Распространенные атаки на персональный компьютер

сетей

карту, работающую в режиме promiscuous mode (в этом режиме все

пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен. В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика.

выдает себя за санкционированного пользователя. Это можно сделать двумя способами.

Во-первых, хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример - атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера.

сомнения, является наиболее известной формой хакерских атак. Кроме того, против

атак такого типа труднее всего создать стопроцентную защиту

slowing
arp poisoning
overflow (flood)

если сеть не имеет коммутаторов, результатом является выход из строя

на время атаки всей сети, если же есть коммутаторы - отказ работы одного сегмента сети, в котором стоит атакующая станция (в пределах коллизионного домена). Кстати, важно понимать, что несмотря на то, что VLAN'ы призваны разделять броадкастные и коллизионные домены, к MAC-based VLAN'ам это не относится, поскольку они организуются поверх имеющихся коллизионных доменов.

с передачей маркера. Результатом является, как минимум, снижение пропускной способности

сети, за счет задержек передачи маркера в рамках определенных стандартами таймаутов. Возможно есть шанс добиться DoS.

путем посылки ему пакетов arp-reply с ложными данными о MAC-адресе,

соответствующем интересующему IP-адресу. Эта атака очень близка к 2-му уровню OSI, однако ее скорее стоит позиционировать как находящуюся на стыке между 2-м и 3-м уровнями OSI.

носителем скоростях. К таким атакам относится в том числе cdp-flooding.

Практическое обнаружение подобных атак затруднено необходимостью проводить массу тестирований на работу оборудования при нарушении спецификации, заданной стандартом. Например, как поведет себя коммутатор, если будет получать TCN/C-BPDU в количестве во много раз превышающем предусмотренную стандартом нагрузку?

Network (TFN) и Tribe Flood Network 2000 (TFN2K)
Trinco
Stacheldracht

Trinity

подключение по протоколу TCP) в достаточно короткий срок.
Согласно процессу «трёхкратного

рукопожатия» TCP, клиент посылает пакет с установленным флагом SYN (synchronize). В ответ на него сервер должен ответить комбинацией флагов SYN+ACK (acknowledges). После этого клиент должен ответить пакетом с флагом ACK, после чего соединение считается установленным.

Принцип атаки заключается в том, что злоумышленник, посылая SYN-запросы, переполняет на сервере (цели атаки) очередь на подключения. При этом он игнорирует SYN+ACK пакеты цели, не высылая ответные пакеты, либо подделывает заголовок пакета таким образом, что ответный SYN+ACK отправляется на несуществующий адрес. В очереди подключений появляются так называемые полуоткрытые соединения (англ. half-open connection), ожидающие подтверждения от клиента. По истечении определенного тайм-аута эти подключения отбрасываются. Задача злоумышленника заключается в том, чтобы поддерживать очередь заполненной таким образом, чтобы не допустить новых подключений. Из-за этого легитимные клиенты не могут установить связь, либо устанавливают её с существенными задержками.

которого он перестает отвечать на запросы вообще (DoS).
Обычный эхо-запрос имеет

длину 64 байта (плюс 20 байт IP-заголовка). По стандарту RFC 791 IPv4 суммарный объем пакета не может превышать 65 535 байт (). Отправка же ICMP-пакета такого или большего размера может привести к переполнению сетевого стека компьютера и вызвать отказ от обслуживания. Такой пакет не может быть передан по сети целиком, однако для передачи его можно фрагментировать на несколько частей, число которых зависит от MTU физического канала.

При фрагментации каждая часть получает смещение фрагментации, которое представляет собой положение начала содержимого части относительно исходного пакета и занимает в заголовке IP-пакета 13 бит. Это позволяет получить максимальное смещение, равное 65 528 байт (), что означает, что фрагмент с максимальным смещением не должен превышать 7 бит (), иначе он превысит разрешённый размер IP-пакета, что может вызвать переполнение буфера жертвы, размер которого рассчитан на стандартный пакет, и аварийную остановку компьютера.

Данная уязвимость применима к любому транспортному протоколу, который поддерживает фрагментацию (TCP, UDP, IGMP, ICMP и др.).

отказа в обслуживании, в которой используются ICMP-сообщения, использует несколько компьютеров.

kernel и, снова нажав «E», добавить в конец строки слово

single.
Загрузиться и сменить пароль.

изменений, но вместо single пишем init=/bin/bash, так указываем ядру, что

вместо /sbin/init первой программой пользовательского режима будет оболочка.
Перемонтируем корневую ФС в режим rw:
# /sbin/mount -o remount,rw /
Задаем пароль командой /bin/passwd.
Жмем следующие комбинации клавиш: , , — аварийная синхронизация буферов ФС, перемонтирование ФС в режим ro и перезагрузка. Пароль изменен.

находится в папке Windows\System32. Там же кстати находится и файл

”cmd.exe” – наша желанная коммандная срока.

«Загрузить куст…» (File → Load hive…). Нам надо открыть файл

SAM, который находится в папке \Windows\System32\config на том разделе, где установлена Windows 7. При открытии будет предложено ввести имя загружаемого куста — вбивайте любое.

ключу F. Откроется редактор, в котором надо перейти к первому

числу в строке 038 — это 11. Его надо изменить на 10. Будьте аккуратны и не ошибитесь — поменять надо только его, не добавляя и не удаляя другие числа!

выбрать «Файл» → «Выгрузить куст…» (File → Unload hive…), а

затем подтвердить выгрузку куста.