Безопасность в Internet- Intranet



         

Какими являются некоторые наиболее распространенные варианты использования? - часть 2


SendMail является чрезвычайно сложной и широко используемой программой, и как следствие, она является наиболее частым источником найденных уязвимостей. В прежние времена (времена червя Мориса), хакеры обычно использовали уязвимости в команде DEBUG или скрытой WIZ-характеристике для взлома протокола SMTP. В настоящее время они часто пытаются использовать переполнение буфера. SMTP также может быть использован в атаках с целью разведки, например, использование команды VRFY для определения имен пользователей на удаленной системе.

1.8.5 Доступ

Неудачные попытки регистрации, неудачные попытки доступа к файлам, взлом паролей, злоупотребление административными привилегиями.

1.8.6 IMAP

Пользователи запрашивают e-mail от серверов через IMAP-протокол (в противовес SMTP-передачам e-mail между серверами). Хакеры нашли большое количество ошибок в нескольких популярных IMAP-серверах.

1.8.7 IP spoofing

Есть диапазон атак, которые используют возможность подмены (или 'spoof') вашего IP-адреса. Тогда как исходный адрес посылается вместе с каждым IP-пакетом, на самом деле он не используется для маршрутизации. Это означает то, что вы можете притвориться, что вы являетесь соседом, когда посылаете пакеты к серверу. Однако все ответы будут возвращаться вашему соседу. Несмотря на то, что вы не увидите каких-либо данных таким способом, вы по-прежнему можете воспользоваться преимуществами этой атаки. Например, реализация атак типа "отказ в обслуживании" с указанием фальшивого адреса.

IP spoofing часто используется как часть различных атак:

SMURF

Исходный адрес при широковещательной передаче подделан таким образом, чтобы большое число машин ответила обратно жертве с данным исходным адресом, тем самым выводя ее из строя большим числом ответных пакетов ("отказ в обслуживании").

TCP sequence number prediction

При TCP-соединении выбирается порядковый номер последовательности, позволяющий восстанавливать пакеты в правильном порядке. Старые реализации стека TCP/IP выбирали предсказуемые порядковые номера, позволяя злоумышленникам создать TCP-соединение от имени поддельного IP-адреса, что потенциально позволяет обойти систему защиты.

DNS poisoning через предсказание последовательности

DNS-сервера используют рекурсивные запросы доменных имен. Таким образом, DNS-сервер, отвечающий на запрос пользователя, сам становится клиентом для следующего в цепочке DNS-сервера. Порядковые номера, используемые при этом, легко предсказываются. Злоумышленник может послать запрос к DNS-серверу и его ответ подделывается таким образом, чтобы выглядеть ответом от следующего сервера из цепочки. Этот подделанный ответ может использоваться для введения в заблуждения пользователей.

1.8.8 Buffer Overflows

Некоторые другие атаки типа "buffer overflow":

DNS overflow

DNS-серверу посылается длинное имя (больше чем 256 байт).

statd overflow

1.8.9 Атаки на DNS

DNS является важным компонентов сети и несанкционированный доступ к нему позволяет скомпрометировать доверенные соединения.

DNS cache poisoning

Каждый DNS-пакет содержит раздел Questions и раздел Answers. Уязвимые сервера будут доверять (и кэшировать) Answers, которые Вы посылаете серверам наряду с Questions. Многие, но не все DNS-сервера были исправлены в ноябре 1998 года.

DNS poisoning через предсказание последовательности

См. выше.

DNS overflow

См. выше.




Содержание  Назад  Вперед