การโจมตีทางคอมพิวเตอร์และเทคโนโลยีสำหรับการตรวจจับ ประเภทของการโจมตี การโจมตีเครือข่ายเดียวซ้ำๆ
1. การจับแพ็คเก็ต
การดมกลิ่นแพ็คเก็ตเป็นโปรแกรมแอปพลิเคชันที่ใช้อินเทอร์เฟซเครือข่ายที่ทำงานในโหมดที่หลากหลาย ในโหมดนี้ อะแดปเตอร์เครือข่ายจะอนุญาตให้คุณรับแพ็กเก็ตทั้งหมดที่ได้รับผ่านช่องทางจริง โดยไม่คำนึงว่าส่งถึงใคร และส่งไปยังแอปพลิเคชันสำหรับการประมวลผล ปัจจุบัน sniffers ใช้ในเครือข่ายตามกฎหมายอย่างสมบูรณ์ ใช้สำหรับแก้ไขปัญหาและวิเคราะห์ทราฟฟิก อย่างไรก็ตาม เนื่องจากแอปพลิเคชันเครือข่ายบางตัวส่งข้อมูลในรูปแบบข้อความ (Telnet, FTP, SMTP, POP3 เป็นต้น) การใช้ sniffer สามารถเปิดเผยข้อมูลที่เป็นประโยชน์และบางครั้งเป็นความลับ (เช่น ชื่อผู้ใช้และรหัสผ่าน)
การสกัดกั้นการเข้าสู่ระบบและรหัสผ่านทำให้เกิดอันตรายอย่างมาก หากแอปพลิเคชันทำงานในโหมดไคลเอนต์-เซิร์ฟเวอร์ และข้อมูลการตรวจสอบความถูกต้องถูกส่งผ่านเครือข่ายในรูปแบบข้อความที่อ่านได้ ข้อมูลนี้มักจะถูกใช้เพื่อเข้าถึงทรัพยากรขององค์กรหรือภายนอกอื่นๆ ในกรณีที่เลวร้ายที่สุด ผู้โจมตีจะสามารถเข้าถึงทรัพยากรของผู้ใช้ในระดับระบบ และใช้เพื่อสร้างผู้ใช้ใหม่ที่สามารถใช้เมื่อใดก็ได้เพื่อเข้าถึงเครือข่ายและทรัพยากร
2. การปลอมแปลง IP
การปลอมแปลง IP (จากการหลอกลวงในภาษาอังกฤษ - การหลอกลวง) เกิดขึ้นเมื่อผู้โจมตีทั้งภายในและภายนอกองค์กรปลอมตัวเป็นผู้ใช้ที่ได้รับอนุญาต สามารถทำได้สองวิธี:
ก) การใช้ที่อยู่ IP ที่อยู่ในช่วงของที่อยู่ IP ที่ได้รับอนุญาต
การโจมตีด้วยการปลอมแปลง IP มักเป็นจุดเริ่มต้นของการโจมตีอื่นๆ ตัวอย่างคลาสสิกคือการโจมตี DoS ที่เริ่มต้นด้วยที่อยู่ปลอมที่ซ่อนตัวตนที่แท้จริงของผู้โจมตี
โดยทั่วไปแล้ว การปลอมแปลง IP จะจำกัดอยู่ที่การแทรกข้อมูลเท็จหรือคำสั่งที่เป็นอันตรายลงในสตรีมข้อมูลปกติที่ส่งระหว่างไคลเอ็นต์และแอปพลิเคชันเซิร์ฟเวอร์ หรือผ่านช่องทางการสื่อสารระหว่างเพียร์ สำหรับการสื่อสารแบบสองทาง ผู้โจมตีต้องเปลี่ยนตารางเส้นทางทั้งหมดเพื่อกำหนดเส้นทางการรับส่งข้อมูลไปยังที่อยู่ IP ปลอม
หากผู้โจมตีจัดการเพื่อเปลี่ยนตารางเส้นทางและกำหนดเส้นทางการรับส่งข้อมูลเครือข่ายไปยังที่อยู่ IP ปลอม เขาจะได้รับแพ็กเก็ตทั้งหมดและจะสามารถตอบสนองได้ราวกับว่าเขาเป็นผู้ใช้ที่ได้รับอนุญาต
3. การปฏิเสธการให้บริการ
การปฏิเสธการให้บริการ (จากภาษาอังกฤษ Denial of Service เรียกโดยย่อว่า DoS) เป็นรูปแบบการโจมตีเครือข่ายที่เป็นที่รู้จักมากที่สุดอย่างไม่ต้องสงสัย นอกจากนี้ การป้องกันการโจมตีประเภทนี้เป็นเรื่องยากที่สุดในการสร้างการป้องกันหนึ่งร้อยเปอร์เซ็นต์ องค์กรของ DoS ต้องการความรู้และทักษะขั้นต่ำ อย่างไรก็ตาม ความง่ายในการใช้งานและระดับความเสียหายที่แท้จริงที่ดึงดูดผู้โจมตีให้โจมตี DoS
การโจมตีนี้แตกต่างอย่างมากจากการโจมตีประเภทอื่นๆ ผู้โจมตีไม่ได้มุ่งหมายที่จะเข้าถึงเครือข่าย และเพื่อให้ได้ข้อมูลใดๆ จากเครือข่ายนี้ แต่การโจมตีแบบ DoS ทำให้เครือข่ายของคุณไม่สามารถใช้งานได้ตามปกติ โดยเกินขีดจำกัดที่อนุญาตของเครือข่าย ระบบปฏิบัติการ หรือแอปพลิเคชัน ในกรณีของแอปพลิเคชันเซิร์ฟเวอร์บางตัว (เช่น เว็บเซิร์ฟเวอร์หรือเซิร์ฟเวอร์ FTP) การโจมตี DoS สามารถดึงการเชื่อมต่อทั้งหมดที่มีอยู่ไปยังแอปพลิเคชันเหล่านั้นและทำให้ไม่ว่าง ป้องกันไม่ให้ผู้ใช้ทั่วไปถูกให้บริการ การโจมตี DoS สามารถใช้อินเทอร์เน็ตโปรโตคอลทั่วไป เช่น TCP และ ICMP
การโจมตีบางอย่างทำให้ประสิทธิภาพของเครือข่ายเป็นโมฆะโดยการทำให้แพ็กเก็ตที่ไม่ต้องการและไม่จำเป็นท่วมท้น หรือโดยการบิดเบือนความจริงเกี่ยวกับสถานะปัจจุบันของทรัพยากรเครือข่าย เมื่อการโจมตีประเภทนี้ดำเนินการพร้อมกันผ่านอุปกรณ์จำนวนมาก เรากำลังพูดถึงการโจมตีแบบ DoS แบบกระจาย (จากภาษาอังกฤษแบบ Distributed DoS ซึ่งย่อมาจาก DDoS)
4. การโจมตีด้วยรหัสผ่าน
ผู้โจมตีสามารถทำการโจมตีด้วยรหัสผ่านได้หลายวิธี เช่น การโจมตีด้วยกำลังดุร้าย ม้าโทรจัน การปลอมแปลง IP และการดักจับแพ็กเก็ต แม้ว่าที่จริงแล้วการเข้าสู่ระบบและรหัสผ่านมักจะได้รับจากการปลอมแปลง IP และการดมกลิ่น แต่ผู้โจมตีมักจะพยายามเดารหัสผ่านและเข้าสู่ระบบโดยใช้ความพยายามในการเข้าถึงหลายครั้ง วิธีการนี้เรียกว่าการแจงนับอย่างง่าย
สำหรับการโจมตีดังกล่าว จะใช้โปรแกรมพิเศษที่พยายามเข้าถึงทรัพยากรที่ใช้ร่วมกัน (เช่น เซิร์ฟเวอร์) หากผลที่ตามมาคือผู้โจมตีได้รับสิทธิ์ในการเข้าถึงทรัพยากร เขาก็จะได้รับเป็นผู้ใช้ที่เดารหัสผ่านได้ หากผู้ใช้ที่ได้รับสิทธิ์ในการเข้าถึงที่สำคัญ ผู้โจมตีสามารถสร้าง "เกตเวย์" สำหรับการเข้าถึงในอนาคต ซึ่งจะมีผลแม้ว่าผู้ใช้จะเปลี่ยนรหัสผ่านก็ตาม
5. การโจมตีจากคนตรงกลาง
สำหรับการโจมตีแบบ Man-in-the-Middle ผู้โจมตีจำเป็นต้องเข้าถึงแพ็กเก็ตที่ส่งผ่านเครือข่าย ตัวอย่างเช่น การเข้าถึงแพ็กเก็ตทั้งหมดที่ส่งจากผู้ให้บริการไปยังเครือข่ายอื่นสามารถรับได้โดยพนักงานของผู้ให้บริการรายนี้ Packet sniffers โปรโตคอลการขนส่ง และโปรโตคอลการกำหนดเส้นทางมักถูกใช้สำหรับการโจมตีประเภทนี้ การโจมตีจะดำเนินการเพื่อขโมยข้อมูล สกัดกั้นเซสชันปัจจุบันและเข้าถึงทรัพยากรเครือข่ายส่วนตัว เพื่อวิเคราะห์การรับส่งข้อมูลและรับข้อมูลเกี่ยวกับเครือข่ายและผู้ใช้ ดำเนินการโจมตี DoS บิดเบือนข้อมูลที่ส่ง และป้อนข้อมูลที่ไม่ได้รับอนุญาตลงในเซสชันเครือข่าย
6. การโจมตีในระดับแอปพลิเคชัน
การโจมตีชั้นแอปพลิเคชันสามารถทำได้หลายวิธี สิ่งที่พบได้บ่อยที่สุดคือการใช้ประโยชน์จากจุดอ่อนที่รู้จักกันดีในซอฟต์แวร์เซิร์ฟเวอร์ (sendmail, HTTP, FTP) การใช้จุดอ่อนเหล่านี้ทำให้ผู้โจมตีสามารถเข้าถึงคอมพิวเตอร์ได้ในนามของผู้ใช้ที่เรียกใช้แอปพลิเคชัน (โดยปกติแล้วนี่ไม่ใช่ผู้ใช้ทั่วไป แต่เป็นผู้ดูแลระบบที่ได้รับสิทธิ์ในการเข้าถึงระบบ) การโจมตีในชั้นแอปพลิเคชันได้รับการเผยแพร่อย่างกว้างขวางเพื่อให้ผู้ดูแลระบบมีโอกาสแก้ไขปัญหาด้วยโมดูลแก้ไข (แพตช์) น่าเสียดายที่แฮกเกอร์จำนวนมากสามารถเข้าถึงข้อมูลนี้ได้เช่นกัน ซึ่งทำให้พวกเขาปรับปรุงได้
ปัญหาหลักของการโจมตีระดับแอปพลิเคชันคือผู้โจมตีมักใช้พอร์ตที่ได้รับอนุญาตให้ผ่านไฟร์วอลล์ (ไฟร์วอลล์) ตัวอย่างเช่น ผู้โจมตีใช้ประโยชน์จากจุดอ่อนที่รู้จักกันดีในเว็บเซิร์ฟเวอร์มักจะใช้พอร์ต 80 ในการโจมตี TCP เนื่องจากเว็บเซิร์ฟเวอร์เปิดเผยเว็บเพจแก่ผู้ใช้ ไฟร์วอลล์ จึงต้องให้การเข้าถึงพอร์ตนี้ จากมุมมองของไฟร์วอลล์ การโจมตีจะถือว่าเป็นการรับส่งข้อมูลมาตรฐานบนพอร์ต 80
7. ข่าวกรองเครือข่าย
ข่าวกรองเครือข่ายคือการรวบรวมข้อมูลเกี่ยวกับเครือข่ายโดยใช้ข้อมูลและแอปพลิเคชันที่เปิดเผยต่อสาธารณะ เมื่อเตรียมการโจมตีเครือข่าย ผู้โจมตีมักจะพยายามดึงข้อมูลเกี่ยวกับเครือข่ายให้ได้มากที่สุด การลาดตระเวนเครือข่ายอยู่ในรูปแบบของการสืบค้น DNS, การ Ping และการสแกนพอร์ต ข้อความค้นหา DNS ช่วยให้คุณเข้าใจว่าใครเป็นเจ้าของโดเมนหนึ่งๆ และที่อยู่ใดที่กำหนดให้กับโดเมนนั้น การ Ping ที่อยู่ที่ค้นพบ DNS ช่วยให้คุณเห็นว่าโฮสต์ใดกำลังทำงานจริงในสภาพแวดล้อมที่กำหนด จากรายชื่อโฮสต์ ผู้โจมตีจะใช้เครื่องมือสแกนพอร์ตเพื่อรวบรวมรายชื่อบริการทั้งหมดที่รองรับโดยโฮสต์เหล่านี้ สุดท้าย จะวิเคราะห์ลักษณะของแอปพลิเคชันที่ทำงานบนโฮสต์ เป็นผลให้เขาได้รับข้อมูลที่สามารถใช้สำหรับการแฮ็ค
8. การใช้ความไว้วางใจในทางที่ผิด
พูดอย่างเคร่งครัด การกระทำประเภทนี้ไม่อยู่ในความหมายที่สมบูรณ์ของคำว่าการโจมตีหรือการจู่โจม เป็นการใช้ประโยชน์จากความสัมพันธ์ที่เชื่อถือได้ซึ่งมีอยู่ในเครือข่ายโดยมุ่งร้าย ตัวอย่างคลาสสิกของการล่วงละเมิดดังกล่าวอยู่ที่ชายขอบของเครือข่ายองค์กร ส่วนนี้มักจะโฮสต์เซิร์ฟเวอร์ DNS, SMTP และ HTTP เนื่องจากทั้งหมดอยู่ในส่วนเดียวกัน การละเมิดส่วนใดส่วนหนึ่งจึงนำไปสู่การละเมิดส่วนอื่นๆ ทั้งหมด เนื่องจากเซิร์ฟเวอร์เหล่านี้เชื่อถือระบบอื่นในเครือข่ายของตน อีกตัวอย่างหนึ่งคือระบบที่ติดตั้งอยู่ด้านนอกของไฟร์วอลล์ที่มีความสัมพันธ์ที่เชื่อถือได้กับระบบที่ติดตั้งไว้ด้านใน ในกรณีที่ระบบภายนอกถูกบุกรุก ผู้โจมตีสามารถใช้ความสัมพันธ์ที่ไว้วางใจเพื่อเจาะระบบที่ป้องกันโดยไฟร์วอลล์
9. การส่งต่อพอร์ต
การส่งต่อพอร์ตเป็นรูปแบบหนึ่งของการละเมิดความไว้วางใจซึ่งใช้โฮสต์ที่ถูกบุกรุกเพื่อส่งทราฟฟิกผ่านไฟร์วอลล์ที่อาจถูกปฏิเสธ ลองนึกภาพไฟร์วอลล์ที่มีสามอินเทอร์เฟซ แต่ละอินเทอร์เฟซเชื่อมต่อกับโฮสต์เฉพาะ โฮสต์ภายนอกสามารถเชื่อมต่อกับโฮสต์ที่ใช้ร่วมกัน (DMZ) แต่เชื่อมต่อกับโฮสต์ที่ติดตั้งภายในไฟร์วอลล์ไม่ได้ โฮสต์ที่ใช้ร่วมกันสามารถเชื่อมต่อกับโฮสต์ทั้งภายในและภายนอก หากผู้โจมตีครอบครองโฮสต์ที่ใช้ร่วมกัน เขาสามารถติดตั้งเครื่องมือบนโฮสต์นั้นซึ่งเปลี่ยนเส้นทางการรับส่งข้อมูลจากโฮสต์ภายนอกไปยังโฮสต์ภายในโดยตรง แม้ว่าจะไม่ละเมิดกฎใดๆ บนหน้าจอ แต่การเปลี่ยนเส้นทางจะทำให้โฮสต์ภายนอกสามารถเข้าถึงโฮสต์ที่ได้รับการป้องกันได้โดยตรง ตัวอย่างของแอปพลิเคชันที่สามารถให้การเข้าถึงนี้คือ netcat
10. การเข้าถึงโดยไม่ได้รับอนุญาต
การเข้าถึงโดยไม่ได้รับอนุญาตไม่สามารถแยกออกเป็นประเภทหนึ่งของการโจมตีได้ เนื่องจากการโจมตีเครือข่ายส่วนใหญ่ดำเนินการอย่างแม่นยำเพื่อให้ได้รับการเข้าถึงโดยไม่ได้รับอนุญาต ในการรับการเข้าสู่ระบบ Telnet ผู้โจมตีจะต้องได้รับคำใบ้ Telnet บนระบบของตนก่อน หลังจากเชื่อมต่อกับพอร์ต Telnet ข้อความ "การอนุญาตที่จำเป็นในการใช้ทรัพยากรนี้" จะปรากฏขึ้นบนหน้าจอ หากผู้โจมตียังคงพยายามเข้าถึงหลังจากนั้น จะถือว่าพวกเขาไม่ได้รับอนุญาต แหล่งที่มาของการโจมตีดังกล่าวสามารถเป็นได้ทั้งภายในเครือข่ายและภายนอก
11. โปรแกรมไวรัสและม้าโทรจัน
เวิร์กสเตชันของผู้ใช้มีความเสี่ยงสูงต่อไวรัสและม้าโทรจัน ไวรัสเป็นโปรแกรมอันตรายที่แทรกตัวเองเข้าไปในโปรแกรมอื่นเพื่อทำหน้าที่บางอย่างที่ไม่พึงประสงค์บนเวิร์กสเตชันของผู้ใช้ปลายทาง ตัวอย่างคือไวรัสที่เขียนตัวเองลงในไฟล์ command.com (ตัวแปลหลักสำหรับระบบ Windows) และลบไฟล์อื่นๆ และแพร่ระบาดใน command.com เวอร์ชันอื่นๆ ทั้งหมดที่พบ
ม้าโทรจันไม่ใช่ส่วนแทรกของซอฟต์แวร์ แต่เป็นโปรแกรมจริงที่เมื่อมองแวบแรกดูเหมือนจะเป็นแอปพลิเคชันที่มีประโยชน์ แต่ในความเป็นจริงมีบทบาทที่เป็นอันตราย ตัวอย่างของม้าโทรจันทั่วไปคือโปรแกรมที่มีลักษณะเหมือนเกมง่ายๆ สำหรับเวิร์กสเตชันของผู้ใช้ อย่างไรก็ตาม ในขณะที่ผู้ใช้กำลังเล่นเกม โปรแกรมจะส่งสำเนาของตัวเองทางอีเมลไปยังสมาชิกแต่ละคนที่มีรายชื่ออยู่ในสมุดที่อยู่ของผู้ใช้ สมาชิกทั้งหมดได้รับเกมทางไปรษณีย์ทำให้เกิดการเผยแพร่ต่อไป
จากประเภทของการโจมตีเครือข่าย เราสามารถเลือกการโจมตีที่ทำให้เกิดพฤติกรรมที่น่าสงสัยและผิดปกติของทราฟฟิกเครือข่ายในเครือข่ายองค์กรได้ สิ่งเหล่านี้เรียกว่าความผิดปกติของเครือข่าย นอกจากนี้ยังสามารถจำแนกความผิดปกติของเครือข่ายได้อีกด้วย สามารถแบ่งออกเป็นสองกลุ่มหลัก: การเบี่ยงเบนของซอฟต์แวร์และฮาร์ดแวร์และปัญหาด้านความปลอดภัย (รูปที่ 1.2.1)
1. การเบี่ยงเบนของซอฟต์แวร์และฮาร์ดแวร์
ข้อผิดพลาดในซอฟต์แวร์ของส่วนประกอบของระบบข้อมูลอาจนำไปสู่การถ่ายโอนไปยังโหมดที่ผิดปกติพร้อมกับการยุติการให้บริการในภายหลัง
ข้อผิดพลาดในการกำหนดค่าแปลการทำงานของส่วนประกอบระบบข้อมูลเป็นการไม่ปฏิบัติตามพารามิเตอร์การออกแบบมาตรฐาน ซึ่งทำให้ประสิทธิภาพโดยรวมหยุดชะงัก
การละเมิดประสิทธิภาพนำมาซึ่งผลลัพธ์ของพารามิเตอร์ของระบบข้อมูลเกินกว่าค่าที่คำนวณได้ซึ่งมาพร้อมกับการละเมิดการให้บริการ
ความล้มเหลวของฮาร์ดแวร์อาจนำไปสู่ความล้มเหลวโดยสมบูรณ์ของส่วนประกอบแต่ละส่วนของระบบข้อมูล และผลกระทบที่ลดลงของระบบย่อยที่แยกจากกันในคอมเพล็กซ์ทั้งหมด
2. การละเมิดความปลอดภัย
การสแกนเครือข่าย (การสแกนเครือข่าย) ดำเนินการเพื่อวิเคราะห์โทโพโลยีเครือข่ายและตรวจหาบริการที่พร้อมสำหรับการโจมตี ในระหว่างขั้นตอนการสแกน มีการพยายามเชื่อมต่อกับบริการเครือข่ายโดยการเข้าถึงพอร์ตเฉพาะ ในกรณีของการสแกนแบบเปิด สแกนเนอร์จะดำเนินการขั้นตอนการจับมือแบบสามทาง และในกรณีของการสแกนแบบปิด (ซ่อนตัว) จะไม่ยุติการเชื่อมต่อ เนื่องจากเมื่อสแกนโฮสต์แยกต่างหาก บริการ (พอร์ต) จะถูกค้นหา ความผิดปกตินี้มีลักษณะเฉพาะคือความพยายามในการเข้าถึงจากที่อยู่ IP หนึ่งของเครื่องสแกนไปยังที่อยู่ IP เฉพาะผ่านหลายพอร์ต อย่างไรก็ตาม เครือข่ายย่อยทั้งหมดมักถูกสแกน ซึ่งแสดงอยู่ในเครือข่ายที่ถูกโจมตีของแพ็กเก็ตจำนวนมากจากที่อยู่ IP หนึ่งของเครื่องสแกนไปยังที่อยู่ IP จำนวนมากของเครือข่ายย่อยที่อยู่ภายใต้การตรวจสอบ บางครั้งแม้แต่การค้นหาแบบเดรัจฉาน เครื่องสแกนเครือข่ายที่มีชื่อเสียงที่สุดคือ: nmap, ISS, satan, strobe, xscan และอื่น ๆ
เครื่องวิเคราะห์ทราฟฟิกหรือสนิฟเฟอร์ได้รับการออกแบบมาเพื่อสกัดกั้นและวิเคราะห์ทราฟฟิกเครือข่าย ในกรณีที่ง่ายที่สุด สำหรับสิ่งนี้ อะแดปเตอร์เครือข่ายของคอมเพล็กซ์ฮาร์ดแวร์จะเปลี่ยนเป็นโหมดการฟัง และกระแสข้อมูลในส่วนที่เชื่อมต่อจะพร้อมใช้งานสำหรับการศึกษาเพิ่มเติม เนื่องจากโปรแกรมแอปพลิเคชันจำนวนมากใช้โปรโตคอลที่ส่งข้อมูลในรูปแบบเปิดที่ไม่มีการเข้ารหัส การทำงานของ sniffers จึงลดระดับความปลอดภัยลงอย่างมาก โปรดทราบว่าการดมกลิ่นจะไม่ทำให้เกิดความผิดปกติที่เด่นชัดในเครือข่าย นักดมกลิ่นที่มีชื่อเสียงที่สุดคือ: tcpdump, ethereal, sniffit, Microsoft network monitor, netxray, lan explorer
ในการรักษาความปลอดภัยคอมพิวเตอร์ คำว่า ช่องโหว่ ใช้เพื่ออ้างถึงส่วนประกอบของระบบข้อมูลที่ได้รับการปกป้องอย่างแน่นหนาจากการเปิดเผยโดยไม่ได้รับอนุญาต ช่องโหว่อาจเป็นผลมาจากข้อผิดพลาดในการออกแบบ การเขียนโปรแกรม หรือการกำหนดค่า ช่องโหว่สามารถมีอยู่ในทางทฤษฎีเท่านั้นหรือมีการใช้งานซอฟต์แวร์ที่แสวงหาผลประโยชน์ - การแสวงหาผลประโยชน์ ในด้านเครือข่าย ช่องโหว่อาจส่งผลต่อทรัพยากรข้อมูล เช่น ระบบปฏิบัติการและซอฟต์แวร์บริการ
กิจกรรมเครือข่ายไวรัสเป็นผลจากความพยายามแพร่ไวรัสคอมพิวเตอร์และเวิร์มโดยใช้ทรัพยากรเครือข่าย บ่อยที่สุด ไวรัสคอมพิวเตอร์ใช้ประโยชน์จากช่องโหว่เพียงจุดเดียวในบริการแอปพลิเคชันเครือข่าย ดังนั้นทราฟฟิกของไวรัสจึงมีลักษณะเฉพาะคือมีการเข้าถึงจำนวนมากจากที่อยู่ IP ที่ติดไวรัสไปยังที่อยู่ IP จำนวนมากบนพอร์ตเฉพาะที่สอดคล้องกับบริการที่อาจมีช่องโหว่
การโจมตี DoS และ DDoS เป็นผลกระทบภายนอกที่รุนแรงต่อทรัพยากรคอมพิวเตอร์ของเซิร์ฟเวอร์หรือเวิร์กสเตชัน ซึ่งดำเนินการเพื่อทำให้สิ่งหลังเกิดความล้มเหลว ความล้มเหลวเราไม่ได้หมายถึงความล้มเหลวทางกายภาพของเครื่อง แต่เป็นการไม่พร้อมใช้งานของทรัพยากรสำหรับผู้ใช้ที่มีมโนธรรม - ความล้มเหลวของระบบในการให้บริการ ( งอีเนียล โอฉ สบริการซึ่งมาจากตัวย่อ DoS)
หากการโจมตีดังกล่าวดำเนินการจากคอมพิวเตอร์เครื่องเดียว จะจัดประเภทเป็น DoS (DoS) หากมาจากหลายเครื่อง - DDoS (DDoS หรือ DDoS) ซึ่งหมายความว่า "งออก งอีเนียล โอฉ สบริการ" - การปฏิเสธการให้บริการแบบกระจาย ต่อไป เราจะพูดถึงสาเหตุที่ผู้โจมตีดำเนินการดังกล่าว สิ่งที่พวกเขาทำ อันตรายที่ผู้โจมตีทำ และวิธีที่ผู้โจมตีปกป้องทรัพยากรของพวกเขา
ใครสามารถได้รับผลกระทบจากการโจมตี DoS และ DDoS
เซิร์ฟเวอร์องค์กรขององค์กรและเว็บไซต์ต่าง ๆ ถูกโจมตีบ่อยครั้งน้อยกว่ามาก - คอมพิวเตอร์ส่วนบุคคลของบุคคล ตามกฎแล้วจุดประสงค์ของการกระทำดังกล่าวนั้นเหมือนกัน - เพื่อสร้างความเสียหายทางเศรษฐกิจให้กับผู้ที่ถูกโจมตีและในขณะเดียวกันก็อยู่ในเงามืด ในบางกรณี การโจมตีแบบ DoS และ DDoS เป็นหนึ่งในขั้นตอนของการแฮ็กเซิร์ฟเวอร์และมุ่งเป้าไปที่การขโมยหรือทำลายข้อมูล ในความเป็นจริง องค์กรหรือเว็บไซต์ที่เป็นของใครก็ตามสามารถตกเป็นเหยื่อของผู้โจมตีได้
แผนผังแสดงสาระสำคัญของการโจมตี DDoS:
การโจมตีแบบ DoS และ DDoS มักดำเนินการตามคำแนะนำของคู่แข่งที่ไม่ซื่อสัตย์ ดังนั้น โดยการ "เติมเต็ม" เว็บไซต์ของร้านค้าออนไลน์ที่นำเสนอผลิตภัณฑ์ที่คล้ายกัน คุณสามารถกลายเป็น "ผู้ผูกขาด" ได้ชั่วคราวและรับลูกค้าด้วยตัวคุณเอง การ "วางระบบ" เซิร์ฟเวอร์ของบริษัท อาจทำให้งานของบริษัทคู่แข่งหยุดชะงักได้ และทำให้ตำแหน่งของบริษัทในตลาดลดลง
การโจมตีขนาดใหญ่ที่สามารถสร้างความเสียหายอย่างมีนัยสำคัญมักดำเนินการโดยอาชญากรไซเบอร์มืออาชีพด้วยเงินจำนวนมาก แต่ไม่เสมอไป. แฮ็กเกอร์สมัครเล่นในท้องถิ่นสามารถโจมตีทรัพยากรของคุณ - โดยไม่หวังผลประโยชน์ และอาจล้างแค้นจากพนักงานที่ถูกเลิกจ้าง และเพียงแค่ผู้ที่ไม่ได้แบ่งปันมุมมองเกี่ยวกับชีวิตของคุณ
บางครั้งผลกระทบจะดำเนินการเพื่อจุดประสงค์ในการขู่กรรโชก ในขณะที่ผู้โจมตีเรียกร้องเงินจากเจ้าของทรัพยากรอย่างเปิดเผยเพื่อหยุดการโจมตี
เซิร์ฟเวอร์ของบริษัทของรัฐและองค์กรที่มีชื่อเสียงมักจะถูกโจมตีโดยกลุ่มแฮ็กเกอร์ที่มีทักษะสูงซึ่งไม่ระบุชื่อ เพื่อที่จะสร้างอิทธิพลต่อเจ้าหน้าที่หรือทำให้เกิดเสียงโวยวายจากสาธารณชน
วิธีดำเนินการโจมตี
หลักการทำงานของการโจมตี DoS และ DDoS คือการส่งข้อมูลจำนวนมากไปยังเซิร์ฟเวอร์ซึ่งสูงสุด (เท่าที่ความสามารถของแฮ็กเกอร์อนุญาต) โหลดทรัพยากรการประมวลผลของโปรเซสเซอร์, RAM, อุดตันช่องทางการสื่อสารหรือเติมพื้นที่ดิสก์ เครื่องที่ถูกโจมตีไม่สามารถรับมือกับการประมวลผลข้อมูลขาเข้าและหยุดตอบสนองต่อคำขอของผู้ใช้
นี่คือลักษณะการทำงานปกติของเซิร์ฟเวอร์ที่แสดงในโปรแกรม Logstalgia มีลักษณะดังนี้:
ประสิทธิภาพของการโจมตีแบบ single DOS นั้นไม่สูงมากนัก นอกจากนี้ การโจมตีจากคอมพิวเตอร์ส่วนบุคคลยังทำให้ผู้โจมตีเสี่ยงต่อการถูกระบุตัวตนและถูกจับได้ การโจมตีแบบกระจาย (DDoS) ที่ดำเนินการจากเครือข่ายซอมบี้หรือบ็อตเน็ตนั้นให้ผลกำไรที่มากกว่า
นี่คือวิธีที่เว็บไซต์ Norse-corp.com แสดงกิจกรรมของบ็อตเน็ต:
เครือข่ายซอมบี้ (บอตเน็ต) คือกลุ่มของคอมพิวเตอร์ที่ไม่มีการเชื่อมต่อระหว่างกัน พวกเขารวมเป็นหนึ่งโดยความจริงที่ว่าพวกเขาทั้งหมดอยู่ภายใต้การควบคุมของผู้โจมตี การควบคุมดำเนินการโดยโปรแกรมโทรจันซึ่งในขณะนี้อาจไม่แสดงออกมาในทางใดทางหนึ่ง เมื่อดำเนินการโจมตี แฮ็กเกอร์จะสั่งให้คอมพิวเตอร์ที่ติดไวรัสส่งคำขอไปยังเว็บไซต์หรือเซิร์ฟเวอร์ของเหยื่อ และเขาไม่สามารถต้านทานการโจมตีได้ จึงหยุดตอบสนอง
นี่คือวิธีที่ Logstalgia แสดงการโจมตี DDoS:
คอมพิวเตอร์ทุกเครื่องสามารถเข้าร่วมบอตเน็ตได้ และแม้แต่สมาร์ทโฟน ก็เพียงพอแล้วที่จะจับโทรจันและตรวจไม่พบทันเวลา อย่างไรก็ตาม บ็อตเน็ตที่ใหญ่ที่สุดมีจำนวนเกือบ 2 ล้านเครื่องทั่วโลก และเจ้าของไม่รู้ว่าต้องทำอะไร
วิธีการโจมตีและป้องกัน
ก่อนเริ่มการโจมตี แฮ็กเกอร์จะหาวิธีดำเนินการให้ได้ผลสูงสุด หากโหนดที่ถูกโจมตีมีช่องโหว่หลายจุด ผลกระทบอาจถูกดำเนินการในทิศทางต่างๆ ซึ่งจะทำให้มาตรการตอบโต้ซับซ้อนขึ้นอย่างมาก ดังนั้นจึงเป็นเรื่องสำคัญที่ผู้ดูแลระบบเซิร์ฟเวอร์แต่ละคนจะต้องศึกษา "คอขวด" ทั้งหมดของตน และหากเป็นไปได้ ก็ควรเสริมความแข็งแกร่งให้กับพวกเขา
น้ำท่วม
เรียกง่ายๆ ว่า Flud คือข้อมูลที่ไม่มีภาระทางความหมาย ในบริบทของการโจมตี DoS / DDoS น้ำท่วมคือการร้องขอที่ว่างเปล่าและไม่มีความหมายในระดับหนึ่งหรือระดับอื่นที่โหนดรับถูกบังคับให้ดำเนินการ
จุดประสงค์หลักของการใช้น้ำท่วมคือการอุดตันช่องทางการสื่อสารอย่างสมบูรณ์ เพื่อทำให้แบนด์วิดธ์อิ่มตัวสูงสุด
ประเภทของเหลว:
- น้ำท่วม MAC - ส่งผลกระทบต่อตัวสื่อสารเครือข่าย (การปิดกั้นพอร์ตโดยสตรีมข้อมูล)
- ICMP ท่วม - ท่วมเหยื่อด้วยคำขอบริการ echo โดยใช้เครือข่ายผีดิบหรือส่งคำขอ "ในนามของ" โฮสต์ที่ถูกโจมตีเพื่อให้สมาชิกทั้งหมดของ botnet ส่งการตอบสนองแบบสะท้อนพร้อมกัน (การโจมตี Smurf) กรณีพิเศษของการท่วม ICMP คือ ping ท่วม (ส่งคำขอ ping ไปยังเซิร์ฟเวอร์)
- SYN ล้น - ส่งคำขอ SYN จำนวนมากไปยังเหยื่อ ล้นคิวการเชื่อมต่อ TCP โดยสร้างการเชื่อมต่อครึ่งเปิดจำนวนมาก (รอการยืนยันไคลเอนต์)
- UDP Flood - ทำงานตามรูปแบบการโจมตีของ Smurf โดยที่ดาตาแกรม UDP จะถูกส่งแทนแพ็กเก็ต ICMP
- HTTP ท่วม - ท่วมเซิร์ฟเวอร์ด้วยข้อความ HTTP จำนวนมาก ตัวเลือกที่ซับซ้อนกว่านั้นคือ HTTPS ฟลัด ซึ่งข้อมูลที่ส่งได้รับการเข้ารหัสไว้ล่วงหน้า และก่อนที่โหนดที่ถูกโจมตีจะประมวลผล โหนดจะต้องถอดรหัสก่อน
วิธีป้องกันตัวจากน้ำท่วม
- กำหนดค่าสวิตช์เครือข่ายเพื่อตรวจสอบและกรองที่อยู่ MAC
- จำกัดหรือปิดใช้งานการประมวลผลคำขอเสียงสะท้อน ICMP
- บล็อกแพ็กเก็ตที่มาจากที่อยู่หรือโดเมนเฉพาะ ซึ่งทำให้สงสัยว่าไม่น่าเชื่อถือ
- กำหนดขีดจำกัดจำนวนของการเชื่อมต่อแบบ half-open กับที่อยู่เดียว ลดเวลาการเก็บรักษา ยืดคิวการเชื่อมต่อ TCP
- ปิดใช้งานบริการ UDP ไม่ให้รับทราฟฟิกจากภายนอก หรือจำกัดจำนวนการเชื่อมต่อ UDP
- ใช้ CAPTCHA ความล่าช้า และเทคนิคการป้องกันบอทอื่นๆ
- เพิ่มจำนวนการเชื่อมต่อ HTTP สูงสุด กำหนดค่าคำขอแคชด้วย nginx
- ขยายแบนด์วิธของช่องเครือข่าย
- หากเป็นไปได้ ให้จัดสรรเซิร์ฟเวอร์แยกต่างหากสำหรับการประมวลผลการเข้ารหัส (หากใช้)
- สร้างช่องทางสำรองสำหรับการเข้าถึงเซิร์ฟเวอร์ในสถานการณ์ฉุกเฉิน
โอเวอร์โหลดทรัพยากรฮาร์ดแวร์
มีประเภทน้ำท่วมที่ไม่ส่งผลกระทบต่อช่องทางการสื่อสาร แต่ทรัพยากรฮาร์ดแวร์ของคอมพิวเตอร์ที่ถูกโจมตีโหลดจนเต็มและทำให้เกิดการหยุดทำงานหรือหยุดทำงาน ตัวอย่างเช่น:
- การสร้างสคริปต์ที่จะโพสต์ในฟอรัมหรือเว็บไซต์ที่ผู้ใช้มีโอกาสแสดงความคิดเห็นซึ่งเป็นข้อความที่ไม่มีความหมายจำนวนมากจนกว่าจะเต็มพื้นที่ดิสก์
- เช่นเดียวกันเฉพาะบันทึกของเซิร์ฟเวอร์เท่านั้นที่จะเติมเต็มไดรฟ์
- กำลังโหลดไซต์ที่มีการแปลงข้อมูลที่ป้อนบางประเภทโดยการประมวลผลข้อมูลนี้อย่างต่อเนื่อง (ส่งแพ็กเก็ตที่เรียกว่า "หนัก")
- กำลังโหลดโปรเซสเซอร์หรือหน่วยความจำโดยเรียกใช้โค้ดผ่านอินเทอร์เฟซ CGI (การสนับสนุน CGI อนุญาตให้คุณเรียกใช้โปรแกรมภายนอกบางโปรแกรมบนเซิร์ฟเวอร์)
- การทริกเกอร์ระบบรักษาความปลอดภัยที่ทำให้เซิร์ฟเวอร์ไม่สามารถเข้าถึงได้จากภายนอก เป็นต้น
วิธีป้องกันตัวเองจากการโอเวอร์โหลดทรัพยากรฮาร์ดแวร์
- เพิ่มประสิทธิภาพฮาร์ดแวร์และพื้นที่ดิสก์ เมื่อเซิร์ฟเวอร์ทำงานในโหมดปกติ อย่างน้อย 25-30% ของทรัพยากรควรว่าง
- เปิดใช้งานระบบวิเคราะห์และกรองการรับส่งข้อมูลก่อนส่งไปยังเซิร์ฟเวอร์
- จำกัดการใช้ทรัพยากรฮาร์ดแวร์ตามส่วนประกอบของระบบ (กำหนดโควต้า)
- จัดเก็บไฟล์บันทึกของเซิร์ฟเวอร์ในไดรฟ์แยกต่างหาก
- กระจายทรัพยากรไปยังเซิร์ฟเวอร์อิสระหลายเครื่อง ดังนั้นหากส่วนหนึ่งล้มเหลว ส่วนอื่นๆ จะยังคงใช้งานได้
ช่องโหว่ในระบบปฏิบัติการ ซอฟต์แวร์ เฟิร์มแวร์ของอุปกรณ์
มีตัวเลือกมากมายสำหรับการโจมตีดังกล่าวมากกว่าการใช้น้ำท่วม การนำไปใช้งานขึ้นอยู่กับทักษะและประสบการณ์ของผู้โจมตี ความสามารถของเขาในการค้นหาข้อผิดพลาดในรหัสโปรแกรมและใช้มันเพื่อประโยชน์ของตนเองและเพื่อความเสียหายของเจ้าของทรัพยากร
เมื่อแฮ็กเกอร์ค้นพบช่องโหว่ (จุดบกพร่องในซอฟต์แวร์ที่สามารถใช้ทำลายระบบได้) เขาจะต้องสร้างและเรียกใช้ช่องโหว่เท่านั้น ซึ่งเป็นโปรแกรมที่ใช้ประโยชน์จากช่องโหว่นี้
การใช้ประโยชน์จากช่องโหว่ไม่ได้มีวัตถุประสงค์เพื่อทำให้เกิดการปฏิเสธบริการเสมอไป หากแฮ็กเกอร์โชคดี เขาจะสามารถควบคุมทรัพยากรและกำจัด "ของขวัญแห่งโชคชะตา" นี้ได้ตามดุลยพินิจของเขา เช่น ใช้เพื่อแพร่กระจายมัลแวร์ ขโมยและทำลายข้อมูล เป็นต้น
วิธีการตอบโต้การใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์
- ติดตั้งการอัปเดตทันเวลาเพื่อปิดช่องโหว่ของระบบปฏิบัติการและแอปพลิเคชัน
- แยกจากบุคคลที่สามเข้าถึงบริการทั้งหมดที่ออกแบบมาเพื่อแก้ปัญหางานด้านการดูแลระบบ
- ใช้เครื่องมือสำหรับตรวจสอบการทำงานของเซิร์ฟเวอร์ OS และโปรแกรมอย่างต่อเนื่อง (การวิเคราะห์พฤติกรรม ฯลฯ)
- ปฏิเสธโปรแกรมที่อาจมีความเสี่ยง (ฟรี เขียนเอง ไม่ค่อยอัพเดท) หันไปใช้โปรแกรมที่ได้รับการพิสูจน์แล้วและมีการป้องกันอย่างดี
- ใช้วิธีสำเร็จรูปในการป้องกันระบบจากการโจมตี DoS และ DDoS ซึ่งมีอยู่ทั้งในรูปแบบของระบบฮาร์ดแวร์และซอฟต์แวร์
วิธีตรวจสอบว่าทรัพยากรถูกโจมตีโดยแฮ็กเกอร์หรือไม่
หากผู้โจมตีบรรลุเป้าหมายได้สำเร็จ เป็นไปไม่ได้ที่จะไม่สังเกตเห็นการโจมตี แต่ในบางกรณี ผู้ดูแลระบบไม่สามารถระบุได้แน่ชัดว่าเริ่มเมื่อใด นั่นคือจากการโจมตีจนถึงอาการที่สังเกตได้บางครั้งก็ผ่านไปหลายชั่วโมง อย่างไรก็ตาม ในช่วงผลกระทบแฝง (จนกระทั่งเซิร์ฟเวอร์ "หยุดทำงาน") สัญญาณบางอย่างก็ปรากฏขึ้นเช่นกัน ตัวอย่างเช่น:
- พฤติกรรมที่ผิดปกติของแอปพลิเคชันเซิร์ฟเวอร์หรือระบบปฏิบัติการ (หยุดทำงาน ปิดเครื่องโดยมีข้อผิดพลาด เป็นต้น)
- โหลดของโปรเซสเซอร์, RAM และที่เก็บข้อมูลเพิ่มขึ้นอย่างมากเมื่อเทียบกับระดับเริ่มต้น
- ปริมาณการรับส่งข้อมูลในหนึ่งพอร์ตหรือมากกว่านั้นเพิ่มขึ้นอย่างมาก
- มีคำขอซ้ำๆ ของลูกค้าไปยังทรัพยากรเดียวกัน (เปิดหนึ่งหน้าของไซต์ ดาวน์โหลดไฟล์เดียวกัน)
- การวิเคราะห์บันทึกของเซิร์ฟเวอร์ ไฟร์วอลล์ และอุปกรณ์เครือข่ายแสดงคำขอซ้ำจำนวนมากจากที่อยู่ต่างๆ ซึ่งมักส่งไปยังพอร์ตหรือบริการเฉพาะ โดยเฉพาะอย่างยิ่งหากไซต์มุ่งเน้นไปที่ผู้ชมกลุ่มแคบ (เช่น พูดภาษารัสเซีย) และคำขอมาจากทั่วทุกมุมโลก ในขณะเดียวกัน การวิเคราะห์เชิงคุณภาพของการเข้าชมแสดงให้เห็นว่าคำขอไม่สมเหตุสมผลสำหรับลูกค้า
ทั้งหมดข้างต้นไม่ใช่สัญญาณของการโจมตี 100% แต่เป็นเหตุผลที่ควรให้ความสนใจกับปัญหาและใช้มาตรการป้องกันที่เหมาะสม
ระบบคอมพิวเตอร์ของเรามีความเสี่ยงต่อการโจมตีประเภทต่างๆ สิ่งสำคัญคือต้องระวังการโจมตีคอมพิวเตอร์ทั่วไปเพื่อป้องกันระบบจากการโจมตีเหล่านี้ ในโลกปัจจุบัน มันแทบจะกลายเป็นเรื่องธรรมดาไปแล้วเมื่อเราได้ยินเกี่ยวกับระบบคอมพิวเตอร์ส่วนบุคคลหรือเครือข่ายที่ถูกโจมตี ในยุคของเทคโนโลยีนี้ มีการโจมตีทางคอมพิวเตอร์หลายประเภทที่คุณต้องการปกป้องข้อมูล ระบบ และเครือข่ายอันมีค่าของคุณ แม้ว่าการโจมตีบางอย่างอาจสร้างความเสียหายให้กับข้อมูลในคอมพิวเตอร์ได้ แต่ก็มีการโจมตีอื่นๆ ที่สามารถขโมยข้อมูลจากระบบคอมพิวเตอร์ได้ เช่นเดียวกับการโจมตีอื่นๆ ที่สามารถปิดเครือข่ายทั้งหมดได้
พูดง่ายๆ ก็คือ มีการโจมตีหลักสองประเภท ได้แก่ การโจมตีแบบพาสซีฟและการโจมตีแบบแอคทีฟ การโจมตีแบบพาสซีฟคือการโจมตีที่ข้อมูลในคอมพิวเตอร์ถูกตรวจสอบและใช้ในภายหลังเพื่อผลประโยชน์ที่เป็นอันตราย ในขณะที่การโจมตีแบบแอคทีฟคือการโจมตีที่ข้อมูลถูกแก้ไขหรือลบข้อมูลหรือเครือข่ายถูกทำลายโดยสิ้นเชิง ต่อไปนี้เป็นประเภทการโจมตีแบบแอคทีฟและแพสซีฟที่พบบ่อยที่สุดที่สามารถส่งผลกระทบต่อคอมพิวเตอร์
ประเภทของการโจมตีทางคอมพิวเตอร์ที่ใช้งานอยู่
ไวรัส
การโจมตีและไวรัสคอมพิวเตอร์ที่โด่งดังที่สุดมีมานานแล้วโดยจะติดตั้งตัวเองในคอมพิวเตอร์และแพร่กระจายไปยังไฟล์อื่นๆ ในระบบ ไวรัสเหล่านี้มักถูกแจกจ่ายผ่านฮาร์ดไดรฟ์ภายนอกหรือผ่านเว็บไซต์อินเทอร์เน็ตบางแห่งหรือเป็นไฟล์แนบในอีเมล เมื่อไวรัสเริ่มทำงาน ไวรัสเหล่านี้จะกลายเป็นอิสระจากผู้สร้าง และจุดประสงค์ของไวรัสคือทำให้ไฟล์จำนวนมากและระบบอื่นติดไวรัส
ชุดราก
แฮ็กเกอร์เข้าถึงระบบโดยใช้ชุดไดรเวอร์รูทและเข้าควบคุมคอมพิวเตอร์ได้อย่างสมบูรณ์ แฮ็กเกอร์เป็นการโจมตีทางคอมพิวเตอร์ที่อันตรายที่สุด เนื่องจากแฮ็กเกอร์สามารถควบคุมระบบได้มากกว่าเจ้าของระบบ ในบางกรณี แฮ็กเกอร์ยังสามารถเปิดเว็บแคมและติดตามกิจกรรมของเหยื่อโดยรู้ทุกอย่างเกี่ยวกับเขา
โทรจัน
ในรายการการโจมตีทางคอมพิวเตอร์ ม้าโทรจันอยู่ในอันดับสูงสุดรองจากไวรัส มันมักจะฝังตัวอยู่ในซอฟต์แวร์ สกรีนเซฟเวอร์ หรือในเกมที่จะทำงานได้ตามปกติ อย่างไรก็ตาม เมื่อพวกมันถูกคัดลอกเข้าสู่ระบบแล้ว พวกมันจะทำให้คอมพิวเตอร์ติดไวรัสหรือรูทคิท กล่าวอีกนัยหนึ่งคือพวกมันทำหน้าที่เป็นพาหะของไวรัสหรือรูทคิทเพื่อทำให้ระบบติดเชื้อ
หนอน
เวิร์มสามารถเรียกได้ว่าเป็นญาติของไวรัส ความแตกต่างระหว่างไวรัสและเวิร์มอินเทอร์เน็ตคือเวิร์มจะติดระบบโดยไม่ได้รับความช่วยเหลือจากผู้ใช้ ขั้นตอนแรกคือเวิร์มจะสแกนคอมพิวเตอร์เพื่อหาช่องโหว่ จากนั้น เวิร์มจะคัดลอกตัวเองเข้าไปในระบบและทำให้ระบบติดเชื้อ
การโจมตีคอมพิวเตอร์แบบพาสซีฟ
ดักฟัง
ตามชื่อที่แนะนำ แฮ็กเกอร์จะแอบฟังการสนทนาระหว่างคอมพิวเตอร์สองเครื่องในเครือข่าย สิ่งนี้สามารถเกิดขึ้นได้ในระบบปิดเช่นเดียวกับทางอินเทอร์เน็ต ชื่ออื่นที่เกี่ยวข้องกับการสอดแนม ด้วยการดักฟัง ข้อมูลที่ละเอียดอ่อนสามารถแพร่กระจายไปทั่วเครือข่ายและสามารถเข้าถึงได้โดยบุคคลอื่น
การโจมตีด้วยรหัสผ่าน
การโจมตีทางไซเบอร์ประเภทหนึ่งที่พบบ่อยที่สุดคือการโจมตีด้วยรหัสผ่าน ที่นี่ แฮ็กเกอร์สามารถเข้าถึงคอมพิวเตอร์และทรัพยากรเครือข่ายได้โดยการรับรหัสผ่านควบคุม บ่อยครั้ง คุณจะเห็นว่าผู้โจมตีเปลี่ยนเซิร์ฟเวอร์และการกำหนดค่าเครือข่าย และในบางกรณี สามารถลบข้อมูลได้ นอกจากนี้ ยังสามารถถ่ายโอนข้อมูลไปยังเครือข่ายต่างๆ
คีย์การโจมตีที่ถูกบุกรุก
ในการจัดเก็บข้อมูลที่ละเอียดอ่อนสามารถใช้รหัสลับหรือหมายเลขได้การได้รับกุญแจถือเป็นงานที่น่าเกรงขามอย่างแท้จริงสำหรับแฮ็กเกอร์และเป็นไปได้ว่าหลังจากการวิจัยอย่างเข้มข้นแล้วแฮ็กเกอร์ก็สามารถจับกุญแจได้ เมื่อคีย์อยู่ในความครอบครองของแฮ็กเกอร์ จะเรียกว่าคีย์ที่ถูกบุกรุก แฮ็กเกอร์จะสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนและสามารถเปลี่ยนแปลงข้อมูลได้ อย่างไรก็ตาม มีความเป็นไปได้เช่นกันที่แฮ็กเกอร์จะลองใช้การเรียงสับเปลี่ยนและการผสมคีย์แบบต่างๆ เพื่อเข้าถึงชุดข้อมูลที่ละเอียดอ่อนชุดอื่นๆ
รหัสเลียนแบบ
คอมพิวเตอร์แต่ละเครื่องมีที่อยู่ IP ซึ่งทำให้ถูกต้องและไม่ขึ้นกับเครือข่าย การโจมตีของคอมพิวเตอร์ทั่วไปอย่างหนึ่งคือการรับเอาข้อมูลประจำตัวของคอมพิวเตอร์อีกเครื่องหนึ่ง ในที่นี้ แพ็กเก็ต IP สามารถส่งจากที่อยู่ที่ถูกต้องและเข้าถึง IP เฉพาะได้ ข้อมูลระบบสามารถลบ แก้ไข หรือเปลี่ยนเส้นทางได้ นอกจากนี้ แฮ็กเกอร์สามารถใช้ที่อยู่ IP ที่ถูกแฮ็กนี้เพื่อโจมตีระบบอื่นภายในหรือภายนอกเครือข่าย
การโจมตี Application Layer
จุดประสงค์ของการโจมตี Application Layer คือการทำให้ระบบปฏิบัติการของเซิร์ฟเวอร์ล่ม เมื่อเกิด Bug ในระบบปฏิบัติการแล้ว แฮ็กเกอร์จะสามารถเข้าถึงการควบคุมเซิร์ฟเวอร์ได้ ซึ่งจะนำไปสู่การแก้ไขข้อมูลในรูปแบบต่างๆ อาจมีการนำไวรัสเข้าสู่ระบบ หรืออาจส่งคำขอหลายรายการไปยังเซิร์ฟเวอร์ ซึ่งอาจทำให้ระบบล่ม หรือการควบคุมความปลอดภัยอาจถูกปิดใช้งาน เนื่องจากการกู้คืนเซิร์ฟเวอร์อาจกลายเป็นเรื่องยาก
นี่คือประเภทของการโจมตีที่เซิร์ฟเวอร์และระบบคอมพิวเตอร์แต่ละเครื่องสามารถถูกเปิดเผยได้ รายการของ การโจมตีคอมพิวเตอร์ใหม่ ๆ ยังคงเพิ่มขึ้นทุกวันเนื่องจากแฮ็กเกอร์รายนี้ใช้วิธีการแฮ็กแบบใหม่
ปัญหาของการปกป้องทรัพยากรของระบบสารสนเทศและการสื่อสารและเครือข่าย (ICSM) มีความเกี่ยวข้องมากยิ่งขึ้นในการเชื่อมต่อกับการพัฒนาและการแพร่กระจายของเครือข่ายคอมพิวเตอร์ทั่วโลก คอมเพล็กซ์ข้อมูลและระบบกระจายทางภูมิศาสตร์ที่มีการควบคุมการเข้าถึงทรัพยากรข้อมูลจากระยะไกล
ข้อโต้แย้งที่สำคัญสำหรับการเพิ่มความสนใจต่อประเด็นความปลอดภัยของ ICSM คือการพัฒนาอย่างรวดเร็วของวิธีการและเครื่องมือของซอฟต์แวร์และฮาร์ดแวร์ที่สามารถมีอยู่อย่างลับๆ ในระบบ และดำเนินการใดๆ ที่ไม่ได้รับอนุญาต (กระบวนการ) ซึ่งรบกวนการทำงานปกติของผู้ใช้และระบบเอง และเป็นอันตรายต่อคุณสมบัติของข้อมูลโดยตรง (การรักษาความลับ ความพร้อมใช้งาน ความสมบูรณ์)
แม้จะมีการพัฒนาซอฟต์แวร์และเครื่องมือฮาร์ดแวร์พิเศษเพื่อป้องกันผลกระทบของภัยคุกคามต่อทรัพยากรข้อมูลของระบบอัตโนมัติ แต่จำนวนวิธีการใหม่สำหรับการดำเนินการโจมตีก็เพิ่มขึ้นอย่างต่อเนื่อง อิทธิพลที่ระบุสามารถนำไปใช้ในทางเทคนิคหรือในองค์กรได้ก็ต่อเมื่อทราบข้อมูลเกี่ยวกับหลักการทำงานของ ICSM โครงสร้าง ซอฟต์แวร์ ฯลฯ
ปัจจุบัน มีคำจำกัดความแบบคลาสสิกหลายประการเกี่ยวกับแนวคิดของ "การโจมตี" (การบุกรุก การโจมตี) ต่อระบบข้อมูลและทรัพยากร ช่วงเวลานี้สามารถกำหนดได้ว่าเป็นขั้นตอนการบุกรุกที่นำไปสู่การละเมิดนโยบายความปลอดภัยหรือการกระทำ (กระบวนการ) ที่นำไปสู่การละเมิดความสมบูรณ์ การรักษาความลับ และความพร้อมใช้งานของข้อมูลระบบ อย่างไรก็ตาม การตีความโดยทั่วไปนั้นเกี่ยวข้องโดยตรงกับคำว่า "ช่องโหว่" หรือ "ความเป็นไปได้ที่ภัยคุกคามจะเกิดขึ้นจริง" ภายใต้การโจมตี (การโจมตี การบุกรุก) บนระบบข้อมูล เราจะเข้าใจการกระทำ (กระบวนการ) หรือลำดับของการกระทำที่เชื่อมโยงถึงกันของผู้กระทำความผิด ซึ่งนำไปสู่การดำเนินการตามภัยคุกคามต่อทรัพยากรข้อมูลของ ICSM โดยใช้ประโยชน์จากช่องโหว่ของระบบข้อมูลนี้
สาเหตุพื้นฐานสำหรับการหยุดชะงักของการทำงานของระบบข้อมูลคือความล้มเหลวและความล้มเหลวในการทำงานของระบบข้อมูลซึ่งขัดขวางการทำงานของ ICMS บางส่วนหรือทั้งหมดความสามารถในการเข้าถึงทรัพยากรข้อมูลและบริการของระบบ นอกจากนี้ การขัดข้องและความล้มเหลวในการทำงานยังเป็นหนึ่งในสาเหตุหลักของการสูญหายของข้อมูล
มีหลายวิธีในการจำแนกประเภทการโจมตี ตัวอย่างเช่น การแบ่งการโจมตีแบบพาสซีฟและแอคทีฟ, การโจมตีจากภายนอกและภายใน, โดยตั้งใจและไม่ตั้งใจ อย่างไรก็ตาม ในบทความนี้ เราจะให้ประเภทของการโจมตีในระบบข้อมูลโดยทั่วไปมากขึ้น
การเจาะระยะไกล (การเจาะระยะไกล) ประเภทของการโจมตีข้อมูลที่อนุญาตให้มีการควบคุมระยะไกลของคอมพิวเตอร์ของผู้ใช้ทรัพยากรข้อมูลของระบบผ่านเครือข่ายตามการเข้าถึงระยะไกล ตัวอย่างของโปรแกรมดังกล่าวคือ NetBus หรือ BackOrifice
การเจาะเฉพาะที่ (การเจาะเฉพาะที่) การโจมตีที่ส่งผลให้เกิดการเข้าถึงโหนด ICSM ที่เปิดใช้งานโดยไม่ได้รับอนุญาต ตัวอย่างของโปรแกรมดังกล่าวคือ GetAdmin
การปฏิเสธบริการระยะไกล การโจมตีที่ทำให้สามารถขัดขวางการทำงานของระบบข้อมูลภายใต้เงื่อนไขของการนำบริการต่างๆ มาใช้ หรือมีความเป็นไปได้ที่จะควบคุมการรีบูตระบบผ่านการเข้าถึงระยะไกล ตัวอย่าง ของการโจมตีดังกล่าวคือ Teardrop หรือ trin00
การปฏิเสธการให้บริการในท้องถิ่น การโจมตีที่ทำให้คุณขัดขวางการทำงานของระบบหรือรีบูตระบบที่ใช้งานอยู่ ตัวอย่างของการโจมตีดังกล่าวคือการใช้แอพเพล็ตที่ไม่ได้รับอนุญาตซึ่งโหลด CPU ในลูปที่ไม่มีที่สิ้นสุด ทำให้ไม่สามารถประมวลผลคำขอจากแอปพลิเคชันอื่นได้
เครื่องสแกนเครือข่าย โปรแกรมที่วิเคราะห์โทโพโลยีเครือข่ายและตรวจจับบริการที่พร้อมสำหรับการโจมตี ตัวอย่างของโปรแกรมดังกล่าวคือระบบ nmap
เครื่องสแกนช่องโหว่ โปรแกรมที่ค้นหาช่องโหว่บนโหนดเครือข่ายสามารถใช้ในการโจมตีได้ ตัวอย่าง: ระบบ SATAN หรือ Shadow Security Scanner
แครกเกอร์รหัสผ่าน โปรแกรมที่เดารหัสผ่านของผู้ใช้ที่ได้รับอนุญาตของทรัพยากรข้อมูลของระบบและบริการต่างๆ ของระบบ ตัวอย่างของโปรแกรมถอดรหัสรหัสผ่านคือซอฟต์แวร์ที่ไม่ได้รับอนุญาต: L0phtCrack สำหรับ Windows หรือ Crack สำหรับ Unix
ตัววิเคราะห์โปรโตคอล (sniffers) โปรแกรมที่ "ฟัง" การรับส่งข้อมูลเครือข่าย ด้วยโปรแกรมเหล่านี้ คุณสามารถค้นหาข้อมูลได้โดยอัตโนมัติ เช่น ID ผู้ใช้และรหัสผ่าน ข้อมูลบัตรเครดิต และอื่นๆ สามารถเรียกโปรแกรมวิเคราะห์โปรโตคอลได้ว่าผลิตภัณฑ์ซอฟต์แวร์: Microsoft Network Monitor, NetXRay จาก Network Associates หรือ LanExplorer
อินเทอร์เน็ต ซีเคียวริตี้ ซิสเต็มส์ อิงค์ ลดจำนวนประเภทของการโจมตีที่เป็นไปได้ต่อระบบข้อมูลลงอีก ทำให้เหลือน้อยที่สุด
ปัญหาความปลอดภัยเครือข่าย IP
การวิเคราะห์ภัยคุกคามความปลอดภัยเครือข่าย
ในการจัดระเบียบการสื่อสารในสภาพแวดล้อมเครือข่ายที่แตกต่างกันจะใช้ชุดของโปรโตคอล TCP / IP ซึ่งช่วยให้มั่นใจได้ถึงความเข้ากันได้ระหว่างคอมพิวเตอร์ประเภทต่างๆ ความเข้ากันได้เป็นหนึ่งในข้อได้เปรียบหลักของ TCP/IP ซึ่งเป็นสาเหตุที่เครือข่ายคอมพิวเตอร์ส่วนใหญ่สนับสนุนโปรโตคอลเหล่านี้ นอกจากนี้โปรโตคอล TCP / IP ยังให้การเข้าถึงทรัพยากรของอินเทอร์เน็ตทั่วโลก
เนื่องจากความนิยม TCP/IP จึงกลายเป็นมาตรฐานโดยพฤตินัยสำหรับการทำงานบนอินเทอร์เน็ต อย่างไรก็ตาม ความแพร่หลายของสแต็คโปรโตคอล TCP/IP ก็ได้เปิดเผยจุดอ่อนของมันเช่นกัน เมื่อสร้างผลงานทางความคิด สถาปนิกของสแต็ค TCP / IP ไม่เห็นเหตุผลที่จะต้องกังวลมากเกินไปเกี่ยวกับการปกป้องเครือข่ายที่สร้างขึ้นบนนั้น ดังนั้นข้อกำหนดของโปรโตคอล IP เวอร์ชันก่อนหน้าจึงขาดข้อกำหนดด้านความปลอดภัย ซึ่งนำไปสู่ช่องโหว่เริ่มต้นของการใช้งาน
ความนิยมที่เพิ่มขึ้นอย่างรวดเร็วของเทคโนโลยีอินเทอร์เน็ตมาพร้อมกับการเติบโตของภัยคุกคามร้ายแรงจากการเปิดเผยข้อมูลส่วนบุคคล ทรัพยากรที่สำคัญขององค์กร ความลับของรัฐ ฯลฯ
ทุกวัน แฮ็กเกอร์และผู้บุกรุกอื่นๆ คุกคามทรัพยากรข้อมูลเครือข่าย โดยพยายามเข้าถึงโดยใช้การโจมตีพิเศษ การโจมตีเหล่านี้มีความซับซ้อนมากขึ้นในด้านผลกระทบและดำเนินการได้ง่ายขึ้น ปัจจัยหลักสองประการทำให้เกิดสิ่งนี้
ประการแรก มันคือการแทรกซึมของอินเทอร์เน็ตอย่างแพร่หลาย ปัจจุบันมีคอมพิวเตอร์หลายล้านเครื่องเชื่อมต่อกับเครือข่ายนี้ ด้วยคอมพิวเตอร์หลายล้านเครื่องที่เชื่อมต่อกับอินเทอร์เน็ตในอนาคตอันใกล้ แนวโน้มที่แฮ็กเกอร์จะเข้าถึงคอมพิวเตอร์ที่มีช่องโหว่และเครือข่ายคอมพิวเตอร์ก็เพิ่มขึ้นอย่างต่อเนื่อง นอกจากนี้ การใช้อินเทอร์เน็ตอย่างแพร่หลายทำให้แฮ็กเกอร์สามารถแบ่งปันข้อมูลในระดับโลกได้
ประการที่สองคือความแพร่หลายของระบบปฏิบัติการและสภาพแวดล้อมการพัฒนาที่ใช้งานง่าย ปัจจัยนี้ช่วยลดข้อกำหนดสำหรับระดับความรู้ของผู้โจมตีลงอย่างมาก ก่อนหน้านี้ แฮ็กเกอร์ต้องการความรู้และทักษะการเขียนโปรแกรมที่ดีเพื่อสร้างและเผยแพร่มัลแวร์ ตอนนี้ในการเข้าถึงเครื่องมือแฮ็ค คุณเพียงแค่ต้องรู้ที่อยู่ IP ของไซต์ที่ต้องการ และดำเนินการโจมตี เพียงแค่คลิกเมาส์
ปัญหาในการรับรองความปลอดภัยของข้อมูลในเครือข่ายคอมพิวเตอร์ขององค์กรนั้นเกิดจากภัยคุกคามด้านความปลอดภัยต่อเวิร์กสเตชันในพื้นที่ เครือข่ายท้องถิ่น และการโจมตีบนเครือข่ายขององค์กรที่สามารถเข้าถึงเครือข่ายข้อมูลสาธารณะได้
การโจมตีเครือข่ายนั้นแตกต่างกันไปตามระบบที่พวกเขากำหนดเป้าหมาย การโจมตีบางอย่างทำได้ยากมาก คนอื่นสามารถดำเนินการโดยผู้ดำเนินการทั่วไปโดยไม่ต้องจินตนาการถึงผลที่ตามมาของกิจกรรมของเขา
ผู้บุกรุกที่ทำการโจมตีมักจะตั้งเป้าหมายดังต่อไปนี้:
v การละเมิดความลับของข้อมูลที่ส่ง;
v การละเมิดความสมบูรณ์และความน่าเชื่อถือของข้อมูลที่ส่ง;
v ละเมิดความสามารถในการปฏิบัติงานของระบบโดยรวมหรือเฉพาะส่วน
จากมุมมองด้านความปลอดภัย ระบบแบบกระจายนั้นมีลักษณะเฉพาะหลักโดยการมีอยู่ของ การโจมตีระยะไกล , เนื่องจากส่วนประกอบของระบบแบบกระจายมักจะใช้ช่องทางการส่งข้อมูลแบบเปิด และผู้บุกรุกไม่เพียงแต่สามารถรับฟังข้อมูลที่ส่งแบบพาสซีฟเท่านั้น แต่ยังปรับเปลี่ยนทราฟฟิกที่ส่งด้วย และหากสามารถบันทึกผลกระทบแบบแอคทีฟต่อทราฟฟิกได้ ผลกระทบแบบพาสซีฟก็จะไม่สามารถตรวจจับได้ แต่เนื่องจากในระหว่างการทำงานของระบบแบบกระจาย การแลกเปลี่ยนข้อมูลบริการระหว่างส่วนประกอบของระบบจะดำเนินการผ่านช่องทางการส่งข้อมูลแบบเปิด ข้อมูลบริการจึงกลายเป็นเป้าหมายของการโจมตีเช่นเดียวกับข้อมูลผู้ใช้
ความยากลำบากในการตรวจจับข้อเท็จจริงของการโจมตีระยะไกลทำให้การกระทำที่ผิดกฎหมายประเภทนี้กลายเป็นอันดับแรกในแง่ของระดับอันตราย เนื่องจากจะขัดขวางการตอบสนองในเวลาที่เหมาะสมต่อภัยคุกคาม ซึ่งส่งผลให้ผู้โจมตีมีโอกาสเพิ่มขึ้นในการดำเนินการโจมตีได้สำเร็จ
ความปลอดภัยของเครือข่ายท้องถิ่นเมื่อเปรียบเทียบกับความปลอดภัยของการทำงานบนอินเทอร์เน็ตนั้นแตกต่างกัน ในกรณีนี้ สถานที่ที่สำคัญที่สุดจะถูกยึดโดย การละเมิดผู้ใช้ที่ลงทะเบียน , เนื่องจากช่องทางการส่งข้อมูลของเครือข่ายท้องถิ่นส่วนใหญ่อยู่ในพื้นที่ควบคุมและการป้องกันการเชื่อมต่อที่ไม่ได้รับอนุญาตจะดำเนินการโดยวิธีการดูแลระบบ
ในทางปฏิบัติ เครือข่าย IP มีความเสี่ยงที่จะบุกรุกกระบวนการสื่อสารโดยไม่ได้รับอนุญาตหลายวิธี ด้วยการพัฒนาเทคโนโลยีคอมพิวเตอร์และเครือข่าย (เช่น การถือกำเนิดของแอปพลิเคชัน Java บนมือถือและการควบคุม ActiveX) รายการประเภทการโจมตีเครือข่ายที่เป็นไปได้บนเครือข่าย IP นั้นขยายตัวอย่างต่อเนื่อง [Galitsky A.V., Ryabko S.D., Shangin V.F. การปกป้องข้อมูลในเครือข่าย - การวิเคราะห์เทคโนโลยีและการสังเคราะห์โซลูชัน มอสโก: DMK Press, 2004].
พิจารณาประเภทการโจมตีเครือข่ายที่พบบ่อยที่สุด
แอบฟัง (ดมกลิ่น). ส่วนใหญ่ ข้อมูลจะถูกส่งผ่านเครือข่ายคอมพิวเตอร์ในรูปแบบที่ไม่ปลอดภัย (ข้อความที่ชัดเจน) ซึ่งช่วยให้ผู้โจมตีที่เข้าถึงสายข้อมูลในเครือข่ายของคุณเพื่อดักฟังหรืออ่านทราฟฟิกได้ ใช้สำหรับดักฟังบนเครือข่ายคอมพิวเตอร์ ดมกลิ่น แพ็คเก็ตดมกลิ่น เป็นโปรแกรมประยุกต์ที่สกัดกั้นแพ็กเก็ตเครือข่ายทั้งหมดที่ส่งผ่านโดเมนเฉพาะ
ปัจจุบันนักดมกลิ่นทำงานในเครือข่ายบนพื้นฐานทางกฎหมายอย่างสมบูรณ์ ใช้สำหรับแก้ไขปัญหาและวิเคราะห์ทราฟฟิก อย่างไรก็ตาม เนื่องจากแอปพลิเคชันเครือข่ายบางตัวส่งข้อมูลในรูปแบบข้อความ (Telnet, FTP, SMTP, POP3 เป็นต้น) การใช้ sniffer สามารถเปิดเผยข้อมูลที่เป็นประโยชน์และบางครั้งเป็นความลับ (เช่น ชื่อผู้ใช้และรหัสผ่าน)
การดมรหัสผ่านส่งผ่านเครือข่ายในรูปแบบที่ไม่ได้เข้ารหัส โดย "ดักฟัง" บนช่องสัญญาณเป็นการโจมตีประเภทดักฟัง การดักจับชื่อและรหัสผ่านทำให้เกิดอันตรายอย่างมาก เนื่องจากผู้ใช้มักจะใช้ชื่อและรหัสผ่านเดียวกันสำหรับแอปพลิเคชันและระบบจำนวนมาก โดยทั่วไป ผู้ใช้หลายคนมีรหัสผ่านเดียวเพื่อเข้าถึงทรัพยากรและแอปพลิเคชันทั้งหมด หากแอปพลิเคชันทำงานในโหมดไคลเอ็นต์/เซิร์ฟเวอร์ และข้อมูลการตรวจสอบความถูกต้องถูกส่งผ่านเครือข่ายในรูปแบบข้อความที่อ่านได้ ข้อมูลนี้มีแนวโน้มที่จะถูกใช้เพื่อเข้าถึงทรัพยากรขององค์กรหรือภายนอกอื่นๆ
ในกรณีที่เลวร้ายที่สุด แฮ็กเกอร์สามารถเข้าถึงทรัพยากรของผู้ใช้ในระดับระบบ และใช้ทรัพยากรนั้นเพื่อสร้างคุณลักษณะใหม่ของผู้ใช้ที่สามารถใช้เมื่อใดก็ได้เพื่อเข้าถึงเครือข่ายและทรัพยากร
คุณสามารถป้องกันภัยคุกคามจากการดักจับแพ็กเก็ตได้โดยใช้สิ่งต่อไปนี้
มาตรการและวิธีการ:
v การใช้รหัสผ่านครั้งเดียวสำหรับการรับรองความถูกต้อง;
v การติดตั้งฮาร์ดแวร์หรือซอฟต์แวร์ที่รู้จัก
ดมกลิ่น;
v การประยุกต์ใช้การป้องกันการเข้ารหัสของช่องทางการสื่อสาร
การเปลี่ยนแปลงข้อมูลผู้โจมตีที่สามารถอ่านได้
ข้อมูลของคุณจะสามารถดำเนินการขั้นตอนต่อไป - เพื่อเปลี่ยนแปลงได้ ข้อมูลใน
แพ็คเกจสามารถเปลี่ยนแปลงได้แม้ว่าผู้โจมตีจะไม่รู้อะไรเลยก็ตาม
เกี่ยวกับผู้ส่งหรือผู้รับ แม้ว่าคุณไม่จำเป็นต้องเข้มงวด
ความลับของข้อมูลที่ส่งทั้งหมด คุณอาจไม่ต้องการ
เพื่อให้มีการเปลี่ยนแปลงระหว่างทาง
การวิเคราะห์ปริมาณการใช้เครือข่ายจุดประสงค์ของการโจมตีเช่นนี้
ประเภทกำลังฟังช่องทางการสื่อสารและวิเคราะห์สิ่งที่ส่งมา
ข้อมูลและบริการข้อมูลเพื่อศึกษาโทโพโลยีและสถาปัตยกรรม
สร้างระบบ รับข้อมูลผู้ใช้ที่สำคัญ
(เช่น ส่งรหัสผ่านผู้ใช้หรือหมายเลขบัตรเครดิต
เปิด). โปรโตคอลเช่น FTP มีความอ่อนไหวต่อการโจมตีประเภทนี้
หรือ Telnet ลักษณะเฉพาะคือชื่อผู้ใช้และรหัสผ่าน
ส่งภายในโปรโตคอลเหล่านี้อย่างชัดเจน
แทนที่หัวเรื่องที่เชื่อถือได้เครือข่ายและการดำเนินงานส่วนใหญ่
ระบบใช้ที่อยู่ IP ของคอมพิวเตอร์เพื่อตรวจสอบว่า
นี่คือที่อยู่ที่คุณต้องการ ในบางกรณีไม่ถูกต้อง
การกำหนดที่อยู่ IP (การแทนที่ที่อยู่ IP ของผู้ส่งด้วยที่อยู่อื่น) - เช่น
วิธีการโจมตีเรียกว่า การปลอมแปลงที่อยู่(การปลอมแปลง IP).
การปลอมแปลง IP เกิดขึ้นเมื่อผู้โจมตีไม่ว่าจะภายในหรือภายนอกบริษัท สวมรอยเป็นผู้ใช้ที่ถูกต้องตามกฎหมาย ผู้โจมตีสามารถใช้ที่อยู่ IP ที่อยู่ในช่วงของที่อยู่ IP ที่ได้รับอนุญาต หรือที่อยู่ภายนอกที่ได้รับอนุญาตซึ่งได้รับอนุญาตให้เข้าถึงทรัพยากรเครือข่ายบางอย่าง ผู้โจมตียังสามารถใช้โปรแกรมพิเศษที่สร้างแพ็กเก็ต IP ในลักษณะที่ดูเหมือนว่ามาจากที่อยู่ภายในที่ได้รับอนุญาตบนเครือข่ายองค์กร
การโจมตีด้วยการปลอมแปลง IP มักเป็นจุดเริ่มต้นของการโจมตีอื่นๆ ตัวอย่างคลาสสิก เป็นโจมตีแบบ " การปฏิเสธการให้บริการ"(DoS) ซึ่งขึ้นต้นด้วยที่อยู่ของคนอื่น ซ่อนตัวตนที่แท้จริงของแฮ็กเกอร์ โดยทั่วไปแล้ว การปลอมแปลง IP จะจำกัดอยู่ที่การแทรกข้อมูลเท็จหรือคำสั่งที่เป็นอันตรายลงในสตรีมข้อมูลปกติที่ส่งระหว่างไคลเอ็นต์และแอปพลิเคชันเซิร์ฟเวอร์ หรือผ่านช่องทางการสื่อสารระหว่างเพียร์
ภัยคุกคามจากการปลอมแปลงสามารถบรรเทาได้ (แต่ไม่สามารถกำจัดได้) ด้วยมาตรการต่อไปนี้:
v การกำหนดค่าที่ถูกต้องของการควบคุมการเข้าถึงจากเครือข่ายภายนอก
v หยุดความพยายามในการปลอมแปลงเครือข่ายต่างประเทศโดยผู้ใช้เครือข่ายของตนเอง
โปรดทราบว่าการปลอมแปลง IP สามารถทำได้โดยมีเงื่อนไขว่าผู้ใช้ได้รับการรับรองความถูกต้องตามที่อยู่ IP ดังนั้นการแนะนำวิธีการตรวจสอบผู้ใช้เพิ่มเติม (โดยใช้รหัสผ่านครั้งเดียวหรือวิธีการเข้ารหัสอื่น ๆ ) จะช่วยป้องกันการโจมตีจากการปลอมแปลง IP
การไกล่เกลี่ยการโจมตีนายหน้าเกี่ยวข้องกับการดักฟัง การสกัดกั้น และการจัดการข้อมูลที่ส่งโดยโหนดกลางที่มองไม่เห็น เมื่อคอมพิวเตอร์สื่อสารในระดับเครือข่ายต่ำ พวกเขาไม่สามารถระบุได้เสมอว่ากำลังสื่อสารกับใคร
การไกล่เกลี่ยในการแลกเปลี่ยนคีย์ที่ไม่ได้เข้ารหัส (การโจมตีแบบ Man-in-the-Middle)ในการดำเนินการโจมตีแบบ Man-in-the-Middle ผู้โจมตีจำเป็นต้องเข้าถึงแพ็กเก็ตที่ส่งผ่านเครือข่าย ตัวอย่างเช่น การเข้าถึงแพ็กเก็ตทั้งหมดที่ส่งจากผู้ให้บริการ ISP ไปยังเครือข่ายอื่นสามารถได้รับโดยพนักงานของผู้ให้บริการรายนี้ Packet sniffers โปรโตคอลการขนส่ง และโปรโตคอลการกำหนดเส้นทางมักถูกใช้สำหรับการโจมตีประเภทนี้
โดยทั่วไปแล้ว การโจมตีแบบ Man-in-the-Middle จะดำเนินการเพื่อขโมยข้อมูล สกัดกั้นเซสชันปัจจุบันและเข้าถึงทรัพยากรเครือข่ายส่วนตัว วิเคราะห์ทราฟฟิกและรับข้อมูลเกี่ยวกับเครือข่ายและผู้ใช้ ดำเนินการโจมตี DoS บิดเบือนข้อมูลที่ส่ง และป้อนข้อมูลที่ไม่ได้รับอนุญาตลงในเซสชันเครือข่าย
การโจมตีแบบ Man-m-the-Middle สามารถต่อสู้ได้อย่างมีประสิทธิภาพด้วยความช่วยเหลือของการเข้ารหัสเท่านั้น เพื่อตอบโต้การโจมตีประเภทนี้ จะใช้โครงสร้างพื้นฐานการจัดการคีย์สาธารณะ PKI (Public Key Infrastructure)
การไฮแจ็กเซสชัน. ในตอนท้ายของขั้นตอนการพิสูจน์ตัวตนเริ่มต้น การเชื่อมต่อที่สร้างโดยผู้ใช้ที่ถูกต้อง เช่น กับเมลเซิร์ฟเวอร์ จะถูกเปลี่ยนโดยผู้โจมตีไปยังโฮสต์ใหม่ และเซิร์ฟเวอร์เดิมจะได้รับคำสั่งให้ปิดการเชื่อมต่อ เป็นผลให้ "คู่สนทนา" ของผู้ใช้ที่ถูกต้องถูกแทนที่โดยมองไม่เห็น
หลังจากเข้าถึงเครือข่ายแล้ว ผู้บุกรุกที่โจมตีมีโอกาสที่ดี:
v มันอาจส่งข้อมูลที่ไม่ถูกต้องไปยังแอพพลิเคชั่นและบริการเครือข่าย ทำให้เกิดความผิดพลาดหรือทำงานผิดปกติ;
v มันยังสามารถทำให้คอมพิวเตอร์หรือเครือข่ายทั้งหมดท่วมท้นไปด้วยทราฟฟิกจนกระทั่งระบบล่มเนื่องจากการโอเวอร์โหลด;
สุดท้าย ผู้โจมตีสามารถบล็อกการรับส่งข้อมูล ส่งผลให้ผู้ใช้ที่ได้รับอนุญาตสูญเสียการเข้าถึงทรัพยากรเครือข่าย
การปฏิเสธการให้บริการ (DoS)การโจมตีนี้แตกต่างจากการโจมตีประเภทอื่น ไม่ได้มีจุดประสงค์เพื่อเข้าถึงเครือข่ายของคุณหรือดึงข้อมูลใด ๆ จากเครือข่ายนี้ การโจมตีแบบ DoS ทำให้เครือข่ายขององค์กรไม่สามารถใช้งานได้ตามปกติ โดยเกินขีดจำกัดของเครือข่าย ระบบปฏิบัติการ หรือการทำงานของแอปพลิเคชัน โดยพื้นฐานแล้ว การโจมตีนี้จะปฏิเสธไม่ให้ผู้ใช้ทั่วไปเข้าถึงทรัพยากรหรือคอมพิวเตอร์บนเครือข่ายขององค์กร
การโจมตีแบบ DoS ส่วนใหญ่อาศัยจุดอ่อนของสถาปัตยกรรมระบบทั่วไป ในกรณีของแอปพลิเคชันเซิร์ฟเวอร์บางตัว (เช่น เว็บเซิร์ฟเวอร์หรือเซิร์ฟเวอร์ FTP) การโจมตี DoS สามารถดึงการเชื่อมต่อทั้งหมดที่มีอยู่ไปยังแอปพลิเคชันเหล่านี้และทำให้ไม่ว่าง
บริการแก่ผู้ใช้ทั่วไป การโจมตี DoS สามารถใช้อินเทอร์เน็ตโปรโตคอลทั่วไป เช่น TCP และ ICMP (Internet Control Message Protocol)
การโจมตี DoS นั้นป้องกันได้ยาก เนื่องจากต้องมีการประสานงานกับ ISP หากทราฟฟิกที่ตั้งใจจะท่วมเครือข่ายของคุณไม่ได้หยุดที่ผู้ให้บริการ คุณจะไม่สามารถดำเนินการดังกล่าวที่ทางเข้าเครือข่ายได้อีกต่อไป เนื่องจากแบนด์วิธทั้งหมดจะถูกครอบครอง
หากการโจมตีประเภทนี้ดำเนินการพร้อมกันผ่านอุปกรณ์จำนวนมาก เราว่า เกี่ยวกับการโจมตี DDoS แบบปฏิเสธการให้บริการแบบกระจาย(แบบกระจาย DoS).
ความง่ายดายในการดำเนินการโจมตี DoS และความเสียหายใหญ่หลวงที่ก่อให้เกิดองค์กรและผู้ใช้ ดึงดูดความสนใจอย่างใกล้ชิดของผู้ดูแลระบบความปลอดภัยเครือข่ายต่อการโจมตีเหล่านี้
การโจมตีด้วยรหัสผ่านจุดประสงค์ของการโจมตีเหล่านี้คือเพื่อช่วงชิงรหัสผ่านและการเข้าสู่ระบบของผู้ใช้ที่ถูกต้องตามกฎหมาย ผู้โจมตีสามารถโจมตีด้วยรหัสผ่านโดยใช้วิธีการเช่น:
v M การปลอมแปลงที่อยู่ IP (การปลอมแปลง IP);
v ดักฟัง (ดมกลิ่น);
v การวนซ้ำอย่างง่าย
มีการกล่าวถึงการปลอมแปลง IP และการดักจับแพ็กเก็ตแล้วข้างต้น วิธีการเหล่านี้ทำให้คุณสามารถรับรหัสผ่านของผู้ใช้และเข้าสู่ระบบได้ หากพวกเขาถูกส่งเป็นข้อความธรรมดาผ่านช่องทางที่ไม่ปลอดภัย
บ่อยครั้งที่แฮ็กเกอร์พยายามเดารหัสผ่านและเข้าสู่ระบบโดยใช้ความพยายามในการเข้าถึงหลายครั้ง วิธีนี้เรียกว่า การโจมตีด้วยกำลังดุร้าย(การโจมตีด้วยกำลังดุร้าย). การโจมตีนี้ใช้โปรแกรมพิเศษที่พยายามเข้าถึงทรัพยากรที่ใช้ร่วมกัน (เช่น เซิร์ฟเวอร์) ผลก็คือ หากผู้โจมตีสามารถเดารหัสผ่านได้ เขาก็สามารถเข้าถึงทรัพยากรได้ในฐานะผู้ใช้ทั่วไป หากผู้ใช้รายนี้มีสิทธิ์ในการเข้าถึงที่สำคัญ ผู้โจมตีสามารถสร้าง "รหัสผ่าน" สำหรับตนเองเพื่อการเข้าถึงในอนาคต ซึ่งจะมีผลแม้ว่าผู้ใช้จะเปลี่ยนรหัสผ่านและการเข้าสู่ระบบก็ตาม
วิธีการสกัดกั้น การเลือก และการถอดรหัสรหัสผ่านถือว่าถูกกฎหมายในทางปฏิบัติ และได้รับการเผยแพร่อย่างเป็นทางการจากบริษัทจำนวนมากพอสมควร พวกเขาวางตลาดเป็นซอฟต์แวร์ตรวจสอบความปลอดภัยและกู้คืนรหัสผ่าน และสามารถซื้อได้อย่างถูกกฎหมายจากผู้พัฒนา
การโจมตีด้วยรหัสผ่านสามารถหลีกเลี่ยงได้โดยการไม่ใช้รหัสผ่านแบบข้อความธรรมดา การใช้รหัสผ่านแบบใช้ครั้งเดียวและการรับรองความถูกต้องด้วยการเข้ารหัสสามารถลบล้างภัยคุกคามของการโจมตีดังกล่าวได้ ขออภัย ไม่ใช่ทุกแอปพลิเคชัน โฮสต์ และอุปกรณ์ที่รองรับวิธีการตรวจสอบสิทธิ์เหล่านี้
เมื่อใช้รหัสผ่านปกติ คุณจะต้องตั้งรหัสผ่านที่คาดเดาได้ยาก ความยาวขั้นต่ำของรหัสผ่านต้องมีอักขระอย่างน้อยแปดตัว รหัสผ่านต้องมีตัวพิมพ์ใหญ่ ตัวเลข และอักขระพิเศษ (#, $, &, % ฯลฯ)
การคาดเดาคีย์คีย์เข้ารหัสคือรหัสหรือตัวเลขที่จำเป็นในการถอดรหัสข้อมูลที่มีการป้องกัน แม้ว่าจะค้นหาคีย์การเข้าถึงได้ยากและต้องใช้ทรัพยากรจำนวนมาก แต่ก็เป็นไปได้ โดยเฉพาะอย่างยิ่ง สามารถใช้โปรแกรมพิเศษที่ใช้วิธีการกำลังเดรัจฉานเพื่อกำหนดค่าคีย์ได้ คีย์ที่ผู้โจมตีเข้าถึงได้เรียกว่าคีย์ที่ถูกบุกรุก ผู้โจมตีใช้คีย์ที่ถูกบุกรุกเพื่อเข้าถึงข้อมูลที่ปลอดภัยระหว่างการส่งโดยที่ผู้ส่งหรือผู้รับไม่ทราบ คีย์ทำให้สามารถถอดรหัสและแก้ไขข้อมูลได้
การโจมตีชั้นแอปพลิเคชันการโจมตีเหล่านี้สามารถทำได้หลายวิธี สิ่งที่พบได้บ่อยที่สุดคือการใช้ประโยชน์จากจุดอ่อนที่ทราบในซอฟต์แวร์เซิร์ฟเวอร์ (FTP, HTTP, เว็บเซิร์ฟเวอร์)
ปัญหาหลักของการโจมตีในชั้นของแอปพลิเคชันคือ พวกเขามักจะใช้พอร์ตที่อนุญาตให้ผ่านไฟร์วอลล์ได้
การโจมตีระดับแอปพลิเคชันได้รับการเผยแพร่อย่างกว้างขวางเพื่อให้ผู้ดูแลระบบสามารถแก้ไขปัญหาด้วยโมดูลแก้ไข (แพตช์) น่าเสียดายที่แฮ็กเกอร์จำนวนมากสามารถเข้าถึงข้อมูลนี้ได้เช่นกัน ซึ่งทำให้พวกเขาสามารถเรียนรู้ได้
ไม่สามารถกำจัดการโจมตีเลเยอร์แอปพลิเคชันได้อย่างสมบูรณ์ แฮ็กเกอร์ค้นหาและเผยแพร่ช่องโหว่ใหม่ๆ ในโปรแกรมแอปพลิเคชันบนเว็บไซต์ของตนบนอินเทอร์เน็ตอย่างต่อเนื่อง
นี่คือจุดที่การดูแลระบบที่ดีเป็นสิ่งสำคัญ เพื่อลดความเสี่ยงต่อการโจมตีประเภทนี้ คุณสามารถทำตามขั้นตอนต่อไปนี้:
v วิเคราะห์ไฟล์บันทึกของระบบปฏิบัติการและไฟล์บันทึกของเครือข่ายโดยใช้แอปพลิเคชันการวิเคราะห์พิเศษ
ติดตามข้อมูล CERT เกี่ยวกับจุดอ่อนของแอปพลิเคชัน
v ใช้ระบบปฏิบัติการและแอปพลิเคชันเวอร์ชันล่าสุดและโมดูลการแก้ไขล่าสุด (แพตช์)
v ใช้ระบบตรวจจับการโจมตี IDS (Intrusion Detection Systems)
ข่าวกรองเครือข่ายคือการรวบรวมข้อมูลเกี่ยวกับเครือข่ายโดยใช้ข้อมูลและแอปพลิเคชันที่เปิดเผยต่อสาธารณะ เมื่อเตรียมการโจมตีเครือข่าย แฮ็กเกอร์มักจะพยายามดึงข้อมูลเกี่ยวกับเครือข่ายให้ได้มากที่สุด
การสำรวจเครือข่ายทำในรูปแบบของการสืบค้น DNS
การทดสอบเสียงสะท้อน (ping กวาด) และการสแกนพอร์ต ข้อความค้นหา DNS ช่วยให้คุณเข้าใจว่าใครเป็นเจ้าของโดเมนหนึ่งๆ และที่อยู่ใดที่กำหนดให้กับโดเมนนั้น การ Ping ที่อยู่ที่ค้นพบ DNS ช่วยให้คุณเห็นว่าโฮสต์ใดกำลังทำงานจริงในสภาพแวดล้อมที่กำหนด จากรายชื่อโฮสต์ แฮ็กเกอร์จะใช้เครื่องมือสแกนพอร์ตเพื่อรวบรวมรายชื่อบริการทั้งหมดที่รองรับโดยโฮสต์เหล่านั้น เป็นผลให้ได้รับข้อมูลที่สามารถใช้สำหรับการแฮ็ค
เป็นไปไม่ได้ที่จะกำจัดข่าวกรองเครือข่ายอย่างสมบูรณ์ ตัวอย่างเช่น หากคุณปิดใช้งาน ICMP ping และ echo reply บนเราเตอร์ต่อพ่วง คุณจะเลิกใช้ ping แต่คุณจะสูญเสียข้อมูลที่จำเป็นในการวินิจฉัยความล้มเหลวของเครือข่าย คุณยังสามารถสแกนพอร์ตโดยไม่ต้องส่ง Ping ก่อน จะใช้เวลานานกว่า เนื่องจากต้องสแกนที่อยู่ IP ที่ไม่มีอยู่จริงด้วย
ระบบ IDS ระดับเครือข่ายและโฮสต์มักจะทำงานได้ดีในการแจ้งผู้ดูแลระบบเกี่ยวกับการสำรวจเครือข่ายที่กำลังดำเนินอยู่ ซึ่งช่วยให้พวกเขาเตรียมพร้อมสำหรับการโจมตีที่จะเกิดขึ้นได้ดีขึ้น และแจ้งเตือนผู้ให้บริการ (ISP) ที่ติดตั้งระบบบนเครือข่ายซึ่งแสดงความอยากรู้อยากเห็นมากเกินไป
การใช้ความไว้วางใจในทางที่ผิดการกระทำประเภทนี้ไม่ใช่การโจมตีในความหมายที่สมบูรณ์ของคำ เป็นการใช้ประโยชน์จากความสัมพันธ์ที่เชื่อถือได้ซึ่งมีอยู่ในเครือข่ายโดยมุ่งร้าย ตัวอย่างทั่วไปของการละเมิดดังกล่าวคือสถานการณ์ที่อยู่ชายขอบของเครือข่ายองค์กร โดยทั่วไปแล้วส่วนนี้จะโฮสต์เซิร์ฟเวอร์ DNS, SMTP และ HTTP เนื่องจากพวกเขาทั้งหมดอยู่ในส่วนเดียวกัน การละเมิดหนึ่งในนั้นนำไปสู่การละเมิดของส่วนอื่นๆ ทั้งหมด เนื่องจากเซิร์ฟเวอร์เหล่านี้เชื่อถือระบบอื่นๆ บนเครือข่ายของตน
คุณสามารถลดความเสี่ยงของการละเมิดความไว้วางใจได้โดยการควบคุมระดับความไว้วางใจภายในเครือข่ายของคุณให้รัดกุมยิ่งขึ้น ระบบที่อยู่นอกไฟร์วอลล์ไม่ควรได้รับความเชื่อถือโดยเด็ดขาดจากระบบที่อยู่หลังไฟร์วอลล์
ความสัมพันธ์ที่เชื่อถือได้ควรถูกจำกัดไว้เฉพาะบางโปรโตคอล และถ้าเป็นไปได้ ควรตรวจสอบความถูกต้องไม่เพียงแต่โดยที่อยู่ IP เท่านั้น แต่ยังรวมถึงพารามิเตอร์อื่นๆ ด้วย โปรแกรมที่เป็นอันตรายโปรแกรมดังกล่าว ได้แก่ ไวรัสคอมพิวเตอร์ เวิร์มเครือข่าย ม้าโทรจัน
ไวรัสเป็นโปรแกรมอันตรายที่แฝงตัวเข้าไปในโปรแกรมอื่นๆ เพื่อทำหน้าที่บางอย่างที่ไม่พึงประสงค์บนเวิร์กสเตชันของผู้ใช้ปลายทาง ไวรัสมักได้รับการออกแบบโดยผู้โจมตีในลักษณะที่ตรวจไม่พบในระบบคอมพิวเตอร์ให้นานที่สุด ระยะพักตัวเริ่มต้นของไวรัสเป็นกลไกของการอยู่รอด ไวรัสจะปรากฏตัวอย่างเต็มรูปแบบในช่วงเวลาหนึ่งเมื่อมีเหตุการณ์การโทรเกิดขึ้น เช่น วันศุกร์ที่ 13 วันที่ทราบ เป็นต้น
โปรแกรมไวรัสประเภทหนึ่งคือ เวิร์มเครือข่าย,ซึ่งเผยแพร่ผ่านเครือข่ายทั่วโลกและไม่ทิ้งสำเนาไว้ในสื่อแม่เหล็ก คำนี้ใช้เพื่ออ้างถึงโปรแกรมที่เดินทางผ่านเครือข่ายคอมพิวเตอร์จากระบบหนึ่งไปยังอีกระบบหนึ่ง เช่น พยาธิตัวตืด เวิร์มใช้กลไกการสนับสนุนเครือข่ายเพื่อกำหนดโฮสต์ที่สามารถโจมตีได้ จากนั้นใช้กลไกเดียวกัน เวิร์มจะย้ายร่างของมันไปยังโหนดนี้และเปิดใช้งานหรือรอเงื่อนไขที่เหมาะสมสำหรับการเปิดใช้งาน เวิร์มเครือข่ายเป็นมัลแวร์ประเภทที่อันตราย เนื่องจากคอมพิวเตอร์หลายล้านเครื่องที่เชื่อมต่อกับอินเทอร์เน็ตทั่วโลกสามารถกลายเป็นเป้าหมายของการโจมตีได้ เพื่อป้องกันเวิร์ม คุณต้องป้องกันการเข้าถึงเครือข่ายภายในโดยไม่ได้รับอนุญาต
ไวรัสคอมพิวเตอร์เกี่ยวข้องกับสิ่งที่เรียกว่า "ม้าโทรจัน"(โทรจัน). ม้าโทรจันเป็นโปรแกรมที่ดูเหมือนเป็นแอปพลิเคชันที่มีประโยชน์ แต่จริงๆ แล้วทำหน้าที่ที่เป็นอันตราย (การทำลายซอฟต์แวร์
ความปลอดภัย การคัดลอกและส่งไฟล์ที่มีข้อมูลลับไปยังผู้โจมตี เป็นต้น) อันตรายของ "ม้าโทรจัน" อยู่ที่บล็อกคำสั่งเพิ่มเติมที่แทรกเข้าไปในโปรแกรมดั้งเดิมที่ไม่เป็นอันตราย ซึ่งต่อมาจะมอบให้กับผู้ใช้ AS บล็อกของคำสั่งนี้สามารถถูกเรียกใช้เมื่อมีเงื่อนไขใดๆ เกิดขึ้น (วันที่ สถานะของระบบ) หรือโดยคำสั่งภายนอก ผู้ใช้ที่เรียกใช้โปรแกรมดังกล่าวเป็นอันตรายต่อทั้งไฟล์ของเขาและ AS ทั้งหมดโดยรวม
ตามรายงานการจัดการภัยคุกคามด้านความปลอดภัยของ Sophos ในช่วงครึ่งแรกของปี 2549 จำนวนโทรจันกระจายไวรัสและเวิร์มมากกว่าจำนวน 4 เท่า เมื่อเทียบกับการเพิ่มขึ้น 2 เท่าในช่วงหกเดือนแรกของปี 2548 นอกจากนี้ Sophos ยังรายงานการเกิดขึ้นของโทรจันชนิดใหม่ที่เรียกว่าแรนซัมแวร์ โปรแกรมดังกล่าวขโมยข้อมูลจากคอมพิวเตอร์ที่ติดไวรัส จากนั้นผู้ใช้จะถูกขอให้จ่ายค่าไถ่ให้
เวิร์กสเตชันของผู้ใช้มีความเสี่ยงสูงต่อไวรัส เวิร์ม และม้าโทรจัน
คุณลักษณะของมัลแวร์สมัยใหม่คือการมุ่งเน้นไปที่ซอฟต์แวร์แอปพลิเคชันเฉพาะ ซึ่งกลายเป็นมาตรฐานโดยพฤตินัยสำหรับผู้ใช้ส่วนใหญ่ โดยหลักแล้วคือ Microsoft Internet Explorer และ Microsoft Outlook การสร้างไวรัสจำนวนมากสำหรับผลิตภัณฑ์ของ Microsoft นั้นไม่ได้อธิบายเพียงแค่ความปลอดภัยและความน่าเชื่อถือในระดับต่ำของโปรแกรมเท่านั้น แต่ยังรวมถึงการกระจายผลิตภัณฑ์เหล่านี้ไปทั่วโลกด้วย ผู้เขียนซอฟต์แวร์ที่เป็นอันตรายเริ่มสำรวจ "ช่องโหว่" มากขึ้นใน DBMS, มิดเดิลแวร์ และแอปพลิเคชันธุรกิจองค์กรยอดนิยมที่สร้างขึ้นบนระบบเหล่านี้
ไวรัส เวิร์ม และโทรจันมีการพัฒนาอย่างต่อเนื่อง และความหลากหลายเป็นแนวโน้มหลักในการพัฒนา วันนี้มันค่อนข้างยากที่จะวาดเส้นแบ่งระหว่างไวรัส เวิร์ม และโทรจัน พวกมันใช้กลไกเกือบเหมือนกัน ความแตกต่างเล็กน้อยคือระดับของการใช้งานนี้เท่านั้น อุปกรณ์ของซอฟต์แวร์ที่เป็นอันตรายได้กลายเป็นหนึ่งเดียวในปัจจุบัน ซึ่งยกตัวอย่างเช่น แทบจะเป็นไปไม่ได้เลยที่จะแยกความแตกต่างระหว่างไวรัสเมลกับเวิร์มที่มีฟังก์ชันทำลายล้าง แม้แต่โปรแกรม "โทรจัน" ก็มีฟังก์ชันการจำลองแบบ (ซึ่งเป็นหนึ่งในวิธีการต่อต้านเครื่องมือป้องกันไวรัส) ดังนั้นหากต้องการ ก็สามารถเรียกว่าไวรัสได้ (โดยมีกลไกการกระจายในรูปแบบของการปลอมตัวเป็นโปรแกรมแอปพลิเคชัน)
เพื่อป้องกันโปรแกรมที่เป็นอันตรายเหล่านี้ จำเป็นต้องใช้มาตรการหลายประการ:
v การยกเว้นการเข้าถึงไฟล์เรียกทำงานโดยไม่ได้รับอนุญาต;
v ทดสอบซอฟต์แวร์ที่ซื้อมา;
v การควบคุมความสมบูรณ์ของไฟล์เรียกทำงานและพื้นที่ระบบ
v การสร้างสภาพแวดล้อมการทำงานของโปรแกรมแบบปิด
ไวรัส เวิร์ม และม้าโทรจันต่อสู้กันด้วยซอฟต์แวร์ป้องกันไวรัสที่มีประสิทธิภาพซึ่งทำงานในระดับผู้ใช้และอาจอยู่ที่ระดับเครือข่าย เมื่อมีไวรัส เวิร์ม และม้าโทรจันใหม่ๆ เกิดขึ้น จำเป็นต้องติดตั้งฐานข้อมูลใหม่ของเครื่องมือป้องกันไวรัสและแอปพลิเคชัน
สแปมและฟิชชิ่งเป็นของภัยคุกคามที่ไม่ใช่ซอฟต์แวร์ ความแพร่หลายของภัยคุกคามทั้งสองนี้เพิ่มขึ้นอย่างมากในช่วงเวลาที่ผ่านมา
สแปมซึ่งตอนนี้เกิน 80% ของปริมาณการรับส่งอีเมลทั้งหมดแล้ว อาจเป็นภัยคุกคามต่อความพร้อมใช้งานของข้อมูลโดยการบล็อกเซิร์ฟเวอร์อีเมล หรือใช้เพื่อเผยแพร่ซอฟต์แวร์ที่เป็นอันตราย
ฟิชชิ่ง(ฟิชชิง) เป็นการฉ้อโกงทางอินเทอร์เน็ตประเภทใหม่ซึ่งมีจุดประสงค์เพื่อรับข้อมูลประจำตัวของผู้ใช้ ซึ่งรวมถึงการขโมยรหัสผ่าน หมายเลขบัตรเครดิต บัญชีธนาคาร รหัส PIN และข้อมูลลับอื่นๆ ที่ทำให้สามารถเข้าถึงเงินของผู้ใช้ได้ ฟิชชิ่งไม่ได้ใช้ประโยชน์จากข้อบกพร่องทางเทคนิคของซอฟต์แวร์ แต่เป็นความใจง่ายของผู้ใช้อินเทอร์เน็ต คำว่า ฟิชชิ่ง นั้นพ้องเสียงกับการตกปลา (การตกปลา) หมายถึงการตกปลาด้วยรหัสผ่าน - การตกปลาด้วยรหัสผ่าน แท้จริงแล้วฟิชชิ่งนั้นคล้ายกับการตกปลามาก ผู้โจมตีขว้างเหยื่อบนอินเทอร์เน็ตและ "จับปลาทั้งหมด" - ผู้ใช้อินเทอร์เน็ตที่จะกัดเหยื่อนี้
ผู้โจมตีสร้างสำเนาของเว็บไซต์ธนาคารที่เลือก (ระบบการชำระเงินทางอิเล็กทรอนิกส์ การประมูล ฯลฯ) เกือบทั้งหมด จากนั้น ใช้เทคโนโลยีสแปม จดหมายจะถูกส่งทางอีเมล โดยเขียนในลักษณะที่คล้ายกับจดหมายจริงจากธนาคารที่เลือกมากที่สุด เมื่อรวบรวมจดหมายจะใช้โลโก้ธนาคาร ชื่อและนามสกุลของผู้จัดการธนาคารจริง ตามกฎแล้วในจดหมายดังกล่าวมีรายงานว่าเนื่องจากมีการเปลี่ยนแปลงซอฟต์แวร์ในระบบธนาคารทางอินเทอร์เน็ต ผู้ใช้จำเป็นต้องยืนยันหรือเปลี่ยนข้อมูลประจำตัวของตน สาเหตุของการเปลี่ยนแปลงข้อมูลอาจเป็นความล้มเหลวของซอฟต์แวร์ของธนาคารหรือการโจมตีโดยแฮกเกอร์ การมีตำนานที่เชื่อได้ซึ่งกระตุ้นให้ผู้ใช้ดำเนินการที่จำเป็นเป็นองค์ประกอบที่ขาดไม่ได้ในความสำเร็จของนักต้มตุ๋นแบบฟิชชิ่ง ในทุกกรณี จุดประสงค์ของจดหมายดังกล่าวก็เหมือนกัน นั่นคือเพื่อบังคับให้ผู้ใช้คลิกลิงก์ที่ให้ไว้ จากนั้นป้อนข้อมูลที่เป็นความลับ (รหัสผ่าน หมายเลขบัญชี รหัส PIN) บนเว็บไซต์เท็จของธนาคาร (ระบบการชำระเงินทางอิเล็กทรอนิกส์ การประมูล) เมื่อเข้าสู่ไซต์ปลอม ผู้ใช้ป้อนข้อมูลที่เป็นความลับของเขาในบรรทัดที่เหมาะสม จากนั้นนักต้มตุ๋นจะสามารถเข้าถึงกล่องจดหมายของเขา แย่ที่สุดก็คือบัญชีอิเล็กทรอนิกส์ของเขา
เทคโนโลยีฟิชชิ่งกำลังได้รับการปรับปรุง มีการใช้วิธีวิศวกรรมทางสังคม พวกเขาพยายามทำให้ลูกค้ากลัว หาเหตุผลสำคัญให้เขาเปิดเผยข้อมูลที่เป็นความลับ ตามกฎแล้ว ข้อความจะมีการคุกคาม ตัวอย่างเช่น เพื่อบล็อกบัญชีหากผู้รับไม่ปฏิบัติตามข้อกำหนดที่กำหนดไว้ในข้อความ
มีการผันคำกริยา ด้วยแนวคิดฟิชชิ่ง - การทำฟาร์ม . นี่เป็นการหลอกลวงที่มีเป้าหมายเพื่อรับข้อมูลส่วนบุคคลของผู้ใช้ แต่ไม่ใช่ทางไปรษณีย์ แต่โดยตรงผ่านเว็บไซต์อย่างเป็นทางการ เกษตรกรแทนที่ที่อยู่ดิจิทัลของเว็บไซต์ที่ถูกต้องตามกฎหมายบนเซิร์ฟเวอร์ DNS ด้วยที่อยู่ปลอม ซึ่งส่งผลให้ผู้ใช้ถูกเปลี่ยนเส้นทางไปยังไซต์หลอกลวง การฉ้อโกงประเภทนี้มีอันตรายยิ่งกว่าเนื่องจากแทบจะเป็นไปไม่ได้เลยที่จะสังเกตเห็นของปลอม
ปัจจุบัน นักต้มตุ๋นมักใช้โปรแกรม "โทรจัน" งานของฟิชเชอร์ในกรณีนี้นั้นง่ายมาก - ก็เพียงพอแล้วที่จะบังคับให้ผู้ใช้ย้ายไปยังไซต์ฟิชชิ่งและ "รับ" โปรแกรมที่จะค้นหาทุกสิ่งที่จำเป็นในฮาร์ดไดรฟ์ของเหยื่อโดยอิสระ พร้อมกับโปรแกรม "โทรจัน" เริ่มใช้และ คีย์ล็อกเกอร์เว็บไซต์ปลอมดาวน์โหลดสปายแวร์ที่ติดตามการกดแป้นพิมพ์บนคอมพิวเตอร์ของเหยื่อ เมื่อใช้วิธีนี้ คุณไม่จำเป็นต้องค้นหาการติดต่อกับลูกค้าของธนาคารหรือบริษัทใดบริษัทหนึ่ง ดังนั้น ฟิชเชอร์จึงเริ่มปลอมแปลงไซต์ที่ใช้งานทั่วไป เช่น ฟีดข่าวและเสิร์ชเอ็นจิ้น
ความสำเร็จของการหลอกลวงแบบฟิชชิ่งได้รับการอำนวยความสะดวกโดยการรับรู้ของผู้ใช้ในระดับต่ำเกี่ยวกับกฎการดำเนินงานของบริษัทที่อาชญากรดำเนินการในนาม โดยเฉพาะอย่างยิ่ง ผู้ใช้ประมาณ 5% ไม่ทราบข้อเท็จจริงง่ายๆ: ธนาคารไม่ส่งจดหมายขอให้ยืนยันหมายเลขบัตรเครดิตและรหัส PIN ทางออนไลน์
จากข้อมูลของนักวิเคราะห์ (www.cnews.ru) ความเสียหายที่เกิดจากฟิชเชอร์ต่อเศรษฐกิจโลกในปี 2546 มีมูลค่า 14 พันล้านดอลลาร์ และในปีต่อมามีมูลค่าถึง 44 พันล้านดอลลาร์ จากสถิติของไซแมนเทค ในช่วงกลางปี 2547 ตัวกรองของบริษัทได้บล็อกอีเมลที่มีเนื้อหาฟิชชิงมากถึง 9 ล้านฉบับทุกสัปดาห์ สิ้นปี33ล้าน.
ตัวกรองสแปมยังคงเป็นการป้องกันหลักจากฟิชชิง น่าเสียดายที่เครื่องมือซอฟต์แวร์ต่อต้านฟิชชิงมีประสิทธิภาพจำกัด เนื่องจากผู้โจมตีใช้ประโยชน์จากจิตวิทยาของมนุษย์เป็นหลักมากกว่าข้อบกพร่องของซอฟต์แวร์ เครื่องมือรักษาความปลอดภัยด้านเทคนิคกำลังได้รับการพัฒนาอย่างแข็งขัน ส่วนใหญ่เป็นปลั๊กอินสำหรับเบราว์เซอร์ยอดนิยม สาระสำคัญของการป้องกันคือการบล็อกไซต์ที่ถูกขึ้นบัญชีดำโดยทรัพยากรที่ฉ้อฉล ขั้นตอนต่อไปอาจเป็นระบบสำหรับสร้างรหัสผ่านแบบใช้ครั้งเดียวสำหรับการเข้าถึงอินเทอร์เน็ตไปยังบัญชีธนาคารและบัญชีในระบบการชำระเงิน การกระจายระดับการป้องกันเพิ่มเติมอย่างกว้างขวางผ่านการรวมการป้อนรหัสผ่านโดยใช้คีย์ USB ของฮาร์ดแวร์
รายชื่อรายการโจมตีบนเครือข่าย IP เกิดขึ้นได้จากหลายสาเหตุ:
v การใช้ช่องทางข้อมูลสาธารณะ ข้อมูลสำคัญจะถูกส่งผ่านเครือข่ายที่ไม่ได้เข้ารหัส
ช่องโหว่ในขั้นตอนการพิสูจน์ตัวตนที่ใช้งานใน TCP/IP stack ข้อมูลประจำตัวที่ชั้น IP จะถูกส่งอย่างชัดเจน
v ไม่มีกลไกสแต็คโปรโตคอล TCP / IP เวอร์ชันพื้นฐานที่รับประกันความลับและความสมบูรณ์ของข้อความที่ส่ง
v ผู้ส่งได้รับการรับรองความถูกต้องโดยที่อยู่ IP ขั้นตอนการรับรองความถูกต้องจะดำเนินการในขั้นตอนการสร้างการเชื่อมต่อเท่านั้น และต่อไปจะไม่มีการตรวจสอบความถูกต้องของแพ็กเก็ตที่ได้รับ
v การขาดการควบคุมเส้นทางของข้อความบนอินเทอร์เน็ต ซึ่งทำให้การโจมตีเครือข่ายระยะไกลแทบไม่ได้รับโทษ