Dos ataques: la instigación y la mitigación
Durante el lanzamiento de un nuevo producto de software especializado para realizar un seguimiento de spam, ACME Software Inc cuenta de que no había tanto tráfico como se esperaba recibir. Durante una investigación más a fondo, encontraron que no podían ver su propio sitio web. En ese momento, el vicepresidente de ventas recibió una llamada de la empresa del corredor que ACME Software Inc existencias disminuyó 4 puntos debido a la falta de confianza. Varios estados de distancia, los spammers no les gusta la idea de los márgenes de beneficio más bajos para hacer una fácil de instalar software de bloqueo de spam para que ellos pensaron que luchar. Ese mismo día, tomaron el control de cientos de ordenadores comprometidos y utilizados como DPM zombis para atacar ACME Software Inc en servidores de Internet de un vicioso acto de asalto cibernético. Durante una conferencia de prensa de urgencia la mañana siguiente, ACME Software Inc del CIO anunció su dimisión como consecuencia de un varios millones de dólares de las empresas loss.Scenarios similar a la anterior ocurrir más de una gente piensa y entonces son más costosas que la mayoría de admitir. Denegación de Servicio (DoS) ataques están diseñados para agotar los recursos de un equipo de destino del sistema en un intento de tener un nodo fuera de línea o por estrellarse sobrecargándola. Denegación de servicio distribuida (DDoS) es un ataque DoS que es contratado por muchos lugares diferentes. Los más comunes los ataques DDoS se promovió a través de virus o de máquinas zombis. Hay muchas razones por las que los ataques de DoS son ejecutados, y la mayoría de ellos son de mala intención. Los ataques de DoS son casi imposibles de evitar si se señala como un objetivo. Es difícil distinguir la diferencia entre un paquete legítimo y que se utiliza de una DPM attack.The propósito de este artículo es ofrecer al lector con conocimientos básicos de la red un mejor entendimiento de los retos que presenta ataques de denegación de servicio, cómo funcionan, y las maneras de proteger los sistemas y redes de them.Instigation: Spoofing - Falsificación de una dirección de Internet (conocida como "spoofing") es el método de una atacante utiliza a una dirección IP falsa. Este es usado para desviar el tráfico a una red de nodos o utilizados para engañar a la identificación de un servidor en el atacante como un nodo. Cuando la mayoría de nosotros pensamos de este enfoque de piratería informática, se piensa en alguien en otra ciudad esencialmente convirtiendo usted. La forma de TCP / IP está diseñado, la única manera en que un hacker o cracker penal puede tener sobre su identidad en Internet de esta manera es falso ciego. Esto significa que el impostor sabe exactamente lo que las respuestas para enviar a un puerto, pero no obtener la respuesta correspondiente desde el tráfico se enruta al sistema original. Si la suplantación está diseñado en torno a un ataque DoS, la dirección interna se convierte en la víctima. La suplantación de identidad se utiliza en la mayoría de los conocidos ataques de DoS. Muchos de los atacantes se iniciará un ataque DoS para dejar caer un nodo de la red para que puedan hacerse cargo de la dirección IP del que dispositivo. Secuestro de propiedad intelectual es el principal método utilizado cuando se ataca una red segura o intentar otros ataques como el Hombre en el Medio attack.SYN inundaciones - Atacantes enviar una serie de solicitudes SYN a un objetivo (la víctima). El objetivo envía un SYN ACK en respuesta y espera un ACK para volver a completar el período de sesiones establecido. En lugar de responder con un ACK, el atacante responde con otro SYN para abrir una nueva conexión. Esto hace que la conexión de colas y memoria para llenar, lo que negar el servicio a los usuarios legítimos de TCP. En este momento, el atacante puede secuestrar el sistema de la dirección IP si ese es el objetivo final. Suplantación de la "fuente" de propiedad intelectual al enviar una dirección de inundación SYN no sólo cubrirá las pistas de los delincuentes, pero también es un método de ataque en sí mismo. SYN inundaciones son las más utilizadas en los virus y de DoS son fáciles de escribir. Ver El ataque Smurf http://www.infosecprofessionals.com/code/synflood.c.txtSmurf-fraggle y ataques son los más fáciles de prevenir. Un autor envía un gran número de eco ICMP (ping) de tráfico en las direcciones IP de difusión, utilizando una falsa dirección de origen. La "fuente" o falsa dirección se inundaron con respuestas simultáneas (Ver CERT Advisory: CA-1998-01). Esto puede ser prevenido simplemente bloqueando el tráfico de difusión de la red remota fuentes utilizando el control de acceso lists.Fraggle ataque - Este tipo de ataque es el mismo que un ataque Smurf excepto si utiliza UDP en lugar de TCP. Al enviar un UDP echo (ping) el tráfico a direcciones IP de difusión, los sistemas de la red responden a la falsa dirección y afectar el sistema de destino. Esta es una simple reescritura del código Smurf. Esto puede ser prevenido simplemente bloqueando el tráfico de difusión a distancia de la propiedad intelectual de la muerte address.Ping - Un atacante envía ilegítimo paquetes ICMP (ping) de más de 65.536 bytes a un sistema con la intención de bloqueándolo. Estos ataques han sido obsoletos desde los días de NT4 y Win95.Teardrop - De lo conocido fragmentación de la propiedad intelectual como un ataque, este ataque DoS metas sistemas que ejecutan Windows NT 4.0, Win95, Linux hasta 2.0.32. Al igual que el ping de la muerte, la lágrima ya no es de ataque effective.Application - Tes son DPM ataques que implican la explotación de la vulnerabilidad que causa una solicitud al programa que se caiga o se reinicie el system.Kazaa y Morpheus han conocido un fallo que permita a un atacante consumir todo el ancho de banda disponible sin estar conectado. Ver http://www.infosecprofessionals.com/code/kazaa.pl.txtMicrosoft 's IIS 5 SSL también tiene una forma fácil de explotar la vulnerabilidad. La mayoría de estas vulnerabilidades, como son fáciles de encontrar en Internet y puede ser copiar y pegar el código de trabajo. Hay miles de vulnerabilidades que pueden ser usados para un sistema objetivo de DoS / solicitud. Ver http://www.infosecprofessionals.com/code/IIS5SSL.c.txtViruses, gusanos y Antivirus - Sí, Antivirus. Hay demasiados casos en los que el antivirus es un error de configuración de la versión equivocada o está instalado. Esta falta de previsión causas involuntarias un ataque DDoS en la red por acceso a valiosos recursos de CPU y ancho de banda. Virus y gusanos también causar ataques DDoS por la naturaleza de la forma en que se propaguen. Algunos atacan a propósito un objetivo individual después de que un sistema ha sido infectado. El gusano Blaster que explota la DCOM RPC la vulnerabilidad (que se describe en el boletín de seguridad de Microsoft MS03-026) usando el puerto TCP 135 es un gran ejemplo de ello. Blaster dirigidos Windows Update de Microsoft por la apertura de un sitio SYN FLOOD. Debido a esto, Microsoft decidió no resolver el DNS de "windowsupdate.com". Ataques de DoS son imposibles de detener. Sin embargo, hay cosas que puede hacer para mitigar los posibles daños que pueda causar a su entorno. Los principales Lo que hay que recordar es que siempre debemos mantener al día sobre las últimas threats.Mitigation: El software antivirus - Instalar un software antivirus con las últimas definiciones de virus ayudará a evitar que su sistema de convertirse en un zombi de DoS. Ahora más que nunca, esta es una característica importante que debe tener. Con demandas tan frecuente que no tengan la protección adecuada puede dejar de abrir para los cambios liability.Software -- Mantenga su software actualizado en todo momento. Esto incluye antivirus, clientes de correo electrónico y servidores de red. Usted también necesita conservar todos los sistemas operativos de red instalada con los últimos parches de seguridad. Microsoft ha hecho un gran trabajo de hacer estos parches disponibles para sus distribuciones de Windows. Linux se ha dicho para ser más seguro, pero los parches son mucho más escasos. RedHat está planeando sobre la incorporación de la NSA de SE Linux en futuras versiones del kernel. Esto dará a Control de Acceso Obligatorio (MAC) a la capacidad de protección community.Network Linux - Usando una combinación de cortafuegos y sistemas de detección de intrusos (IDS) pueden reducir sospechosas de tráfico y que pueden hacer la diferencia entre iniciar sesión molestia y su trabajo. Cortafuegos debe estar configurado para negar todo el tráfico que no está específicamente diseñado para atravesar. Integración de un IDS le avisará cuando extraño el tráfico está presente en su red. Esto le ayudará a encontrar y detener attacks.Network la configuración de dispositivos - Configuración de perímetro de dispositivos como routers pueden detectar y prevenir en algunos casos de denegación de ataques. Enrutadores de Cisco se puede configurar para prevenir ataques SYN activamente a partir de Cisco IOS 11.3 y superior utilizando el protocolo TCP interceptar comando de configuración global en la lista número mode.Access negar (|) tcp cualquier permiso destino destino tcp-ip comodín interceptar lista lista de acceso tcp-ip número interceptar? (le dará una buena lista de otras opciones.) puede impedir que los enrutadores de Cisco y Smurf fraggle ataques mediante el bloqueo de emisión tráfico. Desde Cisco IOS 12.0, esta es la configuración por defecto. ACL o listas de control de acceso también debe estar configurado en todos los interfaces.No-ip dirigido broadcastThe router de Cisco también pueden ser utilizados para evitar la propiedad intelectual la suplantación de identidad. ip de acceso en la lista de grupos de interfaz de acceso lista número negar cualquier icmp redirigir cualquier número de lista de acceso IP 127.0.0.0 0.255.255.255 negar cualquier número de lista de acceso IP 224.0.0.0 31.255.255.255 negar cualquier lista de acceso número IP negar cualquier Véase 0.0.0.0 Mejora de la Seguridad en Routers Cisco - Cisco IOS www.cisco.com/warp/public/707/21.htmlOld versiones son vulnerables a varios ataques de DoS. El "Negro ángeles", escribió un programa llamado Cisco mundial explotador. Este es un gran software para utilizar en el ensayo de la seguridad de su router de Cisco versión y la configuración y se puede encontrar en la http://www.blackangels.it/Projects/cge.htmSecurity no es tan místico como la gente cree. Los ataques de DoS vienen en muchos tipos diferentes y pueden ser devastadores si no se toman las debidas precauciones. Manténgase al día y tomar medidas para garantizar los nodos de la red. Mantenimiento de la seguridad en mente puede minimizar daños y perjuicios, de inactividad, y guardar su career.Security Recursos: Negro Ángeles: http://www.blackangels.it/ Cisco: http://www.cisco.com Microsoft: http://www.microsoft.com/technet/ seguridad / current.aspx Foro de incidentes Response and Security Teams: http://www.first.org/ Instituto SANS: http://www.sans.org/resources/Author: Jeremy Martin CISSP, ISSMP, ISSAP, CEI, ceh, CHS-III, CCNA, Network +, A + http://www.infosecwriter.comMember de: Becca - Negocios y contramedidas Espionaje Controles Asociación ISACAÃÆ'à ¢ â, ¬ Å ¡Ãƒâ € SA, ® - Sistemas de Información de la Asociación de Auditoría y Control (ISC) ÃÆ'à ¢ â, ¬ Å ¡Ãƒâ € SA, ²
Artículo Fuente: Messaggiamo.Com
Related:
» Seo Elite: New Seo Software!» AntiSpywareBOT
» Reverse Mobile
» Error Nuker
Webmaster obtener el código html
Añadir este artículo a su sitio web ahora!
Webmaster Envíe sus artículos
No es necesario que se registre! Completa el formulario y su artículo está en el Messaggiamo.Com Directorio!
