Questi attacchi sono una cosa molto odiosa e fastidiosa: causano la disconnessione dal server o il blocco del computer se è un sistema vecchio. Quasi tutti i firewall sono in grado di riconoscere e bloccare in parte gli attacchi DoS, ma non esiste macchina sicura al 100%.
Ovviamente gli obbiettivi dei possenti attacchi DoS non sono di certo i computer dei privati, ma gli importanti server delle istituzioni pubbliche, delle aziende e degli enti governativi.
Vediamo come possono presentarsi:
- Nuke è un termine generico per qualsiasi pacchetto o sequenza di dati ritenuta pericolosa con scopo sfruttare una falla di sicurezza. I nuke in genere sono illegali. Ecco alcuni dei più diffusi Nuke.
- Winnuke (OOB) : Influisce sui sistemi Windows95, 3.11, NT non dotati di un firewall. Genera schermate blu, il computer si potrebbe bloccare, è difficile riconnettersi senza riavviare
- Land : Influisce su Windows95, 3.11, NT,Mac-Os, Sun OS alcuni BSD senza un firewall. Causa blocco del sistema
- Click (Il più noto) : Influisce su qualunque connessione senza un firewall. Causa disconnessione dal server.
- Ping of Death : Influisce su Windows95, NT, MAC vecchi, FreBSD. Causa blocco del sistema e riavvio.
- Smurfing ICMP: lo smurfing è la forma più distruttiva di attacco DoS (DDoS). Generalmente viene lanciato da un sistema unix. L’aggressore fa credere ad un computer che una serie di pacchetti ICMP ha avuto origine dalla destinazione dell’attacco e fa in modo che vi risponda. Questo non è peggio di un ICMP flood se non sfruttasse degli indirizzi broadcast assegnati. Di conseguenza se ci fossero 50 ip di broadcast che rispondono ai ping, quello che l’aggressore invia rimbalzerebbe alla destinazione, moltiplicato per 50. Se l’aggressore è in grado di inviare dei ping alla velocità di 50kbps a destinazione arrivano 2500kbps. Per quanto riguarda il traffico in arrivo non è possibile far nulla, non esiste un firewall software che resista ad un attacco simile. Il brutto degli smurf è che sono terribilmente efficaci, ti disconnettono dal provider e non sai chi è l’aggressore. Fortunatamente non tante persone sono in grado di fare ciò.
- Flooding: Con questo tipo di attacco passiamo al genere di DoS non imputabili direttamente a difetti del software quanto piuttosto a limiti intrinseci della rete e dei suoi protocolli.
To flood in inglese significa allagare e la tecnica consiste nel saturare completamente la banda in ingresso di una macchina attraverso una quantità di traffico decisamente superiore alle sue capacità. Il sistema così inondato risulta paralizzato e incapace di trattare i pacchetti legittimi.
L’attacante dovrà ovviamente disporre di una banda in uscita decisamente superiore a quella della vittima per riuscire nell’intento. Questo è uno dei motivi per cui in genere si preferisce un attacco distribuito che verrà illustrato in seguito.
A seconda del protocollo usato si parlerà di TCP flooding, UDP flooding o ICMP flooding.
Come si può facilmente intuire non è facile combattere questo tipo di DoS a livello di sistema attaccato. L’unica soluzione possibile in questo caso è operare a monte, in un punto della rete a più ampia banda (presso il service provider ad esempio) dove il flooding non crei problemi e dove sia quindi possibile un filtraggio.
- SYN flood: Questo attacco è uno tra i più utilizzati e fonda il suo funzionamento su una debolezza dello stesso protocollo TCP/IP.
L’instaurazione di una connessione TCP tra due computer avviene attraverso il cosiddetto Three-Way HandShake.
Il SYN flood prevede l’invio ad un sistema B di pacchetti SYN il cui indirizzo IP del mittente risulta falsificato (spoofed).
È chiaro che in questa situazione il server invierà in risposta i pacchetti SYN+ACK a macchine sbagliate le quali non sapendo interpretare i pacchetti ricevuti semplicemente li ignoreranno. Il server B, ignaro di tutto, interpreta questa situazione come la perdita di un pacchetto e ritenta varie volte l’operazione. Durante tutto questo tempo, che può durare anche svariati minuti, lo stato della connessione rimane allocato occupando spazio in memoria.
Se l’attacante infine inonda il server vittima con una grande quantità di questi pacchetti SYN falsificati l’effetto utile sarà quello di fargli esaurire rapidamente la memoria a causa delle innumerevoli connessioni aperte.
Spero di esservi stato di aiuto sui vari tipi di DoS
Ovviamente gli obbiettivi dei possenti attacchi DoS non sono di certo i computer dei privati, ma gli importanti server delle istituzioni pubbliche, delle aziende e degli enti governativi.
Vediamo come possono presentarsi:
- Nuke è un termine generico per qualsiasi pacchetto o sequenza di dati ritenuta pericolosa con scopo sfruttare una falla di sicurezza. I nuke in genere sono illegali. Ecco alcuni dei più diffusi Nuke.
- Winnuke (OOB) : Influisce sui sistemi Windows95, 3.11, NT non dotati di un firewall. Genera schermate blu, il computer si potrebbe bloccare, è difficile riconnettersi senza riavviare
- Land : Influisce su Windows95, 3.11, NT,Mac-Os, Sun OS alcuni BSD senza un firewall. Causa blocco del sistema
- Click (Il più noto) : Influisce su qualunque connessione senza un firewall. Causa disconnessione dal server.
- Ping of Death : Influisce su Windows95, NT, MAC vecchi, FreBSD. Causa blocco del sistema e riavvio.
- Smurfing ICMP: lo smurfing è la forma più distruttiva di attacco DoS (DDoS). Generalmente viene lanciato da un sistema unix. L’aggressore fa credere ad un computer che una serie di pacchetti ICMP ha avuto origine dalla destinazione dell’attacco e fa in modo che vi risponda. Questo non è peggio di un ICMP flood se non sfruttasse degli indirizzi broadcast assegnati. Di conseguenza se ci fossero 50 ip di broadcast che rispondono ai ping, quello che l’aggressore invia rimbalzerebbe alla destinazione, moltiplicato per 50. Se l’aggressore è in grado di inviare dei ping alla velocità di 50kbps a destinazione arrivano 2500kbps. Per quanto riguarda il traffico in arrivo non è possibile far nulla, non esiste un firewall software che resista ad un attacco simile. Il brutto degli smurf è che sono terribilmente efficaci, ti disconnettono dal provider e non sai chi è l’aggressore. Fortunatamente non tante persone sono in grado di fare ciò.
- Flooding: Con questo tipo di attacco passiamo al genere di DoS non imputabili direttamente a difetti del software quanto piuttosto a limiti intrinseci della rete e dei suoi protocolli.
To flood in inglese significa allagare e la tecnica consiste nel saturare completamente la banda in ingresso di una macchina attraverso una quantità di traffico decisamente superiore alle sue capacità. Il sistema così inondato risulta paralizzato e incapace di trattare i pacchetti legittimi.
L’attacante dovrà ovviamente disporre di una banda in uscita decisamente superiore a quella della vittima per riuscire nell’intento. Questo è uno dei motivi per cui in genere si preferisce un attacco distribuito che verrà illustrato in seguito.
A seconda del protocollo usato si parlerà di TCP flooding, UDP flooding o ICMP flooding.
Come si può facilmente intuire non è facile combattere questo tipo di DoS a livello di sistema attaccato. L’unica soluzione possibile in questo caso è operare a monte, in un punto della rete a più ampia banda (presso il service provider ad esempio) dove il flooding non crei problemi e dove sia quindi possibile un filtraggio.
- SYN flood: Questo attacco è uno tra i più utilizzati e fonda il suo funzionamento su una debolezza dello stesso protocollo TCP/IP.
L’instaurazione di una connessione TCP tra due computer avviene attraverso il cosiddetto Three-Way HandShake.
Il SYN flood prevede l’invio ad un sistema B di pacchetti SYN il cui indirizzo IP del mittente risulta falsificato (spoofed).
È chiaro che in questa situazione il server invierà in risposta i pacchetti SYN+ACK a macchine sbagliate le quali non sapendo interpretare i pacchetti ricevuti semplicemente li ignoreranno. Il server B, ignaro di tutto, interpreta questa situazione come la perdita di un pacchetto e ritenta varie volte l’operazione. Durante tutto questo tempo, che può durare anche svariati minuti, lo stato della connessione rimane allocato occupando spazio in memoria.
Se l’attacante infine inonda il server vittima con una grande quantità di questi pacchetti SYN falsificati l’effetto utile sarà quello di fargli esaurire rapidamente la memoria a causa delle innumerevoli connessioni aperte.
Spero di esservi stato di aiuto sui vari tipi di DoS
