UDP scanning [skanowanie UDP] : Wyliczanie usług na maszynie docelowej przez zastosowanie pakietów UDP. Skanowanie UDP jest niewidocznym ;ale nieco zawodnym sposobem skanowania zdalnego hosta aby zobaczyć jakie ma uruchomione usługi. Niektóre przykłady usług sieciowych używających UDP to:
*Domain Name System (DNS)
*Dynamic Host Configuration Protocol (DHCP)
*Network Time Protocol (NTP)
*Remote Authentication Dial-In User Service (RADIUS)
*Routing Information Protocol (RIP)
*Simple Network Management Protocol (SNMP)
*Trivial File Transfer Protocol (TFTP)
Skanowanie UDP jest oparte na RFC 1122, co wskazuje ,że system powinien generować komunikat błędu Internet Control Message Protocol (ICMP) kiedy pakiet UDP dotarł do zamkniętego portu; to znaczy portu który nie jest w stanie LISTENING. W typowym exploicie atakujący używa skanera portów takich jak Nmap dl wysłania pakietów UDP dla każdego możliwego portu na hoście docelowym. Porty dla usług ,które są uruchomione nie generują odpowiedzi, podczas gdy porty które są zamknięte generują. Komunikat ICMP Destination Unreachable, Atakujący może zatem określić jakie porty nasłuchują na maszynie docelowej a potem użyć tej informacji dla przetestowania słabości tych usług. Tak to działa w teorii.W praktyce, stos protokołu TCP/IP dla pewnych systemów operacyjnych nie są całkowicie zgodne ze standardem RFC 1122, co oznacza ,że skanowanie UDP działa na niektórych platformach a na innych nie Również inne czynniki mogą wpływać na wiarygodność takiego podejścia
*Utrata pakietów z powodu przeciążenia sieci
*Filtrowanie pakietów przez firewall
*Niespotykana konfiguracja hosta
UDP tunnelling [tunelowanie UDP] : Metoda używająca UDP do ustanawiania ukrytego kanału. Ukryte kanały są kanałami komunikacyjnymi, które ukrywają niedozwolony przepływ informacji wewnątrz normalnego systemu komunikacyjnego. Jedną z metod ustanawiania kanału ukrytego w sieci Internet Protocol (IP) jest ukrywani danych w pakietach, które zwykle nie przenoszą ładunku. Przykładem jest tunelowanie UDP, które ukrywa dane w pakietach UDP używanych przez takie usługi jak Domain Name System (DNS). Jeśli firewalle są skonfigurowane dla przepuszczania takiego ruchu, informacja może wyciec z systemu bez wykrycia przez firewall lub system wykrywania włamań (IDS). Powsechnym zstosowaniem kanałów ukrytych jest komunikacja z backdoorami. Kiedy atakujący włamał się do systemu i zainstalował backdoor, kanał ukryty pozwala atakującemu na kontrolę systemu lub wyciek informacji za pomocą niewinnie wyglądających pakietów UDP. Najlepszym sposobem zabezpieczenia się przed tunelowaniem UDP jest zablokowanie niepotrzebnego ruchu UDP przez firewall i zablokowanie niepotrzebnych usług używających UDP
URLScan : Narzędzie do zabezpieczanie Internet Information Services (IIS). URLScan jest używany do kontroli przychodzących żądań do serwera i filtrowanie ich w oparciu o zasady określone przez użytkownika. URLScan pomaga chronić serwery IIS przez blokowanie potencjalnie szkodliwych URL′i, które mają następujące cechy :
*Są zbyt długie
*Żądają niezwykłych działań do wykonania
*Są zakodowane w alternatywnym zbiorze znaków
*Dołączają sekwencję znaków, które są rzadko spotykane w uzasadnionych żądaniach
Uer2sid : Narzędzie dla uzyskania identyfikatora bezpieczeństwa (SID) powiązanego z nazwą użytkownika. SID′y są integralną częścią platform Microsoft Windows i są łańcuchami które jednoznacznie identyfikuje podmiot zabezpieczeń w systemach Windows lub w sieci. Na przykład, do każdego konta użytkownika jest przypisany SID kiedy konto jest tworzone, a SID pozostaje taki sam nawet jeśli samo konto zmieniło nazwę. Z perspektywy wewnętrznych procesów i usług uruchomionych na komputerach Windows, jest SID ,który identyfikuje użytkownika użytkownika, a nie nazwę użytkownika konta. Ponieważ konto użytkownika jest głównym celem atakującego próbując naruszyć sieć, uzyskując SID′y kont przechowywanych na komputerach dostarczają informacji dla wykorzystania słabości. Narzędzie USer2sid pozwala użytkownikowi uzyskać SID konta opartego na wiedzy o nazwie użytkownika konta, która może zostać uzyskana w inny sposób; na przykład z adresu email, Używając User2sid razem z narzędziem Sid3user, które pozwala uzyskać nazwę użytkownika dla danego SID, atakujący może przełamać bezpieczeństwo systemu Windows i uzyskać przydatne informacje o kontach użytkownika w systemie. Zarówno USer2sid i Sid2user zostały stworzone przez Jewgienija Rudeja z Moskwy, w oparciu o informacje na temat Windows API. Oba narzędzia mogą być użyte przeciwko zdalnym maszynom z uruchomionym Windows NT lub późniejszych. Jednym ze sposobów zabezpieczenia się przed tymi narzędziami jest zablokowanie portu 139 TCP, który jest używany dla enumeracji sesji NetBIOS
UserDump : Narzędzie do wyliczania kona w systemie Windows. UserDump jest narzędziem stworzonym przez Hammer of God dla uzyskiwania identyfikatorów bezpieczeństwa (SID) kont użytkowników w systemie docelowym. UserDump robi to przez użycie zerowej sesji wyliczeniowej Server Message Block (SMB) połączonej z SIDwalkingiem, techniką która zaczyna się od określenia SID zdalnego systemu a potem powiększenie go do oczekiwanej wartości dla znalezienia kont użytkowników, poczynając od domyślnego konta Administratora. UserDump łączy się z portem 445 TCP dla wykonania enumeracji, a najprostszą obroną przeciwko temu exploitowi jest zablokowanie tego i innych portów NetBIOS a firewallu
user-level security [zabezpieczenia na poziomie użytkownika] : Ochrona udostępnianych zasobów przy użyciu uwierzytelniania użytkownika, Zabezpieczenie na poziomie użytkownika obejmuje przypisanie zezwoleń do użytkowników, jeżeli chcą posiadać dostęp do zasobów, w zależności od modelu sieci (grupy roboczej lub domeny), może to być lokalne uwierzytelnienie przez bazę danych SAM na komputerzez lokalnym lub uwierzytelnianie sieciowe przy zastosowaniu uslugi katalogowej Active Direcory. Zabezpieczenie na poziomie użytkownika jest inne niż zabezpieczenie na poziomie udostępnienia, co zawiera wykorzystanie hasła do kontropli dostępu do zasobów sieciowych w sieci. Ponieważ każdy użytkownik który zna hasło ma dostęp do udostępnienia, zabezpieczenie na poziomie współdzielenia dotyczą wszystkicj użytkowników w ten sam sposób niezleżnie od tego jakie prawa i uprawnienia posiada. Zabezpieczenie te mogą również zabezpieczać zasoby zarówno do użytku lokalnego jak i przez sieć, a zabezpieczenie na poziomie współdzielenia stosuje się dla zasobów udostępnionych w sieci. Zabezpieczenie na poziomie użytkownika jest cechą systemów plików, takich jak system plików NTFS.