Ce qui sont démenti des attaques de service (attaques de DOS) et comment se protéger contre elles
Les intrus peuvent limiter les dégats sans pénétrer jamais votre système. Par exemple, un intrus peut efficacement arrêter votre ordinateur par inondation vous avec les signaux désagréables ou le code malveillant. Cette technique est connue comme une attaque de démenti-de-service. Les intrus exécutent une attaque de démenti-de-service en employant une de deux méthodes possibles. La première méthode est d'inonder l'ordinateur de cible ou le dispositif câblé avec l'information de sorte qu'il devienne accablé. La méthode alternative est d'envoyer une commande ou un morceau bien-ouvrée de données incorrectes qui se brisent le dispositif d'ordinateur de cible. Inondation de SYNCe premier type d'attaque de DOS que nous discuterons est connu comme inondation de SYN. Une attaque de SYN attachera les ressources d'une informatique de cible en le faisant répondent à une pléthore de commandes. Pour comprendre ceci, imaginez que vous êtes un secrétaire dont le travail doit répondre et réorienter aux appels téléphoniques. Que si 200 personnes appelaient en même temps et puis avez-vous accroché vers le haut quand vous avez répondu ? Vous seriez cueillette tellement occupée vers le haut des lignes mortes que vous n'obtiendriez jamais à n'importe quel travail faites. Par la suite, vous souffririez une panne mentale et stopperiez le travail. C'est la même technique que les intrus emploient quand ils utilisent une attaque de DOS. Pour effectuer une attaque de DOS, l'intrus doit d'abord déterminer le IP address de la cible. En utilisant ce IP address, l'intrus doit se relier à lui à l'aide d'un ordinateur de client. Pour amplifier la force de l'attaque, l'intrus installera souvent plusieurs ordinateurs de client programmés pour attaquer la cible en même temps. Ceci est habituellement accompli en faisant entailler préliminaire à la propriété de gain de plusieurs ordinateurs avec les raccordements élevés de largeur de bande. La source la plus populaire de ces ordinateurs slaves sont des systèmes d'université ou des clients à bande large. Une fois que l'intrus a ses ordinateurs slaves installation, il lance l'attaque à partir d'un point central, appelé le maître. Une attaque de DOS de SYN tire profit de la poignée de main exigée de TCP/IP qui a lieu quand deux ordinateurs installent une session de communication. L'ordinateur de client envoie d'abord un paquet de SYN à l'ordinateur serveur pour commencer la communication. Quand le serveur reçoit ces données, il traite l'adresse de retour et renvoie le paquet de SYN ACK. Le serveur attend alors le client pour répondre avec un paquet final de ACK, qui accomplit le déclenchement de raccordement. Un serveur a un nombre limité de ressources indiquées pour des raccordements de client. Quand un serveur reçoit le paquet initial de SYN d'un client, le serveur alloue certaines de ces ressources. Cette limitation est censée pour couvrir le nombre de raccordements simultanés de client. Si trop de clients se relient immédiatement, le serveur deviendra surchargé et se brisera sous la charge de traitement excessive. La faiblesse dans ce système se produit quand l'intrus insère une adresse de retour fausse dans le paquet initial de SYN. Ainsi, quand le serveur renvoie le SYN ACK au client faux, elle ne reçoit jamais le ACK final. Ceci signifie que pour chaque paquet de l'article truqué SYN, d'autres ressources sont attachées vers le haut de jusqu'à ce que le serveur refuse plus de raccordements. Une attaque réussie exige une myriade de paquets faux, mais si un intrus a plusieurs ordinateurs slaves envoyer des paquets, il peut surcharger un serveur rapidement. Un exemple bien connu de ce type d'attaque s'est produit tard en 1999. Plusieurs emplacements de profil haut de Web ont été apportés à leurs genoux par une pléthore de signaux venant des centaines de différents ordinateurs simultanément. Les emplacements de Web n'auraient eu aucun problème manipuler une attaque à partir d'une source ; cependant, par l'utilisation des programmes de télécommande, un ou plusieurs intrus ont lancé une attaque concertée utilisant des centaines d'ordinateurs, de ce fait rapidement surchargeant leurs cibles. Attaques De SmurfUne variation de l'attaque de DOS d'inondation s'appelle une attaque de smurf. Imaginez une compagnie avec 50 employés disponibles pour répondre aux questions de clientèle par l'email. Chaque employé a un répondeur automatique qui envoie automatiquement une réponse de courtoisie quand une question est reçue. Que se produirait si un client fâché expédiait 100 email copiés à chacun des 50 employés en utilisant un email address de retour d'article truqué ? Les 100 email entrants deviendraient soudainement 5.000 email sortants—allant tout à une boîte aux lettres. Celui qui a possédé l'adresse de retour fausse serait accablé avec tout ce courrier ! Et elle devrait rechercher par tout le lui pour s'assurer qu'elle n'a pas manqué un email important de son patron ou ami. C'est semblable à la façon dont une attaque de smurf fonctionne. L'attaquant envoie un signal de demande dans un réseau des ordinateurs, dont chacun répond à une adresse de retour truquée. Les programmes spéciaux et d'autres techniques peuvent amplifier ceci jusqu'à ce qu'une pléthore de l'information soit dirigée vers un ordinateur malheureux. En raison des règles de TCP/IP, un ordinateur ignore tous les paquets qui ne lui sont pas expressément adressés. Une exception à ceci est si un ordinateur a une carte de réseau fonctionner dans le mode promiscueux, comme démontré par l'exemple de renifleur. Une autre exception à ceci est des paquets d'émission. Que votre compagnie fait-elle quand elle doit recevoir un message important dehors à chacun dans l'organisation ? Si l'email est une option, il envoie un message interne d'"Spam" à chacun qui a un email address. Autrement, il pourrait jouer une annonce au-dessus du haut-parleur, ou signalez un bulletin près du pot de café. Ces techniques s'assurent que la plupart des employés recevront l'information. De même, dans un réseau informatique, il y a des périodes où un serveur doit envoyer l'information à chaque ordinateur relié sur le réseau. Ceci est accompli en utilisant l'adresse d'émission. En raison de l'IP de manière les adresses sont installées dans un réseau, là est toujours une adresse à la laquelle chaque ordinateur répondra. Cette adresse est connue pendant que l'adresse d'émission, et est employée pour mettre à jour les listes nommées et d'autres articles nécessaires dont les ordinateurs ont besoin pour maintenir le réseau en service. Bien que l'adresse d'émission soit nécessaire dans certains cas, elle peut mener à ce qui est connu pendant qu'une émission donnent l' assaut à. Une émission donnent l' assaut à est comme un écho qui ne meurt jamais. Plus spécifiquement, c'est comme un écho ce des crescendos jusqu'à ce que vous ne puissiez entendre rien au-dessus du bruit pur. Si un ordinateur envoie une demande à un réseau en utilisant l'adresse d'émission avec l'adresse de retour de l'adresse d'émission, chaque ordinateur répondra à la réponse de chaque autre ordinateur ; ceci continue dans un effet de boule de neige jusqu'à ce que le réseau soit si plein des échos ce que rien autrement ne peut obtenir à travers. Maintenant que vous comprenez comment une émission fonctionne, imaginez ce qui se produirait si un intrus envoyait 1.000 paquets d'émission dans un réseau avec un IP address de retour charrié. Le réseau amplifierait les paquets originaux dans des dizaines ou des centaines de milliers de paquets, tout dirigés à un ordinateur. Dans ce cas-ci, à la différence de l'attaque de SYN, l'ordinateur de cible pourrait installer une session de communication avec l'ordinateur de demande. Cependant, la surcharge des demandes de session noierait le serveur, de ce fait rendant le serveur inutile. Ces types d'attaques non seulement rapidement et efficacement arrêté un serveur, mais eux maintiennent également l'intrus invisible. En raison de la nature de l'attaque, les paquets originaux envoyés par l'intrus sont introuvables. Dans le cas d'une attaque de SYN, l'adresse est charriée. Ainsi, l'origine du paquet demeure inconnue. Dans le cas d'une attaque de smurf, l'intrus n'attaque pas directement la cible, mais emploie à la place l'effet secondaire d'envoyer des signaux d'émission dans un réseau pour faire le travail indirectement. Par conséquent, l'attaque semble être venue d'un ordinateur ou d'un réseau différent. Surcharges De SystèmeUn autre type d'attaque de DOS est dirigé contre le logiciel fonctionnant sur l'ordinateur de cible. Le logiciel d'ordinateur a, en moyenne, environ un problème par 1.000 lignes de code. Puisque les programmes de logiciel peuvent être des millions de lignes longtemps, le nombre de bogues peut fonctionner dans les centaines de milliers. Si un attaquant sait exploiter un bogue spécifique, elle peut arrêter l'ordinateur de cible. Par exemple, un programme bien connu de logiciel de caddie s'est avéré pour avoir une faiblesse dans sa la programmation cela a causé la charge de processeur sur l'ordinateur à la transitoire à 100%, de ce fait empêchant tous les autres programmes de courir. L'envoi d'une demande simple de http:// dans le format correct a pu fondre le serveur de cible. Ce type d'attaque est analogue à dévisser le chapeau sur un dispositif trembleur de sel. Utilisés normalement, les travaux de dispositif trembleur de sel très bien, et ne vous donneront jamais une pile de sel pour votre effort. Cependant, si quelqu'un qui comprend les internals d'un dispositif trembleur devaient dévisser secrètement le chapeau, le dispositif trembleur vous inonderait avec du sel amer. Ce type d'attaque de DOS est habituellement exploité par un débordement d'amortisseur. Habituellement, le débordement d'amortisseur se brisera un ordinateur. Comme précédemment discuté, le débordement remplira gros morceau prédéterminé de mémoire, et de débordement à la mémoire ci-dessus, de ce fait recouvrant les données d'une autre variable. Quand le programme qui emploie les tentatives variables recouvertes de rechercher les données, le programme se brisera, tout à fait souvent prenant l'ordinateur entier avec lui. Les attaques de DOS sont une menace commune non seulement pour de grandes sociétés, mais également pour la petite entreprise et les utilisateurs à la maison. Il y a des programmes pré-faits innombrables qui peuvent donner à n'importe qui la puissance d'inonder une cible. Un clic simple de la souris peut envoyer des centaines de paquets de SYN dévalant directement à une victime. Si vous suspectez une attaque de DOS, vous pouvez utiliser l'outil de netstat pour déterminer si une attaque se produit ; Utilisant cet outil, une attaque est aisément des expositions suivantes de table d'apparent.The que les résultats de netstat d'un SYN attaquent. La rangée d'état indique clairement qu'une attaque de SYN est actuellement en cours.
Comme vous pouvez voir, les attaques de DOS ne sont pas compliquées. En raison de la facilité avec laquelle un intrus peut trouver pré-a fait des programmes d'attaque, ces attaques sont également très communs. En ce moment, vous pourriez demander, "comment ose je peux empêcher une attaque de DOS?" Malheureusement, ils peuvent être atténués, mais être pas entièrement empêchés. Puisque ces attaques sont basées sur la manière dont fondamentale les ordinateurs ont installé la communication entre l'un l'autre, la seule manière d'arrêter cet abus serait de réinventer l'Internet. Actuellement, la seule manière réaliste d'atténuer une telle attaque est de bloquer tout le trafic venant des parties spécifiques de l'Internet. Cependant, car nous avons discuté, les intrus utilisent souvent beaucoup d'ordinateurs slaves des endroits divers. Par conséquent, un emplacement de Web devrait neutraliser l'accès à une communauté entière des utilisateurs pour arrêter avec succès n'importe quelle attaque. Mystification de DNSD'autres types d'attaques de DOS fonctionnent indirectement. Ces types d'attaques habituellement n'impliquent pas le serveur ; au lieu de cela, ils visent le client. Dans ce cas-ci, l'ordinateur de client est seulement dupé dedans où il disparaît une fois passé commande pour rechercher l'information. Par exemple, si vous pensez votre ordinateur va à http://www.yahoo.com, mais il va à la place à un emplacement d'intrus fait pour ressembler à Yahoo !, vous pourriez par distraction fournir l'intrus des mots de passe et toute autre information personnelle. Normalement, un ordinateur de client questionne un serveur de DNS quand un Domain Name ou une adresse d'emplacement de Web doit être converti en IP address. C'est parce que l'ordinateur de client a besoin du IP address pour localiser le serveur de Web ou le serveur d'email qui emploient le Domain Name. Que ceci est fait dans trois étapes.
Cependant, ce processus peut être facilement maltraité en envoyant les utilisateurs confiants aux emplacements faux de Web, ou en conduisant l'email sortant par un ordinateur non autorisé. Ceci est accompli en écrivant le IP address faux à la base de données dans le serveur de DNS. Quand ceci se produit, il est impossible presque pour que le client réalise qu'il y a un problème. La seule manière est si les entrées de serveur de DNS sont spécifiquement vérifiées, ou si le serveur de l'intrus descend. Dans le cas où une entrée de serveur de DNS est entaillée, seulement l'email sortant est envoyé à l'endroit charrié, à moins que le serveur d'email utilise le même serveur de DNS que le client. Si c'est le cas, tout l'email entrant et sortant est conduit par un ordinateur non autorisé. Cependant, pour notre exemple, nous supposerons que le serveur d'email utilise un serveur bloqué de DNS pour ses consultations de domaine. Dans le cas où le serveur de DNS est entaillé :
Ce scénario a pu fournir à un intrus de l'information valable. Par exemple, si le client B est un médecin ou un avocat, l'intrus aurait accès à l'information sensible. Si le client B travaille sur un projet de dessus-secret, l'intrus pourrait vendre l'information à une compagnie rivale. Ou, si le client est un magasin en ligne de Web, l'intrus pourrait capturer chaque email de confirmation avec les adresses des clients et/ou les nombres de carte de degré de solvabilité. Comme vous pouvez voir, il y a un vaste potentiel pour des dommages d'un DNS charrient. Si un intrus veut tourner un emplacement de Web invisible ou capturer l'email, l'intrus nie le service à ceux qui utilisent le serveur entaillé de DNS. Heureusement, cependant, il y a une solution pour ce problème. Des serveurs de DNS peuvent être rendus bloqués. Cependant, on l'estime qu'environ 50–75% de tous les serveurs de DNS ne sont pas bloqués. C'est un problème connu, ainsi si vous êtes concerné par la possibilité que votre serveur de DNS n'est pas bloqué, entrez en contact avec votre ISP et leur demandez quel logiciel elles emploient et s'il est sûr d'une attaque de charrier. Si tout va bien, ils sauront de ce que vous parlez et vous donneront une réponse affirmative. c'est un article supplémentaire par Yoko Jelkovich
|
|||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||||