DoS atakos – principai ir apsaugos mechanizmai

 VILNIAUS GEDIMINO TECHNIKOS UNIVERSITETAS FUNDAMENTINIŲ MOKSLŲ FAKULTETAS INFORMACINIŲ SISTEMŲ KATEDRA DoS atakos – principai ir apsaugos mechanizmai Vilnius 2006 Turinys Turinys - 2 - DoS atakos - 3 - Kas yra DoS atakos ir kam jos naudojamos - 3 - Atakų metodai - 3 - SYN “floodas” - 4 - Paskirstytos DoS atakos - 5 - “LAND” ataka - 5 - “Teardrop“ ataka - 6 - SQL įskiepis - 6 - Apsauga - 8 - Komutatoriai - 8 - SYN Cookies - 8 - Ugniasienė (firewall) - 8 - Routeris - 9 - Apibendrinimui - 9 - Žodynas - 11 - DoS atakos Kas yra DoS atakos ir kam jos naudojamos Kompiuterių apsaugoje DoS ataka (Denial of Service, angl. – Serviso neigimas) yra bandymas išvesti sistemą iš rikiuotės. Taikiniais dažniausiai pasitaiko populiarūs web serveriai tam, kad nebūtų galimybės prisijungti prie web puslapių saugomų juose. Tokios atakos laikomos kompiuteriniais nusikaltimais. DoS atakos skirstomos į dvi pagrindines formas: • Priversti taikinio kompiuterį ar kompiuterius persikrauti arba išvesti iš rikiuotės taip, kad nebeteiktų paslaugų. • Sutrikdyti komunikacijas tarp vartotojų ir taikinio taip, kad jie nebegalėtų adekvačiai bendrauti. Ne visas atakas galime pavadinti DoS atakomis netgi ir kenkėjiškus veiksnius. Kai kurios atakos gali būti vykdomos kartu su DoS atakomis ir DoS ataka gali būti dar didesnės atakos dalis. Nelegalus resursu naudojimas taip pat gali būti DoS atakos rezultatas. Pavyzdžiui įsilaužėlis gali panaudoti FTP serverį kaip nelegalios programinės įrangos saugojimo vietą. Tokiu būdu užimdamas vietą bei sukurdamas nereikalingą tinklo užimtumą. Atakų metodai DoS ataka charakterizuojamas kaip atakuojančiųjų bandymas „nulaužti“ sistemą taip, kad vartotojai nebegalėtų naudotis jos reikiamomis paslaugomis. Žemiau pateikti keli būdai kaip tokios atakos yra atliekamos: • bandoma „floodinti“ tinklą tokiu būtu neleisdami įprastiems vartotojams naudotis tinklu. • bandoma sugadinti serverį siųsdami jam daugiau užklausų nei jis gali apdoroti taip sutrikdydami galimybe naudotis serveriu. • bandoma atkirsti kažkokį konkretų vartotoją nuo priėjimo prie teikiamos paslaugos. Atakos gali būti nukreiptos į bet kokį konkretų tinklo prietaisą, įskaitant ir atakas nukreiptas prieš maršrutizatorius, konkrečius internetinius puslapius, elektroninį paštą ir kt. DoS ataka gali būti atlikta daugeliu būdų. Yra trys pagrindiniai atakų tipai: 1. kompiuterinių resursų sunaudojimas. Pavyzdžiui tinklo srauto sunaudojimas, disko vietos išnaudojimas ar kompiuterio procesoriaus užėmimas. 2. konfigūravimo informacijos sugadinimas. Pavyzdžiui skirstymo (routingo) informacija. 3. fizinių tinklo komponentų sunaikinimas. US-CERT pateikė DoS atakų atpažinimo principus: ◦ interneto ryšys tampa lėtesnis nei įprastai (atidarinėjant nutolusias bylas ar naršant) ◦ negalėjimas prisijungti prie kažkokio konkretaus internetinio puslapio ◦ kai nelieka galimybės naudotis internetiniu ryšiu ◦ labai padidėjęs “Spam’o” kiekis SYN “floodas” SYN “floodas” tai DoS atakos tipas kai į sistemą yra nusiunčiama eilė SYN užklausų su neteisingu siuntėjo adresu. Paprastai, kai klientas bando pradėti TCP prisijungimą su serveriu, serveris ir klientas apsikeičia eile žinučių kurios dažniausiai atrodo taip: 1. Klientas prašo leidimo prisijungti prie serverio siusdamas SYN (sinchronizavimo) žinutę. 2. serveris pripažįsta prisijungimą nusiusdamas SYN-ACK žinute klientui, kuris 3. atsako ACK žinute ir prisijungimas pavyksta. Tai yra vadinama „Tripusiu TCP rankos paspaudimu“. Tai yra visų TCP/IP prisijungimų pagrindu. Toks atakos tipas labai plačiai paplitęs ir gerai žinomas, tačiau jis neveikia su naujesnio tipo tinklų sistemomis. Dažniausia naudojami du atakos metodai ir jų pagrindas yra tas, kad serveris negauna ACK žinutės. Puolantysis gali tiesiog praleisti ACK žinutės siuntimą arba „spoofinti“ siuntėjo IP adresą SYN žinutėje, tuomet serveris siunčia SYN-ACK žinutę į neegzistuojantį adresą ir nebegauna ACK atsako. Abiem atvejais serveris kurį laiką lauks ACK žinutės tarsi tai būtų paprastas per didelis tinklo apkrovimas. Jei tokie pusiau atviri prisijungimai lieka serveryje, jie naudoja serverio resursus. Tokiu būdu galima labai apkrauti serverį. Taip pat kai serveris rezervuoja tokius pusiau atvirus prisijungimus ir kai jie visi yra išnaudojami jis nebeleidžia kurti naujų prisijungimų (legalių ar nelegalių), tokiu būdu sėkmingai įvykdoma DoS ataka. Kai kurios sistemos dėl tokio apkrovimo pradeda sunkiai funkcionuoja, visiškai nustoja veikti arba dėl apkrovimo gali nustoti veikti kai kurie kiti sistemos procesai. Paskirstytos DoS atakos Paskirstyta DoS ataka (DDoS – Distributed DoS attack) yra tada kai kelios užkrėstos sistemos atakuoja vieną taikinį „užkišdami“ serverio tinklą ar išnaudodamos serverio resursus. Dažniausiai tokiu būdu yra atakuojami web serveriai. Sistemos gali būti užkrečiamos įvairiais būdais. Vienas iš tokių būdų – kenksminga programinė įranga. Vienas iš jų – labai gerai žinomas virusas - MyDoom. Tai DoS mechanizmas, kuris pradėdavo veikti tam tikru metu ir puldavo vieną konkretų taikinį. Sistemos taip pat gali būti apkrėstos Trojanais leisdamos puolančiajam į užkrėsta kompiuterį atsiusti kenksminga programinę įrangą, kuri paverčia kompiuterį „zombiu“. Toks kompiuterių užkrėtimo būdas dažniausiai naudojamas serveriams internete. Klasikinis DDoS pavyzdys – Stacheldraht programa. DDoS programos kaip pastaroji dažniausiai naudoja standartinius DoS atakų metodus, kaip IP „spoofinimas“ ar amplifikacija - smurf ir fraggle atakos – jos skirtos interneto srautui perkrauti, SYN „floodai“. Naujesnės programos taip pat gali panaudoti DNS DoS atakom vykdyti. Kitaip nei MyDoom tobulesnė programinė įranga turi galimybė nukreipti atakas prieš bet kokį IP adresą. Mėgėjai dažniausiai tokiomis programomis bando pakenkti gerai žinomiems puslapiams, tuo tarpu daugiau nusimanantys žmonės DDoS naudoja reketui ar net prieš verslo konkurentus. Svarbu pažymėti, kad skirtumas tarp DoS ar DDoS atakų yra tas, kad jei atakuotojas panaudos „smurf“ ataką iš vieno kompiuterio, toks puolimas pus klasifikuotas kaip DoS. Tiesa, bet koks puolimas pasinaudojant sistemos silpnybe, kad ir panaudojant aukšto dažnio energetinius ginklus, kad sugadinti kompiuterį bus klasifikuota kaip DoS ataka, nors ir labai egzotiška. Kita vertus jei puolantysis panaudos tūkstančius užkrėstų kompiuterių atlikti tą pačia „smurf“ ataką vienam serveriui pulti – tokia ataka bus klasifikuota kaip DDoS. “LAND” ataka “LAND” ataka - DoS( Denial of Service - Serviso neigimas) ataka kurios veikimo principas pagrįstas siunčiant “spoofed” paketą į kompiuterį, kuris išveda jį iš darbo režimo. (“Spoofing” ataka tai situacija kada vienas asmuo arba programa nori apsimesti kitu iškreipiant duomenys ir tokiu būdu įgyja neteisėtą privalumą). Pirmą kartą toks DoS atakos būdas buvo atrastas 1997 metais ir po kelių metų vėl atsirado tokiose operacinėse sistemose kaip Windows Server 2003 ir Windows XP SP2. “LAND” ataka apima “spoofed TCP SYN” paketas (ryšio pradžia) su taikinio IP adresu ir atidarytais prievadais šaltinio ir tikslo. Priežastis dėl kurios „Land“ ataka veikia - todėl kad ji priverčia kompiuterį nepertraukiamai visą laiką kreiptis į save. Apibrėžimas: “LAND” ataka apima IP paketus, kuriuose pirminis ir tikslo adresas surinkti į komplektą ir adresuoti i viena prietaisą. Pvz.: (pirma “LAND “ataka): ją apima siuntimas “spoofed” ICMP pranešimą į “chargen” prievadą (character generator – simboliu generatorius) UNUX’so sistemoje. Simbolių generatorius gražina paketą atgal į “echo” prievadą. “Echo” prievadas siųs duomenis atgal į “chargen” ir tai tęsis tol kol įrenginio resursai nebus pilnai sunaudoti. “Teardrop“ ataka „Teardrop“ ataka siunčia IP fragmentus apkraunant sistemos naudingąją apkrovą dideliais paketais. Klaida TCP/IP ‘fragmentation re-assembly’ kode leidžia fragmentams klaidingai veikti, žlugdant operacine sistemą. Windows 3.1.x , Windows 95 ir Windows NT operacines sistemos, taip pat ir Linux’o versijos 2.0.32 ir 2.1.63 pažeidžiamos panaudojant šią ataką. SQL įskiepis Serviso neigimas tai savaime nėra ataka, bet greičiau būsena kuri gali būti sukurta panaudojus daug priemonių. Viena iš tokių atakos priemonių, kuri sukelia DoS būsena yra SQL įskiepis. SQL įskiepis tai pažeidžiamumas, kai taikomoji programa tinkamai nepatvirtina įvestų duomenų. Vartotojas sukuria piktavališka kodą, susidedanti iš SQL komandų, kurias aplikacija nežiniomis vykdo, kadangi nėra tinkamo jų patvirtinimo. Pavyzdžiui, mes turime Web puslapi, kuris veikia Windows serverio pagalba, naudojant IIS ir MsSQL serverius. Pastaba: Į duomenų baze įeita su administratoriaus teisėm (numatytas „sa“ vartotojas) Dabar, pažiūrėkim i ši HTML puslapi: the

Daugiau informacijos...

★ Klientai rekomenduoja

Šį rašto darbą rekomenduoja mūsų klientai. Ką tai reiškia?

Mūsų svetainėje pateikiama dešimtys tūkstančių skirtingų rašto darbų, kuriuos įkėlė daugybė moksleivių ir studentų su skirtingais gabumais. Būtent šis rašto darbas yra patikrintas specialistų ir rekomenduojamas kitų klientų, kurie po atsisiuntimo įvertino šį mokslo darbą teigiamai. Todėl galite būti tikri, kad šis pasirinkimas geriausias!