DoS / DDoS

Fra Holstebro HTX Wiki
Skift til: navigering, søgning
DDoS.png

Et DoS angreb er at angribe en angivet adresse som kan være en IP Adresse eller en hjemmeside adresse. DoS står for Denial of Service, hvor DDoS står for Distributed Denial of Service. Forskellen på DoS og DDoS er meget simpelt. DoS er én enkelt computer der angriber, hvor DDoS er 2 eller flere computere. Formålet med et DoS eller DDoS angreb er at få en Server eller host til at være langsom, eller i værste fald, lukke helt ned. Et angreb foregår på den måde at computeren sender mange forespørgseler i sekundet til serveren, hvorefter serveren ikke kan svare tilbage. Det svarer til at der går folk ind af en dør, og så kommer der 1000 mennesker der maser sig ind foran de andre og lukker dem derved ude (fordi døren er for smal). Der findes mange forskellige angrebstyper, men de mest kendte er UDP og SYN. UDP står for User Datagram Protocol og SYN står for SYNchronize.


Direkte angreb

Når der udføres et direkte angreb sender angriberen pakker direkte til offeret. Hvis det er TCP pakker er det typisk et SYN flood angreb, hvor der bliver sendt en masse TCP SYN pakker afsted til offeret. Pakkerne der kommer til offeret har spoofede IP'er, og det gør at de bliver sendt videre ud på nettet.[1]

Ddos reflection.jpg

Indirekte angreb

Når der udføres et indirekte angreb (også kaldet et reflektions angreb) bruges der hosts (kaldet reflectors) til at udføre angrebet. Angriberen sender pakker til de reflektorene som sender dem videre til offeret, men den adresse som offeret får, er hans egen. Derfor kan serveren ikke forstå hvor det kommer fra og er derfor nogle gange nød til at slå serveren fra.


Forsvar imod et angreb

Når man bliver angrebet imod kan det sagtens ses på både forbindelsen, men også log-filen. Hvis man kigger på et normalt angreb, kan der måske være 100-200 forbindelser på 1 IP, det er normalt. Men hvis der ligepludseligt står flere millioner, så er det højest sandsynligt et angreb. Hvis du sidder på en langsom hjemmeforbindelse og bliver angrebet af et stort netværk, så er der meget stor sandsynlighed for at hjemmenetværket ikke har nogen internetforbindelse, i det at det bliver overbelastet og man kan derfor ikke gå ind på nogle hjemmesider. Man kan stoppe et angreb imod ens IP Adresse ved at ringe til sin internetudbyder og bede om at få en ny IP. Efter du har fået en ny IP, er angriberen nød til at kende din nye IP før han kan angribe dig igen.

Angrebsmetoder

HTTP Flood

HTTP Flood er det simpleste angreb af alle. Det foregår ved, at en række computere, typisk nogle der er medlem af et botnet, sender en masse enorme HTTP GET requests til serveren, typisk spredt over flere pakker. Dette optager alt serverens båndbredde og holder serveren nede for legitime brugere.

Slowloris

En viderebygning af HTTP flood, hvor man i stedet for at sende meget data, kun åbner en forbindelse og undlader at sende den sekvens af newlines (Linjeskift), som er et signal til at serveren skal lukke forbindelsen. På denne måde åbnes der så mange forbindelser, så netværksudstyret overbelastes og forhindrer nye forbindelser. Slowloris er relativt nemt at forebygge, da man blot skal indstille en udløbstid for åbne og inaktive forbindelser.

THC/SSL Flood

En meget udbredt form for Denial of Service-angreb der benytter sig af SSL krypteringen på en webserver. Når man normalt opretter forbindelse til en webserver med SSL-kryptering, skal klienten og serveren udveksle krypteringsnøgler som bruges til at kryptere og dekryptere de informationer der sendes mellem de to punkter. Klienten har mulighed for at bede serveren om at sende krypteringsnøglen igen. En såkaldt renegotiation request fylder cirka 15 gange mindre end selve krypteringsnøglen, så derfor kræves der næsten ingen ressurser fra klienten. Serveren producerer altså 15 gange så meget data som klienten sender til serveren, hvilket gør det til en af de stærkeste angrebstyper.

DNS Amplification

Ved denne type angreb, benyttes den måde en DNS-server virker på, til at lokke DNS serveren til at bombe offeret. Når man sender en lookup request til en DNS-server, sender den typisk IP-addresserne tilbage til klienten. Hvis serveren ikke kan finde domænet i sit eget register, sender den anmodningen videre til en root nameserver, som opretter forbindelse mellem din DNS og en der har domænet i sit register. IP addresserne for et domæne sendes tilbage til klienten, og klienten kan forbinde til hjemmesiden. Ved et DNS amplification-angreb, spoofes oprindelses-IP'en, så DNS-serveren sender sit svar til offeret. Derved kan man benytte en DNS-server til et Denial of Service angreb.

RUDY (R U Dead Yet?)

En ganske ny angrebstype, der sender en masse små anmodninger spredt over datapakker på en enkelt byte, kræver en stor del af serverens ressurser at samle, samt lav båndbredde. Angriberen vælger typisk en formular på målets hjemmeside, hvor der bliver genereret noget tilfældigt indhold som sendes til serveren. RUDY er svært at forhindre, da der sendes så lidt data, at det lige så godt kunne oprinde fra en legitim bruger.[2]

Referencer

  1. Denial-of-Service (29-11-2012)
  2. Methods Fully Explained (03-12-2012)