Невже ти думаєш, що знаєш все про DoS? Тоді читай!
Denial-of-service (DoS), атаки відмови від обслуговування, стали небезпечніше і легше. DoS це різновид
мережевих атак (від черв'яків до SYN flooding), мета яких зробити сервер недоступним для користувачів. 'Distributed Reflection' це новий вид DoS атак з використанням SYN flood'а. Його особливість в тому, що на атакується сервер не надсилаються мільйони SYN пакетів, вони посилаються на router'и або сервера і відповідь приходить цільового сервера. А
роутерів існує мільйони!
Щоб зрозуміти як все це працює і чому це так важливо
давайте дещо згадаємо ... Підтвердження TCP з'єднання відбувається посредствам обміну трьома пакетами між двома
комп'ютерами, так зване рукостискання. Ось приблизна схема:
- SYN клієнт (web браузер, ftp клієнт, etc.) входить в зв'язок з сервером, посилаючи йому SYN пакет.
- SYN / ACK: Коли запит про з'єднання (SYN пакет) отримано на відкритому порту сервера, той підтверджує з'єднання посилаючи клієнтові SYN / ACK пакет.
- ACK: Коли клієнт отримує підтвердження сервера SYN / ACK пакет для очікуваної зв'язку, то відповідає ACK пакетом.
Традиційні «SYN flooding DoS» атаки працюють за двома принципами:
- "One-on-one" одна машина відсилає достатню кількість SYN пакетів щоб заблокувати доступ до сервера.
- "Many-on-one" безліч програм зомбі,
встановлених на різних серверах, атакують цільову машину SYN пакетами.
Будь-яка TCP зв'язок з сервером загального призначення може використовуватися, щоб «відбити» SYN пакети. ось
короткий список найбільш популярних TCP портів:
22 (Secure Shell), 23 (Telnet), 53 (DNS) і 80 (HTTP / web). І фактично router'и всього Інтернету підтвердять TCP зв'язок на
179 порту. Давайте оцінимо потенціал цієї атаки:
- Вона використовує фундаментальний Інтернет протокол комунікацій;
- Машин, які використовують цей протокол, існує мільйони;
- надзвичайно просто організувати атаку 'SYN packet
reflectors '.
Досить легко може бути побудований список,
в якому будуть перераховані router'и і
сервера, що відповідають на SYN пакети. маючи
великий список SYN «відбивачів», кожен
хакер може розподілити підроблені SYN
пакети рівномірно через весь набір
роутерів / серверів в списку. Жоден з невинних «відбивачів» не зазнає
суттєвої мережевого навантаження. Роутери взагалі не зберігають звіти про пакети з запитами на
попереднє з'єднання, це робить
відстеження нападу надзвичайно важким.
«Отражатели" (роутери і сервера) відправлять в три або чотири рази більшу кількість SYN / ACK пакетів, ніж число SYN пакетів які вони
отримають. TCP з'єднання, яке отримує команду
SYN, очікує ACK відповідь від машини на яку послало
SYN / ACK пакет, тому комп'ютер посилається ще кілька SYN / ACK відповідей через кілька хвилин. Ця особливість TCP протоколу по суті примножує число зловмисних SYN / ACK пакетів, що посилаються цільової машині на три або чотири. Це також означає, що flood SYN / ACK
пакети продовжать атакувати цільової сервер протягом хвилини або
двох навіть після того, як нападник відкликав напад.
P.S. Ось кілька інструментів для
організації distributed reflection denial of service attack.
Покажи цю статтю друзям: