Denial of service angrep

Innen datasikkerhet er et tjenestenektangrep , også kalt et DoS -angrep ( Denial of Service ) , et angrep på et datasystem eller nettverk som gjør at en tjeneste eller ressurs blir utilgjengelig for legitime brukere. [ 1 ] Det forårsaker vanligvis tap av nettverkstilkobling ved å forbruke offerets nettverksbåndbredde eller overbelaste beregningsressursene til det angrepne systemet.

Et bemerkelsesverdig eksempel på dette skjedde 27. mars 2013 , da et business-to-business-angrep oversvømmet nettverket med spam , forårsaket en generell nedgang i Internett og til og med traff hotspots som London - knutepunktet . [ 2 ]

DoS-angrep genereres ved å mette porter med flere strømmer av informasjon, noe som fører til at serveren blir overbelastet og ikke kan fortsette å tilby tjenesten sin. Dette er grunnen til at det kalles et avslag , fordi det gjør at serveren ikke kan betjene det store antallet forespørsler. Denne teknikken brukes av crackere eller hackere for å ta målservere ut av drift. På globalt nivå har dette problemet vokst, delvis på grunn av den større enkle å lage angrep og også på grunn av den større mengden utstyr tilgjengelig som er feilkonfigurert eller har sikkerhetsfeil som utnyttes til å generere disse angrepene. En økning i refleksjon og forsterkningsangrep sees over bruken av botnett . [ 3 ]

En utvidelse av DoS-angrepet er det såkalte distributed denial of service-angrepet , også kalt DDoS (for dets akronym på engelsk, Distributed Denial of Service ) som utføres ved å generere en stor informasjonsflyt fra ulike koblingspunkter til samme destinasjonspunkt. Den vanligste måten å utføre en DDoS på er gjennom et botnett , denne teknikken er den vanligste og mest effektive cyberangrepet på grunn av dens teknologiske enkelhet.

Noen ganger har dette verktøyet blitt brukt som en god metode for å sjekke trafikkkapasiteten som en datamaskin kan håndtere uten å bli ustabil og påvirke tjenestene den leverer. En nettverksadministrator kan dermed vite den reelle kapasiteten til hver maskin.

Historie om angrep

Et av de første ondsinnede angrepene ble gjort av MafiaBoy , som utførte et DDos-angrep med samme navn, et angrep på University of Minnesota med 114 datamaskiner infisert med ondsinnet kode kalt Trin00.

Selv om det første angrepet var et som heter Panix, den tredje eldste internettleverandøren i verden, var målet for det første DoS-angrepet. Den 6. september 1996 var Panix gjenstand for et SYN-flomangrep som førte til at tjenestene deres gikk ned i flere dager mens nettverksmaskinvareleverandører , spesielt Cisco , fant tilstrekkelig forsvar.

Kraftigere angrep

1. mars 2018 ble Github truffet med et angrep på 1,35 terabit per sekund, og 4 dager senere, 5. mars 2018, ble Arbor Networks offer for 1,7 terabit per sekund. Allerede i februar 2020 ble Amazon Web Services angrepet med 2,3 terabit per sekund.

Selv om rekorden holdes av Google Cloud, med 2,54 terabit per sekund, skjedde angrepet i september 2017.

Angrep på Telegram, i Hong Kong

Under anti-utleveringsprotestene i Hong Kong i juni 2019 var meldingsappen Telegram målet for et DDoS-angrep, ment å hindre demonstranter i å bruke den til å koordinere protester. Telegrams grunnleggere har uttalt at dette angrepet ser ut til å være et "statlig" angrep på grunn av IP-adressene som stammer fra Kina.

DDoS til Wikipedia

6. og 7. september 2019 ble Wikipedia ødelagt av et DDoS-angrep i Tyskland og deler av Europa. Brukere av sosiale medier, som ventet på at Wikipedia - serverne skulle komme tilbake, opprettet en " hashtag " på Twitter kalt: #WikipediaDown, i et forsøk på å få offentlig oppmerksomhet.

Angrep på Andorra Telecom

21. januar 2022 ble Andorra Telecom , den eneste internettleverandøren i Andorra , utsatt for et DDoS-angrep om natten mens flere streamere kringkastet og deltok i et Minecraft -arrangement basert på Squid Game . På grunn av dette utsatte de arrangementet til neste dag. Imidlertid var det et andre angrep på ettermiddagen lørdag 22. januar, som førte til at nevnte streamere ble diskvalifisert fra nevnte begivenhet for å gi den kontinuitet. Mandag 24. januar fikk Andorra Telecom et tredje angrep. Det antas at disse angrepene ville blitt gjort for å skade innholdsskapere som bor i fyrstedømmet. Som den eneste leverandøren i landet ble alle brukerne uten internetttjeneste, i tillegg til youtuberne og streamerne som sendte på den tiden, blant dem var kjente navn som El Rubius , AuronPlay og TheGrefg. [ 4 ]​ [ 5 ]​ [ 6 ]​ [ 7 ]

"Symptomer" på et tjenestenektangrep

United States Computer Emergency Preparedness Team ( US-CERT) har identifisert "symptomene" på et tjenestenektangrep, som er:

• Uvanlig tregt nettverk , spesielt når du surfer på internett eller åpner filer

• Treghet eller utilgjengelighet for å få tilgang til en hvilken som helst nettside

Angrepsteknikker

Et tjenestenektangrep forhindrer brukere fra legitim bruk når de bruker en nettverkstjeneste. Angrepet kan ha mange former. Men de har alle noe til felles: de bruker TCP/IP -familien av protokoller for å oppnå formålet.

Et DoS-angrep kan utføres på ulike måter. Selv om de i utgangspunktet består av:

  • Forbruk av beregningsressurser, for eksempel båndbredde, diskplass eller prosessortid.
  • Endring av konfigurasjonsinformasjon, for eksempel rutinginformasjon.
  • Endring av statusinformasjon, for eksempel avbrudd av TCP-økter (TCP-tilbakestilling).
  • Avbrudd av fysiske nettverkskomponenter.
  • Hindring av kommunikasjonsmidler mellom brukere av en tjeneste og offeret, slik at de ikke lenger kan kommunisere riktig.

SYN Flood (SYN Flood)

TCP/IP-prinsipper

Når en maskin kommuniserer via TCP/IP med en annen, sender den en rekke data sammen med den faktiske forespørselen. Disse dataene utgjør overskriften på forespørselen. Inne i overskriften er det noen signaler som kalles Flags ( flagg ). Disse signalene (flaggene) lar deg starte en tilkobling, lukke den, indikere at en forespørsel haster, starte en tilkobling på nytt osv. Flaggene er inkludert i både forespørselen (klienten) og svaret (serveren).

For å avklare, la oss se hvordan en standard TCP/IP-utveksling ser ut:

1) Etabler tilkobling: klienten sender et SYN-flagg; hvis serveren godtar tilkoblingen, skal den svare med en SYN/ACK; så skal klienten svare med et ACK-flagg.

1-klient --------SYN-----> 2 server 4-klient <-----SYN/ACK---- 3 Server 5-klient --------ACK-----> 6 server

2) Tilbakestill tilkobling: når det er en feil eller tap av sending av pakker, opprettes sending av RST-flagg:

1-klient -------Tilbakestill-----> 2-server 4-klient <----Tilbakestill/ACK---- 3-server 5-klient --------ACK------> 6-server

SYN-flooding sender en strøm av TCP/SYN-pakker (flere forespørsler med SYN-flagg i overskriften), ofte med en forfalsket kildeadresse. Hver mottatt pakke blir behandlet av destinasjonen som en tilkoblingsforespørsel, noe som får serveren til å forsøke å etablere en tilkobling ved å svare med en TCP/SYN-ACK-pakke og vente på TCP/ACK-svarpakken (en del av tilkoblingsetableringsprosessen). 3-veis TCP-tilkobling). Men fordi kildeadressen er falsk eller den virkelige IP-adressen ikke har bedt om tilkoblingen, kommer svaret aldri.

Disse tilkoblingsforsøkene bruker ressurser på serveren og fyller antallet tilkoblinger som kan opprettes, noe som reduserer serverens tilgjengelighet til å svare på legitime tilkoblingsforespørsler.

SYN informasjonskapsler gir en beskyttelsesmekanisme mot SYN Flooding, og eliminerer reservasjon av ressurser i destinasjonsverten, for en tilkobling på tidspunktet for den første administrasjonen.

ICMP Flood (ICMP Flood)

Det er en DoS-teknikk som tar sikte på å tømme offerets båndbredde. Den består i å kontinuerlig sende et stort antall ICMP Echo Request ( ping ) pakker av betydelig størrelse til offeret, slik at sistnevnte må svare med ICMP Echo Reply ( pong ) pakker, noe som innebærer en overbelastning både på nettverket og på selve nettverket, offerets system.

Avhengig av forholdet mellom prosesseringskapasiteten til offeret og angriperen varierer graden av overbelastning, det vil si at hvis en angriper har mye høyere kapasitet, kan offeret ikke håndtere den genererte trafikken.

SACKPanic

Manipulering av maksimal segmentstørrelse og retransmisjon (datanettverk) , på engelsk , selektiv bekreftelse eller SACK, kan brukes eksternt for å forårsake et tjenestenektangrep via et heltallsoverløp i Linux-kjernen , [ 8 ]​ til og med forårsake kjernepanikk . [ 9 ] CVE-2019-11477, CVE-2019-11478, CVE-2019-11479 ble oppdaget av Jonathan Looney 17. juni 2019. [ 10 ]

SMURF

Det er en variant av ICMP Flood kalt Smurf Attack som i stor grad forsterker effekten av ett eller flere ICMP -angrep .

Det er tre parter i et smurfeangrep: angriperen, mellommannen og offeret (vi vil se at mellommannen også kan være et offer).

I Smurf-angrepet dirigerer angriperen ICMP " ekkoforespørsel " (ping)-pakker til en kringkastet IP-adresse, ved å bruke offerets adresse som kilde-IP-adressen ( spoofing ). Tilkoblede verter forventes å svare på forespørselen, ved hjelp av ekkosvar , til kildeverten (offeret).

Effekten sies å være forsterket, siden antall svar som oppnås tilsvarer antall enheter i nettverket som kan svare. Alle disse svarene er rettet mot offeret som prøver å krasje nettverksressursene deres.

Som nevnt ovenfor lider også mellommenn av de samme problemene som ofrene selv.

UDP Flood (UDP Flood)

Dette angrepet består av det faktum å generere store mengder UDP -pakker mot det valgte offeret. På grunn av den forbindelsesløse naturen til UDP-protokollen, er disse typene angrep ofte ledsaget av IP-spoofing .

Det er vanlig å rette dette angrepet mot maskiner som kjører Echo-tjenesten, slik at store Echo-meldinger genereres. [ referanse nødvendig ] [ 11 ]

Hendelser

Gjennom deres historie har DoS- og DDoS-angrep presentert en rekke hendelser, [ 12 ] hvorav de viktigste har vært følgende:

  • Fra begynnelsen av 2014 har bruken av angrep basert på UDP-protokoller økt betydelig. For tiden er det store hendelser med angrep basert på CHARGEN, NTP og DNS. [ 13 ] I følge Prolexics Q1 2014 DDOS-rapport, vokste den gjennomsnittlige båndbredden av angrep med 39 % sammenlignet med angrep i 2013. Sammenlignet med samme kvartal 2013 var det en økning på 47 % i antall angrep og en økning på 133 %. i toppbåndbredde for angrep. [ 14 ]
  • 20. desember 2018, Federal Bureau of Investigation, i samarbeid med Storbritannias National Crime Agency ( NCA ), det nederlandske nasjonale politiet ( lovhåndhevelse i Nederland ), Justisdepartementet i USA og flere teknologier selskaper ( Cloudflare , Flashpoint og Google , blant andre) fortsatte med å beslaglegge 15 webdomener dedikert til å selge store DDoS-angrep gjennom deres fasiliteter. [ 16 ] Saken ble foretatt i henhold til en ordre fra en føderal dommer i California . [ 17 ] De 200 tusen angrepene gjort av Downthem ( «sett dem offline» på spansk) med mer enn to tusen klienter skiller seg ut, selv om det fortsatt er lite sammenlignet med den beslaglagte domenewebstresseren i april 2018, [ 18 ] hvorfra mer enn 6 millioner DDoS-angrep ble utført. [ 19 ]

Se også

Referanser

  1. ^ "Hvordan kan DDoS-angrep lamme internett" (pdf) . Europol (på engelsk) . 25. april 2018. Arkivert fra originalen 21. desember 2018 . Hentet 21. desember 2018 .  
  2. «En tvist mellom selskaper bremser Internett.» av Rosa Jiménez Cano og publisert i El País 27. mars 2013. Sjekket 27. mars 2013.
  3. Proleksisk. "Q1 2014 ser en økning i refleksjonsbaserte DDoS-angrep " . Hentet 18. april 2014 . 
  4. "ElRubius, TheGrefg og andre andorranske streamere mister internett på grunn av DDoS-angrep" . Vandal . Hentet 2022-01-25 . 
  5. González, Carolina (24. januar 2022). «DDoS-angrepet i Andorra etterlot streamere og youtubere offline» . ComputerHoy . Hentet 2022-01-25 . 
  6. ^ "Andorra lider av et nytt hack som etterlater hele landet uten internett, inkludert streamere" . Den spanske . 24. januar 2022 . Hentet 2022-01-25 . 
  7. Vallejo, Antonio (24. januar 2022). "Det tredje DDoS-angrepet i Andorra antyder at det er bedre å unngå å gå til et sted med en enkelt Internett-leverandør hvis du er en streamer . " Genbeta . Hentet 2022-01-25 . 
  8. Naranjo, David (23. juni 2019). "Nye sårbarheter ble funnet i Linux over TCP/IP" (html) . ubunlog . Arkivert fra originalen 26. juni 2019 . Hentet 26. juni 2019 . "Den mest alvorlige sårbarheten, kalt SACK Panic, kan utnyttes ved å sende en selektiv TCP-håndtrykksekvens spesielt skreddersydd til en sårbar datamaskin eller server. » https://www.technologyreview.es/s/11102/tras-20-anos-del-primer-ddos-seguimos-desprotegidos-contra-ellos#:~:text=El%2022%20de%20julio%20de, a%20c%C3%B3say%20malicious%20named%20Trin00 .  
  9. ^ "SACK Panic and Other TCP Denial of Service Issues" (html) . Ubuntu Wiki (på engelsk) . 17. juni 2019. Arkivert fra originalen 19. juni 2019 . Hentet 21. juni 2019 .  
  10. ^ "CVE-2019-11479" (html) . CVE-er (på engelsk) . Arkivert fra originalen 21. juni 2019 . Hentet 21. juni 2019 .  
  11. Scateni, Ian. "DDOS-angrep" . Arkivert fra originalen 18. oktober 2017 . Hentet 17. oktober 2017 . 
  12. Royal Spanish Academy og Association of Academies of the Spanish Language. «forekomst : En hendelse som inntreffer i løpet av en sak eller virksomhet og har en sammenheng med den.» . Dictionary of the Spanish Language (23. utgave) . Hentet 23. juli 2018 .  
  13. ^ "Begrense distribuert tjenestenektangrep basert på DNS-forsterkning" . Arkivert fra originalen 31. august 2018 . Hentet 31. august 2018 . 
  14. PR Newswire (17. april 2014). Akamai publiserer Prolexic Q1 2014 Global DDoS Attack Report . Hentet 18. april 2014 . 
  15. "Flere massive nettangrep deaktiverer nettstedene til store selskaper" . Hentet 22. oktober 2016 . 
  16. ^ "FBI stenger 15 nettsteder for å utføre DDoS-angrep" (html) . ADSLZone . 21. desember 2018. Arkivert fra originalen 22. desember 2018 . Hentet 22. desember 2018 . 
  17. Whittaker, Zack (20. desember 2018). "FBI fjerner noen av de verste 'DDoS for hire'-sidene fra internett" (html) . TechCrunch (på engelsk) . Arkivert fra originalen 20. desember 2018 . Hentet 21. desember 2018 . «FBI har beslaglagt domenene til 15 høyprofilerte nettsteder for distribuert tjenestenekt (DDoS) etter en koordinert innsats fra rettshåndhevelse og flere teknologiselskaper. (...) I alt ble flere nettsteder slått offline – inkludert downthem.org, netstress.org, quantumstress.net, vbooter.org og defcon.pro og mer – som gjorde det mulig for potensielle angripere å registrere seg for å leie tid og servere for å starte store båndbreddeangrep mot systemer og servere. »  
  18. ^ "Verdens største markedsplass som selger internett lammende DDoS-angrep fjernet" (html) . Europol (på engelsk) . 25. april 2018. Arkivert fra originalen 25. april 2018 . Hentet 21. desember 2018 . «Administratorene for DDoS-markedsplassen webstresser.org ble arrestert 24. april 2018 som et resultat av Operation Power Off, en kompleks etterforskning ledet av det nederlandske politiet og Storbritannias National Crime Agency med støtte fra Europol og et dusin rettshåndhevelsesbyråer fra jorden rundt. Administratorene var lokalisert i Storbritannia, Kroatia, Canada og Serbia. Ytterligere tiltak ble iverksatt mot toppbrukerne av denne markedsplassen i Nederland, Italia, Spania, Kroatia, Storbritannia, Australia, Canada og Hong Kong. Den ulovlige tjenesten ble lagt ned og dens infrastruktur beslaglagt i Nederland, USA og Tyskland. »  
  19. Bruwester, Thomas (25. april 2018). "Politierne tar ned verdens største 'DDoS-For-Hire'-side de hevder lanserte 6 millioner angrep" (html) . Forbes (på engelsk) . Arkivert fra originalen 25. april 2018 . Hentet 20. desember 2018 . «Europeisk rettshåndhevelse feirer i dag demonteringen av et nettsted som politiet påstår solgte DDoS-angrep (Distributed Denial of Service) og bidro til å lansere opptil 6 millioner av dem for så mange som 136 000 registrerte brukere. Fire påståtte administratorer av webstresser.org-tjenesten ble arrestert tirsdag i Storbritannia, Canada, Kroatia og Serbia, mens nettstedet ble stengt og dets infrastruktur beslaglagt i Tyskland og USA, kunngjorde Europol onsdag. »  

Eksterne lenker