Förhindra eller avhjälpa nätverksattacker - dummies

Video: Kan man förebygga, lindra eller bota demenssjukdom? 2024

Som Certified Information Systems Security Professional (CISSP) måste du förhindra eller mildra attacker mot ditt nätverk. De flesta attacker mot nätverk är Denial of Service (DoS) eller Distributed Denial of Service (DDoS) -attacker där målet är att konsumera ett nätverkets bandbredd så att nätverkstjänster blir otillgängliga. Men flera andra typer av attacker finns, varav några diskuteras här.

Med Bluetooth-tekniken blivit väldigt populär har flera angreppsmetoder utvecklats, inklusive

bluejacking (skickar anonyma, oönskade meddelanden till Bluetooth-aktiverade enheter) och < bluesnarfing (stjäl personuppgifter, t.ex. kontakter, bilder och kalenderinformation från en Bluetooth-aktiverad telefon). Ännu värre, i en bluesnarfing-attack kan information om din mobiltelefon (till exempel dess serienummer) hämtas och sedan användas för att klona din telefon.

Fraggle

attack är en variant av en Smurf-attack som använder UDP Echo-paket (UDP-port 7) istället för ICMP-paket. Cisco-routrar kan konfigureras för att inaktivera TCP- och UDP-tjänsterna (kända som TCP och UDP små servrar) som oftast används i Fraggle-attacker. Smurf A

Smurf

attack är en variation av ICMP-översvämningsangreppet. I en Smurf-attack skickas ICMP Echo Request-paket till sändningsadressen för ett målnätverk genom att använda en spoofed IP-adress på målnätet. Målet, eller studsplatsen, sänder sedan ICMP Echo Request till alla värdar i nätverket. Varje värd svarar sedan med ett Echo Response-paket, överväldigande tillgänglig bandbredd och / eller systemresurser. Motåtgärder mot Smurf-attacker inkluderar att släppa ICMP-paket på routern.

DNS-serverattacker

Det finns olika attacker som kan utföras mot DNS-servrar, vilka är utformade för att få riktade DNS-servrar att ge felaktiga svar till slutanvändare, vilket resulterar i att slutanvändarna skickas att fördöma system (vanligtvis webbplatser). Försvar mot DNS-serverangrepp inkluderar DNS-serverhärdning och programbrandväggar.

Man-in-the-Middle

man-i-mitten

(MITM) -attack består av en angripare som försöker ändra kommunikationen mellan två parter genom impersonation. En vanlig MITM-teknik attackerar upprättandet av en TLS-session, så att angriparen enkelt kan dekryptera krypterad kommunikation mellan de två ändpunkterna. Försvar mot MITM-attacker inkluderar starkare autentisering, genomförande av säkra DNS-extensions, latent granskning och out-of-band-verifiering. ICMP-översvämning

Vid en attack

ICMP-översvämning

skickas ett stort antal ICMP-paket (vanligtvis Echo Request) till målnätet för att förbruka tillgänglig bandbredd och / eller systemresurser. Eftersom ICMP inte krävs för normala nätverksoperationer, är det enklaste försvaret att släppa ICMP-paket på routern eller filtrera dem vid brandväggen. Sessionkapning (spoofing) IP

spoofing

innebär att man ändrar ett TCP-paket så att det verkar komma från en känd, betrodd källa, vilket ger angriparen tillgång till nätverket. Session kapning (session token avlyssning) Session kapning innebär vanligtvis ett Wi-Fi-nätverk utan kryptering, där en angripare kan avlyssna en annan användares HTTP-session cookie. Attacker använder sedan samma cookie för att ta över offrets användares HTTP-session. Detta har visats med Firesheep Firefox-förlängningen.

SYN-översvämning

I en

SYN-översvämning

angriper TCP-paket med en spoofed source-adress en anslutning (SYN-bituppsättning) till målnätet. Målet svarar med ett SYN-ACK-paket, men den spoofed källan svarar aldrig. Halvöppna anslutningar är ofullständiga kommunikationssessioner i väntan på att TCP trevägs handskakning är fullbordad. Dessa anslutningar kan snabbt överväldiga systemets resurser medan systemet väntar på de halvöppna anslutningarna till timeout, vilket gör att systemet kraschar eller på annat sätt blir oanvändbart. SYN-översvämningar motverkas Cisco-routrar genom att använda två funktioner: TCP Intercept, som effektivt proxies för de halvöppna anslutningarna; och Committed Access Rate (CAR), vilket begränsar bandbredden tillgänglig för vissa typer av trafik. Checkpoints FW-1 brandvägg har en funktion som kallas SYN Defender som fungerar på samma sätt som Cisco TCP Intercept-funktionen. Andra försvar inkluderar att ändra standard maximalt antal TCP halvöppna anslutningar och minska tidsavbrottstiden för nätverkssystem. Teardrop I en

Teardrop

attack modifieras fältet längd och fragmentering av sekventiella IP-paket, vilket gör att vissa målsystem blir förvirrade och kraschar. UDP-översvämning Vid en attack

UDP-översvämning

skickas ett stort antal UDP-paket till målnätverket för att förbruka tillgänglig bandbredd och / eller systemresurser. UDP-översvämningar kan generellt motverkas genom att släppa onödiga UDP-paket vid routern. Om attacken använder en obligatorisk UDP-port (t.ex. DNS-port 53) måste andra motåtgärder användas.