Dodał admin, 2008-01-12 Autor / Opracowanie: Marcin Gryglewicz

Sieć Internet w swojej pierwotnej postaci, podobnie jak i system operacyjny Unix, miała służyć przed wszystkim środowisku akademickiemu.

Sniffing (podsłuch (dosł. węszenie) transmisji danych) Używając programów typu analizator pakietów można "podsłuchać" transmisję TCP, taką jak np. sesje TELNET czy FTP, gdzie wszystkie wymieniane dane to "gołe" pakiety i dzięki temu przechwycić hasło wymagane przy logowaniu się, po przechwyceniu hasła można wejść na konto użytkownika i spróbować wykorzystać np. exploita dzięki któremu spodziewamy się dostać prawa administratora. Warto zauważyć że programy tego typu korzystają z "promiscous mode", a więc aby uruchomić taki program należy JUŻ mieć gdzieś prawa administratora systemu (najlepiej w domenie gdzie znajduje się obiekt naszego ataku), takie programy to LanWatch, IPtrace, snoop, sniffit, LinuxSniffer, Ipinvestigator, strobe.

Spoofing (podszywanie się pod legalną "zarejestrowaną" maszynę) podszywanie ma na celu ominięcie zabezpieczeń związanych z dostępem do usług tylko dla wybranych adresów, np. tylko lokalni użytkownicy mogą korzystać z usługi która może okazać się niebezpieczną po udostępnieniu jej światu zewnętrznemu. Programy reprezentujące ten typ ataków to: fakerwall i spoofer.

Cracking (łamanie haseł z passwd metodą słownikową, lub też próbkowanie programu autoryzującego słowami z odpowiednio przygotowanych słowników). Są jeszcze systemy, gdzie "czyste" passwd można sobie skopiować przez TFTP, lub też po "zorganizowaniu" sobie konta zwykłego użytkownika skopiować passwd, i programem crack z odpowiednią ilością słowników próbkować po kolei wszystkie konta. Dostęp do passwd można też uzyskać wykorzystując tzw. błąd phf niektórych serwerów webowych i ich CGI, istnieją nawet programy wyszukujące takie serwery. Można też próbkować w ten sposób sam program autoryzujący (np. w POP3) , lecz jest to łatwe do wykrycia, ze względu na ruch generowany w sieci i obciążenie maszyny autoryzującej.

Hijacking (przechwytywanie zdalnej sesji legalnego użytkownika systemu), metoda przejęcia sesji użytkownika oparta o mechanizm połączeniowy protokołu TCP (3-way handshaking) na czym opiera się TELNET, oraz wygenerowanie odpowiedniego numeru sekwencyjnego. Forma ataku, którą trudno jest wykryć, a użytkownik którego sesja jest przechwytywana, może zorientować się że cos jest nie tak, po nagłym 'resecie' sesji, lub później przeglądając to co robił, programem 'history'. Administrator może rozpoznać tę formę ataku po wykryciu stanu DESYNCH połączenia, oraz lekko zwiększonej ilości pakietów TCP ACK w segmencie, zwiększa się także współczynnik utraty pakietów. Aby uchronić się przed tym rodzajem ataku, należy zrezygnować z TELNET'a na rzecz np. SSH, lub też zaimplementować KERBEROSA.

Denial of Service (blokada usług świadczonych przez system). Przez wysyłanie niewłaściwie sformowanych pakietów, lub flood'owanie danego portu systemu, można spowodować jej zawieszenie, lub też zawieszenie całego systemu, wykorzystują błędy w implementacji obsługi gniazd (np. zbyt długie pakiety ICMP ) itp. Ratunkiem przed tego typu atakami są jedynie patche (czyli łatki) na oprogramowanie, oraz zaopatrzenie się w odpowiednie narzędzia logujące zdarzenia. W pewnych określonych sytuacjach sprawę rozwiązuje jednak dopiero zakup FIREWALL'a.

Wykorzystywanie tzw. exploit'ów. Exploity to małe programy głównie w C i PERL'u, które wykorzystują dziury w oprogramowaniu systemowym (np. SUID), polegające głównie na przepełnianiu buforów i skokach podprogramów w losowe miejsce w pamięci normalnie zabronione dla użytkownika (GCC trampolines) , dzięki czemu można uzyskać prawa administratora systemu. Ta forma ataku może się powieść, jednak intruz musi najpierw zdobyć konto na danej maszynie. Obroną przed tego typu atakiem, jest śledzenie na bieżąco list dyskusyjnych poświeconych dziurom w oprogramowaniu sieciowym (BUGTRAQ, linux-security), regularnym sprawdzaniem logów.