Leonid Shapiro. sisteme IT arhitect, MVP, MCT, MCSE, MCITP: EA, MCSE: S, MCSE: M, [email protected]
Atacurile DDoS
Partea 2. Arsenalul inamicului
În articolul precedent [1], am aflat că atacurile DoS / DDoS reprezintă una dintre cele mai grave amenințări la adresa securității informațiilor pentru o întreprindere modernă, indiferent de domeniul său de activitate.
Care sunt atacurile? Este necesar să se cunoască arsenalul mijloacelor răufăcătorilor pentru a învăța cum să le reziste. Clasificarea modernă prevede următoarele tipuri de atacuri DoS / DDoS [2]:
- Inundațiile în rețea sunt cea mai ușoară opțiune pentru un atacator. Nu este nevoie să instalați o sesiune TCP cu computerul victimei. Conduceți la epuizarea resurselor sistemului atacat sau la lățimea de bandă a canalului. Exemple de astfel de atacuri sunt inundațiile ICMP și UDP.
- Atacurile direcționate spre resurse server. De obicei, această opțiune este utilizată pentru a afecta serverele de aplicații. Exemplele sunt TCP-SYN, TCP-RST, TCP-ACK.
- Atacă resursele aplicațiilor. Trebuie remarcat faptul că acest lucru nu are doar impact asupra HTTP, dar și HTTPS, DNS, VOIP, SMTP, FTP și a altor protocoale de aplicație. Printre aceste atacuri se numără inundațiile HTTP, inundațiile DNS și așa mai departe.
- Scanarea. De fapt, în sine, scanarea la prima vedere pare inofensiv, din moment ce în sine nu este o problemă, dar, de fapt, este „inteligenta înainte de luptă,“ vă permite să găsiți informații care vă vor ajuta în viitor pentru a ataca sistemul.
- Atacuri mici de volum mic, așa-numitele Scăzut și Scăzut. Această opțiune reprezintă cel mai mare pericol datorat vizibilității reduse și perioadei îndelungate de creștere a efectelor maligne. De obicei, aici vorbim despre impactul asupra aplicațiilor și, uneori, asupra resurselor serverului.
- Atacurile complexe asupra aplicațiilor web. Aceste mecanisme exploatează vulnerabilitățile din aplicațiile web furnizate de dezvoltatori. Acest lucru duce la acces neautorizat la sistem, pierderi și modificări neautorizate ale datelor.
- Atacurile sub SSL - se înțelege că un atacator poate masca acțiunile sale distructive în traficul SSL, ceea ce complică foarte mult opoziția. Protocolul SSL funcționează pe lângă TCP / IP, asigurând securitatea schimbului de informații pentru utilizatori. Care sunt oportunitățile pentru intruși? Poti vorbi despre atacurile asupra instalației în sine procesul SSL de interacțiune (SSL strângere de mână), trimiterea de „junk“ de pachete de la server, sau abuzul de informații cheie potrivite funcții etc.
Exemple de atacuri de rețea
Scopul atacatorului este atins. Clienții reali nu pot trece prin. Acum, să vedem cum se întâmplă acest lucru în rețea.
Cum funcționează inundațiile ICMP
Figura 1. Atac de inundații ICMP
Cum funcționează inundațiile UDP?
După cum puteți vedea, nici ICMP, nici inundațiile UDP nu exploatează vulnerabilitățile sistemului, adică avem de-a face cu principiile standard ale pachetului TCP / IP. Prin urmare, un astfel de atac poate fi supus la absolut orice mediu.
Exemple de atacuri de tip server
Cum funcționează inundația TCP-SYN?
Să luăm în considerare un alt exemplu: permiteți-mi să luați o întâlnire cu un medic, iar pacienții ar trebui să vină și să ia un cupon pentru o anumită perioadă de timp. Cum va arăta atacul în acest caz? Un număr mare de oameni iau cupoane, alegând în acest fel resursele tot timpul și apoi nu vin nicăieri. Pacienții reali nu au fost acceptați deoarece nu se puteau înscrie. Acum, să vedem cum se va întâmpla acest lucru în rețea. Acest exemplu ilustrează funcționarea atacului SYN de inundații.
În aceste atacuri este utilizată o altă caracteristică a stivei de protocoale TCP / IP - necesitatea de a instala o sesiune TCP. Spre deosebire de UDP, unde nu este necesar, interacțiunea TCP necesită ca expeditorul să "negocieze" cu destinatarul înainte ca ceva să fie trimis. Pentru aceasta, se folosește mecanismul de confirmare în trei direcții în trei etape [4, 5]. Acesta funcționează după cum urmează: Clientul trimite un pachet SYN (Sincronizare), serverul răspunde cu un SYN-ACK (Sincronizați-Recunoașteți), clientul recunoaște pachet de recepție pachet SYN-ACK ACK (Confirmare). Aceasta finalizează procedura de configurare a conexiunii (a se vedea Figura 2).
Figura 2. Atacul de inundații SYN
Cum funcționează TCP-RESET?
În TCP / IP, acest atac se numește TCP-RESET [6, 7]. Sarcina sa este de a rupe interacțiunea dintre participanți.
Orice pachet TCP conține un antet. Printre altele, conține un pic de flag resetare (RST). De obicei, acest bit are o valoare zero, dar dacă este setat la 1, destinatarul trebuie să oprească imediat utilizarea acestei conexiuni. Acest mecanism este utilizat atunci când un defect apare pe un singur computer în timpul transferului de date. Al doilea calculator, fără să știe acest lucru, continuă să trimită informații. După restaurarea computerului vechi după un accident poate continua să primească pachete de conexiune vechi, dar din cauza lui nici o informație rămâne, nu este clar ce să facă cu ele. În această situație, la al doilea calculator va fi trimisă o solicitare de resetare (RESET). Apoi, puteți stabili o nouă conexiune.
Se pare că acest mecanism este necesar, dar această funcție poate fi folosită de atacator. Cum? Interceptați pachetele, confecționați pachetul și setați semnalul RESET în el, indicatorul de resetare. Apoi, trimiteți aceste pachete false participanților la interacțiune, ceea ce duce în cele din urmă la o întrerupere a sesiunii TCP între ele.
Exemple de atacuri asupra aplicațiilor
Cum funcționează fluxul HTTP
Cele mai frecvente aplicații de direcționare a atacurilor DDoS sunt inundațiile HTTP [2]. De obicei, este folosit de botnet, cu toate acestea, în atac ar putea ajunge pe și voluntari, de exemplu, atunci când este vorba de activități haktivistskoy vizate. Există variante de GET și POST. De fapt, ambele alternative vizează epuizarea resurselor aplicației web.
Figura 3. Atac de inundații HTTP
Cum funcționează fluxul DNS
Departe de acțiunile întotdeauna distructive ale atacatorului sunt vizate de anumite vulnerabilități ale sistemelor. Este posibil să se folosească comportamentul lor standard, ceea ce se numește funcționalitate "de design" [3]. Aceasta este ceea ce am putut vedea în exemplele de mai sus.
Desigur, atacatorul nu va folosi doar un atac (vector), ci va încerca să utilizeze mai multe simultan pentru a complica protecția sistemului.
În cele din urmă, un alt aspect și poate cel mai important - schimbarea atacului poate apărea în câteva minute sau chiar câteva secunde, deoarece atacatorii folosesc mijloace foarte sofisticate. Și dacă da, atunci nu „manual“ metode de protecție, ceea ce implică punerea în aplicare a identificării inițiale administrator de securitate al atacurilor, urmată de punerea în aplicare a măsurilor de contracarare pentru reflecție sale, nu va fi suficient de eficace. Atacatorul va putea schimba modul în care resursele victimei sunt afectate mai repede decât administratorul de securitate pentru a identifica și respinge atacul. Prin urmare, este necesar să oferim reflecție în modul automat.
În următorul articol, vom continua să analizăm opțiunile pentru atacurile DDoS.