Cum se produce un atac DDoS?

       Aşa cum am menţionat, exită două abordări pentru denial-of-service: exploatând vulnerabilităţile ţintei sau trimiţând un număr foarte mare de cereri aparent legitime.

 

Primul se numeşte atac la vulnerabilităţi(vulnerability attack),


iar al doilea se numeşteatac prin inundaţie(flooding attack).

 


      Atacurile de tip vulnerability attack constau în trimitea anumitor cereri, special construite, către aplicaţia ţintă care are o vulnerabilitate.

      Vulnerabilitatea este de obicei un bug de software în implementare sau un bug în configuraţia default a serviciului. Cererile răuvoitoare de la atacator constau într-un input neaşteptat pe care programatorul aplicaţiei nu l-a prevăzut. Cererile fac ca aplicaţia ţintă să intre într-o buclă infinită, să încetinească simţitor, să distrugă, să îngheţe sau să rebuteze maşina sau să consume o cantitate mare de resurse de memorie şi serviciul să devină indisponibil utilizatorilor legitimi. Acest proces se numeşte exploatarea vulnerabilităţii, iar cererile răuvoitoare se numesc exploit(exploatatori)”.
      În unele cazuri, aceste vulnerabilităţi sunt exploatate în sistemul de operare, sau în protocolul de reţea, precum şi în aplicaţiile  programelor [1]. Asta înseamnă că fiecare vulnerabilitate identificată şi definită reprezintă o victorie şi un pas înainte pentru apărători.

Cum se produce DDoS


      Atacurile de tip flood constau în trimiterea unui număr foarte mare de cereri a căror procesare consumă din resursele-cheie ale ţintei. De exemplu, cererile complexe pot duce la o procesare extinsă dedicată ciclurilor CPU, cererile mari pot absorbi lăţimea de bandă, iar cererile care iniţiază comunicarea cu clienţii noi înghit memorie. Odată ce resursele-cheie sunt secătuite de atac, utilizatorii legitimi nu pot beneficia de servicii. Trăsătura esenţială a atacurilor flood constă în faptul că puterea lor rezidă în volum mai mult decât în conţinut.


Aceasta are două implicaţii:


a. Atacatorii pot trimite o varietate de pachete. Traficul atacului poate fi făcut, în mod voit, după asemănarea traficului legitim, ceea ce îngreunează serios apărarea.
b. Fluxul traficului poate fi atât de mare încât să epuizeze resursele ţintei. Atacatoul trebuie să folosească de regulă mai mult de o maşină pentru a a expedia un atac. Atacurile de flood sunt, astfel, mai mult atacuri DDoS.

Cea mai simplă formă de atac DDoS poate să trimită o cantitate mare de cereri, către serviciul oferit de o maşină-victimă. În afara cazului în care între maşinile atacatoare şi cele ale victimelor intervine ceva care sistează cererea pentru aceste pachete, victima îşi va folosi resursele în încercarea de a le primi şi gestiona. Dacă sunt destule, toate resursele maşinii vor fi cheltuite în încercarea de a gestiona pachete fără nici o valoare.    

Atacatorul poate, de asemenea, să ia în vizor reţeaua prin care victima se conectează la internet. Dacă atacatorul ştie că victima se conectează printr-un segment de reţea de 1 Gbps, atunci poate trimite atâtea pachete către victimă sau către alte noduri ale segmentului cât să le copleşească. Cele mai multe reţele devin nefuncţionale atunci când traficul către ele  ating capacitatea cu care au fost construite, aşa încât foarte puţin sau nici un pic din traficul legitim mai ajunge la victimă. Sub această formă a atacurilor DDoS, toate celelalte noduri ale segmentului de reţea vor suferi în acelaşi mod. Acest exemplu ilustrează o caracteristică ciudată a DoS: pagubele nu depind doar de victimă, dar şi de utilizatorii ei legitimi (care nu pot obţine serviciul) şi de oricine care foloseşte la comun resursele critice.

 

De exemplu, atacatorul poate lua ca ţintă o reţea care foloseşte acelaşi ISP cu al tău.

      
            Dacă cantitatea atacului e suficient de ridicată, şi serviciile tale vor avea de suferit.

      Atacurile descrise mai sus se bazează toate pe un volum de trafic ridicat. Atacatorul poate uneori iniţia un atac flood eficient folosind un volum mult mai mic. Dacă victima are anumite servicii în desfăşurare, referitoare la cereri pentru care se consumă mai mult timp pentru procesare decât pentru generare, care angajează resurse de pe server, atacatorul poate profita de această asimetrie. Chiar şi traficul răuvoitor de scurtă durată sau cu frecvenţă redusă poate consuma resursele critice. Un exemplu la îndemână este TCP SYN flood attack. Atacatorul îşi invadează victima cu pachete TCP SYN, care de obicei servesc la iniţierea comunicării. Victima îşi păstrează ceva memorie într-un buffer de mărime limitată, pentru orice cerere de comunicare nouă ce poate apărea, pe când atacatorul poate trimite acele cereri fără nici un cost de memorie. Această asimetrie îl ajută pe atacator să stopeze pe durata atacului orice comunicare nouă prin simpla trimitere a câtorva pachete TCP SYN.

      Această discuţie ilustreză faptul că linia de demarcaţie între vulnerabilitate şi fooding attack este foarte subţire, iar multe atacuri pot intra în ambele categorii, a vulnerabilităţii şi a flooding-ului.

 

[1] De exemplu, unele implementări ale 802.11 wireless, punctele de acces au o vulnerabilitate care îi permite unui atacator să oprească(întrerupă) serviciul în mod selectiv doar unui utilizator din reţea sau, la întâmplare, tuturor utilizatorilor. Practic, un atacator poate trimite un packet către punctul de acces în reţeaua wireless care se pretinde că vine de la un alt utilizator, iar asta indicând că utilizatorul a terminat şi vrea să „încheie convorbirea”. Punctul de acces wireless atunci nu mai recunoaşte comunicarea dinspre acel utilizator ţintă. Utilizatorul poate restabili comunicarea cu punctul de acces wireless , dar atacatorul poate proceda la fel din nou şi să îl blocheze.
Cum se produce un atac DDoS?
  • Avem nevoie de ajutorul vostru, am trimis mai multe articole, astept raspuns 1 days ago