ソリューション
攻撃者がリモート・システムを侵害することを可能にする特別なテクニックは数多く存在する。これらはいくつかのカテゴリーに分けられる:
DoS(Denial of Service)とは、コンピュータやネットワークを意図したユーザーが利用できないようにする試みです。DoS攻撃は、影響を受けるユーザー間の通信を妨害し、機能的な方法で通信を継続することを妨げます。一般的な攻撃方法としては、外部からの通信要求で標的のマシンを飽和させることで、標的のマシンが正当なトラフィックに応答できなくしたり、事実上利用できなくなるほど応答が遅くなったりする。このような攻撃は通常、サーバーの過負荷につながる。DoS攻撃にさらされたコンピューターは通常、正常に動作させるために再起動する必要がある。
DoS攻撃の標的はウェブ・サーバーであり、その目的は一定時間ユーザーが利用できないようにすることである。
DNS(ドメイン・ネーム・サーバー)ポイズニングを使用すると、ハッカーはあらゆるコンピュータのDNSサーバーを騙して、偽のデータが正当で本物であると信じ込ませることができます。偽の情報は一定期間キャッシュされ、攻撃者はIPアドレスのDNS応答を書き換えることができます。その結果、DNSポイズニングされたウェブサイトにアクセスしようとするユーザーは、ウェブサイト本来のコンテンツではなく、コンピューターウイルスやワームをダウンロードすることになる。
ポートスキャンは、ネットワークホスト上で開いているコンピュータポートを特定するために使用されます。ポート・スキャナーは、このようなポートを見つけるために設計されたソフトウェアです。
コンピュータ・ポートは、データの送受信を処理する仮想的なポイントであり、セキュリティの観点からは非常に重要である。大規模なネットワークでは、ポートスキャナーによって収集された情報は、潜在的な脆弱性を特定するのに役立つかもしれない。このような利用は合法的なものだ。
それでもなお、ポート・スキャンは、セキュリティを侵害しようとするハッカーによってしばしば利用される。彼らの最初のステップは、各ポートにパケットを送信することである。レスポンスの種類によって、どのポートが使用されているかを特定することができる。スキャン自体に被害はないが、この行為によって潜在的な脆弱性が明らかになり、攻撃者がリモート・コンピュータをコントロールできるようになる可能性があることに注意すること。
ネットワーク管理者は、未使用のポートをすべてブロックし、使用中のポートを不正アクセスから保護することをお勧めする。
TCP非同期化は、TCPハイジャック攻撃で使用されるテクニックです。これは、受信パケットの連番が予想される連番と異なるプロセスによって引き起こされます。予期しない連番を持つパケットは棄却されます(現在の通信ウィンドウに存在する場合はバッファストレージに保存されます)。
非同期化では、両方の通信エンドポイントが受信したパケットを破棄し、その時点でリモートの攻撃者が侵入し、正しい連番を持つパケットを供給することができる。攻撃者は通信を操作したり変更したりすることもできる。
TCPハイジャック攻撃は、サーバーとクライアント、またはピアツーピアの通信を妨害することを目的としている。多くの攻撃は、TCPセグメントごとに認証を使用することで回避できる。また、ネットワーク・デバイスの推奨コンフィギュレーションを使用することをお勧めします。
SMBRelay と SMBRelay2 は、リモートコンピュータに対して攻撃を行うことができる特別なプログラムです。このプログラムは、NetBIOSに組み込まれているServer Message Blockファイル共有プロトコルを利用しています。LAN内でフォルダやディレクトリを共有するユーザーは、このファイル共有プロトコルを使用している可能性が高い。ローカルネットワーク通信では、パスワードハッシュが交換される。
SMBRelayは、UDPポート139と445で接続を受信し、クライアントとサーバーによって交換されたパケットを中継し、それらを変更する。接続と認証の後、クライアントは切断される。SMBRelayは新しい仮想IPアドレスを作成する。この新しいアドレスは、"net use \192.168.1.1 "というコマンドでアクセスできる。このアドレスはWindowsのネットワーク機能で使用できます。SMBRelay は、ネゴシエーションと認証以外の SMB プロトコル通信を中継する。リモート攻撃者は、クライアントコンピュータが接続されている限り、IPアドレスを使用できる。
SMBRelay2は、IPアドレスではなくNetBIOS名を使う以外は、 SMBRelayと同じ原理で動作する。どちらも「中間者(man-in-the-middle)」攻撃を行うことができる。これらの攻撃により、リモートの攻撃者は2つの通信エンドポイント間でやり取りされるメッセージを、気づかれることなく読んだり、挿入したり、変更したりすることができます。このような攻撃にさらされたコンピューターは、しばしば応答を停止したり、予期せず再起動したりします。攻撃を避けるために、認証パスワードまたは認証キーを使用することをお勧めします。
ICMP(Internet Control Message Protocol)は、広く普及しているインターネット・プロトコルです。主にネットワーク接続されたコンピュータが、さまざまなエラーメッセージを送信するために使用します。
リモート攻撃者は、ICMPプロトコルの弱点を利用しようとします。ICMPプロトコルは、認証を必要としない一方向通信用に設計されています。このため、リモート攻撃者はDoS(サービス拒否)攻撃や、権限のない個人が送受信パケットにアクセスする攻撃を引き起こすことができます。
ICMP攻撃の典型的な例は、pingフラッド、ICMP_ECHOフラッド、smurf攻撃です。ICMP攻撃にさらされたコンピュータは、インターネットを使用するアプリケーションのパフォーマンスが著しく低下し、インターネットへの接続に問題が発生します。
