Vi skal altid være opmærksomme på de forskellige computerangreb, som vi udsættes for. Denne gang skal vi tale om en computerangreb, der angriber tilgængeligheden af en service, Det handler om DoS (Denial of Service) angreb. Dette angreb kan udføres på en distribueret måde (DDoS), vil det normalt blive udført via et Botnet. Angriberne har det mål, at brugerne af en tjeneste ikke kan bruge den, fordi den er mættet, du har sikkert hørt om de angreb, som PlayStation Network har lidt, det er endda muligt, at du på grund af et af disse angreb en dag ikke kunne spille online.
Du har kunnet se, at DoS -angreb og DDoSEn forskel, vi finder mellem et angreb og et andet, er, at i det første bruger vi en maskine og en forbindelse, og i den anden vil mange computere blive brugt, så angrebet er meget hårdere og mere effektivt.
BemærkFor at forstå angrebet godt er det nødvendigt, at du ved, hvordan TCP / IP fungerer, eller i det mindste har grundlæggende forestillinger om netværk.
Forskellige måder at udføre angrebet på
For at lære sikkerhed og for at kunne beskytte dig selv er det nødvendigt at vide, hvordan angreb udføres. I dette angreb kan vi se, at det kan udføres på mange måder, her er nogle af dem med en kort forklaring:
SYN FloodDette angreb består i at sende forbindelsesanmodninger (pakker med aktivt SYN -flag) til offeret fra falske kilde -IP -adresser, som vil svare med pakker, der indeholder ACK- og aktive SYN -flag, og vil vente på, at forbindelsens oprindelse svarer med ACK flag sat, men dette vil aldrig ske.
ICMP FloodI denne type ønsker angriberen at forbruge offerets båndbredde ved at sende mange store ICMP -pakker, dette er gennem pinging.
UDP FloodHer vil der blive oprettet store mængder UDP -pakker, som vil blive sendt til offeret ved tilfældige porte.
BufferoverløbType "klassisk" angreb, angriberen sender offeret flere pakker, end servicebufferen kan klare, dette får tjenesten til ikke at reagere på legitime anmodninger, da den er mættet.
Der er flere typer, som f.eks HTTP oversvømmelse, NTP -forstærkning, etc.
Eksempel på DoS -angreb i Python
Nu skal vi se et lille kodeeksempel i Python, der vil være baseret på SYN -oversvømmelsesangrebet, testen vil blive udført på en kontrolleret måde med virtuelle maskiner.
import logging logging.getLogger ("scapy.runtime"). setLevel (logging.ERROR) fra scapy.all import * conf.verb = 0 host = "192.168.56.1" port = 80 originIP = "192.168.1." endIP = 10 packet_number = 0 mens True: packet_number + = 1 packet = IP (src = (sourceIP + str (endIP)), dst = host) / TCP (sport = RandShort (), dport = port) send (packet, inter = 0,0002) print ("Pakke% d sendt"% pakke_nummer) endIP + = 1 hvis (endIP == 200): endIP = 10Koden er ganske enkel, vi bruger version 3 af Python, og vi bruger Scapy -biblioteket, som er meget kraftfuldt og gør tingene lettere for os.
Den første ting, vi ser, er at importere de nødvendige biblioteker, registreringsdatabasen bruges til at undgå den advarsel, som Scapy lancerer på IPv6. Derefter bruges den conf.verb = 0, gøres dette, så Scapy ikke viser oplysninger.
Dernæst oprettes variablen vært, som ikke er mere end IP'en for målet for vores angreb og variablen Havn som er havnen i vores mål.
Så det ikke altid er den samme kildeadresse, har jeg oprettet en variabel, der har basen (oprindelseIP) og en anden, der tilføjes i slutningen (endIP), som du kan se, hænger de sammen, når du opretter pakken originIP + str (endIP).
Variablen pakkenummer det bruges simpelthen til at holde styr på de pakker, der er blevet sendt.
Den sidste del er en uendelig loop, som er den, der tager sig af alt, vi opretter pakken og sender den, vi viser også, at pakken er blevet sendt, fordi vi har oplysningerne, og opdaterer variablerne endIP Y pakkenummer.
Hvis vi kører koden og bruger wireshark, kan vi se, hvordan pakkerne sendes, vi kontrollerer, at kilde -IP'en er forskellig hver gang, ligesom porten er.
Hvis vi kigger på det, ændrer kildesøjlen i det forrige billede sig, destinationskolonnen gør det ikke, da det er vores offer.
Modforanstaltninger
Desværre virksomheder lider mange tab i løbet af året på grund af denne type angreb, så det er meget vigtigt, at vi implementerer modforanstaltninger, herunder er nogle af dem, vi bør tage højde for:
- Konfigurer Firewall eller IDS eller IPS -systemer korrekt
- Begræns antallet af TCP SYN -pakker pr. Sekund
- Analyser netværkstrafik
- Omvendt IP -opslag, tjener til at undgå spoofing
Hvis du vil læse mere om sikkerhedsproblemer, kan du besøge kategorien dedikeret til sikkerhed inden for Solvetic.
Kan du lide og hjælpe denne vejledning?Du kan belønne forfatteren ved at trykke på denne knap for at give ham et positivt punkt