Głód zasobów

Głód zasobów jest kategorią ogólną dla wielu innych rodzajów ataków DoS, które są wynikiem niektórych ograniczonych zasobów – czy to przepustowości, mocy obliczeniowej, zajętego i wyczerpanego miejsca na dysku. Jeden przykład wykorzystuje nowatorski atak UDP DoS, w którym intruz fałszuje pakiety UDP i wykorzystuje je do połączenia usługi echa jednej maszyny (port 7 UDP) z usługą generatora znaków (ładowanie) na innej maszynie (port 19 UDP). Kiedy to nastąpi, oba komputery zużywają całą dostępną przepustowość sieci, a wszystkie maszyny w tych samych sieciach, co maszyny docelowe, mogą mieć wpływ i brakować zasobów. Ale takie ataki mogą również zdarzyć się lokalnie. Niestety, wielu autoryzowanych użytkowników przeprowadza lokalne ataki DoS, które albo zużywają zasoby systemowe, albo odmawiają użytkownikom dostępu. Liczne ataki głodu zasobów i błędy programowe atakują określone systemy. Na przykład przekroczenie narzuconych limitów miejsca na dysku powoduje, że systemy wielu użytkowników mogą cierpieć z powodu ataku głodu zasobów. Większość systemów operacyjnych ogranicza kwotę, o którą użytkownik może przekroczyć limit miejsca na dysku. Windows 2000 ma w tym coś dziwnego; chociaż poszczególne pliki mogą przekroczyć limit tylko o niewielką ilość, to jeśli każdy plik przekroczy limit, użytkownik może zużyć dużo dodatkowego miejsca na dysku. Innym wariantem tego typu ataku jest Slowloris, który atakuje serwery sieciowe i wykorzystuje stosunkowo małą przepustowość atakującego. Korzystając ze schematu Slowloris, osoba atakująca wysyła dużą liczbę żądań połączenia do serwera targetWeb i utrzymuje je otwarte tak długo, jak to możliwe. W niektórych okolicznościach serwer sieci Web, którego dotyczy problem, wyczerpuje swoją pulę zasobów połączeń w przypadku niespełnionych żądań, tym samym odrzucając uzasadnione żądania. Slowloris jest podatny na wiele typów serwerów WWW, w tym kilka wersji Apache. Wariant Slowloris nazywa się R-U-Dead-Yet (RUDY). RUDY wysysa zasoby połączeń z serwera aWeb, wysyłając dużą liczbę wiadomości POST i losowo duże wartości długości treści w nagłówku wiadomości http

SYN Flooding

SYN flooding to atak DoS, który pasuje do kategorii zużycia ograniczonych zasobów. Ten atak DoS wykorzystuje trójdrożny uścisk dłoni używany przez hosty TCP do synchronizacji połączenia logicznego przed wymianą danych. W normalnym połączeniu hosta z hostem TCP dwa hosty wymieniają trzy segmenty TCP przed wymianą danych:

  1. Klient wysyła segment do serwera z jego początkowym numerem sekwencyjnym (ISN). Flaga SYN (synchronizacja) jest ustawiona w tym segmencie.
  2. Serwer odpowiada, wysyłając segment zawierający swój ISN i potwierdza ISN klienta. W tym segmencie będą ustawione flagi SYN i ACK (potwierdzenie). W tym momencie serwer przydziela zasoby dla połączenia, które ma zostać wkrótce ustanowione, i czeka na trzeci segment.
  3. Klient wysyła segment potwierdzający numer ISN serwera. Ten i wszystkie kolejne segmenty do końca sesji będą miały ustawioną tylko flagę ACK.

Powódź SYN wykorzystuje trójdrożny uścisk dłoni oraz fakt, że serwer może mieć tylko skończoną liczbę otwartych połączeń TCP. Atak jest uruchamiany, gdy atakujący inicjuje połączenia, dla których nigdy nie będzie trzeciego segmentu. Gdy serwer wyśle ​​segment w kroku 2, czeka na odpowiedź. W normalnych okolicznościach klient odpowie w ciągu kilku sekund. Serwer może poczekać, powiedzmy, 10 sekund, zanim przekroczy limit czasu i zwolni zasoby. Załóżmy jednak, że atakujący wysyła setki komunikatów o połączeniach na sekundę w sposób ciągły. Gdy te fałszywe połączenia zalewają cel szybciej, niż mogą przekroczyć limit czasu,nie pozostaną żadne zasoby do nawiązania legalnego połączenia. Jest to rodzaj ataku przeprowadzonego przeciwko PANIX w 1996 roku.

Ataki na system routingu i nazwy domen

Ataki na routing i system nazw domen (DNS) to sprytne ataki, które są powtarzane wielokrotnie. Manipulując przy DNS, nazwa domeny witryny rozwiązuje się na adres IP każdej innej witryny, którą życzy sobie atakujący. Na przykład w sierpniu 1999 r. Niezadowolony inżynier PairGain Technologies podał bezpośredni link do fałszywej, ale autentycznie wyglądającej strony Bloomberg News Service, którą stworzył. Inżynier, który był właścicielem akcji PairGain, opublikował fałszywe informacje o domniemanym przejęciu PairGain przez izraelską firmę, podnosząc cenę akcji PairGain na całym świecie i powodując spustoszenie na rynku poprzez swoje oszustwa. Chociaż nietradycyjny atak DoS, działania te uniemożliwiały użytkownikom dostęp do pożądanej witryny, z poważnymi konsekwencjami. Inny przykład miał miejsce w lipcu 1997 r., Kiedy Eugene Kashpureff złożył w InterNIC fałszywe informacje dotyczące aktualizacji DNS na ten miesiąc, zmuszając serwery nazw domen na całym świecie do rozpoznawania tymczasowych i nieautoryzowanych adresów internetowych kończących się na .xxx, .mall, .nic i. za. Kilka tygodni później Kashpureff podał fałszywe informacje, które zmusiły ludzi próbujących uzyskać dostęp do strony Network Solutions Inc., aby znaleźć się na stronie AlterNIC, której był właścicielem. W tym samym roku został aresztowany pod zarzutem oszustwa. W innym przykładzie – tym z 2000 r. – ataku na routing i DNS, RSA Security, Inc., po ogłoszeniu, że opracował metodę zwalczania hakerów Witryny, stwierdził, że użytkownicy nieświadomie byli przekierowywani na fałszywą Witrynę RSA. Oszukańcza witryna wyglądała dokładnie tak, jak oryginalna witryna RSA, ale wyśmiewała się z faktu, że hakerowi udało się osiągnąć cel DoS. Już w 1997 r. Wykryto i udokumentowano słabości dotyczące implementacji BIND w wersjach wcześniejszych niż 4.9.5 + P1. Wcześniejsze wersje buforowały fałszywe informacje DNS, gdy rekursja DNS była włączona. Luka umożliwiła atakującym wykorzystanie procesu mapowania adresów IP na nazwy hostów w tak zwanym fałszowaniu rekordów wskaźników (PTR). Ten rodzaj fałszowania zapewnia możliwość ataku DNS DoS. Ataki DNS są nadal szeroko widoczne. Wyłudzanie informacji jest formą ataku socjotechnicznego, w ramach którego użytkownicy są kierowani do fałszywych, ale wyglądających autentycznie witryn firm bankowych lub kart kredytowych i zachęcani do wprowadzania danych osobowych wykorzystywanych do kradzieży tożsamości. Gdyby jednak użytkownicy uważnie przyjrzeli się adresowi URL witryny, zaobserwowaliby podejrzany adres URL. Pharming to odmiana phishingu oparta na jakiejś formie zatrucia DNS , tak że użytkownik przechodzący do faktycznego adresu URL banku lub wystawcy karty kredytowej zostanie przekierowany na fałszywą stronę. Pojawiły się również inne warianty phishingu, takie jak spearphishing (kierowanie ataku phishingowego na określoną osobę, funkcję lub grupę), vishing (atak phishingowy za pośrednictwem sieci telekomunikacyjnej, taki jak Voice-over-IP [VoIP]), oraz wyłudzanie informacji (wyłudzanie informacji za pośrednictwem usługi krótkich wiadomości [SMS] lub wiadomości tekstowych)

Zużycie przepustowości

Zużycie przepustowości obejmuje generowanie dużej liczby pakietów kierowanych do atakowanej sieci. Takie ataki mogą mieć miejsce w sieci lokalnej lub mogą być przeprowadzane zdalnie. Jeśli atakujący ma lub ma dostęp do większej przepustowości niż dostępna ofiara, może on zalać połączenie sieciowe ofiary. Takie nasycenie może się zdarzyć zarówno w przypadku szybkich, jak i szybkich połączeń sieciowych. Chociaż można użyć dowolnego rodzaju pakietu, najczęściej są to komunikaty echa ICMP (Internet Control Message Protocol) (generowane przez pingowanie). Angażując wiele witryn w celu zalania połączenia sieciowego ofiary, osoby atakujące mogą wzmocnić atak DoS. Aby to zrobić skutecznie, atakujący przekonują system wzmacniający do wysyłania ruchu do sieci ofiary. Śledzenie intruza, który dokonuje ataku polegającego na zużyciu przepustowości, może być trudne, ponieważ osoby atakujące mogą sfałszować swoje adresy źródłowe. Jednym z bardzo częstych ataków polegających na zużyciu pasma jest atak smerfowy. Ten atak jest szczególnie interesujący (i sprytny), ponieważ wykorzystuje narzędzia znajdujące się w każdym systemie IP i zatrudnia stronę zewnętrzną, bez faktycznej kontroli nad dowolnym systemem w dowolnym miejscu. Jak widzimy

atak smurf rozpoczyna się, gdy intruz (na atakującego. com) wysyła ciąg ciąg bardzo dużych wiadomości ping do transmisji adresu IP (∗ na wystawie, reprezentujący wszystkich lub nadawany adres IP) nieświadomej strony trzeciej, stooge.com. Intruz fałszuje źródłowy adres IP wiadomości ping, przez co wydaje się, że wiadomości te pochodzą z, powiedzmy, routera w sieci docelowej, router.victim.com. Jeśli intruz wyśle ​​na przykład pojedynczy komunikat ping o wielkości 10 000 bajtów na adres rozgłoszeniowy strony pośredniej z 50 hostami, odpowiedzi zużyją 4 megabity (Mb) .3 Nawet jeśli ofiara.com ma linię T1 (z przepustowością 1,544 Mb na sekundę), atakujący może zalać linię ofiary jedynie wysyłając pojedynczy duży sygnał ping na sekundę do prawej strony. Witryna pośrednia nazywana jest z oczywistych powodów siecią wzmacniającą; zwróć uwagę, że atakujący nie musi narażać na szwank żadnych systemów. Stosunek oryginalnie przesłanych pakietów do liczby systemów, które odpowiadają, jest znany jako współczynnik wzmocnienia. Wariant ataku smerfowego nazywa się fraggle. W tym wariancie osoby atakujące wysyłają sfałszowane pakiety UDP (User Datagram Protocol) zamiast wiadomości echa na adres rozgłoszeniowy sieci wzmacniającej. Każdy system w sieci wzmacniającej z włączonym konkretnym portem adresu rozgłoszeniowego generuje duży ruch, odpowiadając na hosta ofiary; jeśli port nie jest włączony, system na wzmacniaczu sieć wygeneruje nieosiągalne wiadomości hosta ICMP do hosta ofiary. W obu przypadkach przepustowość ofiary jest zużyta. Ataki paniki na jądro nie wynikają z samego błędu programistycznego, ale z dziury w logice programu. Na przykład procesor Intel Pentium, który nie mógł poprawnie podzielić dwóch konkretnych legalnych danych wejściowych, miał wadę programistyczną. Jądro IP, które zawodzi podczas odbierania pakietu, który nigdy nie powinien wystąpić w pierwszej kolejności, jest rzeczywiście luką w logice programu, ale nie jest tym samym, co brak obsługi legalnych danych wejściowych. W tym przypadku program nie wiedział, jak z wdziękiem zawieść, gdy otrzymał nieoczekiwany sygnał wejściowy. Konkretny przykład paniki jądra występuje w jądrze Linuksa w wersji 2.2.0, gdy zamiast tego do drukowania niektórych plików podstawowych używany jest program zwykle używany do drukowania zależności bibliotek współdzielonych. W pewnych okolicznościach munmap (), wywołanie funkcji używane do mapowania i mapowania urządzeń do pamięci, zastępuje krytyczne obszary pamięci jądra i powoduje panikę i restart systemu. Są też inne przykłady tego rodzaju ataków. Atak lądowy ma miejsce, gdy sfałszowany pakiet jest wysyłany do hosta docelowego, na którym porty TCP i docelowe są ustawione na tę samą wartość, a adresy IP źródłowy i docelowy są ustawione na tę samą wartość. Ponieważ jest to mylące dla systemu operacyjnego hosta, powoduje 100% wykorzystanie procesora, a następnie zatrzymuje się. Ataki lądowe były skierowane na prawie wszystkie systemy operacyjne. Ataki łzy są również wynikiem zachowania podczas odbierania niemożliwych pakietów. Jeśli pakiet IP jest zbyt duży, aby poradzić sobie z określoną siecią, pakiet zostanie podzielony na mniejsze części. Informacje w nagłówku pakietu IP informują hosta docelowego, jak ponownie złożyć pakiet. W ataku Łzy atakujący celowo tworzy pakiety IP, które wydają się nakładać na siebie po ponownym złożeniu. To również może spowodować awarię hosta. Ataki Teardrop zostały wymierzone w systemy operacyjne Microsoft i wszystkie warianty UNIX.

Przepełnienie bufora.

Ataki związane z przepełnieniem bufora mogą być podstępne i szkodliwe. Możliwe jest wysłanie ciągu wejściowego do programu docelowego, który zawiera rzeczywisty kod i jest wystarczająco długi, aby przepełnić przestrzeń pamięci lub bufor wejściowy. Czasami ten tajny kod jest umieszczany na stosie procesów (obszar w pamięci komputera, w którym system operacyjny śledzi dane wejściowe programu i powiązany kod używany do przetwarzania danych wejściowych), a następnie kod jest przetwarzany. Przepełnienie może wystąpić, gdy dane wejściowe przepełnią swoją przestrzeń buforową i wpłyną do stosu, gdzie zastąpią poprzednie dane i adres zwrotny. Jeśli program jest napisany w taki sposób, że adres stosu wskazuje na złośliwy kod znajdujący się w buforze zwrotnym, kod jest wykonywany z uprawnieniami oryginalnego programu. Przepełnienie bufora jest wynikiem złego programowania, w którym programista nie sprawdza wielkości danych wejściowych w porównaniu do bufora wejściowego. Mimo że podstawa błędnego programowania przepełnienia bufora powinna już zostać wyeliminowana, co miesiąc pojawiają się nowe ataki związane z przepełnieniem bufora. Według stanu na styczeń 2013 r. Krajowa baza danych luk w zabezpieczeniach1 zawierała 6 273 przepełnienia bufora z łącznej liczby 64 398 luk w zabezpieczeniach – około 10 procent. Odsetek ten spada z biegiem lat; w okresie od stycznia 2010 r. do grudnia 2012 r. 1 281 z 14 510 rekordów dotyczyło przepełnienia bufora – tylko 9 procent; w przeciwieństwie do 39 822 zapisów dotyczących luk wprowadzonych przed 2010 r., 5047 (13 procent) dotyczyło przepełnienia bufora. Nie wszystkie przepełnienia bufora pozwalają użytkownikowi wstawić kod wykonywalny. Ataki DoS, takie jak ping of Death, po prostu dołączają blok danych większy niż dozwolony przez protokół IP (tj. Większy niż 65 536 bajtów). Ponieważ pakiety są podzielone na fragmenty do transmisji, udaje im się przedostać przez sieć i prawdopodobnie router i zaporę ogniową. Jednak po ponownym złożeniu w celu pakiety powodują przepełnienie bufora jądra IP i, jeśli nie są właściwie zarządzane, system ulega awarii. Innym przykładem jest stara wada Internetowych usług informacyjnych Microsoft (IIS) firmy Microsoft, którą można wykorzystać, aby umożliwić zatrzymanie usługi sieci Web. Aby to zrobić, osoba atakująca zażąda dokumentu o bardzo długim adresie URL z witryny internetowej opartej na IIS (a jak można zidentyfikować witrynę IIS? Jeśli witryna korzysta ze stron z rozszerzeniami .htm lub .asp, dobrze zgadnąć że w witrynie działają usługi IIS). Po otrzymaniu żądania nastąpiło naruszenie dostępu i serwer został zatrzymany. Mimo że Microsoft wydał łatkę na tę lukę, udane ataki trwały przez lata.

Bombardowanie E-mail (i subskrypcja e-mail)

Zamachy na e-mail i subskrypcje e-mail były jednymi z pierwszych udokumentowanych ataków DoS. Bomba pocztowa składa się z dużej liczby wiadomości e-mail wypełniających skrzynkę elektroniczną ofiary. Ogromna liczba wiadomości może wiązać połączenie internetowe, spowalniać dostarczanie poczty, a nawet przeciążać system serwerów e-mail, aż do awarii systemu. Uważa się, że większość bombardowań przez e-mail to celowe ataki niezadowolonych ludzi; konkretne cele mogą być ofiarami kogoś z określoną urazą. Na przykład makler giełdowy w San Francisco otrzymał 23 września 1996 r. 25 000 wiadomości składających się ze słowa „idiota” od konsultanta, z którym się nie zgadzał. Powódź wiadomości uniemożliwiła mu korzystanie z komputera, więc w grudniu ofiara pozwała pracodawcę sprawcy o 25 000 USD odszkodowania. W przeszłości, na przykład robaka choinkowego i robaka internetowego, DoS uważa się za przypadkowy. Pakiety bomb e-mail automatyzują proces uruchamiania i przeprowadzania ataku DoS bombardującego pocztą e-mail. Z nazwami takimi jak Up Yours, Kaboom, Avalanche, Gatemail i Unabomber, pakiety te mogą być umieszczane na serwerze sieciowym podczas ataku DoS i wykorzystywane do atakowania innych systemów. Administratorzy, którzy znają te nazwy i inne osoby, powinni regularnie skanować dyski w poszukiwaniu powiązanych nazw plików i eliminować je. Aby zabezpieczyć komputery i / lub serwery, filtry poczty i schematy wykluczające mogą automatycznie filtrować i odrzucać pocztę wysyłaną z adresu źródłowego za pomocą pakietów bomb pocztowych. Filtry poczty są dostępne dla systemów UNIX, Windows, Macintosh i Linux. Większość komputerowych systemów operacyjnych i większość dostawców usług internetowych oferuje obecnie narzędzia do filtrowania w celu wyeliminowania niechcianych komercyjnych wiadomości e-mail i innych wiadomości e-mail. Chociaż sprawcy często ukrywają swoją tożsamość i lokalizację przy użyciu fałszywego adresu, większość filtrów można ustawić tak, aby przeskanować i wyeliminować te adresy. Dzięki bombardowaniu subskrypcji e-mail, znanej również jako łączenie list, osoba atakująca subskrybuje dziesiątki list mailingowych bez wiedzy użytkownika. Na przykład ktoś, kto nazywa się „Johnny Xchaotic”, popełnił jeden z pierwszych incydentów z bombardowaniem subskrypcji. W sierpniu 1996 r. Oskarżył winę o masowy atak bombowy polegający na nieuczciwym subskrybowaniu dziesiątek ofiar setkom list mailingowych. W chaotycznym i niespójnym liście opublikowanym w Internecie wypowiedział niegrzeczne uwagi o znanych i mało znanych ludziach, których zdolność do otrzymywania sensownego e-maila została zniszczona przez tysiące niechcianych wiadomości dziennie. Dzisiaj filtrowanie pakietów ma mechanizmy wskazywania i klikania, które zapewniają automatyczne łączenie list. Użytkownik może zacząć otrzymywać setki lub tysiące wiadomości e-mail dziennie, jeśli jest połączony z zaledwie 50 do 100 listami. Po połączeniu z różnymi listami ofiara musi ręcznie wypisać się z każdej indywidualnej listy mailingowej. Jeśli atak ma miejsce, gdy ofiara jest nieobecna i nie ma dostępu do poczty e-mail, użytkownik może mieć zaległe tysiące wiadomości do czasu powrotu. Oprogramowanie serwera list nigdy nie powinno akceptować subskrypcji bez wysłania prośby o potwierdzenie do domniemanego subskrybenta; w obecnym środowisku większość serwerów list wymaga potwierdzenia od domniemanego subskrybenta przed rozpoczęciem regularnych wysyłek. Domyślnie komunikaty potwierdzające ignorują ogłoszenie, jeśli jest fałszywe. Jednak nawet ten mechanizm bezpieczeństwa może generować falę wielu pojedynczych wiadomości e-mail, jeśli bombowiec pocztowy nadużyje serwerów list. W rezultacie wiele witryn wprowadziło Całkowicie zautomatyzowany test publicznego Turinga, aby poinformować obrazy Computers and Humans Apart (CAPTCHA) o przeszkadzaniu botom, które próbują subskrybować ofiary. Mówiąc o nieobecności, wiadomości urlopowe i potwierdzenia odbioru to kolejny sposób, w jaki ludzie mogą nieumyślnie rozpocząć burzę e-mailową. Wielu użytkowników ustawia swój adres e-mail na który klienci automatycznie żądają potwierdzenia odbioru wszystkich wysłanych wiadomości. Następnie użytkownicy wyjeżdżają na wakacje i konfigurują wiadomość urlopową z automatyczną odpowiedzią. Gdy otrzymają wiadomość, klient odeśle wiadomość wakacyjną i poprosi o potwierdzenie. Z kolei otrzymane potwierdzenia generują więcej automatycznych odpowiedzi na wakacje. Kolejny wariant tej pętli informacji zwrotnej występuje, gdy pracownik wyjeżdża na urlop i przesyła wszystkie wiadomości e-mail do zewnętrznego usługodawcy internetowego, który ma lokalny numer dostępu w miejscu wakacji. Jeśli pracownik zdecyduje się nie sprawdzać poczty podczas nieobecności, albo z powodu wysokiej opłaty za dostęp lokalny, albo po to, aby nie zakłócać wakacji, skrzynka pocztowa dostawcy usług internetowych zapełni się przesłanymi wiadomościami. Jeśli skrzynka pocztowa zapełni się, dostawca usług internetowych wyśle ​​wiadomość zwrotną z powrotem do serwera korporacyjnego, który następnie przesyła wiadomość zwrotną z powrotem do dostawcy usług internetowych, który generuje kolejną wiadomość zwrotną. W końcu nawet korporacyjny serwer pocztowy zapełni się wiadomościami pojedynczej osoby, powodując DoS wiadomości e-mail.

SZCZEGÓLNE ATAKI DENIAL-OF-SERVICE.

Poniższa dyskusja opisuje niektóre konkretne ataki DoS jako przykłady ogólnych metod, które można zastosować w DoS lub DDoS. Lista nie jest wyczerpująca.

Urządzenia niszczące.

Urządzenia niszczące to programy, które dokonują nękania lub niszczenia danych. Istnieją rozbieżne opinie na temat tego, jak poważne są urządzenia niszczące, ale jeśli zagrażają one zdolności komputera lub sieci do prawidłowego i wydajnego funkcjonowania, mogą być instrumentami ataków DoS. Wirusy, bomby pocztowe i narzędzia DoS można uznać za urządzenia niszczące. W rzeczywistości wirusy i ombre poczty e-mail powodują ataki DoS. Niektóre wirusy lub inne złośliwe oprogramowanie są znane z ataków na systemy kontroli sprzętu, na przykład wykorzystujące ataki Stuxnet i Flame.

RODZAJE ATAKÓW DENIAL-OF-SERVICE.

Ataki DoS, przypadkowe lub celowe, powodują utratę usługi; system hosta lub serwera przestaje działać lub sieć staje się niedostępna. Ataki DoS są przeprowadzane celowo przez intruza (w tym kontekście termin preferowany). Zagrożone systemy i sieci nazywane są ofiarami. I chociaż ataki DoS można uruchamiać z systemu intruza, często są one uruchamiane zautomatyzowanym procesem, który umożliwia intruzowi zdalne rozpoczęcie ataku za pomocą kilku naciśnięć klawiszy. Programy te są znane jako demony i często są umieszczane w innym systemie, który haker już skompromitował. Istnieją cztery podstawowe typy lub kategorie ataku DoS:

  1. Nasycenie. Ten rodzaj ataku ma na celu pozbawienie komputerów i sieci rzadkich, ograniczonych lub nieodnawialnych zasobów niezbędnych do działania komputerów lub sieci. Zasoby tego typu obejmują czas procesora, miejsce na dysku, pamięć, struktury danych, przepustowość sieci, dostęp do innych sieci i komputery i zasoby środowiskowe, takie jak chłodne powietrze i energia.
  2. Błędna konfiguracja. Ten typ ataku niszczy lub zmienia informacje o konfiguracji w systemach hosta, serwerach lub routerach. Ponieważ słabe lub źle skonfigurowane komputery mogą nie działać lub działać nieprawidłowo, ten rodzaj ataku może być bardzo poważny.
  3. Zniszczenie. Ten rodzaj ataku powoduje fizyczne zniszczenie lub zmianę komponentów sieci. Aby zabezpieczyć się przed tego typu atakami, konieczne jest dobre fizyczne bezpieczeństwo w celu ochrony komputerów i innych elementów sieci.

4. Zakłócenie. Ten atak przerywa komunikację między dwoma urządzeniami poprzez zmianę informacji o stanie – takich jak stan połączenia wirtualnego TCP – tak, że skuteczny transfer danych jest niemożliwy.

KOSZTY ATAKÓW DENIAL-OF-SERVICE

Jakie są skutki tych ataków DoS pod względem wydajności i rzeczywistych kosztów finansowych? Trudno jest podać dokładną wartość pieniężną na ataki DoS. Ataki DoS mogą zakłócać krytyczne procesy w organizacji, a takie zakłócenia mogą być kosztowne. Gdy sieć komputerowa firmy jest niedostępna dla legalnych użytkowników i nie mogą oni prowadzić swojej normalnej działalności, wydajność spada. Negatywny efekt z pewnością przeniesie się na finansowe aspekty działalności. Jednak dokładne określenie tych efektów jest co najwyżej niepewne, a szacunki są szeroko kwestionowane, nawet wśród ekspertów ds. Bezpieczeństwa i biznesu. Ponadto wiele firm nie komentuje dokładnych strat, jakie ponoszą, ponieważ obawiają się, że negatywny rozgłos zmniejszy ich udział w rynku. Ta ostatnia kwestia jest znacząca: we wczesnych latach 90. XX w. Badanie firm z Wall Street, niektóre firmy zasugerowały, że gdyby były bez sieci przez dwa do trzech dni, nigdy nie otworzyłyby swoich drzwi. W przypadku robaka choinkowego IBM zajęło kilka dni na oczyszczenie sieci i spowodowało utratę milionów dolarów, zarówno na czyszczenie systemu, jak i na utratę działalności z powodu utraty łączności i związanej z tym wydajności. Dodatkowo doszło do zażenowania ze strony znanej firmy technologicznej IBM. Osoba, która uruchomiła robaka, została zidentyfikowana i odmówiono dostępu do dowolnego konta komputerowego, podczas gdy IBM musiał napisać list z przeprosinami do administratorów Europejskiej Sieci Naukowej i Badawczej (EARN). W 1988 r., W czasie robaka Morrisa, Internet składał się z 5 000 do 10 000 hostów, głównie w instytucjach badawczych i akademickich. W rezultacie, mimo że Morris Worm udało się zatrzymać wiele witryn i zyskał na całym świecie rozgłos, wpływ finansowy i produktywności na świat komercyjny był minimalny. Podobny incydent dzisiaj spowodowałby spustoszenie i kosztowałby dziesiątki lub setki milionów dolarów strat. Jednak w 1996 r. Komercyjne poleganie na Internecie stało się już popularne

Oczywiście, pracując przez całą dobę, zarządzanie w PANIX i Cisco, dostawcy routerów ISP, utrzymywało dostawcę usług i działało, ale sieć otrzymywała 210 fałszywych żądań na minutę. Chociaż systemy nie uległy awarii, tysiące subskrybentów nie było w stanie odbierać wiadomości e-mail. Inne strony zostały zaatakowane w tym samym czasie co PANIX, w tym Voters Telecommunication Watch. Nikt nie wziął odpowiedzialności za te ataki i powszechnie zakładano, że zostały one wywołane przez artykuły o atakach SYN DoS (patrz opis poniżej), które niedawno ukazały się w 2600 Magazine i Phrack, czasopismach poświęconych hakerom. Według Forbes, Inc. straty poniesione przez firmę z powodu ataku DoS dokonanego przez niezadowolonego byłego pracownika przekroczyły 100 000 USD. Czy można temu zapobiec? Według firmy jest to bardzo mało prawdopodobne, ponieważ Forbes nie miał powodu podejrzewać, że dana osoba trzymała w domu poufne i wrażliwe materiały firmy lub że myślał o włamaniu się do systemu komputerowego i celowym wyrządzeniu szkody. Chociaż firma miała zabezpieczenia w swoich systemach, sprawca użył hasła legalnego, autoryzowanego użytkownika. Atak DoS przeprowadzony przeciwko komputerom Departamentu Obrony w 1998 r. Udowodnił, że napastnicy mogli odmówić dostępu do ważnych informacji wojskowych. W tym konkretnym przypadku atak był skierowany przeciwko niesklasyfikowanym maszynom, które miały tylko dokumentację administracyjną i księgową, ale był to cios w zaufanie Departamentu Obrony. Związanie komputerów przez ponad tydzień prawdopodobnie zmniejszyło produktywność, ale rząd nie wypowiedziałby się na temat rzeczywistych kosztów związanych z utratą czasu pracy maszyny i produktywności personelu. Przypadki te pokazują, że atak DoS na komputer lub sieć może być katastrofalny dla organizacji. Ważne ataki powodują wyłączenie ważnego sprzętu i sieci, a nawet całej organizacji. Wczesne zdarzenia DoS często opisywano jako irytujące, frustrujące lub uciążliwe. Jednak wraz ze wzrostem wyrafinowania i zależności od sieci trudno było zachować poczucie humoru związane z takimi zdarzeniami. Zwłaszcza w korporacjach, w których misją jest generowanie zysku dla akcjonariusza, menedżerom firm coraz trudniej jest usprawiedliwić niezdolność do pracy z powodu ataku DoS lub DDoS. W miarę jak te formy ataku stają się coraz bardziej wyrafinowane, narzędzia i metody ich wykrywania i walki z nimi również muszą. Aktualne produkty skanują urządzenia i sieci w poszukiwaniu luk, uruchamiają alerty w przypadku wykrycia nieprawidłowości i często pomagają w wyeliminowaniu wykrytego problemu.

HISTORIA ATAKÓW DENIAL-OF-SERVICE.

Historycznie każdy akt, który uniemożliwiał korzystanie z systemu, można nazwać odmową usługi. Na przykład w niektórych systemach mainframe i minikomputerach wpisanie źle sformułowanego polecenia może spowodować awarię systemu; na przykład na minikomputerze HP3000 około 1982 r. użycie błędnego parametru TERMTYPE w ciągu logowania może natychmiast spowodować awarię systemu. W HP3000 wpisanie jednego lub więcej znaków w konsoli systemowej bez naciskania klawisza RETURN zablokowałoby wszystkie dalsze komunikaty systemowe w konsoli, powodując zapełnienie buforów systemowych komunikatami nie wyświetlanymi; gdy bufory systemowe (domyślnie 16) są pełne, nie może mieć miejsca żadna akcja systemowa wymagająca powiadomienia do konsoli (np. logowanie, wylogowywanie, żądania w formularzu specjalnym lub żądanie podłączenia do taśmy). Klasyczny DoS bez oprogramowania może wynikać z tego, że odkurzacz odłączy przewód zasilający od gniazdka ściennego, nie zdając sobie sprawy, że przewód zasila jedną lub więcej stacji roboczych. Skonfigurowanie trwałej blokady użytkowników po pewnej liczbie prób złego hasła (zamiast blokady czasowej) doprowadziło do DoS; złośliwi użytkownicy mogą nawet próbować zablokować rootowanie

użytkowników poprzez celowe wprowadzanie złych haseł do ich kont. Jednak takie zdarzenia były zwykle wynikiem błędów w systemie operacyjnym, niewystarczającej liczby zasobów systemowych, złego zarządzania systemem lub wypadku. Jeden z pierwszych poważnych incydentów DoS, który spowodował, że nagłówki i zmarszczki były prawdopodobnie przypadkowe. Miało to miejsce w grudniu 1987 r., Kiedy pracownik IBM w Europie wysłał świąteczną wiadomość e-mail z pozdrowieniami. Wiadomość e-mail zawierała jednak program, który narysował ładną choinkę na terminalu odbiorcy i odczytał pliki NAMES i NETLOG odbiorcy zawierające książkę adresową użytkownika, a także adresy e-mail osób, do których ten użytkownik niedawno wysłał pocztę lub otrzymano pocztę od. Program Choinka uruchomił następnie automatyczną transmisję swoich kopii na wszystkie adresy e-mail znalezione w NAMES i NETLOG – i nie zapobiegł ponownemu przesyłaniu do systemów, które już otrzymały lub wysłały powitanie. Powstała burza pocztowa przeciążyła sieć korporacyjną IBM na całym świecie i spowodowała awarię zarówno w Europie, jak i Stanach Zjednoczonych. Ponadto wiadomości uciekały z korporacyjnej sieci IBM i siały spustoszenie w sieciach edukacyjnych i badawczych BITNET / EARN w Ameryce Północnej i Europie. Chociaż pierwotnie uważano, że przyczyną awarii jest wirus komputerowy, a incydent nazwano wirusem, robakiem i dowcipem, wynik był prawdziwą odmową usługi. Być może najsłynniejszy internetowy program DoS powstał z robaka MorrisWorm, zwanego również robakiem internetowym, który został wydany w listopadzie 1988 r. Robert Cornet, absolwent Cornell, napisał artykuł o lukach w systemie Sendmail i napisał palcem na systemach UNIX w poprzednim roku . Większość społeczności TCP / IP odrzuciła luki w zabezpieczeniach jako teoretyczne; najwyraźniej Morris chciał wykazać, że luki można faktycznie wykorzystać. Aby zademonstrować problem, jego program musiał zaatakować inny system, odgadnąć niektóre hasła, a następnie zreplikować się. Morris powiedział po incydencie, że chciał, aby program replikował się tylko kilka razy, aby wykazać, że jest on prawdziwy, i dołączył kod zapobiegający szybkiemu rozprzestrzenianiu się; niestety błąd programowy spowodował, że robak replikował się często i szybko, oprócz superinfekcji już zainfekowanych systemów. Robak zatkał Internet setkami tysięcy wiadomości i skutecznie spowodował awarię całej sieci; większość witryn, które nie uległy awarii, zostały odłączone od sieci przez administratorów systemu, aby uniknąć infekcji i umożliwić dezynfekcję. Niezależnie od intencji robak Morris nieumyślnie spowodował DoS. Ponieważ administratorzy witryn nie mieli możliwości komunikowania się z innymi administratorami, a ponieważ rozwiązania, które sam Morris opublikował, nie mogły być zaufane, dużo czasu poświęcono na wyeliminowanie robaka. Jednym z rezultatów było utworzenie Centrum Koordynacji Zespołu Reagowania Komputerowego, obecnie CERT / CC, na Carnegie Mellon University. W piątek, 6 września 1996 r., PANIX, dostawca publicznego dostępu do Internetu na Manhattanie, został dotknięty atakiem DoS, który składał się z wielu wiadomości zalewających serwer ogromną ilością danych. Ataki zostały przeprowadzone na serwery poczty, wiadomości, nazwy i sieci, a także na konta użytkowników powłoki. Atakującym udało się uniknąć śledzenia, a ataki trwały kilka dni. Mniej więcej tydzień po rozpoczęciu ataków PANIX opublikował tę historię, a dziesiątki innych dostawców usług internetowych przyznało, że oni także byli ofiarami podobnych ataków. W 1997 r. Niezadowolony były pracownik Forbes, Inc. użył hasła byłego kolegi do zdalnego dostępu do systemów komputerowych firmy. Celowo majstrując przy systemie, usunął budżety i informacje o wynagrodzeniach i spowodował awarię pięciu z ośmiu serwerów sieciowych. Kiedy agenci Federalnego Biura Śledczego (FBI) złapali sprawcę, jego dom był wypełniony narzędziami hakerskimi, zastrzeżonymi informacjami z Forbes, Inc. i innymi materiałami obciążającymi. W lutym 1998 r. Hakerzy z Izraela i Północnej Kalifornii zaatakowali Departament Obrony USA (DoD). W starannie zorganizowanym ataku wykorzystującym przepełnienie bufora hakerzy systematycznie przeprowadzali atak DoS, który trwał ponad tydzień na 11 stronach DoD.

W marcu 1998 r. W całych Stanach Zjednoczonych administratorzy systemów znaleźli serwery Windows NT pod pozornie zautomatyzowanym atakiem. Systemy ulegały wielokrotnym awariom, dopóki nie zostały zaktualizowane do najnowszych poprawek firmy Microsoft. Wydawało się, że ataki, które trwały dłużej niż jeden dzień, nie spowodowały uszkodzenia pliku. Dotknięte strony obejmowały kilka NASA i inne obiekty wojskowe, a także kilka University of California i innych kampusów uniwersyteckich. Kolejna burza pocztowa wybuchła w maju 1998 r., Kiedy australijski urzędnik ustawił automatyczną odpowiedź na swój pakiet e-mail, gdy go nie było. Niestety, niechcący ustawił miejsce docelowe dla tych w większości bezużytecznych wiadomości na 2000 użytkowników w swojej sieci – i poprosił o automatyczne potwierdzenie dostarczenia każdej automatycznej odpowiedzi, która wygenerowała kolejną automatyczną odpowiedź, i tak dalej w nieskończoność. W ciągu czterech godzin jego niekończąca się pętla pozytywnego sprzężenia zwrotnego wygenerowała 150 000 wiadomości, zanim jego automatyczna odpowiedź została wyłączona. Fale trwały kilka dni, a sprawca obarczony był 48 000 wiadomościami w swoim koszyku IN i napływał strumień 1500 dziennie. Był to kolejny przypadek nieumyślnego ataku DoS. W styczniu 1999 r. Ktoś przeprowadził trwały atak DoS na Ozemail.  Usługa e-mail została zakłócona dla użytkowników w Sydney. W marcu 1999 r. Wirus / robak Melissa z obsługą poczty elektronicznej przeniósł świat w ciągu kilku dni, wysyłając swoje kopie pod pierwsze 50 adresów w książkach adresowych e-mail ofiar. Z powodu tego wysokiego wskaźnika replikacji wirus rozprzestrzenia się szybciej niż jakikolwiek poprzedni wirus w historii. W wielu systemach korporacyjnych szybki współczynnik nasyconych wewnętrznych replikacji serwerów e-mail z wychodzącymi automatycznymi wiadomościami-śmieciami. Początkowe szacunki były w zakresie 100 000 systemów zestrzelonych. Firmy antywirusowe zebrali się natychmiast, a aktualizacje wszystkich standardowych produktów były dostępne w ciągu kilku godzin od pierwszych powiadomień z CERT / CC. Wirus makr Melissa został szybko śledzony przez wirusa makr PAPA MS-Excel o podobnych właściwościach, który dodatkowo rozpoczął ataki DoS na dwa określone adresy IP. I po tym, jak cała reklama dotycząca problemów Y2K przed przełomem tysiącleci, robak ILOVEYOU, czyli list miłosny, został wydany w maju 2000 r. Robak z listu miłosnego był załącznikiem Visual BASIC do wiadomości e-mail o temacie „ ILOVEYOU. ”Ten robak wykorzystał tak zwany exploit podwójnego rozszerzenia; załącznik został nazwany LOVE-LETTER-FOR-YOU.txt.vbs, ale ponieważ jest to ustawienie defaultWindows nie wyświetla rozszerzenia, wielu (lub większość) odbiorców sądziło, że jest to nieszkodliwy plik tekstowy. Robak zmodyfikował rejestr zainfekowanego systemu, aby automatycznie uruchamiał program podczas uruchamiania systemu, zastąpił pliki pewnymi rozszerzeniami kopiami samego siebie i wysłał swoje kopie do pierwszych 50 wpisów w książce adresowej programu Outlook.