SlideShare a Scribd company logo

DoS атаки

Download as DOCX, PDF
И
Ивета Димитрова

Описание

Education
1 of 13
0 Реферат Тема: DoS атаки – същност, видове и превенция срещу тях по дисциплината „Безопасност и защита на компютърни системи и приложения“ Изготвил: Проверил: Ивета Красимирова Димитрова доц. д-р Стефан Дражев СИН: 400436 ас. Радка Начева спец., „ИТИБ“, 5 курс, 50 група Варна 2015 Икономическиуниверситет – Варна Катедра „Информатика“
1 Съдържание Увод.............................................................................................................. 2 I. DoS атаки................................................................................................ 3 1. Land.c атаки......................................................................................... 3 2. Ping/ICMP „наводнение" ..................................................................... 3 2. Smurf атака .......................................................................................... 3 3. Ping of Death атака............................................................................... 4 4. TCP SYN атака .................................................................................... 5 5. DDoS атака .......................................................................................... 6 II. Превенции .............................................................................................. 7 1. Повишаване на устойчивостта на мрежата спрямо DoS атаки............ 7 2. Системи за засичане/предпазванеот неоторизирандостъп(Intrusion Detection / Prevention Systems)................................................................... 8 Заключение..................................................................................................11 Използвана литература................................................................................12
2 Увод В периода на активно развитие и внедряване в ежедневието на информационните технологии от голямо значение е сигурността на компютърните системи, осигуряващи достъп до информация. Едновременно с това растат и загубите, които биха произтекли от кражба и липса на достъп до информация. Атаката, която прави невъзможен достъпа до една или друга информация или прави невъзможна работата на компютърната система без да се получи натоварване се нарича „атака отказ от обслужване“ - DoS атака (Denial of Service). Тези атаки възпрепятстват или блокират напълно отговора от услугите, ползвани от потребителите. DoS атаките не предизвикват срив на компютъра, а са проектирани така, че да прекъснат или да попречат на установяване на връзка към мрежата. Те работят, като наводняват мрежата с непотребни пакети, или като емулират мрежов проблем, който кара компютъра да прекрати установената връзка1. Атаките от този тип са винаги злонамерени. Към момента съществуват много възможни средства за реализирането им, при това от хора, които не са професионалисти. Този тип атаки е променил интернет, показвайки слабостите в защитата на използваните технологии. 1 Класификация на мрежови атаки. https://ivodoc.wordpress.com/2010/01/25/%D0%BA%D0%BB%D0%B0%D1%81%D0%B8%D1%84%D0%B 8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F-%D0%BD%D0%B0- %D0%BC%D1%80%D0%B5%D0%B6%D0%BE%D0%B2%D0%B8%D1%82%D0%B5- %D0%B0%D1%82%D0%B0%D0%BA%D0%B8/. 21.04.2015.
3 I. DoS атаки 1. Land.c атаки Изключителност прост и ефективен пример за DoS атака. Атакуващият изпраща множество SYN пакети с еднакви адреси и портове на подателя и получателя. Целта на тази атака е да накара жертвата да изпраща отговор на този пакет сама на себе си. Процесът е цикличен и скоро машината жертва остава без ресурси и спира да предоставя услуги. Хитрото при тази атака е, че атакуващият използва ресурсите на жертвата срещу самата нея. Това е лесен начин за забиване на Windows 2000 (до Service Pack 3) и Windows XP (до Service Pack 2). 2. Ping/ICMP „наводнение" Разбира се точно „наводнение“ с пакети на протокола ICMP, водещо до задавяне на системата. ICMP е протокол за съобщения и проверка за грешки, използван за предаване на информация по Интернет. Командата ping е най-често използвана за изпращане на ICMP пакети с цел проверка дали конкретен компютър наистина съществува в мрежата. Когато наводнението от пакети се изпраща непрекъснато до даден IP адрес, то може да забави работата на сървъра и той да се изключи поради таймаут на ping-a. 2. Smurf атака Смърф атаката е вид ICMP наводнение, което влияе на целия доставчик на услуга или мрежов адаптер на целия мрежов сегмент. ICMP съобщенията се изпращат до бродкастен адрес, което принуждава всички компютри от тази подмрежа да отговорят. Когато даден ISP е „смърфиран", всички конекции биват забавени и всички потребители в крайна сметка губят връзката. След като получи достъп до мрежата, атакуващият изпраща бродкаст в мрежата, използвайки като източник адрес в мрежата- цел. След това всички устройства в увредената мрежа изпращат ICMP отговори до адреса-цел (вж. фиг.1.1). Може да имате стотици хостове, всеки от които изпраща хиляди битове ICMP ехо заявки в мрежата-цел. Трафикът, генериран от този процес, може лесно да задръсти връзките с ниска пропускателна способност, използвани във WAN връзките между някои ISP и мрежи. Мрежата-цел се срива, а често пъти засегнатата мрежа-посредник също страда от целия този трафик.
4 Противодействия на Smurf За да се предотврати възможността за използване на дадена мрежа (хост) за усилване, следва да се забрани преминаването на насочени броудкаст запитвания към граничния маршрутизатор. За целта на Cisco маршрутизаторите може да се използва командата ip directed-broadcast. Също така операционните системи могат да се настройват, така че да отхвърлят всички broadcast ICMP 3. Ping of Death атака Ping of Death е атака, която се възползва от ограниченията, налагани от максималната единица за предаване (maximum transmission unit – MTU) на мрежата. MTU единицата зависи от преносната среда и архитектурата на мрежата. Ако бъде изпратен пакет, който надхвърля MTU, той трябва да бъде разделен на по-малки парчета и след това да бъде сглобен отново в края. (вж. фиг. 1.2). Фиг. 1.1. Smurf атака Фиг. 1.2. Ping of Death атака
5 Компетентният хакер може да изпрати пакет, надхвърлящ броя на октетите, които са разрешени в полето за данни на заявката за ехо. Когато компютърът местоназначение се опита да сглоби този пакет, той се срива. 4. TCP SYN атака При този вид атака, атакуващият може да използва синхронизационна последователност на TCP, за да прекъсне комуникациите. Атакуващият чрез SYN стартира голям брой заявки за установяване на сесия. Приемащият компютър поставя тези заявки в опашка, където изчакват за завършване на процеса. Чрез попълване на опашката и поддържането й постоянно пълна, атакуващият не допуска установяване на други заявки за сесии. По този начин законните потребители не могат да се свържат към сървъра (вж. фиг. 1.3). Противодействието на SYN - Лимит на броя на полуотворените връзки, както и дефиниране на максималния интервал от време, в което те да са полуотворени. След изтичане на това време, те се прекратяват и се подменят с нови. - Използване на SYN cookies. При отговор на SYN пакета хостът, отговарящ със SYN/ACK пакет криптира поредния номер (Sequence Number). При това не се Фиг. 1.3. TCP SYN атака
6 стартира полуотворена връзка. Едва след получаване на пакет с правилния пореден номер се започва с three – way hand shake процедура. 5. DDoS атака Една от най-разрушителните класове компютърни атаки са тези от тип „Разпределени атаки от типа отказ от обслужване“, насочени към разрушаване на достъпността до информационни ресурси. Атаките от този тип се реализират от съвместните усилия на множество програмни компоненти, разположени на компрометирани хостове в Интернет. При тях атакуващият използва различни системи свързани към Internet за да атакува определена жертва и това ги прави много трудни за проследяване и противодействие. Подготовката на атаката се състои в това че злодеятелят предварително разбива защитата на няколко машини в Интернет и го поставя под свой контрол като инсталира вреден код. Тези вече компрометирани компютри се наричат агенти, ботове (от роботи) или дори зомбита (заради това че следват сляпо командите на атакуващия). Злодеятелят ползва тези агенти за да извърши координирана едновременна атака от всички ботове към жертвата. Тази атака изяжда канала и мрежовите ресурси на атакувания. Тя е високо ефективна заради това че е координирана (общия ресурс на всички зомбита е много по-голям от този на злодеятеля) и изключително трудна за проследяване. По правило злодеятелят контролира зомбита от обществено достъпна машина (като в интернет кафе или клуб) или през прокси или като използва техниката на подправяне на адреса си. Фиг. 1.4 пояснява тази вид атаки. Фиг. 1.4. DDoS атака
7 II. Превенции Истинският ключ към защитата от DoS атаки е предпазливостта. Опитът показва, че като намаляваме „площта”, която е податлива на атака, намалява и шанса за успешното провеждане на такава. Като правило обаче няма напълно защитена система. В реалността ние създаваме една подредена и йерархична система от защити и се надяваме тя да е достатъчна. Основен списък от неща, които системните и мрежови администратори трябва да направят, за да намалят шанса за успешна атака е следния: • Системите винаги трябва да са с последните надграждания (upgrades - ъпгрейди) и най-нов софтуер • Използване на защитни стени • Използване на системи за засичане на неоторизиран достъп • Инсталиране на антивирусни програми • Спиране на ICMP протокола между маршрутизаторите и защитните стени 1. Повишаване на устойчивостта на мрежата спрямо DoS атаки Чрез повишаване на устойчивостта на мрежовите устройства и приложения се намалява шанса за атака. Тази задача може да се раздели условно на две части: • Мрежова устойчивост - Мрежови устройства като защитните стени предотвратяват проникването на нежелан трафик в мрежата и тяхната инсталация е от голяма важност. Защитните стени са създадени за да бъдат сигурни и винаги помагат, но въпреки това всеки мрежови администратор трябва винаги да е в течение с най- новите техники за повишаване на устойчивостта на мрежата. Първичната задача на маршрутизаторите е да прокарват трафика през мрежата, но изпълнявайки тази задача те могат несъзнателно да подпомагат DoS и дори DDoS атаки ако не ги конфигурираме правилно. Само устройство което маршрутизира трафик не е достатъчно за защитата на дадена мрежа, необходими са защитни стени. Като най-основно правило, винаги трябва да започваме да изграждаме сигурността в мрежата ни чрез прилагането на списъци за контрол на достъпа на външния ни интерфейс, за да спрем възможно преправяне на адреси, което е масова практика при всяка атака. Необходимо е да се контролират не
8 само външните IP адреси, които имат достъп до мрежата, но и IP адресите на подателите, които излизат от нея. Ако това правило се спазваше масово, DoS атаките щяха главоломно да намалеят, поради факта че много бързо всеки мрежов администратор ще засече от къде идва атаката, ще спре източника и ще уведоми тамошния администратор. • Програмна устойчивост - В този термин се включват не само нормалните потребителски програми, но също и операционните системи, под които те вървят. Всяка програма има bug-ове. Затова непрекъснато биват изкарвани обновявания (updates – ъпдейти), с които се целят „закърпване” на дупките в сигурността. Това, което трябва да има предвид всеки потребител, е, че винаги трябва да ползва програми от сигурни фирми и програми с отворен код. Да си ги набавя от сигурни места (най- хубаво от официалния сайт), да избягва използването на shareware програми (повечето съдържат скриптове за шпиониране), и задължително ОС да му е с всички последни ъпдейти. Във връзка с DoS атаките трябва да имаме предвид, че е добре да държим в работен режим колкото се може по-малко програми повечето от тях създават сокети (това е комбинация от IP адрес на подадел и порт) и ги държат отворени, което създава „дупки” в защитната стена, освен това колко по-малко общ на брой програми, толкова по-малко потенциални проблеми със сигурността в следствие на bug-ове може да има. 2. Системи за засичане/предпазване от неоторизиран достъп (Intrusion Detection / Prevention Systems) Чрез тях вероятността за засичане на DoS/DDoS атаки нараства значително. Засичането на атаката е предпоставка за моментално взимане на мерки и навременна реакция с цел предотвратяване на атаката. Освен това чрез използването на такива системи могат лесно да се изолират слабите места в мрежата и се пристъпи към тяхното подсилване. Системите за предпазване от неоторизиран достъп могат и сами да взимат автоматизирани решения относно моменталното противодействие на атаките. Това става като те изпращат определени (обикновено блокиращи) команди към дадено предварително дефинирано мрежово устройство (най-често хардуерна защитна стена или защитна стена интегрирана в маршрутизатор). Често DoS атаките са съпроводени с характерни особености, които помагат за тяхното навременно откриване. Това са: • Ненормално натоварване на мрежата
9 • Високо натоварване на централните процесори на системите в мрежата • Липсата на отговор от дадена система • Честото и необяснимо забиване на системи Понякога обаче различните DoS атаки трудно могат да се усетят на време и могат да доведат до значителни загуби. Това не бива да се допуска и всяка компания която работи с поверителна информация, преводи на пари по мрежата, или предлага критична услуга трябва да използва поне един или най-добре всички от следните техники за повишаване на устойчивостта и навременно откриване на DoS атаки. • Защитни стени • Системи за засичане на неоторизиран достъп при потребителя - Такъв тип системи както и персоналните защитни стени подпомагат засичането на различен вид атаки, като наблюдават и блокират нежеланите пакети. Проблема при тях е скалируемостта. Дори в една средно голяма мрежа от 100-1000 компютъра е необходим голям екип администратори за да може тези системи да бъдат инсталирани и поддържани правилно. За това тяхната употреба е ограничена предимно до сървъри в демилиратизираната зона. • Системи за засичане на неоторизиран достъп във мрежата, основаващи се на сигнатури – Чрез тях ние имаме възможността да анализираме трафика по мрежата и да го преглеждаме за каквито и да са атаки. Хакери от типа „новаци със скриптове” (script newbie’s) нямат шанс срещу такива системи, защото те използват широко достъпни и известни (както и на производителите на системи за сигурност) програми за които лесно би могла да се създаде сигнатура. Cisco IDS 4200 серията сензори имат вградени множество сигнатури за различни типове атаки. • Системи за засичане на неоторизиран достъп във мрежата основаващи се на аномалии - Въпреки че системите на основа на сигнатура са ефективни срещу добре известни типове атаки и програмите използвани за тяхното извършване, те нямат шанс срещу най-новите атаки (zero-day attacks). Точно за такъв тип атака са създадени системите на принципа на аномалиите. Създадени е малко силна дума, защото те още са в процес на обработка но идеята е на лице, а вече има и изпълнения (Cisco Traffic Anomaly Detector XT). Принципът на действие на системи от този тип е засичането на мрежовия трафик, който рязко се отклонява от нормалния. Например, ако значителен
10 брой UDP запитвания идват от един потребител, това е аномалия и се включва аларма. Обикновено тези системи вървят ръка за ръка с Cisco Guard XТ. Идеята е при откриването на аномалия целият трафик се пренасочва към Guard XT устройството, което чрез използването на сложни алгоритми се опитва да отдели и пропусне само стандартния трафик, всичко подозрително се спира.
11 Заключение DoS атаките са изключително опасни и осъществяването им не изисква висока квалификация, тъй като целия необходим инструментариум е свободно достъпен. За да може да се защити една система, трябва на първо място да се разбере начина на провеждане на атаката, т.е. трябва да има предварителна подготовка, за да може атаката да се предотврати. Превантивните мерки, които задължително трябва се вземат са: • Последните надграждания (upgrades - ъпгрейди) на системите и най-нов софтуер • Използване на защитни стени • Използване на системи за засичане на неоторизиран достъп • Инсталиране на антивирусни програми • Спиране на ICMP протокола между маршрутизаторите и защитните стени
12 Използвана литература 1. 1 част DoS атака – Отказа на услугите. http://nukerbg.blogspot.com/2012/02/1- dos.html. 19.04.2015. 2. Класификация на мрежовите атаки. https://ivodoc.wordpress.com/2010/01/25/%D0%BA%D0%BB%D0%B0%D1%81% D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F- %D0%BD%D0%B0- %D0%BC%D1%80%D0%B5%D0%B6%D0%BE%D0%B2%D0%B8%D1%82%D0 %B5-%D0%B0%D1%82%D0%B0%D0%BA%D0%B8/. 21.04.2015. 3. Компютърна защита. http://www.referati.org/kompiutyrna-zashtita/39059/ref/p25. 21.04.2015. 4. Съвременни DDoS атаки. http://networkworld.bg/1021_savremenni_ddos_ataki. 20.04.2015. 5. Тема 2: Външни заплахи за мрежовата сигурност. http://193.192.57.240/po/courses/problemni/mrezi/HTML/section5_theme2.html#it2. 20.04.2015. 6. DDoS АТАКА СРЕЩУ САЙТОВЕТЕ НА AMAZON, WAL-MART И EXPEDIA. http://webcache.googleusercontent.com/search?q=cache:nAlL4WH26UEJ:95.87.207. 56/Music,%2520Movies,%2520Videos,%2520Games%2520and%2520more.../Lekcii/ Corporate%2520Security/%25D0%25BA%25D1%2583%25D1%2580%25D1%2581 %25D0%25BE%25D0%25B2%25D0%25B0%2520%25D0%25BA%25D1%2581.do c+&cd=1&hl=bg&ct=clnk&gl=bg. 20.04.2015.

Recommended

методи за криптиране и декриптиране на данни
методи за криптиране и декриптиране на данниметоди за криптиране и декриптиране на данни
методи за криптиране и декриптиране на данниkgospodinova89
 
Cyber Crime Identity Theft
Cyber Crime Identity TheftCyber Crime Identity Theft
Cyber Crime Identity TheftRahmat Inggi
 
Introductory Lecture on Cryptography and Information Security
Introductory Lecture on Cryptography and Information SecurityIntroductory Lecture on Cryptography and Information Security
Introductory Lecture on Cryptography and Information SecurityBikramjit Sarkar, Ph.D.
 
Cryptography
CryptographyCryptography
Cryptographysubodh pawar
 
The Heartbleed Bug
The Heartbleed BugThe Heartbleed Bug
The Heartbleed Bugn|u - The Open Security Community
 
Network Security
Network SecurityNetwork Security
Network SecurityTechknow Book
 
курсова работа по васил стоилов 12004
курсова работа по васил стоилов 12004курсова работа по васил стоилов 12004
курсова работа по васил стоилов 12004VasilStoilov
 
Методи за криптиране и декриптиране на данни
Методи за криптиране и декриптиране на данниМетоди за криптиране и декриптиране на данни
Методи за криптиране и декриптиране на данниMarketDevelopment
 

Recommended

методи за криптиране и декриптиране на данни
методи за криптиране и декриптиране на данниметоди за криптиране и декриптиране на данни
методи за криптиране и декриптиране на данниkgospodinova89
 
Cyber Crime Identity Theft
Cyber Crime Identity TheftCyber Crime Identity Theft
Cyber Crime Identity TheftRahmat Inggi
 
Introductory Lecture on Cryptography and Information Security
Introductory Lecture on Cryptography and Information SecurityIntroductory Lecture on Cryptography and Information Security
Introductory Lecture on Cryptography and Information SecurityBikramjit Sarkar, Ph.D.
 
Cryptography
CryptographyCryptography
Cryptographysubodh pawar
 
The Heartbleed Bug
The Heartbleed BugThe Heartbleed Bug
The Heartbleed Bugn|u - The Open Security Community
 
Network Security
Network SecurityNetwork Security
Network SecurityTechknow Book
 
курсова работа по васил стоилов 12004
курсова работа по васил стоилов 12004курсова работа по васил стоилов 12004
курсова работа по васил стоилов 12004VasilStoilov
 
Методи за криптиране и декриптиране на данни
Методи за криптиране и декриптиране на данниМетоди за криптиране и декриптиране на данни
Методи за криптиране и декриптиране на данниMarketDevelopment
 
криптиране и декриптиране
криптиране и декриптиранекриптиране и декриптиране
криптиране и декриптиранеGeorgi Georgiev
 
Man-in-the-middle атаки
Man-in-the-middle атакиMan-in-the-middle атаки
Man-in-the-middle атакиBoris Bankov
 
Digital forensics
Digital forensicsDigital forensics
Digital forensicsRoberto Ellis
 
Cisco cybersecurity essentials chapter -5
Cisco cybersecurity essentials chapter -5Cisco cybersecurity essentials chapter -5
Cisco cybersecurity essentials chapter -5Mukesh Chinta
 
Cyber Terrorism
Cyber TerrorismCyber Terrorism
Cyber TerrorismSai praveen Seva
 
Ch01
Ch01Ch01
Ch01n C
 
Stegnography
StegnographyStegnography
StegnographySonal Kathel
 
Report of android hacking
Report of android hackingReport of android hacking
Report of android hackingdiv2345
 
Email security
Email securityEmail security
Email securityMohammed Hilal
 
So You Want a Job in Cybersecurity
So You Want a Job in CybersecuritySo You Want a Job in Cybersecurity
So You Want a Job in CybersecurityTeri Radichel
 
Cryptography
CryptographyCryptography
CryptographyBirmingham City University
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hackingaashish2cool4u
 
Advanced persistent threats(APT)
Advanced persistent threats(APT)Advanced persistent threats(APT)
Advanced persistent threats(APT)Network Intelligence India
 
Cryptography
CryptographyCryptography
CryptographyEmaSushan
 
CS6004 Cyber Forensics
CS6004 Cyber ForensicsCS6004 Cyber Forensics
CS6004 Cyber ForensicsKathirvel Ayyaswamy
 
Zero-Knowledge Proofs: Identity Proofing and Authentication
Zero-Knowledge Proofs: Identity Proofing and AuthenticationZero-Knowledge Proofs: Identity Proofing and Authentication
Zero-Knowledge Proofs: Identity Proofing and AuthenticationClare Nelson, CISSP, CIPP-E
 
Module 4 Enumeration
Module 4 EnumerationModule 4 Enumeration
Module 4 Enumerationleminhvuong
 
Encryption
EncryptionEncryption
Encryptionshyam Tirkey
 
Technical seminar on Security
Technical seminar on Security Technical seminar on Security
Technical seminar on Security STS
 
Attack lecture #2 ppt
Attack lecture #2 pptAttack lecture #2 ppt
Attack lecture #2 pptvasanthimuniasamy
 
Атака от тип DoS
Атака от тип DoSАтака от тип DoS
Атака от тип DoSKrasen Hristov
 
86101
8610186101
86101Александър Димитров
 

More Related Content

What's hot

криптиране и декриптиране
криптиране и декриптиранекриптиране и декриптиране
криптиране и декриптиранеGeorgi Georgiev
 
Man-in-the-middle атаки
Man-in-the-middle атакиMan-in-the-middle атаки
Man-in-the-middle атакиBoris Bankov
 
Cisco cybersecurity essentials chapter -5
Cisco cybersecurity essentials chapter -5Cisco cybersecurity essentials chapter -5
Cisco cybersecurity essentials chapter -5Mukesh Chinta
 
Ch01
Ch01Ch01
Ch01n C
 
Report of android hacking
Report of android hackingReport of android hacking
Report of android hackingdiv2345
 
So You Want a Job in Cybersecurity
So You Want a Job in CybersecuritySo You Want a Job in Cybersecurity
So You Want a Job in CybersecurityTeri Radichel
 
Cryptography
CryptographyCryptography
CryptographyEmaSushan
 
Zero-Knowledge Proofs: Identity Proofing and Authentication
Zero-Knowledge Proofs: Identity Proofing and AuthenticationZero-Knowledge Proofs: Identity Proofing and Authentication
Zero-Knowledge Proofs: Identity Proofing and AuthenticationClare Nelson, CISSP, CIPP-E
 
Module 4 Enumeration
Module 4 EnumerationModule 4 Enumeration
Module 4 Enumerationleminhvuong
 
Technical seminar on Security
Technical seminar on Security Technical seminar on Security
Technical seminar on Security STS
 

What's hot (20)

криптиране и декриптиране
криптиране и декриптиранекриптиране и декриптиране
криптиране и декриптиране
 
Man-in-the-middle атаки
Man-in-the-middle атакиMan-in-the-middle атаки
Man-in-the-middle атаки
 
Digital forensics
Digital forensicsDigital forensics
Digital forensics
 
Cisco cybersecurity essentials chapter -5
Cisco cybersecurity essentials chapter -5Cisco cybersecurity essentials chapter -5
Cisco cybersecurity essentials chapter -5
 
Cyber Terrorism
Cyber TerrorismCyber Terrorism
Cyber Terrorism
 
Ch01
Ch01Ch01
Ch01
 
Stegnography
StegnographyStegnography
Stegnography
 
Report of android hacking
Report of android hackingReport of android hacking
Report of android hacking
 
Email security
Email securityEmail security
Email security
 
So You Want a Job in Cybersecurity
So You Want a Job in CybersecuritySo You Want a Job in Cybersecurity
So You Want a Job in Cybersecurity
 
Cryptography
CryptographyCryptography
Cryptography
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 
Advanced persistent threats(APT)
Advanced persistent threats(APT)Advanced persistent threats(APT)
Advanced persistent threats(APT)
 
Cryptography
CryptographyCryptography
Cryptography
 
CS6004 Cyber Forensics
CS6004 Cyber ForensicsCS6004 Cyber Forensics
CS6004 Cyber Forensics
 
Zero-Knowledge Proofs: Identity Proofing and Authentication
Zero-Knowledge Proofs: Identity Proofing and AuthenticationZero-Knowledge Proofs: Identity Proofing and Authentication
Zero-Knowledge Proofs: Identity Proofing and Authentication
 
Module 4 Enumeration
Module 4 EnumerationModule 4 Enumeration
Module 4 Enumeration
 
Encryption
EncryptionEncryption
Encryption
 
Technical seminar on Security
Technical seminar on Security Technical seminar on Security
Technical seminar on Security
 
Attack lecture #2 ppt
Attack lecture #2 pptAttack lecture #2 ppt
Attack lecture #2 ppt
 

Similar to DoS атаки

Атака от тип DoS
Атака от тип DoSАтака от тип DoS
Атака от тип DoSKrasen Hristov
 
Kурсова работа БЗКСП ралица христова
Kурсова работа БЗКСП ралица христоваKурсова работа БЗКСП ралица христова
Kурсова работа БЗКСП ралица христоваRalica Hristova
 
компютърна защита
компютърна защитакомпютърна защита
компютърна защитаmarin georgiev
 
Особености на sniffing атаките и как да се предпазим от тях
Особености на sniffing атаките и как да се предпазим от тяхОсобености на sniffing атаките и как да се предпазим от тях
Особености на sniffing атаките и как да се предпазим от тяхUniversity of Economics - Varna
 
Inrusion Detection Systems Referat
Inrusion Detection Systems ReferatInrusion Detection Systems Referat
Inrusion Detection Systems Referatradoatanasov
 
с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)ssalieva
 
Защита при създаване на PHP-приложения в Интернет
Защита при създаване на PHP-приложения в ИнтернетЗащита при създаване на PHP-приложения в Интернет
Защита при създаване на PHP-приложения в ИнтернетВалентин Атанасов
 
Методи и средства за филтриране на трафика в Lan мрежи
Методи и средства за филтриране на трафика в Lan мрежиМетоди и средства за филтриране на трафика в Lan мрежи
Методи и средства за филтриране на трафика в Lan мрежиDido Viktorov
 
Защита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернетЗащита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернетMonika Petrova
 
безопасност и защита на Web приложения
безопасност и защита на Web приложениябезопасност и защита на Web приложения
безопасност и защита на Web приложенияkarizka3
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection systemklimentina
 
Network Security and Network Attacks
Network Security and Network AttacksNetwork Security and Network Attacks
Network Security and Network AttacksSvetlin Nakov
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systemsevation
 
вируси, антивируси и защитни стени
вируси, антивируси и защитни стенивируси, антивируси и защитни стени
вируси, антивируси и защитни стениTanya Hristova
 

Similar to DoS атаки (20)

Атака от тип DoS
Атака от тип DoSАтака от тип DoS
Атака от тип DoS
 
86101
8610186101
86101
 
Kурсова работа БЗКСП ралица христова
Kурсова работа БЗКСП ралица христоваKурсова работа БЗКСП ралица христова
Kурсова работа БЗКСП ралица христова
 
Nadezhda Stavreva
Nadezhda StavrevaNadezhda Stavreva
Nadezhda Stavreva
 
компютърна защита
компютърна защитакомпютърна защита
компютърна защита
 
Особености на sniffing атаките и как да се предпазим от тях
Особености на sniffing атаките и как да се предпазим от тяхОсобености на sniffing атаките и как да се предпазим от тях
Особености на sniffing атаките и как да се предпазим от тях
 
Inrusion Detection Systems Referat
Inrusion Detection Systems ReferatInrusion Detection Systems Referat
Inrusion Detection Systems Referat
 
с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)
 
Защита при създаване на PHP-приложения в Интернет
Защита при създаване на PHP-приложения в ИнтернетЗащита при създаване на PHP-приложения в Интернет
Защита при създаване на PHP-приложения в Интернет
 
DoS атаки
DoS атакиDoS атаки
DoS атаки
 
Методи и средства за филтриране на трафика в Lan мрежи
Методи и средства за филтриране на трафика в Lan мрежиМетоди и средства за филтриране на трафика в Lan мрежи
Методи и средства за филтриране на трафика в Lan мрежи
 
Защита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернетЗащита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернет
 
Referat
ReferatReferat
Referat
 
Referat
ReferatReferat
Referat
 
безопасност и защита на Web приложения
безопасност и защита на Web приложениябезопасност и защита на Web приложения
безопасност и защита на Web приложения
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection system
 
Network Security and Network Attacks
Network Security and Network AttacksNetwork Security and Network Attacks
Network Security and Network Attacks
 
PHP Security
PHP SecurityPHP Security
PHP Security
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systems
 
вируси, антивируси и защитни стени
вируси, антивируси и защитни стенивируси, антивируси и защитни стени
вируси, антивируси и защитни стени
 

DoS атаки

  • 1. 0 Реферат Тема: DoS атаки – същност, видове и превенция срещу тях по дисциплината „Безопасност и защита на компютърни системи и приложения“ Изготвил: Проверил: Ивета Красимирова Димитрова доц. д-р Стефан Дражев СИН: 400436 ас. Радка Начева спец., „ИТИБ“, 5 курс, 50 група Варна 2015 Икономическиуниверситет – Варна Катедра „Информатика“
  • 2. 1 Съдържание Увод.............................................................................................................. 2 I. DoS атаки................................................................................................ 3 1. Land.c атаки......................................................................................... 3 2. Ping/ICMP „наводнение" ..................................................................... 3 2. Smurf атака .......................................................................................... 3 3. Ping of Death атака............................................................................... 4 4. TCP SYN атака .................................................................................... 5 5. DDoS атака .......................................................................................... 6 II. Превенции .............................................................................................. 7 1. Повишаване на устойчивостта на мрежата спрямо DoS атаки............ 7 2. Системи за засичане/предпазванеот неоторизирандостъп(Intrusion Detection / Prevention Systems)................................................................... 8 Заключение..................................................................................................11 Използвана литература................................................................................12
  • 3. 2 Увод В периода на активно развитие и внедряване в ежедневието на информационните технологии от голямо значение е сигурността на компютърните системи, осигуряващи достъп до информация. Едновременно с това растат и загубите, които биха произтекли от кражба и липса на достъп до информация. Атаката, която прави невъзможен достъпа до една или друга информация или прави невъзможна работата на компютърната система без да се получи натоварване се нарича „атака отказ от обслужване“ - DoS атака (Denial of Service). Тези атаки възпрепятстват или блокират напълно отговора от услугите, ползвани от потребителите. DoS атаките не предизвикват срив на компютъра, а са проектирани така, че да прекъснат или да попречат на установяване на връзка към мрежата. Те работят, като наводняват мрежата с непотребни пакети, или като емулират мрежов проблем, който кара компютъра да прекрати установената връзка1. Атаките от този тип са винаги злонамерени. Към момента съществуват много възможни средства за реализирането им, при това от хора, които не са професионалисти. Този тип атаки е променил интернет, показвайки слабостите в защитата на използваните технологии. 1 Класификация на мрежови атаки. https://ivodoc.wordpress.com/2010/01/25/%D0%BA%D0%BB%D0%B0%D1%81%D0%B8%D1%84%D0%B 8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F-%D0%BD%D0%B0- %D0%BC%D1%80%D0%B5%D0%B6%D0%BE%D0%B2%D0%B8%D1%82%D0%B5- %D0%B0%D1%82%D0%B0%D0%BA%D0%B8/. 21.04.2015.
  • 4. 3 I. DoS атаки 1. Land.c атаки Изключителност прост и ефективен пример за DoS атака. Атакуващият изпраща множество SYN пакети с еднакви адреси и портове на подателя и получателя. Целта на тази атака е да накара жертвата да изпраща отговор на този пакет сама на себе си. Процесът е цикличен и скоро машината жертва остава без ресурси и спира да предоставя услуги. Хитрото при тази атака е, че атакуващият използва ресурсите на жертвата срещу самата нея. Това е лесен начин за забиване на Windows 2000 (до Service Pack 3) и Windows XP (до Service Pack 2). 2. Ping/ICMP „наводнение" Разбира се точно „наводнение“ с пакети на протокола ICMP, водещо до задавяне на системата. ICMP е протокол за съобщения и проверка за грешки, използван за предаване на информация по Интернет. Командата ping е най-често използвана за изпращане на ICMP пакети с цел проверка дали конкретен компютър наистина съществува в мрежата. Когато наводнението от пакети се изпраща непрекъснато до даден IP адрес, то може да забави работата на сървъра и той да се изключи поради таймаут на ping-a. 2. Smurf атака Смърф атаката е вид ICMP наводнение, което влияе на целия доставчик на услуга или мрежов адаптер на целия мрежов сегмент. ICMP съобщенията се изпращат до бродкастен адрес, което принуждава всички компютри от тази подмрежа да отговорят. Когато даден ISP е „смърфиран", всички конекции биват забавени и всички потребители в крайна сметка губят връзката. След като получи достъп до мрежата, атакуващият изпраща бродкаст в мрежата, използвайки като източник адрес в мрежата- цел. След това всички устройства в увредената мрежа изпращат ICMP отговори до адреса-цел (вж. фиг.1.1). Може да имате стотици хостове, всеки от които изпраща хиляди битове ICMP ехо заявки в мрежата-цел. Трафикът, генериран от този процес, може лесно да задръсти връзките с ниска пропускателна способност, използвани във WAN връзките между някои ISP и мрежи. Мрежата-цел се срива, а често пъти засегнатата мрежа-посредник също страда от целия този трафик.
  • 5. 4 Противодействия на Smurf За да се предотврати възможността за използване на дадена мрежа (хост) за усилване, следва да се забрани преминаването на насочени броудкаст запитвания към граничния маршрутизатор. За целта на Cisco маршрутизаторите може да се използва командата ip directed-broadcast. Също така операционните системи могат да се настройват, така че да отхвърлят всички broadcast ICMP 3. Ping of Death атака Ping of Death е атака, която се възползва от ограниченията, налагани от максималната единица за предаване (maximum transmission unit – MTU) на мрежата. MTU единицата зависи от преносната среда и архитектурата на мрежата. Ако бъде изпратен пакет, който надхвърля MTU, той трябва да бъде разделен на по-малки парчета и след това да бъде сглобен отново в края. (вж. фиг. 1.2). Фиг. 1.1. Smurf атака Фиг. 1.2. Ping of Death атака
  • 6. 5 Компетентният хакер може да изпрати пакет, надхвърлящ броя на октетите, които са разрешени в полето за данни на заявката за ехо. Когато компютърът местоназначение се опита да сглоби този пакет, той се срива. 4. TCP SYN атака При този вид атака, атакуващият може да използва синхронизационна последователност на TCP, за да прекъсне комуникациите. Атакуващият чрез SYN стартира голям брой заявки за установяване на сесия. Приемащият компютър поставя тези заявки в опашка, където изчакват за завършване на процеса. Чрез попълване на опашката и поддържането й постоянно пълна, атакуващият не допуска установяване на други заявки за сесии. По този начин законните потребители не могат да се свържат към сървъра (вж. фиг. 1.3). Противодействието на SYN - Лимит на броя на полуотворените връзки, както и дефиниране на максималния интервал от време, в което те да са полуотворени. След изтичане на това време, те се прекратяват и се подменят с нови. - Използване на SYN cookies. При отговор на SYN пакета хостът, отговарящ със SYN/ACK пакет криптира поредния номер (Sequence Number). При това не се Фиг. 1.3. TCP SYN атака
  • 7. 6 стартира полуотворена връзка. Едва след получаване на пакет с правилния пореден номер се започва с three – way hand shake процедура. 5. DDoS атака Една от най-разрушителните класове компютърни атаки са тези от тип „Разпределени атаки от типа отказ от обслужване“, насочени към разрушаване на достъпността до информационни ресурси. Атаките от този тип се реализират от съвместните усилия на множество програмни компоненти, разположени на компрометирани хостове в Интернет. При тях атакуващият използва различни системи свързани към Internet за да атакува определена жертва и това ги прави много трудни за проследяване и противодействие. Подготовката на атаката се състои в това че злодеятелят предварително разбива защитата на няколко машини в Интернет и го поставя под свой контрол като инсталира вреден код. Тези вече компрометирани компютри се наричат агенти, ботове (от роботи) или дори зомбита (заради това че следват сляпо командите на атакуващия). Злодеятелят ползва тези агенти за да извърши координирана едновременна атака от всички ботове към жертвата. Тази атака изяжда канала и мрежовите ресурси на атакувания. Тя е високо ефективна заради това че е координирана (общия ресурс на всички зомбита е много по-голям от този на злодеятеля) и изключително трудна за проследяване. По правило злодеятелят контролира зомбита от обществено достъпна машина (като в интернет кафе или клуб) или през прокси или като използва техниката на подправяне на адреса си. Фиг. 1.4 пояснява тази вид атаки. Фиг. 1.4. DDoS атака
  • 8. 7 II. Превенции Истинският ключ към защитата от DoS атаки е предпазливостта. Опитът показва, че като намаляваме „площта”, която е податлива на атака, намалява и шанса за успешното провеждане на такава. Като правило обаче няма напълно защитена система. В реалността ние създаваме една подредена и йерархична система от защити и се надяваме тя да е достатъчна. Основен списък от неща, които системните и мрежови администратори трябва да направят, за да намалят шанса за успешна атака е следния: • Системите винаги трябва да са с последните надграждания (upgrades - ъпгрейди) и най-нов софтуер • Използване на защитни стени • Използване на системи за засичане на неоторизиран достъп • Инсталиране на антивирусни програми • Спиране на ICMP протокола между маршрутизаторите и защитните стени 1. Повишаване на устойчивостта на мрежата спрямо DoS атаки Чрез повишаване на устойчивостта на мрежовите устройства и приложения се намалява шанса за атака. Тази задача може да се раздели условно на две части: • Мрежова устойчивост - Мрежови устройства като защитните стени предотвратяват проникването на нежелан трафик в мрежата и тяхната инсталация е от голяма важност. Защитните стени са създадени за да бъдат сигурни и винаги помагат, но въпреки това всеки мрежови администратор трябва винаги да е в течение с най- новите техники за повишаване на устойчивостта на мрежата. Първичната задача на маршрутизаторите е да прокарват трафика през мрежата, но изпълнявайки тази задача те могат несъзнателно да подпомагат DoS и дори DDoS атаки ако не ги конфигурираме правилно. Само устройство което маршрутизира трафик не е достатъчно за защитата на дадена мрежа, необходими са защитни стени. Като най-основно правило, винаги трябва да започваме да изграждаме сигурността в мрежата ни чрез прилагането на списъци за контрол на достъпа на външния ни интерфейс, за да спрем възможно преправяне на адреси, което е масова практика при всяка атака. Необходимо е да се контролират не
  • 9. 8 само външните IP адреси, които имат достъп до мрежата, но и IP адресите на подателите, които излизат от нея. Ако това правило се спазваше масово, DoS атаките щяха главоломно да намалеят, поради факта че много бързо всеки мрежов администратор ще засече от къде идва атаката, ще спре източника и ще уведоми тамошния администратор. • Програмна устойчивост - В този термин се включват не само нормалните потребителски програми, но също и операционните системи, под които те вървят. Всяка програма има bug-ове. Затова непрекъснато биват изкарвани обновявания (updates – ъпдейти), с които се целят „закърпване” на дупките в сигурността. Това, което трябва да има предвид всеки потребител, е, че винаги трябва да ползва програми от сигурни фирми и програми с отворен код. Да си ги набавя от сигурни места (най- хубаво от официалния сайт), да избягва използването на shareware програми (повечето съдържат скриптове за шпиониране), и задължително ОС да му е с всички последни ъпдейти. Във връзка с DoS атаките трябва да имаме предвид, че е добре да държим в работен режим колкото се може по-малко програми повечето от тях създават сокети (това е комбинация от IP адрес на подадел и порт) и ги държат отворени, което създава „дупки” в защитната стена, освен това колко по-малко общ на брой програми, толкова по-малко потенциални проблеми със сигурността в следствие на bug-ове може да има. 2. Системи за засичане/предпазване от неоторизиран достъп (Intrusion Detection / Prevention Systems) Чрез тях вероятността за засичане на DoS/DDoS атаки нараства значително. Засичането на атаката е предпоставка за моментално взимане на мерки и навременна реакция с цел предотвратяване на атаката. Освен това чрез използването на такива системи могат лесно да се изолират слабите места в мрежата и се пристъпи към тяхното подсилване. Системите за предпазване от неоторизиран достъп могат и сами да взимат автоматизирани решения относно моменталното противодействие на атаките. Това става като те изпращат определени (обикновено блокиращи) команди към дадено предварително дефинирано мрежово устройство (най-често хардуерна защитна стена или защитна стена интегрирана в маршрутизатор). Често DoS атаките са съпроводени с характерни особености, които помагат за тяхното навременно откриване. Това са: • Ненормално натоварване на мрежата
  • 10. 9 • Високо натоварване на централните процесори на системите в мрежата • Липсата на отговор от дадена система • Честото и необяснимо забиване на системи Понякога обаче различните DoS атаки трудно могат да се усетят на време и могат да доведат до значителни загуби. Това не бива да се допуска и всяка компания която работи с поверителна информация, преводи на пари по мрежата, или предлага критична услуга трябва да използва поне един или най-добре всички от следните техники за повишаване на устойчивостта и навременно откриване на DoS атаки. • Защитни стени • Системи за засичане на неоторизиран достъп при потребителя - Такъв тип системи както и персоналните защитни стени подпомагат засичането на различен вид атаки, като наблюдават и блокират нежеланите пакети. Проблема при тях е скалируемостта. Дори в една средно голяма мрежа от 100-1000 компютъра е необходим голям екип администратори за да може тези системи да бъдат инсталирани и поддържани правилно. За това тяхната употреба е ограничена предимно до сървъри в демилиратизираната зона. • Системи за засичане на неоторизиран достъп във мрежата, основаващи се на сигнатури – Чрез тях ние имаме възможността да анализираме трафика по мрежата и да го преглеждаме за каквито и да са атаки. Хакери от типа „новаци със скриптове” (script newbie’s) нямат шанс срещу такива системи, защото те използват широко достъпни и известни (както и на производителите на системи за сигурност) програми за които лесно би могла да се създаде сигнатура. Cisco IDS 4200 серията сензори имат вградени множество сигнатури за различни типове атаки. • Системи за засичане на неоторизиран достъп във мрежата основаващи се на аномалии - Въпреки че системите на основа на сигнатура са ефективни срещу добре известни типове атаки и програмите използвани за тяхното извършване, те нямат шанс срещу най-новите атаки (zero-day attacks). Точно за такъв тип атака са създадени системите на принципа на аномалиите. Създадени е малко силна дума, защото те още са в процес на обработка но идеята е на лице, а вече има и изпълнения (Cisco Traffic Anomaly Detector XT). Принципът на действие на системи от този тип е засичането на мрежовия трафик, който рязко се отклонява от нормалния. Например, ако значителен
  • 11. 10 брой UDP запитвания идват от един потребител, това е аномалия и се включва аларма. Обикновено тези системи вървят ръка за ръка с Cisco Guard XТ. Идеята е при откриването на аномалия целият трафик се пренасочва към Guard XT устройството, което чрез използването на сложни алгоритми се опитва да отдели и пропусне само стандартния трафик, всичко подозрително се спира.
  • 12. 11 Заключение DoS атаките са изключително опасни и осъществяването им не изисква висока квалификация, тъй като целия необходим инструментариум е свободно достъпен. За да може да се защити една система, трябва на първо място да се разбере начина на провеждане на атаката, т.е. трябва да има предварителна подготовка, за да може атаката да се предотврати. Превантивните мерки, които задължително трябва се вземат са: • Последните надграждания (upgrades - ъпгрейди) на системите и най-нов софтуер • Използване на защитни стени • Използване на системи за засичане на неоторизиран достъп • Инсталиране на антивирусни програми • Спиране на ICMP протокола между маршрутизаторите и защитните стени
  • 13. 12 Използвана литература 1. 1 част DoS атака – Отказа на услугите. http://nukerbg.blogspot.com/2012/02/1- dos.html. 19.04.2015. 2. Класификация на мрежовите атаки. https://ivodoc.wordpress.com/2010/01/25/%D0%BA%D0%BB%D0%B0%D1%81% D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F- %D0%BD%D0%B0- %D0%BC%D1%80%D0%B5%D0%B6%D0%BE%D0%B2%D0%B8%D1%82%D0 %B5-%D0%B0%D1%82%D0%B0%D0%BA%D0%B8/. 21.04.2015. 3. Компютърна защита. http://www.referati.org/kompiutyrna-zashtita/39059/ref/p25. 21.04.2015. 4. Съвременни DDoS атаки. http://networkworld.bg/1021_savremenni_ddos_ataki. 20.04.2015. 5. Тема 2: Външни заплахи за мрежовата сигурност. http://193.192.57.240/po/courses/problemni/mrezi/HTML/section5_theme2.html#it2. 20.04.2015. 6. DDoS АТАКА СРЕЩУ САЙТОВЕТЕ НА AMAZON, WAL-MART И EXPEDIA. http://webcache.googleusercontent.com/search?q=cache:nAlL4WH26UEJ:95.87.207. 56/Music,%2520Movies,%2520Videos,%2520Games%2520and%2520more.../Lekcii/ Corporate%2520Security/%25D0%25BA%25D1%2583%25D1%2580%25D1%2581 %25D0%25BE%25D0%25B2%25D0%25B0%2520%25D0%25BA%25D1%2581.do c+&cd=1&hl=bg&ct=clnk&gl=bg. 20.04.2015.