Escolar Documentos
Profissional Documentos
Cultura Documentos
Um método comum de ataque envolve saturando a máquina de destino com pedidos externos de
comunicação, de tal forma que ele não consegue responder ao tráfego legítimo, ou responde tão
lentamente a ser prestado efetivamente indisponível. Em termos gerais, os ataques DoS são executados
por qualquer forçando o computador de destino (s) para redefinir, ou consumir seusrecursos para que ele
não pode mais prestar o serviço pretendido ou obstruir os meios de comunicação entre os usuários e
destina-se a vítima para que possam não comunicar adequadamente.
-De-ataques de negação de serviço são consideradas violações do IAB s ' utilização adequada política
de Internet , além de violar a política de uso aceitável de praticamente todos os provedores de
internet . Eles também comumente constituem uma violação das leis de cada nação. [ carece de fontes? ]
Conteúdo
[hide]
1 Sintomas e Manifestações
2 Métodos de ataque
o 2,1 inundação ICMP
o 2,2 ataques Teardrop
ataques de fome
o 2,7 Nuke
o 2,8 ataque Distributed
o 2,9 ataque Refletida
3 Incidentes
4 Executando-ataques DoS
5 Prevenção e resposta
o 5,1 Firewalls
o 5,2 Switches
o 5,3 Routers
o 5,7 blackholing e sinkholing
o 5,8 tubos Limpeza
o 6,1 Backscatter
7 Legalidade
8 Veja também
9 Notas e referências
10 Leitura adicional
11 Ligações externas
[ editar ]Sintomas e Manifestações
Os Estados Unidos Computer Emergency Response Team define sintomas de negação de serviço
ataques a incluir:
ataques de negação de serviço também pode levar a problemas em "ramos" da rede ao redor do
computador real que está sendo atacado.Por exemplo, a largura de banda de um roteador entre a
Internet ea uma rede local pode ser consumido por um ataque, prejudicando não só o computador
desejado, mas também toda a rede.
[ editar ]Métodos de ataque
A "negação de serviço" ataque é caracterizado por uma tentativa explícita por invasores para impedir
usuários legítimos de um serviço de usar esse serviço. Existem duas formas gerais de ataques DoS:
aqueles que os serviços de acidente e aqueles que os serviços de inundação. [3] Os ataques podem ser
dirigidos a qualquer dispositivo de rede, incluindo ataques a roteamento dispositivos e web , correio
electrónico , ou Domain Name System servidores .
Um ataque DoS pode ser perpetrado em uma série de maneiras. Os cinco tipos básicos de ataque
são: [ carece de fontes? ]
Ping da morte é baseada no envio de uma vítima malformado ping pacote, que poderá conduzir a uma
falha no sistema.
inundação SYN envia uma inundação de SYN / pacotes TCP, muitas vezes com um endereço de
remetente forjado. Cada um destes pacotes é tratado como um pedido de conexão, fazendo com que o
servidor para gerar uma conexão half-aberto , remetendo-lhe o TCP / ACK-pacotes SYN, ea espera para
um pacote em resposta a partir do endereço do remetente. No entanto, como o endereço do remetente é
forjado, a resposta nunca chega. Estas ligações semi-aberto saturar o número de conexões disponíveis
no servidor é capaz de fazer, mantendo-o de responder a solicitações legítimas, até depois do ataque
termina.
[ editar ] AtaquesTeardrop
Cerca de setembro de 2009, uma vulnerabilidade no Windows Vista era conhecido como um "ataque de
gota", mas o ataque teve como alvoSMB2 que é uma camada mais alta do que os pacotes TCP que
lágrima usado. [6] [7]
Embora os ataques peer-to-peer são fáceis de identificar com assinaturas, o grande número de
endereços IP que devem ser bloqueados (mais de 250.000 vezes durante o decurso de um ataque em
grande escala) significa que este tipo de ataque pode sobrepujar as defesas de mitigação. Mesmo se um
dispositivo de atenuação pode manter o bloqueio de endereços IP, existem outros problemas a
considerar. Por exemplo, há um breve momento em que a conexão é aberta no lado do servidor antes da
assinatura se passa. Somente depois que a conexão é aberta para o servidor pode identificar a
assinatura ser enviado e detectado ea conexão demolido. Mesmo derrubar conexões leva os recursos do
servidor e pode prejudicar o servidor.
Esse método de ataque pode ser evitada através da especificação do protocolo peer-to-peer que os
portos são permitidos ou não. Se a porta 80 não é permitido, as possibilidades de ataque a sites podem
ser muito limitado.
Um ataque pode utilizar uma combinação desses métodos, a fim de ampliar seu poder.
O DOP é um ataque de hardware puro específicas que podem ser muito mais rápido e exige menos
recursos do que utilizando uma botnet em um ataque DDoS. Por causa dessas características, e os e
alta probabilidade potencial de falhas de segurança em redes habilitado Embedded Devices
(necessidades), esta técnica tem vindo a atenção de numerosos hacker comunidades. PhlashDance é
uma ferramenta criada por Rich Smith [10] (um empregado de-Packard Hewlett Systems Security Lab)
usado para detectar e demonstrar as vulnerabilidades DOP em 2008 EUSecWest Aplicada Conferência
de Segurança em Londres. [10]
Outros tipos de DoS confiar principalmente na força bruta, inundando o alvo com um fluxo enorme de
pacotes, saturar sua conexão banda larga ou esgotar recursos do alvo do sistema. Saturando-enchentes
Banda invocar o atacante ter maior largura de banda disponível do que a vítima, uma forma comum de
alcançar este objectivo, hoje, é através de negação de serviço distribuída, utilizando uma botnet . Outras
inundações podem usar tipos de pacotes específicos ou pedidos de ligação para saturar os recursos
finitos, por exemplo, o número máximo de ocupação de conexões abertas ou preencher o espaço da
vítima disco com logs.
Um "ataque banana" é outro tipo de DoS. Trata-se de redirecionar as mensagens enviadas a partir do
cliente de volta para o cliente, impedindo o acesso do exterior, bem como a inundar o cliente com os
pacotes enviados.
Um invasor com acesso à vítima um computador pode retardá-la até que ela seja inutilizável ou jogá-lo
usando uma bomba de garfo .
[ editar ]Nuke
Um exemplo específico de um ataque nuclear que ganhou algum destaque é o WinNuke , que explorava
a vulnerabilidade no NetBIOSmanipulador no Windows 95 . Uma seqüência de fora da banda de dados
foi enviado para TCP porta 139 de vítima a máquina, fazendo com que ele trava e exibe uma tela azul da
morte (BSOD).
[ editar ]ataque Distributed
Um ataque distribuído de negação de serviço (DDoS) ocorre quando múltiplos sistemas inundar a largura
de banda ou recursos de um sistema segmentado, geralmente um ou mais servidores web. Estes
sistemas são comprometidos por hackers, usando uma variedade de métodos.
Malware pode levar mecanismos de ataque DDoS, um dos mais conhecidos exemplos disto
foi MyDoom . Seu mecanismo de negação de serviço foi acionado em uma determinada data e
hora. Este tipo de DDoS envolvidos codificar o endereço IP alvo antes do lançamento do malware e
nenhuma interação adicional foi necessário lançar o ataque.
Um sistema também pode ser comprometida com um trojan , permitindo que o atacante para fazer o
download de um agente de zumbis (ou pode conter um trojan). Os invasores também podem invadir
sistemas usando ferramentas automatizadas que exploram falhas em programas que escutam conexões
de hosts remotos. Este cenário principalmente relacionada aos sistemas que atuam como servidores na
internet.
Stacheldraht é um exemplo clássico de uma ferramenta de DDoS. Ele utiliza uma estrutura em camadas,
onde o atacante usa um programa cliente para se conectar manipuladores, que são comprometidos os
sistemas que emitir comandos para o agente de zumbis , o que facilitaria o ataque DDoS. Os agentes
são comprometidos via os manipuladores pelo atacante, por meio de rotinas automatizadas para
explorar vulnerabilidades em programas que aceitar conexões remotas rodando no hosts-alvo
remoto. Cada condutor pode controlar até mil agentes. [11]
ataques simples, tais como inundações SYN pode aparecer com uma vasta gama de endereços IP de
origem, dando a aparência de um DDoS bem distribuída. Estes ataques de inundação não exigem a
conclusão do TCP handshake de três vias e tentar esgotar o destino SYN fila ou a largura de banda do
servidor. Como o endereço IP de origem pode ser trivialmente falsa, um ataque pode vir de um conjunto
limitado de fontes, ou pode ter se originado a partir de um único hospedeiro. melhorias Stack como syn
cookies podem ser de mitigação eficazes contra SYN Flood fila, largura de banda completa exaustão no
entanto, pode exigir o envolvimento
Ao contrário de DDoS mecanismo MyDoom, botnets pode se voltar contra qualquer endereço IP. script
kiddies usam para negar a existência de conhecidos sites bem aos usuários legítimos. [12] Mais atacantes
sofisticados utilizam ferramentas DDoS para fins de extorsão - mesmo contra as empresas rivais
suas . [13]
É importante observar a diferença entre um ataque DoS e DDoS. Se um atacante monta um ataque a
partir de um único hospedeiro seria classificado como um ataque DoS. De fato, qualquer ataque contra a
disponibilidade seria classificado como um ataque de negação de serviço. Por outro lado, se um invasor
usa um mil sistemas ao mesmo tempo, lançar ataques smurf contra um host remoto, este seria
classificado como um ataque DDoS.
As principais vantagens para o invasor de usar um distribuídos de negação de serviço ataque é que
várias máquinas pode gerar mais tráfego do ataque de uma máquina, máquinas de ataque múltiplo são
mais difíceis de desligar de uma máquina de ataque, e que o comportamento de cada máquina de
ataque pode ser furtivos, tornando mais difícil de rastrear e desligar. Estas vantagens atacante causar
desafios para os mecanismos de defesa. Por exemplo, simplesmente comprar mais largura de banda de
entrada que o volume atual de que o ataque pode não ajudar, porque o atacante pode ser capaz de
simplesmente adicionar mais máquinas ataque.
Note-se que, em alguns casos, uma máquina pode se tornar parte de um ataque DDoS, com o
consentimento do proprietário. Um exemplo disso é o 2010 de ataque DDoS contra empresas de cartão
de crédito por apoiantes do WikiLeaks . Em casos como este, os apoiantes de um movimento (neste
caso, aqueles que são contra a prisão do fundador do WikiLeaks Julian Assange ) escolher para fazer o
download e executar o software DDoS.
[ editar ]refletido ataque
Um ataque distribuído de negação de serviço ataque refletida (DRDoS) envolve o envio de falsos
pedidos de algum tipo para um grande número de computadores que irá responder aos
pedidos. Usando spoofing de protocolo de Internet , o endereço de origem é definido como o da vítima-
alvo, o que significa que todas as respostas vão para (e de inundação) do alvo.
ICMP Echo Request ataques ( Smurf Attack ) pode ser considerado uma forma de ataque refletida, como
o anfitrião alagamento (s) enviar solicitações de eco para o endereço de broadcast de redes mal-
configuradas, assim, atraindo muitos hosts para enviar pacotes de resposta de eco para a vítima. Alguns
DDoS primeiros programas implementados de forma distribuída deste ataque.
Muitos serviços podem ser explorados para atuar como refletores, alguns mais difícil de bloquear do que
outros. [14] amplificação ataques DNS envolvem um novo mecanismo que aumentou o efeito de
amplificação, usando uma lista muito maior de servidores DNS que vimos anteriormente. [15]
Um exemplo disso ocorreu quando Michael Jackson morreu em 2009. Sites como o Google eo Twitter
abrandado, ou mesmo deixado de funcionar. [19] 'sites servidores Muitos pensaram que os pedidos eram
de um vírus ou spyware tentando causar um ataque de Negação de Serviço, alerta os usuários que suas
consultas parecia "solicitações automatizadas de um computador vírus ou aplicativo spyware ". [20]
Os sites de notícias e sites de link - sites, cuja função principal é fornecer links para conteúdos
interessantes em outros lugares na Internet - são mais susceptíveis de causar este fenômeno. O
exemplo canônico é o efeito Slashdot . Sites como o Digg , o Drudge Report , Fark ,Something Awful eo
webcomic Penny Arcade têm seus próprios correspondentes "efeitos", conhecido como "efeito Digg",
sendo "drudged", "farking", "goonrushing" e "wanging ", respectivamente.
Roteadores também têm sido conhecidos para criar ataques DoS não intencionais, como ambos da D-
Link e Netgear routers criaram NTP vandalismo pelas inundações servidores NTP sem respeitar as
restrições de tipos de cliente ou limitações geográficas.
Similar recusas não intencional de serviço também pode ocorrer através de outras mídias, por exemplo,
quando uma URL é mencionado na televisão. Se um servidor está sendo indexado pelo Google ou
outro motor de busca durante os períodos de pico de atividade, ou não tem muita largura de banda
disponível ao ser indexada, também pode experimentar os efeitos de um ataque DoS.
ação jurídica foi tomada em pelo menos um desses casos. Em 2006, a Universal Tube & Rollform
Equipment Corporation processou o YouTube : um número maciço de que seriam os usuários
youtube.com acidentalmente digitou tubo empresa URL, utube.com. Como resultado, a empresa de
tubos acabou tendo que gastar grandes quantias de dinheiro na modernização sua largura de banda. [21]
[ editar ]Denial-of-Service Level II
O objetivo da negação de L2 (possivelmente DDoS) é fazer com que um lançamento de um mecanismo
de defesa que bloqueia o segmento de rede a partir do qual o ataque se originou. Em caso de ataque
distribuído ou modificação de cabeçalho IP (que depende do tipo de comportamento de segurança) que
irá bloquear totalmente a rede de atacado de Internet, mas sem quebra do sistema.
[ editar ]Incidentes
O primeiro ataque grave envolvendo servidores de DNS como refletores ocorreu em janeiro de
2001. O alvo era Register.com. [23] Este ataque, que forjou os pedidos de registros MX da AOL . com
(para amplificar o ataque) durou cerca de uma semana antes que pudesse ser rastreada para todos
os hosts atacar e desligar. É utilizada uma lista de dezenas de milhares de registros de DNS que
foram um ano de idade no momento do ataque.
Em duas ocasiões, até à data, os atacantes têm realizado ataques DDoS Backbone DNS nos
servidores DNS raiz. Dado que estas máquinas se destinam a prestar serviços a todos os usuários
da Internet, estes dois ataques de negação de serviço pode ser classificada como tentativa de
derrubar toda a Internet, embora não esteja claro quais as motivações dos atacantes foram
verdadeiras. O primeiro ocorreu em outubro de 2002 e interrompido serviço em 9 dos 13 servidores
raiz. A segunda ocorreu em fevereiro de 2007 e causou rupturas em dois dos servidores raiz. [25]
Em fevereiro de 2007, mais de 10.000 servidores de jogos online em jogos como o Return to
Castle Wolfenstein , Halo , Counter-Strike e muitos outros foram atacados pelos RUS grupo de
hackers. O ataque DDoS foi feita a partir de mais de mil unidades de computadores localizados nas
repúblicas da antiga União Soviética , principalmente a partir da
Rússia , Uzbequistão e Belarus . Menor ataques ainda continuam a ser feita hoje. [ carece de fontes? ]
Nas semanas que antecederam a cinco dias de guerra na Ossétia do Sul 2008 , um ataque
DDoS direcionado aos sites do governo da Geórgia contendo a mensagem: "ganhe + amor + na +
Rusia" efetivamente sobrecarregado e fechar vários servidores georgianos. Sites segmentados
incluídos no site do presidente georgiano , Mikhail Saakashvili , inoperável por 24 horas, eo Banco
Nacional da Geórgia.Embora a suspeita pesada foi colocada sobre a Rússia de orquestrar o ataque
através de um proxy, o Saint-Petersburg gangue criminosa baseada conhecida como Russian
Business Network, ou RBN, o governo russo negou as acusações, afirmando que era possível que
os indivíduos na Rússia ou outra parte tinha se encarregado de iniciar os ataques. [26]
Durante o 2009 protestos eleição iraniana , ativistas estrangeiros que queiram ajudar a oposição
envolvidos em ataques DDoS contra o governo iraniano. O site oficial do governo iraniano
( ahmedinejad.ir ) foi tornado inacessível por diversas vezes. [27] Os críticos alegaram que a DDoS
ataques também cortar acesso à Internet para os manifestantes dentro do Irã, ativistas respondeu
que, enquanto este pode ter sido verdade, a ataques continuam a impedir o presidente Mahmoud
Ahmadinejad é o governo 'o suficiente para ajudar a oposição.
várias ondas de julho 2009 cyber ataques alvejaram uma série de sites importantes na Coreia do
Sul e os Estados Unidos . O atacante usou botnet e arquivo de atualização através da internet é
conhecido por ajudar a sua propagação. Como se vê, um trojan computador foi codificado para
procurar bots existentes MyDoom. MyDoom era um worm em 2004 e, em julho próximo 20.000-
50.000 estavam presentes. MyDoom tem um backdoor, que o DDoS bot pode explorar. Desde então,
o DDoS bot removido em si, e completamente formatado o disco rígido . A maioria dos bots originária
da China e Coréia do Norte.
[ editar ]Prevenção e resposta
[ editar ]Firewalls
Firewalls ter regras simples, como para permitir ou negar protocolos, portas ou endereços
IP. Alguns ataques DoS são demasiado complexas para firewalls de hoje, por exemplo, se houver
um ataque ao porto (web service) 80, os firewalls não podem impedir que o ataque, porque eles
não conseguem distinguir o bom tráfego de tráfego de ataque DoS. Além disso, os firewalls são
muito profundas na hierarquia da rede. Os roteadores podem ser afetadas antes mesmo do firewall
recebe o tráfego. No entanto, os firewalls podem eficazmente impedir que os usuários de lançar
ataques do tipo simples inundação de máquinas atrás do firewall.
Alguns stateful firewalls , como é pF OpenBSD, pode agir como um proxy para conexões: o aperto
de mão foi validado (com o cliente) ao invés de simplesmente encaminhar os pacotes para o
destino. Ele está disponível para BSDs outros também. Nesse contexto, é chamado de
"synproxy". [39]
[ editar ]Muda
Estes regimes de trabalho, enquanto os ataques DoS são algo que pode ser prevenida por usá-
los. Por exemplo SYN podem ser evitadas com atraso de emenda vinculativa ou TCP. Da mesma
forma o conteúdo DoS base podem ser evitadas com inspeção profunda de pacotes.Ataques
provenientes de endereços escuro ou ir aos endereços escuras podem ser evitados com a
utilização Bogon filtragem. Automática de taxa de filtração pode trabalhar enquanto tiver definido
taxa limiares corretamente e granular. -Failover link Wan vai trabalhar, enquanto ambos os links
têm DoS / DDoS mecanismo de prevenção. [ carece de fontes? ]
[ editar ]Routers
Um ASIC IPS baseado pode detectar e bloquear ataques de negação de serviço, porque eles têm
o poder de processamento ea granularidade para analisar os ataques e age como um disjuntor de
forma automatizada. [ carece de fontes? ]
[ editar ]blackholing e sinkholing
Com blackholing, todo o tráfego para o DNS atacado ou endereço IP é enviado para um "buraco
negro" (interface nulo, servidor inexistente, ...). Para ser mais eficiente e evitar que afectam a sua
conectividade de rede, pode ser gerido pelo ISP. [41]
Sinkholing rotas para um endereço IP válido, que analisa o tráfego e rejeitar as más. Sinkholing não
é eficiente para a maioria das crises graves.
[ editar ]tubos Limpeza
Todo o tráfego é passado através de um "centro de limpeza" através de um proxy, que separa o
tráfego "ruim" (DDoS e também outros ataques comuns da Internet) e somente envia o tráfego para
além de bom para o servidor. O provedor de necessidades de conectividade à Internet central para
gerir este tipo de serviço. [42]
[ editar ]Legalidade
Em os EUA, pode haver um crime federal grave nos termos da Fraude Informática e Lei do
Abuso de sanções que incluem anos de prisão.Muitos outros países têm leis semelhantes. [ carece de
fontes? ]