Démenti des attaques de service


  Share  
|

des attaques du Démenti-de-service (DOS) sont rapportées aux équipes de réponse d'incident plus que n'importe quel autre type d'attaque. Les idées fausses au sujet des attaques de démenti-de-service abondent, cependant. Une idée fausse largement tenue est que les attaques de démenti-de-service se brisent invariablement des applications ou des centres serveurs. Bien que la majorité d'attaques rapportées de DOS fassent en effet briser des applications ou des hôtes, une attaque de DOS peut également faire ralentir ou ne pas fonctionner un système ou une fonction correctement. Un programme mal écrit de cgi, par exemple, peut se briser un web server par un débordement d'amortisseur ou toute autre condition, mais il peut également causer l'overutilization d'unité centrale de traitement, rendant le centre serveur de victime insensible.

Plusieurs types d'attaques de DOS sont maintenant presque légendaires parce qu'ils se sont produits tant de fois :

  • Inondation de SYN. Dans une attaque d'inondation de SYN, un centre serveur hostile envoie une pléthore de paquets de SYN à un centre serveur de victime. Des paquets de SYN sont envoyés par un centre serveur qui veut commencer un raccordement de TCP avec un autre hôte (que nous appellerons également l'"réception du centre serveur"). Le centre serveur de réception surveille le statut de la tentative de raccordement comme le raccordement lui-même, si un raccordement est établi. La surveillance du statut exige des ressources. Quand un raccordement est fermé, les ressources utilisées en surveillant le raccordement ne sont plus nécessaires. Pendant que plus de raccordements se produisent, plus de ressources sont allouées pour surveiller l'état des raccordements. Dans les conditions normales en lesquelles un nombre normal de raccordements sont en place, le centre serveur de réception a plus qu'assez de ressources pour surveiller tous les raccordements à lui.

    Mais que si une pléthore de paquets de SYN est envoyée, et le centre serveur de réception n'obtient aucun paquet suivant qui font partie du processus normal d'accomplir le raccordement ? Simplement mis, le centre serveur de réception manque de ressources, rendant le centre serveur de victime insensible dans le cas de l'épuisement modéré de ressource ou le faisant briser dans le cas d'un épuisement plus grave de ressource. Puisque des attaques d'inondation de SYN il est facile lancer, elles se produisent fréquemment. Heureusement, la plupart des fournisseurs des logiciels d'exploitation ont adressé le problème en ayant les raccordements partiellement ouverts de baisse de logiciel d'exploitation.

  • Attaque de larme. Une attaque de larme est un autre type de protocole d'IP de DOS attack.The est un protocole robuste conçu pour traiter un éventail de dispositifs, de systèmes, et de types de gestion de réseau. Si un système va envoyer les paquets qui sont par exemple de 1 kilo-octet (1.024 bytes) dans la taille, les dispositifs de réseau tels que des couteaux ne pourraient pas pouvoir manipuler les paquets qui sont ceci grand. Ils pourraient à la place pouvoir manipuler les paquets qui sont seulement moitié de cette taille. Dans ce cas-ci, l'IP divise automatiquement le paquet original en pièces plus minuscules qui peuvent faire leur voie par les dispositifs de réseau qui ne peuvent pas manipuler de plus grands paquets, une fragmentation appelée de processus.

    Quand les paquets réduits en fragments arrivent au centre serveur de réception, ce centre serveur les rassemble dans le paquet que le centre serveur d'envoi a à l'origine créé. Réduire des paquets en fragments est utile parce qu'il fournit une manière pratique et raisonnablement efficace de transporter des données à travers un réseau tout en préservant toujours l'exactitude des données. Un attaquant peut maltraiter le procédé de fragmentation, cependant, en faisant recevoir le centre serveur de réception des valeurs en paquets qu'il n'est pas programmé traiter. Dans une attaque de larme, un fragment de paquet est placé dans des autres de sorte que quand le centre serveur de réception reçoit cet ensemble de fragments de paquet, les valeurs résultantes (en termes d'excentrages) soient hors de gamme. La machine de réception sort de la commande et se brise.

    Il y a beaucoup de variations de l'attaque classique de larme comme beaucoup d'autres types d'attaques de fragmentation de paquet. Un attaquant peut, par exemple, écrire un programme qui divise des paquets en fragments en quelque sorte qui fait recouvrir les paquets suivants des parties du fragment initial.

  • Attaque de Smurf. Un autre genre d'attaque de démenti-de-service est toujours une attaque de smurf. Dans ce genre d'attaque, un centre serveur de cible est pris pour victime quand un attaquant falsifie ("charrie") l'adresse d'origines ou de source pour être le host address de cible. L'attaquant (ou, plus correctement, un programme qui fonctionne au nom de l'attaquant) libère une pléthore de paquets de cinglement ou d'écho d'ICMP demande destiné pour tous les centres serveurs sur le réseau local. Ceci est accompli en ayant l'adresse d'émission comme destination. Une adresse d'émission de réseau d'un réseau a un IP address particulier qui est employé pour envoyer des paquets à chaque centre serveur dans le réseau local.

    Quand le cinglement ou des paquets de demande d'écho d'ICMP atteignent l'adresse d'émission, ces paquets également sont envoyés aux autres centres serveurs. Ils répondent en répondant à l'adresse de source, l'adresse du centre serveur visé. La pléthore de réponses peut avoir plusieurs effets, le le plus susceptible de ce qui fait briser l'hôte de cible ou, avec une peu de chance, peut-être la ralentissant vers le bas à un rampement à la place dû à devoir traiter un tel barrage des paquets. La plupart des fournisseurs de logiciel d'exploitation ont développé les pièces rapportées qui corrigent ce problème, bien que réseau filtrant que le trafic d'émission de limites est une autre solution viable.

Le cinglement, "le Groper d'Internet de paquet," est un protocole conçu pour déterminer si un centre serveur est vivant sur le réseau (c'est-à-dire, s'il est courant et sensible). Le cinglement transmet un groupe de caractères, habituellement un groupe raisonnablement petit (en général moins de 100 bytes), et puis attend le centre serveur qui a été cinglé pour répondre. Une des utilisations primaires du cinglement détermine si un centre serveur particulier s'est brisé.

  • attaque de la Cingler-de-mort. Un autre type classique d'attaque de DOS est toujours l'attaque de la cingler-de-mort. Cette attaque crée un état de débordement d'amortisseur, quelque chose qui résulte d'avoir trop peu de mémoire disponible pour des données entrantes à traiter. La manière exacte dont un état de débordement d'amortisseur est manipulé dépend d'un certain nombre de facteurs, mais d'un résultats possibles est épuisement de la mémoire qui fait briser une application ou un système.

    Le tour à une attaque réussie de la cingler-de-mort doit envoyer les paquets de cinglement qui excèdent la taille maximum, à savoir 64KB dans TCP/IP. Le centre serveur de réception ne pourrait pas être programmé rejeter les paquets surdimensionnés et pourrait par conséquent entrer dans un état de débordement d'amortisseur. Ce problème a principalement (mais pas exclusivement) les produits affectés de logiciel d'exploitation de Microsoft, lesquels se brisent avec l'écran bleu notoire d'apparaître de la mort (BSOD). Heureusement, les pièces rapportées qui fixent ce problème sont maintenant par habitude disponibles et sont habituellement incorporées aux produits de logiciel d'exploitation qui étaient vulnérables seulement il y a quelques années.

  • Attaque de terre. Une attaque de terre profite du fait que les propriétés des paquets adhèrent habituellement à certaines contraintes. Normalement, par exemple, les paquets de SYN n'ont pas les mêmes adresses d'IP de source et de destination, ni sont la source et la destination met en communication normalement la même chose. Si un attaquant envoie les paquets de SYN qui ont ces derniers ou d'autres caractéristiques dans une attaque de terre, le centre serveur de réception pourrait entrer dans un certain genre d'état anormal, la faisant briser.

  • Attaque de WinNuke. Une attaque de WinNuke profite d'une faiblesse dans l'exécution de TCP/IP dans certaines versions de Windows NT. Dans cette attaque, un malfaiteur envoie de l'entrée de gamme (c'est-à-dire, l'entrée avec les paramètres qui ne sont pas dans la marge le centre serveur de réception prévoit) à un centre serveur de victime par un raccordement a établi sur le port 139 de TCP. La surattribution massive de l'unité centrale de traitement en faisant face à cette condition anormale fait briser l'hôte de victime. Le problème, qui est fixé dans le paquet 3 de service de Windows NT 4.0 et plus haut, est dû à un manque de vérifier si l'entrée est dans une marge prévue.

  • Attaques distribuées de démenti-de-service (DDoS). Bien que semblable à bien des égards aux attaques conventionnelles de démenti-de-service, attaques de DDoS soyez différent principalement du fait elles exigent les centres serveurs succédants qui sont alors assignés de divers rôles dans l'attack(s) imminent de DDoS par l'installation du logiciel spécial et malveillant. Notez également, cependant, que des attaques de DDoS peuvent être lancées de ses propres systèmes, aussi. Les attaques de DDoS font participer le maître, le traiteur, et les hôtes de zombi :

    • Les zombis sont des agents qui libèrent réellement une pléthore de paquets qui réduisent des centres serveurs et être également le réseau à un arrêt. Les zombis n'agissent pas tout seuls, cependant ; ils libèrent une inondation de paquet seulement s'instruit pour faire ainsi par un autre centre serveur, à savoir un traiteur (voir la prochaine balle).

    • Les traiteurs ne sont vraiment rien les machines plus qu'intermédiaires que ni ne lancez une attaque ni libèrent les paquets qui inondent le réseau de victime. Ils exécutent à la place charge comme confirmer que le logiciel d'agent a été installé dans des hôtes (zombis) dans tout le réseau et qu'il est prêt de travailler. Les traiteurs questionnent ainsi les zombis à intervalles indiqués. Les traiteurs reçoivent également un signal du maître, un autre centre serveur typiquement non placé dans le réseau dans lequel l'attaque de DDoS doit se produire, pour lancer une attaque de DDoS aux agents. Le traiteur envoie alternativement alors un signal aux zombis pour libérer un barrage des paquets.

    • Le troisième complice dans une attaque de DDoS est le maître. Le maître est le centre serveur qui est habituellement directement sous la commande de l'attaquant. Il est employé pour diriger tous les traiteurs envoyer la commande de libérer une pléthore de paquets aux zombis.

      Les attaques de DDoS en 1999 et 2000 ont causé la perte et/ou la rupture financières principales pour un certain nombre d'établissements, y compris l'université du Minnesota, de ZDnet, d'eBay, E-Confiance, Amazon.com, et d'autres. La menace principale est d'une panne prolongée, bien que le coût d'étudier des centres serveurs pour l'évidence du compromis par des outils de DDoS et de reconstituer l'intégrité de ces systèmes puisse également être très haut. Beaucoup de types d'outils d'attaque de DDoS ont été identifiés. Un, axe, même constructions dans ses propres mécanismes de détection, lui permettant d'éviter d'être détecté par des programmes d'intrusion-détection. Les outils additionnels de DDoS qui ont été identifiés incluent Trin00, réseau d'inondation de tribu (TFN), tfn2k, Slice3, Stacheldracht, et d'autres.

un article a soumis par Thomas Gregovich


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions