14 наиболее распространенных сетевых протоколов и их уязвимости

Сетевые протоколы - это набор установленных правил, которые контролируют и регулируют обмен информацией с помощью безопасного, надежного и простого метода. Эти наборы правил существуют для различных приложений. Некоторые хорошо известные примеры протоколов включают проводные сети (например, Ethernet), беспроводные сети (например, WLAN) и связь через Интернет. Набор Интернет-протоколов, который используется для широковещательной передачи и передачи данных через Интернет, состоит из десятков протоколов.

В этих протоколах есть множество уязвимостей, которые приводят к их активному использованию и создают серьезные проблемы для сетевой безопасности. Давайте разберемся с 14 наиболее распространенными сетевыми протоколами и соответствующими уязвимостями, присутствующими в них.

1. Протокол разрешения адресов (ARP)

Протокол уровня связи (процесс сопоставления между уровнем канала передачи данных и сетевым уровнем), который используется для идентификации адреса управления доступом к среде (MAC) с учетом IP-адреса. Хост не может проверить, откуда пришел сетевой пакет в одноранговой сети. Это уязвимость, которая приводит к спуфингу ARP. Злоумышленник может воспользоваться этим, если злоумышленник находится в той же локальной сети, что и цель, или использует скомпрометированный компьютер, который находится в той же сети. Идея состоит в том, что злоумышленник связывает свой MAC-адрес с IP-адресом цели, так что любой трафик, предназначенный для цели, принимается злоумышленником.

2. Система доменных имен (DNS)

IP-адреса имеют числовой формат и, следовательно, их трудно прочитать или запомнить. DNS - это иерархическая система, которая преобразует эти IP-адреса в удобочитаемое имя хоста. Самая распространенная уязвимость в DNS - это отравление кеша. Здесь злоумышленник подменяет законный IP-адрес, чтобы отправить целевую аудиторию на вредоносные сайты. Усиление DNS также может быть использовано на DNS-сервере, который разрешает рекурсивный поиск и использует рекурсию для увеличения масштабов атаки.

3. Протокол передачи файлов / безопасный (FTP / S)

Это сетевой протокол, основанный на архитектуре модели клиента и сервера, который используется для передачи файлов между клиентом и сервером в компьютерной сети. Наиболее распространенные атаки FTP используют межсайтовый скриптинг, когда злоумышленник использует веб-приложение для отправки пользователю вредоносного кода в виде скрипта на стороне браузера (или файлов cookie). Протокол удаленной передачи файлов (FTP) не контролирует соединения и не шифрует свои данные. Имена пользователей вместе с паролями передаются в виде открытого текста, который может быть перехвачен любым сетевым сниффером или даже может привести к атаке «человек посередине» (MITM).

4. Протокол передачи гипертекста / безопасный (HTTP / S)

Он используется для безопасной связи в компьютерной сети. Его основные функции включают аутентификацию веб-сайта, к которому осуществляется доступ, а затем защиту конфиденциальности и целостности данных, которыми обмениваются. Основной уязвимостью HTTPS является атака Drown, которая помогает злоумышленникам взломать шифрование, украсть информацию о кредитных картах и пароли. Другой серьезной ошибкой является ошибка Heartbleed, которая позволяет украсть информацию, защищенную шифрованием TLS / SSL, которое используется для защиты Интернета. Некоторые другие уязвимости включают факторинг ключей экспорта RSA и упрощенную утечку информации о коэффициенте сжатия.

5. Протокол доступа к сообщениям в Интернете (IMAP)

Это протокол электронной почты в Интернете, который хранит электронные письма на почтовом сервере, но позволяет конечному пользователю извлекать, просматривать и манипулировать сообщениями, поскольку они хранились локально на устройствах пользователя. Во-первых, когда электронное письмо отправляется через Интернет, оно проходит по незащищенным каналам связи. Имена пользователей, пароли и сообщения могут быть перехвачены сами. Атака типа «отказ в обслуживании» (DoS) также может быть проведена на почтовом сервере, что приводит к неполучению и отправке писем. Кроме того, почтовый сервер может быть заражен вредоносными программами, которые, в свою очередь, могут быть отправлены клиентам с помощью зараженных вложений.

6. Почтовый протокол (POP3)

Интернет-протокол прикладного уровня используется для получения электронных писем с удаленного сервера на персональный локальный компьютер клиента. Его можно использовать для просмотра сообщений, даже когда вы не в сети. Уязвимости, нацеленные на хранилище почтовых ящиков, включают прямой доступ к памяти Firewire или DMS-атаку, основанную на использовании прямого аппаратного доступа для чтения или записи непосредственно в основную память без какого-либо взаимодействия с операционной системой или надзора. Процессы входа в систему позволяют пользователю подключаться через незашифрованные пути, в результате чего учетные данные для входа в систему отправляются по сети в виде открытого текста.

7. Протокол удаленного рабочего стола (RDP)

Разработанный Microsoft, это протокол, который предоставляет пользователям графический интерфейс для подключения к другому компьютеру через сетевое соединение, где один пользователь запускает клиентское программное обеспечение RDP, а другой - серверное программное обеспечение RDP. Уязвимость под названием BlueKeep может позволить вредоносным программам, таким как программы-вымогатели, распространяться через уязвимые системы. BlueKeep позволяет злоумышленникам подключаться к службам RDP. После этого они могут отдавать команды для кражи или изменения данных, установки опасного вредоносного ПО и могут выполнять другие вредоносные действия. Использование уязвимости не требует аутентификации пользователя. Для активации даже не требуется, чтобы пользователь нажимал что-либо.

8. Протокол инициации сеанса (SIP)

Это протокол сигнализации, который используется для инициирования, поддержания, изменения и завершения сеансов в реальном времени. Эти сеансы могут включать голос, видео, обмен сообщениями и другие коммуникационные приложения и службы, которые находятся между двумя или более конечными точками в IP-сетях. Он может подвергаться угрозам безопасности, таким как переполнение буфера, атака с использованием инъекций, захват и т. Д. Этих противников довольно легко установить с минимальными затратами или почти бесплатно для злоумышленника. Атаки наводнения происходят, когда злоумышленник отправляет большой объем трафика, в результате чего целевая система потребляет все ее ресурсы и делает ее неспособной обслуживать законных клиентов. Флуд в сетевой инфраструктуре SIP может легко произойти, поскольку нет разделения каналов для сигнализации и передачи данных.

9. Блок сообщений сервера (SMB)

Это сетевой протокол связи для обеспечения совместного доступа к файлам, принтерам и последовательным портам между узлами в сети. Он также предоставляет аутентифицированный и авторизованный механизм межпроцессного взаимодействия. Уязвимость в SMB - это атака ретрансляции SMB, которая используется для проведения атак типа «злоумышленник в середине». Другая атака - атака EternalBlue. Сервер SMBv1 в различных версиях Microsoft Windows неправильно обрабатывает специально созданные пакеты от удаленных злоумышленников, позволяя им выполнять произвольный код на целевом компьютере.

10. Простой протокол передачи почты (SMTP).

Это протокол прикладного уровня связи, который используется для отправки электронных писем. Спамеры и хакеры могут использовать почтовый сервер для рассылки спама или вредоносных программ по электронной почте под видом ничего не подозревающего владельца открытого ретранслятора. Хакеры также проводят атаку с использованием каталога, которая является способом получения действительных адресов электронной почты с сервера или домена для использования хакерами. Уязвимости также включают атаки переполнения буфера, атаки троянских коней, атаки сценариев оболочки и т. Д.

11. Простой протокол управления сетью (SNMP)

Это стандартный протокол Интернета для сбора и систематизации информации об управляемых устройствах в IP-сетях, а также используется для изменения и модификации этой информации с целью изменения поведения устройства. Отражение SNMP - это своего рода распределенный отказ в обслуживании или DDoS-атака. Эти атаки могут генерировать объем атаки в сотни гигабит в секунду, который может быть направлен на цели атаки из различных широкополосных сетей. Злоумышленник отправляет огромное количество запросов SNMP с поддельным IP-адресом (то есть IP-адресом жертвы) на несколько подключенных устройств, которые, в свою очередь, отвечают на этот поддельный IP-адрес. Объем атак становится все более серьезным, поскольку все больше и больше устройств продолжают отвечать, пока целевая сеть не будет отключена под общим объемом этих ответов.

12. Безопасная оболочка (SSH)

Это сетевой протокол на основе криптографии для безопасного и надежного управления сетевыми службами в незащищенной сети. Некоторые конкретные приложения включают удаленную командную строку, удаленное выполнение команд, вход в систему, но любую сетевую службу можно защитить с помощью SSH. Атака «человек посередине» (MITM) может позволить злоумышленнику полностью дестабилизировать и отключить шифрование, а также получить доступ к зашифрованному содержимому, которое может включать пароли. Успешный противник - это кабель для ввода команд в терминал для модификации или изменения передаваемых данных или для кражи данных. Атака также может позволить внедрить вредоносное вредоносное ПО в любые двоичные файлы и другие обновления программного обеспечения, загружаемые через систему. Этот метод ранее использовался различными группами атак и пакетами вредоносных программ.

13. Telnet

Это прикладной протокол, который используется в Интернете или локальной сети (LAN), который обеспечивает двунаправленную интерактивную текстовую связь с использованием соединения с виртуальным терминалом. Самая большая проблема безопасности в протоколе Telnet - это отсутствие шифрования. Каждое сообщение, отправляемое на сетевое устройство с удаленного настраиваемого устройства, отправляется в виде простого текста. Злоумышленник может легко увидеть, что мы настраиваем на этом устройстве, и он может увидеть пароль, который мы использовали для подключения к устройству и входа в режим конфигурации. Другой тип атаки Telnet - это DoS, злоумышленник отправляет множество бесполезных и не относящихся к делу фреймов данных и таким образом душит соединение.

14. Виртуальные сетевые вычисления (VNC)

Виртуальные сетевые вычисления используются для установления общего доступа к удаленному рабочему столу, который является формой удаленного доступа в компьютерных сетях. VNC отображает визуальный рабочий стол другого компьютера и управляет этим компьютером через сетевое соединение. Все атаки вызваны неправильным использованием памяти, при этом атаки, использующие их, приводят к отказу в обслуживании, сбоям, а также к несанкционированному доступу к информации пользователей и возможности запуска вредоносного кода на целевом устройстве. Уязвимости и атаки включают DoS-атаки, переполнение буфера, опустошение буфера и удаленное выполнение кода.