2. Co omówimy
• W jaki sposób dochodzi do ataków
• Rodzaje ataków na sieci komputerowe
• Opisanie powyższych metod ataku
• Ochrona przed powyższymi atakami
• Zapory sieciowe
• Oprogramowanie do pentestu
• 10 dobrych rad dla administratora
3. Sposoby infiltrowania
architektury sieci
• Host z zewnętrznym IP
• Dostęp fizyczny do komputera
• Wi-Fi
4. Rodzaje ataku na sieci
komputerowe
• Sniffing (ARP-Spoofing & MAC-Flooding)
• Analiza sieci
• Ping Flooding
• SYN Flooding
• UDP Flooding
• Rozproszone ataki DDoS
• Robaki, wirusy, spyware
• Ataki na serwer DNS (DNS Spoofing & Amplification)
• Ataki Man In The Middle (MITM)
• Spam i usługi pocztowe
• TCP Hijacking
• Inne
5. Sniffing
• Polega na przechwytuwaniu i ewentualnemu
analizowaniu danych przepływających w sieci za
pomocą karty sieciowej przełączonej w tryb
mieszany (ang. promiscuous), wtedy ów karta
odbiera wszystkie ramki z sieci także te nie
zaadresowane bezpośrednio do niego. W
zależności od tego czy budowa sieci oparta jest o
przełączniki czy z wykorzystywaniem przełączników
sniffing przeprowadza się poprzez ARP-Spoofing
oraz MAC-Flooding.
6. Analizac sieci
• Sama analiza atakiem nie jest, ale za pomocą
pakietów icmp echo, icmp czy traceroute możemy
dowiedzieć się wiele przydatnych informacji nt.
Sieci zanim dojdzie do ataku. Przykładowym
oprogramowaniem służącym do analizy sieci jest
znany nmap, czy mniej używane Nemesis-ICMP i
HPing2.
7. Ping Flooding
• Najprostszy atak typu DoS, polegający na
przeciążeniu łącza pakietami ICMP, przeprowadza
się go za pomocą komputera posiadającego łącze
o przepustowości większej niż przepustowość łącza
atakowanej maszyny lub za pomocą botnetu.
Atakowany serwer otrzymuje bardzo dużą ilość
zapytań ping ICMP Echo Request, odpowiadając
na każde za pomocą ICMP Echo Reply, co może
doprowadzić do przeciążenia jego łącza
do internetu i w konsekwencji niedostępności
oferowanych serwisów.
8. SYN Flooding
• Atak polegający na zasypywaniu atakowanego
hosta fałszywymi pakietami z włączonymi flagami
SYN, pakiet SYN wysyłany jest gdy jedna strona
chce nawiązać zd rugą połączenie poprzez
protokół TCP/IP, w odpowiedzi na taki pakiet host
docelowy odpowiada pakietem SYN/ACK – nasz
host odpowiada pakietem ACK i połączenie zostaje
ustanowione. Jako że źródłowe adresy pakietów
SYN będą fałszywe, host docelowy nie otrzyma
odpowiedzi ACK. Kolejka połączeń zostaje
zapełniona i możemy dojść do punktu w którym
host nie będzie mógł już nawiązać nowych
połączeń TCP/IP.
9. UDP Flooding
• Atak typu DoS wykorzystujący protokół UDP (User
Datagram Protocol), polega on na wysyłaniu
ogromnych ilości pakietów UDP na dany port
zdalnego hosta, co w rezultacie może powodować
do odłączenia danej maszyny od sieci.
10. Ataki DDoS
• Atak na system komputerowy lub usługę sieciową w
celu uniemożliwienia działania poprzez zajęcie
wszystkich wolnych zasobów. W celu ataku
wykorzystuje się botnety z zainfekowanymi
komputerami (tzw. Zombie), RAT’y, robaki, boty,
trojany etc.
11. Robaki, wirusy, malware i inne
• Robaki
• Wirusy
• Spyware
• Malware
• Scareware
• Konie trojańskie
• Phishing
12. Ataki na serwer DNS
• Nazywane także DNS Cache Poisoning, atak który
polega na podszywaniu się pod adres DNS (Domain
Name System). Skutkami tego ataku mogą być
podmienienie odwzorowania nazw URL na adresy
IP. Zapytanie o dany adres URL zostaje odesłane do
maszyny, która będzie kontrolowana przez
atakującego.
• Atak typu DNS Amplification jest odmianą ataku
DDoS polegającym na wysyłaniu zapytań do
serwerów DNS ze sfałzsowanym adresem zwrotnym
(spoofing), najczęściej do ataku wykorzystuje się
sieć komputerów jak botnet.
13. Man In The Middle
• Atak Man In The Middle (ang. Człowiek pośrodku)
jest atakiem kryptologicznym polegającym na
podsłuchu i modyfikacji wiadomości przesyłanych
pomiędzy dwiema stronami bez ich wiedzy.
14. Spam i ataki na usługi
pocztowe
• Spam
• Sniffing
• Bruteforce & Atak słownikowy na serwer SMTP
• Phishing
15. TCP Hijacking
• Atak typu TCP Hijacking polega na przejęciu
połączenia TCP/IP. Polega on na podstawie
jakiegokolwiek pakietu z tego połączenia
ustawioną flagą ACK odesłać pakiet z flagą RST tak,
aby wyglądało jakby odbiorca pakietu ACK chciał
już kończyć połączenie.
16. Ochrona przed atakami
na sieci komputerowe
• Antysniffing , testy ARP, ARP-Cache, ICMP, DNS,
czas latencji i metody reflektomagnetyczne.
• DDos & DoS
• Robaki, wirusy, spyware
• Bootowanie OS’ów atakującego
• Zapory sieciowe
• Wykrywanie intruzów
17. Zapory sieciowe
• Jest to jeden ze sposobów zabezpieczania sieci i
systemów komputerowych przed intruzami.
Technikami obrony stosowanymi przez tzw.
Firewall’e są filtrowanie pakietów, stosowanie
algorytmów identyfikacji użytkownika oraz
zabezpieczanie programów obsługujących
niektóre protokoły.
19. 10 rad dla administratora
sieci komputerowej
• Wykonuj regularne kopie bezpieczeństwa
• Aktualizuj system
• Wykonuj i czytaj logi systemowe
• Wykonuj audyt bezpieczeństwa
• Zaszyfruj swój system plików
• Ogranicz zakres świadczonych usług
• Zarządzaj pasmem
• Sprawdź integralność systemu plików
• Ogranicz fizyczny dostęp do serwera
• Skorzystaj z internetowych serwisów skanujących