Tipuri de atacuri denial of service

[aelius]

Mai jos, o sa va prezint majoritatea tipurilor de atac dos/ddos cat si ce anume vizeaza ele. Am omis din lista atacurile ce tineau de anii 95 (igmp, nuke, windows 95 based. Subiectul este ocolit de multi pentru ca sunt foarte putine companiile care ofera solutii reale de filtrare a atacurilor (de regula este bullshit de marketing), iar cele care ofera astfel de solutii, este logic ca le tin private, pentru ca preturile sunt extrem de mari iar tehnologiile de filtering sunt putine si de multe ori ineficiente in fata atacurilor “moderne”. Cam atat despre asta pentru moment, si sa trecem la subiectul acestui tutorial.

[*] UDP Flood

Congestia conexiunii. Este un atack ce 'consuma' latimea de banda.

[*] ICMP Flood

Congestia conexiunii. Este un atack ce 'consuma' latimea de banda.

[*] TCP Flood (SYN)

Congestia conexiunii. De asemenea, consuma ciclii de procesare (Epuizarea resurselor CPU). Poate face inoperabil OS si poate folosi toti socketii disponibili. Incarca tabelele de conexiuni si face sistemul sa nu accepte conexiuni noi, pentru ca lista de asteptare (queue) devine plina. Daca este cu sursa spofata si numarul de pachete este considerabil, este aproape imposibil de filtrat. Poate fi ameliorat efectul doar cu echipamente specializate sau distribuirea serviciilor in clustere. FreeBSD are un sistem relativ bun de protectie pentru acest lucru (synproxy), insa la foarte multe sesiuni tcp noi pe secunda, acesta nu face fata cu un singur sistem folosit pentru filtrare. De asemenea, pe FreeBSD exista mai multe mecanisme pentru acest lucru. Unul dintre acestea este syncache. O alta metoda de a ameliora efectele sale, sunt reducerea timpilor de acceptare a conexiunilor. Este cel mai 'profi' atac (D)DoS.

[*] Smurf attack

Congestia conexiunii. Atacurile smurf se mai numesc si 'ICMP amplification attack' sau 'Reflection Attack'. Acest tip de atack vizeaza adresa broadcast.

[*] Fraggle attack

Congestia conexiunii. Fraggle este un tip de flood asemanator cu Smurf, insa pachetele trimise sunt UDP. Acest tip de atack vizeaza adresa broadcast, DST PORT 7 (echo)

[*] Papasmurf attack

Congestia conexiunii. Acest tip de flood este un hibrid rezultat din combinarea atacurilor Fraggle+Smurf.

[*] Land attack

Daca serverul vizat este linux, in majoritatea cazurilor kernelul da crash. Sursa atacului este alterata, astfel incat devinde identica cu destinatia, fapt pentru care, kernelul incepe sa-i(si) raspunda cu 'ack'. (war ack)

Nota: Nu am idee daca mai functioneaza la kernel 2.6.x ; La FreeBSD nu functioneaza pentru ca are un sistem de protectie ce face sa nu accepte pachete din afara cu adresa ip configurata pe interfata.

[*] Eyenetdee

Acest tip de atack este foarte asemanator cu 'Land attack', diferenta este ca sunt folosite pachete SYN. Tinta acestui atac sunt aplicatiile, in special pop3, imap si ftp. (probabilitatea de a bloca aplicatiile)

[*] DNS Amplification Attack

Congestia conexiunii. De asemenea, consuma ciclii de procesare (Epuizarea resurselor CPU) Aceste atacuri se bazeaza pe baza 'amplificarii' in intensitate, din cauza folosirii interogarilor recursive. Din moment ce vizeaza doar serviciul DNS (bind/named), in cazul in care este bine configurat si nu accepta interogari recursive, acest atac nu are randament.

[*] TCP Fin Flood (spoofed)

Acest tip de flood consuma ciclii de procesare (Epuizarea resurselor CPU), in cazuri rare genereaza si congestiunea conexiunii. Sursa pachetelor este alterata (spoofata) iar pachetele tcp au flag-ul FIN setat. Este usor de filtrat, in special pe FreeBSD.

[*] TCP RST flood (spoofed)

Acest tip de flood consuma ciclii de procesare (Epuizarea resurselor CPU) si genereaza congestiunea conexiunii. Sursa pachetelor este alterata (spoofata) iar pachetele tcp au flag-ul RST setat. Este relativ usor de filtrat.

[*] TCP ACK (spoofed)

Acest tip de flood consuma ciclii de procesare (Epuizarea resurselor CPU) si genereaza congestiunea conexiunii. Sursa pachetelor este alterata (spoofata) iar pachetele tcp au flag-ul ACK setat.

[*] SIP Flood

Acest tip de atac are ca tinta echipamentele VoIP si vizeaza blocarea lor. Se bazeaza pe trimiterea de mesje 'INVITE' catre porturile 5060, 5061 (in general)

Nota: o sa fie alt subiect despre atacurile dos/ddos low-bandwidth based.

Edited September 25, 2012 by aelius

[Alduras]

Cum pot da TCP Syn Flood ? Un tool ? Download ceva ... ?

[aelius]

@Alduras:

Este un tutorial adresat sysadminilor sau oamenilor care doresc sa invete ceva. Daca vrei sa inveti doar cum se pot lansa atacurile informatice va trebui sa cauti in alta parte. Deci nu te putem ajuta.

[PingLord]

Cum pot da TCP Syn Flood ? Un tool ? Download ceva ... ?

Care e rostu sa dai flood?Explica-mi si mie cu ce te incalzeste

[mariuss615]

Întrebare de noob, se ia un server fizic ?i se virtualizeaz?. Dac? se d? un flood de tip TCP Flood pe un vps crap? tot dedicatul sau doar vpsul ? M? gândesc s? îmi virtualizez serverul pentru a restrânge daunele unui flood. Împart siteul în subdomenii, iar fiecare subdomeniu s? fie pe un vps. Nu ?tiu cu ce se m?nânc? virtualizarea, dar b?nuiesc c? se poate seta o limit? de band? pentru fiecare vps pentru a nu mânca toat? banda serverului fizic în caz de flood.

[aelius]

Întrebare de noob, se ia un server fizic ?i se virtualizeaz?. Dac? se d? un flood de tip TCP Flood pe un vps crap? tot dedicatul sau doar vpsul ? M? gândesc s? îmi virtualizez serverul pentru a restrânge daunele unui flood. Împart siteul în subdomenii, iar fiecare subdomeniu s? fie pe un vps. Nu ?tiu cu ce se m?nânc? virtualizarea, dar b?nuiesc c? se poate seta o limit? de band? pentru fiecare vps pentru a nu mânca toat? banda serverului fizic în caz de flood.

Fiind virtualizare si fiecare masina virtuala avand cate o adresa ip (se subintelege ca publica), va "crapa" doar acel VPS.