.
La smentita di servizio è la categoria di attacchi che causano una perdita di servizio, o di incapacità funzionare. Vengono in molte forme e colpiscono molti obiettivi differenti. I risultati inscatolano durano i minuti, le ore, o i giorni e possono avere effetto sulle prestazioni della rete, sull'integrità di dati e sul funzionamento di sistema.
Il primo attacco del DOS di importanza era la vite senza fine di Morris, valutata per prendere circa 5.000 macchine dalla commissione per parecchie ore. Quando (novembre del 1988), era un disastro per accademico ed i centri di ricerca ma hanno avuti poco effetto sul resto del mondo. Oggi, il DOS paragonabile attaca, come quelli contro Yahoo!, Amazon ed altri luoghi importanti di fotoricettore (febbraio del 2000), hanno provocato milioni di dollari nel commercio perso ed in reddito. La frequenza della smentita degli attacchi di servizio sta aumentando ad un tasso alarming, dovuto in parte alla prevalenza degli attrezzi scritti a questo fine. La complessità degli attacchi inoltre sta prendenda ai nuovi livelli, che affida l'esigenza delle pratiche rigorose di sicurezza e l'esecuzione in mandato di nuovi meccanismi di protezione.
Molto la smentita degli attrezzi di servizio è scritta come esempi di codice di prova-de-concetto per dimostrare le insicurezze all'interno dei sistemi operativi comuni, quali Windows, Linux, Solaris ed il UNIXes BSD-DERIVATO. La vite senza fine di Morris era un esperimento nella computazione distribuita, anche se in poco validamente fatti. Le povere pratiche di sviluppo e un'omissione introdurre la sicurezza presto nelle nuove applicazioni e nei sistemi operativi inducono molti di questi problemi utilizzabili ad esistere. La difficoltà crescente della progettazione e dell'organizzazione di rete spinge i limiti di tecnologia corrente ed esacerba le nuove vulnerabilità. La presenza della smentita di servizio è una spada a doppio taglio. Su una mano, che le circostanze esistono per permettere che la smentita delle tecniche di servizio proliferi. D'altro canto, la relativa presenza fa parte dello sviluppo di tecnologia che genera gli più alti prodotti e le applicazioni di sicurezza.
Il campione per sicurezza è aumentato notevolmente e questo è apparente con la reazione alla smentita degli attacchi di servizio. Recentemente siamo soltanto che vediamo la legislazione che si occupa di questa forma dell'attacco. Più non è considerato un prank silly quando il reddito è perso nella nostra economia Internet-guidata.
La smentita degli attacchi di servizio è portata generalmente sopra sfruttando i difetti di programmazione nel software e scrivendo i programmi specializzati di cui lo scopo è realizzare gli attacchi. La smentita degli attacchi di servizio funziona generalmente in uno di seguenti sensi:
· Consumo di larghezza di banda
· Saturazione delle risorse
· Arresto di applicazione e del sistema
Il consumo di larghezza di banda è un attacco contro le risorse della rete e si riferisce all'uso completo della larghezza di banda disponibile della rete da un calcolatore o dai calcolatori d'attacco. Ciò rende la risposta della rete lenta o arresta l'assistente completamente mentre l'attacco è continuo e causa un'incapacità di raggiungere i servizi quali i luoghi di fotoricettore, email e lime. La saturazione delle risorse designa i sistemi di elaborazione come bersaglio specifici che forniscono i servizi quali il fotoricettore, il email, il DNS ed il ftp e li inducono a ritardare o fermarsi. Gli arresti di applicazione e del sistema provocano la smentita di servizio, poichè il sistema o il software particolare congela, arresti.
Ogni rete può sostenere soltanto una quantità limitata di traffico della rete contemporaneamente e questo importo dipende da alcuni fattori: velocità della rete, tipi dell'apparecchiatura e le loro prestazioni. I collegamenti di comunicazione comuni da un ISP ad un'organizzazione sono ISDN, DSL, a banda larga (per mezzo dei modem di cavo), T1 e T3. Questi tipi di collegamento inoltre riflettono le possibilità differenti di larghezza di banda. Le topologie della rete locale del terreno comunale (lan) usano il 10BaseT e 100BASE-T.
La smentita di servizio tramite il consumo di larghezza di banda accade quando l'intera capienza del collegamento della rete è usata. Quando la capienza di larghezza di banda della rete è raggiunta, i nuovi dati della rete non possono essere trasmessi. Ciò significa i nuovi collegamenti al Internet, assistenti di lima, assistenti di fotoricettore, assistenti del email, o qualunque altra funzione che richiede la comunicazione della rete non funzionerà. I collegamenti che già sono stabiliti ritarderanno ad un crawl, freeze, o sono staccati.
Gli attacchi contro la larghezza di banda possono accadere via i programmi di attacco ed il misconfiguration specializzati dell'apparecchiatura della rete. Misconfiguration dell'apparecchiatura della rete include tutto il dispositivo che collega alla rete, quali i sistemi di elaborazione, ai routers, agli interruttori e ad altri dispositivi.
Gli attacchi di larghezza di banda sono attivi; la smentita di servizio accade soltanto finchè la larghezza di banda completamente è usata. Non appena il programma d'attacco smette di trasmettere i dati o il dispositivo è configurato correttamente, la larghezza di banda diventa ancora disponibile. La maggior parte della funzionalità della rete rinvierà al normale, tranne alcuni collegamenti che potrebbero avere bisogno di di ricominciare.
Gli attacchi comuni includono le imprese protocollo-basate che consumano la larghezza di banda della rete trasmettendo i dati messi della rete. Il dispositivo di accesso, quale un router, può guastarsi mentre è inundated con più traffico che esso può procedere. Un'altra forma degli attacchi di larghezza di banda conta sulla reazione dei sistemi e dei dispositivi rete-collegati ai dati specifici della rete. Molti o tutti i calcolatori sulla rete dell'obiettivo possono essere fatti per rispondere simultaneamente a traffico della rete quali le radiodiffusioni del IP (pacchetti del IP che sono trasmesse all'indirizzo di radiodiffusione di una rete anziché ad una macchina specifica), quindi consumanti tutta la larghezza di banda disponibile. L'attacco "di Smurf" è un esempio popolare di questa forma dell'attacco.
Come una rete, ogni sistema di elaborazione inoltre ha un insieme limitato delle risorse compreso la memoria, l'immagazzinaggio e la capienza del processor. La saturazione delle risorse è l'evento dell'esaurimento tutto l'uno o più di queste risorse, che non ne lasci per altre applicazioni. L'inondazione di SYN è un esempio popolare di un attacco che usa tutte le risorse disponibili della rete su un sistema.
Ogni sistema operativo che sostiene la connettività della rete di TCP/IP presenta le limitazioni del numero di collegamenti che possono essere effettuati contemporaneamente. L'inondazione di SYN sfrutta la stretta di mano a tre vie di un collegamento di TCP. L'inondazione di SYN riesce generando "metà-apre" i collegamenti sull'orificio sull'assistente dell'obiettivo. Metà-apra i collegamenti sono quelli in cui la stretta di mano a tre vie non è completata. Normalmente, la stretta di mano completa, o cronometra fuori, inducendo il collegamento ad essere cancellato. Ogni orificio può sostenere soltanto un numero limitato di metà-apre i collegamenti e quando questo numero è oltrepassato, nessun altro nuovo collegamento può essere fatto. Trasmettendo soltanto il primo pacchetto della stretta di mano di TCP con il invalid o spoofed gli indirizzi di fonte, l'assistente risponde al pacchetto di SYN con un riconoscimento. Poiché questo riconoscimento va ad un indirizzo falsificato, la risposta ad esso non arriva mai. Ciò causa un accumulo di metà-apre i collegamenti che sta attendendo per completare, respingenti i nuovi collegamenti dall'essere accettato.
Il web server è un buon obiettivo del campione per una smentita dell'attacco di servizio, anche se tutto il servizio di rete può essere designato. Poichè abbiamo tutto il probabilmente con esperienza, un web server occupato tende a rispondere più lentamente alle nostre richieste. Un po'di conoscenza circa TCP/IP ed il protocollo di trasferimento di hypertext (HTTP) è necessaria capire come questi attacchi funzionano. Una singola richiesta ed il collegamento del HTTP è fatta quando il browser collega al web server. Questa richiesta chiede l'assistente una lima particolare; l'assistente allora trasmette la lima ed il collegamento è chiuso. In queste circostanze, un web server può maneggiare tantissime richieste perché le richieste occorrono solitamente tempo molto corto completare ed arrivano uno dopo un altro. Mentre l'assistente riceve le richieste più simultanee, l'applicazione è caricata come esso procede tutti questi collegamenti allo stesso tempo. Anche con questo rallentamento, il web server può ancora funzionare.
Per indurre il web server ad arrestare funzionare, il attacker deve aumentare il tempo necessario per maneggiare questi collegamenti o per aumentare l'alimentazione di elaborazione stata necessaria per maneggiare ogni. Un inondazione di SYN contro un web server rende l'assistente incapace accettare i nuovi collegamenti eccedendo il numero massimo dei collegamenti per l'orificio esso usi. L'inondazione di SYN è difficile da difendere contro. Se il attacker forgia i pacchetti per osservare come se stiano venendo da un sistema unreachable, l'assistente non ha senso di sapere che non sono traffico tipico. L'assistente allora risponde come a qualunque altro collegamento e gli aspett un prespegnimento da accadere prima che lo realizzi dovrebbero chiudere il collegamento. Conforme alla descrizione dell'inondazione di SYN qui sopra, la smentita di servizio si presenta quando il web server riceve tantissimo questi pacchetti forgiati, tanti che non possa maneggiare altri nuovi collegamenti ed inevitabilmente non sia attaccato che aspetta questi collegamenti falsificati al prespegnimento prima che possa continuare a procedere. Gli attacchi simili sono l'inondazione del UDP e del ICMP, che usano altri protocolli per realizzare lo stesso effetto.
Un altro esempio di saturazione delle risorse può accadere con l'uso dei programmi esterni quali i programmi dell'interfaccia di Gateway comune (cgi) con il web server. I programmi che memorizzano i dati in lime sul web server possono essere sfruttati per riempire il disco rigido sull'assistente. Il sistema operativo dell'assistente usa le lime per molta della relativa funzionalità normale e, una volta pieno, può non riuscire spesso a funzionare. Similmente, le applicazioni che assegnano la memoria molto o richiedono l'alimentazione di elaborazione molto per i calcoli complessi possono essere sfruttate per usare tutte quelle risorse, impedendo i nuovi processi ed applicazioni funzionare. Questi attacchi non sono utilizzabili soltanto via il web server—tutto l'accesso al sistema potrebbe permettere che un attacco riesca. La bomba del email è un buon esempio di questa che.
Gli arresti di applicazione e del sistema sono metodi veloci e facili alla smentita di servizio, in cui un difetto di programmazione è utilizzabile ed induce l'applicazione o il sistema operativo a arrestarsi. Un esempio ben noto di questi si arresta include "rumore metallico l'attacco di morte" che usa le richieste surdimensionate di eco del ICMP. La macchina di obiettivo arresterebbe dovuto la manipolazione impropriamente effettuata di questi dati della rete.
Questi attacchi inoltre sono diretti comunemente contro i dispositivi di accesso di rete quali i routers del IP, i routers del cavo, gli interruttori controllati di Ethernet, VPNs ed altri dispositivi specifici di applicazione. Questi dispositivi sostengono spesso certa forma dell'interfaccia dell'amministrazione compreso una linea l'interfaccia (CLI) e un'interfaccia di ordine dell'amministrazione di fotoricettore. Con i vari metodi compreso tantissimi collegamenti simultanei, l'amplificatore trabocca nelle procedure dell'input dell'utente e la convalida di dati impropria, questi dispositivi è stata fatta per arrestarsi. Una smentita dell'attacco di servizio ad un dispositivo di accesso ha un'influenza più larga che un attacco ad una singola macchina perché questi dispositivi sono tipicamente Gateway alle reti multiple.
Molti di questi attacchi possono essere evitati dalla configurazione sicuro del dispositivo della rete. Ciò include le parole d'accesso predeterminate dalla industria cambianti di difetto e la configurazione del dispositivo per permettere l'amministrazione soltanto da un gruppo ristretto delle macchine.
Online: 389 users browsing the articles directory
. |