Подмена адреса источника атаки

Большинство злоумышленников организуют свои атаки с промежуточных серверов, которые они уже взломали, или с proxy-серверов. Таким образом, найти того, кто атакует ваш узел, будет очень трудно. Активное блокирование атак с помощью межсе­тевых экранов, фильтров на маршрутизаторах и других устройствах может привести к отрицательному результату, т. е. к тому, что вы заблокируете не злоумышленника, а вполне реальный адрес, которому возможно необходим доступ к вашим инфор­мационным ресурсам.

Создание фальшивых пакетов

Сканер nmapимеет возможность обманного сканирования, когда вместо реальныхIP-адресов источника проставляются другиеIP-адреса. Тем самым перед администратором системы обнаружения атак ставится непростая задача: обнаружить среди множества зафиксированных в журналах регистрацииIP-адресов только один реальный, с которого дейст­вительно производилось сканирование.

Фрагментация атаки

Фрагментация — механизм разбиения IP-пакета на множество более мел­ких. При получении таких пакетовTCP/IP-устройство собирает эти пакеты и передает конечному приложению или повторно фрагментирует их и передает дальше. Большинство современных систем обнаружения атак не имеет механизма дефрагментацииIP-пакетов. Эти системы пропускают такого рода пакеты (возможно, выдавая на консоль администратора соответ­ствующее сообщение об обнаружении фрагментированных пакетов).

Отказ от значений по умолчанию

Очень часто механизмы обнаружения атак исходят из предположения, что порт однозначно идентифицирует протокол или сервис. Например, порт 80 относится к протоколу HTTP, порт 25 — к протоколуSMTP, порт 23 — к протоколуTelnet, порт 31337 — к "троянцу"BackOrifice, и т. д. Злоумыш­ленники пользуются этим и могут задействовать стандартные протоколы на нестандартных портах. Например, злоумышленник может заменить значе­ние по умолчанию дляBackOrifice(31337) на 31338.