ネットワーク攻撃テクノロジー (チキンプレイして MVP を獲得するよりもエキサイティングです)

1. サイバー攻撃の概要

1. サイバー攻撃の対象：

ネットワーク攻撃のターゲットには主にシステムとデータが含まれ、それらに対応するセキュリティにもシステム セキュリティとデータ セキュリティの 2 つの側面が関係します。

• システム攻撃の特徴: 攻撃はネットワーク層で発生し、システムの可用性を破壊し、システムが正常に動作しなくなる原因となります。明らかな攻撃の痕跡が残る可能性があり、ユーザーはシステムが動作しないことに気づくでしょう。
• データベースの攻撃の特徴: ネットワークのアプリケーション層で発生し、情報指向であり、明らかな痕跡を残さずに情報を改ざんし、盗むことが主な目的です。

2. ネットワーク攻撃の手段
現在、ネットワークに対する攻撃手段は数多く存在し、新たな手段も後を絶たないが、ネットワーク攻撃は以下の 2 つに分類される。

• 1つはアクティブ攻撃で、メールボムなど、攻撃対象の関連情報をさまざまな方法で取得し、システムの脆弱性を発見し、システムに侵入した後、情報の有効性や完全性を選択的に破壊する攻撃です。
• もう1つは受動的攻撃で、ネットワークの通常運用に影響を与えることなく重要な機密情報を傍受、窃取、解読して入手するもので、盗聴やスキャナーなどの通信トラフィック解析などが含まれます。

現在のネットワーク攻撃で使用されている主な手段は次のとおりです。

• TCP/IP プロトコル自体の不完全性、オペレーティング システムのさまざまな欠陥など、現在のネットワーク システムやさまざまなネットワーク ソフトウェアの脆弱性の悪用、不適切なファイアウォール設定、電子的詐欺、サービス妨害 (DDoS を含む)、ネットワーク ウイルス、セキュリティ対策など。ハッキングツールソフトウェアの使用、パスワードの不適切な設定などユーザーのセキュリティ意識の弱さに付け込んだり、パスワードファイルをシステムに直接置いたりする行為など。

3. サイバー攻撃のレベル:
サイバー攻撃は、さまざまな手法が使用され、さまざまな被害の程度があり、一般に次の 7 つのレベルに分類されます。

1. 単純なサービス拒否。
2. ローカル ユーザーが不正な読み取り権限を取得しました。
3. ローカル ユーザーが不正な書き込み権限を取得しました。
4. リモート ユーザーが不正なアカウント情報を取得します。
5. リモート ユーザーは、特権ファイルへの読み取り権限を取得します。
6. リモート ユーザーは、特権ファイルへの書き込み権限を取得します。
7. リモート ユーザーはシステム管理者権限を持っています。

この 7 つの階層のうち、階層数が増えるほど被害の程度が大きくなります。

4. ネットワーク攻撃の分類:
1. ブロック攻撃

• ブロッキング攻撃は、チャネル リソース、ネットワーク接続リソース、およびストレージ スペース リソースを強制的に占有しようとし、サーバーがクラッシュするか枯渇して外部サービスを提供できなくなります。サービス拒否 (DoS) は典型的なブロック攻撃であり、個人または複数の人がインターネット プロトコル グループの特定のツールを使用して、正規のユーザーがターゲット システム (サーバーなど) や情報に合法的にアクセスすることを拒否する攻撃の一種です。
• 一般的な手法には、TCP SYN フラッド攻撃、ランド攻撃、スマーフ攻撃、電子メール爆弾などが含まれます。DoS 攻撃の結果: ターゲット システムのクラッシュ、ポートの一時停止状態、コンピュータ画面上での乱雑な情報の送信、ファイル名の変更、主要なプログラム ファイルの削除、システムのリソース ステータスの歪み、システムの負荷の低下処理速度。

2. 検出攻撃

• 情報検出攻撃は主に、次の侵入に役立つように、ターゲット システムのさまざまなネットワーク セキュリティ関連情報を収集します。主にスキャン技術、アーキテクチャプロービング、システム情報サービス収集などが含まれます。より高度なネットワークトレースレス情報検出技術が現在開発されています。
• ネットワーク セキュリティ スキャン技術: ネットワーク セキュリティ防御における重要な技術であり、その原理は、模擬攻撃を使用してターゲットに存在する可能性のある既知のセキュリティ脆弱性を 1 つずつチェックすることです。これはローカル ネットワークのセキュリティを強化するために使用でき、またネットワーク攻撃者がネットワーク攻撃を行うために使用することもできます。

3. コントロール攻撃

• 制御攻撃は、ターゲット マシンの制御を取得しようとする攻撃の一種です。最も一般的な 3 つのタイプは、パスワード攻撃、トロイの木馬、バッファ オーバーフロー攻撃です。パスワード傍受とクラッキングは依然としてパスワード攻撃の最も効果的な手段であり、より強力なパスワード クラッキング プログラムの開発がさらに進められるべきです。トロイの木馬技術は現在、より新しい隠蔽技術と秘密チャネル技術に焦点を当てています。バッファ オーバーフローは一般的に使用される攻撃です。 , 初期の頃は、システム ソフトウェアのバッファ オーバーフローの欠陥を悪用して攻撃が行われていましたが、現在ではバッファ オーバーフローの作成について研究が進められています。

4. 欺瞞攻撃

• スプーフィング攻撃には、IP スプーフィング攻撃とフェイクメッセージ攻撃があり、前者は正規のネットワークホストになりすまして機密情報をだまし取る攻撃、後者は主に偽りの情報を設定したり欺瞞攻撃を行う攻撃です。主にARPキャッシュ捏造、DNSキャッシュ汚染、偽メールなどが含まれます。

5. 脆弱性攻撃

• ホール: システムのハードウェアまたはソフトウェアに何らかのセキュリティ上の脆弱性があり、この脆弱性の直接的な結果として、違法なユーザーが許可なくアクセスを取得したり、アクセス権を拡大したりすることが可能になります。スキャナーによって発見されたネットワークシステムのさまざまな脆弱性に対して、対応する攻撃が行われますが、新たに発見された脆弱性については、攻撃手法が常に更新されるため、防ぐことが困難です。また、特定のプラットフォームや特定の種類のセキュリティ脆弱性を見つけることも比較的簡単です。インターネット上の多くのサイトは、公開か秘密かにかかわらず、脆弱性のアーカイブとインデックス作成を提供しています。

6. 破壊的攻撃

• 破壊攻撃とは、コンピュータウイルスやロジックボムなどの攻撃手法を含め、対象マシンのさまざまなデータやソフトウェアにダメージを与える攻撃のことを指します。ロジック ボムとコンピューター ウイルスの主な違い: ロジック ボムには感染能力がなく、他のソフトウェアに自動的に拡散しません。我が国で使用されているシステムのほとんどは海外から輸入されたものであるため、そこに論理爆弾がないか常に警戒する必要があります。機密部門のコンピュータシステムには、主に自社開発のソフトウェアを使用する必要があります。

2. 情報検索技術

攻撃者が特定のネットワーク リソースを攻撃する前に、攻撃しようとしている環境を理解する必要があります。そのためには、マシンの数、種類、オペレーティング システムなど、ターゲット システムに関連するさまざまな情報を収集して要約する必要があります。チェックとスキャンの目的は、情報を収集することです。

• さまざまなスキャン ツールを使用して侵入ターゲットの大規模スキャンを実行し、システム情報と実行中のサービス情報を取得します。
• 一般的な検索エンジンなどのサードパーティのリソースを使用してターゲットに関する情報を収集し、ソーシャル エンジニアリングなど、さまざまなクエリ方法を使用して侵入したターゲットに関連する情報を取得します。
• ソーシャル エンジニアリングは通常、国民の予防策の欠如を利用して被害者を罠に陥らせるトリックです。この手法は通常、会話、欺瞞、なりすまし、または話し言葉を使用して、正当なユーザーから機密情報を取得します。

攻撃者は通常 7 つの基本的なステップを使用してターゲット情報を収集します。各ステップには利用可能なツールがあり、攻撃者はそれらを使用してターゲットを攻撃するために必要な情報を取得します。

1. 最初の情報を見つけます。
2. ネットワークのアドレス範囲を見つけます。
3. アクティブなマシンを見つけます。
4. 開いている港と人口ポイントを見つけます。
5. オペレーティング システムを理解します。
6. 各ポートでどのようなサービスが実行されているかを確認します。
7. ネットワーク図を描きます。

主な情報収集方法は以下のとおりです。

1. 隠しアドレス: 攻撃者はまず、実際の IP アドレスやその他の位置情報を隠すための「操り人形」として使用できる他の人のコンピューターを探します。
2. ターゲットのロック: ネットワーク上には多数のホストがあり、攻撃者の次の仕事はターゲット ホストを見つけて特定することです。
3. ターゲットのネットワーク構造を理解する: 攻撃対象を決定した後、攻撃者は、ゲートウェイ ルーティング、ファイアウォール、侵入検知システム (IDS) などを含む、ターゲットが配置されているネットワーク構造情報を理解しようとします。最も簡単な方法は、ルートを追跡するには、tracert コマンドを使用します。また、いくつかのデータ パケットを送信して、ファイアウォール フィルタリング ルールの設定などを推測するために通過できるかどうかを確認することもできます。
4. システム情報の収集: ネットワーク構造情報を理解した後、攻撃者はホストの包括的なシステム分析を実行して、ホストのオペレーティング システムの種類、提供されるサービス、およびそのセキュリティの脆弱性またはセキュリティの弱点を見つけます。攻撃者はいくつかのスキャナを使用できます。ターゲットホスト上で実行されているオペレーティングシステムとバージョン、システム内のアカウント情報、WWW.FTP、Telnet、SMTPなどのサーバープログラムのバージョンとサービスの種類、ポートのオープンステータスなどの情報を簡単に取得するツールです。 . 主な手法としては、ポートスキャン、サービス分析、プロトコル分析、ユーザーパスワード検出などが挙げられます。

ネットワーク検査：
サイト検査は、あらゆる手段を通じて攻撃対象を多面的に把握し、手掛かりを含めて把握することですが、攻撃の時間や場所を特定するためには情報が正確であることを確認する必要があります。検査方法には以下のようなものがあります。

1. ドメイン名とその登録機関のクエリ。
2. 会社の性質を理解する。
3. ホームページを分析します。
4. 電子メール アドレスのコレクション。
5. ターゲット IP アドレス範囲のクエリ。

情報収集のためのツールやソフトウェアには次のようなものがあります。

1. Ping、fping、ping スイープ。
2. ARP検出。
3. 指。
4. 誰が。
5. DNS/nslookup。
6. 検索エンジン (Google、Baidu)。
7. Telnet。

ネットワーク IP アドレスを取得する最も簡単な方法は、ドメイン名に ping を実行することです。ドメイン名に ping を実行する場合、プログラムは最初にホスト名を IP アドレスに解決し、それを画面に出力しようとします。攻撃者はネットワークのアドレスを取得し、このネットワークを開始点として使用できます。

ネットワーク スキャンの概要:

• スキャン技術は、情報収集攻撃の主要なタイプです。ネットワーク スキャンの目的は、さまざまなツールを使用して、サイトによって決定された攻撃対象のホスト IP アドレスまたはアドレス範囲内の脆弱性を見つけることです。スキャンは、ワークステーション、サーバー、スイッチ、ルーター、データベース アプリケーションなど、ターゲットに存在する可能性のある既知のセキュリティ脆弱性をそれぞれチェックするための模擬攻撃の形式をとります。スキャン結果に基づいて、徹底的で信頼性の高い分析レポートをスキャナーまたは管理者に提供します。

スキャンは 2 つの戦略に分かれています。

パッシブ戦略:

• これは、ホストに基づいて、不適切な設定、脆弱なパスワード、およびシステム内のセキュリティ ルールと矛盾するその他のオブジェクトをチェックします。アクティブ戦略はネットワークベースで、いくつかのスクリプト ファイルを実行することでシステムへの攻撃をシミュレートし、システムの応答を記録して脆弱性を発見します。パッシブスキャンはシステムにダメージを与えません

アクティブ スキャンはシステムへの攻撃をシミュレートし、システムに損害を与える可能性があります。
アクティブ スキャンは一般に次のタイプに分類できます。

1. アクティブなホストの検出。。
2. ICMP クエリ。
3. ネットワーク PING スキャン。
4. ポートスキャン。
5. UDP サービスと TCP サービスを識別します。
6. 脆弱性スキャンを指定します。
7. 包括的なスキャン。

スキャン方法は、スロー スキャンとアウトオブオーダー スキャンの 2 つのカテゴリに分類することもできます。

ネットワーク監視:

• ネットワーク監視とは、他人のネットワーク上で通信されるデータの流れを傍受し、重要な情報を不正に抜き出す手法を指します。ネットワーク監視はホストの動作モードです。このモードでは、ホストは、情報の送信者と受信者に関係なく、このネットワーク セグメントの同じ物理チャネル上で送信されるすべての情報を受信でき、攻撃者は非常に脆弱になります。両端で監視できます。このとき、2 つのホスト間のデータ通信情報が暗号化されていない場合、ネットワーク監視ツールのみを使用してアカウント番号を含む情報を簡単に傍受できます。ネットワーク監視によって取得されるユーザー アカウントとパスワードには一定の制限がありますが、リスナーが盗聴することがよくあります。ネットワーク上のすべてのユーザーのアカウントとパスワードを取得することが可能です。
• ネットワーク監視の目的は通信内容を傍受することであり、監視方法はプロトコルを解析することです。これは、操作を直接実行したり、被害ホスト システムの完全性を損なったりすることなく、既存のネットワーク プロトコルのいくつかの抜け穴を悪用することによって実現されます。ネットワーク盗聴は、被害ホストによって送信されたデータ ストリームに対してのみ機能し、ホストと情報を交換することはなく、被害ホストの通常の通信には影響を与えません。

3. ネットワーク侵入

1. ソーシャルエンジニアリング攻撃

1. 電話してパスワードを要求する
2. 偽造メール

2. パスワード攻撃

• パスワード認証は本人認証の手段です。認証プロセスは、ユーザーからホストへのプロセスである場合もあれば、コンピューターがネットワーク経由で別のコンピューターに要求を送信する場合もあります。パスワードベースの認証は、より一般的な形式です。
• 攻撃者は多くの場合、ユーザーのパスワードを解読することから攻撃を開始します。攻撃者がユーザーのパスワードを推測または特定できる限り、マシンまたはネットワークにアクセスし、ユーザーがアクセスできるあらゆるリソースにアクセスできます。このユーザーがドメイン管理者または root ユーザー権限を持っている場合、これは非常に危険です。
• パスワード攻撃は、ハッカーがネットワークに侵入するお気に入りの方法です。ハッカーは、システム管理者またはその他の特別なユーザーのパスワードを取得することによって、システムの管理権限を取得し、システム情報やディスク上のファイルを盗み、さらにはシステムを破壊します。この方法の前提条件は、まずホスト上の正規ユーザーのアカウントを取得し、次に正規ユーザーのパスワードを解読する必要があるということです。

パスワード攻撃方法:

1. 1 つ目は、ネットワーク監視を通じてユーザーのパスワードを不正に取得する方法で、制限はありますが非常に有害です。リスナーは多くの場合、傍受方法を使用します。これは、ユーザー アカウントとパスワードを取得する効果的な方法でもあります。
2. 2 つ目は、ユーザーのアカウント (メールの @ の前部分など) を知った上で、特殊なソフトウェアを使用してユーザーのパスワードを強制的に解読する方法であり、この方法はネットワーク セグメントに制限されませんが、攻撃者は十分な忍耐と時間を必要とします。 。
3. 3 番目のタイプは、システム管理者のミスを利用するものです。ユーザー情報を保存する passwd ファイルと、DES で暗号化されたパスワードにアクセスするシャドウ ファイルを取得します。

パスワード攻撃手法:

1.残忍な攻撃

• 技術的な観点から見ると、パスワード保護の鍵は、攻撃者がパスワードを解読するための時間コストを増やすことです。固定長のパスワードの場合、十分な時間内であれば、常にすべての可能な値を列挙できます。文字、数字、特殊文字などのあらゆる組み合わせを試すことができる十分な速度のコンピュータを持っている場合は、最終的にはすべてのパスワードを解読できるようになります。このような攻撃をブルートフォースアタック（ブルートフォースアタック）といいます。

2. 辞書攻撃

• 辞書攻撃とは、使用される可能性が高い一般的なパスワードを辞書ファイルに保存し、総当たり攻撃に似た方法で一つずつ試していく攻撃です。一般に、攻撃者は、よく使用される単語、語句、数字とそれらの組み合わせなどを含む独自のパスワード辞書を持っており、攻撃プロセス中に常に独自の辞書を強化し、攻撃者が独自の辞書を交換することもよくあります。10,000 語の辞書を使用すると、通常、システム内のパスワードの 70% を推測できます。辞書攻撃に対処する最も効果的な方法は、適切なパスワードを設定することです。自分の名前や簡単な単語をパスワードとして使用しないことを強くお勧めします。現在、多くのアプリケーション システムは、ユーザーが入力したパスワードの強度をテストし、弱いパスワードが入力された場合、システムはユーザーに警告します。

3. コンビネーション攻撃

• 辞書攻撃では、辞書に存在する単語のパスワードしか検出できませんが、非常に高速です。ブルート フォース攻撃ではすべてのパスワードを発見できますが、解読には長い時間がかかります。多くの管理者はユーザーに文字と数字の使用を要求しているため、ユーザーの解決策は、パスワードの後に​​いくつかの数字を追加することです (パスワード ericgolf を ericgolf55 に変更するなど)。攻撃者はブルート フォース攻撃を使用する必要があると考える人もいますが、実際には、辞書の単語を使用し、最後に任意の文字または数字を連結する組み合わせ攻撃を使用できます。辞典攻撃と強力攻撃の中間の攻撃であり、攻撃効果が大きい。

4. パスワードストレージへの攻撃

• 通常、システムは検証の目的で、パスワードを平文または暗号文でシステムに保存します。攻撃者にとって、ターゲットホストをリモート制御またはローカルで操作することができれば、何らかの技術的手段を通じてこれらのパスワードの平文を取得することができ、これはパスワードストレージに対する攻撃です。システムが異なれば、パスワードは異なる場所に保存され、さらに、認証プログラムの実行中に、パスワードまたはパスワードの暗号文がメモリにロードされます。したがって、パスワード攻撃には、キャッシュされたパスワードに対する攻撃、パスワード ファイルに対する攻撃、および他の保存場所に対するパスワード攻撃が含まれます。

パスワードを解析するためのツール:

1. L0phtcrack
2. NTスイープ
3. NTCrack
4. PWDump2
5. 割れ目
6. ジョン・ザ・リッパー
7. XIT
8. スラーピー

3. 脆弱性攻撃:

脆弱性の基本概念:

• 脆弱性とは、攻撃者がシステムに不正にアクセスできるようにするハードウェア、ソフトウェア、またはポリシーの欠陥です。通常の状況では、99.99% エラーのないプログラムに問題が発生することはほとんどなく、0.01% のエラーが使用されると 100% の失敗につながります。

脆弱性の種類:

1. 管理上の脆弱性。2 つのサーバーが同じユーザー/パスワードを使用している場合、サーバー A が侵入された後、サーバー B も免れられません。
2. ソフトウェアの脆弱性。多くのプログラムは、例外や長すぎるデータやパラメータを受け取ると、バッファ オーバーフローを引き起こします。
3. 構造上の穴。たとえば、重要なネットワーク セグメント上のスイッチやハブの不当な設定により、ハッカーがネットワーク通信フローのデータを監視する可能性があります。別の例としては、ファイアウォールなどのセキュリティ製品の導入が不合理であり、関連するセキュリティメカニズムが機能せず、技術管理担当者が麻痺し、ハッカーの侵入事故を引き起こす可能性があります。
4. 信頼の穴。たとえば、システムが特定の外部パートナーのマシンを信頼しすぎると、そのパートナーのマシンがハッキングされると、システムのセキュリティが深刻に脅かされます。

公開されている脆弱性:

これまでにリリースされた、最も危険な 3 種類のセキュリティ脆弱性トップ 20 は次のとおりです。

1. すべてのシステムに影響を与える 7 件の脆弱性 (G1 ～ G7)。
2. Windows システムに影響を及ぼす 6 件の脆弱性 (W1 ～ W6)。
3. UNIX システムに影響を与える 7 件の脆弱性 (U1 ～ U7)。

4. スプーフィング攻撃:

1. IPスプーフィング
2. IP ソース ルーティングのスプーフィング
3. メールのなりすまし
4. Webスプーフィング
5. DNSスプーフィング

5. サービス拒否攻撃:

基本概念:
DoS (Denial of Service) は、Denial of Service の略語であり、Microsoft の DOS オペレーティング システムと見なすことはできません。DoS 攻撃は、妥当なサービス リクエストを使用してサービス リソースを過剰に占有することで、正規のユーザーがサービス レスポンスを受信できないようにするネットワーク攻撃動作です。

• 通常、単一 DoS 攻撃は 1 対 1 のアプローチを採用しており、攻撃対象の CPU 速度が低い、メモリが少ない、ネットワーク帯域幅が少ないなどのパフォーマンス指標が高くない場合、その影響は明らかです。コンピュータやネットワーク技術の発展に伴い、コンピュータの処理能力は急速に向上し、メモリも大幅に増加し、ギガビットレベルのネットワークも出現したため、攻撃者の攻撃ソフトウェアによる毎秒攻撃など、DoS攻撃はより困難になりました。パケットを送信することはできますが、ユーザーのホストとネットワーク帯域幅は 1 秒あたり 10,000 の攻撃パケットを処理できるため、攻撃は効果がありません。
• このとき、分散型サービス拒否攻撃 (DDoS) が登場しました。コンピュータとネットワークの処理能力が 10 倍に向上し、1 台の攻撃マシンを使用して攻撃するのが効果的ではなくなった場合、攻撃者が 10 台の攻撃マシンを使用して同時に攻撃したらどうなるでしょうか? 100 台ではどうでしょうか? DDoS はより多くの攻撃マシンを使用します。 「Puppet Machine」が攻撃を開始し、これまで以上に大規模に被害者を攻撃します。分散型サービス拒否攻撃 DDoS は、従来の DoS 攻撃に基づく攻撃手法の一種です。DDoS は複数のコンピュータを使用して、単一または複数のターゲットに対して分散 DoS 攻撃を同時に開始します。
• DDoS 攻撃は、図 5-15 に示すように、クライアント プログラム (ハッカー ホスト)、コントロール ポイント (マスター)、エージェント プログラム (ゾンビ)、または攻撃ポイント (デーモン) の 3 つの部分で構成されます。

DoS 攻撃を受けたときの一般的な現象は次のとおりです。

1. 攻撃されたホスト上には待機中の TCP 接続が多数あります。
2. ネットワークには、偽の送信元アドレスを持つ無用なデータ パケットが大量に溢れています。
3. 無駄なデータの大量のトラフィックが発生し、ネットワークの輻輳が発生し、被害者のホストが外部と正常に通信できなくなります。
4. 被害ホストが提供するサービスや伝送プロトコルの欠陥を利用して、特定のサービスリクエストを高速で繰り返し発行し、被害ホストが通常のリクエストをすべてタイムリーに処理できなくなるようにします。
5. 深刻な場合には、システムがクラッシュする可能性があります。

TCP - SYN サービス拒否攻撃:
TCP SYN サービス拒否攻撃は、TCP/IP プロトコル固有の脆弱性を悪用し、コネクション指向の TCP スリーウェイ ハンドシェイクがその基礎となっています。

図 5-17 に示すように、一部の悪意のある攻撃者は、このプロセスを使用して、いわゆる TCP SYN サービス拒否攻撃を実行する可能性があります。

1. 攻撃者は、ターゲット コンピュータに TCP SYN メッセージを送信します。
2. このメッセージを受信した後、ターゲット コンピューターは TCP 接続制御構造 (TCB) を確立し、ACK で応答し、イニシエーターからの応答を待ちます。
3. イニシエータはターゲット コンピュータに ACK メッセージで応答しないため、ターゲット コンピュータは待機状態のままになります。

ターゲット コンピュータが TEP SYN メッセージを受信して​​も、イニシエータから 3 番目の ACK 応答を受信しない場合、ターゲット コンピュータは永久に待機することがわかります (3 回目のハンドシェイクは完了できません)。この場合、サーバーは通常、再試行します ( SYN+ACK を再度クライアントに送信し、未完了の接続を破棄するまで一定時間待機します。この期間の長さは SYN タイムアウトと呼ばれます。一般的に、この時間は数分のオーダー (通常 0.5 ～ 2 分) です。

サーバーのスレッドを 1 分間待機させる例外が発生しても、ユーザーにとっては大きな問題ではありませんが、悪意のある攻撃者がこの状況を大量にシミュレートすると、サーバーはスレッドを維持するために多額のコストを消費することになります。非常に大きな半接続リストのリソース、数万の半接続により、ターゲット コンピュータのリソースが使い果たされ、通常の TCP 接続要求に応答できなくなります。

SYN サービス拒否攻撃に対する主な防御手段は次のとおりです。

• 1 つのタイプは、ファイアウォール、ルーターなどによるゲートウェイ保護のフィルタリングです。
• もう 1 つは、TCP/IP プロトコル スタックの防御を強化するタイプです。

ゲートウェイ保護の主なテクノロジーには、SYN Cookie テクノロジーと、SYNTimeout 時間を短縮するベースのソース アドレス ステータスの監視が含まれます。SYN Cookie テクノロジーはステートレス ハンドシェイクを実装し、SYN フラッドのリソース消費を回避します。監視ベースのソース アドレス ステータス テクノロジーにより、サーバーに接続されている各 IP アドレスのステータスを監視し、SYN フラッド攻撃の影響を回避するための対策を事前に講じることができます。

ICMP フラッド、UDP フラッド:

• 通常、ネットワークを診断するために、Ping などの一部の診断プログラムは ICMP 応答要求メッセージ (ICMP ECHO) を送信し、受信側コンピューターは ICMP ECHO を受信した後、ICMP ECHO Reply メッセージで応答します。このプロセスには CPU 処理が必要であり、シャードの処理時など、場合によっては大量のリソースを消費する可能性があります。このようにして、攻撃者がターゲット コンピュータに大量の ICMP ECHO メッセージを送信すると (ICMP フラッドが生成され)、ターゲット コンピュータはこれらの ECHO メッセージの処理で忙しくなり、他のネットワーク データ メッセージの処理を続行できなくなります。サービス拒否攻撃 (DoS) も含まれます。
• UDP フラッディングの原理は ICMP フラッディングと似ており、攻撃者はターゲット コンピュータに大量の UDP メッセージを送信し、ターゲット コンピュータがこれらの UDP メッセージの処理でビジー状態になり、通常のメッセージの処理を続行できなくなります。

スマーフ攻撃:
スマーフは増幅効果のある DoS 攻撃であり、非常に有害です。この形式の攻撃は、TCP/IP のダイレクト ブロードキャスト機能を利用します。

• 通常、ネットワークの診断には ICMP ECHO 要求パケットが使用され、コンピュータがそのようなメッセージを受信すると、メッセージの送信元アドレスに対して ICMPECHOReply で応答します。通常、コンピュータは ECHO リクエストの送信元アドレスを確認しないため、悪意のある攻撃者が ECHO の送信元アドレスをブロードキャスト アドレスに設定した場合、コンピュータは ICMPECHOReply に応答する際にブロードキャスト アドレスを目的として使用します。したがって、ローカル ネットワーク上のすべてのコンピュータは、これらのブロードキャスト メッセージを処理する必要があります。攻撃者が十分な ECHO 要求メッセージを送信すると、生成された ICMP ECHO Reply ブロードキャスト メッセージがネットワーク全体にフラッディングする可能性があります。これはスマーフ攻撃と呼ばれます。
• 攻撃者は、ECHO メッセージの送信元アドレスをブロードキャスト アドレスとして設定するだけでなく、送信元アドレスをサブネット ブロードキャスト アドレスとしても設定し、サブネット上のコンピュータが影響を受ける可能性があります。DoS の共犯者にならないようにするには、外部ルータまたはファイアウォールのブロードキャスト アドレス機能をオフにするか、ファイアウォールで ICMP メッセージをフィルタリングするか、サーバーで Ping を無効にし、必要な場合にのみ Ping サービスを開くことが最善です。 。

ティアドロップ攻撃:

• TCP/IP スタック内のパケットのヘッダーに含まれる情報を利用して IP フラグメントを信頼することにより、独自の攻撃を実装します。IP セグメントには、そのセグメントに含まれる元のパケットのどのセグメントが含まれているかを示す情報が含まれています。一部の TCP/IP (Servicepack 4 より前の Windows NT を含む) は、重複するオフセットを含む偽造セグメントを受信するとクラッシュします。一部の大きな IP パケットの場合、リンク層の MTU (最大送信単位) 要件を満たすために、パケットをフラグメント化して送信する必要があります。たとえば、MTU 1500 のリンク上で送信する場合、4500 バイトの IP パケットを 3 つの IP パケットに分割する必要があります。
• IP ヘッダーにはオフセット フィールドとフラグメンテーション フラグ (MF) があります。MF フラグが 1 に設定されている場合、この IP パケットは大きな IP パケットのフラグメントであるように見えます。オフセット フィールドは、このフラグメントが 2 番目にあることを示します。 IP パケット全体の場所。
• たとえば、4500 バイトの IP パケットがフラグメント化されている場合 (MTU は 1500)、3 つのフラグメントのオフセット フィールドの値は 0、1500、および 3000 になります。このようにして、受信側はこの情報に基づいて IP パケットを正常に組み立てることができます。攻撃者がこの通常の状況を破ってオフセット フィールドを誤った値に設定すると、偶然または切断が発生し、ターゲットのオペレーティング システムがクラッシュする可能性があります。たとえば、上記のオフセットを 0、1300、3000 に設定します。いわゆるティアドロップ攻撃です。
• ティアドロップ攻撃を防ぐ最善の方法は、オペレーティング システムのパッチのダウンロードやオペレーティング システムのアップグレードなど、サービス パック ソフトウェアをアップグレードすることです。ファイアウォールの設定時にパケットを転送せずに再編成することでも、この攻撃を防ぐことができます。

4. ネットワークバックドアおよびネットワークステルス統合技術

簡単に言えば、バックドアは、攻撃者が発見されることなくネットワークやシステムに再侵入できる秘密のチャネルです。最も簡単な方法は、ポート リスニング エージェントによって監視されているポートを開くことです。これを実行できるソフトウェアは数多くあります。

システムのストレージ権限を取得している場合、バックドアを確立するのは非常に簡単ですが、システムへのアクセス権限を完全に取得していない場合は、通常、トロイの木馬を使用することでこれを実現できます。相手のシステムに常駐できるプログラム。

トロイの木馬は通常、次の 2 つの部分で構成されます。

• 相手のサーバー上に常駐するトロイの木馬と呼ばれるサーバーサイド。
• トロイの木馬サーバーに接続できるリモート プログラムはクライアントと呼ばれます。

トロイの木馬の機能は、クライアントを通じてサーバーを制御し、さらに相手のホストを制御することです。表面的には、トロイの木馬プログラムは何の損害も与えませんが、実際には、ユーザーのコンピュータ システム全体を制御したり、バックドアを開いたり、システムのセキュリティを危険にさらすその他の機能を隠したりします。

プロキシ スプリングボードをセットアップします。

• ローカルで他のホストに侵入すると、IP が相手に公開されます。特定のホストをプロキシとして設定し、そのホストを介して他のホストに侵入すると、プロキシの IP アドレスが残り、自分自身のセキュリティを効果的に保護します。

セカンダリ エージェントの基本構造を図 5-18 に示します。

ログをクリアします:

アクセスに成功し、意図した目的を達成した後、攻撃者には最後の仕事が 1 つあり、それは攻撃の痕跡を隠すことです。これには、システムに再侵入し、彼がそこにいたというすべての証拠を隠すことが含まれていました。この目標を達成するには、4 つの側面から取り組む必要があります。

1. ログファイル

• ほとんどのシステムは、ログ ファイルを使用して、誰がシステムに侵入したか、どのくらいの時間滞在したかを検出します。ログ ファイルに設定されたレベルに応じて、ログ ファイルが何を行ったのか、どのファイルが操作されたのかを確認することもできます。ログ ファイルを監視に使用する前に、まずシステムのログ機能をオンにする必要があり、もう 1 つはログ ファイルの内容を詳細に読み取る必要があります。多くの管理者は、ログ ファイルを記録する機能オプションをオンにしていません。また、オンになっていても、定期的にログ ファイルを読み込むことはありません。そのため、ハッカーが痕跡を隠さなくても発見されない可能性が高い。
• 経験豊富な攻撃者はこのリスクを冒さず、すべてのログ ファイルを消去します。これは 2 つの方法で実行できます。最も簡単な方法は、システムにログインし、すべてのログ ファイルを削除することです。多数のログ ファイルが突然非常に小さくなった場合、各ログ ファイルの最後にトリガーがあるため、システムは自動的にシステム管理者に通知します。2 つ目の方法は、攻撃者がログ ファイルを「修復」し、まずログ ファイルを取得してから、攻撃記録に関連する部分を削除する方法です。Windows NT システムと UNIX システムではログ ファイルの処理方法が異なるため、作業の難易度は攻撃対象のシステムによって異なります。

2.ファイル情報

• システムにアクセスしてシステムにバックドアを作成するには、通常、攻撃者は特定のシステム ファイルを変更する必要があります。これを行うと、変更時刻やファイルの長さなど、ファイルに関する一部の情報が変更され、システムが攻撃されたかどうかを判断するために使用することもできます。
• 攻撃者にとって、システムに侵入してバックドア プログラムを埋め込んだ後、システムを以前の状態に復元することは非常に重要です。したがって、変更されたすべてのファイルは復元するか、元の状態を装う必要があります。ファイルの変更日については、これを簡単に行うことができます。システムに入り、システム時間をファイルが最初に変更された時刻に変更してから、ファイルを読み取ります。これは、システムは現在の日付を認識していないためです。これは間違いです。そのため、ファイルは最初のインストール時に変更されたように見え、疑惑を引き起こすことはありません。次に、元の間違った日付を正しい日付に変更します。

3. 追加情報

• 多くの場合、ハッカーはシステムにアクセスするために追加のファイルをアップロードまたはインストールする必要があります。これらのファイルは、痕跡を隠したり、他のサイトに新たな攻撃を仕掛けたりするために使用され、多くの場合、一定量のディスク領域を占有します。システム管理者は、ディスクの空き容量を確認して、攻撃が発生したかどうかを判断できます。

アップロードしたシステム添付ファイルを隠蔽したい攻撃者は、次の方法を使用できます。

• ファイルの非表示属性を設定する: すべてのファイル システムでは、ファイル所有者がファイルを非表示に設定できます。ファイルが非表示に設定されている場合、ユーザーがコマンドを使用してファイルを表示するだけでは、ファイルを表示することはできません。ファイルの名前を変更する: ほとんどのシステムには、多くの重要なファイルが保存されているシステム ディレクトリがあります。攻撃者は自分のファイル名をこれらのファイルに似た名前に変更できるため、管理者に発見される可能性は非常に低いです。これは、非表示にするファイルが比較的少ない状況に適しています。隠しディレクトリまたは共有デバイスを作成する: ハードディスクの容量が大きい場合は、多数のパーティションを作成できます。通常、システム管理者はシステムのメイン パーティションのみをチェックするため、攻撃者が別のパーティションを作成した場合、システム管理者の検査を逃れる可能性があります。これは、多数のファイルを非表示にする必要がある場合に適しています。ディスク容量を変更するツール: 管理者がツールを使用してシステムの残り容量を確認すると、ハード ディスク容量の問題が見つかります。また、攻撃者がトロイの木馬をアップロードできる場合、管理者は残りのスペースを騙すことができます。ステガノグラフィー ツールを使用する: ステガノグラフィーまたは情報隠蔽ツールを使用すると、攻撃者が自分の情報を別のファイルに隠すことができます。したがって、ハッカーはこのツールを使用して、システムの重要なファイルに重要なファイルを隠します。

4. ネットワーク通信量

• ハッカーがシステムを攻撃する場合、ほとんどの場合ネットワーク経由で行われます。これは、攻撃者がネットワーク上に残した痕跡をクリーンアップする必要があることも意味します。すべてのネットワーク システムは IDS (侵入検知システム) を実行しているため、疑わしいネットワーク通信はマークされます。IDS はリアルタイムで監視されているため、記録を削除するのは非常に困難です。
• ネットワーク侵入検知システムとファイアウォールが広く使用されるようになったことで、攻撃者はネットワーク上で自分の痕跡を隠す方法に注意を払う必要があります。攻撃者が攻撃を隠したり、ネットワーク上の正当な通信であるかのように見せかけたりすることで攻撃を目立たなくすることができれば、攻撃を回避できる可能性があります。使用できるツールには、Loki、Reverse wwwshell、CovertTCP などがあります。最初の 2 つは、攻撃者が残した痕跡をネットワーク上の正当な通信情報として偽装するもので、3 つ目は、これらの痕跡をデータ パケットに隠すことで管理者の検出を回避するものです。

やっと

統計によれば、中国におけるサイバーセキュリティの人材不足は現在 140 万人にも上ります。
あなたがサイバーセキュリティ愛好家であっても、一定の実務経験のある実践者であっても、業界
の新卒者であっても、変化を望む専門家であっても、この非常に包括的な教材は、市販されている独習教材のほぼ 90% を上回り、ネットワーク セキュリティ学習分野全体をカバーしています。ブックマークしてください! 必ずあなたの勉強に役立ちます！

ネットワーク セキュリティ入門 + 高度な学習リソース パッケージの完全なセットが必要な場合は、私をクリックして入手してください。QRコードのスキャンに問題がある場合は、コメント エリアにメッセージを残して入手してください)~

[282G] ネットワーク セキュリティとハッキング テクノロジの基本から高度な側面までの完全な学習ギフト パッケージ。無料で共有できます。
ネットワーク セキュリティの入門 + 高度な学習リソース パッケージの完全なセットが必要な友人は、クリックして無料で受け取ることが





できます(QR コードのスキャンで問題が発生した場合は、コメント エリアにメッセージを残して受け取ることができます)~

[282G] ネットワーク セキュリティとハッキング テクノロジの基本から高度な側面までの完全な学習ギフト パッケージ。無料で共有できます。