Løsning
Der er mange specielle teknikker, som gør det muligt for angribere at kompromittere eksterne systemer. Disse er opdelt i flere kategorier:
DoS, eller Denial of Service, er et forsøg på at gøre en computer eller et netværk utilgængeligt for de tiltænkte brugere. DoS-angreb blokerer kommunikationen mellem de berørte brugere og forhindrer dem i at fortsætte på en funktionel måde. En almindelig angrebsmetode går ud på at mætte målmaskinen med eksterne kommunikationsanmodninger, så målmaskinen ikke kan reagere på legitim trafik eller reagerer så langsomt, at den reelt bliver utilgængelig. Sådanne angreb fører normalt til en overbelastning af serveren. Computere, der udsættes for DoS-angreb, skal normalt genstartes for at kunne fungere korrekt.
Målene for DoS-angreb er webservere, og målet er at gøre dem utilgængelige for brugerne i et bestemt tidsrum.
Ved hjælp af DNS-forgiftning (Domain Name Server) kan hackere narre DNS-serveren på en hvilken som helst computer til at tro, at falske data er legitime og autentiske. De falske oplysninger cachelagres i en vis periode, så angriberne kan omskrive IP-adressernes DNS-svar. Resultatet er, at brugere, der forsøger at få adgang til DNS-forgiftede hjemmesider, vil downloade computervirus eller orme i stedet for hjemmesidens oprindelige indhold.
Portscanning bruges til at finde ud af, hvilke computerporte der er åbne på en netværkshost. En portscanner er software, der er designet til at finde sådanne porte.
En computerport er et virtuelt punkt, som håndterer indgående og udgående data - det er afgørende ud fra et sikkerhedssynspunkt. I et stort netværk kan de oplysninger, der indsamles af portscannere, hjælpe med at identificere potentielle sårbarheder. En sådan brug er legitim.
Alligevel bruges portscanning ofte af hackere, der forsøger at kompromittere sikkerheden. Deres første skridt er at sende pakker til hver port. Afhængigt af svartypen er det muligt at afgøre, hvilke porte der er i brug. Selve scanningen forårsager ingen skade, men vær opmærksom på, at denne aktivitet kan afsløre potentielle sårbarheder og give angribere mulighed for at tage kontrol over fjerncomputere.
Netværksadministratorer rådes til at blokere alle ubrugte porte og beskytte dem, der er i brug, mod uautoriseret adgang.
TCP-desynkronisering er en teknik, der bruges i TCP-hijacking-angreb. Den udløses af en proces, hvor det sekventielle nummer i indgående pakker afviger fra det forventede sekventielle nummer. Pakker med et uventet løbenummer afvises (eller gemmes i bufferlageret, hvis de er til stede i det aktuelle kommunikationsvindue).
Ved desynkronisering afviser begge kommunikationsslutpunkter modtagne pakker, og på det tidspunkt kan fjernangribere infiltrere og levere pakker med et korrekt løbenummer. Angriberne kan endda manipulere eller ændre kommunikationen.
TCP Hijacking-angreb har til formål at afbryde server-klient- eller peer-to-peer-kommunikation. Mange angreb kan undgås ved at bruge autentificering for hvert TCP-segment. Det anbefales også at bruge de anbefalede konfigurationer til dine netværksenheder.
SMBRelay og SMBRelay2 er særlige programmer, der er i stand til at udføre angreb mod fjerncomputere. Programmerne udnytter Server Message Block-fildelingsprotokollen, som er indlejret i NetBIOS. En bruger, der deler en mappe eller et bibliotek inden for LAN, bruger sandsynligvis denne fildelingsprotokol. Inden for lokal netværkskommunikation udveksles password-hashes.
SMBRelay modtager en forbindelse på UDP-port 139 og 445, videresender de pakker, der udveksles af klienten og serveren, og ændrer dem. Efter tilslutning og godkendelse afbrydes forbindelsen til klienten. SMBRelay opretter en ny virtuel IP-adresse. Man kan få adgang til den nye adresse med kommandoen "net use \192.168.1.1". Adressen kan derefter bruges af alle Windows' netværksfunktioner. SMBRelay videresender SMB-protokollens kommunikation med undtagelse af forhandling og godkendelse. Fjernangribere kan bruge IP-adressen, så længe klientcomputeren er tilsluttet.
SMBRelay2 fungerer efter samme princip som SMBRelay, bortset fra at den bruger NetBIOS-navne i stedet for IP-adresser. Begge kan udføre "man-in-the-middle"-angreb. Disse angreb gør det muligt for fjernangribere at læse, indsætte og ændre beskeder, der udveksles mellem to kommunikationsslutpunkter, uden at det bliver bemærket. Computere, der udsættes for sådanne angreb, holder ofte op med at reagere eller genstarter uventet. For at undgå angreb anbefaler vi, at du bruger adgangskoder eller nøgler til autentificering.
ICMP (Internet Control Message Protocol) er en populær og meget brugt internetprotokol. Den bruges primært af netværkscomputere til at sende forskellige fejlmeddelelser.
Fjernangribere forsøger at udnytte svaghederne i ICMP-protokollen. ICMP-protokollen er designet til envejskommunikation, der ikke kræver autentificering. Det gør det muligt for fjernangribere at udløse DoS-angreb (Denial of Service) eller angreb, som giver uautoriserede personer adgang til indgående og udgående pakker.
Typiske eksempler på ICMP-angreb er ping flood, ICMP_ECHO flood og smurf-angreb. Computere, der udsættes for et ICMP-angreb, vil opleve en betydeligt langsommere ydeevne i applikationer, der bruger internettet, og have problemer med at oprette forbindelse til internettet.
