? Luki w zabezpieczeniach
? Zombie Staffing
? Narzędzia ataku
? Ataki na przepustowość
? SYN Floods
? Założono powodzie połączenia
? Połączenia na sekundę Powódź
Metoda 1? Luki w zabezpieczeniach
Atakujący mogą próbować zderzyć usługę lub podstawowy system operacyjny w linii prostej za pośrednictwem sieci. Ataki te unieruchamiają usługi, wykorzystując rozprzestrzenianie się amortyzatorów i innych unikalnych osiągnięć, które istnieją w bezbronnych serwerach. Ataki w zakresie podatności na ataki nie wymagają powszechnych zasobów ani przepustowości do zatwierdzenia; osoby atakujące muszą jedynie wiedzieć, jak przetrwać podatność na ich rozwinięcie i spowodować rozległe obrażenia. Gdy atakujący sprawuje kontrolę nad podatną na atak usługą, żądaniem lub systemem operacyjnym, nadużywa otwarcia, aby unieruchomić systemy, a na koniec rozbija całą sieć od wewnątrz..
DoS vs DDoS Attack
Metoda 2? Zombie Conscription
Te same luki w zabezpieczeniach, które kolidują z serwerem, pozwalają hakerom na zmianę zagrożonych komputerów na zombie typu Distributed Denial of Service. Gdy haker rozwinie podatność na zwiększenie zarządzania systemem, zasadzi go w systemie do późniejszego wykorzystania w atakach DDoS. Trojan lub podobna choroba zapewnia ścieżkę do systemu. Gdy atakujący ma ścieżkę, słabo kontrolują sieć, czyniąc serwer :Zombie:. który czeka na dany organ ataku. Używając tych zombie, atakujący mogą wysyłać ogromną liczbę ataków DoS i DDoS z zachowaniem tajemnicy. Wirusy mogą być również używane do poboru Zombie. Na przykład błąd MyDoom został zaprojektowany, aby konwertować komputery PC na zombie, które atakowały SCO i Microsoft w zaprogramowanym czasie zaprogramowanym na wirusa. Inne wirusy pasują do backdoorów, które pozwalają hakerom otwierać skoordynowane ataki, zwiększając dzielenie się atakami w sieciach wokół kuli. Poniższe dane pokazują, w jaki sposób atakujący popełniają i rozpoczynają ataki na sieć.
Metoda 3? Narzędzia ataku
Poprzez rekrutację zombie, hakerzy używają tajnych kanałów komunikacji, aby kontaktować się i zarządzać swoim wojskiem zombie. Mogą wybierać spośród setek gotowych programów backdoor i narzędzi tradycyjnych z witryn internetowych. Te narzędzia i programy rozpoczynają te ataki, aby przeniknąć i kontrolować sieci jako armie zombie, aby przekazać dodatkowe ataki z wewnątrz. Kiedy już będą mieli systemy zombie, będą mogli użyć innych narzędzi, aby wysłać jednoosobowe polecenie do wszystkich zombie jednocześnie. W niektórych przypadkach polecenia są przenoszone w pakietach ICMP lub UDP, które mogą ominąć zapory. W innych przypadkach telefony zombie? poprzez utworzenie łącza TCP do wzorca. Po utworzeniu relacji mistrz może zarządzać Zombie.
Narzędzia używane do atakowania i kontrolowania systemów obejmują:
? Tribe Flood Network (TFN)? W przypadku powodzi zastosowanie mają reflektory w Smerferze, UDP, SYN i ICMP.
? Tribe Flood Network 2000 (TFN2K)? Zaktualizowana wersja TFN.
? Trinoo? Koncentruje się na powodziach UDP. Wysyła pakiety UDP do portów przeznaczenia.
Rozmiar można konfigurować.
? Stacheldraht? Narzędzie programowe koncentrujące się na TCP, ACK, TCP NULL, HAVOC, powodziach DNS i zalewach pakietów TCP z losowymi nagłówkami.
Narzędzia DDoS rosną zarówno pod względem ukrytego zakończenia kanału, jak i metod zalewania DDoS. Nowe narzędzia wykorzystują losowe numery portów lub działają na IRC. Co więcej, mądrzejsze narzędzia sprytnie maskują zalewanie pakietów jako zgodne z prawem żądania serwisowe i / lub wiążą się z dużym prawdopodobieństwem. Ulepszenia te powodują, że urządzenie filtrujące port coraz bardziej utrudnia podział pakietów ataków z legalnego ruchu.
Metoda 4? Ataki na przepustowość
Gdy atak DDoS jest otwarty, często można go wykryć jako ważną zmianę w arytmetycznym dziele transferu sieci. Na przykład typowy system może składać się z 80% TCP i 20-procentowej kombinacji UDP i ICMP. Zmiana arytmetycznego miksu może być sygnałem nowego ataku. Na przykład, robak Slammer spowodował gwałtowny wzrost liczby pakietów UDP, podczas gdy robak Welchi ukształtował powódź pakietów ICMP. Takie przepięcia mogą być atakami DDoS lub tzw. Atakami zero-day? ataki, które rozwijają tajne luki w zabezpieczeniach.
Metoda 5? SYN Flood
Jednym z najczęściej spotykanych typów ataków DoS jest powódź SYN. Atak ten może zostać uruchomiony z jednego lub więcej urządzeń atakujących, aby uniemożliwić dostęp do serwera docelowego. Atak wykorzystuje urządzenie używane do znalezienia połączenia TCP. Każdy link TCP wymaga zawarcia trzyczęściowego handclasp zanim będzie mógł przekazać dane:
? Żądanie połączenia? Pierwszy pakiet (SYN) wysłany z suplikanta na serwer, wstępny trzyczęściowy uchwyt ręczny
? Zażądaj potwierdzenia? Drugi pakiet (SYN + ACK) wysłany z serwera do requestera
? Połączenie zostało zakończone? Trzeci pakiet (ACK) wysłany od suplikanta z powrotem do serwera, realizuje trójdrożny uścisk dłoni
Atak składa się z zalewu niedopuszczalnych pakietów SYN ze sfałszowanymi źródłowymi adresami IP. Podrobiony adres źródłowy powoduje, że serwer docelowy reaguje na SYN z SYN-ACK na nieostrożny lub nieobecny komputer źródłowy. Cel następnie czeka na pakiet ACK ze źródła, aby zsumować link. ACK nigdy nie przychodzi i wiąże tabelę połączeń z oczekującym połączeniem, aby tego nie wymagać. Stanowisko szybko wypełni i pochłonie cały możliwy do pozyskania kapitał z nieprawidłowymi żądaniami. Chociaż liczba pozycji linków może się różnić w zależności od serwera, tabele mogą wypełniać tylko setki lub tysiące żądań. Wynikiem jest odmowa usługi, ponieważ po wypełnieniu tabeli serwer docelowy nie może obsługiwać żądań zgodnych z prawem. Trudność z atakami SYN polega na tym, że każda prośba w separacji wygląda łagodnie. Nie do przyjęcia prośba jest bardzo trudna do odróżnienia od zgodnej z prawem.
Złożoność ataku SYN polega na tym, że każda prośba w separacji wygląda troskliwie. Nieprawidłowa prośba jest bardzo trudna do odróżnienia od zgodnej z prawem.
Metoda 6? Założona powódź połączenia
Rozpoznany Potok Połączeniowy jest rozwinięciem ataku SYN Flood, który wykorzystuje szereg zombie do wykonania ataku DDoS na cel. Zombie znalazły pozornie zgodne połączenia z serwerem końcowym. Korzystając z dużej liczby zombie, z których każdy tworzy dużą liczbę połączeń z celem, atakujący może nawiązać wiele połączeń, których celem nie jest już możliwość uwierzenia w zgodne z prawem żądania połączenia. Na przykład, jeśli tysiąc zombie tworzy tysiąc połączeń z serwerem końcowym, serwer musi uruchomić milion otwartych połączeń. Rezultat jest podobny do ataku SYN Flood, ponieważ pożera fundusze serwera, ale jeszcze trudniej go wyczuć.
Metoda 7? Połączenia na sekundę Floods
Połączenia na sekundę (CPS) Powódź atakuje serwery powodziowe o wysokim współczynniku połączeń z pozornie prawidłowego źródła. W tych atakach atakujący lub armia zombie próbuje drenować zasoby serwera, szybko konfigurując i odrywając połączenia TCP, być może rozpoczynając żądanie od każdego łącza. Na przykład siła atakującego używa swojej armii zombie do częstego uzyskiwania strony głównej z docelowego serwera WWW. Wynikające z tego obciążenie sprawia, że serwer jest niesamowicie ospały.