Từ chối các vụ tấn công dịch vụ và cách bảo vệ chống lại họ - những người không trung thành

Các cuộc tấn công DoS (DoS) là một trong những tấn công hacker phổ biến nhất. Một hacker khởi tạo rất nhiều yêu cầu không hợp lệ đến một máy chủ lưu trữ mạng mà máy chủ lưu trữ sử dụng tất cả các tài nguyên của nó đáp ứng các yêu cầu không hợp lệ và bỏ qua yêu cầu hợp pháp.

Các cuộc tấn công DoS

Các cuộc tấn công DoS chống lại mạng và máy chủ của bạn có thể gây ra các hệ thống sụp đổ, dữ liệu bị mất và mọi người dùng nhảy vào trường hợp của bạn tự hỏi khi truy cập Internet sẽ được khôi phục.

SYN floods:

• Người tấn công làm tràn một máy chủ với các gói tin TCP SYN. Ping of Death:

• Người tấn công gửi các gói tin IP vượt quá chiều dài tối đa là 65,535 byte, và cuối cùng có thể sụp đổ ngăn xếp TCP / IP trên nhiều hệ điều hành. WinNuke:

• Cuộc tấn công này có thể vô hiệu hóa kết nối mạng trên các máy tính Windows 95 và Windows NT cũ hơn.

  Các cuộc tấn công DoS (9/9) DoS (DDoS) phân tán có ảnh hưởng lớn hơn đến số mũ của nạn nhân. Một trong những nổi tiếng nhất là cuộc tấn công DDoS chống eBay, Yahoo!, CNN, và hàng chục trang web khác bởi một hacker có tên là MafiaBoy. Đã có một cuộc tấn công DDoS được công bố rộng rãi chống lại Twitter, Facebook và các trang truyền thông xã hội khác. Vụ tấn công dường như nhằm vào một người dùng từ Georgia, nhưng nó ảnh hưởng đến tất cả mọi người sử dụng các trang này.

Bạn không thể tweet, và rất nhiều bạn bè và thành viên trong gia đình không thể nhìn thấy những gì mọi người đã xúc phạm trên Facebook. Hãy suy nghĩ về điều này: Khi hàng trăm triệu người có thể thực hiện ngoại tuyến bằng một cuộc tấn công DDoS nhắm mục tiêu, bạn có thể hiểu tại sao sự hiểu biết về sự nguy hiểm của việc từ chối dịch vụ chống lại các hệ thống và ứng dụng của doanh nghiệp là rất quan trọng.

Các cuộc tấn công DoS và DDoS có thể được thực hiện bằng các công cụ mà kẻ tấn công viết hoặc tải xuống từ Internet. Đây là những công cụ tốt để kiểm tra IPS và tường lửa mạng của bạn để từ chối những điểm yếu của dịch vụ. Bạn có thể tìm các chương trình cho phép thực sự tấn công. Một số chương trình, chẳng hạn như Traffic IQ Professional của idappcom, cũng cho phép bạn gửi các cuộc tấn công có kiểm soát.

Các kiểm tra

Việc từ chối dịch vụ là một trong những kiểm tra an ninh khó nhất mà bạn có thể chạy. Chỉ có không có bạn và máy tính của bạn để đi xung quanh. Đừng băn khoăn. Thử nghiệm đầu tiên của bạn là tìm kiếm các lỗ hổng DoS từ một quan điểm quét lỗ hổng. Sử dụng các trình quét lỗ hổng, chẳng hạn như QualysGuard và webInspect, bạn có thể tìm thấy các bản vá lỗi và các điểm yếu cấu hình có thể dẫn đến việc từ chối dịch vụ.

Trong một dự án đánh giá bảo mật gần đây, QualysGuard đã phát hiện ra một lỗ hổng trong một phiên bản OpenSSL cũ hơn đang chạy trên một máy chủ web. Như với hầu hết các phát hiện của DoS, Với sự cho phép, mã khai thác đã được tải xuống trên Internet, biên soạn và chạy chống lại máy chủ của khách hàng. Chắc chắn, máy chủ đã mất.

Lúc đầu, khách hàng nghĩ đó là một tai hoạ, nhưng sau khi máy chủ offline lại, anh ta đã mua vào lỗ hổng. Nó đã kết thúc rằng ông đã sử dụng một OpenSSL dẫn xuất, do đó dễ bị tổn thương. Nếu khách hàng không khắc phục sự cố, có thể có bất kỳ kẻ tấn công nào trên thế giới sử dụng hệ thống sản xuất này ngoại tuyến, điều này có thể rất khó khăn để khắc phục sự cố. Không tốt cho kinh doanh!

Đừng kiểm tra DoS trừ khi bạn có hệ thống kiểm tra hoặc có thể thực hiện kiểm tra kiểm tra bằng các dụng cụ thích hợp. DoS thử nghiệm kém kế hoạch là một công việc tìm kiếm trong thực hiện. Nó giống như việc cố gắng xóa dữ liệu từ mạng chia sẻ và hy vọng rằng các điều khiển truy cập tại chỗ sẽ ngăn chặn nó.

Các công cụ kiểm tra DoS khác có giá trị kiểm tra là UDPFlood, Blast, NetScanTools Pro và CommView.

Các biện pháp đối phó với các cuộc tấn công DoS

Hầu hết các cuộc tấn công DoS rất khó tiên đoán, nhưng chúng có thể dễ dàng ngăn chặn:

Kiểm tra và áp dụng bản vá bảo mật (bao gồm các gói dịch vụ và cập nhật phần mềm) càng sớm càng tốt

máy chủ mạng, chẳng hạn như bộ định tuyến và tường lửa, cũng như cho các máy chủ và hệ điều hành máy trạm.

• Sử dụng IPS để theo dõi thường xuyên các cuộc tấn công DoS. Bạn có thể chạy một máy phân tích mạng ở chế độ

• chụp liên tục

  nếu bạn không thể chứng minh chi phí cho giải pháp IPS toàn bộ và sử dụng nó để theo dõi các cuộc tấn công DoS. Định cấu hình tường lửa và bộ định tuyến để chặn lưu lượng truy cập không đúng định dạng. Bạn chỉ có thể thực hiện việc này nếu hệ thống của bạn hỗ trợ nó, vì vậy hãy tham khảo hướng dẫn của quản trị viên để biết chi tiết.

• Giảm thiểu IP giả mạo bằng cách lọc ra các gói tin bên ngoài xuất hiện từ một địa chỉ nội bộ, máy chủ cục bộ (127. 0. 0. 1) hoặc bất kỳ địa chỉ riêng và không định tuyến nào, chẳng hạn như 10. x. x. x, 172. 16. x. x-172. 31. x. x, hoặc 192. 168. x. x.

• Chặn tất cả lưu lượng truy cập ICMP gửi đến mạng của bạn trừ khi bạn cần nó. Thậm chí sau đó, bạn nên cho phép nó đến trong chỉ cho máy chủ cụ thể.

• Tắt tất cả các dịch vụ nhỏ TCP / UDP không cần thiết, chẳng hạn như echo và chargen. Thiết lập đường cơ sở của các giao thức mạng và các mẫu lưu lượng truy cập trước khi xảy ra một cuộc tấn công DoS. Bằng cách đó, bạn biết phải tìm kiếm cái gì. Và định kỳ quét các lỗ hổng DoS tiềm ẩn như phần mềm DoS giả mạo được cài đặt trên máy chủ lưu trữ mạng.

• Làm việc với

Tâm trạng tối thiểu cần thiết

(không nhầm lẫn với việc có quá nhiều bia) khi cấu hình các thiết bị mạng, như tường lửa và bộ định tuyến: Xác định lưu lượng truy cập cần thiết cho việc sử dụng mạng được phê duyệt. Cho phép lưu lượng truy cập cần thiết.

• Từ chối tất cả các lưu lượng truy cập khác.

• Nếu tồi tệ nhất đến tồi tệ nhất, bạn cần làm việc với ISP của bạn và xem họ có thể ngăn chặn các cuộc tấn công DoS vào cuối của họ hay không.