Jump to content
bc-vnt

Instrumente si contra masuri DoS si DDoS

By bc-vnt, in Tutoriale in romana

Recommended Posts

bc-vnt Newbie

bc-vnt

Posted
Posted (edited)

Ce este un atac DoS / DDoS?

DoS ?i DDoS sunt, respectiv, prescurtari pentru Denial-of-Service ?i Distributed Denial-of-Service, sau "Denial of Service". Ace?ti termeni se refer? la un tip de atac (DoS / atac DDoS, de fapt) al c?rui obiectiv este de a epuiza resursele puse la dispozi?ie de c?tre o re?ea, o aplica?ie sau un serviciu, în general, astfel încât utilizatorii "legitimi" de acest serviciu nu va fi capabil s? le foloseasc?. Lua?i, de exemplu, un mesaj e-commerce, a c?rui "timpii mor?i" pentru câteva ore poate duce la pierderi în valoare de milioane de euro.

În general, un atac DDoS este efectuat de c?tre un grup mare de clien?i din întreaga lume, la un moment precis, ei încep s? "bombardeze" traficul unui site web, de re?ea ?i servicii în general.Clientul particip? la atac poate fi folosit în mod deliberat (?i con?tient), de c?tre proprietarii respectivi, cum ar fi în cazul ac?iunilor desf??urate de grupuri activiste, sau poate au fost în prealabil compromis? de troieni, cum ar fi Zeus ?i SpyEye ?i, prin urmare, s? fie asociat? cu pe botnet. Printre alte lucruri, aceasta nu reduce nivelul de pericol al acestor troieni, astfel încât ENISA recent a trebuit s? emit? un consultativ.

Metode pentru atacuri DDoS

Exist? mai multe moduri de a efectua un atac DDoS. Aceste metode pot include atacuri de "potop", în care cantit??i mari de trafic sunt generate ?i de sesiuni de la ?int?, sau metode mai sofisticate, care s? profite de vectori de atac la nivel de aplica?ie, dup? cum KillApache (Killapache: DDOS tool - Half of the Internet is vulnerable now ! | The Hacker News - Security Blog ), Slowloris (Slowloris HTTP DoS )?i a?a mai departe. În prezent, atacurile DDoS pot fi clasificate în trei mari categorii: atacuri "volumetrice" atacuri "TCP stat-Epuizarea" ?i atac? "la nivel de aplica?ie".

Atacurile volumetrice

Acest tip de atacuri sunt în esen??, scopul de a epuiza l??imea de band? disponibil? a unei infrastructuri de re?ea cu ac?iunile de "flooding" sau inundare ?int? cu sume uria?e de trafic ?i cauzând, ca urmare, indisponibilitatea serviciului. Exemple de atacuri volumetrice includ TCP SYN, ICMP, UDP ?i inunda?iile Fragment.

Atacuri "TCP stat Epuizarea"

Impartasiti cu metoda anterioar? numai activitatea de inunda?ii, dar s? profite de un alt principiu: în esen??, metoda const? în trafic nell'inondare provoac? satura?ie a unei mese de stat ?int? utilizate de firewall-uri ?i IDS / IPS pentru inspectie de pachete din diverse conexiuni. Aceste dispozitive ar trebui s? fie ad?ugate la sarcina de echilibrat sunt vulnerabile la acela?i tip de atac. Un exemplu clasic din aceast? categorie este atacul de tip Sockstress, care const? în completarea tabelului de stare conectarea unui firewall, prin deschiderea unui num?r mare de prize TCP ?i efectuarea testelor de stres specifice TCP, cum ar fi fereastra Zero, ferestre mici ?i altele.

Atacurile "la nivel de aplica?ie"

Utilizarea unor mecanisme mai sofisticate de precedent, ceea ce duce la atacurile care vizeaz? servicii specifice ?i încet de func?ionare din resurse. Datorit? acestei caracteristici sunt mai dificil de a intercepta ?i, în acela?i timp, foarte eficace impotriva low-rata conexiuni. Exemple din aceast? categorie sunt cele men?ionate mai sus Slowloris KillApache ?i la care putem ad?uga cu siguran?? Slowhttptest. (Http :/ / code.google.com / p / slowhttptest /)

Din punct de vedere statistic, tendin?a ultimilor ani este de a folosi atacurile DDoS "hibride", metode care utilizeaz? o combina?ie de volumetrice ?i la nivel de aplica?ie, deoarece acest lucru creste dramatic sansele de succes. Dup? cum se poate observa, de asemenea, din raportul periodic al Kaspersky în a doua jum?tate a anului 2011, metoda cea mai des utilizat? este de inunda?ii HTTP Asist?m, de asemenea, o cre?tere constant? a atacurilor, volumetrice, ?i din cauza num?rului mare de clien?i infectate cu malware (?i, prin urmare, "proprietatea" de botnet diferite) se datoreaz? fenomenului tot mai mare de hacktivism, ai c?rei membri particip? în mod voluntar ?i ataca in mod constient ac?iuni, în general, din motive de ordin social, politic sau religios.

Trei instrumente pentru atacuri DDoS

Exist? mai multe instrumente pentru a desf??ura DoS ?i DDoS, vom cita pentru toate cele patru: Slowloris, Slowhttptest, THC-SSL-DOS ?i LOIC (inclusiv HOIC sa variant?). Slowloris ?i Slowhttptest, disponibil numai pentru Linux, sunt destul de asem?n?toare între ele, a?a cum au în principii ?i tehnici comune care vizeaz? realizarea nivelul Denial-of-Service aplica?ie (Application Layer-Denial-of-Service). Ei exploateaz? propriet??ile protocolul HTTP, care impune ca fiecare cerere (http-cerere) este pe deplin primite de server înainte de a fi prelucrate. Dac? http-cererea este completa (sau conexiunea este foarte lent), serverul p?streaz? o mul?ime de resurse angajate, rezultând în Denial of Service. Aceste instrumente, apoi trimite http cerere par?ial?, ca ?i în urm?toarea comand?: 

./slowhttptest -c 1000 -H -g -o my_header_stats -i 10 -r 200 -t GET -u https://myseceureserver/resources/index.html -x 24 -p 3

Cu aceasta comanda pe care îl trimite?i 1000 de contacte (-c 1000) cristalinului în anteturile (-H) la fiecare 10 secunde (-i 10), la 200 de contacte pe secund? (-R 200) folosind metoda GET ?i luând în considerare serverul nu este accesibil dup? o pauz? de 3 secunde (-p 3).

THC-SSL-DOS, (http://www.thc.org/thc-ssl-dos/ )cu toate acestea, disponibil atât pentru Windows ?i Nix platforma *, creat ca un instrument pentru a testa (Secure Socket Layer) SSL, utilizate în mod obi?nuit pentru a cripta traficul la nivel de aplica?ie. THC-SSL-DOS este un instrument de stres bazat pe comportamentul de "asimetric" SSL, pentru care necesit? o conexiune SSL pentru a serverul de puterea de procesare de 15 ori mai mare decat clientul.

THC-SSL-DOS necesit? procesor serverului la o munc? intens? de criptare care rezult? din RSA_encrypt continuu func?ia de apeluri (). Acest lucru face ca, în asociere asimetrie doar men?ionat, o supraînc?rcare a serverului care provoac? o stare de negare a serviciului, deoarece serverul nu mai este capabil s? sus?in? volumul de munc?.Atacul se face mult mai eficient prin faptul c? serverele sunt preg?tite pentru a gestiona eficient strângere de mân? faza-SSL numai la începutul unei sesiuni ?i nu în mod continuu. THC-SSL-DOS exploateaza, de asemenea, un alt particularitate a protocolului SSL, care este renegocierea (SSL-Renegocierea) taste în timpul unei sesiuni SSL. Dac? aceast? func?ie este activat? pe server, ve?i ob?ine un multiplicator de munca la care este supus serverul .

În cele din urm?, s? ne uit?m la LOIC [ LOIC | Free Security & Utilities software downloads at SourceForge.net ] (Low Orbit Ion Cannon-), pentru care exist?, de asemenea, o versiune similar numit HOIC (High-Orbit Ion Cannon). LOIC este de fapt unul dintre instrumentele cele mai utilizate pentru DOS ?i în special pentru atacuri DDoS. Acesta este un instrument (pentru Windows), care pune în aplicare inunda?iile TCP sau UDP, acesta poate fi clasificat ca cotat. Acesta este un instrument foarte eficient, astfel încât s? fie utilizate de c?tre organiza?ii precum Anonim s? efectueze ac?iunile lor. În acest scop, exist? chiar ?i o pagin? web special? care explic? configurarea si utilizarea LOIC, complet cu un canale IRC Termeni si la contact.

trebuie doar s? introduce?i URL-ul ?int? (sau IP acestuia) ?i op?iuni, cum ar fi protocolul de a utiliza (TCP, UDP sau HTTP) pentru inunda?ii, timeout, iar u?a pentru a ataca, atunci atacul este lansat, f?când clic pe butonul din sec?iunea 2, în dreapta sus ?i a?i terminat.

Contram?suri

Dup? cum este bine cunoscut, nu exist? nici o contra real pentru a contracara un atac DDoS, mai ales daca arunci un botnet este format de 30.000 de clienti împr??tiate în jurul lumii. În orice caz, pute?i pune în aplicare solu?ie pentru a atenua atacul, dar trebuie s? fie puse în aplicare de la firewall si IDS / IPS direct la ISP-ul care ofer? conectivitate.

De reguli firewall bine scrise pot fi foarte utile pentru a detecta cel pu?in atac, de exemplu prin filtrarea tuturor UDP si ICMP de ie?ire.Problema fundamental? este aceea c?, în special pentru atacurile comise împotriva portul 80, firewall-ul nu poate determina dac? acesta este traficul, "r?uvoitor" sau legitim, iar acest lucru este agravat în special în prezen?a atacurilor "lente". Pentru a r?spunde la atacuri de inunda?ii sunt software-ul "anti-flood", care blocheaz?, de asemenea, forta bruta si scaneaza masive. Una dintre acestea este IOSec fi desc?rcat de Sourceforge ( HTTP Anti Flood/DoS Security Module | Free System Administration software downloads at SourceForge.net ) ?i pute?i testa func?ionarea folosind un demo on-line disponibile la urm?torul link. ( IOSec.org Anti Flood Security Gateway Module )

Download KillApache : http://pastebin.com/9y9Atijn

Sursa : DoS e DDoS: strumenti e contromisure | Sicurezza, System | HTML.it

Edited by bc-vnt

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing
×
×
  • Create New...