Uvod do DoS atackov

18.11.2001 18:04 | blackhole

Tento article je uvodom do serialu (2-4 ) o DoS a neskor dDoS utokoch. Rozpiseme si princip a zakladne DoS utoky. DoS utoky (denial of service) cize "odoprenie sluzby" alebo "vyradenie z cinnosti" spocivaju v tom, ze cielenim konanim dostaneme nejaku sluzbu (httpd,ftpd) alebo aj cely server do stavu, ze nebude schopny dalsej prace a dojde ku crashu v lepsom pripade rebootu servera/sluzby.

Vystrajat taketo nepristojnosti nam dovoluje samotna rodina tcp/ip protokolov, ktora uz od svojho zaciatku bola orientovana hlavne na funkcnost a nie bezpecnost. Neskor sa zacali zavadzat aj bezpecnostne opatrenia ktore nie su vsak moc "bezpecnostne";). DoS utoky vecsinou vyuzivaju chyby do stvrtej (transportnej) vrstvy. avsak nie je to pravidlom.
DoS utoky oproti "prienikom" (penetration) sa ovela lachsie uskutocnuju a pomerne tazko sa proti nim brani. z coho plynie aj ich oblubenost.

preco ale uskutocnovat takyto typ utoku?

- Bud sa chce nejaky lamer ukazat ze nieco dokaze
- Z pomsty
- Ako sucast prieniku

Aj DoS utoky sa rozdeluju na lokalne a vzdialene (remote). Teraz si uvedieme najcastejsie typy utokov s ich kratkym popisom. V dalsej casti serialu si popiseme jednotlive typy utokov podrobnejsie a ukazeme si ako to funguje.

ICMP bombardovanie
v tomto type utoku sa zneuzivaju ICMP (internet control message protocol) spravy. najcastejsimi byvaju: ICMP redirect ICMP host/network unreachable

Aplikacne bombardovanie
(aplication bombardment) je zalozene ne vycerpani dostupnych zdrojov na uzle ktory poskytuje urcitu sluzbu. cize utocnik vytvori velky pocet poziadaviek na sluzbu. alebo jednoducho vyuzije nejaku chybu (bug) v sluzbe.

Smurfing
utok zalozeny taktiez na ICMP spravach,presnejsie: posielanim ICMP echo so sfalsovanou zdrojovou IP adresou na broadcast adresu rozsiahlej siete.

SYN flooding
utok zalozeny na zaplavovani (floode) obete ciastocne otvorenymi TCP spojeniami. a tym zatuhnutie prostriedkov OS.

ping of death
v dnesnej dobe takmer uz nepouzitelny. vyuzival program ping pomocou ktoreho vysielal velke pakety ktore sposobily pretecenie vyrovnavacich pameti a tym prepisanie kritickych struktur napadnuteho OS.

winnuke
nie je to len znamy program ale aj typ utoku. vyuzival zlu implementaciu tcp protokolu vo windowse, ktory nevedel spracovat data mimo tcp kanal (out of band data). po prijati tychto dat wokna padali alebo sa len tak nenapadne chovali nekorektne ;

teraz menej narocne(lamo) a "takmer" uz nezneuzitelne utoky:

znemoznenie pristupu
niektore systemy su nastavene tak, ze po niekolkonasobne zlej autentifikacii jednoducho zakaze prihlasovanie do systemu. ak toto spravime na root_a, zakazeme prihlasenie rootovi a system sa musi restartovat. kedze ide o dost lachko zneuzitelnu chybu casto ju uz nevyuzijete.

E-mail spamming
jednoduchym posielanim obrovskeho mnozstva fake mailov zahltite smtp server. a ostatny nebudu moct maily odosielat.

zaplnenie HDD,ftp
ak su na danej masine resp. ftp serveri zle nastavene kvoty, prava na zapisovanie, alebo prava anonymnych uzivatelov mozeme zaplnit hdd,ftp jednoduchym nakopirovanim velkych udajov a tak znemoznit dalsie zapisovanie na hdd. ak najdete takuto masinu, mozete si byt isty ze nema ani jedno bezpecnostne opatrenie takze mozete robit s nou viac veci ako len zaplnit hdd :

toto by na uvod hadam stacilo. v dalsej casti si povieme a poriadne rozpise utoky zalozene na vyuzivani chyb v ICMP spravach (bombardovanie,smurfing,ping of the death). neskor v dalsich castiach si rozpytvame ostatne utoky. pre nedockavych mam radu: www.google.commis0 truban