A szolgáltatásmegtagadási támadás ( abr. DoS-támadás a szolgáltatásmegtagadási támadásért ) egy számítógépes támadás, amelynek célja a szolgáltatás elérhetetlenné tétele, megakadályozva a szolgáltatás törvényes felhasználóit abban, hogy használják. Jelenleg ezeknek a támadásoknak a túlnyomó többsége több forrásból származik, az egyik az elosztott szolgáltatásmegtagadással kapcsolatos támadásokról szól (abr. DDoS támadás az elosztott szolgáltatásmegtagadás támadásért ).
Lehet:
A szolgáltatásmegtagadási támadás így blokkolhatja a fájlszervereket , lehetetlenné teheti a webkiszolgálóhoz való hozzáférést vagy megakadályozhatja az e-mailek terjesztését egy vállalatnál.
A támadónak nem feltétlenül van szüksége kifinomult felszerelésre. Így egyes DoS támadások korlátozott erőforrásokkal hajthatók végre egy nagyobb méretű és modernebb hálózat ellen . Ezt a fajta támadást néha „aszimmetrikus támadásnak” hívják, mivel a főszereplők között erőforrás-különbségek vannak.
A szolgáltatásmegtagadási támadások az idők során megváltoztak (lásd az előzményeket ).
Először is az előbbieket csak egy "támadó" követte el; gyorsan, fejlettebb támadások jelentek meg, amelyek "katonák" sokaságát érintették. Ezután a DDoS-ről ( elosztott szolgáltatásmegtagadási támadás ) beszélünk . Néhány hacker a "zombi" seregek "felnevelésére" szakosodott, amelyeket aztán más rosszindulatú emberek vagy csoportok számára bérelhet fel egy adott célpont megtámadására. Az internetes kereskedelmi cserék számának hirtelen növekedésével a szolgáltatást megtagadó zsarolások száma nagyon erősen megnőtt.
A szolgáltatásmegtagadási támadások az 1980-as években kezdődtek. A DDoS (vagy elosztott DoS támadások) állítólag újabbak: az első hivatalos DDoS támadásra 1999 augusztusában került sor: a „Trinoo DDO” (alább ismertetett) alábbiakban ismertetett eszközt telepítették. legalább 227 rendszerben, amelyek közül 114 az interneten volt, a szerverek elárasztására a Minnesotai Egyetemen. Ennek a támadásnak az eredményeként az egyetem internet-hozzáférését több mint két napra blokkolták.
Az első, a mainstream sajtóban nyilvánosságra hozott DDoS-támadásra 2000 februárjában került sor Michael Calce , ismertebb nevén Mafiaboy néven. Február 7-én a Yahoo! DDoS-támadás áldozata lett, amely internetes portálját három órán keresztül elérhetetlenné tette. Február 8-án az Amazon.com-ot , a Buy.com-ot, a CNN-t és az eBay- t olyan DDoS-támadások sújtották, amelyek vagy leállították, vagy jelentősen lelassították működésüket. Február 9-én az E-Trade és a ZDNet viszont áldozatul esett a DDoS-támadásoknak.
Elemzők úgy vélik, hogy a három órás elérhetetlenség alatt a Yahoo! körülbelül 500 000 dollár veszteséget szenvedett az e-kereskedelem és a hirdetési bevételek miatt . Az Amazon.com szerint támadása 600 000 dolláros veszteséget eredményezett tíz órán keresztül. A támadás során az eBay.com 100% -os üzemidőről 9,4% -ra emelkedett; A CNN.com a normál mennyiség 5% -a alá esett; A Zdnet.com és az ETrade.com gyakorlatilag nem volt elérhető. A Schwab.com, Charles Schwab bróker online oldala szintén érintett volt, de nem volt hajlandó pontos adatokat közölni a veszteségeiről. Csak azt lehet feltételezni, hogy egy olyan társaságnál, amely heti 2 milliárd dollárt keres online kereskedelemben, a veszteség nem volt elhanyagolható. Az Amazon.com-ot, a Yahoo! -Ot, a CNN-t és az Ebay-t feltörő Michael Calce-t nyolc hónapra ítélték egy fiatalkorúak fogházában (a bűncselekmény idején csak 15 éves volt).
2001 szeptemberében egy bizonyos Code Red vírus megfertőz néhány ezer rendszert, a második verzió pedig Code Red II néven telepít egy DDoS ügynököt. A pletykák szerint támadást kellett indítania a Fehér Ház ellen . A válság politikai kontextusában az amerikai kormány bejelentette, hogy biztonsági intézkedéseket fognak hozni. De 2002 nyarán az interneten volt a sor, hogy DDoS támadást szenvedjen tizenhárom gyökérkiszolgálója ellen . Ezek a kiszolgálók az Internet referral rendszerének, az úgynevezett Domain Name System (DNS) kulcsfontosságú pontjai . Ez a támadás csak egy óráig fog tartani, de megbéníthatja az egész internetes hálózatot. Az esetet komolyan veszik azok a szakértők, akik azt állítják, hogy a jövőben megerősítik gépeik biztonságát.
A Slapper első verziója, amely 2002. szeptember közepén jelent meg , két hét alatt több mint 13 000 Linux szervert fertőzött meg . A Slapper kihasználja az OpenSSL 1 modul biztonsági hibáját , és létrehoz egy DDoS ügynököt. Ezt időben észlelik és leállítják.
2002. október 21-én, hétfőn azonban egy új DOS-támadás blokkolta a tizenhárom kulcsszerver közül kilencet, így erőforrásaik három órán keresztül elérhetetlenné váltak. Az ezeket a kulcsszervereket kezelő vállalatok és szervezetek egy része reagálva úgy döntött, hogy felülvizsgálja biztonsági intézkedéseit. Az FBI megindította a nyomozást, de a támadás elkövető (i) felkutatása nehéznek tűnik.
Röviddel ezután a nem megfelelően konfigurált Microsoft SQL Server adatbázis- kiszolgálókat megfertőzték az SQL Slammer féreg . Ez utóbbi egy DDoS ügynököt hordoz, aki 2003. január 25-én támadást indított az Internet ellen. Ezúttal a tizenhárom gyökérkiszolgáló közül csak négy érintett. A támadás virulenciája ellenére az általános hálózati teljesítmény alig, 15% -kal csökkent.
"Szolgáltatásmegtagadási támadásnak" nevezünk minden olyan műveletet, amely egy szerver offline állapotba kerülését eredményezi. Technikailag a kiszolgáló és az ügyfél kapcsolatának rosszindulatú megszakítása szolgáltatásmegtagadási támadásnak tekinthető. Valójában a szolgáltatásmegtagadási támadásokat egy meghatározott szerver sávszélességének telítésével működtetik.
Az egyik leggyakoribb támadás 65 535 bájtnál nagyobb ICMP csomag küldését jelentette . Ezen korlát felett az IP- verem nem tudta megfelelően kezelni a csomagot , ami UDP- töredezettségi hibákat , vagy akár illegális vagy inkompatibilis jelzőket tartalmazó TCP- csomagokat eredményezett .
A mai akkumulátorok ellenállnak az ilyen típusú támadásoknak. Az ilyen csomagok feldolgozási ideje azonban még mindig hosszabb, mint a jogos csomagok feldolgozásához szükséges idő. Így általánossá vagy akár elenyészővé válik a processzor (CPU) túlzott fogyasztásának generálása másodpercenként több százezer anomália egyszerű kibocsátásával, amelyet egy olyan eszköz, mint a hping3, egyetlen parancssorban engedélyez ...
volt. : [root @ localhost root] # hping3 -SARFU -L 0 -M 0 - p. 80 www.cible.com - áradás
A szélessáv elérkeztével és a személyi számítógépek teljesítményének növekedésével a támadási lehetőség tízszeresére nőtt, ami rávilágított a több évvel ezelőtt kifejlesztett telepítések gyengeségére. Ez a növekedés lehetővé teszi, hogy szinte minden rendellenesség a szolgáltatás megtagadásának forrása legyen, feltéve, hogy kellően nagy arányban generálódnak.
Például :
A SYN árvízi támadás olyan támadás, amelynek célja a szolgáltatás megtagadása azáltal, hogy nagyszámú hiányos TCP szinkronizálási kérelmet ad ki egy szerverrel.
Amikor egy rendszer (kliens) TCP kapcsolatot próbál létrehozni egy szolgáltatást (kiszolgálót) kínáló rendszerrel, az ügyfél és a kiszolgáló üzenetsorozatot cserél.
Az ügyfélrendszer először SYN üzenetet küld a szervernek. Ezután a szerver felismeri az üzenetet egy SYN-ACK üzenet küldésével az ügyfélnek. Ezután az ügyfél befejezi a kapcsolat létrehozását egy ACK üzenettel válaszolva. Ezután megnyílik a kapcsolat az ügyfél és a szerver között, és az adott adatszolgáltatás kicserélhető az ügyfél és a szerver között. Az üzenetek folyamatának áttekintése:
Client Serveur ------ ------- SYN --------- → ← --------- SYN-ACK ACK --------- →A visszaélések lehetősége akkor merül fel, amikor a szerver rendszer nyugtázást (SYN-ACK) küldött az ügyfélnek, de nem kapta meg az ACK üzenetet. A szerver beépíti a rendszermemóriájába az összes kapcsolatot leíró adatstruktúrát. Ez az adatstruktúra véges méretű, és túlterhelhető azzal, ha szándékosan túl sok, részben nyitott kapcsolatot hoz létre.
A félig nyitott kapcsolatok létrehozása könnyen megvalósítható az IP-hamisítással. A támadó rendszere SYN üzeneteket küld az áldozat gépének; ezek jogosnak tűnnek, de olyan ügyfélrendszerre vonatkoznak, amely nem képes válaszolni a SYN-ACK üzenetre. Ez azt jelenti, hogy a végső ACK üzenetet soha nem küldjük el az áldozat kiszolgálójának.
Normális esetben a bejövő kapcsolathoz időtúllépés társul, a nyitott félkapcsolatok időtúllépnek, és az áldozat szervere képes kezelni a támadást. A támadó rendszer azonban egyszerűen tovább folytathatja az új kapcsolatokat kérő hamis IP-csomagokat, gyorsabban, mint az áldozat szervere.
A legtöbb esetben az áldozatnak nehézségei vannak bármilyen új bejövő hálózati kapcsolat elfogadásával. Ezekben az esetekben a támadás nem befolyásolja a bejövő kapcsolatokat, sem a kimenő hálózati kapcsolatok létrehozásának képességét. A rendszer azonban meg tudja tölteni a memóriát, ami összeomlást okoz, és működésképtelenné teszi a rendszert.
Ez a szolgáltatásmegtagadás kihasználja az UDP protokoll nem csatlakoztatott módját . Létrehoz egy UDP csomagvihart (nagy mennyiségű UDP csomag előállítása ) akár egy gépre, akár két gép között. Egy ilyen támadás két gép között hálózati torlódáshoz , valamint a két áldozat gazdájának erőforrásainak telítettségéhez vezet . A torlódás nagyobb, mert az UDP forgalom elsőbbséget élvez a TCP forgalommal szemben. Valójában a TCP protokoll torlódásszabályozó mechanizmussal rendelkezik, abban az esetben, ha egy csomag nyugtázása hosszú késés után érkezik, ez a mechanizmus alkalmazkodik a TCP csomagok átviteli frekvenciájához, és az átviteli sebesség csökken. Az UDP nem rendelkezik ezzel a mechanizmussal. Egy bizonyos idő elteltével az UDP forgalom tehát elfoglalja az összes sávszélességet, a TCP forgalomnak csak egy kis részét hagyja el.
Az UDP elárasztásának legismertebb példája a „ Chargen Denial of Service Attack ”. Ennek a támadásnak a végrehajtása egyszerű, elegendő, ha az egyik gép töltési szolgáltatása kommunikál a másik visszhangszolgáltatásával . Az első karaktereket generál, míg a második egyszerűen továbbítja a kapott adatokat. Ezután a támadónak csak el kell küldenie az UDP csomagokat a 19. porton ( töltés ) az egyik áldozatnak úgy, hogy meghamisítja a másik IP-címét és a forrás portját . Ebben az esetben a forrásport az UDP 7-es port ( visszhang ). Az UDP elárasztása sávszélesség- telítettséget okoz a két gép között, így teljesen semlegesítheti a hálózatot .
A Packet Fragment típusú szolgáltatás- használat megtagadásának gyengeségei bizonyos TCP / IP-kötegek megvalósításában az IP-töredezettségmentesítés (az IP-töredékek újraszerelése) szintjén.
Ismert támadás, amely ezt az elvet használja, a Teardrop . A második fragmens töredezettség- eltolása kisebb, mint az első, valamint az eltolás plusz a második mérete. Ez azt jelenti, hogy azt mondjuk, hogy a második töredék az elsőben található ( átfedésben ). A töredezettségmentesítés során egyes rendszerek nem kezelik ezt a kivételt, és ez szolgáltatásmegtagadáshoz vezet. Vannak eltérések a támadás: bonk , Boink, és newtear . A Ping of Death szolgáltatásmegtagadás kihasználja a töredezettségmentesítés helytelen kezelését az ICMP szintjén azáltal, hogy az IP-csomag maximális méreténél nagyobb adatmennyiséget küld. Ezek a különféle szolgáltatásmegtagadások a célgép összeomlásához vezetnek.
Ez a támadás az ICMP protokollt használja. Amikor egy pinget (ICMP ECHO üzenetet) elküld egy szórási címre , azt megszorozza és elküldi a hálózat minden egyes gépének. A támadás alapelve az ICMP ECHO REQUEST csomagjainak elküldése, amelyek forrásként a cél IP címét adják meg. A támadó folyamatos pinget küld a hálózat sugárzási címére, és az összes gép ezt követően ICMP ECHO REPLY üzenettel válaszol a célpontra. Ezután az áramlást meg kell szorozni a hálózatot alkotó gazdagépek számával. Ebben az esetben a teljes célhálózat megtagadja a szolgáltatás megtagadását, mert a támadás által generált hatalmas forgalom hálózati torlódásokat okoz.
Az ARP-kérés során a támadó válaszolhat úgy, hogy a kilépési útvonalat egy nem létező MAC-címmel társítja. Ily módon az elküldött csomagok elvesznek a hálózatban. És a hálózat elveszíti hozzáférését az internethez.
Tekintettel a szerverek jelenlegi teljesítményére, valamint a terheléselosztás és a magas rendelkezésre állási technikák általánosítására, szinte lehetetlen kiváltani az előző szakaszokban leírt egyszerű szolgáltatásmegtagadást. Ezért gyakran meg kell találni a módszert a multiplikátor effektus alkalmazására a kezdeti támadásra.
Az elv az, hogy különféle forrásokat ( démonokat ) kell használni a támadáshoz, és az irányítókat ( mestereket ).
A támadó mesterek segítségével könnyebben irányíthatja a forrásokat. A támadás konfigurálásához és előkészítéséhez valóban kapcsolódnia kell (TCP-ben) a masterekhez. A mesterek egyszerűen parancsokat küldenek az UDP forrásoknak, így nincs szükség manuális csatlakozásra az egyes forrásokhoz. A támadás forrása könnyebben felderíthető, végrehajtása pedig sokkal hosszabb. Minden démon és mester konkrét üzenetek cseréjével beszélget a használt eszköztől függően. Ezek a kommunikációk akár titkosíthatók és / vagy hitelesíthetők. A démonok és a mesterek telepítéséhez a támadó ismert hibákat használhat ( puffertúlcsordulás az RPC-n, az FTP-n vagy más szolgáltatásokon).
Maga a támadás SYN Flooding, UDP Flooding vagy más Smurf Attack. A szolgáltatás megtagadásának következménye tehát a hálózat elérhetetlenné tétele.
Szoftver | A támadások típusai |
---|---|
Trinoo (en) | UDP áradás |
Tribe Flood Network (en) (TFN) és TFN2K | UDP / TCP / TCP SYN áradás, Törp |
Stacheldraht (en) | UDP / TCP / TCP SYN áradás, Törp |
Schaft | UDP / TCP / ICMP áradás |
MStreamT | TCP ACK elárasztása |
LOIC ( alacsony pályájú ion ágyú ) | TCP / UDP / HTTP |
HOIC ( High Orbit Ion Cannon ) (a LOIC fejlettebb verziója) | TCP / UDP / HTTP |
WebLoic (LOIC for Android) | TCP / UDP / HTTP |
Hátránya ebben az esetben az, hogy két szakaszban kell dolgozni:
A második lépésben a parancscsomag blokkolható egy észlelő vagy szűrő eszközzel. Következésképpen az evolúció abból áll, hogy automatizálják a megrendelések indítását, mihelyt a relé rendszerek megsérülnek. Ezt a technikát a CodeRed valósította meg, amelynek célja az volt, hogy egy sérült szervereket egy adott napon összekapcsoljanak a Fehér Ház webhelyével.
Ugyanebben az értelemben az IRC csatornákon alapuló DDoS, mint kommunikációs csatornák. A cél itt már nem a közvetlen kapcsolat létrehozása a master és a zombik között, hanem az IRC szerver (vagy inkább egy csatorna) használata reléként. Ennek a módszernek, amelyet Knight és Kaiten indított el 2001 júliusában és augusztusában, számos előnye van:
Az elosztatlan szolgáltatásmegtagadási támadások leküzdhetők a támadásokat kiadó gép IP-címének azonosításával és a tűzfal vagy a kiszolgáló tiltásával. Az ellenséges gépről érkező IP-csomagok ezért feldolgozás nélkül elutasításra kerülnek, megakadályozva a szerver-szolgáltatás telítettségét és ezért offline állapotba kerülését.
Az elosztott szolgáltatásmegtagadási támadásokat nehezebb ellensúlyozni. Az elosztott szolgáltatásmegtagadási támadás alapelve az, hogy csökkentse a támadás leállításának lehetőségeit. Ez sok ellenséges, különböző címmel rendelkező gépből származik, az IP-címek blokkolása korlátozza a támadást, de nem állítja meg. Thomas Longstaff, a Carnegie-Mellon Egyetem ezzel a témával kapcsolatban kifejtette: „A valóságban a megelőzésnek inkább a hálózathoz csatlakoztatott gépek biztonsági szintjének megerősítésére kell összpontosítania [a gép veszélyeztetésének megakadályozására], mint a célgépek védelmére [ Webszerverek] ” .
Az elosztott architektúra, amely több, ugyanazon szolgáltatást kínáló kiszolgálóból áll, kezelve úgy, hogy az egyes klienseket csak az egyikük támogatja, lehetővé teszi a szolgáltatások hozzáférési pontjainak elosztását, és támadás esetén leromlott módot kínál ( lelassul) gyakran elfogadható.
A támadásoktól függően pufferkiszolgálót is fel lehet állítani, amely kiszűri és tisztítja a forgalmat. Ez a kiszolgáló, a " tisztítóközpont " támadás esetén biztosítja, hogy a rosszindulatú kérések ne érjék a megcélzott szervert.
A SYN cookie-k használata szintén lehetőség az olyan támadások megelőzésére, mint a SYN-áradás , de ez a megközelítés nem akadályozza meg a hálózat sávszélességének telítettségét .
A támadás után a normál körülményekhez való visszatérés emberi beavatkozást igényelhet, mivel egyes szoftverek egy ilyen támadás után nem térnek vissza a normális működéshez.
A szolgáltatásmegtagadási támadásokat gyakran olyan tapasztalatlan emberek hajtják végre, mint a lammerek és a forgatókönyv-gyerekek . A tapasztaltabb szereplők széles körben használják őket, bűnügyi vagy védelmi formában (például olyan helyszínekkel szemben, amelyek maguk is ellenségesek, illegálisnak vagy illegitimnek ítélt tevékenységeket folytatnak).
A szolgáltatásmegtagadási támadás speciális esete a szociális szolgáltatásmegtagadás (SDoS). Ez egyfajta Slashdot-effektus , amelyben a kérelmek beáramlása részben abból származik, hogy a bámészkodók megfigyelik a meghirdetett szolgáltatásmegtagadás hatásait. A szereplők ekkor nagyon valóságos internetezők sokasága, akik egyszerre és stimulálva cselekszenek.
Az elmúlt években az elosztott szolgáltatásmegtagadási támadást zsarolás céljából alkalmazták olyan vállalatokkal, amelyek üzleti tevékenysége a weboldaluk elérhetőségére támaszkodik . Ezeket a csalásokat általában bűnszervezetek ( maffia ) hajtják végre, és nem elszigetelt kalózok.
Gyakran előfordul, hogy a szolgáltatásmegtagadási támadást a megcélzott vállalat versenytársa finanszírozza azzal a céllal, hogy visszaszerezze a piaci részesedést és pénzvesztést okozzon. A versenytárs ellen elosztott szolgáltatásmegtagadási támadás finanszírozása nyereséges lehet, különösen egy olyan társaság ellen, amely nem hajtott végre enyhítési intézkedést . 2015-ben a Kaspersky felmérésére válaszoló vállalatok 12% -a úgy vélte, hogy versenytársaik miatt megtiltották a szolgáltatás megtagadását.
A szolgáltatásmegtagadási támadást politikai célok és rendszerellenesek is használják , hacktivizmusról beszélünk . Azok a közösségek, amelyek az Interneten keresztül közös értékeket osztanak meg az interneten, mint az Anonymous , sok embert összehozhatnak, és megszervezhetik magukat, hogy támadásokat indítsanak a legnagyobb vállalatok ellen. Ez történt például az Anonymous által vezetett Operation Payback kampány részeként a Visa és a Mastercard társaságok elleni támadás során .
Az ilyen típusú támadásokkal gyakran találkoznak az online videojáték-hálózatok is, például az Xbox Live (Microsoft) vagy a PlayStation Network (Sony). A támadások mögött álló játékosok megtorlásként cselekedhetnek, vagy egyszerűen úgy döntenek, hogy bosszantják a véletlenszerű játékosokat. A Microsoft részletes cikket tett közzé ezekről a támadásokról a webhelyén.
A támadások szerzői által követett folyamat egyszerű és mindenki számára elérhető. Eleinte a szerző olyan szoftvert használ, mint a Wireshark vagy a Cain & Abel, amely lehetővé teszi, hogy megtalálja azoknak a játékosoknak az IP-címét, akikkel kapcsolatban áll. Ezután a számítógépén lévő eszközzel vagy egy online szolgáltatással elindítja a támadást egy IP-cím ellen.
Az internetszerverek támadóit a szolgáltatás megtagadása elleni támadásokkal évek óta a különböző országok bíróságai indították. Három fő eset fordult elő. Az első 2005 augusztusában. A 17 éves Jasmine Singh-t öt év börtönre ítélték a Jersey-Joe.com és a Distant Replays ellen a két oldal egyik versenytársa által szponzorált, szervezettség megtagadásának terjesztését követően.
Franciaországban a szolgáltatás megtagadása elleni támadás a büntető törvénykönyv 323-2. Cikke szerint büntetendő: „Az automatizált adatfeldolgozó rendszer működésének akadályozásának vagy torzításának tényét öt év büntetendő.„ Szabadságvesztés és 75 000 euró pénzbírság ” .
2006 novembere óta, a rendőrségről és az igazságszolgáltatásról szóló törvény (PJA) elfogadásával az elosztott szolgálatmegtagadási támadások tíz év börtönnel büntetendő bűncselekménynek minősülnek. A DDoS-támadások indításához szükséges eszközök biztosításáért két év börtön jár. 2017 áprilisában két év börtönbüntetésre ítélték a DDos támadásaival pénzszerző fiatal hackert.
2008-ban a Saratov megyei Balakovo bírósága három hackert ítélt nyolc év börtönre online szerencsejáték-oldalak zsarolása miatt. Az internetfelhasználók dollárok tízezreit kérték, hogy ne tegyék ki a webhelyeket a szolgáltatás elutasításának terjesztett támadásainak.