close

Вход

Забыли?

вход по аккаунту

Презентация доклада.

код для вставкиСкачать
DoS и DDoS-атаки и
методы борьбы с ними..
Выполнил: Костин Д.
• DоS – это общий термин, который переводится
как «отказ в обслуживании» и нацелен на то,
чтобы ограничить доступ на сайт легитимным
пользователям и вызвать простой системы. В
результате такого простоя, компания может
понести огромные убытки, а часть пользователей
просто перестанет пользоваться данным
ресурсом. Часто злоумышленник не в силе
обойти хорошо настроенную защиту какого-либо
ресурса и тогда, ощущая свое бессилие,
взломщик может прибегнуть к последнему
средству — атаке DoS.
Типы атак DoS.
• Насыщение полосы пропускания
Наиболее коварной формой атак DoS является
насыщение полосы пропускания (bandwidth
consumption). По существу, взломщики могут
заполнить всю доступную полосу пропускания
определенной сети. Это можно осуществить и в
локальной сети, однако чаще всего
злоумышленники захватывают ресурсы
удаленно
• Недостаток ресурсов
• Атака, приводящая к недостатку ресурсов (resource
starvation), отличается от предыдущей атаки тем, что
она направлена на захват системных ресурсов, таких
как центральный процессор, память, дисковые
квоты или другие системные процессы.
• Ошибки программирования
• Ошибки программирования (programming flaw)
заключаются в неспособности приложения,
операционной системы или логической
микросхемы обрабатывать исключительные
ситуации. Обычно эти ситуации возникают при
передаче уязвимому элементу
несанкционированных данных.
• Маршрутизация и атаки DNS
• Такие атаки DoS основываются на манипуляции
записями таблицы маршрутизации, что приводит
к прекращению обслуживания легитимных
систем или сетей. Большинство протоколов
маршрутизации используют слабые алгоритмы
аутентификации. Это предоставляет
злоумышленникам возможность изменять
маршруты, зачастую указывая ложный исходный
IP-адрес и вызывая состояние отказа в
обслуживании.
Распространённые DoS-атаки.
• Атака Smurf.
• Атака Smurf позволяет воспользоваться преимуществами
рассылки широковещательных направленных запросов и
требует как минимум трех участников: взломщика,
усиливающей сети и цели. Злоумышленник отправляет
ложные ICMP-пакеты ECHO на широковещательный адрес
усиливающей сети. Исходный адрес пакетов подменяется
так, как будто бы сама жертва сгенерировала запрос. Как
только пакет ECHO передается на широковещательный
адрес, все системы усиливающей сети сгенерируют ответ
на запрос узла-жертвы. Если взломщик отсылает один
ICMP-пакет в усиливающую сеть, в которой содержится
100 узлов, генерирующих ответные сообщения на
широковещательный запрос, то можно считать, что
взломщик в сто раз увеличил эффективность атаки DoS.
• Контрмеры.
• Для того чтобы предотвратить возможность использования
вашей сети (компьютера) для усиления, запретите прохождение
направленных широковещательных запросов на пограничном
маршрутизаторе. На маршрутизаторах Cisco для этого можно
воспользоваться командой no ip directed-broadcast. На
устройствах Cisco IOS версии 12 этот режим включен по
умолчанию. При использовании других устройств обратитесь к
документации, входящей в комплект поставки.
Кроме того, некоторые операционные системы можно настроить
так, чтобы отбрасывались все широковещательные ICMP-пакеты
ECHO.
• Атака с помощью переполнения пакетами SYN
• Рассмотрим хронологию событий установки соединения(рисунок 3.2):
• Пакет SYN отсылается с определённого порта системы А на порт системы B,
который находится к режиме LISTEN. Состояние соединения переходит в
SYN_RECV.
• Система B передаёт A пакет SYN/ACK.
• В случае успеха, система А передаёт обратно пакет ACK и соединение
переходит в состояние ESTABLISHED.
•
•
•
•
•
•
•
•
• Атака происходит следующим образом:
Злоумышленник передаёт пакет SYN системе B, однако подменяет свой
адрес на адрес несуществующего узла.
Система B посылает пакет SYN/ACK по ложному адресу.
Так как ложного узла не существует, система B не получит ответный
пакет ACK или RST(сброс) и соединение будет помешено в очередь на
установку соединения.
Из этой очереди соединение будет удалено лишь после истечения
определённого промежутка времени, обычно он колеблется в
интервале от 75 секунд до 23 минут. Злоумышленнику достаточно
отправлять несколько пакетов SYN через каждые 10 секунд, чтобы
полностью заблокировать определённый порт.
• Контрмеры:
Далее приводятся три основных способа защиты от атак с
использованием пакетов SYN. Хотя каждый из подходов имеет свои
достоинства и недостатки, все они способны снизить воздействие
сфокусированной атаки SYN. Не забывайте о сложности выявления
злоумышленника, поскольку он использует ложный исходный адрес.
Способ 1. Увеличение размера очереди на установку соединений.
Способ 2. Уменьшение периода ожидания установки соединения.
Способ 3. Использование пакетов обновления программного
обеспечения.
• Атаки DNS
• Существует очень много неправильно настроенных DNSсерверов, которые способны принять запрос от любого
пользователя. Атаку можно осуществить следующим
образом: злоумышленник посылает запрос на DNS-север,
который вернёт как можно больше информации,
например, «ANY» и подменяет обратный адрес на адрес
жертвы. Так как обычно пропускные способности DNSсерверов достаточно высоки, злоумышленнику не
составляет труда организовать атаку в несколько десятков
Гбит/с.
• Контрмеры:
• К сожалению, нет действенных мер для предотвращения
данной атаки, вы можете только выиграть время, чтобы
собрать необходимую информацию об ip-адресах
атакующих машин и передать данную информацию
вашему провайдеру, для фильтрации трафика.
• Атака Ping of Dead.
• Нападение типа ping-of-death выполняется путем посылки
ping пакета, размер которого превышает максимально
допустимый размер IP пакета 65,536 байт. Этот пакет
делится на фрагменты, а когда получающий хост пытается
вновь собрать этот большой пакет, многие машины при
попытке выделить память для этого пакета с фиктивной
длиной ведут себя не очень грациозно и обычно
перезагружаются
• Контрмеры:
• Решением данной проблемы является введение
дополнительной проверки размера собираемого пакета
при получении, которая суммирует смещения
фрагментации всех связанных пакетов. Если общая сумма
превысит 65 535, пакет считается неправильным и
отбрасывается. Подобная проверка может проводиться и
в межсетевых экранах.
• Атака методом slow HTTP POST.
• Атака базируется на уязвимости в протоколе HTTP.
Slow HTTP POST атака работает следующим
образом: злоумышленник отправляет POST
заголовок с легитимным полем «Content-Length»,
которое позволяет веб серверу понять, какой объём
данных к нему поступает. Как только заголовок
отправлен, тело POST сообщения начинает
передаваться с очень медленной скоростью, что
позволяет использовать ресурсы сервера намного
дольше, чем это необходимо, и, как следствие,
помешать обработке других запросов.
• Контрмеры:
• Установить перед Webсервером производительный Nginx для
кэширования запросов.
Распределенные атаки DoS.
• Атака DDoS запускается в два этапа. Во-первых,
злоумышленник строит сеть атаки которая
разрастается и состоит из тысяч заражённых
компьютеров(так называемых зомби или ботов).
Затем злоумышленник направляет весь потом
трафика в сторону жертвы.
• Основные инструменты для осуществления DDoS-атак и методы
противодействия.
• Trinoo.
• Trinoo позволяет осуществлять SYN распределённые DoS-атаки. Связь
между клиентом и ботами происходит через незашифрованное UDP.
Обычно используется 27665 TCP-порт и 27444 UDP-порт.
• TFN.
• Пакет TFN способен воспроизводить сразу несколько типов атак: ICMP-,
UDP-, SYN-, Smurf-атаки. Заметное отличие программы TFN от Trinoo
состоит в том, что все коммуникации между клиентом и демонами
происходят через ICMP ECHO пакеты. Так как TCP и UDP трафик
отсутствует, обнаружить TFN гораздо сложнее, потому что многие
системы мониторинга даже не настроены на запись трафика ICMP.
• TFN2K.
• TFN2K – следующее поколение пакета TFN. Главное особенностью
является: шифрование трафика, атака с произвольно выбранных
портов, использование нескольких транспортных протоколов, чтобы
скрыть истинный источник атаки, переключение между различными
методами атак. Как и TFN, пакет TFN2K поддерживает SYN-, UDP-, ICMPи Smurf-атаки.
• Для выявления DDoS-атак можно использовать
следующие инструменты:
• NIPC Tools.
• Находит установки на жёсткий диск используя
сканирование файлов.
• Zombie Zapper.
• Способна обнаружить атаки Trinoo, TFN,
Stacheldraht в момент начала атаки.
• Remote Intrusion Detector(RID).
• Обнаруживает атаки Trinoo, Stacheldraht, TFN.
• Заключение
• Стремительно возрастает популярность распределенных атак
DoS. поскольку необходимые для этого средства становятся
абсолютно доступны и для их использования не требуется
никаких особых знаний. Эти атаки являются наиболее
разрушительными, так как при этом быстро "захватываются"
даже большие узлы Internet, которые становятся абсолютно
неработоспособными.
Ввиду того что электронная коммерция продолжает играть
основную роль в электронной промышленности, воздействие
атак DoS на электронное сообщество будет все время возрастать.
В настоящее время многие организации начали получать свои
доходы от предоставления интерактивных ресурсов. В результате
распределенная атака DoS может при вести некоторые из них к
банкротству. Что еще более важно, так это возможности
сокрытия, которые в каждой атаке используются в полной мере.
И наконец, не забывайте о том, что атаки DoS применяются и в
милитаристских целях. Многие правительства планируют или уже
приступили к разработке приемов ведения электронных войн, в
которые вовлечены атаки DoS, а не обычные ракеты. Поистине
пришло время кибертерроризма.
•
Список литературы:
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Коллектив авторов «Иллюстрированный самоучитель по защите в Интернет». — 2004. — С. 2, 3, 4, 5, 6, 7, 8, 9, 12. URL:
http://lib.qrz.ru/node/14677
Стивен Норткат, Джуди Новак. Обнаружение нарушений безопасности в сетях. Третье издание. Перевод с английского:
Издательский дом «Вильямс», 2003 – 448 стр. Стр. 75-87.
Скудис Э. Противостояние хакерам. М.: ДМК Пресс, 2003. — 506 с. –с. 349-370.
Craig A. Huegen. THE LATEST IN DENIAL OF SERVICE ATTACKS: "SMURFING". // URL: http://www.pentics.net/denial-of-service/whitepapers/smurf.html
Википедия. Свободная энциклопедия. DoS-атака. // URL: http://ru.wikipedia.org/wiki/DoS-атака
How to Prevent Denial of Service (DoS) Attack. // URL: http://www.ids-sax2.com/articles/PreventDosAttacks.htm
И. Д. Медведовский, П. В. Семьянов, Д. Г. Леонов «Атака на Internet». Издательство ДМК. -1999. -332стр. 120-125с.
О. М. Бойцев. Защити свой компьютер на 100% от вирусов и хакеров. 2008г. -340с.
Alert (TA13-088A). DNS Amplification Attacks. // URL: http://www.us-cert.gov/ncas/alerts/TA13-088A
Журнал Хакер. DDoS с умножением через DNS-резолверы: технические подробности. // URL: http://www.xakep.ru/post/59564/
Cisco. Средства сдерживания нападений типа "отказ в сервисе". // URL:
http://www.cisco.com/russian_win/warp/public/3/ru/solutions/sec/mer_cisco_aud-dos.html
Википедия. Ping of Dead. // URL: http://ru.wikipedia.org/wiki/Ping_of_death
Атака на отказ в обслуживании методом slow HTTP POST. // URL: http://habrahabr.ru/post/116056/
NGINX. // URL: http://nginx.org/ru/
OWASP HTTP Post Tool. // URL: https://www.owasp.org/index.php/OWASP_HTTP_Post_Tool
Denial of Service Attacks. Qijun Gu, PhD. Department of Computer Science Texas State University. // URL:
http://s2.ist.psu.edu/paper/DDoS-Chap-Gu-June-07.pdf
Advanced Networking Management Lab (ANML)
Distributed Denial of Service Attacks(DDoS) Resources. // URL:
http://web.archive.org/web/20100709203539/http://anml.iu.edu/ddos/index.html
David Dittrich, "The DoS Project's "trinoo" distributed Denial of Service attack tool, October 21, 1999. //
URL: http://staff.washington.edu/dittrich/misc/trinoo.analysis.txt
David Dittrich, The "Tribe Flood Network" distributed denial of service attack tool, October 21, 1999. // URL:
http://staff.washington.edu/dittrich/misc/tfn.analysis.txt
David Dittrich, The "stacheldraht" distributed denial of service attack tool, December 31, 1999. // URL:
http://staff.washington.edu/dittrich/misc/stacheldraht.analysis.txt
Jason Barlow and Woody Thrower, Axent Security Team, "TFN2K - An Analysis", March 7, 2000. // URL:
http://www.securiteam.com/securitynews/5YP0G000FS.html
NIPC Tools. // URL: http://www.nipc.gov
Zombie Zapper. // URL: http://razor.bindview.com
Remote Intrusion Detector(RID) . // URL: http://www.theorygroup.com/Software/RID
1/--страниц
Пожаловаться на содержимое документа