Ataque de negação de serviço

Origem: Wikipédia, a enciclopédia livre

"DoS" redireciona para cá. Para outros usos, veja DOS (desambiguação)  .

DDoS Attack Stacheldraht diagrama.

A negação de serviço ataque (ataque DoS) ou distribuídos de negação de serviço ataque (ataque

DDoS) é uma tentativa de fazer um recurso de computador disponível para os seus usuários. Embora os
meios para realizar, por motivos e alvos de um ataque de negação de serviço pode variar, geralmente
consiste de um esforço concertado de uma pessoa ou pessoas para evitar
uma Internet site ou serviço de forma eficiente funcionamento ou no todo, temporária ou
indefinidamente. Os autores de ataques DoS geralmente alvo sites ou serviços hospedados em alto
perfil servidores web , tais como bancos, cartão de crédito gateways de pagamento, e até
mesmo servidores de nomes raiz . O termo é geralmente usado com relação a redes de computadores ,
mas não se limita a esse campo, por exemplo, também é usado em referência aCPU gestão de
recursos. [1]

Um método comum de ataque envolve saturando a máquina de destino com pedidos externos de
comunicação, de tal forma que ele não consegue responder ao tráfego legítimo, ou responde tão
lentamente a ser prestado efetivamente indisponível. Em termos gerais, os ataques DoS são executados
por qualquer forçando o computador de destino (s) para redefinir, ou consumir seusrecursos para que ele
não pode mais prestar o serviço pretendido ou obstruir os meios de comunicação entre os usuários e
destina-se a vítima para que possam não comunicar adequadamente.

-De-ataques de negação de serviço são consideradas violações do IAB s ' utilização adequada política
de Internet , além de violar a política de uso aceitável de praticamente todos os provedores de
internet . Eles também comumente constituem uma violação das leis de cada nação. [ carece de fontes? ]
 Conteúdo 
[hide]

1 Sintomas e Manifestações

2 Métodos de ataque

o 2,1 inundação ICMP

o 2,2 ataques Teardrop

o 2.3-to-peer ataques dos colegas

o 2,4 Assimetria de utilização de recursos nos

ataques de fome

o 2,5 Permanente-de-ataques de negação de serviço

o 2.6-inundações a nível da aplicação

o 2,7 Nuke

o 2,8 ataque Distributed

o 2,9 ataque Refletida

o 2.10-de-ataques do serviço Degradação

o 2,11 negação de serviço não intencional

o 2,12 de Serviço Nível II Negação

o 2,13 negação de serviço Blind

3 Incidentes

4 Executando-ataques DoS

5 Prevenção e resposta

o 5,1 Firewalls

o 5,2 Switches

o 5,3 Routers

o 5,4 aplicativo front-end hardware

o 5,5 IPS prevenção baseados

o 5,6 prevenção pró-ativa através de testes

o 5,7 blackholing e sinkholing

o 5,8 tubos Limpeza

6 efeitos colaterais dos ataques DoS

o 6,1 Backscatter

7 Legalidade

8 Veja também

9 Notas e referências

10 Leitura adicional
 11 Ligações externas

[ editar ]Sintomas e Manifestações
Os Estados Unidos Computer Emergency Response Team define sintomas de negação de serviço
ataques a incluir:

 Extraordinariamente lento o desempenho da rede (abrir arquivos ou sites de acesso)

 Indisponibilidade de um determinado site
 Impossibilidade de acessar qualquer site da web
 Aumento dramático no número de spams recebidos (este tipo de ataque DoS é considerada
uma bomba-correio electrónico ) [2]

ataques de negação de serviço também pode levar a problemas em "ramos" da rede ao redor do
computador real que está sendo atacado.Por exemplo, a largura de banda de um roteador entre a
Internet ea uma rede local pode ser consumido por um ataque, prejudicando não só o computador
desejado, mas também toda a rede.

Se o ataque é realizado em uma escala suficientemente grande, toda as regiões geográficas de

conectividade à Internet podem ser comprometidos sem o conhecimento do atacante ou intenção por
equipamento configurado incorretamente ou frágil rede de infra-estrutura.

[ editar ]Métodos de ataque
A "negação de serviço" ataque é caracterizado por uma tentativa explícita por invasores para impedir
usuários legítimos de um serviço de usar esse serviço. Existem duas formas gerais de ataques DoS:
aqueles que os serviços de acidente e aqueles que os serviços de inundação. [3] Os ataques podem ser
dirigidos a qualquer dispositivo de rede, incluindo ataques a roteamento dispositivos e web , correio
electrónico , ou Domain Name System servidores .

Um ataque DoS pode ser perpetrado em uma série de maneiras. Os cinco tipos básicos de ataque
são: [ carece de fontes? ]

1. Consumo de recursos computacionais, tais como largura de banda, espaço em disco

ou processador tempo.
2. Rompimento de informações de configuração, tais como encaminhamento de informações.
3. Rompimento de informações do estado, como a redefinição não solicitadas de sessões TCP.
4. Rompimento de componentes de rede física.
5. Obstruir a mídia de comunicação entre os usuários e destina-se à vítima para que eles não
podem mais se comunicar de forma adequada.

Um ataque de negação de serviço pode incluir a execução de malware destina-se a: [ carece de fontes? ]

 Max o processador é o uso, impedindo qualquer trabalho ocorra.
 erros Trigger no microcódigo da máquina.
 Trigger erros no seqüenciamento de instruções, de modo a forçar o computador em um estado
instável ou lock-up.
 Exploit erros no sistema operacional, causando esgotamento de recursos e / ou debulha , ou
seja, usar de todos os recursos disponíveis de forma que nenhum trabalho real pode ser realizado.
 Bater o próprio sistema operacional.
[ editar ]inundação ICMP
Veja também: ataque Smurf  , Ping inundação  , Ping da morte , e  inundação de SYN

Um ataque smurf é uma variante específica de um ataque de negação de alagamento na Internet

pública. Ele se baseia em dispositivos de rede mal configurados que permitem que os pacotes sejam
enviados para todos os hosts do computador em uma rede particular, através doendereço de
broadcast da rede, ao invés de uma máquina específica. A rede então serve como um amplificador de
Smurf. Nesse ataque, os agressores vão enviar um grande número de IP de pacotes com o endereço de
origem falsificada para parecer ser o endereço da vítima. rede de banda A se esgota rapidamente,
evitando que os pacotes legítima de obter através do seu destino. [4] Para combater ataques de negação
de serviço na Internet, serviços como o amplificador de Smurf Secretaria deram prestadores de serviço
de rede a habilidade de identificar redes errada e tomar as medidas necessárias, tais como filtragem .

inundação Ping é baseada no envio da vítima um número esmagador de ping pacotes, geralmente

usando o comando "ping" de máquinas Unix-like (flag-t sobre Windows sistemas tem uma função muito
menos malignos). É muito simples para o lançamento, a exigência principal sendo o acesso a uma
maior largura de banda que a vítima.

Ping da morte é baseada no envio de uma vítima malformado ping pacote, que poderá conduzir a uma
falha no sistema.

inundação SYN envia uma inundação de SYN / pacotes TCP, muitas vezes com um endereço de
remetente forjado. Cada um destes pacotes é tratado como um pedido de conexão, fazendo com que o
servidor para gerar uma conexão half-aberto , remetendo-lhe o TCP / ACK-pacotes SYN, ea espera para
um pacote em resposta a partir do endereço do remetente. No entanto, como o endereço do remetente é
forjado, a resposta nunca chega. Estas ligações semi-aberto saturar o número de conexões disponíveis
no servidor é capaz de fazer, mantendo-o de responder a solicitações legítimas, até depois do ataque
termina.

[ editar ] AtaquesTeardrop

Um ataque Teardrop envolve o envio desconfigurado IP com sobreposição de fragmentos, de tamanho

cargas para a máquina de destino.Isso pode falhar vários sistemas operacionais devido a um bug no
seu TCP / IP fragmentação remontagem código. [5] Windows 3.1x ,Windows 95 e Windows NT sistemas
operacionais, bem como versões de Linux antes de versões 2.0.32 e 2.1 0,63 são vulneráveis a esse
ataque.

Cerca de setembro de 2009, uma vulnerabilidade no Windows Vista era conhecido como um "ataque de
gota", mas o ataque teve como alvoSMB2 que é uma camada mais alta do que os pacotes TCP que
lágrima usado. [6] [7]

[ editar]-to-peerataques dos colegas

Crackers descobriram uma maneira de explorar uma série de erros no peer-to-peer servidores para
iniciar ataques DDoS. Os mais agressivos destes peer-to-peer-ataques DDoS explora DC + + . -To-peer
ataques dos colegas são diferentes das normais botnet baseados ataques. Com peer-to-peer não há
botnet eo atacante não tem para se comunicar com os clientes que ele subverte. Em vez disso, o
atacante age como um "mestre das marionetes", instruindo os clientes de grandes peer-to-peer de
compartilhamento de arquivos hubs para desconectar seu-to-peer peer e para se conectar ao site da
vítima, em vez disso. Como resultado, milhares de computadores podem agressivamente tentar se
conectar a um site alvo. Enquanto um servidor de web típica pode lidar com algumas centenas de
conexões por segundo antes que o desempenho começa a degradar, a maioria dos servidores web
falhar quase instantaneamente com menos de cinco ou seis mil ligações por segundo. Com uma grande
moderadamente peer-to-peer de ataque, um site poderia ser atingido com até 750.000 conexões na
ordem curta. O servidor web orientadas será ligado pela conexões de entrada.

Embora os ataques peer-to-peer são fáceis de identificar com assinaturas, o grande número de
endereços IP que devem ser bloqueados (mais de 250.000 vezes durante o decurso de um ataque em
grande escala) significa que este tipo de ataque pode sobrepujar as defesas de mitigação. Mesmo se um
dispositivo de atenuação pode manter o bloqueio de endereços IP, existem outros problemas a
considerar. Por exemplo, há um breve momento em que a conexão é aberta no lado do servidor antes da
assinatura se passa. Somente depois que a conexão é aberta para o servidor pode identificar a
assinatura ser enviado e detectado ea conexão demolido. Mesmo derrubar conexões leva os recursos do
servidor e pode prejudicar o servidor.

Esse método de ataque pode ser evitada através da especificação do protocolo peer-to-peer que os
portos são permitidos ou não. Se a porta 80 não é permitido, as possibilidades de ataque a sites podem
ser muito limitado.

[ editar ]Assimetria da utilização de recursos em ataques de fome

Um ataque que é sucesso na consumindo recursos no computador da vítima devem ser:

 realizado por um atacante com grandes recursos, por meio de:

 controlar um computador com grande poder de computação ou, mais comumente, a
largura de banda larga
  controlar um grande número de computadores e direcioná-los para atacar como um
grupo. Um ataque DDoS é o principal exemplo disso.
 aproveitando uma propriedade do sistema operacional ou aplicações no sistema da vítima, que
permite um consumo de ataque muito mais vítima de recursos do que a do atacante (um ataque
assimétrico). Smurf ataque , SYN , e nafta são todos os ataques assimétricos.

Um ataque pode utilizar uma combinação desses métodos, a fim de ampliar seu poder.

[ editar ]de negação de serviço ataques Permanente

Uma permanente de negação de serviço (DOP), também conhecido vagamente como phlashing, [8] é um
ataque que danifica um sistema tão mal que requer a substituição ou reinstalação de hardware. [9] Ao
contrário do ataque de negação de serviço distribuída , um ataque explora DOP falhas de segurança que
permite a administração remota sobre as interfaces de gerenciamento de hardware da vítima, tais como
roteadores, impressoras ou outros equipamentos de rede . O invasor usa essas vulnerabilidades para
substituir um dispositivo de firmwarecom uma versão modificada, ou com defeito de firmware da imagem,
corrupto, um processo que, quando feito legitimamente é conhecida como a piscar. Este, portanto,
" tijolos "do dispositivo, tornando-o inutilizável para sua finalidade original até que ele possa ser reparado
ou substituído.

O DOP é um ataque de hardware puro específicas que podem ser muito mais rápido e exige menos
recursos do que utilizando uma botnet em um ataque DDoS. Por causa dessas características, e os e
alta probabilidade potencial de falhas de segurança em redes habilitado Embedded Devices
(necessidades), esta técnica tem vindo a atenção de numerosos hacker comunidades. PhlashDance é
uma ferramenta criada por Rich Smith [10] (um empregado de-Packard Hewlett Systems Security Lab)
usado para detectar e demonstrar as vulnerabilidades DOP em 2008 EUSecWest Aplicada Conferência
de Segurança em Londres. [10]

[ editar]-inundaçõesa nível da aplicação

No IRC , IRC enchentes são um problema comum de guerra eletrônica arma.

DoS Vários causadores de façanhas como buffer overflow pode causar servidor executando o software a

ficar confuso e preencha o espaço em disco ou consumir toda a memória disponível ou o tempo de
CPU .

Outros tipos de DoS confiar principalmente na força bruta, inundando o alvo com um fluxo enorme de
pacotes, saturar sua conexão banda larga ou esgotar recursos do alvo do sistema. Saturando-enchentes
Banda invocar o atacante ter maior largura de banda disponível do que a vítima, uma forma comum de
alcançar este objectivo, hoje, é através de negação de serviço distribuída, utilizando uma botnet . Outras
inundações podem usar tipos de pacotes específicos ou pedidos de ligação para saturar os recursos
finitos, por exemplo, o número máximo de ocupação de conexões abertas ou preencher o espaço da
vítima disco com logs.
Um "ataque banana" é outro tipo de DoS. Trata-se de redirecionar as mensagens enviadas a partir do
cliente de volta para o cliente, impedindo o acesso do exterior, bem como a inundar o cliente com os
pacotes enviados.

Um invasor com acesso à vítima um computador pode retardá-la até que ela seja inutilizável ou jogá-lo
usando uma bomba de garfo .

[ editar ]Nuke

Um Nuke é um ataque de negação de serviço de idade contra redes de computadores consiste

fragmentada ou inválida ICMP pacotes enviados para o destino, conseguido através de uma
modificação ping utilitário para enviar os dados várias vezes corruptos, diminuindo o computador afetado
até que chegue a uma paragem completa.

Um exemplo específico de um ataque nuclear que ganhou algum destaque é o WinNuke , que explorava
a vulnerabilidade no NetBIOSmanipulador no Windows 95 . Uma seqüência de fora da banda de dados
foi enviado para TCP porta 139 de vítima a máquina, fazendo com que ele trava e exibe uma tela azul da
morte (BSOD).

[ editar ]ataque Distributed
Um ataque distribuído de negação de serviço (DDoS) ocorre quando múltiplos sistemas inundar a largura
de banda ou recursos de um sistema segmentado, geralmente um ou mais servidores web. Estes
sistemas são comprometidos por hackers, usando uma variedade de métodos.

Malware pode levar mecanismos de ataque DDoS, um dos mais conhecidos exemplos disto
foi MyDoom . Seu mecanismo de negação de serviço foi acionado em uma determinada data e
hora. Este tipo de DDoS envolvidos codificar o endereço IP alvo antes do lançamento do malware e
nenhuma interação adicional foi necessário lançar o ataque.

Um sistema também pode ser comprometida com um trojan , permitindo que o atacante para fazer o
download de um agente de zumbis (ou pode conter um trojan). Os invasores também podem invadir
sistemas usando ferramentas automatizadas que exploram falhas em programas que escutam conexões
de hosts remotos. Este cenário principalmente relacionada aos sistemas que atuam como servidores na
internet.

Stacheldraht é um exemplo clássico de uma ferramenta de DDoS. Ele utiliza uma estrutura em camadas,
onde o atacante usa um programa cliente para se conectar manipuladores, que são comprometidos os
sistemas que emitir comandos para o agente de zumbis , o que facilitaria o ataque DDoS. Os agentes
são comprometidos via os manipuladores pelo atacante, por meio de rotinas automatizadas para
explorar vulnerabilidades em programas que aceitar conexões remotas rodando no hosts-alvo
remoto. Cada condutor pode controlar até mil agentes. [11]

Essas coleções de conciliadores sistemas são conhecidos como botnets . ferramentas como o DDoS

stacheldraht ainda usam métodos de ataque DoS clássico centrado em IP spoofing e ampliação,
como ataques smurf e ataques fraggle (estes também são conhecidos como ataques de consumo de
banda). inundações SYN (também conhecidos como ataques de esgotamento de recursos) podem
também ser usados. Novas ferramentas podem usar servidores DNS para fins de DoS. Consulte a
próxima seção.

ataques simples, tais como inundações SYN pode aparecer com uma vasta gama de endereços IP de
origem, dando a aparência de um DDoS bem distribuída. Estes ataques de inundação não exigem a
conclusão do TCP handshake de três vias e tentar esgotar o destino SYN fila ou a largura de banda do
servidor. Como o endereço IP de origem pode ser trivialmente falsa, um ataque pode vir de um conjunto
limitado de fontes, ou pode ter se originado a partir de um único hospedeiro. melhorias Stack como syn
cookies podem ser de mitigação eficazes contra SYN Flood fila, largura de banda completa exaustão no
entanto, pode exigir o envolvimento

Ao contrário de DDoS mecanismo MyDoom, botnets pode se voltar contra qualquer endereço IP. script
kiddies usam para negar a existência de conhecidos sites bem aos usuários legítimos. [12] Mais atacantes
sofisticados utilizam ferramentas DDoS para fins de extorsão - mesmo contra as empresas rivais
suas . [13]

É importante observar a diferença entre um ataque DoS e DDoS. Se um atacante monta um ataque a
partir de um único hospedeiro seria classificado como um ataque DoS. De fato, qualquer ataque contra a
disponibilidade seria classificado como um ataque de negação de serviço. Por outro lado, se um invasor
usa um mil sistemas ao mesmo tempo, lançar ataques smurf contra um host remoto, este seria
classificado como um ataque DDoS.

As principais vantagens para o invasor de usar um distribuídos de negação de serviço ataque é que
várias máquinas pode gerar mais tráfego do ataque de uma máquina, máquinas de ataque múltiplo são
mais difíceis de desligar de uma máquina de ataque, e que o comportamento de cada máquina de
ataque pode ser furtivos, tornando mais difícil de rastrear e desligar. Estas vantagens atacante causar
desafios para os mecanismos de defesa. Por exemplo, simplesmente comprar mais largura de banda de
entrada que o volume atual de que o ataque pode não ajudar, porque o atacante pode ser capaz de
simplesmente adicionar mais máquinas ataque.

Note-se que, em alguns casos, uma máquina pode se tornar parte de um ataque DDoS, com o
consentimento do proprietário. Um exemplo disso é o 2010 de ataque DDoS contra empresas de cartão
de crédito por apoiantes do WikiLeaks . Em casos como este, os apoiantes de um movimento (neste
caso, aqueles que são contra a prisão do fundador do WikiLeaks Julian Assange ) escolher para fazer o
download e executar o software DDoS.

[ editar ]refletido ataque
Um ataque distribuído de negação de serviço ataque refletida (DRDoS) envolve o envio de falsos
pedidos de algum tipo para um grande número de computadores que irá responder aos
pedidos. Usando spoofing de protocolo de Internet , o endereço de origem é definido como o da vítima-
alvo, o que significa que todas as respostas vão para (e de inundação) do alvo.

ICMP Echo Request ataques ( Smurf Attack ) pode ser considerado uma forma de ataque refletida, como
o anfitrião alagamento (s) enviar solicitações de eco para o endereço de broadcast de redes mal-
configuradas, assim, atraindo muitos hosts para enviar pacotes de resposta de eco para a vítima. Alguns
DDoS primeiros programas implementados de forma distribuída deste ataque.

Muitos serviços podem ser explorados para atuar como refletores, alguns mais difícil de bloquear do que
outros. [14] amplificação ataques DNS envolvem um novo mecanismo que aumentou o efeito de
amplificação, usando uma lista muito maior de servidores DNS que vimos anteriormente. [15]

[ editar]-de-ataquesdo serviço Degradação

"Pulsação" zombies são computadores infectados que são direcionadas para o lançamento inundações
intermitentes e de curta duração de sites vítima com a intenção de meramente retardar isso, em vez de
bater. Este tipo de ataque, conhecido como "degradação do serviço" em vez de "negação de serviço",
pode ser mais difícil de detectar do que as invasões de zumbi regular e pode atrapalhar e dificultar a
ligação a sites por períodos prolongados de tempo, potencialmente causando mais danos do que as
inundações concentrado. [16] [17] Exposição dos-de-ataques do serviço de degradação é ainda mais
complicado pela questão de discernir se os ataques realmente são ataques ou apenas saudável e
aumenta a probabilidade desejada no tráfego do site. [18]

[ editar ]não intencional negação de serviço

Esta descreve uma situação onde um site acaba não negou, devido a um ataque deliberado por um
único indivíduo ou grupo de indivíduos, mas simplesmente devido a uma súbita enorme
popularidade. Isso pode acontecer quando um site muito popular posts um link de destaque em um site,
segundo a menos bem preparados, por exemplo, como parte de uma notícia. O resultado é que uma
proporção significativa de usuários regulares do site primário - potencialmente centenas de milhares de
pessoas - clique nesse link no espaço de poucas horas, tendo o mesmo efeito sobre o site-alvo com um
ataque DDoS. A VIPDoS é o mesmo, mas especificamente quando o link foi postado por uma
celebridade.

Um exemplo disso ocorreu quando Michael Jackson morreu em 2009. Sites como o Google eo Twitter
abrandado, ou mesmo deixado de funcionar. [19] 'sites servidores Muitos pensaram que os pedidos eram
de um vírus ou spyware tentando causar um ataque de Negação de Serviço, alerta os usuários que suas
consultas parecia "solicitações automatizadas de um computador vírus ou aplicativo spyware ". [20]

Os sites de notícias e sites de link - sites, cuja função principal é fornecer links para conteúdos
interessantes em outros lugares na Internet - são mais susceptíveis de causar este fenômeno. O
exemplo canônico é o efeito Slashdot . Sites como o Digg , o Drudge Report , Fark ,Something Awful eo
webcomic Penny Arcade têm seus próprios correspondentes "efeitos", conhecido como "efeito Digg",
sendo "drudged", "farking", "goonrushing" e "wanging ", respectivamente.
Roteadores também têm sido conhecidos para criar ataques DoS não intencionais, como ambos da D-
Link e Netgear routers criaram NTP vandalismo pelas inundações servidores NTP sem respeitar as
restrições de tipos de cliente ou limitações geográficas.

Similar recusas não intencional de serviço também pode ocorrer através de outras mídias, por exemplo,
quando uma URL é mencionado na televisão. Se um servidor está sendo indexado pelo Google ou
outro motor de busca durante os períodos de pico de atividade, ou não tem muita largura de banda
disponível ao ser indexada, também pode experimentar os efeitos de um ataque DoS.

ação jurídica foi tomada em pelo menos um desses casos. Em 2006, a Universal Tube & Rollform
Equipment Corporation processou o YouTube : um número maciço de que seriam os usuários
youtube.com acidentalmente digitou tubo empresa URL, utube.com. Como resultado, a empresa de
tubos acabou tendo que gastar grandes quantias de dinheiro na modernização sua largura de banda. [21]

[ editar ]Denial-of-Service Level II
O objetivo da negação de L2 (possivelmente DDoS) é fazer com que um lançamento de um mecanismo
de defesa que bloqueia o segmento de rede a partir do qual o ataque se originou. Em caso de ataque
distribuído ou modificação de cabeçalho IP (que depende do tipo de comportamento de segurança) que
irá bloquear totalmente a rede de atacado de Internet, mas sem quebra do sistema.

[ editar ]Blind negação de serviço

Em uma negação cega de ataque de serviço, o atacante tem uma vantagem significativa. O atacante
deve ser capaz de receber o tráfego da vítima, em seguida, o atacante deve ou subverter a estrutura de
roteamento ou usar o endereço IP do invasor própria. Ou será uma oportunidade para a vítima para
acompanhar o atacante e / ou filtrar o seu tráfego. Com um ataque cego o atacante usa um ou mais
endereços de IP falsos, o que torna extremamente difícil para a vítima para filtrar os pacotes. O TCP
SYN ataque é um exemplo de um ataque cego. [22]

[ editar ]Incidentes

 O primeiro ataque grave envolvendo servidores de DNS como refletores ocorreu em janeiro de
2001. O alvo era Register.com. [23] Este ataque, que forjou os pedidos de registros MX da AOL . com
(para amplificar o ataque) durou cerca de uma semana antes que pudesse ser rastreada para todos
os hosts atacar e desligar. É utilizada uma lista de dezenas de milhares de registros de DNS que
foram um ano de idade no momento do ataque.

 Em fevereiro de 2001, o Governo irlandês Secretaria da Fazenda do servidor foi atingido por um

ataque de negação de serviço realizado como parte de uma campanha de estudante da NUI
Maynooth . O Departamento oficialmente queixaram às autoridades da Universidade e um número
de estudantes foram punidos. [ carece de fontes? ]
 Em julho de 2002, o Projeto Honeynet Reverse Challenge foi emitido. [24] O binário, que foi
analisada acabou por ser ainda um outro agente DDoS, que implementou o DNS vários ataques
relacionados, incluindo uma forma otimizada de um ataque de reflexão .

 Em duas ocasiões, até à data, os atacantes têm realizado ataques DDoS Backbone DNS nos
servidores DNS raiz. Dado que estas máquinas se destinam a prestar serviços a todos os usuários
da Internet, estes dois ataques de negação de serviço pode ser classificada como tentativa de
derrubar toda a Internet, embora não esteja claro quais as motivações dos atacantes foram
verdadeiras. O primeiro ocorreu em outubro de 2002 e interrompido serviço em 9 dos 13 servidores
raiz. A segunda ocorreu em fevereiro de 2007 e causou rupturas em dois dos servidores raiz. [25]

 Em fevereiro de 2007, mais de 10.000 servidores de jogos online em jogos como o Return to
Castle Wolfenstein , Halo , Counter-Strike e muitos outros foram atacados pelos RUS grupo de
hackers. O ataque DDoS foi feita a partir de mais de mil unidades de computadores localizados nas
repúblicas da antiga União Soviética , principalmente a partir da
Rússia , Uzbequistão e Belarus . Menor ataques ainda continuam a ser feita hoje. [ carece de fontes? ]

 Nas semanas que antecederam a cinco dias de guerra na Ossétia do Sul 2008 , um ataque
DDoS direcionado aos sites do governo da Geórgia contendo a mensagem: "ganhe + amor + na +
Rusia" efetivamente sobrecarregado e fechar vários servidores georgianos. Sites segmentados
incluídos no site do presidente georgiano , Mikhail Saakashvili , inoperável por 24 horas, eo Banco
Nacional da Geórgia.Embora a suspeita pesada foi colocada sobre a Rússia de orquestrar o ataque
através de um proxy, o Saint-Petersburg gangue criminosa baseada conhecida como Russian
Business Network, ou RBN, o governo russo negou as acusações, afirmando que era possível que
os indivíduos na Rússia ou outra parte tinha se encarregado de iniciar os ataques. [26]

 Durante o 2009 protestos eleição iraniana , ativistas estrangeiros que queiram ajudar a oposição
envolvidos em ataques DDoS contra o governo iraniano. O site oficial do governo iraniano
( ahmedinejad.ir ) foi tornado inacessível por diversas vezes. [27] Os críticos alegaram que a DDoS
ataques também cortar acesso à Internet para os manifestantes dentro do Irã, ativistas respondeu
que, enquanto este pode ter sido verdade, a ataques continuam a impedir o presidente Mahmoud
Ahmadinejad é o governo 'o suficiente para ajudar a oposição.

 Em 25 de junho de 2009, o dia em que Michael Jackson morreu, o pico em pesquisas

relacionadas a Michael Jackson era tão grande que o Google News inicialmente confundiu com um
ataque automatizado. Como resultado, cerca de 25 minutos, quando algumas pessoas procurou o
Google News que viu um "Pedimos desculpas" página antes de encontrar os artigos que estavam
procurando. [28]
 Junho de 2009 o site P2P The Pirate Bay foi tornado inacessível devido a um ataque DDoS. Esta
foi provavelmente provocado pela traição recente Global Gaming Factory X AB , que era visto como
um " tomar o dinheiro e fugir "solução de questões jurídicas o site. [29] No final, devido a compradores
financeira perturba a, o site não foi vendido.

 várias ondas de julho 2009 cyber ataques alvejaram uma série de sites importantes na Coreia do
Sul e os Estados Unidos . O atacante usou botnet e arquivo de atualização através da internet é
conhecido por ajudar a sua propagação. Como se vê, um trojan computador foi codificado para
procurar bots existentes MyDoom. MyDoom era um worm em 2004 e, em julho próximo 20.000-
50.000 estavam presentes. MyDoom tem um backdoor, que o DDoS bot pode explorar. Desde então,
o DDoS bot removido em si, e completamente formatado o disco rígido . A maioria dos bots originária
da China e Coréia do Norte.

 Em 06 de agosto de 2009 vários sites de redes sociais, incluindo

o Twitter , Facebook , Livejournal , e Google páginas de blogs foram atingidos por ataques DDoS,
aparentemente destinada a Geórgia blogger " Cyxymu ". Embora o Google veio com apenas
pequenos reveses, esses ataques deixou incapacitada para o Twitter e Facebook hora acabou por
restaurar o serviço, embora alguns usuários ainda por dificuldades. Site da latência Twitter tem
continuado a melhorar, no entanto, algumas solicitações web continua a falhar. [30] [31][32]

 Em julho e agosto de 2010, os irlandeses Central aplicativos do Office servidor foi atingido por

um ataque de negação de serviço em quatro ocasiões distintas, causando dificuldades para milhares
de alunos do segundo nível, que são obrigados a usar o CAO para solicitar e lugares Universidade
College. O ataque é actualmente objecto de uma Garda inquérito. [33]

 Em 28 de novembro de 2010, soprador de apito site wikileaks.org experimentou um ataque

DDoS. Isto foi presumivelmente relacionadas com o lançamento pendente de muitos milhares de
cabos segredo diplomático. [34]

 Em 8 de dezembro de 2010, um grupo que se autodenominam " Anonymous ", lançada

orquestrado ataques DDoS em organizações como a Mastercard ,.
com PayPal , Visa.com e PostFinance , como parte do "curso de Operação Payback "da campanha,
que originalmente se anti-pirataria organizações [35] , em apoio das denúncias site Wikileaks.ch e seu
fundador, Julian Assange. O ataque derrubou o site Mastercard, PostFinance, Visa e com
êxito. PostFinance, o banco que tinha congelado conta Julian Assange, foi derrubado por mais de 16
horas, devido aos ataques. No entanto, na negação do fato de que ele foi tirado do ar por um grupo
de usuários de internet notório, o banco emitiu um comunicado que a interrupção foi causada por
uma sobrecarga de informações:
 "O acesso à www.postfinance.ch e assim também e-Finanças está sobrecarregado devido à
grande quantidade de inquéritos online. A segurança dos dados do cliente não é afetado." [36]
[ editar ]Realizando-ataques DoS
Uma vasta gama de programas são usados para lançar ataques DoS-. A maioria destes programas
são completamente focado na realização de DoS-ataques, enquanto outros são
verdadeiras injetores de pacotes , portanto, capaz de executar outras tarefas também.

Alguns exemplos de tais ferramentas são hping , soquete de programação, e httping [37] mas estes

não são os únicos programas capazes de tais ataques. Tais ferramentas são destinados ao uso
benigno, mas eles também podem ser utilizados no lançamento de ataques contra as redes
vítima. Além dessas ferramentas, existe uma vasta quantidade de ferramentas subterrâneos
usados pelos atacantes. [38]

[ editar ]Prevenção e resposta
[ editar ]Firewalls

Firewalls ter regras simples, como para permitir ou negar protocolos, portas ou endereços
IP. Alguns ataques DoS são demasiado complexas para firewalls de hoje, por exemplo, se houver
um ataque ao porto (web service) 80, os firewalls não podem impedir que o ataque, porque eles
não conseguem distinguir o bom tráfego de tráfego de ataque DoS. Além disso, os firewalls são
muito profundas na hierarquia da rede. Os roteadores podem ser afetadas antes mesmo do firewall
recebe o tráfego. No entanto, os firewalls podem eficazmente impedir que os usuários de lançar
ataques do tipo simples inundação de máquinas atrás do firewall.

Alguns stateful firewalls , como é pF OpenBSD, pode agir como um proxy para conexões: o aperto
de mão foi validado (com o cliente) ao invés de simplesmente encaminhar os pacotes para o
destino. Ele está disponível para BSDs outros também. Nesse contexto, é chamado de
"synproxy". [39]

[ editar ]Muda

A maioria dos switches tem alguma limitação de velocidade e ACL capacidade. Alguns switches

fornecem automática e / ou do sistema de limitação da taxa , traffic shaping , atraso de
ligação ( TCP splicing ), inspeção profunda de pacotes e Bogon filtragem (filtragem de IP falso)
para detectar e remediar ataques de negação de serviço através da taxa de filtragem automática e
WAN failover Link e equilíbrio.[ carece de fontes? ]

Estes regimes de trabalho, enquanto os ataques DoS são algo que pode ser prevenida por usá-
los. Por exemplo SYN podem ser evitadas com atraso de emenda vinculativa ou TCP. Da mesma
forma o conteúdo DoS base podem ser evitadas com inspeção profunda de pacotes.Ataques
provenientes de endereços escuro ou ir aos endereços escuras podem ser evitados com a
utilização Bogon filtragem. Automática de taxa de filtração pode trabalhar enquanto tiver definido
taxa limiares corretamente e granular. -Failover link Wan vai trabalhar, enquanto ambos os links
têm DoS / DDoS mecanismo de prevenção. [ carece de fontes? ]

[ editar ]Routers

Semelhante ao switches, roteadores têm alguma taxa-limitante e ACL capacidade. Eles também

estão configurar manualmente. A maioria dos roteadores pode ser facilmente esmagados sob
ataque DoS. Se você adicionar regras, para ter estatísticas de fluxos para fora do roteador durante
os ataques DoS, eles ainda retardar e complicar o assunto. Cisco IOS tem características que
impeçam inundações, ou seja, definições de exemplo. [40]

[ editar ]Aplicação hardware front-end

Aplicação de hardware frente é hardware inteligente colocado na rede antes que o tráfego atinge os
servidores. Pode ser usado em redes em conjunto com roteadores e switches. Aplicação de
hardware frente analisa os pacotes de dados que entram no sistema e, em seguida identifica-los
como prioritários, regular, ou perigosos. Há mais de 25 gerenciamento de
banda fornecedores. aceleração de hardware é fundamental para o gerenciamento de banda. [ carece
de fontes? ]

[ editar ]baseado prevenção IPS

De prevenção de intrusão, sistemas (IPS) são eficazes se os ataques têm assinaturas que lhes
estão associados. No entanto, a tendência entre os ataques é ter conteúdo legítimo, mas má
intenção. Prevenção de intrusões em sistemas que trabalham com reconhecimento de conteúdo
não pode bloquear ataques DoS baseado comportamento. [ carece de fontes? ]

Um ASIC IPS baseado pode detectar e bloquear ataques de negação de serviço, porque eles têm
o poder de processamento ea granularidade para analisar os ataques e age como um disjuntor de
forma automatizada. [ carece de fontes? ]

A IPS baseado em taxa (RBIPS) deve analisar o tráfego granular e monitorar continuamente o

padrão de tráfego e determinar se há tráfego anomalia. Deve permitir o fluxo de tráfego legítimo,
sem bloquear o tráfego de ataque DoS. [ carece de fontes? ]

[ editar ]Prevenção através de testes proativos

plataformas de teste, como Mu Dynamics 'Analisador de serviço estão disponíveis para realizar
ataques de negação de serviço ataques simulados que podem ser utilizados para avaliar os
mecanismos de defesa IPS tal, RBIPS, bem como o popular de negação de serviço de mitigação
de produtos, desde a Arbor Networks . Um exemplo de teste de pró-ativa de negação de serviço,
otimização de recursos em um switch foi realizada em 2008: A Juniper EX 4200 switch integrado de
negação de serviço de estrangulamento, foi testada pelo teste de rede e análise
resultante foi publicado no Network World .

[ editar ]blackholing e sinkholing
Com blackholing, todo o tráfego para o DNS atacado ou endereço IP é enviado para um "buraco
negro" (interface nulo, servidor inexistente, ...). Para ser mais eficiente e evitar que afectam a sua
conectividade de rede, pode ser gerido pelo ISP. [41]

Sinkholing rotas para um endereço IP válido, que analisa o tráfego e rejeitar as más. Sinkholing não
é eficiente para a maioria das crises graves.

[ editar ]tubos Limpeza
Todo o tráfego é passado através de um "centro de limpeza" através de um proxy, que separa o
tráfego "ruim" (DDoS e também outros ataques comuns da Internet) e somente envia o tráfego para
além de bom para o servidor. O provedor de necessidades de conectividade à Internet central para
gerir este tipo de serviço. [42]

Prolexic e Verisign são exemplos de prestadores desse serviço. [43] [44]

[ editar ]Os efeitos secundários de ataques de DoS

[ editar ]Backscatter

Em segurança de rede de computadores, o retroespalhamento é um efeito colateral de um

falsificado negação de serviço (DoS) ataque.Neste tipo de ataque, o atacante paródias (ou forja) o
endereço de origem no IP os pacotes enviados para a vítima. Em geral, a máquina da vítima não
pode distinguir entre os pacotes forjados e pacotes legítimos, então a vítima responde a pacotes
falsos como faria normalmente.Estes pacotes de resposta são conhecidos como backscatter.

Se o atacante for spoofing endereços de origem de forma aleatória, os pacotes de resposta de

retroespalhamento da vítima será enviada de volta para destinos aleatórios. Este efeito pode ser
usado por telescópios de rede como uma evidência indireta de tais ataques.

O termo "backscatter" análise refere-se aos pacotes de retroespalhamento observando chegar a

uma parcela significativa estatisticamente do endereço IP de espaço para determinar as
características de ataques de DoS e vítimas.

Uma animação de ensino que descreve como retroespalhamento podem ser encontrados

na página de animações mantido pelaAssociação Cooperativa para Análise de Dados da Internet .

[ editar ]Legalidade

Esta seção requer expansão .

Na Polícia e Justiça Lei 2006 , o Reino Unido proibiu especificamente de-ataques de negação de

serviço e definir uma pena máxima de 10 anos de prisão. [45]

Em os EUA, pode haver um crime federal grave nos termos da Fraude Informática e Lei do
Abuso de sanções que incluem anos de prisão.Muitos outros países têm leis semelhantes. [ carece de
fontes? ]