Riešenie

Existujú rôzne techniky umožňujúce útočníkom napadnúť vzdialené počítačové systémy. Podľa svojej povahy sa útoky delia na niekoľko skupín.

DoS útoky

DoS, čiže Denial of Service – odmietnutie služby je spôsob útoku, ktorý zapríčiní, že prostriedky počítača nebudú dostupné pre pôvodných používateľov. Napadnutý používateľ je nútený reštartovať PC, lebo inak by nemohol poskytovať plnohodnotné služby, alebo je komunikácia medzi používateľmi natoľko preťažená, že nemôže adekvátne prebiehať.

DoS útok býva zvyčajne súčasťou iného druhu útoku. Cieľom sa stávajú najčastejšie web servery a účelom útoku je vyradiť ich z činnosti..

DNS Poisoning

DNS poisoning („otrávenie pomocou odpovede Domain Name Servera“) je metóda, ktorá dokáže oklamať DNS klienta na PC tým, že sú mu podsunuté klamné informácie, ktoré DNS klient považuje za autentické. Nepravdivé informácie si DNS klient na určité časové obdobie uchováva v pamäti cache. Útočník môže napríklad manipuláciou DNS záznamov IP adries vytvoriť u používateľa dojem, že navštevuje legitímnu internetovú stránku, no v skutočnosti mu môže byť podsunutý škodlivý obsah, napríklad počítačový vírus, alebo červ.

Útoky počítačových červov

Počítačový červ je program so škodlivým kódom, ktorý napáda hostiteľské počítače a cez sieť sa širi ďalej. Tzv. sieťové červy zneužívajú rôzne bezpečnostné chyby v aplikáciach. Vďaka rozšírenosti Internetu sa dokáže dostať do celého sveta v priebehu niekoľkých hodín od vydania, v niektorých prípadoch dokonca v priebehu niekoľkých minút.

Najrozšírenejšie typy útokov (Sasser, SqlSlammer) je možné blokovať štandardnými nastaveniami firewallu, prípadne blokovaním nepoužívaných portov či zabezpečením používaných. Dôležitá je tiež inštalácia bezpečnostných záplat pre používaný software.

Skenovanie portov

Port scanning (skenovanie portov) je činnosť, ktorou sa systematicky overuje prístupnosť počítačových portov. Port scanner je špeciálny software, ktorý dokáže zistiť v sieti prípadné otvorené porty.

Počítačový port je miesto, ktorým prechádzajú informácie z / do počítača, takže ide z hľadiska bezpečnosti o kritickú záležitosť. Vo veľkých sieťach má táto činnosť svoje legitímne opodstatnenie, pretože je to rýchly spôsob odhalenia prípadných bezpečnostných dier.

Port scanning je najčastejšia technika používaná vzdialenými útočníkmi. Prvým krokom je zvyčajne zaslanie paketov na každý port. Na základe odpovede sa dá zistiť, či je port používaný. Samotná kontrola sama o sebe ešte nespôsobuje žiadne škody. Technika však umožňuje odhaliť slabo zabezpečený vstupný bod a získať tak nadvládu nad vzdialeným počítačom.
Administrátor siete by mal teda automaticky zabezpečiť, aby nevyužívané porty nezostali otvorené a aby využívané boli čo najlepšie chránené.

TCP desynchronizácia

Desynchronizácia TCP je technika využívaná pri tzv. TCP Hijacking útokoch. Desynchronizácia je vyvolaná procesom, keď sekvenčné číslo v prijatom pakete nie je zhodné s očakávaným sekvenčným číslom. V závislosti od sekvenčného čísla potom nastane odhodenie paketu (prípadne uloženie do vyrovnávacej pamäte, ak sa nachádza v aktuálnom okne komunikácie).
V stave desynchronizácie si obe strany v komunikácii navzájom zahadzujú pakety. Do toho môže vstúpiť útočník (sledujúci danú komunikáciu) a dodať pakety so správnym sekvenčným číslom. Útočník môže prípadne ďalej pridávať do komunikácie príkazy, alebo ju inak modifikovať.

Cieľom útoku je narušiť spojenia buď na úrovni klient‑server, alebo peer-to-peer spojenie. Brániť sa je možné používaním autentifikácie jednotlivých TCP segmentov, alebo dodržiavaním odporúčaných nastavení pre správu a nastavenie sieťových zariadení.

SMB Relay

SMBRelay a SMBRelay2 sú špeciálne programy, ktoré dokážu vykonať útok na vzdialený počítač. Program využíva protokol pre zdieľanie súborov Server Message Block previazaný s NetBIOSom. Ak používateľ zdieľa adresár alebo disk v rámci lokálnej siete, využíva s najväčšou pravdepodobnosťou tento spôsob zdieľania.
V rámci komunikácie v sieti potom dochádza k odosielaniu kontrolných súčtov, "hashov" používateľských hesiel.

SMBRelay zachytí komunikáciu na UDP porte 139 a 445, presmeruje pakety medzi klientom a serverom danej stanice a modifikuje ich. Po pripojení sa a autentifikácii je klientská stanica odpojená a SMBRelay vytvorí novú virtuálnu IP adresu. K tejto adrese sa potom dá pripojiť pomocou príkazu "net use \192.168.1.1" a adresa môže byť využívaná všetkými vstavanými sieťovými funkciami vo Windows. Program prenáša všetku SMB komunikáciu okrem negociácie a autentifikácie. Pokiaľ je vzdialený počítač pripojený, útočník sa na danú IP adresu môže kedykoľvek pripojiť.

Program SMBRelay 2 pracuje na rovnakom princípe, namiesto IP adries ale používa mená z NetBIOS. Oba programy umožňujú útoky typu "man-in-the-middle (človek medzi)" – teda útoky, kde útočník dokáže čítať, vkladať a meniť odkazy medzi dvomi stranami bez toho, aby ktorákoľvek zo strán o tom vedela. Najčastejším príznakom je "zamrznutie" systému alebo náhly reštart.
Odporúčanou ochranou proti týmto útokom je zvýšenie kvality autentifikácie pomocou hesiel alebo kľúčov.

Útoky cez protokol ICMP

Protokol ICMP (Internet Control Message Protocol) je jedným z hlavných Internetových protokolov. Slúži na odosielanie rôznych chybových hlásení a využívajú ho na tento účel hlavne počítače v sieti.

Útoky vedené cez protokol ICMP zneužívajú jeho slabé miesta. ICMP je využívaný na zasielanie jednosmerných odkazov, pričom nie je používaná žiadna autentifikácia. Tento fakt dovoľuje vzdialenému útočníkovi vyvolať napr. tzv. DoS (Denial of Service) útok, prípadne útočník bude schopný zachytávať prechádzajúce pakety.

Typickými príkladmi ICMP útokov sú ping flood, ICMP_ECHO flood alebo smurf attack. Medzi symptómy patrí značné spomalenie Internetových aplikácií, prípadne krátkodobé alebo aj dlhodobé odpojenie od Internetu.