DoS (Denial of Service) angrep

Vi må alltid være oppmerksomme på de forskjellige datamaskinangrepene vi utsettes for. Denne gangen skal vi snakke om a datamaskinangrep som angriper tilgjengeligheten av en tjeneste, Det handler om DoS (Denial of Service) angrep. Dette angrepet kan utføres på en distribuert måte (DDoS), vil det normalt bli utført gjennom et Botnet. Angriperne har som mål at brukerne av en tjeneste ikke kan bruke den, fordi den er mettet, sikkert du har hørt om angrepene som PlayStation Network har lidd, det er til og med mulig at du på grunn av et av disse angrepene en dag ikke kunne spille på nett.

Du har kunnet se at DoS -angrep og DDoSEn forskjell vi finner mellom ett angrep og et annet er at i det første bruker vi en maskin og en tilkobling, og i den andre vil mange datamaskiner bli brukt, så angrepet er mye vanskeligere og mer effektivt.

MerkFor å forstå angrepet godt, er det nødvendig at du vet hvordan TCP / IP fungerer, eller i det minste har grunnleggende forestillinger om nettverk.

Ulike måter å utføre angrepet på


For å lære sikkerhet og for å kunne beskytte deg selv, er det nødvendig å vite hvordan angrep utføres. I dette angrepet kan vi se at det kan utføres på mange måter, her er noen av dem, med en kort forklaring:

SYN FloodDette angrepet består av å sende tilkoblingsforespørsler (pakker med aktivt SYN -flagg) til offeret fra falske kilde -IP -adresser, som vil svare med pakker som inneholder ACK- og aktive SYN -flagg, og vil vente på at tilkoblingens opprinnelse skal svare med ACK flagg satt, men dette vil aldri skje.

ICMP -flomI denne typen ønsker angriperen å forbruke offerets båndbredde ved å sende mange store ICMP -pakker, dette er gjennom pinging.

UDP -flomHer vil det bli opprettet store mengder UDP -pakker, som vil bli sendt til offeret ved tilfeldige porter.

BufferoverflytType "klassisk" angrep, angriperen vil sende offeret flere pakker enn tjenestebufferen kan håndtere, dette får tjenesten til ikke å svare på legitime forespørsler, da den er mettet.

Det er flere typer, som f.eks HTTP -flom, NTP -forsterkning, etc.

Eksempel på DoS -angrep i Python


Nå skal vi se et lite kodeeksempel i Python som vil være basert på SYN -flomangrepet, testen vil bli utført på en kontrollert måte med virtuelle maskiner.
 import logging logging.getLogger ("scapy.runtime"). setLevel (logging.ERROR) fra scapy.all import * conf.verb = 0 host = "192.168.56.1" port = 80 originIP = "192.168.1." endIP = 10 packet_number = 0 while True: packet_number + = 1 packet = IP (src = (sourceIP + str (endIP)), dst = host) / TCP (sport = RandShort (), dport = port) send (packet, inter = 0,0002) print ("Pakke% d sendt"% pakke_nummer) endIP + = 1 hvis (endIP == 200): endIP = 10
Koden er ganske enkel, vi bruker versjon 3 av Python, og vi bruker Scapy -biblioteket, som er veldig kraftig og gjør ting lettere for oss.

Det første vi ser er å importere de nødvendige bibliotekene, registret brukes for å unngå advarselen som Scapy lanserer på IPv6. Deretter brukes den conf.verb = 0, gjøres dette slik at Scapy ikke viser informasjon.

Deretter opprettes variabelen vert, som ikke er mer enn IP -en til målet for angrepet vårt og variabelen havn som er porten til målet vårt.

Slik at det ikke alltid er den samme kildeadressen, har jeg laget en variabel som har basen (opprinnelseIP) og en annen som vil bli lagt til på slutten (endIP), som du kan se, henger de sammen når du lager pakken originIP + str (endIP).

Variabelen pakke_nummer den brukes ganske enkelt til å holde oversikt over pakkene som er sendt.

Den siste delen er en uendelig sløyfe, som er den som tar seg av alt, vi lager pakken og sender den, vi viser også at pakken er sendt, fordi vi har informasjonen, og oppdaterer variablene endIP Y pakke_nummer.
Hvis vi kjører koden og bruker wireshark, kan vi se hvordan pakkene sendes, vi sjekker at kilde -IP -en er forskjellig hver gang, det samme er porten.

Hvis vi ser på det, endres kildekolonnen i det forrige bildet, destinasjonen gjør det ikke, siden det er vårt offer.

Motforanstaltninger


Dessverre selskapene lider mange tap gjennom året på grunn av denne typen angrep, så det er veldig viktig at vi implementerer mottiltak, nedenfor er noen av de vi bør ta hensyn til:
  • Konfigurer brannmur eller IDS eller IPS -systemer riktig
  • Begrens antallet TCP SYN -pakker per sekund
  • Analyser nettverkstrafikk
  • Omvendt IP -oppslag, tjener til å unngå spoofing

Hvis du vil lese mer om sikkerhetsspørsmål, kan du besøke kategorien dedikert til sikkerhet i Solvetic.

Likte og hjalp du denne opplæringen?Du kan belønne forfatteren ved å trykke på denne knappen for å gi ham et positivt poeng
wave wave wave wave wave