Innen datasikkerhet er et tjenestenektangrep , også kalt et DoS -angrep ( Denial of Service ) , et angrep på et datasystem eller nettverk som gjør at en tjeneste eller ressurs blir utilgjengelig for legitime brukere. [ 1 ] Det forårsaker vanligvis tap av nettverkstilkobling ved å forbruke offerets nettverksbåndbredde eller overbelaste beregningsressursene til det angrepne systemet.
Et bemerkelsesverdig eksempel på dette skjedde 27. mars 2013 , da et business-to-business-angrep oversvømmet nettverket med spam , forårsaket en generell nedgang i Internett og til og med traff hotspots som London - knutepunktet . [ 2 ]
DoS-angrep genereres ved å mette porter med flere strømmer av informasjon, noe som fører til at serveren blir overbelastet og ikke kan fortsette å tilby tjenesten sin. Dette er grunnen til at det kalles et avslag , fordi det gjør at serveren ikke kan betjene det store antallet forespørsler. Denne teknikken brukes av crackere eller hackere for å ta målservere ut av drift. På globalt nivå har dette problemet vokst, delvis på grunn av den større enkle å lage angrep og også på grunn av den større mengden utstyr tilgjengelig som er feilkonfigurert eller har sikkerhetsfeil som utnyttes til å generere disse angrepene. En økning i refleksjon og forsterkningsangrep sees over bruken av botnett . [ 3 ]
En utvidelse av DoS-angrepet er det såkalte distributed denial of service-angrepet , også kalt DDoS (for dets akronym på engelsk, Distributed Denial of Service ) som utføres ved å generere en stor informasjonsflyt fra ulike koblingspunkter til samme destinasjonspunkt. Den vanligste måten å utføre en DDoS på er gjennom et botnett , denne teknikken er den vanligste og mest effektive cyberangrepet på grunn av dens teknologiske enkelhet.
Noen ganger har dette verktøyet blitt brukt som en god metode for å sjekke trafikkkapasiteten som en datamaskin kan håndtere uten å bli ustabil og påvirke tjenestene den leverer. En nettverksadministrator kan dermed vite den reelle kapasiteten til hver maskin.
Et av de første ondsinnede angrepene ble gjort av MafiaBoy , som utførte et DDos-angrep med samme navn, et angrep på University of Minnesota med 114 datamaskiner infisert med ondsinnet kode kalt Trin00.
Selv om det første angrepet var et som heter Panix, den tredje eldste internettleverandøren i verden, var målet for det første DoS-angrepet. Den 6. september 1996 var Panix gjenstand for et SYN-flomangrep som førte til at tjenestene deres gikk ned i flere dager mens nettverksmaskinvareleverandører , spesielt Cisco , fant tilstrekkelig forsvar.
Kraftigere angrep1. mars 2018 ble Github truffet med et angrep på 1,35 terabit per sekund, og 4 dager senere, 5. mars 2018, ble Arbor Networks offer for 1,7 terabit per sekund. Allerede i februar 2020 ble Amazon Web Services angrepet med 2,3 terabit per sekund.
Selv om rekorden holdes av Google Cloud, med 2,54 terabit per sekund, skjedde angrepet i september 2017.
Angrep på Telegram, i Hong KongUnder anti-utleveringsprotestene i Hong Kong i juni 2019 var meldingsappen Telegram målet for et DDoS-angrep, ment å hindre demonstranter i å bruke den til å koordinere protester. Telegrams grunnleggere har uttalt at dette angrepet ser ut til å være et "statlig" angrep på grunn av IP-adressene som stammer fra Kina.
DDoS til Wikipedia6. og 7. september 2019 ble Wikipedia ødelagt av et DDoS-angrep i Tyskland og deler av Europa. Brukere av sosiale medier, som ventet på at Wikipedia - serverne skulle komme tilbake, opprettet en " hashtag " på Twitter kalt: #WikipediaDown, i et forsøk på å få offentlig oppmerksomhet.
Angrep på Andorra Telecom21. januar 2022 ble Andorra Telecom , den eneste internettleverandøren i Andorra , utsatt for et DDoS-angrep om natten mens flere streamere kringkastet og deltok i et Minecraft -arrangement basert på Squid Game . På grunn av dette utsatte de arrangementet til neste dag. Imidlertid var det et andre angrep på ettermiddagen lørdag 22. januar, som førte til at nevnte streamere ble diskvalifisert fra nevnte begivenhet for å gi den kontinuitet. Mandag 24. januar fikk Andorra Telecom et tredje angrep. Det antas at disse angrepene ville blitt gjort for å skade innholdsskapere som bor i fyrstedømmet. Som den eneste leverandøren i landet ble alle brukerne uten internetttjeneste, i tillegg til youtuberne og streamerne som sendte på den tiden, blant dem var kjente navn som El Rubius , AuronPlay og TheGrefg. [ 4 ] [ 5 ] [ 6 ] [ 7 ]
United States Computer Emergency Preparedness Team ( US-CERT) har identifisert "symptomene" på et tjenestenektangrep, som er:
• Uvanlig tregt nettverk , spesielt når du surfer på internett eller åpner filer
• Treghet eller utilgjengelighet for å få tilgang til en hvilken som helst nettside
Et tjenestenektangrep forhindrer brukere fra legitim bruk når de bruker en nettverkstjeneste. Angrepet kan ha mange former. Men de har alle noe til felles: de bruker TCP/IP -familien av protokoller for å oppnå formålet.
Et DoS-angrep kan utføres på ulike måter. Selv om de i utgangspunktet består av:
Når en maskin kommuniserer via TCP/IP med en annen, sender den en rekke data sammen med den faktiske forespørselen. Disse dataene utgjør overskriften på forespørselen. Inne i overskriften er det noen signaler som kalles Flags ( flagg ). Disse signalene (flaggene) lar deg starte en tilkobling, lukke den, indikere at en forespørsel haster, starte en tilkobling på nytt osv. Flaggene er inkludert i både forespørselen (klienten) og svaret (serveren).
For å avklare, la oss se hvordan en standard TCP/IP-utveksling ser ut:
1) Etabler tilkobling: klienten sender et SYN-flagg; hvis serveren godtar tilkoblingen, skal den svare med en SYN/ACK; så skal klienten svare med et ACK-flagg.
1-klient --------SYN-----> 2 server 4-klient <-----SYN/ACK---- 3 Server 5-klient --------ACK-----> 6 server2) Tilbakestill tilkobling: når det er en feil eller tap av sending av pakker, opprettes sending av RST-flagg:
1-klient -------Tilbakestill-----> 2-server 4-klient <----Tilbakestill/ACK---- 3-server 5-klient --------ACK------> 6-serverSYN-flooding sender en strøm av TCP/SYN-pakker (flere forespørsler med SYN-flagg i overskriften), ofte med en forfalsket kildeadresse. Hver mottatt pakke blir behandlet av destinasjonen som en tilkoblingsforespørsel, noe som får serveren til å forsøke å etablere en tilkobling ved å svare med en TCP/SYN-ACK-pakke og vente på TCP/ACK-svarpakken (en del av tilkoblingsetableringsprosessen). 3-veis TCP-tilkobling). Men fordi kildeadressen er falsk eller den virkelige IP-adressen ikke har bedt om tilkoblingen, kommer svaret aldri.
Disse tilkoblingsforsøkene bruker ressurser på serveren og fyller antallet tilkoblinger som kan opprettes, noe som reduserer serverens tilgjengelighet til å svare på legitime tilkoblingsforespørsler.
SYN informasjonskapsler gir en beskyttelsesmekanisme mot SYN Flooding, og eliminerer reservasjon av ressurser i destinasjonsverten, for en tilkobling på tidspunktet for den første administrasjonen.
Det er en DoS-teknikk som tar sikte på å tømme offerets båndbredde. Den består i å kontinuerlig sende et stort antall ICMP Echo Request ( ping ) pakker av betydelig størrelse til offeret, slik at sistnevnte må svare med ICMP Echo Reply ( pong ) pakker, noe som innebærer en overbelastning både på nettverket og på selve nettverket, offerets system.
Avhengig av forholdet mellom prosesseringskapasiteten til offeret og angriperen varierer graden av overbelastning, det vil si at hvis en angriper har mye høyere kapasitet, kan offeret ikke håndtere den genererte trafikken.
Manipulering av maksimal segmentstørrelse og retransmisjon (datanettverk) , på engelsk , selektiv bekreftelse eller SACK, kan brukes eksternt for å forårsake et tjenestenektangrep via et heltallsoverløp i Linux-kjernen , [ 8 ] til og med forårsake kjernepanikk . [ 9 ] CVE-2019-11477, CVE-2019-11478, CVE-2019-11479 ble oppdaget av Jonathan Looney 17. juni 2019. [ 10 ]
Det er en variant av ICMP Flood kalt Smurf Attack som i stor grad forsterker effekten av ett eller flere ICMP -angrep .
Det er tre parter i et smurfeangrep: angriperen, mellommannen og offeret (vi vil se at mellommannen også kan være et offer).
I Smurf-angrepet dirigerer angriperen ICMP " ekkoforespørsel " (ping)-pakker til en kringkastet IP-adresse, ved å bruke offerets adresse som kilde-IP-adressen ( spoofing ). Tilkoblede verter forventes å svare på forespørselen, ved hjelp av ekkosvar , til kildeverten (offeret).
Effekten sies å være forsterket, siden antall svar som oppnås tilsvarer antall enheter i nettverket som kan svare. Alle disse svarene er rettet mot offeret som prøver å krasje nettverksressursene deres.
Som nevnt ovenfor lider også mellommenn av de samme problemene som ofrene selv.
Dette angrepet består av det faktum å generere store mengder UDP -pakker mot det valgte offeret. På grunn av den forbindelsesløse naturen til UDP-protokollen, er disse typene angrep ofte ledsaget av IP-spoofing .
Det er vanlig å rette dette angrepet mot maskiner som kjører Echo-tjenesten, slik at store Echo-meldinger genereres. [ referanse nødvendig ] [ 11 ]
Gjennom deres historie har DoS- og DDoS-angrep presentert en rekke hendelser, [ 12 ] hvorav de viktigste har vært følgende: