? vulnerabilità
? Zombie Staffing
? Strumenti di attacco
? Attacchi di larghezza di banda
? SYN Floods
? Inondazioni di connessione stabilite
? Connections-Per-Second Floods
Metodo 1? vulnerabilità
Gli aggressori possono sforzarsi di mettere in collisione un servizio o un sistema operativo fondamentale in linea retta attraverso una rete. Questi attacchi immobilizzano i servizi sfruttando l';ammortizzatore sparso e altri schivata di realizzazione che esistono in server indifesi. Gli attacchi di vulnerabilità non vogliono che le risorse diffuse o la larghezza di banda commettano; gli attaccanti devono solo conoscere la sopravvivenza di una suscettibilità per essere in grado di svilupparla e causare ferite estese. Una volta che un utente malintenzionato ha il controllo di un servizio, una richiesta o un sistema operativo vulnerabili, abusano dell';apertura per immobilizzare i sistemi e, alla fine, bloccano un';intera rete dall';interno.
Attacco DoS vs DDoS
Metodo 2? Zombie Coscrizione
Le stesse vulnerabilità utilizzate per mettere in collisione un server consentono agli hacker di cambiare PC vulnerabili in zombie Distributed Denial of Service. Una volta che l';hacker sviluppa la predisposizione ad aumentare la gestione del sistema, pianta una backdoor nel sistema per un uso successivo nel commettere attacchi DDoS. Il Trojan o una malattia simile fornisce una scia al sistema. Una volta che l';attaccante ha il percorso, controlla tenuamente la rete, rendendo il server uno :Zombie:? che aspetta l';autorità di attacco data. Usando questi zombi, gli attaccanti possono inviare un gran numero di attacchi DoS e DDoS con segretezza. I virus possono anche essere usati per la coscrizione di zombi. Ad esempio, il bug di MyDoom è stato progettato per convertire PC in Zombi che hanno attaccato SCO e Microsoft in un momento prestabilito programmato nel virus. Altri virus si adattano alle backdoor che consentono agli hacker di aprire attacchi coordinati, aumentando la condivisione degli attacchi attraverso le reti intorno alla sfera. Le seguenti figure descrivono in dettaglio come gli attaccanti effettuano e iniziano questi attacchi contro una rete.
Metodo 3? Strumenti di attacco
Attraverso il reclutamento di zombi, gli hacker utilizzano canali di comunicazione segreti per contattare e gestire i loro militari zombi. Possono scegliere tra centinaia di programmi backdoor disponibili sul mercato e strumenti tradizionali da siti Web. Questi strumenti e programmi iniziano questi attacchi per penetrare e controllare le reti come eserciti di zombi per passare ulteriori attacchi dall';interno. Una volta che hanno i sistemi zombi, possono usare altri strumenti per inviare un comando solitario a tutti gli zombi contemporaneamente. In alcuni casi, i comandi vengono trasportati in pacchetti ICMP o UDP che possono aggirare i firewall. In altri casi, i telefoni degli zombie? creando un collegamento TCP al master. Una volta creata la relazione, il maestro può gestire lo Zombi.
Gli strumenti utilizzati per attaccare e controllare i sistemi comprendono:
? Tribe Flood Network (TFN)? Riflettori puntati su Smurf, UDP, SYN e ICMP si applicano alle inondazioni.
? Tribe Flood Network 2000 (TFN2K)? La versione aggiornata di TFN.
? Trinoo? Si concentra sulle inondazioni UDP. Invia pacchetti UDP a porte di possibilità casuali.
La dimensione è configurabile.
? Stacheldraht? Strumento software che si concentra su TCP, ACK, TCP NULL, HAVOC, alluvioni DNS e alluvioni di pacchetti TCP con intestazioni casuali.
Gli strumenti DDoS stanno crescendo sia in termini di completamento nascosto dei canali che di metodi di flooding DDoS. I nuovi strumenti sfruttano numeri di porta casuali o funzionano su IRC. Inoltre, gli strumenti più intelligenti mascherano abilmente i pacchetti inondazioni come richieste legali di servizio e / o offrono un alto grado di probabilità. Questi miglioramenti rendono sempre più difficile per un dispositivo di filtraggio delle porte dividere i pacchetti di attacco dal traffico legale.
Metodo 4? Attacchi di larghezza di banda
Quando viene aperto un attacco DDoS, può spesso essere rilevato come un cambiamento importante nell';opera d';arte aritmetica del trasferimento di rete. Ad esempio, un sistema tipico potrebbe consistere nell';80 percento di TCP e in una combinazione del 20 percento di UDP e ICMP. Un cambiamento nel mix aritmetico può essere un segnale di un nuovo attacco. Ad esempio, la larva di Slammer ha provocato un afflusso di pacchetti UDP, mentre il worm Welchi ha formato un flusso di pacchetti ICMP. Tali picchi possono essere attacchi DDoS o cosiddetti attacchi zero-day? attacchi che sviluppano vulnerabilità segrete.
Metodo 5? SYN Flood
Uno dei tipi più comuni di attacchi DoS è SYN Flood. Questo assalto può essere lanciato da uno o più equipaggiamenti dell';attaccante per impedire l';accesso all';azione a un server di destinazione. L';attacco utilizza il dispositivo utilizzato per trovare una connessione TCP. Ogni collegamento TCP richiede la conclusione di una stretta di mano a tre vie prima che possa passare i dati:
? Richiesta di connessione? Primo pacchetto (SYN) inviato dal supplicante al server, preliminare alla stretta di mano a tre vie
? Richiesta di conferma? Secondo pacchetto (SYN + ACK) inviato dal server al richiedente
? Connessione completata? Terzo pacchetto (ACK) inviato dal supplicant al server, implementazione dell';handshake a tre vie
L';attacco consiste in un flusso di pacchetti SYN non accettabili con indirizzi IP di origine falsificati. L';indirizzo di origine falsificato fa sì che il server di destinazione reagisca a SYN con un SYN-ACK a un computer di origine non utilizzato o assente. L';obiettivo attende quindi un pacchetto ACK dalla sorgente per completare il collegamento. L';ACK non arriva mai e lega la tabella delle connessioni con una connessione in attesa chiedendo che ciò non sia affatto completo. La panchina si riempirà rapidamente e divorerà tutto il capitale ottenibile con richieste non valide. Sebbene il numero di voci di collegamento possa differire da un server a un altro, le tabelle potrebbero riempire solo centinaia o migliaia di richieste. Il risultato è una negazione del servizio poiché, una volta che una tabella è piena, il server di destinazione non è in grado di soddisfare richieste legittime. La difficoltà con gli attacchi SYN è che ogni richiesta in separazione sembra benigna. Una richiesta inaccettabile è molto difficile da distinguere da quella legale.
La complessità con l';assalto SYN è che ogni richiesta in separazione sembra preoccupante. Una richiesta non valida è molto difficile da distinguere da quella legale.
Metodo 6? Alleanza di connessione stabilita
Un Flood Connection riconosciuto è uno sviluppo dell';attacco SYN Flood che impiega una serie di zombi per commettere un attacco DDoS su un obiettivo. Gli zombi hanno trovato connessioni apparentemente legali al server finale. Usando un gran numero di zombi, ognuno dei quali crea un gran numero di connessioni al bersaglio, un intruso può fare così tante connessioni che l';obiettivo non è più in grado di credere alle richieste di collegamento lecite. Ad esempio, se mille zombi fanno migliaia di connessioni a un server finale, il server deve eseguire un milione di connessioni aperte. Il risultato è simile a un attacco SYN Flood in quanto divora i fondi del server, ma è ancora più difficile da percepire.
Metodo 7? Collegamenti al secondo Inondazioni
Connections Per Second (CPS) Flood attacca i server flood con un';alta percentuale di connessioni da una fonte apparentemente valida. In questi attacchi, un attaccante o un esercito di zombi tenta di esaurire le risorse del server impostando e eliminando rapidamente le connessioni TCP, magari iniziando una richiesta su ciascun collegamento. Ad esempio, una forza attaccante usa la sua armata zombie per ottenere frequentemente la home page da un server web di destinazione. Il carico risultante rende il server tremendamente letargico.