Denial of Service Attacks


  Share  
|


Denial-of-Service (DoS)-Attacken sind Incident Response Teams berichteten mehr als jede andere Art von Angriff. Irrtümer über Denial-of-Service-Attacken Überfluss, aber. Einer weit verbreiteten Missverständnis ist, dass Denial-of-Service-Attacken immer Crash-Anwendungen oder Hosts. Obwohl die Mehrheit der gemeldeten DoS-Attacken in der Tat führen, dass Anwendungen oder Hosts zum Absturz zu bringen, kann einen DoS-Angriff auch dazu führen, ein System oder eine Funktion zu verlangsamen oder nicht ordnungsgemäß ausgeführt. Eine schlecht geschriebene CGI-Programm, zum Beispiel, kann ein Web-Server durch einen Pufferüberlauf zum Absturz oder andere Bedingung, aber es kann auch dazu führen, overutilization CPU, so dass das Opfer Host nicht mehr reagiert.

Verschiedene Arten von DoS-Attacken sind jetzt fast schon legendären, weil sie so viele Male ereignet haben:

  • SYN-Flooding. In einem SYN-Flooding Angriff sendet ein feindliches Host eine Flut von SYN-Pakete an einen Host-Opfer. SYN-Pakete werden von einem Host, der eine TCP-Verbindung mit einem anderen Rechner starten will geschickt (die wir auch an die "empfangende Host"). Der empfangende Host überwacht den Status der Verbindung Versuch sowie die Verbindung selbst, wenn eine Verbindung hergestellt wird. Überwachen des Status erfordert Ressourcen. Wenn eine Verbindung geschlossen wird, die Ressourcen in die Überwachung der Verbindung nicht mehr verwendet werden benötigt. Als weitere Verbindungen auftreten, sind mehr Mittel für den Zustand der Verbindungen zu überwachen. Unter normalen Bedingungen, unter denen einer normalen Anzahl von Verbindungen vorhanden sind, hat der empfangende Host mehr als genug Ressourcen, um alle Verbindungen zu überwachen.

    Aber was, wenn eine Flut von SYN-Pakete gesendet wird, und dem empfangenden Host bekommt keine weiteren Pakete, die Teil des normalen Prozesses der Beendigung der Verbindung werden? Einfach ausgedrückt, die empfangende Host läuft über genügend Ressourcen, so dass das Opfer Host reagiert bei moderaten Ressource Erschöpfung oder verursacht sie im Fall von schwerer Erschöpfung Ressource abstürzen. Weil SYN-Flooding Attacken leicht zu initiieren, treten sie häufig. Glücklicherweise haben die meisten Hersteller von Betriebssystemen das Problem mit dem Betriebssystem Drop teilweise offene Verbindungen gerichtet.

  • Teardrop Angriff. A Teardrop-Angriff ist eine andere Art von DoS attack.The IP-Protokoll ist ein robustes Protokoll entwickelt, um mit einer breiten Palette von Geräten, Systemen befassen, und die Art der Vernetzung. Wenn ein System wird, dass Pakete werden sagen, 1 Kilo-Byte (1024 Byte) groß, Netzwerkgeräte wie Router möglicherweise nicht in der Lage, Datenpakete werden, dass diese große Griff zu senden. Sie könnten stattdessen in der Lage, Pakete, die nur die Hälfte dieser Größe verarbeiten. In diesem Fall teilt automatisch IP-Paket in der ursprünglichen tinier Teile, die in der Lage, ihren Weg durch Netzwerk-Geräten, nicht umgehen können größere Pakete zu machen sind, wird ein Prozess Fragmentierung.

    Wenn die fragmentierte Pakete auf dem empfangenden Host ankommen, neu zusammensetzt diesem Rechner sie in das Paket, dass der sendende Host ursprünglich erstellt. Fragmentierung Pakete nützlich, weil es eine praktische und effiziente Möglichkeit, um einigermaßen Daten über ein Netzwerk Transport während noch die Erhaltung der Richtigkeit der Daten bietet. Ein Angreifer kann die Fragmentierung Missbrauchs-Prozess, aber indem er den empfangenden Host, um Werte in Paketen zu erhalten ist es nicht zu verarbeiten programmiert. In einer Teardrop-Angriff ist ein Paket-Fragment in einen anderen gebracht, so dass, wenn der empfangende Host erhält dieses Set von Paketfragmente, die resultierenden Werte (im Sinne von Offsets) außer Reichweite sind. Die empfangende Maschine gerät außer Kontrolle und stürzt ab.

    Es gibt viele Variationen der klassischen Teardrop-Angriff wie auch viele andere Arten von Angriffen Paketfragmentierung. Ein Angreifer kann zum Beispiel ein Programm schreiben, dass die Pakete in Fragmente unterteilt in einer Weise, dass nachfolgende Pakete verursacht, Teile des ersten Fragments zu überschreiben.

  • Smurf-Attacke. Noch eine andere Art von Denial-of-Service-Angriff ist eine Smurf-Attacke. In dieser Art von Angriff, einen Zielrechner wird schikaniert, wenn ein Angreifer fälscht ("fälscht") die Entstehung oder der Quell-Adresse des Ziel-Host-Adresse sein. Der Angreifer (oder besser gesagt, ein Programm, das im Namen des Angreifers ausgeführt wird) löst eine Flut von Ping-Pakete oder ICMP-Echo-Anfragen für alle Hosts im lokalen Netzwerk bestimmt. Dies wird durch die Broadcast-Adresse als Ziel erreicht. Ein Netzwerk-Broadcast-Adresse eines Netzwerks eine bestimmte IP-Adresse, die für das Senden von Paketen an alle Hosts im lokalen Netzwerk verwendet wird.

    Wenn die Ping-oder ICMP-Request-Paketen echo erreichen die Broadcast-Adresse, diese Pakete auch an die anderen Hosts gesendet werden. Sie beantwortete die Quell-Adresse antworten, die Adresse der gezielten Host. Die Flut von Antworten können mehrere Effekte, die wahrscheinlich von denen verursacht den Zielrechner zum Absturz zu bringen oder, mit ein wenig Glück haben, vielleicht zu verlangsamen, um ein Crawling statt wegen mit einer solchen Flut von Paketen verarbeiten. Die meisten Betriebssystem-Anbieter haben Patches, dieses Problem zu beheben entwickelt, obwohl Netzwerk-Verkehr filtern, dass Grenzen Broadcast ist eine andere praktikable Lösung.

Ping, der "Packet Internet Groper," ist ein Protokoll entwickelt, um festzustellen, ob ein Host über das Netzwerk am Leben ist (dh, ob es läuft und reagieren). Ping sendet eine Gruppe von Zeichen, in der Regel eine ziemlich kleine Gruppe (in der Regel weniger als 100 Bytes), und wartet dann auf dem Host, die angepingt hat zu reagieren. Eines der primären Verwendung von Ping ist festzustellen, ob ein bestimmter Host ist abgestürzt.

  • Ping-of-Death-Angriff. Noch eine andere Art des klassischen DoS-Angriff ist der Ping-of-Death-Angriff. Dieser Angriff erzeugt einen Pufferüberlauf, etwas, das ergibt sich aus mit zu wenig Speicher für eingehende Daten verarbeitet werden. Die genaue Art und Weise, einen Pufferüberlauf gehandhabt wird, hängt von einer Reihe von Faktoren, aber ein mögliches Ergebnis ist Erschöpfung des Speichers, eine Anwendung oder ein System zum Absturz führt.

    Der Trick, um einen erfolgreichen Ping-of-death Angriff Ping-Pakete, die die maximale Größe überschreiten, nämlich 64KB in TCP / IP zu senden. Der empfangende Host möglicherweise nicht so programmiert, dass die übergroße Pakete verwerfen und könnten daher zu einem Pufferüberlauf zu gehen. Dieses Problem ist vor allem (aber nicht ausschließlich) betroffen Betriebssystem von Microsoft-Produkte, von denen die meisten Crash mit dem berüchtigten Blue Screen of Death (BSOD) erscheint. Glücklicherweise Patches, die dieses Problem beheben werden inzwischen routinemäßig zur Verfügung und sind in der Regel in Betriebssystem-Produkte, die anfällig nur vor ein paar Jahren aufgenommen wurden.

  • Land anzugreifen. Ein Land anzugreifen nutzt die Tatsache, dass die Eigenschaften von Paketen in der Regel an bestimmte Auflagen einhalten. Normalerweise, zum Beispiel, SYN-Pakete haben nicht die gleichen Quell-und Ziel-IP-Adressen, noch sind die Quell-und Ziel-Ports in der Regel die gleichen. Wenn ein Angreifer sendet SYN-Pakete, die diese oder andere Merkmale in ein Land anzugreifen, könnte der empfangende Host in irgendeine Art von abnormen Zustand zu gehen, so dass es zum Absturz.

  • WinNuke anzugreifen. Ein WinNuke Angriff nutzt eine Schwäche in den TCP / IP-Implementierung in bestimmten Versionen von Windows NT. In diesem Angriff sendet ein Angreifer außerhalb der Reichweite Eingang (das heißt, Eingang mit Parametern, die nicht innerhalb des Bereichs der empfangende Host erwartet), ein Opfer zu Host über eine Verbindung auf TCP-Port 139 hergestellt. Massive over-Zuweisung von CPU im Umgang mit dieser abnormen Zustand des Opfers verursacht Host zum Absturz zu bringen. Das Problem, das in Windows NT behoben wird 4.0 Service Pack 3 und höher, ist aufgrund eines Fehlers zu überprüfen, ob eine Eingabe innerhalb eines erwarteten Bereichs liegt.

  • Distributed Denial-of-Service (DDoS)-Attacken. Obwohl in mancher Hinsicht ähnlich zur konventionellen Denial-of-Service-Attacken, DDoS-Angriffe sind in erster Linie in verschiedenen verlangen, dass sie die Übernahme Hosts, die dann verschiedene Rollen in dem bevorstehenden DDoS-Angriff (s) durch den Einbau von speziellen, bösartige Software zugeordnet sind. Beachten Sie jedoch auch, dass DDoS Angriffe aus den eigenen Systemen initiiert werden können, auch. DDoS-Attacken beteiligt Meister, Handler und Zombie-Hosts:

    • Zombies sind Wirkstoffe, die tatsächlich Freisetzung einer Flut von Paketen, die Gastgeber zu senken und auch das Netzwerk zum Erliegen. Zombies nicht auf ihre eigenen, aber, sie setzen ein Paket nur dann, wenn Hochwasser angewiesen, so zu tun, um von einem anderen Host, nämlich einen Handler (siehe nächsten Punkt) handeln.

    • Handler sind eigentlich nichts anderes als Zwischenprodukt Maschinen, die weder einen Angriff einzuleiten, noch lassen Sie die Pakete, die Flut des Opfers Netzwerk. Sie stattdessen Aufgaben wie die bestätigt, dass Agent-Software hat in hosts (Zombies) wurden im gesamten Netzwerk installiert ist und dass sie bereit ist zu arbeiten. Handler damit Abfrage die Zombies in ausgewiesenen Intervalle. Handler erhalten auch ein Signal von dem Kapitän, einem anderen Rechner in der Regel nicht innerhalb des Netzes, in dem die DDoS-Attacke ist das Auftreten gelegt, um eine DDoS-Attacke auf den Agenten zu initiieren. Der Handler wiederum sendet dann ein Signal an die Zombies zu einer Flut von Paketen freizugeben.

    • Der dritte Komplize in einer DDoS-Attacke ist der Meister. Der Master ist der Host, der normalerweise direkt unter der Kontrolle des Angreifers. Es wird verwendet, um alle Handler direkt an den Befehl zu senden, um eine Flut von Paketen an den Zombies freizugeben.

      DDoS-Attacken in 1999 und 2000 führten zu großen finanziellen Verlust und / oder Störungen für eine Reihe von Institutionen, darunter die University of Minnesota, ZDnet, eBay, E-Trust, Amazon.com und anderen. Die größte Bedrohung ist eines längeren Ausfalls, obwohl die Kosten für die Untersuchung zum Nachweis von Hosts Kompromiss von DDoS-Tools und die Wiederherstellung der Integrität dieser Systeme können auch sehr hoch sein. Viele Arten von DDoS-Attacke Instrumente wurden identifiziert. Eins, Wellen, selbst baut in seine eigene Erkennungs-Mechanismen, wodurch es zu verhindern, dass durch Intrusion-Detection-Programme erkannt werden. Zusätzliche DDoS-Tools, die identifiziert worden sind Trin00, Tribe Flood Network (TFN), TFN2K, Slice3, Stacheldracht und andere.

Ein Artikel Gregovich Verfasst von Thomas

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions