1) Man-in-the-middle
Dalam kriptografi, man-in-the-middle Janus serangan serangan (sering disingkat MITM), serangan ember brigade, atau kadang-kadang, adalah bentuk menguping aktif di mana penyerang membuat koneksi independen dengan korban dan pesan relay antara mereka, membuat mereka percaya bahwa mereka berbicara secara langsung satu sama lain melalui koneksi pribadi, padahal seluruh percakapan dikendalikan oleh penyerang. Penyerang harus mampu mencegat semua pesan berjalan di antara dua korban dan menyuntikkan yang baru, yang langsung dalam banyak keadaan (misalnya, seorang penyerang dalam jangkauan penerimaan jalur Wi-Fi tidak terenkripsi akses nirkabel, dapat menyisipkan dirinya sebagai manusia -in-the-tengah).
Man-in-the-middle Sebuah serangan dapat berhasil hanya ketika penyerang dapat meniru masing-masing endpoint untuk kepuasan yang lain-ini merupakan serangan terhadap saling otentikasi. Protokol kriptografi yang paling mencakup beberapa bentuk otentikasi endpoint khusus untuk mencegah serangan MITM. Sebagai contoh, SSL mengotentikasi server menggunakan otoritas sertifikasi saling terpercaya.
Kebutuhan transfer tambahan melalui saluran yang aman
Dengan pengecualian interlock Protokol, semua sistem kriptografi yang aman terhadap serangan MITM memerlukan pertukaran tambahan atau transmisi informasi melalui semacam saluran aman. Banyak metode kesepakatan kunci telah dikembangkan, dengan persyaratan keamanan yang berbeda untuk saluran aman.
Contoh serangan
Ilustrasi manusia-in-the-middle.
Misalkan Alice ingin berkomunikasi dengan Bob. Sementara itu, Mallory ingin mencegat percakapan untuk menguping dan mungkin menyampaikan pesan palsu kepada Bob.
Pertama, Alice meminta Bob untuk kunci publik. Jika Bob mengirimkan kunci publik ke Alice, tapi Mallory mampu mencegat itu, seorang pria-in-the-tengah serangan dapat dimulai. Mallory mengirimkan pesan palsu ke Alice yang mengaku dari Bob, melainkan menyertakan kunci publik Mallory.
Alice, percaya ini menjadi kunci publik Bob, mengenkripsi pesannya dengan kunci Mallory dan mengirim pesan kembali ke Bob enciphered. Mallory lagi penyadapan, deciphers pesan menggunakan kunci pribadinya, mungkin mengubah hal itu kalau dia mau, dan re-enciphers menggunakan kunci publik Bob awalnya dikirim ke Alice. Ketika Bob menerima pesan baru enciphered, dia yakin itu datang dari Alice.
1. Alice mengirim pesan ke Bob, yang dicegat oleh Mallory:
Alice ". Hai Bob, itu Alice Beri aku kunci Anda" -> Mallory Bob
2. Mallory relay pesan ini kepada Bob, Bob tidak bisa mengatakan itu tidak benar-benar dari Alice:
Alice Mallory ". Hai Bob, itu Alice Beri aku kunci Anda" -> Bob
3. Bob merespon dengan kunci enkripsi nya:
Alice Mallory <- [Bob's_key] Bob
4. Mallory menggantikan kunci Bob dengan tangannya sendiri, dan relay ini untuk Alice, mengklaim bahwa itu adalah kunci Bob:
Alice <- [Mallory's_key] Mallory Bob
5. Alice mengenkripsi pesan dengan apa yang dia percaya menjadi kunci Bob, berpikir bahwa hanya Bob dapat membacanya:
Alice "Temui aku di halte bus!" [Dienkripsi dengan kunci Mallory] -> Mallory Bob
6. Namun, karena sebenarnya dienkripsi dengan kunci Mallory, Mallory dapat mendekripsi, membaca, memodifikasi itu (jika diinginkan), kembali mengenkripsi dengan kunci Bob, dan maju ke Bob:
Alice Mallory "Temui aku di van berjendela di Ave 22!" [Dienkripsi dengan kunci Bob] -> Bob
7. Bob berpikir bahwa pesan ini adalah komunikasi yang aman dari Alice.
Contoh ini menunjukkan perlunya untuk Alice dan Bob untuk memiliki beberapa cara untuk memastikan bahwa mereka benar-benar menggunakan kunci publik masing-masing, bukan kunci publik penyerang. Jika tidak, serangan tersebut umumnya memungkinkan, pada prinsipnya, terhadap setiap pesan yang dikirim menggunakan teknologi kunci publik. Untungnya, ada berbagai teknik yang dapat membantu mempertahankan terhadap serangan MITM.
Pertahanan terhadap serangan
Pertanyaan buku-new.svg
Bagian ini tidak menyebutkan referensi atau sumber apapun. Harap membantu meningkatkan bagian ini dengan menambahkan kutipan ke sumber terpercaya. Unsourced bahan mungkin cacat dan dibuang.
Pertahanan terhadap serangan MITM Berbagai menggunakan teknik otentikasi bahwa didasarkan pada:
Infrastruktur kunci publik
Saling otentikasi kuat, seperti:
Rahasia kunci (yang biasanya rahasia informasi entropi tinggi, dan dengan demikian lebih aman), atau
Password (yang biasanya rahasia informasi entropi rendah, dan dengan demikian kurang aman)
Latency pemeriksaan, seperti dengan panjang perhitungan fungsi hash kriptografi yang mengarah ke puluhan detik, jika kedua belah pihak mengambil 20 detik normal, dan perhitungan mengambil 60 detik untuk mencapai masing-masing pihak, ini dapat mengindikasikan pihak ketiga
Kedua (aman) saluran verifikasi
Satu kali bantalan kebal terhadap serangan MITM, dengan asumsi keamanan dan kepercayaan dari pad satu kali.
Carry-maju verifikasi
Pengujian sedang dilakukan pada menghapus sertifikat dikompromikan dari penerbitan otoritas pada komputer yang sebenarnya dan sertifikat dikompromikan sedang diekspor ke daerah sandbox sebelum penghapusan untuk analisis
Integritas kunci publik umumnya harus meyakinkan dalam beberapa cara, tapi tidak perlu menjadi rahasia. Password dan kunci rahasia bersama memiliki persyaratan kerahasiaan tambahan. Kunci publik dapat diverifikasi oleh Otoritas Sertifikat, kunci publik yang didistribusikan melalui saluran aman (misalnya, dengan web browser atau instalasi OS). Kunci publik juga dapat diverifikasi oleh web kepercayaan yang mendistribusikan kunci publik melalui saluran aman (misalnya dengan tatap muka).
Melihat kunci-perjanjian protokol untuk klasifikasi protokol yang menggunakan berbagai bentuk kunci dan password untuk mencegah man-in-the-middle serangan.
analisis serangan MITM Forensik
Ditangkap lalu lintas jaringan dari apa yang diduga serangan MITM dapat dianalisis dalam rangka untuk menentukan apakah itu benar-benar serangan MITM atau tidak. Bukti penting untuk menganalisis ketika melakukan forensik jaringan dari serangan MITM diduga SSL meliputi:
Alamat IP dari server
Nama DNS dari server
X.509 sertifikat server
Apakah sertifikat yang ditandatangani sendiri?
Apakah sertifikat yang ditandatangani oleh CA terpercaya?
Apakah sertifikat sudah dicabut?
Apakah sertifikat telah diubah baru-baru?
Apakah klien lain, tempat lain di Internet, juga mendapatkan sertifikat yang sama?
Quantum kriptografi
Protokol kriptografi kuantum biasanya mengotentikasi sebagian atau semua komunikasi klasik mereka dengan skema otentikasi tanpa syarat aman (misalnya Wegman-Carter otentikasi).
Di luar kriptografi
MITM harus dilihat sebagai masalah umum yang dihasilkan dari kehadiran partai-partai menengah bertindak sebagai proxy untuk klien di kedua sisinya. Jika mereka dapat dipercaya dan kompeten, semua mungkin baik, jika mereka tidak, tidak akan ada. Bagaimana kita bisa membedakan kasus? Dengan bertindak sebagai proxy dan muncul sebagai klien terpercaya untuk setiap sisi, penyerang menengah dapat melakukan kenakalan banyak, termasuk berbagai serangan terhadap kerahasiaan atau integritas data melewati itu.
Seorang pria-in-the-middle-kriptografi terkenal non serangan itu dilakukan oleh salah satu versi dari sebuah router jaringan nirkabel Belkin pada tahun 2003. Berkala, itu akan mengambil alih koneksi HTTP yang diarahkan melalui itu: ini akan gagal untuk lulus lalu lintas ke tujuan, melainkan dirinya merespon sebagai server yang dimaksudkan. Jawaban itu dikirim, di tempat dari halaman web pengguna telah meminta, adalah sebuah iklan untuk produk lain Belkin. Setelah protes dari teknis-melek pengguna, ini 'fitur' telah dihapus dari versi firmware router.
Contoh lain dari non-kriptografi man-in-the-middle serangan adalah "Turing pertanian porno." Brian Warner mengatakan ini adalah sebuah "serangan dibayangkan" bahwa spammer bisa menggunakan untuk mengalahkan CAPTCHA. Spammer menetapkan sebuah situs web porno di mana akses mengharuskan pengguna memecahkan CAPTCHA dalam pertanyaan. Namun, Jeff Atwood menunjukkan bahwa serangan ini hanyalah teori - tidak ada bukti pada tahun 2006 bahwa spammer pun pernah membangun sebuah peternakan porno turing Namun, seperti yang dilaporkan dalam bulan Oktober, 2007 berita, spammer memang membangun. jendela permainan di mana pengguna mengetikkan CAPTCHA diperoleh dari layanan webmail Yahoo, dan dihargai dengan gambar porno. Hal ini memungkinkan spammer untuk membuat account email sementara gratis dengan yang untuk mengirim spam.
Dalam kriptografi, man-in-the-middle Janus serangan serangan (sering disingkat MITM), serangan ember brigade, atau kadang-kadang, adalah bentuk menguping aktif di mana penyerang membuat koneksi independen dengan korban dan pesan relay antara mereka, membuat mereka percaya bahwa mereka berbicara secara langsung satu sama lain melalui koneksi pribadi, padahal seluruh percakapan dikendalikan oleh penyerang. Penyerang harus mampu mencegat semua pesan berjalan di antara dua korban dan menyuntikkan yang baru, yang langsung dalam banyak keadaan (misalnya, seorang penyerang dalam jangkauan penerimaan jalur Wi-Fi tidak terenkripsi akses nirkabel, dapat menyisipkan dirinya sebagai manusia -in-the-tengah).
Man-in-the-middle Sebuah serangan dapat berhasil hanya ketika penyerang dapat meniru masing-masing endpoint untuk kepuasan yang lain-ini merupakan serangan terhadap saling otentikasi. Protokol kriptografi yang paling mencakup beberapa bentuk otentikasi endpoint khusus untuk mencegah serangan MITM. Sebagai contoh, SSL mengotentikasi server menggunakan otoritas sertifikasi saling terpercaya.
Kebutuhan transfer tambahan melalui saluran yang aman
Dengan pengecualian interlock Protokol, semua sistem kriptografi yang aman terhadap serangan MITM memerlukan pertukaran tambahan atau transmisi informasi melalui semacam saluran aman. Banyak metode kesepakatan kunci telah dikembangkan, dengan persyaratan keamanan yang berbeda untuk saluran aman.
Contoh serangan
Ilustrasi manusia-in-the-middle.
Misalkan Alice ingin berkomunikasi dengan Bob. Sementara itu, Mallory ingin mencegat percakapan untuk menguping dan mungkin menyampaikan pesan palsu kepada Bob.
Pertama, Alice meminta Bob untuk kunci publik. Jika Bob mengirimkan kunci publik ke Alice, tapi Mallory mampu mencegat itu, seorang pria-in-the-tengah serangan dapat dimulai. Mallory mengirimkan pesan palsu ke Alice yang mengaku dari Bob, melainkan menyertakan kunci publik Mallory.
Alice, percaya ini menjadi kunci publik Bob, mengenkripsi pesannya dengan kunci Mallory dan mengirim pesan kembali ke Bob enciphered. Mallory lagi penyadapan, deciphers pesan menggunakan kunci pribadinya, mungkin mengubah hal itu kalau dia mau, dan re-enciphers menggunakan kunci publik Bob awalnya dikirim ke Alice. Ketika Bob menerima pesan baru enciphered, dia yakin itu datang dari Alice.
1. Alice mengirim pesan ke Bob, yang dicegat oleh Mallory:
Alice ". Hai Bob, itu Alice Beri aku kunci Anda" -> Mallory Bob
2. Mallory relay pesan ini kepada Bob, Bob tidak bisa mengatakan itu tidak benar-benar dari Alice:
Alice Mallory ". Hai Bob, itu Alice Beri aku kunci Anda" -> Bob
3. Bob merespon dengan kunci enkripsi nya:
Alice Mallory <- [Bob's_key] Bob
4. Mallory menggantikan kunci Bob dengan tangannya sendiri, dan relay ini untuk Alice, mengklaim bahwa itu adalah kunci Bob:
Alice <- [Mallory's_key] Mallory Bob
5. Alice mengenkripsi pesan dengan apa yang dia percaya menjadi kunci Bob, berpikir bahwa hanya Bob dapat membacanya:
Alice "Temui aku di halte bus!" [Dienkripsi dengan kunci Mallory] -> Mallory Bob
6. Namun, karena sebenarnya dienkripsi dengan kunci Mallory, Mallory dapat mendekripsi, membaca, memodifikasi itu (jika diinginkan), kembali mengenkripsi dengan kunci Bob, dan maju ke Bob:
Alice Mallory "Temui aku di van berjendela di Ave 22!" [Dienkripsi dengan kunci Bob] -> Bob
7. Bob berpikir bahwa pesan ini adalah komunikasi yang aman dari Alice.
Contoh ini menunjukkan perlunya untuk Alice dan Bob untuk memiliki beberapa cara untuk memastikan bahwa mereka benar-benar menggunakan kunci publik masing-masing, bukan kunci publik penyerang. Jika tidak, serangan tersebut umumnya memungkinkan, pada prinsipnya, terhadap setiap pesan yang dikirim menggunakan teknologi kunci publik. Untungnya, ada berbagai teknik yang dapat membantu mempertahankan terhadap serangan MITM.
Pertahanan terhadap serangan
Pertanyaan buku-new.svg
Bagian ini tidak menyebutkan referensi atau sumber apapun. Harap membantu meningkatkan bagian ini dengan menambahkan kutipan ke sumber terpercaya. Unsourced bahan mungkin cacat dan dibuang.
Pertahanan terhadap serangan MITM Berbagai menggunakan teknik otentikasi bahwa didasarkan pada:
Infrastruktur kunci publik
Saling otentikasi kuat, seperti:
Rahasia kunci (yang biasanya rahasia informasi entropi tinggi, dan dengan demikian lebih aman), atau
Password (yang biasanya rahasia informasi entropi rendah, dan dengan demikian kurang aman)
Latency pemeriksaan, seperti dengan panjang perhitungan fungsi hash kriptografi yang mengarah ke puluhan detik, jika kedua belah pihak mengambil 20 detik normal, dan perhitungan mengambil 60 detik untuk mencapai masing-masing pihak, ini dapat mengindikasikan pihak ketiga
Kedua (aman) saluran verifikasi
Satu kali bantalan kebal terhadap serangan MITM, dengan asumsi keamanan dan kepercayaan dari pad satu kali.
Carry-maju verifikasi
Pengujian sedang dilakukan pada menghapus sertifikat dikompromikan dari penerbitan otoritas pada komputer yang sebenarnya dan sertifikat dikompromikan sedang diekspor ke daerah sandbox sebelum penghapusan untuk analisis
Integritas kunci publik umumnya harus meyakinkan dalam beberapa cara, tapi tidak perlu menjadi rahasia. Password dan kunci rahasia bersama memiliki persyaratan kerahasiaan tambahan. Kunci publik dapat diverifikasi oleh Otoritas Sertifikat, kunci publik yang didistribusikan melalui saluran aman (misalnya, dengan web browser atau instalasi OS). Kunci publik juga dapat diverifikasi oleh web kepercayaan yang mendistribusikan kunci publik melalui saluran aman (misalnya dengan tatap muka).
Melihat kunci-perjanjian protokol untuk klasifikasi protokol yang menggunakan berbagai bentuk kunci dan password untuk mencegah man-in-the-middle serangan.
analisis serangan MITM Forensik
Ditangkap lalu lintas jaringan dari apa yang diduga serangan MITM dapat dianalisis dalam rangka untuk menentukan apakah itu benar-benar serangan MITM atau tidak. Bukti penting untuk menganalisis ketika melakukan forensik jaringan dari serangan MITM diduga SSL meliputi:
Alamat IP dari server
Nama DNS dari server
X.509 sertifikat server
Apakah sertifikat yang ditandatangani sendiri?
Apakah sertifikat yang ditandatangani oleh CA terpercaya?
Apakah sertifikat sudah dicabut?
Apakah sertifikat telah diubah baru-baru?
Apakah klien lain, tempat lain di Internet, juga mendapatkan sertifikat yang sama?
Quantum kriptografi
Protokol kriptografi kuantum biasanya mengotentikasi sebagian atau semua komunikasi klasik mereka dengan skema otentikasi tanpa syarat aman (misalnya Wegman-Carter otentikasi).
Di luar kriptografi
MITM harus dilihat sebagai masalah umum yang dihasilkan dari kehadiran partai-partai menengah bertindak sebagai proxy untuk klien di kedua sisinya. Jika mereka dapat dipercaya dan kompeten, semua mungkin baik, jika mereka tidak, tidak akan ada. Bagaimana kita bisa membedakan kasus? Dengan bertindak sebagai proxy dan muncul sebagai klien terpercaya untuk setiap sisi, penyerang menengah dapat melakukan kenakalan banyak, termasuk berbagai serangan terhadap kerahasiaan atau integritas data melewati itu.
Seorang pria-in-the-middle-kriptografi terkenal non serangan itu dilakukan oleh salah satu versi dari sebuah router jaringan nirkabel Belkin pada tahun 2003. Berkala, itu akan mengambil alih koneksi HTTP yang diarahkan melalui itu: ini akan gagal untuk lulus lalu lintas ke tujuan, melainkan dirinya merespon sebagai server yang dimaksudkan. Jawaban itu dikirim, di tempat dari halaman web pengguna telah meminta, adalah sebuah iklan untuk produk lain Belkin. Setelah protes dari teknis-melek pengguna, ini 'fitur' telah dihapus dari versi firmware router.
Contoh lain dari non-kriptografi man-in-the-middle serangan adalah "Turing pertanian porno." Brian Warner mengatakan ini adalah sebuah "serangan dibayangkan" bahwa spammer bisa menggunakan untuk mengalahkan CAPTCHA. Spammer menetapkan sebuah situs web porno di mana akses mengharuskan pengguna memecahkan CAPTCHA dalam pertanyaan. Namun, Jeff Atwood menunjukkan bahwa serangan ini hanyalah teori - tidak ada bukti pada tahun 2006 bahwa spammer pun pernah membangun sebuah peternakan porno turing Namun, seperti yang dilaporkan dalam bulan Oktober, 2007 berita, spammer memang membangun. jendela permainan di mana pengguna mengetikkan CAPTCHA diperoleh dari layanan webmail Yahoo, dan dihargai dengan gambar porno. Hal ini memungkinkan spammer untuk membuat account email sementara gratis dengan yang untuk mengirim spam.
Implementasi
dsniff - Sebuah alat untuk SSH dan SSL MITM serangan
Kain - Sebuah Windows GUI alat yang dapat melakukan serangan MITM, bersama dengan mengendus dan keracunan ARP
Ettercap - Sebuah alat untuk serangan MITM berbasis LAN
Karma - Sebuah alat yang menggunakan 802,11 Evil Twin serangan untuk melakukan serangan MITM
Airjack - Sebuah alat yang menunjukkan serangan MITM berbasis 802,11
SSLStrip Sebuah alat untuk SSL serangan MITM berbasis.
SSLSniff Sebuah alat untuk SSL serangan MITM berbasis. Awalnya dibuat untuk mengeksploitasi cacat di Internet Explorer.
Mallory - Sebuah proxy TCP dan UDP MiTMing transparan. Extensible untuk mitm SSL, SSH, dan protokol lainnya.
wsniff - Sebuah alat untuk 802.11 HTTP / HTTPS serangan MITM berbasis
pembaca kartu tambahan dan metode untuk mencegat kunci-menekan pada mesin teller otomatis
dsniff - Sebuah alat untuk SSH dan SSL MITM serangan
Kain - Sebuah Windows GUI alat yang dapat melakukan serangan MITM, bersama dengan mengendus dan keracunan ARP
Ettercap - Sebuah alat untuk serangan MITM berbasis LAN
Karma - Sebuah alat yang menggunakan 802,11 Evil Twin serangan untuk melakukan serangan MITM
Airjack - Sebuah alat yang menunjukkan serangan MITM berbasis 802,11
SSLStrip Sebuah alat untuk SSL serangan MITM berbasis.
SSLSniff Sebuah alat untuk SSL serangan MITM berbasis. Awalnya dibuat untuk mengeksploitasi cacat di Internet Explorer.
Mallory - Sebuah proxy TCP dan UDP MiTMing transparan. Extensible untuk mitm SSL, SSH, dan protokol lainnya.
wsniff - Sebuah alat untuk 802.11 HTTP / HTTPS serangan MITM berbasis
pembaca kartu tambahan dan metode untuk mencegat kunci-menekan pada mesin teller otomatis
2) SYN flooding attack
SYN flooding attack adalah istilah teknologi informasi dalam bahasa Inggris yang mengacu kepada salah satu jenis serangan Denial-of-service yang menggunakan paket-paket SYN.
Paket-paket SYN adalah salah satu jenis paket dalam protokol Transmission Control Protocol yang dapat digunakan untuk membuat koneksi antara dua host dan dikirimkan oleh host yang hendak membuat koneksi, sebagai langkah pertama pembuatan koneksi dalam proses "TCP Three-way Handshake". Dalam sebuah serangan SYN Flooding, si penyerang akan mengirimkan paket-paket SYN ke dalam port-port yang sedang berada dalam keadaan "Listening" yang berada dalam host target. Normalnya, paket-paket SYN yang dikirimkan berisi alamat sumber yang menunjukkan sistem aktual, tetapi paket-paket SYN dalam serangan ini didesain sedemikian rupa, sehingga paket-paket tersebut memiliki alamat sumber yang tidak menunjukkan sistem aktual. Ketika target menerima paket SYN yang telah dimodifikasi tersebut, target akan merespons dengan sebuah paket SYN/ACK yang ditujukan kepada alamat yang tercantum di dalam SYN Packet yang ia terima (yang berarti sistem tersebut tidak ada secara aktual), dan kemudian akan menunggu paket Acknowledgment (ACK) sebagai balasan untuk melengkapi proses pembuatan koneksi. Tetapi, karena alamat sumber dalam paket SYN yang dikirimkan oleh penyerang tidaklah valid, paket ACK tidak akan pernah datang ke target, dan port yang menjadi target serangan akan menunggu hingga waktu pembuatan koneksi "kadaluwarsa" atau timed-out. Jika sebuah port yang listening tersebut menerima banyak paket-paket SYN, maka port tersebut akan meresponsnya dengan paket SYN/ACK sesuai dengan jumlah paket SYN yang ia dapat menampungnya di dalam buffer yang dialokasikan oleh sistem operasi.
Jumlah percobaan pembuatan koneksi TCP yang dapat ditampung oleh sebuah host di dalam buffer memang berbeda-beda antara satu platform dengan platform lainnya, tapi jumlahnya tidak lebih dari beberapa ratus buah koneksi saja. Dengan mengirimkan banyak paket SYN ke sebuah port yang berada dalam keadaan listening yang berada dalam host target, buffer koneksi yang dialokasikan oleh sistem penerima dapat mengalami "kepenuhan" dan target pun menjadi tidak dapat merespons koneksi yang datang hingga paket SYN yang sebelumnya mengalami "timed-out" atau buffer memiliki ruang tampung yang lebih banyak. Beberapa sistem operasi bahkan dapat mengalami hang ketika buffer koneksi terlalu penuh dan harus di-restart. Baik pe-restart-an ulang sistem operasi atau buffer yang dipenuhi dengan paket SYN yang tidak jelas datangnya dari mana tersebut mengakibatkan pengguna yang valid dalam sebuah jaringan menjadi tidak dapat mengakses layanan-layanan dalam jaringan. Sistem server di mana pengguna hendak mengakses pun menolak request akses dari pengguna.
Ada beberapa cara yang dapat dilakukan untuk mencegah dan mengurangi efek dari SYN Flooding, yakni sebagai berikut:
Meningkatkan ukuran buffer koneksi TCP untuk meningkatkan jumlah percobaan pembuatan koneksi yang dapat dilakukan secara simultan. Hal ini memang menjadi solusi sementara, karena penyerang juga mungkin meningkatkan ukuran paket SYN yang ia kirimkan untuk memenuhi buffer tersebut.
Mengurangi nilai waktu kapan sebuah percobaan pembuatan koneksi TCP menjadi "timed-out". Hal ini juga menjadi solusi sementara, apalagi jika jaringan di mana sistem berada sangat sibuk atau lambat.
Mengimplementasikan penapisan paket yang masuk ke dalam router, sehingga memblokir semua serangan yang menggunakan alamat palsu. Hal ini juga menjadi solusi sementara, karena tidak semua ISP mengimplementasikan fitur seperti ini.
Memantau firewall dan mengonfigurasikannya untuk memblokir serangan SYN flood ketika hal tersebut terjadi. Pendekatan ini merupakan pendekatan yang sering dilakukan oleh banyak organisasi, apalagi jika ditambah dengan Intrusion Prevention System (IPS), meski hal ini membutuhkan kejelian dari seorang administrator jaringan untuk memantau catatan (log) dari IPS dan firewall yang ia atur. Bahkan, dengan kedua perangkat tersebut, klien-klien yang valid dapat ditolaknya karena konfigurasi yang tidak benar.
3) Serangan DDoS Deskripsi
Serangan DoS buang sumber daya upaya untuk korban. Sumber daya tersebut dapat bandwidth jaringan, daya komputasi, atau sistem struktur data operasional. Untuk meluncurkan serangan DDoS, pengguna jahat pertama membangun sebuah jaringan komputer yang akan mereka gunakan untuk menghasilkan volume lalu lintas yang diperlukan untuk menolak layanan kepada pengguna komputer. Untuk membuat jaringan ini serangan, penyerang menemukan situs yang rentan atau host pada jaringan. Host rentan adalah biasanya mereka yang baik tidak menjalankan perangkat lunak antivirus atau out-of-date perangkat lunak antivirus, atau mereka yang belum ditambal dengan benar. Host rentan kemudian dieksploitasi oleh penyerang yang menggunakan kerentanan mereka untuk mendapatkan akses ke host. Langkah berikutnya bagi penyusup adalah untuk menginstal program baru (dikenal sebagai alat serangan) pada host dikompromikan dari serangan jaringan. Para host yang menjalankan alat ini dikenal sebagai serangan zombie, dan mereka dapat melakukan serangan apapun di bawah kendali penyerang. Banyak zombie bersama-sama membentuk apa yang kita sebut tentara.
Tapi bagaimana penyerang menemukan host yang akan membuat serangan jaringan, dan bagaimana mereka dapat menginstal alat serangan terhadap host ini? Meskipun ini tahap persiapan serangan sangat penting, menemukan host yang rentan dan menginstal alat serangan pada mereka telah menjadi proses yang sangat mudah. Tidak ada kebutuhan untuk penyusup untuk menghabiskan waktu dalam menciptakan alat serangan karena sudah ada program yang secara otomatis dipersiapkan menemukan sistem yang rentan, masuk ke sistem ini, dan kemudian menginstal program yang diperlukan atas serangan itu. Setelah itu, sistem yang telah terinfeksi oleh kode berbahaya mencari komputer rentan lainnya dan menginstal pada mereka kode berbahaya yang sama. Karena itu pemindaian luas untuk mengidentifikasi sistem korban, adalah mungkin bahwa jaringan serangan besar dapat dibangun dengan sangat cepat.
Hasil dari proses otomatis ini adalah penciptaan jaringan serangan DDoS yang terdiri dari handler (master) dan agen (budak, daemon) mesin. Hal ini dapat disimpulkan dari proses ini bahwa serangan DDos berlangsung sementara serangan jaringan sedang dibangun, karena proses itu sendiri menciptakan sejumlah besar lalu lintas.
Merekrut Mesin Rentan
Penyerang dapat menggunakan berbagai jenis teknik (disebut sebagai scanning teknik). Dalam rangka untuk menemukan mesin yang rentan Yang paling penting berikut:
Serangan DoS buang sumber daya upaya untuk korban. Sumber daya tersebut dapat bandwidth jaringan, daya komputasi, atau sistem struktur data operasional. Untuk meluncurkan serangan DDoS, pengguna jahat pertama membangun sebuah jaringan komputer yang akan mereka gunakan untuk menghasilkan volume lalu lintas yang diperlukan untuk menolak layanan kepada pengguna komputer. Untuk membuat jaringan ini serangan, penyerang menemukan situs yang rentan atau host pada jaringan. Host rentan adalah biasanya mereka yang baik tidak menjalankan perangkat lunak antivirus atau out-of-date perangkat lunak antivirus, atau mereka yang belum ditambal dengan benar. Host rentan kemudian dieksploitasi oleh penyerang yang menggunakan kerentanan mereka untuk mendapatkan akses ke host. Langkah berikutnya bagi penyusup adalah untuk menginstal program baru (dikenal sebagai alat serangan) pada host dikompromikan dari serangan jaringan. Para host yang menjalankan alat ini dikenal sebagai serangan zombie, dan mereka dapat melakukan serangan apapun di bawah kendali penyerang. Banyak zombie bersama-sama membentuk apa yang kita sebut tentara.
Tapi bagaimana penyerang menemukan host yang akan membuat serangan jaringan, dan bagaimana mereka dapat menginstal alat serangan terhadap host ini? Meskipun ini tahap persiapan serangan sangat penting, menemukan host yang rentan dan menginstal alat serangan pada mereka telah menjadi proses yang sangat mudah. Tidak ada kebutuhan untuk penyusup untuk menghabiskan waktu dalam menciptakan alat serangan karena sudah ada program yang secara otomatis dipersiapkan menemukan sistem yang rentan, masuk ke sistem ini, dan kemudian menginstal program yang diperlukan atas serangan itu. Setelah itu, sistem yang telah terinfeksi oleh kode berbahaya mencari komputer rentan lainnya dan menginstal pada mereka kode berbahaya yang sama. Karena itu pemindaian luas untuk mengidentifikasi sistem korban, adalah mungkin bahwa jaringan serangan besar dapat dibangun dengan sangat cepat.
Hasil dari proses otomatis ini adalah penciptaan jaringan serangan DDoS yang terdiri dari handler (master) dan agen (budak, daemon) mesin. Hal ini dapat disimpulkan dari proses ini bahwa serangan DDos berlangsung sementara serangan jaringan sedang dibangun, karena proses itu sendiri menciptakan sejumlah besar lalu lintas.
Merekrut Mesin Rentan
Penyerang dapat menggunakan berbagai jenis teknik (disebut sebagai scanning teknik). Dalam rangka untuk menemukan mesin yang rentan Yang paling penting berikut:
Pemindaian acak: Dalam teknik ini, mesin yang terinfeksi oleh kode berbahaya (seperti mesin dapat berupa mesin penyerang atau mesin seorang anggota tentara mereka, seperti zombie) probe alamat IP secara acak dari ruang alamat IP dan cek kerentanan mereka. Ketika ia menemukan mesin yang rentan, istirahat ke dalamnya dan mencoba untuk menginfeksi itu, menginstal di atasnya kode berbahaya yang sama yang diinstal pada dirinya sendiri. Teknik ini menciptakan lalu lintas yang cukup, karena pemindaian acak menyebabkan sejumlah besar host dikompromikan untuk menyelidiki dan memeriksa alamat yang sama. Keuntungan (untuk penyerang) dari metode scanning adalah bahwa kode berbahaya dapat menyebar sangat cepat karena scan tampaknya datang dari mana-mana. Namun, tingkat cepat di mana kode berbahaya tersebar tidak dapat bertahan selamanya. Setelah periode waktu kecil, tingkat penyebaran mengurangi karena jumlah alamat IP yang baru yang dapat ditemukan lebih kecil seiring berjalannya waktu. Hal ini menjadi jelas jika kita mempertimbangkan analisis David Moore dan Colleen Shannon pada penyebaran Worm Kode-Red (CRv2), yang menggunakan pemindaian acak untuk menyebarkan dirinya. | ||
Hit-list scanning: Jauh sebelum memulai pemindaian penyerang, mereka mengumpulkan daftar dari sejumlah besar mesin berpotensi rentan. Dalam upaya mereka untuk menciptakan tentara mereka, mereka mulai memindai bawah daftar untuk menemukan mesin yang rentan. Ketika mereka menemukan satu, mereka menginstal di atasnya kode berbahaya dan membagi daftar di setengah. Lalu mereka memberikan satu setengah ke mesin baru dikompromikan, menjaga setengah lainnya, dan melanjutkan pemindaian daftar tersisa. Tuan rumah baru terinfeksi mulai memindai bawah daftar, mencoba untuk menemukan mesin yang rentan. Ketika ia menemukan satu, itu menerapkan prosedur yang sama seperti yang dijelaskan sebelumnya, dan dengan cara ini pemindaian hit-daftar berlangsung secara bersamaan dari jumlah peningkatan enduringly mesin dikompromikan. Mekanisme ini memastikan bahwa kode berbahaya yang diinstal pada semua mesin yang rentan yang terkandung dalam daftar hit dalam waktu singkat. Selain itu, daftar sasaran yang dimiliki oleh host dikompromikan baru terus-menerus mengurangi karena partisi daftar dibahas sebelumnya. Seperti telah disebutkan, pembangunan daftar dilakukan jauh sebelum penyerang memulai pemindaian. Untuk alasan itu, para penyerang dapat membuat daftar pada tingkat yang sangat lambat dan untuk jangka waktu yang panjang. Jika penyerang melakukan scan lambat, adalah mungkin bahwa kegiatan ini tidak akan terlihat karena proses scanning dalam suatu jaringan biasanya terjadi pada frekuensi sangat tinggi, sehingga scan lambat dapat terjadi tanpa ada yang menyadari bahwa itu adalah scan berbahaya. Hal ini juga harus disebutkan bahwa ada server publik seperti Survei Netcraft yang dapat membuat daftar memukul tersebut tanpa pemindaian. | ||
Pemindaian topologi: Topological pemindaian menggunakan informasi yang terdapat pada mesin korban untuk menemukan target baru. Dalam teknik ini, sebuah host yang sudah dikompromikan mencari URL dalam disk dari mesin yang mereka inginkan untuk menginfeksi. Kemudian membuat target-target URL dan memeriksa kerentanan mereka. Fakta bahwa ini adalah server Web URL yang valid berarti bahwa host target yang mungkin dikompromikan scan langsung dari awal fase pemindaian. Untuk alasan itu, akurasi teknik ini sangat baik, dan kinerja yang tampaknya mirip dengan hit-list scanning. Oleh karena itu, pemindaian topologi dapat menciptakan tentara yang besar penyerang yang sangat cepat dan dengan cara yang dapat mempercepat penyebaran kode berbahaya. | ||
Pemindaian subnet lokal: Jenis pemindaian bertindak di belakang firewall di daerah yang dianggap terinfeksi oleh program berbahaya pemindaian. Host dikompromikan mencari target di jaringan lokal sendiri, menggunakan informasi yang tersembunyi di "lokal" alamat. Lebih khusus, satu salinan program pemindaian berjalan di belakang firewall dan mencoba untuk masuk ke semua mesin rentan yang seharusnya dapat dilindungi oleh firewall. Mekanisme ini dapat digunakan dalam hubungannya dengan mekanisme scanning lainnya: misalnya, host dikompromikan bisa mulai scan dengan subnet lokal pemindaian, mencari mesin rentan dalam jaringan lokal. Begitu telah diselidiki semua mesin lokal, dapat melanjutkan proses probing dengan beralih ke mekanisme lain pemindaian dalam rangka untuk memindai off-mesin lokal jaringan. Dengan cara itu, tentara dengan zombie banyak dapat dibangun pada kecepatan yang sangat tinggi. | ||
4) | Permutasi scanning: Dalam tipe pemindaian, semua mesin berbagi daftar pseudorandom umum permutasi dari alamat IP. Seperti daftar permutasi dapat dibangun menggunakan blok cipher 32 bit dengan kunci telah dipilih. Jika sebuah host dikompromikan telah terinfeksi selama baik pemindaian hit-daftar atau pemindaian subnet lokal, itu mulai memindai hanya setelah titik dalam daftar permutasi dan scan melalui daftar ini untuk menemukan target baru. Jika tidak, jika sudah terinfeksi selama pemindaian permutasi, itu mulai memindai pada titik acak. Setiap kali menemukan sebuah mesin sudah terinfeksi, ia memilih titik awal baru secara acak dalam daftar permutasi dan hasil dari sana. Sebuah host dikompromikan dapat mengenali mesin yang sudah terinfeksi yang tidak terinfeksi kalangan, karena mesin tersebut merespon secara berbeda daripada mesin lainnya. Proses scanning berhenti ketika host dikompromikan pertemuan berurutan sejumlah standar mesin alreadyinfected tanpa menemukan target baru selama periode waktu. Kemudian, kunci permutasi baru diproduksi dan fase pemindaian baru dimulai. Mekanisme ini melayani dua tujuan utama: pertama, mencegah Infeksi ulang yang tidak perlu dari target yang sama karena ketika sebuah host dikompromikan mengakui mesin yang sudah dikompromikan, mengubah cara scan sesuai dengan proses yang diuraikan sebelumnya. Kedua, mekanisme ini mempertahankan keuntungan (untuk penyerang) pemindaian acak, karena scanning target baru terjadi dalam cara yang acak. Oleh karena itu, pemindaian permutasi dapat dicirikan sebagai pemindaian dikoordinasikan dengan kinerja yang sangat baik, karena mekanisme pengacakan memungkinkan kecepatan scanning yang tinggi. Sebuah versi perbaikan dari pemindaian pemindaian dipartisi permutasi permutasi. Jenis pemindaian adalah kombinasi dari pemindaian permutasi dan memukul-daftar. Dalam skenario ini, mesin dikompromikan memiliki daftar permutasi, yang dipotong setengah ketika menemukan target baru. Kemudian itu membuat satu bagian dari daftar dan memberi bagian lain untuk mesin baru dikompromikan. Saat daftar permutasi bahwa mesin yang terinfeksi memiliki mengurangi bawah tingkat yang telah ditetapkan, skema berubah dari pemindaian pemindaian permutasi permutasi dibagi menjadi pemindaian sederhana. | |
Menyebarkan Kode berbahaya
Kita dapat mengidentifikasi tiga kelompok mekanisme untuk menyebarkan kode berbahaya dan membangun jaringan serangan:
Propagasi sumber utama: Dalam mekanisme ini, setelah penemuan sistem yang rentan yang akan menjadi salah satu zombie, instruksi yang diberikan kepada sumber utama sehingga salinan toolkit serangan ditransfer dari lokasi pusat ke sistem yang baru dikompromikan. Setelah toolkit ini ditransfer, instalasi otomatis dari alat serangan terjadi pada sistem ini, dikontrol oleh mekanisme scripting. Yang memulai siklus serangan baru, dimana sistem yang baru terinfeksi mencari komputer rentan lainnya yang dapat menginstal toolkit serangan menggunakan proses yang sama seperti penyerang. Seperti mekanisme transfer file, mekanisme ini umumnya menggunakan HTTP, FTP, dan remote-prosedur panggilan (RPC) protokol. Sebuah representasi grafis dari mekanisme ini ditunjukkan dalam Gambar 1. Gambar 1: Propagasi Sumber Tengah  | |
Kembali-chaining propagasi: Dalam mekanisme ini, toolkit serangan ditransfer ke sistem baru dikompromikan dari penyerang. Lebih khusus, alat menyerang yang diinstal pada penyerang meliputi metode khusus untuk menerima sambungan dari sistem dikompromikan dan mengirim sebuah file untuk itu yang berisi alat serangan. Ini menyalin file back-channel dapat didukung oleh pendengar port sederhana bahwa salinan isi file atau dengan penuh penyusup-instal server Web, yang keduanya menggunakan Trivial File Transfer Protocol (TFTP). Gambar 2 menyajikan mekanisme ini: Gambar 2: Back-Chaining Propagasi  | |
5) | Propagasi otonom: Dalam mekanisme ini, tuan rumah menyerang transfer toolkit serangan ke sistem yang baru dikompromikan pada saat yang tepat yang rusak ke dalam sistem itu. Mekanisme ini berbeda dari mekanisme sebelumnya disebutkan dalam bahwa alat serangan yang ditanam ke dalam host dikompromikan oleh penyerang sendiri dan bukan oleh sumber file eksternal. Gambar 3 menunjukkan propagasi otonom. Gambar 3: Propagasi Otonomi  |
Setelah pembangunan jaringan serangan, penyusup menggunakan mesin pengendali untuk menentukan jenis serangan dan alamat korban dan menunggu saat yang tepat untuk me-mount serangan. Kemudian, baik jarak jauh mereka perintah peluncuran serangan dipilih untuk agen atau daemon "bangun" secara bersamaan, karena mereka telah diprogram untuk melakukan. Mesin agen pada gilirannya mulai mengirim aliran paket ke korban, sehingga membanjiri sistem dengan beban korban sia-sia dan melelahkan sumber dayanya. Dengan cara ini, penyerang membuat mesin korban tidak tersedia untuk klien yang sah dan mendapatkan akses tak terbatas untuk itu, sehingga mereka dapat menimbulkan kerusakan sewenang-wenang. Volume lalu lintas mungkin begitu tinggi sehingga jaringan yang menghubungkan mesin menyerang untuk korban mungkin juga menderita dari kinerja yang lebih rendah. Oleh karena itu penyediaan layanan melalui jaringan ini tidak lagi mungkin, dan dengan cara ini klien mereka ditolak layanan tersebut. Dengan demikian, jaringan yang telah dibebani oleh beban serangan dapat dianggap sebagai salah satu korban lebih dari serangan DDos.
Seluruh prosedur untuk melaksanakan serangan DDoS adalah sebagian besar otomatis berkat berbagai alat serangan. Menurut, keberadaan alat DDOS pertama dikendalikan dilaporkan oleh Pusat Koordinasi CERT (CERT / CC) pada awal tahun 1998 dan itu disebut "FAPI." Ini adalah alat yang tidak memberikan kontrol mudah untuk menyiapkan jaringan DDoS dan tidak menangani jaringan dengan lebih dari 10 host yang sangat baik. Pada pertengahan-1999 trinoo tiba. Belakangan tahun itu keberadaan Suku Banjir Jaringan (TFN) dan upgrade versi TFN2K (atau TFN2000) dilaporkan. Stacheldraht (Jerman untuk "kawat berduri") berevolusi dari dua alat terakhir (trinoo dan TFN). Alat ini luar biasa karena memiliki kontrol penuh fitur dan Blowfish-dienkripsi saluran kontrol bagi penyerang. Selain itu, pada awal tahun 2000 itu bermutasi menjadi StacheldrahtV4, dan kemudian ke stacheldraht v1.666.
Namun, pengembangan alat serangan tidak berhenti, dan banyak alat kemudian diperkenalkan, seperti Mstream, Omega, Trinitas, Derivatif, myServer, dan Wabah. Dave Dittrich dan rekan-rekannya telah memberikan analisis yang paling komprehensif dari trinoo, Jaringan Tribe Flood, stacheldraht, poros, dan alat-alat mstream serangan DDoS. Melalui pekerjaan ini, banyak kode berbahaya ditangkap, penting dilakukan pengamatan tentang alat serangan DDoS, dan solusi diusulkan ke deteksi dan pertahanan.
Serangan DDoS Taksonomi
Seperti yang telah sudah mengatakan, serangan DDoS terjadi ketika mesin dikompromikan banyak terinfeksi oleh tindakan kode berbahaya secara simultan dan terkoordinasi di bawah kendali penyerang tunggal untuk masuk ke sistem korban, knalpot sumber daya, dan memaksanya untuk menyangkal layanan kepada pelanggan. Ada terutama dua jenis serangan DDoS: serangan DDoS khas dan didistribusikan reflektor DoS (DRDoS) serangan. Paragraf berikut menjelaskan dua jenis analitis.
Serangan DDoS Khas
Dalam serangan DDoS khas, tentara penyerang terdiri dari zombie zombie master dan slave. Host dari kedua kategori dikompromikan mesin yang timbul selama proses pemindaian dan terinfeksi oleh kode berbahaya. Koordinat penyerang dan zombie perintah master dan mereka, pada gilirannya, mengkoordinasikan dan memicu zombie budak. Lebih khusus, penyerang mengirimkan perintah serangan untuk zombie master dan mengaktifkan semua proses serangan terhadap mesin-mesin, yang dalam hibernasi, menunggu perintah yang sesuai untuk bangun dan mulai menyerang. Kemudian, zombie master, melalui proses-proses, mengirim perintah serangan untuk zombie budak, memerintahkan mereka untuk me-mount serangan DDoS terhadap korban. Dengan cara itu, mesin agen (zombie budak) mulai mengirim volume besar paket kepada korban, membanjiri sistem dengan beban berguna dan melelahkan sumber dayanya. Gambar 4 menunjukkan jenis serangan DDoS.
Gambar 4: Sebuah Serangan DDoS
Dalam kasus serangan DDoS, alamat sumber palsu IP yang digunakan dalam paket serangan lalu lintas. Seorang penyerang lebih memilih untuk menggunakan alamat IP sumber seperti palsu karena dua alasan utama: pertama, penyerang ingin menyembunyikan identitas zombie sehingga korban tidak dapat melacak serangan kembali kepada mereka. Alasan kedua menyangkut kinerja serangan. Para penyerang ingin mencegah setiap upaya korban untuk menyaring lalu lintas berbahaya.
Serangan DRDoS
Tidak seperti serangan DDoS khas, di DRDoS serangan tentara penyerang terdiri dari zombie master, zombie budak, dan reflektor. Skenario dari jenis serangan adalah sama dengan serangan DDoS khas sampai ke tahap tertentu. Para penyerang memiliki kendali atas zombie master, yang, pada gilirannya, memiliki kontrol atas zombie budak. Perbedaan jenis serangan adalah bahwa zombie budak yang dipimpin oleh zombie master untuk mengirim aliran paket dengan alamat IP korban sebagai alamat IP sumber ke mesin yang tidak terinfeksi lainnya (dikenal sebagai reflektor), mendesak mesin ini untuk menghubungkan dengan korban . Kemudian reflektor mengirim korban volume yang lebih besar lalu lintas, sebagai balasan atas seruan untuk pembukaan sambungan baru, karena mereka percaya bahwa korban adalah host yang memintanya. Oleh karena itu, dalam serangan DRDoS, serangan itu dipasang oleh mesin noncompromised, yang me-mount serangan tanpa menyadari tindakan.
Membandingkan dua skenario serangan DDoS, kita harus mencatat bahwa serangan DRDoS lebih merugikan daripada serangan DDoS khas. Hal ini karena serangan DRDoS memiliki mesin lebih untuk berbagi serangan, dan karenanya serangan itu lebih terdistribusi. Alasan kedua adalah bahwa serangan DRDoS menciptakan volume yang lebih besar lalu lintas karena sifat yang lebih terdistribusi. Gambar 5 menggambarkan grafis serangan DRDoS.
Gambar 5: Serangan DRDoS
Yah-Serangan DDoS Dikenal
Artikel ini tidak akan lengkap tanpa referensi beberapa yang paling terkenal serangan DDoS. Beberapa serangan DDoS paling terkenal didokumentasikan dirangkum dalam berikut:
Seluruh prosedur untuk melaksanakan serangan DDoS adalah sebagian besar otomatis berkat berbagai alat serangan. Menurut, keberadaan alat DDOS pertama dikendalikan dilaporkan oleh Pusat Koordinasi CERT (CERT / CC) pada awal tahun 1998 dan itu disebut "FAPI." Ini adalah alat yang tidak memberikan kontrol mudah untuk menyiapkan jaringan DDoS dan tidak menangani jaringan dengan lebih dari 10 host yang sangat baik. Pada pertengahan-1999 trinoo tiba. Belakangan tahun itu keberadaan Suku Banjir Jaringan (TFN) dan upgrade versi TFN2K (atau TFN2000) dilaporkan. Stacheldraht (Jerman untuk "kawat berduri") berevolusi dari dua alat terakhir (trinoo dan TFN). Alat ini luar biasa karena memiliki kontrol penuh fitur dan Blowfish-dienkripsi saluran kontrol bagi penyerang. Selain itu, pada awal tahun 2000 itu bermutasi menjadi StacheldrahtV4, dan kemudian ke stacheldraht v1.666.
Namun, pengembangan alat serangan tidak berhenti, dan banyak alat kemudian diperkenalkan, seperti Mstream, Omega, Trinitas, Derivatif, myServer, dan Wabah. Dave Dittrich dan rekan-rekannya telah memberikan analisis yang paling komprehensif dari trinoo, Jaringan Tribe Flood, stacheldraht, poros, dan alat-alat mstream serangan DDoS. Melalui pekerjaan ini, banyak kode berbahaya ditangkap, penting dilakukan pengamatan tentang alat serangan DDoS, dan solusi diusulkan ke deteksi dan pertahanan.
Serangan DDoS Taksonomi
Seperti yang telah sudah mengatakan, serangan DDoS terjadi ketika mesin dikompromikan banyak terinfeksi oleh tindakan kode berbahaya secara simultan dan terkoordinasi di bawah kendali penyerang tunggal untuk masuk ke sistem korban, knalpot sumber daya, dan memaksanya untuk menyangkal layanan kepada pelanggan. Ada terutama dua jenis serangan DDoS: serangan DDoS khas dan didistribusikan reflektor DoS (DRDoS) serangan. Paragraf berikut menjelaskan dua jenis analitis.
Serangan DDoS Khas
Dalam serangan DDoS khas, tentara penyerang terdiri dari zombie zombie master dan slave. Host dari kedua kategori dikompromikan mesin yang timbul selama proses pemindaian dan terinfeksi oleh kode berbahaya. Koordinat penyerang dan zombie perintah master dan mereka, pada gilirannya, mengkoordinasikan dan memicu zombie budak. Lebih khusus, penyerang mengirimkan perintah serangan untuk zombie master dan mengaktifkan semua proses serangan terhadap mesin-mesin, yang dalam hibernasi, menunggu perintah yang sesuai untuk bangun dan mulai menyerang. Kemudian, zombie master, melalui proses-proses, mengirim perintah serangan untuk zombie budak, memerintahkan mereka untuk me-mount serangan DDoS terhadap korban. Dengan cara itu, mesin agen (zombie budak) mulai mengirim volume besar paket kepada korban, membanjiri sistem dengan beban berguna dan melelahkan sumber dayanya. Gambar 4 menunjukkan jenis serangan DDoS.
Gambar 4: Sebuah Serangan DDoS
Dalam kasus serangan DDoS, alamat sumber palsu IP yang digunakan dalam paket serangan lalu lintas. Seorang penyerang lebih memilih untuk menggunakan alamat IP sumber seperti palsu karena dua alasan utama: pertama, penyerang ingin menyembunyikan identitas zombie sehingga korban tidak dapat melacak serangan kembali kepada mereka. Alasan kedua menyangkut kinerja serangan. Para penyerang ingin mencegah setiap upaya korban untuk menyaring lalu lintas berbahaya.
Serangan DRDoS
Tidak seperti serangan DDoS khas, di DRDoS serangan tentara penyerang terdiri dari zombie master, zombie budak, dan reflektor. Skenario dari jenis serangan adalah sama dengan serangan DDoS khas sampai ke tahap tertentu. Para penyerang memiliki kendali atas zombie master, yang, pada gilirannya, memiliki kontrol atas zombie budak. Perbedaan jenis serangan adalah bahwa zombie budak yang dipimpin oleh zombie master untuk mengirim aliran paket dengan alamat IP korban sebagai alamat IP sumber ke mesin yang tidak terinfeksi lainnya (dikenal sebagai reflektor), mendesak mesin ini untuk menghubungkan dengan korban . Kemudian reflektor mengirim korban volume yang lebih besar lalu lintas, sebagai balasan atas seruan untuk pembukaan sambungan baru, karena mereka percaya bahwa korban adalah host yang memintanya. Oleh karena itu, dalam serangan DRDoS, serangan itu dipasang oleh mesin noncompromised, yang me-mount serangan tanpa menyadari tindakan.
Membandingkan dua skenario serangan DDoS, kita harus mencatat bahwa serangan DRDoS lebih merugikan daripada serangan DDoS khas. Hal ini karena serangan DRDoS memiliki mesin lebih untuk berbagi serangan, dan karenanya serangan itu lebih terdistribusi. Alasan kedua adalah bahwa serangan DRDoS menciptakan volume yang lebih besar lalu lintas karena sifat yang lebih terdistribusi. Gambar 5 menggambarkan grafis serangan DRDoS.
Gambar 5: Serangan DRDoS
Yah-Serangan DDoS Dikenal
Artikel ini tidak akan lengkap tanpa referensi beberapa yang paling terkenal serangan DDoS. Beberapa serangan DDoS paling terkenal didokumentasikan dirangkum dalam berikut:
Apache2: Serangan ini dipasang terhadap server Apache Web di mana klien meminta layanan dengan mengirimkan permintaan dengan HTTP header banyak. Namun, ketika server menerima permintaan Apache Web seperti banyak, tidak dapat menghadapi beban dan crash. | |
ARP Poison: Address Resolution Protocol (ARP) serangan Poison membutuhkan penyerang untuk memiliki akses ke LAN korban. Penyerang menipu host dari LAN tertentu dengan menyediakan mereka dengan alamat MAC yang salah untuk host dengan alamat IP sudah dikenal. Hal ini dapat dicapai oleh penyerang melalui proses berikut: Jaringan ini dimonitor untuk "arp yang-memiliki" permintaan. Begitu permintaan tersebut diterima, penyerang jahat mencoba untuk menanggapi secepat mungkin ke host mempertanyakan dalam rangka untuk menyesatkan itu untuk alamat yang diminta. | |
Kembali: Serangan ini diluncurkan terhadap server web apache, yang dibanjiri dengan permintaan yang mengandung sejumlah besar depan-garis miring (/) karakter dalam deskripsi URL. Sebagai server mencoba untuk memproses semua permintaan, menjadi tidak dapat memproses permintaan yang sah lainnya dan karena itu menyangkal pelayanan kepada pelanggan. | |
CrashIIS: Korban serangan CrashIIS biasanya Microsoft Windows NT IIS Web server. Penyerang mengirim korban permintaan GET cacat, yang dapat menyebabkan crash server Web. | |
DoSNuke: Dalam jenis serangan, Microsoft Windows NT korban dibanjiri dengan "out-of-band" data (MSG_OOB). Paket-paket yang dikirimkan oleh mesin menyerang ditandai "URG" karena bendera MSG_OOB. Akibatnya, target ditimbang bawah, dan mesin korban bisa menampilkan "layar biru kematian." | |
Tanah: Dalam serangan Tanah, penyerang mengirimkan paket korban TCP SYN yang berisi alamat IP yang sama sebagai sumber dan alamat tujuan. Seperti paket benar-benar mengunci sistem korban. | |
Mailbomb: Dalam serangan mailbomb, antrian mail korban dibanjiri oleh kelimpahan pesan, menyebabkan kegagalan sistem. | |
SYN Banjir: Sebuah serangan banjir SYN terjadi selama jabat tangan tiga arah yang menandai awal dari sebuah koneksi TCP. Dalam jabat tangan tiga arah, klien permintaan sambungan baru dengan mengirimkan paket TCP SYN ke server. Setelah itu, server akan mengirimkan paket SYN / ACK kembali ke klien dan menempatkan permintaan sambungan dalam antrian. Akhirnya, klien mengakui paket SYN / ACK. Jika serangan terjadi, bagaimanapun, penyerang mengirimkan paket TCP kelimpahan SYN ke korban, mewajibkan keduanya untuk membuka banyak koneksi TCP dan untuk menanggapi mereka. Kemudian penyerang tidak mengeksekusi langkah ketiga dari jabat tangan tiga arah yang berikut, render korban tidak mampu menerima koneksi masuk baru, karena antrian yang penuh setengah terbuka koneksi TCP. | |
Ping of Death: Dalam Ping serangan Death, penyerang menciptakan sebuah paket yang berisi lebih dari 65.536 byte, yang merupakan batas yang mendefinisikan protokol IP. Paket ini dapat menyebabkan berbagai jenis kerusakan pada mesin yang menerima hal itu, seperti menabrak dan reboot. | |
Tabel Proses: Serangan ini memanfaatkan fitur dari beberapa layanan jaringan untuk menghasilkan proses baru setiap kali koneksi TCP / IP yang baru sudah diatur. Penyerang mencoba untuk membuat koneksi yang belum selesai karena banyak korban mungkin untuk memaksa sistem untuk menghasilkan korban yang berlimpah proses. Oleh karena itu, karena jumlah proses yang sedang berjalan pada sistem tidak dapat boundlessly besar, serangan itu membuat korban tidak mampu untuk melayani setiap permintaan lainnya. | |
Serangan Smurf: Dalam sebuah serangan "smurf", korban dibanjiri Control Message Protokol Internet (ICMP) "echo-reply" paket. Penyerang mengirimkan berbagai ICMP "echo-request" paket ke alamat broadcast subnet banyak. Paket ini berisi alamat korban sebagai alamat IP sumber. Setiap mesin yang milik salah satu subnet meresponnya dengan mengirimkan ICMP "echo-reply" paket ke korban. Serangan Smurf yang sangat berbahaya, karena mereka sangat didistribusikan serangan. | |
SSH Tabel Proses: Seperti serangan Tabel Proses, serangan ini membuat ratusan koneksi ke korban dengan Protokol (SSH) Secure Shell tanpa menyelesaikan proses login. Dengan cara ini, daemon dihubungi oleh SSH pada sistem korban berkewajiban untuk memulai begitu banyak proses SSH yang sudah sangat kelelahan. | |
Syslogd: Serangan syslogd crash program syslogd di server 2,5 Solaris dengan mengirimkan pesan dengan alamat IP sumber yang tidak valid. | |
TCP Reset: Dalam serangan Reset TCP, jaringan dimonitor untuk permintaan "tcpconnection" kepada korban. Begitu permintaan seperti itu ditemukan, penyerang jahat mengirimkan paket TCP RESET palsu untuk korban dan memaksakannya untuk mengakhiri koneksi TCP. | |
Teardrop: Sementara sebuah paket perjalanan dari mesin sumber ke mesin tujuan, mungkin dipecah menjadi fragmen yang lebih kecil, melalui proses fragmentasi. Serangan Teardrop menciptakan aliran fragmen IP dengan bidang mereka diimbangi kelebihan beban. Host tujuan yang mencoba untuk berkumpul kembali fragmen-fragmen ini cacat akhirnya crash atau reboot. | |
6) | UDP Badai: Dalam Pengguna Datagram Protocol (UDP) koneksi, generasi karakter ("chargen") layanan menghasilkan serangkaian karakter setiap kali menerima paket UDP, sementara layanan gema gema setiap karakter yang diterimanya. Pemanfaatan kedua layanan, penyerang mengirimkan paket dengan sumber palsu adalah bahwa korban ke komputer lain. Kemudian, layanan gema dari mesin mantan gema data dari paket yang kembali ke mesin korban dan mesin korban, pada gilirannya, merespon dengan cara yang sama. Oleh karena itu, aliran konstan beban tidak berguna dibuat yang beban jaringan. |
Serangan DoS pertama terjadi terhadap Panix, tertua dan terbesar Internet wilayah New York City Service Provider (ISP), pada tanggal 6 September 1996, sekitar pukul 17:30 [14]. Serangan itu terhadap komputer yang berbeda pada jaringan penyedia, termasuk surat, berita, dan server Web, pengguna "login" mesin, dan server nama. Serangan Panix adalah serangan SYN Banjir berasal dari alamat IP secara acak dan diarahkan ke Mail server transfer Sederhana Protocol (SMTP) port. Lebih khusus, komputer Panix yang tergenang, rata-rata, 150 paket SYN per detik (50 per host), sehingga Panix tidak bisa menanggapi permintaan yang sah [15]. Karena penyerang menggunakan alamat IP sumber palsu intraffic paket mereka, alamat tidak bisa dilacak dan berbahaya tidak dapat disaring. Untuk alasan bahwa serangan itu tidak segera dihadapi. Solusinya adalah menggunakan struktur khusus, bukan Transmission Control Blok penuh (TCB), untuk mengadakan koneksi setengah terbuka sampai paket ACK terakhir diterima. Dengan cara itu, antrian mendengarkan adalah cukup besar untuk menyimpan semua permintaan SYN sebelum koneksi setengah terbuka timed out. Timeout, di sisi lain, disesuaikan untuk 94 detik [16]. Administrator Namun, meskipun Panix mengatasi serangan ini, ancaman baru (DoS serangan) yang dibuat khawatir.
Disebabkan Masalah dan Penanggulangan
Hasil serangan ini bencana. Serangan DDoS memiliki dua karakteristik: mereka berdua serangan didistribusikan dan penolakan-dari-serangan layanan. Didistribusikan berarti bahwa mereka adalah serangan berskala besar memiliki dampak yang besar pada para korban. Penolakan layanan berarti bahwa tujuan mereka adalah untuk menolak akses korban untuk sumber daya tertentu (layanan). Hal ini tidak terlalu sulit karena Internet tidak dirancang dengan keamanan dalam pikiran.
Pertama, bandwidth yang tersedia merupakan salah satu "barang" yang penyerang mencoba untuk mengkonsumsi. Membanjiri jaringan dengan paket-paket tidak, misalnya, mencegah paket ICMP echo yang sah dari bepergian melalui jaringan. Kedua, penyerang mencoba untuk mengkonsumsi CPU powe r. Dengan menghasilkan beberapa ribu proses berguna pada sistem korban, penyerang berhasil sepenuhnya menduduki tabel memori dan proses. Dengan cara ini komputer korban tidak dapat menjalankan proses apapun dan sistem rusak. Menggunakan metode ini, penyerang berhasil mencegah klien dari mengakses layanan korban dan mengganggu koneksi saat ini. Akhirnya, penyerang mencoba untuk menempati layanan korban 'sehingga tidak ada orang lain yang bisa mengaksesnya. Misalnya, dengan meninggalkan setengah terbuka koneksi TCP, penyerang berhasil mengkonsumsi data korban struktur, dan ketika mereka melakukannya, tidak ada orang lain dapat membuat koneksi TCP dengan korban itu.
Dampak dari serangan ini adalah bencana, terutama ketika korban bukanlah individu tetapi perusahaan. Serangan DDoS mencegah korban baik dari menggunakan internet, atau dari yang dicapai oleh orang lain. Akibatnya, ketika korban adalah ISP, hasil dari serangan semacam ini jauh lebih parah. Klien ISP 'tidak akan dilayani. E-bisnis juga atas pada "daftar sasaran." Menjadi off line selama beberapa jam bisa mengakibatkan hilangnya sejumlah besar uang untuk sebuah ISP. Akhirnya, fakta bahwa perusahaan menggunakan Internet lebih dan lebih untuk iklan atau untuk menyediakan barang dan jasa meningkatkan keparahan insiden tersebut.
Mekanisme Pertahanan
Sejak awal, semua pengguna yang sah telah mencoba untuk merespon terhadap ancaman ini. Universitas komunitas dan perusahaan perangkat lunak telah mengusulkan beberapa metode melawan ancaman DDoS. Meskipun upaya, solusi tetap mimpi. Para penyerang berhasil menemukan kelemahan lain dari protokol dan-apa yang buruk-mereka mengeksploitasi mekanisme pertahanan dalam rangka untuk mengembangkan serangan. Mereka menemukan metode untuk mengatasi mekanisme atau mereka mengeksploitasi mereka untuk menghasilkan alarm palsu dan menyebabkan konsekuensi bencana.
Banyak ahli telah mencoba untuk mengklasifikasikan mekanisme pertahanan DDoS untuk mengklarifikasi mereka. Klasifikasi ini memberikan pengguna pandangan keseluruhan situasi dan membantu mekanisme pertahanan pengembang bekerja sama melawan ancaman tersebut. Diskriminasi dasar adalah antara mekanisme pertahanan preventif dan reaktif.
Mekanisme Pencegahan
Mekanisme pencegahan mencoba untuk menghilangkan kemungkinan serangan DDoS sama sekali atau untuk memungkinkan korban potensi untuk bertahan menyerang tanpa menyangkal layanan kepada klien yang sah. Sehubungan dengan serangan pencegahan, penanggulangan dapat diambil pada korban atau zombie. Ini berarti modifikasi dari konfigurasi sistem untuk menghilangkan kemungkinan untuk menerima serangan DDoS atau berpartisipasi enggan dalam serangan DDoS. Host harus waspada terhadap lalu lintas tidak sah dari atau ke mesin. Dengan menjaga protokol dan software up-to-date, kita dapat mengurangi kelemahan dari sebuah komputer. Sebuah pemindaian rutin mesin juga diperlukan untuk mendeteksi adanya "anomali" perilaku. Contoh mekanisme keamanan sistem termasuk pemantauan akses ke komputer dan aplikasi, dan menginstal patch keamanan, sistem firewall, scanner virus, dan sistem deteksi intrusi secara otomatis. Kecenderungan modern adalah menuju perusahaan keamanan yang menjaga jaringan klien dan menginformasikan klien dalam hal deteksi serangan untuk mengambil tindakan membela. Beberapa sensor memonitor lalu lintas jaringan dan mengirim informasi ke server dalam rangka untuk menentukan "kesehatan" jaringan. Mengamankan komputer mengurangi kemungkinan yang tidak hanya korban, tapi juga zombie. Tidak menjadi zombie sangat penting karena menghapuskan tentara penyerang. Semua tindakan ini tidak pernah dapat 100-persen efektif, tetapi mereka pasti mengurangi frekuensi dan kekuatan serangan DDoS.
Banyak langkah-langkah dapat diambil untuk mengurangi tentara penyerang atau membatasi nya "kekuasaan." Mempelajari metode serangan dapat menyebabkan mengenali celah dalam protokol. Sebagai contoh, administrator bisa menyesuaikan gateway jaringan mereka dalam rangka untuk menyaring masukan dan lalu lintas output. Alamat IP sumber lalu lintas output harus berasal dari subnetwork, sedangkan alamat IP sumber lalu lintas masukan tidak seharusnya. Dengan cara ini, kita dapat mengurangi lalu lintas dengan alamat IP palsu pada jaringan [28].
Selanjutnya, selama beberapa tahun terakhir, beberapa teknik telah diusulkan untuk menguji sistem untuk kelemahan mungkin, sebelum pengiriman mereka ke pasar. Lebih tepatnya, dengan mengganti komponen sistem dengan yang jahat kita dapat menemukan apakah sistem dapat bertahan dalam situasi serangan [38]. Jika sistem rusak, kelemahan telah terdeteksi dan pengembang harus memperbaikinya.
Di sisi lain, DoS mekanisme pencegahan memungkinkan korban untuk bertahan upaya serangan tanpa menyangkal pelayanan kepada klien yang sah. Sampai saat ini, dua metode telah diusulkan untuk skenario ini. Yang pertama mengacu pada kebijakan yang meningkatkan hak pengguna sesuai dengan perilaku mereka. Ketika identitas pengguna diverifikasi, maka tidak ada ancaman. Setiap tindakan tidak sah dari para pengguna dapat menyebabkan tuntutan hukum mereka.
Disebabkan Masalah dan Penanggulangan
Hasil serangan ini bencana. Serangan DDoS memiliki dua karakteristik: mereka berdua serangan didistribusikan dan penolakan-dari-serangan layanan. Didistribusikan berarti bahwa mereka adalah serangan berskala besar memiliki dampak yang besar pada para korban. Penolakan layanan berarti bahwa tujuan mereka adalah untuk menolak akses korban untuk sumber daya tertentu (layanan). Hal ini tidak terlalu sulit karena Internet tidak dirancang dengan keamanan dalam pikiran.
Pertama, bandwidth yang tersedia merupakan salah satu "barang" yang penyerang mencoba untuk mengkonsumsi. Membanjiri jaringan dengan paket-paket tidak, misalnya, mencegah paket ICMP echo yang sah dari bepergian melalui jaringan. Kedua, penyerang mencoba untuk mengkonsumsi CPU powe r. Dengan menghasilkan beberapa ribu proses berguna pada sistem korban, penyerang berhasil sepenuhnya menduduki tabel memori dan proses. Dengan cara ini komputer korban tidak dapat menjalankan proses apapun dan sistem rusak. Menggunakan metode ini, penyerang berhasil mencegah klien dari mengakses layanan korban dan mengganggu koneksi saat ini. Akhirnya, penyerang mencoba untuk menempati layanan korban 'sehingga tidak ada orang lain yang bisa mengaksesnya. Misalnya, dengan meninggalkan setengah terbuka koneksi TCP, penyerang berhasil mengkonsumsi data korban struktur, dan ketika mereka melakukannya, tidak ada orang lain dapat membuat koneksi TCP dengan korban itu.
Dampak dari serangan ini adalah bencana, terutama ketika korban bukanlah individu tetapi perusahaan. Serangan DDoS mencegah korban baik dari menggunakan internet, atau dari yang dicapai oleh orang lain. Akibatnya, ketika korban adalah ISP, hasil dari serangan semacam ini jauh lebih parah. Klien ISP 'tidak akan dilayani. E-bisnis juga atas pada "daftar sasaran." Menjadi off line selama beberapa jam bisa mengakibatkan hilangnya sejumlah besar uang untuk sebuah ISP. Akhirnya, fakta bahwa perusahaan menggunakan Internet lebih dan lebih untuk iklan atau untuk menyediakan barang dan jasa meningkatkan keparahan insiden tersebut.
Mekanisme Pertahanan
Sejak awal, semua pengguna yang sah telah mencoba untuk merespon terhadap ancaman ini. Universitas komunitas dan perusahaan perangkat lunak telah mengusulkan beberapa metode melawan ancaman DDoS. Meskipun upaya, solusi tetap mimpi. Para penyerang berhasil menemukan kelemahan lain dari protokol dan-apa yang buruk-mereka mengeksploitasi mekanisme pertahanan dalam rangka untuk mengembangkan serangan. Mereka menemukan metode untuk mengatasi mekanisme atau mereka mengeksploitasi mereka untuk menghasilkan alarm palsu dan menyebabkan konsekuensi bencana.
Banyak ahli telah mencoba untuk mengklasifikasikan mekanisme pertahanan DDoS untuk mengklarifikasi mereka. Klasifikasi ini memberikan pengguna pandangan keseluruhan situasi dan membantu mekanisme pertahanan pengembang bekerja sama melawan ancaman tersebut. Diskriminasi dasar adalah antara mekanisme pertahanan preventif dan reaktif.
Mekanisme Pencegahan
Mekanisme pencegahan mencoba untuk menghilangkan kemungkinan serangan DDoS sama sekali atau untuk memungkinkan korban potensi untuk bertahan menyerang tanpa menyangkal layanan kepada klien yang sah. Sehubungan dengan serangan pencegahan, penanggulangan dapat diambil pada korban atau zombie. Ini berarti modifikasi dari konfigurasi sistem untuk menghilangkan kemungkinan untuk menerima serangan DDoS atau berpartisipasi enggan dalam serangan DDoS. Host harus waspada terhadap lalu lintas tidak sah dari atau ke mesin. Dengan menjaga protokol dan software up-to-date, kita dapat mengurangi kelemahan dari sebuah komputer. Sebuah pemindaian rutin mesin juga diperlukan untuk mendeteksi adanya "anomali" perilaku. Contoh mekanisme keamanan sistem termasuk pemantauan akses ke komputer dan aplikasi, dan menginstal patch keamanan, sistem firewall, scanner virus, dan sistem deteksi intrusi secara otomatis. Kecenderungan modern adalah menuju perusahaan keamanan yang menjaga jaringan klien dan menginformasikan klien dalam hal deteksi serangan untuk mengambil tindakan membela. Beberapa sensor memonitor lalu lintas jaringan dan mengirim informasi ke server dalam rangka untuk menentukan "kesehatan" jaringan. Mengamankan komputer mengurangi kemungkinan yang tidak hanya korban, tapi juga zombie. Tidak menjadi zombie sangat penting karena menghapuskan tentara penyerang. Semua tindakan ini tidak pernah dapat 100-persen efektif, tetapi mereka pasti mengurangi frekuensi dan kekuatan serangan DDoS.
Banyak langkah-langkah dapat diambil untuk mengurangi tentara penyerang atau membatasi nya "kekuasaan." Mempelajari metode serangan dapat menyebabkan mengenali celah dalam protokol. Sebagai contoh, administrator bisa menyesuaikan gateway jaringan mereka dalam rangka untuk menyaring masukan dan lalu lintas output. Alamat IP sumber lalu lintas output harus berasal dari subnetwork, sedangkan alamat IP sumber lalu lintas masukan tidak seharusnya. Dengan cara ini, kita dapat mengurangi lalu lintas dengan alamat IP palsu pada jaringan [28].
Selanjutnya, selama beberapa tahun terakhir, beberapa teknik telah diusulkan untuk menguji sistem untuk kelemahan mungkin, sebelum pengiriman mereka ke pasar. Lebih tepatnya, dengan mengganti komponen sistem dengan yang jahat kita dapat menemukan apakah sistem dapat bertahan dalam situasi serangan [38]. Jika sistem rusak, kelemahan telah terdeteksi dan pengembang harus memperbaikinya.
Di sisi lain, DoS mekanisme pencegahan memungkinkan korban untuk bertahan upaya serangan tanpa menyangkal pelayanan kepada klien yang sah. Sampai saat ini, dua metode telah diusulkan untuk skenario ini. Yang pertama mengacu pada kebijakan yang meningkatkan hak pengguna sesuai dengan perilaku mereka. Ketika identitas pengguna diverifikasi, maka tidak ada ancaman. Setiap tindakan tidak sah dari para pengguna dapat menyebabkan tuntutan hukum mereka.
4.)Alamat IP spoofing (IP Address Spoofing)
Dari Wikipedia, ensiklopedia bebas
Artikel ini kebutuhan tambahan kutipan untuk verifikasi. Harap membantu memperbaiki artikel ini dengan menambahkan kutipan ke sumber terpercaya. Unsourced bahan mungkin cacat dan dibuang. (Januari 2009)
Dalam jaringan komputer, alamat IP spoofing atau IP spoofing istilah mengacu pada penciptaan Internet (IP) Protokol paket dengan alamat IP sumber palsu, yang disebut spoofing, dengan tujuan menyembunyikan identitas pengirim atau meniru sistem lain komputasi.
Dari Wikipedia, ensiklopedia bebas
Artikel ini kebutuhan tambahan kutipan untuk verifikasi. Harap membantu memperbaiki artikel ini dengan menambahkan kutipan ke sumber terpercaya. Unsourced bahan mungkin cacat dan dibuang. (Januari 2009)
Dalam jaringan komputer, alamat IP spoofing atau IP spoofing istilah mengacu pada penciptaan Internet (IP) Protokol paket dengan alamat IP sumber palsu, yang disebut spoofing, dengan tujuan menyembunyikan identitas pengirim atau meniru sistem lain komputasi.
Protokol dasar untuk mengirim data melalui jaringan Internet dan banyak jaringan komputer lain adalah Internet Protocol ("IP"). Header setiap paket IP berisi, antara lain, sumber numerik dan alamat tujuan dari paket tersebut. Sumber alamat biasanya alamat bahwa paket itu dikirim dari. Dengan memalsukan header sehingga berisi alamat yang berbeda, penyerang bisa membuatnya tampak bahwa paket itu dikirim oleh mesin yang berbeda. Mesin yang menerima paket palsu akan mengirim respon kembali ke alamat sumber palsu, yang berarti bahwa teknik ini terutama digunakan ketika penyerang tidak peduli respon atau penyerang memiliki beberapa cara menebak respon.
Dalam kasus tertentu, mungkin akan mungkin bagi penyerang untuk melihat atau mengarahkan respon terhadap mesin sendiri. Kasus yang paling umum adalah ketika penyerang spoofing alamat di LAN yang sama atau WAN.
Aplikasi
IP spoofing paling sering digunakan dalam penolakan-dari-serangan layanan. Dalam serangan tersebut, tujuannya adalah untuk korban banjir dengan jumlah besar lalu lintas, dan penyerang tidak peduli tentang menerima tanggapan terhadap paket serangan. Paket dengan alamat palsu dengan demikian cocok untuk serangan tersebut. Mereka memiliki keuntungan tambahan untuk tujuan ini-mereka lebih sulit untuk menyaring sejak setiap paket palsu tampaknya datang dari alamat yang berbeda, dan mereka menyembunyikan sumber sebenarnya dari serangan itu. Penolakan serangan layanan yang menggunakan spoofing biasanya memilih secara acak alamat dari ruang alamat IP secara keseluruhan, meskipun mekanisme spoofing yang lebih canggih mungkin menghindari alamat unroutable atau bagian yang tidak terpakai dari ruang alamat IP. Perkembangan botnet besar membuat spoofing kurang penting dalam serangan penolakan layanan, namun biasanya memiliki penyerang spoofing tersedia sebagai alat, jika mereka ingin menggunakannya, sehingga pertahanan terhadap penolakan-of-service serangan yang mengandalkan validitas sumber IP alamat di paket serangan mungkin akan kesulitan dengan paket-paket palsu. Backscatter, suatu teknik yang digunakan untuk mengamati penolakan-of-pelayanan kegiatan serangan di Internet, bergantung pada penggunaan penyerang 'IP spoofing untuk efektivitas.
IP spoofing juga dapat menjadi metode serangan yang digunakan oleh penyusup jaringan untuk mengalahkan langkah-langkah keamanan jaringan, seperti otentikasi berdasarkan alamat IP. Metode serangan pada sistem remote dapat menjadi sangat sulit, karena melibatkan ribuan memodifikasi paket pada suatu waktu. Jenis serangan yang paling efektif dimana percaya ada hubungan antara mesin. Sebagai contoh, adalah umum pada beberapa jaringan perusahaan untuk memiliki sistem internal yang saling percaya, sehingga pengguna dapat log in tanpa username atau password yang disediakan mereka menghubungkan dari komputer lain di jaringan internal (dan sebagainya harus sudah login). Dengan spoofing koneksi dari mesin yang terpercaya, seorang penyerang dapat mengakses mesin target tanpa otentikasi.
Rentan terhadap IP spoofing Layanan
Konfigurasi dan layanan yang rentan terhadap IP spoofing:
RPC (Remote Procedure layanan Panggilan)
Setiap layanan yang menggunakan otentikasi alamat IP
X Window System
R layanan suite (rlogin, rsh, dll)
Pertahanan terhadap serangan spoofing
Packet filtering adalah salah satu pertahanan terhadap serangan IP spoofing. Gateway ke jaringan biasanya melakukan penyaringan masuknya, yang memblokir paket-paket dari luar jaringan dengan alamat sumber di dalam jaringan. Hal ini mencegah penyerang yang luar spoofing alamat dari mesin internal. Idealnya gateway juga akan melakukan egress filtering pada paket keluar, yang memblokir paket dari dalam jaringan dengan alamat sumber yang tidak dalam. Hal ini mencegah seorang penyerang dalam jaringan melakukan penyaringan dari peluncuran IP spoofing serangan terhadap mesin eksternal.
Hal ini juga dianjurkan untuk merancang protokol jaringan dan layanan sehingga mereka tidak bergantung pada alamat IP sumber untuk otentikasi.
Lapisan Atas
Beberapa protokol lapisan atas mereka sendiri menyediakan pertahanan terhadap serangan IP spoofing. Misalnya, Transmission Control Protocol (TCP) menggunakan urutan nomor negosiasi dengan remote mesin untuk memastikan bahwa paket-paket tiba adalah bagian dari koneksi yang mapan. Sejak penyerang biasanya tidak dapat melihat paket balasan, nomor urut harus ditebak dalam rangka untuk membajak koneksi. Pelaksanaan miskin di banyak sistem operasi yang lebih tua dan perangkat jaringan, namun, berarti bahwa TCP nomor urut dapat diprediksi.
Dalam kasus tertentu, mungkin akan mungkin bagi penyerang untuk melihat atau mengarahkan respon terhadap mesin sendiri. Kasus yang paling umum adalah ketika penyerang spoofing alamat di LAN yang sama atau WAN.
Aplikasi
IP spoofing paling sering digunakan dalam penolakan-dari-serangan layanan. Dalam serangan tersebut, tujuannya adalah untuk korban banjir dengan jumlah besar lalu lintas, dan penyerang tidak peduli tentang menerima tanggapan terhadap paket serangan. Paket dengan alamat palsu dengan demikian cocok untuk serangan tersebut. Mereka memiliki keuntungan tambahan untuk tujuan ini-mereka lebih sulit untuk menyaring sejak setiap paket palsu tampaknya datang dari alamat yang berbeda, dan mereka menyembunyikan sumber sebenarnya dari serangan itu. Penolakan serangan layanan yang menggunakan spoofing biasanya memilih secara acak alamat dari ruang alamat IP secara keseluruhan, meskipun mekanisme spoofing yang lebih canggih mungkin menghindari alamat unroutable atau bagian yang tidak terpakai dari ruang alamat IP. Perkembangan botnet besar membuat spoofing kurang penting dalam serangan penolakan layanan, namun biasanya memiliki penyerang spoofing tersedia sebagai alat, jika mereka ingin menggunakannya, sehingga pertahanan terhadap penolakan-of-service serangan yang mengandalkan validitas sumber IP alamat di paket serangan mungkin akan kesulitan dengan paket-paket palsu. Backscatter, suatu teknik yang digunakan untuk mengamati penolakan-of-pelayanan kegiatan serangan di Internet, bergantung pada penggunaan penyerang 'IP spoofing untuk efektivitas.
IP spoofing juga dapat menjadi metode serangan yang digunakan oleh penyusup jaringan untuk mengalahkan langkah-langkah keamanan jaringan, seperti otentikasi berdasarkan alamat IP. Metode serangan pada sistem remote dapat menjadi sangat sulit, karena melibatkan ribuan memodifikasi paket pada suatu waktu. Jenis serangan yang paling efektif dimana percaya ada hubungan antara mesin. Sebagai contoh, adalah umum pada beberapa jaringan perusahaan untuk memiliki sistem internal yang saling percaya, sehingga pengguna dapat log in tanpa username atau password yang disediakan mereka menghubungkan dari komputer lain di jaringan internal (dan sebagainya harus sudah login). Dengan spoofing koneksi dari mesin yang terpercaya, seorang penyerang dapat mengakses mesin target tanpa otentikasi.
Rentan terhadap IP spoofing Layanan
Konfigurasi dan layanan yang rentan terhadap IP spoofing:
RPC (Remote Procedure layanan Panggilan)
Setiap layanan yang menggunakan otentikasi alamat IP
X Window System
R layanan suite (rlogin, rsh, dll)
Pertahanan terhadap serangan spoofing
Packet filtering adalah salah satu pertahanan terhadap serangan IP spoofing. Gateway ke jaringan biasanya melakukan penyaringan masuknya, yang memblokir paket-paket dari luar jaringan dengan alamat sumber di dalam jaringan. Hal ini mencegah penyerang yang luar spoofing alamat dari mesin internal. Idealnya gateway juga akan melakukan egress filtering pada paket keluar, yang memblokir paket dari dalam jaringan dengan alamat sumber yang tidak dalam. Hal ini mencegah seorang penyerang dalam jaringan melakukan penyaringan dari peluncuran IP spoofing serangan terhadap mesin eksternal.
Hal ini juga dianjurkan untuk merancang protokol jaringan dan layanan sehingga mereka tidak bergantung pada alamat IP sumber untuk otentikasi.
Lapisan Atas
Beberapa protokol lapisan atas mereka sendiri menyediakan pertahanan terhadap serangan IP spoofing. Misalnya, Transmission Control Protocol (TCP) menggunakan urutan nomor negosiasi dengan remote mesin untuk memastikan bahwa paket-paket tiba adalah bagian dari koneksi yang mapan. Sejak penyerang biasanya tidak dapat melihat paket balasan, nomor urut harus ditebak dalam rangka untuk membajak koneksi. Pelaksanaan miskin di banyak sistem operasi yang lebih tua dan perangkat jaringan, namun, berarti bahwa TCP nomor urut dapat diprediksi.
Definisi lain
Istilah spoofing juga kadang digunakan untuk merujuk kepada pemalsuan header, penyisipan informasi palsu atau menyesatkan dalam e-mail atau header netnews. Header dipalsukan digunakan untuk aplikasi menyesatkan penerima, atau jaringan, mengenai asal pesan. Ini adalah teknik umum spammer dan sporgers, yang ingin menyembunyikan asal mereka untuk menghindari pesan dilacak bawah.
Istilah spoofing juga kadang digunakan untuk merujuk kepada pemalsuan header, penyisipan informasi palsu atau menyesatkan dalam e-mail atau header netnews. Header dipalsukan digunakan untuk aplikasi menyesatkan penerima, atau jaringan, mengenai asal pesan. Ini adalah teknik umum spammer dan sporgers, yang ingin menyembunyikan asal mereka untuk menghindari pesan dilacak bawah.
5.)ARP spoofing
Dari Wikipedia, ensiklopedia bebas
Sebuah serangan ARP spoofing yang sukses memungkinkan penyerang untuk mengubah routing pada suatu jaringan, secara efektif memungkinkan untuk seorang pria-in-the-middle.
ARP spoofing, juga dikenal sebagai ARP cache poisoning atau ARP racun routing (April), adalah teknik yang digunakan untuk menyerang jaringan wilayah lokal (LAN). ARP spoofing memungkinkan penyerang untuk mencegat frame data pada LAN, memodifikasi lalu lintas, atau menghentikan lalu lintas sama sekali. Serangan itu hanya dapat digunakan pada jaringan yang menggunakan Address Resolution Protocol (ARP) dan bukan metode lain resolusi alamat.
Prinsip ARP spoofing adalah dengan mengirim palsu, atau palsu, pesan ARP ke LAN. Secara umum, tujuannya adalah untuk mengasosiasikan alamat MAC penyerang dengan alamat IP dari host yang lain (seperti default gateway).
Setiap lalu lintas yang dimaksudkan untuk alamat IP akan keliru dikirim ke penyerang saja. Penyerang kemudian bisa memilih untuk meneruskan lalu lintas ke default gateway sebenarnya (intersepsi) atau memodifikasi data sebelum meneruskan itu (man-in-the-middle). Penyerang juga bisa meluncurkan serangan denial-of-layanan terhadap korban dengan mengasosiasikan alamat MAC tidak ada ke alamat IP dari gateway default korban.
Sebuah serangan denial-of-service dapat dilaksanakan jika penyerang dapat menggunakan mengintip ARP untuk mengasosiasikan alamat MAC alternatif dengan alamat IP dari default gateway. Ditolak akses ke gateway dengan cara ini, tidak ada yang luar LAN akan dapat mudah dijangkau oleh host di LAN.
Serangan spoofing ARP dapat dijalankan dari host dikompromikan di LAN, atau dari mesin penyerang yang terhubung langsung ke LAN target.
Penggunaan yang sah
ARP spoofing juga dapat digunakan untuk tujuan yang sah. Misalnya, alat pendaftaran jaringan dapat mengarahkan host terdaftar ke halaman pendaftaran sebelum mengizinkan mereka akses penuh ke jaringan. Teknik ini digunakan di hotel dan lainnya semi-publik jaringan untuk memungkinkan pengguna laptop bepergian untuk mengakses Internet melalui perangkat yang dikenal sebagai prosesor ujung kepala (HEP). [Kutipan diperlukan]
ARP spoofing juga dapat digunakan untuk mengimplementasikan layanan jaringan redundansi. Sebuah server cadangan dapat menggunakan ARP spoofing untuk mengambil alih untuk server rusak dan transparan menawarkan redundansi.
Pertahanan
Dari Wikipedia, ensiklopedia bebas
Sebuah serangan ARP spoofing yang sukses memungkinkan penyerang untuk mengubah routing pada suatu jaringan, secara efektif memungkinkan untuk seorang pria-in-the-middle.
ARP spoofing, juga dikenal sebagai ARP cache poisoning atau ARP racun routing (April), adalah teknik yang digunakan untuk menyerang jaringan wilayah lokal (LAN). ARP spoofing memungkinkan penyerang untuk mencegat frame data pada LAN, memodifikasi lalu lintas, atau menghentikan lalu lintas sama sekali. Serangan itu hanya dapat digunakan pada jaringan yang menggunakan Address Resolution Protocol (ARP) dan bukan metode lain resolusi alamat.
Prinsip ARP spoofing adalah dengan mengirim palsu, atau palsu, pesan ARP ke LAN. Secara umum, tujuannya adalah untuk mengasosiasikan alamat MAC penyerang dengan alamat IP dari host yang lain (seperti default gateway).
Setiap lalu lintas yang dimaksudkan untuk alamat IP akan keliru dikirim ke penyerang saja. Penyerang kemudian bisa memilih untuk meneruskan lalu lintas ke default gateway sebenarnya (intersepsi) atau memodifikasi data sebelum meneruskan itu (man-in-the-middle). Penyerang juga bisa meluncurkan serangan denial-of-layanan terhadap korban dengan mengasosiasikan alamat MAC tidak ada ke alamat IP dari gateway default korban.
Sebuah serangan denial-of-service dapat dilaksanakan jika penyerang dapat menggunakan mengintip ARP untuk mengasosiasikan alamat MAC alternatif dengan alamat IP dari default gateway. Ditolak akses ke gateway dengan cara ini, tidak ada yang luar LAN akan dapat mudah dijangkau oleh host di LAN.
Serangan spoofing ARP dapat dijalankan dari host dikompromikan di LAN, atau dari mesin penyerang yang terhubung langsung ke LAN target.
Penggunaan yang sah
ARP spoofing juga dapat digunakan untuk tujuan yang sah. Misalnya, alat pendaftaran jaringan dapat mengarahkan host terdaftar ke halaman pendaftaran sebelum mengizinkan mereka akses penuh ke jaringan. Teknik ini digunakan di hotel dan lainnya semi-publik jaringan untuk memungkinkan pengguna laptop bepergian untuk mengakses Internet melalui perangkat yang dikenal sebagai prosesor ujung kepala (HEP). [Kutipan diperlukan]
ARP spoofing juga dapat digunakan untuk mengimplementasikan layanan jaringan redundansi. Sebuah server cadangan dapat menggunakan ARP spoofing untuk mengambil alih untuk server rusak dan transparan menawarkan redundansi.
Pertahanan
Pendekatan Sistem Operasi
Static ARP entri: entri dalam cache ARP lokal dapat didefinisikan sebagai statis untuk mencegah menimpa. Sementara entri statis memberikan keamanan sempurna melawan spoofing jika sistem operasi menangani mereka dengan benar, mereka menghasilkan upaya pemeliharaan kuadrat sebagai IP-MAC pemetaan dari semua mesin di jaringan harus didistribusikan ke semua mesin lainnya.
OS keamanan: Sistem Operasi bereaksi secara berbeda, misalnya Linux mengabaikan balasan yang tidak diinginkan, tapi di sisi lain menggunakan dilihat permintaan dari komputer lain untuk memperbarui cache. Solaris hanya menerima update pada entri setelah timeout. Pada Microsoft Windows, perilaku cache ARP dapat dikonfigurasi melalui beberapa entri registri di bawah HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters, yaitu ArpCacheLife, ArpCacheMinReferenceLife, ArpUseEtherSNAP, ArpTRSingleRoute, ArpAlwaysSourceRoute, ArpRetryCount.
Bentuk paling sederhana dari sertifikasi adalah penggunaan statis, read-only entri untuk layanan penting di cache ARP dari host. Ini hanya mencegah serangan sederhana dan tidak skala pada jaringan besar, karena pemetaan harus ditetapkan untuk setiap pasang mesin sehingga (n * n) cache ARP yang harus dikonfigurasi.
Pendekatan Lunak
Arpon: handler daemon Portable untuk mengamankan ARP spoofing terhadap keracunan, cache atau racun Routing serangan di statis, dinamis dan jaringan hibrida.
Agnitum Outpost Firewall:. Reply hanya diterima jika permintaan dikirim
AntiARP: berbasis Windows spoofing pencegahan di kernel.
Anticap: Kernel patch untuk Linux 2.2/2.4, FreeBSD 4.6, NetBSD 1.5, mencegah pemetaan sedang ditimpa (tidak lagi tersedia).
Antidote: Linux daemon, monitor pemetaan, jumlah yang sangat besar paket ARP.
Arp_Antidote : Linux Kernel Patch untuk 2.4.18 - 2.4.20, jam tangan pemetaan, dapat menentukan tindakan untuk mengambil ketika.
Arpalert: Predefined daftar alamat MAC diperbolehkan, waspada jika MAC yang tidak ada dalam daftar.
ArpStar: Linux kernel modul untuk 2.6 dan Linksys router, tetes paket valid yang melanggar pemetaan, pilihan untuk repoison / menyembuhkan.
Arpwatch / ArpwatchNG / Winarpwatch: Jauhkan pemetaan IP-MAC pasangan, laporan perubahan melalui Syslog, Email.
remarp: Remote Arpwatch, SNMP berbasis pemantauan, perubahan pemetaan.
Colasoft Capsa: Pemberitahuan ARP badai, ketidakseimbangan pada permintaan ARP / respon.
Prelude IDS: arpspoof plugin, pemeriksaan dasar pada alamat.
SnoopNetCop: minitors lokal ARP cache (tidak lagi tersedia).
Snort: arpspoof Snort preprocessor, melakukan pemeriksaan dasar pada alamat
XArp: Lanjutan ARP spoofing deteksi, aktif dan pasif menyelidik cek. Dua user interface: tampilan normal dengan tingkat keamanan yang telah ditetapkan, pandangan pro dengan per-antarmuka konfigurasi modul deteksi dan validasi aktif. Windows dan Linux, berbasis GUI.
Pertahanan terhadap ARP spoofing umumnya mengandalkan pada beberapa bentuk sertifikasi atau silang tanggapan ARP. Uncertified ARP respon yang diblokir. Teknik-teknik ini dapat diintegrasikan dengan server DHCP sehingga alamat IP dinamis dan statis bersertifikat. Kemampuan ini dapat diimplementasikan pada host individu atau dapat diintegrasikan ke dalam switch Ethernet atau peralatan jaringan lainnya. Keberadaan beberapa alamat IP yang terkait dengan alamat MAC mungkin menunjukkan serangan ARP spoof, meskipun ada penggunaan yang sah seperti konfigurasi. Dalam pendekatan yang lebih pasif perangkat mendengarkan balasan ARP di jaringan, dan mengirim pemberitahuan melalui email ketika perubahan entri ARP.
Static ARP entri: entri dalam cache ARP lokal dapat didefinisikan sebagai statis untuk mencegah menimpa. Sementara entri statis memberikan keamanan sempurna melawan spoofing jika sistem operasi menangani mereka dengan benar, mereka menghasilkan upaya pemeliharaan kuadrat sebagai IP-MAC pemetaan dari semua mesin di jaringan harus didistribusikan ke semua mesin lainnya.
OS keamanan: Sistem Operasi bereaksi secara berbeda, misalnya Linux mengabaikan balasan yang tidak diinginkan, tapi di sisi lain menggunakan dilihat permintaan dari komputer lain untuk memperbarui cache. Solaris hanya menerima update pada entri setelah timeout. Pada Microsoft Windows, perilaku cache ARP dapat dikonfigurasi melalui beberapa entri registri di bawah HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters, yaitu ArpCacheLife, ArpCacheMinReferenceLife, ArpUseEtherSNAP, ArpTRSingleRoute, ArpAlwaysSourceRoute, ArpRetryCount.
Bentuk paling sederhana dari sertifikasi adalah penggunaan statis, read-only entri untuk layanan penting di cache ARP dari host. Ini hanya mencegah serangan sederhana dan tidak skala pada jaringan besar, karena pemetaan harus ditetapkan untuk setiap pasang mesin sehingga (n * n) cache ARP yang harus dikonfigurasi.
Pendekatan Lunak
Arpon: handler daemon Portable untuk mengamankan ARP spoofing terhadap keracunan, cache atau racun Routing serangan di statis, dinamis dan jaringan hibrida.
Agnitum Outpost Firewall:. Reply hanya diterima jika permintaan dikirim
AntiARP: berbasis Windows spoofing pencegahan di kernel.
Anticap: Kernel patch untuk Linux 2.2/2.4, FreeBSD 4.6, NetBSD 1.5, mencegah pemetaan sedang ditimpa (tidak lagi tersedia).
Antidote: Linux daemon, monitor pemetaan, jumlah yang sangat besar paket ARP.
Arp_Antidote : Linux Kernel Patch untuk 2.4.18 - 2.4.20, jam tangan pemetaan, dapat menentukan tindakan untuk mengambil ketika.
Arpalert: Predefined daftar alamat MAC diperbolehkan, waspada jika MAC yang tidak ada dalam daftar.
ArpStar: Linux kernel modul untuk 2.6 dan Linksys router, tetes paket valid yang melanggar pemetaan, pilihan untuk repoison / menyembuhkan.
Arpwatch / ArpwatchNG / Winarpwatch: Jauhkan pemetaan IP-MAC pasangan, laporan perubahan melalui Syslog, Email.
remarp: Remote Arpwatch, SNMP berbasis pemantauan, perubahan pemetaan.
Colasoft Capsa: Pemberitahuan ARP badai, ketidakseimbangan pada permintaan ARP / respon.
Prelude IDS: arpspoof plugin, pemeriksaan dasar pada alamat.
SnoopNetCop: minitors lokal ARP cache (tidak lagi tersedia).
Snort: arpspoof Snort preprocessor, melakukan pemeriksaan dasar pada alamat
XArp: Lanjutan ARP spoofing deteksi, aktif dan pasif menyelidik cek. Dua user interface: tampilan normal dengan tingkat keamanan yang telah ditetapkan, pandangan pro dengan per-antarmuka konfigurasi modul deteksi dan validasi aktif. Windows dan Linux, berbasis GUI.
Pertahanan terhadap ARP spoofing umumnya mengandalkan pada beberapa bentuk sertifikasi atau silang tanggapan ARP. Uncertified ARP respon yang diblokir. Teknik-teknik ini dapat diintegrasikan dengan server DHCP sehingga alamat IP dinamis dan statis bersertifikat. Kemampuan ini dapat diimplementasikan pada host individu atau dapat diintegrasikan ke dalam switch Ethernet atau peralatan jaringan lainnya. Keberadaan beberapa alamat IP yang terkait dengan alamat MAC mungkin menunjukkan serangan ARP spoof, meskipun ada penggunaan yang sah seperti konfigurasi. Dalam pendekatan yang lebih pasif perangkat mendengarkan balasan ARP di jaringan, dan mengirim pemberitahuan melalui email ketika perubahan entri ARP.
Pendekatan Perangkat Keras
Virtual LAN: VLAN memisahkan domain broadcast dari jaringan. ARP hanya beroperasi di masing-masing secara terpisah VLAN. Hal ini memungkinkan untuk membangun VLAN didasarkan pada tingkat ancaman.
Keamanan pelabuhan: High-end switch memiliki built-in fitur keamanan di mana alamat MAC terikat untuk port switch tertentu.
ARPDefender: Sebuah applicance hardware berjalan ARPwatch.
ARPGuard: Sebuah alat yang melakukan deteksi hardware ARP.
Beberapa vendor switch telah menyusun suatu pertahanan terhadap bentuk serangan yang memberlakukan kontrol yang sangat ketat atas apa yang diizinkan paket ARP ke jaringan. Fitur ini dikenal sebagai ARP Keamanan atau Dynamic ARP Inspeksi .
Peralatan
Pertahanan
Arpon - ARP penangan inspeksi
anti-arpspoof
ARPDefender alat
Arpwatch
XArp
Spoofing
Beberapa alat yang dapat digunakan untuk melakukan serangan ARP spoofing:
Arpspoof (bagian dari suite dsniff alat)
Arpoison
Ettercap
Cain & Abel
Seringe [15]
ARP-FILLUP-v0.1 [16]
arp-sk-v0.0.15 [16]
ARPOc-v1.13 [16]
arpalert-v0.3.2 [16]
arping-v2.04 [16]
arpmitm-v0.2 [16]
arpoison-v0.5 [16]
ArpSpyX-v1.1 [16]
ArpToXin-v 1.0 [16]
SwitchSniffer [16]
Virtual LAN: VLAN memisahkan domain broadcast dari jaringan. ARP hanya beroperasi di masing-masing secara terpisah VLAN. Hal ini memungkinkan untuk membangun VLAN didasarkan pada tingkat ancaman.
Keamanan pelabuhan: High-end switch memiliki built-in fitur keamanan di mana alamat MAC terikat untuk port switch tertentu.
ARPDefender: Sebuah applicance hardware berjalan ARPwatch.
ARPGuard: Sebuah alat yang melakukan deteksi hardware ARP.
Beberapa vendor switch telah menyusun suatu pertahanan terhadap bentuk serangan yang memberlakukan kontrol yang sangat ketat atas apa yang diizinkan paket ARP ke jaringan. Fitur ini dikenal sebagai ARP Keamanan atau Dynamic ARP Inspeksi .
Peralatan
Pertahanan
Arpon - ARP penangan inspeksi
anti-arpspoof
ARPDefender alat
Arpwatch
XArp
Spoofing
Beberapa alat yang dapat digunakan untuk melakukan serangan ARP spoofing:
Arpspoof (bagian dari suite dsniff alat)
Arpoison
Ettercap
Cain & Abel
Seringe [15]
ARP-FILLUP-v0.1 [16]
arp-sk-v0.0.15 [16]
ARPOc-v1.13 [16]
arpalert-v0.3.2 [16]
arping-v2.04 [16]
arpmitm-v0.2 [16]
arpoison-v0.5 [16]
ArpSpyX-v1.1 [16]
ArpToXin-v 1.0 [16]
SwitchSniffer [16]
6.)DNS spoofing
DNS spoofing adalah istilah yang digunakan ketika sebuah server DNS menerima dan menggunakan informasi yang salah dari host yang tidak memiliki otoritas memberikan informasi tersebut. DNS spoofing adalah kenyataan keracunan cache yang berbahaya dimana data ditempa ditempatkan dalam cache dari server nama. Serangan spoofing dapat menyebabkan masalah keamanan yang serius untuk server DNS rentan terhadap serangan seperti itu, misalnya menyebabkan pengguna untuk diarahkan ke situs-situs Internet salah atau e-mail sedang diarahkan ke non-resmi mail server (lihat contoh di bawah).
DNS spoofing: Bagaimana itu dilakukan?
Mari kita bayangkan tiga perusahaan (A, B dan C), semua bersaing dalam lingkungan global yang menantang.
Spoofer
Perusahaan A dan B bekerja sama dalam mengembangkan sebuah produk yang akan menghasilkan keunggulan kompetitif utama bagi mereka. Perusahaan A memiliki server DNS aman sementara perusahaan B memiliki server DNS rentan untuk spoofing. Dengan serangan spoofing pada server DNS dari perusahaan B, perusahaan C memperoleh akses ke e-mail keluar dari perusahaan B.
Apa konsekuensi?
Sebuah serangan spoofing dapat terus untuk waktu yang lama tanpa diketahui. Bahkan, perusahaan mungkin tidak pernah tahu dari pelanggaran keamanan hingga pesaing memasuki pasar dengan produk dari karakteristik serupa. Konsekuensi dari serangan spoofing akan bahwa perusahaan dapat menghancurkan peluang perusahaan lain untuk menciptakan keunggulan kompetitif. Yang menakutkan, di saat-saat ketika alamat manajemen IP dan keamanan merupakan keprihatinan utama bagi komunitas teknologi tinggi, adalah bahwa manajer tingkat paling atas bisnis belum menyadari risiko keuangan dan keamanan yang terkait dengan DNS spoofing.
Apa yang bisa dilakukan?
Dalam rangka untuk mencegah banyak sumber serangan internet, perlu untuk memiliki keamanan yang dibangun ke sistem DNS. Untuk meminimalkan risiko serangan spoofing, setiap organisasi atau individu bertanggung jawab untuk domain harus terlebih dahulu memeriksa jenis server nama yang mereka gunakan dan berkonsultasi dengan pengembang nya apakah itu aman terhadap spoofing DNS atau tidak. Hal ini juga memungkinkan untuk menggunakan versi terbaru dari DNS Ahli untuk memeriksa kerentanan dari semua jenis server DNS untuk spoofing DNS dan DNS lain masalah. Untuk pembahasan bermanfaat tentang cara mengatasi masalah spoofing baik untuk BIND dan Microsoft DNS Server memeriksa artikel ini.
DNS spoofing adalah istilah yang digunakan ketika sebuah server DNS menerima dan menggunakan informasi yang salah dari host yang tidak memiliki otoritas memberikan informasi tersebut. DNS spoofing adalah kenyataan keracunan cache yang berbahaya dimana data ditempa ditempatkan dalam cache dari server nama. Serangan spoofing dapat menyebabkan masalah keamanan yang serius untuk server DNS rentan terhadap serangan seperti itu, misalnya menyebabkan pengguna untuk diarahkan ke situs-situs Internet salah atau e-mail sedang diarahkan ke non-resmi mail server (lihat contoh di bawah).
DNS spoofing: Bagaimana itu dilakukan?
Mari kita bayangkan tiga perusahaan (A, B dan C), semua bersaing dalam lingkungan global yang menantang.
Spoofer
Perusahaan A dan B bekerja sama dalam mengembangkan sebuah produk yang akan menghasilkan keunggulan kompetitif utama bagi mereka. Perusahaan A memiliki server DNS aman sementara perusahaan B memiliki server DNS rentan untuk spoofing. Dengan serangan spoofing pada server DNS dari perusahaan B, perusahaan C memperoleh akses ke e-mail keluar dari perusahaan B.
Apa konsekuensi?
Sebuah serangan spoofing dapat terus untuk waktu yang lama tanpa diketahui. Bahkan, perusahaan mungkin tidak pernah tahu dari pelanggaran keamanan hingga pesaing memasuki pasar dengan produk dari karakteristik serupa. Konsekuensi dari serangan spoofing akan bahwa perusahaan dapat menghancurkan peluang perusahaan lain untuk menciptakan keunggulan kompetitif. Yang menakutkan, di saat-saat ketika alamat manajemen IP dan keamanan merupakan keprihatinan utama bagi komunitas teknologi tinggi, adalah bahwa manajer tingkat paling atas bisnis belum menyadari risiko keuangan dan keamanan yang terkait dengan DNS spoofing.
Apa yang bisa dilakukan?
Dalam rangka untuk mencegah banyak sumber serangan internet, perlu untuk memiliki keamanan yang dibangun ke sistem DNS. Untuk meminimalkan risiko serangan spoofing, setiap organisasi atau individu bertanggung jawab untuk domain harus terlebih dahulu memeriksa jenis server nama yang mereka gunakan dan berkonsultasi dengan pengembang nya apakah itu aman terhadap spoofing DNS atau tidak. Hal ini juga memungkinkan untuk menggunakan versi terbaru dari DNS Ahli untuk memeriksa kerentanan dari semua jenis server DNS untuk spoofing DNS dan DNS lain masalah. Untuk pembahasan bermanfaat tentang cara mengatasi masalah spoofing baik untuk BIND dan Microsoft DNS Server memeriksa artikel ini.
7) Phising, Pharming and Spoofing
Phishing adalah cara mencoba untuk mendapatkan informasi seperti username, password, dan rincian kartu kredit dengan menyamar sebagai entitas terpercaya dalam sebuah komunikasi elektronik. Komunikasi yang mengaku berasal dari populer situs web sosial, situs lelang, prosesor pembayaran online atau IT administrator biasanya digunakan untuk memikat publik tidak curiga. Phishing biasanya dilakukan melalui e-mail spoofing atau pesan instan, dan sering mengarahkan pengguna untuk memasukkan rincian palsu di website yang tampilan dan nuansa yang hampir sama dengan satu sah. Phishing adalah contoh dari teknik rekayasa sosial yang digunakan untuk menipu pengguna, dan memanfaatkan kegunaan miskin teknologi keamanan web saat ini Usaha untuk berurusan dengan meningkatnya jumlah insiden phishing yang dilaporkan termasuk legislasi, pelatihan pengguna, kesadaran publik,. dan langkah-langkah keamanan teknis.
Sebuah teknik phishing telah dijelaskan secara rinci pada tahun 1987, dan penggunaan rekaman pertama dari "phishing" istilah dibuat pada tahun 1996. Istilah ini adalah varian dari memancing, mungkin dipengaruhi oleh phreaking, dan menyinggung "umpan" yang digunakan dalam harapan bahwa calon korban akan "menggigit" dengan mengklik link berbahaya atau membuka attachment berbahaya, dalam hal informasi keuangan dan password kemudian dapat dicuri.
Sejarah dan status saat ini dari phishing
Sebuah teknik phishing telah dijelaskan secara rinci, dalam sebuah kertas dan presentasi yang disampaikan kepada Kelompok Pengguna Internasional HP, Interex Penyebutan pertama yang tercatat dari "phishing" Istilah di newsgroup Usenet alt.online-service.america-online. pada tanggal 2 Januari 1996, walaupun istilah ini mungkin telah muncul sebelumnya dalam edisi cetak dari majalah hacker 2600 .
Sebuah kasus baru-baru dan populer dari phishing adalah kampanye dicurigai phishing Cina menargetkan account Gmail pejabat tinggi peringkat dari Amerika Serikat dan Pemerintah Korea Selatan, militer, dan aktivis politik China . Pemerintah China terus menyangkal tuduhan mengambil bagian dalam cyber-serangan dari dalam perbatasannya, namun bukti telah terungkap bahwa Rakyat China sendiri Tentara Pembebasan telah membantu dalam pengkodean cyber-serangan perangkat lunak .
Awal phishing di AOL
Phishing di AOL erat terkait dengan masyarakat yang bertukar warez perangkat lunak bajakan dan adegan hacking yang dilakukan penipuan kartu kredit dan kejahatan online lainnya. Setelah AOL dibawa dalam langkah-langkah pada tahun 1995 terlambat untuk mencegah menggunakan palsu, nomor kartu kredit algorithmically dihasilkan untuk membuka rekening, AOL kerupuk terpaksa phishing untuk account yang sah dan mengeksploitasi AOL.
Sebuah phisher mungkin menimbulkan sebagai anggota staf AOL dan mengirim pesan instan ke korban potensial, memintanya untuk mengungkapkan password Dalam rangka untuk memancing korban agar memberi informasi sensitif pesan mungkin termasuk imperatif seperti "memverifikasi account Anda. "atau" mengkonfirmasi informasi penagihan ". Setelah korban telah mengungkapkan password, penyerang bisa mengakses dan menggunakan akun korban untuk tujuan penipuan atau spam. Kedua phishing dan warezing di AOL umumnya dibutuhkan kustom-ditulis program, seperti AOHell. Phishing menjadi begitu umum di AOL bahwa mereka menambahkan baris pada semua pesan instan menyatakan: "tidak ada yang bekerja di AOL akan meminta password Anda atau informasi penagihan", meskipun bahkan ini tidak mencegah beberapa orang dari mereka memberikan password dan informasi pribadi jika mereka membaca dan percaya IM yang pertama. Seorang pengguna menggunakan kedua account AIM dan AOL account dari ISP secara bersamaan bisa phish anggota AOL dengan impunitas relatif sebagai internet account AIM bisa digunakan oleh non-anggota AOL internet dan tidak bisa ditindaklanjuti (yaitu yang dilaporkan ke departemen KL AOL untuk disiplin tindakan.)
Akhirnya, kebijakan penegakan AOL sehubungan dengan phishing dan warez menjadi ketat dan memaksa software bajakan dari AOL server. AOL secara bersamaan mengembangkan sistem untuk segera menonaktifkan account terlibat dalam phishing, sering sebelum korban bisa merespon. Yang mematikan dari adegan warez di AOL disebabkan kebanyakan phisher untuk meninggalkan layanan tersebut. [14]
Transisi dari AOL untuk lembaga keuangan
Penangkapan informasi account AOL mungkin telah menyebabkan phisher untuk menyalahgunakan informasi kartu kredit, dan kesadaran bahwa serangan terhadap sistem pembayaran online yang layak. Usaha langsung pertama dikenal terhadap sistem pembayaran e-gold terpengaruh pada bulan Juni 2001, yang diikuti oleh sebuah "cek post-9/11 id" tak lama setelah serangan 11 September di World Trade Center [15]. Keduanya dipandang pada saat itu sebagai kegagalan, tapi sekarang dapat dilihat sebagai percobaan awal terhadap serangan berbuah lebih terhadap bank-bank utama. Pada tahun 2004, phishing diakui sebagai bagian sepenuhnya dari ekonomi industri kejahatan: spesialisasi muncul pada skala global yang disediakan komponen untuk uang tunai, yang dirakit menjadi serangan selesai [16] [17].
Teknik Phishing
Upaya phishing terbaru
Sebuah grafik yang menunjukkan peningkatan phishing laporan dari Oktober 2004 hingga Juni 2005.
Phisher menargetkan pelanggan bank dan layanan pembayaran online. E-mail, diperkirakan berasal dari Internal Revenue Service, telah digunakan untuk mengumpulkan data sensitif dari pembayar pajak AS. [18] Sementara itu contoh pertama yang dikirim tanpa pandang bulu dengan harapan bahwa beberapa akan diterima oleh pelanggan dari bank atau jasa, Penelitian terbaru menunjukkan bahwa phisher mungkin pada prinsipnya dapat menentukan bank mana yang menggunakan potensi korban, dan target e-mail palsu yang sesuai [19] versi Target phishing telah disebut phishing tombak.. [20] Beberapa serangan phishing baru-baru ini telah diarahkan khusus pada eksekutif senior dan target profil tinggi lainnya dalam bisnis, dan jabatan-jabatan telah diciptakan untuk jenis serangan. [21]
Situs jaringan sosial kini target utama dari phishing, karena informasi pribadi di situs tersebut dapat digunakan dalam pencurian identitas; [22] pada akhir 2006, sebuah worm komputer mengambil alih halaman di MySpace dan link diubah untuk peselancar langsung ke website yang dirancang untuk mencuri rincian login [23] Percobaan ini menunjukkan tingkat keberhasilan lebih dari 70% untuk serangan phishing pada jaringan sosial.. [24]
RapidShare File situs berbagi telah ditargetkan oleh phishing untuk mendapatkan account premium, yang menghilangkan kapasitas kecepatan download, auto-penghapusan upload, menunggu di download, dan waktu cooldown antara upload. [25]
Penyerang yang melanggar ke dalam database TD Ameritrade itu (berisi nomor jaminan sosial seluruh 6,3 juta pelanggan, nomor rekening dan alamat email serta nama mereka, alamat, tanggal lahir, nomor telepon dan aktivitas perdagangan) juga menginginkan nama pengguna account dan password, sehingga mereka meluncurkan serangan tindak lanjut tombak phishing. [26]
Hampir setengah dari pencurian phishing pada tahun 2006 telah dilakukan oleh kelompok yang beroperasi melalui Jaringan Bisnis Rusia yang berbasis di St Petersburg. [27]
Ada situs anti-phishing yang mempublikasikan pesan yang tepat yang telah baru-baru beredar di internet, seperti FraudWatch Internasional dan Millersmiles. Situs tersebut sering memberikan rincian spesifik tentang pesan tertentu. [28] [29] Saat ini untuk mengurangi bekerja dengan kode sumber halaman web, Hacker telah menerapkan alat phishing disebut phisher super yang membuat pekerjaan yang mudah bila dibandingkan dengan metode manual untuk menciptakan sebuah situs phishing.
Manipulasi Tautan
Sebagian besar metode phishing menggunakan beberapa bentuk penipuan teknis yang dirancang untuk membuat link dalam e-mail (dan situs web palsu itu mengarah) tampaknya milik organisasi palsu. URL salah eja atau penggunaan subdomain trik umum digunakan oleh phisher. Pada contoh URL berikut, http://www.yourbank.example.com/, tampak seolah-olah URL akan membawa Anda ke bagian contoh dari website yourbank; sebenarnya ini menunjukkan URL ke "yourbank" (yaitu phishing) bagian dari contoh website. Trik lain yang umum adalah untuk membuat teks ditampilkan untuk link (teks antara tag <A>) menyarankan tujuan yang handal, ketika link tersebut benar-benar pergi ke situs phisher. Contoh link berikut ini, / / en.wikipedia.org / wiki / Asli, muncul untuk mengarahkan pengguna ke sebuah artikel berjudul "Genuine"; mengklik justru akan membawa pengguna ke artikel berjudul "Deception". Di pojok kiri bawah browser yang paling pengguna dapat melihat pratinjau dan memverifikasi kemana link tersebut akan membawa mereka. [30] Melayang kursor anda ke atas link untuk beberapa detik dapat melakukan hal yang sama, tetapi ini masih dapat diatur oleh phisher.
Masalah lebih lanjut dengan URL yang telah ditemukan dalam penanganan nama domain internasionalisasi (IDN) di browser web, yang mungkin memungkinkan alamat web secara visual identik dengan menyebabkan yang berbeda, yang mungkin berbahaya, website. Meskipun publisitas seputar cacat, yang dikenal sebagai spoofing IDN [31] atau homograf serangan, [32] phisher telah mengambil keuntungan dari risiko yang sama, dengan menggunakan URL redirectors terbuka pada situs-situs organisasi terpercaya untuk menyamarkan URL berbahaya dengan domain terpercaya. [ 33] [34] [35] Bahkan sertifikat digital tidak memecahkan masalah ini karena sangat mungkin untuk phisher untuk membeli sebuah sertifikat yang valid dan kemudian mengubah konten untuk spoof situs web asli.
Penggelapan Filter
Phisher telah menggunakan gambar, bukan teks untuk membuat lebih sulit untuk anti-phishing filter untuk mendeteksi teks yang umum digunakan dalam phishing e-mail [36].
Situs pemalsuan
Setelah korban mengunjungi situs phishing penipuan belum berakhir. Beberapa penipuan phishing menggunakan perintah JavaScript untuk mengubah address bar [37]. Hal ini dilakukan baik dengan menempatkan gambar URL yang sah atas address bar, atau dengan menutup bar alamat asli dan membuka yang baru dengan URL yang sah [38].
Seorang penyerang bahkan dapat menggunakan kelemahan dalam script memiliki situs terpercaya terhadap korban [39] Jenis-jenis serangan (dikenal sebagai cross-site scripting) sangat bermasalah, karena mereka mengarahkan pengguna untuk sign in di bank mereka atau web sendiri layanan. halaman, di mana segala sesuatu dari alamat web untuk sertifikat keamanan yang benar muncul. Pada kenyataannya, link ke website ini dibuat untuk melakukan serangan, sehingga sangat sulit untuk melihat tanpa pengetahuan khusus. Hanya seperti sebuah cacat telah digunakan pada tahun 2006 melawan PayPal. [40]
Sebuah Man-in-the-middle Universal (MITM) Phishing Kit, ditemukan pada 2007, memberikan-sederhana untuk-menggunakan antarmuka yang memungkinkan phisher untuk meyakinkan mereproduksi website dan menangkap log-in detail masuk di situs palsu [41].
Untuk menghindari anti-phishing teknik yang memindai phishing website untuk teks terkait, phisher telah mulai menggunakan situs web berbasis Flash. Ini terlihat mirip dengan situs yang sebenarnya, namun menyembunyikan teks dalam objek multimedia [42].
Phishing Telepon
Tidak semua serangan phishing memerlukan website palsu. Pesan yang mengaku dari bank memberitahu pengguna untuk dial nomor telepon tentang masalah dengan rekening bank mereka [43]. Setelah nomor telepon (yang dimiliki oleh phisher, dan disediakan oleh layanan Voice over IP) adalah keluar, meminta kepada pengguna untuk memasukkan nomor rekening dan PIN. Vishing (phishing suara) kadang-kadang menggunakan ID palsu pemanggil-data untuk memberikan kesan bahwa panggilan datang dari organisasi yang terpercaya [44].
Teknik lainnya
Serangan lain berhasil digunakan adalah untuk meneruskan klien untuk situs yang sah sebuah bank, kemudian untuk menempatkan jendela popup meminta mandat di atas situs web dengan cara yang muncul bank meminta informasi ini sensitif. [45]
Salah satu teknik phishing terbaru adalah tabnabbing. Ia mengambil keuntungan dari beberapa tab yang pengguna gunakan dan diam-diam mengarahkan pengguna ke situs yang terkena.
Kejahatan kembar adalah teknik phishing yang sulit untuk dideteksi. Sebuah phisher menciptakan jaringan nirkabel palsu yang terlihat mirip dengan jaringan publik yang sah yang dapat ditemukan di tempat-tempat umum seperti bandara, hotel atau toko kopi. Setiap kali seseorang log on ke jaringan palsu, penipu mencoba untuk menangkap password mereka dan / atau informasi kartu kredit.
Kerusakan yang disebabkan oleh phishing
Kerusakan yang disebabkan oleh phishing berkisar dari penolakan akses ke e-mail ke kerugian finansial besar. Diperkirakan bahwa antara Mei 2004 dan Mei 2005, pengguna komputer sekitar 1,2 juta di Amerika Serikat menderita kerugian yang disebabkan oleh phishing, dengan total nilai sekitar US $ 929.000.000. Amerika Serikat diperkirakan bisnis kehilangan US $ 2 miliar per tahun sebagai klien mereka menjadi korban. [46] Pada tahun 2007, serangan phishing meningkat. 3,6 juta orang dewasa kehilangan US $ 3,2 miliar dalam 12 bulan yang berakhir pada bulan Agustus 2007. [47] Microsoft mengklaim perkiraan ini terlalu dibesar-besarkan dan menempatkan kerugian phishing tahunan di AS pada US $ 60 juta. [48] Di kerugian Inggris dari web perbankan penipuan-sebagian besar dari phishing-hampir dua kali lipat menjadi £ 23.2m GB pada tahun 2005, dari GB £ 12.2m pada tahun 2004, [49] sementara 1 dari 20 pengguna komputer mengaku telah kehilangan keluar untuk phishing pada tahun 2005. [50]
Sikap diadopsi oleh perbankan Inggris APACS tubuh adalah bahwa "pelanggan juga harus mengambil tindakan pencegahan yang masuk akal ... sehingga mereka tidak rentan terhadap kriminal." [51] Demikian pula, ketika serentetan serangan phishing pertama menghantam sektor perbankan Republik Irlandia pada bulan September 2006, Bank Irlandia awalnya menolak untuk menutupi kerugian yang diderita oleh pelanggan (dan masih bersikeras bahwa kebijakan adalah untuk tidak melakukannya [52]), meskipun kerugian untuk lagu € 11,300 dibuat baik. [53]
Anti-phishing
Ada beberapa teknik yang berbeda untuk memerangi phishing, termasuk legislasi dan teknologi diciptakan khusus untuk melindungi terhadap phishing. Browser internet paling baru datang dengan perangkat lunak anti-phishing.
Tanggapan Sosial
Salah satu strategi untuk memerangi phishing adalah untuk melatih orang untuk mengenali upaya phishing, dan untuk menangani mereka. Pendidikan dapat efektif, terutama di mana pelatihan memberikan umpan balik langsung [54]. Salah satu taktik phishing baru, yang menggunakan phishing e-mail ditargetkan pada perusahaan tertentu, yang dikenal sebagai phishing tombak, telah dimanfaatkan untuk melatih individu di berbagai lokasi, termasuk Amerika Serikat Akademi Militer di West Point, NY. Dalam sebuah percobaan 2004 Juni dengan tombak phishing, 80% dari 500 kadet West Point yang dikirim e-mail palsu dari Robert tidak ada Kolonel Melville di West Point, ditipu agar mengklik link yang konon akan membawa mereka ke sebuah halaman di mana mereka akan memasukkan informasi pribadi. (Halaman ini menginformasikan mereka bahwa mereka telah terpikat.) [55]
Orang bisa mengambil langkah-langkah untuk menghindari upaya phishing dengan sedikit memodifikasi kebiasaan browsing mereka. Ketika dihubungi tentang account yang perlu "diverifikasi" (atau topik lain yang digunakan oleh phisher), itu adalah tindakan pencegahan yang masuk akal untuk menghubungi perusahaan dari mana e-mail tampaknya berasal untuk memeriksa bahwa e-mail yang sah. Atau, alamat bahwa individu tahu adalah situs web asli perusahaan dapat diketik ke dalam address bar browser, daripada percaya setiap hyperlink dalam pesan phishing dicurigai [56].
Hampir semua yang sah e-mail dari perusahaan untuk pelanggan mereka mengandung item informasi yang tidak tersedia bagi phisher. Beberapa perusahaan, misalnya PayPal, selalu alamat pelanggan mereka dengan nama pengguna mereka dalam e-mail, jadi jika e-mail penerima secara generik ("pelanggan yang terhormat PayPal") kemungkinan menjadi upaya phishing. [ 57] E-mail dari bank dan perusahaan kartu kredit sering termasuk nomor rekening parsial. Namun, penelitian terbaru [58] telah menunjukkan bahwa masyarakat tidak biasanya membedakan antara beberapa digit pertama dan beberapa digit terakhir dari nomor rekening masalah yang signifikan sejak beberapa digit pertama sering sama untuk semua klien dari lembaga keuangan . Orang dapat dilatih untuk memiliki kecurigaan mereka terangsang jika pesan tidak mengandung informasi pribadi tertentu. Phishing upaya pada awal 2006, bagaimanapun, menggunakan informasi pribadi, yang membuatnya tidak aman untuk mengasumsikan bahwa adanya informasi pribadi sendiri menjamin bahwa pesan adalah sah. [59] Selanjutnya, penelitian terbaru menyimpulkan lain di bagian bahwa kehadiran informasi pribadi tidak tidak secara signifikan mempengaruhi tingkat keberhasilan serangan phishing, [60] yang menunjukkan bahwa kebanyakan orang tidak memperhatikan detail seperti itu.
Kelompok Anti-Phishing Working, sebuah asosiasi industri dan penegakan hukum, telah menyarankan bahwa teknik phishing konvensional dapat menjadi usang di masa depan karena orang-orang semakin sadar akan teknik rekayasa sosial yang digunakan oleh phisher. Mereka memprediksi yang menggunakan pharming dan lainnya malware akan menjadi alat yang lebih umum untuk mencuri informasi.
Setiap orang dapat membantu mendidik masyarakat dengan mendorong praktek-praktek yang aman, dan menghindari yang berbahaya. Sayangnya, bahkan terkenal pemain yang dikenal untuk mendorong pengguna untuk perilaku yang berbahaya, misalnya dengan meminta pengguna mereka untuk mengungkapkan password mereka untuk layanan pihak ketiga, seperti email.
tanggapan Teknis
Anti-phishing langkah telah diimplementasikan sebagai fitur yang ditanamkan pada browser, sebagai ekstensi atau toolbar untuk browser, dan sebagai bagian dari prosedur login website. Berikut ini adalah beberapa pendekatan utama untuk masalah ini.
Membantu untuk mengidentifikasi situs-situs yang sah
Kebanyakan website yang ditargetkan untuk phishing adalah situs aman yang berarti bahwa SSL dengan PKI yang kuat kriptografi digunakan untuk otentikasi server, di mana URL website digunakan sebagai identifier. Dalam teori itu harus mungkin untuk otentikasi SSL untuk digunakan untuk mengkonfirmasi situs kepada pengguna, dan ini adalah desain persyaratan SSL v2 dan meta browsing aman. Tapi dalam prakteknya, hal ini mudah untuk mengelabui.
Cacat yang dangkal adalah bahwa keamanan pengguna browser interface (UI) tidak mencukupi untuk menghadapi ancaman yang kuat hari ini. Ada tiga bagian untuk mengamankan otentikasi menggunakan TLS dan sertifikat: menunjukkan bahwa sambungan dalam modus otentik, menunjukkan situs yang pengguna terhubung ke, dan yang menunjukkan otoritas mengatakan itu adalah situs ini. Ketiganya diperlukan untuk otentikasi, dan perlu dikonfirmasi oleh / untuk pengguna.
Sambungan aman
Tampilan standar untuk browsing aman dari pertengahan 1990-an sampai pertengahan 2000-an adalah gembok. Pada tahun 2005, Mozilla menerjunkan address bar kuning sebagai indikasi yang lebih baik dari koneksi aman. Inovasi ini kemudian terbalik karena sertifikat EV, yang menggantikan sertifikat tertentu menyediakan tingkat tinggi verifikasi identitas organisasi dengan tampilan hijau, dan sertifikat lain dengan kotak favicon diperpanjang biru ke kiri URL bar (selain switch dari "http" dengan "https" di url itu sendiri).
Yang situs
Pengguna diharapkan untuk mengkonfirmasi bahwa nama domain di URL bar browser sebenarnya di mana mereka dimaksudkan untuk pergi. URL bisa terlalu kompleks untuk dengan mudah dipecah. Pengguna sering tidak tahu atau mengenali URL dari situs yang sah mereka berniat untuk menyambung ke, sehingga otentikasi menjadi bermakna Sebuah kondisi untuk otentikasi server bermakna adalah memiliki pengenal server yang bermakna bagi pengguna;. E-commerce banyak situs akan mengubah nama domain dalam mengatur mereka secara keseluruhan website, menambah kesempatan untuk kebingungan. Cukup menampilkan nama domain untuk website yang dikunjungi [63] karena beberapa toolbar anti-phishing lakukan adalah tidak cukup.
Beberapa browser yang lebih baru, seperti Internet Explorer 8, menampilkan seluruh URL dalam abu-abu, dengan hanya domain nama sendiri dalam warna hitam, sebagai sarana untuk membantu pengguna dalam mengidentifikasi URL penipuan.
Sebuah pendekatan alternatif adalah ekstensi untuk Firefox petname yang memungkinkan jenis pengguna dalam label mereka sendiri untuk website, sehingga mereka nantinya dapat dikenali ketika mereka telah kembali ke situs. Jika situs tersebut tidak diakui, maka perangkat lunak baik dapat memperingatkan pengguna atau memblokir situs langsung. Ini merupakan pengguna-sentris manajemen identitas identitas server. [64] Beberapa menyarankan bahwa gambar grafis yang dipilih oleh pengguna adalah lebih baik daripada sebuah petname. [65]
Dengan munculnya sertifikat EV, browser sekarang biasanya menampilkan nama organisasi dalam hijau, yang jauh lebih terlihat dan mudah-mudahan lebih konsisten dengan harapan pengguna. Browser vendor telah memilih untuk batas ini menampilkan menonjol hanya untuk sertifikat EV, meninggalkan pengguna untuk mengurus dirinya sendiri dengan semua sertifikat lainnya.
Siapa Otorita
Browser negara yang perlu otoritas yang membuat klaim yang pengguna terhubung ke. Pada tingkat yang paling sederhana, otoritas tidak ada dinyatakan, dan karenanya browser adalah otoritas, sejauh sebagai pengguna yang bersangkutan. Para vendor browser mengambil tanggung jawab ini dengan mengendalikan daftar akar CA diterima. Ini adalah praktek standar saat ini.
Masalah dengan hal ini adalah bahwa tidak semua otoritas sertifikasi (CA) mempekerjakan memeriksa sama baik atau yang berlaku, terlepas dari upaya oleh vendor browser untuk mengontrol kualitas. Juga tidak semua CA berlangganan ke model yang sama dan konsep bahwa sertifikat hanya sekitar otentikasi organisasi e-commerce. Manufaktur Sertifikat adalah nama yang diberikan ke rendah nilai sertifikat yang disampaikan pada kartu kredit dan konfirmasi email; kedua ini mudah disesatkan oleh penipu [rujukan?] Oleh karena itu, nilai tinggi-situs dapat dengan mudah palsu oleh yang valid. sertifikat yang disediakan oleh CA yang lain. Ini bisa jadi karena CA di bagian lain dunia, dan tidak familiar dengan nilai tinggi situs e-commerce, atau bisa juga bahwa perawatan tidak diambil sama sekali. Sebagai CA hanya dibebankan dengan melindungi para pelanggan sendiri, dan bukan pelanggan dari CA lainnya, cacat ini melekat dalam model.
Solusi untuk ini adalah bahwa browser harus menunjukkan, dan pengguna harus akrab dengan, nama otoritas. Ini menyajikan CA sebagai sebuah merek, dan memungkinkan pengguna untuk mempelajari beberapa CA bahwa dia kemungkinan akan datang ke dalam kontak dalam negeri dan sektor nya. Penggunaan merek juga penting untuk menyediakan CA dengan insentif untuk meningkatkan memeriksa mereka, sebagai pengguna akan belajar merek dan memeriksa permintaan yang baik untuk situs bernilai tinggi.
Solusi ini pertama kali dimasukkan ke dalam praktek pada awal versi IE7, ketika menampilkan sertifikat EV. [66] Di layar itu, CA mengeluarkan ditampilkan. Ini merupakan kasus yang terisolasi, namun. Ada resistensi terhadap CA dicap di krom, sehingga fallback ke tingkat yang paling sederhana di atas:. Browser adalah otoritas pengguna [rujukan?]
kelemahan mendasar dalam model keamanan browsing aman
Percobaan untuk meningkatkan UI keamanan telah menghasilkan keuntungan, tetapi juga terkena kelemahan mendasar dalam model keamanan. Penyebab yang mendasari kegagalan otentikasi SSL untuk digunakan baik dalam browsing yang aman banyak dan saling terkait.
Pengguna cenderung tidak memeriksa informasi keamanan, bahkan ketika secara eksplisit ditampilkan kepada mereka. Sebagai contoh, sebagian besar peringatan untuk situs adalah untuk misconfigurations, bukan MITM (pria di tengah serangan). Pengguna telah belajar untuk memotong peringatan dan memperlakukan semua peringatan dengan jijik sama, sehingga di Klik-melalui sindrom. Sebagai contoh, Firefox 3 memiliki proses 4-klik untuk menambahkan pengecualian, tetapi telah terbukti diabaikan oleh pengguna yang berpengalaman dalam kasus nyata MITM.
Faktor lain yang mendasari adalah kurangnya dukungan untuk virtual hosting. Penyebab spesifik adalah kurangnya dukungan untuk Indikasi Name Server di TLS webservers, dan biaya dan ketidaknyamanan memperoleh sertifikat. Hasilnya adalah bahwa penggunaan otentikasi terlalu langka untuk menjadi apa pun kecuali kasus khusus. Hal ini menyebabkan kurangnya pengetahuan dan sumber daya dalam otentikasi dalam TLS, yang pada gilirannya berarti bahwa upaya oleh vendor browser untuk meng-upgrade UIS keamanan mereka telah lambat dan tak bergairah.
Model keamanan untuk browser yang aman meliputi banyak peserta: user, vendor browser, pengembang, CA, auditor, vendor webserver, situs e-commerce, regulator (misalnya, FDIC), dan standar keamanan komite. Ada kurangnya komunikasi antara kelompok-kelompok yang berbeda yang berkomitmen untuk model keamanan. Misalnya, meskipun pemahaman otentikasi yang kuat pada tingkat protokol komite IETF, pesan ini tidak mencapai kelompok UI. Vendor webserver tidak memprioritaskan Indikasi Name Server (TLS / SNI) memperbaiki, tidak melihat itu sebagai perbaikan keamanan, tetapi bukan fitur baru. Dalam prakteknya, semua peserta melihat ke orang lain sebagai sumber kegagalan yang mengarah ke phishing, maka perbaikan lokal tidak diprioritaskan.
Hal-hal sedikit membaik dengan Forum CAB, sebagai kelompok yang mencakup vendor browser, auditor dan CA [kutipan diperlukan]. Tetapi kelompok tidak mulai secara terbuka, dan hasilnya menderita kepentingan komersial pemain pertama, serta kurangnya paritas antara peserta [kutipan diperlukan] Bahkan saat ini, forum CAB tidak terbuka, dan tidak termasuk perwakilan dari CA kecil, pengguna akhir, pemilik e-commerce, dll [kutipan diperlukan].
Vendor berkomitmen untuk standar, yang menghasilkan efek outsourcing ketika datang ke keamanan. Meskipun ada banyak percobaan telah dan baik dalam meningkatkan keamanan UI, ini belum diadopsi karena mereka tidak standar, atau berbenturan dengan standar. Model ancaman dapat kembali menemukan diri mereka di sekitar bulan; standar Keamanan mengambil sekitar 10 tahun untuk menyesuaikan [kutipan diperlukan].
Mekanisme kontrol yang digunakan oleh browser vendor atas CA belum substansial diperbaharui;.. Model ancaman telah [kutipan diperlukan] kontrol dan proses kualitas daripada CA tidak cukup sesuai untuk perlindungan pengguna dan mengatasi ancaman aktual dan saat ini [ Kutipan diperlukan] proses Audit sangat membutuhkan memperbarui [kutipan diperlukan] Pedoman EV terakhir mendokumentasikan model saat ini secara lebih rinci, dan mendirikan sebuah patokan yang baik, tapi tidak mendorong perubahan besar yang akan dibuat..
Browser memperingatkan pengguna ke situs web palsu
Pendekatan lain yang populer untuk memerangi phishing adalah untuk memelihara daftar situs phishing dikenal dan untuk memeriksa situs web terhadap daftar. Microsoft browser IE7, Mozilla Firefox 2.0, Safari 3.2, dan Opera semuanya mengandung jenis anti-phishing diukur. [67] [68] [69] [70] Firefox 2 menggunakan Google anti-phishing perangkat lunak. Opera 9.1 menggunakan blacklist hidup dari PhishTank dan GeoTrust, serta hidup dari GeoTrust Whitelist. Beberapa implementasi dari pendekatan ini mengirimkan URL yang dikunjungi ke layanan pusat untuk diperiksa, yang telah meningkatkan kekhawatiran tentang privasi [71]. Menurut sebuah laporan oleh Mozilla pada akhir tahun 2006, Firefox 2 yang ditemukan lebih efektif daripada Internet Explorer 7 di mendeteksi situs penipuan dalam penelitian oleh sebuah perusahaan pengujian perangkat lunak independen [72].
Suatu pendekatan diperkenalkan pada pertengahan-2006 melibatkan beralih ke layanan DNS khusus yang menyaring domain phishing keluar dikenal: ini akan bekerja dengan browser apapun, [73] dan mirip pada prinsipnya untuk menggunakan file host untuk memblokir iklan web.
Untuk mengurangi masalah situs phishing meniru sebuah situs korban oleh embedding gambar nya (seperti logo), beberapa pemilik situs telah mengubah gambar untuk mengirim pesan kepada pengunjung bahwa situs mungkin palsu. Gambar mungkin akan dipindahkan ke nama file baru dan asli diganti secara permanen, atau server dapat mendeteksi bahwa gambar itu tidak diminta sebagai bagian dari browsing normal, dan bukannya mengirim gambar peringatan. [74] [75]
login password Augmenting
Bank dari situs Amerika [76] [77] adalah salah satu dari beberapa yang meminta pengguna untuk memilih gambar pribadi, dan menampilkan gambar ini dipilih pengguna dengan bentuk yang meminta password. Pengguna layanan online bank diinstruksikan untuk memasukkan password hanya ketika mereka melihat gambar yang mereka pilih. Namun, penelitian terbaru menunjukkan beberapa pengguna menahan diri dari memasukkan password mereka ketika gambar yang ada [78] [79]. Selain itu, fitur ini (seperti bentuk lain dari dua faktor otentikasi) adalah rentan terhadap serangan lain, seperti yang diderita oleh Bank Nordea Skandinavia pada akhir tahun 2005, [80] dan Citibank pada tahun 2006.
Sebuah sistem yang sama, di mana secara otomatis dihasilkan "Identitas Cue" terdiri dari sebuah kata berwarna dalam sebuah kotak berwarna ditampilkan untuk setiap pengguna situs web, yang digunakan di lembaga keuangan lainnya
Keamanan kulit adalah teknik terkait yang melibatkan overlay gambar yang dipilih pengguna ke formulir login sebagai isyarat visual yang membentuk adalah sah. Berbeda dengan situs-skema berbasis gambar, Namun, gambar itu sendiri dibagi hanya antara pengguna dan browser, dan bukan antara pengguna dan situs web. Skema ini juga bergantung pada protokol otentikasi timbal balik, yang membuatnya kurang rentan terhadap serangan yang mempengaruhi pengguna hanya skema otentikasi.
Masih teknik lain bergantung pada grid dinamis gambar yang berbeda untuk setiap usaha login. Pengguna harus mengidentifikasi gambar yang sesuai dengan pra-pilihan mereka kategori (seperti anjing, mobil dan bunga). Hanya setelah mereka telah benar mengidentifikasi gambar-gambar yang sesuai dengan kategori mereka yang mereka diizinkan untuk memasukkan password alfanumerik mereka untuk menyelesaikan login. Berbeda dengan gambar statis digunakan pada website Bank America, berbasis gambar dinamis menciptakan metode otentikasi kode akses satu kali untuk login, membutuhkan partisipasi aktif dari user, dan sangat sulit untuk situs Web phishing untuk meniru dengan benar karena akan perlu untuk menampilkan grid yang berbeda dari gambar acak yang termasuk kategori rahasia pengguna. [85]
Menghilangkan email phishing
Khusus spam filter dapat mengurangi jumlah phishing e-mail yang mencapai inbox penerima mereka. Pendekatan ini mengandalkan mesin belajar [86] dan pendekatan pemrosesan bahasa alami untuk mengklasifikasikan phishing e-mail. [87] [88]
Monitoring dan pencopotan
Beberapa perusahaan menawarkan bank dan organisasi lain mungkin menderita dari penipuan phishing round-the-clock layanan untuk memantau, menganalisis dan membantu dalam menutup situs-situs phishing [89]. Individu dapat berkontribusi dengan melaporkan phishing untuk kedua relawan dan kelompok industri, [90] seperti PhishTank [91] Individu juga dapat berkontribusi dengan melaporkan upaya phishing untuk Phishing telepon Telepon,. [92] Komisi Perdagangan Federal. [93]
tanggapan Hukum
Pada tanggal 26 Januari 2004, US Federal Trade Commission mengajukan gugatan pertama terhadap dicurigai phisher. Terdakwa, seorang remaja California, diduga menciptakan halaman web yang dirancang untuk terlihat seperti situs America Online, dan menggunakannya untuk mencuri informasi kartu kredit. [94] Negara-negara lain telah mengikuti memimpin dengan menelusuri dan menangkap phisher. Seorang gembong phishing, Valdir Paulo de Almeida, ditangkap di Brasil untuk memimpin salah satu cincin terbesar kejahatan phishing, yang dalam dua tahun mencuri antara US $ 18 juta dan US $ 37 juta [95] Inggris otoritas. Dipenjara dua pria pada bulan Juni 2005 untuk mereka peran dalam phishing scam, [96] dalam kasus terhubung ke US Secret Service Firewall Operasi, yang ditargetkan terkenal "carder" website. [97] Pada tahun 2006 delapan orang ditangkap oleh polisi Jepang karena dicurigai penipuan phishing dengan menciptakan Yahoo palsu Jepang situs Web, jaring sendiri ¥ 100,000,000 (US $ 870.000) [98]. Penangkapan berlanjut di 2006 dengan Cardkeeper Operasi FBI menahan sekelompok enam belas di Amerika Serikat dan Eropa [99].
Di Amerika Serikat, Senator Patrick Leahy memperkenalkan Undang-Undang Anti-Phishing 2005 di Kongres pada tanggal 1 Maret 2005. RUU ini, jika telah disahkan menjadi undang-undang, akan memiliki sasaran penjahat yang menciptakan situs web palsu dan dikirim e-mail palsu untuk menipu konsumen untuk denda hingga US $ 250.000 dan hukuman penjara hingga lima tahun [100]. Inggris memperkuat persenjataan hukum melawan phishing dengan Penipuan Act 2006, [101] yang memperkenalkan suatu pelanggaran umum penipuan yang dapat membawa sampai hukuman penjara sepuluh tahun, dan melarang pembangunan atau kepemilikan dari phishing kit dengan maksud untuk melakukan penipuan. [102]
Perusahaan juga telah bergabung dengan upaya untuk menindak phishing. Pada tanggal 31 Maret 2005, Microsoft mengajukan tuntutan hukum federal di 117 Pengadilan Distrik AS untuk Distrik Barat Washington. Tuntutan hukum menuduh "John Doe" terdakwa memperoleh password dan informasi rahasia. Maret 2005 juga melihat kemitraan antara Microsoft dan pemerintah Australia aparat penegak hukum mengajar bagaimana untuk memerangi berbagai kejahatan cyber, termasuk phishing [103] Microsoft mengumumkan lebih lanjut direncanakan 100 tuntutan hukum di luar Amerika Serikat pada Maret 2006, [104] diikuti oleh dimulainya. , per November 2006, dari 129 tuntutan hukum pencampuran tindakan pidana dan perdata [105]. AOL diperkuat upaya melawan phishing [106] di awal tahun 2006 dengan tiga tuntutan hukum [107] mencari total US $ 18 juta di bawah tahun 2005 amandemen Virginia Computer Crimes Act, [108] [109] dan Earthlink telah bergabung dalam dengan membantu untuk mengidentifikasi enam orang selanjutnya didakwa dengan penipuan phishing di Connecticut [110].
Pada Januari 2007, Jeffrey Brett Goodin California menjadi terdakwa pertama yang dihukum oleh juri berdasarkan ketentuan Undang-undang CAN-SPAM tahun 2003. Dia ditemukan bersalah karena mengirimkan ribuan e-mail kepada pengguna America Online, saat berpose sebagai departemen penagihan AOL, yang mendorong pelanggan untuk mengirimkan pribadi dan informasi kartu kredit. Menghadapi 101 tahun mungkin dalam penjara karena pelanggaran CAN-SPAM dan sepuluh jumlah lainnya termasuk penipuan kawat, penyalahgunaan kartu kredit, dan penyalahgunaan merek dagang AOL, ia dijatuhi hukuman untuk melayani 70 bulan. Goodin telah ditahan sejak gagal muncul untuk sidang pengadilan sebelumnya dan mulai melayani penjara dengan segera.
Pendekatan lain yang populer untuk memerangi phishing adalah untuk memelihara daftar situs phishing dikenal dan untuk memeriksa situs web terhadap daftar. Microsoft browser IE7, Mozilla Firefox 2.0, Safari 3.2, dan Opera semuanya mengandung jenis anti-phishing diukur. [67] [68] [69] [70] Firefox 2 menggunakan Google anti-phishing perangkat lunak. Opera 9.1 menggunakan blacklist hidup dari PhishTank dan GeoTrust, serta hidup dari GeoTrust Whitelist. Beberapa implementasi dari pendekatan ini mengirimkan URL yang dikunjungi ke layanan pusat untuk diperiksa, yang telah meningkatkan kekhawatiran tentang privasi [71]. Menurut sebuah laporan oleh Mozilla pada akhir tahun 2006, Firefox 2 yang ditemukan lebih efektif daripada Internet Explorer 7 di mendeteksi situs penipuan dalam penelitian oleh sebuah perusahaan pengujian perangkat lunak independen [72].
Suatu pendekatan diperkenalkan pada pertengahan-2006 melibatkan beralih ke layanan DNS khusus yang menyaring domain phishing keluar dikenal: ini akan bekerja dengan browser apapun, [73] dan mirip pada prinsipnya untuk menggunakan file host untuk memblokir iklan web.
Untuk mengurangi masalah situs phishing meniru sebuah situs korban oleh embedding gambar nya (seperti logo), beberapa pemilik situs telah mengubah gambar untuk mengirim pesan kepada pengunjung bahwa situs mungkin palsu. Gambar mungkin akan dipindahkan ke nama file baru dan asli diganti secara permanen, atau server dapat mendeteksi bahwa gambar itu tidak diminta sebagai bagian dari browsing normal, dan bukannya mengirim gambar peringatan. [74] [75]
login password Augmenting
Bank dari situs Amerika [76] [77] adalah salah satu dari beberapa yang meminta pengguna untuk memilih gambar pribadi, dan menampilkan gambar ini dipilih pengguna dengan bentuk yang meminta password. Pengguna layanan online bank diinstruksikan untuk memasukkan password hanya ketika mereka melihat gambar yang mereka pilih. Namun, penelitian terbaru menunjukkan beberapa pengguna menahan diri dari memasukkan password mereka ketika gambar yang ada [78] [79]. Selain itu, fitur ini (seperti bentuk lain dari dua faktor otentikasi) adalah rentan terhadap serangan lain, seperti yang diderita oleh Bank Nordea Skandinavia pada akhir tahun 2005, [80] dan Citibank pada tahun 2006.
Sebuah sistem yang sama, di mana secara otomatis dihasilkan "Identitas Cue" terdiri dari sebuah kata berwarna dalam sebuah kotak berwarna ditampilkan untuk setiap pengguna situs web, yang digunakan di lembaga keuangan lainnya
Keamanan kulit adalah teknik terkait yang melibatkan overlay gambar yang dipilih pengguna ke formulir login sebagai isyarat visual yang membentuk adalah sah. Berbeda dengan situs-skema berbasis gambar, Namun, gambar itu sendiri dibagi hanya antara pengguna dan browser, dan bukan antara pengguna dan situs web. Skema ini juga bergantung pada protokol otentikasi timbal balik, yang membuatnya kurang rentan terhadap serangan yang mempengaruhi pengguna hanya skema otentikasi.
Masih teknik lain bergantung pada grid dinamis gambar yang berbeda untuk setiap usaha login. Pengguna harus mengidentifikasi gambar yang sesuai dengan pra-pilihan mereka kategori (seperti anjing, mobil dan bunga). Hanya setelah mereka telah benar mengidentifikasi gambar-gambar yang sesuai dengan kategori mereka yang mereka diizinkan untuk memasukkan password alfanumerik mereka untuk menyelesaikan login. Berbeda dengan gambar statis digunakan pada website Bank America, berbasis gambar dinamis menciptakan metode otentikasi kode akses satu kali untuk login, membutuhkan partisipasi aktif dari user, dan sangat sulit untuk situs Web phishing untuk meniru dengan benar karena akan perlu untuk menampilkan grid yang berbeda dari gambar acak yang termasuk kategori rahasia pengguna. [85]
Menghilangkan email phishing
Khusus spam filter dapat mengurangi jumlah phishing e-mail yang mencapai inbox penerima mereka. Pendekatan ini mengandalkan mesin belajar [86] dan pendekatan pemrosesan bahasa alami untuk mengklasifikasikan phishing e-mail. [87] [88]
Monitoring dan pencopotan
Beberapa perusahaan menawarkan bank dan organisasi lain mungkin menderita dari penipuan phishing round-the-clock layanan untuk memantau, menganalisis dan membantu dalam menutup situs-situs phishing [89]. Individu dapat berkontribusi dengan melaporkan phishing untuk kedua relawan dan kelompok industri, [90] seperti PhishTank [91] Individu juga dapat berkontribusi dengan melaporkan upaya phishing untuk Phishing telepon Telepon,. [92] Komisi Perdagangan Federal. [93]
tanggapan Hukum
Pada tanggal 26 Januari 2004, US Federal Trade Commission mengajukan gugatan pertama terhadap dicurigai phisher. Terdakwa, seorang remaja California, diduga menciptakan halaman web yang dirancang untuk terlihat seperti situs America Online, dan menggunakannya untuk mencuri informasi kartu kredit. [94] Negara-negara lain telah mengikuti memimpin dengan menelusuri dan menangkap phisher. Seorang gembong phishing, Valdir Paulo de Almeida, ditangkap di Brasil untuk memimpin salah satu cincin terbesar kejahatan phishing, yang dalam dua tahun mencuri antara US $ 18 juta dan US $ 37 juta [95] Inggris otoritas. Dipenjara dua pria pada bulan Juni 2005 untuk mereka peran dalam phishing scam, [96] dalam kasus terhubung ke US Secret Service Firewall Operasi, yang ditargetkan terkenal "carder" website. [97] Pada tahun 2006 delapan orang ditangkap oleh polisi Jepang karena dicurigai penipuan phishing dengan menciptakan Yahoo palsu Jepang situs Web, jaring sendiri ¥ 100,000,000 (US $ 870.000) [98]. Penangkapan berlanjut di 2006 dengan Cardkeeper Operasi FBI menahan sekelompok enam belas di Amerika Serikat dan Eropa [99].
Di Amerika Serikat, Senator Patrick Leahy memperkenalkan Undang-Undang Anti-Phishing 2005 di Kongres pada tanggal 1 Maret 2005. RUU ini, jika telah disahkan menjadi undang-undang, akan memiliki sasaran penjahat yang menciptakan situs web palsu dan dikirim e-mail palsu untuk menipu konsumen untuk denda hingga US $ 250.000 dan hukuman penjara hingga lima tahun [100]. Inggris memperkuat persenjataan hukum melawan phishing dengan Penipuan Act 2006, [101] yang memperkenalkan suatu pelanggaran umum penipuan yang dapat membawa sampai hukuman penjara sepuluh tahun, dan melarang pembangunan atau kepemilikan dari phishing kit dengan maksud untuk melakukan penipuan. [102]
Perusahaan juga telah bergabung dengan upaya untuk menindak phishing. Pada tanggal 31 Maret 2005, Microsoft mengajukan tuntutan hukum federal di 117 Pengadilan Distrik AS untuk Distrik Barat Washington. Tuntutan hukum menuduh "John Doe" terdakwa memperoleh password dan informasi rahasia. Maret 2005 juga melihat kemitraan antara Microsoft dan pemerintah Australia aparat penegak hukum mengajar bagaimana untuk memerangi berbagai kejahatan cyber, termasuk phishing [103] Microsoft mengumumkan lebih lanjut direncanakan 100 tuntutan hukum di luar Amerika Serikat pada Maret 2006, [104] diikuti oleh dimulainya. , per November 2006, dari 129 tuntutan hukum pencampuran tindakan pidana dan perdata [105]. AOL diperkuat upaya melawan phishing [106] di awal tahun 2006 dengan tiga tuntutan hukum [107] mencari total US $ 18 juta di bawah tahun 2005 amandemen Virginia Computer Crimes Act, [108] [109] dan Earthlink telah bergabung dalam dengan membantu untuk mengidentifikasi enam orang selanjutnya didakwa dengan penipuan phishing di Connecticut [110].
Pada Januari 2007, Jeffrey Brett Goodin California menjadi terdakwa pertama yang dihukum oleh juri berdasarkan ketentuan Undang-undang CAN-SPAM tahun 2003. Dia ditemukan bersalah karena mengirimkan ribuan e-mail kepada pengguna America Online, saat berpose sebagai departemen penagihan AOL, yang mendorong pelanggan untuk mengirimkan pribadi dan informasi kartu kredit. Menghadapi 101 tahun mungkin dalam penjara karena pelanggaran CAN-SPAM dan sepuluh jumlah lainnya termasuk penipuan kawat, penyalahgunaan kartu kredit, dan penyalahgunaan merek dagang AOL, ia dijatuhi hukuman untuk melayani 70 bulan. Goodin telah ditahan sejak gagal muncul untuk sidang pengadilan sebelumnya dan mulai melayani penjara dengan segera.
Pharming adalah serangan hacker yang bertujuan untuk mengarahkan lalu lintas sebuah website ke website lain, palsu. Pharming dapat dilakukan baik dengan mengubah file host di komputer korban atau dengan eksploitasi kerentanan dalam perangkat lunak server DNS. DNS server adalah komputer bertanggung jawab untuk menyelesaikan nama Internet ke alamat nyata mereka - mereka adalah "rambu-rambu" dari Internet. Dikompromikan DNS server kadang-kadang disebut sebagai "beracun".
Istilah ini pharming adalah neologisme yang didasarkan pada pertanian dan phishing. Phishing adalah jenis serangan rekayasa sosial untuk mendapatkan mandat akses seperti nama user dan password. Dalam beberapa tahun terakhir baik pharming dan phishing telah digunakan untuk informasi pencurian identitas online. Pharming telah menjadi perhatian utama untuk bisnis hosting website e-commerce dan online banking. Langkah-langkah canggih yang dikenal sebagai anti-pharming yang diperlukan untuk melindungi melawan ancaman serius. Perangkat lunak antivirus dan spyware removal software tidak dapat melindungi terhadap pharming.
kerentanan Pharming di rumah
Sementara domain resolusi nama berbahaya dapat hasil dari kompromi dalam jumlah besar node terpercaya yang berpartisipasi dalam lookup nama, titik paling rentan kompromi berada dekat dengan daun internet. Sebagai contoh, entri yang salah di file host komputer desktop, yang circumvents nama lookup dengan nama sendiri lokal untuk pemetaan alamat IP, merupakan target yang populer untuk malware. Setelah ditulis ulang, permintaan yang sah untuk situs Web sensitif dapat mengarahkan pengguna untuk salinan palsu. Desktop adalah target sering lebih baik untuk pharming karena mereka menerima pemberian miskin dari server internet yang paling.
Lebih mengkhawatirkan dari serangan file host adalah kompromi dari router jaringan lokal Sejak router yang paling menentukan DNS dipercaya kepada klien ketika mereka bergabung dengan jaringan, kesalahan informasi di sini akan merusak lookup untuk seluruh LAN.. Tidak seperti file host penulisan ulang, kompromi router lokal sulit untuk dideteksi. Router dapat menyampaikan informasi yang buruk DNS dalam dua cara: malconfiguration pengaturan yang sudah ada atau menulis ulang grosir perangkat lunak tertanam (alias firmware). Hampir setiap router memungkinkan administrator untuk menentukan DNS terpercaya tertentu di tempat yang disarankan oleh node hulu (misalnya, ISP). Seorang penyerang bisa menentukan server DNS di bawah kendalinya bukan satu sah. Semua resolusi berikutnya akan melalui server buruk. Sebuah skenario JavaScript berbahaya yang melibatkan perubahan router server DNS disebut Drive-By pharming dan direalisasikan oleh Stamm, Ramzan dan Jakobsson dalam sebuah laporan teknis Desember 2006.
Atau, banyak router memiliki kemampuan untuk mengganti firmware mereka (yaitu perangkat lunak internal yang mengeksekusi layanan perangkat yang lebih kompleks). Seperti malware pada sistem desktop, pengganti firmware bisa sangat sulit untuk dideteksi. Implementasi yang tersembunyi akan muncul untuk berperilaku sama seperti firmware pabrikan; halaman administrasi akan terlihat sama, pengaturan akan muncul yang benar, dll Pendekatan ini, jika dijalankan dengan baik, bisa membuat sulit bagi administrator jaringan untuk menemukan konfigurasi ulang, jika perangkat tampaknya dikonfigurasi sebagai administrator tetapi sebenarnya berniat pengalihan lalu lintas DNS di latar belakang. Pharming hanyalah salah satu dari banyak serangan berbahaya yang firmware dapat me-mount; lain termasuk menguping, pria yang aktif di tengah serangan, dan penebangan lalu lintas. Seperti misconfiguration, seluruh LAN tunduk pada tindakan-tindakan ini.
Dengan sendiri, pendekatan ini pharming hanya kepentingan akademis. Namun, di mana-mana router nirkabel konsumen kelas menyajikan kerentanan besar. Akses administratif dapat tersedia secara nirkabel pada sebagian besar perangkat ini. Selain itu, karena router ini sering bekerja dengan pengaturan standar mereka, password administrasi yang umumnya tidak berubah. Bahkan ketika diubah, banyak menebak dengan cepat melalui serangan kamus, karena kebanyakan konsumen kelas router tidak memperkenalkan hukuman waktu untuk upaya login yang salah. Setelah diberikan akses administratif, semua pengaturan router termasuk firmware sendiri mungkin diubah. Faktor-faktor ini bersekongkol untuk membuat drive-oleh router kompromi ancaman yang jelas dan hadir. Serangan ini sulit untuk melacak karena mereka terjadi di luar rumah atau kantor kecil dan di luar internet.
Contoh pharming
Pada bulan Januari 2005, nama domain untuk New York besar ISP, Panix, dibajak untuk menunjuk ke sebuah situs di Australia. Tidak ada kerugian keuangan dikenal.
Pada Januari 2008, Symantec melaporkan sebuah drive-by insiden pharming ditujukan terhadap sebuah bank Meksiko di mana pengaturan DNS pada router rumah pelanggan yang berubah setelah penerimaan e-mail yang tampaknya berasal dari sebuah perusahaan Spanyol-bahasa kartu yang sah ucapan.
Kontroversi atas penggunaan istilah
Istilah ini pharming kontroversial dalam lapangan. Pada sebuah konferensi yang diselenggarakan oleh Grup Anti-Phishing Working, Phillip Hallam-Baker mengecam istilah sebagai "neologisme pemasaran yang dirancang untuk meyakinkan bank untuk membeli satu set baru layanan keamanan".
Istilah ini pharming adalah neologisme yang didasarkan pada pertanian dan phishing. Phishing adalah jenis serangan rekayasa sosial untuk mendapatkan mandat akses seperti nama user dan password. Dalam beberapa tahun terakhir baik pharming dan phishing telah digunakan untuk informasi pencurian identitas online. Pharming telah menjadi perhatian utama untuk bisnis hosting website e-commerce dan online banking. Langkah-langkah canggih yang dikenal sebagai anti-pharming yang diperlukan untuk melindungi melawan ancaman serius. Perangkat lunak antivirus dan spyware removal software tidak dapat melindungi terhadap pharming.
kerentanan Pharming di rumah
Sementara domain resolusi nama berbahaya dapat hasil dari kompromi dalam jumlah besar node terpercaya yang berpartisipasi dalam lookup nama, titik paling rentan kompromi berada dekat dengan daun internet. Sebagai contoh, entri yang salah di file host komputer desktop, yang circumvents nama lookup dengan nama sendiri lokal untuk pemetaan alamat IP, merupakan target yang populer untuk malware. Setelah ditulis ulang, permintaan yang sah untuk situs Web sensitif dapat mengarahkan pengguna untuk salinan palsu. Desktop adalah target sering lebih baik untuk pharming karena mereka menerima pemberian miskin dari server internet yang paling.
Lebih mengkhawatirkan dari serangan file host adalah kompromi dari router jaringan lokal Sejak router yang paling menentukan DNS dipercaya kepada klien ketika mereka bergabung dengan jaringan, kesalahan informasi di sini akan merusak lookup untuk seluruh LAN.. Tidak seperti file host penulisan ulang, kompromi router lokal sulit untuk dideteksi. Router dapat menyampaikan informasi yang buruk DNS dalam dua cara: malconfiguration pengaturan yang sudah ada atau menulis ulang grosir perangkat lunak tertanam (alias firmware). Hampir setiap router memungkinkan administrator untuk menentukan DNS terpercaya tertentu di tempat yang disarankan oleh node hulu (misalnya, ISP). Seorang penyerang bisa menentukan server DNS di bawah kendalinya bukan satu sah. Semua resolusi berikutnya akan melalui server buruk. Sebuah skenario JavaScript berbahaya yang melibatkan perubahan router server DNS disebut Drive-By pharming dan direalisasikan oleh Stamm, Ramzan dan Jakobsson dalam sebuah laporan teknis Desember 2006.
Atau, banyak router memiliki kemampuan untuk mengganti firmware mereka (yaitu perangkat lunak internal yang mengeksekusi layanan perangkat yang lebih kompleks). Seperti malware pada sistem desktop, pengganti firmware bisa sangat sulit untuk dideteksi. Implementasi yang tersembunyi akan muncul untuk berperilaku sama seperti firmware pabrikan; halaman administrasi akan terlihat sama, pengaturan akan muncul yang benar, dll Pendekatan ini, jika dijalankan dengan baik, bisa membuat sulit bagi administrator jaringan untuk menemukan konfigurasi ulang, jika perangkat tampaknya dikonfigurasi sebagai administrator tetapi sebenarnya berniat pengalihan lalu lintas DNS di latar belakang. Pharming hanyalah salah satu dari banyak serangan berbahaya yang firmware dapat me-mount; lain termasuk menguping, pria yang aktif di tengah serangan, dan penebangan lalu lintas. Seperti misconfiguration, seluruh LAN tunduk pada tindakan-tindakan ini.
Dengan sendiri, pendekatan ini pharming hanya kepentingan akademis. Namun, di mana-mana router nirkabel konsumen kelas menyajikan kerentanan besar. Akses administratif dapat tersedia secara nirkabel pada sebagian besar perangkat ini. Selain itu, karena router ini sering bekerja dengan pengaturan standar mereka, password administrasi yang umumnya tidak berubah. Bahkan ketika diubah, banyak menebak dengan cepat melalui serangan kamus, karena kebanyakan konsumen kelas router tidak memperkenalkan hukuman waktu untuk upaya login yang salah. Setelah diberikan akses administratif, semua pengaturan router termasuk firmware sendiri mungkin diubah. Faktor-faktor ini bersekongkol untuk membuat drive-oleh router kompromi ancaman yang jelas dan hadir. Serangan ini sulit untuk melacak karena mereka terjadi di luar rumah atau kantor kecil dan di luar internet.
Contoh pharming
Pada bulan Januari 2005, nama domain untuk New York besar ISP, Panix, dibajak untuk menunjuk ke sebuah situs di Australia. Tidak ada kerugian keuangan dikenal.
Pada Januari 2008, Symantec melaporkan sebuah drive-by insiden pharming ditujukan terhadap sebuah bank Meksiko di mana pengaturan DNS pada router rumah pelanggan yang berubah setelah penerimaan e-mail yang tampaknya berasal dari sebuah perusahaan Spanyol-bahasa kartu yang sah ucapan.
Kontroversi atas penggunaan istilah
Istilah ini pharming kontroversial dalam lapangan. Pada sebuah konferensi yang diselenggarakan oleh Grup Anti-Phishing Working, Phillip Hallam-Baker mengecam istilah sebagai "neologisme pemasaran yang dirancang untuk meyakinkan bank untuk membeli satu set baru layanan keamanan".
Serangan spoofing
Dalam konteks keamanan jaringan, serangan spoofing adalah situasi di mana satu orang atau program berhasil menyamar sebagai lain dengan memalsukan data dan dengan demikian mendapatkan keuntungan tidak sah.
Spoofing dan TCP / IP
Banyak protokol dalam TCP / IP tidak menyediakan mekanisme untuk autentikasi sumber atau tujuan dari sebuah pesan. Mereka dengan demikian rentan terhadap serangan spoofing ketika tindakan pencegahan tambahan tidak diambil oleh aplikasi untuk memverifikasi identitas mengirim atau menerima tuan. IP spoofing dan ARP spoofing pada khususnya dapat digunakan untuk meningkatkan man-in-the-middle serangan terhadap host pada jaringan komputer. Spoofing serangan yang mengambil keuntungan dari protokol TCP / paket IP dapat dikurangi dengan penggunaan firewall mampu inspeksi paket yang mendalam atau dengan mengambil langkah-langkah untuk memverifikasi identitas pengirim atau penerima pesan.
Referer spoofing
Beberapa situs web, terutama pornografi paysites, memungkinkan akses ke materi mereka hanya dari disetujui tertentu (login-) halaman. Ini ditegakkan dengan memeriksa header pengarah dari permintaan HTTP. Namun pengarah header ini dapat diubah (dikenal sebagai "pengarah spoofing" atau "Ref-tar spoofing"), yang memungkinkan pengguna untuk mendapatkan akses tanpa izin ke bahan.
Keracunan dari jaringan file-sharing
"Spoofing" juga dapat merujuk kepada pemegang hak cipta menempatkan terdistorsi atau versi unlistenable dari bekerja pada jaringan file-sharing, untuk mencegah download dari sumber-sumber.
spoofing Caller ID
Artikel utama: Caller ID spoofing
Dalam jaringan telepon umum, ia memiliki untuk beberapa lama mungkin untuk mencari tahu siapa yang menelepon Anda dengan melihat pada Caller ID informasi yang dikirim dengan panggilan. Ada teknologi yang mengirimkan informasi ini pada sambungan telepon rumah, pada ponsel dan juga dengan VoIP. Sayangnya, sekarang ada teknologi (khususnya berkaitan dengan VoIP) yang memungkinkan penelepon untuk berbohong tentang identitas mereka, dan sekarang nama palsu dan nomor, yang tentu saja dapat digunakan sebagai alat untuk menipu atau melecehkan. Karena ada layanan dan gateway yang menghubungkan jaringan VoIP dengan telepon umum lainnya, Caller ID palsu ini dapat ditularkan ke telepon manapun di planet ini, yang membuat seluruh informasi Caller ID sekarang sebelah tidak berguna. Karena sifat geografis didistribusikan Internet, panggilan VoIP dapat dihasilkan di negara yang berbeda ke penerima, yang berarti bahwa sangat sulit untuk memiliki kerangka hukum untuk mengontrol orang-orang yang akan menggunakan Caller ID palsu sebagai bagian dari scam.
E-mail spoofing alamat
Artikel utama: E-mail spoofing
Informasi pengirim yang ditampilkan dalam e-mail ("Dari" lapangan) dapat palsu dengan mudah. Teknik ini umumnya digunakan oleh spammer untuk menyembunyikan asal mereka e-mail dan menyebabkan masalah seperti salah arah bouncing (yaitu e-mail spam yang backscatter).
E-mail spoofing alamat ini dilakukan dengan cara yang sama seperti menulis alamat pengirim dipalsukan menggunakan snail mail. Selama surat itu sesuai protokol, (yaitu stempel, kode pos) protokol SMTP akan mengirimkan pesan. Hal ini dapat dilakukan dengan menggunakan sebuah mail server dengan telnet.
GPS Spoofing
Sebuah serangan spoofing GPS mencoba untuk menipu penerima GPS dengan penyiaran sinyal sedikit lebih kuat daripada yang diterima dari satelit GPS, terstruktur menyerupai satu set sinyal GPS normal. Sinyal-sinyal palsu, bagaimanapun, adalah dimodifikasi sedemikian rupa untuk menyebabkan penerima untuk menentukan posisi untuk berada di suatu tempat lain selain di mana sebenarnya, khusus di suatu tempat ditentukan oleh penyerang. Karena sistem GPS bekerja dengan mengukur waktu yang dibutuhkan untuk sinyal untuk perjalanan dari satelit ke penerima, spoofing sukses membutuhkan bahwa penyerang tahu persis di mana target adalah agar sinyal palsu dapat terstruktur dengan penundaan sinyal yang tepat. Sebuah serangan spoofing GPS dimulai dengan penyiaran sinyal sedikit lebih kuat yang menghasilkan posisi yang benar, dan kemudian perlahan-lahan menyimpang jauh menuju posisi yang diinginkan oleh spoofer, karena bergerak terlalu cepat akan menyebabkan penerima kehilangan mengunci sinyal sama sekali, di mana titik spoofer ini bekerja hanya sebagai sebuah jammer. Ia telah mengemukakan bahwa penangkapan pesawat RQ-170 Lockheed pesawat di timur laut Iran pada Desember 2011, adalah hasil dari serangan seperti itu . Serangan spoofing GPS telah diprediksi dan dibahas di komunitas GPS sebelumnya , tetapi tidak ada contoh yang diketahui serangan spoofing berbahaya ini belum dikonfirmasi.
Dalam konteks keamanan jaringan, serangan spoofing adalah situasi di mana satu orang atau program berhasil menyamar sebagai lain dengan memalsukan data dan dengan demikian mendapatkan keuntungan tidak sah.
Spoofing dan TCP / IP
Banyak protokol dalam TCP / IP tidak menyediakan mekanisme untuk autentikasi sumber atau tujuan dari sebuah pesan. Mereka dengan demikian rentan terhadap serangan spoofing ketika tindakan pencegahan tambahan tidak diambil oleh aplikasi untuk memverifikasi identitas mengirim atau menerima tuan. IP spoofing dan ARP spoofing pada khususnya dapat digunakan untuk meningkatkan man-in-the-middle serangan terhadap host pada jaringan komputer. Spoofing serangan yang mengambil keuntungan dari protokol TCP / paket IP dapat dikurangi dengan penggunaan firewall mampu inspeksi paket yang mendalam atau dengan mengambil langkah-langkah untuk memverifikasi identitas pengirim atau penerima pesan.
Referer spoofing
Beberapa situs web, terutama pornografi paysites, memungkinkan akses ke materi mereka hanya dari disetujui tertentu (login-) halaman. Ini ditegakkan dengan memeriksa header pengarah dari permintaan HTTP. Namun pengarah header ini dapat diubah (dikenal sebagai "pengarah spoofing" atau "Ref-tar spoofing"), yang memungkinkan pengguna untuk mendapatkan akses tanpa izin ke bahan.
Keracunan dari jaringan file-sharing
"Spoofing" juga dapat merujuk kepada pemegang hak cipta menempatkan terdistorsi atau versi unlistenable dari bekerja pada jaringan file-sharing, untuk mencegah download dari sumber-sumber.
spoofing Caller ID
Artikel utama: Caller ID spoofing
Dalam jaringan telepon umum, ia memiliki untuk beberapa lama mungkin untuk mencari tahu siapa yang menelepon Anda dengan melihat pada Caller ID informasi yang dikirim dengan panggilan. Ada teknologi yang mengirimkan informasi ini pada sambungan telepon rumah, pada ponsel dan juga dengan VoIP. Sayangnya, sekarang ada teknologi (khususnya berkaitan dengan VoIP) yang memungkinkan penelepon untuk berbohong tentang identitas mereka, dan sekarang nama palsu dan nomor, yang tentu saja dapat digunakan sebagai alat untuk menipu atau melecehkan. Karena ada layanan dan gateway yang menghubungkan jaringan VoIP dengan telepon umum lainnya, Caller ID palsu ini dapat ditularkan ke telepon manapun di planet ini, yang membuat seluruh informasi Caller ID sekarang sebelah tidak berguna. Karena sifat geografis didistribusikan Internet, panggilan VoIP dapat dihasilkan di negara yang berbeda ke penerima, yang berarti bahwa sangat sulit untuk memiliki kerangka hukum untuk mengontrol orang-orang yang akan menggunakan Caller ID palsu sebagai bagian dari scam.
E-mail spoofing alamat
Artikel utama: E-mail spoofing
Informasi pengirim yang ditampilkan dalam e-mail ("Dari" lapangan) dapat palsu dengan mudah. Teknik ini umumnya digunakan oleh spammer untuk menyembunyikan asal mereka e-mail dan menyebabkan masalah seperti salah arah bouncing (yaitu e-mail spam yang backscatter).
E-mail spoofing alamat ini dilakukan dengan cara yang sama seperti menulis alamat pengirim dipalsukan menggunakan snail mail. Selama surat itu sesuai protokol, (yaitu stempel, kode pos) protokol SMTP akan mengirimkan pesan. Hal ini dapat dilakukan dengan menggunakan sebuah mail server dengan telnet.
GPS Spoofing
Sebuah serangan spoofing GPS mencoba untuk menipu penerima GPS dengan penyiaran sinyal sedikit lebih kuat daripada yang diterima dari satelit GPS, terstruktur menyerupai satu set sinyal GPS normal. Sinyal-sinyal palsu, bagaimanapun, adalah dimodifikasi sedemikian rupa untuk menyebabkan penerima untuk menentukan posisi untuk berada di suatu tempat lain selain di mana sebenarnya, khusus di suatu tempat ditentukan oleh penyerang. Karena sistem GPS bekerja dengan mengukur waktu yang dibutuhkan untuk sinyal untuk perjalanan dari satelit ke penerima, spoofing sukses membutuhkan bahwa penyerang tahu persis di mana target adalah agar sinyal palsu dapat terstruktur dengan penundaan sinyal yang tepat. Sebuah serangan spoofing GPS dimulai dengan penyiaran sinyal sedikit lebih kuat yang menghasilkan posisi yang benar, dan kemudian perlahan-lahan menyimpang jauh menuju posisi yang diinginkan oleh spoofer, karena bergerak terlalu cepat akan menyebabkan penerima kehilangan mengunci sinyal sama sekali, di mana titik spoofer ini bekerja hanya sebagai sebuah jammer. Ia telah mengemukakan bahwa penangkapan pesawat RQ-170 Lockheed pesawat di timur laut Iran pada Desember 2011, adalah hasil dari serangan seperti itu . Serangan spoofing GPS telah diprediksi dan dibahas di komunitas GPS sebelumnya , tetapi tidak ada contoh yang diketahui serangan spoofing berbahaya ini belum dikonfirmasi.
8.)Serangan Berbasis Kata Sandi (Menebak Kata Sandi)
Sebuah denominator umum dari sistem operasi yang paling dan rencana keamanan jaringan adalah berbasis password kontrol akses. Ini berarti akses Anda hak untuk sumber daya komputer dan jaringan ditentukan oleh siapa Anda, yaitu, nama pengguna dan password Anda.
Aplikasi yang lebih tua tidak selalu melindungi informasi identitas seperti yang dilewatkan melalui jaringan untuk validasi. Hal ini mungkin mengizinkan penguping untuk mendapatkan akses ke jaringan dengan menyamar sebagai pengguna yang valid.
Ketika penyerang menemukan sebuah akun pengguna yang valid, penyerang memiliki hak yang sama sebagai pengguna nyata. Oleh karena itu, jika pengguna memiliki hak administrator-tingkat, penyerang juga dapat membuat account untuk akses berikutnya di lain waktu.
Setelah memperoleh akses ke jaringan Anda dengan account yang valid, penyerang dapat melakukan salah satu dari berikut:
· Mendapatkan daftar pengguna yang valid dan nama komputer dan jaringan informasi.
· Memodifikasi konfigurasi server dan jaringan, termasuk kontrol akses dan tabel routing.
· Memodifikasi, mengubah rute, atau menghapus data Anda.
9.)Serangan Sniffer
Sniffer adalah suatu aplikasi atau perangkat yang dapat membaca, memonitor, dan menangkap data jaringan pertukaran dan membaca paket jaringan. Jika paket tidak dienkripsi, sniffer memberikan pandangan penuh dari data di dalam paket. Bahkan dienkapsulasi (terowongan) paket dapat dipecah membuka dan membaca kecuali mereka akan dienkripsi dan penyerang tidak memiliki akses ke kunci.
Menggunakan sebuah sniffer, penyerang dapat melakukan hal berikut:
· Menganalisis informasi jaringan dan mendapatkan Anda untuk akhirnya menyebabkan jaringan Anda untuk crash atau menjadi rusak.
· Baca komunikasi Anda.
Sebuah SQL injection sering digunakan untuk menyerang keamanan dari sebuah situs web dengan memasukkan pernyataan SQL dalam bentuk web untuk mendapatkan website yang dirancang buruk untuk melakukan operasi pada database (sering untuk dump isi database untuk penyerang) selain operasi biasanya sebagai dimaksudkan oleh perancang. SQL injection adalah kode injeksi teknik yang mengeksploitasi kerentanan keamanan dalam perangkat lunak sebuah website. Kerentanan terjadi ketika masukan pengguna baik benar disaring untuk karakter escape string literal tertanam dalam pernyataan SQL atau masukan pengguna tidak bertipe kuat dan tak terduga dieksekusi. Perintah SQL sehingga disuntikkan dari formulir web ke database dari sebuah aplikasi (seperti query) untuk mengubah isi database atau membuang informasi database seperti kartu kredit atau password untuk penyerang. SQL injection adalah kebanyakan dikenal sebagai vektor serangan untuk website tetapi dapat digunakan untuk menyerang semua jenis database SQL.
Menggunakan dirancang dengan baik interpreter bahasa query dapat mencegah SQL suntikan. Di alam liar, telah dicatat bahwa aplikasi pengalaman, rata-rata, 71 jam usaha. Bila diserang langsung, beberapa aplikasi terkadang berada di bawah serangan agresif dan pada puncaknya mereka, diserang 800-1300 kali per jam.
Dikenal 4 contoh-contoh nyata
Bentuk kerentanan
SQL Injection Attack (SQLIA) dianggap salah satu dari 10 kerentanan atas aplikasi web tahun 2007 dan 2010 oleh Proyek Keamanan Aplikasi Web Buka Vektor menyerang berisi lima utama sub-kelas tergantung pada aspek teknis penyebaran serangan itu.: [Kutipan diperlukan]
Klasik SQLIA
Inferensi SQL Injection
Intracting dengan SQL Injection
DBMS yang spesifik SQLIA
Diperparah SQLIA
Beberapa peneliti keamanan mengusulkan bahwa Klasik SQLIA sudah usang meskipun aplikasi web banyak yang tidak mengeras melawan mereka. Inferensi SQLIA masih ancaman, karena penyebaran yang dinamis dan fleksibel sebagai skenario menyerang. DBMS yang spesifik SQLIA harus dianggap sebagai mendukung terlepas dari pemanfaatan Classic atau SQLIA Inferensi. SQLIA diperparah adalah istilah baru yang berasal dari penelitian tentang SQL Injection Menyerang Vector dalam kombinasi dengan serangan aplikasi web yang berbeda sebagai:
SQL Injection + Kurangnya otentikasi
SQL Injection serangan DDos +
SQL Injection + DNS Pembajakan
SQL Injection + XSS
Worm Storm salah satu representasi dari SQLIA Compounded Sebuah gambaran lengkap dari SQL Injection klasifikasi disajikan dalam gambar berikut, Krassen Deltchev pada tahun 2010
0 komentar:
Posting Komentar