O que são negação de ataques do serviço (ataques do DOS) e como proteger de encontro a eles

Dutch French Spanish Portuguese Italian German Japanese Chinese Korean Russian Arabic Bookmark and Share this Article Original English article
  

Os hackers enlatam o havoc do wreak sem sempre penetrar seu sistema. Para o exemplo, um hacker pode eficazmente fechá-lo abaixo seu computador pelo flooding com sinais obnoxious ou código malicioso. Esta técnica é sabida como um ataque do negação-$$$-SERVIÇO.

Os hackers executam um ataque do negação-$$$-SERVIÇO usando um de dois métodos possíveis. O primeiro método deve inundar o dispositivo do computador ou de ferragem do alvo com a informação de modo que se torne oprimido. O método alternativo deve emitir um comando ou uma parte bem-well-crafted de dados errôneos que deixam de funcionar o dispositivo do computador do alvo.

Flooding de SYN

Este primeiro tipo de ataque que do DoS nós discutiremos é sabido como o flooding de SYN. Um ataque de SYN amarrará acima recursos de um computador do alvo fazendo o responde a uma inundação dos comandos. Para compreender isto, imagine que você é uma secretária cujo o trabalho deva responder e dirigir de novo a chamadas de telefone. Que se 200 povos se chamassem você pendurou ao mesmo tempo e então acima quando você respondeu? Você seria colheita assim ocupada acima das linhas inoperantes que você nunca começaria a todo o trabalho feitas. Eventualmente, você sofreria uma avaria mental e pararia o trabalho. Esta é a mesma técnica que os hackers se usam quando empregam um ataque do DoS.

Para executar um ataque do DoS, o hacker deve primeiramente determinar o IP address do alvo. Usando este IP address, o hacker deve conectar-lhe que usa um computador do cliente. Para amplificar a força do ataque, o hacker ajustará frequentemente acima diversos computadores do cliente programados para atacar ao mesmo tempo o alvo. Isto é realizado geralmente fazendo algum cortar preliminar à posse do ganho de diversos computadores com conexões elevadas da largura de faixa. A fonte a mais popular destes computadores slave é sistemas de universidade ou clientes broadband. Uma vez que o hacker manda seus computadores slave se ajustar acima, lança o ataque de um ponto central, chamado o mestre.

Um ataque do DoS de SYN faz exame da vantagem do handshake requerido de TCP/IP que ocorre quando dois computadores ajustam acima uma sessão de uma comunicação. O computador do cliente emite primeiramente um pacote de SYN ao computador de usuário para começar a comunicação. Quando o usuário recebe estes dados, processa o endereço do retorno e emite para trás o pacote de SYN ACK. O usuário espera então o cliente para responder com um pacote final do ACK, que termine a iniciação da conexão.

Um usuário tem um número limitado dos recursos designados para conexões do cliente. Quando um usuário recebe o pacote inicial de SYN de um cliente, o usuário aloca alguns destes recursos. Esta limitação é significada tampar o número de conexões simultâneas do cliente. Se demasiado muitos clientes conectarem em uma vez, o usuário tornar-se-á sobrecarregado e deixar-se-á de funcionar sob a carga processando adicional.

A fraqueza neste sistema ocorre quando o hacker introduz um endereço do retorno falsificado no pacote inicial de SYN. Assim, quando o usuário emite para trás o SYN ACK ao cliente falsificado, nunca recebe o ACK final. Isto significa que para cada pacote da falsificação SYN, uns recursos mais adicionais estão amarrados acima de até que o usuário recuse any.more conexões. Um ataque bem sucedido requer uma miríade de pacotes falsificados, mas se um hacker tiver diversos computadores slave emitir pacotes, pode sobrecarregar um usuário rapidamente.

Um exemplo well-known deste tipo de ataque ocorreu tarde em 1999. Diversos locais da correia fotorreceptora do elevado-perfil foram trazidos a seus joelhos por uma inundação dos sinais que vêm das centenas de computadores diferentes simultaneamente. Os locais da correia fotorreceptora não teriam nenhum problema segurar um ataque de uma fonte; entretanto, com o uso programas, de um ou mais de controle remoto hackers lançou um ataque concerted usando centenas dos computadores, assim rapidamente sobrecarregando seus alvos.

Ataques De Smurf

Uma variação do ataque do DoS do flooding é chamada um ataque do smurf. Imagine uma companhia com os 50 empregados disponíveis para responder às perguntas do cliente pelo email. Cada empregado tem um auto responder que emita automaticamente uma resposta da cortesia quando uma pergunta é recebida. Que aconteceria se um cliente irritado enviasse 100 email copí a cada um dos 50 empregados usando um email address do retorno da falsificação? Os 100 email entrantes transformar-se-iam de repente 5.000 email que parte—que vão toda a uma caixa postal. Quem quer que possuiu o endereço do retorno falsificado seria oprimido com todo esse correio! E teria que procurarar com todo o ele para certificar-se que não faltou um email importante de seu saliência ou amigo. Isto é similar a como um ataque do smurf trabalha. O atacante emite um sinal de pedido em uma rede dos computadores, cada um de que responde a um endereço do retorno faked. Os programas especiais e outras técnicas podem amplificar este até que uma inundação da informação esteja dirigida para um computador infeliz.

Por causa das réguas de TCP/IP, um computador ignora todos os pacotes que não lhe são dirigidos expressa. Uma exceção a esta é se um computador tiver um cartão da rede funcionar na modalidade promiscuous, como demonstrado pelo exemplo do tubo aspirador. Uma outra exceção a esta é pacotes da transmissão.

Que sua companhia faz quando necessita começar para fora uma mensagem importante a todos na organização? Se o email for uma opção, emite uma mensagem interna do "Spam" a todos que tem um email address. Se não, pôde jogar um anúncio sobre o loudspeaker, ou afixe um boletim perto do potenciômetro do café. Estas técnicas asseguram-se de que a maioria de empregados recebam a informação. Similarmente, em uma rede de computador, há as épocas em que um usuário necessita emitir a informação a cada computador conectado na rede. Isto é realizado usando o endereço da transmissão.

Por causa do IP da maneira os endereços são ajustados acima dentro de uma rede, lá são sempre um endereço a que cada computador responderá. Este endereço é sabido enquanto o endereço da transmissão, e usado atualizar as listas conhecidas e outros artigos necessários que os computadores necessitam manter a rede ascendente e o corredor. Embora o endereço da transmissão seja necessário em alguns casos, pode conduzir a o que é sabido como um broadcast storm.

Um broadcast storm é como um eco que nunca morra. Mais especificamente, é como um eco esse crescendos até que você não possa ouvir qualquer coisa sobre o ruído puro. Se um computador emitir um pedido a uma rede usando o endereço da transmissão com o endereço do retorno do endereço da transmissão, cada computador responderá à resposta de cada outro computador; isto continua em um efeito do snowball até que a rede esteja assim cheia dos ecos esse que nada mais pode começar completamente.

Agora que você compreende como uma transmissão trabalha, imagine que o que aconteceria se um hacker emitiu 1.000 pacotes da transmissão em uma rede com a spoofed o IP address do retorno. A rede amplificaria os pacotes originais em dez ou em centenas dos milhares dos pacotes, dirigidos toda em um computador.

Neste caso, ao contrário do ataque de SYN, o computador do alvo poderia ajustar acima uma sessão de uma comunicação com o computador de pedido. Entretanto, a sobrecarga de pedidos da sessão afogaria o usuário, assim rendendo o usuário inútil.

Estes tipos de ataques fechado não somente rapidamente e eficazmente abaixo um usuário, mas mantêm também o hacker invisível. Por causa da natureza do ataque, os pacotes originais emitidos pelo hacker são untraceable. No exemplo de um ataque de SYN, o endereço está spoofed. Assim, a origem do pacote remanesce desconhecida. No exemplo de um ataque do smurf, o hacker não ataca diretamente o alvo, mas usa preferivelmente o efeito lateral de emitir sinais da transmissão em uma rede fazer indiretamente o trabalho. Conseqüentemente, o ataque parece ter vindo de um outro computador ou rede.

Sobrecargas Do Sistema

Um outro tipo de ataque do DoS é dirigido de encontro ao software que funciona no computador do alvo. O software de computador tem, na média, aproximadamente um pulso aleatório por 1.000 linhas do código. Porque os programas do software podem ser milhões das linhas por muito tempo, o número dos erros pode funcionar nas centenas dos milhares. Se um atacante souber explorar um erro específico, pode fechar abaixo o computador do alvo. Para o exemplo, um programa well-known do software do carro de shopping foi encontrado para ter uma fraqueza sua na programação isso causou a carga do processador no computador ao ponto a 100%, assim impedindo que todos os outros programas funcionem. Emitir um pedido simples de http:// no formato correto podia derreter o usuário do alvo.

Este tipo de ataque é analogous a desaparafusar o tampão em um shaker de sal. Usados normalmente, os trabalhos do shaker de sal muito bem, e nunca d-lhe-ão uma pilha do sal para seu esforço. Entretanto, se alguém que compreende os internals de um shaker devesse desaparafusar secreta o tampão, o shaker inundá-lo-ia com o sal amargo.

Este tipo de ataque do DoS é explorado geralmente com um excesso do amortecedor. Geralmente, o excesso do amortecedor deixará de funcionar um computador. Como discutido previamente, o excesso encherá um pedaço predeterminado da memória, e do excesso à memória acima, assim overwriting dados de uma outra variável. Quando o programa que usa as tentativas variáveis overwritten de recuperar os dados, o programa deixará de funcionar, completamente frequentemente fazendo exame do computador inteiro com ele.

Os ataques do DoS são uma ameaça comum não somente para corporation grandes, mas também para a empresa de pequeno porte e os usuários home. Há os programas pre-feitos incontáveis que podem dar a qualquer um o poder inundar um alvo. Um clique simples do rato pode emitir centenas dos pacotes de SYN que hurtling diretamente em uma vítima. Se você suspeitar um ataque do DoS, você pode usar a ferramenta do netstat determinar se um ataque está ocorrendo; Usando esta ferramenta, um ataque é prontamente mostras que seguindo da tabela de apparent.The os resultados do netstat de um SYN atacam. A fileira do estado indica claramente que um ataque de SYN é atualmente underway.

Os resultados do netstat de um ataque de SYN

Conexões ativas do Internet (usuários including)

Proto

Endereço Local

Endereço Extrangeiro

Estado

tcp

10.0.0.1:22

10.0.0.2:3342

SYN_RECV

tcp

10.0.0.1:22

10.0.0.2:4323

SYN_RECV

tcp

10.0.0.1:22

10.0.0.2:4356

SYN_RECV

tcp

10.0.0.1:22

10.0.0.2:4367

SYN_RECV

tcp

10.0.0.1:22

10.0.0.2:4389

SYN_RECV

Como você pode ver, os ataques do DoS não são complicados. Em conseqüência da facilidade com que um hacker pode encontrar pre-fêz programas do ataque, estes ataques são também muito comum. Neste momento, você pôde pedir, "como posso eu posso impedir um ataque do DoS?" Infelizmente, podem mitigated, mas não inteiramente ser impedidos.

Porque estes ataques são baseados na maneira fundamental que os computadores ajustaram acima uma comunicação entre se, a única maneira parar este abuso deveria re-invent o Internet. Atualmente, a única maneira realística mitigate tal ataque deve obstruir todo o tráfego que vem das partes específicas do Internet. Entretanto, porque nós discutimos, os hackers usam frequentemente muitos computadores slave das posições diversas. Conseqüentemente, um Web site teria que incapacitar o acesso a uma comunidade inteira dos usuários para parar com sucesso todo o ataque.

Dns Spoofing

Outros tipos de ataques do DoS trabalham indiretamente. Estes tipos de ataques geralmente não envolvem o usuário; instead, alvejam o cliente. Neste caso, o computador do cliente é enganado somente dentro onde vai quando requisitado para recuperar a informação. Para o exemplo, se você pensar seu computador está indo a http://www.yahoo.com, mas está indo preferivelmente a um local do hacker feito para olhar como Yahoo!, você pôde inadvertidamente fornecer o hacker com as senhas e a outra informação pessoal.

Normalmente, um computador do cliente pergunta um usuário do DNS quando um Domain Name ou um endereço do Web site necessitam ser convertidos em um IP address. Isto é porque o computador do cliente necessita o IP address encontrar o web server ou o usuário do email que usam o Domain Name. Que isto está feito em três etapas.

  1. O cliente pede o usuário do DNS para o IP address do Domain Name.

  2. O usuário do DNS pergunta sua base de dados e responde com um IP address que combine o Domain Name fornecido.

  3. O cliente conecta ao usuário com o IP address fornecido pelo usuário do DNS.

Entretanto, este processo pode fàcilmente ser abusado emitindo usuários unsuspecting aos locais falsos da correia fotorreceptora, ou distribuindo email que parte através de um computador desautorizado. Isto é realizado escrevendo o IP address errado à base de dados no usuário do DNS. Quando isto acontece, é quase impossível para o cliente realizar que há um problema. A única maneira é se as entradas do usuário do DNS estiverem verificadas especificamente, ou se o usuário do hacker for para baixo.

No caso onde uma entrada do usuário do DNS é cortada, only o email que parte é emitido ao spoofed a posição, a menos que o usuário do email usasse o mesmo usuário do DNS que o cliente. Se este for o caso, todo o email entrante e que parte está distribuído através de um computador desautorizado. Entretanto, para nosso exemplo, nós suporemos que o usuário do email está usando um usuário seguro do DNS para seus lookups do domínio.

No caso onde o usuário do DNS é cortado:

  1. O cliente B pede o IP address para youremail.com.

  2. O usuário cortado do DNS responde com uns 192.168.0.10 forjados.

  3. O cliente B conecta ao usuário do email da falsificação e emite o email.

  4. O usuário da falsificação copía o email e emite-o ao mail server real.

  5. O mail server real, usando o DNS seguro, emite o email ao cliente.

Este scenario podia fornecer um hacker com alguma informação valiosa. Para o exemplo, se o cliente B fosse um doutor ou um advogado, o hacker teria o acesso à informação sensível. Se o cliente B trabalhasse em um projeto do alto-segredo, o hacker poderia vender a informação a uma companhia rival. Ou, se o cliente fosse uma loja em linha da correia fotorreceptora, o hacker poderia capturar cada email da confirmação com endereços dos clientes e/ou números de cartão do crédito.

Como você pode ver, há um potencial vasto para os danos de um spoof do DNS. Se um hacker quer girar um Web site invisível ou capturar o email, o hacker está negando o serviço àqueles que estão usando o usuário cortado do DNS. Felizmente, entretanto, há uma solução para este problema.

Os usuários do DNS podem ser feitos seguros. Entretanto, estima-se que uns 50–75% de todos os usuários do DNS não são seguros. Este é um problema sabido, assim que se você estiver concernido com a possibilidade que seu usuário do DNS não é seguro, contatar seu ISP e lhe perguntar que software usa e se é seguro de um ataque do spoof. Esperançosamente, saberão o que você está falando aproximadamente e d-lhe-ão uma resposta affirmative.

este é um artigo adicionado por Yoko Jelkovich


Disclaimer: Nosso Web site não é responsável para a informação contida por este artigo. Este artigo em nenhuma maneira reflete as vistas, as opiniões, os pensamentos ou a opinião da equipe de funcionários do diretório dos artigos.

Observação da tradução: O artigo "o que são negação de ataques do serviço (ataques do DOS) e como proteger de encontro a eles" foi traduzido usando um serviço de tradução automatizado. Nós desculpamo-nos sincerely por todos os erros da tradução que ocorram. Obrigado compreendendo.


Online: 1703 users browsing the articles directory