Защита от DDOS атак


Сниффинг - это обычная методика атаки, собирающая в локальной сети информацию, которая может включать имена и пароли пользователей, ценные файлы или электронную почту. Сегодня доступно огромное число инструментальных средств для сниффинга. Пассивные снифферы собирают трафик в ЛВС, не пытаясь манипулировать потоком данных в сети. Snort и Sniffit - два лучших из имеющихся пассивных снифферов.

Активный сниффинг включает введение трафика в сеть для переадресации пакетов на прослушивающую машину. Активные методы сниффинга позволяют атакующему прослушивать в коммутируемой среде, заваливая коммутаторы огромным количеством МАС-адресов или обманывая протокол определения адресов.

Кроме того, вводя в сеть поддельные ответы DNS, атакующий может переадресовать поток трафика от указанного адресата к системе нападающего. Наконец, используя активные методы сниффинга, атакующий способен организовать атаку типа «человек посредине» с целью чтения трафика в зашифрованных сеансах SSL и SSH. Dsniff является одним из наиболее мощных активных инструментов сниффинга, поддерживая все эти возможности.

Для защиты против атак сниффингом следует применять защищенные протоколы, включающие сильную идентификацию и шифрование. Если ваш браузер или клиент SSH предупреждают, что сертификат или ключ шифрования неверны или изменены, вы должны в этом разобраться. Избавьтесь также от концентраторов на чувствительных сетях, заменив их коммутаторами, обеспечивающими более высокий уровень безопасности. Наконец, в партнерских программах сетей, обрабатывающих критически важную информацию, включите защиту на уровне портов коммутаторов, чтобы привязать МАС-адреса к конкретным разъемам коммутатора.

Спуфинг IP-адресов позволяет атакующим посылать трафик, который кажется исходящим от машины с другим IP-адресом. Этот тип атаки полезен при создании ловушек, обходе фильтров и получении доступа к системам, использующим IP-адреса для идентификации. Множество методов поддерживает спуфинг IP-адресов, включая простую замену IP-адреса, манипулирование г-командами UNIX и применение возможностей исходной маршрутизации протокола IP.

Защита против спуфинга IP-адресов включает своевременную установку патчей на стеки TCP, избегание слабых r-команд UNIX, создание приложений cpa сети, которые не полагаются при идентификации на IP-адреса, и развертывание фильтров для противодействия спуфингу. Кроме того, вам следует сбрасывать все прямомаршрутизированные пакеты на границах своей сети.

Методы перехвата сеанса позволяют атакующему отбирать активный сеанс типа telnet или FTP у законного пользователя. Атакующий похищает этот сеанс, получая право вводить команды и просматривать их результаты. Методы перехвата сеанса могут применяться через сеть или на отдельном хосте. Сетевые методы перехвата сеанса часто приводят к АСК-буре из-за попыток систем восстановить синхронизацию своих соединений.

Некоторые атакующие стремятся получить доступ к системам, используя множество творческих методов для достижения цели. Другим атакующим это не нужно - они хотят лишить доступа законных пользователей или остановить критические системные процессы. В таком случае они применяют множество методов нападения, чтобы не допустить обслуживания.


DoS атаки и защита



В сообществе специалистов по компьютерной безопасности такие атаки - «отказ в обслуживании» (Denial-of-Service - DoS) - часто называют просто ddos-атаками.

Вообще говоря, большинство ddos-атак не являются ни ужасно захватывающими, ни технически изящными. Атакующий просто хочет сломать вещь, так что особой хитрости здесь нет. Как правило, они раздражают. Результатом многих атак становится системный сбой, что досаждает системному администратору партнерок, который вынужден перезапускать какой-то сервис или перезагружать машину.

Однако некоторые действия не только вызывают раздражение. Некоторые приемы являются частью более сложных атак. К тому же и сами ddos-атаки могут причинять серьезный ущерб жизненно важным системам. Фирма, чей бизнес опирается на электронные сделки, может понести значительные убытки, если ее системы выйдут из строя даже на короткое время.

ddos-атаки в общем разделяются на две категории: прекращение сервисов и истощение ресурсов. Прекращение сервиса означает сбой или отключение конкретного сервера, к которому хотят обратиться пользователи. При атаке на истощение ресурсов, с другой стороны, сам сервис все еще выполняется, но атакующий расходует компьютерные или сетевые ресурсы с тем, чтобы помешать пользователям получить этот сервис.


Прекращение выполнения локальных сервисов



Обе категории могут быть начаты локально или через сеть. Пользуясь локальным правом доступа на машине, атакующий вполне способен провести ддос-атаку для остановки важных процессов, образующих сервисы. Например, в системе UNIX атакующий с привилегиями пользователя root может завершить процесс inetd.

inetd отвечает за слушание сетевых соединений и запуск особых сервисов типа telnet и FTP при прибытии для них трафика. Завершение inetd лишит любого пользователя возможности доступа к этой системе через любые сервисы, запущенные inetd, включая telnet и FTP. Атакующий не расходует ресурсы, просто отключая критически важную составную часть подобных сервисов.

Атакующие, имеющие права доступа к системе, в состоянии выполнять локальные программы и организовывать ввод непосредственно в процессы на этой машине при помощи локальных прав доступа. Атакующий может получить право доступа как инсайдер (служащий или подрядчик) или при помощи определенных методов получения доступа. У атакующего с локальным правом доступа к машине есть множество методов для прекращения локальных сервисов, например:

уничтожение процесса: атакующий с достаточными привилегиями (root на UNIX-системе или Adiministrator на машине Windows) вправе просто уничтожить локальные процессы в ддос-атаке. Когда такой процесс, типа серверов Web или DNS, не выполняется, он не может обслужить запросы пользователей;

переконфигурация системы, атакующие с достаточными привилегиями способны переконфигурировать систему так, чтобы она больше не предлагала какой-то сервис или отфильтровывала определенных пользователей. Например, на файловом сервере легко переконфигурировать машину, просто прекратив совместное использование файлов через сеть и лишив законных пользователей дистанционного доступа к их ценным данным на этом файловом сервере. Кроме того, допустимо переконфигурировать UNIX-систему так, чтобы демон HTTP не запускался, тем самым предотвращая Web-доступ к системе;

аварийное прекращение процесса: даже если атакующие не имеют привилегий супервизора на машине, они могут обрушить процессы, используя уязвимые места системы. Например, атакующий в состоянии начать атаку переполнением буфера, основанного на стеке, вводя произвольно большие количества случайных данных в локальный процесс.
Вследствие того, что указатель возврата, получаемый из стека при такой атаке, случаен, то процесс-мишень просто разрушится, отказывая в доступе пользователю.

Особенно неприятным примером из области ddos-атак является интеллектуальная бомба. В данном случае атакующий устанавливает на машине программу интеллектуальной бомбы, которая приводится в действие с учетом ряда факторов, таких как заданное время, запуск некоторых других программ, вход в систему определенных пользователей и т.д. Как только спусковой механизм такой бомбы срабатывает, программа прекратит или обрушит локальный процесс, отказывая в обслуживании на этой машине.

Атакующие помещают бомбу в систему-мишень и затем звонят туда, объясняя, что система прекратит работу, если организация-мишень не предпримет определенных действий, скажем, не переведет деньги на анонимный счет оффшорного банка.


Автор: pimka21

Еще советуем:
  • Спуфинг
  • Как защитить компьютер от взлома
  • Как работают снифферы
  • Что такое снифферы
  • Защита сайта от взлома паролей
  • Данную страницу никто не комментировал. Вы можете стать первым.
    RSS
                   
           
    Введите символы или вычислите пример:
    captcha