลการตรวจสอบความถูกต้องถูกส่งผ่านเครือข่ายในรูปแบบข้อความที่อ่านได้ ข้อมูลนี้มีแนวโน้มที่จะถูกใช้เพื่อเข้าถึงทรัพยากรขององค์กรหรือภายนอกอื่นๆ แฮ็กเกอร์รู้จักและใช้ประโยชน์จากจุดอ่อนของมนุษย์เราเป็นอย่างดี (วิธีโจมตีมักใช้วิธีวิศวกรรมสังคม) พวกเขาทราบดีว่าเราใช้รหัสผ่านเดียวกันเพื่อเข้าถึงทรัพยากรจำนวนมาก ดังนั้นพวกเขาจึงมักจะจัดการเพื่อเข้าถึงข้อมูลสำคัญด้วยการรู้รหัสผ่านของเรา ในกรณีที่เลวร้ายที่สุด แฮ็กเกอร์สามารถเข้าถึงทรัพยากรผู้ใช้ในระดับระบบ และด้วยความช่วยเหลือของมัน จะสร้างผู้ใช้ใหม่ที่สามารถใช้เมื่อใดก็ได้เพื่อเข้าถึงเครือข่ายและทรัพยากร

คุณสามารถลดภัยคุกคามจากการดักจับแพ็กเก็ตได้โดยใช้เครื่องมือต่อไปนี้:

· การรับรองความถูกต้อง - การรับรองความถูกต้องที่รัดกุมเป็นการป้องกันแรกจากการดักจับแพ็กเก็ต คำว่า "แข็งแกร่ง" หมายถึงวิธีการยืนยันตัวตนที่ยากต่อการหลีกเลี่ยง รหัสผ่านแบบใช้ครั้งเดียว (OTP - One-Time Passwords) เป็นตัวอย่างของการรับรองความถูกต้องดังกล่าว OTP เป็นเทคโนโลยีการยืนยันตัวตนแบบสองปัจจัยที่รวมสิ่งที่คุณมีกับสิ่งที่คุณรู้ ตัวอย่างทั่วไปของการยืนยันตัวตนแบบสองปัจจัยคือการทำงานของตู้ ATM ทั่วไป ซึ่งจะจดจำคุณ ประการแรกด้วยบัตรพลาสติก และประการที่สอง โดยรหัส PIN ที่คุณป้อน การตรวจสอบสิทธิ์ในระบบ OTP ยังต้องใช้รหัส PIN และบัตรส่วนบุคคลของคุณ "การ์ด" (โทเค็น) เป็นเครื่องมือฮาร์ดแวร์หรือซอฟต์แวร์ที่สร้าง (สุ่ม) รหัสผ่านแบบใช้ครั้งเดียวครั้งเดียวที่ไม่ซ้ำกัน หากแฮ็กเกอร์เรียนรู้รหัสผ่านนี้โดยใช้เครื่องดมกลิ่น ข้อมูลนี้จะไม่มีประโยชน์ เพราะเมื่อถึงจุดนั้น รหัสผ่านจะถูกใช้และล้าสมัยไปแล้ว โปรดทราบว่าวิธีการจัดการกับการดมกลิ่นนี้ใช้ได้ผลกับการดักจับรหัสผ่านเท่านั้น นักดมกลิ่นที่สกัดกั้นข้อมูลอื่นๆ (เช่น ข้อความอีเมล) จะไม่สูญเสียประสิทธิภาพ

· โครงสร้างพื้นฐานแบบสวิตช์ - อีกวิธีหนึ่งในการจัดการกับการดักจับแพ็กเก็ตในสภาพแวดล้อมเครือข่ายของคุณคือการสร้างโครงสร้างพื้นฐานแบบสวิตช์ ตัวอย่างเช่น หากทั้งองค์กรใช้อีเทอร์เน็ตแบบสวิตช์ แฮ็กเกอร์จะสามารถเข้าถึงทราฟฟิกที่เข้ามาในพอร์ตที่เชื่อมต่อเท่านั้น โครงสร้างพื้นฐานที่เปลี่ยนไม่ได้ขจัดภัยคุกคามจากการดักจับข้อมูล แต่ลดความรุนแรงลงอย่างมาก

· Anti-sniffers - วิธีที่สามในการต่อสู้กับการดมกลิ่นคือการติดตั้งฮาร์ดแวร์หรือซอฟต์แวร์ที่จดจำ sniffers ที่ทำงานบนเครือข่ายของคุณ เครื่องมือเหล่านี้ไม่สามารถกำจัดภัยคุกคามได้อย่างสมบูรณ์ แต่เช่นเดียวกับเครื่องมือรักษาความปลอดภัยเครือข่ายอื่น ๆ พวกมันรวมอยู่ในระบบป้องกันโดยรวม สิ่งที่เรียกว่า "anti-sniffers" วัดเวลาตอบสนองของโฮสต์และกำหนดว่าโฮสต์ต้องประมวลผลทราฟฟิก "พิเศษ" หรือไม่ เครื่องมือดังกล่าวที่จัดทำโดย LOpht Heavy Industries เรียกว่า AntiSniff( สำหรับข้อมูลเพิ่มเติม โปรดดูที่ http://www.l0pht.com/antisniff/

· การเข้ารหัส - วิธีที่มีประสิทธิภาพที่สุดในการจัดการกับแพ็คเก็ต sniffing ไม่ได้ป้องกันการดมกลิ่นและไม่รู้จักการทำงานของ sniffers แต่ทำให้งานนี้ไร้ประโยชน์ หากช่องทางการสื่อสารมีความปลอดภัยด้วยการเข้ารหัส หมายความว่าแฮ็กเกอร์ไม่ได้สกัดกั้นข้อความ แต่เข้ารหัสข้อมูล (นั่นคือ ลำดับบิตที่เข้าใจยาก) การเข้ารหัสของ Cisco ที่เลเยอร์เครือข่ายนั้นใช้โปรโตคอล IPSec IPSec เป็นวิธีมาตรฐานสำหรับการสื่อสารที่ปลอดภัยระหว่างอุปกรณ์โดยใช้โปรโตคอล IP โปรโตคอลการจัดการเครือข่ายการเข้ารหัสอื่นๆ ได้แก่ SSH (Secure Shell) และ SSL (Secure Socket Layer)

การปลอมแปลง IP

การปลอมแปลง IP เกิดขึ้นเมื่อแฮ็กเกอร์ไม่ว่าจะภายในหรือภายนอกบริษัท สวมรอยเป็นผู้ใช้ที่ได้รับอนุญาต สามารถทำได้สองวิธี ประการแรก แฮ็กเกอร์สามารถใช้ที่อยู่ IP ที่อยู่ในช่วงของที่อยู่ IP ที่ได้รับอนุญาต หรือที่อยู่ภายนอกที่ได้รับอนุญาตซึ่งได้รับอนุญาตให้เข้าถึงทรัพยากรเครือข่ายบางอย่าง การโจมตีด้วยการปลอมแปลง IP มักเป็นจุดเริ่มต้นของการโจมตีอื่นๆ ตัวอย่างคลาสสิกคือการโจมตีแบบ DoS ที่เริ่มต้นด้วยที่อยู่ของบุคคลอื่นซึ่งซ่อนตัวตนที่แท้จริงของแฮ็กเกอร์ โดยทั่วไปแล้ว การปลอมแปลง IP จะจำกัดอยู่ที่การแทรกข้อมูลเท็จหรือคำสั่งที่เป็นอันตรายลงในสตรีมข้อมูลปกติที่ส่งระหว่างไคลเอ็นต์และแอปพลิเคชันเซิร์ฟเวอร์ หรือผ่านช่องทางการสื่อสารระหว่างเพียร์ สำหรับการสื่อสารแบบสองทาง แฮ็กเกอร์ต้องเปลี่ยนตารางเส้นทางทั้งหมดเพื่อกำหนดเส้นทางการรับส่งข้อมูลไปยังที่อยู่ IP ปลอม อย่างไรก็ตาม แฮ็กเกอร์บางคนไม่พยายามรับการตอบสนองจากแอปพลิเคชันเลยด้วยซ้ำ หากภารกิจหลักคือการรับไฟล์สำคัญจากระบบ การตอบสนองของแอปพลิเคชันก็ไม่สำคัญ

หากแฮ็กเกอร์จัดการเปลี่ยนตารางเส้นทางและกำหนดทราฟฟิกไปยังที่อยู่ IP ปลอม แฮ็กเกอร์จะได้รับแพ็กเก็ตทั้งหมดและสามารถตอบสนองได้ราวกับว่าเขาเป็นผู้ใช้ที่ได้รับอนุญาต

ภัยคุกคามจากการปลอมแปลงสามารถบรรเทาได้ (แต่ไม่สามารถกำจัดได้) ด้วยมาตรการต่อไปนี้:

· การควบคุมการเข้าถึง - วิธีที่ง่ายที่สุดในการป้องกันการปลอมแปลง IP คือการกำหนดค่าการควบคุมการเข้าถึงอย่างเหมาะสม เพื่อลดประสิทธิภาพของการปลอมแปลง IP ให้กำหนดค่าการควบคุมการเข้าถึงเพื่อตัดการรับส่งข้อมูลที่มาจากเครือข่ายภายนอกด้วยที่อยู่ต้นทางที่ต้องอยู่ภายในเครือข่ายของคุณ โปรดทราบว่าสิ่งนี้จะช่วยต่อสู้กับการปลอมแปลง IP เมื่ออนุญาตเฉพาะที่อยู่ภายในเท่านั้น หากที่อยู่เครือข่ายภายนอกบางแห่งได้รับอนุญาตด้วย วิธีนี้จะไม่ได้ผล

· การกรอง RFC 2827 - คุณสามารถหยุดผู้ใช้ในเครือข่ายของคุณจากการปลอมแปลงเครือข่ายของผู้อื่น (และกลายเป็น "พลเมืองเครือข่าย" ที่ดี) ในการดำเนินการนี้ คุณต้องปฏิเสธการรับส่งข้อมูลขาออกที่มีที่อยู่ต้นทางไม่ใช่ที่อยู่ IP ขององค์กรของคุณ การกรองประเภทนี้เรียกว่า "RFC 2827" สามารถทำได้โดย ISP ของคุณ ด้วยเหตุนี้ การรับส่งข้อมูลทั้งหมดที่ไม่มีที่อยู่ต้นทางที่คาดไว้ในอินเทอร์เฟซเฉพาะจึงถูกปฏิเสธ ตัวอย่างเช่น หาก ISP จัดเตรียมการเชื่อมต่อกับที่อยู่ IP 15.1.1.0/24 ก็สามารถกำหนดค่าตัวกรองเพื่อให้เฉพาะการรับส่งข้อมูลที่มาจาก 15.1.1.0/24 จากอินเทอร์เฟซนั้นไปยังเราเตอร์ ISP โปรดทราบว่าจนกว่าผู้ให้บริการทั้งหมดจะใช้การกรองประเภทนี้ ประสิทธิภาพจะต่ำกว่าที่เป็นไปได้มาก นอกจากนี้ ยิ่งอยู่ห่างจากอุปกรณ์ที่กรองมากเท่าไหร่ การกรองที่แม่นยำก็ยิ่งทำได้ยากขึ้นเท่านั้น ตัวอย่างเช่น การกรอง RFC 2827 ที่ระดับเราเตอร์การเข้าถึงจำเป็นต้องผ่านทราฟฟิกทั้งหมดจากที่อยู่เครือข่ายหลัก (10.0. ) วิธีที่มีประสิทธิภาพที่สุดในการจัดการกับการปลอมแปลง IP ก็เหมือนกับในกรณีของการดมกลิ่นแพ็กเก็ต: คุณต้อง ทำให้การโจมตีไร้ผลโดยสิ้นเชิง การปลอมแปลง IP จะทำงานก็ต่อเมื่อการตรวจสอบสิทธิ์อิงตามที่อยู่ IP เท่านั้น ดังนั้นการแนะนำวิธีการตรวจสอบเพิ่มเติมทำให้การโจมตีประเภทนี้ไม่มีประโยชน์ ประเภทของการรับรองความถูกต้องเพิ่มเติมที่ดีที่สุดคือการเข้ารหัส หากไม่สามารถทำได้ การรับรองความถูกต้องด้วยสองปัจจัยโดยใช้รหัสผ่านแบบใช้ครั้งเดียวจะให้ผลลัพธ์ที่ดี

การปฏิเสธการให้บริการ (DoS)

DoS คือรูปแบบการโจมตีของแฮ็กเกอร์ที่เป็นที่รู้จักมากที่สุดโดยไม่ต้องสงสัย นอกจากนี้ การป้องกันการโจมตีประเภทนี้เป็นเรื่องยากที่สุดในการสร้างการป้องกันหนึ่งร้อยเปอร์เซ็นต์ แม้แต่ในหมู่แฮ็กเกอร์ การโจมตี DoS ก็ถือเป็นเรื่องเล็กน้อย และการใช้การโจมตีเหล่านี้ทำให้เกิดรอยยิ้มเหยียดหยาม เนื่องจาก DoS ต้องการความรู้และทักษะขั้นต่ำ อย่างไรก็ตาม ความง่ายในการใช้งานและอันตรายจำนวนมากที่ DoS นำเสนอต่อผู้ดูแลระบบความปลอดภัยเครือข่าย หากคุณต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับการโจมตีแบบ DoS คุณควรลองดูรูปแบบที่โด่งดังที่สุด ได้แก่:

TCP SYN น้ำท่วม

ปิงแห่งความตาย

Tribe Flood Network (TFN) และ Tribe Flood Network 2000 (TFN2K)

Stacheldracht

การโจมตีแบบ DoS แตกต่างจากการโจมตีประเภทอื่นๆ พวกเขาไม่ได้มีวัตถุประสงค์เพื่อเข้าถึงเครือข่ายของคุณหรือรับข้อมูลใด ๆ จากเครือข่ายนี้ การโจมตีแบบ DoS ทำให้เครือข่ายของคุณใช้งานไม่ได้ตามปกติโดยเกินขีดจำกัดของเครือข่าย ระบบปฏิบัติการ หรือการทำงานของแอปพลิเคชัน ในกรณีของแอปพลิเคชันเซิร์ฟเวอร์บางตัว (เช่น เว็บเซิร์ฟเวอร์หรือเซิร์ฟเวอร์ FTP) การโจมตี DoS สามารถดึงการเชื่อมต่อทั้งหมดที่มีอยู่ไปยังแอปพลิเคชันเหล่านี้และทำให้ไม่ว่าง ป้องกันไม่ให้ผู้ใช้ทั่วไปถูกให้บริการ การโจมตี DoS สามารถใช้อินเทอร์เน็ตโปรโตคอลทั่วไป เช่น TCP และ ICMP (Internet Control Message Protocol) การโจมตีแบบ DoS ส่วนใหญ่ไม่อาศัยจุดบกพร่องของซอฟต์แวร์หรือช่องโหว่ด้านความปลอดภัย แต่อาศัยจุดอ่อนทั่วไปในสถาปัตยกรรมระบบ การโจมตีบางอย่างทำให้ประสิทธิภาพของเครือข่ายเป็นโมฆะโดยการทำให้แพ็กเก็ตที่ไม่ต้องการและไม่จำเป็นท่วมท้น หรือโดยการบิดเบือนความจริงเกี่ยวกับสถานะปัจจุบันของทรัพยากรเครือข่าย การโจมตีประเภทนี้ป้องกันได้ยากเนื่องจากต้องมีการประสานงานกับ ISP หากทราฟฟิกที่ตั้งใจจะท่วมเครือข่ายของคุณไม่ได้หยุดที่ผู้ให้บริการ คุณจะไม่สามารถดำเนินการดังกล่าวที่ทางเข้าเครือข่ายได้อีกต่อไป เนื่องจากแบนด์วิธทั้งหมดจะถูกครอบครอง เมื่อการโจมตีประเภทนี้ดำเนินการพร้อมกันผ่านอุปกรณ์จำนวนมาก เราจะพูดถึงการโจมตีแบบ DoS แบบกระจาย (DDoS - แบบกระจาย DoS) ภัยคุกคามจากการโจมตี DoS สามารถบรรเทาได้สามวิธี:

· คุณสมบัติป้องกันการปลอมแปลง - การกำหนดค่าคุณสมบัติป้องกันการปลอมแปลงอย่างเหมาะสมบนเราเตอร์และไฟร์วอลล์ของคุณจะช่วยลดความเสี่ยงของ DoS คุณลักษณะเหล่านี้อย่างน้อยควรมีการกรอง RFC 2827 เว้นแต่แฮ็กเกอร์สามารถปลอมแปลงตัวตนที่แท้จริงได้เขาก็ไม่น่าจะพยายามโจมตี

· คุณสมบัติ Anti-DoS - การกำหนดค่าคุณสมบัติ anti-DoS บนเราเตอร์และไฟร์วอลล์อย่างเหมาะสมสามารถจำกัดประสิทธิภาพของการโจมตีได้ คุณลักษณะเหล่านี้มักจะจำกัดจำนวนของช่องที่เปิดอยู่ครึ่งหนึ่งในแต่ละครั้ง

· การจำกัดอัตราการรับส่งข้อมูล - องค์กรสามารถขอให้ ISP จำกัดปริมาณการรับส่งข้อมูลได้ การกรองประเภทนี้ทำให้คุณสามารถจำกัดปริมาณการรับส่งข้อมูลที่ไม่สำคัญผ่านเครือข่ายของคุณ ตัวอย่างทั่วไปคือการจำกัดปริมาณการรับส่งข้อมูล ICMP ที่ใช้เพื่อวัตถุประสงค์ในการวินิจฉัยเท่านั้น (D) การโจมตี DoS มักใช้ ICMP

การโจมตีด้วยรหัสผ่าน

แฮ็กเกอร์สามารถทำการโจมตีด้วยรหัสผ่านได้หลายวิธี เช่น การโจมตีด้วยกำลังดุร้าย ม้าโทรจัน การปลอมแปลง IP และการดักจับแพ็กเก็ต แม้ว่าการเข้าสู่ระบบและรหัสผ่านมักจะได้รับโดยใช้การปลอมแปลง IP และการดมกลิ่น แต่แฮ็กเกอร์มักจะพยายามเดารหัสผ่านและเข้าสู่ระบบโดยใช้ความพยายามในการเข้าถึงหลายครั้ง วิธีการนี้เรียกว่าการโจมตีด้วยกำลังดุร้าย บ่อยครั้งที่การโจมตีดังกล่าวใช้โปรแกรมพิเศษที่พยายามเข้าถึงทรัพยากรที่ใช้ร่วมกัน (เช่น เซิร์ฟเวอร์) ผลก็คือ หากแฮ็กเกอร์เข้าถึงทรัพยากรได้ เขาก็จะได้รับเป็นผู้ใช้ทั่วไปที่เดารหัสผ่านได้ หากผู้ใช้รายนี้มีสิทธิ์ในการเข้าถึงที่สำคัญ แฮ็กเกอร์สามารถสร้าง "เกตเวย์" สำหรับตนเองเพื่อการเข้าถึงในอนาคต ซึ่งจะใช้งานได้แม้ว่าผู้ใช้จะเปลี่ยนรหัสผ่านและการเข้าสู่ระบบก็ตาม ปัญหาอื่นเกิดขึ้นเมื่อผู้ใช้ใช้รหัสผ่านเดียวกัน (แม้ว่าจะดีมากก็ตาม) เพื่อเข้าถึงระบบต่างๆ มากมาย: ระบบองค์กร ระบบส่วนตัว และระบบอินเทอร์เน็ต เนื่องจากระดับความปลอดภัยของรหัสผ่านเท่ากับโฮสต์ที่อ่อนแอที่สุด แฮ็กเกอร์ที่เรียนรู้รหัสผ่านผ่านโฮสต์นี้จึงสามารถเข้าถึงระบบอื่นๆ ทั้งหมดที่ใช้รหัสผ่านเดียวกันได้ ประการแรก สามารถหลีกเลี่ยงการโจมตีด้วยรหัสผ่านได้ด้วยการไม่ใช้รหัสผ่านแบบข้อความธรรมดา รหัสผ่านแบบใช้ครั้งเดียวและ/หรือการรับรองความถูกต้องด้วยการเข้ารหัสสามารถกำจัดภัยคุกคามของการโจมตีดังกล่าวได้ ขออภัย แอปพลิเคชัน โฮสต์ และอุปกรณ์บางรายการไม่รองรับวิธีการรับรองความถูกต้องข้างต้น เมื่อใช้รหัสผ่านปกติ ให้ลองตั้งรหัสผ่านที่คาดเดาได้ยาก ความยาวขั้นต่ำของรหัสผ่านต้องมีอักขระอย่างน้อยแปดตัว รหัสผ่านต้องมีตัวพิมพ์ใหญ่ ตัวเลข และอักขระพิเศษ (#, %, $ ฯลฯ) รหัสผ่านที่ดีที่สุดนั้นเดายากและจำยาก ทำให้ผู้ใช้ต้องจดรหัสผ่านลงบนกระดาษ เพื่อหลีกเลี่ยงปัญหานี้ ผู้ใช้และผู้ดูแลระบบสามารถใช้ประโยชน์จากความก้าวหน้าทางเทคโนโลยีล่าสุดบางอย่างได้ ตัวอย่างเช่น มีแอปพลิเคชันที่เข้ารหัสรายการรหัสผ่านที่สามารถจัดเก็บไว้ในคอมพิวเตอร์พกพา ด้วยเหตุนี้ ผู้ใช้จึงจำเป็นต้องจำรหัสผ่านที่ซับซ้อนเพียงรหัสเดียวเท่านั้น ในขณะที่รหัสผ่านอื่นๆ ทั้งหมดจะได้รับการปกป้องอย่างปลอดภัยโดยแอปพลิเคชัน จากมุมมองของผู้ดูแลระบบ มีหลายวิธีในการจัดการกับการเดารหัสผ่าน หนึ่งคือการใช้เครื่องมือ L0phtCrack ซึ่งแฮ็กเกอร์มักใช้เพื่อเดารหัสผ่านในสภาพแวดล้อม Windows NT เครื่องมือนี้จะแสดงให้คุณเห็นอย่างรวดเร็วว่ารหัสผ่านที่ผู้ใช้เลือกเดาได้ง่ายหรือไม่

การโจมตีจากคนตรงกลาง

สำหรับการโจมตีแบบ Man-in-the-Middle แฮ็กเกอร์จำเป็นต้องเข้าถึงแพ็กเก็ตที่ส่งผ่านเครือข่าย ตัวอย่างเช่น การเข้าถึงแพ็กเก็ตทั้งหมดที่ส่งจากผู้ให้บริการไปยังเครือข่ายอื่นสามารถรับได้โดยพนักงานของผู้ให้บริการรายนี้ Packet sniffers โปรโตคอลการขนส่ง และโปรโตคอลการกำหนดเส้นทางมักถูกใช้สำหรับการโจมตีประเภทนี้ การโจมตีจะดำเนินการเพื่อขโมยข้อมูล สกัดกั้นเซสชันปัจจุบันและเข้าถึงทรัพยากรเครือข่ายส่วนตัว เพื่อวิเคราะห์การรับส่งข้อมูลและรับข้อมูลเกี่ยวกับเครือข่ายและผู้ใช้ ดำเนินการโจมตี DoS บิดเบือนข้อมูลที่ส่ง และป้อนข้อมูลที่ไม่ได้รับอนุญาตลงในเซสชันเครือข่าย การโจมตีแบบ Man-in-the-Middle สามารถจัดการได้อย่างมีประสิทธิภาพโดยใช้การเข้ารหัสเท่านั้น หากแฮ็กเกอร์สกัดกั้นข้อมูลของเซสชันที่เข้ารหัส เขาจะไม่มีข้อความที่ถูกสกัดกั้นบนหน้าจอ แต่เป็นชุดอักขระที่ไม่มีความหมาย โปรดทราบว่าหากแฮ็กเกอร์ได้รับข้อมูลเกี่ยวกับเซสชันการเข้ารหัส (เช่น คีย์เซสชัน) สิ่งนี้อาจทำให้การโจมตีแบบ Man-in-the-Middle เกิดขึ้นได้แม้ในสภาพแวดล้อมที่มีการเข้ารหัส

การโจมตีเลเยอร์แอปพลิเคชัน

การโจมตีชั้นแอปพลิเคชันสามารถทำได้หลายวิธี สิ่งที่พบได้บ่อยที่สุดคือการใช้ประโยชน์จากจุดอ่อนที่รู้จักกันดีในซอฟต์แวร์เซิร์ฟเวอร์ (sendmail, HTTP, FTP) การใช้จุดอ่อนเหล่านี้ แฮ็กเกอร์สามารถเข้าถึงคอมพิวเตอร์ได้ในนามของผู้ใช้ที่เรียกใช้แอปพลิเคชัน (โดยปกติแล้วนี่ไม่ใช่ผู้ใช้ทั่วไป แต่เป็นผู้ดูแลระบบที่ได้รับสิทธิ์ในการเข้าถึงระบบ) การโจมตีระดับแอปพลิเคชันได้รับการเผยแพร่อย่างกว้างขวางเพื่อให้ผู้ดูแลระบบสามารถแก้ไขปัญหาด้วยโมดูลแก้ไข (แพตช์) น่าเสียดายที่แฮ็กเกอร์จำนวนมากสามารถเข้าถึงข้อมูลนี้ได้เช่นกัน ซึ่งทำให้พวกเขาสามารถเรียนรู้ได้ ปัญหาหลักของการโจมตีในชั้นของแอปพลิเคชันคือ พวกเขามักจะใช้พอร์ตที่อนุญาตให้ผ่านไฟร์วอลล์ได้ ตัวอย่างเช่น แฮ็กเกอร์ใช้ประโยชน์จากจุดอ่อนที่รู้จักกันดีในเว็บเซิร์ฟเวอร์มักใช้พอร์ต 80 ในการโจมตี TCP เนื่องจากเว็บเซิร์ฟเวอร์เปิดเผยเว็บเพจแก่ผู้ใช้ ไฟร์วอลล์ จึงต้องให้การเข้าถึงพอร์ตนี้ จากมุมมองของไฟร์วอลล์ การโจมตีจะถือว่าเป็นการรับส่งข้อมูลมาตรฐานบนพอร์ต 80 การโจมตีในชั้นแอปพลิเคชันไม่สามารถตัดออกได้ทั้งหมด แฮ็กเกอร์ค้นหาและโพสต์ช่องโหว่ของแอปพลิเคชันใหม่บนอินเทอร์เน็ตอย่างต่อเนื่อง สิ่งที่สำคัญที่สุดคือการดูแลระบบที่ดี ต่อไปนี้คือขั้นตอนบางอย่างที่คุณสามารถทำได้เพื่อลดช่องโหว่ต่อการโจมตีประเภทนี้:

· อ่านล็อกไฟล์ของระบบปฏิบัติการและล็อกไฟล์ของเครือข่าย และ/หรือวิเคราะห์โดยใช้แอปพลิเคชันการวิเคราะห์พิเศษ

ใช้ระบบปฏิบัติการและแอปพลิเคชันเวอร์ชันล่าสุดและโมดูลการแก้ไขล่าสุด (แพตช์)

นอกจากการดูแลระบบแล้ว ให้ใช้ระบบตรวจจับการโจมตี (IDS) มีสองเทคโนโลยีเสริม IDS:

o Network IDS (NIDS) ติดตามแพ็คเก็ตทั้งหมดที่ส่งผ่านโดเมนใดโดเมนหนึ่ง เมื่อระบบ NIDS เห็นแพ็กเก็ตหรือชุดของแพ็กเก็ตที่ตรงกับลายเซ็นของการโจมตีที่ทราบหรือน่าจะเป็นไปได้ ระบบจะสร้างสัญญาณเตือนและ/หรือยุติเซสชัน

o Host IDS (HIDS) รักษาความปลอดภัยให้กับโฮสต์ด้วยตัวแทนซอฟต์แวร์ ระบบนี้ต่อสู้กับการโจมตีจากโฮสต์เดียวเท่านั้น

· ในการทำงาน ระบบ IDS ใช้ลายเซ็นการโจมตี ซึ่งเป็นโปรไฟล์ของการโจมตีเฉพาะหรือประเภทของการโจมตี ลายเซ็นกำหนดเงื่อนไขที่การรับส่งข้อมูลถือเป็นการรับส่งข้อมูลของแฮ็กเกอร์ ความคล้ายคลึงของ IDS ในโลกทางกายภาพถือได้ว่าเป็นระบบเตือนภัยหรือกล้องวงจรปิด ข้อเสียที่ใหญ่ที่สุดของ IDS คือความสามารถในการสร้างสัญญาณเตือน เพื่อลดจำนวนการเตือนที่ผิดพลาดและตรวจสอบให้แน่ใจว่าระบบ IDS ทำงานได้อย่างถูกต้องในเครือข่าย จำเป็นต้องปรับระบบนี้อย่างระมัดระวัง

ข่าวกรองเครือข่าย

ข่าวกรองเครือข่ายคือการรวบรวมข้อมูลเกี่ยวกับเครือข่ายโดยใช้ข้อมูลและแอปพลิเคชันที่เปิดเผยต่อสาธารณะ เมื่อเตรียมการโจมตีเครือข่าย แฮ็กเกอร์มักจะพยายามดึงข้อมูลเกี่ยวกับเครือข่ายให้ได้มากที่สุด การลาดตระเวนเครือข่ายอยู่ในรูปแบบของการสืบค้น DNS, การกวาด Ping และการสแกนพอร์ต ข้อความค้นหา DNS ช่วยให้คุณเข้าใจว่าใครเป็นเจ้าของโดเมนหนึ่งๆ และที่อยู่ใดที่กำหนดให้กับโดเมนนั้น การทดสอบ Echo (การกวาด Ping) ของที่อยู่ที่เปิดเผยโดยใช้ DNS ช่วยให้คุณเห็นว่าโฮสต์ใดทำงานจริงในสภาพแวดล้อมที่กำหนด จากรายชื่อโฮสต์ แฮ็กเกอร์จะใช้เครื่องมือสแกนพอร์ตเพื่อรวบรวมรายชื่อบริการทั้งหมดที่รองรับโดยโฮสต์เหล่านั้น และสุดท้าย แฮ็กเกอร์จะวิเคราะห์ลักษณะของแอปพลิเคชันที่ทำงานบนโฮสต์ เป็นผลให้ได้รับข้อมูลที่สามารถใช้สำหรับการแฮ็ค เป็นไปไม่ได้ที่จะกำจัดข่าวกรองเครือข่ายอย่างสมบูรณ์ ตัวอย่างเช่น หากคุณปิดใช้งาน ICMP ping และ echo reply บนเราเตอร์ต่อพ่วง คุณจะเลิกใช้ ping แต่คุณจะสูญเสียข้อมูลที่จำเป็นในการวินิจฉัยความล้มเหลวของเครือข่าย คุณยังสามารถสแกนพอร์ตโดยไม่ต้องส่ง Ping ก่อน ขั้นตอนนี้จะใช้เวลานานกว่า เนื่องจากต้องสแกนที่อยู่ IP ที่ไม่มีอยู่จริงด้วย ระบบ IDS ของเครือข่ายและโฮสต์มักจะทำงานได้ดีในการแจ้งผู้ดูแลระบบเกี่ยวกับการสำรวจเครือข่ายที่กำลังดำเนินอยู่ ซึ่งช่วยให้พวกเขาเตรียมพร้อมสำหรับการโจมตีที่จะเกิดขึ้นได้ดีขึ้น และแจ้งเตือนผู้ให้บริการ (ISP) ที่ติดตั้งระบบบนเครือข่ายซึ่งแสดงความอยากรู้อยากเห็นมากเกินไป .

การละเมิดความไว้วางใจ

พูดอย่างเคร่งครัด การกระทำประเภทนี้ไม่ใช่ "การโจมตี" หรือ "โจมตี" เป็นการใช้ประโยชน์จากความสัมพันธ์ที่เชื่อถือได้ซึ่งมีอยู่ในเครือข่ายโดยมุ่งร้าย ตัวอย่างคลาสสิกของการล่วงละเมิดดังกล่าวอยู่ที่ชายขอบของเครือข่ายองค์กร ส่วนนี้มักจะโฮสต์เซิร์ฟเวอร์ DNS, SMTP และ HTTP เนื่องจากพวกเขาทั้งหมดอยู่ในส่วนเดียวกัน การละเมิดหนึ่งในนั้นนำไปสู่การละเมิดของส่วนอื่นๆ ทั้งหมด เนื่องจากเซิร์ฟเวอร์เหล่านี้เชื่อถือระบบอื่นๆ บนเครือข่ายของตน อีกตัวอย่างหนึ่งคือระบบที่ติดตั้งอยู่ด้านนอกของไฟร์วอลล์ที่มีความสัมพันธ์ที่เชื่อถือได้กับระบบที่ติดตั้งไว้ด้านใน ในกรณีที่ระบบภายนอกถูกเจาะ แฮ็กเกอร์สามารถใช้ความสัมพันธ์ที่ไว้วางใจเพื่อเจาะเข้าไปในระบบที่ป้องกันโดยไฟร์วอลล์ คุณสามารถลดความเสี่ยงของการละเมิดความไว้วางใจได้โดยการควบคุมระดับความไว้วางใจภายในเครือข่ายของคุณให้รัดกุมยิ่งขึ้น ระบบที่อยู่นอกไฟร์วอลล์ไม่ควรเชื่อถือโดยระบบที่ป้องกันโดยไฟร์วอลล์ ความสัมพันธ์ที่เชื่อถือได้ควรจำกัดเฉพาะบางโปรโตคอล และถ้าเป็นไปได้ ควรตรวจสอบความถูกต้องไม่เพียงแต่โดยที่อยู่ IP เท่านั้น แต่ยังรวมถึงพารามิเตอร์อื่นๆ ด้วย

การส่งต่อพอร์ต

การส่งต่อพอร์ตเป็นรูปแบบหนึ่งของการละเมิดความไว้วางใจซึ่งใช้โฮสต์ที่ถูกบุกรุกเพื่อส่งทราฟฟิกผ่านไฟร์วอลล์ที่อาจถูกปฏิเสธ ลองนึกภาพไฟร์วอลล์ที่มีสามอินเทอร์เฟซ แต่ละอินเทอร์เฟซเชื่อมต่อกับโฮสต์เฉพาะ โฮสต์ภายนอกสามารถเชื่อมต่อกับโฮสต์ที่ใช้ร่วมกัน (DMZ) แต่เชื่อมต่อกับโฮสต์ที่ติดตั้งอยู่ภายในไฟร์วอลล์ไม่ได้ โฮสต์ที่ใช้ร่วมกันสามารถเชื่อมต่อกับโฮสต์ทั้งภายในและภายนอก หากแฮ็กเกอร์ครอบครองโฮสต์สาธารณะ เขาสามารถติดตั้งเครื่องมือบนโฮสต์นั้นซึ่งเปลี่ยนเส้นทางการรับส่งข้อมูลจากโฮสต์ภายนอกไปยังโฮสต์ภายในโดยตรง แม้ว่าจะไม่ละเมิดกฎใดๆ บนหน้าจอ แต่การเปลี่ยนเส้นทางจะทำให้โฮสต์ภายนอกสามารถเข้าถึงโฮสต์ที่ได้รับการป้องกันได้โดยตรง ตัวอย่างของแอปพลิเคชันที่สามารถให้การเข้าถึงนี้คือ netcat วิธีหลักในการจัดการกับการส่งต่อพอร์ตคือการใช้แบบจำลองความน่าเชื่อถือที่แข็งแกร่ง (ดูหัวข้อก่อนหน้า) นอกจากนี้ ระบบ IDS ของโฮสต์ (HIDS) สามารถป้องกันไม่ให้แฮ็กเกอร์ติดตั้งซอฟต์แวร์บนโฮสต์ได้

การเข้าถึงโดยไม่ได้รับอนุญาต

การเข้าถึงโดยไม่ได้รับอนุญาตไม่ถือเป็นการโจมตีประเภทอื่น การโจมตีเครือข่ายส่วนใหญ่ดำเนินการเพื่อเข้าถึงโดยไม่ได้รับอนุญาต ในการรับการเข้าสู่ระบบ telnet แฮ็กเกอร์จะต้องได้รับข้อความแจ้ง telnet ในระบบของตนก่อน หลังจากเชื่อมต่อกับพอร์ต telnet ข้อความ "จำเป็นต้องให้สิทธิ์เพื่อใช้ทรัพยากรนี้" ปรากฏขึ้นบนหน้าจอ (ต้องได้รับการอนุญาตเพื่อใช้ทรัพยากรนี้) หากหลังจากนั้นแฮ็กเกอร์ยังคงพยายามเข้าถึง พวกเขาจะถือว่า "ไม่ได้รับอนุญาต" แหล่งที่มาของการโจมตีดังกล่าวสามารถเป็นได้ทั้งภายในเครือข่ายและภายนอก วิธีการต่อสู้กับการเข้าถึงโดยไม่ได้รับอนุญาตนั้นค่อนข้างง่าย สิ่งสำคัญที่นี่คือการลดหรือกำจัดความสามารถของแฮ็กเกอร์ในการเข้าถึงระบบโดยใช้โปรโตคอลที่ไม่ได้รับอนุญาต ตัวอย่างเช่น พิจารณาการป้องกันแฮ็กเกอร์จากการเข้าถึงพอร์ต telnet บนเซิร์ฟเวอร์ที่ให้บริการเว็บแก่ผู้ใช้ภายนอก หากไม่เข้าถึงพอร์ตนี้ แฮ็กเกอร์จะไม่สามารถโจมตีพอร์ตนี้ได้ สำหรับไฟร์วอลล์ หน้าที่หลักของมันคือการป้องกันความพยายามที่ง่ายที่สุดในการเข้าถึงโดยไม่ได้รับอนุญาต

แอปพลิเคชั่นไวรัสและม้าโทรจัน

เวิร์กสเตชันของผู้ใช้มีความเสี่ยงสูงต่อไวรัสและม้าโทรจัน ไวรัสเป็นโปรแกรมอันตรายที่แทรกตัวเองเข้าไปในโปรแกรมอื่นเพื่อทำหน้าที่บางอย่างที่ไม่พึงประสงค์บนเวิร์กสเตชันของผู้ใช้ปลายทาง ตัวอย่างคือไวรัสที่เขียนตัวเองลงในไฟล์ command.com (ตัวแปลหลักสำหรับระบบ Windows) และลบไฟล์อื่นๆ และแพร่ระบาดใน command.com เวอร์ชันอื่นๆ ทั้งหมดที่พบ "ม้าโทรจัน" ไม่ใช่ส่วนแทรกของซอฟต์แวร์ แต่เป็นโปรแกรมจริงที่ดูเหมือนเป็นแอปพลิเคชันที่มีประโยชน์ แต่แท้จริงแล้วมีบทบาทที่เป็นอันตราย ตัวอย่างของ "ม้าโทรจัน" ทั่วไปคือโปรแกรมที่มีลักษณะเหมือนเกมง่ายๆ สำหรับเวิร์กสเตชันของผู้ใช้ อย่างไรก็ตาม ในขณะที่ผู้ใช้กำลังเล่นเกม โปรแกรมจะส่งสำเนาของตัวเองทางอีเมลไปยังสมาชิกแต่ละคนที่มีรายชื่ออยู่ในสมุดที่อยู่ของผู้ใช้ สมาชิกทั้งหมดได้รับเกมทางไปรษณีย์ทำให้เกิดการเผยแพร่ต่อไป

ไวรัสและม้าโทรจันต่อสู้กันด้วยซอฟต์แวร์ป้องกันไวรัสที่มีประสิทธิภาพซึ่งทำงานในระดับผู้ใช้และอาจอยู่ที่ระดับเครือข่าย เครื่องมือป้องกันไวรัสตรวจจับไวรัสและม้าโทรจันส่วนใหญ่และป้องกันการแพร่กระจาย การได้รับข้อมูลล่าสุดเกี่ยวกับไวรัสจะช่วยให้คุณต่อสู้กับไวรัสได้อย่างมีประสิทธิภาพมากขึ้น เมื่อมีไวรัสและม้าโทรจันใหม่ๆ เกิดขึ้น ธุรกิจจะต้องติดตั้งเครื่องมือและแอปพลิเคชันป้องกันไวรัสเวอร์ชันใหม่

การโจมตีของแฮ็กเกอร์คือการกระทำที่มีวัตถุประสงค์เพื่อยึดการควบคุม (ยกระดับสิทธิ์) เหนือระบบคอมพิวเตอร์ระยะไกล/ในเครื่อง หรือทำให้ระบบไม่เสถียร หรือปฏิเสธบริการ ในขั้นต้น การโจมตีเกิดจากข้อจำกัดหลายประการที่มีอยู่ในโปรโตคอล TCP/IP โปรโตคอล IP เวอร์ชันก่อนหน้าไม่มีข้อกำหนดด้านความปลอดภัยซึ่งไม่ปรากฏจนกระทั่งหลายปีต่อมา แต่ด้วยการพัฒนาอย่างรวดเร็วของการค้าทางอินเทอร์เน็ต ปัญหาจึงกลายเป็นเรื่องที่เกี่ยวข้อง และจำเป็นต้องใช้มาตรฐานความปลอดภัยในเวลาอันสั้น

จดหมายระเบิด- ถือเป็นวิธีโจมตีที่เก่าแก่ที่สุด แม้ว่าสาระสำคัญของมันจะเรียบง่ายและดั้งเดิม: ข้อความเมลจำนวนมากทำให้ไม่สามารถทำงานกับกล่องจดหมายได้ และบางครั้งก็ใช้กับเซิร์ฟเวอร์เมลทั้งหมด หลายโปรแกรมได้รับการพัฒนาขึ้นเพื่อจุดประสงค์นี้ และแม้แต่ผู้ใช้ที่ไม่มีประสบการณ์ก็สามารถทำการโจมตีได้ด้วยการระบุเฉพาะอีเมล ข้อความ และจำนวนข้อความที่ต้องการของเหยื่อ หลายโปรแกรมดังกล่าวทำให้สามารถซ่อนที่อยู่ IP จริงของผู้ส่งได้โดยใช้เซิร์ฟเวอร์อีเมลนิรนามในการส่ง การโจมตีนี้ป้องกันได้ยาก เนื่องจากแม้แต่ตัวกรองอีเมลของผู้ให้บริการก็ไม่สามารถระบุผู้ส่งสแปมตัวจริงได้ ผู้ให้บริการอาจจำกัดจำนวนอีเมลจากผู้ส่งรายเดียว แต่ที่อยู่และหัวเรื่องของผู้ส่งมักจะสร้างแบบสุ่ม

บัฟเฟอร์ล้น . อาจเป็นหนึ่งในประเภทการโจมตีที่พบบ่อยที่สุดบนอินเทอร์เน็ต หลักการของการโจมตีนี้ขึ้นอยู่กับการใช้ข้อผิดพลาดของซอฟต์แวร์ที่อนุญาตให้ทำให้เกิดการละเมิดหน่วยความจำและทำให้แอปพลิเคชันหยุดทำงานหรือเรียกใช้รหัสไบนารีโดยอำเภอใจในนามของผู้ใช้ที่โปรแกรมที่มีช่องโหว่ทำงานอยู่ หากโปรแกรมทำงานภายใต้บัญชีผู้ดูแลระบบ การโจมตีนี้จะช่วยให้คุณสามารถควบคุมคอมพิวเตอร์ของเหยื่อได้อย่างเต็มที่ ดังนั้นขอแนะนำให้ทำงานภายใต้บัญชีของผู้ใช้ทั่วไปที่มีสิทธิ์จำกัดในระบบ และดำเนินการเฉพาะที่จำเป็นเท่านั้น สิทธิ์การดูแลระบบภายใต้บัญชีผู้ดูแลระบบ

ไวรัส, ม้าโทรจัน, เมลเวิร์ม, sniffers, รูทคิท และโปรแกรมพิเศษอื่นๆ การโจมตีประเภทต่อไปคือวิธีการที่ซับซ้อนมากขึ้นในการเข้าถึงข้อมูลลับ - นี่คือการใช้โปรแกรมพิเศษเพื่อทำงานบนคอมพิวเตอร์ของเหยื่อ โปรแกรมดังกล่าวได้รับการออกแบบมาเพื่อค้นหาและถ่ายโอนข้อมูลลับไปยังเจ้าของ หรือเพียงเพื่อทำลายระบบรักษาความปลอดภัยและประสิทธิภาพการทำงานของคอมพิวเตอร์ของเหยื่อ หลักการทำงานของโปรแกรมเหล่านี้แตกต่างกัน ดังนั้นเราจะไม่พิจารณาแยกกัน

ข่าวกรองเครือข่าย . ในระหว่างการโจมตีดังกล่าว แฮ็กเกอร์ไม่ได้ดำเนินการทำลายล้างใดๆ แต่เป็นผลให้สามารถรับข้อมูลที่เป็นความลับเกี่ยวกับโครงสร้างและหลักการทำงานของระบบคอมพิวเตอร์ของเหยื่อได้ ข้อมูลที่ได้รับสามารถใช้เพื่อสร้างการโจมตีที่จะเกิดขึ้นได้อย่างมีประสิทธิภาพ และมักจะทำในขั้นเตรียมการ ในระหว่างการลาดตระเวนดังกล่าว ผู้โจมตีสามารถทำการสแกนพอร์ต การสืบค้น DNS การ ping พอร์ตที่เปิด การมีอยู่และการรักษาความปลอดภัยของพร็อกซีเซิร์ฟเวอร์ ด้วยเหตุนี้ คุณจะได้รับข้อมูลเกี่ยวกับที่อยู่ DNS ที่มีอยู่ในระบบ ใครเป็นเจ้าของ บริการใดบ้างที่มีในที่อยู่ DNS ระดับการเข้าถึงบริการเหล่านี้สำหรับผู้ใช้ภายนอกและภายใน

การดมกลิ่นแพ็คเก็ต . นอกจากนี้ยังเป็นประเภทการโจมตีที่พบได้บ่อยตามการทำงานของการ์ดเครือข่ายในโหมดที่หลากหลาย เช่นเดียวกับโหมดมอนิเตอร์สำหรับเครือข่าย Wi-Fi ในโหมดนี้ แพ็กเก็ตทั้งหมดที่ได้รับจากการ์ดเครือข่ายจะถูกส่งไปยังแอปพลิเคชันพิเศษที่เรียกว่า sniffer เพื่อประมวลผล เป็นผลให้ผู้โจมตีสามารถรับข้อมูลบริการจำนวนมาก: ใคร จากที่ใด แพ็กเก็ตถูกส่งมาจากที่ใด ซึ่งแพ็กเก็ตเหล่านี้ส่งผ่านที่อยู่ อันตรายที่ใหญ่ที่สุดของการโจมตีดังกล่าวคือการได้รับข้อมูล เช่น การเข้าสู่ระบบและรหัสผ่านของพนักงาน ซึ่งสามารถใช้เพื่อเข้าสู่ระบบอย่างผิดกฎหมายภายใต้หน้ากากของพนักงานทั่วไปของบริษัท

โหมดสำส่อนหรือ โหมดพรอมต์- โหมดที่เรียกว่า "สำส่อน" ซึ่งการ์ดเครือข่ายอนุญาตให้คุณรับแพ็กเก็ตทั้งหมดโดยไม่คำนึงว่าส่งถึงใคร คุณลักษณะนี้มักใช้ในเครื่องมือวิเคราะห์การรับส่งข้อมูลเครือข่าย ในสถานะปกติ อินเทอร์เฟซอีเธอร์เน็ตใช้การกรองแพ็กเก็ตเลเยอร์ลิงก์ และหากที่อยู่ MAC ในส่วนหัวปลายทางของแพ็กเก็ตที่ได้รับไม่ตรงกับที่อยู่ MAC ของอินเทอร์เฟซเครือข่ายปัจจุบันและไม่ได้ออกอากาศ แพ็กเก็ตนั้นจะถูกยกเลิก ในโหมด "สำส่อน" การกรองบนอินเทอร์เฟซเครือข่ายจะถูกปิดใช้งาน และแพ็กเก็ตทั้งหมด รวมถึงแพ็กเก็ตที่ไม่ได้มีไว้สำหรับโฮสต์ปัจจุบัน จะถูกส่งผ่านเข้าสู่ระบบ ระบบปฏิบัติการส่วนใหญ่ต้องการสิทธิ์ของผู้ดูแลระบบเพื่อเปิดใช้งานโหมดที่หลากหลาย โหมดนี้อนุญาตให้คุณตรวจสอบทราฟฟิกเฉพาะในโดเมนการชนที่กำหนด (สำหรับอีเทอร์เน็ตหรือเครือข่ายไร้สาย) หรือวงแหวน (สำหรับเครือข่ายโทเค็นริงหรือ FDDI) ดังนั้นการใช้ฮับเครือข่ายจึงเป็นโซลูชันที่ปลอดภัยน้อยกว่าสวิตช์ เนื่องจากโหมดหลังทำ ไม่ส่งข้อมูลไปยังทุกคนโดยไม่คำนึงถึงปลายทางที่อยู่ โหมด "สำส่อน" มักใช้โดยนักดมกลิ่น - โปรแกรมพิเศษที่ให้คุณแสดงและวิเคราะห์การรับส่งข้อมูลเครือข่ายเพื่อวินิจฉัยปัญหาเครือข่าย โปรแกรมดังกล่าวทำให้ง่ายต่อการสกัดกั้นรหัสผ่านและข้อมูลลับที่ส่งผ่านเครือข่ายในรูปแบบที่ไม่มีการป้องกัน เพื่อหลีกเลี่ยงปัญหานี้ ขอแนะนำให้ใช้โปรโตคอลที่ปลอดภัย รวมถึง SSL และตัวเลือก VPN / IPSec ต่างๆ

ดมกลิ่น- ตัววิเคราะห์การรับส่งข้อมูลหรือตัวดมกลิ่น (จากภาษาอังกฤษเป็น sniff - เป็น sniff) - ตัววิเคราะห์การรับส่งข้อมูลเครือข่าย โปรแกรมหรืออุปกรณ์ฮาร์ดแวร์และซอฟต์แวร์ที่ออกแบบมาเพื่อสกัดกั้นและวิเคราะห์ หรือวิเคราะห์เฉพาะการรับส่งข้อมูลเครือข่ายที่มีไว้สำหรับโหนดอื่น ในขณะที่ sniffer กำลังทำงาน อินเทอร์เฟซเครือข่ายจะเปลี่ยนเป็น "โหมดการฟัง" (โหมดที่ไม่เป็นระเบียบ) ซึ่งช่วยให้สามารถรับแพ็กเก็ตที่ส่งไปยังอินเทอร์เฟซอื่นๆ บนเครือข่ายได้

การสกัดกั้นการรับส่งข้อมูลสามารถทำได้โดย: "ฟัง" ปกติของอินเทอร์เฟซเครือข่าย การเชื่อมต่อผู้ดมกลิ่นกับตัวแบ่งช่อง แยกทราฟฟิก (ซอฟต์แวร์หรือฮาร์ดแวร์) และส่งสำเนาไปยังผู้ดมกลิ่น ผ่านการวิเคราะห์การแผ่คลื่นแม่เหล็กไฟฟ้าปลอมและการฟื้นฟู ดังนั้น การรับส่งข้อมูล ผ่านการโจมตีที่ระดับลิงก์หรือเครือข่าย ซึ่งนำไปสู่การเปลี่ยนเส้นทางการรับส่งข้อมูลของเหยื่อหรือการรับส่งข้อมูลทั้งหมดของกลุ่มไปยังผู้ดมกลิ่น พร้อมกับการส่งคืนการรับส่งข้อมูลไปยังที่อยู่ที่เหมาะสมในภายหลัง

· ตรวจหาซอฟต์แวร์ที่เป็นอันตรายและไม่ได้รับอนุญาตบนเครือข่าย

· ค้นหาความล้มเหลวของเครือข่ายหรือข้อผิดพลาดในการกำหนดค่าตัวแทนเครือข่าย

· สกัดกั้นการรับส่งข้อมูลของผู้ใช้ที่ไม่ได้เข้ารหัสเพื่อรับรหัสผ่านและข้อมูลอื่นๆ

การปลอมแปลง IP. นอกจากนี้ยังเป็นการโจมตีประเภททั่วไปในเครือข่ายที่มีความปลอดภัยไม่เพียงพอ เมื่อผู้โจมตีแอบอ้างเป็นผู้ใช้ที่ได้รับอนุญาต ขณะที่อยู่ในองค์กรเองหรือภายนอกองค์กร ในการทำเช่นนี้ แฮ็กเกอร์ต้องใช้ที่อยู่ IP ที่ได้รับอนุญาตในระบบรักษาความปลอดภัยของเครือข่าย การโจมตีดังกล่าวเกิดขึ้นได้หากระบบรักษาความปลอดภัยอนุญาตการระบุตัวตนของผู้ใช้ด้วยที่อยู่ IP เท่านั้น และไม่ต้องการการยืนยันเพิ่มเติม

คนกลาง. ประเภทของการโจมตีเมื่อผู้โจมตีสกัดช่องทางการสื่อสารระหว่างสองระบบและเข้าถึงข้อมูลที่ส่งทั้งหมด เมื่อเข้าถึงระดับนี้แล้ว คุณสามารถแก้ไขข้อมูลได้ตามต้องการเพื่อให้บรรลุเป้าหมาย จุดประสงค์ของการโจมตีดังกล่าวคือการขโมยหรือปลอมแปลงข้อมูลที่ส่ง หรือเพื่อเข้าถึงทรัพยากรเครือข่าย การโจมตีดังกล่าวติดตามได้ยากมาก เนื่องจากผู้โจมตีมักจะอยู่ภายในองค์กร

การฉีดการโจมตีแบบฉีดเกี่ยวข้องกับการนำคำสั่งหรือข้อมูลของบุคคลที่สามเข้าสู่ระบบที่กำลังทำงานเพื่อเปลี่ยนเส้นทางของระบบ และเป็นผลให้เข้าถึงฟังก์ชันและข้อมูลแบบปิด หรือทำให้ระบบโดยรวมไม่เสถียร การโจมตีดังกล่าวได้รับความนิยมสูงสุดบนอินเทอร์เน็ต แต่สามารถดำเนินการผ่านบรรทัดคำสั่งของระบบได้เช่นกัน

ประเภทของการฉีด:

การฉีด SQL- การโจมตีซึ่งมีการเปลี่ยนแปลงพารามิเตอร์ของแบบสอบถาม SQL ไปยังฐานข้อมูล เป็นผลให้คำขอได้รับความหมายที่แตกต่างไปจากเดิมอย่างสิ้นเชิง และในกรณีที่การกรองข้อมูลที่ป้อนเข้าไม่เพียงพอ คำขอนั้นไม่เพียงแต่สามารถแสดงข้อมูลที่เป็นความลับเท่านั้น แต่ยังสามารถเปลี่ยนแปลง/ลบข้อมูลได้อีกด้วย บ่อยครั้ง การโจมตีประเภทนี้สามารถสังเกตได้จากตัวอย่างของไซต์ที่ใช้พารามิเตอร์บรรทัดคำสั่ง (ในกรณีนี้คือตัวแปร URL) เพื่อสร้างการสืบค้น SQL ไปยังฐานข้อมูลโดยไม่มีการตรวจสอบที่เหมาะสม

พี.เอช.พี-ฉีดเป็นหนึ่งในวิธีการแฮ็กเว็บไซต์ที่ขับเคลื่อนโดย PHP ประกอบด้วยการแทรกสคริปต์อันตรายที่สร้างขึ้นเป็นพิเศษลงในโค้ดเว็บแอปพลิเคชันทางฝั่งเซิร์ฟเวอร์ของไซต์ ซึ่งนำไปสู่การดำเนินการตามคำสั่งโดยอำเภอใจ เป็นที่ทราบกันดีว่าเอ็นจิ้นและฟอรัมฟรีจำนวนมากที่ทำงานบน PHP ซึ่งแพร่หลายบนอินเทอร์เน็ต (ส่วนใหญ่เป็นเวอร์ชันที่ล้าสมัย) มีโมดูลที่คิดไม่ดีหรือโครงสร้างแยกต่างหากที่มีช่องโหว่ แฮ็กเกอร์มองหาช่องโหว่ เช่น ตัวแปรที่ไม่ได้รับค่า Escape ซึ่งได้รับค่าจากภายนอก

คการฉีดฝังศพใต้ถุนโบสถ์หรือ XSS Cross Site Scripting - ช่องโหว่ระบบข้อมูลเชิงโต้ตอบประเภทหนึ่งบนเว็บ "XSS" เกิดขึ้นเมื่อสคริปต์ของผู้ใช้เข้าสู่เพจที่สร้างโดยเซิร์ฟเวอร์ด้วยเหตุผลบางประการ ลักษณะเฉพาะของการโจมตีดังกล่าวคือ แทนที่จะโจมตีเซิร์ฟเวอร์โดยตรง พวกเขาใช้เซิร์ฟเวอร์ที่มีช่องโหว่เป็นวิธีการโจมตีไคลเอนต์ เป็นเวลานานโปรแกรมเมอร์ไม่ได้ให้ความสนใจกับพวกเขาเนื่องจากไม่เป็นอันตราย อย่างไรก็ตาม ความคิดเห็นนี้ผิดพลาด: ในหน้าหรือในคุกกี้ HTTP อาจมีข้อมูลที่ละเอียดอ่อนมาก (เช่น ID เซสชันของผู้ดูแลระบบ) บนเว็บไซต์ยอดนิยม สคริปต์สามารถจัดการการโจมตีแบบ DoS ได้

การฉีด XPathช่องโหว่ประเภทหนึ่งที่เกี่ยวข้องกับการแทรกนิพจน์ XPath ลงในคำขอดั้งเดิมไปยังฐานข้อมูล XML เช่นเดียวกับการฉีดประเภทอื่น ๆ ช่องโหว่เกิดขึ้นได้เนื่องจากการตรวจสอบข้อมูลที่ป้อนเข้าไม่เพียงพอ

อย- (ปฏิเสธการให้บริการ - ปฏิเสธการให้บริการ) - การโจมตีที่มุ่งทำให้เซิร์ฟเวอร์ไม่ตอบสนองต่อคำขอ การโจมตีประเภทนี้ไม่เกี่ยวข้องกับการได้รับข้อมูลลับ แต่บางครั้งก็ช่วยในการเริ่มต้นการโจมตีอื่นๆ ตัวอย่างเช่น บางโปรแกรมอาจทำให้เกิดข้อยกเว้นเนื่องจากข้อผิดพลาดในรหัส และเมื่อบริการถูกปิดใช้งาน พวกเขาสามารถเรียกใช้รหัสที่ผู้โจมตีให้มาหรือการโจมตีแบบท่วมท้นเมื่อเซิร์ฟเวอร์ไม่สามารถประมวลผลแพ็กเก็ตจำนวนมากที่เข้ามาได้

ดีโดเอส- (การปฏิเสธการให้บริการแบบกระจาย) - มีวัตถุประสงค์เดียวกันกับ DoS แต่ไม่ได้ผลิตจากคอมพิวเตอร์เครื่องเดียว แต่มาจากคอมพิวเตอร์หลายเครื่องในเครือข่าย การโจมตีประเภทนี้ใช้ทั้งการเกิดขึ้นของข้อผิดพลาดที่นำไปสู่การปฏิเสธบริการ หรือการดำเนินการป้องกัน ซึ่งนำไปสู่การปิดกั้นการทำงานของบริการ และเป็นผลให้เกิดการปฏิเสธบริการด้วย DDoS จะใช้ในกรณีที่ DoS ปกติไม่ได้ผล ในการทำเช่นนี้ คอมพิวเตอร์หลายเครื่องจะถูกรวมเข้าด้วยกัน และแต่ละเครื่องจะทำการโจมตีแบบ DoS บนระบบของเหยื่อ เมื่อรวมกันแล้วสิ่งนี้เรียกว่าการโจมตี DDoS

การโจมตีใด ๆ ไม่มีอะไรมากไปกว่าความพยายามที่จะใช้ความไม่สมบูรณ์ของระบบรักษาความปลอดภัยของเหยื่อเพื่อรับข้อมูลหรือทำอันตรายต่อระบบ ดังนั้นสาเหตุของการโจมตีที่ประสบความสำเร็จคือความเป็นมืออาชีพของแฮ็กเกอร์และคุณค่าของข้อมูล เช่นเดียวกับ ความสามารถไม่เพียงพอของผู้ดูแลระบบความปลอดภัย โดยเฉพาะอย่างยิ่ง ซอฟต์แวร์ที่ไม่สมบูรณ์ และความสนใจไม่เพียงพอต่อปัญหาด้านความปลอดภัยในบริษัทโดยหลักการ