Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

DDoS атаки, основанные на протоколе ICMP




 

1) ICMP flood

Атака состоит в отправке на атакуемую систему очень большого количества ICMP-сообщений.

 

2) ICMP smurf

 

Основана на протоколе ICMP, похожа на TCP Reflection.

Злоумышленник направляет несколько сфальсифицированных сообщений ICMP Echo Request (запросов) от имени жертвы по широковещательному адресу сетей, которые выступают в роли отражателей. Большое число узлов, находящихся в сетях-отражателях и поддерживающих обработку широковещательных Echo-запросов, одновременно отправляет ICMP Echo Reply (ответы) на атакуемый узел. В результате атаки сеть, в которой находится жертва, и сам атакуемый узел становятся недоступными для остальных пользователей. Более того, если атакуемая организация оплачивает услуги провайдера Интернета пропорционально полученному трафику, ее расходы могут существенно возрасти.

 

Для атакуемого узла и его сети не существует адекватных способов защиты от этой атаки. Очевидно, что блокирование ICMP-сообщений маршрутизатором на входе в атакуемую сеть не является удовлетворительным решением проблемы, поскольку при этом канал, соединяющий организацию с провайдером Интернета, остается подверженным атаке, а именно он, как правило, является наиболее узким местом при работе организации с Интернетом. И поскольку ICMP-сообщения были доставлены провайдером на маршрутизатор организации, они подлежат оплате.

Атаку smurf можно обнаружить путем анализа трафика на маршрутизаторе или в сети (большое количество сообщений ICMP Echo Reply). Признаком атаки является также полная загрузка внешнего канала и сбои в работе хостов внутри сети.

Ложные DHCP-клиенты

Атака состоит в создании злоумышленником большого числа сфальсифицированных запросов от различных несуществующих DHCP-клиентов. Если DHCP-сервер выделяет адреса динамически из некоторого пула, то все адресные ресурсы могут быть истрачены на фиктивных клиентов, вследствие чего легитимные хосты не смогут сконфигурироваться и лишатся доступа в сеть.

Для защиты от этой атаки администратору следует поддерживать на DHCP-сервере таблицу соответствия MAC- и IP-адресов (если это возможно); сервер должен выдавать IP-адреса в соответствии с этой таблицей.

Атаки специально сконструированными пакетами, вызывающие общий сбой системы из-за ошибок в программах

DoS-атаки этой группы не связаны с какими-либо проблемами протоколов стека TCP/IP, а используют ошибки в их программной реализации. Эти ошибки сравнительно просто исправить. Здесь будет представлен краткий обзор наиболее известных атак, имея в виду, почти все из них представляют лишь исторический интерес. С другой стороны нет никаких гарантий того, что не будут обнаружены новые ошибки. Все описываемые ниже атаки приводят к общему сбою уязвимой системы. Для защиты от них необходимо использовать последние версии операционных систем и следить за обновлениями к ним.

Ping of death

Атака состоит в посылке на атакуемый узел фрагментированной датаграммы, размер которой после сборки превышает максимальный разрешенный размер датаграммы (65 535 байт).

Land

Атака состоит в посылке на атакуемый узел SYN-сегмента TCP, у которого IP-адрес и порт отправителя совпадают с адресом и портом получателя.

Teardrop

Присылается несколько фрагментов одного пакета. Как известно, данные первого и второго фрагмента могут частично дублировать друг друга – такие фрагменты называются накладывающимися. При сборке пакета второй фрагмент накладывается на первый, и его данные записываются поверх предыдущего фрагмента.

Предположим, что сначала на хост приходит фрагмент А с длиной 120, а затем фрагмент В со смещением 40 и длиной 160, то есть фрагменты накладываются, что вполне разрешено.

 
 

 

 


Модуль IP вычисляет длину той части фрагмента В, которая не накладывается на А: (40+160) – 120 = 80, и копирует последние 80 октетов фрагмента В в буфер сборки.

Предположим, злоумышленник сконструировал фрагмент В так, что тот имеет смещение 40, а длину 72. Вычисление длины перекрытия дает отрицательный результат: (40+72) – 120 = -8. С учетом представления отрицательных чисел в машинной арифметике это интерпретируется как 65528, и программа начинает записывать 65 528 байтов в буфер сборки, переполняя его и затирая соседнюю область памяти.

Рекомендации по защите от (D)DoS-атак

Угрозу DoS-атак можно снизить несколькими способами.

1) Во-первых, необходимо сконфигурировать функции анти-спуфинга на маршрутизаторах и межсетевых экранах. Они заключаются в том, чтобы блокировать исходящий из сети трафик, если адрес источника не является внутренним адресом сети, т.е. был заменен (RFC 2827). Такая фильтрация не позволит злоумышленнику проводить DoS-атаки на чужие сети с использованием подмены адреса источника.

 

2) Во-вторых, необходимо включить и правильно сконфигурировать функции анти-DoS на маршрутизаторах и межсетевых экранах. Эти функции ограничивают число полуоткрытых каналов, не позволяя перегружать систему.

 

3) Также рекомендуется при угрозе DoS-атаки ограничить объем проходящего по сети некритического трафика. Обычно ограничивается объем трафика ICMP, так как он используется сугубо для диагностических целей. Однако на сегодняшний день в атаках DDoS, как правило, используются корректные действующие протоколы, которые необходимы для работы в сети Интернет. Поэтому фильтрация протоколов становится менее эффективным средством защиты.

Применение IDS (систем обнаружения вторжений). IDS предназначены для анализа трафика и выявления аномалий в нем. Обнаружить DoS атаку с помощью IDS возможно, однако сложность состоит в том, чтобы отделить злонамеренный трафик от правомерного, то есть инициированного законными клиентами.

Другие способы

Специалисты компаний могут использовать для противостояния атакам DDoS различные стратегии, в частности, применение резервных ресурсов, т.е. закупку резервной полосы пропускания или резервных сетевых устройств, которые помогут справиться с любым пиковым ростом нагрузки. Однако, следует заметить, что такой подход не отличается высокой рентабельностью, особенно из-за того, что необходимо вводить резервные сетевые интерфейсы и устройства. И, независимо от первоначального эффекта, для того чтобы истощить эти дополнительные мощности злоумышленникам понадобится лишь увеличить масштабы атаки.

Независимо от типа атаки DDoS, те приемы борьбы, которые применяются сегодня, не всегода и не в полной мере обеспечивают устранение угрозы и надежную, непрерывную работу информационных систем. Некоторые наиболее распространенные ответные меры борьбы с атаками DdoS не оптимизированы для борьбы с современными видами атак, которые становятся все более и более изощренными.

 

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...