Sono un programmatore autodidatta e quindi un appassionato di sicurezza delle informazioni e ho visto questo video ma non capisco cosa sta succedendo . Qualcuno può spiegare cosa sta succedendo, passo dopo passo in questo video, che afferma di essere una simulazione di rendering di un programma per computer che respinge un hacker?
Suppongochelamiadomandasialaprima"Questa è una rappresentazione accurata della difesa automatizzata?" e quindi se è così "Cosa sta succedendo esattamente?"
Questo è un attacco DDoS.
Le bolle viola sono computer infetti. Con migliaia di computer infetti, un hacker può semplicemente costringerli ad attaccare un bersaglio. Questo tipo di attacco significa che ci saranno così tante richieste a un singolo server che non può gestire con tutte, rendendo il server in crash o semplicemente non rispondendo per un po '.
Per capire qual è la definizione di un attacco DDoS, copio semplicemente una definizione semplice da wikipedia
In computing, a denial-of-service (DoS) attack is an attempt to make a machine or network resource unavailable to its intended users, such as to temporarily or indefinitely interrupt or suspend services of a host connected to the Internet. A distributed denial-of-service (DDoS) is where the attack source is more than one–and often thousands of-unique IP addresses.
Le bolle verdi sono honeypot. L'honeypot è solo un semplice "sistema" sulla rete che fornirà una certa distrazione all'hacker.
Questo significa che invece di attaccare il bersaglio corretto, ad esempio un server web, l'hacker attaccherà un honeypot, il che significa che il vero server non deve gestire tutte le richieste e l'attacco non avrà alcun impatto reale .
I bubles rosso e grigio, penso, che sono in realtà delle risposte del server.
Se visualizzo correttamente, questa è fondamentalmente una configurazione honeypot per rilevare gli utenti malintenzionati sulla rete (connessioni in entrata e in uscita) e inserire nella lista nera la propria impronta IP / browser.
Le cerchie verdi sono honeypot. Un honeypot potrebbe inviare "segnali" per sensibilizzare gli hacker sulla rete alla loro presenza, oppure potrebbero rimanere in letargo in attesa che qualcuno li inneschi. Gli hacker che si trovano all'interno della rete tentano di accedere all'honeypot. Dal momento che nessuno sulla rete dovrebbe mai avere una ragione legittima per accedere all'honeypot, aggiunge automaticamente quell'indirizzo IP / utente (anche se locale) al firewall e li blocca.
Ora, gli honeypot non cercano attivamente bersagli come mostrato nel video. Non è molto simile a un sistema immunitario. In effetti, una rappresentazione migliore sarebbe l'honeypot che attrae le scansioni come un magnete (sia in entrata che in uscita) e blocca il trasferimento dei dati da / verso quando attivato. ( Grazie, @Iszi )
Trovare modi con cui gli honeypot possono essere banali con il set di abilità corretto. Ad esempio, si utilizza un IP proxy e ci si connette a una rete. Una volta stabilita una connessione, è possibile iniziare la scansione della rete. Se tieni chiuso non appena tenti di accedere alla risorsa X, quel può essere identificato correttamente come un honeypot. Al tuo prossimo attacco, puoi escludere tali risorse.
Aggiungere un po 'di casualizzazione mettendo molti honeypot diversi e arrestando casualmente gli attaccanti a seconda di qualche tipo di algoritmo centrale può davvero offuscare questo processo e rendere incredibilmente difficile mappare le risposte honeypot corrette. In generale, tuttavia, se si ha accesso a questi honeypot e non c'è nulla di utile su di essi, si potrebbe presumere che siano un honeypot e andare avanti, quindi avviare nuovamente la ricerca con un altro proxy. Per un professionista della sicurezza IT inesperto che non realizza lo scopo di un honeypot, potrebbe semplicemente bloccare la connessione e fare un "SÌ! Ho fermato l'haxor!" mossa della mano. Ma potrebbe semplicemente essere parte di un attacco per determinare cosa è giusto e cosa no.
In alternativa, un utente malintenzionato potrebbe già sapere quali risorse specifiche accedere, facendo un moool honeypot.
Tuttavia, può essere una contromisura efficace per impedire a un utente locale di accedere a qualsiasi cosa sulla rete locale se quell'utente innesca l'honeypot, anche se fa parte della stessa rete. La ragione di ciò è che l'account utente potrebbe essere compromesso e potrebbe tentare di accedere a risorse che non dovrebbero essere. Quell'utente potrebbe avere accesso a un'infrastruttura critica, ma non dovrebbe mai tentare di accedere agli honeypot.
Le Purple Circle sono utenti. Quando vengono bloccati gli indirizzi IP potenzialmente dannosi, l'honeypot mira a impedire che i dati degli utenti escano, entrino o entrambi. A meno che l'honeypot non rilevi l'accesso canaglia prima e chiuda l'utente, allora non funzionerà se l'hacker sa già a cosa accedere o non tocca mai gli honeypot.
Le minuscole cerchie rosse e bianche che stanno attaccando i punti verdi e viola sono individui / programmi / qualsiasi tipo dannosi.
Un honeypot potrebbe essere qualsiasi cosa . Potrebbe essere qualcosa configurato per prendere accessi predefiniti, potrebbe essere una risorsa di dispositivo in rete dormiente, file falsi, database falsi - qualsiasi cosa per indurre qualcuno a pensare che sia utile, e magari a decodificare ciò che l'hacker sta facendo. Potrebbe anche essere un file pdf infetto che attira l'attaccante in esecuzione sul proprio computer quando lo apre.
Essenzialmente, questo video è un modo per provare a rappresentare visivamente cosa sta succedendo con honeypot / IDS e Firewall.
Leggi altre domande sui tag countermeasure