125 Кібербезпека / 4 Курс / 4.2_Управління інформаційною безпекою / Лiтература / Навчальний посібник. Інформаційна безпека. Кавун С.В
..pdfрозробка програмної реалізації атаки; безпосереднє її здійснення.
Таким чином, віддалені атаки можна класифікувати за ознаками, показаним на рис. 2.24:
1. За характером впливу:
пасивне (клас 1.1); активне (клас 1.2).
Пасивний вплив на КС не робить безпосереднього впливу на роботу КС, але може порушувати її політику ІБ (ПІБ).
Активний вплив на КС – безпосередній вплив на роботу системи й порушення прийнятої в ній ПІБ. Практично всі типи ВА є активними впливами.
2. За метою впливу:
порушення конфіденційності інформації або ресурсів системи
(клас 2.1);
порушення цілісності інформації (клас 2.2); порушення працездатності (доступності) системи (клас 2.3).
Ця класифікаційна ознака є прямою проекцією трьох основних типів загроз – розкриття, цілісності й відмови в обслуговуванні.
Основна мета практично будь-якої атаки – одержати НСД до інформації. Існують дві принципові можливості доступу до інформації: перехоплення й перекручування.
Можливість перехоплення інформації означає одержання до неї доступу, але неможливість її модифікації. Отже, перехоплення інформації веде до порушення її конфіденційності.
Можливість перекручування інформації означає або повний контроль над інформаційним потоком між об'єктами системи, або можливість передачі повідомлень від імені іншого об'єкта.
Принципово іншою метою атаки є порушення працездатності системи. У цьому випадку не передбачається одержання атакуючою стороною НСД до інформації. Її основна мета – досягти, щоб ОС на об’єкті, що атакується, вийшла з ладу й для всіх інших об'єктів системи доступ до ресурсів атакованого об'єкта був би неможливий.
3. За умовою початку здійснення впливу
Віддалений вплив, також як і будь-яке інше, може почати здійснюватися тільки за певних умов. У КС існують три види умов початку здій-снення ВА:
атака за запитом від об'єкта, що атакується, (клас 3.1): атакуючий очікує передачі від потенційної мети атаки запиту певного типу, що й буде умовою початку здійснення впливу;
атака з настання очікуваної події на об’єкті, що атакується (клас 3.2): атакуючий здійснює постійне спостереження за станом ОС віддаленої мети атаки й при виникненні певної події в цій системі починає вплив;
безумовна атака (клас 3.3): початок здійснення атаки, безумовно, стосовно мети атаки, тобто атака здійснюється негайно й безвідносно до стану системи й об'єкта, що атакується.
4. За наявності зворотного зв'язку з об’єктом, що атакується:
зі зворотним зв'язком (клас 4.1); без зворотного зв'язка (односпрямована, клас 4.2).
ВА, здійснювана за наявності зворотного зв'язку з об’єктом, що атакується, характеризується тим, що на деякі запити, передані на об’єкт, що атакується, потрібно одержати відповідь. А, отже, між атакуючим і метою атаки існує зворотний зв'язок, що дозволяє атакуючій стороні адекватно реагувати на всі зміни, що відбуваються на об'єкті, що атакується.
ВА без зворотного зв'язка не потрібно реагувати на які-небудь зміни, що відбуваються на об'єкті, який атакується. Атаки даного виду, звичайно, здійснюються передачею на об’єкт, що атакується, одиночних запитів, відповіді на які атакуючої стороні не потрібні.
5. За розташуванням суб'єкта атаки щодо об'єкта, який атакується:
внутрішньосегментне (клас 5.1); міжсегментне (клас 5.2).
У випадку внутрішньосегментної атаки, як випливає з назви,
суб'єкт і об'єкт атаки перебувають в одному сегменті.
При міжсегментній атаці суб'єкт і об'єкт атаки перебувають у різних сегментах.
Далі буде показано, що на практиці міжсегментну атаку здійснити значно складніше, ніж внутрішньосегментну. Важливо зазначити, що міжсегментна ВА становить більшу небезпеку, ніж внутрішньосегментна. Це пов'язано з тим, що її об'єкт і безпосередньо атакуючий можуть
перебувати на відстані багатьох тисяч кілометрів один від одного, і це може істотно перешкодити відбиттю ВА.
6. За рівнем еталонної моделі ISO/OSI, на якому здійснюється вплив:
фізичний (клас 6.1); канальний (клас 6.2); мережний (клас 6.3); транспортний (клас 6.4); сеансовий (клас 6.5); представницький (клас 6.6); прикладний (клас 6.7).
Будь-який мережний протокол обміну, як і будь-яку мережну програму, можна з тим або іншим ступенем точності спроектувати на модель OSI. ВА є мережною програмою. У зв'язку із цим логічним є розглядати ВА на КС, проектуючи їх на модель ISO/OSI.
Наступна інформація запропонованої монографії надається фахівцям з ІБ і адміністраторів тільки для інформативних цілей при дотриманні правила: "Знай як тебе атакують – і будеш знати, як захиститися". Природно, що подається класифікація, яка не є повною, через досить швидкі темпи збільшення кількості нових атак і появи модифікацій уже існуючих.
1.5.Класифікація атак, вірусів
1.5.1.Типові віддалені атаки
Аналіз мережного трафіка. Особливість КС – розподіленість об'єктів – приводить до появи специфічного для КС типового віддаленого впливу, що полягає в прослуховуванні каналу зв'язку. Назвемо даний типовий віддалений вплив аналізом мережного трафіка (або, скорочено, мережним аналізом).
Аналіз мережного трафіка дозволяє вивчити логіку роботи КС, тобто одержати взаємно однозначну відповідність подій, що відбуваються в системі, і команд, що пересилаються один одному її об'єктами, у момент появи цих подій. Це досягається шляхом перехоплення й аналізу пакетів обміну на канальному рівні. Знання логіки роботи КС дозволяє на практиці моделювати й здійснювати типові віддалені атаки.
Класифікація типових ВА наведена в табл. 1.10.
Таблиця 1.10
Класифікація типових віддалених атак на КС
|
|
|
|
впливуХарактер |
|
|
|
|
|
здійсненняпочаткуУмова |
впливу |
Наявніст |
Розташува |
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
ь |
|
ння |
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
зворотно |
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
суб'єкта |
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
го зв'язку |
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
Мета |
|
|
|
|
|
атаки |
|
|
|
|
|
|
|
|
|||||||
Типова ВА |
|
|
|
|
|
|
|
|
|
|
з |
|
Рівень моделі OSI |
|
||||||||||||||
|
|
|
|
впливу |
|
|
|
|
|
|
щодо |
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
об’єктом, |
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
об'єкта, |
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
що |
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
який |
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
атакуєтьс |
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
атакується |
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
я |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Клас |
|
1.1 |
1.2 |
2.1 |
2.2 |
2.3 |
3.1 |
3.2 |
3.3 |
4.1 |
|
4.2 |
5.1 |
|
5.2 |
6.1 |
6.2 |
6.3 |
6.4 |
6.5 |
6.6 |
6.7 |
||||||
впливу |
|
|
|
|||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Аналіз |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
мережного |
+ |
|
- |
+ |
|
- |
- |
- |
|
- |
|
+ |
- |
|
+ |
+ |
|
- |
- |
|
+ |
- |
- |
- |
- |
- |
||
трафіка |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Підміна |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
довіреного |
- |
|
+ |
+ |
|
+ |
- |
- |
|
+ |
|
- |
+ |
|
+ |
+ |
|
+ |
- |
|
- |
+ |
+ |
- |
- |
- |
||
об'єкта КС |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
Впровадже |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
ння |
в |
КС |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
помилковог |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
о |
об'єкта |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(нав'язуван |
- |
|
+ |
+ |
|
+ |
+ |
- |
|
- |
|
+ |
+ |
|
+ |
+ |
|
+ |
- |
|
- |
+ |
- |
- |
- |
- |
||
ня |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
помилковог |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
о |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
маршруту) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
Впровадже |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
ння |
в |
КС |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
помилковог |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
о |
об'єкта |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(використа |
- |
|
+ |
+ |
|
+ |
- |
+ |
|
- |
|
+ |
+ |
|
- |
+ |
|
+ |
- |
|
+ |
+ |
+ |
- |
- |
- |
||
ння |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
недоліків |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
алгоритмів |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
віддаленог |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
о пошуку) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Відмова |
в |
- |
|
+ |
- |
|
- |
+ |
- |
|
- |
|
+ |
- |
|
+ |
+ |
|
+ |
- |
|
+ |
+ |
+ |
+ |
+ |
+ |
|
обслуговув |
|
|
|
|
|
|
|
|||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
анні
Він також дозволяє перехопити потік даних, якими обмінюються об'єкти КС. Таким чином, ВА даного типу полягає в одержанні на віддаленому об'єкті НСД до інформації, якою обмінюються два мережних абоненти. Зазначимо, що при цьому відсутня можливість модифікації трафіка й сам аналіз можливий тільки усередині одного сегмента мережі. Прикладом перехопленої інформації за допомогою даної ВА можуть бути ім'я й пароль користувача, що пересилаються в незашифрованому вигляді по мережі.
За характером впливу аналіз мережного трафіка є пасивним впливом (клас 1.1). Здійснення даної атаки без зворотного зв'язка (клас 4.2) веде до порушення конфіденційності інформації (клас 2.1) усередині одного сегмента мережі (клас 5.1) на канальному рівні OSI (клас 6.2). При цьому початок здійснення атаки, безумовно, стосовно мети атаки (клас 3.3).
Далі наведемо деякі описи конкретних ВА.
Land attack. Хакер намагається уповільнити роботу вашої машини, пославши пакет з ідентичними адресами одержувача й відправника. Для стека протоколів Інтернет така ситуація ненормальна. ПК намагається вийти з нескінченної петлі звертань до самого себе. Є патчі для більшості ОС.
Teardrop attack. Небезпечне перекриття IP-фрагментів, сформоване програмою teardrop. ОС може стати нестабільною або зруйнуватися. Є патчі для більшості ОС. Адреса відправника найімовірніше не є правдивою. Це означає, що відправник використовує фальшиву IP-адресу.
NewTear attack. Небезпечне перекриття IP-фрагментів, сформоване програмою newtear. ОС може стати нестабільною або зруйнуватися. Є патчі для більшості ОС. Адреса відправника найімовірніше не є правдивою.
SynDrop attack. Небезпечне перекриття IP-фрагментів, сформоване програмою syndrop. ОС може стати нестабільною або зруйнуватися. Є патчі для більшості ОС.
Ping of death. Перевищення максимально можливого розміру
IP-пакета. У максимальний розмір IP-пакета (65535 байт) включається довжина IP-заголовка й довжина поля даних в IP-пакеті. Тому що IP-
заголовок має мінімальний розмір в 20 байт (максимальний в 60), то, відповідно, розмір переданих в одному IP-пакеті даних не може перевищувати 65535 - 20 = 65515 байт. Тестувати свої програми на мінімальних і, найголовніше, на максимальних значеннях, тобто на граничних критичних значеннях – стандартний для будь-якого програміста хід. Подібні тести дозволяють виявити такі неприємні помилки, як усілякі переповнення.
У принципі ніщо не заважає атакуючий стороні сформувати набір фрагментів, які після складання перевищать максимально можливий розмір IP-пакета. Можливо, у цій фразі й сформульована основна ідея даної атаки.
18 грудня 1996 року на інформаційному сервері CERT з'явилися повідомлення про те, що більшість мережних ОС, які підтримує протоколи TCP/IP, мають наступну вразливість: при передачі на них IPпакета довжиною більше максимально припустимого значення в них переповняється буфер або змінна, і система зависає або перезавантажується – відмова в обслуговуванні! Також був наведений наступний список потенційно небезпечних платформ:
Berkeley Software Design, Inc. (BSDI); Computer Associates, Intl. (products for NCR); Cray Research;
Digital Equipment Corporation; FreeBSD, Inc.; Hewlett-Packard Company; IBM Corporation;
Linux Systems;
Open Software Foundation (OSF); Sun Microsystems, Inc.
Але перш ніж почати експерименти, було вирішено звернути увагу на WWW-сервер, де експертами проводилися подібні дослідження на різних ОС. Там, можливо, як і в CERT, ця атака називалася "Ping Death". На цьому WWW-сервері пропонувалося реалізувати атаку в такий спосіб: на робочій станції з ОС Windows '95 або Windows NT необхідно виконати наступну команду:
ping -l 65527 victim.destination.IP. address (тому - "Ping Death" ).
Тому що звичайний розмір IP-заголовка становить 20 байт, розмір ICMP-заголовка – 8 байт, то подібний ICMP-пакет буде перевищувати максимально можливий розмір IP-пакета на 20 байт
(65527 + 20 +8 - 65535 = 20).
Таким чином, ці "експерти" декларували, що звичайною командою ping нібито можна порушити працездатність практично будь-який мережний ОС. На завершення на цьому сервері наводилася наступна таблиця тестування різних ОС, на які дана ВА нібито зробила необхідний ефект. Далі автор наводить таблицю з істотними скороченнями (табл.
1.11).
|
|
|
Таблиця 1.11 |
||
|
|
Уразливі ОС |
|
|
|
|
|
|
|
|
|
ОС |
|
Версія |
Симптоми |
|
|
|
|
|
|
|
|
Solaris (x86) |
|
2.4, 2.5, 2.5.1 |
Перезавантаження |
|
|
|
|
|
|
|
|
Minix |
|
1.7.4, v2.0 and |
Руйнування |
|
|
|
|
probably others |
|
|
|
|
|
|
|
|
|
HP3000 MPE/i |
|
4.0, 5.0, 5.5 |
System abort |
|
|
|
|
|
|
|
|
Convex SPP-UX |
|
All version |
Руйнування |
|
|
|
|
|
|
|
|
Apple Mac |
|
Mac Os 7.x.x |
Руйнування |
|
|
|
|
|
|
|
|
Windows 3.11 |
with |
? |
Mixed reports |
|
|
Trumpet Winsock |
|
|
|
|
|
|
|
|
|
|
|
Novell NetWare |
|
3.x |
Mixed results |
|
|
|
|
|
|
|
|
Windows '95 |
|
All of 'em |
Руйнування |
|
|
|
|
|
|
|
|
AIX |
|
3 and 4 |
Формування дампа ОС |
|
|
|
|
|
|
|
|
|
|
|
Спонтанне |
|
|
Linux |
|
? 2.0.23 |
перезавантаження |
або |
|
|
|
|
помилка ядра |
|
|
|
|
|
|
|
|
DEC Unix/OSF1 |
|
2.0 and above |
Помилка ядра |
|
|
|
|
|
|
|
|
|
|
|
Руйнування, |
|
|
HP-UX |
|
9.0 to 10.20 |
перезавантаження, |
|
|
|
|
|
зависання... |
|
|
|
|
|
|
|
|
Windows NT |
|
3.5.1 |
Змішаний звіт |
|
|
|
|
|
|
|
|
Irix |
|
5.3 |
Помилка ядра |
|
|
|
|
|
|
|
|
Windows NT |
|
4.0 |
Руйнування |
|
|
|
|
|
|
|
|
SCO Openserver |
|
4.2, 5.0.x |
Вразливість |
|
|
|
|
DEC TOPS-20, |
|
All |
Помилки |
TOPS-10 |
|
||
|
|
|
|
|
|
|
|
Digital Firewall |
|
? |
Вразливість |
|
|
|
|
AltaVista Firewall |
for |
? |
Вразливість |
UNIX |
|
|
|
|
|
|
|
Було почато тестування й жодна з досліджуваних ОС – ні IRIX, ні
AIX, ні VMS, ні SunOs, ні FreeBSD, ні Linux [56], ні Windows NT 4.0, ні навіть Windows '95 і Windows for WorkGroups 3.11 – абсолютно ніяк не реагували на подібний некоректний запит і продовжували нормально функціонувати! Тоді були розпочаті спеціальні пошуки ОС, яку б дійсно вивела з ладу дана атака. Нею виявилася Windows 3.11 з WinQVT – ця ОС дійсно зависла.
На запит, надісланий так званим "експертам", яким настільки довіряють CERT і CIAC, де попросили пояснити виниклу ситуацію, а також відомості з табл. 1.11, була отримана відповідь; у ньому говорилося, що успіх даної атаки залежить від багатьох факторів, а саме: ПО й апаратного забезпечення, установленого на ПК, і, найголовніше, від фази місяця. Погодьтеся, повна маячня! Для повноти картини далі приводимо опис exploit'а, створеного для Windows NT 4.0, завдання якого, використовуючи ping, зробити так, щоб зависнув власний ПК. Першим кроком пропонувалося запустити Web Browser (?). На другому кроці було потрібно запустити taskmgr (Task Manager) (??). У коментарях до цього кроку говорилося, що так Ping Death працює краще. І, нарешті, було потрібно запустити 18 ping-процесів (???) (не більше й не менше; можливо, краще відразу 100). Якщо ви думаєте, що далі ваша ОС негайно зависне, то ви глибоко помиляєтеся! У коментарях до exploit'у до одержання ефекту пропонувалося чекати приблизно 10 хвилин, з філософським зауваженням про те, що очікування може протривати дещо більше (цікаво, на скільки більше – година, місяць, рік?!) або дещо менше.
Nestea attack. Небезпечне перекриття IP-фрагментів, сформоване програмою nestea. ОС може стати нестабільною або зруйнуватися. Є патчі для більшості ОС. Адреса відправника найімовірніше не є правдивою. Це означає, що відправник використовує фальшиву IP-
адресу. На жаль, не існує простих способів визначити, хто в дійсності посилає кадри з перекрученою адресою відправника.
Traceroute (tracert). Хтось намагається відстежити шлях від своєї машини до вашої. Утиліта traceroute широко використовується в Інтернет для пошуку шляху між машинами. Програма traceroute виконує цю роботу й визначає віртуальний шлях через Internet. Програма traceroute не є небезпечною. Не існує способу проникнути у ваш ПК, використовуючи її. Однак вона допомагає хакеру відстежити ваші з'єднання через Інтернет. Ця інформація може використовуватися для компрометації деяких інших учасників ваших зв'язків. Наприклад, у минулому цей вид інформації використовувався хакерами для того, щоб відключити свою жертву від Інтернету, змусивши найближчий маршрутизатор, щоб зависла телефонна лінія.
Snork attack. Реєструються UDP-дейтагарами з портом призначення 135 (Microsoft Location Service) і відправник з портом 7
(Echo), 19 (Chargen) або 135. Це спроба замкнути дві служби, якщо вони дозволені/активовані й змусити їх нескінченно обмінюватися пакетами один з одним. Існує патч для блокування таких атак.
AntiSniff DNS exploit. Програма AntiSniff може бути використана шляхом посилання спеціального DNS-кадру. У випадку успіху хакер може використовувати програму, що працює в системі, де працює AntiSniff. AntiSniff – це програма, що розроблена L0pht Heavy Industries у липні 1999. Хакер може використовувати L0pht AntiSniff для одержання інформації про мережу, що може виявитися для нього корисною при наступних атаках. Хакер може також використовувати L0pht AntiSniff для визначення положення компрометуючих ПК, переведених у режим 6 (sniffing), які можуть ним пізніше використовуватися.
HTTP URL directory traversal/climbing. Ситуація виглядає так,
начебто хакер намагається прочитати сторонні файли ОС. Звичайна помилка web-браузера полягає в тому, що хакер може специфікувати URL, яке виглядає як /../../../foo/bar.txt. Ця атака вдається, тому що програміст не здійснює подвійної перевірки URL, щоб переконатися, чи коректний файл web-сайта. Сигнатурою атаки може бути наявність в URL послідовності ../... Іноді така атака може бути імітована некоректними зв'язками, розміщеними на сторінці. Це говорить про некоректну конфігурацію. По-перше, перевірте параметри URL, щоб з'ясувати, до якого файлу має намір одержати доступ хакер. Потім
перевірте, чи одержав хакер доступ до файлу. Якщо це дійсно критичний файл і атака була успішною, необхідно почати термінові дії. Наприклад, якщо хакер одержав доступ до файлу паролів, необхідно замінити всі паролі. Варто також перевірити, чи є версія сервера новітньою й чи використані всі існуючі патчі. Більшість таких атак уживає проти "вбудованих" web-серверів (тобто web-серверів, доданих як частина іншого програмного продукту), а не проти реальних web-серверів типу
Apache і IIS.
Telnet Backdoor. Хакер намагається скористатися відомим ім'ям/паролем "схованих" дверей telnet Trigger. Протокольний аналізатор витягає login-name і пароль із вхідного рядка Telnet і порівнює їх зі списком відомих параметрів доступу для "схованих" дверей telnet. Деякі з них наведені нижче:
wh00t!
lrkr0x
Satori
Rewt
h0tb0x
Пароль "схованих" дверей надаваний rootkit для Linux, розроблений у 1994 р.
Пароль "схованих" дверей надаваний Rootkit I для Linux, розроблений у 1996 р.
Rootkit IV для Linux.
"Сховані" двері користувальницького аккаунта, що надає rootпривілею.
Пароль "схованих" дверей для FreeBSD rootkit 1.2 (1/27/97).
Finger forwarding. Спроба використання програми finger для переадресації запиту іншій системі. Часто використовується хакерами, щоб замаскувати свою ідентифікацію. Finger підтримує рекурсивні запити. Запит типу "rob@foo@bar" просить "bar" повідомити інформацію про "rob@foo", змушуючи "bar" надіслати запит "foo". Ця техніка може використовуватися для приховування правдивого джерела запиту. Finger є небезпечним джерелом інформації й із цієї причини повинен бути заблокований в /etc/inetd.conf.
Finger Backdoor. Хтось намагається повторно ввійти в ОС через відомі "таємні" двері в finger. Через те, що система була скомпрометована, хакери можуть залишити для себе відкриті "таємні" двері. Наприклад, одні "таємні" двері допускають посилку finger команди "cmd_rootsh", що відкриває shell із привілеями суперкористувача. Зазначимо, що якщо таємні двері дійсно є, ваша система вже була