DOS атаки - презентация

[Mozo]

1. TCP SYN претоварващи атаки
2. Land.c атаки
3. Smurf атаки
4. Разпределени атаки от тип “отказ на услуги”
5. Отвличане на сесия (Session Hijacking)
5.1. Открито преправяне
5.2. Скрито преправяне
2
“
DoS (Denial of Service) атаките се използват, за да се
наруши нормалното функциониране на дадена система или
мрежа. Нарушителят цели да претовари системата или
дадения мрежов ресурс, което да доведе до невъзможност
за обработка на постъпващите пакети, в следствие на което
те биват отхвърляни (drop). Целта на атакуващия е да се
откаже достъп на легитимни потребители до съответната
услуга. Този вид атаки често се използват в комбинация с
други атаки, като целта им е да елиминират системите за
сигурност преди реалната атака. Най-често при DoS атака
се прави опит да се отворят множество фалшиви TCP
връзки. Също така се използва и фалшив ICMP и UDP
трафик. Устройството, към което е насочена атаката, се
опитва да обработи всички заявки за връзки и по този начин
изчерпва наличните си ресурси.
3
1. TCP SYN претоварващи
атаки
Тези атаки са базирани на
механизма на установяване на TCP
сесия (TCP three-way handshake).
Установяването на връзката при
TCP се извършва от тройна
размяна на пакети, както е
показано на фигура 6:
4
1. TCP SYN претоварващи атаки
В примера клиентът се опитва да установи връзка с уеб сървъра.
Първо той изпраща SYN (синхронизиращ) пакет до сървъра с цел
да се синхронизират поредните номера на TCP пакетите, които ще
се обменят между клиента и сървъра. SYN пакетът съдържа ISN
(initial sequence numbers) на клиента и флагови полета със
следните стойности SYN=1, ACK=0. С втория пакет сървърът
едновременно потвърждава, че е получил ISN номерата на
клиента, и изпраща своите ISN номера (SYN=1, ACK=1).
Последната стъпка в този процес на обмяна, е пак от страна на
инициатора, който изпраща потвърждение (ACK пакет) на сървъра.
Връзката вече е установена.
5
1. TCP SYN претоварващи
атаки
При TCP SYN претоварването (фиг. 7) се
получава претоварване на мишената на
атаката чрез използване на множество
подправени (spoofed) SYN пакети (изпращат
се от фалшиви IP адреси – IP spoofing) ,
които имитират валидни заявки за връзки.
Тези пакети биват изпратени до сървъра,
който отговаря със SYN-ACK пакети, но
последната стъпка от процеса
(потвърждаването с ACK пакети) не
настъпва.
6
1. TCP SYN претоварващи атаки
Изградените връзки са в т.н. полуотворено състояние. При
достатъчно голямо количество SYN пакети, изпратени от
нарушителя, обектът на атаката се претоварва и спира да отговаря
на всички постъпващи заявки за връзки, включително и на
реалните. Получава се отказ на обслужване. Подправянето на SYN
пакетите най-често се състои в подмяна на адреса на подателя, с
цел да се прикрие самоличността на атакуващия или да се
заобиколи дадена защитна стена, като се използва адрес, който е
разрешен от нейният лист за контрол на достъпа. Допълнително
тази техника нанася двойна вреда, защото освен мишената, и
машините, чиито IP адреси са използвани при атаката, получават
множество пакети от самата мишена.
7
1. TCP SYN претоварващи атаки
Всяка полуотворена връзка (използва се термина ембрионална
връзка) заема ресурс, и следователно броят на тези връзки е
краен. След достигане на този брой, устройството спира
комуникациите с потребителите, докато тези ембрионални връзки
не се затворят и изчистят от стека. SYN атаките са прости атаки, но
те все още се използват масово и имат успех.

Целият материал: