Útoky typu DDoS

Útoky typu DDoS (51)

Smurf

Smurf je díky svému „zesilovacímu" efektu jedním z nejstrašnějších DoS útoků vůbec. Zesilovací efekt je způsoben odesláním cíleného broadcast pingu do sítě s počítači, které jsou na tento ping schopny odpovědět. Ping může být odeslán jak na adresu sítě, tak na broadcast adresu této sítě a zneužívá zařízení, která poskytují broadcast funkcionalitu mezi vrstvou 3 (IP) a 2 (vrstva síťového rozhraní). Více informací najdete v RFC 1812 Requirements for IP Version 4 Routers - Požadavky na směrovače IP protokolu verze 4. Jestliže budeme předpokládat, že cílová síť je typu C, bude její síťová část adresy rovna 0 a broadcast adresa .255. Tyto adresy jsou běžně používány k testování všech zařízení v síti.

SYN Flood

Dokud se neobjevil Smurf, byl SYN flood nejvíce devastujícím DoS útokem. Příkladem jeho nasazení je již zmíněný útok na sítě PANIX. Popišme si, co přesně se děje, když dojde k útoku SYN flood.Již jsme se zmiňovali o tom, že když je navazováno TCP spojení, jedná se o proces o třech krocích.

Útoky na DNS

V roce 1997 popsal bezpečnostní tým Secure Networks Inc. (SNI), nyní Network Associates Inc. (NAI), několik chyb v implementacích programu BIND (NAI-0011 - BIND Vulnerabilities and Solutions - Slabá místa programu BIND a jejich zacelení). Verze starší než 4.9.5+P1 umožňovaly při zapnuté DNS rekurzi podstrčení podvodných záznamů. Rekurze umožňuje pracovat se záznamy, které nepatří do zóny obhospodařované daným nameserverem. Jakmile dostane nameserver dotaz na informace nespadající do jeho
zóny, sám se zeptá autorizovaného nameserveru a výsledek dotazu předá původnímu tazateli.

Překrývání fragmentů

Teardrop a jemu podobní využívají chyby v kódu, který má za úkol skládání fragmentováných paketů, a jsou specifické pro starší linuxové systémy. Zatímco kontrola toho, zda není fragment příliš veliký, probíhá správně, kontrola toho, zda není paket příliš malý, neprobíhá vůbec. Pečlivě konstruované pakety pak mohou způsobit restart nebo zastavení systému. Linux však není jediný systém náchylný k tomuto typu útoku. Útoky odvozené od teardropu (newtear.c, syndrop.c, boink.c) jsou určeny pro Windows NT/95.

Windows NT Spool Leak - RPC Named Pipes

Pomocí tohoto útoku se lze připojit k \\server\PIPE\SPOOLSS a obsadit všechnu dostupnou paměť cílového počítače. Situace je o to kritičtější, že lze útok podniknout prostřednictvím prázdné relace (null session) i v případě, že je nastaven klíč RestrictAnonymous. Ovládnutí celé paměti počítače může trvat poměrně dlouho a útok tak může být realizován celkem nenápadně.

Přeplnění bufferu IIS FTP serveru

Jak jsme se zmínili v kapitole 8, jsou útoky založené na přeplnění bufferu extrémně efektivní v případě snahy o narušení bezpečnosti cílového systému. Jsou však také velmi efektivní v případě útoků DoS. Pokud neumožní podmínky vhodné k přeplnění,bufferu získání administrátorských privilegií, lze je mnohdy zneužít ke zhroucení nezabezpečené aplikace.

Útoky stream a raped

Programy stream.c od neznámého autora a raped.c, který vytvořil Liquid Steel, byly zveřejněny začátkem roku 2000. Útoky realizované programy jsou si velmi podobné a jsou velmi efektivní.

Útok na server ColdFusion

Jak bylo v červnu roku 2000 zveřejněno firmou Foundstone, vede chyba v návrhu ke zhroucení uvedeného serveru. K DoS útoku může dojít během konverze zadaného a uloženého hesla do tvaru vhodného pro jejich porovnání v případě, že je zadané heslo velmi dlouhé (delší než 40 000 znaků).

Tribe Flood Network (TFN)

TFN byl vytvořen hackerem jménem Mixter a jedná se o první veřejně dostupný DDoS určený pro Unix (většinou se s ním lze setkat na počítačích se Solarisem nebo RedHat Linuxem). TFN se skládá z klienta a serveru. Server lze nainstalovat na ovládnuté počítače a pomocí klienta zahájit útok. Mezi útoky, které lze pomocí TFN podniknout, patří ICMP, Smurf, UDP a SYN flood. Server navíc poskytuje na definovaném TCP portu root shell. Další detaily o tomto programu najdete v analýze Dave Dittricha (http://staff.washington. edu/dittrich/misc/ddos/).

Trinoo

Podobně jako TFN obsahuje Trinoo klienta, který posílá instrukce masteru, a ten instruuje servery k útoku a cílový počítač. Komunikace mezi klientem a masterem probíhá prostřednictvím TCP portu 27665 a implicitn vyžaduje heslo „betaalmostdone". Komunikace masteru se servery probíhá pomocí UDP port 27444 a servery komunikují s masterem prostřednictvím UDP portu 31335.

Stacheldraht

Stacheldraht kombinuje funkce programů Trinoo a TFN s tím, že je navíc možná šifrovaná komunikace pomocí telnetu mezi masterem a servery. Šifrování může znemožnit detekci útoku pomocí IDS. Podobně jako TFN používá Stacheldraht ICMP, UDP, SYN a Smurf útoky. Ke komunikaci mezi klientem a serverem používá kombinaci protokolu TCP a ICMP (ECHO reply) paketů.

TFN2K

TFN2K znamená TFN 2000 a jedná se o následovníka původního TFN. TFN2K umožňuje randomizovat porty používané ke komunikaci, takže správcům sítí velmi komplikuje nastavení filtrů na hraničních směrovacích. Obsahuje také šifrování (Base 64), aby ztížil nebo dokonce znemožnil detekci pomocí IDS. Podobně jako jeho předchůdce umožňuje provést útoky SYN, UDP, ICMP a Smurf. Útoky dokáže náhodně přepínat.

WinTrinoo

WinTrino je verze programu Trinoo určená pro Windows a má téměř všechny funkce originálního programu. Jedná se o trojského koně pojmenovaného jako service.exe (pokud není přejmenován), jehož velikostje 23 145 bajtů.

Windows NT 4.0 Terminal server a proquota.exe

Klasickým příkladem útoku pojídajícího systémové prostředky je útok obsazující diskový prostor pomocí rozšíření přidělených diskových kvót (quotas). Přestože je ve světě Unixu mechanismus diskových kvót používán poměrně dlouho, ve Windows NT se jedná o relativní novinku. Na Windows NT SP4 Terminal Serveru může obyčejný uživatel zneužít mechanismu diskových kvót a zcela zaplnit systemdrive%. Důsledkem je, že se do systému nemůže přihlásit žádný uživatel (kromě těch, kteří mají své profily lokálně nakešovány). Pokud některý z uživatelů překročí své diskové kvóty, nemůže se ani odhlásit. Toto omezení však lze obejít zrušením procesu proquota.exe. Protože proces vlastní sám uživatel a ne systémový účet, je jeho zrušení bezproblémové.

Zhroucení jádra

Linuxové jádro verze 2.2.0 umožňovalo útok DoS v případě, že byl program 1 dd použit k výpisu určitých core souborů. Chyba, která útok umožňuje, souvisí s voláním funkce munmapí ), kterou ldd používá k mapování souborů a zařízení do operační paměti. Tato funkce za specifických podmínek přepíše oblast paměti vyhrazenou pro jádro a způsobí jeho zhroucení a restart. Nejedná se sice o nijak zvláštní chybu, ale dobře ilustruje koncepty útoků DoS, které zneužívají jádro operačního systému. Jde o metody, kdy má neprivilegovaný uživatel možnost poškodit kritické oblasti paměti používané jádrem. Konečným důsledkem je téměř vždy zhroucení systému.

SYN-ACK Flood

V SYN-ACK povodní, útočníci buď zaplaví síť s SYN-ACK pakety z výrazného botnetu nebo zfalšovat IP rozsah adres dané oběti. Typicky, menší botnet vysílá falešné SYN pakety s velkým počtem serverů a proxy na internetu, které generují velké množství SYN-ACK pakety v reakci na příchozí SYN žádosti Falešná útočníků. Tato povodeň SYN-ACK nesměřuje zpět do botnetu, ale místo toho se obrací zpět k síti oběti a často vyčerpává firewally oběti tím, že nutí státní stolní vyhledávání pro každou příchozí SYN-ACK paketu. Toto odmítnutí služby útok může způsobit stavové zařízení mimo provoz, a také konzumovat nadměrné množství zdrojů na routery, servery a IPS / IDS zařízení.

ACK or ACK-PUSH Flood

V ACK nebo ACK-PUSH Flood, útočníci poslat falešnou identitou ACK (nebo ACK-PUSH) pakety při velmi vysokých rychlostech paketů, které nejsou, že patří k jakékoliv současné relace v rámci státního stolu firewallu a / nebo v seznamu připojení serveru. ACK (nebo ACK-PUSH) povodňové výfuky firewally oběti tím, že nutí státní tabulky vyhledávání a servery vyčerpání jejich systémových prostředků používaných tak, aby odpovídala tyto příchozí pakety do stávajícího toku.

Fragmented ACK Flood

V roztříštěném ACK Flood DDoS útoku, velké fragmentované (1500 + bajtů) pakety jsou odesílány konzumovat velké množství šířky pásma, přičemž vznikají relativně malou rychlost paketů. Zatímco protokoly umožňují fragmentace tyto pakety obvykle projít hraniční routery, firewally a IDS / IPS zařízení uninspected nebo mohou spotřebovat nadměrné prostředky pokoušet znovu složit a kontrolovat fragmentované pakety. Obsah paketů může být náhodně, nepodstatné údaje, které mohou využívat prostředky. Nicméně, tento způsob může být také použit jako Advanced Evasion techniky navržen tak, aby se vyhnula hluboké kontrolní paket zařízení dohromady. Cílem útočníka může být spotřebovat celou šířku pásma sítě oběti nebo použijte roztříštění skrýt zákeřné s nízkými a pomalu na aplikační vrstvě DDoS útoky, malware, přetéká, brute-force atd.

RST/FIN Flood

V RST / FIN Flood, útočníci posílat vysoce falešnou RST nebo FIN paketů s extrémně vysokou rychlostí, které nepatří žádnému relace v rámci státního stolu firewallu a / nebo tabulek relace serveru. RST nebo FIN povodňových DDoS útok vyčerpává firewally a / nebo servery oběti tím, že vyčerpá své systémové prostředky slouží k vyhledání a neodpovídají příchozí pakety k existující relaci.

Same Source/Dest Flood (LAND Attack)

V zemi DDoS útoku, oběť obdrží falešné SYN pakety s velmi vysokou rychlostí, které mají rozsah IP oběti jak zdrojová IP a poli Destination IP v hlavičce. Tento útok vyčerpá firewally a / nebo serverů je obětí tím, že vyčerpání svých systémových prostředků používaných pro výpočet tohoto porušení protokolu. I když v paketu zdrojová a cílová IP jsou shodně definovány v rámci stejného zdroje / Dest útoku, obsah paketů jsou často irelevantní, protože útočník se jednoduše pokouší vyčerpat systémové prostředky.

Fake Session Attack

V Fake Session Denial of Service útok, útočník posílá kované pakety SYN, více ACK pakety a pak jeden nebo více FIN / RST pakety. Když se tyto pakety objeví spolu, vypadají jako platné relace TCP pouze z jednoho směru. Vzhledem k tomu, mnoho moderních sítí využívat asymetrické směrování techniky, kdy příchozí a odchozí pakety přejdou různé internetové odkazy ke zlepšení nákladů a výkonu, tento útok je těžší odhalit. Tento útok simuluje kompletní TCP komunikace a je navržen tak, aby plést nový útok obranné nástroje, které sledovat pouze příchozí provoz na síti, a ne obousměrně odpovědí monitoring serveru. Existují dva běžné varianty tohoto pro DDoS útoky nejčastěji uvádí: první varianta posílá více SYNs, pak více ACK, následuje jeden nebo více FIN / RST pakety. Druhá varianta přeskočí počáteční SYN a začíná tím, že pošle více ACK, následuje jeden nebo více FIN / RST pakety. Pomalu TCP-SYN sazba činí útok těžší odhalit než klasický SYN Flood.

UDP Flood

V UDP Flood, DDoS útočníci posílat vysoce falešnou UDP pakety na velmi vysokou mírou paketů pomocí velkého zdroje rozsah IP adres. Síťové oběti (routery, firewally, IDS / IPS, SLB, WAF a / nebo servery) je zahlcen velkým počtem příchozích UDP pakety. Tento útok běžně spotřebovává síťových zdrojů a dostupné šířky pásma, vyčerpání sítě, dokud to jde v režimu offline. UDP útoky jsou velmi obtížné odhalit a zablokovat efektivně a jsou velmi účinné při zahlcení sítě s nežádoucím provozem. UDP povodně může přemoci síť s pakety, které obsahují náhodné nebo pevné zdrojové IP adresy. Mohou také být použity v reflexním typ útoku, kdy objemy nevyžádaných a velkých reakcí DNS zaútočit na DNS server, nebo dokonce ve VoIP a NTP prostředí.

UDP Fragmentation

Při útoku UDP fragmentace, útočníci posílat velké UDP pakety (1500 + bytes) spotřebuje větší šířku pásma, s menším počtem paketů. Vzhledem k tomu, tyto fragmentované pakety jsou obvykle kované a nemají možnost být znovu sestaveny, budou prostředky oběti přijímat tyto pakety, které mohou případně spotřebovávají značné prostředky CPU "znovu složit" Tyto často zbytečné paketů.

Non-Spoofed UDP Flood

V Non-falešnou UDP Flood, útočníci posílat non-falešnou UDP pakety na velmi vysoké paketu úrokové sazbě vypočtené v sítích stávat zahlceni velkým množstvím příchozích UDP pakety. Útok spotřebuje obrovské množství síťových zdrojů a šířku pásma, odsávání sítě a nutit odmítnutí služby. Pakety obsahují platnou veřejnou IP adresu útočníka. Tento typ útoku je těžší určit, protože se podobá dobrou dopravní.

ICMP Flood

V ICMP Flood, útočníci posílat vysoce falešnou identitou ICMP pakety na dostatečně velké objemy zaplavit síť. Síťové prostředky Oběť jsou zahlceni velkým počtem příchozích ICMP pakety. Útok spotřebovává zdroje a dostupné šířky pásma, vyčerpání sítě, dokud to jde v režimu offline. ICMP povodně může přemoci síť s pakety, které obsahují náhodné nebo stálým zdrojem IP adresy. Tento útok je často vnímána jako síťové úrovni objemovým útoku a může být poražen L3 / L4 filtrování paketů.

ICMP Fragmentation Flood

In ICMP fragmentace Flood, útočníci posílat vysoce falešnou, velké fragmentovaných ICMP pakety (1500 + byte) na velmi vysoké rychlosti paketů a tyto pakety nemohou být znovu sestaven. Velká velikost paket může celkově zvětšit šířku pásma útoku ICMP. Kromě toho způsobuje plýtvání zdroji CPU v pokusu opětovné složení zbytečné pakety.

Ping Flood

V Ping potopou, útočníci použít "ping", což je varianta z ICMP a poslat vysoce falešnou ping (IMCP požadavky na odezvu) pakety na velmi vysokou rychlostí a náhodného zdroje IP rozsahy, nebo jako IP adresu oběti. Útočníci mohou konzumovat všechny dostupné síťové zdroje a šířku pásma vyčerpání síť, dokud to jde v režimu offline. Vzhledem k tomu, že požadavky na PING jsou nejvíce často dobře tvarované a vysoce falešné, PING povodeň nemůže být snadno detekován hloubkovou inspekci paketů či jiných technik detekce.

TOS Flood

V TOS (Type of Service) potopy, útočníci použít pole "TO na hlavičce IP. Toto pole se v průběhu času vyvíjel a nyní se používá pro explicitní zahlcení oznámení (ECN) a různé služby (DiffServ). I když tento typ povodní není vidět příliš často, existují dva typy útoků, které mohou být zahájeny založené na tomto poli. V první, útočník spoofs ECN paketů, aby se snížila propustnost jednotlivých spojů. To by mohlo způsobit, že server se objeví mimo provoz, nebo nereaguje na zákazníky. Ve druhém, útočník využívá DiffServ třídy vlajky, aby se mohlo zvýšit prioritu útoku provozu přes to non-útočné provoz. Využití DiffServ vlajky není útok DDoS samo o sobě; Tato funkce je zaměřen na zvýšení účinnosti útoku.

IP NULL/TCP NULL Attack

V IP NULL útoku, útočníci posílat pakety, přičemž pole záhlaví IPv4 používá k určení, které Transport Protocol je používán v jeho užitečného zatížení (egTCP a / nebo UDP) a nastaví toto pole na hodnotu nula. Firewally nakonfigurován pro jen TCP, UDP, ICMP a mohou dovolit tento typ paketu přes. Pokud se tyto pakety dorazí jako povodeň, mohou být prostředky CPU za oběť serveru zbytečný nakládání s těmito pakety. V TCP NULL útoku, útočníci posílat pakety, které mají žádné segmentu TCP příznaky nastavené (šest možné), který je neplatný. Tento typ segmentu může být použit v průzkumu, jako je skenování portů.

Smurf/Fraggle Attack

V Šmoula útoku, útočníci posílat velké množství ICMP pakety s falešnou zdrojovou IP adresu zamýšlená oběť a jsou vysílány do počítačové sítě pomocí adresy IP vysílání. To způsobí, že všechny počítače v síti, aby odpověď na žádost o ICMP, což způsobuje značný provoz na počítači oběti. V Fraggle útoku, útočníci poslat falešnou identitou UDP pakety místo ICMP Echo Reply (ping) paketů broadcast adresou velké sítě, což vede k odmítnutí služby.

DNS Flood DNS Amplified (Reflected)

V DNS potopou, útočníci používají DNS jako variantu UDP povodní. Útočníci poslat platné, ale falešnou požadavek DNS pakety na velmi vysoké rychlosti paketu a od velmi velké skupiny zdrojové IP adres. Vzhledem k tomu, ty se jeví jako platné žádosti, DNS servery oběti pokračuje reagovat na všechny požadavky. DNS server může být přemožen obrovské množství žádostí. Tento útok spotřebovává velké množství síťových zdrojů, které vyčerpaly infrastrukturu DNS, dokud to jde offline, přičemž přístup k internetu oběti (www) se s ním. Dalším možným způsobem, jak využívat DNS povodní je však útočníky Spoofing infrastrukturu DNS dané oběti a pomocí otevřených rekurzivních DNS serverů a rozšíření k protokolu DNS. Velmi malé DNS dotazy může mít za následek velmi velké a high-objem odpovědí DNS (tj Amplification Factor). Vzhledem k tomu, útočníci si legraci infrastrukturu DNS dané oběti, všechny z odraženého / zesílené odpovědí zaplaví DNS server oběti, který obvykle trvá je v režimu offline. Vzhledem k tomu, že požadavky a odpovědi DNS jsou 100% normální hledáte, tento útok je jen zřídka zjistitelná důkladnou kontrolu paketů technologie.

NTP Flood /NTP Amplified (Reflective)

V NTP potopou, útočníci pomocí NTP jako variantu UDP povodní. Útočníci poslat platné, ale falešnou pakety požadavků NTP na velmi vysoké rychlosti paketu a od velmi velké skupiny zdrojové IP adres. Vzhledem k tomu, ty se jeví jako platné žádosti, servery oběti NTP pokračuje reagovat na všechny požadavky. NTP server může být přemožen obrovské množství žádostí. Tento útok spotřebovává velké množství síťových zdrojů, které vyčerpaly infrastrukturu NTP, dokud to jde v režimu offline. Dalším možným způsobem, jak využívat NTP povodně je, když útočníci zfalšovat NTP infrastruktury dané oběti a používat servery Otevřít NTP, které odesílají (MON_GETLIST) velmi malé požadavky, jejichž výsledkem je velmi vysoké množství NTP odpovědí (zesilovací činitel). Vzhledem k tomu, útočníci si legraci NTP infrastruktury dané oběti, všechny z odraženého / zesílené odpovědí zaplaví NTP server oběti, které na ně je v režimu offline nebo zaplavit síť a vzít to i offline. Tento útok je zřídka zjistitelná důkladnou kontrolu paketů technologie, protože požadavky a odpovědi NTP Zdá se, že 100% normálu.

Other Amplified Attacks (Reflective)

Podle amerického CERT ( https://www.us-cert.gov/ncas/alerts/TA13-088A ), byly některé UDP byly identifikovány jako potenciální vektorů útoku pomocí zesílený (reflexní) útoků. Většina útoků pomocí těchto protokolů by být provedena podobně jako DNS a NTP útoky discribed výše.

Slow Session Attack

V pomalém Session útoku, útočníci posílat platné TCP-SYN pakety a provádět TCP třícestné stisky rukou s obětí založit platné relace mezi útočníkem a oběti. Útočník nejprve stanoví velký počet platných relací a pak se pomalu odpoví ACK paketem a neúplné žádosti udržet relace otevřené delší dobu. Za normálních okolností, bude útočník nastavit útok poslat ACK paket s žádostí incompleted obvykle před relace časového limitu se spouští server. V "držené otevřené" zasedání může nakonec vyčerpat zdroje oběť serveru použité pro výpočet této nesrovnalosti. Nízké-and-pomalé nástroje byly rovněž navrženy tak, aby konzumovat všechny 65536 dostupné "zásuvky" (zdroj porty), což má za následek neschopnost server k vytvoření nové relace. Pomalé relace útoky jsou stále non-falešnou identitou, aby s ním zasedání otevřené po dlouhou dobu.

Slow Read Attack

V pomalé čtení DDoS útoku, útočníci posílat platné TCP-SYN pakety a provádět TCP třícestné stisky rukou s obětí založit platné relace mezi útočníkem a oběti. Útočník nejprve stanoví velký počet platných relací a začne požadovat stažení dokumentu nebo velký objekt z každé útočící stroje. Po zahájení stahování útočící stroje začnou zpomalovat uznání přijatých paketů. Útočníci budou nadále zpomalit příjem paketů, který spotřebovává přebytečné prostředky na serveru dodávající protože všechny související procesy se zdají být velmi pomalé přijímací sítě. Pomalé čtení útoky jsou stále non-falešnou identitou, aby s ním zasedání otevřené po dlouhou dobu.

HTTP Fragmentation

V HTTP fragmentace útoku, non-falešnou útočník naváže platné připojení HTTP s webovým serverem. Útočník pokračuje fragment legitimní HTTP pakety do nejmenších možných fragmentů a posílá každý fragment tak pomalu, jak je server time-out umožní, který nakonec drží spojení HTTP otevřené po dlouhou dobu, aniž by byly vzneseny alarmy. Otevřením více rozšířené relací za útočníka, může útočník tiše vynutit webové aplikace v režimu offline jen s hrstkou útočících strojů.

Excessive Verb (HTTP GET Flood)

V GET potopou, útočníci posílat velké množství platných požadavků HTTP na webovém serveru oběti. Požadavek HTTP je nejčastěji požadavek GET a je zaměřena na nejvíce náročné na CPU procesu na oběť webový server. Každý útočník může generovat velké množství platných požadavků se tak může útočník použít relativně malý počet útočících strojů vzít systému v režimu offline. HTTP GET Povodně nejsou falešné a zdrojová IP adresa je skutečná veřejná IP útočníka stroje (nebo NAT Firewall). Nejběžnější variantou tohoto útoku používá GET, ale útočník použít i hlavu, POST, PUT, Možnosti nebo jakoukoli jinou metodu HTTP způsobit výpadek. Tento útok je považován za útok low-a-pomalu na aplikační vrstvě a běžně spotřebuje malé šířky pásma, ale nakonec činí servery oběti odpovídat.

Excessive Verb - Single Session

V nadměrnou sloveso útoku, útočníci využít rys HTTP 1.1, který umožňuje více požadavků klientů v rámci jedné relace HTTP. V tomto případě, útočníci mohou snížit rychlost žádost o relaci útoku HTTP, aby se pod radarem požadavku omezení rychlosti funkce k dispozici na některých útok obranné systémy dnes nasazených. Tento útok je považován za útok low-a-pomalu na aplikační vrstvě a běžně spotřebuje malé šířky pásma, ale nakonec činí servery oběti odpovídat.

Multiple Verb - Single Request

V Multiple sloveso útoku, útočníci použít variantu při nadměrném sloveso útoku vektoru. Útočící Stroje vytvořit několik požadavků HTTP, ne tím, že vytvoří jim jeden po druhém například během jednoho útoku HTTP relace, ale místo toho vytvořením jediného paket naplněné více požadavků. Je to varianta Nadměrné slovesa útoku, kdy útočník může udržet vysokou procesor zpracování zatížení na oběti serveru s velmi nízké ceny paketů útoku. Nízké sazby paketů, aby útočník téměř neviditelná NetFlow detekčních metod útoku. Také v případě, že útočník vybere HTTP sloveso pečlivě tyto útoky budou rovněž obejít důkladnou kontrolu paketů technologie stejně. Tento útok je považován za útok low-a-pomalu na aplikační vrstvě a běžně spotřebuje malé šířky pásma, ale nakonec činí servery oběti odpovídat.

Recursive GET

Rekurzivní GET Attack je varianta Nadměrné sloveso útoku. V tomto případě se útočník identifikuje více stránek a / nebo obrázky a generuje HTTP GET požadavky, které se objevují na "procházet" prostřednictvím těchto stránek nebo obrázků se snaží napodobit normální uživatele. Tento útok lze kombinovat s jakoukoliv z metod VERB útoku, aby se tento způsob útoku velmi obtížné zjistit, protože požadavky se zdají být velmi legitimní.

Random Recursive GET

V náhodném rekurzivní GET útoku, útočníci použít upravenou verzi rekurzivní GET. Tento útok je určen především pro fóru stránky nebo zpravodajské servery, kdy webové stránky jsou indexovány číselně, obvykle v sekvenčním způsobem. Útočící příkazy získají vloží náhodné číslo v platném rozsahu referenčních čísel stránek tvořících každý GET prohlášení jiný než ten předchozí.

Specially Crafted Packet

Ve speciálně vytvořeném Packet útoku, útočníci využít webových stránek se špatnými vzory, zranitelné webové aplikace a / nebo mají nesprávné integraci s backend databází. Můžete například útočníci zneužít zranitelností v HTTP, SQL, SIP, DNS atd a vytvářet speciálně vytvořených paketů využít těchto protokolů "svazek" zranitelností nakonec vzít servery v režimu offline. Mohou také požadavky, které se zamknout databázové dotazy. Tyto útoky jsou velmi specifické a účinné, protože spotřebovávají obrovské množství serverových zdrojů a často jsou zahájeny z jednoho útočníka. Příkladem speciálně vytvořený Denial of Service útok je MS13-039.

Scans and Recon-naissance

V tomto případě útoku útočníci často toto chování jako předchůdce cíleného útoku na aplikace, servery a další infrastruktury vystavovat. Pre-útok skenování zahrnuje použití běžně dostupných nástrojů na profil oběti ve snaze odhalit otevřené porty, služby a veřejné směřující aplikací. V některých případech, pokročilé skenování (OS Mapping) dokáže detekovat operační systémy verze, typy aplikací (Apache, IIS) a úrovně software patch. Autoscan, davtest, lanmap2, netifera, nmap, Scapy, unicornscan, zenmap a nessus jsou všechny příklady pre-útok skenování nástroje, které mohou být použity nejen pro hodnocení zranitelnosti a penetrační testy, ale také jako způsob, jak na profil oběti před zahájením cíleného útoky. Tato činnost je obvykle chápáno jako aplikační vrstvě před útokem, a může být buď intenzivní kontrola, že se stane velmi rychle, nebo low-and-pomalé skenování, které může trvat hodiny na dokončení a často unikne detekci. Skeny jsou normálně těžko blokovat bez incidentů falešně pozitivních. Nicméně, tam jsou mechanismy, jako SYN-proxy, které mohou poplést výsledky testů (tj zasílání falešné informace zpět do subjektu útočící / skenování činí aktivitu skenování téměř k ničemu).

Buffer Overflows

V tomto scénáři, útočníci využívají cílenější přístup a používat přetečení vyrovnávací paměti, aby mohly získat přístup k zranitelný systém. Buffer overflow nebo přetečení vyrovnávací paměti je často spojován s činem navržen tak, aby využít potenciální zranitelnosti špatně napsaný kód v programu. Program může být aplikace webserver, prohlížeč, přehrávač médií nebo libovolný počet dalších aplikací (např Java). Přetečení využívá program, zatímco je program zápisu dat do vyrovnávací paměti a pak přejíždí hranice v bufferu a přepíše sousední paměti. V přepsaná data mohou často být vždy sadu kódu a / nebo pokyny ve snaze dostat počítač oběti spustit vzdálený kód, který byl přepsán do sousedního paměti. K dispozici jsou především dva typy přetečení zásobníku; Přetečení haldy a přetečení zásobníku. Bez ohledu na typ, útočník se snaží dostat počítač oběti spustit vzdálený kód, který buď způsobuje systém na srážkách, nebo potenciálně otevírá reverzní shell zpět do útočného stroje. Jak klientské počítače a servery mohou být náchylné k přetečení zásobníku. Tento útok je obvykle spojena s nízkými a pomalé cílený útok, který ohrožuje a / nebo získává vzdálený přístup k systému zranitelné. Tento útok může být zmařen buffer overflow detekce a útoku a zranitelnosti podpisů.

Code Injections

V tomto scénáři, útočníci použít kód injekci jako způsob, jak umístit spustitelný kód do aplikace tím, že využívá zranitelnosti v systému, v důsledku špatné analýzy, kterou samotné aplikace (nejčastěji způsobené špatnými programovacích postupů nebo zranitelného softwaru). Pokud aplikace předpokládá pouze určitý vstup uživatele dojde, a nechrání proti různé vstupy za odkazy, to může dovolit útočníkovi získat přístup k informacím, upravit tyto informace a nakonec, kontaminovat kód, který jim za normálních okolností nemohli ovlivnit. Existují desítky způsobů, jak způsobit kódu injekce na obou klientských počítačích, stejně jako servery vedou ohroženého systému a / nebo šíření infekcí (např červů). Wikipedia má vynikající popis toho, jak Code Injection často pracuje: http://en.wikipedia.org/wiki/Code_injection. Tento útok je obvykle spojena s nízkými a pomalé cílený útok, který se často používá ke kompromisu zranitelné systémy a mohou být často porazil dobrými programování postupů a / nebo vložení kódu detekce a útoku a zranitelnosti podpisů.

Directory Traversals

V tomto případě útoku útočníci použít adresář traversal (nebo cestu traversal), jako způsob, jak využít nedostatečné sanitaci uživatelských vstupů často v souvislosti s názvy souborů tak, že znaky reprezentující "přejít do nadřazeného adresáře" (../) se prochází do souboru Aplikační Programovatelné rozhraní (API). Útok byl také nazýván horolezectví adresář a / nebo backtrackingu útoku. Cílem tohoto útoku je kontrolovat aplikaci získat přístup k souboru dat, který byl dosud k dispozici. Tento útok využívá nedostatek bezpečnostních postupů při samotné aplikace; provedení přesně tak, jak byla navržena, na rozdíl od využívání nedostatek (bug) v kódu. Tento útok je obvykle spojeno s nízkou-and-pomalé cílený útok, a je často používán k "ukrást" informace, že útočník byl nikdy měl získat přístup a může být poražen přímo průchod ochran a normalizaci HTTP vstupů pomocí státu-ful Protocol Analysis.

Advanced Evasion Techniques

V tomto případě útoku útočníci často používat pokročilé únikové techniky "propašovat minulosti" hluboké prověřování paketů zařízení (např Intrusion Prevention Systems). Vzhledem k tomu, mnoho z protokolů používaných dnes umožňují fragmentaci a segmentace, hackeři pomocí dostupných metod doručit své přetečení, injekce, brute-force, Denial of Service útoků a další malware zcela nepozorovaně. Advance únikové metody mohou zahrnovat nadměrné fragmentaci IP, Možnosti IP a jiný protokol zneužívání, nadměrné TCP segmentace, SMB / MSRPC roztříštěnost a dokonce Endian Protocol zmatek v pojmech. Tento útok je obvykle spojena s nízkými a pomalé cílený útok ve snaze získat přístup k (kompromisní), vzdáleném systému. Tento útok může být zmařen pokročilá detekce Evasion prostřednictvím fragmentace / segmentace změnit pořadí motorů určených pro kontrolu dopravních proudů v plném rozsahu.

Stack Attacks (Protocol Abuse)

V tomto případě útoku útočníci často používají porty a protokoly způsobem, že prostě by nemělo být povoleno. Například KillApache perl Scénář napsal bezpečnostní výzkumník jménem Kingcope a byl propuštěn do světa v srpnu 2011. Scénář byl navržen tak, aby využít HTTP "zásobníku protokolu zranitelnosti" v některých verzích webového serveru Apache. V době vydání, téměř 65% z webových serverů na internetu běží Apache byly vystaveny tomuto útoku skriptu. Skript byl navržen tak, aby využít skutečnosti, že HTTP protokol umožňuje klientům požadovat, aby segmentu serveru webového obsahu na velmi malé kousky informací a předaly tyto informace jeden "kousek", najednou ke klientovi, která podala žádost; provádí opakovaně. Skript při spuštění proti zranitelné serveru Apache by se doslova spotřebovat všechny dostupné paměti a CPU během několika vteřin a server by nakonec dojít k selhání a / nebo zamrznutí. Tento typ útoku je obvykle spojeno s speciálně vytvořeného paketu útoků a může být poražen stavovou analýzu a validaci.

Brute-Force Pass-word Attacks

V tomto případě útoku útočníci používají "state-of-the-art" a běžně dostupných nástrojů a přímé těchto nástrojů směrem k webu, FTP, SSH, e-mail (ETC) servery a opakovaně hádat přihlašovací jméno a heslo kombinace v pokusu získat přístup k Účet uživatele. Mnohé z těchto nástrojů mají nízký-and-pomalé vlastnosti, které ve skutečnosti se zdají vypadat platných uživatele pokoušející se přihlásit. Většina z těchto nástrojů mají předdefinovaných upravitelných skriptů použity na pomoc s pokusy hádat, ing. Další obrázky tohoto útoku je, když útočníci chtějí výluky potenciální uživatelských účtů je znepřístupnění platného uživatele, který se může stát "odepření přístupu nebo odmítnutí služby" typu útoku. Například je-li webový server umožňuje pouze pět pokusů o zadání správného login kombinace / heslo a útočník překročí pět pokusů, uživatelský účet může být uzamčen a nepřístupné pro platný uživatel pokouší se přihlásit. To často přinutí uzamčený-out klienta, aby se telefonní hovor do podpůrného centra pro pomoc a byl viděn přemoci tým zákaznické podpory pro své organizace. Tento útok je obvykle spojena s nízkými a pomalé cíleného útoku v pokusu získat přístup a případně krást informace a může být poražen stavovou analýzy, počtu připojení, vyžádejte si limity a analýza chování Request / Response.

Lack of Protocol “State-Awareness” Attack

V tomto případě útoku, útočníci využívají své rozsáhlé znalosti implementací protokolu. Například, mohou útočníci vydat stejný příkaz opakovaně, nebo vydá příkaz, aniž by nejprve vydání příkazu na; který je závislý na, ve snaze obejít podpisy vzor-odpovídající nebo jednoduché a základní kontrolu záhlaví protokolu. Mnoho Hluboká Packet Inspection zařízení (DPI) nemusí nutně dodržovat všechny pakety ze sítě transakce v "stavové" módy a dále porovnat pozorovanou obsah a vlastnosti k tomu, co je povoleno, očekává nebo požaduje na základě specifikací síťových protokolů a známé implementace. Protože se jedná o tento případ, jen málo DPI zařízení mají schopnost plně pochopit implementace real protokolu a přijmout příslušná opatření (např detekce / blokování) protokolu anomálií a / nebo s protokolem o porušování lidských práv. Například, v případě reakce DNS přijde do sítě a pozorované dotaz DNS nesouvisí s původní odezvy, pak nedostatek protokolu "vědomí", může umožnit útočníkovi využít tyto typy situací. Tento typ útoku je často spojena s nízkou-and-pomalé cílený útok a / nebo zlomených implementace protokolu a může být poražen stavovou analýzu a validační protokol.

Remote Code Execution

V tomto útoku, scénář útočníci posílat speciálně vytvořené pakety určené k vytvoření vzdáleného situaci spuštění kódu. Vzhledem k tomu, existuje mnoho nedávných zranitelnosti v mnoha operačních systémů a aplikací, musí být vzdálené spuštění kódu ochrana spuštění provést v zájmu blokovat tyto typy útoků. Vzdálené spuštění kódu může dovolit útočníkovi vynutit napadeného systému otevřít zpět k útočníkovi reverzní shell a může umožnit vzdálený přístup k počítači oběti přímo přes bránu firewall. Tyto typy útoků jsou obvykle spojeny s nízkými-and-pomalých cílených útoků a může být poražen pomocí útoku a podpisy chybách, stejně jako stavovou analýzu.