Denial of Service aanvallen


  Share  
|


Denial-of-service (DoS) aanvallen worden gemeld incident response teams meer dan enig ander type aanval. Misvattingen over denial-of-service aanvallen in overvloed, echter. Een wijdverbreide misvatting is dat denial-of-service aanvallen steevast crash toepassingen of hosts. Hoewel de meerderheid van de gerapporteerde DoS-aanvallen inderdaad toepassingen of hosts die crash te veroorzaken, kan een DoS aanval ook leiden tot een systeem of functie te vertragen of niet naar behoren functioneren. Een slecht geschreven CGI-programma, bijvoorbeeld, kan crashen een web server via een buffer overflow of een andere voorwaarde, maar het kan ook leiden tot overutilization CPU, waardoor het slachtoffer niet reageert gastheer.

Verschillende vormen van DoS-aanvallen zijn nu bijna legendarisch omdat ze zich zo vaak:

  • SYN overstromingen. In een SYN flooding aanval, een vijandige ontvangst stuurt een vloed van SYN pakketten naar een slachtoffer host. SYN pakketten worden verzonden door een host die wil een TCP-verbinding met een andere host te starten (die zullen we ook de oproep van de "ontvangende host"). De ontvangende gastheer bewaakt de status van de verbinding als de verbinding zelf, als er een verbinding tot stand gebracht. Controle op de status om de middelen. Wanneer een verbinding wordt gesloten, worden de middelen gebruikt bij het toezicht op de verbinding niet meer nodig. Naarmate meer verbindingen voorkomen, zijn meer middelen voor toezicht op de toestand van de verbindingen. Onder normale omstandigheden waarin een normaal aantal verbindingen zijn in de plaats, de ontvangende host meer dan voldoende middelen alle aansluitingen te controleren aan.

    Maar wat als een vloed van SYN pakketten wordt verzonden, en de ontvangende gastheer krijgt geen verdere pakketten die deel uitmaken van het normale proces van de voltooiing van de verbinding? Simpel gezegd, de ontvangende gastheer loopt uit de middelen, waardoor het slachtoffer gastheer reageert in het geval van matige uitputting van hulpbronnen of het veroorzaken van het naar crash in het geval van een ernstige uitputting van hulpbronnen. Omdat overstromingen SYN aanvallen gemakkelijk te leiden, komen ze vaak. Gelukkig hebben de meeste leveranciers van besturingssystemen het probleem aangepakt door het hebben van het besturingssysteem daling gedeeltelijk open verbindingen.

  • Teardrop aanval. Een traan aanval is een ander type van DoS attack.The IP-protocol is een robuust protocol is ontworpen om te gaan met een breed scala van apparaten, systemen en soorten netwerken. Als een systeem gaat pakketten die, zeg, 1 kilo-byte verzenden (1.024 bytes) groot is, kan netwerkapparatuur zoals routers niet in staat zijn om pakketten die deze grote handvat. Zij kunnen in plaats daarvan in staat zijn om pakketten die slechts de helft van deze omvang te behandelen. In dit geval, IP automatisch verdeelt het oorspronkelijke pakket in tinier delen die in staat zijn om hun weg te maken via het netwerk van toestellen die niet kunnen verwerken van grotere pakketten, een proces genaamd fragmentatie.

    Wanneer de gefragmenteerde pakketten aankomen bij de ontvangende host, deze host verzamel ze in het pakket dat de verzendende host oorspronkelijk gemaakt. Fragmenteren pakketten is nuttig omdat het een praktische en redelijk efficiënte manier om data te transporteren over een netwerk, terwijl nog steeds de juistheid van de gegevens bewaren biedt. Een aanvaller kan misbruik maken van de versnippering proces, echter, door het veroorzaken van de ontvangende host naar waarden in pakketten is het niet geprogrammeerd te verwerken krijgen. In een traan aanval, is een pakket fragment geplaatst binnen een andere, zodat bij de ontvangende host deze set van packet-fragmenten, de resulterende waarde (in termen van compensaties) zijn buiten bereik. De ontvangende machine gaat uit van controle en crashes.

    Er zijn vele varianten van de klassieke teardrop aanval evenals vele andere soorten aanvallen packet versnippering. Een aanvaller kan bijvoorbeeld een programma schrijven dat pakketjes opgedeeld in fragmenten op een wijze die volgende pakketten oorzaken op gedeelten van het oorspronkelijke fragment te overschrijven.

  • Smurf aanval. Nog een andere vorm van denial-of-service-aanval is een smurf aanval. In dit soort aanval, een doel host slachtoffer wanneer een aanvaller vervalst ( "spoofs") het ontstaan of bron adres als het adres van de beoogde gastheer. De aanvaller (of, beter gezegd, een programma dat draait op rekening van de aanvaller) de uitstoot in een vloed van ping-pakketten of ICMP echo requests bestemd voor alle hosts op het lokale netwerk. Dit wordt bereikt door het hebben van het broadcast-adres als bestemming. Een netwerk broadcast adres van een netwerk heeft een bepaald IP-adres dat wordt gebruikt voor het verzenden van pakketten naar iedere host binnen het lokale netwerk.

    Als de ping of ICMP ECHO REQUEST pakketten bereiken het broadcast adres, deze pakketten ook aan de andere hosts. Ze reageren door beantwoording van de bron-adres, het adres van de beoogde gastheer. De vloed van de antwoorden kan verschillende effecten, de meest waarschijnlijke waarvan de oorzaak is van het doel host te crashen of, met een beetje geluk, misschien vertragen kruipen om een plaats te wijten aan hebben om een dergelijke spervuur van pakketten te verwerken. Meest besturingssysteem verkopers hebben ontwikkeld patches die dit probleem te verhelpen, hoewel netwerk filteren dat er beperkingen broadcastverkeer is een haalbare oplossing.

Ping, de "pakket internet Groper," is een protocol ontwikkeld om te bepalen of een host is leven op het netwerk (dat wil zeggen, of het actief is en responsief). Ping stuurt een groep van karakters, meestal een redelijk kleine groep (meestal minder dan 100 bytes), en dan wacht op de host die is pinged om te reageren. Een van de belangrijkste toepassingen van ping is te bepalen of een bepaalde host is vastgelopen.

  • Ping-of-death aanval. Nog een andere klassieke type DoS aanval is de ping-of-death aanval. Deze aanval veroorzaakt een buffer overflow conditie, iets dat het gevolg is van een te weinig geheugen beschikbaar voor inkomende gegevens worden verwerkt. De precieze wijze waarop een buffer overflow conditie wordt gehanteerd hangt af van een aantal factoren, maar een mogelijke uitkomst is uitputting van het geheugen dat een applicatie of systeem crash veroorzaakt.

    De truc voor een succesvolle ping-of-death aanval is om ping pakketjes verzenden die groter zijn dan de maximale grootte, namelijk 64KB in TCP / IP. De ontvangende host misschien niet geprogrammeerd worden tot verwerping van de oversized pakketten en kan bijgevolg gaan in een buffer overflow conditie. Dit probleem is vooral (maar niet uitsluitend) beïnvloed besturingssysteem van Microsoft-producten, waarvan de meeste crash met de beruchte blauwe scherm van de dood (BSOD) verschijnen. Gelukkig, patches die dit probleem op te lossen zijn nu routinematig beschikbaar en worden meestal opgenomen in het besturingssysteem producten die kwetsbaar waren slechts een paar jaar geleden.

  • Land aanval. Een land aanval speelt in op het feit dat de eigenschappen van de pakketten meestal aan bepaalde beperkingen. Normaal gesproken, bijvoorbeeld SYN pakketten niet hebben dezelfde bron en de bestemming IP-adressen, noch zijn de bron en de bestemming havens gewoonlijk hetzelfde. Als een aanvaller stuurt SYN pakketten die deze of andere kenmerken in een land aanval, kan de ontvangende gastheer gaan in een soort van abnormale toestand, waardoor het laten crashen.

  • WinNuke aanval. Een WinNuke aanval speelt in op een zwakte in de TCP / IP-implementatie in bepaalde versies van Windows NT. In deze aanslag, een dader stuurt buiten bereik ingang (dat wil zeggen, ingang met parameters die niet binnen het bereik van de ontvangende gastheer verwacht) aan een slachtoffer host via een verbinding tot stand gebracht op TCP poort 139. Massive over-allocatie van de CPU in de omgang met deze abnormale toestand zorgt ervoor dat het slachtoffer host crashen. Het probleem, dat is vastgesteld in Windows NT 4.0 Service Pack 3 en hoger, is te wijten aan een gebrek om te controleren of input is binnen een te verwachten bereik.

  • Distributed denial-of-service (DDoS)-aanvallen. Hoewel in veel opzichten vergelijkbaar met conventionele denial-of-service aanvallen, DDoS aanvallen zijn verschillend in de eerste plaats omdat deze over te nemen hosts die vervolgens worden toegewezen verschillende rollen in de komende DDoS-aanval (s) door middel van de installatie van speciale, kwaadaardige software. Let echter ook dat DDoS-aanvallen kan worden gestart vanuit een eigen systemen, ook. DDoS aanvallen betrekken meester, handler, en zombie hosts:

    • Zombies zijn agenten die daadwerkelijk vrijlating een vloed van pakketten die doen dalen gastheren en ook wordt het netwerk tot stilstand. Zombies handelen niet op hun eigen, echter, zij vrijlating een pakket overstroming alleen als opdracht om dit te doen door een andere host, te weten een handler (zie volgende bullet).

    • Handlers zijn echt niets meer dan tussenliggende machines die noch een aanval te leiden, noch vrijlating van de pakketten die vloed het slachtoffer netwerk. Zij in plaats daarvan taken, zoals bevestigd dat agent software is geïnstalleerd in hosts (zombies) in de gehele netwerk en dat zij bereid is om te werken. Handlers dus query de zombies in aangewezen intervallen. Handlers krijgen ook een signaal van de kapitein, een andere host doorgaans niet geplaatst binnen het netwerk waarin de DDoS-aanval te voorkomen, om een DDoS-aanval in te zetten op de agenten. De geleider op zijn beurt stuurt een signaal naar de zombies vrij te geven een spervuur van pakketten.

    • De derde medeplichtige in een DDoS-aanval is de meester. De kapitein is de host die meestal direct onder de controle van de aanvaller. Het wordt gebruikt om een directe handlers te sturen de opdracht tot een golf van pakketten vrijgave voor de zombies.

      DDoS-aanvallen in 1999 en 2000 veroorzaakte grote financiële schade en / of verstoring voor een aantal instellingen, waaronder de Universiteit van Minnesota, ZDnet, eBay, E-Trust, Amazon.com, en anderen. De belangrijkste bedreiging is van een langdurige uitval, hoewel de kosten van het onderzoek gastheren voor het bewijs van een compromis door DDoS-tools en herstellen van de integriteit van deze systemen kan ook erg hoog zijn. Veel soorten van DDoS-aanval instrumenten zijn geïdentificeerd. Een, Shaft, bouwt zelfs in haar eigen detectie mechanismen, waardoor het te voorkomen worden gedetecteerd door inbraak-detectie programma's. Extra DDoS tools die zijn geïdentificeerd omvatten Trin00, Tribe Flood Network (TFN), TFN2K, Slice3, Stacheldracht, en anderen.

een artikel afkomstig van Thomas Gregovich

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions