Перегрузка ресурса

Блокирование сервиса перегрузкой ресурса - это попыткой создания такой нагрузки на выбранные сервера или сетевое оборудование, в результате чего они становятся недоступными для легальных пользователей или перестают работать вообще.

К подобным примерам можно отнести: выход за рамки допустимых параметров интерфейса, переполнение оперативной памяти, достижение предела возможностей процессора, переполнение дискового пространства.

Рассмотрим конкретные виды атак перегрузки ресурсов:

Лавина ping (ping flood)

Средство атаки: pingflood.c (Здесь и далее я буду давать название исходных программ на С, которые положены в основу большого количества других программ. Исходный код большинства этих программ Вы сможете легко найти в Интернет) посылает атакуемому узлу большое число ICMP Echo Request (запросы отклика ICMP).

Средство атаки: smurf.c - посылает большое число запросов ICMP Echo Request по широковещательному адресу, указывая в качестве отправителя адрес «узла-жертвы». Когда пакет с запросом отклика достигнет сети назначения, все узлы сети посылают пакеты ICMP Echo Reply (ответ на запрос отклика) по фальсифицированному адресу. При этом, каждый запрос порождает множество ответов. Генерируемый поток сообщений в адрес соответствующего узла создает перегрузку.

fraggle является версией smurf, использующей протокол UDP.

Контрмеры

- Запрет ответов на пакеты ICMP Echo Request на пограничных маршрутизаторах

- Отключение возможностей широковещания.

Лавина SYN (SYN flood, атака полуоткрытых соединений)

Средства атаки: neptune.c, synk4.c

Инициализация большого числа TCP соединений с некоторым портом без завершения процесса инициализации, в результате чего, легальные пользователи не имеют возможности открыть новое соединение.

SYN атака - это одна из наиболее распространенных атак типа "отказ в обслуживании". В случае удачно проведенной SYN атаки можно сделать неработоспособным какой-либо сервис, основанный на TCP протоколе.

Чтобы разобраться в механизме этой атаки, нужно понять принцип работы процесса установления соединения для TCP протокола.

Процесс установления соединения TCP протокола проходит в 3 этапа:

1. Клиент посылает пакет серверу со специальным флагом, который называется SYN flag. Наличие такого флага показывает, что клиент хочет установить соединение.
2. Сервер в ответ посылает пакет, содержащий как флаг SYN, так и флаг ACK; это значит, что сервер принял запрос о соединении и ждет от клиента подтверждения для его установления.
3. Клиент после получения пакета с SYN и ACK флагами посылает в ответ пакет, содержащий только флаг ACK, который указывает серверу, что соединение успешно установлено.

Все полученные сервером запросы о соединениях хранятся в специальной очереди, имеющей заранее определенный размер, зависящий от операционной системы. Они хранятся там до тех пор, пока сервер не получит от клиента информацию об установленном соединении. Если сервер получает пакет с запросом о соединении и очередь заполнена, этот пакет отбрасывается.

SYN атака заключается в отправке определенному серверу большого количества пакетов с запросами о соединении. Эти пакеты посылаются с несуществующим адресом источника. Сервер после получения этих пакетов, посылает ответный пакет и ждет подтверждения от клиента. Поскольку адрес источника пакетов не существует, сервер никогда не получит подтверждения.

Спустя некоторое время на данном сервере очередь для хранения запросов об установлении соединения полностью заполнится. С этого момента, все запросы на установление соединений будут отбрасываться, а сервис окажется бездействующим. Бездействие будет продолжаться в течение нескольких секунд, пока сервер, обнаружив, что подтверждение соединения не приходит слишком долго, не удалит эти ожидающие соединения из очереди. Однако, если атакующий настойчиво продолжает посылать подобные пакеты, сервис будет оставаться бездействующим столько времени, сколько захочет нарушитель.

Контрмеры:

- Использование последних реализаций системного сетевого ПО, более устойчивых к подобным атакам

- Использование системы защиты от атак SYN, встроенной в различные реализации брандмауэров (сетевых экранов)

- Использование системы обнаружения вторжений (IDS)

Пакетный шторм

Средства атаки: chargen, pepsi5.c, “бомба” UDP

chargen 19/tcp ttytst source

chargen 19/udp ttytst source

Протокол chargen, генератор символов в тестовых целях, присутствует в ОС UNIX и Windows, и работает с портом 19. Посылает последовательность ASCII символов на указанный узел.

Атакующий компьютер посылает поток UDP-пакетов с фальсифицированным IP-адресом источника по широковещательному адресу подсети. Каждый узел подсети отвечает на данные сообщения, в результате чего возникает лавина пакетов UDP, что приводит к отказу в обслуживании.

Контрмеры:

- Отключение отклика на chargen на всех машиных

- Закрытие используемых chargen портов сетевыми средствами

Pepsi5.c “заваливает” цель UDP-пакетами, содержащими случайные адреса источника

“Бомба” UDP формирует пакеты с некорректными значениями поля длины в заголовке пакета, что в некоторых узлах вызывает “панику” ядра (т.е. регистрируемую ядром системы внутреннюю ошибку, которую система считает достаточно серьезной, чтобы прекратить работу).

Контрмеры:

- Установка обновлений ОС

- Закрытие неиспользуемых сервисов и портов

Дата добавления: 2014-01-07; Просмотров: 359; Нарушение авторских прав?; Мы поможем в написании вашей работы!