Smentita degli attacchi di servizio


  Share  
|

gli attacchi di Smentita-de-servizio (DOS) sono segnalati alle squadre di risposta di avvenimento più di qualunque altro tipo di attacco. Le idee sbagliate circa gli attacchi di smentita-de-servizio abbondano, tuttavia. Un'idea sbagliata ampiamente tenuta è che gli attacchi di smentita-de-servizio arrestano invariabilmente le applicazioni o gli ospiti. Anche se la maggior parte degli attacchi segnalati del DOS effettivamente induce le applicazioni o gli ospiti a arrestarsi, un attacco del DOS può anche indurre un sistema o una funzione a rallentare correttamente o non funzionare. Un programma male scritto del cgi, per esempio, può arrestare un web server con un trabocco dell'amplificatore o l'altra circostanza, ma può anche causare il overutilization del CPU, rendente l'ospite della vittima insensibile.

Parecchi tipi di attacchi del DOS ora sono quasi leggendari perché hanno accaduto tante volte:

  • Flooding di SYN. In un attacco di flooding di SYN, un ospite ostile trasmette una pletora di pacchetti di SYN ad un ospite della vittima. I pacchetti di SYN sono trasmessi da un ospite che desidera iniziare un collegamento di TCP con un altro ospite (che inoltre denomineremo "la ricezione dell'ospite"). L'ospite di ricezione controlla la condizione del tentativo del collegamento come pure il collegamento in se, se un collegamento è stabilito. La Verifica e Controllo la condizione richiede le risorse. Quando un collegamento è chiuso, le risorse usate nel controllo del collegamento più non sono necessarie. Mentre più collegamenti accadono, più risorse sono stanziate per controllare il dichiarare dei collegamenti. Nelle circostanze normali in cui un numero normale di collegamenti è sul posto, l'ospite di ricezione ha più di abbastanza risorse per controllargli tutti i collegamenti.

    Ma che cosa se una pletora di pacchetti di SYN è trasmessa e l'ospite di ricezione non ottiene pacchetti successivi che facciano parte del processo normale di completare il collegamento? Messo semplicemente, l'ospite di ricezione funziona dalle risorse, rendenti l'ospite della vittima insensibile nel caso di esaurimento moderato delle risorse o inducente lo a arrestarsi nel caso di esaurimento più severo delle risorse. Poiché gli attacchi di flooding di SYN sono facili da iniziare, accadono frequentemente. Fortunatamente, la maggior parte dei fornitori dei sistemi operativi hanno richiamato il problema avendo i collegamenti parzialmente aperti operativi di goccia del sistema.

  • Attacco di Teardrop. Un attacco del teardrop è un altro tipo di protocollo del IP del DOS attack.The è un protocollo robusto destinato per occuparsi di una vasta gamma dei dispositivi, dei sistemi e dei tipi di reti. Se un sistema sta andando trasmettere i pacchetti che sono per esempio di 1 kilo-byte (1.024 byte) nel formato, i dispositivi della rete quali i routers non potrebbero potere maneggiare i pacchetti che sono questo grande. Potrebbero preferibilmente potere maneggiare i pacchetti che sono soltanto metà di questo formato. In questo caso, il IP divide automaticamente il pacchetto originale nelle parti più molto piccole che possono fare il loro senso tramite i dispositivi della rete che non possono maneggiare i più grandi pacchetti, una frammentazione denominata trattata.

    Quando i pacchetti spezzettati arrivano all'ospite di ricezione, questo ospite li riunisce nel pacchetto che l'ospite di trasmissione originalmente ha generato. La frammentazione dei pacchetti è utile perché fornisce un senso pratico e ragionevolmente efficiente trasportare i dati attraverso una rete mentre ancora conserva l'esattezza dei dati. Un attacker può abusare il processo di frammentazione, tuttavia, inducendo l'ospite di ricezione a ricevere i valori in pacchetti che non è programmato procedere. In un attacco del teardrop, un frammento del pacchetto è disposto all'interno di un altro in modo che quando l'ospite di ricezione riceve questo insieme dei frammenti del pacchetto, i valori risultanti (in termini di immagini riportate) siano fuori portata. La macchina di ricezione esce di controllo e si arresta.

    Ci sono molte variazioni dell'attacco classico del teardrop come pure molti altri tipi di attacchi di frammentazione del pacchetto. Un attacker può, per esempio, scrivere un programma che divide i pacchetti nei frammenti in un modo che induce i pacchetti successivi a scrivere sopra le parti del frammento iniziale.

  • Attacco di Smurf. Ancora un altro genere di attacco di smentita-de-servizio è un attacco dello smurf. In questo genere di attacco, un ospite dell'obiettivo è victimized quando un attacker falsifica ("spoofs") l'indirizzo di fonte o di origini per essere il host address dell'obiettivo. Il attacker (o, più correttamente, un programma che funziona a nome del attacker) libera una pletora di pacchetti di rumore metallico o di eco del ICMP chiede destinato per tutti gli ospiti sulla rete locale. Ciò è compiuta avendo l'indirizzo di radiodiffusione come la destinazione. Un indirizzo di radiodiffusione della rete di una rete ha un IP address particolare che è usato per la trasmissione dei pacchetti ad ogni ospite all'interno della rete locale.

    Quando il rumore metallico o pacchetti di richiesta di eco del ICMP raggiunge l'indirizzo di radiodiffusione, questi pacchetti inoltre sono trasmessi agli altri ospiti. Rispondono rispondendo all'indirizzo di fonte, l'indirizzo dell'ospite designato. La pletora di risposte può avere parecchi effetti, il più probabile di quale sta inducendo l'ospite dell'obiettivo a arrestarsi o, con una poca fortuna, forse ritardandola giù ad un crawl preferibilmente dovuto dovere procedere una tal diga dei pacchetti. La maggior parte dei fornitori del sistema operativo hanno sviluppato le zone che correggono questo problema, anche se rete che filtra che il traffico di radiodiffusione di limiti è un'altra soluzione possibile.

Il rumore metallico, "il Groper del Internet del pacchetto," è un protocollo destinato per determinare se o non un ospite sia vivo sulla rete (cioè se è corrente e sensible a reagire). Il rumore metallico trasmette un gruppo dei caratteri, solitamente un gruppo ragionevolmente piccolo (in genere meno di 100 byte) ed allora aspetta l'ospite che è stato fatto un rumore metallico per rispondere. Uno degli usi primari del rumore metallico sta determinando se un ospite particolare si sia arrestato.

  • attacco di Fa un rumore metallico-de-morte. Ancora un altro tipo classico di attacco del DOS è l'attacco di fa un rumore metallico-de-morte. Questo attacco genera uno stato di trabocco dell'amplificatore, qualcosa che derivi da avere troppo poca memoria disponibile per i dati ricevuti da procedere. Il senso esatto in cui uno stato di trabocco dell'amplificatore è maneggiato dipende da un certo numero di fattori, ma da un risultato possibile è esaurimento della memoria che induce un'applicazione o un sistema a arrestarsi.

    Il trucco ad un attacco riuscito di fa un rumore metallico-de-morte deve trasmettere i pacchetti di rumore metallico che eccedono il formato massimo, vale a dire 64KB in TCP/IP. L'ospite di ricezione non ha potuto essere programmato rifiutare i pacchetti surdimensionati ed ha potuto conseguentemente entrare in uno stato di trabocco dell'amplificatore. Questo problema ha pricipalmente (ma non esclusivamente) prodotti influenzati del sistema operativo del Microsoft, la maggior parte di cui si arrestano con lo schermo blu rinomato di comparire di morte (BSOD). Fortunatamente, le zone che riparano questo problema ora sono ordinariamente disponibili e solitamente sono incorporate nei prodotti del sistema operativo che erano vulnerabili soltanto alcuni anni fa.

  • Attacco della terra. Un attacco della terra capitalizza sul fatto che le proprietà dei pacchetti si aderiscono solitamente a determinati vincoli. Normalmente, per esempio, i pacchetti di SYN non hanno gli stessi indirizzi del IP della destinazione e di fonte, né è la fonte e la destinazione ports normalmente lo stesso. Se un attacker trasmette i pacchetti di SYN che hanno questi o altre caratteristiche in un attacco della terra, l'ospite di ricezione potrebbe entrare in un certo genere di anormale dichiara, inducendolo a arrestarsi.

  • Attacco di WinNuke. Un attacco di WinNuke capitalizza su una debolezza nell'esecuzione di TCP/IP in determinate versioni di Windows NT. In questo attacco, un perpetrator spedisce dell'input della gamma (cioè l'input con i parametri che non sono all'interno della gamma l'ospite di ricezione prevede) ad un ospite della vittima attraverso un collegamento ha stabilito sull'orificio 139 di TCP. Il over-allocation voluminoso del CPU trattando questo stato anormale induce l'ospite della vittima a arrestarsi. Il problema, che è riparato nei pacchetti 3 di servizio di Windows NT 4.0 e più alto, è dovuto un'omissione di controllare se l'input sia all'interno di una gamma prevista.

  • Attacchi distribuiti di smentita-de-servizio (DDoS). Anche se simile per molti aspetti agli attacchi convenzionali di smentita-de-servizio, attacchi di DDoS sia differente soprattutto in quanto richiedono gli ospiti assumenti la direzione che allora sono assegnati i vari ruoli nel attack(s) imminente di DDoS attraverso installazione di software speciale e cattivo. Noti inoltre, tuttavia, che gli attacchi di DDoS possono essere iniziati dai suoi propri sistemi, anche. Gli attacchi di DDoS fanno partecipare il padrone, l'alimentatore e gli ospiti dello zombie:

    • Gli zombies sono agenti che realmente liberano una pletora di pacchetti che portano giù gli ospiti ed anche essere la rete ad una fermata. Gli zombies non si comportano da sè, tuttavia; liberano un inondazione del pacchetto soltanto se insegnato a per fare così da un altro ospite, vale a dire un alimentatore (veda la pallottola seguente).

    • Gli alimentatori sono realmente nient'altro che macchine intermedie che nè inizii un attacco nè liberano i pacchetti che sommergono la rete della vittima. Preferibilmente effettuano le mansioni come conferma che il software dell'agente è stato installato in ospiti (zombies) durante la rete e che è aspetti per funzionare. Gli alimentatori interrogano così gli zombies a intervalli indicati. Gli alimentatori inoltre ricevono un segnale dal padrone, un altro ospite non disposto tipicamente all'interno della rete in cui l'attacco di DDoS deve accadere, per iniziare un attacco di DDoS agli agenti. L'alimentatore a sua volta allora trasmette un segnale agli zombies liberare una diga dei pacchetti.

    • Il terzo complice in un attacco di DDoS è il padrone. Il padrone è l'ospite che è solitamente direttamente sotto il controllo del attacker. È usato per dirigere tutti gli alimentatori trasmettere l'ordine liberare una pletora di pacchetti agli zombies.

      Gli attacchi di DDoS in 1999 ed in 2000 hanno causato la perdita e/o la rottura finanziarie principali per un certo numero di istituzioni, compreso l'università de Minnesota, di ZDnet, di eBay, E-Fiducia, Amazon.com ed altri. La minaccia principale è di un guasto prolungato, anche se il costo di studio degli ospiti per prova del compromesso dagli attrezzi del DDoS e di ristabilimento dell'integrità di questi sistemi può anche essere molto alto. Molti tipi di attrezzi di attacco di DDoS sono stati identificati. Uno, albero, persino configurazioni nei relativi propri meccanismi di rilevazione, permettendogli di evitare di essere rilevata dai programmi di intrusione-rilevazione. Gli attrezzi supplementari di DDoS che sono stati identificati includono Trin00, la rete dell'inondazione della tribù (TFN), tfn2k, Slice3, Stacheldracht ed altri.

un articolo ha presentato da Thomas Gregovich


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions