Szolgáltatásmegtagadási támadás

A szolgáltatásmegtagadási támadás ( abr. DoS-támadás a szolgáltatásmegtagadási támadásért ) egy számítógépes támadás, amelynek célja a szolgáltatás elérhetetlenné tétele, megakadályozva a szolgáltatás törvényes felhasználóit abban, hogy használják. Jelenleg ezeknek a támadásoknak a túlnyomó többsége több forrásból származik, az egyik az elosztott szolgáltatásmegtagadással kapcsolatos támadásokról szól (abr. DDoS támadás az elosztott szolgáltatásmegtagadás támadásért ).

Lehet:

• Az árvíz a hálózat , hogy megakadályozza annak működését;
• két gép közötti kapcsolatok megszakítása, megakadályozva az adott szolgáltatáshoz való hozzáférést;
• egy szolgáltatáshoz való hozzáférés akadályozása egy adott személy számára;
• milliárd bájt internetes dobozba történő elküldésének ténye is.

A szolgáltatásmegtagadási támadás így blokkolhatja a fájlszervereket , lehetetlenné teheti a webkiszolgálóhoz való hozzáférést vagy megakadályozhatja az e-mailek terjesztését egy vállalatnál.

A támadónak nem feltétlenül van szüksége kifinomult felszerelésre. Így egyes DoS támadások korlátozott erőforrásokkal hajthatók végre egy nagyobb méretű és modernebb hálózat ellen . Ezt a fajta támadást néha „aszimmetrikus támadásnak” hívják, mivel a főszereplők között erőforrás-különbségek vannak.

A szolgáltatásmegtagadási támadások az idők során megváltoztak (lásd az előzményeket ).

Először is az előbbieket csak egy "támadó" követte el; gyorsan, fejlettebb támadások jelentek meg, amelyek "katonák" sokaságát érintették. Ezután a DDoS-ről ( elosztott szolgáltatásmegtagadási támadás ) beszélünk . Néhány hacker a "zombi" seregek "felnevelésére" szakosodott, amelyeket aztán más rosszindulatú emberek vagy csoportok számára bérelhet fel egy adott célpont megtámadására. Az internetes kereskedelmi cserék számának hirtelen növekedésével a szolgáltatást megtagadó zsarolások száma nagyon erősen megnőtt.

Történelmi

A szolgáltatásmegtagadási támadások az 1980-as években kezdődtek. A DDoS (vagy elosztott DoS támadások) állítólag újabbak: az első hivatalos DDoS támadásra 1999 augusztusában került sor: a „Trinoo DDO” (alább ismertetett) alábbiakban ismertetett eszközt telepítették. legalább 227 rendszerben, amelyek közül 114 az interneten volt, a szerverek elárasztására a Minnesotai Egyetemen. Ennek a támadásnak az eredményeként az egyetem internet-hozzáférését több mint két napra blokkolták.

Az első, a mainstream sajtóban nyilvánosságra hozott DDoS-támadásra 2000 februárjában került sor Michael Calce , ismertebb nevén Mafiaboy néven. Február 7-én a Yahoo! DDoS-támadás áldozata lett, amely internetes portálját három órán keresztül elérhetetlenné tette. Február 8-án az Amazon.com-ot , a Buy.com-ot, a CNN-t és az eBay- t olyan DDoS-támadások sújtották, amelyek vagy leállították, vagy jelentősen lelassították működésüket. Február 9-én az E-Trade és a ZDNet viszont áldozatul esett a DDoS-támadásoknak.

Elemzők úgy vélik, hogy a három órás elérhetetlenség alatt a Yahoo! körülbelül 500 000 dollár veszteséget szenvedett az e-kereskedelem és a hirdetési bevételek miatt  . Az Amazon.com szerint támadása 600 000 dolláros veszteséget eredményezett tíz órán keresztül. A támadás során az eBay.com 100% -os üzemidőről 9,4% -ra emelkedett; A CNN.com a normál mennyiség 5% -a alá esett; A Zdnet.com és az ETrade.com gyakorlatilag nem volt elérhető. A Schwab.com, Charles Schwab bróker online oldala szintén érintett volt, de nem volt hajlandó pontos adatokat közölni a veszteségeiről. Csak azt lehet feltételezni, hogy egy olyan társaságnál, amely heti 2 milliárd dollárt keres online kereskedelemben, a veszteség nem volt elhanyagolható. Az Amazon.com-ot, a Yahoo! -Ot, a CNN-t és az Ebay-t feltörő Michael Calce-t nyolc hónapra ítélték egy fiatalkorúak fogházában (a bűncselekmény idején csak 15 éves volt).

2001 szeptemberében egy bizonyos Code Red vírus megfertőz néhány ezer rendszert, a második verzió pedig Code Red II néven telepít egy DDoS ügynököt. A pletykák szerint támadást kellett indítania a Fehér Ház ellen . A válság politikai kontextusában az amerikai kormány bejelentette, hogy biztonsági intézkedéseket fognak hozni. De 2002 nyarán az interneten volt a sor, hogy DDoS támadást szenvedjen tizenhárom gyökérkiszolgálója ellen . Ezek a kiszolgálók az Internet referral rendszerének, az úgynevezett Domain Name System (DNS) kulcsfontosságú pontjai . Ez a támadás csak egy óráig fog tartani, de megbéníthatja az egész internetes hálózatot. Az esetet komolyan veszik azok a szakértők, akik azt állítják, hogy a jövőben megerősítik gépeik biztonságát.

A Slapper első verziója, amely 2002. szeptember közepén jelent meg , két hét alatt több mint 13 000 Linux szervert fertőzött meg . A Slapper kihasználja az OpenSSL 1 modul biztonsági hibáját , és létrehoz egy DDoS ügynököt. Ezt időben észlelik és leállítják.

2002. október 21-én, hétfőn azonban egy új DOS-támadás blokkolta a tizenhárom kulcsszerver közül kilencet, így erőforrásaik három órán keresztül elérhetetlenné váltak. Az ezeket a kulcsszervereket kezelő vállalatok és szervezetek egy része reagálva úgy döntött, hogy felülvizsgálja biztonsági intézkedéseit. Az FBI megindította a nyomozást, de a támadás elkövető (i) felkutatása nehéznek tűnik.

Röviddel ezután a nem megfelelően konfigurált Microsoft SQL Server adatbázis- kiszolgálókat megfertőzték az SQL Slammer féreg . Ez utóbbi egy DDoS ügynököt hordoz, aki 2003. január 25-én támadást indított az Internet ellen. Ezúttal a tizenhárom gyökérkiszolgáló közül csak négy érintett. A támadás virulenciája ellenére az általános hálózati teljesítmény alig, 15% -kal csökkent.

A támadások típusai

"Szolgáltatásmegtagadási támadásnak" nevezünk minden olyan műveletet, amely egy szerver offline állapotba kerülését eredményezi. Technikailag a kiszolgáló és az ügyfél kapcsolatának rosszindulatú megszakítása szolgáltatásmegtagadási támadásnak tekinthető. Valójában a szolgáltatásmegtagadási támadásokat egy meghatározott szerver sávszélességének telítésével működtetik.

A gépek hibáinak vagy korlátozásainak kiaknázása

Az egyik leggyakoribb támadás 65 535 bájtnál nagyobb ICMP csomag küldését jelentette . Ezen korlát felett az IP- verem nem tudta megfelelően kezelni a csomagot , ami UDP- töredezettségi hibákat , vagy akár illegális vagy inkompatibilis jelzőket tartalmazó TCP- csomagokat eredményezett .

A mai akkumulátorok ellenállnak az ilyen típusú támadásoknak. Az ilyen csomagok feldolgozási ideje azonban még mindig hosszabb, mint a jogos csomagok feldolgozásához szükséges idő. Így általánossá vagy akár elenyészővé válik a processzor (CPU) túlzott fogyasztásának generálása másodpercenként több százezer anomália egyszerű kibocsátásával, amelyet egy olyan eszköz, mint a hping3, egyetlen parancssorban engedélyez ...

volt. : [root @ localhost root] # hping3 -SARFU -L 0 -M 0 - p.  80 www.cible.com - áradás

A szélessáv elérkeztével és a személyi számítógépek teljesítményének növekedésével a támadási lehetőség tízszeresére nőtt, ami rávilágított a több évvel ezelőtt kifejlesztett telepítések gyengeségére. Ez a növekedés lehetővé teszi, hogy szinte minden rendellenesség a szolgáltatás megtagadásának forrása legyen, feltéve, hogy kellően nagy arányban generálódnak.

Például :

• a "fenntartott" mezők használata a TCP fejlécben;
• nyugtázási sorszám elhelyezése egy SYN csomagban  ;
• olyan csomagok, amelyeknek a Layer 4 (TCP / UDP) fejléce a helyes ellenőrző összegek ellenére csonka .

SYN Flood szolgáltatásmegtagadási támadás

A SYN árvízi támadás olyan támadás, amelynek célja a szolgáltatás megtagadása azáltal, hogy nagyszámú hiányos TCP szinkronizálási kérelmet ad ki egy szerverrel.

Amikor egy rendszer (kliens) TCP kapcsolatot próbál létrehozni egy szolgáltatást (kiszolgálót) kínáló rendszerrel, az ügyfél és a kiszolgáló üzenetsorozatot cserél.

Az ügyfélrendszer először SYN üzenetet küld a szervernek. Ezután a szerver felismeri az üzenetet egy SYN-ACK üzenet küldésével az ügyfélnek. Ezután az ügyfél befejezi a kapcsolat létrehozását egy ACK üzenettel válaszolva. Ezután megnyílik a kapcsolat az ügyfél és a szerver között, és az adott adatszolgáltatás kicserélhető az ügyfél és a szerver között. Az üzenetek folyamatának áttekintése:

Client Serveur ------ ------- SYN --------- → ← --------- SYN-ACK ACK --------- →

A visszaélések lehetősége akkor merül fel, amikor a szerver rendszer nyugtázást (SYN-ACK) küldött az ügyfélnek, de nem kapta meg az ACK üzenetet. A szerver beépíti a rendszermemóriájába az összes kapcsolatot leíró adatstruktúrát. Ez az adatstruktúra véges méretű, és túlterhelhető azzal, ha szándékosan túl sok, részben nyitott kapcsolatot hoz létre.

A félig nyitott kapcsolatok létrehozása könnyen megvalósítható az IP-hamisítással. A támadó rendszere SYN üzeneteket küld az áldozat gépének; ezek jogosnak tűnnek, de olyan ügyfélrendszerre vonatkoznak, amely nem képes válaszolni a SYN-ACK üzenetre. Ez azt jelenti, hogy a végső ACK üzenetet soha nem küldjük el az áldozat kiszolgálójának.

Normális esetben a bejövő kapcsolathoz időtúllépés társul, a nyitott félkapcsolatok időtúllépnek, és az áldozat szervere képes kezelni a támadást. A támadó rendszer azonban egyszerűen tovább folytathatja az új kapcsolatokat kérő hamis IP-csomagokat, gyorsabban, mint az áldozat szervere.

A legtöbb esetben az áldozatnak nehézségei vannak bármilyen új bejövő hálózati kapcsolat elfogadásával. Ezekben az esetekben a támadás nem befolyásolja a bejövő kapcsolatokat, sem a kimenő hálózati kapcsolatok létrehozásának képességét. A rendszer azonban meg tudja tölteni a memóriát, ami összeomlást okoz, és működésképtelenné teszi a rendszert.

UDP áradás

Ez a szolgáltatásmegtagadás kihasználja az UDP protokoll nem csatlakoztatott módját . Létrehoz egy UDP csomagvihart (nagy mennyiségű UDP csomag előállítása ) akár egy gépre, akár két gép között. Egy ilyen támadás két gép között hálózati torlódáshoz , valamint a két áldozat gazdájának erőforrásainak telítettségéhez vezet . A torlódás nagyobb, mert az UDP forgalom elsőbbséget élvez a TCP forgalommal szemben. Valójában a TCP protokoll torlódásszabályozó mechanizmussal rendelkezik, abban az esetben, ha egy csomag nyugtázása hosszú késés után érkezik, ez a mechanizmus alkalmazkodik a TCP csomagok átviteli frekvenciájához, és az átviteli sebesség csökken. Az UDP nem rendelkezik ezzel a mechanizmussal. Egy bizonyos idő elteltével az UDP forgalom tehát elfoglalja az összes sávszélességet, a TCP forgalomnak csak egy kis részét hagyja el.

Az UDP elárasztásának legismertebb példája a „  Chargen Denial of Service Attack  ”. Ennek a támadásnak a végrehajtása egyszerű, elegendő, ha az egyik gép töltési szolgáltatása kommunikál a másik visszhangszolgáltatásával . Az első karaktereket generál, míg a második egyszerűen továbbítja a kapott adatokat. Ezután a támadónak csak el kell küldenie az UDP csomagokat a 19. porton ( töltés ) az egyik áldozatnak úgy, hogy meghamisítja a másik IP-címét és a forrás portját . Ebben az esetben a forrásport az UDP 7-es port ( visszhang ). Az UDP elárasztása sávszélesség- telítettséget okoz a két gép között, így teljesen semlegesítheti a hálózatot .

Csomagtöredék

A Packet Fragment típusú szolgáltatás- használat megtagadásának gyengeségei bizonyos TCP / IP-kötegek megvalósításában az IP-töredezettségmentesítés (az IP-töredékek újraszerelése) szintjén.

Ismert támadás, amely ezt az elvet használja, a Teardrop . A második fragmens töredezettség- eltolása kisebb, mint az első, valamint az eltolás plusz a második mérete. Ez azt jelenti, hogy azt mondjuk, hogy a második töredék az elsőben található ( átfedésben ). A töredezettségmentesítés során egyes rendszerek nem kezelik ezt a kivételt, és ez szolgáltatásmegtagadáshoz vezet. Vannak eltérések a támadás: bonk , Boink, és newtear . A Ping of Death szolgáltatásmegtagadás kihasználja a töredezettségmentesítés helytelen kezelését az ICMP szintjén azáltal, hogy az IP-csomag maximális méreténél nagyobb adatmennyiséget küld. Ezek a különféle szolgáltatásmegtagadások a célgép összeomlásához vezetnek.

Törpülés

Ez a támadás az ICMP protokollt használja. Amikor egy pinget (ICMP ECHO üzenetet) elküld egy szórási címre , azt megszorozza és elküldi a hálózat minden egyes gépének. A támadás alapelve az ICMP ECHO REQUEST csomagjainak elküldése, amelyek forrásként a cél IP címét adják meg. A támadó folyamatos pinget küld a hálózat sugárzási címére, és az összes gép ezt követően ICMP ECHO REPLY üzenettel válaszol a célpontra. Ezután az áramlást meg kell szorozni a hálózatot alkotó gazdagépek számával. Ebben az esetben a teljes célhálózat megtagadja a szolgáltatás megtagadását, mert a támadás által generált hatalmas forgalom hálózati torlódásokat okoz.

Egress router MAC címmérgezés

Az ARP-kérés során a támadó válaszolhat úgy, hogy a kilépési útvonalat egy nem létező MAC-címmel társítja. Ily módon az elküldött csomagok elvesznek a hálózatban. És a hálózat elveszíti hozzáférését az internethez.

Példák támadási módra

• Ping 'O Death ( halál halála ): Ez egy útválasztó vagy szerver telítettségére szolgál azáltal, hogy nagyszámú kérést küld el ICMP REQUEST-nek, amelyek datagrammái meghaladják a megengedett legnagyobb méretet. Javítások léteznek az ilyen típusú támadások megelőzésére MacO, Windows NT / 9x, Sun [Oracle] Solaris, Linux és Novell Netware rendszerek alatt.
• Land - Blat: ez magában foglalja a SYN jelzőt tartalmazó hamisított („hamisított”) csomag küldését egy adott porton (például 113 vagy 139 például) és a forrás megadását a célállomás címeként. Számos javítás található ehhez a "hibához" UNIX és Windows rendszerekhez.
• Jolt: kifejezetten a Microsoft rendszerek (NT, 9x és 2000) számára készült, ez a támadás lehetővé teszi az állomás processzorának telítettségét. Az IP-töredezettség nagyszámú (150 másodpercenként) azonos csomagtöredék küldésekor a processzor teljes telítettségét okozza a támadás időtartama alatt. Már léteznek előzetes javítások az ilyen típusú támadások leküzdésére.
• TearDrop - SynDrop: probléma merült fel a Linux rendszer régi kerneljében az IP csomag töredezettségét ismertető részben. Ez egy csomag újjáépítési probléma. Amikor a rendszer helyreállítja a csomagot, végrehajt egy ciklust, amely lehetővé teszi az összes, már fogadott csomag új pufferben történő tárolását . A csomag méretét valóban ellenőrizhetjük, de csak akkor, ha az utóbbi túl nagy. Ha túl kicsi, akkor kernelproblémát okozhat, és összeomolhat a rendszer (csomagok igazítási problémája). Ezt a problémát a Windows rendszereken is észlelték (NT / 9x), és a javítások már elérhetők.
• Ident Attack: az identd démon ezen problémája megkönnyíti az azt használó UNIX gépek destabilizálását. Az engedélyezési kérelmek nagy száma a gép teljes instabilitásához vezet. Ennek elkerülése érdekében telepítenie kell az identdémon egy újabb verzióját, vagy a pidentd-2.8a4 (vagy újabb) démont kell használnia.
• Bonk - Boink: ugyanaz a probléma, mint a TearDrop, de kissé módosítva, hogy ne érintsék a TearDrop számára biztosított javítások. Vannak új, jobban felépített javítások, amelyek szintén segítenek megakadályozni ezt az új típusú támadást.
• Törp: ez a program az ICMP Flood technikát használja, és úgy erősíti, hogy valódi katasztrófát idézzen elő a megcélzott gép (ek) en. Valójában a Broadcast Ping technikáját használja, így az állomásra küldött ICMP csomagok száma hatványozottan növekszik, szinte elkerülhetetlen összeomlást okozva. Nehéz megvédeni magát az ilyen típusú támadásoktól, nincs javítás, de a helyes szűrési szabályok korlátozzák annak hatását.
• WinNuke: ez egy olyan program, amely lehetővé teszi a  Windows NT / 95 rendszerek "  összeomlását " az "OOB" ( sávon kívüli ) adatok küldésével, amikor Windows ügyfélhez csatlakozik. Úgy tűnik, hogy a NetBIOS a legsebezhetőbb szolgáltatás az ilyen típusú támadásokkal szemben. Nyilvánvalóan a Windows nem tudja, hogyan reagáljon az ilyen típusú csomagok és a "pánik" fogadására. Számos javítás létezik az ilyen típusú támadások ellen, és a Windows későbbi verziói (a Windows 98/2000-től) már védettek.
• SlowLoris  : A webszervereket célzó Perl szkript .

Elosztott szolgáltatásmegtagadás vagy tőkeáttétel

Motiváció

Tekintettel a szerverek jelenlegi teljesítményére, valamint a terheléselosztás és a magas rendelkezésre állási technikák általánosítására, szinte lehetetlen kiváltani az előző szakaszokban leírt egyszerű szolgáltatásmegtagadást. Ezért gyakran meg kell találni a módszert a multiplikátor effektus alkalmazására a kezdeti támadásra.

Elv

Az elv az, hogy különféle forrásokat ( démonokat ) kell használni a támadáshoz, és az irányítókat ( mestereket ).

A támadó mesterek segítségével könnyebben irányíthatja a forrásokat. A támadás konfigurálásához és előkészítéséhez valóban kapcsolódnia kell (TCP-ben) a masterekhez. A mesterek egyszerűen parancsokat küldenek az UDP forrásoknak, így nincs szükség manuális csatlakozásra az egyes forrásokhoz. A támadás forrása könnyebben felderíthető, végrehajtása pedig sokkal hosszabb. Minden démon és mester konkrét üzenetek cseréjével beszélget a használt eszköztől függően. Ezek a kommunikációk akár titkosíthatók és / vagy hitelesíthetők. A démonok és a mesterek telepítéséhez a támadó ismert hibákat használhat ( puffertúlcsordulás az RPC-n, az FTP-n vagy más szolgáltatásokon).

Maga a támadás SYN Flooding, UDP Flooding vagy más Smurf Attack. A szolgáltatás megtagadásának következménye tehát a hálózat elérhetetlenné tétele.

Eszközök

A legnépszerűbb Distributed Denial of Service (DDoS) eszközök

Szoftver	A támadások típusai
Trinoo  (en)	UDP áradás
Tribe Flood Network  (en) (TFN) és TFN2K	UDP / TCP / TCP SYN áradás, Törp
Stacheldraht  (en)	UDP / TCP / TCP SYN áradás, Törp
Schaft	UDP / TCP / ICMP áradás
MStreamT	TCP ACK elárasztása
LOIC ( alacsony pályájú ion ágyú )	TCP / UDP / HTTP
HOIC ( High Orbit Ion Cannon ) (a LOIC fejlettebb verziója)	TCP / UDP / HTTP
WebLoic (LOIC for Android)	TCP / UDP / HTTP

Hátrányok

Hátránya ebben az esetben az, hogy két szakaszban kell dolgozni:

1. Zombik kikötésére szolgáló rendszerek fertőzése.
2. Indítsa el a megrendeléseket.

A második lépésben a parancscsomag blokkolható egy észlelő vagy szűrő eszközzel. Következésképpen az evolúció abból áll, hogy automatizálják a megrendelések indítását, mihelyt a relé rendszerek megsérülnek. Ezt a technikát a CodeRed valósította meg, amelynek célja az volt, hogy egy sérült szervereket egy adott napon összekapcsoljanak a Fehér Ház webhelyével.

Ugyanebben az értelemben az IRC csatornákon alapuló DDoS, mint kommunikációs csatornák. A cél itt már nem a közvetlen kapcsolat létrehozása a master és a zombik között, hanem az IRC szerver (vagy inkább egy csatorna) használata reléként. Ennek a módszernek, amelyet Knight és Kaiten indított el 2001 júliusában és augusztusában, számos előnye van:

• A megrendeléseket aszinkron módon továbbítják egy "out" folyamaton keresztül, akár a mester, akár az ügynök szempontjából. Ezért valószínűbb, hogy a zombi megkapja a parancsát;
• SSL támogatással lehetetlen észlelni a leadott megrendeléseket, és ezért azonosítani a reléül szolgáló IRC csatornát. Hasonlóképpen a mester szinte észrevehetetlen;
• a támadónak van egy elosztott közvetítő platformja (IRC-csatorna).

Megelőzés és védekezés

Az elosztatlan szolgáltatásmegtagadási támadások leküzdhetők a támadásokat kiadó gép IP-címének azonosításával és a tűzfal vagy a kiszolgáló tiltásával. Az ellenséges gépről érkező IP-csomagok ezért feldolgozás nélkül elutasításra kerülnek, megakadályozva a szerver-szolgáltatás telítettségét és ezért offline állapotba kerülését.

Az elosztott szolgáltatásmegtagadási támadásokat nehezebb ellensúlyozni. Az elosztott szolgáltatásmegtagadási támadás alapelve az, hogy csökkentse a támadás leállításának lehetőségeit. Ez sok ellenséges, különböző címmel rendelkező gépből származik, az IP-címek blokkolása korlátozza a támadást, de nem állítja meg. Thomas Longstaff, a Carnegie-Mellon Egyetem ezzel a témával kapcsolatban kifejtette: „A valóságban a megelőzésnek inkább a hálózathoz csatlakoztatott gépek biztonsági szintjének megerősítésére kell összpontosítania [a gép veszélyeztetésének megakadályozására], mint a célgépek védelmére [ Webszerverek] ” .

Az elosztott architektúra, amely több, ugyanazon szolgáltatást kínáló kiszolgálóból áll, kezelve úgy, hogy az egyes klienseket csak az egyikük támogatja, lehetővé teszi a szolgáltatások hozzáférési pontjainak elosztását, és támadás esetén leromlott módot kínál ( lelassul) gyakran elfogadható.

A támadásoktól függően pufferkiszolgálót is fel lehet állítani, amely kiszűri és tisztítja a forgalmat. Ez a kiszolgáló, a "  tisztítóközpont  " támadás esetén biztosítja, hogy a rosszindulatú kérések ne érjék a megcélzott szervert.

A SYN cookie-k használata szintén lehetőség az olyan támadások megelőzésére, mint a SYN-áradás , de ez a megközelítés nem akadályozza meg a hálózat sávszélességének telítettségét .

Térjen vissza a normális körülmények közé

A támadás után a normál körülményekhez való visszatérés emberi beavatkozást igényelhet, mivel egyes szoftverek egy ilyen támadás után nem térnek vissza a normális működéshez.

Felelősség és okok

Szerzői

A szolgáltatásmegtagadási támadásokat gyakran olyan tapasztalatlan emberek hajtják végre, mint a lammerek és a forgatókönyv-gyerekek . A tapasztaltabb szereplők széles körben használják őket, bűnügyi vagy védelmi formában (például olyan helyszínekkel szemben, amelyek maguk is ellenségesek, illegálisnak vagy illegitimnek ítélt tevékenységeket folytatnak).

A szolgáltatásmegtagadási támadás speciális esete a szociális szolgáltatásmegtagadás (SDoS). Ez egyfajta Slashdot-effektus , amelyben a kérelmek beáramlása részben abból származik, hogy a bámészkodók megfigyelik a meghirdetett szolgáltatásmegtagadás hatásait. A szereplők ekkor nagyon valóságos internetezők sokasága, akik egyszerre és stimulálva cselekszenek.

Okok

Az elmúlt években az elosztott szolgáltatásmegtagadási támadást zsarolás céljából alkalmazták olyan vállalatokkal, amelyek üzleti tevékenysége a weboldaluk elérhetőségére támaszkodik . Ezeket a csalásokat általában bűnszervezetek ( maffia ) hajtják végre, és nem elszigetelt kalózok.

Gyakran előfordul, hogy a szolgáltatásmegtagadási támadást a megcélzott vállalat versenytársa finanszírozza azzal a céllal, hogy visszaszerezze a piaci részesedést és pénzvesztést okozzon. A versenytárs ellen elosztott szolgáltatásmegtagadási támadás finanszírozása nyereséges lehet, különösen egy olyan társaság ellen, amely nem hajtott végre enyhítési intézkedést . 2015-ben a Kaspersky felmérésére válaszoló vállalatok 12% -a úgy vélte, hogy versenytársaik miatt megtiltották a szolgáltatás megtagadását.

A szolgáltatásmegtagadási támadást politikai célok és rendszerellenesek is használják , hacktivizmusról beszélünk . Azok a közösségek, amelyek az Interneten keresztül közös értékeket osztanak meg az interneten, mint az Anonymous , sok embert összehozhatnak, és megszervezhetik magukat, hogy támadásokat indítsanak a legnagyobb vállalatok ellen. Ez történt például az Anonymous által vezetett Operation Payback kampány részeként a Visa és a Mastercard társaságok elleni támadás során .

Az ilyen típusú támadásokkal gyakran találkoznak az online videojáték-hálózatok is, például az Xbox Live (Microsoft) vagy a PlayStation Network (Sony). A támadások mögött álló játékosok megtorlásként cselekedhetnek, vagy egyszerűen úgy döntenek, hogy bosszantják a véletlenszerű játékosokat. A Microsoft részletes cikket tett közzé ezekről a támadásokról a webhelyén.

A támadások szerzői által követett folyamat egyszerű és mindenki számára elérhető. Eleinte a szerző olyan szoftvert használ, mint a Wireshark vagy a Cain & Abel, amely lehetővé teszi, hogy megtalálja azoknak a játékosoknak az IP-címét, akikkel kapcsolatban áll. Ezután a számítógépén lévő eszközzel vagy egy online szolgáltatással elindítja a támadást egy IP-cím ellen.

Jogi kockázatok

Az internetszerverek támadóit a szolgáltatás megtagadása elleni támadásokkal évek óta a különböző országok bíróságai indították. Három fő eset fordult elő. Az első 2005 augusztusában. A 17 éves Jasmine Singh-t öt év börtönre ítélték a Jersey-Joe.com és a Distant Replays ellen a két oldal egyik versenytársa által szponzorált, szervezettség megtagadásának terjesztését követően.

Franciaországban

Franciaországban a szolgáltatás megtagadása elleni támadás a büntető törvénykönyv 323-2. Cikke szerint büntetendő: „Az automatizált adatfeldolgozó rendszer működésének akadályozásának vagy torzításának tényét öt év büntetendő.„ Szabadságvesztés és 75 000 euró pénzbírság ” .

Egyesült Királyság

2006 novembere óta, a rendőrségről és az igazságszolgáltatásról szóló törvény (PJA) elfogadásával az elosztott szolgálatmegtagadási támadások tíz év börtönnel büntetendő bűncselekménynek minősülnek. A DDoS-támadások indításához szükséges eszközök biztosításáért két év börtön jár. 2017 áprilisában két év börtönbüntetésre ítélték a DDos támadásaival pénzszerző fiatal hackert.

Oroszországban

2008-ban a Saratov megyei Balakovo bírósága három hackert ítélt nyolc év börtönre online szerencsejáték-oldalak zsarolása miatt. Az internetfelhasználók dollárok tízezreit kérték, hogy ne tegyék ki a webhelyeket a szolgáltatás elutasításának terjesztett támadásainak.

Példák támadásra

• Az Anonymous csoport PayPal , Visa és MasterCard webhelyeken elkövetett támadásai, a WikiLeaks támogatásának elhagyása ellen megtorlásként, 2010. december elején és a tunéziai kormány ellen 2011 elején, válaszul az utóbbi által elkövetett cenzúrára. a Sony Playstation Network néven 2011 áprilisában;
• A WikiLeaks szerver elleni támadások , különösen az amerikai diplomácia táviratainak felfedése után , 2010. november végén;
• A Microsoft frissítő kiszolgálójának támadása  ;
• Támadás olyan ismert webhelyek ellen, mint a Google , a Microsoft és az Apple  ;
• A   2002. októberi ping áradások és a 2007. februári szolgáltatásmegtagadási támadások a DNS gyökérkiszolgálók ellen  ;
• A jaimelesartistes.fr webhely elleni támadások, amelyek a Hadopi-törvény propagandahelyének számítanak . Ez okozta bezárását;
• Lobsang Wangyal szerint a Phayul.com webhelyen történt támadás 2010 novemberében  ;
• A DERP csoport több online játékszerver, például a Dota és a League of Legends elleni támadást hajtott végre 2013. december végén;
• 2012. január 19-én számos hivatalos amerikai webhely, köztük az FBI és az Igazságügyi Minisztérium, a szórakoztatóiparhoz kapcsolódó webhelyek, vagy a franciaországi Hadopi-webhely elleni támadás 2012. január 19-én. Ezt a támadást a Névtelen csoport állította a bezárás miatt a Megaupload és a Megavideo oldalakról .
• A Facebook- támadás , amelyet 2014. június 19-én hajtottak végre Kínából; körülbelül 30 percig megzavarta a közösségi hálózatot (ez a webhely négy év legnagyobb inaktivitási ideje);
• A Sony Playstation Network, valamint a Microsoft Xbox Live elleni támadása 2014. december 25-én a Lizard Squad csoport részéről;
• 2015. november 3-án a svájci titkosított e-mail társaság, a ProtonMail elleni támadás;
• Gaijin által elszenvedett támadás 2015. december végén.
• A 2016. október 21-i DynDNS- támadás miatt több nagy weboldal, például a Twitter , a PayPal és az Ebay hosszabb, több mint tíz órás ideig nem volt elérhető az Egyesült Államok teljes keleti partvidékén. Hatalmas ddos-támadás volt, másodpercenként több mint 1 terabájt, megdöntve a legerősebb DDoS-támadás világrekordját.
• Szeptember 6-án, 2019. végén a délután, a szerverek, a Wikimedia Foundation in Amsterdam , és amely otthont a Wikipedia enciklopédia , Wikimedia Commons vagy a Wikiszótár például a támadás célpontjává. Az internetezők több órán keresztül többé nem férhetnek hozzá Európából a különféle oldalakhoz.

Megjegyzések és hivatkozások

1. (in) Az Arbor Networks kiadja az ötödik éves infrastruktúra biztonsági jelentést - Arbor Networks, 2010. január 19. (Lásd archívum)
2. Routerek, új eszközök a szolgáltatásmegtagadási támadásokhoz? - Fabrice Frossard, 01net , 2001. október 25
3. Distributed Denial of Service - Országos Information Systems Security Agency (ANSSI), február 21, 2000
4. DDoS támadások elleni küzdelem: visszajelzés (1. rész) - Jean-François Audenard, Orange Business Services , 2009. február 19.
5. DDoS támadások elleni küzdelem: visszajelzés (2. rész) - Jean-François Audenard, Orange Business Services , 2009. február 24.
6. HBGaryFed főnöke lemondott, miután névtelenül leleplezték a cégét - Reflets.info , 2011. március 2.
7. (in) Kaspersky Lab "  Szolgáltatás megtagadása: Hogyan értékelik a vállalkozások a DDoS-támadások veszélyét  " , Biztonsági kockázatok különjelentéssorozat ,2015, P.  2 ( online olvasás )
8. Xbox 360 DoS és DDoS Attack Gyakran Ismételt Kérdések - Microsoft
9. A DDoS "Archivált másolat" kulisszái mögött (2016. szeptember 17-i verzió az Internetes Archívumban ) - ZATAZ.com, 2008. szeptember 10.
10. https://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionid=C6636342B4926963DBF3E455E93672C8.tplgfr40s_1?idArticle=LEGIARTI000006418319&cidTexte=LEGITEXT0000060ex=19&d
11. „  két év ZÁRT börtönben DDoS támadások  ” , a Fred Zone ,2017. április 26
12. A kiberháború folytatódik - Blog #BEkileaks, Le Soir , 2010. december 8 (lásd archívum)
13. "Tunézia művelet": az Anonim által elkövetett internetes támadás a demonstrálók mellett - Arnaud Vaulerin, Felszabadulás , 2011. január 12.
14. (in) Névtelen aktivisták a tunéziai kormány webhelyeit veszik célba - BBC , 2011. január 4
15. (in) A PlayStation Network hackerek 77 millió felhasználó adataihoz férnek hozzá - Ben Quinn és Charles Arthur, The Guardian , 2011. április 26.
16. WikiLeaks: kibertámadások milliói - Le Figaro / AFP , 2010. december 3
17. (en) A vezető tibeti hírportál szenved a DDoS-támadásoktól - Lobsang Wangyal , Tibet V , 2010. november 10. (lásd archívum)
18. "Az  amerikai igazságszolgáltatás bezárja a Megaupload letöltő webhelyet  ", Le Monde ,2012. január 19( online olvasás , konzultáció 2020. január 17 - én )
19. "A  Facebook ma reggel globális áramszünet áldozata lett  " , a Les Echos-on ,2014. június 19(megtekintés : 2020. január 17. )
20. (in) "  Üzenet a DDoS Attacks protonmailről  " , protonmail,2015. november 10
21. Julien Lausson , "  #WikipediaDown: A Wikipédia hatalmas számítógépes támadás miatt esett el - Tech  " , a Numeramán ,2019. szeptember 7(megtekintve : 2019. szeptember 7. )

Lásd is

Kapcsolódó cikkek

• Kibertámadás
• Informatikai sebezhetőség
• Árvíz (Internet)
• DDoSecrets

Külső linkek

• Anti DDOS ellenintézkedések a Netfilter és a TARPIT segítségével
• DDOS a SecuriteInfo.com webhelyen
• Az Arbor Networks kiadja az ötödik éves infrastruktúra biztonsági jelentést (en)
• Digitális támadási térkép; a kiberrohamok feltérképezése A DoS (in) egy datavizualizációs DDoS-támadás világszerte ( Google Ideas / Arbor Networks projekt )