Forum Komputerowe

DarkLord

DoS (Denial of Service)
atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów.

Atak polega zwykle na przeciążeniu aplikacji serwującej określone dane czy obsługującej danych klientów (np. wyczerpanie limitu wolnych gniazd dla serwerów FTP czy WWW), zapełnienie całego systemu plików tak, by dogrywanie kolejnych informacji nie było możliwe (w szczególności serwery FTP), czy po prostu wykorzystanie błędu powodującego załamanie się pracy aplikacji.

W sieciach komputerowych atak DoS oznacza zwykle zalewanie sieci (ang. flooding) nadmiarową ilością danych mających na celu wysycenie dostępnego pasma, którym dysponuje atakowany host. Niemożliwe staje się wtedy osiągnięcie go, mimo że usługi pracujące na nim są gotowe do przyjmowania połączeń.

DDoS (Distributed Denial of Service)
atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów, przeprowadzany równocześnie z wielu komputerów (np. zombie).

Atak DDoS jest odmianą ataku DoS polegającego na jednoczesnym atakowaniu ofiary z wielu miejsc. Służą do tego najczęściej komputery, nad którymi przejęto kontrolę przy użyciu specjalnego oprogramowania (różnego rodzaju tzw. boty i trojany). Na dany sygnał komputery zaczynają jednocześnie atakować system ofiary, zasypując go fałszywymi próbami skorzystania z usług jakie oferuje. Dla każdego takiego wywołania atakowany komputer musi przydzielić pewne zasoby (pamięć, czas procesora, pasmo sieciowe), co przy bardzo dużej ilości żądań prowadzi do wyczerpania dostępnych zasobów, a w efekcie do przerwy w działaniu lub nawet zawieszenia systemu.

Ataki DDoS bywają czasami używane do szantażowania firm, np. serwisów aukcyjnych, firm brokerskich i podobnych gdzie przerwa w działaniu systemu transakcyjnego przekłada się na bezpośrednie straty finansowe firmy i jej klientów. W takich przypadkach osoby stojące za atakiem żądają okupu za odstąpienie od ataku. Działanie takie jest przestępstwem.

SYN-FLOOD
Atak typu SYN Flood polega na tym, iż z hosta atakującego wysyłana jest duża liczba pakietów TCP z flagą SYN. Host docelowy, będący celem ataku po otrzymaniu pakietu typu SYN traktuje ten fakt jako "zachętę" do nawiązania połączenia, alokuje odpowiednie zasoby potrzebne do jego przeprowadzenia i odpowiada do nadawcy pakietem z flagami SYN, ACK.
W zależności od liczby wysyłanych pakietów atak SYN Flood generuje relatywnie duży ruch w sieci co, w niektórych przypadkach może doprowadzić do obniżenia jej sprawności. Drugim skutkiem ataku jest fakt otworzenia dużej liczby tzw. "sesji/połączeń półotwartych" na atakowanym hoście, co w przypadku niezabezpieczonych systemów może prowadzić do osłabienia ich sprawności bądź całkowitego ich zablokowania. Siła ataku uzależniona jest od przepustowości łącza, z którego jest on przeprowadzany.

Physical Infrastructure Attacks
Polega to na przecięciu kabla łączącego komputer z siecią. W przypadku bardziej rozbudowanych sieci komputerowych, skutki tego ataku mogą złagodzone przez fakt, że dane mogą był łatwo kierowane inną trasą. Aby móc w ogóle przystąpić do takiego ataku, należy mieć fizyczny dostęp do sprzętu sieciowego (np. kabli) w pobliżu komputera-ofiary.

la tierra
Potrafi wysłać dowolny pakiet w dowolne miejsce w sieci.

boink
Wysyła pakiety sfragmentowane w taki sposób, że oryginalny nagłówek pakietu zostaje zamazany innymi danymi.

Winnuke
Atak na użytkowników systemu windows
wysyła pakiet OOB (Out Of Band) na port usługi NetBios (port 139), która nie potrafi w prawidłowy sposób obsłużyć pakietu z 'zapalonym' bitem OOB.

Buffer Overflow Attack
Polega on na wysyłaniu większej ilości danych do danego adresu sieciowego, niż przewidział to programista, który zaplanował wielkość bufora mniejszą od ilości danych, jaką ktoś mógłby wysłać. Osoba atakująca może być świadoma tego, że jej cel jest odporny na ten typ ataku, lub próbuje licząc na łut szczęścia, że atak się uda. Oto kilka najbardziej znanych przykładów ataku typu Buffer Overflow:
-wysłanie e-maila z załącznikiem, którgo nazwa zawiera więcej niż 256 znaków do programu pocztowego produkcji Microsoftu lub Netscape
-wysłanie zbyt dużego pakietu ICMP (typ ataku nazywany czasem Packet Internet ping of death lub Inter-Network Groper ping of death)
-wysłanie uzytkownikowi programu poczowego Pine wiadomości e-mail z adresem "Od" dłuższym niż 256 znaków.

Land attack

W tym przypadku, atakujący wysyła segment SYN na adres ofiary podając jej własny adres jako źródłowy i nadając ten sam numer portu źródłowego i docelowego. Stacja TCP ofiary nigdy nie zestawi połączenia zapętlając się w nieskończoność. W niektórych implementacjach może to prowadzić do jej zawieszenia.

IP Spoofing

IP Spoofing sam w sobie nie jest atakiem typu DoS. Jest to technika polegająca na "fałszowaniu" adresu pochodzenia danego pakietu. Po raz pierwszy została opisana już w 1985 roku przez Roberta Morris'a.
Osoba wykorzystująca IP spoofing wysyła pakiet, w którym zostaje zmieniony adres źródłowy. Adres ten jest wykorzystywany przez hosta otrzymującego pakiet w momencie wysyłania odpowiedzi na niego. z racji tego, iż adres został sfałszowany atakujący nie otrzyma odpowiedzi na wysyłany pakiet, zostanie ona wysłana pod sfałszowany adres (który może być adresem nieistniejącym w sieci). Ta metoda jest zarówno sposobem na ochronę przed wykryciem atakującego jak i może być integralną częścią niektórych rodzajów ataków DoS, które nie wymagają, a wręcz wykorzystują fakt nie otrzymywania odpowiedzi na wysyłane pakiety, np. Smurf Attack, SYN Flood, etc.

Ping of Death

Atak ten przeprowadza się poprzez wygenerowanie pofragmentowanych pakietów ICMP przekraczających w sumie 64kB. Wówczas scalanie może w niektórych implementacjach powodować błędy prowadzące do zawieszenia stacji IP.

Smurf attack

Jest to atak DDoS. Polega na wygenerowaniu dużej ilości rozgłoszeniowych (directed broadcast) pakietów ICMP echo (ping) z adresem IP ofiary ataku jako źródłowym. Ofiara zostanie zalana odpowiedziami ping. Atak ten jest skuteczny jedynie jeśli brzegowy dla sieci ofiary router przepuszcza ping w ukierunkowanym rozgłoszeniu, a system operacyjny stacji odpowiada na taki ping.

SQL Injection
Atak SQL Injection polega głównie na wykorzystaniu błędów w językach skryptowych, które skupiają się na przekazie danych od użytkownika do bazy danych. Ataki tego typu skierowane są wówczas pomiędzy warstwą programistyczną a warstwą danych. Aby doszło do jakiegokolwiek ataku SQL Injection w aplikacji, którą chce zaatakować haker muszą być wykorzystane pewne mechanizmy tworzące dynamiczne zapytania SQL. Należą do nich narzędzia jak i też interfejsy, którę są wykorzystywane podczas wykonywania ataku, są to: JSP, XSL, XML, XSQL, ASP, Perl, CGI, VB, oraz JavaScript. SQL Injection omija wszelkiego rodzaju ściany ogniowe (ang. firewalle) ogólne zabezpieczenia na poziomie IP, oraz na poziomie wyższych warstw, skanerów antywirusowych. Ataki te głównie wykorzystują błędy popełniane przez projektantów i programistów tworzących daną strukturę bazową. Ataki SQL Injection różnią się między sobą w zależności od rodzaju bazy danych.

Teardrop IP Attack
Atak tego typu wykorzystuje błąd protokołu IP, który wymaga od zbyt dużego pakietu danych, który nie może być przesłany przez następny router podzielenia go na części. Fragment pakietu rozpoznaje miejsce, w którym zaczyna się pierwsza część pakietu i uruchamia proces łączenia wszystkich fragmentów w całość. W przypadku ataku typu Teardrop IP, osoba atakująca zmienia fragment odpowiedzialny za odnalezienie początku pakietu i rozpoczęcie procesu scalania, przez co system ma problemy z poskładaniem pakietu w całość i przesłaniu go dalej. To najczęściej doprowadza do zawieszenia systemu, jeśli system nie ma odpowiedniego przepisu na rozwiązanie tego problemu.

HTTP flood
Jest to dość często stosowany typ ataku na usługę serwującą strony WWW znajdujące się na serwerze. Polega na jak najbardziej zmasowanym wysyłaniu żądań wyświetlenia dokumentów umieszczonych na serwerze. Skutkiem takiego ataku może być zaprzestanie świadczenia usług związanych z HTTP uprawnionym klientom oraz odczuwalne utrudnienie dostępu do Sieci. Są dwie metody przeprowadzania tego ataku - jeden z nich odbywa się za pośrednictwem ddosnetu, a drugi - serwerów proxy. Pierwsza metoda jest bardziej skuteczna i dość prosta. Komputery połączone w sieć wysyłają żądania wyświetlenia określonych dokumentów udostępnianych przez serwer HTTP, co doprowadzić może, przy odpowiednio dużej skali ataku, nawet do całkowitego zaprzestania świadczenia usługi.

Druga metoda służy raczej jako wzmocnienie ataku. Polega na wykorzystaniu jak największej liczby publicznych serwerów proxy. Całość jest wykonywana w trzech etapach. Najpierw haker wysyła serwerom w3cache żądanie wyświetlenia wybranej strony z zasobów ofiary. Serwery natychmiast nawiązują połączenie w celu pobrania potrzebnych dokumentów, a napastnik zrywa chwilowo połączenie z nimi. Proces ten powtarzany jest aż do osiągnięcia pożądanego efektu. Nie ma skutecznej metody zabezpieczenia się przed atakiem na serwer HTTP. Jedynie zwiększenie wydajności świadczenia tych usług może częściowo zmniejszyć ryzyko skutecznego unieruchomienia serwowania stron [link widoczny dla zalogowanych]

ICMP flood
Polega na wysyłaniu bardzo dużej ilości pakietów kontrolnych ICMP, które Windows i inne platformy źle interpretują.

UDP flood - Chargen

Chargen (skrót od Character Generator) to usługa generująca przypadkowe sekwencje znaków o różnej długości - od 0 do 512. Pakiety są tworzone po otrzymaniu przez usługę dowolnego ciągu znaków. Chargen opracowano do celów diagnostycznych - ułatwia wykrycie przyczyn gubienia pakietów. Atak na usługę Chargen jest niezwykle prosty i skuteczny - polega na wysyłaniu do niej z jak największej liczby komputerów małych pakietów UDP, na które musi odpowiedzieć, często powodując przeciążenie łącza. Jest także drugi wariant ataku, kiedy ofiara ma w swojej sieci dwa serwery oferujące opisywaną usługę. Haker wykorzystuje wtedy metodę spoofingu adresu, podszywa się pod adres pierwszego serwera i wysyła do drugiego sekwencję znaków. To powoduje odpowiedź skierowaną do pierwszego serwera świadczącego opisywaną usługę. Tworzy się pętla - jeden serwer wysyła ciąg znaków do drugiego, ten zaś odpowiada inną sekwencją i tak nieustannie, aż do przeciążenia łącza. Zabezpieczenie się przed atakiem UDP flood opartym na usłudze Chargen to po prostu jej wyłączenie.