Защита против локального истощения ресурсов


Чтобы защититься от DDOS атак локальным истощением ресурсов, примените принцип наименьшего количества привилегий при создании и поддержании прав доступа пользователей на машине.

Кроме того, убедитесь, что ваши особо важные системы имеют адекватные ресурсы, включая память, скорость процессора и пропускную способность линий связи. Наконец, подумайте о развертывании на главном компьютере системы обнаружения вторжения или другого инструментального средства мониторинга операционной системы партнерки, которые предупредят вас о том, что ресурсы системы сократились, указывая, возможно, на этот тип атаки.


Дистанционное прекращение сервисов



Хотя локальные ddoS-атаки часто очень просты и вполне эффективны, дистанционные намного более распространены. DDoS-атаки через сеть пользуются популярностью, потому что не требуют от атакующего локальных прав доступа к машине и могут быть проведены против жертвы с собственной системы атакующего.

Одним из наиболее распространенных методов дистанционного завершения сервисов является атака «битыми» (malformed) пакетами. Такие атаки используют ошибку в стеке TCP/IP машины-мишени, посылая один или несколько необычным образом отформатированных пакетов. Если машина-мишень уязвима к конкретному «битому» пакету, она даст сбой, возможно, прерывая определенный процесс, всю сетевую связь или даже вызывая остановку операционной системы жертвы. Изобретено огромное число атак «битыми» пакетами с причудливыми и экзотическими названиями.

Этот зверинец эксплойтов полагается на множество приемов для создания пакетов со структурой, не предусмотренной разработчиками стеков TCP/IP. Каждый из указанных эксплойтов посылает один пакет или, максимум, небольшой поток пакетов компьютеру-мишени, вызывая его сбой.

Подобные атаки создают необычные или незаконные условия фрагментации пакетов (например, Teardrop, NewTear, и Bonk), в то время как другие посылают неожиданно большие пакеты (такие, как Ping of Death), обманные пакеты с непредвиденными номерами портов (Land) или неожиданные мусорные данные в открытый порт (Winnuke).

До сих пор атакующие натыкаются на системы, которые не были исправлены для предотвращения даже настолько старых атак. Другие атаки являются недавними открытиями. Новые слабые места типа уязвимости от «битых» пакетов и сегодня постоянно обнаруживаются и распространяются в компьютерном андеграунде.

Имеются даже наборы партнерских программ для атаки «битыми» пакетами, которые связывают группу эксплойтов в одну исполняемую программу. Если атакующие не уверены, является их мишень уязвимой к Bonk, Newtear или чему-нибудь еще, они могут использовать подобный набор программ. Эти инструментальные средства запускают десятки различных вариантов dDoS-атак, используя одну удобную исполняемую программу. Атакующий наводит инструмент на мишень и стреляет. К наиболее мощным наборам относятся Targa, написанный Mixter, и Spike, созданный Spikeman.

Другой способ эффективной дистанционной остановки сервиса состоит в том, чтобы запретить ему связь через cpa сеть. Спуфинг ARP является особенно эффективным методом манипуляции связью в ЛВС для создания dDoS-атаки. Атакующий, имеющий права доступа к машине в той же ЛВС, что и жертва, может использовать программу arpspoof из пакета Dsniff.

Посылая единственный обманный пакет ARP маршрутизатору в ЛВС, атакующий способен отравить кэш маршрутизатора ARP таким образом, чтобы он посылал пакеты, направленные на IP-адрес машины-мишени, по несуществующему в этой ЛВС МАС-адресу. Даже при том, что все пакеты будут посланы в ЛВС, машина жертвы не будет получать какого-либо трафика, приводя к своего рода ddoS-атаке, только не путем повышенной нагрузки на атакуемый компьютер, а, наоборот, остановкой коммуникации с ним.

Посредством спуфинга ARP машина-мишень фактически отключена от сети. Cообщение ARP может путешествовать только внутри ЛВС и не передается через маршрутизаторы. Поэтому, чтобы использовать данный метод, атакующий должен захватить машину в той же ЛВС, где находится система-мишень, чтобы посылать жертве сообщения ARP.

Еще советуем:
  • Защита против прекращения локальных сервисов
  • Защита от DDOS атак
  • Как защитить компьютер от взлома
  • Способы получения доступа к компьютеру
  • Защита сайта от взлома паролей