Примером такого чрезмерного потребления ресурсов являются DoS-атаки (Denial-of-Service - Отказ-в-обслуживании). Для DoS атаки характерно приведение сетевого или иного ресурса в такое состояние, когда он не может обрабатывать запросы легальных пользователей. Вариантов проведения такой атаки множество. Самыми популярными являются наводнение (flood) сети пакетами различных протоколов (например, ICMP, UDP или TCP), в результате которого почти все вычислительные и сетевые ресурсы уходят на создание бесполезных ответов или сессий.
ICMP – протокол обмена управляющими сообщениями. Протокол сетевого уровня, позволяет маршрутизатору сообщить конечному узлу об ошибках, с которыми машрутизатор столкнулся при передаче какого-либо IP-пакета от данного конечного узла.
UDP – протокол доставки пользовательских дейтаграмм. Протокол транспортного уровня, осуществляет передачу данных между прикладными процессами без гарантий доставки, поэтому его пакеты могут быть потеряны, продублированы или прийти не в том порядке, в котором они были отправлены.
TCP – протокол надежной доставки сообщений. Протокол транспортного уровня, обеспечивает надежную транспортировку данных между прикладными процессами путем установления логического соединения.
Долгое время стандартным вариантом реализации атаки методом наводнения была атака типа «один-к-одному» или «один-ко-многим», т.е. один атакующий производил атаку на один или несколько узлов. Для реализации DoS атаки ему нужно было иметь достаточно скоростной канал. Т.е. если пропускная способность канала злоумышленника оказывалась меньше, чем канала жертвы (или возможностей сервера жертвы отвечать на запросы нарушителя), то такая атака в большинстве своем оказывалась нерезультативной. Да и найти злоумышленника, так же как и защититься от подобной атаки, было намного легче, поскольку она велась из одной точки.
Ситуация начала меняться в 1998 году, когда появились первые DDoS -средства («D» - Distributed (Распределенные)) и были проведены первые распределенные атаки. С появлением подобных средств изменилась сама концепция проведения атак и многие средства обнаружения атак оказались бессильны. Вместо старого отношения «один-к-одному» и «один-ко-многим» новые атаки уже имели отношение «многие-к-одному» и «многие-ко-многим».
Ко всему прочему, атаки стали 3-х уровневыми. Рассмотрим стандартную модель DDoS атаки.
«Мастеров» обычно несколько и их стараются разместить на машинах с большим трафиком. Например, на серверах имен (DNS) провайдера. Такие серверы имеют достаточно широкий канал в Internet, и небольшое увеличение передаваемой/принимаемой информации остается незаметным. Еще одним из важных моментов является то, что такие серверы не должны выключатся ни на минуту, а для удаления «мастера» зачастую необходима перезагрузка компьютера.
После того, как установлены один или несколько «мастеров» наступает момент установки «демонов». «Демон» – это обычная программа типа «троянский конь», которая устанавливается на чужую машину. После установки на машину «демон» связывается с одним из «мастеров» и получает от него команды. Помимо списка атакуемых узлов, «демон» может получить адреса новых «мастеров», время начала DDoS атаки и т.д.
Такая структура создает множество проблем. Теперь для того чтобы прекратить атаку необходимо нейтрализовать большинство «демонов». Проблема состоит в том, что каждый исполнитель (компьютер, на котором установлен «демон») ничего не знает о других. Единственно возможным вариантом является перехват управления над «мастером», но в новых версиях «демона», для проведения распределенных атак, он («демон») после начала атаки может более не подчиняться командам «мастера». Это увеличивает вероятность успешного проведения атаки, но есть и недостаток для хакера, так как в этом случае он не сможет повторно использовать эту сеть «демонов» для новой атаки.
Учитывая, что атака происходит одновременно с нескольких тысяч компьютеров, для реализации атак типа «flood» больше не нужно наличие высокоскоростного канала. Достаточно обычного модемного соединения.
К тому же, большинство межсетевых экранов не могут самостоятельно блокировать адреса, с которых идет атака. И если в случае обычной DoS атаки было достаточно добавить одно правило фильтрации пакетов межсетевым экраном, то в случае распределенных атак таких правил должно быть несколько тысяч. Кроме того, многие межсетевые экраны просто не в состоянии обработать такое количество правил.
Можно, конечно, просто перекрыть весь атакующий трафик (например, ICMP), но многие разновидности DoS-атак позволяют использовать одновременно несколько типов атак, в том числе и на различные протоколы. Не следует так же забывать, что многие средства для проведения DDoS атак позволяют производить подмену IP-адреса, и межсетевой экран с фильтрацией по IP-адресу просто бесполезен.
На сегодняшний день не существует эффективных мер по защите от атак такого типа. То, что вы исключите возможность проникновения «демонов» на вашу машину не гарантирует того, что другие пользователи сделают то же.
В общем случае, целью атак на доступность могут стать любые ограниченные ресурсы, будь то количество одновременных подключений к компьютеру или число попыток входа в систем у. Например, если в вашей сети установлено ограничение на 5 попыток неправильного ввода пароля с последующей блокировкой учетной записи до принудительного разблокирования её администратором, то в таком случае злоумышленник может провести DoS атаку на учетные записи и в результате вы получите множество заблокированных учетных записей, для разблокирования которых необходимо вмешательство администратора.
Для выведения систем из штатного режима эксплуатации могут использоваться и уязвимые места в виде программных и аппаратных ошибок. Например, известная ошибка в процессоре Pentium I давала возможность локальному пользователю путем выполнения определенной команды "подвесить" компьютер, так что мог помчь только аппаратный RESET.
Дата добавления: 2014-12-19; просмотров: 101 | Поможем написать вашу работу | Нарушение авторских прав |