Kazalo
Latest images
Išči
Registriraj se
PrijavaDOS [denial of service]
![DOS [denial of service] Empty](https://2img.net/i/empty.gif)
DOS [denial of service]
ameba Pet Jan 16, 2009 11:54 am
Kaj je DOS napad ?
DOS napad je zlonamerna dejavnost na medmrežju, ki ne poskuša razbiti varnostne zaščite ciljnega strežnika ampak doseči, da je povezava do le-tega strežnika popolnoma prenatrpana, kar rezultira v neuporabnosti servisov, ki jih nudi strežnik različnim obiskovalcem medmrežja in kar posledično pomeni tudi izgubo prihodka za ponudnika storitev napadenega strežnika. Izgube prihodkov so tako v letu 2002 dosegle tudi do 50 miljonov ameriških dolarjev, na en DOS napad. Tako so DOS napadi enako nevarni kot napadi, ki vključujejo vdore v sistem, vendar se tega dejstva lastniki medmrežnih strežnikov še ne zavedajo in zato je tudi preventivna dejavnost v tej smeri skoraj zanemarljiva napram preventivi proti napadom z vdorom.
Predstavitev razvoja DOS napadov
Vsakič, ko se pojavi nov tip DOS napada, poskušajo napadeni spomočjo preganjalcev analizirati napad, zmanjšati moč napada ali ga prekiniti ter identificirati napadalce, da bi jih lahko sodno preganjali in tako v prihodnosti onemogočili.
Navedel bom nekaj dokumentiranih in bolj popularnih primerov, na katerih temeljijo DOS napadi:
Ping of Death
Podatki se po medmrežju pretakajo v paketih po protokolu TCP/IP. IP sloj v tem protokolu omejuje dolžino enega paketa na 216 = 65536 bytov. Ping of Death oblikuje paket z dolžino, ki presega to omejitev, ga pošlje na ciljni računalnik in na njem zruši modul za komunikacijo z medmrežjem, kar povzroči, da računalnik zgubi komunikacijo z medmrežjem, se ustavi ali ponovno zažene. V tem primeru je šlo za napako v modulu za komunikacijo z medmrežjem, ki ni imel zaščite pred prevelikimi paketi. Operacijski sistemi s to napako so bili Windows 3.11 s Trumpet Winsock TCP/IP modulom, Windows 95 in tudi nekatere različice Unixov. Današnji sistemi so na ta napad odporni.
Teardrop
Med potovanjem paketov po medmrežju, se lahko paketi razsttavijo (fragmentirajo) na več manjših paketkov, ki potujejo posamezno. Tem paketkom je dodana ovojnica v kateri piše kateri del celotnega paketa nosijo (na primer byte od 500 do 900). Paketki se na končnem računalniku sestavjo v paket. Če se ovojnici paketkov spremeni vrednosti, ki definirajo kam v paket spada določen paketek, se v nekaterih primerih na ciljnem računalniku modul za komunikacijo z medmrežjem zmede, saj paketkov ne more sestaviti v paket ter se zato zruši, kar pomeni prekinjeno povezavo z medmrežjem, ustavitev računalnika ali ponovni zagon.
Smurf Attack
Medmrežje je sestavljeno iz velikega števila majhnih omrežij. Vsako majhno omrežje ima svoj prehod (router), ki mu omogoča povezavo s svetom. Vsako majhno omrežje ima dodeljen tudi svoj rang IP naslovov ter posebno ti. broadcast IP številko preko katere se lahko naenkrat dosegajo vsi računalniki v omrežju. Ko prehod dobi paket z broadcast IP stevilko, ga pošlje vsem računalnikom v svojem omrežju.
Pri protokolu TCP/IP imajo paketi različnega tipa tudi različne prioritete pri prehodu skozi omrežja, tako ima naprimer promet, ki sluzi za kontrolo linije ICMP (Internet Control Message Protocol), ki je del TCP/IP protokola, večjo prioriteto kot promet za dejanski prenos podatkov UDP (Uniform Data Packet) ter TCP (Transmission Control Protocol).
Smurf Attack pošlje veliko količino paketov ICMP ECHO z visoko prioriteto na broadcast naslov ciljnega omrežja s čimer povzroči zasičenje celotnega ciljnega omrežja (target network), saj se veliko število računalnikov odzove na en sam paket.
ICMP paket tipa ECHO se uporablja za preverjanje delovanja linije med dvema naslovoma ti. ping, kar pomeni, da se poslani paket vrne nazaj, pri čemer pride do problema, saj na en paket odgovori veliko število računalnikov in tako zasitči tudi izvorno omrežje. To preprečimo tako, da v ovojnici ICMP ECHO paketa spremenimo tudi izvorno IP številko (IP Spoofing) na neko tretje omrežje (victim network) s čimer povzročimo, da relativno majhno število paketov iz izvornega omrežja povzroči popolno zasičenje dveh ostalih omrežij, končni rezultat tega pa je, da so strežniki na teh dveh omrežjih slabo ali celo nedosegljivi.
SYN Attack
Preden se dva računalnika povežeta preko medmrežja, napravita ti. rokovanje, ki je proces v treh korakih:
1. Klient kontaktira strežnik in mu pošlje ti. SYN paket
2. Strežnik uvrsti povezavo v čakajočo vrsto in pošlje nazaj ti. SYN/ACK paket
3. Klient pošlje ACK paket, strežnik zbriše povezavo iz čakajoče vrste in vzpostavi se povezava
Pri napadu SYN Attack, napadalec pošlje na ciljni strežnik veliko število SYN paketov, ki jih strežnik uvrsti v čakajočo vrsto. Strežnik za vsakega od teh paketov pošlje SYN/ACK paket, na katerega pa ne dobi odgovora, zato vsi SYN paketi ostanejo v vrsti. Čakajoča vrsta na strežniku ima določeno kapaciteto, ki jo napadalec s SYN paketi zapolni. Ko je čakajoča vrsta polna, se na ciljni strežnik ne more povezati nihče več, kar povzroči neuporabnost strežnika in servisov, ki jih nudi. Da bi ostal napadalec anonimen, le-ta spremeni v ovojnici paketa tudi izvorni IP naslov.
Obstaja popravek za operacijske sisteme, ki onemogoči SYN napade, tako, da v čakajočo vrsto uvede potek veljavnosti SYN signalov (timeout) in omejitev števila povezav z enakega IP naslova.
User Datagram Protocol (UDP) Flood Attack
Strežniki na UDP nivoju uporabljajo servis generiranja znakov ti. CHARGEN, ki za vsak dobljeni paket generira niz znakov, in ga pošlje nazaj na izvor paketa, z namenom testiranja povezave.
Drugi UDP servis, ki se prav tako uporablja v testne namene pri strežnikih je ti. ECHO servis, ki vsak paket, ki ga dobi, nespremenjen vrne na izvor paketa.
Če napadalec sproži CHARGEN servis z enim paketom in pri tem v ovojnici paketa spremeni svoj naslov v naslov nekega tretjega strežnika, ki ima vklopljen ECHO servis, se med napadenim in strežnikom in tretjim strežnikom generira tok podatkov, ki se povečuje dokler ni povezava omrežij na katerih sta napadena strežnika popolnoma neuporabna.
DOS na aplikativnem nivoju
Danes se za onesposobitev strežnikov uporabljajo predvsem napadi na aplikativnem nivoju, pri čemer na primer napadalec opazuje hitrost odziva neke spletne strani, eMail sistema (proptivirusni filtri in spam filtri zahtevajo zelo veliko procesorske moči in spomina) oz. na podlagi izvorne kode predvideva, kateri zahtevek bo napadenemu strežniku zavzel največ procesorskega časa ali spomina. Napadalec potem s pomočjo distribuiranega napada na napadenem strežniku sproži kar največ takih zahtevkov s čimer povzroči sesutje baze podatkov, spletnega strežnika, eMail strežnika ali pa vsaj zelo počasno delovanje le-teh, kar legitimnim uporabnikom onemogoča normalno delo.
Modeli različnih DOS napadov
DOS napadi so trenutno že v tretji generaciji evolucije, saj napadalci sistemov (crackerji) vedno najdejo zdravilo za preganjalce (CERT, policija), da le-ti ne bi ugotovili njihove identitete.
DOS – Denial Of Service
Pri DOS napadu napadalec medse in med napadeni strežnik vnese en sloj računalnikov, ki služijo kot sužnji za napad. Računalnike sužnje pridobi napadalec tako, da preizkuša računalnike na medmrežju, če imajo nameščen kakšen ranljiv servis ali aplikacijo, nanje vdre in namesti ti. rootkit, ki mu omogoča oddaljeno upravljanje računalnika brez, da bi administrator računalnika sužnja to sploh zaznal. Tako si napadalec pridobi možnost zakritja, saj ima popolno kontrolo nad računalnikom sužnjem in prav tako tudi nad vsemi sledmi, ki so zapisane na računalniku sužnju. Dejanski napad izvajajo računalniki sužnji, napadalec pa ostane neizsledljiv v ozadju.
DDOS – Distributetd Denial Of Service
DDOS napad med napadalcem in računalnikom sužnjem vnese še en dodatni sloj in sicer računalnik ravnatelj. Računalniki ravnatelji se pridobijo z vdorom v sistem in namestitvijo ti. rootkita. S pomočjo teh računalnikov napadalec ročno ali avtomatsko vdira v računalnike sužnje na katere namesti rootkit in sistem za sprejemanje ukazov od računalnikov ravnateljev. Računalniki ravnatelji in računalniki sužnji so ponavadi Unix strežniki.
Pri napadu, računalniki ravnatelji sporočijo računalnikom sužnjem kateri ciljni strežnik naj napadejo. S tem dodatnim slojem je zasledovalcem otežkočeno iskanje računalnikov ravnateljev preko računalnikov sužnjev in šele, ko odkrijejo računalnike ravnatelje, lahko iščejo dejanskega napadalca.
DRDOS – Distributed Denial Of Service with Reflectors
Pri DRDOS napadih so napadalci za razliko od DDOS napadov predstavili še dodaten sloj in sicer sloj reflektorjev. Reflektorji so postavljeni med računalnike sužnje in napadeni strežnik. Reflektorji so ponavadi računalniki tipa Windows, ki jih je na medmrežju ogromno. Reflektorje napadalec pridobi avtomatsko in sicer tako, da preko računalnikov ravnateljev ukaže računalnikom sužnjem, naj avtomatsko iščejo po medmrežju naključne ali določene IP naslove in najdejo ranljive računalnike, ter nanje namestijo reflektor program, ki bo ob napadu izvršil kakršen koli ukaz višjega sloja. Ob ogromnem številu Windows računalnikov na medmrežju in ob pogostosti varnostnih lukenj na tem sistemu lahko vsak računalnik suženj pridobi več deset tisoč reflektorjev, pri čemer ima vsak računalnik ravnatelj podrejenih tudi do sto računalnikov. Takšna hierarhija tvori distribuirano DOS omrežje - skupino računalnikov, ki lahko štejejo tudi miljon ali več reflektorjev in so zelo močno orožje za napad, podrejeni pa so enemu samemu napadalcu.
Distribuirana DOS omrežja so uporabna tudi za razširjanje nadležne pošte na miljone različnih eMail naslovov ter druga komercialno orientirana opravila sive ekonomije.
Zaščita pred DOS napadi
Proti dobro organiziranim in dobro zamišljenim DRDOS napadom avtomatskega zdravila praktično ni. V primeru, da so DRDOS napadi slabo izpeljani, pomaga koordinirana heuristična analiza prometa, ki potuje proti napadenemu strežniku, ter postavitev filtrov na prehodih (router).
Proti koordiniranim napadom kot so DRDOS se borijo predvsem mednarodno povezane CERT (Computer Emergency Response Team) skupine.
DOS napadi se širijo tudi izven računalniških voda in lahko onemogočijo tudi druge servise, včasih za človeštvo zelo pomembne kot naprimer DOS Virus 911 iz Aprila 2000, ki je na vseh reflektorjih, ki so imeli modeme začel klicati 911, kar je številka za nujno pomoč v Združenih državah amerike in tako onesposobil klicne centre, da niso mogli sprejemati dejanskih klicev na pomoč.
DOS napad je zlonamerna dejavnost na medmrežju, ki ne poskuša razbiti varnostne zaščite ciljnega strežnika ampak doseči, da je povezava do le-tega strežnika popolnoma prenatrpana, kar rezultira v neuporabnosti servisov, ki jih nudi strežnik različnim obiskovalcem medmrežja in kar posledično pomeni tudi izgubo prihodka za ponudnika storitev napadenega strežnika. Izgube prihodkov so tako v letu 2002 dosegle tudi do 50 miljonov ameriških dolarjev, na en DOS napad. Tako so DOS napadi enako nevarni kot napadi, ki vključujejo vdore v sistem, vendar se tega dejstva lastniki medmrežnih strežnikov še ne zavedajo in zato je tudi preventivna dejavnost v tej smeri skoraj zanemarljiva napram preventivi proti napadom z vdorom.
Predstavitev razvoja DOS napadov
Vsakič, ko se pojavi nov tip DOS napada, poskušajo napadeni spomočjo preganjalcev analizirati napad, zmanjšati moč napada ali ga prekiniti ter identificirati napadalce, da bi jih lahko sodno preganjali in tako v prihodnosti onemogočili.
Navedel bom nekaj dokumentiranih in bolj popularnih primerov, na katerih temeljijo DOS napadi:
Ping of Death
Podatki se po medmrežju pretakajo v paketih po protokolu TCP/IP. IP sloj v tem protokolu omejuje dolžino enega paketa na 216 = 65536 bytov. Ping of Death oblikuje paket z dolžino, ki presega to omejitev, ga pošlje na ciljni računalnik in na njem zruši modul za komunikacijo z medmrežjem, kar povzroči, da računalnik zgubi komunikacijo z medmrežjem, se ustavi ali ponovno zažene. V tem primeru je šlo za napako v modulu za komunikacijo z medmrežjem, ki ni imel zaščite pred prevelikimi paketi. Operacijski sistemi s to napako so bili Windows 3.11 s Trumpet Winsock TCP/IP modulom, Windows 95 in tudi nekatere različice Unixov. Današnji sistemi so na ta napad odporni.
Teardrop
Med potovanjem paketov po medmrežju, se lahko paketi razsttavijo (fragmentirajo) na več manjših paketkov, ki potujejo posamezno. Tem paketkom je dodana ovojnica v kateri piše kateri del celotnega paketa nosijo (na primer byte od 500 do 900). Paketki se na končnem računalniku sestavjo v paket. Če se ovojnici paketkov spremeni vrednosti, ki definirajo kam v paket spada določen paketek, se v nekaterih primerih na ciljnem računalniku modul za komunikacijo z medmrežjem zmede, saj paketkov ne more sestaviti v paket ter se zato zruši, kar pomeni prekinjeno povezavo z medmrežjem, ustavitev računalnika ali ponovni zagon.
Smurf Attack
Medmrežje je sestavljeno iz velikega števila majhnih omrežij. Vsako majhno omrežje ima svoj prehod (router), ki mu omogoča povezavo s svetom. Vsako majhno omrežje ima dodeljen tudi svoj rang IP naslovov ter posebno ti. broadcast IP številko preko katere se lahko naenkrat dosegajo vsi računalniki v omrežju. Ko prehod dobi paket z broadcast IP stevilko, ga pošlje vsem računalnikom v svojem omrežju.
Pri protokolu TCP/IP imajo paketi različnega tipa tudi različne prioritete pri prehodu skozi omrežja, tako ima naprimer promet, ki sluzi za kontrolo linije ICMP (Internet Control Message Protocol), ki je del TCP/IP protokola, večjo prioriteto kot promet za dejanski prenos podatkov UDP (Uniform Data Packet) ter TCP (Transmission Control Protocol).
Smurf Attack pošlje veliko količino paketov ICMP ECHO z visoko prioriteto na broadcast naslov ciljnega omrežja s čimer povzroči zasičenje celotnega ciljnega omrežja (target network), saj se veliko število računalnikov odzove na en sam paket.
ICMP paket tipa ECHO se uporablja za preverjanje delovanja linije med dvema naslovoma ti. ping, kar pomeni, da se poslani paket vrne nazaj, pri čemer pride do problema, saj na en paket odgovori veliko število računalnikov in tako zasitči tudi izvorno omrežje. To preprečimo tako, da v ovojnici ICMP ECHO paketa spremenimo tudi izvorno IP številko (IP Spoofing) na neko tretje omrežje (victim network) s čimer povzročimo, da relativno majhno število paketov iz izvornega omrežja povzroči popolno zasičenje dveh ostalih omrežij, končni rezultat tega pa je, da so strežniki na teh dveh omrežjih slabo ali celo nedosegljivi.
SYN Attack
Preden se dva računalnika povežeta preko medmrežja, napravita ti. rokovanje, ki je proces v treh korakih:
1. Klient kontaktira strežnik in mu pošlje ti. SYN paket
2. Strežnik uvrsti povezavo v čakajočo vrsto in pošlje nazaj ti. SYN/ACK paket
3. Klient pošlje ACK paket, strežnik zbriše povezavo iz čakajoče vrste in vzpostavi se povezava
Pri napadu SYN Attack, napadalec pošlje na ciljni strežnik veliko število SYN paketov, ki jih strežnik uvrsti v čakajočo vrsto. Strežnik za vsakega od teh paketov pošlje SYN/ACK paket, na katerega pa ne dobi odgovora, zato vsi SYN paketi ostanejo v vrsti. Čakajoča vrsta na strežniku ima določeno kapaciteto, ki jo napadalec s SYN paketi zapolni. Ko je čakajoča vrsta polna, se na ciljni strežnik ne more povezati nihče več, kar povzroči neuporabnost strežnika in servisov, ki jih nudi. Da bi ostal napadalec anonimen, le-ta spremeni v ovojnici paketa tudi izvorni IP naslov.
Obstaja popravek za operacijske sisteme, ki onemogoči SYN napade, tako, da v čakajočo vrsto uvede potek veljavnosti SYN signalov (timeout) in omejitev števila povezav z enakega IP naslova.
User Datagram Protocol (UDP) Flood Attack
Strežniki na UDP nivoju uporabljajo servis generiranja znakov ti. CHARGEN, ki za vsak dobljeni paket generira niz znakov, in ga pošlje nazaj na izvor paketa, z namenom testiranja povezave.
Drugi UDP servis, ki se prav tako uporablja v testne namene pri strežnikih je ti. ECHO servis, ki vsak paket, ki ga dobi, nespremenjen vrne na izvor paketa.
Če napadalec sproži CHARGEN servis z enim paketom in pri tem v ovojnici paketa spremeni svoj naslov v naslov nekega tretjega strežnika, ki ima vklopljen ECHO servis, se med napadenim in strežnikom in tretjim strežnikom generira tok podatkov, ki se povečuje dokler ni povezava omrežij na katerih sta napadena strežnika popolnoma neuporabna.
DOS na aplikativnem nivoju
Danes se za onesposobitev strežnikov uporabljajo predvsem napadi na aplikativnem nivoju, pri čemer na primer napadalec opazuje hitrost odziva neke spletne strani, eMail sistema (proptivirusni filtri in spam filtri zahtevajo zelo veliko procesorske moči in spomina) oz. na podlagi izvorne kode predvideva, kateri zahtevek bo napadenemu strežniku zavzel največ procesorskega časa ali spomina. Napadalec potem s pomočjo distribuiranega napada na napadenem strežniku sproži kar največ takih zahtevkov s čimer povzroči sesutje baze podatkov, spletnega strežnika, eMail strežnika ali pa vsaj zelo počasno delovanje le-teh, kar legitimnim uporabnikom onemogoča normalno delo.
Modeli različnih DOS napadov
DOS napadi so trenutno že v tretji generaciji evolucije, saj napadalci sistemov (crackerji) vedno najdejo zdravilo za preganjalce (CERT, policija), da le-ti ne bi ugotovili njihove identitete.
DOS – Denial Of Service
Pri DOS napadu napadalec medse in med napadeni strežnik vnese en sloj računalnikov, ki služijo kot sužnji za napad. Računalnike sužnje pridobi napadalec tako, da preizkuša računalnike na medmrežju, če imajo nameščen kakšen ranljiv servis ali aplikacijo, nanje vdre in namesti ti. rootkit, ki mu omogoča oddaljeno upravljanje računalnika brez, da bi administrator računalnika sužnja to sploh zaznal. Tako si napadalec pridobi možnost zakritja, saj ima popolno kontrolo nad računalnikom sužnjem in prav tako tudi nad vsemi sledmi, ki so zapisane na računalniku sužnju. Dejanski napad izvajajo računalniki sužnji, napadalec pa ostane neizsledljiv v ozadju.
DDOS – Distributetd Denial Of Service
DDOS napad med napadalcem in računalnikom sužnjem vnese še en dodatni sloj in sicer računalnik ravnatelj. Računalniki ravnatelji se pridobijo z vdorom v sistem in namestitvijo ti. rootkita. S pomočjo teh računalnikov napadalec ročno ali avtomatsko vdira v računalnike sužnje na katere namesti rootkit in sistem za sprejemanje ukazov od računalnikov ravnateljev. Računalniki ravnatelji in računalniki sužnji so ponavadi Unix strežniki.
Pri napadu, računalniki ravnatelji sporočijo računalnikom sužnjem kateri ciljni strežnik naj napadejo. S tem dodatnim slojem je zasledovalcem otežkočeno iskanje računalnikov ravnateljev preko računalnikov sužnjev in šele, ko odkrijejo računalnike ravnatelje, lahko iščejo dejanskega napadalca.
DRDOS – Distributed Denial Of Service with Reflectors
Pri DRDOS napadih so napadalci za razliko od DDOS napadov predstavili še dodaten sloj in sicer sloj reflektorjev. Reflektorji so postavljeni med računalnike sužnje in napadeni strežnik. Reflektorji so ponavadi računalniki tipa Windows, ki jih je na medmrežju ogromno. Reflektorje napadalec pridobi avtomatsko in sicer tako, da preko računalnikov ravnateljev ukaže računalnikom sužnjem, naj avtomatsko iščejo po medmrežju naključne ali določene IP naslove in najdejo ranljive računalnike, ter nanje namestijo reflektor program, ki bo ob napadu izvršil kakršen koli ukaz višjega sloja. Ob ogromnem številu Windows računalnikov na medmrežju in ob pogostosti varnostnih lukenj na tem sistemu lahko vsak računalnik suženj pridobi več deset tisoč reflektorjev, pri čemer ima vsak računalnik ravnatelj podrejenih tudi do sto računalnikov. Takšna hierarhija tvori distribuirano DOS omrežje - skupino računalnikov, ki lahko štejejo tudi miljon ali več reflektorjev in so zelo močno orožje za napad, podrejeni pa so enemu samemu napadalcu.
Distribuirana DOS omrežja so uporabna tudi za razširjanje nadležne pošte na miljone različnih eMail naslovov ter druga komercialno orientirana opravila sive ekonomije.
Zaščita pred DOS napadi
Proti dobro organiziranim in dobro zamišljenim DRDOS napadom avtomatskega zdravila praktično ni. V primeru, da so DRDOS napadi slabo izpeljani, pomaga koordinirana heuristična analiza prometa, ki potuje proti napadenemu strežniku, ter postavitev filtrov na prehodih (router).
Proti koordiniranim napadom kot so DRDOS se borijo predvsem mednarodno povezane CERT (Computer Emergency Response Team) skupine.
DOS napadi se širijo tudi izven računalniških voda in lahko onemogočijo tudi druge servise, včasih za človeštvo zelo pomembne kot naprimer DOS Virus 911 iz Aprila 2000, ki je na vseh reflektorjih, ki so imeli modeme začel klicati 911, kar je številka za nujno pomoč v Združenih državah amerike in tako onesposobil klicne centre, da niso mogli sprejemati dejanskih klicev na pomoč.
ameba- Admin
- Število prispevkov : 7
Join date : 14/01/2009 -
Permissions in this forum:
Ne, ne moreš odgovarjati na teme v tem forumu|
|
|