Denial of Service

Der Begriff Denial of Service auf dem Gebiet der Informationssicherheit zeigt Fehlfunktion aufgrund einer Cyber-Attacke, bei der er absichtlich erschöpfen die Ressourcen eines Computersystems, das einen Service bietet, wie eine Website, bis es nicht mehr in der Lage, um den Service zu bieten .

Zusätzlich zu den primären Sinn für Denial of Service als eine bewusste Aktion können Sie es als zufällige Aktion beziehen, nach einer solchen Fehlkonfiguration oder, wie im Fall der Wirkung Slashdot.

Eigenschaften

Die Angriffe werden in der Regel, indem sie viele Pakete von Anforderungen, in der Regel an einen Web-Server, FTP oder E-Mail zu sättigen Ressourcen und machen das System durchgeführt "unstable", dann ist jedes System mit dem Internet verbunden und stellt Netzwerkdienste auf Basis von TCP unterliegen dem Risiko von DoS-Angriffen. Anfangs dieser Angriff wurde durch "Hacker" als Geste der Dissens in Richtung ethisches Business-Websites und Institutionen durchgeführt.

DoS-Angriffe haben die Konnotation viel mehr "kriminell" zu verhindern, dass die Netzwerkbenutzer Zugriff auf die Web-Seiten der Angriff Opfer. Um effektiver der Angriff werden normalerweise verwendet, viele ahnungslose Computer, genannt zombies, auf denen zuvor eine speziell auf DoS-Attacken und Brände mit einem Befehl aus dem Cracker Maker erstellte Programm impft. Wenn das Schadprogramm hat auf vielen Computern zu verbreiten, ist es möglich, dass Tausende von PCs verletzt durch einen Cracker oder ein Botnet, unwissentlich zu produzieren und gleichzeitig eine überwältigende Datenfluss, die Sie überwältigen wie eine Lawine verbindet auch geräumiger Zielort .

Nicht nur Server-Systeme können Opfer einer DoS-Angriff, aber auch einfache Mitglieder und Kunden zu sein, auch wenn diese Angriffe sind viel weniger häufig und nicht von Interesse, um den so genannten Crackern.

Die Wahrscheinlichkeit, und weniger Systemen zu treffen wirklich anfällig bedeutete, dass DoS-Angriffe haben auffälligste zurückgegangen, es hat sich jedoch eine extreme Anfälligkeit des Netzwerks auf die konsequente Steigerung der operativen Leistung des aktuellen PCs und Internetzugang via entdeckt DNS-Systeme. Die Implementierung von TCP / IP, die nicht garantiert insbesondere Sicherheits Identifizierung der Versender von Paketen, sondern schützt die Anonymität, kann verwendet werden, um die wahre Herkunft zu verschleiern werden.

Sein scheinbar legitime Verbindungen, ist es unmöglich, sie ohne den Fluss zu unterbrechen auch wirklich harmlos blockieren. Jedoch drastisch die Anzahl der Sitzungen gleichzeitig geöffnet Begrenzung wird der Einfluss des Angriffs erheblich, ohne die Strömung des regulären Paketen reduziert. Auch die Begrenzung der Diskussion auf eine Website zu blockieren existieren und sind, mehrere Arten verwendet, um dieses Ergebnis zu erzielen.

Taxonomy Angriff

Das Ziel dieses Angriffs ist es, die Backlogwarteschlange mit Anfragen Aktivierung eines Service über die Laufzeit der Zeit aus und nicht zu sättigen, so dass das Opfer, um die 3-Wege-Handshake abzuschließen; auf diese Weise werden Sie nicht in der Lage zu handhaben die SYN rechtmäßig Dienst verweigert werden können.

Angriffsarten

  • Direkter Angriff: Der Angreifer interagiert direkt mit dem Opfer. In diesem Fall wird gesagt, dass der Angreifer und der realen Opfer der ersten Ebene.
  • Indirekte Angriff: Der Angreifer nutzt Dritter, um das Opfer zu schlagen. In diesem Fall wird der Angreifer die Reflexions sind die Drittanbieter-Opfer der zweiten Ebene und letzte Opfer wird die Opfer-Abschluss.

Angriffe von einem einzigen Host

Diese Art von Angriff, die aus einer einzigen Quelle, sind potentiell rückführbar.

Syn-Flood

Historisch die SYN-Flooding ist der Gründer von DoS-Attacken, die ihre Wurzeln in der direkten Ping of Death hat. Der Begriff SYN-Flood, wörtlich übersetzt "Flut von Paketen geben Syn" ergibt sich aus der Tatsache, dass jedes Mal, wenn ein Benutzer auf einen Link zu einer Webseite klickt, erfordert, dass Sie eine Verbindung zu dieser Website zu öffnen; Dies ist nach einer Reihe von Schritten, von denen die erste aus Senden einer TCP-Paket, das die Öffnung einer Verbindung benötigt wurde.

Alle Regeln des Betriebs des TCP erfordert das System durch Zuordnen einige Ressourcen für die Verbindung zu reagieren. Wenn Sie richtig gerade einen PC planen, können Sie das Öffnen von mehreren tausend Verbindungen pro Sekunde fordern, dass "Überflutung" der Server, dass sie schnell zu verbrauchen alle Speicherblöcke oder schickt ihn stürzt.

Die Schwäche dieser Art von Angriff ist, dass der Angreifer müssen den Computer Paketstrom über die Internetverbindung an den Server angeschlossen zu senden.

Andernfalls muss der Angreifer in der Lage, um die "Anmeldeinformationen" gültiges Login, um die Vorteile von Schwachstellen im Betriebssystem nehmen Sie zur Verfügung zu stellen und machte sich auf, um zu vollenden, wirkungsvoll, den Angriff auf die Zielstelle.

Die bösartige Pakete mit einer IP-Adresse bereit, verfälscht das ursprüngliche, auf Computer "anfällig" Situation, einen temporären Denial of Service zu beschaffen, da die Verbindungen, die normalerweise verfügbar sind, sowohl für gute und für schlechte, sind langsam dies unmöglich

Ein Beispiel wäre die folgende: der Angreifer, nach Name STE identifiziert, sendet eine Reihe von Anfragen an sein Opfer, mit dem Namen CRI identifiziert: der Server-Rechner, auf dem die Dienstleistungen erbracht werden, werden Sie nicht in der Lage, alle Anforderungen zu verarbeiten sein und die Dienste selbst abstürzt, was zu einer sehr langsamen und dann, später, unzugänglich. Auf diese Weise wird jeder Benutzer nicht in der Lage für den Zugriff auf Dienste, Empfangen einer Anfrage Fehler oder Timeout abgelaufen ist.

Das SYN-Flood-Angriff verwendet Tools, die in die Kategorie Tribe Flood Netz fallen und handelt die Herstellung von Verbindungen, die halboffene enthüllt werden.

Die in DoS verwendete Protokoll ist das klassische Ping: zum Senden von einer Million in der Lage ist, den Betrieb der Websites zu blockieren, aber es ist ein Modell der Angriff "eins nach dem anderen", eine ausgehende Paket wird der Empfang von einem Paket entsprechen an das System angeschlossen.

Es wird notwendig sein, dann, dass der Cracker wird eine große Anzahl von Client-PCs "kontrolliert" zu haben, aber nicht so leicht "zu impfen", den Schadcode in einer so großen Anzahl von Maschinen dank der spezifischen Wirkung von Anti-Virus, Sicherheits-Patches und EDV-Techniker .

Smurf

Eine anspruchsvollere Formen der Attacke, die Smurf Angriff, mit einem Strom von Paketen bescheiden, in der Lage, durch eine normale Modemverbindung, und einem externen Netzwerk, das sich schlecht konfigurierte hat übergeben, die als Multiplikator der Pakete, die es wirkt schließlich Richten auf das Ziel endgültige entlang der Linien von Hochgeschwindigkeits-Kommunikation.

Technisch nur einen oder mehrere Broadcast-Pakete zu einem externen Netz von einer größeren Anzahl von möglichen Hosts und die Rücksprungadresse, die auf die Zielzusammen getroffen werden.

Es wird zum Beispiel verwendet werden kann, eine ICMP-Echoanfrage bisher wesentlich von denen, die den Cyber-Angriff durchzuführen verfälscht.

Man beachte, dass diese Art von Angriff ist nur in Gegenwart von Netzwerken, die grobe Fehler der Anordnung der Systeme, die sie miteinander und mit dem Internet verbunden sind möglich.

Angriffe von mehreren Hosts

Bei diesen Anschlägen wird das Ziel gleichzeitig von mehreren Quellen angegriffen, so dass es schwierig ist, die ursprüngliche Angreifer zu verfolgen.

DDoS

Eine Variante dieses Ansatzes ist die DDoS, die gleiche Operation, aber unter Verwendung von zahlreichen Maschinen Streikenden, die zusammen ein Botnetz zu bilden.

Die Angreifer sind in der Regel nicht, sich direkt aus, da für die Strafverfolgung wäre relativ einfach, um den Computer für den Angriff benutzt zu verfolgen sein. Die Angreifer, um nicht entdeckt zu werden, und darin, eine ausreichende Anzahl von Computern für den Angriff, zuvor Infektion einer großen Anzahl von Computern mit Viren oder Würmer, öffnen Sie die Hintertür für sie reserviert verlassen. Die Computer, die vom Angreifer kontrolliert werden, werden Zombies genannt.

Alle infizierte Computer Teil eines Botnetzes, frei verfügbar für den Angreifer: eine interessante Note wird durch die Differenz zwischen den Maschinen, auf denen ein Windows-Betriebssystem und solchen, auf denen ein Unix-System sind, besonders geeignet UDP-Überschwemmung gegeben .

Ein besonderes Merkmal von Zombies Windows ist die Möglichkeit, für den Angreifer, um einen Trojaner programmieren können automatisch in einer Reihe von Kontakten auf dem infizierten Computer zu verbreiten: Kontakte in Ihrem Adressbuch und Kontakte der Instant Messaging-Programme, wie Microsoft Messenger, so dass die Zombie-Rechner zu infizieren, in eine völlig unabhängige Art und Weise, andere Maschinen, die wiederum, wird Teil des Angreifers Botnetzes zu werden.

Wenn die Anzahl von Zombies wird als ausreichend angesehen, oder wenn eine bestimmte Bedingung auftritt, die infizierte Computer werden aktiviert und durchfluten die Ziel-Server Verbindungsanfragen. Mit dem Aufkommen von Breitband wird das Phänomen der DDoS beängstigende Dimensionen an und bedenkt, dass derzeit gibt es Millionen von Menschen mit Internet-Anschluss sehr schnell und dauerhaft, aber mit wenig oder ohne Wissen und Gegenmaßnahmen in Bezug auf Informationssicherheit.

Der größte Schaden von DDoS-Angriff ist vor allem auf die "Asymmetrie" zwischen "dem" Wunsch und Antworten auf eine DNS-Sitzung verwandt erstellt wird. Die Flut von Reaktionen in dem System erzeugt wird einen solchen "Hochwasser" des Verkehrs macht den Server nicht adäquaten Steuerung der üblichen Funktionen Online verursachen.

Mit dem Absenden auf der Seite gezielte Reaktion auf einige Kilobytes pro Anfrage nur ein paar Bytes enthält, erhalten Sie eine exponentielle Amplifikation, um Datenkanäle geräumiger zu sättigen, mit DDoS Erreichen Ebenen bislang unerreichte mit anderen Arten von DoS-Angriffen.

Die Standardkonfigurationen, standard und die "empfohlenen" Firewall sind nur nützlich, um die "Angriffen" von außen ausgelöst, wie ein Unternehmen zu begegnen, aber da der Verkehr auf dem Netz durch das DNS-System verwaltet ist wichtig, dies zu bewältigen Art des Angriffs können Sie dieselben gegen die Angriffe auf Ping eingesetzten Strategien umzusetzen. Folglich muss die Netzwerkmanager sorgfältig unter Kontrolle und die Überwachung der Strömungskanäle und Daten zu halten, um die Intervention auszuschließen oder Behebung der Wirkung von einem Cracker, die für die Website verantwortlich DNS neu zu konfigurieren.

DRDOS

Eine besondere Kategorie ist die sogenannte DDoS Distributed Reflection Denial of Service. In dieser besonderen Art von Angriff, der Angreifer produziert Computer-Verbindungsanfragen an Server mit sehr schnellen Netzwerkverbindungen, wobei als Quelladresse, nicht seine eigenen, sondern die des Ziel des Angriffs. Auf diese Weise kann der Server eine positive Antwort auf die Anforderung den Anschluss an den Angreifer, aber nicht das Ziel des Angriffs. Durch den Multiplikatoreffekt gegeben Wiederholungs Vorführungen der Server kontaktiert, dass angesichts der fehlenden Antwort vom Ziel des Angriffs liefert erneut zu übertragen das Paket vorzustellen, dispergiert sind, werden Sie in einen Teufelskreis, die schnell erschöpft die Ressourcen des Ziel eingeben.

Diese Art von Angriff ist besonders heimtückisch, da aufgrund der Art der Reaktionen, ist es unwahrscheinlich Dimmen Benutzer gemeinsam: in der Tat, wenn man durch die Server-Antworten zu filtern, es würde die Funktionalität des gleichen Netzwerkverbindung, indem verhindert in der Tat beeinträchtigen, Außerdem empfängt die gewünschten Informationen. Server-Antworten, die vom Angreifer erbeten, sind in der Tat nicht von denen durch ein rechtmäßiges Verlangen des Opfers erzeugt. Das Problem wird mit einer höheren Inzidenz vorgestellt, da Microsoft beschlossen, die "Raw Sockets", Schnittstellen für den Zugriff auf TCP / IP, leicht zugänglich zu machen. Die RAW-Sockets ermöglichen exakt auf die Quelladresse des Pakets, um es mit dem des Opfers zu ersetzen zu ändern, besteht darin, dass Instrumental für diesen Angriff.

Mögliche Lösungen

Lösungen, die die Norm erfüllen:

  • Sizing dynamische Backlog-Warteschlange;
  • Verringern Sie die TTL für die ausstehenden Anforderungen.

Lösungen, die den Standard nicht erfüllen:

  • Entsorgen Sie TCP-SYN zufällig;
  • Legen Sie erst nach Abschluss des 3-Wege-Handshake-Anforderungen.

Andere Schutz DoS- und DDoS-

Implementieren Sie die Filter, die den Eingang zu regieren, in seinen Routern und Firewalls, Paket, die Informationen über die Herkunft der geänderten Daten; Sie werden nicht einen Anschlag DoS zu bekommen, aber Sie können den Fluss von qualifizierten Traffic, wie "böse" in relativ kurzer Zeit zu rekonstruieren, um die Abwehrreaktion des Internet Service Providers zu ermöglichen.

Viele Router ermöglichen, zur Zeit, um die Menge an Bandbreite für die Erbringung einer Dienstleistung durch die "Sampling" und Analysieren von Paketen auf der Durchreise genutzt begrenzen. Im Falle eines Angriffs wird es nicht bleiben, eine aktive Menge an Bandbreite ausreicht, um erhebliche Schäden verursachen oder die Strömung von legitimen Datenblock. Diese Beschränkung gilt zum Beispiel bei der Verwendung von einem Linux-Rechner als Gateway durch Maßnahmen CAR handeln erhalten werden; Es blockiert wird, so dass ein DDoS-Angriff verwendet ICMP oder TCP SYN, wie es deutlich begrenzte Bandbreite von diesen verwendet werden.

Dies sind gewerbliche Anlagen dürfen Trinoo und TFN zu erkennen. Zum Beispiel das FBI bietet, kostenlos, ein Produkt namens Finden DDoS der Lage, das Dateisystem oben gesehen, ein Ergebnis des Angriffs Distributed Denial of Service zu erfahren. Durch diese Überprüfungssysteme werden sie Angreifern Kommunikation per Slave- und Master-Agenten, wenn einige der Maschinen in Ihrem Netzwerk entdeckt werden verwendet, hämisch, als Schachfiguren, um den Angriff zu starten identifiziert. Insbesondere die Netzwerküberwachungstools sind Programme, die die Überprüfung und Analyse von Unternehmensnetzwerk auf der Suche nach irgendwelchen Mitteln Lage ist, eine DDoS-Attacke ermöglichen.

Beispiele für DoS-Angriffe

  • Zip-Bombe
  • Kaninchen
  0   0
Vorherige Artikel Erigeron alpinus
Nächster Artikel Sounddesigner

Kommentare - 0

Keine Kommentare

Fügen Sie einen Kommentar

smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile
Zeichen übrig: 3000
captcha