Invia.cz
Eurovíkendy
Kanárské ostrovy
Dominikánská republika
Madeira
Last minute
Vydělávejte peníze s INVIA.CZ
Invia.cz
Eurovíkendy
Kanárské ostrovy
Dominikánská republika
Madeira
Last minute
Vydělávejte peníze s INVIA.CZ
Denial of Service (česky odmítnutí služby) nebo též Distributed Denial of Service (česky distribuované odmítnutí služby) je technika útoku na internetové služby nebo stránky, při níž dochází k přehlcení požadavky a pádu nebo minimálně nefunkčnosti a nedostupnosti pro ostatní uživatele.
Cíle takového útoku jsou v zásadě dva:
Obsah |
United States Computer Emergency Readiness Team definuje příznaky DDoS útoku takto:
Splnění některých podmínek ale ještě neznamená DDoS útok, může jít o prostý výpadek zaviněný hardwarem nebo softwarem samotného serveru bez cizího zavinění.
Všechny typy se vyznačují několika společnými charakteristikami:
Smurf attack spočívá na chybné konfiguraci systému, který dovolí rozeslání paketů všem počítačům zapojených v síti přes Broadcast adresu. Pak stačí aby odeslaný paket měl dostatečnou velikost aby nebyl odfiltrován a všechny počítače v síti ho budou muset přijmout a zpracovat (zahodit).
Ping-flood stojí na zahlcení cílového počítače žádostmi o ping odezvu. Základním předpokladem je, že útočník má k dispozici rychlejší připojení k internetu s možností většího objemu dat. Tento druh útoku je nejjednodušší ve svém provedení, stačí použít „ping -t“ k odesílání nekonečného proudu žádostí.
SYN-flood zasílá záplavu TCP/SYN paketů s padělanou hlavičkou odesílatele. Každý takový paket je serverem přijat jako normální žádost o připojení. Server tedy odešle TCP/SYN-ACK packet a čeká na TCP/ACK. Ten ale nikdy nedorazí, protože hlavička odesílatele byla zfalšována. Takto polootevřená žádost nějakou dobu blokuje jiné, legitimní žádosti o připojení.
Tento typ útoku zahrnuje zaslání IP fragmentu s překrývajícím se příliš velkým nákladem dat na cílový počítač. Chyba v TCP/IP při přeskládání takového paketu může na starších Operačních systémech vést až k jejich pádu
Jde o využití masivního zástupu lidí na P2P sítích. Prakticky jde o zneužití bugu v klientu (většinou se jako příklad uvádí DC++) k odpojení od stávajícího serveru a pokusu o připojení k oběti. Při dobře provedeném útoku může být oběť vystavena najednou až 750.000 žádosti o připojení. I když tento útok se dá snadno odfiltrovat pomocí identické hlavičky p2p klienta, při masivním útoku i sama filtrace může vyústit v pád systému.
Nukes jsou speciální pakety určené k zničení cílového počítače. Ne vždy je totiž pro DoS třeba server zahltit, občas se v něm nalézá chyba která zapříčiní pád při zpracování jediného paketu.
Typickým příkladem je WinNuke který využívá chybu v NetBIOS handleru v Windows 95.
SYN Cookies vnitřně modifikují chování TCP protokolu tak, že k vlastním zdrojům serveru se přistupuje až po ověření platnosti adresy. Tímto postupem se dá velmi účinně předejít SYN Flood útoku. Implementace této obrany je běžná na Solaris a Linux systémech.
Přestože obsahuje jednoduché procesy k blokování IP adres či celých protokolů, z logiky věci nemůže být účinný absolutně. Nemůžeme přece kompletně zablokovat port na kterém přichází i legitimní uživatelé.
Je účinný pouze v případě že útok má shodný podpis (například část hlavičky) s již dříve provedeným útokem. Podle podpisu totiž může začít okamžitě filtrovat pokusy o DoS od normálního provozu na síti.