Dos-aanvallen: uitlokking en mitigatie
Tijdens de introductie van een nieuw software product specialist voor het bijhouden van spam, ACME Software Inc mededeling dat er niet zoveel verkeer als ze gehoopt te ontvangen. Tijdens het verdere onderzoek, zij vinden dat zij niet konden Gezien hun eigen website. Op dat moment, de VP van de verkoop ontving een oproep van de onderneming makelaar staat dat ACME Software Inc voorraad daalde 4 punt wegens gebrek aan vertrouwen. Verschillende staten weg, spammers niet graag het idee van lagere winstmarges doen om een eenvoudig te installeren software voor het blokkeren van spam, zodat ze dachten dat ze zouden terugvechten. Eerder die dag, ze heeft controle over honderden van gecompromitteerde computers en gebruikt ze als DoS zombies aanvallen ACME Software Inc's Internet-servers in een vicieuze daad van cyber-aanval. Tijdens een noodsituatie persconferentie de volgende ochtend, ACME Software Inc's CIO kondigde zijn ontslag als gevolg van een enkele miljoenen dollar corporate loss.Scenarios zoals hierboven gebeurt er een meer dan mensen denken en zijn duurder dan de meeste zullen toegeven. Denial of Service (DoS) aanvallen zijn bedoeld om uitputting van de middelen van een doelgroep computersysteem in een poging om een knoop off-line door te crashen of te overspoelen. Distributed Denial of Service (DDoS) is een DoS aanval die actief is door veel verschillende locaties. De meest voorkomende DDoS-aanvallen zijn geïnstigeerd door virussen of zombie machines. Er zijn vele redenen dat DoS aanvallen worden uitgevoerd, en de meeste van hen zijn van kwaad opzet. DoS-aanvallen zijn bijna onmogelijk om te voorkomen dat als u geselecteerd als een doelwit. Het is moeilijk om een onderscheid te maken het verschil tussen een legitieme pakket en een gebruikt voor een DoS attack.The doel van dit artikel is om de lezer met een basisopleiding netwerk kennis een beter begrip van de uitdagingen van Denial of Service aanvallen, hoe ze werken, en middelen ter bescherming van systemen en netwerken van them.Instigation: Spoofing - Vervalsing van een Internet-adres (bekend als spoofing) is de methode een aanvaller gebruikt om een valse IP-adres. Dit wordt gebruikt om reroute verkeer naar een doelgroep netwerkknooppunt of gebruikt te misleiden een server in het identificeren van de aanvaller als een legitieme node. Bij de meesten van ons denken aan deze aanpak van hacking, we denken dat iemand in een andere stad in wezen steeds je. De manier waarop TCP / IP is ontworpen, is de enige manier waarop een criminele hacker of cracker kan nemen over uw Internet identiteit op deze manier is om blind spoofberichten. Dit betekent dat de bedrieger weet precies wat reacties te sturen naar een haven, maar zal niet het bijbehorende antwoord omdat het verkeer wordt omgeleid naar het oorspronkelijke systeem. Als de spoofing is ontworpen rond een DoS aanval, de interne adres wordt het slachtoffer. Spoofing wordt gebruikt in de meeste van de bekende DoS-aanvallen. Veel aanvallers zullen beginnen met een DoS aanval te laten vallen een knooppunt van het netwerk, zodat ze kunnen nemen over het IP-adres van die apparaat. IP Hijacking is de belangrijkste methode die wordt gebruikt bij de aanval op een beveiligd netwerk of proberen andere aanvallen, zoals de man in het Midden attack.SYN Overstromingsrisicobeheer - Aanvallers sturen van een reeks SYN verzoeken om een streefwaarde (slachtoffer). De doelgroep een SYN ACK in antwoord en wacht op een ACK terug te komen om de zitting opgericht. In plaats van te reageren met een ACK, reageert de aanvaller met een SYN om een nieuwe verbinding. Dit veroorzaakt de verbinding wachtrijen en geheugen buffer te vullen, waardoor ontkennen dienstverlening aan legitieme TCP gebruikers. Op dit moment is de aanvaller kan kapen het systeem het IP-adres als dat is het einddoel. Spoofing de "bron" IP adres bij het verzenden van een SYN flood zal niet alleen betrekking op de dader van de tracks, maar is ook een methode van aanval op zich. SYN Overstromingen zijn de meest gebruikte DOS in virussen en zijn eenvoudig te schrijven. Zien http://www.infosecprofessionals.com/code/synflood.c.txtSmurf Attack-Smurf en Fraggle aanvallen zijn het makkelijkst te voorkomen. Een dader stuurt een groot aantal ICMP echo (ping) verkeer op de IP-adressen worden uitgezonden, met behulp van een nep bron adres. De "bron" of spoofbericht adres wordt overstroomd met gelijktijdige antwoorden (zie CERT Advisory: CA-1998-01). Dit kan worden voorkomen door simpelweg blokkeren broadcastverkeer van externe netwerk bronnen met behulp van controle op de toegang tot lists.Fraggle Attack - Dit type aanval is hetzelfde als een Smurf aanval behalve plaats met behulp van UDP of TCP. Door het sturen van een UDP echo (ping) verkeer naar IP-adressen worden uitgezonden, de systemen op de netwerk zal alle antwoorden op de gespoofde adres en de invloed op het beoogde systeem. Dit is een eenvoudige Smurf herschrijven van de code. Dit kan worden voorkomen door simpelweg blokkeren broadcastverkeer uit remote IP address.Ping of Death - Een aanvaller stuurt buitenechtelijk ICMP (ping) pakketten groter dan 65536 bytes tot een systeem met de bedoeling te crashen. Deze aanvallen zijn achterhaald sinds de dagen van NT4 en Win95.Teardrop - Anders bekend als een IP-fragmentatie aanval, dit DoS aanval streefcijfers systemen waarop Windows NT 4.0, Win95, Linux tot 2.0.32. Net als de Ping of Death, Teardrop het is niet langer effective.Application Attack - Thess zijn DoS aanvallen die gepaard gaan exploiteren van een aanvraag kwetsbaarheid waardoor de doelgroep programma crash of herstart de system.Kazaa en Morpheus heeft een bekende fout, zodat een aanvaller om te consumeren alle beschikbare bandbreedte zonder ingelogd. Zie http://www.infosecprofessionals.com/code/kazaa.pl.txtMicrosoft 's IIS 5 SSL heeft ook een eenvoudige manier te exploiteren kwetsbaarheid. De meeste exploits zoals deze zijn gemakkelijk te vinden op het internet en kan worden gekopieerd en geplakt als werkende code. Er zijn duizenden exploits die kunnen worden gebruikt voor DoS een doelsysteem / applicatie. Zie http://www.infosecprofessionals.com/code/IIS5SSL.c.txtViruses, wormen en Antivirus - Ja, Antivirus. Te veel gevallen waarin de antivirus configuratie is verkeerd of de verkeerde versie is geïnstalleerd. Dit gebrek aan vooruitziendheid leidt tot een onbedoelde DDoS aanval op het netwerk door toegang tot waardevolle en CPU-bronnen bandbreedte. Virussen en wormen veroorzaken ook DDoS aanvallen door de aard van de wijze waarop zij verspreiden. Sommige doelbewust aanval een individueel doelwit na een systeem is besmet. De Blaster-worm die gebruik maakt van de DCOM RPC kwetsbaarheid (beschreven in Microsoft Security Bulletin MS03-026) via TCP poort 135 is een geweldig voorbeeld van. De Blaster gerichte Microsoft's Windows Update-site door de inleiding van een SYN FLOOD. Vanwege dit, Microsoft heeft besloten om niet langer de oplossing van de DNS voor 'windowsupdate.com'. DoS aanvallen zijn onmogelijk om te stoppen. Er zijn echter dingen die u kunt doen om het inperken van mogelijke schade kunnen veroorzaken aan uw omgeving. De belangrijkste om te onthouden is dat je altijd moet blijven up-to-date over de nieuwste threats.Mitigation: Antivirus software - Het installeren van een antivirus-software met de nieuwste virusdefinities zal helpen voorkomen dat uw systeem van steeds een DoS zombie. Nu, meer dan ooit, dit is een belangrijk kenmerk dat u moet beschikken. Met rechtszaken zo wijdverspreid, en niet met de juiste bescherming kunt u open voor downstream liability.Software updates -- Houd uw software up-to-date te allen tijde. Dit omvat antivirus, email clients, servers en netwerk. Je moet ook alle netwerk besturingssystemen geïnstalleerd met de nieuwste beveiligingspatches. Microsoft heeft een geweldige baan met het maken van deze patches beschikbaar voor de Windows-distributies. Linux heeft al gezegd zich meer veilig, maar de patches zijn veel schaars. RedHat is van plan op waarin de NSA's SE Linux kernel in toekomstige releases. Dit geeft Mandatory Access Control (MAC) mogelijkheden om de Linux community.Network bescherming - Gebruik van een combinatie van firewalls en Intrusion Detection Systems (IDS) kan bezuinigen op verdachte verkeer en kan het verschil maken tussen ingelogd ergernis en uw werk. Firewalls moeten worden ingesteld om te ontkennen alle verkeer dat niet specifiek is ontworpen om te passeren. Integratie van een IDS zal u waarschuwen wanneer vreemd verkeer op uw netwerk aanwezig is. Dit zal u helpen bij het vinden en stoppen attacks.Network apparaat configuratie - Configureren perimeterdraad apparaten zoals routers kan detecteren en in sommige gevallen voorkomen DoS aanslagen. Cisco-routers kunnen worden geconfigureerd voor het actief voorkomen SYN aanvallen beginnen in Cisco IOS 11.3 en hoger gebruik van het TCP onderscheppen commando in globale configuratie mode.Access-list aantal ontkennen (|) vergunning tcp any bestemming bestemming-wildcard ip tcp onderscheppen lijst toegang-list-nummer ip tcp onderscheppen? (krijg je een goed overzicht van andere opties.) Cisco routers kunnen voorkomen Smurf en Fraggle aanvallen door het blokkeren van uitzending verkeer. Omdat Cisco IOS 12.0, dit is de standaard configuratie. ACLs of toegangscontrole lijsten moeten ook worden geconfigureerd op alle interfaces.No ip-gericht broadcastThe Cisco-router kan ook gebruikt worden om te voorkomen dat IP - spoofing. IP-toegang-groep in de lijst interface toegang lijst aantal ontkennen icmp any any redirect toegang lijst aantal ontkennen ip 127.0.0.0 0.255.255.255 toegang lijst aantal ontkennen ip 224.0.0.0 31.255.255.255 toegang-lijst aantal deny ip host 0.0.0.0 elke Zie Verbetering Veiligheid op Cisco routers - www.cisco.com/warp/public/707/21.htmlOld Cisco IOS-versies zijn kwetsbaar voor verschillende DoS-aanvallen. De "Black Angels", schreef een programma genaamd Cisco Global uitbuiter. Dit is een fantastische software te gebruiken bij het testen van de beveiliging van uw Cisco router-versie en de configuratie en kan worden gevonden op http://www.blackangels.it/Projects/cge.htmSecurity is niet zo mystieke als mensen geloven. DoS-aanvallen komen in veel verschillende soorten en kan verwoestende als u niet de juiste voorzorgsmaatregelen. Blijf op de hoogte en neemt stappen om veilig netwerk nodes. Het bijhouden van de veiligheid in het achterhoofd kan minimaliseren schadevergoeding, downtime, en sla uw career.Security Resources: Black Angels: http://www.blackangels.it/ Cisco: http://www.cisco.com Microsoft: http://www.microsoft.com/technet/ zekerheid / current.aspx Forum of Incident Response and Security Teams: http://www.first.org/ SANS Institute: http://www.sans.org/resources/Author: Jeremy Martin CISSP, ISSMP, ISSAP, CEI, CEH, CHS-III, CCNA, Network +, A + http://www.infosecwriter.comMember van: Becca - Business Spionage Controls & Tegenmaatregelen Vereniging ISACAÃÆ'à ¢ â, ¬ Å ¡Ãƒâ € SA,  ® - Information Systems Audit and Control Association (ISC) ÃÆ'à ¢ â, ¬ Å ¡Ãƒâ € SA, een ²
Artikel Bron: Messaggiamo.Com
Related:
» Seo Elite: New Seo Software!» AntiSpywareBOT
» Reverse Mobile
» Error Nuker
Webmaster krijgen html code
Voeg dit artikel aan uw website!
Webmaster verzenden van artikelen
Geen registratie vereist! Vul het formulier in en uw artikel is in de Messaggiamo.Com Directory!
