Cisco Network Security - Zagrożenia w sieci

1. Zagrożenie - potencjalne niebezpieczeństwo dla takiego aktywa jak dane lub sama sieć.

2. Podatność - słabość w systemie lub programie, która mogłaby być wykorzystana przez zagrożenie.

3. Powierzchnia ataku to suma wszystkich podatności w danym systemie, które są dostępne dla atakującego. Powierzchnia ataku opisuje różne punkty, w których atakujący mógłby dostać się do systemu i skąd mógłby wydobyć dane z systemu. Na przykład, system operacyjny i przeglądarka internetowa mogą potrzebować łatek bezpieczeństwa. Każde z nich jest podatne na ataki i jest wystawione na sieć lub internet. Razem tworzą powierzchnię ataku, którą aktor zagrożenia może wykorzystać.

4. Exploit - mechanizm, który jest używany do wykorzystania podatności w celu przejęcia kontroli nad programem lub systemem. Exploity mogą być zdalne lub lokalne. Zdalny exploit to taki, który działa przez sieć bez żadnego wcześniejszego dostępu do systemu docelowego. Atakujący nie potrzebuje konta w systemie końcowym, aby wykorzystać podatność. W lokalnym exploicie, atakujący ma jakiś rodzaj dostępu użytkownika lub administracyjnego do systemu końcowego. Lokalny exploit niekoniecznie oznacza, że atakujący ma fizyczny dostęp do systemu końcowego.

5. Ryzyko - prawdopodobieństwo, że konkretne zagrożenie wykorzysta konkretną podatność aktywa i spowoduje niepożądane konsekwencje.

6. Zarządzanie ryzykiem to proces, który równoważy operacyjne koszty zapewnienia środków ochrony z korzyściami uzyskanymi dzięki ochronie aktywa. Istnieją cztery powszechne sposoby zarządzania ryzykiem:
  • Akceptacja ryzyka - Ma miejsce, gdy koszt opcji zarządzania ryzykiem przewyższa koszt samego ryzyka. Ryzyko jest akceptowane i nie są podejmowane żadne działania.
  • Unikanie ryzyka - Oznacza unikanie jakiejkolwiek ekspozycji na ryzyko poprzez eliminację działania lub urządzenia, które stanowi ryzyko. Eliminując działanie w celu uniknięcia ryzyka, tracimy również wszelkie korzyści, które są możliwe dzięki temu działaniu.
  • Redukcja ryzyka - Polega na zmniejszeniu ekspozycji na ryzyko lub zmniejszeniu wpływu ryzyka poprzez podjęcie działań mających na celu zmniejszenie ryzyka. Jest to najczęściej stosowana strategia łagodzenia ryzyka. Ta strategia wymaga starannej oceny kosztów strat, strategii łagodzenia i korzyści uzyskanych z operacji lub działania, które jest zagrożone.
  • Transfer ryzyka - Część lub całe ryzyko jest przenoszone na chętną stronę trzecią, taką jak firma ubezpieczeniowa.
7. Hacker to:
  • Zdolny programista, który potrafi tworzyć nowe programy i wprowadzać zmiany do istniejących programów, aby były bardziej efektywne. 
  • Sieciowiec, który wykorzystuje zaawansowane umiejętności programowania, aby zapewnić, że sieci nie są narażone na ataki. 
  • Osoba, która próbuje uzyskać nieautoryzowany dostęp do urządzeń w internecie. 
  • Osoba, która uruchamia programy w celu zapobiegania lub spowalniania dostępu do sieci dla dużej liczby użytkowników, lub niszczenia lub usuwania danych na serwerach.


8. Rodzaje atakujących:

  • Script kiddies pojawiło się w latach 90. i odnosi się do nastolatków lub niedoświadczonych aktorów zagrożeń, którzy uruchamiają istniejące skrypty, narzędzia i exploit’y, aby wyrządzić szkody, ale zazwyczaj nie dla zysku. 
  • Vulnerability brokers zwykle odnosi się do hakerów grey hat, którzy próbują odkryć exploit’y i zgłaszają je dostawcom, czasami za nagrody lub wynagrodzenia. 
  • Hacktivists to termin odnoszący się do hakerów grey hat, którzy organizują protesty przeciwko różnym ideom politycznym i społecznym. Hacktivists publicznie protestują przeciwko organizacjom lub rządom, publikując artykuły, filmy, ujawniając wrażliwe informacje i przeprowadzając ataki typu distributed denial of service (DDoS). 
  • Cybercriminal to termin dla hakerów black hat (hackerzy ds. nielegalnych działań, włamań itp.), którzy są albo samozatrudnieni, albo pracują dla dużych organizacji cyberprzestępczych. Każdego roku cyberprzestępcy kradną miliardy dolarów od konsumentów i firm. 
  • State-Sponsored hackers to aktorzy zagrożeń, którzy kradną tajemnice rządowe, zbierają informacje wywiadowcze i sabotują sieci zagranicznych rządów, grup terrorystycznych i korporacji. Większość krajów na świecie uczestniczy w pewnym stopniu w sponsorowanym przez państwo hakowaniu. W zależności od punktu widzenia osoby, są to albo hakerzy white hat, albo black hat.

9. Cyberprzestępcy działają w dark-necie ("podziemiach internetu"), gdzie kupują, sprzedają i handlują exploitami i narzędziami. Kupują i sprzedają również osobiste informacje i własność intelektualną, które kradną swoim ofiarom. Cyberprzestępcy kierują swoje działania zarówno na małe firmy i konsumentów, jak i na duże przedsiębiorstwa i branże.

10. Podstawowe zabezpieczenia, które należy wykorzystać przed atakami:
  • używanie silnych haseł
  • włączanie uwierzytelnienia dwuskładnikowego (dwuetapowego)
  • zmiana hasła do WiFi co jakiś czas
  • kopia zapasowa danych w chmurze i na dysku twardym
  • regularne testy penetracyjne (w przypadku programistów)
  • antywirus
  • zabezpieczenia po stronie usługodawcy Internetu
11. Każdy atak ma unikalne identyfikowalne atrybuty. Wskaźniki kompromitacji (IOC) są dowodem, że doszło do ataku. IOCs mogą być cechami, które identyfikują pliki złośliwego oprogramowania, adresy IP serwerów, które są używane w atakach, nazwy plików i charakterystyczne zmiany wprowadzane do oprogramowania systemu końcowego, między innymi. IOCs pomagają osobom ds. cyberbezpieczeństwa zidentyfikować, co się stało podczas ataku i przygotować obronę przeciwko przyszłemu atakowi.

12. Wskaźniki ataku (IOA) skupiają się na motywacji stojącej za atakiem i potencjalnych środkach, za pomocą których aktorzy zagrożeń mogą wykorzystać podatności, aby uzyskać dostęp do aktywów. IOA dotyczą strategii używanych przez atakujących i mogą pomóc w generowaniu proaktywnego podejścia do bezpieczeństwa, ponieważ te same strategie mogą być używane w wielu atakach. 

13. Narzędzia hackerskie:
  • Narzędzia do łamania haseł - Jest to realizowane albo poprzez usunięcie oryginalnego hasła, po obejściu szyfrowania danych, albo poprzez bezpośrednie odkrycie hasła. Łamacze haseł wielokrotnie próbują zgadywać, aby złamać hasło i uzyskać dostęp do systemu. Przykłady narzędzi do łamania haseł to John the Ripper, Ophcrack, L0phtCrack, THC Hydra, RainbowCrack i Medusa.
  • Narzędzia do hakowania sieci bezprzewodowych - są używane do celowego hakowania sieci bezprzewodowej w celu wykrycia luk bezpieczeństwa. Przykłady narzędzi do hakowania sieci bezprzewodowych to Aircrack-ng, Kismet, InSSIDer, KisMAC, Firesheep i NetStumbler.
  • Narzędzia do skanowania i hakowania sieci są używane do sondowania urządzeń sieciowych, serwerów i hostów pod kątem otwartych portów TCP lub UDP. Przykłady narzędzi do skanowania to Nmap, SuperScan, Angry IP Scanner i NetScanTools.
  • Narzędzia do tworzenia pakietów są używane do sondowania i testowania odporności zapory na specjalnie przygotowane fałszywe pakiety. Przykłady takich narzędzi to Hping, Scapy, Socat, Yersinia, Netcat, Nping i Nemesis.
  • Narzędzia do przechwytywania pakietów są używane do przechwytywania i analizy pakietów w tradycyjnych sieciach LAN Ethernet lub WLAN. Narzędzia te obejmują Wireshark, Tcpdump, Ettercap, Dsniff, EtherApe, Paros, Fiddler, Ratproxy i SSLstrip.
  • Detektory rootkitów to narzędzie do sprawdzania integralności katalogów i plików używana przez white hat`ów (etyczny haker bezpieczeństwa) do wykrywania zainstalowanych rootkitów. Przykładowe narzędzia to AIDE, Netfilter i PF: OpenBSD Packet Filter.
  • Fuzzery są narzędziami używanymi przez aktorów zagrożeń podczas próby odkrycia luk bezpieczeństwa w systemie komputerowym. Przykłady fuzzersów to Skipfish, Wapiti i W3af.
  • White heat`ci używają narzędzi do analizy śladów, aby wywęszyć dowolny ślad dowodów istniejących w danym systemie komputerowym. Przykłady narzędzi to Sleuth Kit, Helix, Maltego i Encase.
  • Narzędzia do debugowania są używane przez black heat`ów do inżynierii wstecznej plików binarnych podczas pisania exploitów. Są one również używane przez białe kapelusze podczas analizowania złośliwego oprogramowania. Narzędzia do debugowania obejmują GDB, WinDbg, IDA Pro i Immunity Debugger.
  • Systemy operacyjne do hakowania to specjalnie zaprojektowane systemy operacyjne z wstępnie załadowanymi narzędziami i technologiami zoptymalizowanymi do hakowania. Przykłady specjalnie zaprojektowanych systemów operacyjnych do hakowania to Kali Linux, SELinux, Knoppix, Parrot OS i BackBox Linux.
  • Narzędzia do szyfrowania chronią zawartość danych organizacji, gdy są one przechowywane lub przesyłane. Narzędzia do szyfrowania używają schematów algorytmów do kodowania danych, aby zapobiec nieautoryzowanemu dostępowi do danych. Przykłady tych narzędzi to VeraCrypt, CipherShed, Open SSH, OpenSSL, OpenVPN i Stunnel.
  • Narzędzia do wykorzystywania podatności identyfikują, czy zdalny host jest podatny na atak bezpieczeństwa. Przykłady narzędzi do wykorzystywania podatności to Metasploit, Core Impact, Sqlmap, Social Engineer Tool Kit i Netsparker.
  • Skanery podatności skanują sieć lub system w celu identyfikacji otwartych portów. Mogą być również używane do skanowania znanych podatności oraz skanowania maszyn wirtualnych, urządzeń BYOD i baz danych klientów. Przykłady tych narzędzi to Nipper, Securia PSI, Core Impact, Nessus, SAINT i Open VAS.
14. Kategorie ataków:

Atak podsłuchowy polega na tym, że atakujący przechwytuje i słucha ruchu sieciowego. Ten atak jest również określany jako sniffing lub snooping.

Ataki na modyfikację danych występują, gdy atakujący przechwycił ruch przedsiębiorstwa i zmienił dane w pakietach bez wiedzy nadawcy lub odbiorcy.

Atak na podszywanie się pod adres IP polega na tym, że atakujący tworzy pakiet IP, który wydaje się pochodzić z prawidłowego adresu wewnątrz intranetu korporacyjnego.

Ataki oparte na hasłach występują, gdy atakujący uzyskuje dane uwierzytelniające do prawidłowego konta użytkownika. Aktorzy zagrożeń następnie używają tego konta do uzyskania list innych użytkowników i informacji o sieci. Mogą również zmieniać konfiguracje serwerów i sieci oraz modyfikować, przekierowywać lub usuwać dane.

Atak DoS uniemożliwia normalne korzystanie z komputera lub sieci przez prawidłowych użytkowników. Po uzyskaniu dostępu do sieci, atak DoS może spowodować awarię aplikacji lub usług sieciowych. Atak DoS może również zalać komputer lub całą sieć ruchem do momentu wyłączenia z powodu przeciążenia. Atak DoS może również blokować ruch, co skutkuje utratą dostępu do zasobów sieciowych przez uprawnionych użytkowników.

Atak MiTM występuje, gdy aktorzy zagrożeń umieścili się między źródłem a miejscem docelowym. Mogą teraz aktywnie monitorować, przechwytywać i kontrolować komunikację w sposób przezroczysty.

Atak na "skompromitowany klucz" występuje, gdy atakujący uzyskuje tajny klucz. Nazywa się to skompromitowanym kluczem. Skompromitowany klucz może być używany do uzyskania dostępu do zabezpieczonej komunikacji bez wiedzy nadawcy lub odbiorcy.

Sniffer to aplikacja lub urządzenie, które mogą czytać, monitorować i przechwytywać wymianę danych sieciowych oraz czytać pakiety sieciowe. Jeśli pakiety nie są szyfrowane, sniffer zapewnia pełny widok na dane wewnątrz pakietu. Nawet pakowane (tunelowane) pakiety mogą być otwarte i odczytane, chyba że są szyfrowane, a aktor zagrożenia nie ma dostępu do klucza.

15. Malware to kod lub oprogramowanie, które jest specjalnie zaprojektowane do uszkodzenia, zakłócenia, kradzieży lub ogólnie do “złych celów” lub nielegalnego działania na danych, hostach lub sieciach. Malware zmienia się tak szybko, że konieczna jest aktualizacja bazy danych przez programy antywirusowe i programy, w których są wykorzystywane luki przez cyberprzestępców.

16. Wirus to rodzaj złośliwego oprogramowania, które rozprzestrzenia się poprzez wstawienie kopii samego siebie do innego programu. Po uruchomieniu programu wirusy rozprzestrzeniają się z jednego komputera na drugi, zarażając komputery. Większość wirusów wymaga pomocy człowieka do rozprzestrzeniania się. Prosty wirus może zainstalować się na pierwszej linii kodu w pliku wykonywalnym. Po aktywacji wirus może sprawdzić dysk w poszukiwaniu innych plików wykonywalnych, aby zainfekować wszystkie pliki, których jeszcze nie zainfekował. Wirusy mogą być nieszkodliwe oraz szkodliwe. Mogą być również zaprogramowane do mutacji, aby uniknąć wykrycie. Wirusy są rozpowszechniane przez nośniki danych tj. pendrive`y, ale też przez pocztę elektroniczną.

17. Trojan to oprogramowanie złośliwe, które wydaje się być legalne, ale zawiera złośliwy kod, który wykorzystuje uprawnienia użytkownika, który go uruchamia. Może powodować natychmiastowe szkody, zapewniać zdalny dostęp do systemu lub dostęp przez drzwi tylne. Może również wykonywać działania widoczne od razu.

18. Przykładowe szkody wykonywane przez Trojana:
  • Umożliwia nieautoryzowany zdalny dostęp.
  • Wysyła atakującemu wrażliwe dane, takie jak hasła.
  • Uszkadza lub usuwa pliki.
  • Używa komputera ofiary jako urządzenia źródłowego do uruchamiania ataków i wykonywania innych działań nielegalnych.
  • Umożliwia nieautoryzowane usługi transferu plików (FTP) na urządzeniach końcowych.
  • Uniemożliwia działanie programów antywirusowych lub zapór ogniowych.
  • Ataki typu Denial of Service (DoS), które spowalniają lub powodują zatrzymanie aktywności sieci.
  • Aktywnie próbuje kraść poufne informacje, takie jak numery kart kredytowych, rejestrując klawisze wprowadzone do formularza internetowego (keylogger).
19. Robaki komputerowe są podobne do wirusów, ponieważ replikują się i mogą powodować ten sam rodzaj szkód. Konkretnie, robaki replikują się, wykorzystując niezależnie luki w sieciach. Robaki mogą spowalniać sieci, gdy rozprzestrzeniają się z systemu na system.
Podczas gdy wirus wymaga programu hosta do działania, robaki mogą działać same. Poza początkową infekcją nie wymagają już udziału użytkownika. Po zainfekowaniu hosta robak jest w stanie bardzo szybko rozprzestrzenić się po sieci.

20. Elementy procesu infekcji robaka:
  • Enabling vulnerability - Robak instaluje się, wykorzystując mechanizm wykorzystania, takie jak załącznik e-mail, plik wykonywalny lub koń trojański, na podatnym systemie. 
  • Propagation mechanism - Po uzyskaniu dostępu do urządzenia robak replikuje się i lokalizuje nowe cele.
  • Payload - Każdy złośliwy kod, który prowadzi do jakiejś akcji, jest ładunkiem. Najczęściej jest to używane do utworzenia drzwi tylnych, które umożliwiają aktorowi zagrożenia dostęp do zainfekowanego hosta lub do utworzenia ataku DoS. 
Robaki to samodzielne programy, które atakują system, aby wykorzystać znaną podatność. Po udanym wykorzystaniu robak kopiuje się z atakującego hosta na nowo wykorzystany system, a cykl zaczyna się od nowa. 

21.  Ransomware to złośliwe oprogramowanie, które blokuje dostęp do zainfekowanego systemu komputerowego lub jego danych. Cyberprzestępcy żądają wtedy zapłaty za dostęp/odblokowanie do systemu komputerowego (systemu operacyjnego, programu, folderu itp.). Istnieją dziesiątki wariantów ransomware. Ransomware często używa algorytmu szyfrowania do szyfrowania plików i danych systemowych. Większość znanych algorytmów szyfrowania ransomware nie da się łatwo odszyfrować, pozostawiając ofiary z niewielkimi możliwościami, poza zapłaceniem żądanej ceny. Płatności są zwykle dokonywane w Bitcoinach, ponieważ użytkownicy bitcoinów mogą pozostać anonimowi. 

22. Spyware - służy do zbierania informacji o użytkowniku i wysyłania tych informacji do innej jednostki bez zgody użytkownika. Spyware może być monitorem systemu, koniem trojańskim, adware`m, śledzącymi ciasteczkami i rejestratorami klawiatury.

23. Adware - Wyświetla irytujące wyskakujące okienka, aby generować dochód dla jego autora. Malware może analizować zainteresowania użytkownika, śledząc odwiedzane strony internetowe. Następnie może wysyłać reklamy w wyskakujących okienkach związane z tymi stronami.

24. Scareware - Zawiera oszukańcze oprogramowanie, które wykorzystuje inżynierię społeczną, aby wywołać szok lub lęk poprzez stworzenie postrzegania zagrożenia. Zazwyczaj jest kierowany do nieświadomego użytkownika i próbuje przekonać go do zainfekowania komputera, podejmując działania w celu rozwiązania fałszywego zagrożenia.

25. Phishing - Próbuje przekonać ludzi do ujawnienia wrażliwych informacji. Przykłady obejmują otrzymanie e-maila od banku z prośbą do użytkowników o ujawnienie numerów konta i PIN.

26. Rootkit - Instalowane na skompromitowanym systemie. Po zainstalowaniu kontynuuje ukrywanie swojego wtargnięcia i zapewnia uprzywilejowany dostęp do aktora zagrożenia.

27. Objawy zainfekowanego komputera:
  • Pojawienie się dziwnych plików, programów lub ikon na pulpicie
  • Programy antywirusowe i zapory sieciowe są wyłączane lub zmieniają ustawienia
  • Ekran komputera się zawiesza lub system się zawiesza 
  • E-maile są spontanicznie wysyłane bez Twojej wiedzy
  • Pliki zostały zmodyfikowane lub usunięte 
  • Zwiększone zużycie CPU i/lub pamięci 
  • Problemy z łączeniem się z sieciami 
  • Wolne prędkości komputera lub przeglądarki internetowej 
  • Działają nieznane procesy lub usługi 
  • Otwarte są nieznane porty TCP lub UDP Połączenia są nawiązywane z hostami w Internecie bez działania użytkownika
28. Ataki rozpoznawcze mają na celu zbieranie informacji. Techniki używane przez atakujących do przeprowadzenia tego typów ataków:
  • Wykonywanie zapytania informacyjnego o cel - atakujący szuka początkowych informacji o celu. Można użyć różnych narzędzi, w tym wyszukiwarki Google, strony internetowej organizacji, whois i innych.
  • Skanowanie pingiem sieci docelowej - zapytanie informacyjne zwykle ujawnia adres sieciowy celu. Aktor zagrożenia może teraz zainicjować skanowanie pingiem, aby określić, które adresy IP są aktywne.
  • Inicjacja skanowania portów aktywnych adresów IP - służą do określenia, które porty lub usługi są dostępne. Przykłady skanerów portów to Nmap, SuperScan, Angry IP Scanner i NetScanTools.
  • Uruchamianie skaneru podatności - służy do zapytania zidentyfikowanych portów, aby określić typ i wersję aplikacji i systemu operacyjnego, które są uruchomione na hoście. Przykłady narzędzi to Nipper, Secuna PSI, Core Impact, Nessus v6, SAINT i Open VAS.
  • Uruchamianie narzędzi do eksploatacji - atakujący próbuje odkryć podatne usługi, które mogą być wykorzystane. Istnieje wiele narzędzi do eksploatacji podatności, w tym Metasploit, Core Impact, Sqlmap, Social Engineer Toolkit i Netsparker.
29. Ataki dostępowe wykorzystują znane podatności w usługach uwierzytelniania, usługach FTP i usługach sieciowych. Celem tego typu ataku jest uzyskanie dostępu do kont internetowych, poufnych baz danych i innych wrażliwych informacji. Atakujący używają ataków dostępowych na urządzenia sieciowe i komputery, aby odzyskać dane, uzyskać dostęp lub zwiększyć uprawnienia dostępu do statusu administratora.

W atakach na hasła atakujący próbuje odkryć kluczowe hasła systemowe za pomocą różnych metod. Ataki na hasła są bardzo powszechne i można je przeprowadzić za pomocą różnych narzędzi do łamania haseł.

30. W atakach spoofingowych, urządzenie aktora zagrożenia próbuje podszyć się pod inne urządzenie, fałszując dane. Powszechne ataki spoofingowe obejmują spoofing IP, spoofing MAC i spoofing DHCP. Te ataki spoofingowe zostaną omówione bardziej szczegółowo później w tym module.

Inne ataki dostępowe obejmują:
  • Wykorzystanie zaufania 
  • Przekierowania portów 
  • Ataki typu “man-in-the-middle” 
  • Ataki typu “buffer overflow”
31. Atak man in the middle - atak polegający na podsłuchu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami bez ich wiedzy.

32. Socjotechnika - atak dostępowy, który próbuje manipulować jednostkami, aby skłonić je do wykonywania działań lub ujawniania poufnych informacji. 
  • Preteksting - atakujący udaje, że potrzebuje osobistych lub finansowych danych, aby potwierdzić tożsamość odbiorcy.
  • Phishing - atakujący wysyła fałszywy e-mail, który jest przebrany za wiadomość od prawdziwego, zaufanego źródła, aby oszukać odbiorcę i skłonić go do zainstalowania złośliwego oprogramowania na swoim urządzeniu lub do udostępnienia osobistych lub finansowych informacji.
  • Spear phishing - atakujący tworzy ukierunkowany atak phishingowy dostosowany do konkretnej osoby lub organizacji.
  • Spam - niechciane e-maile, które często zawierają szkodliwe linki, złośliwe oprogramowanie lub mylące treści.
  • "Coś za coś" - atakujący prosi o osobiste informacje od strony w zamian za coś, na przykład za prezent.
  • Baiting - atakujący zostawia zainfekowany złośliwym oprogramowaniem pendrive w publicznym miejscu. Ofiara znajduje napęd i nieświadomie wkłada go do swojego laptopa, nieumyślnie instalując złośliwe oprogramowanie.
  • Podszywanie się - atakujący udaje kogoś innego, aby zdobyć zaufanie ofiary.
  • Tailgating - atakujący szybko podąża za autoryzowaną osobą do zabezpieczonego miejsca, aby uzyskać dostęp do zabezpieczonego obszaru.
  • "Podglądanie przez ramię" - atakujący dyskretnie patrzy przez ramię kogoś, aby ukraść jego hasła lub inne informacje.
  • "Grzebanie w śmietniku" - atakujący przeszukuje kosze na śmieci, aby odkryć poufne dokumenty.
33. Atak typu Denial of Service (DoS) powoduje pewnego rodzaju przerwanie usług sieciowych dla użytkowników, urządzeń lub aplikacji. Istnieją dwa główne typy ataków DoS:
  • Przytłaczająca ilość ruchu - atakujący wysyła ogromną ilość danych z prędkością, której sieć, host lub aplikacja nie są w stanie obsłużyć. Powoduje to spowolnienie czasu transmisji i odpowiedzi. Może to również spowodować awarię urządzenia lub usługi. 
  • Złośliwie sformatowane pakiety - atakujący wysyła złośliwie sformatowany pakiet do hosta lub aplikacji, a odbiorca nie jest w stanie go obsłużyć. Powoduje to bardzo wolne działanie urządzenia odbierającego lub jego awarię.
Ataki DoS stanowią poważne ryzyko, ponieważ przerywają komunikację i powodują znaczne straty czasu i pieniędzy. Te ataki są stosunkowo proste do przeprowadzenia, nawet przez niewykwalifikowanego aktora zagrożenia.

34. Rozproszony atak DoS (DDoS) jest podobny do ataku DoS, ale pochodzi z wielu, skoordynowanych źródeł. Na przykład, złoczyńca buduje sieć zainfekowanych hostów, znanych jako zombie. Tzw. aktor zagrożenia korzysta z systemu poleceń i kontroli (CnC) do wysyłania poleceń kontrolnych do zombie. Zombie ciągle skanują i zarażają więcej hostów złośliwym oprogramowaniem bot. Złośliwe oprogramowanie bot jest zaprojektowane tak, aby zainfekować hosta, czyniąc go zombie, które może komunikować się z systemem CnC. Zbiór zombie nazywa się botnet. Gdy jest gotowy, aktor zagrożenia instruuje system CnC, aby botnet zombie przeprowadził atak DDoS.

35. Uczestnicy ataków DDoS:
  • zombie - oprogramowanie, które próbuje ciągle się samoreplikować jak robak
  • boty - złośliwe oprogramowanie, które służy do infekcji hosta i komunikowania się z systemem. Mogą one rejestrować wciśnięcia klawiszy, zbierać hasła, przechwytywać pakiety itp.
  • botnet - grupa zombie, która została zainfekowana
  • botmaster - sprawca zagrożenia, który ma kontrolę nad botnetem i handlersami
  • handlers - obsług głównego serwera dowodzenia i kontroli, która kontroluje grupy zombie
36. Metody ukrywania przez sprawców zagrożeń są następujące:
  • szyfrowanie i tunelowanie 
  • wyczerpanie zasobów
  • fragmentacja ruchu 
  • błędna interpretacja 
  • pivoting
  • rootkity
  • proxy