 |
DDoS атаки, основанные на протоколе ICMP
|
|
|
|
1) ICMP flood
Атака состоит в отправке на атакуемую систему очень большого количества ICMP-сообщений.
2) ICMP smurf
Основана на протоколе ICMP, похожа на TCP Reflection.
Злоумышленник направляет несколько сфальсифицированных сообщений ICMP Echo Request (запросов) от имени жертвы по широковещательному адресу сетей, которые выступают в роли отражателей. Большое число узлов, находящихся в сетях-отражателях и поддерживающих обработку широковещательных Echo-запросов, одновременно отправляет ICMP Echo Reply (ответы) на атакуемый узел. В результате атаки сеть, в которой находится жертва, и сам атакуемый узел становятся недоступными для остальных пользователей. Более того, если атакуемая организация оплачивает услуги провайдера Интернета пропорционально полученному трафику, ее расходы могут существенно возрасти.
Для атакуемого узла и его сети не существует адекватных способов защиты от этой атаки. Очевидно, что блокирование ICMP-сообщений маршрутизатором на входе в атакуемую сеть не является удовлетворительным решением проблемы, поскольку при этом канал, соединяющий организацию с провайдером Интернета, остается подверженным атаке, а именно он, как правило, является наиболее узким местом при работе организации с Интернетом. И поскольку ICMP-сообщения были доставлены провайдером на маршрутизатор организации, они подлежат оплате.
Атаку smurf можно обнаружить путем анализа трафика на маршрутизаторе или в сети (большое количество сообщений ICMP Echo Reply). Признаком атаки является также полная загрузка внешнего канала и сбои в работе хостов внутри сети.
Ложные DHCP-клиенты
Атака состоит в создании злоумышленником большого числа сфальсифицированных запросов от различных несуществующих DHCP-клиентов. Если DHCP-сервер выделяет адреса динамически из некоторого пула, то все адресные ресурсы могут быть истрачены на фиктивных клиентов, вследствие чего легитимные хосты не смогут сконфигурироваться и лишатся доступа в сеть.
|
|
|
Для защиты от этой атаки администратору следует поддерживать на DHCP-сервере таблицу соответствия MAC- и IP-адресов (если это возможно); сервер должен выдавать IP-адреса в соответствии с этой таблицей.
Атаки специально сконструированными пакетами, вызывающие общий сбой системы из-за ошибок в программах
DoS-атаки этой группы не связаны с какими-либо проблемами протоколов стека TCP/IP, а используют ошибки в их программной реализации. Эти ошибки сравнительно просто исправить. Здесь будет представлен краткий обзор наиболее известных атак, имея в виду, почти все из них представляют лишь исторический интерес. С другой стороны нет никаких гарантий того, что не будут обнаружены новые ошибки. Все описываемые ниже атаки приводят к общему сбою уязвимой системы. Для защиты от них необходимо использовать последние версии операционных систем и следить за обновлениями к ним.
Ping of death
Атака состоит в посылке на атакуемый узел фрагментированной датаграммы, размер которой после сборки превышает максимальный разрешенный размер датаграммы (65 535 байт).
Land
Атака состоит в посылке на атакуемый узел SYN-сегмента TCP, у которого IP-адрес и порт отправителя совпадают с адресом и портом получателя.
Teardrop
Присылается несколько фрагментов одного пакета. Как известно, данные первого и второго фрагмента могут частично дублировать друг друга – такие фрагменты называются накладывающимися. При сборке пакета второй фрагмент накладывается на первый, и его данные записываются поверх предыдущего фрагмента.
Предположим, что сначала на хост приходит фрагмент А с длиной 120, а затем фрагмент В со смещением 40 и длиной 160, то есть фрагменты накладываются, что вполне разрешено.
|
|
|
 |
Модуль IP вычисляет длину той части фрагмента В, которая не накладывается на А: (40+160) – 120 = 80, и копирует последние 80 октетов фрагмента В в буфер сборки.
Предположим, злоумышленник сконструировал фрагмент В так, что тот имеет смещение 40, а длину 72. Вычисление длины перекрытия дает отрицательный результат: (40+72) – 120 = -8. С учетом представления отрицательных чисел в машинной арифметике это интерпретируется как 65528, и программа начинает записывать 65 528 байтов в буфер сборки, переполняя его и затирая соседнюю область памяти.
Рекомендации по защите от (D)DoS-атак
Угрозу DoS-атак можно снизить несколькими способами.
1) Во-первых, необходимо сконфигурировать функции анти-спуфинга на маршрутизаторах и межсетевых экранах. Они заключаются в том, чтобы блокировать исходящий из сети трафик, если адрес источника не является внутренним адресом сети, т.е. был заменен (RFC 2827). Такая фильтрация не позволит злоумышленнику проводить DoS-атаки на чужие сети с использованием подмены адреса источника.
2) Во-вторых, необходимо включить и правильно сконфигурировать функции анти-DoS на маршрутизаторах и межсетевых экранах. Эти функции ограничивают число полуоткрытых каналов, не позволяя перегружать систему.
3) Также рекомендуется при угрозе DoS-атаки ограничить объем проходящего по сети некритического трафика. Обычно ограничивается объем трафика ICMP, так как он используется сугубо для диагностических целей. Однако на сегодняшний день в атаках DDoS, как правило, используются корректные действующие протоколы, которые необходимы для работы в сети Интернет. Поэтому фильтрация протоколов становится менее эффективным средством защиты.
Применение IDS (систем обнаружения вторжений). IDS предназначены для анализа трафика и выявления аномалий в нем. Обнаружить DoS атаку с помощью IDS возможно, однако сложность состоит в том, чтобы отделить злонамеренный трафик от правомерного, то есть инициированного законными клиентами.
Другие способы
Специалисты компаний могут использовать для противостояния атакам DDoS различные стратегии, в частности, применение резервных ресурсов, т.е. закупку резервной полосы пропускания или резервных сетевых устройств, которые помогут справиться с любым пиковым ростом нагрузки. Однако, следует заметить, что такой подход не отличается высокой рентабельностью, особенно из-за того, что необходимо вводить резервные сетевые интерфейсы и устройства. И, независимо от первоначального эффекта, для того чтобы истощить эти дополнительные мощности злоумышленникам понадобится лишь увеличить масштабы атаки.
|
|
|
Независимо от типа атаки DDoS, те приемы борьбы, которые применяются сегодня, не всегода и не в полной мере обеспечивают устранение угрозы и надежную, непрерывную работу информационных систем. Некоторые наиболее распространенные ответные меры борьбы с атаками DdoS не оптимизированы для борьбы с современными видами атак, которые становятся все более и более изощренными.
|
|
|
