Сеть как поле боя
Сетевые атаки — это попытки злоумышленников использовать уязвимости сетевых протоколов, устройств или конфигурации для несанкционированного доступа, перехвата данных или нарушения работы. В отличие от вредоносного ПО, сетевые атаки часто не требуют установки программ на устройство жертвы.
Разведка: сканирование
Перед атакой злоумышленник проводит разведку. Сканирование портов (port scanning, инструмент Nmap) — определение открытых портов и сервисов на целевом хосте. Открытый порт 22 = возможно, SSH-сервер. Открытый 3306 = возможно, MySQL. Это карта атаки.
Fingerprinting — определение операционной системы и версий программ по особенностям ответов на сетевые запросы. Зная версию — можно искать конкретные уязвимости.
MITM — человек посередине
Man-in-the-Middle (MITM) — злоумышленник перехватывает коммуникацию между двумя сторонами. Обе стороны думают, что общаются напрямую — на самом деле всё проходит через атакующего.
ARP-спуфинг — метод MITM в локальной сети. ARP-протокол связывает IP-адреса с MAC-адресами. Атакующий посылает поддельные ARP-ответы: «мой MAC-адрес — это IP-адрес роутера». Весь трафик идёт через него.
DNS-атаки
DNS-спуфинг (DNS cache poisoning) — подмена записей в DNS-кэше. Пользователь обращается к bank.ru — получает IP-адрес фишингового сайта. Защита: DNSSEC (подпись DNS-записей), использование защищённого DNS-over-HTTPS.
Перехват сессии
Session hijacking — перехват активной сессии пользователя. Если атакующий получил cookie сессии (через MITM или XSS), он может действовать от имени жертвы без пароля. Защита: HTTPS, флаги Secure и HttpOnly у cookie, короткое время жизни сессии.
Защита
Шифрование трафика (TLS/HTTPS), сегментация сети, мониторинг (IDS), строгие правила файрвола, регулярное обновление ПО — базовые меры против сетевых атак.