Dos attentats instigation et à l'atténuation
Au cours de la sortie d'un nouveau produit de logiciel spécialisé pour suivre spam, ACME Software Inc avis qu'il n'y avait pas autant de trafic qu'ils espéraient recevoir. Au cours d'une enquête approfondie, ils ont constaté qu'ils ne pouvaient pas vue de leur propre site Web. À ce moment, le vice-président des ventes a reçu un appel de la société précisant que le courtier ACME Software Inc stocks ont baissé de 4 points en raison d'un manque de confiance. Plusieurs États loin, les spammeurs n'ont pas aimé l'idée de la baisse des marges bénéficiaires à faire un facile d'installer des logiciels de blocage de spam, afin qu'ils pensaient défendre. Plus tôt dans la journée, ils ont pris le contrôle de plusieurs centaines de machines compromises et les ont utilisés comme DoS zombies à l'attaque ACME Software Inc serveurs Internet dans un acte odieux de cyber agressions. Au cours d'une conférence de presse d'urgence le lendemain matin, ACME Software Inc CIO a annoncé sa démission à la suite d'une plusieurs millions de dollars loss.Scenarios entreprise comme celle-ci se produisent plus alors les gens pensent et sont plus coûteux que la plupart admettent. Déni de service (DoS) Les attaques sont destinées à épuiser les ressources d'une ordinateur cible dans une tentative de prendre un nœud hors ligne ou en le surchargeant de s'écraser. Distributed Denial of Service (DDoS) est une attaque de type DoS qui est engagé par de nombreux lieux différents. Le plus souvent, des attaques de DDoS sont engagées par des virus ou des machines zombies. Il ya beaucoup de raisons que les attaques DoS sont exécutées, et la plupart d'entre eux sont d'une intention malveillante. Les attaques DoS sont presque impossible à éviter si vous êtes du doigt comme une cible. Il est difficile de distinguer la différence entre un paquet et légitime celle utilisée pour un DoS attack.The but de cet article est de donner au lecteur les connaissances de base du réseau avec une meilleure compréhension des défis posés par les attaques de déni de service, comment ils travaillent, et les moyens de protéger les systèmes et les réseaux de them.Instigation: Mystification - Falsification d'une adresse Internet (connu sous le nom de spoofing) est une méthode attaquant utilise pour simuler une adresse IP. Il est utilisé pour rediriger le trafic vers un noeud du réseau ou des cibles utilisées pour tromper un serveur d'identifier l'agresseur en tant que nœud légitime. Lorsque la plupart d'entre nous pensent de cette approche de le piratage, on pense à quelqu'un dans une autre ville devient essentiellement vous. La façon dont le protocole TCP / IP est conçu, la seule façon criminelle ou hacker pirate peut prendre le contrôle de votre identité Internet de cette façon est d'aveugles frauduleux. Cet signifie que l'imposteur sait exactement ce que les réponses à envoyer à un port, mais ne sera pas la réponse correspondante puisque le trafic est routé vers le système original. Si l'usurpation d'identité est conçu autour d'une attaque de type DoS, l'adresse interne devient la victime. Spoofing est utilisé dans la plupart des célèbres attaques DoS. Beaucoup d'attaquants se lancer une attaque DoS à abandonner un nœud du réseau afin qu'ils puissent prendre en charge l'adresse IP de ce périphérique. Détournement de propriété intellectuelle est la principale méthode utilisée lors d'attaques contre un réseau sécurisé ou de tenter d'autres attaques comme l'homme au Moyen-attack.SYN Flood - L'attaquant d'envoyer une série de requêtes SYN à la cible (la victime). Le cible envoie un SYN ACK en réponse et attend un ACK de revenir pour terminer la session de mise en place. Au lieu de répondre avec un ACK, l'attaquant répond avec une autre SYN d'ouvrir une nouvelle connexion. Cela provoque Files d'attente de la connexion et la mémoire tampon à remplir, ce qui constitue un déni de service TCP utilisateurs légitimes. À ce moment, le pirate peut détourner le système de l'adresse IP si ce n'est l'objectif final. Spoofing de la "source" IP adresse lors de l'envoi d'un SYN inondation couvrira non seulement les traces de l'auteur de l'infraction, mais elle est aussi une méthode d'attaque en elle-même. SYN inondations sont les plus couramment utilisés dans les virus de type DoS et sont faciles à écrire. Voir http://www.infosecprofessionals.com/code/synflood.c.txtSmurf-Smurf Attack fraggle et les attaques sont les plus faciles à prévenir. L'auteur envoie un grand nombre d'écho ICMP (ping) le trafic à la diffusion des adresses IP, en utilisant une fausse adresse source. La "source" ou d'adresse falsifiée, sera inondé de réponses simultanées (Voir CERT Advisory CA-1998-01). Ceci peut être évité par la simple émission de blocage du trafic réseau à distance à partir de sources en utilisant le contrôle d'accès lists.Fraggle Attack - Ce type d'attaque est la même que celle d'une attaque Smurf, sauf en utilisant UDP plutôt que TCP. En envoyant un UDP echo (ping) le trafic de diffusion des adresses IP, les systèmes sur le réseau de répondre à toutes les adresse falsifiée et affecter le système cible. Il s'agit d'une simple réécriture du code Schtroumpf. Ceci peut être évité par la simple émission de blocage du trafic IP à distance address.Ping de la mort - Un attaquant envoie illégitime ICMP (ping) les paquets de plus de 65536 octets à un système à l'intention de tomber. Ces attaques ont été dépassées depuis l'époque de NT4 et Win95.Teardrop - autrement dit comme une attaque de fragmentation IP, cette attaque DoS objectifs des systèmes qui exécutent Windows NT 4.0, Win95, Linux jusqu'à 2.0.32. À l'instar de la Ping of Death, le Teardrop n'est plus effective.Application Attack - Th sont DoS les attaques qui impliquent l'exploitation de la vulnérabilité d'une application causant le programme d'objectif de crash ou de redémarrage de l'system.Kazaa et Morpheus ont connu une faille qui permet à un attaquant à la consommation de bande passante disponible sans être connecté. Voir http://www.infosecprofessionals.com/code/kazaa.pl.txtMicrosoft l 'IIS 5 SSL a aussi un moyen facile d'exploiter la vulnérabilité. La plupart des exploits comme ceux-ci sont faciles à trouver sur l'Internet et peuvent être copiées et collées dans le code de travail. Il ya des milliers d'exploits qui peut être utilisé pour un système cible DoS / application. Voir http://www.infosecprofessionals.com/code/IIS5SSL.c.txtViruses, Worms, et Antivirus - Oui, Antivirus. Trop de cas où la configuration de l'antivirus est erroné ou la mauvaise version est installé. Ce manque de prévoyance provoque une attaque DDoS involontaire sur le réseau par la prise de précieuses ressources du processeur et de la bande passante. Les virus et les vers aussi provoquer des attaques de DDoS par la nature de leur propagation. Certains délibérément attaquer un objectif individuel après un système a été infecté. Le ver Blaster qui exploite les DCOM RPC la vulnérabilité (décrit dans le Bulletin de sécurité Microsoft MS03-026) en utilisant le port TCP 135 est un excellent exemple de cela. Le Blaster ciblées de Microsoft Windows Update site en lançant un SYN FLOOD. De ce fait, Microsoft a décidé de ne plus résoudre les DNS pour «windowsupdate.com». Attaques DoS sont impossibles à arrêter. Cependant, il ya des choses que vous pouvez faire pour atténuer les dommages potentiels qu'ils mai à cause de votre environnement. Le principal chose à se rappeler est que vous devez toujours tenir à jour sur les derniers threats.Mitigation: logiciels Antivirus - Installer un logiciel antivirus avec les dernières définitions de virus sera d'aider à prévenir de votre système à partir de devenir un zombie DoS. Maintenant, plus que jamais, il s'agit d'une caractéristique importante que vous devez avoir. Avec des procès, si répandue, de ne pas avoir une bonne protection, vous pouvez laisser ouverte pour les mises à jour en aval liability.Software -- Gardez vos logiciels à jour en tout temps. Cela comprend un antivirus, les clients de messagerie et les serveurs du réseau. Vous avez également besoin de conserver tous les systèmes d'exploitation réseau installé avec les derniers correctifs de sécurité. Microsoft a fait un énorme travail à faire de ces correctifs disponibles pour les distributions Windows. Linux a été dit qu'il est plus sûr, mais les patches sont beaucoup plus rares. RedHat envisage l'intégration de la NSA SE Linux dans les futures versions du noyau. Cela donnera Mandatory Access Control (MAC) des capacités à la protection community.Network Linux - Utilisation d'une combinaison de pare-feu et systèmes de détection d'intrusion (IDS) peuvent réduire le suspectes de trafic et peut faire la différence entre la gêne et connecté votre travail. Les pare-feu devrait être configuré pour refuser le trafic qui n'est pas spécifiquement conçu pour passer à travers. Intégration d'un IDS vous avertit lorsque étrange trafic est présent sur votre réseau. Cela vous aidera à trouver et à arrêter attacks.Network configuration de l'appareil - Configurer le périmètre des appareils comme les routeurs peuvent détecter et empêcher dans certains cas de déni de attentats. Des routeurs de Cisco peut être configuré pour empêcher activement SYN attaques à partir de Cisco IOS 11.3 et supérieur à l'aide du protocole TCP intercepter commande dans la configuration globale mode.Access-nier numéro de la liste (|) tcp tout permis destination destination-wildcard intercepter liste tcp ip access-list numéro intercepter tcp ip? (vous donnera une bonne liste d'autres options.) routeurs Cisco Smurf et peut prévenir les attaques fraggle en bloquant la diffusion trafic. Depuis Cisco IOS 12.0, c'est la configuration par défaut. ACL ou de listes de contrôle d'accès devrait également être configuré sur toutes les ip interfaces.No dirigée broadcastThe routeur Cisco peut également être utilisé pour prévenir la propriété intellectuelle spoofing. ip access-list du groupe en accès à l'interface-nier numéro de la liste des icmp any any access-list réorienter nombre ip 127.0.0.0 0.255.255.255 refuser tout accès-nier numéro de la liste des ip 224.0.0.0 31.255.255.255 tout access-list Numéro de refuser d'accueil ip 0.0.0.0 Voir tout l'amélioration de la sécurité sur les routeurs Cisco - www.cisco.com/warp/public/707/21.htmlOld versions du logiciel IOS de Cisco sont vulnérables à plusieurs attaques de type DoS. Le "Black Angels" a écrit un programme appelé Cisco Global exploitant. Il s'agit d'un excellent logiciel à utiliser pour tester la sécurité de votre routeur Cisco et de la configuration et de version peut être trouvé à http://www.blackangels.it/Projects/cge.htmSecurity n'est pas aussi mystique que les gens pensent. Les attaques DoS venir dans beaucoup de différents types et peuvent être dévastatrices si vous ne prenez pas les précautions nécessaires. Tenir à jour et de prendre des mesures pour garantir les noeuds du réseau. Garder à l'esprit la sécurité peuvent minimiser dommages-intérêts, d'arrêt, et enregistrez votre career.Security Ressources: Black Angels: http://www.blackangels.it/ Cisco: http://www.cisco.com Microsoft: http://www.microsoft.com/technet/ sécurité / current.aspx Forum de l'incident Les équipes de réponse et de sécurité: http://www.first.org/ SANS Institute: http://www.sans.org/resources/Author: Jeremy Martin CISSP, ISSMP, ISSAP, CEI, CEH, CHS-III, CCNA, Network +, A + http://www.infosecwriter.comMember de: Becca - Business Controls & Espionage Countermeasures Association ISACAÃÆ'à ¢ â, ¬ Å ¡Ãƒâ € šÃ,  ® - Information Systems Audit and Control Association (ISC) ÃÆ'à ¢ â, ¬ Å ¡Ãƒâ € šÃ,  ²
Source D'Article: Messaggiamo.Com
Related:
» Seo Elite: New Seo Software!» AntiSpywareBOT
» Reverse Mobile
» Error Nuker
Webmaster obtenir le code html
Ajouter cet article sur votre site Web dès maintenant!
Webmaster envoyer vos articles
Aucune inscription requise! Remplissez le formulaire et votre article est dans le Messaggiamo.Com répertoire!
