Принципи на DoS атаки и защита срещу тях, За системен администратор

Принципи на DoS атаки и защита срещу тях

Самото име - DoS атака означава Отказ от услуга (Denial of Service). За да откриете и премахнете DoS атака, трябва да знаете как работи, нека да разберем.

DoS атаката може да бъде извършена по два начина: първият е чрез използване на уязвимост в софтуера, а вторият е чрез изпращане на голям брой пакети към атакувания сървър.

В първия случай уязвимостите в софтуера могат да се използват за извършване на DoS атака, например грешка „препълване на буфера“: когато вътрешният буфер на програмата препълни, тя може да изпрати изходния код, който извършва DoS атаката, на сървъра, т.к. DoS атаката ще бъде извършена на самия сървър, след което 1-5 минути след началото на DoS атаката сървърът ще бъде изваден от интернет или „замразен“. Във втория случай трябва да знаете поне минималното ниво на TCP/IP стека, но аз ще се опитам да обясня някои принципи за провеждане на DoS атака с помощта на този стек. Когато сървърът получи пакет с данни, той се обработва, но ако сървърът е зает да получава или обработва друг пакет, вашият пакет се поставя на опашка и естествено заема част от ресурсите на сървъра. По време на DoS атака, без да се чака отговор от сървъра, към него се изпращат голям брой пакети с определен размер.В резултат на това по-голямата част от ресурсите на сървъра са заети и сървърът е претоварен с излишна информация и или прекъсва връзката с интернет (с помощта на специален софтуер, който контролира мрежовия трафик), или (ако такъв софтуер не е инсталиран) „замръзва“. Този вид атака е най-опасната, т.к. след прилагането му цялата подмрежа ще бъде повредена. Тъй като е необходима висока скорост за извършване на висококачествена DoS атака, хакерите измислиха достасложни методи, ето някои от тях:

  1. Използване на скоростта на вече хакнат сървър и провеждане на DoS атака с него.
  2. Използване на много персонални компютри (обикновено това се случва, ако една хакерска група иска да „напълни“ вражеския сървър).
  3. И още един доста сложен, но работещ начин: IRC ботовете се поставят на всеки сървър, когато собственикът влезе в IRC канала и даде команда, например „атакувай 195.168.227.34″, тогава всеки от ботовете започва да изпраща огромен брой малки пакети. Тъй като тук участват няколко бота едновременно, скоростта на сървъра, на който се намират ботовете, може да бъде по-малка от скоростта на жертвата. Сега нека разгледаме DoS атака на персонални компютри, такава атака обикновено се нарича WinNuke или Nuke атака.

Атаката на WinNuke се основава на софтуерен бъг в операционната система Windows 95.98. Такава атака се извършва на порт 139 или 135 (NetBIOS протокол). Но за съжаление (или може би за щастие) дните на WinNuke свършиха. Но въпреки това все още можете да атакувате компютъра на някой друг с WinNuke, но само ако скоростта на вашия интернет е няколко пъти по-висока от скоростта на жертвата или ако жертвата „седи с неподправен Windows 98, добре, или с Windows 95“.

Нека обобщим резултатите от атаката: Много по-добре и по-бързо е да извършите DoS атака, използвайки грешки в сървърния софтуер. Също така е възможно да се извърши DoS атака с помощта на хакнат сървър или IRC ботове. Сега няколко думи за откриването и защитата срещу DoS атаки. За домашния потребител ще бъде достатъчно да инсталира FireWall на портове 139 и 135, но сървърът ще трябва да направи много повече, за да се защити от атаки от този вид. Ето какво трябва да направи сървърът:

  1. Постоянно следете софтуерните актуализации и откривайте нови „дупки“ в софтуера, който използвате.
  2. Координирайте се с вашия интернет доставчик и задайте лимит на входящия трафик.
  3. Бъдете готови по всяко време да отблъснете DoS атака и да вземете необходимите мерки за отстраняване на последствията от нея.
  4. Сканирайте всички компютри в мрежата, като те са по-често хакнати от самия сървър.
  5. Затворете неизползваните и ненужни портове.
  6. Инсталирайте FireWall, за предпочитане FireWall-1. почти всички хакери се опитват да го заобиколят поради инспекция на многопротоколни пакети с така нареченото състояние на протокола (SMLI).

Това са само най-важните аспекти, които ще ви помогнат да защитите мрежата си от DoS атаки.