Denial of Service (DOS)
Útoky DoS nepatří v pravém slova
smyslu mezi průniky do sítě, jde o útoky na vyřazení sítě. Útočník zahltí
přístupový bod nesmyslnými daty ve velkém množství. Přístupový bod se snaží tito
data vyhodnotit a doje k zahlcení nebo zahlcení přenosového pásma. To zpomalí
nebo zcela znemožní připojení ostatních uživatelů. Útok DoS bývá zlomyslní
vtípek několika pitomečků, kteří zjistily jak jednoduše někomu ublížit. V horším
případě útok DoS předchází útoky typu Man-in-the-Middle, kdy má za cíl odpojit
uživatele od skutečného přístupového bodu a umožnit přepojení na podvržený
přístupový bod. I proto je třeba bedlivě vyhodnocovat podezřelé útoky na
přístupový body založené právě na DoS.
Obrana:
Filtrování podle MAC adres
může velmi účinně bránit útokům DoS, pokud jsou tyto útoky vdeny z internetu,
pomůže rovněž předřazení firewallu s dobrou analýzou paketů.
Typu denial-of-Service útok
DDoS útok Stacheldraht diagram.
Typu denial-of-Service útok ( DoS útok )
nebo distribuované typu denial-of-Service útok ( DDoS útok ) je pokus, aby se
počítač zdroje k dispozici jeho předpokládaných uživatelů. Ačkoli prostředky k
provádění, motivy a cíle útoku DoS může lišit, to se obecně skládá ze společné
úsilí osoby nebo osob, aby se zabránilo internetové stránky nebo služby z
fungování efektivně nebo vůbec, nebo dočasně na neurčito. Pachatelé útoků DoS
typicky cílové stránky nebo služby běžící na high-profil webových serverů , jako
jsou banky, kreditní karty, platební brány, a dokonce i kořen
nameservery . Termín je obecně používán s ohledem na počítačové sítě , ale není
omezena pouze na tuto oblast, například, to je také používáno v odkazu
na CPU řízení zdrojů.
Jedna obyčejná metoda útoku zahrnuje naplní cílový
počítač s vnější komunikace žádostí, jako že nemůže reagovat na legitimní
provoz, nebo reaguje tak pomalu, jak mají být poskytnuty účinně k dispozici. V
obecných termínech, DoS útoky jsou prováděny buď změnou cílové počítače (y) pro
reset, nebo konzumovat své zdroje tak, že již nemůže poskytovat své služby
určeny, nebo které brání komunikaci mezi médii předpokládaných uživatelů a
oběti, aby mohli již dostatečně komunikovat.
Typu denial-of-Service útoky
jsou považovány za porušení IAB s ' správné používání internetu politika , a
také porušují přijatelné použití politiky prakticky všech poskytovatelů služeb
Internetu . Oni také obyčejně představují porušení právních předpisů
jednotlivých států.
Příznaky a projevy
Spojené státy Computer
Emergency Response Team definuje příznaky typu denial-of-Service útoky patří:
Neobvykle pomalý výkon sítě (otevírání souborů nebo přístupu webových stránek)
Nedostupnost konkrétní webové stránky
Nemožnosti přístupu na jakékoliv webové
stránky
Dramatický nárůst počtu nevyžádaných e-mailů obdržel-(tento typ DoS
útok je považován za e-mail bomba )
Typu denial-of-Service útoky mohou také
vést k problémům v síti 'poboček' kolem skutečný počítač byl
napaden. Například, šířka pásma na routeru mezi internetem a LAN mohou být
spotřebovány útoku, by byla ohrožena nejen předpokládané počítač, ale také celou
síť.
Pokud je útok je veden na dostatečně velkém měřítku, může celé zeměpisné
oblasti připojení k internetu, aniž by byly ohroženy útočníka znalostí nebo
záměru nesprávně nakonfigurovaný nebo nekvalitní zařízení síťové infrastruktury.
Metody útoku
"Typu denial-of-service" útok je charakterizován
explicitními pokusy útočníků zabránit legitimním uživatelům služby v používání
této služby. Tam jsou dva obecné druhy útoků DoS: ty, které pád služby a ty,
které povodňové služby. [ 3 ] Útoky mohou být zaměřena na jakékoliv síťové
zařízení, včetně útoků na směrovací zařízení a web , elektronickou poštou ,
nebo Domain Name System servery .
DoS útok může být spáchán v několika
způsoby. Pět základních typů útoku jsou:
Spotřeba výpočetních zdrojů, jako
jsou šířka pásma, místo na disku, nebo procesor čas.
Narušení informace o
konfiguraci, jako je směrování informací.
Narušení stavu informací, jako jsou
nevyžádané reset TCP sezení.
Narušení fyzického síťových komponent.
Bránění komunikačních médií mezi předpokládaných uživatelů a oběti tak, že už
nemohou adekvátně komunikovat.
DoS útok může zahrnovat výkon malware určený
pro:
Max se na procesor 's použití, brání jakoukoliv práci od nastávání.
Trigger chyby v mikrokódu na stroji.
Trigger chyby v pořadí instrukcí, aby se
síla počítač do nestabilního stavu nebo lock-up.
Exploit chyby v operačním
systému, což způsobuje zdroj hladovění a / nebo výprask , tj. využít až všech
dostupných zařízení, takže žádná skutečná práce může být provedena.
Crash
samotného operačního systému.
ICMP povodní
Viz také: Šmoula útok , Ping
povodeň , Ping smrti , a SYN flood
Šmoula útok je jeden konkrétní varianta
DoS útoku záplavy na veřejný internet. Opírá se o špatně síťové zařízení, které
umožňují pakety k odeslání do všech počítačových hostitele na konkrétní síti
přesbroadcast adresu sítě, spíše než konkrétní stroj. Tato síť pak slouží jako
šmoula zesilovač. V takovém útoku, pachatelé budou posílat velké
množství IP pakety s zdrojovou adresu falešné vypadat, že je na adresu
oběti. Tato síť je šířka pásma je rychle vyčerpána, bránit oprávněné pakety
dostaly až na místo určení. Pro boj s Denial of Service útoky na internetu,
služby, stejně jako Šmoula zesilovač registru dali síť poskytovatelů
služeb schopnost identifikovat špatně sítí a na přijmout vhodná opatření, jako
je filtrování .
Ping povodní je založena na posílání oběť ohromující
počet ping paketů, obvykle pomocí "ping" z unix-jako hostitelé (-t vlajky
na Windows systémech má daleko méně zhoubné funkce). Je to velmi jednoduché na
startu, základním požadavkem je přístup na větší šířku pásma , než oběť.
Ping
of death je založena na posílání oběti chybně ping paket, což by mohlo vést k
pádu systému.
SYN flood pošle záplavu / SYN pakety TCP, často s kovanou
adresu odesílatele. Každá z těchto paketů je řešen jako požadavek na připojení,
což server, aby se třeli polovina-nechráněný připojení , tím, že pošle zpět TCP
/ SYN-ACK paket, a čeká na pakety v reakci na adresu odesílatele. Nicméně,
protože adresa odesílatele je kovaný, odpověď nepřichází. Tyto Half-otevřených
spojení saturovat počet dostupných připojení serveru je schopný dělat, držet to
od reagovat na legitimní požadavky až po útoku končí.
Teardrop útoky
Útok
Teardrop zahrnuje zaslání rozbité IP fragmentů s překrývajícími se, přes-klížil
náklad na cílový počítač. To může havárie různých operačních systémech kvůli
chybě v protokolu TCP / IPfragmentace re-shromáždění kód. Windows 3.1x , Windows
95 a Windows NT operační systémy, stejně jako verze Linux před verzí 2.0.32 a
2.1 0,63 ar zranitelné vůči tomuto útoku.
Zhruba v září 2009, zabezpečení
v systému Windows Vista byla jen jako "útok slzy", ale útok cílený SMB2 , která
je vyšší vrstvy než TCP pakety, které používají slzy.
Peer-to-peer útoky
Útočníci našli způsob, jak využít množství chyb v peer-to-peer serverů zahájit
DDoS útoky. Nejagresivnější z nich peer-to-peer-DDoS útoků zneužívá DC +
+ . Peer-to-peer útoky jsou odlišné od běžnébotnet -založené útoky. S
peer-to-peer neexistuje botnet a útočník nemusí komunikovat s klienty
rozvrátí. Místo toho, útočník se chová jako "Puppet Master", který nařizuje
klientů velkých peer-to-peer sdílení souborů náboje se odpojit od své
peer-to-peer sítě a připojit se k oběti stránkách místo. V důsledku toho může
být několik tisíc počítačů agresivně pokusí připojit k cílovou stránku. Zatímco
typický webový server dokáže zpracovat několik stovek spojení za sekundu před
představením začne snižovat, většina webových serverů selže téměř okamžitě za
pět nebo šest tisíc spojení za sekundu. S mírně velké peer-to-peer útoku, místo
by mohlo potenciálně být hit s až 750.000 připojení v krátké době. Cílené webový
server bude připojen do které příchozí spojení.
Zatímco peer-to-peer útoky
jsou snadno identifikovat s podpisy, velké množství IP adres, které musí být
blokovány (často více než 250.000 během útoku ve velkém měřítku), znamená to, že
tento typ útoku může přemoci zmírnění obrany. I když zmírnění zařízení může vést
blokování IP adres, tam jsou jiné problémy, je třeba zvážit. Například, tam je
krátký okamžik, kdy je otevřeno spojení na straně serveru před podpisem sám
projde. Jen jednou je spojení otevřeno k serveru může určit podpis být odeslána
a zjištěny, a spojení stržena. Dokonce stržení připojení trvá serverové zdroje a
může poškodit server.
Tato metoda útoku může být předešel tím, upřesnění v
peer-to-peer protokol, které porty jsou povoleny, nebo ne. Pokud port 80 není
povolena, možnosti útoku na webových stránkách může být velmi omezený.
Asymetrie využití zdrojů v hladovění útoků
Útok, který je úspěšný v
spotřebovává prostředky na oběť počítači, musí být buď:
provádí útočník s
velkým zdrojům, buď:
ovládání počítače s velkou výpočetní sílu nebo, více
obyčejně, velké propustnosti sítě
ovládající velké množství počítačů a
směrovat je k útoku jako skupina. DDOS útoku je primární příklad tohoto.
využití majetku operačního systému nebo aplikace na oběti systému, který
umožňuje útok konzumovat mnohem více zdrojů, než oběti útočníka (asymetrický
útok). Šmoula útok , SYN flood a naftyjsou asymetrické útoky.
Útok může
využít kombinace těchto metod s cílem zvětšit jeho sílu.
Stálé typu
denial-of-Service útoky
Stálý typu denial-of-service (PDO), také známý jako
volně phlashing, je útok, který poškodí systém, tak špatně, že to vyžaduje
výměnu nebo reinstalace hardwaru. Na rozdíl od distribuované typu
denial-of-Service útok , CHOP útok využívá bezpečnostní chyby, které umožňují
vzdálenou správu o řízení rozhraní oběti hardware, jako jsou routery, tiskárny,
nebo jiná síťového hardwaru . Útočník využívá tyto chyby zabezpečení nahradit
zařízení firmware s upravenou, zkažený, nebo vadný firmware image-proces, který
kdy udělal oprávněně je známý jako blikající. Tímto je tedy " cihly "zařízení,
které je činí nepoužitelnými pro své původní účely, dokud nebude možné opravit
nebo vyměnit.
PDO je čistě hardwarové cílený útok, který může být mnohem
rychlejší a vyžaduje méně prostředků než při použití botnet v útoku
DDoS. Protože těchto vlastností, a potenciál a vysokou pravděpodobnost
bezpečnosti využije na Network Enabled embedded zařízení (potřeby), tato
technika přišla k pozornosti mnoha hacker komunit. PhlashDance je nástroj
vytvořený Rich Smith (zaměstnanec-Packard Hewlett bezpečnostní systémy Lab)
slouží k detekci a demonstrovat CHOP zranitelnosti v roce 2008 na konferenci o
bezpečnosti EUSecWest aplikované v Londýně.
Aplikace-úroveň povodně
Na IRC , IRC povodně jsou společné elektronické válčení zbraní .
Různé
DoS-působit využívá například přetečení vyrovnávací paměti může způsobit
server-běžící software se dostat zmatený a vyplnit prostor na disku nebo
spotřebovat všechny dostupné paměti neboprocesoru .
Jiné druhy DoS spoléhají
především na hrubé síle, záplavy cíl s ohromující toku paketů, oversaturating
jeho spojení šířky pásma nebo poškozování cílového systémové prostředky. Šířka
pásma-sytí povodně spoléhat na útočníka mají větší šířku pásma k dispozici, než
oběť, obyčejný způsob, jak toho dosáhnout, je dnes přes Distributed Denial of
Service, zaměstnávat botnet . Ostatní povodně mohou používat konkrétní typy
paketů, nebo požadavky na připojení k nasycení omezené zdroje, například,
zabírat maximální počet otevřených spojení, nebo vyplněním oběti disku s logy.
"Banán útok" je další konkrétní typ DoS. Jde o přesměrování odchozích zpráv z
klienta zpět na klienta, předcházet volbou, stejně jako záplava klient s
odeslaných paketů.
Útočník s přístupem k oběti může počítač zpomalit, dokud
je nepoužitelný, nebo pád jej pomocí vidličky bomba .
Nuke
Nuke je starý
typu denial-of-Service útok proti počítačové sítě skládající se z roztříštěné
nebo jinak neplatná ICMP pakety odeslané na cíl, dosáhnout použitím
upravený ping nástroj opakovaně odeslat tuto poškozená data, čímž se zpomaluje
postiženého počítače až to přijde do úplného zastavení.
Konkrétním příkladem
nuke útoku, který získal nějakou důležitost je WinNuke , který tuto chybu
zabezpečení zneužít v NetBIOS handleru v Windows 95 . Řetězec out-of-band data
byla poslána naTCP port 139 oběti stroj, přimět to, aby zamknout a
zobrazit modrá obrazovka smrti (BSOD).
Distribuované útok
Distribuované
odmítnutí služby útok (DDoS) nastává, když více systémů povodňové šířky pásma
nebo zdrojů cílené systému, obvykle jednu nebo více webových serverů. Tyto
systémy jsou ohroženy útočníky pomocí různých metod.
Malware může nést DDoS
útoku mechanismy, jeden lepší-známé příklady tohoto je MyDoom . Jeho DoS
Mechanismus byl spuštěn v určitý den a čas. Tento typ DDoS zapojených kódujete
cílová IP adresa před vydáním malware a žádné další interakce bylo nutné zahájit
útok.
Systém může být rovněž ohrožena s trojan , který umožňuje útočníkovi
stáhnout zombie agent (nebo trojský kůň může obsahovat jednu). Útočníci mohou
také proniknout do systémů pomocí automatizovaných nástrojů, které využívají
chyb v programech, které naslouchat pro připojení ze vzdáleného počítače. Tento
scénář se především o systémy, jako servery na internetu.
Stacheldraht je
klasický příklad DDoS nástroje. Využívá několik rovin, kde útočník
používá klientský program pro připojení k manipulátory, které jsou ohroženy
systémy, které vydávat příkazy k zombie agenty , což usnadní útoku DDoS. Agenti
jsou ohroženy přes které manipulují s útočníkem, pomocí automatizovaných rutin
zneužít chyby v programech, které přijímat vzdálené připojení běží na cílené
vzdálené počítače. Každý psovod může ovládat až tisíc agentů.
Tyto sbírky
systémy kompromisy jsou známé jako botnety . DDoS nástroje jako Stacheldraht
stále používat klasický DoS útok metody zaměřené na IP spoofing a zesílení
jako šmoula útoky a útoky Fraggle (tyto jsou také známé jako spotřeba útoky
šířku pásma). SYN záplavy (také známý jako hladovění útoky zdroj) mohou být také
použity. Novější nástroje mohou používat DNS servery pro účely DoS. Viz další
část.
Jednoduché útoky, jako jsou záplavy SYN mohou objevit s celou řadou
zdrojových IP adres, takže vzhled i distribuovaných DDoS. Tyto povodně útoky
nevyžadují ukončení TCP třícestný handshake a pokusit se výfukových cílové SYN
frontě nebo server pásma. Protože zdrojové IP adresy lze triviálně falešnou,
útok by mohl pocházet z omezeného souboru zdrojů, nebo mohou dokonce pocházet z
jednoho hostitele. Stack vylepšení, jako syn cookies může být účinné zmírnění
proti zaplavení fronty SYN, kompletní pásma vyčerpání však může vyžadovat účast
Na rozdíl je DDoS mechanismu MyDoom, může botnety se obrátil proti libovolné IP
adresy. Script kiddies používat je, aby popírají dostupnosti známé webové
stránky oprávněných uživatelů. Více důmyslných útočníci použít DDoS nástroje se
pro účely vydírání - a to i proti jejich obchodní rivalové .
Je důležité si
uvědomit rozdíl mezi DDoS a DoS útok. Pokud se útočník připojí útok z jednoho
hostitele by to být kvalifikováno jako útok DoS. Ve skutečnosti by jakýkoli útok
proti dostupnost být kvalifikována jako typu Denial of Service útoku. Na druhou
stranu, pokud útočník používá tisíce systémů současně zahájit šmoula útoky proti
vzdáleného hostitele by to být kvalifikováno jako útok DDoS.
Mezi hlavní
výhody útočník použití distribuovaných typu denial-of-Service útoku je, že více
počítačů mohou generovat více útočit provoz než jednom počítači, více útočit
stroje jsou těžší než vypnout jeden útok stroj, a že chování každého útoku
stroje může být utajenější, takže je těžší vypátrat a vypnout. Tyto výhody
útočník způsobit problémy pro obranné mechanismy. Například jen nákupu více
příchozích šířku pásma, než je současný objem útoku nemusí pomoci, protože
útočník mohl jednoduše přidávat další útok strojů.
Je třeba poznamenat, že v
některých případech stroj může stát součástí útoku DDoS se souhlasem
majitele. Příkladem je v roce 2010 DDoS útoku proti velkým společnostem kreditní
karty příznivciWikiLeaks . V případech jako je tento, stoupenci hnutí (v tomto
případě ty, které proti zatčení zakladatele WikiLeaks Julian Assange ) zvolit
stáhnout a spustit software DDoS.
odražený útok
Distribuované odmítnutí
služby odráží útok (DRDoS) zahrnuje odesílání kované žádosti některých typu na
velmi velké množství počítačů, které budou odpovídat na
žádosti. Použití Internet Protocol adres spoofing , zdrojová adresa je nastavena
na to cílené oběti, což znamená, všechny odpovědi půjde (a povodně) cíl.
ICMP
Echo Request útoky ( Šmoula Attack ), lze považovat za jednu z forem odráží
útok, jak záplavy host (ů) poslat Echo Žádosti o vysílání adresy
mis-nakonfigurován sítí, což láká mnoho hostitelů poslat Echo Reply pakety
oběti. Některé časné DDoS programů prováděných distribuované formu tohoto útoku.
Mnohé služby mohou být využity k aktu jako reflektory, některé těžší bloku než
ostatní. DNS zesílení útoků zahrnují nový mechanismus, který zvýšil zesílení
účinku, používat mnohem větší seznam serverů DNS, než viděl dříve.
Degradace-of-Service útoky
"Pulsní" zombie jsou ohroženy počítače, které jsou
určeny k zahájení intermitentní a krátký-žil povodněmi oběti internetových
stránek s úmyslem pouze zpomalovat to spíše než shazovat to. Tento typ útoku,
jen "degradace-of-Service" spíše než "typu denial-of-service", může být
obtížnější odhalit než běžné zombie invazí a může narušit i bránit připojení na
webové stránky po delší dobu, případně způsobuje více škody než koncentrovaný
povodně. Expozice degradace-of-Service útoky dále komplikuje věci náročné, zda
je skutečně útoky jsou útoky, nebo jen zdravé a pravděpodobně požadované zvýšení
návštěvnosti.
Neúmyslné odmítnutí služby
Popisuje situaci, kdy na
internetových stránkách skončí popíral, nikoliv v důsledku úmyslného útoku jeden
jednotlivec nebo skupina jednotlivců, ale jednoduše kvůli náhlé obrovské bodec v
popularitě. To se může stát, když se extrémně populární internetové stránky
příspěvků prominentní odkaz na druhý, méně dobře-připravený webu, například jako
součást zprávou. Výsledkem je, že značná část primární stránek pravidelných
uživatelů - potenciálně stovek tisíc lidí - klikněte na odkaz, který v prostoru
během několika hodin, které mají stejný účinek na cílovou stránku jako útok
DDoS. VIPDoS je stejný, ale zvláště když odkaz byl zaslán celebrity.
Příklad
tohoto nastal, když Michael Jackson zemřel v roce 2009. Internetové stránky jako
Google a Twitter zpomalit nebo dokonce havaroval. [ 19 ] stránky 'servery Mnozí
si mysleli, že žádosti byly z viru nebo spyware se snaží vyvolat útok typu
Denial of Service, upozornění uživatele, že jejich dotazy vypadal jako
"automatické požadavky z počítače virus nebo spyware aplikací.
Zpravodajské
servery a odkazují stránek - stránek, jejichž primární funkcí je poskytovat
odkazy na zajímavý obsah jinde na internetu - se s největší pravděpodobností
příčinou tohoto jevu. Kanonický příklad je účinek Slashdot . Weby, jako
je digg , že Zpráva dříče , Fark , něco hrozné , a webcomic Penny pasáž mají své
vlastní odpovídající "efekty", známý jako "efekt digg", přičemž "drudged",
"farking", "goonrushing" a "wanging "příslušně.
Směrovače také byli známí
vytvořit neúmyslné útoky DoS, jako oba D-Link a NETGEAR routery vytvořili NTP
vandalismu záplavami NTP servery bez respektování omezení typy klientů či
zeměpisných omezení.
Podobné neúmyslné popírání služeb, může dojít také
prostřednictvím dalších médií, např. při URL je uvedeno v televizi. Pokud je
server indexovány Google nebo jiný vyhledávač špičkách činnosti, nebo nemá mnoho
dostupné šířky pásma, přičemž je indexována, to může také zažít účinky útoku
DoS.
Právní kroky byly učiněny v alespoň jeden takový případ. V roce
2006, univerzální Tube & Rollform Equipment Corporation žaloval YouTube :
masivní množství rádoby youtube.com uživatelé omylem napsali trubice společnosti
URL, utube.com. Jako výsledek, trubka společnost skončila museli strávit velké
množství peněz na modernizaci jejich pásma.
Denial-of-Service Level II
Cílem DoS L2 (možná DDoS) útok, je příčinou zahájení obranný mechanismus, který
blokuje segmentu sítě, ze které útok pocházel. V případě distribuovaného útoku
nebo IP hlavičku modifikace (která závisí na druhu bezpečnostních chování), že
bude plně blokovat zaútočil sítě z internetu, ale bez pádu systému.
Blind
odmítnutí služby
Ve slepé popření servisního útoku, útočník má významnou
výhodu. Pokud se útočník musí být schopen přijímat dopravní od oběti, pak
útočník musí buď rozvrátí směrování tkaniny nebo použít útočníka vlastní IP
adresu. Buď poskytuje příležitost pro oběť sledovat útočníka a / nebo
odfiltrovat jeho provozu. S nevidomým útoku útočník používá jednu nebo více
padělaných IP adresy, takže je velmi obtížné pro oběť odfiltrovat ty pakety. TCP
SYN flood útok je příkladem slepé útoku.
Nehody
První hlavní útok
zahrnovat DNS serverů jako reflektorů došlo v lednu 2001. Cíl byl
Register.com. Tento typ útoku, který kované žádosti o záznamy MX pro AOL . com
(pro zesílení útoku) trvalo asi týden před tím, než je možno vysledovat zpět na
všechny útočící počítače a vypnutí. To používalo seznam desítek tisíc záznamů
DNS, které byly rok staré v době útoku.
V únoru 2001, irské
vlády ministerstvo financí byl server hit popření servisního útoku prováděné
jako součást kampaně student z NUI Maynooth . Oddělení oficiálně stěžoval na
univerzitě orgánům a počet studentů byli disciplinovaní.
V červenci 2002,
Honeynet projektu Reverzní Challenge byl vydán. Binární, že byla analyzována se
ukázalo být ještě jiný agent DDoS, které provedla několik útoků DNS
souvisejících, včetně optimalizované podobě reflexe útoku .
Na dvou
příležitostech k dnešnímu dni, útočníci provedli DNS páteřní DDoS útoky na
servery DNS kořen. Protože jsou tyto počítače jsou určeny k poskytování služeb
všem uživatelům internetu, dva útoky DoS mohou být tyto klasifikovány jako
pokusy sundat celý internet, ačkoli to je nejasné co útočníků 'pravda, že
motivace byla. První nastal v říjnu 2002 a narušení provozu v 9 ze 13 kořenových
serverů. Druhá došlo v únoru 2007 a způsobil přerušení na dvou z kořenových
serverů.
V únoru 2007, 10000 online herních serverů ve hře, jako je více
než Return to Castle Wolfenstein , Halo , Counter-Strike a mnoho jiní byli
napadeni skupinou RUS hacker. Útok DDoS byl vyroben z více než tisíc
počítačových jednotek se nachází v republikách bývalého Sovětského svazu ,
zejména z Ruska , Uzbekistánu a Běloruska . Menší útoky jsou stále pokračují být
dělán dnes.
V týdnech vést k pětidenní válku Jižní Osetii 2008 , útok DDoS
zaměřená na gruzínské vlády stránky obsahující zprávu: "win + láska + v + Rusia"
efektivně přetížení a vypnutí více gruzínské servery.Webové stránky zaměřené
součástí webových stránkách gruzínského prezidenta , Michaila Saakašviliho ,
způsobit nefunkčnost po dobu 24 hodin, a Gruzínské národní bance. Zatímco těžká
podezření byl umístěn na Rusku za organizaci útoku přes proxy,
Petrohrad-založené zločineckého gangu známý jako ruský Business Network, nebo
RBN, ruská vláda popřel tvrzení, říkat, že je možné, že jedinci v Rusku nebo
jinde vzal to na sobě začít útoky.
Během 2009 íránských volbách protesty ,
zahraniční aktivisté se snaží pomáhat opozici zabývající se útoky DDoS proti
vládě Íránu. Oficiální internetové stránky íránská vláda ( ahmedinejad.ir ) byl
nepřístupný na několika příležitostech. Kritici tvrdí, že DDoS útoky také
uřízl přístup k internetu pro demonstranty v Íránu; aktivisté namítal, že i když
to může být pravda, útoky stále brání prezident Mahmúd Ahmadínežád 's vláda dost
podpory opozice.
25. června 2009, v den Michael Jackson zemřel, bodec v
vyhledáváním souvisejícím s Michael Jackson byl tak velký, že služba Zprávy
Google zpočátku spletli to pro automatizovaný útok. V důsledku toho se asi 25
minut, když někteří lidé hledali Zprávy Google viděli "Je nám líto" stránku před
najít články, které hledali.
Června 2009 stránek P2P The Pirate Bay byl
nepřístupný kvůli útoku DDoS. Toto bylo pravděpodobně vyvolala nedávná vyprodání
na Global Gaming Factory X AB , který byl viděn jako " vzít peníze a
utéct "řešení na stránkách právní otázky. Na konci, v důsledku kupující
'finanční potíže, místě nebyl prodán.
Více vlny 07. 2009 kybernetické
útoky cílené řadu významných internetových stránek v Jižní Koreji a Spojených
státech . Útočník použité botnet a soubor aktualizovat přes internet, je známo,
že pomáhají jeho šíření. Jak to dopadá, počítače trojský kůň byl kódovaný pro
skenování pro stávající roboty MyDoom. MyDoom byl červ v roce 2004 a v červenci
kolem 20,000-50,000 byli přítomni.MyDoom má zadní vrátka, která DDoS bot by mohl
zneužít. Od té doby, DDoS bot odstranil sám, a kompletně formátované pevné
disky . Většina z roboty pochází z Číny a Severní Koreje.
Dne 06.8.2009
několik sociálních sítí, včetně Twitter , Facebooku , Livejournal ,
a Google stránky byly blogů zasažených útoky DDoS, očividně zaměřené na
gruzínské blogger " Cyxymu ". Přestože Google prošel pouze s menšími set-záda,
tyto útoky odešel Twitter mrzák na hodiny a Facebook se nakonec obnovit službu i
když někteří uživatelé ještě zažil potíže. Twitter je místo latence se i nadále
zlepšovat, ale některé webové žádosti i nadále k nezdaru.
V červenci a srpnu
2010, irské centrální Aplikace Office byl server hit popření servisního útoku na
čtyřech oddělených příležitostech, což způsobuje potíže pro tisíce studentů
druhého stupně, kteří jsou povinni používat CAO žádat o univerzity a vysoké
školy míst. Útok je v současné době předmětem Garda šetření.
28. listopadu
2010, píšťalka dmychadlo stránky wikileaks.org zkušený útok DDoS. To bylo
pravděpodobně v souvislosti s probíhající propuštění mnoha tisíc tajných
diplomatických kabelů.
8. prosince 2010, skupina volat sebe
" Anonymní "zahájila instrumentoval DDoS útoky na organizace, jako
jsou Mastercard ,. com PayPal , Visa.com a PostFinance , jako součást
probíhající "Operace Payback "kampaň, která původně zaměřen anti-pirátství
organizací, na podporu Whistleblowing webu Wikileaks.ch a její zakladatel,
Julian Assange. Útok svrhla Mastercard, PostFinance, a Visa webové stránky
úspěšně. PostFinance, banka, která měla zmrazené Julian Assange účet, byl
svrhnut pro více než 16 hodin kvůli útokům. Nicméně, v popření skutečnosti, že
bylo přijato podle banda notoricky známý uživatelů internetu, banka vydala
prohlášení, že výpadek byl způsoben přetížení dotazy:
"Přístup k
www.postfinance.ch a tedy i e-financování je v současné době přetížen vzhledem k
množství dotazů on-line. Bezpečnost dat zákazníka není dotčena."
Provádění
DoS útoky-
Široké spektrum programů se používají k zahájení
DoS-útoky. Většina z těchto programů jsou zcela zaměřeny na plnění-DoS útokům,
zatímco jiní jsou také pravda paketů vstřikovače , tak schopný plnit další úkoly
stejně.
Některé příklady takových nástrojů jsou hping , socket programování a
httping, ty však nejsou pouze programy schopné takových útoků. Tyto nástroje
jsou určeny pro použití benigní, ale mohou být využity i ve zahájení útoků na
oběť sítí. Kromě těchto nástrojů existují obrovské množství podzemní nástroje
používané útočníky.
Prevence a odpovědi
Firewally
Firewally mají
jednoduchá pravidla, jako je povolit nebo zakázat protokoly, porty nebo IP
adresy. Některé DoS útoky jsou příliš složité pro dnešní firewally, např. je-li
útok na port 80 (webová služba), firewally mohou bránit, že útok, protože se
nemohou rozlišit dobré provoz z provozu DoS útok. Kromě toho, firewally jsou
příliš hluboko v hierarchii sítě. Směrovače mohou být ovlivněny i před firewall
dostane provozu. Nicméně, firewally mohou účinně zabránit uživatelům zahájení
jednoduchý typ útoků záplavy od stroje za firewallem.
Některé stavové
firewally , jako je OpenBSD pF, mohou působit jako proxy pro připojení:
handshake je ověřen (s klientem) místo pouhého předávání paketů na místo
určení. Je k dispozici pro jiné BSD stejně. V tomto kontextu, to je nazýváno
"synproxy".
Přepínače
Většina přepínače mají některé rychlost-limitující
a ACL schopnosti. Některé přepínače poskytují automatické a / nebo
systém-široký omezování rychlosti , traffic shaping , zpožděné vázání ( TCP
sestřih ), hloubkovou inspekci paketů a filtrování Bogon (falešné IP filtrování)
zjišťovat a opravovat popření servisních útoků pomocí automatického míru
filtrace a WAN Link failover a vyrovnání.
Tyto režimy budou pracovat tak
dlouho, dokud útoky DoS, jsou něčím, co lze zabránit pomocí nich. Například SYN
flood lze předejít použitím odloženo závazné nebo TCP sestřih. Podobně obsah
založený DoS lze zabránit pomocí hloubkového prověřování paketů. Útoky
pocházející z temných adres nebo jít do tmavé adresy lze předejít použitím Bogon
filtrování. Automatické filtrování sazba může pracovat tak dlouho, jak jste
nastavili rychlost-prahy správně a granularly. Wan-link failover bude fungovat
tak dlouho, jak odkazy, DoS / DDoS mechanismus prevence.
Routery
Podobně
jako u switche, routery mají nějakou rychlost-limitující a ACL schopnosti. I oni
jsou ručně nastavit. Většina směrovačů může být snadno přemožen pod útokem
DoS. Přidáte-li pravidla tak, aby statistiky toků z routeru během útoků DoS, ale
dále zpomalovat a komplikovat věci. Cisco IOS má vlastnosti, které zabraňují
povodním, tedy například nastavení.
Aplikace přední hardware
Aplikace
přední hardware je inteligentní hardware umístěn v síti předtím, než dosáhne
provoz serverů. Může být použit na sítích ve spojení s routery a
switche. Aplikace přední hardware analyzuje datové pakety, které se do systému,
a pak se označuje jako prioritu, pravidelné, nebo nebezpečné. Existuje více než
25 řízení šířky pásma prodejců. Hardwarová akcelerace je klíčem k řízení šířky
pásma.
IPS prevence
Vniknutí-systémy prevence (IPS) jsou účinná v
případě, že útoky byly podpisy jsou s nimi spojeny. Avšak trend mezi útoky je
mít legitimní obsah, ale špatný záměr. Vniknutí-preventivní ochranné systémy,
které pracují na obsah uznání nemůže blokovat chování-založené DoS útoky.
ASIC na IPS dokáže detekovat a blokovat útoky DoS, protože mají výpočetní
výkon a zrnitosti analyzovat útoky a chovat se jako jistič automatizovaným
způsobem.
Sazba-založené IPS (RBIPS) musí analyzovat dopravní granularly a
průběžně sledovat vzor provozu a zjistit, zda je provoz anomálie. Je třeba
nechat legitimní plynulosti silničního provozu a zároveň blokuje útok DoS
provozu.
Prevence prostřednictvím proaktivního testování
Testovací
platformy, jako jsou Mu Dynamics 'služba Analyzer jsou k dispozici pro výkon
simulované typu denial-of-Service útoky, které mohou být použity k vyhodnocení
obranné mechanismy, jako IPS, RBIPS, stejně jako populární typu denial-of-služby
zmírnění výrobků z Arbor sítě . Příklad proaktivní testování typu
denial-of-Service škrcení schopnosti v přechodu byla provedena v roce
2008:Juniper EX 4200 vypínač s integrovaným typu denial-of-Service škrtící byl
testován Test sítě a výsledné hodnocení byla zveřejněna v Network World .
Blackholing a sinkholing
S blackholing, veškerý provoz na napadl DNS nebo IP
adresu je zaslán "černá díra" (null rozhraní, neexistující server,
...). Chcete-li být efektivnější a vyhnout se ovlivňují vaše připojení k síti,
může být řízena ISP.
Sinkholing trasy na platnou adresu IP, která analyzuje
provoz a odmítá ty špatné. Sinkholing není efektivní pro většinu těžké útoky.
Čistý potrubí
Veškerý provoz je prošel "úklid centra" přes proxy, který
odděluje "špatné" provoz (DDoS, a také další běžné internetové útoky) a pouze
vysílá dobrá dopravní rámec na server. Poskytovatel potřebuje centrálního
připojení k internetu řídit tento druh služby.
Prolexic a Verisign jsou
příklady poskytovatelů této služby.
Vedlejší účinky útoků DoS
zpětného
rozptylu
V zabezpečení sítě počítačové, backscatter je strana-účinek
spoofed odmítnutí služby (DoS). V tomto druhu útoku, útočník spoofs (nebo výhní)
zdrojovou adresu v IP pakety poslal k oběti. Obecně platí, že počítač oběti může
nerozlišuje mezi falešné pakety a legitimní pakety, takže oběť reaguje na
falešné pakety, jak to obvykle. Tyto reakce pakety jsou známé jako zpětný
rozptyl.
Pokud je útočník je falšování zdrojové adresy náhodně, zpětného
rozptylu pakety z reakce oběti budou zaslány zpět na náhodné cíle. Tento efekt
může být použit v síti dalekohledy jako nepřímé důkazy o takových útoků.
Termín "zpětného rozptylu analýza" se odkazuje na pozorování zpětného rozptylu
pakety, kteří přijedou na statisticky významnou část IP adresy místa určení
charakteristiky útoků DoS a obětí.
Vzdělávací animace popisující tyto
zpětného rozptylu lze nalézt na stránce animace udržovaný družstevní Sdružení
pro internetovou Analýza dat .