Атака поддельными TCP сессиями (Fake Session Attack)

Данные атаки реализуемы в сетях с асимметричной маршрутизацией. Алгоритм атаки сводится к эмуляции реальных TCP-сессий. Злоумышленник генерирует поддельные SYN-пакеты, затем много ACK, а затем FIN/RST пакеты. Все эти пакеты вместе похожи на трафик реальной TCP-сессии, отправляемый одним из хостов другому. Таким образом, симулируя полноценное TCP взаимодействие и обходя инструменты защиты, которые анализируют лишь входящий трафик, злоумышленник может добиться исчерпания системных ресурсов и недоступности сервера-жертвы.

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

SYN Flood

  Клиент генерирует SYN-пакет, запрашивая новую сессию у сервера . Поскольку TCP сессия открыта (алгоритм “трехэтапного рукопожатия TCP” исполнен), хост будет отслеживать и обрабатывать каждую пользовательскую сессию, пока она не будет закрыта. Во время SYN Flood  атакуемый сервер с большой скоростью получает поддельные SYN-запросы, содержащие поддельный IP-адрес источника. SYN-флуд поражает сервер, занимая всю память таблицы соединений (Transmission Control Block (TCB) table), обычно используемую для хранения и обработки входящих пакетов. Это вызывает критическое падение производительности и, как итог, отказ в работе сервера . Существует несколько механизмов защиты, которые могут частично обезопасить от SYN Flood: Ограничение микро-блоков: являясь администратором, Вы можете ограничить размер памяти сервера для каждого водящего SYN-пакета; SYN-куки (SYN-Cookie): используя криптографическое хэшировние, сервер отправляет SYN-ACK ответ с номером последовательности, которая составлена из
Далее...

NTP амплификация (NTP Amplification Attack)

  Протокол используется хостами , подключенными к Интернету, для синхронизации системного времени. В дополнение к этому, старые версии NTP поддерживают службу мониторинга трафика, которая позволяет администраторам запрашивать у определенного NTP-сервера отчет об использовании трафика. После команды, называемой «контрольный список», сервер отправляет запрашивающей стороне список последних подключенных к нему 600 хостов. При наиболее распространенном типе NTP Amplification,  злоумышленник неоднократно отправляет запрос «предоставить контрольный список» на NTP-сервер, одновременно подменяя свой IP-адрес на адрес сервера-жертвы. Сервер NTP отвечает, отправляя список на поддельный IP-адрес. Отправляемый сервером ответ по объему значительно превосходит запросы, что приводит к загруженности канала связи и  вызывает неспособность сервера отвечать на легитимные запросы пользователей.
Далее...

Обычный сервер

Взять обычный сервер всё равно что купить себе полноценную кухню со всей утварью и кухонными приборами. На ней можно приготовить что угодно, но всё это придётся делать самому. Если что-то не получается — никто не виноват, стандартных готовых блюд нет. На такой кухне всё зависит от хозяйки — если она умеет готовить, то всё будет хорошо. Реальный сервер даёт вам полную свободу — это ваше железо, оно всё работает на вас и ограничено только тем, насколько навороченную железку вы ставите. Не хватает памяти — вставляете новую планку памяти в сервер. Не хватает процессорной мощности — объединили два сервера в кластер. Мало места на диске — добавляете ещё один диск или запускаете RAID-массив. Минус тут такой же, как и в виртуальном сервере — для его обслуживания абсолютно точно нужен администратор. Если нет человека, который разбирается в серверных технологиях и может его настроить, то сайт или не заработает, или будет работать не так быстро, как может. Ещё один минус — сервер нужно где-то с
Далее...