DDoS támadások

Leonid Shapiro. IT rendszermérnök, MVP, MCT, MCSE, MCITP: EA, MCSE: S, MCSE: M, [email protected]

DDoS támadások
2. rész Arsenal ellenség

Milyen módszereket használnak a hackerek számára káros hatással van a szerverek, hálózati eszközök, alkalmazása? Itt az ideje, hogy foglalkozik a „arzenálja” több

Egy korábbi cikkben [1], azt találtuk, hogy a DoS / DDoS-támadások egyik legkomolyabb biztonsági fenyegetést a modern vállalati, függetlenül annak hatálya alá.

Melyek a támadásokat? Szükséges, hogy megismerjék az Arsenal a bűnözők, hogy megtanulják, hogyan kell ellenállni nekik. Modern osztályozás magában foglalja az ilyen típusú DoS / DDoS-támadások [2]:

1. Hálózati árvíz - a legegyszerűbb lehetőség a támadó. Nem kell telepíteni a TCP-munkamenetet az áldozat számítógépén. Ólom a kimerülése a megcélzott rendszer erőforrásait, vagy a sávszélesség. Ilyen támadások ICMP és UDP árvíz.
2. Támadások célja a szerver erőforrásait. Ez általában akkor használják, hatást gyakorol alkalmazás szerverek. A példák közé tartoznak a TCP-SYN, TCP-RST, TCP-ACK.
3. Támadások alkalmazás-erőforrások. Meg kell jegyezni, hogy ez nem csak a hatása HTTP, hanem a HTTPS, DNS, VOIP, SMTP, FTP és más alkalmazás protokoll. Ezek közül a támadások HTTP árvíz, DNS árvíz, és így tovább.
4. Szkennelés. Tény, hogy önmagában, szkennelés első pillantásra úgy tűnik ártalmatlan, mivel önmagában nem probléma, de valójában ez az „intelligencia csata előtt,” lehetővé teszi, hogy megtalálja információkat, amelyek segítenek a jövőben támadni a rendszert.
5. Lassú támadás kis mennyiség, az úgynevezett Low és lassú. Ez a megvalósítás a legveszélyesebb hatása az alacsony láthatóság és hosszú felfutási idő rosszindulatú műveletet. Általában ez a kifejezés az alkalmazását érinti, és néha a szerver erőforrásait.
6. Kifinomult támadások webes alkalmazásokat. Ezek a mechanizmusok sérülékenységeit Web alkalmazások, amelyek a fejlesztők. Ez vezet a jogosulatlan hozzáférést, az adatok elvesztését és a jogosulatlan változtatásokat.
7. Támadások SSL - azt jelentette, hogy a támadó is eltakarja a romboló tevékenységeket belső SSL-forgalom, ami nagyban megnehezíti az ellenzék. Az SSL protokoll fut tetején TCP / IP, amely lehetővé teszi a biztonságos információcserét a felhasználók számára. Mi van lehetőség a behatolók számára? Akkor beszélhetünk a támadások a telepítés maga SSL-interakciós folyamatot (SSL handshake), küld a „szemét” csomagot a szerver vagy a visszaélés a legfontosabb információkat illő funkciók stb

Példák hálózati támadások (hálózati árvíz)

A cél a támadó eléri. Ezek az ügyfelek nem tud átjutni. Most lássuk, hogyan történik a hálózatban.

Hogyan működik ICMP árvíz

1. ábra: Attack ICMP árvíz

Hogyan működik az UDP árvíz

Ahogy meglátjuk, nincs ICMP, UDP árvíz, vagy nem használja a rendszer sebezhető, vagyis van dolgunk a standard elveinek TCP / IP stack munkák. Ez azt jelenti, hogy az ilyen támadások lehet alávetni teljesen olyan közegben.

Példák a támadások a szervereken

Hogyan működik a TCP-SYN árvíz

Vegyünk egy másik példát: ha ez szükséges, hogy egy találkozót, hogy egy orvos, és a betegek, hogy jöjjön, és kap egy utalványt egy bizonyos ideig. Hogyan lesz a támadás ebben az esetben? Számos ember veszi kuponok, választott ily módon minden alkalommal erőforrásokat, és akkor nem fog jönni. Ezeknek a betegeknek, hogy nem, mert egyszerűen nem lehetett rögzíteni. Most lássuk, hogy ez hogyan fog működni a hálózatban. Ez a példa a működési elve SYN flood támadás.

Ezek a támadások használjon egy másik jellemzője a protokoll TCP / IP - kell telepíteni a TCP-session. Ezzel szemben az UDP, amely nem kötelező, mégis szükség van a „tárgyalni” a TCP küldő-interakció a címzett, mielőtt valami küldeni. Erre a mechanizmust használnak háromutas kézfogás megerősítés -trehetapnogo [4, 5]. Ez a következőképpen működik: A kliens küld egy SYN (szinkronizálása) csomagot, a szerver válaszol egy SYN-ACK (A szinkronizálás nyugtázás), az ügyfél elismeri a vételi csomag SYN-ACK csomagot ACK (nyugtázás). Ebben az összefüggésben stílusú eljárás befejeződött (lásd. Ábra. 2).

2. ábra: Attack SYN-flood

Hogyan működik a TCP-RESET

A TCP / IP, ez a támadás az úgynevezett TCP-RESET [6, 7]. Küldetése -, hogy megzavarják a kölcsönhatás a résztvevők között.

Bármilyen TCP-csomag tartalmaz egy fejlécet. Többek között tartalmaz egy bit reset (RST). Jellemzően ez a bit értéke nulla, de abban az esetben a telepítés egy címzett azonnal abba kell hagynia a vegyület alkalmazásával. Ez a mechanizmus akkor használjuk, amikor egy számítógépet az adatátvitel sikertelen. A második számítógép, anélkül, hogy tudnánk, továbbra is küld adatokat. Miután a helyreállítás a régi számítógép összeomlást követően azt továbbra is fogadhatnak csomagokat a régi kapcsolat, hanem azért, mert neki nincs információ marad, nem világos, hogy mit kell csinálni velük. Ez az a helyzet fog küldeni állítják visszaállítás (reset) a második számítógépet. Akkor létre egy új kapcsolatot.

Kiderült, hogy ez a mechanizmus van szükség, de ezt a funkciót lehet használni egy támadó. Hogyan? Lehallgatott csomagokat hamis csomagot, és telepítse a RESET zászló újraindítás zászló. Akkor küldje el ezeket a hamis csomagokat a résztvevők az interakció, ami végső soron zavar TCP-session közöttük.

Példák a támadások az alkalmazási

Hogyan működik a HTTP árvíz

A leggyakoribb DDoS-támadások célzó alkalmazások HTTP árvíz [2]. Általában azt használják a botnet azonban a roham is kap, és az önkéntesek, például amikor a célzott haktivistskoy tevékenységét. Vannak változatai GET és POST. Vsuschnosti, mindkét alternatíva célja kimerültség webes alkalmazás-erőforrások.

3. ábra HTTP árvíz támadás

Hogyan működik a DNS árvíz

Nem mindig romboló célzó intézkedések támadó bármilyen sebezhető rendszerek. Lehet jól megy segítségével az alapértelmezett viselkedés, az úgynevezett funkcionális «by design» [3]. Ez az, amit tudtunk, hogy a fenti példák.

Természetesen a támadó nem csak az egyik használható roham (vektor), másrészt, megpróbálja használni egynél több, bonyolítja a rendszer biztonságát.

Végül, van egy, és talán a legfontosabb szempont - a változás a támadás néhány percen belül, vagy akár másodperc, mivel a bűnözők kifinomult eszközöket. És ha igen, akkor nem „kézi” védelmi módszereket, utalva végrehajtása a biztonsági adminisztrátor kezdeti azonosítása támadások, majd a végrehajtási ellenintézkedések számára a gondolkodás, nem lesz kellően hatékony. A támadó megváltoztatja a hatást az áldozat források gyorsabb, mint a biztonsági adminisztrátor azonosítani, és taszítják a támadást. Következésképpen tükröződnie kell az automatikus üzemmódot.

A következő cikkben fogunk továbbra is mérlegeli a DDoS-támadások ellen.

Kapcsolódó cikkek

• Pánikrohamok úton vannak lefelé a mozgólépcső a metró, 6 válasz, 40 hozzászólás, tanácsadás fórum

• Az utolsó szavak „orosz Rambo” parancsnok, vagyok körülvéve, kérve támadás maga a levegő

• Darazsak készült fészket az erkélyen - hogyan lehet megszabadulni a tippeket és javaslatokat, hogy megszabaduljon a támadások