Ce trebuie sa stim despre atacurile bazate pe volum: flood UDP, SMURF, SYN, HTTP, ICMP

Configurare noua (How To)

Situatie

Solutie

Pasi de urmat

Flood UDP

Un atac UDP este un tip de atac de refuzare a serviciului unde un numar mare de pachete udp sunt trimise catre server cu scopul de a suprasolicita capacitatea serverului de procesare si de a raspunde. Firewall-ul care protejeaza serverul atacat poate sa nu mai raspunda in timp util in urma conexiunilor UDP, ducand la refuzul serviciului pentru traficul legitim.

Atunci cand un pachet UDP nou ajunge la server acesta aloca resurse pentru a procesa informatia. Prima data serverul verifica daca un program anume foloseste portul specificat. Daca acel port nu este folosit de niciun program, atunci serverul trimite inapoi un ICMP la sursa sa anunte ca nu a ajuns la destinatie. Cand atacurile vin de la mai multe echipamente atunci se considera un atac Distributed Denial of Service (DDoS).

Smurf DDoS

Un atac de tip Smurf este o forma de atac de refuz de serviciu distribuit (DDoS) care face retelele de calculatoare inoperabile. Atacul de tip Smurf face acest lucru exploatand vulnerabilitatile Protocolului IP si ICMP. Atacatorul foloseste un malware-ul care creeaza un pachet de retea atasat la o adresa IP falsa – tehnica numita spoofing – iar in pachet este un mesaj ping care cere tuturor echipamentelor care primesc pachetul sa trimita un raspuns inapoi, acest lucru ajunge sa faca un loop si echipamentele nu mai au timp sa raspunda la cereri legitime.

Ca exemplu, calculatorul A trimite un ping catre calculatorul B, care ofera un raspuns automat. De exemplu, o retea de difuzare IP cu 500 de gazde va produce 500 de raspunsuri pentru fiecare solicitare Echo falsa.

SYN Flood

Un atac DDoS SYN flood foloseste o slabiciune cunoscuta in pasii in vederea conexiunii TCP („strangere de mana in trei parti”), unde initial avem o solicitare SYN pentru a initia o conexiune TCP cu un host si un raspuns de tip SYN-ACK este asteptat de la gazda respectiva si apoi confirmat printr-un raspuns ACK din partea solicitantului. Intr-un scenariu de atac SYN, solicitantul trimite mai multe cereri SYN, dar fie nu raspunde la raspunsul SYN-ACK al gazdei, fie trimite cererile SYN de la o adresa IP falsificata. In orice caz, host-ul continua sa astepte confirmarea pentru fiecare dintre cereri, legand resurse pana cand nu se pot face noi conexiuni si, in cele din urma, rezulta in refuzul serviciului.

HTTP FLOOD

Atacurile de tip HTTP sunt unul dintre cele mai răspândite tipuri de atacuri DDoS la nivel de aplicație.

Prin aceasta metoda, atacatorul initieaza ceea ce par a fi interactiuni normale cu un server web sau o aplicatie. Toate interactiunile provin din browsere web pentru a arata ca o activitate obisnuita a utilizatorului, dar acestea sunt coordonate pentru a folosi cat mai multe resurse de pe server. Solicitarea pe care atacatorul ar putea-o face include orice, de la apelarea adreselor URL pentru documente sau imagini si pana la solicitari GET care trebuie apoi sa obtina informatii de la o baza de date ceea ce ocupa resurse.

ICMP FLOOD

Internet Control Message Protocol (ICMP), care poate fi folosit intr-un atac Ping Flood, este un protocol de nivel de internet utilizat de dispozitivele din retea pentru a comunica. In mod normal, mesajele ICMP de solicitare ecou si de raspuns sunt folosite pentru a contacta un dispozitiv de retea in scopul diagnosticarii starii de sanatate si a conectivitatii dispozitivului.

Un ping flood este un atac de refuzare a serviciului unde atacatorul vrea sa copleseasca un echipament prin pachete de solicitare ecou ICMP,  iar asa tinta devine inaccesibila pentru traficul normal. Orice solicitare ICMP necesita ca anumite resurse sa fie alocate de server in vederea procesarii fiecarei cereri si pentru a trimite un raspuns. Solicitarea necesita, de asemenea, latime de banda atat pentru mesajul de intrare cat si pentru raspunsul de iesire.

Cand traficul de atac provine de la mai multe dispozitive, atacul devine un atac DDoS sau un atac de refuz de serviciu distribuit. Atacul Ping Flood urmareste sa copleseasca capacitatea dispozitivului vizat de a raspunde la numarul mare de solicitari si/sau supraincarcarea conexiunii de retea cu trafic fals.

Tip solutie

Permanent

Voteaza

(6 din 14 persoane apreciaza acest articol)

Despre Autor

Leave A Comment?