1. ¿Cuáles son los principales métodos de ataque comunes en la red?
Tienes demasiadas preguntas y aún no tienes ninguna~ Xixi
===================== ==== ===========================
En la actualidad, los principales factores que causan la inseguridad de la red son los sistemas, protocolos, bases de datos, etc. Hay fallas en el diseño. Debido a que los sistemas operativos de redes informáticas actuales se centran en la conveniencia del uso del sistema al diseñar su estructura y código, el sistema tiene vulnerabilidades de seguridad en muchos aspectos, como el acceso remoto, el control de permisos y la administración de contraseñas. La interconexión de red generalmente utiliza el protocolo TCP/IP, que es un grupo de protocolos estándar industrial. Sin embargo, cuando se formuló por primera vez el grupo de protocolos, no se consideraron mucho los problemas de seguridad y había muchas lagunas de seguridad en el protocolo. De manera similar, los sistemas de administración de bases de datos (DBMS) también tienen problemas con la seguridad de los datos, la administración de permisos y el acceso remoto. Los programas destructivos como la recopilación de inteligencia, la excitación controlada y los ataques programados pueden estar preinstalados en el DBMS o la aplicación.
Se puede ver que los sistemas, protocolos de red, bases de datos, etc., ya sea debido a sus propios defectos de diseño o diversas vulnerabilidades de seguridad causadas por factores humanos, pueden ser explotados por piratas informáticos con otras agendas. ataques. Por lo tanto, si desea garantizar la seguridad y confiabilidad de la red, debe estar familiarizado con el proceso general de los ataques de piratas informáticos a la red. Sólo así podremos tomar las precauciones necesarias antes de que los piratas informáticos ataquen para garantizar la seguridad y confiabilidad del funcionamiento de la red.
1. El proceso general de los piratas informáticos que atacan la red
1. Recopilación de información
La recopilación de información no causa daño al objetivo, solo proporciona información útil para futuras intrusiones. Los piratas informáticos pueden utilizar los siguientes protocolos o herramientas públicos para recopilar información relevante sobre cada sistema host que reside en el sistema de red:
(1) El programa TraceRoute se puede utilizar para obtener la red a través de la cual llegar al host objetivo. número y número de enrutador.
(2) El protocolo SNMP se utiliza para verificar la tabla de enrutamiento del enrutador del sistema de red para comprender la topología y los detalles internos de la red donde se encuentra el host de destino.
(3) Servidor DNS Este servidor proporciona una tabla de direcciones IP de host a las que se puede acceder en el sistema y sus correspondientes nombres de host.
(4) Protocolo Whois La información de servicio de este protocolo puede proporcionar todos los dominios DNS relevantes y los parámetros de gestión relacionados.
(5) La utilidad Ping se puede utilizar para determinar la ubicación de un host específico o si el cable de red está conectado.
2. Detección de debilidades de seguridad del sistema
Después de recopilar cierta información para atacar al objetivo, los piratas informáticos detectarán cada host en la red objetivo para encontrar las vulnerabilidades internas del sistema y los principales métodos de detección. Las vulnerabilidades de seguridad son las siguientes:
(1) Para algunos sistemas, los programas escritos por ellos mismos han publicado sus vulnerabilidades de seguridad en Internet, pero los usuarios no marcaron la información publicada en línea debido a falta de comprensión o negligencia. El programa de "parche" del sistema, luego el hacker puede escribir un programa para ingresar al sistema y destruirlo.
(2) Escaneo lento Dado que la implementación de detectores de escaneo generales determina si se está escaneando al monitorear la cantidad de conexiones iniciadas por un host específico en un cierto período de tiempo, los piratas informáticos pueden usar un escaneo más lento. software para escanear.
(3) Detección de arquitectura Los piratas informáticos utilizan algunos paquetes de datos especiales para enviarlos al host de destino y hacer que responda en consecuencia. Dado que el tiempo de respuesta y el método de cada sistema operativo son diferentes, los piratas informáticos utilizan esta función para comparar los resultados obtenidos con los datos de la base de datos preparada, a partir de la cual pueden determinar fácilmente el sistema utilizado por la versión del sistema operativo host de destino y otros relacionados. información.
(4) Utilice herramientas y software públicos, como la herramienta de análisis de seguridad SATAN para auditar redes, el escáner de seguridad electrónico de Internet IIS y otras herramientas para escanear toda la red o subred para encontrar vulnerabilidades de seguridad.
3. Establecer un entorno de simulación y realizar ataques simulados
Con base en la información obtenida en los dos puntos anteriores, establecer un entorno de simulación similar al objetivo del ataque, y luego realizar un serie de pruebas sobre el ataque al objetivo simulado.
Durante este período, al verificar los registros de la parte atacada y observar la reacción de la herramienta de detección al ataque, podemos comprender mejor los "rastros" dejados durante el ataque y el estado de la parte atacada, para formular un análisis más detallado. estrategia de ataque exhaustiva.
4. Implementar el ataque de red específico
Con base en la información obtenida en los pasos anteriores, el intruso resume el método de ataque correspondiente según su propio nivel y experiencia, y luego simula el Después de la práctica, esperarás la oportunidad de llevar a cabo un ciberataque real.
2. Ataque de suplantación de protocolo y sus medidas preventivas
1. Ataque de suplantación de dirección IP de origen
Muchas aplicaciones creen que si el paquete de datos puede sobrevivir. la ruta llega al destino y el paquete de respuesta también puede devolverse al origen, entonces la dirección IP de origen debe ser válida, y este es un requisito previo importante para hacer posible el ataque de suplantación de dirección IP de origen.
Supongamos que hay dos hosts A y B en el mismo segmento de red y que hay un host X en otro segmento de red. B concede a A ciertos privilegios. Para obtener los mismos privilegios que A, X realiza el siguiente ataque de suplantación de identidad: primero, X se hace pasar por A y envía un paquete SYN con un número de secuencia aleatorio al host B. El host B responde y envía un paquete de respuesta a A. El número de respuesta es igual al número de secuencia original más 1. Sin embargo, en este momento, el Host X ha "inundado" el Host A mediante un ataque de denegación de servicio, lo que ha provocado que el servicio del Host A falle. Como resultado, el host A descarta el paquete enviado por B. Para completar el protocolo de enlace de tres vías, X también necesita enviar un paquete de respuesta a B. El número de respuesta es igual al número de secuencia del paquete de datos enviado por B a A más 1. En este momento, el host X no puede detectar el paquete de datos del host B (porque no está en el mismo segmento de red). Solo puede usar el método de estimación del número de secuencia TCP para predecir el número de secuencia del paquete de respuesta y enviarlo al destino. maquina b Si la suposición es correcta, B piensa que el ACK recibido proviene del host interno A. En este punto, X ha obtenido los privilegios que disfruta el host A sobre el host B y comienza a atacar estos servicios.
Para evitar la suplantación de direcciones IP de origen, se pueden tomar las siguientes medidas para proteger el sistema de dichos ataques tanto como sea posible:
(1) Abandonar la política de confianza basada en direcciones para prevenir este tipo de ataque Una manera muy fácil de atacar es abandonar la autenticación basada en direcciones. No se permite el uso de comandos de llamadas remotas tipo r; elimine el archivo .rhosts; borre el archivo /etc/hosts.equiv. Esto obligará a todos los usuarios a utilizar otros métodos de comunicación remota, como telnet, ssh, skey, etc.
(2) Usando el método de cifrado Podemos cifrar el paquete antes de enviarlo a la red. Aunque el proceso de cifrado requiere cambios apropiados en el entorno de red actual, garantizará la integridad, autenticidad y confidencialidad de los datos.
(3) Realizar filtrado de paquetes Puede configurar el enrutador para rechazar solicitudes de conexión con la misma dirección IP fuera de la red y dentro de esta red. Además, cuando la dirección IP del paquete no está dentro de la red local, el enrutador no debe enviar el paquete desde el host local. Una cosa a tener en cuenta es que los enrutadores pueden bloquear ciertos tipos de paquetes que intentan llegar a la red interna. Pero también operan analizando la dirección de origen de la prueba. Por lo tanto, solo pueden filtrar paquetes entrantes que afirman provenir de la red interna. Si hay hosts externos confiables en su red, el enrutador no podrá evitar que otros se hagan pasar por estos hosts para falsificar IP.
2. Ataque de suplantación de enrutamiento de origen
En circunstancias normales, la ruta que sigue un paquete de información desde el punto inicial hasta el punto final está determinada por el enrutador ubicado entre estos dos puntos. Del paquete de datos en sí solo sé adónde ir, pero no cómo llegar. El enrutamiento de origen permite al remitente del paquete de información escribir la ruta que tomará el paquete de datos en el paquete de datos, de modo que el paquete de datos llegue al host de destino a lo largo de una ruta impredecible. La forma de este ataque todavía se proporciona a continuación utilizando el ejemplo anterior de suplantación de IP de origen:
El host A disfruta de ciertos privilegios del host B y el host X quiere hacerse pasar por el host A del host B (asumiendo que la IP es aaa.bbb.ccc.ddd) para obtener ciertos servicios. Primero, el atacante modifica el enrutador más cercano para enviar paquetes enrutados desde el origen (especificando el enrutador más cercano). Cuando B devuelve el paquete de datos, se envía al enrutador cambiado.
Esto permite a un intruso hacerse pasar por un host y obtener ciertos datos protegidos a través de una ruta especial.
Para evitar ataques de suplantación de enrutamiento de origen, generalmente se adoptan las dos medidas siguientes:
· La mejor manera de lidiar con este tipo de ataque es configurar el enrutador para que descarta los que provienen de la red externa pero afirma ser un mensaje de un host interno.
· Desactive el enrutamiento de origen en el enrutador. Utilice el comando no ip source-route.
3. Ataques de denegación de servicio y medidas preventivas
En un ataque de denegación de servicio, el atacante carga demasiados servicios y utiliza todos los recursos de la otra parte, sin dejar recursos adicionales para otros. usuarios a utilizar. El ataque SYN Flood es un ataque típico de denegación de servicio.
SYN Flood es a menudo el preludio de ataques de suplantación de direcciones IP de origen, también conocidos como ataques de conexión medio abierta. Siempre que establezcamos una conexión TCP estándar, habrá un proceso de protocolo de enlace de tres vías y SYN Flood. En él, solo existen los dos primeros pasos del protocolo de enlace de tres vías en el proceso de implementación. Cuando el servidor recibe el SYN del solicitante y devuelve un mensaje de confirmación SYN-ACK, el solicitante utiliza la suplantación de la dirección de origen y otros medios. en el servidor no recibe una respuesta ACK, de esta manera, el servidor estará en un estado de espera para recibir el mensaje ACK del solicitante durante un cierto período de tiempo. Las conexiones TCP disponibles para un servidor son limitadas. envía dichas solicitudes de conexión en rápida sucesión, el sistema del servidor estará disponible. Los recursos y el ancho de banda disponible de la red han disminuido drásticamente, lo que hace imposible proporcionar servicios de red normales a otros usuarios.
Para prevenir ataques de denegación de servicio podemos tomar las siguientes medidas preventivas:
(1) Se recomienda realizar algunos ajustes de configuración en el router de este segmento de red. Estos ajustes incluyen limitar Syn El caudal y la cantidad de paquetes medio abiertos.
(2) Para evitar ataques al segmento de datos SYN, debemos configurar los parámetros del kernel correspondientes en el sistema para forzar al sistema a restablecer el tiempo de espera del paquete de conexión de solicitud Syn, acortando el tiempo de espera. constante y alargando la cola de espera, el sistema puede manejar rápidamente paquetes de solicitud Syn no válidos.
(3) Se recomienda realizar la interceptación TCP necesaria en el extremo frontal del enrutador para que solo los paquetes de datos que hayan completado el proceso de protocolo de enlace de tres vías TCP puedan ingresar al segmento de red. evitar que los servidores de este segmento de red sean objeto de este tipo de ataques.
(4) Para ataques de inundación de información, debemos desactivar los servicios que pueden generar secuencias infinitas para evitar este ataque. Por ejemplo, podemos rechazar todos los paquetes ICMP en el lado del servidor o limitar el ancho de banda de los paquetes ICMP en el enrutador del segmento de red para controlarlos dentro de un cierto rango.
En resumen, la mejor manera de eliminar por completo los ataques de denegación de servicio es rastrear el origen para encontrar las máquinas y los atacantes que están atacando. Rastrear a un atacante no es una tarea fácil y, una vez que deja de atacar, es difícil detectarlo. El único método factible es utilizar un método de seguimiento paso a paso para encontrar la fuente del ataque en función de la información del enrutador y las características del paquete de ataque cuando ataca. Esto requiere que la coordinación de departamentos en todos los niveles sea eficaz.
4. Medidas preventivas para otros ataques a la red
Los ataques de protocolo y los ataques de denegación de servicio son métodos de ataque comúnmente utilizados por los piratas informáticos. Sin embargo, con el rápido desarrollo de la tecnología de red, los ataques. Los comportamientos cambian constantemente, surgen nuevas tecnologías sin cesar. A continuación se explicarán los principios de ataque y las medidas preventivas de rastreo de red y desbordamiento del búfer.
1. Medidas preventivas contra el rastreo de redes
El rastreo de redes consiste en hacer que la interfaz de red reciba datos que no pertenecen al host. Las redes de computadoras generalmente se construyen en un canal compartido. Ethernet es una red de canal compartido. Su encabezado de datos contiene la dirección de hardware del host de destino. Solo las máquinas con direcciones de hardware coincidentes recibirán el paquete de datos. Una máquina que puede recibir todos los paquetes se denomina nodo misceláneo. Por lo general, información como cuentas y contraseñas se transmite en texto claro a través de Ethernet. Una vez que los piratas informáticos la detectan en un nodo complejo, los usuarios pueden resultar perjudicados.
Para los ataques de rastreo de redes, podemos tomar las siguientes medidas para prevenirlos:
(1) Segmentación de la red Un segmento de red incluye un grupo de máquinas que comparten dispositivos de bajo nivel y. líneas, dispositivos como conmutadores, concentradores dinámicos y puentes pueden limitar el flujo de datos para evitar el rastreo.
(2) Por un lado, el cifrado puede cifrar cierta información importante en el flujo de datos; por otro lado, solo puede cifrar la capa de aplicación, pero esta última aprovechará la mayor parte de la información relacionada. a la red y al sistema operativo sin resolver. La información confidencial pierde protección. El método de cifrado elegido depende del nivel de seguridad de la información y de la seguridad de la red.
(3) Tecnología de contraseña de un solo uso La contraseña no se transmite en la red, sino que coincide con una cadena en ambos extremos. El cliente utiliza el desafío obtenido del servidor y su propia contraseña para calcular una nueva cadena y. Devuélvelo al servidor. Se utiliza un algoritmo de comparación en el servidor para realizar una coincidencia. Si hay una coincidencia, se permite establecer la conexión. Todos los desafíos y las cadenas se usan solo una vez.
(4) Deshabilite los nodos complejos La instalación de una tarjeta de red que no admita nodos complejos generalmente puede evitar que las computadoras compatibles con IBM detecten.
2. Ataque de desbordamiento de búfer y sus medidas preventivas
El ataque de desbordamiento de búfer es un medio de ataque al sistema. Escribe contenido más allá de la longitud del búfer del programa, lo que provoca que el búfer se desborde. El área se desborda, lo que destruye la pila del programa y hace que el programa cambie a ejecutar otras instrucciones para lograr el propósito del ataque. Por supuesto, simplemente llenar el búfer con cosas no logrará el propósito del ataque. El método más común es hacer que el programa ejecute un shell de usuario creando un desbordamiento del búfer y luego ejecutar otros comandos a través del shell. Si el programa tiene privilegios de root, el atacante puede realizar operaciones arbitrarias en el sistema.
El desbordamiento del búfer causa un daño enorme al sistema de red Para prevenir eficazmente este ataque, se deben realizar los siguientes puntos:
(1) Verificación de la integridad del puntero del programa Detecta si un puntero del programa tiene. cambiado antes de que se haga referencia a él. Incluso si un atacante logra cambiar el puntero del programa, el puntero no se utilizará porque el sistema ha detectado el cambio de antemano.
(2) Protección de pila Esta es una tecnología de compilación que proporciona verificación de integridad del puntero del programa, que se implementa verificando la dirección de retorno en el registro de actividad de la función. Se agregan algunos bytes adicionales después de la dirección de retorno de la función en la pila, y cuando la función regresa, primero verifique si los bytes adicionales se han modificado. Si se produce un ataque de desbordamiento del búfer, se detecta fácilmente antes de que regrese la función. Sin embargo, si un atacante prevé la existencia de estos bytes adicionales y puede crearlos de manera similar durante un desbordamiento, entonces podrá evitar con éxito la detección de protección de pila.
(3) Verificación de los límites de la matriz Se deben verificar todas las operaciones de lectura y escritura en la matriz para garantizar que las operaciones en la matriz se realicen dentro del rango correcto. El método más directo es verificar todas las operaciones de la matriz y, por lo general, se pueden usar algunas técnicas de optimización para reducir la cantidad de verificaciones. En la actualidad, existen principalmente estos métodos de verificación: compilador Compaq C, verificación de límites de matriz Jones & Kelly C, verificación de acceso a memoria Purify, etc.
La competencia en el futuro es la competencia de la información, y la información de la red es una parte importante de la competencia. Su esencia es el enfrentamiento entre personas, que se materializa en el enfrentamiento entre estrategias de seguridad y estrategias de ataque. Para mejorar continuamente las capacidades de defensa de la seguridad de los sistemas de información, debemos comprender completamente el núcleo del sistema y la implementación de los protocolos de red, y al mismo tiempo comprender verdaderamente las "minucias" del sistema de red de la otra parte. Estar familiarizado con las medidas preventivas contra varios métodos de ataque. Solo así podremos hacer lo mejor que podamos para garantizar la seguridad de la red.