DoS-Angriff (Denial of Service)

Wir müssen immer aufmerksam auf die verschiedenen Computerangriffe achten, denen wir ausgesetzt sind. Dieses Mal werden wir über a . sprechen Computerangriff, der die Verfügbarkeit eines Dienstes angreift, Es geht um DoS-Angriff (Denial of Service). Dieser Angriff kann verteilt erfolgen (DDoS), wird es normalerweise über ein Botnet durchgeführt. Die Angreifer haben das Ziel, dass die Benutzer eines Dienstes ihn nicht nutzen können, da er gesättigt ist. Sie haben sicherlich von den Angriffen gehört, die PlayStation Network erlitten hat, es ist sogar möglich, dass Sie aufgrund eines dieser Angriffe eines Tages nicht spielen konnten online.

Sie haben gesehen, dass die DoS-Angriff und DDoSEin Unterschied, den wir zwischen einem Angriff feststellen, besteht darin, dass wir im ersten Fall eine Maschine und eine Verbindung verwenden und im zweiten viele Computer verwendet werden, sodass der Angriff viel härter und effektiver ist.

NotizUm den Angriff gut zu verstehen, ist es notwendig, dass Sie wissen, wie TCP/IP funktioniert, oder zumindest grundlegende Kenntnisse über Netzwerke haben.

Verschiedene Möglichkeiten, den Angriff auszuführen


Um Sicherheit zu erlernen und sich schützen zu können, ist es notwendig zu wissen, wie Angriffe durchgeführt werden. An diesem Angriff können wir sehen, dass er auf viele Arten durchgeführt werden kann, hier sind einige davon mit einer kurzen Erklärung:

SYN-FlutDieser Angriff besteht darin, Verbindungsanfragen (Pakete mit aktivem SYN-Flag) von falschen Quell-IP-Adressen an das Opfer zu senden, das mit Paketen mit den ACK- und aktiven SYN-Flags antwortet und darauf wartet, dass der Ursprung der Verbindung mit dem ACK antwortet Flag gesetzt, aber das wird nie passieren.

ICMP-FlutBei diesem Typ möchte der Angreifer die Bandbreite des Opfers verbrauchen, indem er zahlreiche große ICMP-Pakete sendet, dies geschieht durch Ping.

UDP-FlutHier werden große Mengen an UDP-Paketen erstellt, die an zufälligen Ports an das Opfer gesendet werden.

PufferüberlaufBei einem "klassischen" Angriff sendet der Angreifer dem Opfer mehr Pakete, als der Dienstpuffer verarbeiten kann. Dies führt dazu, dass der Dienst nicht auf legitime Anfragen reagiert, da er gesättigt ist.

Es gibt noch mehr Typen, wie z HTTP-Flood, NTP-Verstärkung, etc.

Beispiel für einen DoS-Angriff in Python


Nun sehen wir ein kleines Code-Beispiel in Python, das auf dem SYN-Flood-Angriff basiert, der Test wird kontrolliert mit virtuellen Maschinen durchgeführt.
 import logging Logging.getLogger ("scapy.runtime"). setLevel (logging.ERROR) from scapy.all import * conf.verb = 0 host = "192.168.56.1" port = 80 originIP = "192.168.1." endIP = 10 packet_number = 0 während True: packet_number + = 1 packet = IP (src = (sourceIP + str (endIP)), dst = host) / TCP (sport = RandShort (), dport = port) send (packet, inter = 0.0002) print ("Packet% d sent"% packet_number) endIP + = 1 if (endIP == 200): endIP = 10
Der Code ist recht einfach, wir verwenden Version 3 von Python und wir verwenden die Scapy-Bibliothek, die sehr mächtig ist und uns die Arbeit erleichtert.

Das erste, was wir sehen, ist das Importieren der erforderlichen Bibliotheken. Die Registrierung wird verwendet, um die Warnung zu vermeiden, dass Scapy auf IPv6 gestartet wird. Dann wird es verwendet conf.verb = 0, dies geschieht, damit Scapy keine Informationen anzeigt.

Als nächstes wird die Variable erstellt Gastgeber, was nichts anderes ist als die IP des Angriffsziels und die Variable Hafen das ist der Hafen unseres Ziels.

Damit es nicht immer die gleiche Quelladresse ist, habe ich eine Variable angelegt, die die Basis (originIP) und ein weiteres, das am Ende hinzugefügt wird (endIP), wie Sie sehen können, werden sie beim Erstellen des Pakets verkettet originIP + str (endIP).

Die Variable Paketnummer es wird einfach verwendet, um die gesendeten Pakete zu verfolgen.

Der letzte Teil ist eine Endlosschleife, die sich um alles kümmert, wir erstellen das Paket und senden es, wir zeigen auch, dass das Paket gesendet wurde, weil wir die Informationen haben, und aktualisieren die Variablen endIP Ja Paketnummer.
Wenn wir den Code ausführen und Wireshark verwenden, können wir sehen, wie die Pakete gesendet werden, wir überprüfen jedes Mal, ob die Quell-IP und der Port unterschiedlich sind.

Wenn wir es uns ansehen, ändert sich die Quellspalte des vorherigen Bildes ständig, die Zielspalte nicht, da sie unser Opfer ist.

Gegenmaßnahmen


Leider Unternehmen erleiden das ganze Jahr über viele Verluste Aufgrund dieser Art von Angriffen ist es sehr wichtig, dass wir Gegenmaßnahmen ergreifen. Nachfolgend sind einige der Maßnahmen aufgeführt, die wir berücksichtigen sollten:
  • Konfigurieren Sie Firewall- oder IDS- oder IPS-Systeme richtig
  • Begrenzen Sie die Anzahl der TCP-SYN-Pakete pro Sekunde
  • Analysieren Sie den Netzwerkverkehr
  • Reverse IP Lookup, dient zur Vermeidung von Spoofing

Wenn Sie mehr über Sicherheitsprobleme erfahren möchten, können Sie die Kategorie für Sicherheit innerhalb von Solvetic besuchen.

Hat dir dieses Tutorial gefallen und geholfen?Sie können den Autor belohnen, indem Sie diesen Knopf drücken, um ihm einen positiven Punkt zu geben
wave wave wave wave wave