Сбой или ненормальное функционирование атакованной системы также может быть шагом к овладению системой, если в ненормальной ситуации программное обеспечение выдает какую-то критическую информацию - например, версию, фрагмент программного кода и т.д.

Распределенный отказ в обслуживании - распределенная атака типа "отказ в обслуживании".

Чтобы обнаружить распределенные атаки типа "отказ в обслуживании" и защититься от них, необходимо классифицировать их и понять, как они работают. Немного об уровнях: Атаки L2-уровня направлены на исчерпание пропускной способности сети.

В результате сервер теряет доступ к внешней сети. Для осуществления используются объемные транспортные потоки. Во время DDoS-атаки трафик должен обрабатываться на стороне провайдера, то есть в центре обработки данных.

В теории атаки отсекаются по портам. Атаки сетевого уровня L3 направлены на разрушение элементов сетевой инфраструктуры. Требуется ручной анализ сетевой инфраструктуры. Если у вас нет собственной автономной системы, с этим классом атак борется ваш интернет-провайдер или дата-центр. Желательно сотрудничать с ними. Транспортный уровень L4 - атаки направлены на использование уязвимостей в стеке TCP. Протокол TCP использует открытую таблицу соединений.

Атаки, с другой стороны, составляют этот класс. Эвристический анализ. Прикладной уровень L7 - это атаки, направленные на нарушение работы веб-приложения. Атаки этого класса очень разнообразны. Нехватка ресурсов сервера. Требуется поведенческий анализ и корреляция, мониторинг ресурсов сервера.

Сервер должен быть оптимально настроен под задачи, которые он решает. Полностью автоматизировать борьбу с этим классом атак практически невозможно. Медленные атаки: Уровень атаки: L4 транспортный уровень.

Описание и принцип действия: DDoS-атака Slowloris устанавливает множество открытых соединений на сервере, постоянно отправляя неполные HTTP-запросы. В определенные моменты времени Slowloris отправляет следующие HTTP-заголовки для каждого запроса, но не разрывает соединение.

Если запросы отправляются с оптимальной частотой, сервер начинает ждать завершения открытых соединений. Когда это происходит, ресурсы сервера остаются относительно свободными, но сервер перестает обслуживать новые соединения. Особенность веб-серверов Apache в том, что они имеют эффективные механизмы балансировки нагрузки и используют "пулы рабочих", что позволяет им удерживать любое количество открытых соединений до тех пор, пока есть доступные ресурсы.

Веб-сервер понимает, сколько данных ему необходимо получить. Затем он отправляет тело POST-сообщения на очень низкой скорости. Это расходует ресурсы сервера в течение длительного времени, а затем препятствует обработке других запросов. Этот тип атаки на отказ в обслуживании может быть организован через прокси-сервер. Трафик для этой атаки аналогичен легитимному трафику. Описание и принцип действия: атака заключается в следующем. Если на веб-сервере есть объект, размер которого превышает размер буфера отправки, выделенного ядром для соединения.

Тогда можно заставить ядро не принимать данные, и сервер будет пытаться отправить часть данных, занимая стек соединения, ресурсы процессора и память. Если таких соединений слишком много, стек TCP переполнится, и он не будет открывать новые соединения. Примеры: Размер окна пакетов равен нулю, т.е. нет места для приема данных. Скрипт Sockstress посылает эти пакеты и считает время их отправки, поэтому таймер постоянства не загружается.

Создайте на клиенте сокет с небольшим буфером приема. Отправьте HTTP-запрос к объекту сайта, размер которого превышает размер буфера. Время от времени мы считываем несколько байт из буфера приема. Сервер попытается загрузить данные и ресурсы.

Атака с использованием случайных пакетов: Уровень атаки: L2 канальный уровень, L7 прикладной уровень. Целью атаки может быть корень сервера или ресурсоемкий элемент. Атака может привести к прекращению работы HTTP-сервисов и затруднить доступ к сайту для легитимных пользователей.

Атака может быть обнаружена путем выявления быстрого роста числа запросов к определенным элементам веб-сервера и журналам сервера. Описание и принцип действия: Атака UDP flood основана на отправке большого количества UDP-пакетов на определенные порты сервера. Она должна определить приложение для каждого полученного пакета, убедиться, что оно неактивно, и отправить обратно сообщение ICPM "unreachable". В результате он увеличит объем полосы пропускания, используемой атакуемым сервером, и заполнит ее UDP-пакетами.

Протокол UDP не имеет механизма проверки отправителя пакетов, поэтому злоумышленники могут подделывать IP-адреса и обеспечивать анонимность. Он работает следующим образом. На атакуемый сервер отправляется пакет с флагом SYN. Цель атаки - заполнить стек TCP большим количеством полуоткрытых соединений, в результате чего сервер перестанет устанавливать соединения с новыми клиентами.

Запросы на соединение, полученные сервером, хранятся в стеке определенного размера, который зависит от операционной системы. Они остаются в стеке до тех пор, пока сервер не получит информацию о соединении от клиента. Описание и принцип действия: Этот тип флуда направлен на сетевое оборудование. Принцип этой DDoS-атаки заключается в том, что ICMP-пакет требует от устройств значительно большего объема работы, в то время как сам запрос имеет небольшой размер. <То есть, отправка относительно небольшого объема ICMP-запросов перегружает сетевое оборудование и приводит к потере значительной части легитимных запросов. Для увеличения мощности атаки используются локальные сети с включенной опцией направленного вещания. Описание и принцип действия: Secure Sockets Layer SSL - это протокол безопасности для защиты целостности коммуникационной сети и передачи данных. SSL может шифровать сетевое соединение на транспортном уровне.

Процессы шифрования, расшифровки и обмена ключами SSL потребляют огромное количество системных ресурсов. Существует два типа атак на основе SSL. Первый тип использует механизм рукопожатия, который истощает ресурсы атакуемого сервера. Атакующий посылает на сервер искаженные SSL-данные, и это потребляет большое количество вычислительной мощности.

Второй тип использует SSL Renegotiation. Установка защищенного соединения и повторное подтверждение SSL требует значительно больше вычислительной мощности на стороне сервера, чем на стороне клиента.

Это позволяет злоумышленнику выполнить атаку и исчерпать ресурсы атакуемого сервера. HTTPS обычно расшифровывается глубоко в сети организации, где серверы и модули более уязвимы для вредоносного трафика.

Атакеры также используют этот протокол для обхода механизмов безопасности. Другие атаки могут быть туннелированы таким образом. Конструкция и принцип работы: В этом типе DDoS-атаки злоумышленник либо пытается подключиться к почтовому серверу и отправить случайные письма на случайно сгенерированные электронные адреса, либо оставляет соединение открытым до тех пор, пока не выйдет время.

Каждое SMTP-соединение потребляет ресурсы сервера, поэтому злоумышленник пытается вызвать отказ в обслуживании. Техника заключается в том, что когда мы пишем письмо от несуществующего получателя, SMTP-сервер предупреждает нас, используя электронную почту отправителя, что письмо не будет получено. Мы отправляем множество запросов на SMTP-сервер и указываем, что не все электронные письма действительны и что отправитель является целью атаки.

И им будет сообщено, что электронное письмо не пришло. Несколько SMTP-серверов будут отправлять трафик к цели атаки. Описание и принцип действия: Этот тип DDoS-атаки основан на отправке UDP-датаграмм, которые случайным образом ссылаются на датаграммы, отсутствующие в потоке. Это приводит к увеличению потребления памяти атакуемым сервером. Описание и принцип действия: Этот тип DDoS-атаки использует уязвимости в поддержке фрагментации пакетов протокола IP.

Одной из атак этого типа является обход фрагментов IP. Она использует уязвимость операционной системы путем пересборки фрагментированных IP-пакетов. В процессе пересборки над полученными фрагментами формируется цикл. Затем из них копируется информативная часть и передается на IP-уровень.

Разработчики включили проверку на чрезмерное количество копируемой информации, но не включили проверку на копирование негативного фрагмента. Копирование фрагмента информации отрицательной длины эквивалентно копированию очень большого фрагмента информации.

Это приводит к перезаписи большого объема памяти и вызывает сбой в работе системы. Существуют две программы, которые имеют немного разные константы в механизме, пересекающем IP-фрагменты: newtear и teardrop. Они посылают пакеты с заданного IP-адреса на любой порт, независимо от того, открыт он или закрыт.

Еще один вариант этой атаки - bonk. После сборки фрагментов в пакете остаются пустые места. Это приводит к сбою ядра операционной системы и нарушению электронных вычислений. Эти уязвимости присутствуют в старых версиях операционных систем Windows и Linux.

Сегодня большинство сетевых операционных систем защищены от сбоев, вызванных этой атакой. Описание и принцип действия: Эти DDoS-атаки направлены на конкретные приложения и операционные системы, которые некорректно обрабатывают недопустимые значения в заголовках пакетов. Атака Land является примером такой атаки. В этой атаке злоумышленник определяет один и тот же IP-адрес для источника и назначения в пакете.

Навигация

Comments

  1. Я вам не верю


Add a Comment

Ваш e-mail не будет опубликован. Обязательные поля помечены *