Τι είδους επιθέσεις περιλαμβάνουν την παρακολούθηση πακέτων δικτύων;

Πολλές επιθέσεις περιλαμβάνουν την παρακολούθηση πακέτων δικτύων, αξιοποιώντας τα δεδομένα που έχουν καταγραφεί για κακόβουλους σκοπούς. Ακολουθούν μερικά παραδείγματα που κατηγοριοποιούνται από τον τύπο της επίθεσης:

Παθητικές επιθέσεις (ο επιτιθέμενος δεν τροποποιεί την κυκλοφορία δικτύου):

* Δίκτυο Sniffing: Η πιο βασική μορφή. Ο επιτιθέμενος καταγράφει παθητικά όλες τις κυκλοφοριακές επισημάνσεις του δικτύου που διέρχεται από ένα συγκεκριμένο τμήμα δικτύου. Αυτά τα δεδομένα μπορούν στη συνέχεια να αναλυθούν για ευαίσθητες πληροφορίες όπως κωδικούς πρόσβασης, αριθμούς πιστωτικών καρτών ή εμπιστευτικά έγγραφα. Εργαλεία όπως το Wireshark χρησιμοποιούνται για νόμιμη ανάλυση δικτύου, αλλά μπορούν επίσης να χρησιμοποιηθούν κακόβουλα.

* Ανάλυση κυκλοφορίας: Ανάλυση προτύπων κυκλοφορίας δικτύου για να συναχθούν πληροφορίες σχετικά με τους χρήστες, τις εφαρμογές ή τα συστήματα χωρίς να έχετε άμεση πρόσβαση στο περιεχόμενο των πακέτων. Αυτό μπορεί να αποκαλύψει τα πρότυπα επικοινωνίας, τις τοποθεσίες των χρηστών ή το μέγεθος και τη συχνότητα των μεταφορών δεδομένων, οι οποίες μπορούν να χρησιμοποιηθούν για στοχοθετημένες επιθέσεις αργότερα.

Ενεργές επιθέσεις (ο εισβολέας τροποποιεί ή εισάγει την κυκλοφορία δικτύου):

* επιθέσεις Man-in-the-Middle (MITM): Ο επιτιθέμενος παρακολουθεί την επικοινωνία μεταξύ δύο μερών, θέτοντας ως κάθε άκρο στην παρακολούθηση και ενδεχομένως να τροποποιήσει την επικοινωνία. Αυτό τους επιτρέπει να κλέβουν τα διαπιστευτήρια, να εισάγουν κακόβουλα προγράμματα ή να χειρίζονται δεδομένα. Οι τεχνικές περιλαμβάνουν δηλητηρίαση ARP, απομάκρυνση DNS και απογύμνωση SSL.

* Session Hijacking: Αναλαμβάνοντας μια υπάρχουσα συνεδρία δικτύου, παρεμποδίζοντας το αναγνωριστικό περιόδου σύνδεσης ή άλλα μάρκες ελέγχου ταυτότητας. Αυτό επιτρέπει στον εισβολέα να μιμηθεί τον νόμιμο χρήστη.

* έγχυση πακέτου: Ο εισβολέας εισάγει κακόβουλα πακέτα στο δίκτυο για να διαταράξει τις υπηρεσίες, να ξεκινήσει επιθέσεις άρνησης εξυπηρέτησης (DOS) ή να παραδώσει κακόβουλο λογισμικό.

* IP spoofing: Ο εισβολέας στέλνει πακέτα με μια σφυρηλατημένη διεύθυνση IP πηγής για να συγκαλύψει την προέλευσή τους και να αποφύγει την ανίχνευση. Αυτό χρησιμοποιείται συνήθως σε επιθέσεις DOS και άλλες μορφές εισβολής δικτύου.

* δηλητηρίαση ARP: Ένας συγκεκριμένος τύπος απομάκρυνσης IP που στοχεύει στο πρωτόκολλο ανάλυσης διευθύνσεων (ARP), επιτρέποντας στον εισβολέα να παρακολουθεί την κυκλοφορία που προορίζεται για άλλες συσκευές στο τοπικό δίκτυο.

* DNS SPOFING/CACHE POISISONT: Τροποποίηση αρχείων DNS για την ανακατεύθυνση των χρηστών σε κακόβουλους ιστότοπους ή διακομιστές. Αυτό επιτρέπει στους επιτιθέμενους να κλέβουν τα διαπιστευτήρια ή να εγκαταστήσουν κακόβουλο λογισμικό σε μηχανήματα ανυποψίαστων θυμάτων.

Εξάντληση δεδομένων: Πολλές επιθέσεις, όταν έχουν συμβιβαστεί ένα σύστημα, χρησιμοποιούν την παρακολούθηση πακέτων για να εξαλείφουν τα κλεμμένα δεδομένα. Αυτό μπορεί να γίνει κρυφά με την κρυπτογράφηση των δεδομένων και την αποστολή τους μέσω φαινομενικά αβλαβών καναλιών.

Είναι σημαντικό να σημειωθεί ότι πολλές επιθέσεις συνδυάζουν αρκετές από αυτές τις τεχνικές. Για παράδειγμα, μια επίθεση MITM μπορεί να περιλαμβάνει τόσο εισπνοή όσο και έγχυση πακέτων. Ο συγκεκριμένος τύπος επίθεσης εξαρτάται από τους στόχους του εισβολέα και τις τρωίες που εκμεταλλεύονται.