Denial of Service

Z Multimediaexpo.cz

Verze z 8. 5. 2014, 10:58; Ivan Drago (diskuse | příspěvky)
(rozdíl) ← Starší verze | zobrazit aktuální verzi (rozdíl) | Novější verze → (rozdíl)

Denial of Service (česky odmítnutí služby) nebo též Distributed Denial of Service (česky distribuované odmítnutí služby) je technika útoku na internetové služby nebo stránky, při níž dochází k přehlcení požadavky a pádu nebo minimálně nefunkčnosti a nedostupnosti pro ostatní uživatele.

Cíle takového útoku jsou v zásadě dva:

  • Vnucení opakovaného resetu cílového počítače
  • Narušení komunikace mezi serverem a obětí tak, aby jejich komunikace byla buď zcela nemožná, nebo alespoň velmi pomalá.

Obsah

Projevy

United States Computer Emergency Readiness Team definuje příznaky DDoS útoku takto:

  • Neobvyklé zpomalení služby (při otvírání souborů nebo prostém přístupu).
  • Celková nedostupnost části nebo celých stránek.
  • Nemožnost se ke stránkám připojit.
  • Extrémní nárůst obdrženého spamu.

Splnění některých podmínek ale ještě neznamená DDoS útok, může jít o prostý výpadek zaviněný hardwarem nebo softwarem samotného serveru bez cizího zavinění.

Typy útoku

Všechny typy se vyznačují několika společnými charakteristikami:

  • Zaplavení provozu na síti náhodnými daty které zabraňují protékání skutečných dat.
  • Zabránění nebo přerušení konkrétnímu uživateli v přístupu ke službě.
  • Narušení konfiguračního nastavení.
  • Extrémnímu zatížení CPU cílového serveru.
  • Vsunutím chybových hlášení do sekvence instrukcí které můžou vést k pádu systému.
  • Pád samotného operačního systému.

ICMP floods

Smurf attack spočívá na chybné konfiguraci systému, který dovolí rozeslání paketů všem počítačům zapojených v síti přes Broadcast adresu. Pak stačí aby odeslaný paket měl dostatečnou velikost aby nebyl odfiltrován a všechny počítače v síti ho budou muset přijmout a zpracovat (zahodit).

Ping-flood stojí na zahlcení cílového počítače žádostmi o ping odezvu. Základním předpokladem je, že útočník má k dispozici rychlejší připojení k internetu s možností většího objemu dat. Tento druh útoku je nejjednodušší ve svém provedení, stačí použít „ping -t“ k odesílání nekonečného proudu žádostí.

SYN-flood zasílá záplavu TCP/SYN paketů s padělanou hlavičkou odesílatele. Každý takový paket je serverem přijat jako normální žádost o připojení. Server tedy odešle TCP/SYN-ACK packet a čeká na TCP/ACK. Ten ale nikdy nedorazí, protože hlavička odesílatele byla zfalšována. Takto polootevřená žádost nějakou dobu blokuje jiné, legitimní žádosti o připojení.

Teardrop útok

Tento typ útoku zahrnuje zaslání IP fragmentu s překrývajícím se příliš velkým nákladem dat na cílový počítač. Chyba v TCP/IP při přeskládání takového paketu může na starších Operačních systémech vést až k jejich pádu

Peer-to-peer útok

Jde o využití masivního zástupu lidí na P2P sítích. Prakticky jde o zneužití bugu v klientu (většinou se jako příklad uvádí DC++) k odpojení od stávajícího serveru a pokusu o připojení k oběti. Při dobře provedeném útoku může být oběť vystavena najednou až 750.000 žádosti o připojení. I když tento útok se dá snadno odfiltrovat pomocí identické hlavičky p2p klienta, při masivním útoku i sama filtrace může vyústit v pád systému.

Nukes

Nukes jsou speciální pakety určené k zničení cílového počítače. Ne vždy je totiž pro DoS třeba server zahltit, občas se v něm nalézá chyba která zapříčiní pád při zpracování jediného paketu.

Typickým příkladem je WinNuke který využívá chybu v NetBIOS handleru v Windows 95.

Obrana

SYN-cookies

SYN Cookies vnitřně modifikují chování TCP protokolu tak, že k vlastním zdrojům serveru se přistupuje až po ověření platnosti adresy. Tímto postupem se dá velmi účinně předejít SYN Flood útoku. Implementace této obrany je běžná na Solaris a Linux systémech.

Firewall

Přestože obsahuje jednoduché procesy k blokování IP adres či celých protokolů, z logiky věci nemůže být účinný absolutně. Nemůžeme přece kompletně zablokovat port na kterém přichází i legitimní uživatelé.

Intrusion-prevention system

Je účinný pouze v případě že útok má shodný podpis (například část hlavičky) s již dříve provedeným útokem. Podle podpisu totiž může začít okamžitě filtrovat pokusy o DoS od normálního provozu na síti.

Externí odkazy