Co to jest atak DoS?
DOS to atak używany do odmawiania uprawnionym użytkownikom dostępu do zasobów, takich jak dostęp do strony internetowej, sieci, e-maili itp. Lub bardzo spowolnienia. DoS skrót D enial O f S erwis. Ten typ ataku jest zwykle realizowany poprzez uderzenie w docelowy zasób, taki jak serwer WWW, ze zbyt dużą liczbą żądań w tym samym czasie. Powoduje to, że serwer nie odpowiada na wszystkie żądania. Skutkiem tego może być awaria serwerów lub ich spowolnienie.
Odcięcie niektórych firm od Internetu może prowadzić do znacznych strat biznesowych lub finansowych. Internet i sieci komputerowe napędzają wiele firm. Niektóre organizacje, takie jak bramki płatnicze czy witryny handlu elektronicznego, są całkowicie zależne od Internetu.
W tym samouczku przedstawimy, czym jest atak typu „odmowa usługi”, jak jest wykonywany i jak można chronić się przed takimi atakami.
Tematy omówione w tym samouczku
- Rodzaje ataków DOS
- Jak działają ataki DoS
- Narzędzia do ataku DoS
- Ochrona DoS: Zapobiegaj atakowi
- Aktywność hakerska: Ping of Death
- Działania hakerskie: Rozpocznij atak DOS
Rodzaje ataków DOS
Istnieją dwa rodzaje ataków DOS, a mianowicie;
- DoS - ten typ ataku jest wykonywany przez jednego hosta
- Rozproszony atak DoS - ten typ ataku jest przeprowadzany przez kilka zaatakowanych maszyn, z których wszystkie są skierowane na tę samą ofiarę. Zasypuje sieć pakietami danych.
Jak działają ataki DoS
Przyjrzyjmy się, jak przeprowadzane są ataki DoS i zastosowane techniki. Przyjrzymy się pięciu typowym typom ataków.
Ping of Death
Polecenie ping jest zwykle używane do testowania dostępności zasobu sieciowego. Działa poprzez wysyłanie małych pakietów danych do zasobu sieciowego. Ping of death wykorzystuje to i wysyła pakiety danych powyżej maksymalnego limitu (65 536 bajtów), na jaki pozwala protokół TCP / IP. Fragmentacja TCP / IP dzieli pakiety na małe fragmenty, które są wysyłane do serwera. Ponieważ wysyłane pakiety danych są większe niż to, co może obsłużyć serwer, serwer może się zawiesić, zrestartować lub ulec awarii.
Smerf
Ten rodzaj ataku wykorzystuje duże ilości docelowego ruchu ping w protokole ICMP (Internet Control Message Protocol) pod adresem rozgłoszeniowym w Internecie. Adres IP odpowiedzi jest fałszywy do adresu zamierzonej ofiary. Wszystkie odpowiedzi są wysyłane do ofiary zamiast adresu IP używanego do pingów. Ponieważ pojedynczy adres rozgłoszeniowy w Internecie może obsługiwać maksymalnie 255 hostów, atak smerfowy wzmacnia pojedynczy ping 255 razy. Skutkiem tego jest spowolnienie sieci do punktu, w którym niemożliwe jest jej użycie.
Przepełnienie bufora
Bufor to tymczasowe miejsce przechowywania w pamięci RAM, które służy do przechowywania danych, dzięki czemu procesor może nimi manipulować przed zapisaniem ich z powrotem na dysk. Bufory mają limit rozmiaru. Ten typ ataku ładuje bufor większą ilością danych, które może pomieścić. Powoduje to przepełnienie bufora i uszkodzenie przechowywanych danych. Przykładem przepełnienia bufora jest wysyłanie e-maili z nazwami plików, które mają 256 znaków.
Łza
Ten typ ataku wykorzystuje większe pakiety danych. Protokół TCP / IP dzieli je na fragmenty, które są montowane na hoście odbierającym. Atakujący manipuluje przesyłanymi pakietami tak, aby zachodziły na siebie. Może to spowodować awarię docelowej ofiary podczas próby ponownego złożenia pakietów.
Atak SYN
SYN to skrót od Synchronizuj. Ten typ ataku wykorzystuje uzgadnianie trójetapowe do ustanowienia komunikacji przy użyciu protokołu TCP. Atak SYN polega na zalaniu ofiary niepełnymi wiadomościami SYN. Powoduje to, że zaatakowana maszyna przydziela zasoby pamięci, które nigdy nie są używane, i odmawia dostępu legalnym użytkownikom.
Narzędzia do ataku DoS
Poniżej przedstawiono niektóre narzędzia, których można użyć do przeprowadzania ataków DoS.
- Nemesy - to narzędzie może służyć do generowania losowych pakietów. Działa na oknach. To narzędzie można pobrać ze strony http://packetstormsecurity.com/files/25599/nemesy13.zip.html. Ze względu na naturę programu, jeśli masz program antywirusowy, najprawdopodobniej zostanie on wykryty jako wirus.
- Land and LaTierra - tego narzędzia można używać do fałszowania adresów IP i otwierania połączeń TCP
- Blast - to narzędzie można pobrać ze strony http://www.opencomm.co.uk/products/blast/features.php
- Panther - tego narzędzia można użyć do zalania sieci ofiary pakietami UDP.
- Botnety - to mnóstwo zainfekowanych komputerów w Internecie, które można wykorzystać do przeprowadzenia rozproszonego ataku typu „odmowa usługi”.
Ochrona DoS: Zapobiegaj atakowi
Organizacja może przyjąć następujące zasady, aby chronić się przed atakami typu „odmowa usługi”.
- Ataki takie jak SYN flooding wykorzystują błędy w systemie operacyjnym. Zainstalowanie poprawek zabezpieczeń może zmniejszyć ryzyko takich ataków.
- Systemy wykrywania włamań mogą również służyć do identyfikowania, a nawet powstrzymywania nielegalnych działań
- Zapory ogniowe mogą służyć do zatrzymywania prostych ataków DoS, blokując cały ruch przychodzący od atakującego poprzez identyfikację jego adresu IP.
- Routery można skonfigurować za pośrednictwem listy kontroli dostępu, aby ograniczyć dostęp do sieci i odrzucać podejrzany nielegalny ruch.
Aktywność hakerska: Ping of Death
Zakładamy, że do tego ćwiczenia używasz systemu Windows. Zakładamy również, że masz co najmniej dwa komputery w tej samej sieci. Ataki DOS są nielegalne w sieciach, do których nie masz uprawnień. Dlatego w tym ćwiczeniu musisz skonfigurować własną sieć.
Otwórz wiersz polecenia na komputerze docelowym
Wpisz polecenie ipconfig. Otrzymasz wyniki podobne do pokazanych poniżej
W tym przykładzie używamy szczegółów połączenia mobilnej sieci szerokopasmowej. Zanotuj adres IP. Uwaga: aby ten przykład był bardziej efektywny, musisz użyć sieci LAN.
Przełącz się na komputer, którego chcesz użyć do ataku, i otwórz wiersz polecenia
Będziemy pingować nasz komputer ofiary z nieskończonymi pakietami danych o wartości 65500
Wpisz następujące polecenie
ping 10.128.131.108 -t |65500
TUTAJ,
- „Ping” wysyła pakiety danych do ofiary
- „10.128.131.108” to adres IP ofiary
- „-T” oznacza, że pakiety danych powinny być wysyłane do momentu zatrzymania programu
- „-L” określa ładowanie danych, które mają zostać wysłane do ofiary
Otrzymasz wyniki podobne do pokazanych poniżej
Zalanie komputera docelowego pakietami danych nie ma większego wpływu na ofiarę. Aby atak był skuteczniejszy, należy zaatakować komputer docelowy za pomocą pingów z więcej niż jednego komputera.
Powyższy atak może zostać wykorzystany do ataku na routery, serwery internetowe itp.
Jeśli chcesz zobaczyć skutki ataku na komputer docelowy, możesz otworzyć menedżera zadań i przejrzeć działania sieciowe.
- Kliknij prawym przyciskiem myszy pasek zadań
- Wybierz uruchom menedżera zadań
- Kliknij kartę sieci
- Otrzymasz wyniki podobne do poniższych
Jeśli atak się powiedzie, powinieneś być w stanie zobaczyć zwiększoną aktywność sieciową.
Działania hakerskie: Rozpocznij atak DOS
W tym praktycznym scenariuszu użyjemy Nemesy do wygenerowania pakietów danych i zalania docelowego komputera, routera lub serwera.
Jak wspomniano powyżej, program antywirusowy Nemesy zostanie wykryty jako nielegalny program. W tym ćwiczeniu będziesz musiał wyłączyć program antywirusowy.
- Pobierz Nemesy z http://packetstormsecurity.com/files/25599/nemesy13.zip.html
- Rozpakuj go i uruchom program Nemesy.exe
- Otrzymasz następujący interfejs
Wprowadź docelowy adres IP, w tym przykładzie; użyliśmy docelowego adresu IP, którego użyliśmy w powyższym przykładzie.
TUTAJ,
- 0, ponieważ liczba pakietów oznacza nieskończoność . Możesz ustawić go na żądaną liczbę, jeśli nie chcesz wysyłać pakietów danych nieskończoności
- Pole rozmiaru określa bajty danych do wysłania, a opóźnienie określa przedział czasu w milisekundach.
Kliknij przycisk wysyłania
Powinieneś być w stanie zobaczyć następujące wyniki
Pasek tytułu pokaże liczbę wysłanych pakietów
Kliknij przycisk zatrzymania, aby zatrzymać wysyłanie pakietów danych przez program.
Możesz monitorować menedżera zadań komputera docelowego, aby zobaczyć działania w sieci.
Podsumowanie
- Celem ataku typu „odmowa usługi” jest odmowa uprawnionym użytkownikom dostępu do zasobów, takich jak sieć, serwer itp.
- Istnieją dwa rodzaje ataków: odmowa usługi i rozproszona odmowa usługi.
- Atak typu „odmowa usługi” można przeprowadzić za pomocą SYN Flooding, Ping of Death, Teardrop, Smurf lub Buffer overflow
- Poprawki zabezpieczeń dla systemów operacyjnych, konfiguracji routerów, zapór ogniowych i systemów wykrywania włamań mogą służyć do ochrony przed atakami typu „odmowa usługi”.