Сканування портів (Port Scanning) - Чи не атака сама по собі, але дія, зазвичай передує атаці, коли TCP і UDP порти вашої системи опитуються з метою визначення потенційних вразливостей, таких як відкриті порти (до яких атакуючий може під'єднатися для отримання контролю над комп'ютером) , реакція системи на різні запити і т.д. У великих мережах може відбуватися при використанні програм, скануючих систему на наявність доступних мережевих ресурсів (утиліти типу "Network scan").
Існує кілька різновидів цього класу атак, наприклад:
JOLT2, атака типу "Відмова від обслуговування", що використовує безперервний потік ідентичних фрагментованих IP-пакетів з метою витрачання великої кількості ресурсів процесора. Більшість операційних систем Windows схильні до цієї атаки через помилки в їх методах збирання IP-пакетів.
TARGA3, посилає випадкові невірні IP-пакети, які викликають падіння або несподіване поведінку деяких IP-стеків. Невірні IP-пакети складаються з невірних даних (протокол, розмір пакета, заголовок, параметри, зміщення, TCP-сегменти і прапори маршрутизації) і невірно фрагментовані. Коли TCP-стек отримує невірний пакет, ядро змушена виділяти ресурси для його обробки. Якщо система отримає достатньо велику кількість невірно сформованих пакетів, то витрачення всіх ресурсів може викликати падіння.
Фрагментовані IGMP-пакети (Fragmented IGMP) - Те ж саме, що Fragmented ICMP, тільки використовуються IGMP-пакети.
Короткі фрагменти (Short Fragments) - Дана атака використовує особливості обробки дуже великих IP-пакетів, які розбиваються на безліч фрагментів, а потім ядро збирає всі фрагменти для отримання вихідного пакета. Атака посилає занадто короткий фрагмент пакета, який не може містити навіть заголовка, що викликає падіння системи після складання.
Прикладом атаки цього класу є атака Snork.
Перекриваються фрагменти (Overlapped Fragments) - Специфікація IP-протоколу описує алгоритм збірки, який призводить до перезапису накладаються частин попередніх отриманих фрагментів новими фрагментами. При такій реалізації збірки атакуючий може створити послідовність пакетів, в якій перший фрагмент буде містити нешкідливі дані, а який-небудь з наступних буде частково накладатися на інформацію з TCP-заголовка (порт призначення, наприклад) і викликати таким чином його зміна, що приводить до падіння системи через помилки пам'яті.
Атака "Winnuke" - Дані атаки націлені на системи Windows 95, NT і 3.11 і використовують можливість TCP Out-of-Band (OOB). Атакуючий посилає пакет з даними OOB на 139-й порт комп'ютера жертви. 139-й порт - це порт NetBIOS, який не приймає вхідні пакети без встановленого прапора OOB. Комп'ютер не в змозі обробити цей пакет, що може призводити до втрати Інтернет-з'єднання або навіть до відмови від обслуговування і падіння системи.
Атака "Teardrop" - Teardrop використовує так звану "помилку накладаються IP-фрагментів", яка призводить до невірної обробки таких фрагментів алгоритмом складання, реалізованому в TCP / IP. Дана атака полягає у відправці датаграми з невірно встановленими значеннями початку і довжини фрагмента. Шляхом зміни значення зміщення пакету ці параметри встановлюються таким чином, що фрагменти змінюють своє положення після складання датаграми в пам'яті комп'ютера, викликаючи помилки пам'яті, що призводять до відмови від обслуговування або падіння систем під управлінням Windows 3.1, 95, NT.
Атака "Nestea" - Nestea - це різновид атак, що використовують фрагменти, типу Teardrop. Деякі стеки TCP / IP падають при невірної обробки особливих послідовностей фрагментів, приводячи до падіння системи. Атака Nestea найбільш характерна для операційних систем Linux і використовує помилку в рефрагментаціонном коді Linux (код, який реформатірует і збирає отримані пакети надлишкового розміру).
Системи, схильні до цієї атаки: Win 3.1, 95, NT і деякі версії Linux.
Атака "Iceping" - Використовує т.зв. SPing-уразливість в реалізації протоколу ICMP. Ця вразливість викликає невірну обробку Windows великих (трохи більше ніж 64 Кб) ICMP-пакетів, розбитих на велику кількість маленьких фрагментів розміром менше кілобайт, що призводить до зависання системи або її падіння після складання пакета.
Атаці піддаються не тільки Windows системи, але і Mac OS і деякі версії Unix.
ICMP-атаки - ICMP-атаки використовують уразливості в реалізації протоколу ICMP. ICMP використовується рівнем IP для відправки вузлів односпрямованих інформаційних повідомлень. Так як в ICMP немає аутентифікації, атаки, що використовують цей протокол можуть призводити до відмови від обслуговування і дозволяють атакуючому перехоплювати пакети.
Серед атак цього класу - 1234 і MOYARI13. Сенс обох атак полягає у відправці різного роду некоректних ICMP-пакетів на комп'ютер жертви, викликають падіння ОС при їх отриманні (мережевий стек перестає відповідати). Атака використовується проти Windows 95/98.
IGMP-атаки - IGMP-атаки використовують уразливість IGMP-протоколу або його реалізації. Атаками цього класу є:
FAWX, FAWX2, KOX, SYN.
FAWX, як і KOX, - це IGMP-атаки типу "відмова від обслуговування". FAWX і KOX використовують фрагментовані IGMP-пакети великого розміру, викликаючи падіння системи на комп'ютері жертви. Системи, схильні до даної атаці: Win 95, 98, NT.
Атака SYN (запит з'єднання TCP) - це звичайна атака типу "відмова від обслуговування", яка полягає в наступному:
Атака на порт 139 - Відправляє SMB-фрейм з порожнім (NULL) полем імені, викликаючи нестабільність і падіння наступних систем: Windows 95, 98, NT.
Атака "TIDCMP" - TIDCMP - це ICMP-атака придушення джерела, яка відправляє фальшиве ICMP-повідомлення типу 4 на маршрутизатор жертви. Метою придушення джерела є повідомлення комп'ютера-джерела про те, що вузол одержувача не здатний в даний момент більше обробляти дані і повинен призупинити роботу до того моменту, як він зможе продовжити.
Атака "RFPOISON" - Спеціальним чином сформований пакет може викликати відмову від обслуговування на вузлах під управлінням NT 4.0, приводячи мережеві з'єднання в непридатність. Дана атака призводить до падіння процесу services.exe, що, в свою чергу, унеможливлює виконання дій через іменовані канали (named pipes). Як наслідок, користувачі не зможуть віддалено входити в систему, виходити з неї, управляти реєстром, створювати нові підключення до загальних файловим папок або виконувати віддалене адміністрування. Такі служби як Internet Information Server можуть також перестати працювати належним чином. Перезавантаження атакується системи вирішить проблему в тому випадку, якщо вона знову не зазнає атаці.
Джерело проблеми полягає в способі, яким srvsvc.dll виробляє виклики до services.exe. Деякі MSRPC-виклики повертають значення NULL, яке некоректно інтерпретуються процесом services.exe, що може привести до його падіння.
Якщо дана уразливість використовується спільно з іншими, можливо така атака викличе на комп'ютері відладчик (наприклад, Dr Watson). Якщо відладчик заздалегідь був замінений троянці, це призведе до запуску його шкідливого коду на комп'ютері, що атакується.
Атака "RFPARALYZE" - В реалізації NetBIOS (Network Basic Input / Output System, Базова мережева система введення / виведення - протокол, що дозволяє додаткам взаємодіяти в рамках локальної мережі) систем Microsoft Windows 95/98 існує віддалено використовувана вразливість, що заважає Windows 95/98 належним чином контролювати введення користувача. За допомогою відправки спеціального пакета - запиту на NetBIOS-сесію з вихідним ім'ям NULL, атакуючий віддалено може викликати відмову від обслуговування.
RFParalyze використовує цю уразливість в NetBIOS і націлена на службу Windows Messenger Service (не плутати зі службою обміну миттєвими повідомленнями MSN Messenger), яка може бути заснована на NetBIOS і дозволяє додаткам сповіщати користувача про подію прийшов повідомлення. Атакують система блокується, перезавантажується або втрачає здатність до мережевим з'єднанням.
Невірний IP-пакет - В ході атаки на комп'ютер жертви відсилаються IP-, TCP- або UDP-пакети з невірною довжиною заголовка. Подібні пакети не пропускаються системою, а їх надлишок призводить до падінь і інших помилок системи.