Was Leistungsverweigerung Angriffe (DOS Angriffe) sind und wie man gegen sie schützt

Share

|

Häcker machen wreak Verwüstung ein, ohne Ihr System überhaupt einzudringen. Z.B. kann ein Hacker Ihren Computer durch Überschwemmung effektiv schließen Sie mit abscheulichen Signalen oder böswilligem Code. Diese Technik bekannt wie ein Ablehnung-von-Service Angriff.

Häcker führen einen Ablehnung-von-Service Angriff durch, indem sie eine von zwei möglichen Methoden verwenden. Die erste Methode soll den Zielcomputer oder die Hardwareeinheit mit Informationen überschwemmen, damit sie überwältigt wird. Die alternative Methode soll einen gut-in Handarbeit gemachten Befehl oder ein Stück fehlerhafte Daten senden, die die Zielcomputervorrichtung zerschmettert.

SYN Überschwemmung

Diese erste Art des DOS Angriffs, den wir uns besprechen, bekannt als SYN Überschwemmung. Ein SYN Angriff bindet oben die Betriebsmittel eines Zielcomputers, indem er sie bildet, reagieren auf eine Flut von Befehlen. Um dieses zu verstehen, stellen Sie vor sich daß Sie eine Sekretärin sind deren Job Telefonanrufe beantworten und umadressieren soll. Was, wenn 200 Leute benannten, hingen Sie gleichzeitig und dann oben, als Sie antworteten? Sie würden so beschäftigtes Sammeln herauf tote Linien sein, die nie Sie jeder möglicher Arbeit erfolgt erhalten würden. Schließlich würden Sie einen Geisteszusammenbruch erleiden und den Job beendigen. Dieses ist die gleiche Technik, der Häcker verwenden, wann sie einen DOS Angriff einsetzen.

Um einen DOS Angriff durchzuführen, muß der Hacker das IP address des Ziels zuerst feststellen. Mit diesem IP address muß der Hacker an es anschließen einen Klient Computer verwendend. Um die Kraft des Angriffs zu verstärken, stellt der Hacker häufig einige Klient Computer programmiert um das Ziel gleichzeitig in Angriff zu nehmen auf. Dieses wird normalerweise vollendet, indem man etwas einleitendes Zerhacken zum Gewinnbesitz einiger Computer mit hohen Bandbreite Anschlüssen tut. Die populärste Quelle dieser Sklavencomputer sind Universitätssysteme oder Breitbandkunden. Sobald der Hacker seine Sklavencomputer aufstellen läßt, stößt er den Angriff von einem zentralen Punkt aus, genannt den Meister.

Ein SYN DOS Angriff zieht Nutzen aus dem erforderlichen TCP/IP Händedruck, der stattfindet, wenn zwei Computer einen Kommunikation Lernabschnitt aufstellen. Der Klient Computer schickt zuerst ein SYN Paket zum Bedienercomputer, um die Kommunikation zu beginnen. Wenn der Bediener diese Daten empfängt, verarbeitet er die Rücksprungadresse und schickt das SYN ACK Paket zurück. Der Bediener wartet dann, daß der Klient mit einem abschließenden ACK Paket reagiert, das die Anschlußeinführung durchführt.

Ein Bediener hat eine begrenzte Anzahl von den Betriebsmitteln, die für Klient Anschlüsse gekennzeichnet werden. Wenn ein Bediener das Ausgangs-SYN Paket von einem Klienten empfängt, teilt der Bediener einige dieser Betriebsmittel zu. Diese Beschränkung wird bedeutet, um die Zahl simultanen Klient Anschlüssen mit einer Kappe zu bedecken. Wenn zu viele Klienten sofort anschließen, wird der Bediener überbelastet und stößt unter der überschüssigen verarbeitenlast zusammen.

Die Schwäche in diesem System tritt auf, wenn der Hacker eine gefälschte Rücksprungadresse im Ausgangs-SYN Paket einsetzt. So wenn der Bediener dem gefälschten Klienten das SYN ACK zurückschickt, empfängt sie nie den abschließenden ACK. Dies heißt, daß für jedes Fälschung SYN Paket, weitere Betriebsmittel herauf gebunden werden, bis der Bediener keine Anschlüsse ablehnt. Ein erfolgreicher Angriff erfordert eine Myriade der gefälschten Pakete, aber, wenn ein Hacker einige Sklavencomputer hat, Pakete zu senden, kann er einen Bediener schnell überbelasten.

Ein weithin bekanntes Beispiel dieser Art des Angriffs trat spät 1999 auf. Mehrere Hochprofil Netzaufstellungsorte wurden zu ihren Knien durch eine Flut der Signale geholt, die gleichzeitig von den Hunderten der unterschiedlichen Computer kommen. Die Netzaufstellungsorte würden kein Problem gehabt haben, einen Angriff von einer Quelle anzufassen; jedoch durch den Gebrauch Programme, eines oder mehr der Fernbedienung Häcker stieß einen beratenen Angriff mit Hunderten Computern aus und so schnell überbelastete ihre Ziele.

Smurf Angriffe

Eine Veränderung des Überschwemmung DOS Angriffs wird einen smurf Angriff genannt. Stellen Sie sich eine Firma mit 50 Angestellten vor, die, um auf Kunde Fragen durch email zu reagieren vorhanden sind. Jeder Angestellte hat einen Selbstanrufbeantworter, der automatisch eine Höflichkeitantwort sendet, wenn eine Frage empfangen wird. Was würde geschehen, wenn ein verärgerter Kunde 100 email verschickte, die zu jedem der 50 Angestellten mit einem Fälschung Rückkehremail address kopiert wurden? Die 100 ankommenden email würden plötzlich 5.000 abgehende email werden, die—ganz bis einen Briefkasten gehen. Whoever besaß die gefälschte Rücksprungadresse würde überwältigt mit dieser ganzer Post! Und sie würde durch die ganze sie suchen müssen, um sicherzustellen, daß sie nicht ein wichtiges email von ihrem Chef oder von Freund vermißte. Dieses ist ähnlich, wie ein smurf Angriff arbeitet. Der Angreifer sendet ein Abfragesignal in ein Netz der Computer, von denen jeder auf eine gefälschte Rücksprungadresse antworten. Spezielle Programme und andere Techniken können dieses verstärken, bis eine Flut der Informationen in Richtung zu einem unglücklichen Computer vorangegangen ist.

Wegen der Richtlinien von TCP/IP, ignoriert ein Computer alle Pakete, die nicht ausdrücklich an ihn adressiert werden. Eine Ausnahme dieses ist, wenn ein Computer eine Netzkarte hat zu laufen im gemischten Modus, wie durch das Sauganlegerbeispiel gezeigt. Eine andere Ausnahme dieses ist Sendung Pakete.

Was tut Ihre Firma, wenn sie eine wichtige Anzeige zu jeder in der Organisation heraus erhalten muß? Wenn email eine Wahl ist, schickt es jeder eine interne "Spam" Anzeige, das ein email address hat. Andernfalls konnte es eine Ansage über dem Lautsprecher spielen, oder geben Sie eine Nachricht nahe dem Kaffeetopf bekannt. Diese Techniken stellen sicher, daß die meisten Angestellten die Informationen erhalten. Ähnlich in einem Computernetz, gibt es Zeiten, als ein Bediener Informationen zu jedem verbundenen Computer im Netz schicken muß. Dieses wird mit der Sendung Adresse vollendet.

Wegen Weise IP werden die Adressen innerhalb eines Netzes, dort ist immer eine Adresse aufgestellt, die jeder Computer auf antwortet. Diese Adresse bekannt während die Sendung Adresse und wird verwendet, um Namenslisten und andere notwendige Einzelteile zu aktualisieren, die Computer benötigen, um das Netz unternehmungslustig zu halten. Obgleich die Sendung Adresse in einigen Fällen notwendig ist, kann sie führen zu, was als broadcast storm bekannt.

Ein broadcast storm ist wie ein Echo, das nie stirbt. Spezifischer, ist es wie ein dieses Echo Crescendos, bis Sie nicht nichts über den reinen Geräuschen hören können. Wenn ein Computer einen Antrag zu einem Netz mit der Sendung Adresse mit der Rücksprungadresse der Sendung Adresse schickt, reagiert jeder Computer auf Antwort jedes anderen Computers; dieses fährt in einem snowball Effekt fort, bis das Netz von den Echos so voll ist, dieses, das nichts sonst durch erhalten kann.

Nun da Sie verstehen, wie eine Sendung arbeitet, stellen Sie vor sich, daß was geschehen würde, wenn sendete ein Hacker, spoofed 1.000 Sendung Pakete in ein Netz mit a RückholcIp address. Das Netz würde die ursprünglichen Pakete in 10 oder in Hunderte Tausenden Pakete verstärken, ganz verwiesen bei einem Computer.

In diesem Fall anders als den SYN Angriff, würde der Zielcomputer in der LageSEIN, einen Kommunikation Lernabschnitt mit dem erbittenen Computer aufzustellen. Jedoch würde die Überlastung der Lernabschnittanträge den Bediener ertrinken und so machen würde den Bediener unbrauchbar.

Diese Arten von Angriffen nicht nur schnell und effektiv geschlossen einem Bediener, aber sie halten auch den Hacker unsichtbar. Wegen der Natur des Angriffs, sind die ursprünglichen Pakete, die vom Hacker gesendet werden, untraceable. Im Fall von einem SYN Angriff, ist die Adresse spoofed. So bleibt der Ursprung des Pakets unbekannt. Im Fall von einem smurf Angriff, nimmt der Hacker nicht direkt das Ziel in Angriff, aber verwendet anstatt die Nebenwirkung des Sendens der Sendung Signale in ein Netz, die Arbeit indirekt zu erledigen. Folglich scheint der Angriff, von einem anderen Computer oder von Netz gekommen zu sein.

System Überlastungen

Eine andere Art DOS Angriff wird gegen die Software verwiesen, die auf den Zielcomputer läuft. Computer-Software hat, auf Durchschnitt, ungefähr einen Störschub pro 1.000 Linien Code. Weil Software-Programme Millionen Linien lang sein können, kann die Zahl Wanzen in die Hunderte von Tausenden laufen. Wenn ein Angreifer eine spezifische Wanze ausnutzen kann, kann sie den Zielcomputer schließen. Z.B. wurde ein weithin bekanntes Einkaufenkarre Software-Programm gefunden, um eine Schwäche, bei, die der Programmierung zu haben seiner ist das verursachte die Prozessorlast auf dem Computer zur Spitze bis 100% und so verhinderte alle mögliche anderen Programme am Laufen. Das Senden von von einem einfachen http:// Antrag im korrekten Format konnte den Zielbediener schmelzen.

Diese Art des Angriffs ist dem Abschrauben der Kappe auf einem Salzschüttel-Apparat analog. Normalerweise fein benutzt, geben die Salzschüttel-Apparatarbeiten und Ihnen einen Stapel des Salzes für Ihre Bemühung nie. Jedoch wenn jemand, der versteht, die internals eines Schüttels-Apparat die Kappe geheim abschrauben sollten, würde der Schüttel-Apparat Sie mit bitterem Salz überschwemmen.

Diese Art des DOS Angriffs wird normalerweise durch einen Pufferüberlauf ausgenutzt. Normalerweise zerschmettert der Pufferüberlauf einen Computer. Wie vorher besprochen, füllt der Überlauf einen vorbestimmten Klumpen des Gedächtnisses und des Überlauf zum Gedächtnis oben und so überschreibt Daten einer anderen Variable. Wenn das Programm, das die überschriebenen variablen Versuche verwendet, die Daten zurückzuholen, das Programm zusammenstößt und ziemlich häufig nimmt den vollständigen Computer mit ihm.

DOS Angriffe sind eine allgemeine Drohung nicht nur für große Korporationen, aber auch für Kleinbetrieb und Hauptbenutzer. Es gibt unzählige vor-gebildete Programme, die jedermann die Energie geben können, ein Ziel zu überschwemmen. Ein einfaches Klicken der Maus kann Hunderte SYN Pakete senden, die direkt an einem Opfer rasen. Wenn Sie einen DOS Angriff vermuten, können Sie das netstat Werkzeug benutzen, um festzustellen, ob ein Angriff auftritt; Mit diesem Werkzeug ist ein Angriff bereitwillig apparent.The folgende Tabelle Erscheinen, welche die netstat Resultate eines SYN in Angriff nehmen. Die Zustandreihe zeigt offenbar an, daß ein SYN Angriff z.Z. unterwegs ist.

Die netstat Resultate eines SYN Angriffs

Aktive Internet-Anschlüsse (einschließlich Bediener)
Proto	Lokale Adresse	Fremde Adresse	Zustand
TCP	10.0.0.1:22	10.0.0.2:3342	SYN_RECV
TCP	10.0.0.1:22	10.0.0.2:4323	SYN_RECV
TCP	10.0.0.1:22	10.0.0.2:4356	SYN_RECV
TCP	10.0.0.1:22	10.0.0.2:4367	SYN_RECV
TCP	10.0.0.1:22	10.0.0.2:4389	SYN_RECV

Wie Sie sehen können, sind DOS Angriffe nicht schwierig. Resultierend aus der Mühelosigkeit, mit der ein Hacker finden kann, vor-bildete Angriff Programme, diese Angriffe sind auch sehr allgemein. An diesem Punkt konnten Sie fragen, ", wie kann ich kann einen DOS Angriff verhindern?" Leider können sie abgeschwächt werden, aber nicht völlig verhindert werden.

Weil diese Angriffe auf der grundlegenden Weise basieren, der Computer Kommunikation zwischen einander aufstellten, würde die einzige Weise, diesen Mißbrauch zu stoppen re-invent das Internet sollen. Z.Z. soll die einzige realistische Weise, solch einen Angriff abzuschwächen allen Verkehr blockieren, der von den spezifischen Teilen des Internets kommt. Jedoch da wir uns besprachen, benutzen Häcker häufig viele Sklavencomputer von den verschiedenen Positionen. Folglich würde eine Web site Zugang zu einer vollständigen Gemeinschaft der Benutzer sperren müssen, um jeden möglichen Angriff erfolgreich zu stoppen.

DNS Spoofing

Andere Arten DOS Angriffe arbeiten indirekt. Diese Arten von Angriffen normalerweise beziehen nicht den Bediener mit ein; stattdessen zielen sie den Klienten. In diesem Fall wird der Klient Computer nur innen getäuscht, wo er geht, wenn er bestellt wird, um Informationen zurückzuholen. Z.B. wenn Sie denken, geht Ihr Computer zu http://www.yahoo.com, aber er geht anstatt zu einem Hackeraufstellungsort, der gebildet wird, um wie Yahoo auszusehen!, Sie konnten den Hacker mit Kennwörtern und anderen persönlichen Informationen unbeabsichtigt liefern.

Normalerweise fragt ein Klient Computer einen DNS Bediener, wenn ein Domain Name oder eine Web site Adresse in ein IP address umgewandelt werden muß. Dieses ist, weil der Klient Computer das IP address benötigt, das web server oder email Bediener zu lokalisieren, die das Domain Name verwendet. Daß dieses in drei Schritten getan wird.

1. Der Klient bittet den DNS Bediener um IP address des Domain Name.

2. Der DNS Bediener fragt seine Datenbank und antwortet mit einem IP address, das das bereitgestellte Domain Name zusammenbringt.

3. Der Klient verbindet an den Bediener mit dem IP address, das vom DNS Bediener bereitgestellt wird.

Jedoch kann dieser Prozeß leicht mißbraucht werden, indem man unsuspecting Benutzer zu den falschen Netzaufstellungsorten schickt, oder abgehendes email durch einen nicht autorisierten Computer verlegt. Dieses wird vollendet, indem man das falsche IP address zur Datenbank in den DNS Bediener schreibt. Wenn dieses geschieht, ist es fast unmöglich für den Klienten zu verwirklichen, daß es ein Problem gibt. Die einzige Weise ist, wenn die DNS Bedienereintragungen spezifisch überprüft werden oder wenn der Bediener des Hackers unten geht.

Im Fall, in dem eine DNS Bedienereintragung zerhackt wird, nur das abgehende email zu geschickt wird, spoofed Position, es sei denn der email Bediener den gleichen DNS Bediener wie der Klient benutzt. Wenn dieses der Fall ist, wird alles ankommende und abgehende email durch einen nicht autorisierten Computer verlegt. Jedoch für unser Beispiel, nehmen wir an, daß der email Bediener einen sicheren DNS Bediener für seine Gebiet Nachschlagen benutzt.

Im Fall, in dem der DNS Bediener zerhackt wird:

1. Klient B bittet um das IP address für youremail.com.

2. Der zerhackte DNS Bediener reagiert mit geschmiedeten 192.168.0.10.

3. Klient B schließt an den Fälschung email Bediener an und sendet das email.

4. Der Fälschung Bediener kopiert das email und schickt es zum realen mail server.

5. Das reale mail server mit sicherer DNS, schickt dem Klienten das email.

Dieses Drehbuch konnte einen Hacker mit etwas wertvollen Informationen versehen. Z.B. wenn Klient B ein Doktor oder ein Rechtsanwalt ist, würde der Hacker Zugang zu den empfindlichen Informationen haben. Wenn Klient B auf einem Oberseite-Geheimnis Projekt arbeitet, könnte der Hacker die Informationen an eine rivalisierende Firma verkaufen. Oder, wenn der Klient ein on-line-Netzspeicher ist, könnte der Hacker jedes Bestätigung email mit Adressen der Kunden und/oder Kreditkarte Zahlen gefangennehmen.

Wie Sie sehen können, gibt es ein beträchtliches Potential für Beschädigung von einem DNS spoof. Ob ein Hacker eine Web site unsichtbar drehen oder email gefangennehmen möchte, verweigert der Hacker Service zu denen, die den zerhackten DNS Bediener benutzen. Glücklicherweise jedoch gibt es eine Lösung für dieses Problem.

DNS Bediener können sicher gebildet werden. Jedoch wird es geschätzt, daß ca. 50–75% aller DNS Bediener nicht sicher sind. Dieses ist ein bekanntes Problem, also, wenn Sie mit der Möglichkeit, daß Ihr DNS Bediener nicht sicher ist, in Verbindung treten mit Ihrem ISP und fragen sie betroffen werden, welche Software sie benutzen und ob es von einem spoof Angriff sicher ist. Hoffnungsvoll wissen über sie, was Sie sprechen und geben Ihnen eine bestätigende Antwort.