Ce este un atac DoS / DDoS?
DoS și DDoS sunt, respectiv, prescurtari pentru Denial-of-Service și Distributed Denial-of-Service, sau "Denial of Service". Acești termeni se referă la un tip de atac (DoS / atac DDoS, de fapt) al cărui obiectiv este de a epuiza resursele puse la dispoziție de către o rețea, o aplicație sau un serviciu, în general, astfel încât utilizatorii "legitimi" de acest serviciu nu va fi capabil să le folosească. Luați, de exemplu, un mesaj e-commerce, a cărui "timpii morți" pentru câteva ore poate duce la pierderi în valoare de milioane de euro.
În general, un atac DDoS este efectuat de către un grup mare de clienți din întreaga lume, la un moment precis, ei încep să "bombardeze" traficul unui site web, de rețea și servicii în general.Clientul participă la atac poate fi folosit în mod deliberat (și conștient), de către proprietarii respectivi, cum ar fi în cazul acțiunilor desfășurate de grupuri activiste, sau poate au fost în prealabil compromisă de troieni, cum ar fi Zeus și SpyEye și, prin urmare, să fie asociată cu pe botnet. Printre alte lucruri, aceasta nu reduce nivelul de pericol al acestor troieni, astfel încât ENISA recent a trebuit să emită un consultativ.
Metode pentru atacuri DDoS
Există mai multe moduri de a efectua un atac DDoS. Aceste metode pot include atacuri de "potop", în care cantități mari de trafic sunt generate și de sesiuni de la țintă, sau metode mai sofisticate, care să profite de vectori de atac la nivel de aplicație, după cum KillApache (Killapache: DDOS tool - Half of the Internet is vulnerable now ! | The Hacker News - Security Blog ), Slowloris (Slowloris HTTP DoS )și așa mai departe. În prezent, atacurile DDoS pot fi clasificate în trei mari categorii: atacuri "volumetrice" atacuri "TCP stat-Epuizarea" și atacă "la nivel de aplicație".
Atacurile volumetrice
Acest tip de atacuri sunt în esență, scopul de a epuiza lățimea de bandă disponibilă a unei infrastructuri de rețea cu acțiunile de "flooding" sau inundare țintă cu sume uriașe de trafic și cauzând, ca urmare, indisponibilitatea serviciului. Exemple de atacuri volumetrice includ TCP SYN, ICMP, UDP și inundațiile Fragment.
Atacuri "TCP stat Epuizarea"
Impartasiti cu metoda anterioară numai activitatea de inundații, dar să profite de un alt principiu: în esență, metoda constă în trafic nell'inondare provoacă saturație a unei mese de stat țintă utilizate de firewall-uri și IDS / IPS pentru inspectie de pachete din diverse conexiuni. Aceste dispozitive ar trebui să fie adăugate la sarcina de echilibrat sunt vulnerabile la același tip de atac. Un exemplu clasic din această categorie este atacul de tip Sockstress, care constă în completarea tabelului de stare conectarea unui firewall, prin deschiderea unui număr mare de prize TCP și efectuarea testelor de stres specifice TCP, cum ar fi fereastra Zero, ferestre mici și altele.
Atacurile "la nivel de aplicație"
Utilizarea unor mecanisme mai sofisticate de precedent, ceea ce duce la atacurile care vizează servicii specifice și încet de funcționare din resurse. Datorită acestei caracteristici sunt mai dificil de a intercepta și, în același timp, foarte eficace impotriva low-rata conexiuni. Exemple din această categorie sunt cele menționate mai sus Slowloris KillApache și la care putem adăuga cu siguranță Slowhttptest. (Http :/ / code.google.com / p / slowhttptest /)
Din punct de vedere statistic, tendința ultimilor ani este de a folosi atacurile DDoS "hibride", metode care utilizează o combinație de volumetrice și la nivel de aplicație, deoarece acest lucru creste dramatic sansele de succes. După cum se poate observa, de asemenea, din raportul periodic al Kaspersky în a doua jumătate a anului 2011, metoda cea mai des utilizată este de inundații HTTP Asistăm, de asemenea, o creștere constantă a atacurilor, volumetrice, și din cauza numărului mare de clienți infectate cu malware (și, prin urmare, "proprietatea" de botnet diferite) se datorează fenomenului tot mai mare de hacktivism, ai cărei membri participă în mod voluntar și ataca in mod constient acțiuni, în general, din motive de ordin social, politic sau religios.
Trei instrumente pentru atacuri DDoS
Există mai multe instrumente pentru a desfășura DoS și DDoS, vom cita pentru toate cele patru: Slowloris, Slowhttptest, THC-SSL-DOS și LOIC (inclusiv HOIC sa variantă). Slowloris și Slowhttptest, disponibil numai pentru Linux, sunt destul de asemănătoare între ele, așa cum au în principii și tehnici comune care vizează realizarea nivelul Denial-of-Service aplicație (Application Layer-Denial-of-Service). Ei exploatează proprietățile protocolul HTTP, care impune ca fiecare cerere (http-cerere) este pe deplin primite de server înainte de a fi prelucrate. Dacă http-cererea este completa (sau conexiunea este foarte lent), serverul păstrează o mulțime de resurse angajate, rezultând în Denial of Service. Aceste instrumente, apoi trimite http cerere parțială, ca și în următoarea comandă:
Cu aceasta comanda pe care îl trimiteți 1000 de contacte (-c 1000) cristalinului în anteturile (-H) la fiecare 10 secunde (-i 10), la 200 de contacte pe secundă (-R 200) folosind metoda GET și luând în considerare serverul nu este accesibil după o pauză de 3 secunde (-p 3).
THC-SSL-DOS, (http://www.thc.org/thc-ssl-dos/ )cu toate acestea, disponibil atât pentru Windows și Nix platforma *, creat ca un instrument pentru a testa (Secure Socket Layer) SSL, utilizate în mod obișnuit pentru a cripta traficul la nivel de aplicație. THC-SSL-DOS este un instrument de stres bazat pe comportamentul de "asimetric" SSL, pentru care necesită o conexiune SSL pentru a serverul de puterea de procesare de 15 ori mai mare decat clientul.
THC-SSL-DOS necesită procesor serverului la o muncă intensă de criptare care rezultă din RSA_encrypt continuu funcția de apeluri (). Acest lucru face ca, în asociere asimetrie doar menționat, o supraîncărcare a serverului care provoacă o stare de negare a serviciului, deoarece serverul nu mai este capabil să susțină volumul de muncă.Atacul se face mult mai eficient prin faptul că serverele sunt pregătite pentru a gestiona eficient strângere de mână faza-SSL numai la începutul unei sesiuni și nu în mod continuu. THC-SSL-DOS exploateaza, de asemenea, un alt particularitate a protocolului SSL, care este renegocierea (SSL-Renegocierea) taste în timpul unei sesiuni SSL. Dacă această funcție este activată pe server, veți obține un multiplicator de munca la care este supus serverul .
În cele din urmă, să ne uităm la LOIC [ LOIC | Free Security & Utilities software downloads at SourceForge.net ] (Low Orbit Ion Cannon-), pentru care există, de asemenea, o versiune similar numit HOIC (High-Orbit Ion Cannon). LOIC este de fapt unul dintre instrumentele cele mai utilizate pentru DOS și în special pentru atacuri DDoS. Acesta este un instrument (pentru Windows), care pune în aplicare inundațiile TCP sau UDP, acesta poate fi clasificat ca cotat. Acesta este un instrument foarte eficient, astfel încât să fie utilizate de către organizații precum Anonim să efectueze acțiunile lor. În acest scop, există chiar și o pagină web specială care explică configurarea si utilizarea LOIC, complet cu un canale IRC Termeni si la contact.
trebuie doar să introduceți URL-ul țintă (sau IP acestuia) și opțiuni, cum ar fi protocolul de a utiliza (TCP, UDP sau HTTP) pentru inundații, timeout, iar ușa pentru a ataca, atunci atacul este lansat, făcând clic pe butonul din secțiunea 2, în dreapta sus și ați terminat.
Contramăsuri
După cum este bine cunoscut, nu există nici o contra real pentru a contracara un atac DDoS, mai ales daca arunci un botnet este format de 30.000 de clienti împrăștiate în jurul lumii. În orice caz, puteți pune în aplicare soluție pentru a atenua atacul, dar trebuie să fie puse în aplicare de la firewall si IDS / IPS direct la ISP-ul care oferă conectivitate.
De reguli firewall bine scrise pot fi foarte utile pentru a detecta cel puțin atac, de exemplu prin filtrarea tuturor UDP si ICMP de ieșire.Problema fundamentală este aceea că, în special pentru atacurile comise împotriva portul 80, firewall-ul nu poate determina dacă acesta este traficul, "răuvoitor" sau legitim, iar acest lucru este agravat în special în prezența atacurilor "lente". Pentru a răspunde la atacuri de inundații sunt software-ul "anti-flood", care blochează, de asemenea, forta bruta si scaneaza masive. Una dintre acestea este IOSec fi descărcat de Sourceforge ( HTTP Anti Flood/DoS Security Module | Free System Administration software downloads at SourceForge.net ) și puteți testa funcționarea folosind un demo on-line disponibile la următorul link. ( IOSec.org Anti Flood Security Gateway Module )
Download KillApache : http://pastebin.com/9y9Atijn
Sursa : DoS e DDoS: strumenti e contromisure | Sicurezza, System | HTML.it
DoS și DDoS sunt, respectiv, prescurtari pentru Denial-of-Service și Distributed Denial-of-Service, sau "Denial of Service". Acești termeni se referă la un tip de atac (DoS / atac DDoS, de fapt) al cărui obiectiv este de a epuiza resursele puse la dispoziție de către o rețea, o aplicație sau un serviciu, în general, astfel încât utilizatorii "legitimi" de acest serviciu nu va fi capabil să le folosească. Luați, de exemplu, un mesaj e-commerce, a cărui "timpii morți" pentru câteva ore poate duce la pierderi în valoare de milioane de euro.
În general, un atac DDoS este efectuat de către un grup mare de clienți din întreaga lume, la un moment precis, ei încep să "bombardeze" traficul unui site web, de rețea și servicii în general.Clientul participă la atac poate fi folosit în mod deliberat (și conștient), de către proprietarii respectivi, cum ar fi în cazul acțiunilor desfășurate de grupuri activiste, sau poate au fost în prealabil compromisă de troieni, cum ar fi Zeus și SpyEye și, prin urmare, să fie asociată cu pe botnet. Printre alte lucruri, aceasta nu reduce nivelul de pericol al acestor troieni, astfel încât ENISA recent a trebuit să emită un consultativ.
Metode pentru atacuri DDoS
Există mai multe moduri de a efectua un atac DDoS. Aceste metode pot include atacuri de "potop", în care cantități mari de trafic sunt generate și de sesiuni de la țintă, sau metode mai sofisticate, care să profite de vectori de atac la nivel de aplicație, după cum KillApache (Killapache: DDOS tool - Half of the Internet is vulnerable now ! | The Hacker News - Security Blog ), Slowloris (Slowloris HTTP DoS )și așa mai departe. În prezent, atacurile DDoS pot fi clasificate în trei mari categorii: atacuri "volumetrice" atacuri "TCP stat-Epuizarea" și atacă "la nivel de aplicație".
Atacurile volumetrice
Acest tip de atacuri sunt în esență, scopul de a epuiza lățimea de bandă disponibilă a unei infrastructuri de rețea cu acțiunile de "flooding" sau inundare țintă cu sume uriașe de trafic și cauzând, ca urmare, indisponibilitatea serviciului. Exemple de atacuri volumetrice includ TCP SYN, ICMP, UDP și inundațiile Fragment.
Atacuri "TCP stat Epuizarea"
Impartasiti cu metoda anterioară numai activitatea de inundații, dar să profite de un alt principiu: în esență, metoda constă în trafic nell'inondare provoacă saturație a unei mese de stat țintă utilizate de firewall-uri și IDS / IPS pentru inspectie de pachete din diverse conexiuni. Aceste dispozitive ar trebui să fie adăugate la sarcina de echilibrat sunt vulnerabile la același tip de atac. Un exemplu clasic din această categorie este atacul de tip Sockstress, care constă în completarea tabelului de stare conectarea unui firewall, prin deschiderea unui număr mare de prize TCP și efectuarea testelor de stres specifice TCP, cum ar fi fereastra Zero, ferestre mici și altele.
Atacurile "la nivel de aplicație"
Utilizarea unor mecanisme mai sofisticate de precedent, ceea ce duce la atacurile care vizează servicii specifice și încet de funcționare din resurse. Datorită acestei caracteristici sunt mai dificil de a intercepta și, în același timp, foarte eficace impotriva low-rata conexiuni. Exemple din această categorie sunt cele menționate mai sus Slowloris KillApache și la care putem adăuga cu siguranță Slowhttptest. (Http :/ / code.google.com / p / slowhttptest /)
Din punct de vedere statistic, tendința ultimilor ani este de a folosi atacurile DDoS "hibride", metode care utilizează o combinație de volumetrice și la nivel de aplicație, deoarece acest lucru creste dramatic sansele de succes. După cum se poate observa, de asemenea, din raportul periodic al Kaspersky în a doua jumătate a anului 2011, metoda cea mai des utilizată este de inundații HTTP Asistăm, de asemenea, o creștere constantă a atacurilor, volumetrice, și din cauza numărului mare de clienți infectate cu malware (și, prin urmare, "proprietatea" de botnet diferite) se datorează fenomenului tot mai mare de hacktivism, ai cărei membri participă în mod voluntar și ataca in mod constient acțiuni, în general, din motive de ordin social, politic sau religios.
Trei instrumente pentru atacuri DDoS
Există mai multe instrumente pentru a desfășura DoS și DDoS, vom cita pentru toate cele patru: Slowloris, Slowhttptest, THC-SSL-DOS și LOIC (inclusiv HOIC sa variantă). Slowloris și Slowhttptest, disponibil numai pentru Linux, sunt destul de asemănătoare între ele, așa cum au în principii și tehnici comune care vizează realizarea nivelul Denial-of-Service aplicație (Application Layer-Denial-of-Service). Ei exploatează proprietățile protocolul HTTP, care impune ca fiecare cerere (http-cerere) este pe deplin primite de server înainte de a fi prelucrate. Dacă http-cererea este completa (sau conexiunea este foarte lent), serverul păstrează o mulțime de resurse angajate, rezultând în Denial of Service. Aceste instrumente, apoi trimite http cerere parțială, ca și în următoarea comandă:
Code:
./slowhttptest -c 1000 -H -g -o my_header_stats -i 10 -r 200 -t GET -u https://myseceureserver/resources/index.html -x 24 -p 3
THC-SSL-DOS, (http://www.thc.org/thc-ssl-dos/ )cu toate acestea, disponibil atât pentru Windows și Nix platforma *, creat ca un instrument pentru a testa (Secure Socket Layer) SSL, utilizate în mod obișnuit pentru a cripta traficul la nivel de aplicație. THC-SSL-DOS este un instrument de stres bazat pe comportamentul de "asimetric" SSL, pentru care necesită o conexiune SSL pentru a serverul de puterea de procesare de 15 ori mai mare decat clientul.
THC-SSL-DOS necesită procesor serverului la o muncă intensă de criptare care rezultă din RSA_encrypt continuu funcția de apeluri (). Acest lucru face ca, în asociere asimetrie doar menționat, o supraîncărcare a serverului care provoacă o stare de negare a serviciului, deoarece serverul nu mai este capabil să susțină volumul de muncă.Atacul se face mult mai eficient prin faptul că serverele sunt pregătite pentru a gestiona eficient strângere de mână faza-SSL numai la începutul unei sesiuni și nu în mod continuu. THC-SSL-DOS exploateaza, de asemenea, un alt particularitate a protocolului SSL, care este renegocierea (SSL-Renegocierea) taste în timpul unei sesiuni SSL. Dacă această funcție este activată pe server, veți obține un multiplicator de munca la care este supus serverul .
În cele din urmă, să ne uităm la LOIC [ LOIC | Free Security & Utilities software downloads at SourceForge.net ] (Low Orbit Ion Cannon-), pentru care există, de asemenea, o versiune similar numit HOIC (High-Orbit Ion Cannon). LOIC este de fapt unul dintre instrumentele cele mai utilizate pentru DOS și în special pentru atacuri DDoS. Acesta este un instrument (pentru Windows), care pune în aplicare inundațiile TCP sau UDP, acesta poate fi clasificat ca cotat. Acesta este un instrument foarte eficient, astfel încât să fie utilizate de către organizații precum Anonim să efectueze acțiunile lor. În acest scop, există chiar și o pagină web specială care explică configurarea si utilizarea LOIC, complet cu un canale IRC Termeni si la contact.
trebuie doar să introduceți URL-ul țintă (sau IP acestuia) și opțiuni, cum ar fi protocolul de a utiliza (TCP, UDP sau HTTP) pentru inundații, timeout, iar ușa pentru a ataca, atunci atacul este lansat, făcând clic pe butonul din secțiunea 2, în dreapta sus și ați terminat.
Contramăsuri
După cum este bine cunoscut, nu există nici o contra real pentru a contracara un atac DDoS, mai ales daca arunci un botnet este format de 30.000 de clienti împrăștiate în jurul lumii. În orice caz, puteți pune în aplicare soluție pentru a atenua atacul, dar trebuie să fie puse în aplicare de la firewall si IDS / IPS direct la ISP-ul care oferă conectivitate.
De reguli firewall bine scrise pot fi foarte utile pentru a detecta cel puțin atac, de exemplu prin filtrarea tuturor UDP si ICMP de ieșire.Problema fundamentală este aceea că, în special pentru atacurile comise împotriva portul 80, firewall-ul nu poate determina dacă acesta este traficul, "răuvoitor" sau legitim, iar acest lucru este agravat în special în prezența atacurilor "lente". Pentru a răspunde la atacuri de inundații sunt software-ul "anti-flood", care blochează, de asemenea, forta bruta si scaneaza masive. Una dintre acestea este IOSec fi descărcat de Sourceforge ( HTTP Anti Flood/DoS Security Module | Free System Administration software downloads at SourceForge.net ) și puteți testa funcționarea folosind un demo on-line disponibile la următorul link. ( IOSec.org Anti Flood Security Gateway Module )
Download KillApache : http://pastebin.com/9y9Atijn
Sursa : DoS e DDoS: strumenti e contromisure | Sicurezza, System | HTML.it
Niciun comentariu:
Trimiteți un comentariu