Denial of Service
Kategorie: Nezařazeno (celkem: 23181 referátů a seminárek)
Informace o referátu:
- Přidal/a: anonymous
- Datum přidání: 23. srpna 2008
- Zobrazeno: 1718×
- Licence: GNU Free Documentation License
- Seznam autorů a změn
- Vyloučení odpovědnosti
Příbuzná témata
Denial of Service
Denial of Service (česky odmítnutí služby) nebo též Distributed Denial of Service (česky distribuované odmítnutí služby) je technika útoku na internetové služby nebo stránky, při níž dochází k přehlcení požadavky a pádu nebo minimálně nefunkčnosti a nedostupnosti pro ostatní uživatele.
Cíle takového útoku jsou v zásadě dva:
- Vnucení opakovaného resetu cílového počítače
- Narušení komunikace mezi serverem a obětí tak, aby jejich komunikace byla buď zcela nemožná, nebo alespoň velmi pomalá.
Obsah |
Projevy
United States Computer Emergency Readiness Team definuje příznaky DDoS útoku takto:
- Neobvyklé zpomalení služby (při otvírání souborů nebo prostém přístupu).
- Celková nedostupnost části nebo celých stránek.
- Nemožnost se ke stránkám připojit.
- Extrémní nárůst obdrženého spamu.
Splnění některých podmínek ale ještě neznamená DDoS útok, může jít o prostý výpadek zaviněný hardwarem nebo softwarem samotného serveru bez cizího zavinění.
Typy útoku
Všechny typy se vyznačují několika společnými charakteristikami:
- Zaplavení provozu na síti náhodnými daty které zabraňují protékání skutečných dat.
- Zabránění nebo přerušení konkrétnímu uživateli v přístupu ke službě.
- Narušení konfiguračního nastavení.
- Extrémnímu zatížení CPU cílového serveru.
- Vsunutím chybových hlášení do sekvence instrukcí které můžou vést k pádu systému.
- Pád samotného operačního systému.
ICMP floods
Smurf attack spočívá na chybné konfiguraci systému, který dovolí rozeslání paketů všem počítačům zapojených v síti přes Broadcast adresu. Pak stačí aby odeslaný paket měl dostatečnou velikost aby nebyl odfiltrován a všechny počítače v síti ho budou muset přijmout a zpracovat (zahodit).
Ping-flood stojí na zahlcení cílového počítače žádostmi o ping odezvu. Základním předpokladem je, že útočník má k dispozici rychlejší připojení k internetu s možností většího objemu dat. Tento druh útoku je nejjednodušší ve svém provedení, stačí použít „ping -t“ k odesílání nekonečného proudu žádostí.
SYN-flood zasílá záplavu TCP/SYN paketů s padělanou hlavičkou odesílatele. Každý takový paket je serverem přijat jako normální žádost o připojení. Server tedy odešle TCP/SYN-ACK packet a čeká na TCP/ACK. Ten ale nikdy nedorazí, protože hlavička odesílatele byla zfalšována. Takto polootevřená žádost nějakou dobu blokuje jiné, legitimní žádosti o připojení.
Teardrop útok
Tento typ útoku zahrnuje zaslání IP fragmentu s překrývajícím se příliš velkým nákladem dat na cílový počítač. Chyba v TCP/IP při přeskládání takového paketu může na starších Operačních systémech vést až k jejich pádu
Peer-to-peer útok
Jde o využití masivního zástupu lidí na P2P sítích. Prakticky jde o zneužití bugu v klientu (většinou se jako příklad uvádí DC++) k odpojení od stávajícího serveru a pokusu o připojení k oběti. Při dobře provedeném útoku může být oběť vystavena najednou až 750.000 žádosti o připojení. I když tento útok se dá snadno odfiltrovat pomocí identické hlavičky p2p klienta, při masivním útoku i sama filtrace může vyústit v pád systému.
Nukes
Nukes jsou speciální pakety určené k zničení cílového počítače. Ne vždy je totiž pro DoS třeba server zahltit, občas se v něm nalézá chyba která zapříčiní pád při zpracování jediného paketu.
Typickým příkladem je WinNuke který využívá chybu v NetBIOS handleru v Windows 95.
Obrana
SYN-cookies
SYN Cookies vnitřně modifikují chování TCP protokolu tak, že k vlastním zdrojům serveru se přistupuje až po ověření platnosti adresy. Tímto postupem se dá velmi účinně předejít SYN Flood útoku. Implementace této obrany je běžná na Solaris a Linux systémech.
Firewall
Přestože obsahuje jednoduché procesy k blokování IP adres či celých protokolů, z logiky věci nemůže být účinný absolutně. Nemůžeme přece kompletně zablokovat port na kterém přichází i legitimní uživatelé.
Intrusion-prevention system
Je účinný pouze v případě že útok má shodný podpis (například část hlavičky) s již dříve provedeným útokem. Podle podpisu totiž může začít okamžitě filtrovat pokusy o DoS od normálního provozu na síti.