Ce qui est démenti de service et comment démenti de service fonctionne

Share

|

Le démenti du service est la catégorie des attaques qui causent une perte de service, ou d'une incapacité de fonctionner. Elles viennent sous beaucoup de formes et heurtent beaucoup de différentes cibles. Les résultats mettent en boîte durent des minutes, des heures, ou des jours et peuvent effectuer l'exécution de réseau, la intégrité des données, et l'exploitation du système.

La première attaque de DOS d'importance était le ver de Morris, estimé pour avoir pris environ 5.000 machines hors de la commission pendant plusieurs heures. Lorsque (novembre 1988), c'était un désastre pour des centres d'universitaire et de recherches mais a eu peu d'impact sur le reste du monde. Aujourd'hui, le DOS comparable attaque, comme ceux contre Yahoo !, Amazone, et d'autres emplacements principaux de Web (février 2000), ont eu comme conséquence les millions de dollars dans les affaires perdues et le revenu. La fréquence du démenti des attaques de service augmente à un taux alarmant, dû en partie de la prédominance des outils écrits à cette fin. La complexité des attaques également est prise à de nouveaux niveaux, qui exige le besoin de pratiques en matière rigoureuses de sécurité et l'exécution de nouveaux mécanismes de protection.

Beaucoup de le démenti des outils de service sont écrits en tant qu'exemples de code de preuve-de-concept pour démontrer des insécurités dans les logiciels d'exploitation communs, tels que Windows, Linux, Solaris, et l'UNIXes Schéma-dérivé. Le ver de Morris était une expérience dans l'informatique répartie, quoique peu avec force faits. Les pratiques en matière faibles de développement et un manque de présenter la sécurité tôt dans de nouvelles applications et logiciels d'exploitation posent plusieurs de ces problèmes exploitables exister. La complexité croissante de la conception et de l'organisation de réseau pousse les limites de la technologie courante et aggrave de nouvelles vulnérabilités. La présence du démenti du service est une épée à deux tranchants. D'une part, il est malheureux que les conditions existent pour permettre au démenti des techniques de service de proliférer. De l'autre, sa présence fait partie de l'évolution technologique qui produit de plus hauts produits et des applications de sécurité.

La norme pour la sécurité a monté considérablement, et c'est évidente avec la réaction au démenti des attaques de service. Sommes tout récemment nous voyant la législation qui traite cette forme d'attaque. On ne le considère plus un polisson idiot quand le revenu est perdu dans notre économie Internet-conduite.

Comment le démenti du service fonctionne

Le démenti des attaques de service sont généralement apportés dessus en exploitant les pailles de programmation dans le logiciel et en écrivant les programmes spécialisés dont le but est d'effectuer des attaques. Le démenti des attaques de service fonctionnent généralement dans une des manières suivantes :

· Consommation de largeur de bande

· Saturation de ressource

· Accident de système et d'application

La consommation de largeur de bande est une attaque contre des ressources de réseau et se rapporte à l'utilisation complète de la largeur de bande disponible de réseau par un ordinateur ou des ordinateurs attaquants. Ceci rend la réponse de réseau lente ou arrête le serveur complètement tandis que l'attaque est continue et cause une incapacité d'atteindre des services tels que les emplacements de Web, email, et les dossiers. La saturation de ressource vise les systèmes informatiques spécifiques qui fournissent des services tels que le Web, l'email, le DNS, et le ftp et les font ralentir ou stopper. Les accidents de système et d'application ont comme conséquence le démenti du service, car le système ou le logiciel particulier gèle, des accidents.

Consommation De Largeur de bande

Chaque réseau peut soutenir seulement une quantité finie du trafic de réseau en même temps, et cette quantité dépend de quelques facteurs : vitesse de réseau, types d'équipement, et leur exécution. Les liaisons communes d'une ISP à une organisation sont l'RNIS, DSL, à bande large (à l'aide des modems câblés), T1, et T3. Ces types de lien reflètent également différentes possibilités de largeur de bande. Les topologies du réseau local de terrain communal (LAN) emploient le 10BaseT et le 100BASE-T.

Le démenti du service par la consommation de largeur de bande se produit quand la capacité entière du lien de réseau est employée. Quand la capacité de largeur de bande de réseau est atteinte, de nouvelles données de réseau ne peuvent pas être envoyées. Ceci signifie de nouveaux raccordements à l'Internet, serveurs d'archivage, serveurs de Web, serveurs d'email, ou aucune autre fonction qui exige la communication de réseau ne fonctionnera. Les raccordements qui sont déjà établis ralentiront à un rampement, gel, ou soient débranchés.

Les attaques contre la largeur de bande peuvent se produire par l'intermédiaire des programmes d'attaque et du misconfiguration spécialisés de l'équipement de réseau. Misconfiguration d'équipement de réseau inclut n'importe quel dispositif qui se relie au réseau, tel que les systèmes informatiques, aux couteaux, aux commutateurs, et à d'autres dispositifs.

Les attaques de largeur de bande sont en activité ; le démenti du service se produit seulement aussi longtemps que la largeur de bande est entièrement employée. Dès que le programme attaquant cessera l'envoi des données ou le dispositif est configuré correctement, la largeur de bande devient encore disponible. La plupart de fonctionnalité de réseau reviendra à la normale, excepté quelques raccordements qui pourraient avoir besoin se remettre en marche.

Les attaques communes incluent les exploits protocole-basées qui consomment la largeur de bande de réseau en envoyant des données ouvrées de réseau. Le dispositif d'accès, tel qu'un couteau, peut échouer pendant qu'il devient inondé avec plus de trafic qu'il peut traiter. Une autre forme d'attaques de largeur de bande se fonde sur la réaction des systèmes et des dispositifs réseau-reliés aux données spécifiques de réseau. Plusieurs ou tous les ordinateurs sur le réseau de cible peuvent être faits pour répondre simultanément au trafic de réseau tel que les émissions d'IP (paquets d'IP qui sont envoyées à l'adresse d'émission d'un réseau au lieu de à une machine spécifique), consommant de ce fait toute la largeur de bande disponible. L'attaque d'"Smurf" est un exemple populaire de cette forme d'attaque.

Saturation De Ressource

Comme un réseau, chaque système informatique a également un ensemble fini de ressources comprenant la mémoire, le stockage, et les capacités de processeur. La saturation de ressource est l'événement de l'épuisement toute l'un ou plusieurs de ces ressources, qui n'en laisse aucun pour d'autres applications. L'inondation de SYN est un exemple populaire d'une attaque qui emploie toutes les ressources disponibles de gestion de réseau sur un système.

Chaque logiciel d'exploitation qui soutient la connectivité de réseau de TCP/IP a des limitations sur le nombre de raccordements qui peuvent être maintenus en même temps. L'inondation de SYN exploite la poignée de main à trois voies d'un raccordement de TCP. L'inondation de SYN réussit en créant "moitié-ouvrent" des raccordements sur le port sur le serveur de cible. Moitié-ouvrez les raccordements sont ceux dans lesquels la poignée de main à trois voies n'est pas accomplie. Normalement, la poignée de main accomplit, ou chronomètre dehors, entraînant le raccordement être supprimé. Chaque port peut seulement soutenir un nombre fini de moitié-ouvrent des raccordements et quand ce nombre est excédé, aucun autre nouveau rapport ne peut être établi. En envoyant seulement le premier paquet de la poignée de main de TCP avec l'invalide ou les adresses charriées de source, le serveur répond au paquet de SYN avec une reconnaissance. Puisque cette reconnaissance va à une adresse falsifiée, la réponse à elle n'arrive jamais. Ceci cause un arriéré de moitié-ouvrent les raccordements qu'il attendent pour accomplir, rejetant de nouveaux raccordements d'être accepté.

Le serveur de Web est une bonne cible témoin pour un démenti d'attaque de service, bien que n'importe quel service de réseau puisse être visé. Car nous avons tout le probablement expérimenté, un serveur occupé de Web tend à répondre plus lentement à nos demandes. Un peu de connaissance au sujet de TCP/IP et du protocole de transfert hypertexte (HTTP) est nécessaire pour comprendre comment ces attaques fonctionnent. Une demande simple et le rapport de HTTP est établie quand le navigateur se relie au serveur de Web. Cette demande demande le serveur un dossier particulier ; le serveur envoie alors le dossier, et le raccordement est fermé. Dans ces circonstances, un serveur de Web peut manipuler un grand nombre de demandes parce que les demandes prennent habituellement temps très peu de pour accomplir, et elles arrivent l'un après l'autre. Pendant que le serveur reçoit des demandes plus simultanées, l'application devient chargée en tant qu'elle traite tous ces raccordements en même temps. Même avec ce ralentissement, le serveur de Web peut encore fonctionner.

Afin de faire cesser le serveur de Web fonctionner, l'attaquant doit augmenter le temps nécessaire pour manipuler ces raccordements ou pour augmenter la capacité de traitement requise pour manipuler chacun. Une inondation de SYN contre un serveur de Web rend le serveur incapable d'accepter de nouveaux raccordements en excédant le nombre maximum des raccordements pour le port il des utilisations. Il est difficile défendre l'inondation de SYN contre. Si l'attaquant forge des paquets pour regarder comme si ils viennent d'un système inaccessible, le serveur n'a aucune manière de savoir qu'ils ne sont pas le trafic typique. Le serveur répond alors comme il à n'importe quel autre raccordement et les attentes un arrêt à se produire avant qu'il le réalise devraient fermer le raccordement. Conformément à la description d'inondation de SYN ci-dessus, le démenti du service se produit quand le serveur de Web reçoit un grand nombre ces derniers les paquets forgés, tellement beaucoup qu'il ne peut manipuler plus de nouveaux raccordements et inévitablement n'est pas coincé attendant ces raccordements falsifiés à l'arrêt avant qu'il puisse continuer de traiter. Les attaques semblables sont l'inondation d'ICMP et de UDP, qui emploient d'autres protocoles pour réaliser le même effet.

Un autre exemple de saturation de ressource peut se produire avec l'utilisation des programmes externes tels que des programmes de l'interface de passerelle commune (cgi) avec le serveur de Web. Des programmes qui stockent des données dans les dossiers sur le serveur de Web peuvent être exploités pour remplir disque dur sur le serveur. Le logiciel d'exploitation de serveur emploie des dossiers pour beaucoup de sa fonctionnalité normale, et, si plein, il peut souvent ne fonctionne pas. De même, des applications qui assignent beaucoup de mémoire ou exigent beaucoup de capacité de traitement pour des calculs complexes peuvent être exploitées pour employer toutes ces ressources, empêchant de nouveaux processus et applications de fonctionner. Ces attaques ne sont pas exploitables seulement par l'intermédiaire du serveur de Web que—n'importe quel accès au système pourrait permettre à une attaque de réussir. La bombe d'email est un bon exemple de ceci.

Accident de système et d'application

Les accidents de système et d'application sont des approches rapides et faciles au démenti du service, où une paille de programmation est exploitable et fait briser l'application ou le logiciel d'exploitation. Un exemple bien connu de ces derniers se brise incluent "cinglement l'attaque de mort" qui emploie des demandes surdimensionnées d'écho d'ICMP. La machine cible se briserait en raison de la manipulation incorrectement mise en application de ces données de réseau.

Ces attaques sont également généralement dirigées contre des dispositifs d'accès de réseau tels que des couteaux d'IP, des couteaux de câble, des commutateurs contrôlés d'Ethernet, VPNs, et d'autres dispositifs de détail d'application. Ces dispositifs soutiennent souvent une certaine forme d'interface de gestion comprenant une ligne de commande l'interface (CLI) et une interface de gestion de Web. Par de diverses méthodes comprenant un grand nombre de raccordements simultanés, l'amortisseur déborde dans des routines d'entrée d'utilisateur, et la validation de données inexacte, ces dispositifs ont été faites pour se briser. Un démenti d'attaque de service sur un dispositif d'accès a une influence plus large qu'une attaque sur une machine simple parce que ces dispositifs sont typiquement des passages aux réseaux multiples.

Plusieurs de ces attaques peuvent être empêchées par la configuration sûre du dispositif de réseau. Ceci inclut des mots de passe prémontés changeants de défaut et configurer le dispositif pour permettre la gestion seulement d'un groupe choisi de machines.