Jeg ved ikke helt om man skal placere spørgsmål om sårbarheder her, men ellers må det jo rykkes.
Jeg har hørt at det er muligt at få delvis/fuld adgang over en server hvor man laver et DDoS eller DoS angreb. Det er noget med at der skulle opstå nogle sårbarheder under sådan et angreb. Jeg er ikke helt inde i navngivningen af forskellige angrebsmetoder og det kan sagtens være, at et angreb som jeg beskriver, hedder noget helt andet, men pointen er, hvad er disse sårbarheder indebærer?
Hvis det er en overflod af data, som gør at siden den crasher, hvordan kan man så få root adgang?
Det er der mange forskellige svar til, alt efter hvilken server du angriber.
Teorien bag, er, at du overbelaster en server, så en genstart er nødvendig. Under opstarten er visse sikkerhedstiltag endnu ikke kørende, eller du ved, at den henter information et sted fra, som du har inficeret på forhånd.
Jeg har desværre ikke hørt om nogle praktiske løsninger, men jeg ved, de findes. Dog vil de helt sikkert kræve, at du kender systemet på forhånd.
Jeg tror PhasmaX har ret, det kan være fejl som en firewall der er konfigureret til at starte på post-up i stedet for pre-up eller hvad ved jeg. Jeg hører også en del om at det indebærer en sikkerhedsrisiko, men det er vist bare fordi de skal have styr på deres software.
Det lyder i hvert fald mærkeligt.
Jeg er enig.. Eller at ting slet ikke starter op automatisk. Man skal dog være pænt heldig, hvis man skal nå at ramme en server mens den booter.
Man kan også undgå filtrering af pakker i en switch, hvis man flooder den med pakker fra forskellige mac adresser, så dens mac adresse tabel, bliver fyldt. Så begynder den at virke som en hub. Derved vil alle porte i switchen virke som en span port. Altså, alt bliver sendt til alle porte.
Hvis man laver et low-bandwith DDoS, som ikke vælger serverne, men belaster dem meget, kan man måske snige et diskret angreb ind, for at få adgang. Altså hvor alarmer fra IDS/IPS drukner i alt muligt andet.
Det er lige umiddelbart hvad jeg tænker.
Men er spændt på hvad andre har af input.
(07-08-2013, 19:32)iTick Skrev: [ -> ]Jeg er enig.. Eller at ting slet ikke starter op automatisk. Man skal dog være pænt heldig, hvis man skal nå at ramme en server mens den booter.
Man kan også undgå filtrering af pakker i en switch, hvis man flooder den med pakker fra forskellige mac adresser, så dens mac adresse tabel, bliver fyldt. Så begynder den at virke som en hub. Derved vil alle porte i switchen virke som en span port. Altså, alt bliver sendt til alle porte.
Hvis man laver et low-bandwith DDoS, som ikke vælger serverne, men belaster dem meget, kan man måske snige et diskret angreb ind, for at få adgang. Altså hvor alarmer fra IDS/IPS drukner i alt muligt andet.
Det er lige umiddelbart hvad jeg tænker.
Men er spændt på hvad andre har af input.
Hvordan fungere det med mac adresser?
(08-08-2013, 13:15)Lycia Skrev: [ -> ]Hvordan fungere det med mac adresser?
En switch holder øje med de maskiner som er sluttet til switchen. Den har en table, hvor deres mac adresser står i. Så switchen sender kun unicast pakker til den port, modtageren sidder på. Selvfølgelig sendes en broadcast til alle, men så har pakken FF:FF:FF:FF:FF:FF som mac adresse. Så skal alle alligevel have den. En hub sender de pakker den modtager ud på alle porte, lige meget om den maskine som skal modtage pakken, sidder på porten eller ej.
Hvis man flooder en switch med noget mac flood, altså sender tusinde pakker til switchen med forskellige mac adresser, fyldes tabellen op og switchen vil (delvist) begynde at virke som en hub. Dvs. den sender pakker til alle, lige meget om modtageren sidder på porten eller ej.
Der er selvfølgelig en hel del andre ulemper ved en hub, men det er ofte teknikken man bruger, hvis man skal sniffe traffik fra netværket og har fysisk adgang.
Nogle switche har selvfølgelg noget port security, som f.eks. en Cisco switch, som kan sættes til, f.eks. kun at acceptere x antal forskellige macadresser på hver port. Eller kun at acceptere traffik fra en helt bestemt mac adresse.
i 99 procent af tilfældene vil det ikke.
(09-08-2013, 06:41)iTick Skrev: [ -> ]En switch holder øje med de maskiner som er sluttet til switchen. Den har en table, hvor deres mac adresser står i. Så switchen sender kun unicast pakker til den port, modtageren sidder på. Selvfølgelig sendes en broadcast til alle, men så har pakken FF:FF:FF:FF:FF:FF som mac adresse. Så skal alle alligevel have den. En hub sender de pakker den modtager ud på alle porte, lige meget om den maskine som skal modtage pakken, sidder på porten eller ej.
Hvis man flooder en switch med noget mac flood, altså sender tusinde pakker til switchen med forskellige mac adresser, fyldes tabellen op og switchen vil (delvist) begynde at virke som en hub. Dvs. den sender pakker til alle, lige meget om modtageren sidder på porten eller ej.
Der er selvfølgelig en hel del andre ulemper ved en hub, men det er ofte teknikken man bruger, hvis man skal sniffe traffik fra netværket og har fysisk adgang.
Nogle switche har selvfølgelg noget port security, som f.eks. en Cisco switch, som kan sættes til, f.eks. kun at acceptere x antal forskellige macadresser på hver port. Eller kun at acceptere traffik fra en helt bestemt mac adresse.
Tak for det gode og udybende svar!