Negação de ataques do serviço


  Share  
|

os ataques do Negação-$$$-SERVIÇO (DoS) são relatados às equipes da resposta do incident mais do que qualquer outro tipo de ataque. Os misconceptions sobre ataques do negação-$$$-SERVIÇO abound, entretanto. Um misconception extensamente prendido é que os ataques do negação-$$$-SERVIÇO deixam de funcionar invariàvel aplicações ou anfitriões. Embora a maioria de ataques relatados do DoS faça com certamente as aplicações ou os anfitriões deixem de funcionar, um ataque do DoS pode também fazer com que um sistema ou uma função retardem para baixo ou não funcionem corretamente. Um programa mal escrito do cgi, para o exemplo, pode deixar de funcionar um web server com um excesso do amortecedor ou a outra circunstância, mas pode também causar o overutilization do processador central, fazendo o anfitrião da vítima unresponsive.

Diversos tipos de ataques do DoS são agora quase legendários porque ocorreram assim muitas vezes:

  • Flooding de SYN. Em um ataque do flooding de SYN, um anfitrião hostil emite uma inundação de pacotes de SYN a um anfitrião da vítima. Os pacotes de SYN são emitidos por um anfitrião que queira começar uma conexão do TCP com um outro anfitrião (que nós chamaremos também a "recepção do anfitrião"). O anfitrião de recepção monitora o status da tentativa da conexão assim como a conexão própria, se uma conexão for estabelecida. Monitorar o status requer recursos. Quando uma conexão é closed, os recursos usados em monitorar a conexão são não mais por muito tempo needed. Enquanto mais conexões ocorrem, mais recursos estão alocados para monitorar o estado das conexões. Sob as circunstâncias normais em que um número normal das conexões está no lugar, o anfitrião de recepção tem mais do que bastante recursos para monitorar todas as conexões a ele.

    Mas que se uma inundação de pacotes de SYN for emitida, e o anfitrião de recepção não começam nenhum pacote subseqüente que é parte do processo normal de terminar a conexão? Posto simplesmente, o anfitrião de recepção funciona fora dos recursos, fazendo o anfitrião da vítima unresponsive no exemplo do exhaustion moderado do recurso ou fazendo com que deixe de funcionar no exemplo de um exhaustion mais severo do recurso. Porque os ataques do flooding de SYN são fáceis de iniciar, ocorrem freqüentemente. Felizmente, a maioria de vendedores de sistemas operando-se dirigiram-se ao problema tendo as conexões parcialmente abertas operando-se da gota do sistema.

  • Ataque de Teardrop. Um ataque do teardrop é um outro tipo de protocolo do IP do DoS attack.The é um protocolo robust projetado tratar de uma escala larga dos dispositivos, dos sistemas, e dos tipos de networking. Se um sistema fosse emitir os pacotes que são por exemplo 1 kilo-byte (1.024 bytes) no tamanho, os dispositivos da rede tais como routers não puderam poder segurar os pacotes que são este grande. Puderam preferivelmente poder segurar os pacotes que são somente metade deste tamanho. Neste caso, o IP divide automaticamente o pacote original em umas peças mais minúsculas que possam fazer sua maneira através dos dispositivos da rede que não podem segurar pacotes maiores, uma fragmentação chamada process.

    Quando os pacotes fragmentados chegam no anfitrião de recepção, este anfitrião remonta-os no pacote que o anfitrião de emissão criou originalmente. Fragmentar pacotes é útil porque fornece uma maneira prática e razoavelmente eficiente transportar dados através de uma rede ao ainda preservar a exatidão dos dados. Um atacante pode abusar o processo da fragmentação, entretanto, fazendo com que o anfitrião de recepção receba valores nos pacotes que não é programado processar. Em um ataque do teardrop, um fragmento do pacote é colocado dentro de outro de modo que quando o anfitrião de recepção recebe este jogo de fragmentos do pacote, os valores resultantes (nos termos dos offsets) sejam fora da escala. A máquina de recepção sai do controle e deixa de funcionar.

    Há muitas variações do ataque clássico do teardrop assim como muitos outros tipos de ataques da fragmentação do pacote. Um atacante pode, para o exemplo, escrever um programa que divida pacotes em fragmentos em uma maneira que faça com que os pacotes subseqüentes overwrite parcelas do fragmento inicial.

  • Ataque de Smurf. Ainda um outro tipo do ataque do negação-$$$-SERVIÇO é um ataque do smurf. Neste tipo do ataque, um anfitrião do alvo está victimized quando um atacante falsifies ("spoofs") o endereço das origens ou da fonte para ser o host address do alvo. O atacante (ou, mais corretamente, um programa que funcione em nome do atacante) liberam uma inundação de pacotes do sibilo ou de eco do ICMP pedem destined para todos os anfitriões na rede local. Isto é realizado tendo o endereço da transmissão como o destino. Um endereço da transmissão da rede de uma rede tem um IP address particular que seja usado emitindo pacotes a cada anfitrião dentro da rede local.

    Quando o sibilo ou do eco do ICMP pacotes do pedido alcançam o endereço da transmissão, estes pacotes estão emitidos também aos outros anfitriões. Respondem respondendo ao endereço da fonte, o endereço do anfitrião alvejado. A inundação das respostas pode ter diversos efeitos, o mais provável de qual está fazendo com que o anfitrião do alvo deixasse de funcionar ou, com pouca sorte, talvez retardando a para baixo a um rastejamento preferivelmente devido a ter que processar tal barrage dos pacotes. A maioria de vendedores do sistema operando-se desenvolveram os remendos que corrigem este problema, embora rede que filtra que o tráfego da transmissão dos limites é uma outra solução viable.

O sibilo, do "o Groper do Internet pacote," é um protocolo projetado determinar se ou não um anfitrião está vivo na rede (isto é, se é running e responsiva). O sibilo transmite um grupo dos caráteres, geralmente um grupo razoavelmente pequeno (tipicamente menos de 100 bytes), e espera então o anfitrião que foi sibilado para responder. Um dos usos preliminares do sibilo está determinando se um anfitrião particular deixou de funcionar.

  • ataque da Sibil-$$$-MORTE. Ainda um outro tipo clássico de ataque do DoS é o ataque da sibil-$$$-MORTE. Este ataque cría uma condição do excesso do amortecedor, algo que resulta de ter demasiado pouca memória disponível para os dados entrantes a ser processados. A maneira exata em que uma condição do excesso do amortecedor é segurada depende de um número de fatores, mas de um resultado possível é exhaustion da memória que faz com que uma aplicação ou um sistema deixem de funcionar.

    O truque a um ataque bem sucedido da sibil-$$$-MORTE deve emitir os pacotes do sibilo que excedem o tamanho máximo, a saber 64KB em TCP/IP. O anfitrião de recepção não pôde ser programado rejeitar os pacotes oversized e pôde conseqüentemente entrar em uma condição do excesso do amortecedor. Este problema tem principalmente (mas não exclusivamente) os produtos afetados do sistema operando-se de Microsoft, a maioria de que deixam de funcionar com a tela azul notorious de aparecer da morte (BSOD). Felizmente, os remendos que reparam este problema estão agora rotineiramente disponíveis e são incorporados geralmente nos produtos do sistema operando-se que eram vulneráveis somente alguns anos há.

  • Ataque da terra. Um ataque da terra capitalizes no fato que as propriedades dos pacotes aderem geralmente a determinados confinamentes. Normalmente, para o exemplo, os pacotes de SYN não têm os mesmos endereços do IP da fonte e do destino, nem é a fonte e o destino move normalmente o mesmo. Se um atacante emitisse os pacotes de SYN que têm estes ou outras características em um ataque da terra, o anfitrião de recepção pôde entrar em algum tipo do estado anormal, fazendo com que deixe de funcionar.

  • Ataque de WinNuke. Um ataque de WinNuke capitalizes em uma fraqueza na execução de TCP/IP em determinadas versões de Windows NT. Neste ataque, um perpetrator emite fora da entrada da escala (isto é, a entrada com parâmetros que não são dentro da escala o anfitrião de recepção espera) a um anfitrião da vítima através de uma conexão estabeleceu no porto 139 do TCP. O over-allocation maciço do processador central em tratar desta condição anormal faz com que o anfitrião da vítima deixe de funcionar. O problema, que é reparado no bloco 3 do serviço de Windows NT 4.0 e mais elevado, é devido a uma falha verificar se a entrada esteja dentro de uma escala prevista.

  • Ataques distribuídos do negação-$$$-SERVIÇO (DDoS). Embora similar em muitos respeitos aos ataques convencionais do negação-$$$-SERVIÇO, ataques de DDoS seja diferente primeiramente que requerem fazer exame dos anfitriões excedentes que são atribuídos então os vários papéis no attack(s) impending de DDoS através da instalação do software especial, malicioso. Anote também, entretanto, que os ataques de DDoS podem ser iniciados de one's próprios sistemas, demasiado. Os ataques de DDoS envolvem o mestre, o alimentador, e os anfitriões do zombi:

    • Os zombis são os agentes que liberam realmente uma inundação dos pacotes que trazem para baixo anfitriões e também ser a rede a uma paralisação. Os zombis não agem no seus próprios, entretanto; liberam uma inundação do pacote somente se instruído para fazer assim por um outro anfitrião, a saber um alimentador (veja a bala seguinte).

    • Os alimentadores não são realmente nada as máquinas mais do que intermediárias que nem inicíe um ataque nem liberam os pacotes que inundam a rede da vítima. Executam preferivelmente tarefas tais como a confirmação de que o software do agente estêve instalado nos anfitriões (zombis) durante todo a rede e de que está pronto para trabalhar. Os alimentadores perguntam assim os zombis em intervalos designados. Os alimentadores recebem também um sinal do mestre, um outro anfitrião tipicamente não colocado dentro da rede em que o ataque de DDoS deve ocorrer, para iniciar um ataque de DDoS aos agentes. O alimentador por sua vez emite então um sinal aos zombis liberar um barrage dos pacotes.

    • O terceiro cúmplice em um ataque de DDoS é o mestre. O mestre é o anfitrião que está geralmente diretamente sob o controle do atacante. É usado dirigir todos os alimentadores emitir o comando liberar uma inundação dos pacotes aos zombis.

      Os ataques de DDoS em 1999 e em 2000 causaram a perda e/ou o rompimento financeiros principais para um número de instituições, including a universidade de Minnesota, de ZDnet, de eBay, E-Confiança, Amazon.com, e outro. A ameaça principal é de um outage prolongado, embora o custo de investigar anfitriões para a evidência do acordo por ferramentas de DDoS e de restaurar a integridade destes sistemas possa também ser muito elevado. Muitos tipos de ferramentas do ataque de DDoS foram identificados. Um, eixo, mesmo configurações em seus próprios mecanismos da deteção, permitindo o de evitar de ser detectado por programas da intrusion-deteção. As ferramentas adicionais de DDoS que foram identificadas incluem Trin00, rede da inundação do tribe (TFN), tfn2k, Slice3, Stacheldracht, e outro.

um artigo submeteu-se por Thomas Gregovich


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions