Ataques de negação de serviço e como se proteger contra eles

Negação de serviço

(DoS) estão entre os ataques de hackers mais comuns. Um hacker inicia tantos pedidos inválidos para um host de rede que o host utiliza todos os seus recursos que respondem aos pedidos inválidos e ignora os pedidos legítimos.

Os ataques DoS

ataques DoS contra sua rede e os hosts podem causar sistemas para falhar, a perda de dados, e cada usuário para saltar sobre o seu caso se perguntando quando o acesso à Internet será restaurada.

Aqui estão alguns ataques DoS comum que visam um computador ou dispositivo de rede individual:

  • SYN floods: O atacante inunda um host com pacotes TCP SYN.

  • Ping da Morte: O atacante envia pacotes IP que excedam o comprimento máximo de 65.535 bytes, o que em última instância pode travar a pilha TCP / IP em vários sistemas operacionais.

  • WinNuke: Este ataque pode desativar a rede em computadores mais antigos do Windows 95 e Windows NT.

distribuído DoS (DDoS) têm um impacto exponencialmente maior sobre suas vítimas. Um dos mais famosos foi o ataque DDoS contra o eBay, Yahoo !, CNN, e dezenas de outros sites por um hacker conhecido como Mafiaboy. Houve um ataque DDoS altamente divulgada contra o Twitter, Facebook e outros sites de mídia social. O ataque foi aparentemente destinado a um usuário da Geórgia, mas isso afetou todos usando esses sites.

Você não poderia tweet, e muitos amigos e membros da família não podia ver o que todo mundo estava tagarelando sobre no Facebook. Pense sobre isso: Quando centenas de milhões de pessoas podem ser colocadas offline por um ataque DDoS alvo, você pode ver porque a compreensão dos perigos de negação de serviço contra sistemas e aplicações da sua empresa é importante.

Os ataques DoS e DDoS podem ser realizadas com as ferramentas que o atacante quer escreve ou downloads da Internet. Estas são boas ferramentas para testar IPS e firewalls da sua rede para a negação das fraquezas de serviço. Você pode encontrar programas que permitem ataques reais. Alguns programas, como o Tráfego QI Profissional de idappcom, também permitem que você enviar ataques controlados.

testes

Negação de testes de serviço é uma das verificações de segurança mais difíceis que você pode executar. Simplesmente não há o suficiente de você e seus computadores para ir ao redor. Não se preocupe. Seu primeiro teste deve ser uma busca de vulnerabilidades de negação de serviço a partir de uma perspectiva da vulnerabilidade de varredura. Usando scanners de vulnerabilidade, tal como QualysGuard e WebInspect, pode encontrar faltando patches e fraquezas de configuração que podem levar à negação de serviço.

Durante um recente projeto de avaliação de segurança, QualysGuard encontrou uma vulnerabilidade em uma versão OpenSSL mais velhos rodando em um servidor web. Como a maioria das descobertas de negação de serviço, com a permissão, o código de exploração foi baixado na Internet, compilado, e correu contra o servidor do cliente. Com certeza, ele levou o servidor offline.

Na primeira, o cliente pensou que era um golpe de sorte, mas depois de tomar o servidor off-line novamente, ele comprou a vulnerabilidade. Ele acabou que ele estava usando um derivado OpenSSL, portanto, a vulnerabilidade. Tinha o cliente não resolveu o problema, poderia ter havido qualquer número de atacantes ao redor do mundo que tomam este sistema de produção off-line, o que poderia ter sido complicado para solucionar problemas. Não é bom para o negócio!

Não teste para DoS menos que você tenha sistemas de teste ou pode realizar testes controlados com as ferramentas adequadas. testes DoS mal planejada é uma busca de trabalho na tomada. É como tentar apagar dados de um compartilhamento de rede e na esperança de que os controles de acesso no lugar está indo para impedi-lo.

Outras ferramentas de teste de DoS vale a pena conferir são UDPFlood, Explosão, NetScanTools Pro, e CommView.

Medidas contra ataques DoS



A maioria dos ataques DoS são difíceis de prever, mas eles podem ser fáceis de evitar:

  • patches de segurança testar e aplicar (incluindo os service packs e atualizações de firmware) o mais cedo possível para hosts de rede, como roteadores e firewalls, bem como para os sistemas operacionais de servidor e estação de trabalho.

  • Use um IPS para monitorar regularmente para ataques DoS.

    Você pode executar um analisador de rede em captura contínua modo, se você não pode justificar o custo de uma solução IPS all-out e usá-lo para monitorar ataques DoS.

  • Configurar firewalls e roteadores para bloquear o tráfego mal formado. Você pode fazer isso somente se seus sistemas de apoiá-lo, por isso consulte o manual do seu administrador para obter detalhes.

  • Minimizar spoofing IP através da filtragem de pacotes externos que parecem vir de um endereço interno, a central local (127.0.0.1), ou qualquer outro endereço particular e não pode ser reencaminhado, tal como 10.xxx, 172.16.xx-172.31.xx, ou 192.168. xx

  • Bloquear todo o tráfego de entrada ICMP à sua rede a menos que você precisa especificamente. Mesmo assim, você deve permitir que ele venha em apenas hosts específicos.

  • Desativar todos / pequenos serviços desnecessários TCP UDP, como eco e chargen.

Estabelecer uma linha de base de seus protocolos de rede e padrões de tráfego antes de um ataque DoS ocorre. Dessa forma, você sabe o que procurar. E periodicamente procurar tais potenciais vulnerabilidades de negação de serviço como software DoS desonestos instalado em hosts da rede.

Trabalhar com um mínimo necessário mentalidade (que não deve ser confundido com ter muitas cervejas) ao configurar seus dispositivos de rede, tais como firewalls e roteadores:

  • Identificar o tráfego que é necessário para o uso da rede aprovada.

  • Permitir que o tráfego que é necessário.

  • Negar qualquer outro tráfego.

Se o pior acontecer, você vai precisar para trabalhar com o seu ISP para ver se eles podem bloquear ataques DoS em sua extremidade.


Publicações relacionadas