Fair Information Practices (FIP) [ochrona danych osobowych] : Zestaw standardów rządzących gromadzeniem i wykorzystywaniem danych osobowych. Ochrona i prywatność danych osobowych wyraźnie wzrosła ze wzrostem e-handlu w Internecie. FIP można ująć w pięciu podstawowych zasadach :
• Powiadomienie : Agencje zbierające dane osobowe od osób fizycznych muszą poinformować te osoby o tym zbiorze i zasadach użytkowania
• Wybór : Osoby fizyczne muszą być w stanie określić jak zebrane informacje powinny być stosowane
• Dostęp : Osoby fizyczne muszą być w stanie przeglądać, modyfikować i zakwestionować prawdziwość danych osobowych zebranych o nich
• Bezpieczeństwo : Agencje zbierające dane osobowe muszą chronić takie informacje przed nieautoryzowanym dostępem
• Egzekwowanie : Powinny być mechanizmy w celu stosowania tych praktyk w celu zapewnienia ich zgodności
Inne ważne zasady to:
• Integralność danych : Agencje zbierające dane osobowe muszą zarządzać integralność zebranych danych
• Dalszy transfer : Agencje zbierające dane musza informować te osoby,na temat ich polityki przekazywania tych danych innym agencjom
• Zadośćuczynienie : Osoby fizyczne muszą mieć jakieś dostępne środki dla ustalenia ,że agencja trzymająca ich dane osobiste nie nadużyła tych danych lub zezwala na ich nadużywanie.
false negative [fałszywie ujemne] : Raportowanie złośliwych zdarzeń jako łagodnych, przez system bezpieczeństwa. Fałszywie ujemne występują kiedy firewall , system wykrywania włamań (IDS) lub inne sieciowe urządzenia bezpieczeństwa identyfikują złośliwe zdarzenia jako łagodne. Fałszywie ujemne są zatem błędem tych systemów zabezpieczeń przy prawidłowej identyfikacji prób przeniknięcia obrony sieci. Mogą być powodowane przez błędną konfigurację systemu bezpieczeństwa lub podstawowe wady w jego budowie. Fałszywi ujemne mogą mieć katastrofalne skutki dla sieci i chronionego urządzenia. Penetracja obrony sieci może skutkować utratą lub kradzieżą danych, a złamany system może być wykorzystywany do nielegalnych celów , takich jak uruchomienie ataku DDoS przeciwko innej sieci. Najlepiej dostroić system zabezpieczeń, wby wyeliminować fałszywie ujemne, niż fałszywie dodatnie , bo fałszywe alarmy wymagają dodatkowej pracy dla administratorów.
false positive [fałszywie dodatni] : Raportowanie łagodnych zdarzeń jako złośliwych przez system zabezpieczeń. Fałszywie pozytywne są pewnego rodzaju zdarzeniami generowanymi przez firewall, system wykrywania włamań (IDS) i inne urządzenia bezpieczeństwa. Fałszywie dodatnie są generowane kiedy system wyzwalany jest z powodu ruchu kiedy pojawia się niebezpieczeństwo ale w rzeczywistości nie są. Mogą być wyzwalane ponieważ czułość systemów bezpieczeństwa jest ustawiona zbyt wysoko lub z powodu podstawowego błędu w konstrukcji systemu. Fałszywie dodatnie są niepożądane ponieważ zwiększają pracę administratorów, którzy muszą analizować je aby wyodrębnić je z prawdziwych prób włamań. To drenuje zasobu i zwiększa koszt zarządzania systemem bezpieczeństwa. Przez właściwe dostrojenie firewalla lub IDS, odsetek fałszywie dodatnich alarmów można zazwyczaj ograniczyć do dopuszczalnych poziomów, a inteligentne systemy można również zaprogramować, aby dowiedzieć się jak rozróżnić między fałszywymi alarmami a zdarzeniami autentycznymi. Fałszywie dodatnie są mniejszym problemem niż fałszywie ujemne , co wskazuje ż system bezpieczeństwa nie wykonuje swojego zadania.
fast packet keying : Wzmocnienie algorytmu RC4 używanego przez Wired Equivalent Privacy (WEP). WEP jest protokołem bezpieczeństwa dla ochrony bezprzewodowych sieci lokalnych (WLAN) 802.11b, przed podsłuchiwaniem. WEP cierpi na słabości ,jednak fast packet keying jest jedną z metod rozwiązania tego problemu. Podczas gdy standardowe implementacje WEP używają unikalnego tajnego klucza RC4 dla każdej sesji komunikacyjnej, fast packet keying używa unikalnego klucza dla każdego pakietu danych jaki jest nadawany, czyniąc je trudniejszymi do podsłuchania w komunikacji bezprzewodowej. Fast packet keying został zaproponowany przez dwie firmy RSA Security i Hifn ,jako rozwiązanie które może być zaimplementowane przez aktualizację firmware istniejących produktów 80.11b
Federal Information Processing Standard (FIPS) : Szereg standardów stworzonych przez National Institute of Standards and Technology (NIST) dla federalnych systemów komputerowych.. Publikacje FIPS są stworzone dla zastosowania przez rządowe agencje USA oraz ich partnerów. Pokrywają one różne aspekty technologii informatycznej. Standardy FIPS są stworzone głównie w odpowiedzi na potrzeby interoperacyjności i bezpieczeństwa, kiedy brak standardów przemysłowych. Publikacje FIPS są . Publkacje FIPS są opracowywane przy użyciu otwartego procesu który zapewnia zainteresowanym stronom możliwość zgłaszania uwag. Przykładami dobrze znanych publikacji FIPS , które mają znaczący wpływ na przemysłową technologię są :
- FIPS 46-3 Data Encryption Standard (DES)
- FIPS 161-2 Electronic Data Interchange (EDI)
- FIPS 180-1 Secure Hash Standard (SHS)
- FIPS 186-2 Digital Signature Standard (DSS)
- FIPS 197 Advanced Encryption Standard (AES)
- FIPS 198 Keyed-Hash Message Authentication
Code (HMAC)
Federal Information Technology Security Assessment Framework (FITSAF) : Metodologia oceny bezpieczeństwa systemów informatycznych. FITSAF został zaproponowany w 2000 roku przez Chief Information Officers (CIO) Council, agencję federalną, która pomaga innym agencjom rządowym USA modernizować ich usługi informacyjne. FITSAF stworzono do pomocy agencjom rządowym do oceny gotowości swoich programów bezpieczeństwa informacji poprzez zapewnienie odpowiedniej polityki, programów i procedur na miejscu i ich właściwej implementacji, dokumentacji i przetestowania. Internal Revenue Services (IRS) przyjęła FITSAF jako podstawę do oceny własnego programu bezpieczeństwa.
file integrity checker : Oprogramowanie, które chroni systemy przed modyfikacją lub zastępowaniem plików. Kiedy atakujący złamie zabezpieczenia systemu , często stara się zastąpić kluczowe pliki systemowe wersjami zainfekowanymi trojanami dla instalacji tylnych drzwi, dla późniejszego wejścia. File integrty cheker pozwala pokonać takie ataki przez wykrywanie , kiedy pliki systemowe zostały zmodyfikowane lub zastąpione. Zwykle robi się to przez obliczenie sumy kontrolnej systemu plików bezpośrednio po zainstalowaniu systemu operacyjnego. Można o zrobić za pomocą 32 bitowej cyklicznej kontroli nadmiarowej (CRC) lub bezpieczniej za pomocą algorytmów kryptograficznych takich jak MD5 czy Secure Hash Algorithm-1 (SHA-1). Porównując wyliczoną wartość początkową z późniejszą, można wykryć zmiany w pliku, w tym modyfikację atrybutów pliku, uprawnienia, czas modyfikacji, rozmiar itd.
File Signature Verification (FSV) : Funkcja sprawdzania plików MS Windows File Protection (WFP). FSV może być użyte dla weryfikacji czy pliki na platformach MS Windows nie zostały zmodyfikowane. Poczynając od Windows 2000, Microsoft podpisywał kluczowe pliki systemowe używając podpisu cyfrowego gwarantującego i chroniącego integralność takich plików. Używając FSV, możesz zweryfikować czy podpisany plik nie został zmodyfikowany i ,że faktycznie jest oryginalnym, niezmodyfikowanym plikiem zainstalowanym podczas instalacji. Możesz również użyć FSV do skanowania swojego systemu pod kątem niepodpisanych plików, które można znaleźć. To chroni twój system zarówno przed napastnikami , którzy próbują modyfikować pliki instalując konie trojańskie na złamanym systemie i przeciwko aplikacjom, które okazjonalnie próbują nadpisywać ważne pliki systemowe
file slack : Niewykorzystane miejsca na dyskach twardych, na których można ukryć ważne dane. Ważnym zadaniem informatyki śledczej jest uzyskiwanie dowodów dla analizy danych przechowywanych na dyskach twardych. Wiele osób nie zdaje sobie sprawy, że proste usunięcie plików z dysku niekoniecznie zabezpiecza cennych informacji przed ich odzyskaniem. Jest tak ponieważ usunięcie plików usuwa je tylko z tablicy plików a nie same pliki. Aby zrozumieć file slack i związane z nią pojęcie slack RAM (random access memory), najpierw trzeba zrozumieć jak dane są przechowywane na dysku.System operacyjny zwykle zapisuje cyfrowe informacje na dyskach w blokach o stałych rozmiarach zwanych sektorami, które są o rozmiarze 512 bajtów. Rzeczywiście pliki są zapisywane do większych bloków nazywanych klastrami, które składają się z jednego lub więcej sektorów i zakresie od 512 bajtów do 256 kilobajtów (KB) a duże, zależne od rozmiaru sformatowanego woluminu i używanego systemu plików (NTFS lub FAT). Kiedy plik jest zapisywany na dysk, używana jest integralna liczba klastrów. a ostatni klaster generalnie składa się z pewnej nieużywanej przestrzenia zwanej file slack. Zazwyczaj zawiera dane z wcześniejszego pliku, który korzystał z tego klastra, a przez jego zbadanie możliwe jest wyodrębnienie użytecznych dowodów. Na dużym dysku twardym, file slack może mieć wiele gigabajtów zawierających elementy plików wcześniej usuniętych przez użytkownika. Ostatni sektor ostatniego klastra dla pliku może zawierać inny typ slack zwany RAM slack. To dlatego, że system operacyjny dopełnia dane zapisywane do sektora z losowymi danymi pobieranymi z RAM w celu uczynienia rozmiaru 512 bajtowego, rozmiaru sektora dysku twardego. RAM slack może być nawet ważniejszym źródłem dowodów sądowych niż file slack, systemy operacyjne często utrzymuje hasła i inne ważne informacje w RAM a te informacje mogą znaleźć swoją drogę do RAM slack, a zatem potajemnie przechowywane na dysku
file system traversal attack : Kodowanie luki pozwalającej użytkownikowo na dostęp do plików w katalogach nadrzędnych. File system traversal odnosi się doo procesu zmiany bieżącego katalogu. Na przykład w Microsoft Windows polecenie cd..\.. wiersza poleceń przenosi bieżący katalog dwa poziomy w górę w kierunku nadrzędnym. File system traversal attack polega na wprowadzeniu takiej składn w ciągu poleceń dla Common Gateway Interface (CGI) lub innych aplikacji sieciowych, umożliwiających atakującemu na dostęp do plików w katalogach powyżej katalogu głównego sieciowego. Może to umożliwić atakującym na odczyt plików nie przeznaczonych do użytku publicznego, a nwet wykonywania skryptów lub innych aplikacji i uzyskanie kontroli nad serwerem. File system traversal attacks są wynikiem niewłaściwego parsowania kodu serwer. Są łatwe do wykonania i nie wymagają specjalnych narzędzi, dzięki czemu są ulubione przez niedoświadczonych hackerów. Luki takich ataków zostały odkryte w większości serwerów sieciowych, ale zostały usunięte. W najprostszej formie , ta luka jest nazywana liką dot bug
filtr : Mechanizm dla usuwania niechcianych danych. Wiele typów komputerów i systemów bezpieczeństwa sieciowego implementuje filtrowanie pewnego typu. Jednym z przykładów jest router filtrowania pakietów, który przepuszcza lub blokuje ruch w oparciu o adresy Internet Protocol (IP) i porty informacyjne w oparciu o zasady skonfigurowane przez administratorów. Innym zastosowaniem filtrów jest wiadomość elektroniczna, gdzie filtry są używane na serwerach pocztowych i klienckich dla blokowania spamu i innych niechcianych maili. Filtry są również używane w firewallach, systemach wykrywania włamań (IDS) i innych aplikacjach do ochrony systemów i poprawy wydajności. Typowy filtr zazwyczaj składa z szeregu zasad. Każda zasada obejmuje warunek i działanie podejmowane, gdy warunek jest spełniony. Na przykład w filtrze e-maila, warunkiem może być obecność niedopuszczalnego słowa w temacie otrzymanej wiadomości i działanie jakie należy podjąć , gdy warunek jest spełniony. Filtry generalnie stają się z zasad, ale jeśli mamy zbyt wiele zasad, filtry stają się trudne do zarządzania a ich wpływ jest trudny do przewidzenia
Finger : Polecenie platformy UNIX dla uzyskiwania informacji o użytkownika. Finger jest poleceniem dla uzyskiwania informacji o użytkowniku w sieci UNIX. Ta informacja może obejmować pełną nazwę użytkownika, domyślną powłokę użytkownika i ostatni czas logowania się użytkownika. Składania dla tego polecenia to finger user-id@domena, gdzie domena jest w pełni kwalifikowaną nazwą domeny (FQDN) do jakiej należy użytkownik. Aby Finger zadziałał, w sieci podsatwowej musi być uruchomiony demon Finger (usługa), a ponieważ atakujący może użyć tego narzędzia dla śledzenia sieci aby zaplanować atak, większość organizacji wyłącza demona Finger w sieciach UNIX, oprócz kilku ośrodków akademickich.
fingerprinting : Określanie tożsamości zdalnego systemu przez analizowanie pakietów przezeń generowanych. Fingerprinting jst techniką używaną przez atakujących dla określania produktu i informacji o wersji o systemie operacyjnym i aplikacjach uruchomionych na zdalnym systemie. Ta technika jest nazwana fingerprinting ponieważ każda platforma lub numer wersji dla oprogramowania generalnie ma swój określony sposób odpowiedzi na różne żądania, które go jednoznacznie identyfikują, podobnie jak odciski palca jednoznacznie identyfikują daną osobę.. Kiedy atakujący ma "odcisk palca" zdalnego hosta określony system operacyjny i wersję, atakujący może skonsultować się z bazą danych znanych luk dla tej platformy i uruchomić atak. Fingerprint może być albo aktywny albo pasywny. W aktywnym fingerprintingu, atakujący wysyła różne rodzaje pakietów do systemu docelowego i obserwuje wynik .W pasywnym fingerprintingu, atakujący analizuje zwykły ruch generowany przez system docelowy, na przykład przez przechwycenie wiadomości e-mail i analizowanie nagłówków. Niektóre metody używane foa aktywnego fingerptintingu systemu obejmuje następujące:
• Wysyłanie poprawnych żądań do wspólnych portów (na przykład Hypertext Transfer Protocol (http), GET na porcie 80) i obserwowanie wyników. Niektóre serwery sieciowe odpowiadają na takie żądanie przez wysłanie swoich nazw i numeru wersji w początkowych odebranych pakietach. Takie podejście może być również użyte dla innych wspólnych protokołów w tym File Transfer Protocol (FTP), Simple Mail Transfer Protocol (SMTP) i telnet
• Wysyłanie niepoprawnych danych do wspólnego portu i obserwowanie wyników. Komunikaty o błędach zwracane przez usługi są często wersją systemu i bardziej specyficzne niż normalne odpowiedzi na poprawne żądania. Jednym ze sposobów tworzenia takich danych jest dodanie specjalnych znaków takich jak "∼" lub "*" dla standardowych żądań aby wykorzystać znane luki w pewnych aplikacjach i platformach. Bardziej złożne metody obejmują stworzenie nieprawidłowego protokołu Internet Protocol (IP), Transmission Control Protocol (TCP) lub Internet Control Message Protocol (ICMP) i analizowanie jak system docelowy odpowiada na takie pakiety
• Za pomocą skanera portów , takiego jak Nmap, aby zidentyfikować jakie porty są otwarte w systemie docelowym i porównać wyniki z bazą danych takich informacji dla różnych wersji platform i wersji
FIP (Fair Information Practices) [ochrona danych osobowych] : Normy dotyczące zbierania i wykorzystywania danych osobowych
firewall [zapora ogniowa] : Urządzenie lub aplikacja do ochrony sieci lub hosta przed wrogim ruchem sieciowym. Firewalle monitorują i kontrolują przepływ ruchu sieciowego między dwoma sieciami lub między hostem a jego siecią. Firewalle są zazwyczaj umieszczane w miejscu w którym sieć łączy się z Internetem i działa jako punkt dławiący dla sterowania jaki ruch może bezpiecznie przejść przez sieć. Firewalle zatem działają jako rodzaj stróża dla sieci, kontrolując co wchodzi i co wychodzi . Na przykład firewall można skonfigurować aby zezwalał na ruch http na porcie 80 dla swobodnego przejścia między siecią a Internetem, a jednocześnie blokował cały ruch Telnetu na porcie 23. Jest kilka różnych typów firewalli. Trzy podstawowe typy firewalli są następujące
• Routery filtrujące pakiety : Zwane również routerami ekranującymi, te firewalle są routerami, które mogą być skonfigurowane z szeregiem zasad dla zezwolenia, odrzucenia lub zredukowania pakietów przychodzących i wychodzących opartych o adresy Internet Protocol (IP) lub numery portów. Routery filtrowania pakietów działają na warstwie sieciowej a połączone z tłumaczeniem adresów sieciowych (NAT) mogą dostarczyć sieci z pierwszym poziomem obrony. Zaletą takich routerrów jest to ,że działają bardzo szybko i mogą przetwarzać pakiety z szybkością łącza transmisji
• circuit-level gateways [brama na poziomie łącza] : Te firewalle nasłuchują uzgodnionych żądań Transmission Control Protocol (TCP) z zewnętrznych hostów i decydują czy zaakceptować czy odrzucić taki wniosek w oparciu o numery portów. Kiedy firewall akceptuje uzgodnione żądanie, sesja TCP jest ustanawiana między firewallem a zdalnym hostem. Potem firewall ustanawia oddzielną sesję proxy z wewnętrznego hosta z którym zdalny host próbuje się skomunikować a komunikacja między dwoma sesjami używa wewnętrznego połączenia między nimi. Połączenie bramy na poziomie łącza z filtrowaniem pakietów zapewnia wyższy poziom obrony niż samo filtrowanie pakietów.
• Application-level gateway [brama warstwy aplikacji] : Są podobne do bram na poziomie łącz ale mogą również filtrować ruch oparty o protokół warstwy aplikacji używany przez http lub FTP. Kiedy brama na poziomie łącz mogą zezwalać na dowolny protokół dla ustanowienia połączenia proxy TCP przez port 80, brama warstwy aplikacji będzie tylko pozwalała na właściwie sformatowany ruch http i blokował inne aplikacje, takie jak peer-to-peer (P2P), program wymiany plików, który może próbować używać tego portu. Bramy warstwy aplikacji mogą również rejestrować ruch, wykonywać uwierzytelnienia, konwertować protokoły i wykonywać inne przydatne działania. Są one bardziej złożone niż pozostałe typy firewall, jednak ponieważ wymagają konfiguracji dla każdego protokołu warstwy aplikacji na których ruch będzie mógł przechodzić. Wymagają one dużych nakładów i zwykle wymagają specjalnego oprogramowania lub konfiguracji przez użytkownika. Połączenie ekranowania warstwy aplikacji z filtrowaniem pakietów zapewnia wysoki poziom ochrony sieci. Większość firewalli zawiera połączenie wszystkich trzech metod opisanych w z dodatkowymi zastrzeżonymi technologiami opracowanymi przez producentów firewalli.
footprinting : Metoda używana przez atakującego dla identyfikacji potencjalnych celów do zaatakowania sieci. Footprinting jest pierwszym krokiem ywkonywanym przy próbie hackowania sieci. Footprinting odnosi się do procesu zbierania informacji tak wiele jak się da o sieci z publicznie dostępnych źródeł. Celem jest stworzenie mapy sieci do identyfikacji systemów i aplikacji, które mogą być celem ataku. Przykłady sposobów w jaki atakujący może "śledzić" sieci są następujące:
• Odwiedzenie strony sieciowej firmy szukając publicznie dostępnych informacji, które mogą być przydatne
• Korzystanie z wyszukiwarek, aby spróbować znaleźć inne przydatne informacje na temat firmy, takie jak anonimowa strona File Transfer Protocol (FTP) i słabo zabezpieczonych stron intranetowych
• Korzystanie z whois na stronie rejestratora domeny, aby dowiedzieć się więcej na temat nazwy domeny firmy i bloków adresowych Internet Protocol(IP)
• Użycie Nslookup i innych narzędzi ,aby wypróbować transfer stref z serwera nazw Domain Name System (DNS)
• Użycie ping lub fping dla przebadania obecności hostów wewnątrz bloku adresów IP należących do sieci
• Użycie Tracert dla próby zlokalizowania routerów i mapy podsieci dla sieci docelowej
• Użycie Nmap dla skanowania tożsamości platform systemów operacyjnych i wersji
Kiedy atakujący przeskanował sieć , kolejnym krokiem jest zazwyczaj enumeracja uruchomionych usług sieciowych aby próbować znaleźć w nich luki
FORTEZZA : Technologia kryptograficzna stworzona przez National Security Agency (NSA) dla rządu USA. FORTEZZA została stworzona przez NSA jako część Multi-Level Information Systems Security Initiative, i definiuje zbiór standardowych interfejsów programistycznych dla algorytmów kryptograficznych implementowanych w bezpiecznych urządzeniach sprzętowych. Przykładem urządzenia FORTEZZA jest karta kryptograficzna, karta PCMCIA , która zawiera klucz kryptograficzny w specjalnym utwardzonym przypadku z wbudowanymi czujnikami w celu ochrony przed manipulacją Używając tej karty, pracownik rządu może bezpiecznie zalogować się do sieci z ograniczeniami takimi jak Defensce Messaging System (DMS) dla wysłania i odbierania zaszyfrowanych e-maili lub komunikować się przez zaszyfrowaną linię telefoniczną
Forum of Incident Response and Security Teams (FIRST) : FIRST jest globalnym forum dla koordynowania działań organizacji reagujących na incydenty w przemyśle , rządzie, obronie i środowisku akademickim. FIRST został założony w 1990 roku i obejmuje ponad 100 członków z całego świata wliczając w to :
• CERT/CC : CERT Coordination Center
• AusCERT ; Australian Computer Emergency Response Team
• DFN- CERT : German Computer Incident Response Team
• JPCERT/CC : Japan CERT Coordination Center
•DOD-CSER : U.S. Departament of Defense CERT
Rolą FIRST jest dostarczenie zaufanego forum dla wzajemnego współdzielenia się informacją
Fping : Narzędzie do testowania połaczeń sieci z hostami. Jest to skrót od "fast ping" i jest narzędziem wiersza poleceń dla pingowania hostów aby zobaczyć czy są obecne i uruchomione w sieci Transmission Control Protocol/Internet Protocol (TCP/IP) W przeciwieństwie do Ping, który może użyty do pingowania jednego hosta w danej chwili, Fping może być użyty to powtarzalnego pingowania szeregu hostów określonych w powiązanym pliku tekstowym. Może być również użyty do pingowania szeregu hostów pochodzących z określonej maski sieci lub zakresu adresów Internet Protocol. Z powodu tej powiększonej funkcjonalności, Fping może być użyty w skryptach dla automatycznego pingowania sieci w sposób okrężny, a dane wyjściowe mogą być parsowane i analizowane dla uzyskania informacji o sieci docelowej. Fpng został zaprojektowany przez Rolanda Schemersa z Uniwersytetu Stanforda.
Fpipe : Narzędzie do przekierowywania portów. Jest to darmowe narzędzie stworzone przez Foundstone , które może być użyte do tworzenia własnych strumieni pakietów TCP lub Use Datagram Protocol (UDP) używając portów źródłowych jakie określiłeś. Używając Fpipe możesz pominąć bezpieczeństwo firewalla przez wysłanie dowolnego ruchu przez dowolny otwarty port na firewallu. Fpipe działą przez niebezpośredniość i oczekuje na klienta do połączenia z jego portem nasłuchującym, po czym ustanawia strumień danych TCP lub UDP z hosta docelowego wewnątrz firewalla. Fpipe może być zainstalowany albo na komputerze klienta albo może znajdować się na innym hoście poza siecią.
Fport : Narzędzie wyświetlające jakie usługi nasłuchują w sieci. Fport jest darmowym narzędziem stworzonym przez Foundstone, które wykrywa porty TCP lub UDP nasłuchujące w systemie docelowym w sieci. Narzędzia takie jak Netstat mogą być użyte do podobnych celów, Fport również mapuje porty nasłuchujące do ich odpowiednich aplikacji i może być użyty do określania jakie usługi sieciowe są dostępne w systemie docelowym. Przez wyświetlenie otwartych portów i aplikacji nasłuchujących, Fport może być pomów w wykrywaniu koni trojańskich lub tylnych drzwi zainstalowanych na naruszonym systemie. Profesjonaliści mogą użyć tego narzędzia do weryfikacji czy system został poprawnie zamknięty przez wyłączenie niekoniecznych usług.
fragmentacja : Podział pakietów Internet Protocol(IP) na mniejsze części. Fragmentacja jest niezbędna dla umożliwienia pakietom IP przechodzenia ranic między mediami wspierającymi różne maksymalne rozmiary pakietów. Fragmentacja może być również użyta jako metoda ukrywania ataku w sieci przez unikanie wykrycia przez systemy wykrywania włamań (IDS). Przykładem narzędzia, które może być użyte do tego celu może być Fragrouter, która pobiera strumień pakietów IP i fragmentuje je używając różnych schematów dla uniknięcia wykrycia. Fragrouter również przydaje się specjalistom do spraw bezpieczeństwa jako narzędzie testowania IDS′ów aby zobaczyć czy są w stanie wykryć i zablokować taki rozdrobniony ruch. Pofragmentowane strumienie danych mogą być również użyte do ataków Denial of Service (DoS) na różne platformy. Utrzymywanie systemu operacyjnego z aktulanymi poprawkami zazwyczaj zabezpiecza twoją sieć przed podatnością na taki atak.
FTP bounce attack : Atak, który wykorzystuje wady konstrukcyjne File Transfer Protocol (FTP). Kiedy klient FTP ustanawia połączenie z serwerem FTP, klient zazwyczaj wysyła polecenie PORT , które mówi serwerowi jakiego numeru portu klient będzie używał dla połączenia kanału danych do portu 20 na serwerze. Ponieważ standard FTP zezwala na dowolny adres IP i numer portu, które mają być używane jako miejsca przeznaczenia przez polecenie PORT, atakujący może złośliwie nawiązać połącznie z serwerem FTP w celu obejścia zapory lub skanowania portów bez wykrycia. Aby obejść ten problem, sprzedawcy zwykle modyfikują swoje programy serwera FTP niestandardowymi mechanizmami dla zabezpieczenia się przed atakiem odrzuceń. Jednym z podejść jest zmodyfikowanie polecenia PORT tak aby można było wysłać tylko adres IP klienta, który uprzednio ustanowił połączenie kanałem kontrolnym do portu 21 na serwerze. Zapobiega to połączeniom z dowolnymi maszyn z przymusu na serwerze przez atakowanego klienta