Denial of Service
Z Multimediaexpo.cz
Denial of Service (česky odmítnutí služby) nebo též Distributed Denial of Service (česky distribuované odmítnutí služby) je technika útoku na internetové služby nebo stránky, při níž dochází k přehlcení požadavky a pádu nebo minimálně nefunkčnosti a nedostupnosti pro ostatní uživatele.
Cíle takového útoku jsou v zásadě dva:
- Vnucení opakovaného resetu cílového počítače
- Narušení komunikace mezi serverem a obětí tak, aby jejich komunikace byla buď zcela nemožná, nebo alespoň velmi pomalá.
Obsah |
Projevy
United States Computer Emergency Readiness Team definuje příznaky DDoS útoku takto:
- Neobvyklé zpomalení služby (při otvírání souborů nebo prostém přístupu).
- Celková nedostupnost části nebo celých stránek.
- Nemožnost se ke stránkám připojit.
- Extrémní nárůst obdrženého spamu.
Splnění některých podmínek ale ještě neznamená DDoS útok, může jít o prostý výpadek zaviněný hardwarem nebo softwarem samotného serveru bez cizího zavinění.
Typy útoku
Všechny typy se vyznačují několika společnými charakteristikami:
- Zaplavení provozu na síti náhodnými daty které zabraňují protékání skutečných dat.
- Zabránění nebo přerušení konkrétnímu uživateli v přístupu ke službě.
- Narušení konfiguračního nastavení.
- Extrémnímu zatížení CPU cílového serveru.
- Vsunutím chybových hlášení do sekvence instrukcí které můžou vést k pádu systému.
- Pád samotného operačního systému.
ICMP floods
Smurf attack spočívá na chybné konfiguraci systému, který dovolí rozeslání paketů všem počítačům zapojených v síti přes Broadcast adresu. Pak stačí aby odeslaný paket měl dostatečnou velikost aby nebyl odfiltrován a všechny počítače v síti ho budou muset přijmout a zpracovat (zahodit).
Ping-flood stojí na zahlcení cílového počítače žádostmi o ping odezvu. Základním předpokladem je, že útočník má k dispozici rychlejší připojení k internetu s možností většího objemu dat. Tento druh útoku je nejjednodušší ve svém provedení, stačí použít „ping -t“ k odesílání nekonečného proudu žádostí.
SYN-flood zasílá záplavu TCP/SYN paketů s padělanou hlavičkou odesílatele. Každý takový paket je serverem přijat jako normální žádost o připojení. Server tedy odešle TCP/SYN-ACK packet a čeká na TCP/ACK. Ten ale nikdy nedorazí, protože hlavička odesílatele byla zfalšována. Takto polootevřená žádost nějakou dobu blokuje jiné, legitimní žádosti o připojení.
Teardrop útok
Tento typ útoku zahrnuje zaslání IP fragmentu s překrývajícím se příliš velkým nákladem dat na cílový počítač. Chyba v TCP/IP při přeskládání takového paketu může na starších Operačních systémech vést až k jejich pádu
Peer-to-peer útok
Jde o využití masivního zástupu lidí na P2P sítích. Prakticky jde o zneužití bugu v klientu (většinou se jako příklad uvádí DC++) k odpojení od stávajícího serveru a pokusu o připojení k oběti. Při dobře provedeném útoku může být oběť vystavena najednou až 750.000 žádosti o připojení. I když tento útok se dá snadno odfiltrovat pomocí identické hlavičky p2p klienta, při masivním útoku i sama filtrace může vyústit v pád systému.
Nukes
Nukes jsou speciální pakety určené k zničení cílového počítače. Ne vždy je totiž pro DoS třeba server zahltit, občas se v něm nalézá chyba která zapříčiní pád při zpracování jediného paketu.
Typickým příkladem je WinNuke který využívá chybu v NetBIOS handleru v Windows 95.
Obrana
SYN-cookies
SYN Cookies vnitřně modifikují chování TCP protokolu tak, že k vlastním zdrojům serveru se přistupuje až po ověření platnosti adresy. Tímto postupem se dá velmi účinně předejít SYN Flood útoku. Implementace této obrany je běžná na Solaris a Linux systémech.
Firewall
Přestože obsahuje jednoduché procesy k blokování IP adres či celých protokolů, z logiky věci nemůže být účinný absolutně. Nemůžeme přece kompletně zablokovat port na kterém přichází i legitimní uživatelé.
Intrusion-prevention system
Je účinný pouze v případě že útok má shodný podpis (například část hlavičky) s již dříve provedeným útokem. Podle podpisu totiž může začít okamžitě filtrovat pokusy o DoS od normálního provozu na síti.
Externí odkazy
- W3C The World Wide Web Security FAQ
- cert.org - průvodce útoky DoS
- Linuxsecurity.com - článek o předcházením útokům DoS
Náklady na energie a provoz naší encyklopedie prudce vzrostly. Potřebujeme vaši podporu... Kolik ?? To je na Vás. Náš FIO účet — 2500575897 / 2010 |
---|
Informace o článku.
Článek je převzat z Wikipedie, otevřené encyklopedie, do které přispívají dobrovolníci z celého světa. |