Что такое отказ в обслуживании атак (нападений DOS) и способах защиты от них

Share

|

Хакеры могут сеять хаос никогда не проникают вашей системе. Например, хакером может эффективно выключайте компьютер от наводнения вам отвратительной сигналы или злоумышленного кода. Этот метод известен как "отказ в обслуживании нападения.

Хакеры выполнить отказ в обслуживании нападение, используя один из двух возможных методов. Первый способ наводнять целевого компьютера или аппаратное устройство с информацией, с тем, что начинают переполнять. Альтернативный метод - это направить хорошо разработанный команду или часть ошибочных данных, аварий целевой компьютер устройство.

SYN Наводнения

Это первый тип DoS нападения мы будем обсуждать известен как SYN наводнение. А SYN нападение свяжет составляют целевой компьютер ресурсов, сделав его реагировать на поток команд. Чтобы понять это, представьте, вы секретарь чья задача заключается в том, чтобы ответ и переадресацию телефонных звонков. Что делать, если 200 человек призвавшего вас в то же время, а затем головой, когда вы ответили? Вы бы так заняты забрать мертвых строки, которые вам никогда не получить работу. В конце концов, вы должны страдать психическим сбоям и бросить эту работу. Это тот же метод, хакеров, когда они используют DoS атаки.

Чтобы выполнить DoS атаке, хакера должен сначала определить адрес цели. Используя этот адрес, то хакера должен подключиться к ней с использованием компьютер-клиент. Чтобы развить силу в атаке, хакеров часто создали несколько клиентского компьютера, запланированных для нападения на цели одновременно. Это, как правило, выполнены на практике некоторые предварительные хакерство для получения собственности на несколько компьютеров с высокой пропускной соединений. Самым популярным источником этих рабов компьютеры университета систем широкополосной или клиентов. После хакера в его рабами компьютеров создан, он запускает нападение из центра, называют мастером.

А SYN DoS нападение пользуется требуемое TCP / IP рукопожатия, что происходит, когда два компьютера создания сеанса связи. Компьютере-клиенте первый посылает пакет SYN на сервер для начала коммуникации. Когда сервер получает эти данные, обрабатывает его обратного адреса и отправляет обратно SYN ACK пакетов. Сервер затем ожидает от клиента в ответ окончательный ACK пакет, который завершит соединение начало.

Сервер имеет ограниченное число ресурсов, предназначенных для подключения клиентов. Когда сервер получает первоначальный SYN пакет от клиента, сервер выделяет некоторые из этих ресурсов. Это ограничение означает ограничить число одновременных подключений клиента. Если слишком много клиентов подключаться одновременно, сервер будет перегружен и сбоях в обработке избыточных нагрузок.

Слабость в этой системе происходит, когда хакера вставляет фальшивый адрес вернуться в первоначальный SYN пакет. Таким образом, когда сервер отправляет обратно SYN ACK для фиктивного клиента, он никогда не получает окончательного ACK. Это означает, что для каждого поддельные SYN пакет, дополнительные ресурсы, которые привязаны до сервера отказывается более соединений. Успешное нападение требует множества поддельных пакетов, но если хакером несколько рабов компьютеры отправки пакетов, то он может перегрузки сервера быстро.

Хорошо известным примером такого рода нападение произошло в конце 1999. Несколько громких сайты были на коленях потока сигналов из сотен разных компьютерах одновременно. Веб-сайты бы не проблемы с нападением из одного источника; Однако, с помощью программы дистанционного управления, один или несколько хакеры начали совместные нападения с использованием сотен компьютеров, таким образом, перегружать своих целей.

Смурф Нападения

Один вариант затопления DoS атака называется smurf атаки. Представьте себе компанию с 50 сотрудниками для ответить на вопросы клиента по электронной почте. Каждый работник имеет автоматической ответить, что автоматически отправляет в любезности ответить, когда на вопрос получения. Что произойдет, если гнев клиента отправили 100 сообщения копируются на каждого из 50 работников с использованием поддельных вернуться адрес электронной почты? В 100 входящие сообщения будут вдруг стали 5.000 исходящих сообщений - все будет на один почтовый ящик. Лицо принадлежит поддельные обратного адреса будет переполнять все, что почта! И она будет искать через все это, чтобы она не пропустите важный сообщение от своего босса и друга. Это же как smurf нападение работ. Нападавший посылает запрос сигнал в сети компьютеров, каждый из которых ответ на подделал обратного адреса. Специальные программы и другие методы можно расширить до этого потока информации к одной главе сожалению компьютере.

Из-за правил TCP / IP, компьютер игнорирует все пакеты, которые прямо не имя его. Одно исключение это если на компе есть сетевая карта запуска в жизнь режиме, о чем свидетельствует тот sniffer пример. Другим исключением из этого выходит пакетов.

Что делает Ваша компания, когда ей необходимо получить важный сигнал к каждому в организации? Если сообщение является вариант, то она посылает внутренней "спам" сообщений для каждого, кто имеет адрес электронной почты. В противном случае, он может играть объявление в громкоговоритель, или отправить бюллетень возле банка кофе. Эти методы обеспечения того, чтобы большинство работников будет получать информацию. Кроме того, в компьютерной сети, бывают случаи, когда сервер должен направить информацию каждый подключенный к сети компьютер в сети. Это достигается, используя широковещательный адрес.

Из-за того, как IP- адреса создаются в сети, всегда есть один адрес, что каждый компьютер будет ответ на. Этот адрес известен как широковещательный адрес, и используется для обновления имя списки и другими необходимыми вещами, что компьютеры нужно сохранить сеть создана и начала работать. Несмотря на то, что широковещательный адрес является необходимым в некоторых случаях это может привести к тому, что называется эфир шторма.

А эфир буря, как эхо, что никогда не умирает. Более конкретно, это, как эхо, что crescendos до тех пор, пока вы не услышите ничего более чистого шума. Если компьютер посылает запрос в сеть, используя широковещательный адрес с возвращением адрес этого широковещательный адрес, каждый компьютер будет реагировать на любой другой компьютер в ответ; Это по-прежнему в силе до снежного сети полный повторяет, что ничего еще можно пройти.

Теперь, когда вы понимаете, как в эфир произведений, представьте, что произойдет, если хакером отправлено 1.000 трансляции пакетов в сети с обманный вернуться адрес. Эта сеть будет обострять подлинные пакетов в десятки или сотни тысяч пакетов, все направлено на одном компьютере.

В этом случае, в отличие от SYN атаке, целевой компьютер сможет создать сеанса связи с компьютерной просьбой. Однако, перегрузки сессии просьб утопить сервер, в результате чего сервер бесполезным.

Эти типы нападений не только быстро и эффективно закрыть сервер, но и держать хакера невидимым. В силу характера этого нападения, подлинные пакеты направлены на хакеров не имеют. В том случае, SYN атаке, адрес был фальсифицирован. Таким образом, происхождение пакета остается неизвестной. В случае, если smurf атаке, хакера не непосредственно объектом нападения, но вместо этого использует побочный эффект направления трансляции сигналов в сети для выполнения этой работы косвенно. Таким образом, нападение, по-видимому, выходцами из другого компьютера или сети.

Система Overloads

Другой тип DoS атака направлена против программное обеспечение работает на целевой компьютер. Компьютерное программное обеспечение, в среднем, около сбой на 1.000 строк кода. Поскольку программное обеспечение может быть миллионы строк, количество ошибок может идти на сотни тысяч. Если злоумышленник знает, как использовать конкретную ошибку, она может закрыть целевого компьютера. Например, один из известных корзина программное обеспечение было установлено, что недостаток в ее программирования, вызвавшую процессор загружается на компьютер скачка на 100%, тем самым предотвращая любые другие программы претендентов. Отправка одного простого http:// запрос в правильной форме может плавиться целевом сервере.

Этот тип нападения аналогично unscrewing шляпки на соль шейкер. Используется, как правило, соль шейкер прекрасно работает и никогда не даст вам кучке соли для Ваших усилий. Однако, если кто-то, кто понимает внутренностях в шейкер были тайно unscrew шляпки, в шейкер будет наводнение Вам горькую соль.

Этот тип DoS нападения, как правило, эксплуатируются на основе переполнения буфера. Обычно, для этого буфера будет сбоях компьютера. Как уже отмечалось, переполнение будет заполнить заранее части памяти, и к переполнению памяти выше, тем самым еще перезаписи переменных данных. Когда программа, которая использует переменные перезаписываются пытается получить данные, программа будет сбой, зачастую принимая весь компьютер вместе с ним.

DoS атаки общей угрозой не только для крупных корпораций, но и для малого бизнеса и домашних пользователей. Существуют бесчисленные заранее сделанные программы, которые могут кому-нибудь власти наводнений цели. Простым щелчком мыши можно отправить сотни SYN пакеты hurtling непосредственно в потерпевшего. Если вы подозреваете, один DoS нападения, вы можете использовать netstat инструмент для определения нападение происходит; Используя этот инструмент, нападение легко apparent.The следующей таблице показаны результаты netstat на SYN атаки. Состояние строки явно свидетельствует о том, что SYN атака в настоящее время.

В netstat Результаты на SYN атак

Активное подключение к Интернету (включая серверы)
Прав	Местные Адрес	Иностранных Адрес	Государства
tcp	10.0.0.1:22	10.0.0.2:3342	SYN_RECV
tcp	10.0.0.1:22	10.0.0.2:4323	SYN_RECV
tcp	10.0.0.1:22	10.0.0.2:4356	SYN_RECV
tcp	10.0.0.1:22	10.0.0.2:4367	SYN_RECV
tcp	10.0.0.1:22	10.0.0.2:4389	SYN_RECV

Как вы можете видеть, DoS атаки, не сложная. В результате та легкость, с которой хакером можно найти заранее сделал нападение программ, эти нападения являются также весьма распространенным явлением. На этом этапе, возможно, Вас просим, "Как я могу предотвратить нападение DoS"? К сожалению, они могут быть смягчены, но не полностью предотвратить.

Из-за этих нападений основаны на фундаментальных образом, что компьютеры созданы связи между собой, единственный способ, чтобы остановить это злоупотребление будет вновь изобрести Интернет. В настоящее время единственным реальным способом уменьшения такого нападения является блокировать весь трафик из конкретных частях Интернета. Однако, как мы обсуждали, хакеры часто используют многие рабами компьютеров из различных мест. Таким образом, веб-сайт придется заблокировать доступ для целого сообщества пользователей успешно остановить любое нападение.

DNS спуфинга

Другие виды DoS нападений работы косвенно. Эти типы атак, как правило, не связаны с сервера; Вместо этого они ориентированы на клиента. В этом случае, клиент компьютер только в заблуждение, когда она идет, когда приказано получения информации. Например, если вы считаете, компьютер собирается http://www.yahoo.com, но он вместо этого собирается хакера сайт для выглядеть Yahoo! , Его можно случайно поставки с хакера паролей и другой личной информации .

Как правило, на компьютере-клиенте запросов в DNS сервер, когда доменное имя или адрес веб-сайта должна быть преобразована в IP- адреса. Это объясняется тем, что компьютер-клиент нуждается в адрес местонахождения Web сервер или почтовый сервер, который использует имя домена. Что это делается в три этапа.

1. Клиент просит сервер DNS для домена адреса.

2. В DNS сервера базы данных запросов и ответов с адресом, что соответствует доменное имя предусмотрено.

3. Клиент соединяется с сервером в адрес представленной на DNS сервера.

Однако этот процесс можно легко злоупотреблять, отправив ничего не подозревающих пользователей на ложные сайты, или маршрутизации исходящих сообщений электронной почты с помощью несанкционированного компьютера. Это достигается путем написания неверный адрес базы данных в DNS сервер. Когда это произойдет, практически невозможно для клиента реализовать возникла проблема. Единственный способ - если DNS сервер записей специально выбран, или если хакеров на сервер идет вниз.

В случае, когда сервер DNS запись взломанный только исходящие сообщения направляется в обманный месте, если почтовый сервер используется тот же DNS сервера клиенту. В этом случае, все входящие и исходящие письма проходят через несанкционированного компьютера. Однако, в нашем примере, мы предполагаем, что сервер электронной почты с использованием надежной DNS сервера для домена поиск.

В том случае, если DNS сервер взломали:

1. B Клиент просит адрес для youremail.com.

2. В взломанный сервер DNS отвечает с поддельным 192.168.0.10.

3. B Клиент подключается к серверу поддельные письма и отправляет письмо.

4. В поддельный сервер копирует сообщение, и отправляет его в реальном почтового сервера.

5. Реальный почтовый сервер, с использованием безопасных DNS, отправляет сообщение клиенту.

Этот сценарий может стать хакером с некоторыми ценную информацию. Например, если клиентов В, врача или адвоката, хакеров будет иметь доступ к закрытой информации. Если Клиент Б работает над верхней тайное проекта, хакером может продать информацию соперничающей компании. Или, если клиент в Интернете, Интернет магазин, то хакером может охватить все подтверждение по электронной почте с клиентов адреса и / или номера кредитных карт.

Как видите, есть огромный потенциал для ущерба от DNS обманывать. Будь хакером хочет превратить веб-сайт невидимыми или захватить электронной почты, то хакером является отказ обслуживания тех, кто, используя взломанный сервер DNS. Однако, к счастью, существует решение этой проблемы.

DNS серверов можно сделать безопасным. Однако, по оценкам, около 50-75% всех DNS серверов, не безопасно. Это известная проблема, поэтому, если Вы обеспокоены возможностью того, что Ваш сервер DNS не является безопасным, свяжитесь с вашим ISP и попросите их, что они используют программное обеспечение, а так же безопасен от нападения обманывать. Надеемся, они будут знать, чем вы говорим и дать вам положительного ответа.