Search the Community

Mai jos, o sa va prezint majoritatea tipurilor de atac dos/ddos cat si ce anume vizeaza ele. Am omis din lista atacurile ce tineau de anii 95 (igmp, nuke, windows 95 based. Subiectul este ocolit de multi pentru ca sunt foarte putine companiile care ofera solutii reale de filtrare a atacurilor (de regula este bullshit de marketing), iar cele care ofera astfel de solutii, este logic ca le tin private, pentru ca preturile sunt extrem de mari iar tehnologiile de filtering sunt putine si de multe ori ineficiente in fata atacurilor “moderne”. Cam atat despre asta pentru moment, si sa trecem la subiectul acestui tutorial. [*] UDP Flood Congestia conexiunii. Este un atack ce 'consuma' latimea de banda. [*] ICMP Flood Congestia conexiunii. Este un atack ce 'consuma' latimea de banda. [*] TCP Flood (SYN) Congestia conexiunii. De asemenea, consuma ciclii de procesare (Epuizarea resurselor CPU). Poate face inoperabil OS si poate folosi toti socketii disponibili. Incarca tabelele de conexiuni si face sistemul sa nu accepte conexiuni noi, pentru ca lista de asteptare (queue) devine plina. Daca este cu sursa spofata si numarul de pachete este considerabil, este aproape imposibil de filtrat. Poate fi ameliorat efectul doar cu echipamente specializate sau distribuirea serviciilor in clustere. FreeBSD are un sistem relativ bun de protectie pentru acest lucru (synproxy), insa la foarte multe sesiuni tcp noi pe secunda, acesta nu face fata cu un singur sistem folosit pentru filtrare. De asemenea, pe FreeBSD exista mai multe mecanisme pentru acest lucru. Unul dintre acestea este syncache. O alta metoda de a ameliora efectele sale, sunt reducerea timpilor de acceptare a conexiunilor. Este cel mai 'profi' atac (D)DoS. [*] Smurf attack Congestia conexiunii. Atacurile smurf se mai numesc si 'ICMP amplification attack' sau 'Reflection Attack'. Acest tip de atack vizeaza adresa broadcast. [*] Fraggle attack Congestia conexiunii. Fraggle este un tip de flood asemanator cu Smurf, insa pachetele trimise sunt UDP. Acest tip de atack vizeaza adresa broadcast, DST PORT 7 (echo) [*] Papasmurf attack Congestia conexiunii. Acest tip de flood este un hibrid rezultat din combinarea atacurilor Fraggle+Smurf. [*] Land attack Daca serverul vizat este linux, in majoritatea cazurilor kernelul da crash. Sursa atacului este alterata, astfel incat devinde identica cu destinatia, fapt pentru care, kernelul incepe sa-i(si) raspunda cu 'ack'. (war ack) Nota: Nu am idee daca mai functioneaza la kernel 2.6.x ; La FreeBSD nu functioneaza pentru ca are un sistem de protectie ce face sa nu accepte pachete din afara cu adresa ip configurata pe interfata. [*] Eyenetdee Acest tip de atack este foarte asemanator cu 'Land attack', diferenta este ca sunt folosite pachete SYN. Tinta acestui atac sunt aplicatiile, in special pop3, imap si ftp. (probabilitatea de a bloca aplicatiile) [*] DNS Amplification Attack Congestia conexiunii. De asemenea, consuma ciclii de procesare (Epuizarea resurselor CPU) Aceste atacuri se bazeaza pe baza 'amplificarii' in intensitate, din cauza folosirii interogarilor recursive. Din moment ce vizeaza doar serviciul DNS (bind/named), in cazul in care este bine configurat si nu accepta interogari recursive, acest atac nu are randament. [*] TCP Fin Flood (spoofed) Acest tip de flood consuma ciclii de procesare (Epuizarea resurselor CPU), in cazuri rare genereaza si congestiunea conexiunii. Sursa pachetelor este alterata (spoofata) iar pachetele tcp au flag-ul FIN setat. Este usor de filtrat, in special pe FreeBSD. [*] TCP RST flood (spoofed) Acest tip de flood consuma ciclii de procesare (Epuizarea resurselor CPU) si genereaza congestiunea conexiunii. Sursa pachetelor este alterata (spoofata) iar pachetele tcp au flag-ul RST setat. Este relativ usor de filtrat. [*] TCP ACK (spoofed) Acest tip de flood consuma ciclii de procesare (Epuizarea resurselor CPU) si genereaza congestiunea conexiunii. Sursa pachetelor este alterata (spoofata) iar pachetele tcp au flag-ul ACK setat. [*] SIP Flood Acest tip de atac are ca tinta echipamentele VoIP si vizeaza blocarea lor. Se bazeaza pe trimiterea de mesje 'INVITE' catre porturile 5060, 5061 (in general) Nota: o sa fie alt subiect despre atacurile dos/ddos low-bandwidth based.

Aplicatie DOS ce poate pune la pamant 90% din serverele lumii Cei care urmaresc subiectul destul de controversat ce a atras atentia planetei – Wikileaks, probabil au auzit si de faptul ca site-ul este vanat de tot ce tine internet in ziua de astazi. Totusi, subiectul de azi nu trateaza aceasta companie foarte curajoasa ci modul cum au avut de suferit din partea unui om ce se intituleaza “hacktivist”. Th3j35t3r este cel care a luat asupra sa vina conform careia Wikileaks a avut de suferit in urma cu cateva zile privind stabilitatea site-ului. Practic cei de la Wikileaks au confirmat ca se afla sub un atac DDOS, dar persoana despre care discutam a afirmat ca el a demarat atacul. Nimic neobisnuit pana acum, probabil va ganditi la o armata de zombie controlata de un botnet foarte bine pus la punct. Total gresit! Conform infosecisland.com The Jester ataca Wikileaks folosind o aplicatie creata de el ce exploateaza o vulnerabilitate foarte grava a serverelor Apache, nemaiavand nevoie de o armata de calculatoare subordonate ce trimit pachete pentru a pune la pamant un site. Astfel, de la un atac DDOS ajungem la un atac coordonat de un singur computer si de o singura persoana – atac DOS. Conform autorului aceasta aplicatie este inovativa din trei puncte de vedere : Editat de Nemessis (e articolul lor, dati-le traficul ca asa e normal) - Articol complet la http://www.worldit.info/articole/aplicatie-dos-ce-poate-pune-la-pamant-90-din-serverele-lumii/ Mai multe detalii aici, aici si aici. ____________________________________________ #sursa: worldit.info.