Атака путем подделки записей кэша dns, Атаки червей, Сканирование портов – Инструкция по эксплуатации ESET NOD32 Smart Security 6

119

6.2.2 Атака путем подделки записей кэша DNS

Атака путем подделки записей кэша DNS (сервер доменных имен) позволяет хакерам убедить DNS-сервер
любого компьютера в том, что предоставляемые подложные данные являются истинными. Ложная
информация кэшируется на определенное время, давая злоумышленникам возможность перезаписать ответы
DNS-сервера с IP-адресами. В результате при попытке посещения веб-сайтов пользователь загружает
компьютерные вирусы и черви вместо исходного содержимого.

6.2.3 Атаки червей

Компьютерные черви — это содержащие злонамеренный код программы, которые атакуют главные
компьютеры и распространяются через сеть. Сетевые черви используют уязвимости системы безопасности
различных приложений. Благодаря Интернету они распространяются по всему земному шару за считаные часы
после запуска в сеть.

Многих из атак червей (Sasser, SqlSlammer) можно избежать, используя настройки персонального файервола
по умолчанию или с помощью блокировки незащищенных и неиспользуемых портов. Очень важно регулярно
устанавливать новейшие пакеты обновления операционной системы.

6.2.4 Сканирование портов

Сканирование портов используется, чтобы определить, какие порты компьютера открыты на узле сети.
Сканер портов представляет собой программное обеспечение, которое предназначено для поиска таких
портов.

Компьютерный порт является виртуальной точкой, которая управляет сетевым трафиком в обоих
направлениях. Это является критичным с точки зрения сетевой безопасности. В больших сетях данные,
которые собираются с помощью сканера портов, могут помочь выявить потенциальные уязвимости
компьютерных систем. Такое использование является допустимым.

Однако сканеры часто используются злоумышленниками для взлома систем безопасности. Первым шагом
отправляется серия пакетов на каждый из портов. В зависимости от полученных ответов определяется, какой
из портов можно использовать. Сканирование не причиняет вреда само по себе, но следует иметь в виду, что
такая активность зачастую является признаком попытки выявления уязвимости и последующей атаки
злоумышленников на систему.

Сетевые администраторы обычно советуют блокировать все неиспользуемые порты и защищать
используемые от неавторизованного доступа.

6.2.5 TCP-десинхронизация

TCP-десинхронизация — это метод, используемых в атаках подмены одного из участников TCP-соединения.
Этот метод основан на процессах, которые происходят, когда порядковый номер приходящего пакета
отличается от ожидаемого. Пакеты с неожиданными номерами пропускаются (или сохраняются в
специальном буфере, если они попадают в текущее окно соединения).

При десинхронизации обе стороны обмена данными пропускают полученные пакеты. В этот момент
злоумышленники могут заразить и передать пакеты с правильным порядковым номером. Злоумышленники
могут даже манипулировать обменом данных и вносить в него изменения.

В атаках путем подмены одного из участников целью является внедрение в двухсторонний обмен данными
между сервером и клиентом. Многие атаки в этом случае могут быть предотвращены путем использования
аутентификации для каждого из сегментов TCP. Кроме того, следует использовать рекомендуемые параметры
для сетевых устройств.