Negación de los ataques del servicio


  Share  
|

los ataques del Negacio'n-de-servicio (DOS) se divulgan a los equipos de la respuesta del incidente más que cualquier otro tipo de ataque. Las ideas falsas sobre ataques del negacio'n-de-servicio abundan, sin embargo. Una idea falsa extensamente llevada a cabo es que los ataques del negacio'n-de-servicio estrellan invariable usos o los anfitriones. Aunque la mayoría de ataques divulgados del DOS hace de hecho a usos o a anfitriones estrellarse, un ataque del DOS puede también hacer un sistema o una función retrasar o no funcionar correctamente. Un programa mal escrito del cgi, por ejemplo, puede estrellar un web server con el desbordamiento del almacenador intermediario o la otra condición, pero puede también causar el overutilization de la CPU, haciendo el anfitrión de la víctima insensible.

Varios tipos de ataques del DOS son casi legendarios ahora porque han ocurrido tan muchas veces:

  • Flooding de SYN. En un ataque del flooding de SYN, un anfitrión hostil envía una inundación de los paquetes de SYN a un anfitrión de la víctima. Los paquetes de SYN son enviados por un anfitrión que desee comenzar una conexión del TCP con otro anfitrión (a que también llamemos la "recepción del anfitrión"). El anfitrión de recepción supervisa el estado de la tentativa de la conexión tan bien como la conexión sí mismo, si se establece una conexión. La supervisión del estado requiere recursos. Cuando una conexión es cerrada, los recursos usados en la supervisión de la conexión son no más de largo necesarios. Mientras que ocurren más conexiones, más recursos se asignan para supervisar el estado de las conexiones. Bajo condiciones normales en las cuales un número normal de conexiones esté en lugar, el anfitrión de recepción tiene más que bastantes recursos para supervisar todas las conexiones a él.

    ¿Pero qué si una inundación de los paquetes de SYN se envía, y el anfitrión de recepción no consigue ningún paquete subsecuente que sea parte del proceso normal de terminar la conexión? Puesto simplemente, el anfitrión de recepción funciona de los recursos, haciendo el anfitrión de la víctima insensible en el caso del agotamiento moderado del recurso o haciéndolo estrellarse en el caso de un agotamiento más severo del recurso. Porque los ataques del flooding de SYN son fáciles de iniciar, ocurren con frecuencia. Afortunadamente, la mayoría de los vendedores de sistemas operativos han tratado el problema teniendo las conexiones parcialmente abiertas operativas de la gota del sistema.

  • Ataque de Teardrop. Un ataque del teardrop es otro tipo de protocolo del IP del DOS attack.The es un protocolo robusto diseñado para ocuparse de una amplia gama de dispositivos, de sistemas, y de tipos de establecimiento de una red. Si un sistema va a enviar los paquetes que son,por ejemplo, 1 kilobyte (1.024 octetos) de tamaño, los dispositivos de la red tales como rebajadoras no pudieron poder manejar los paquetes que son éste grande. Puede ser que en lugar de otro puedan manejar los paquetes que son solamente mitad de este tamaño. En este caso, el IP divide automáticamente el paquete original en piezas más minúsculas que puedan hacer su manera a través de los dispositivos de la red que no pueden manejar paquetes más grandes, una fragmentación llamada de proceso.

    Cuando los paquetes hechos fragmentos llegan el anfitrión de recepción, este anfitrión los vuelve a montar en el paquete que el anfitrión que enviaba creó originalmente. Hacer fragmentos de los paquetes es útil porque proporciona una manera práctica y razonablemente eficiente de transportar datos a través de una red mientras que todavía preserva la exactitud de los datos. Un atacante puede abusar del proceso de la fragmentación, sin embargo, haciendo el anfitrión de recepción recibir valores en paquetes que no se programa procesar. En un ataque del teardrop, un fragmento del paquete se pone dentro de otro de modo que cuando el anfitrión de recepción recibe este sistema de fragmentos del paquete, los valores que resultan (en términos de compensaciones) estén fuera de gama. La máquina de recepción sale de control y se estrella.

    Hay muchas variaciones del ataque clásico del teardrop tan bien como muchos otros tipos de ataques de la fragmentación del paquete. Un atacante puede, por ejemplo, escribir un programa que divida los paquetes en fragmentos de una manera que haga los paquetes subsecuentes sobreescribir porciones del fragmento inicial.

  • Ataque de Smurf. Otra clase de ataque del negacio'n-de-servicio sigue siendo un ataque del smurf. En esta clase de ataque, un anfitrión de la blanco está victimized cuando un atacante falsifica (los "spoofs") la dirección de las creaciones o de la fuente para ser el host address de la blanco. El atacante (o, más correctamente, un programa que funciona a nombre del atacante) lanza una inundación de los paquetes del silbido de bala o del eco del ICMP solicita destinado para todos los anfitriones en la red local. Esto es lograda teniendo la dirección de la difusión como la destinación. Una dirección de la difusión de la red de una red tiene un IP address particular que se utilice para enviar los paquetes a cada anfitrión dentro de la red local.

    Cuando el silbido de bala o los paquetes de la petición del eco del ICMP alcanza la dirección de la difusión, estos paquetes también se envían a los otros anfitriones. Responden contestando a la dirección de la fuente, la dirección del anfitrión apuntado. La inundación de contestaciones puede tener varios efectos, el más probable de cuál está haciendo a anfitrión de la blanco estrellarse o, con una poca suerte, quizás retardándola abajo a un arrastre en lugar de otro debido a tener que procesar tal presa de paquetes. La mayoría de los vendedores del sistema operativo han desarrollado los remiendos que corrigen este problema, aunque red que se filtra que el tráfico de la difusión de los límites es otra solución viable.

El silbido de bala, "el Groper del Internet del paquete," es un protocolo diseñado para determinarse si o no un anfitrión está vivo en la red (es decir, si es corriente y responsiva). El silbido de bala transmite un grupo de caracteres, generalmente un grupo razonablemente pequeño (típicamente menos de 100 octetos), y después espera el anfitrión que se ha silbado como una bala para responder. Una de las aplicaciones primarias del silbido de bala se está determinando si un anfitrión particular se ha estrellado.

  • ataque de la Silbar como una bala-de-muerte. Otro tipo clásico de ataque del DOS sigue siendo el ataque de la silbar como una bala-de-muerte. Este ataque crea una condición del desbordamiento del almacenador intermediario, algo que resulta de tener demasiado poca memoria disponible para los datos entrantes que se procesarán. La manera exacta de la cual se maneja una condición del desbordamiento del almacenador intermediario depende de un número de factores, pero de un resultado posible es agotamiento de la memoria que hace un uso o un sistema estrellarse.

    El truco a un ataque acertado de la silbar como una bala-de-muerte es enviar los paquetes del silbido de bala que exceden el tamaño máximo, a saber 64KB en TCP/IP. El anfitrión de recepción no se pudo programar rechazar los paquetes de gran tamaño y pudo por lo tanto entrar una condición del desbordamiento del almacenador intermediario. Este problema tiene principalmente (pero no exclusivamente) productos afectados del sistema operativo de Microsoft, la mayoría de los cuales se estrellan con la pantalla azul notoria de aparecer de la muerte (BSOD). Afortunadamente, los remiendos que fijan este problema están rutinariamente disponibles ahora y se incorporan generalmente en los productos del sistema operativo que eran vulnerables solamente hace algunos años.

  • Ataque de la tierra. Un ataque de la tierra capitaliza en el hecho de que las características de paquetes adhieren generalmente a ciertos apremios. Normalmente, por ejemplo, los paquetes de SYN no tienen las mismas direcciones del IP de la fuente y de la destinación, ni es la fuente y la destinación vira normalmente igual hacia el lado de babor. Si un atacante envía los paquetes de SYN que tienen éstos u otras características en un ataque de la tierra, el anfitrión de recepción pudo entrar una cierta clase de estado anormal, haciéndolo estrellarse.

  • Ataque de WinNuke. Un ataque de WinNuke capitaliza en una debilidad en la puesta en práctica de TCP/IP en ciertas versiones de Windows NT. En este ataque, un autor envió de entrada de la gama (es decir, la entrada con los parámetros que no son dentro de la gama el anfitrión de recepción espera) a un anfitrión de la víctima a través de una conexión estableció en el puerto 139 del TCP. El over-allocation masivo de la CPU en ocuparse de esta condición anormal hace a anfitrión de la víctima estrellarse. El problema, que está fijado en el paquete 3 del servicio de Windows NT 4.0 y más alto, es debido a una falta de comprobar si la entrada está dentro de una gama prevista.

  • Ataques distribuidos del negacio'n-de-servicio (DDoS). Aunque es similar en muchos respectos a los ataques convencionales del negacio'n-de-servicio, ataques de DDoS sea diferente sobre todo en que requieren los anfitriones que asumen el control que entonces se asignan varios papeles en el attack(s) inminente de DDoS a través de la instalación del software especial, malévolo. Observe también, sin embargo, que los ataques de DDoS se pueden iniciar de sus propios sistemas, también. Los ataques de DDoS implican al amo, al tratante, y a anfitriones del zombi:

    • Los zombis son los agentes que lanzan realmente una inundación de los paquetes que traen abajo los anfitriones y también ser la red a una parada. Los zombis no actúan en sus los propios, sin embargo; lanzan una inundación del paquete solamente si son mandada para hacer tan por otro anfitrión, a saber tratante (véase la bala siguiente).

    • Los tratantes no son realmente nada las máquinas más que intermedias que ni inicie un ataque ni lanzan los paquetes que inundan la red de la víctima. En lugar de otro realizan tareas tales como confirmar que el software del agente ha estado instalado en los anfitriones (zombis) a través de la red y que es listo trabajar. Los tratantes preguntan así a zombis en los intervalos señalados. Los tratantes también reciben una señal del amo, otro anfitrión no puesto típicamente dentro de la red en la cual el ataque de DDoS es ocurrir, para iniciar un ataque de DDoS a los agentes. El tratante alternadamente entonces envía una señal a los zombis de lanzar una presa de paquetes.

    • El tercer cómplice en un ataque de DDoS es el amo. El amo es el anfitrión que está generalmente directamente bajo control del atacante. Se utiliza para ordenar a cualquier tratante enviar el comando de lanzar una inundación de paquetes a los zombis.

      Los ataques de DDoS en 1999 y 2000 causaron pérdida y/o la interrupción financieras importantes para un número de instituciones, incluyendo la universidad de Minnesota, de ZDnet, de eBay, E-Confianza, Amazon.com, y otros. La amenaza principal está de una interrupción prolongada, aunque el coste de investigar los anfitriones para la evidencia del compromiso por las herramientas de DDoS y de restaurar la integridad de estos sistemas puede también ser muy alto. Muchos tipos de herramientas del ataque de DDoS se han identificado. Uno, eje, incluso estructuras en sus propios mecanismos de la detección, permitiéndole evitar de ser detectada por programas de la intrusio'n-deteccio'n. Las herramientas adicionales de DDoS se han identificado que incluyen Trin00, red de la inundación de la tribu (TFN), tfn2k, Slice3, Stacheldracht, y otros.

un artículo sometió por Thomas Gregovich


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions