(D)DoS útoky Flashcards
Co je (D)Dos útok
Denial of Service (DoS) a Distributed Denial of Service (DDoS) útoky se zaměřují na znepřístupnění služby nebo zdrojů legitimním uživatelům. Útoky probíhají buď zahlcením serveru nadměrným počtem požadavků, nebo zneužitím zranitelností v protokolech či implementacích.
DoS: Útok pochází z jednoho zdroje.
DDoS: Útok probíhá z více zdrojů, často koordinovaných prostřednictvím botnetu.
Botnet je skupina uzlů (až statisíce), které zpravidla bez vědomí svých majitelů útočí na cíle na internetu. Svému majiteli vytváří zpravidla zisk nebo jiné prostředky (exploit, trojan, pronájem, těžba kryptoměn, krádež dat).
Typy DoS útoků - Záplavové
1) ARP flood: Útočník zaplavuje síť falešnými ARP dotazy.
2) RST flood: Pakety obsahují falešné IP adresy s parametrem RST, který resetuje spojení
3) SYN flood: Útočník posílá velké množství požadavků na navázání spojení (SYN), ale nedokončí třífázový handshake, čímž vyčerpá kapacitu serveru pro nová spojení.
4) HTTP flood: Útok pomocí běžných, ale složitých HTTP požadavků (GET/POST), které simulují běžné chování uživatele, ale ve velkém množství přetěžují webový server.
5) UDP flood: Útočník posílá mnoho UDP datagramů na náhodné porty cílového zařízení, což ho nutí odpovídat ICMP zprávami o nedostupnosti služby.
6) PingSweep: Skenování sítě, kdy útočník posílá ICMP echo requesty (pingy) na mnoho IP adres v síti, aby zjistil, které uzly odpoví a jsou aktivní.
7) Smurf ICMP :ICMP echo request je poslán na broadcast adresu celé sítě, ale se spoofovanou IP adresou oběti, čímž všechny stroje odpoví na oběť a zahltí ji.
8 Reflection attack: Útočník pošle malý požadavek serveru (např. DNS), přičemž jako odesílatele uvede IP oběti. Server pošle velkou odpověď oběti – dojde k zesílení útoku.
Typy DDoS útoků - Logické
1) Teardrop: fragmenty paketů se špatně nastaveným offsetem: cíl není schopen správně sestavit celý packet. Starší systémy se mohou zhroutit nebo zacyklit.
2) Land - Útok typu TCP-SYN, kde zdrojová a cílová IP adresa i port jsou stejné – systém se pokusí navázat spojení sám se sebou, což může způsobit zahlcení nebo pád systému.
3) Ping of Death - Útočník posílá ICMP echo request (ping) větší než 65 535 bajtů – cílový systém při sestavování tohoto „obřího“ paketu narazí na přetečení paměti a může spadnout.
4) ReDoS (Regular Expression Denial of Service) - Útočník zneužije náročný regulární výraz (např. s vícenásobným zpětným větvením) – server při jeho zpracování spotřebuje extrémní množství času a výpočetního výkonu.
5) XMasTree - Útok, kdy útočník pošle TCP paket se zapnutými příznaky FIN, URG a PUSH současně – testuje tím, jak cílový systém reaguje na neobvyklé kombinace příznaků, což může způsobit pád nebo vyvolat chybovou reakci.
6) Slow-Loris - Útočník naváže HTTP spojení a začne posílat požadavek (např. GET) velmi pomalu a neúplně – cílový server drží spojení otevřené, čímž se postupně vyčerpají dostupné zdroje pro nové klienty.
Detekce a mitigace DDos útoků
1) Detekce signatur a anomálií.
2) Robustní a bezpečná síťová infrastruktura;
3) Firewally
4)IDS
5)Honeypoty
6)Redundantní linky a servery
7)Vysokorychlostní DDoS filtry
8)Blacklisting & whitelisting
9)Tarpit (udržení příchozích spojení v open-state, snížení TCP Window na nulu)
10)Rate limiting na směrovačích
11)Filtrace na základě reputace zdroje (IP rozsah, geolokace,
služba).
Zátěžové testování
Lze testovat sítě jako celek, síťová zařízení (servery, routery, firewally), koncové stanice (počítače, telefony) nebo aplikační vrstvu (webové služby, operační systémy, aplikace). Používají se testery :Avalanche, Apache JMetter, LOIC
Postup testování:
Definice (specifikace cíle, požadavků a běžného provozu),
Příprava (nastavení sítě a testeru)
Realizace (monitoring, opakování)
Vyhodnocení (dokumentace).
Hlídanými parametry jsou: doba, počet dotazů, čas na dotaz, dotazy za čas, přenesená data, distribuční rozložení odpovědí, ..
1) Performance test je zatížení systému definovanou zátěží pro změření chování.
2) Stress test je postupné zatěžování narůstajícím počtem paralelních spojení.
3) Soak test je dlouhodobé testování.
4) Failover test je ověření chování systému v případě selhání.
5) Targeted infrastructure test slouží k detekci nejslabších míst.
6) Volume test je ověření chování při zvýšeném objemu dat.
Je vhodné testovat mimo běžnou špičku, aby nebyla ohrožena finanční (služby zákazníkům) nebo bezpečnostná strana sítě.
