Denial of Service

Z Multimediaexpo.cz

Denial of Service (česky odmítnutí služby) nebo též Distributed Denial of Service (česky distribuované odmítnutí služby) je technika útoku na internetové služby nebo stránky, při níž dochází k přehlcení požadavky a pádu nebo minimálně nefunkčnosti a nedostupnosti pro ostatní uživatele.

Cíle takového útoku jsou v zásadě dva:

• Vnucení opakovaného resetu cílového počítače
• Narušení komunikace mezi serverem a obětí tak, aby jejich komunikace byla buď zcela nemožná, nebo alespoň velmi pomalá.

Obsah 1 Projevy 2 Typy útoku 2.1 ICMP floods 2.2 Teardrop útok 2.3 Peer-to-peer útok 2.4 Nukes 3 Obrana 3.1 SYN-cookies 3.2 Firewall 3.3 Intrusion-prevention system 4 Externí odkazy

Projevy

United States Computer Emergency Readiness Team definuje příznaky DDoS útoku takto:

• Neobvyklé zpomalení služby (při otvírání souborů nebo prostém přístupu).
• Celková nedostupnost části nebo celých stránek.
• Nemožnost se ke stránkám připojit.
• Extrémní nárůst obdrženého spamu.

Splnění některých podmínek ale ještě neznamená DDoS útok, může jít o prostý výpadek zaviněný hardwarem nebo softwarem samotného serveru bez cizího zavinění.

Typy útoku

Všechny typy se vyznačují několika společnými charakteristikami:

• Zaplavení provozu na síti náhodnými daty které zabraňují protékání skutečných dat.
• Zabránění nebo přerušení konkrétnímu uživateli v přístupu ke službě.
• Narušení konfiguračního nastavení.
• Extrémnímu zatížení CPU cílového serveru.
• Vsunutím chybových hlášení do sekvence instrukcí které můžou vést k pádu systému.
• Pád samotného operačního systému.

ICMP floods

Smurf attack spočívá na chybné konfiguraci systému, který dovolí rozeslání paketů všem počítačům zapojených v síti přes Broadcast adresu. Pak stačí aby odeslaný paket měl dostatečnou velikost aby nebyl odfiltrován a všechny počítače v síti ho budou muset přijmout a zpracovat (zahodit).

Ping-flood stojí na zahlcení cílového počítače žádostmi o ping odezvu. Základním předpokladem je, že útočník má k dispozici rychlejší připojení k internetu s možností většího objemu dat. Tento druh útoku je nejjednodušší ve svém provedení, stačí použít „ping -t“ k odesílání nekonečného proudu žádostí.

SYN-flood zasílá záplavu TCP/SYN paketů s padělanou hlavičkou odesílatele. Každý takový paket je serverem přijat jako normální žádost o připojení. Server tedy odešle TCP/SYN-ACK packet a čeká na TCP/ACK. Ten ale nikdy nedorazí, protože hlavička odesílatele byla zfalšována. Takto polootevřená žádost nějakou dobu blokuje jiné, legitimní žádosti o připojení.

Teardrop útok

Tento typ útoku zahrnuje zaslání IP fragmentu s překrývajícím se příliš velkým nákladem dat na cílový počítač. Chyba v TCP/IP při přeskládání takového paketu může na starších Operačních systémech vést až k jejich pádu

Peer-to-peer útok

Jde o využití masivního zástupu lidí na P2P sítích. Prakticky jde o zneužití bugu v klientu (většinou se jako příklad uvádí DC++) k odpojení od stávajícího serveru a pokusu o připojení k oběti. Při dobře provedeném útoku může být oběť vystavena najednou až 750.000 žádosti o připojení. I když tento útok se dá snadno odfiltrovat pomocí identické hlavičky p2p klienta, při masivním útoku i sama filtrace může vyústit v pád systému.

Nukes

Nukes jsou speciální pakety určené k zničení cílového počítače. Ne vždy je totiž pro DoS třeba server zahltit, občas se v něm nalézá chyba která zapříčiní pád při zpracování jediného paketu.

Typickým příkladem je WinNuke který využívá chybu v NetBIOS handleru v Windows 95.

Obrana

SYN-cookies

SYN Cookies vnitřně modifikují chování TCP protokolu tak, že k vlastním zdrojům serveru se přistupuje až po ověření platnosti adresy. Tímto postupem se dá velmi účinně předejít SYN Flood útoku. Implementace této obrany je běžná na Solaris a Linux systémech.

Firewall

Přestože obsahuje jednoduché procesy k blokování IP adres či celých protokolů, z logiky věci nemůže být účinný absolutně. Nemůžeme přece kompletně zablokovat port na kterém přichází i legitimní uživatelé.

Intrusion-prevention system

Je účinný pouze v případě že útok má shodný podpis (například část hlavičky) s již dříve provedeným útokem. Podle podpisu totiž může začít okamžitě filtrovat pokusy o DoS od normálního provozu na síti.

Externí odkazy

• W3C The World Wide Web Security FAQ
• cert.org - průvodce útoky DoS
• Linuxsecurity.com - článek o předcházením útokům DoS

Náklady na energie a provoz naší encyklopedie prudce vzrostly. Potřebujeme vaši podporu... Kolik ?? To je na Vás. Náš FIO účet — 2500575897 / 2010
Informace o článku. Článek je převzat z Wikipedie, otevřené encyklopedie, do které přispívají dobrovolníci z celého světa. Tento text je dostupný za podmínek Creative Commons 3.0 Unported – creativecommons.org. Originální článek na české Wikipedii