Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

DDoS támadások veszélyei és az ellenük való védekezés lehetséges módszerei Gyányi Sándor.

KiadtaIgnác Szekeres Megváltozta több, mint 10 éve

Hasonló előadás

Az előadások a következő témára: "DDoS támadások veszélyei és az ellenük való védekezés lehetséges módszerei Gyányi Sándor."— Előadás másolata:

1 DDoS támadások veszélyei és az ellenük való védekezés lehetséges módszerei
Gyányi Sándor

2 DoS támadás meghatározása
Denial of Service: szolgáltatás megtagadás. A támadó a célpont informatikai rendszerét próbálja olyan módon túlterhelni, hogy az képtelen legyen a normál, üzemszerű működésre és így az általa nyújtott szolgáltatás nyújtására. Leggyakoribb módszer: túlterhelés.

3 „Klasszikus” DoS A célpontot egyetlen pontból támadják.
A támadó a célpont erőforrásait próbálja lefoglalni. Lehetséges hálózati rétegben (pl. TCP Syn Flood Attack) vagy alkalmazási rétegben ( flooding vagy anonymous ftp tárolóhely lefoglalás)

4 TCP Syn Flood Attack Az IP hálózatok - így az Internet is - legnépszerűbb szolgáltatásai (SMTP, HTTP, FTP) TCP kapcsolatot alkalmaznak. TCP kapcsolat felépítését egy úgynevezett „háromutas” kézfogás előzi meg. A kliens Syn csomagot küld. A szerver Syn + ACK csomaggal nyugtáz. A kliens Syn + ACK csomaggal nyugtáz. A kapcsolat ettől a ponttól működőképes.

5 TCP Syn Flood Attack 2. A támadás menete:
A támadó Syn csomagot küld, hamisított feladó címmel. A célpont tárolja a leendő kapcsolat adatait, majd Syn + ACK nyugtázó csomagot küld a feladónak (a hamisított, esetleg nem is létező címre). A célpont nem kap választ, ezért néhányszor (általában még háromszor) újraküldi az üzenetet. A célpont felszabadítja a kapcsolat tárolására szolgáló memóriát. A támadó nagy mennyiségű Syn csomaggal árasztja el a célpontot, amelynek a kapcsolatok állapotát tároló memóriája megtelik, így nem lesz képes új TCP kapcsolatot létrehozni.

6 TCP Syn Flood Attack 3. Védekezés módszerei:
A „félkész” kapcsolatok tárolására szolgáló memória megnövelése. Speciális eljárások (Syn Cookie).

7 flooding A támadó a célpont SMTP szerver számára nagy mennyiségű elektronikus levelet küld. A célpont tárolókapacitása véges, így kellő mennyiségű levéltől megtelik, ami további levelek fogadását lehetetlenné teszi. Ha a célponton a beérkezett leveleket szűrésnek vetik alá, akkor a szűrés gyengeségeinek kihasználása, és így a rendszer erőforrásainak lefoglalása (pl. 2GB-nál nagyobb ZIP állomány csatolása).

8 flooding 2. Védekezés: a támadás detektálása, a támadó címének meghatározása majd hálózati rétegben kitiltása.

9 HTTP kiszolgáló leterhelése
Egy HTTP kiszolgáló általában maximalizálja az egy időben működő processzeinek számát. A támadó sok egyidejű kapcsolatot hoz létre, amelyeken lassú adatátvitelt végez, így igénybe veszi az összes rendelkezésre álló processzt. A támadó speciális kérések kiadásával elfogyasztja a kiszolgáló belső erőforrásait.

10 DDoS Distributed Denial of Service: elosztott szolgáltatás megtagadásos támadási módszerek. A támadó egyidejűleg nagyszámú végpontot használva indítja meg a támadást. Lehetséges a hálózati rétegben (ICMP vagy UDP flooding) vagy az alkalmazási rétegben.

11 ICMP flooding, „Smurf” attack
AZ ICMP az IP segédprotokollja. A hálózati hibakereséshez használt „ping” parancs ICMP Echo Request és Echo Reply üzeneteket használ. Minden IP hálózatnak létezik egy „broadcast” címe, amelyre üzenetet küldve a hálózat összes végpontja válaszol. Hibás konfigurálás esetén ez a broadcast cím nem csak hálózaton belül érhető el.

12 ICMP flooding, „Smurf” attack 2.
A támadó keres ilyen hibásan konfigurált, nagy sávszélességű, sok végpontot tartalmazó hálózatokat. A célpont címét hamisítva feladóként, a hálózat broadcast címére elkezd Echo request üzeneteket küldeni. A hálózat összes végpontja válaszol, Echo reply üzeneteket küldve a célpont címére.

13 ICMP flooding, „Smurf” attack 3.
Védekezés: A hálózati útválasztók helyes konfigurálása. Támadás észlelése esetén a támadást akaratlanul végrehajtó (vagy ideiglenesen az összes) hálózatból érkező Echo reply üzenet szűrése.

14 DDOS az alkalmazási rétegben
A támadó nagyszámú végpontot használva normál, a rendes működés során általánosan használt kéréseket küld a célpontnak. A kiszolgálókat nem az extrém esetekre méretezik, így az erőforrások kimerülnek. A szolgáltatások általában aszimmetrikus működésűek (a kérést elküldeni egyszerűbb, mint a választ előállítani), így könnyű lefoglalni az erőforrásokat (hálózati sávszélesség, számítási kapacitás).

15 HTTP támadás Helyesen megválasztott kérésekkel a kiszolgálót nagy mennyiségű művelet végrehajtására lehet késztetni, így a kiszolgálás sebessége használhatatlan értékre csökken. A legnépszerűbb webszolgáltatások dinamikusan állítják elő az oldalakat, tipikusan adatbázisból dolgozva.

16 HTTP támadás 2. Egy rövid példa: <html> <head>
<title>DOS</title> <script type="text/javascript"> function Tolt() { sSearch = ""; for (i=0; i<7; i++) sSearch += String.fromCharCode(65+Math.floor(Math.random()*27)); document.getElementById("dframe").src=" var tt = setTimeout("Tolt()",1000); } </script> </head> <body onload="Tolt()"> <iframe id="dframe" src="about:blank" width="600" height="600"></iframe> </body>

17 HTTP támadás 3. Védekezés:
Csaknem lehetetlen, a támadás módszerének ismeretében egyedileg meghatározott módszerrel. Drága megoldást jelent az elosztott architektúra (cache szerverek), így a támadás jobban eloszlik.

18 Reflektív DDoS támadások
Viszonylag fiatal DDoS támadási módszer. A támadás során más, „ártatlan” végpontokat használnak fegyverként. Az „ártatlan” végpontokat nem szükséges uralni a támadás indításához. Hálózati és alkalmazási rétegben egyaránt elvégezhető.

19 Reflektív DDoS támadások 2.
Hálózati rétegben kivitelezett reflektív támadás: TCP Syn+ACK Attack. A támadó a harmadik félnek („ártatlan végpont”) TCP Syn csomagot küld, a célpont címét hamisítva a feladó címeként. Az „ártatlan végpont” erre TCP Syn + ACK csomaggal válaszol, elkezdve a TCP kapcsolat létrehozását. A TCP Syn + ACK csomag a célpontot találja el. Mivel az „ártatlan végpont” nem kap választ, ezért újraküldi (általában még háromszor) a csomagot. A támadó egyetlen csomagjának hatására a célpont négy csomagot kap. Egy valós támadás:

20 Reflektív DDoS támadások 3.
Védekezés: Hamisított IP csomagok szűrése (ISP szintű beavatkozás). TCP portcím alapján a keletkező forgalom egy része kiszűrhető (ISP szintű beavatkozás).

21 Reflektív DDoS támadások 4.
Alkalmazás rétegben: egyes SMTP kiszolgálók a nem létező címre érkező elektronikus leveleket elfogadják, majd amikor kiderül, hogy a kézbesítés lehetetlen, a feladó számára értesítést küldenek. Ha a támadó a célpont címét adja meg az SMTP párbeszéd során, akkor az értesítést az áldozat kapja meg. A levelek küldését botnetek nagy tömegben képesek elvégezni, a reflektív működés miatt a hlózati szintű szűrés nehezen kivitelezhető.

22 Reflektív DDoS támadások 5.
HELO sanyi 250 mail.webgame.hu Hello 3e44bd93.adsl.enternet.hu [ ], pleased to meet you MAIL FROM: Sender ok RCPT TO: Relaying denied RCPT TO: User unknown

23 Reflektív DDoS támadások 6.
Védekezés: Levelező szerverek helyes konfigurálása.

24 Összefoglaló A DDoS támadások végrehajtása a botnetek segítségével egyre egyszerűbb, így a támadások száma várhatóan növekedni fog. A támadások elindulása után a védekezés már nehéz, utólag az események rekonstruálása (és így a felelősök megbüntetése) ritkán megoldható. Az ilyen támadások visszaszorítása érdekében megelőző tevékenységeket kell végezni (botnet vezérlő végpontok felderítése, lekapcsolása).

25 Források RFC 793: Transmission Control Protocol

Letölteni ppt "DDoS támadások veszélyei és az ellenük való védekezés lehetséges módszerei Gyányi Sándor."

Hasonló előadás

A számítógépes hálózatok és az Internet

A számítógépes hálózatok és az Internet
A hálózat működése 1. A DHCP és az APIPA

A hálózat működése 1. A DHCP és az APIPA
Kliens-szerver architektúra

Kliens-szerver architektúra
Hálózati és Internet ismeretek

Hálózati és Internet ismeretek
Virtuális méréstechnika Hálózati kommunikáció 1 Mingesz Róbert V 3.1 2013.11.21.

Virtuális méréstechnika Hálózati kommunikáció 1 Mingesz Róbert V
TCP/IP protokollverem

TCP/IP protokollverem
I NTERNET ÉS KOMMUNIKÁCIÓ Készítette: Tratnyek Csilla

I NTERNET ÉS KOMMUNIKÁCIÓ Készítette: Tratnyek Csilla
Számítógépes hálózatok Páll Boglárka. Meghatározás  A számítógépes hálózat, számítógépek és egyéb hardvereszközök egymással összekapcsolt együttese.

Számítógépes hálózatok Páll Boglárka. Meghatározás  A számítógépes hálózat, számítógépek és egyéb hardvereszközök egymással összekapcsolt együttese.
Hálózatok.

Hálózatok.
Hálózati alapfogalmak, topológiák

Hálózati alapfogalmak, topológiák
Számítógép hálózatok.

Számítógép hálózatok.
Az Exchange/Outlook rendszer n Ebben a részben az olvasó megismerkedik – Az Exchange serverrel – Az Outlook 97 csoportmunka szoftverrel.

Az Exchange/Outlook rendszer n Ebben a részben az olvasó megismerkedik – Az Exchange serverrel – Az Outlook 97 csoportmunka szoftverrel.
Windows hálózati infrastruktúra kialakítása

Windows hálózati infrastruktúra kialakítása
Hálózatok.

Hálózatok.
13.a CAD-CAM informatikus

13.a CAD-CAM informatikus
Globális lekapcsolás? Zelei Dániel. Elvileg… Az Anonymus nevű hekker-csoport megtámadja a 13 root DNS szervert, ezáltal az egész internet „sötétségbe.

Globális lekapcsolás? Zelei Dániel. Elvileg… Az Anonymus nevű hekker-csoport megtámadja a 13 root DNS szervert, ezáltal az egész internet „sötétségbe.
Számítógép-hálózat • Önálló számítógépek összekapcsolt rendszere

Számítógép-hálózat • Önálló számítógépek összekapcsolt rendszere
A TCP/IP protokollkészlet és az IP címzés

A TCP/IP protokollkészlet és az IP címzés
Mi is az az Internet?.

Mi is az az Internet?.
A TCP/IP cím.

A TCP/IP cím.

Hasonló előadás

Google Hirdetések