Форум АНТИЧАТ - Виды Denial of Service

Виды Denial of Service

09.07.2009, 00:43

Dimi4

Чайный пакетик

Регистрация: 19.03.2007

Сообщения: 968

Провел на форуме:
3 месяца

Репутация: 228 ±

Отправить сообщение для Dimi4 с помощью ICQ

Виды Denial of Service

Виды Denial of Service, классификация

[ =) ] Интро какбы)

Вообщем существует стереотип, что есть всего два типа отказа в обслуживании - Ddos & Dos. Но это далеко не так

. Так как у нас появился новый раздел, думаю будет полезный небольшой очерк на эту тему.

[ ~ ] ЭЭэ, ты о чем вообще?

DoS-атака (от англ. Denial of Service, отказ в обслуживании) и DDoS-атака (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании») — атака на вычислительную систему с целью довести её до отказа, то есть, создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён. Отказ «вражеской» системы может быть как самоцелью (например, сделать недоступным популярный сайт), так и одним из шагов к овладению системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.).

В некоторых случаях к DDoS-атаке приводит легитимное действие, например, простановка ссылки на сайт (размещённый на не очень производительном сервере) на популярном интернет-ресурсе (слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и отказу в обслуживании части из них.
© http://ru.wikipedia.org/wiki/DoS-атака

[ ~ ] Ага, понял, поделим на виды?

Давайте разобьем всё по полочкам.
В веб-приложениях различают:
Classic DoS:
Denial of Service
Distributed Denial of Service
Looped DoS
Recursive File Include

В браузерах различают:
Сrashing
Blocking
Freezing
Resources consumption

[ ~ ]Поподробнее с этого места...

Classic DoS

В случае DDoS - виснет система. Поэтому потребуется ее перезагрузка. Также можно обойтись лишь остановкой процесса, который грузит всю систему (Apache, nginx, MySQL итд.), но такое крайне редко случается.

В случае DoS - происходит сильная нагрузка на сервер. Может быть вызвана произвольно, когда на посещаемом портале используются тяжёлые операции (работа с БД, картинками, загрузка файлов, работа с большими файлами и тд.)

Также DdoS и DoS различают тем, что DdoS атака происходит с разных сетей (разные страны, провайдеры) и отловить зомбированные машины практически невозможно, а DoS часто-густо исходит из одной подсети.

Looped DoS

Looped DoS часто возникает в не качественных поисковых машинах (боты индексируют свою же систему), редиректорах. Если нет ограничений на редирекцию, то пользователь может составить урл, при котором произойдет "вечное" перенаправление. По сути тоже что и Looped DoS.

Recursive File Include

Recursive File Include - по факту LFI, или даже RFI

По сути тоже что и Looped DoS.
Смысл в том, что происходит вечный цикл инклуда файла. Тоесть пхп сценарий инклудит сам себя.
Например:

PHP код:


		
			
 include($_GET['page']);

Если обратится к скрипту

Код:

script.php?page=script.php

можна повесить веб сервер

Далее о браузерах

Сrashing DoS

Ну раз уже начали читать, скажу что они не на столько опасны, на сколько не приятны. И так, в результате Сrashing DoS браузер "падает". Последствия: утеряны не сохраненные даные.

Blocking DoS

В результате Blocking DoS браузер вас не слушается. Совем

. Хотя и не виснет, просто вы ему больше не хозяин

. Придется закрыть.

Freezing

С Freezingом всё просто. Браузер виснет, и ничего тут не поделаешь. Последствие те же что и у первых двоих.

Resources consumption

Resources consumption. Браузер забирает на себя все ресурсы компютера. Как результат - подвисание всей системы.

[ ~ ]Как же защитится?

Ну... Для этого и создан этот раздел

Хотя можно выделить ключи к успеху:

Хороший хостинг
Анти-DDoS оборудование
Ширина канала
Гибкие настройки сервака
Хорошо проектированный и оптимизированный проект
Средства влияния ("Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как технического, так и организационно-правового характера." © Википедия)

[ =( ] Послесловие

И помните, не юзайте говно-паблик-антиддос скрипты, они вас точно не спасут. Да если задуматься, нихера вас вообще не спасет

Снифайте трафик и анализируйте пакеты, юзайте netfilter .

http://i2r.ru/static/452/out_19122.shtml - Защита
http://en.wikipedia.org/wiki/Netfilter - Netfilter
http://uasc.org.ua/2009/04/ddos-відмова-сервісу/ - Заметка в блоге на украинском
http://stfw.ru/page.php?id=163 DDoS - виртуальный терроризм. Что такое DDoS-атака?
http://stfw.ru/page.php?id=7381 Не так страшен DDoS, как его малюют

Ну и гугл) Много интересного.

Специально для antichat.ru, © [UASC], Dimi4

Последний раз редактировалось Dimi4, 09.07.2009 в 00:55.

09.07.2009, 02:00

ettee

Administrator

Регистрация: 12.10.2006

Сообщения: 467

Провел на форуме:
6 месяцев 3 недели 3 дня

Пример классификации по присваемым сигнатурам в IPS:

Код:

MSRPC_NTLM_Reset_DoS 
Oracle_One_Byte_Packet_DoS 
BlackBerry_SRP_DoS 
DCOM_SystemActivation_DoS 
DHCP_ClientID_DoS 
Email_Mailman_Date_DoS 
MSRPC_WksSvc_UserEnum_DoS 
NDMP_Veritas_BackupExec_ErrorField_BO 
Netbios_Flood_DoS 
Oracle_Listener_Services_DoS 
MSRPC_Spoolss_GetPrinterData_DoS 
Email_Exchange_Calendar_DoS 
OWA_Script_UTF_Encoding 
SIP_0_Response_Code 
BrightStor_Authentication_DoS 
HTTP_Apache_Header_Memory_DoS 
RPC_BrightStor_ARCserve_Dos 
UDP_Flood_DoS 
HTTP_Apache_LF_Memory_DoS 
HTTPS_Apache_ClearText_DoS 
MSRPC_PlugAndPlay_GetDevList_DoS 
RAR_Invalid_Header_Size 
HTTP_iManager_POST_DOS 
DNS_Malformed_Flood 
MSRPC_Netware_Get_User_DoS 
DPS_Magic_Number_DoS 
HTML_IE_Url_Overflow 
HTTP_MhtmlMid_Bo 
Chargen_Denial_of_Service 
Cisco_CallMgrDB_DoS 
Cisco_CR_DoS 
Cisco_IOS_IPV4_DoS 
DCOM_RemoteGetClassObject_DoS 
DNS_Bind_OPT_DoS 
DNS_WINS_DoS 
Echo_Denial_of_Service 
Email_ExchangeStore_DoS 
Finger_Forwarding_DOS 
Fraggle_Attack 
Fragment_Resources_Exhausted 
FTP_Floppy_DoS 
FTP_Pasv_DOS 
FTP_Wildcard_DoS 
Gauntlet_ICMP_DoS 
H225_Invalid_Field_DoS 
H225_Invalid_Length_DoS 
Helix_Server_DoS 
HTTP_Apache_Chunked_DoS 
HTTP_Apache_DOS 
HTTP_BadBlue_DOS 
HTTP_Cgiproc_DoS 
HTTP_Cisco_IOS_DOS 
HTTP_Cisco_IOS_Query_DOS 
HTTP_ColdFusion_SyntaxChecker_DOS 
HTTP_Compaq_Insight_DoS 
HTTP_CrystalReports_FileAccess_DoS 
HTTP_DosDevice 
HTTP_ECware_DOS 
HTTP_IIS_Host_DoS 
HTTP_IIS_ISAPI_Filter_Error_DoS 
HTTP_IISExAir_DOS 
HTTP_Lock_Method_DOS 
HTTP_MyDoom_DoS 
HTTP_PHPNuke_ModulesPhp_DOS 
HTTP_WebDAV_Long_Rqst_DOS 
HTTP_WebDAV_XML_Attribute_DoS 
HTTP_WhatsUp_Login_DoS 
ICMP_Flood 
ICMP_Modem_DoS 
ICMP_TCP_MTU_DoS 
ICMP6_BSD_Dos 
Ident_Flood 
IIS_FTP_Session_Status_DoS 
Image_ANI_RateNumber_DoS 
IP_Flushot 
IP_Ping_Of_Death_Jolt 
IP_PingOfDeath_Jolt2 
IP_SS_Ping 
IP_Timestamp_Not_Aligned 
IPV6_Bad_Fragment_Chain 
IRC_Trinity_Notification 
IRC_TrinityV3_Notification 
IRC_Vscan 
ISAKMP_Delete_SPI_DOS 
Land_Attack 
LDAP_BER_Sequence_Dos 
LDAP_Sun_Search_Dos 
MSRPC_LSA_Crash 
MSRPC_LSA_DoS 
MSRPC_Malformed_DOS 
MSRPC_MSDTC_Message_DoS 
MSRPC_MSDTC_VA_DoS 
MSRPC_Registry_Request_DoS 
MSRPC_RFPoison_Attack 
Mstream_Master 
Mstream_Zombie_Request 
Mstream_Zombie_Response 
MyDoom_SYNFlood 
Nestea 
NewTear 
Oracle_Listener_Debug_DoS 
Ping_Flood 
PingOfDeath 
PlugAndPlay_DoS 
POP_Retr_DoS 
Radius_AccessPacket_DoS 
Radius_AcctStatusType_Dos 
Saihyousen_Attack 
SMS_Remote_Service_DoS 
SMTP_Exchange_Verb_DoS 
Smurf_Attack 
SNMP_Cisco_Zero_Size_DOS 
Snork_Attack 
SOAP_ASPNet_RCP_Encode_DoS 
SQL_SSRP_DoS 
SSL_Hello_Msg_DoS 
Stacheldraht_Agent 
Stacheldraht_Handler 
Stream_DoS 
STUN_KPhone_DoS 
SynDrop 
SYNFlood 
Synthesized_Host_Attack_Flood 
Synthesized_Network_Attack_Flood 
Syslog_Cisco_Zero_Size_DoS 
TCP_Connection_Flood 
TCP_Flag_SynUrg 
TCP_Timestamp_DoS 
TCP_Urg_OutOfRange 
TCP_Within_Window_DoS 
TCP_Zero_Length_Option 
TearDrop 
TearDrop2 
Telnet_PolycomDoS 
TFN_Daemon 
TFN2K_ICMP_Command 
TFN2K_TCP_Command 
TFN2K_UDP_Command 
Trin00_Daemon_Request 
Trin00_Daemon_Response 
Trinoo_Master_Request 
Trinoo_Master_Response 
Twinge_Attack 
UDP_Bomb 
UDP_Port_Loopback 
UDP_Squid_WCCP_Cachelist_DOS 
VOIP_DRDoS 
VOIP_New_Call_Dos 
Win_IGMP_DOS 
Win_IGMP_Option_DoS 
Win2K_DomainController_DOS 
Windows_Printing_Service_DOS 
WinNuke_Attack 
WINS_DelAssoc_DoS 
WinTrin00_Daemon_Request 
WinTrin00_Daemon_Response 
XML_Document_Too_Large 
XML_EntityDecl_DoS 
XML_EntityRef_DoS

09.07.2009, 20:23

oRb

Постоянный

Регистрация: 09.05.2008

Сообщения: 309

Провел на форуме:
3 месяца 4 дня

Репутация: 147 ±

немного дополню

Slowloris HTTP DoS
Достаточно молодой вид атак, направленный на отказ в обслуживании веб-сервера. Описание атаки появилось в блоге ha.ckers.org 17 июня.
Slowloris похожа на SYN флуд, только работает на прикладном уровне модели OSI. Суть атаки сводится к медленной отправке HTTP заголовков, не завершая запроса. Таким образом при большом количестве соединений веб-сервер либо не сможет устанавливать новые соединения, либо использует весь доступный лимит памяти*.

Список серверов подверженных атаке:

Apache 1.x
Apache 2.x
dhttpd
GoAhead WebServer
WebSense "block pages"
Trapeze Wireless Web Portal
Verizon's MI424-WR FIOS Cable modem
Verizon's Motorola Set-Top Box
BeeWare WAF
Deny All WAF

* - точно не понял, что будет

10.07.2009, 14:29

chatlanin55

Новичок

Регистрация: 14.06.2009

Сообщения: 2

Провел на форуме:
10 часов 3 минуты 46 секунд

Репутация: 0 ±

[QUOTE]

Виды Denial of Service, классификация

Recursive File Include - по факту LFI, или даже RFI

По сути тоже что и Looped DoS.
Смысл в том, что происходит вечный цикл инклуда файла. Тоесть пхп сценарий инклудит сам себя.
QUOTE]

Для таких ламо как я - подробнее о LFI
http://raz0r.name/articles/null-byte-alternative/

Последний раз редактировалось chatlanin55, 10.07.2009 в 14:33.