Виды сетевых атак

ICMP Flood

На сервер-жертву посылается большое количество поддельных ICMP пакетов с широкого диапазона IP-адресов. Цель злоумышленника – заполнение канала и перегрузка сервера-жертвы потоком поддельных запросов. Учитывая, что пакеты ICMP не требуют подтверждения о получении, как TCP, “мусорный” трафик по протоколу ICMP так же тяжело выявлять, как и UDP. ICMP Flood может быть реализован с целью сбора информации о сервере (открытые порты, и адрес назначения), чтобы затем организовать узконаправленную атаку по порту или приложению.
Одним из способов защиты от ICMP Flood является запрет ICMP на пограничном маршрутизаторе, но тогда будет заблокирован и легитимный трафик, в том числе пакеты ICMP ECHO. Учитывая служебные функции протокола ICMP, его блокировка может стать причиной потерь других пакетов, нарушения связности и снижения пропускной способности каналов.

ICMP Fragment Flood

Разновидность ICMP Flood. Злоумышленник направляет на сервер-жертву поток фрагментированных ICMP пакетов максимального размера. В результате, кроме занятия полосы “мусорным” трафиком, возникает опасность исчерпания вычислительных ресурсов сервера во время накопления и обработки поддельных фрагментов.
Рекомендуемые методы борьбы такие же, как и при обычном ICMP Flood.

UDP Flood

Во время UDP Flood сервер-жертва получает огромное количество UDP пакетов в единицу времени от широкого диапазона IP-адресов. Сервер-жертва или сетевое оборудование перед ним оказывается переполненным поддельными UDP пакетами. Атака провоцирует перегрузку сетевых интерфейсов путем занятия всей полосы пропускания.
В протоколе UDP нет понятия об установлении соединения (handshake), как в TCP. Это делает фильтрацию UDP Flood с сохранением легитимного UDP-трафика крайне сложной задачей, а также эффективным средством для переполнения канала. UDP Flood поражает сеть пакетами, содержащими случайные или статические IP-адреса, и может быть реализован с целью выведения из строя сервера, используя информацию о нем, такую как целевой порт легитимного сервиса и IP-адрес назначения. Из-за наличия сложностей проверки UDP трафика (отсутствие механизма проверки сессии как с TCP), многие операторы связи предлагают своим клиентам блокировку трафика по различным критериям, что является по сути спасением сети за счет блокировки отдельных серверов.
Единственным верным средством для борьбы с UDP Flood является прием всего объема атакующего трафика и его детальный анализ. Учитывая, что объемы атаки могут достигать сотен Гбит/с, для того, чтобы хотя бы принять такой объем трафика, необходимы каналы соответствующей емкости, не говоря о вычислительных мощностях, необходимых для его обработки и очистки.

WinNuke

Относится к удаленной атаке типа «отказ в обслуживании» (DoS), которая затронула компьютерные операционные системы Microsoft Windows 95 , Microsoft Windows NT и Microsoft Windows 3.1x . Эксплойт послал строку OOB (вне диапазона) данных на целевой компьютер на TCP порт 139 ( NetBIOS ), заставляя его запереть и отображать синий экран смерти . Это не повредит и не изменит данные на жестком диске компьютера, но все несохраненные данные будут потеряны.

TCP Port scan

Сканер портов — разработан для поиска хостов сети, в которых открыты нужные порты. Эти программы обычно используются системными администраторами для проверки безопасности их сетей и злоумышленниками для взлома сети. Может производиться поиск как ряда открытых портов на одном хосте, так и одного определённого порта на многих хостах. Последнее характерно для деятельности ряда сетевых червей.Сам процесс называется скани?рованием портов или (в случае, когда осуществляется проверка многих хостов) сканированием сети?. Сканирование портов может являться первым шагом в процессе взлома или предупреждения взлома, помогая определить потенциальные цели атаки. С помощью соответствующего инструментария путём отправления пакетов данных и анализа ответов могут быть исследованы работающие на машине службы (Web-сервер, FTP-сервер, mail-сервер, и т. д.), установлены номера их версий и используемая операционная система.

SYN Flood

Клиент генерирует SYN-пакет, запрашивая новую сессию у сервера. Поскольку TCP сессия открыта (алгоритм “трехэтапного рукопожатия TCP” исполнен), хост будет отслеживать и обрабатывать каждую пользовательскую сессию, пока она не будет закрыта.

Во время SYN Flood атакуемый сервер с большой скоростью получает поддельные SYN-запросы, содержащие поддельный IP-адрес источника. SYN-флуд поражает сервер, занимая всю память таблицы соединений (Transmission Control Block (TCB) table), обычно используемую для хранения и обработки входящих пакетов. Это вызывает критическое падение производительности и, как итог, отказ в работе сервера.
Существует несколько механизмов защиты, которые могут частично обезопасить от SYN Flood:
– Ограничение микро-блоков: являясь администратором, Вы можете ограничить размер памяти сервера для каждого водящего SYN-пакета;
– SYN-куки (SYN-Cookie): используя криптографическое хэшировние, сервер отправляет SYN-ACK ответ с номером последовательности, которая составлена из IP-адреса клиента, номера порта и другой уникальной информации, идентифицирующей клиента. Когда клиент отвечает, этот хэш уже включен в ACK-пакет. Далее сервер проверяет ACK и, в случае успешной проверки, ему остается только выделить память для соединения. Для использования этого механизма необходимо, чтобы его поддерживали все сервера, участвующие в обмене трафиком;
– Настройка стэка: в качестве одной из временных мер можно настроить стэк TCP, уменьшив тайм-аут освобождения памяти, выделенной для соединения, а также тайм-аут блокировки входящих соединений. Но у этих настроек могут быть побочные эффекты в виде потери части легитимных соединений из-за задержек и нестабильных каналов.

SYN-ACK Flood

В обычном режиме принимающий сервер генерирует SYN-ACK пакеты в ответ на входящий SYN запрос. Во время атаки типа SYN-ACK Flood атакуемый сервер оказывается “заваленным” поддельными SYN-ACK пакетами, поступающими в большом количестве. Пытаясь принять решение по каждому SYN-ACK пакету и сопоставить его с одной из записей, хранящихся в таблице соединений, сервер-жертва выделяет вычислительные ресурсы (ОЗУ, процессора и пр.) для обработки потока поддельных SYN-ACK пакетов.
В итоге происходит то же, что и во время SYN-флуда: перегрузка сервера-жертвы, ведущая к его частичной или полной недоступности. Возможные способы защиты от атак типа SYN-ACK флуд в общем случае аналогичны механизмам защиты от SYN Flood. Важно понимать, что для успешной борьбы с SYN-ACK Flood фильтрующему оборудованию для принятия решения необходима информация об исходящих от сервера-жертвы TCP-сессиях.

IP bock fragment

Процесс разделения одного пакета IP на несколько пакетов меньшего размера. Каждое звено сети имеет характерный размер сообщений , которые могут быть переданы, называется блоком максимального пропускания (MTU).Часть пакета TCP / IP – это Интернет-протокол (IP), который находится на Интернет-уровне этой модели. IP отвечает за передачу пакетов между конечными точками сети. IP включает в себя некоторые функции, которые обеспечивают базовые показатели отказоустойчивости (время жизни, контрольная сумма), приоритезация трафика (тип службы) и поддержку фрагментации больших пакетов на несколько меньших пакетов (поле идентификатора, смещение фрагмента). Поддержка фрагментации пакетов большего размера обеспечивает протокол, позволяющий маршрутизаторам фрагментировать пакет на пакеты меньшего размера, когда исходный пакет слишком велик для поддерживающих кадров канала передачи данных. Эксплойты (атаки) фрагментации IP используют протокол фрагментации внутри IP в качестве вектора атаки.

Ping Of Death

Смертельный пинг (Ping of Death) – DDoS-атака, при которой злоумышленник предпринимает попытки завершить работу системы, дестабилизировать или заморозить целевой компьютер или службу, отправляя неправильно сформированные или пакеты большого размера с помощью простой команды пинг. Эта атака на целевую систему, известная как серия пингов, распространяется с помощью пакетов ICMP, которые быстро отправляются с помощью пингов без ожидания ответов.Обычный эхо-запрос имеет длину 64 байта (плюс 20 байт IP-заголовка). По стандарту IPv4 (четвёртая версия интернет протокола), суммарный объём пакета не может превышать 65 535 байт. Многие ранние компьютерные системы просто не могли обрабатывать большие пакеты и зависали в случае их получения.Поскольку отправка пинг-пакета размером более 65 535 байт нарушает Интернет-протокол, злоумышленники обычно отправляют искаженные пакеты фрагментарно. Когда атакуемая система пытается повторно собрать фрагменты пакетов, размер пакета получается слишком большим. Это вызывает переполнение памяти и приводит к различным системным проблемам, включая сбой.Подобные атаки были особенно эффективными, поскольку личность злоумышленника легко можно было скрыть. Более того, для осуществления атаки злоумышленнику не нужно было никаких особых знаний об атакуемой компьютерной системе, кроме ее IP-адреса.

ACK Flood fragment

Разновидность ACK и PUSH ACK Flood. При фрагментированном ACK Flood используются пакеты максимально допустимого размера (например, 1500 байт) для заполнения значительной полосы пропускания канала при относительно небольшом количестве передаваемых пакетов. Фрагментированные ACK пакеты обычно легко проходят через роутеры, списки доступа (ACL), файрволлы и системы предотвращения вторжений, т.к. эти устройства не пересобирают фрагментированные пакеты на сетевом уровне.
Как правило, такие пакеты содержат случайные данные. Поскольку целью злоумышленника является заполнения всей полосы пропускания внешних каналов сети жертвы, данный вид Flood снижает производительность всех серверов в атакуемой сети. Возможные способы защиты от атак типа ACK/PUSH ACK Flood в общем случае аналогичны механизмам защиты от SYN Flood

Источник: m.vk.com

Комментарии: