Wat is Denial of Service en ondersteuning voor Denial of Service Works
Denial of service is de categorie van aanvallen die leiden tot een verlies van de dienst, of een onvermogen om te functioneren. Ze komen in vele vormen en staking veel verschillende doelen. De resultaten kunnen voor de laatste minuten, uren of dagen en kan invloed netwerkprestaties, data-integriteit en werking van het systeem. De eerste DoS aanval van betekenis was de Morris Worm, naar schatting hebben zo'n 5000 machines van de commissie voor enkele uren. Op het moment (november 1988), was het een ramp voor academische en onderzoekscentra, maar had weinig effect op de rest van de wereld. Vandaag, vergelijkbaar DoS-aanvallen, zoals die tegen Yahoo, Amazon, en andere belangrijke websites (februari 2000), hebben geleid tot miljoenen dollars aan verloren bedrijfsleven en inkomsten. De frequentie van denial of service aanvallen toeneemt in een alarmerend tempo, deels als gevolg van de prevalentie van instrumenten geschreven voor dit doel. De complexiteit van de aanvallen wordt ook genomen om nieuwe niveaus, die de noodzaak van strengere veiligheidsmaatregelen praktijken en de implementatie van nieuwe mechanismen ter bescherming van mandaten. Veel denial of service tools zijn geschreven als proof-of-concept code voorbeelden om onzekerheid te tonen in gemeenschappelijke besturingssystemen, zoals Windows, Linux, Solaris, BSD en de afgeleide Unices. De Morris Worm was een experiment in distributed computing, zij het een beetje krachtig gedaan. Slechte ontwikkeling praktijken en een gebrek aan veiligheid in te voeren vroeg in nieuwe applicaties en besturingssystemen veroorzaken veel van deze exploiteerbare problemen te bestaan. De toenemende complexiteit van de netwerk-ontwerp en organisatie verlegt de grenzen van de huidige technologie en verergert nieuwe kwetsbaarheden. De aanwezigheid van Denial of Service is een tweesnijdend zwaard. Aan de ene kant jammer het is dat de voorwaarden bestaan om denial of service-technieken te laten vermenigvuldigen. Aan de andere, haar aanwezigheid is onderdeel van de technologische evolutie die hoger veiligheidsniveau producten en toepassingen genereert. De standaard voor veiligheid is sterk gestegen, en dit is zichtbaar met de reactie op denial of service aanvallen. Pas sinds kort zien we de wetgeving die zich bezighoudt met deze vorm van aanval. Het is niet langer beschouwd als een domme grap wanneer ontvangsten is verloren in onze internet-gebaseerde economie. Hoe Denial of Service WorksDenial of service aanvallen zijn meestal ingesteld op de programmering door te profiteren van fouten in software en door het schrijven van gespecialiseerde programma's waarvan het doel is om aanvallen uit te voeren. Denial of service-aanvallen over het algemeen werken in een van de volgende manieren: · Bandbreedte verbruik · Resource verzadiging · Systeem en crash Bandbreedte consumptie is een aanval tegen netwerkbronnen en verwijst naar het volledige gebruik van de beschikbare bandbreedte van het netwerk door een aanvallende computer of computers. Dit maakt het netwerk reactie traag of stopt de server geheel, terwijl de aanval is gaande en veroorzaakt een onvermogen om diensten te bereiken, zoals websites, e-mail en bestanden. Resource verzadiging doelen specifieke computersystemen die diensten verlenen, zoals web, email, DNS en FTP en de oorzaken ervan te vertragen of te stoppen. Systeem-en applicatie crashes leiden tot denial of service, zoals het bepaald systeem of software bevriest, crashes. Bandbreedte VerbruikElk netwerk kan ondersteunen slechts een eindige hoeveelheid netwerkverkeer in een keer, en dit bedrag is afhankelijk van een aantal factoren: het netwerk snelheid, uitrusting typen, en hun prestaties. Gemeenschappelijke communicatie-links van een ISP aan een organisatie zijn ISDN, ADSL, breedband (met behulp van kabelmodems), T1 en T3. Deze link soorten weerspiegelen ook verschillende bandbreedte mogelijkheden. Gemeenschappelijke Local Area Network (LAN) topologieën gebruik 10BASE-T en 100BASE-T. Denial of service door bandbreedte verbruik plaatsvindt wanneer de volledige capaciteit van het netwerk verbinding wordt gebruikt. Wanneer de bandbreedte van het netwerk capaciteit is bereikt, nieuwe netwerk gegevens kunnen niet worden verzonden. Dit betekent dat nieuwe verbindingen met het internet, fileservers, webservers, mailservers, of een andere functie die communicatie netwerk zal niet werken vereist. Verbindingen die reeds gevestigd zijn zal vertragen tot een crawl, te bevriezen, of worden losgekoppeld. Aanvallen bandbreedte kan gebeuren via het gespecialiseerde aanval programma's en verkeerde configuratie van netwerkapparatuur. Verkeerde configuratie van de netwerk-apparatuur omvat elk apparaat dat verbinding maakt met het netwerk, zoals computersystemen, routers, switches en andere apparaten. Bandbreedte aanvallen actief zijn; de ontkenning van de dienst gebeurt alleen zolang de bandbreedte volledig wordt gebruikt. Zodra de aanvallende programma stopt het verzenden van gegevens of het apparaat correct is geconfigureerd, bandbreedte weer beschikbaar komt. Meeste netwerk functionaliteit keert terug naar normaal, behalve voor een paar verbindingen die nodig zou kunnen hebben herstarten. Vaak aanvallen omvatten protocol gebaseerde exploits die verbruiken bandbreedte van het netwerk door het sturen vervaardigd netwerk gegevens. De toegang apparaat, zoals een router, kan mislukken als het wordt overspoeld met meer verkeer dan het kan verwerken. Een andere vorm van bandbreedte aanvallen berust op de reactie van netwerk-gekoppelde systemen en apparaten voor specifieke netwerk gegevens. Veel of alle computers op het netwerk doelwit kan worden gemaakt om gelijktijdig te reageren op het netwerkverkeer zoals IP-uitzendingen (IP-pakketten die worden verstuurd naar het broadcast adres van een netwerk in plaats van een specifieke machine), waardoor de consumptie van alle beschikbare bandbreedte. De "smurf" aanval is een populair voorbeeld van deze vorm van aanval. Resource VerzadigingNet als een netwerk, elke computer systeem heeft ook een eindige verzameling van middelen met inbegrip van geheugen, opslag en processor capaciteit. Resource verzadiging is het evenement van het gebruik van al van een of meer van deze middelen, die niemand voor andere toepassingen bladeren. De SYN flood is een populair voorbeeld van een aanval die alle beschikbare netwerken middelen gebruikt op een systeem. Elk besturingssysteem dat ondersteunt TCP / IP-netwerk connectiviteit heeft beperkingen op het aantal verbindingen dat kan worden gehandhaafd op een keer. De SYN flood exploiteert de three-way handshake van een TCP-verbinding. De SYN flood slaagt door het creëren van "half-open" verbindingen op de poort van de doel server. Half-open verbindingen zijn die waarin de drie-way handshake niet is voltooid. Normaliter is de handdruk is voltooid, of een time-out, waardoor de verbinding te worden geschrapt. Elke poort ondersteunt slechts een eindig aantal van een half-open verbindingen en wanneer dit aantal wordt overschreden, geen enkele andere nieuwe verbindingen kunnen worden gemaakt. Door het verzenden van alleen het eerste pakket van de TCP handshake met ongeldige of vervalste bron adressen, de server reageert op de SYN pakket met een ontvangstbevestiging. Omdat deze bevestiging gaat naar een vervalst adres, het antwoord op het komt nooit. Dit veroorzaakt een achterstand van een half-open connecties dat het wachten in te vullen, afwijzen nieuwe verbindingen worden geaccepteerd. De Web-server is een goed voorbeeld doelwit voor een denial of service-aanval, hoewel elk netwerk dienst kan worden gericht. Zoals we allemaal waarschijnlijk ervaren, een drukke webserver neiging om meer langzaam aan onze verzoeken reageren. Een beetje kennis van TCP / IP en het Hypertext Transfer Protocol (HTTP) is nodig om te begrijpen hoe deze aanvallen werken. Een HTTP-verzoek en de verbinding wordt gemaakt wanneer de browser verbinding met de webserver. Dit verzoek vraagt de server voor een bepaald bestand, de server stuurt het bestand, en de verbinding is gesloten. Onder deze omstandigheden kan een webserver omgaan met een groot aantal verzoeken, omdat de verzoeken meestal een zeer korte tijd in beslag nemen, en ze komen een na de andere. Aangezien de server meer gelijktijdige verzoeken ontvangt, wordt de applicatie geladen omdat het al deze verbindingen processen op hetzelfde moment. Zelfs met deze vertraging kan de webserver nog steeds functioneren. Met het oog op de webserver reden om te stoppen met functioneren, moet de aanvaller om de tijd die nodig is om deze verbindingen behandelen of om de verwerkingskracht die nodig is om ieder een handvat te verhogen. Een SYN flood tegen een webserver maakt de server niet in staat om nieuwe verbindingen te accepteren door overschrijding van het maximum aantal verbindingen voor de haven die het gebruikt. De SYN flood is moeilijk te verdedigen tegen. Als de aanvaller pakketten smederijen zo kijken als ze afkomstig zijn van een onbereikbaar systeem, de server heeft geen enkele manier weten dat ze niet typisch verkeer. De server reageert dan als hij zou aan een andere aansluiting en wacht op een time-out optreden voordat hij beseft moet de verbinding te sluiten. Zoals uiteengezet in de SYN flood bovenstaande beschrijving, de ontkenning van de dienstverlening doet zich voor wanneer de webserver ontvangt een groot aantal van deze vervalste pakketten, zo veel dat het niet mogelijk meer nieuwe connecties en onvermijdelijk zit vast te wachten op deze vervalste verbindingen naar time-out voordat het kunnen blijven verwerken. Soortgelijke aanvallen zijn de ICMP en UDP-vloed, die andere protocollen gebruiken om hetzelfde effect te bereiken. Een ander voorbeeld van hulpbronnen verzadiging kan optreden bij het gebruik van externe programma's zoals Common Gateway Interface (CGI) programma's met de webserver. Programma's die gegevens opslaan in bestanden op de webserver kan worden benut in te vullen van de harde schijf op de server. De server operating systeem maakt gebruik van bestanden voor een groot deel van zijn normale functionaliteit, en, indien vol, kan het vaak niet te functioneren. Ook applicaties die veel geheugen toewijzen of eisen dat een veel verwerkingskracht voor complexe berekeningen kunnen worden benut om alle gebruik van deze middelen, het voorkomen van nieuwe processen en toepassingen van functioneren. Deze aanvallen zijn niet bruikbaar alleen via de webserver-elke toegang tot het systeem kan een aanval te laten slagen. De e-bom is een goed voorbeeld van. Systeem en crashSysteem-en applicatie crashes zijn snel en gemakkelijk benaderingen om denial of service, waarin een programmeer fout is exploiteerbaar en veroorzaakt de toepassing of het besturingssysteem crasht. Een bekend voorbeeld van deze crashes zijn de "Ping of Death" aanval die oversized ICMP echo requests gebruikt. De doelstelling machine zou crashen door verkeerd uitgevoerd behandeling van dit netwerk gegevens. Deze aanvallen worden ook vaak gericht tegen de toegang tot het netwerk apparaten zoals IP-routers, kabel-routers, managed Ethernet-switches, VPN's, en andere toepassing specifieke apparaten. Deze apparaten ondersteunen vaak een bepaalde vorm van beheer-interface met een Command Line Interface (CLI) en een web interface beheer. Door middel van verschillende methoden, waaronder een groot aantal gelijktijdige verbindingen, buffer overflows in routines input van de gebruiker, en oneigenlijk gegevensvalidatie, zijn deze apparaten zijn gemaakt te crashen. Een denial of service-aanval op een apparaat heeft toegang tot een bredere invloed dan een aanval op een enkele machine, omdat deze apparaten zijn doorgaans gateways naar meerdere netwerken. Veel van deze aanvallen kunnen worden voorkomen door veilige configuratie van het netwerk apparaat. Dit omvat het wijzigen van de standaard ingestelde standaard wachtwoorden en het configureren van het apparaat beheer toestaan van slechts een selecte groep van machines. een artikel afkomstig van Marcel Baldwin
|
|||
|