Другие примеры современных атак злоумышленников

Приведем краткие описания некоторых наиболее часто исполь­зуемых в настоящее время атак злоумышленников.

1. Фрагментация данных. Во время атаки инициируется по­сылка большого числа фрагментов, что приводит к переполнению программных буферов на приемной стороне или к аварийному за­вершению системы. Данная атака эффективна против компьюте­ров с ОС Windows NT без установленной специализированной до­полняющей программной "заплатки" icmp-fix. Выявления атаки заключается в осуществлении и анализе сборки пакетов "налету".

2. Сканирование Наlf5сап. Незаметно выявляются каналы ин­формационного воздействия на систему. Посылаются пакеты уста­новления соединения и при получении ответов от системы сбрасы­вается соединение (пакет с флагом RSТ). Стандартные средства не фиксируют попытку установления соединения, а злоумышленник определяет присутствие служб на определенных портах.

3. Сканирование сети посредством DNS. Производится опрос сервера имён и получении от него информации о домене. Для вы­явления атаки и определения сканирования анализируются запросы (адрес и имя), приходящие, быть может, от разных DNS-серверов за определенный, фиксированный промежуток времени. При этом просматривается информация, передаваемая в них, и от­слеживается перебор адресов.

4. Атака DNS flooding. Атака направлена на сервера имён Internet и заключается в передаче большого числа DNS-запросов. В результате пользователь не может обращаться к сервису имен и, следовательно, его работа становится невозможной. Выявление атаки сводится к анализу загрузки DNS-сервера и определению ис­точников запросов.

5. Атака DNS spoofing. Результатом данной атаки является внесение навязываемого соответствия между IР-адресом и домен­ным именем в кэш DNS-сервера. Атака характеризуется большим количеством DNS-пакетов с одним и тем же доменным именем, что связано с необходимостью подбора некоторых параметров DNS обмена. Выявление атаки связано с анализом содержимого DNS-трафика.

6. Сканирование сети методом ping sweep. Атака определяет атакуемые цели с помощью протокола IСМР. Для определения факта ping-сканирования целей, находящихся внутри подсети, не­обходимо анализировать исходные и конечные адреса IСМР-пакетов.

7. UDР bотb. При реализации атаки передаваемый пакет UDР содержит неправильный формат служебных полей. При его полу­чении некоторые старые версии сетевого ПО приводят к аварий­ному завершению системы.

7. Сканирование UDР-портов и TCP - портов.