Musimy zawsze zwracać uwagę na różne ataki komputerowe, na które jesteśmy narażeni. Tym razem porozmawiamy o atak komputerowy atakujący dostępność usługi, To jest o Atak DoS (Denial of Service). Ten atak można przeprowadzić w sposób rozproszony (DDoS), będzie to zwykle realizowane za pośrednictwem botnetu. Celem atakujących jest to, że użytkownicy usługi nie mogą z niej korzystać, ponieważ jest ona przesycona, na pewno słyszałeś o atakach, których doświadczyła PlayStation Network, możliwe nawet, że z powodu jednego z tych ataków pewnego dnia nie będziesz mógł grać online.
Widziałeś, że Atak DoS i DDoSJedną różnicą, jaką znajdujemy między jednym a drugim atakiem, jest to, że w pierwszym używamy maszyny i połączenia, a w drugim wykorzystywanych będzie wiele komputerów, więc atak jest znacznie trudniejszy i skuteczniejszy.
NotatkaAby dobrze zrozumieć atak, konieczne jest poznanie sposobu działania protokołu TCP/IP lub przynajmniej podstawowe pojęcie o sieciach.
Różne sposoby przeprowadzenia ataku
Aby nauczyć się bezpieczeństwa i móc się chronić, trzeba wiedzieć, jak przeprowadzane są ataki. W tym ataku widzimy, że można go przeprowadzić na wiele sposobów, oto kilka z nich z krótkim wyjaśnieniem:
SYN PowódźAtak ten polega na wysłaniu do ofiary żądań połączenia (pakietów z aktywną flagą SYN) z fałszywych źródłowych adresów IP, które odpowiedzą pakietami zawierającymi flagi ACK i aktywne SYN i będą czekać na źródło połączenia, aby odpowiedzieć ACK flaga ustawiona, ale to się nigdy nie stanie.
Powódź ICMPW tym typie atakujący chce wykorzystać przepustowość ofiary, wysyłając wiele dużych pakietów ICMP, poprzez pingowanie.
Powódź UDPTutaj zostaną utworzone duże ilości pakietów UDP, które zostaną wysłane do ofiary na losowych portach.
Przepełnienie buforaTyp „klasycznego” ataku, atakujący wyśle ofierze więcej pakietów niż jest w stanie obsłużyć bufor usługi, co powoduje, że usługa nie odpowiada na uzasadnione żądania, ponieważ jest nasycona.
Istnieje więcej typów, takich jak Powódź HTTP, Wzmocnienie NTPitp.
Przykładowy atak DoS w Pythonie
Teraz zobaczymy mały przykład kodu w Pythonie, który będzie oparty na ataku SYN flood, test zostanie przeprowadzony w sposób kontrolowany na maszynach wirtualnych.
import logging logging.getLogger ("scapy.runtime"). setLevel (logging.ERROR) from scapy.all import * conf.verb = 0 host = "192.168.56.1" port = 80 originIP = "192.168.1." endIP = 10 numer_pakietu = 0 while True: numer_pakietu + = 1 pakiet = IP (src = (sourceIP + str (endIP)), dst = host) / TCP (sport = RandShort (), dport = port) send (pakiet, inter = 0,0002) print ("Pakiet% d wysłany"% numer_pakietu) endIP + = 1 if (endIP == 200): endIP = 10Kod jest dość prosty, używamy wersji 3 Pythona i korzystamy z biblioteki Scapy, która jest bardzo potężna i ułatwia nam pracę.
Pierwszą rzeczą, którą widzimy, jest zaimportowanie niezbędnych bibliotek, rejestr jest używany, aby uniknąć ostrzeżenia, że Scapy uruchamia się na IPv6. Następnie jest używany conf.czasownik = 0, dzieje się tak, aby Scapy nie wyświetlał informacji.
Następnie tworzona jest zmienna gospodarz, czyli nic innego jak adres IP celu naszego ataku i zmienna Port który jest portem naszego celu.
Aby nie zawsze był to ten sam adres źródłowy, stworzyłem zmienną, która ma bazę (adres IP pochodzenia) i kolejny, który zostanie dodany na końcu (koniec IP), jak widać, są one łączone podczas tworzenia pakietu początekIP + str (endIP).
Zmienna numer_pakietu służy po prostu do śledzenia wysłanych paczek.
Ostatnia część to nieskończona pętla, czyli ta, która zajmuje się wszystkim, tworzymy paczkę i ją wysyłamy, pokazujemy też, że paczka została wysłana, bo mamy informacje, i aktualizujemy zmienne koniec IP Tak numer_pakietu.
Jeśli uruchomimy kod i użyjemy wireshark, możemy zobaczyć, jak pakiety są wysyłane, sprawdzamy, czy źródłowy adres IP jest za każdym razem inny, podobnie jak port.
Jeśli na to spojrzymy, kolumna Source z poprzedniego obrazu ciągle się zmienia, kolumna Destination nie, ponieważ to nasza ofiara.
Środki zaradcze
Niestety firmy ponoszą wiele strat przez cały rok ze względu na tego typu ataki, więc bardzo ważne jest, abyśmy wdrożyli środki zaradcze, poniżej przedstawiamy kilka z nich, które powinniśmy wziąć pod uwagę:
- Skonfiguruj poprawnie zaporę sieciową lub systemy IDS lub IPS
- Ogranicz liczbę pakietów TCP SYN na sekundę
- Analizuj ruch sieciowy
- Odwrotne wyszukiwanie IP, służy do unikania podszywania się
Jeśli chcesz przeczytać więcej o kwestiach bezpieczeństwa, możesz odwiedzić kategorię poświęconą bezpieczeństwu w Solvetic.
Podobał Ci się i pomógł ten samouczek?Możesz nagrodzić autora, naciskając ten przycisk, aby dać mu pozytywny punkt