6.1.4 Отказ от обслуживания

• Сетевая связанность

• Пропускная способность сети

• Другие атаки использования ресурсов

• Распределённая атака «отказ в обслуживании»

• Предотвращение

В феврале 2000, по пяти популярным сайтам мира прошли атаки DoS [отказ обслуживания], включая Amazon, Yahoo! и eBay. Yankee Group оценила, что эти атаки стоили индустрии 1.2 миллиарда долларов. [InfoWorld, NETstatistica]

В атаке отказа обслуживания (DoS) целью атакующего было исчерпать системные ресурсы, такие как сетевая связанность и пропускная способность сети, для того чтобы воспрепятствовать передаче данных и обработке. Эта атака характеризовалась следующим:

• Сбой сетевой связанности и Интернет-сервисов

• Сбой сервисов конкретных систем или пользователей

• Расход (непроизводительный) других ресурсов компьютерных систем.

Сетевая связанность

Чтобы ограничить сетевую связанность атакуемой машины, злоумышленник может инициализировать полиприсоединение к целевой машине. Атакуемая машина начинает процесс соединения и ждет, пока будет завершено фальшивое подключение злоумышленника. Пока она ждет, блокируются другие законные подключения. Это нападение может быть запущено и через dial-up-модемное соединение против высокоскоростной сетевой системы.

Пример этого вида атаки Лавинная атака SYN.

Пропускная способность сети

Одним из общих нападений, целью которых является ограничение пропускной способности системы, является генерация чрезмерного количества трафика в этой сети. Это нападение также известно как сетевое наводнение (network flooding). Пример такого нападения – Smurf attack. Нападение Smurf выполняется, используя команду Ping. (Вы можете выполнить запрос Ping, обращаясь к консоли (Command console) и набирая "ping [IP-адрес или имя хоста]". Машина, которую вы запинговали, отвечает, посылая эхо сообщение обратно на ваш компьютер).

В нападении Smurf, злоумышленник посылает ping команды неоднократно, используя адрес жертвы в качестве адреса возврата. Когда команда Ping выходит на множество узлов в локальной сети целевой системы, все машины, получающие запрос, будут отвечать жертве на каждую команду Ping. Это вызывает затопление сети целевой системы пинг ответами. При определенном количестве пакетов, сеть «затопляется», атакуемый узел становится недоступным для получения или отбора траффика. Его услуги становятся недоступными.

Схема внизу иллюстрирует Smurf атаку

Схема 1. Smurf-атака

Другой источник атаки использования ресурсов

Злоумышленник, возможно, также пытается остановить систему, атакуя другие компоненты, в том числе циклы ЦП, память и дисковое пространство, используя вредоносные программы. Вызовы вирусов, червей и Троянских коней – это программы. Выполнение этих программ потребляет циклы ЦП, память и дисковое пространство. Эти вредные программы могут копировать себя неоднократно, чтобы исчерпать ваши циклы ЦП, память и дисковое пространство.

Другой способ захватить дисковое пространство - Рассылка спама (spam) на почтовый сервер, генерация чрезмерного количества почтовых сообщений. Например, когда 80% памяти почтовой системы заполнены спамом с навязчивой рекламой, дисковое пространство для запоминания законной электронной почты будет ограничено. Самозванец может также изобрести пути заставить систему генерировать сообщения об ошибке, которые нужно периодически записывать на диск. Когда данные беспрерывно и без ограничений записываются на диск, система в конечном счете заполнит все дисковое пространство и станет не в состоянии выполнять другие функции.

Есть множество способов, которые может использовать злоумышленник, чтобы исчерпать системные ресурсы. Скорость и влияние атак может возрастать экспоненциально, когда используется множество компьютеров для атаки.

Распределённая атака типа «отказ в обслуживании» (Distributed Denial of Service Attack - DDoS )

Распределённая атака типа «отказ в обслуживании» (DDoS) может быть более разрушительной чем DoS атака. DoS атака обычно запускается, используя множество компьютеров для атаки на компьютер-жертву. При атаке DdoS злоумышленник использует несколько «захваченных» компьютеров для работы в качестве центров управления, называемых "handlers" ("манипуляторы") или "masters" ("мастера"). Он также устанавливает "агентов" ("agents" ), часто посредством Троянской программы, которые выполняются на других захваченных компьютерах. Эти агенты также называются "зомби" или "рабы." ("zombies" or "slaves." ) Каждый компьютер-обработчик управляет группой компьютеров-агентов. Злоумышленников, использующих DdoS атаки, определить труднее, потому что при этом вовлечено больше компьютеров и тактика агента-обработчика добавляет увеличивает сложности при отслеживании злоумышленника, инициализировавшего нападение.

Для инициализации DdoS-нападения, каждый компьютер-обработчик управляет компьютерами-агентами, для того чтобы «затопить» целевую систему, одновременно посылая пакеты данных к атакуемой системе. Когда сетевая пропускная способность целевой системы исчерпана, законный сетевой траффик перестанет проходить, делая сеть быть недоступной. При соединении с сетью для нападения на другие компьютерные системы ваш компьютер может использоваться или как компьютер-обработчик или как компьютер-агент. Эти нападения могут быть использованы на главных сайтах электронной коммерции, например Yahoo.com и eBay.com.

Прочитайте историю "Cyber assaults hit Buy.com, eBay, CNN and Amazon".

Внизу – иллюстрация DdoS атаки.

Рисунок 2. DDoS атака.

Предотвращение

• Отключить или заблокировать все неиспользуемые сетевые сервисы.

• Отследить деятельность вашей системы и установить базовые линии для обычной деятельности. Использовать базовую линию для оценки необычных уровней активности диска, процессора и сетевого трафика.

• Повседневно проверять физическую безопасность по отношению к текущим нуждам (например, серверы, роутеры, необслуживаемые терминалы, сетевые точки доступа).