Крапкові атаки і їхні сценарії
У цей час найпоширенішими є крапкові атаки типу Do{Denial of Service) і розподілені атаки DDo{Distributed Do), спрямовані на відмову в обслуговуванні мережних запитів. Атаки Do відрізняються від комп'ютерних атак інших типів. Вони не призначені для одержання доступу до атакує сети, що, або для добування із цієї мережі якої-небудь інформації. Атака Do робить об'єкт нападу недоступним для звичайного використання за рахунок перевищення припустимих меж функ ционирования мережі, операційної системи або додатка. У випадку використання деяких серверних додатків (таких як Web- або FTP-сервер) атаки Do можуть полягати в занятті всіх з'єднань, доступних для цих додатків, і тримати їх у зайнятому стані, не допускаючи обслуговування звичайних користувачів.
Тяким образом, атака Do порушує або повністю блокує обслуговування легітимних користувачів, мереж, систем або інших ресурсів. DoS-атака ставиться до крапкового (зосередженим), тому що надходить із одного джерела (крапки). У випадку розподіленої DDoS-атаки, напад здійснюється з безлічі джерел, розподілених у просторі й найчастіше приналежним різним мережам.
Більшість атак Do опирається не на програмні помилки або пролому в системі безпеки, а на загальні слабості системної архітектури. Деякі атаки зводять до нуля продуктивність мережі, переповняючи її небажаними й непотрібними пакетами або повідомляючи помилкову інформацію про поточний стан мережних ресурсів.
Насичення пропускної здатності.Найбільш підступною формою DoS-атак є насичення пропускної здатності {bandwidth consumption). По суті, зломщики можуть заповнити всю доступну смугу пропущення певної мережі. Це можна здійснити й у локальній мережі, однак найчастіше зловмисники захоплюють ресурси удаленно. Для реалізації такої атаки використається два сценарії.
Сценарій 1. Зломщик може наситити мережне підключення цільової системи, скориставшись більше широкою смугою пропущення власної системи. Такий сценарій цілком можливий, якщо зловмисник має мережне підключення типу Т1/Е1 (1,544 / 2,048 Мбит/с) або більше швидким, і лавинно заповнює мережне з'єднання із пропускною здатністю 56 або 128 кбит/с. Цей тип атак не обмежується можливістю застосування до низкоскоростным мережних з'єднань. На практиці зустрічалися ситуації, коли зломщики одержували доступ до мереж зі смугою пропущення більше 100 Мбит/с. Для атаки на Web-вузол і насичення його каналу зломщикові досить мати канал Т1 або Е1.
Сценарій 2. Зломщик підсилює атаку Do, втягуючи в процес насичення цільового мережного з'єднання кілька вузлів. Використовуючи інші вузли для посилення атаки Do, зловмисник, маючи апаратури з невисокою швидкістю передачі, може наситити пропускну здатність навіть 100 Мбит/с.
Захват системних ресурсів.Атака, що приводить до недоліку ресурсів {resource starvation), відрізняється від попередньої атаки тим, що вона спрямована на захвата системних ресурсів, таких як центральний процесор, пам'ять, диски або інші системні процеси. Найчастіше зломщик має легітимний доступ до обмеженої кількості системних ресурсів. Однак він уживає спробу захопити й додаткові ресурси. Внаслідок цього система або законні користувачі будуть випробовувати недолік у спільно використовуваних ресурсах. Атаки такого типу звичайно приводять до неприступності ресурсу, і отже, до краху системи, переповненню файлової системи або зависанню процесів.
Помилки програмування(programming flaw) полягають у нездатності додатка, операційної системи або логічної схеми обробляти виняткові ситуації. Звичайно ці ситуації виникають при передачі уразливому елементу несанкціонованих даних. Зломщики, багаторазово передаючи пакети, у яких не враховуються рекомендації документів RFC, намагаються визначити, чи здатний мережний стек упоратися із цими виключеннями або це приведе до паніки ядра (kernel panic), або краху всієї системи. Для певних додатків, яким потрібні користувальницькі вхідні дані, зломщики будуть передавати строкові дані довжиною в тисячі рядків. Якщо програмою використається буфер фіксованої довжини, скажемо, 128 байт, то зловмисники спробують згенерувати умову переповнення буфера й викликати крах додатка. Іноді зломщики можуть також змусити процесор виконати привілейовані команди. Сумно відома атака за назвою Pentium fOOf ґрунтувалася на тім, що користувальницький процес, виконавши некоректну інструкцію 0xf00fc7c8, приводив до краху будь-якої операційної системи.
Атаки на маршрутизатори й сервери DNS.Атаки Do на маршрутизатори полягають у зміні або внесенні нових записів таблиці маршрутизації, що приводить до припинення обслуговування легітимних систем або мереж. Більшість протоколів маршрутизації, такі як PJP версії 1 (Routing Information Protocol) і BGP (Border Gateway Protocol), не мають взагалі або використають слабкі алгоритми аутентификации. Це надає зловмисникам можливість змінювати маршрути шляхом вказівки помилкових IP-адрес. У результаті таких атак трафик цільової мережі маршрутизируется через мережу зломщика або в неіснуючу мережу.
Атаки Do, спрямовані на сервери DNS, також є досить чутливими. Більшість таких атак приводить до кэшированию на цільовому сервері фіктивних адрес. Коли сервер DNS виконує зворотний пошук, зломщик може перенаправляти його на необхідний вузол або в деяких випадках в "чорну діру". Існують кілька типів подібних атак, які приводять до того, що більші вузли протягом тривалого часу виявляються недоступними.
Атаказа допомогою переповнення пакетами SYN.Перше ніж атака Smurf не стала такий популярної, найбільш руйнівної вважалася атака SYN Flood, що використає переповнення сервера пакетами SYN. Як уже згадувалося в розділі 4, ініціалізація з'єднання TCP являє собою процес, що складається із трьох кроків (малюнок 18.2). У звичайній ситуації пакет SYN відсилається з певного порту станції А на конкретний порт станції Б, що перебуває в стані очікування запиту з'єднання LISTEN (Слухає). Після прийому пакета SYN система Б передає станції А пакет підтвердження синхронізації SYN/ACK. У цей момент потенційне з'єднання системи Б переходить у стан SYNRECV - очікування прийому пакетів-квитанції від станції А. Якщо процес проходить нормально, станція А передає назад пакет АСК і з'єднання переходить у стан ESTABLISHED (Створене).
Мал. 18.2 - Процедура узгодження параметрів при встановленні Тср-з’єднання.