Отказ в обслуживании 101

Атака типа «отказ в обслуживании» (DoS) — это инцидент, при котором пользователь или организация лишаются услуг ресурса, который они обычно ожидают получить. Как правило, потеря обслуживания — это неспособность конкретной сетевой службы, такой как электронная почта, быть доступной, или временная потеря всех сетевых подключений и служб. В этой статье мы рассмотрим DoS и DDoS, которые представляют собой атаку «распределенный отказ в обслуживании», когда атака исходит с нескольких хостов, а не только с одного хоста, чтобы максимизировать результирующее опустошение.

Отказ в обслуживании 101

«Чтобы получить полное руководство по безопасности, ознакомьтесь с учебным пособием Security+ Study Guide and DVD Training System на Amazon.com».

Отказ в обслуживании (DoS)

Чтобы понять DDoS-атаку и ее последствия, нам сначала нужно понять основы DoS-атак. Переход от понимания DoS к DDoS довольно прост, хотя различие между ними важно. Учитывая его название, неудивительно, что DoS-атака направлена непосредственно на то, чтобы каким-то образом негативно повлиять на услугу, которую обычно предоставляет вычислительная инфраструктура. Этот тип атаки не предполагает взлома целевой системы. Обычно успешная DoS-атака снижает качество предоставляемых услуг в некоторой измеримой степени, часто до такой степени, что целевая инфраструктура DoS-атаки вообще не может предоставить услугу.

Распространено мнение, что целью DoS-атаки является сервер, хотя это не всегда так. Основная цель DoS-атаки — ухудшить качество обслуживания, независимо от того, размещается ли оно на одном сервере или предоставляется всей сетевой инфраструктурой.

DoS-атака пытается уменьшить способность сайта обслуживать клиентов, будь то физические пользователи или логические объекты, такие как другие компьютерные системы. Это может быть достигнуто либо путем перегрузки способности целевой сети или сервера обрабатывать входящий трафик, либо путем отправки сетевых пакетов, которые вызывают непредсказуемое поведение целевых систем и сетей. К несчастью для администратора, непредсказуемое поведение обычно приводит к зависанию или сбою системы.

Существует множество форм DoS-атак, некоторые из которых сложно обнаружить или отразить. В течение нескольких недель или месяцев после появления новой атаки в других местах начинают появляться тонкие подражательные вариации на ту же тему. На этом этапе должны быть развернуты средства защиты не только для основной атаки, но и для ее более дальних родственников.

Многие DoS-атаки происходят по сети, и злоумышленник пытается воспользоваться отсутствием интегрированной безопасности в текущей версии Интернет-протокола (IP), IP версии 4 (IPv4). Хакеры полностью осознают, что соображения безопасности были переданы протоколам и приложениям более высокого уровня. Попытка исправить эту проблему привела к версии IP 6 (IPv6), которая включает средства проверки источника пакетов и их целостности с помощью заголовка проверки подлинности. Хотя постоянное совершенствование IP имеет решающее значение, оно не решает сегодняшних проблем, поскольку IPv6 не получил широкого распространения.

DoS-атаки исходят не только из удаленных систем, но и локально на машину. Локальные DoS-атаки, как правило, легче обнаружить и исправить, потому что параметры проблемного пространства четко определены (локальны для хоста). Типичный пример локальной DoS-атаки включает форк-бомбы, которые многократно запускают процессы для потребления системных ресурсов.

Хотя DoS-атаки сами по себе не создают риска для конфиденциальных или конфиденциальных данных, они могут выступать в качестве эффективного инструмента для маскировки других более навязчивых действий, которые могут иметь место одновременно. Хотя администраторы и сотрудники службы безопасности пытаются исправить то, что они считают основной проблемой, реальное проникновение может происходить в другом месте. В неразберихе и хаосе, которые сопровождают системные сбои и нарушения целостности, опытные хакеры могут проникнуть незамеченными.

Финансовые и рекламные последствия эффективной DoS-атаки трудно измерить — в лучшем случае они вызывают смущение, а в худшем — смертельный удар. В мире электронной коммерции преданность клиента мимолетна. Если сайт недоступен или не отвечает, альтернативная виртуальная витрина находится всего в нескольких кликах. Компании, зависящие от интернет-трафика и электронных покупок, подвергаются особому риску DoS- и DDoS-атак. Веб-сайт — это двигатель электронной коммерции, и клиенты приобретаются или теряются в зависимости от доступности и скорости сайта. Хакер, независимо от мотива, знает, что реальный способ причинить вред электронному бизнесу — каким-то образом повлиять на его присутствие в Интернете. К сожалению, DoS-атаки могут быть эффективным средством для достижения этой цели; следующие разделы охватывают два элементарных типа DoS-атак: атаки с потреблением ресурсов (такие как SYN-флуд и атаки с усилением) и атаки с искаженными пакетами.

BSOD с SMBDie

Итак, вы хотите по-настоящему напакостить? Я полагал, что вы этого не сделали из-за вашего статуса Белой Шляпы, но это не помешает всем детишкам в сети играть с вами в игры! Что ж, если вы начинаете видеть синий экран своих серверов (BSOD - синий экран смерти) без причины, вам следует знать о некоторых загружаемых программах, вызывающих раздражение, которые находятся в свободном доступе в Интернете! Да, вы тоже можете скачать этот сбой операционной системы на базе Windows, просто запустите поиск и вот он. Этот инструмент при запуске в сети предоставит злоумышленнику способ отправки специально созданных пакетов в ваши системы для их сбоя. Это, конечно, сама природа атаки типа «отказ в обслуживании» (DoS), потому что, если серверы не работают и не обслуживаются, ваши сетевые клиенты не будут получать никаких услуг. К счастью для вас, хороший антивирус корпоративного уровня найдет и поместит в карантин этого маленького монстра, если он загружен на машину. Проблема в том, что вы должны убедиться, что на каждом устройстве в сети установлено антивирусное программное обеспечение. Мне нравится проверять эту теорию, пробираясь в сетевой шкаф с несколькими открытыми портами концентратора и моим ноутбуком. Через минуту серверы не работают. Будьте в курсе таких проблем как MCP и White Hat Security Analyst.

Чтобы продолжить наше обсуждение отказа в обслуживании, нам нужно взглянуть на ресурсы вашей системы и на то, как трояны и злоумышленники, выполняющие и запускающие атаки, могут потреблять все ресурсы на ваших серверах. Вычислительные ресурсы по своей природе конечны (хотя хотелось бы, чтобы это было иначе!). Администраторы во всем мире сетуют на то, что их инфраструктуре не хватает пропускной способности сети, циклов ЦП, ОЗУ и вторичного хранилища. Недостаток этих ресурсов неизменно приводит к некоторой деградации услуг, предоставляемых вычислительной инфраструктурой клиентам. Реальность наличия ограниченных ресурсов становится еще более очевидной, когда атака организована таким образом, чтобы потреблять эти драгоценные ресурсы.

Потребление ресурсов (и в данном случае полоса пропускания считается ресурсом) предполагает сокращение доступных ресурсов, независимо от их природы, путем использования направленной атаки. Одна из наиболее распространенных форм DoS-атак нацелена на пропускную способность сети. В частности, подключения к Интернету и поддерживающие устройства являются главной целью для атак этого типа из-за их ограниченной пропускной способности и видимости для остального интернет-сообщества. Очень немногие предприятия находятся в удачном положении, когда у них слишком большая пропускная способность Интернета (существует ли такая вещь?), и когда бизнес полагается на способность быстро и эффективно обслуживать запросы клиентов, атака с потреблением полосы пропускания может показать, насколько эффективно это происходит. пропускная способность может быть использована, чтобы поставить компанию на колени.

Запуск распределенного DoS

DDoS-атаки продвигают головоломку DoS еще на один болезненный шаг вперед. DoS-атаки вышли за рамки одноуровневых (SYN-флуд) и двухуровневых (Smurf) атак. Современные методологии атак теперь охватывают мир распределенных многоуровневых вычислений. Одно из существенных отличий в методологии DDoS-атаки состоит в том, что она состоит из двух отдельных фаз. На первом этапе злоумышленник взламывает компьютеры, разбросанные по Интернету, и устанавливает на эти хосты специализированное программное обеспечение, помогающее в атаке. На втором этапе скомпрометированные хосты, называемые зомби, затем получают указание через посредников (называемых мастерами) начать атаку. На рисунке 11.6 мы смотрим на упрощенное объяснение атаки распределенного отказа в обслуживании.

• Злобный Атакующий планирует свою атаку. Первый шаг — нанять зомби для выполнения грязной работы.
  
• Затем Vicious Attack создает троянца (как мы видели ранее), который может быть установлен на ничего не подозревающих машинах. Электронные письма отправляются, машины заражаются, и после заражения они попадают в Зомби-клад.
  
• В конце концов, Злобный Атакующий планирует атаку, как только армия будет построена. Выбирается ничего не подозревающий сайт-жертва (в этом сценарии www.hackme.com — неудачный сайт).
  
• Vicious Attacker запускает поток трафика на hackme.com, и он настолько переполнен фальшивым трафиком с сотен компьютеров, что не может обслуживать запросы реальных покупателей на сайт. Эта атака может варьироваться от SYN-флуда до Pings of Death — на самом деле не имеет значения, что это за атака — на самом деле это просто точка отображения, что этот один человек только что установил все эти трояны, начал массированную атаку и сидел сложа руки и наблюдал. это происходит в безопасности их собственного дома.

Благодаря Zombie Hoard Злобный Злоумышленник уходит, не беспокоясь о том, что его или ее кто-то поймает, потому что пакет никогда не покидал их машину для атаки на hackme.com.

Взгляд на вербовку зомби

Прилежные хакеры могут привлечь к атаке сотни, а возможно, и тысячи зомби. Используя управляющее программное обеспечение, каждый из этих зомби может быть использован для проведения собственной DoS-атаки на цель. Совокупный эффект зомби-атаки заключается в том, что жертва перегружается либо огромным объемом трафика, либо истощает ресурсы, такие как очереди соединений.

Кроме того, этот тип атаки скрывает источник первоначального злоумышленника: командующего полчищами зомби. Многоуровневая модель DDoS-атак и их способность подделывать пакеты и шифровать сообщения могут сделать отслеживание реального нарушителя затруднительным процессом.

Командная структура, поддерживающая DDoS-атаку, может быть довольно запутанной, и может быть трудно определить терминологию, которая четко ее описывает. Возможно, одно из наиболее понятных соглашений об именах для структуры DDoS-атак и задействованных компонентов подробно описано ниже.

Программные компоненты, задействованные в DDoS-атаке, включают:

• Клиент: управляющее программное обеспечение, используемое хакером для проведения атак. Клиент направляет командные строки своим подчиненным хостам.
  
• Демон: Программное обеспечение, работающее на зомби, которое получает входящие клиентские командные строки и действует на них соответствующим образом. Демон — это процесс, ответственный за фактическую реализацию атаки, описанной в командных строках.

Хосты, участвующие в DDoS-атаке, включают:

• Мастер: компьютер, с которого запускается клиентское программное обеспечение.
  
• Зомби: подчиненный хост, который запускает процесс демона.
  
• Цель: получатель атаки.

Таким образом, как сертифицированный специалист Microsoft, отвечающий за безопасность сети, вы должны хорошо знать об этих проблемах, потому что это может вызвать у вас серьезные проблемы и смущение, когда выяснится, что ваши 30 веб-серверов IIS 5.0 участвовали в действиях по захвату. Yahoo.com не работает. Это происходит, если вы не знаете, что делает ваша система.