Eine weitere Unterteilung der Angriffe läßt sich vornehmen, wenn man die Angriffsmethoden unterscheidet, die vom Angreifer verwendet werden. Zunächst werden die unterschiedlichen Angriffsmethoden dienstorientierter Angriffe beschrieben:
Gelingt es dem Angreifer in den Besitz des Authentifikationsschlüssels zu gelangen, so stehen ihm sämtliche Möglichkeiten offen, die auch einem autorisierten Benutzer des Systems zur Verfügung stehen würden.
Diese Schlüssel, meist handelt es sich um einfache Paßworte, kann der Angreifer mit verschiedensten Methoden erlangen. Ist er erst einmal im Besitz eines gültigen Paßwortes, so kann kein Firewall-System mehr unterscheiden, ob es sich um einen rechtmäßigen Benutzer oder um einen Angreifer handelt. Eine wirksame Verteidigung gegen diese Angriffsmethode ist also nicht vorhanden. Stattdessen muß der Angreifer daran gehindert werden, den Authentifikationsschlüssel zu erlangen bzw. die Wiederverwendbarkeit eines bereits verwendeten Schlüssels muß ausgeschlossen sein.
Bei dieser weitverbreiteten Angriffsmethode versucht der Angreifer, ohne Kenntnis des entsprechenden Schlüssels, Resourcen zu nutzen bzw. Daten zu manipulieren. Hierzu stehen ihm zwei Möglichkeiten zur Verfügung:
Server sind Programme, die dazu dienen, autorisierten Netzteilnehmern gewisse Dienste zu erfüllen, z. B. Daten zur Verfügung zu stellen. Gelingt es nun einem Angreifer, das Authentifikationssystem des servers zu umgehen, so kann er die Dienste des servers in Anspruch nehmen, ohne über den erforderlichen Schlüssel zu verfügen.
Unter Umständen kann ein Angreifer einen autorisierten Benutzer dazu bringen, bestimmte Kommandos auszuführen, die entweder den Angriff selber darstellen oder aber weiterführende Angriffe gestatten.
Wenn ein Angreifer einen server mit einer großen Anzahl von Anfragen belastet, so kann es passieren, daß der Server nicht mehr in der Lage ist, sämtliche Anfragen korrekt zu bearbeiten. Der überlastete server wird einen Großteil seiner Ressourcen einsetzen, um die Anfragen des Angreifers zu beantworten, was im Extremfall bis zum Ausfall des servers aufgrund eines Fehlers oder eines Speicherengpasses wegen der Zwischenspeicherung der eintreffenden Pakete führen kann.
Ebenso wie bei den dienstorientierten Angriffen lassen sich auch die nicht-dienstorientierten Angriffe nach der Angriffsmethode klassifizieren:
Maskerade ist der Angriff, bei dem eine bestimmte Einheit, z. B. ein bestimmter Rechner, vorgibt, eine andere Einheit zu sein [X.800]
Diese Angriffsmethode wird vorwiegend eingesetzt, um server zu täuschen, die die IP-Adresse des Absenders als einzige Authentifikation benutzen, sie wird auch als IP-Spoofing bezeichnet.
Ähnlich wie bei der Überlastung eines bestimmten Servers kann man auch das gesamte Netz überlasten, um es für den normalen Datenverkehr unbrauchbar zu machen.
Beispiel hierfür ist das Auslösen eines sogenannten broadcast storm, d. h. das Versenden einer Nachricht an alle Rechner des Netzes, die diese auffordert, ebenfalls eine derartige Nachricht zu verschicken. Somit kann in kurzer Zeit der gesamte Verkehr im Netz zum Erliegen gebracht werden.
Das Abhören des Netzverkehrs ist die einzige Methode, die für passive Angriffe zur Verfügung steht. Hierbei kann ein Angreifer mit Hilfe geeigneter Software den gesamten Netzverkehr überwachen und somit in den Besitz von Daten gelangen, für die er keine Autorisation besitzt.
Dieses Abhören des Netzverkehrs, häufig auch als wire-tapping bezeichnet, kann man wieder unterscheiden in das Abhören eines externen Netzes sowie das Abhören des internen Netzes.
Das Abhören eines externen Netzes ist jedem möglich, der Zugang zu diesem Netz hat. Somit kann man also nie sicher sein, wenn eine Nachricht über ein öffentliches Netz übertragen wird, daß der Inhalt der Nachricht geheim bleibt. Als Abwehrmöglichkeit bleibt die Verschlüsselung sämtlicher Pakete, die über ein unsicheres Netz transportiert werden und Informationen enthalten, die geheimzuhalten sind.
Wenn es einem Angreifer gelungen ist, auf einem internen Rechner root-Berechtigung zu erlangen, so kann er auf diesem Rechner Software installieren, die den Verkehr auf dem internen Netz überwacht. Dies ermöglicht es ihm insbesondere, eine große Anzahl von Paßworten mitzuprotokollieren bzw. geheime Informationen zu erfahren. Die Abwehr hiergegen muß natürlich darin bestehen, dem Angreifer den Zugang zum Rechner zu verwehren. Ist er erst einmal in den Rechner eingeloggt, so kann das Abhören kaum mehr verhindert werden.