Ministerium für Dienstleistungen

-> Werbeverbindungen : Piraten verwenden Werbeverbindungen, um Stiefel herunterzuladen.

Ministerium für Dienstleistungen

Die Ablehnung des Dienstes (zurück) ist ein Angriff auf einen Computer oder ein Netzwerk, der die Zugänglichkeit von Systemressourcen zu seinen legitimen Benutzern reduziert, eingeschränkt oder verhindert.

Während eines Back -Angriffs überfluten die Angreifer das Opfersystem, durch Serviceanfragen oder durch nicht legitime Verkehr, um ihre Ressourcen zu überlasten. Somit führt der Rückangriff genau zur Nichtverfügbarkeit eines Dienstes.

2. Was ist ein verteilter Ablehnungsangriff (DDOs) ?

Ein DDOS (Distributed Service Denial Attack) impliziert eine Vielzahl von Kompromisssystemen, die ein einzelnes Ziel angreifen, was zu einer Denial -of -Service -Denial für Benutzer des Zielsystems führt.

Um einen DDOS -Angriff zu starten, verwendet ein Angreifer Stiefel, um ein einzelnes System anzugreifen.

3. Auswirkungen von Rückenangriffen

Abteilungsangriffe haben schädliche Konsequenzen für Opferorganisationen. Die Auswirkungen des Rückangriffs können zu der betreffenden Struktur führen:

• Ein Verlust des Geschäftswertes: Benutzer der erbrachten Dienste haben kein Vertrauen mehr,
• Netzwerkinaktivität: Die Dienste sind unzugänglich,
• Ein finanzieller Verlust: Es kann zu einem Rückgang des Umsatzes kommen,
• die Organisation der Organisation.

4. Grundlegende Kategorien von Rücken- / DDOs -Angriffsvektoren

Die grundlegenden Kategorien von Rücken- oder DDOS -Angriffsvektoren sind wie folgt:

• Volumetrische Angriffe: Sie verbrauchen die Bandbreite des Netzwerks oder des Zieldienstes. Es wird in Bits pro Sekunde (BPS) durch Flutangriffe, Verstärkungsangriffe (UDP, ICMP, Ping of Death, Schlumpf) usw. gemessen.
• Protokollangriffe: Sie konsumieren die in den Komponenten der Netzwerkinfrastruktur vorhandenen Verbindungsstatus -Tabellen wie Lastballerien, Bares – Feuer- und Anwendungsserver. Der Angriff wird in Paketen pro Sekunde gemessen (PPS).

Beispiel: SYN, ACK, TCP, Fragmentierungsangriff usw.

• Anwendungsschichtangriffe : Sie konsumieren Ressourcen oder Anwendungsservice, wodurch sie für andere legitime Benutzer nicht verfügbar sind. Es wird in Anforderungen pro Sekunde (RPS) gemessen.

Beispiel: HTTP GET / POST -Angriff

Ii. Angriffstechniken

1. UDP -Flutangriff

-> Der Angreifer sendet UDP -UDP.

-> Die Überschwemmung von UDP -Paketen zwingt den Server, nicht -existierende Anwendungen mehrmals an den Ports der Ports zu überprüfen.

-> Legitime Anwendungen sind vom System nicht zugänglich und geben ein Fehlerantwortpaket mit einer “unzugänglichen Ziel” -Meldung zurück.

-> Dieser Angriff verbraucht die Ressourcen des Netzwerks und die verfügbare Bandbreite, die das Netzwerk anstrebt, bis es getrennt ist.

2. ICMP -Flutangriff

-> Dies ist eine Art Angriff, bei dem die Angreifer eine große Anzahl von Echo -ICMP -Anwendungspaketen an ein Opfer senden.

-> In der Tat verwenden Netzwerkadministratoren ICMP hauptsächlich für IP -Konfigurationen, Fehlerbehebung und Fehlermeldung nicht zustellbarer Pakete.

-> Diese Pakete werden auf das Zielsystem reagieren, und die Kombination des Verkehrs sättigt die Bandbreite des Zielnetzwerks. Letzteres wird überladen und hört auf, auf legitime TCP / IP -Anfragen zu reagieren.

-> Um sich vor ICMP -Überschwemmungsangriffen zu schützen, kann eine Schwellengrenze definiert werden, die, wenn sie überschritten wird, die Schutzfunktion gegen die ICMP -Flutangriffe bezeichnet.

3. Todes Ping

-> Der Angreifer versucht das Zielsystem oder Dienst zu pflanzen, zu destabilisieren oder einzufrieren, indem er große Pakete mit einem einfachen Ping -Befehl sendet.

-> Wenn die Größe des Pakets die von RFC791 IP (65535) vorgeschriebene Größengrenze überschreitet, kann das Verstärkungsprozess das System anstellen.

4. Schlumpfangriff

-> Bei diesem Angriff wird der Stürmer die IP -Adresse des Ziels uurpe und sendet einen maximalen Fluss von ICMP -Echo -Paketen (PING) an die Adressen der Sendung, dh an ein IP -Diffusionsnetz. Jeder Ping enthält die usurpierte Adresse für Zielcomputer.

-> Die Hosts des Broadcast -Netzwerks reagieren mit Echo ICMP -Anfragen an den Opfergerät, wodurch letztendlich die Maschinenverschlüsselung verursacht wird.

5. Syn -Abfragen Flutangriff

-> Der Angreifer sendet eine große Anzahl von Syn -Anfragen an das Opfer mit falschen IP -Adressen.

-> “Syn Flooding” nutzt einen Fehler in der Art und Weise, wie die meisten Gastgeber TCP -Verhandlungen auf drei umsetzen.

-> Wenn das Opfer eine SYN -Anfrage erhält, muss es mindestens 75 Sekunden lang eine Spur der Verbindung in einer “Warteschlange” eingehalten werden.

-> Ein bösartiger Host kann die geringe Größe der Hörwarteschlange verwenden, indem er mehrere Syn -Anfragen an einen Host sendet, aber nie auf Syn / ACK reagiert.

-> Die Hörwarteschlange des Opfers füllt sich schnell.

-> Halten jeder unvollständigen Verbindung 75 Sekunden kann als Ablehnung des Serviceangriffs verwendet werden.

6. Fragmentierungsangriff

-> Diese Angriffe implizieren die Übertragung betrügerischer UDP- oder TCP -Pakete, die größer sind als die MTU (die maximale Übertragungseinheit) des Netzwerks (im Allgemeinen ~ 1500 Bytes). Dieser Angriff wird die Fähigkeit eines Opfers zerstören, fragmentierte Pakete zu genießen.

-> Da diese Pakete falsch sind und nicht erreicht werden können, werden die Ressourcen des Zielservers schnell konsumiert, was zur Nichtverfügbarkeit des Servers führt.

7. Angriffe mit HTTP -Anfragen oder Postanfragen

-> Ein HTTP -Flutangriff nutzt eine scheinbar HTTP -Get- oder Post -legitime Anfragen, um einen Webserver oder eine Anwendung anzugreifen.

-> Der HTTP -Angriff wird durchgeführt, indem das Senden des HTTP -Headers verzögert wird, um die HTTP -Verbindung zu erhalten und die Webserverressourcen zu erschöpfen.

-> Der HTTP -Postangriff kann durch Senden eines vollständigen Headers und einer unvollständigen Karosserie durchgeführt werden, die den Webserver verpflichtet, auf den Rest des Körpers zu warten, bis die Ressourcen erschöpft sind.

8. Slowloris -Angriff

-> Slowloris ist ein DDOS -Anwendungs ​​-DDOS.

-> Folglich wird der maximale Simultaneous Connections -Pool des Zielservers abgeschlossen und zusätzliche Verbindungsversuche werden abgelehnt.

9. Multi-Lateest-Angriff

-> In einem Multi-Label-Angriff kombinieren die Angreifer eine Reihe von Bedrohungen wie volumetrische Angriffe, Protokoll und Anwendung, die in vielen Stufen auf mehreren Einstiegspunkten (Angriffsvektoren) bereitgestellt werden, um Computer und Netzwerke zu infizieren und so das Ziel zu erreichen.

-> Der Angreifer wird schnell aus einer verteilten Form der Denial -of -Service.

-> Meistens werden diese Angriffe verwendet, um den IT -Service eines Unternehmens zu verwirren, damit er alle seine Ressourcen ausgibt und seine Aufmerksamkeit auf der falschen Seite umleitet.

10. Angriffe zwischen Gleichaltrigen

-> Mit Verwendung von Peer-to-Peer-Kunden bitten Angreifer Kunden, die Verbindung von ihrem Peer-to-Peer-Netzwerk zu trennen und sich mit der gefälschten Website des Opfers zu verbinden.

-> Die Angreifer verwenden die im Netzwerk gefundenen Fehler mit dem DC ++ – Protokoll (Direct Connect), mit dem alle Arten von Dateien zwischen Instant Messaging -Kunden weitergegeben werden.

-> Dank diesem starten die Angreifer massiv.

11. Permanenter Rückenangriff

Unter den ständigen Rückenangriffen haben wir:

-> Die Praxis : Der permanente Rücken, auch Phlalashing genannt, bezieht sich auf Angriffe, die das System des Systems irreversible beschädigen.

-> Die Sabotage : Im Gegensatz zu anderen Rückenangriffen sabotiert er das System des Systems und zwingt das Opfer, die Ausrüstung zu ersetzen oder neu zu installieren.

-> Die “Micker” -System : Dieser Angriff wird mit einer Methode durchgeführt, die als “Mickerchen ein System” bezeichnet wird. Mit dieser Methode senden die Angreifer betrügerische Hardware -Updates an die Opfer.

12. Umstrittene Dienst durch Reflexion verteilt (DRDOS)

-> Ein verteilter reflektierter Dienstverweigerungsangriff (DRDOS), der auch als Usurped -Angriff bezeichnet wird.

-> Der Angreifer startet diesen Angriff, indem er Anfragen an die Zwischenhosts sendet. Diese Anfragen werden dann an Sekundärmaschinen weitergeleitet.

-> Vorteil : Das Hauptziel scheint direkt vom sekundären Opfer angegriffen zu werden, nicht vom wirklichen Angreifer; Es werden mehrere Zwischen -Opfer -Server verwendet, was zu einer Zunahme des Bandbreitenangriffs führt.

III. Stiefel

1. Definition

-> Stiefel sind Softwareanwendungen, die automatisierte Aufgaben im Internet ausführen und einfache sich wiederholende Aufgaben ausführen, z. B. die Indexierung von Web -Engines und Suchmaschinen.

-> Ein Botnetz ist ein großes Netzwerk von Kompromisssystemen und kann von einem Angreifer verwendet werden, um Angriffe durch Denial -of -Service -Denial -of -Service zu starten.

2. Analysemethoden zur Suche nach gefährdeten Maschinen

-> Zufällige Analyse : Der infizierte Computer untersucht die IP -Adressen zufällig aus dem IP -Adresse des Ziels des Zielnetzes und überprüft die Sicherheitsanfälligkeit.

-> Analyse der Ergebnisliste : Der Angreifer sammelt zunächst die Liste der potenziell verletzlichen Maschinen und führt dann eine Analyse durch, um die gefährdete Maschine zu finden.

-> Topologische Analyse : Er verwendet die Informationen, die auf der infizierten Maschine erhalten wurden, um neue schutzbedürftige Maschinen zu finden.

-> Lokale Subnetzanalyse : Die infizierte Maschine sucht nach der neuen verletzlichen Maschine in einem eigenen lokalen Netzwerk.

-> Analyse von Permutationen : Er verwendet eine Pseudo-Random-Permutationsliste von IP-Adressen, um neue verletzliche Maschinen zu finden.

3. Wie verbreitet sich der böswillige Code? ?

Die Angreifer verwenden drei Techniken, um Malware in ein neu entdeckter verletzliches System zu verbreiten:

-> Ausbreitung der zentralen Quelle: Der Angreifer legt ein Angriffswerkzeugfeld in die zentrale Quelle und eine Kopie davon wird auf das neu entdeckte verletzliche System übertragen.

-> Rückkettenausbreitung: Der Angreifer legt die Angriffswerkzeugkasten selbst auf sein System und eine Kopie der Box wird auf das neu entdeckte verletzliche System übertragen.

-> Autonome Ausbreitung: Der Host selbst überträgt die Angriffswerkzeugkasten an das Zielsystem, genau dann, wenn seine Verwundbarkeit entdeckt wird.

-> Werbeverbindungen : Piraten verwenden Werbeverbindungen, um Stiefel herunterzuladen.

4. Verwendung von mobilen Geräten als Botnets zum Starten von DDOS -Angriffen

-> Android ist passiv anfällig für verschiedene Malware wie trojanische Pferde, Bots (Roboter), Remote -Zugriffstools (Ratten) usw. aus dritten -Party -Stores.

-> Diese ungesicherten Android -Geräte sind das Hauptziel der Angreifer, um ihr Botnetz zu vergrößern.

-> Sobald der Angreifer Sie mit einer Anwendung fängt, kann er Ihr Gerät als Botnetz verwenden, um DDOS -Angriffe zu starten.

Iv. Rücken- / DDOS -Angriffstools

1. Einige Rücken- und DDOs -Angriffswerkzeuge

Hochumlauf -Ionenkanone (hoic) : Hoic führt DDOS -Angriffe auf eine beliebige IP -Adresse aus, wobei ein vom Benutzer ausgewählter Port und ein vom Benutzer ausgewählter Protokoll ausgewählt wurden.

HTTP Unerträgliche Lastkönig (Hulk) : Hulk ist ein DDOS -Tool für Webserver. Es wird speziell verwendet, um Verkehrsvolumina auf einem Webserver zu generieren.

Davoset : Ist eine Befehlszeile, um DDOS -Angriffe auf Standorten durch Schwachstellen des Funktionalitätsmissbrauchs und der XML -externen Entitäten an anderen Websites durchzuführen.

Andere Werkzeuge: Tsunami, Blackhat -Hacking -Tools usw.

2. Back- und DDOs -Angriffstool für Mobilgeräte

Niedrige Umlaufbahn -Ionenkanone (Loic) : Die Android -Version der Software Low Orbit Ion Cannon (Loic) wird verwendet, um die Pakete zu überfluten, mit denen der Angreifer einen DDOS -Angriff auf die Zielorganisation durchführen kann.

Andosid : Andosid ermöglicht es dem Angreifer, einen Back-Angriff (ein HTTP-Angriff nach der Flut genau zu simulieren) und einen DDOS-Angriff auf einen Webserver von Mobiltelefonen.

Andere Werkzeuge: Paketgenerator, Pingtools Pro usw.

V. Erkennungstechniken

Die Erkennungstechniken basieren auf der Ermittlung der Zunahme des illegitimen Verkehrs. Alle Detektionstechniken definieren einen Angriff als abnormaler und spürbarer Unterschied in Bezug auf einen Schwellenwert der normalen Netzwerkverkehrsstatistik.

1. Aktivitätsprofilerstellung

Ein Angriff wird angezeigt durch:

• Eine Zunahme der Aktivitätsniveaus bei Netzwerkflussclustern.
• Eine Erhöhung der Gesamtzahl der getrennten Cluster (DDOS -Angriff)

Die Aktivitätsprofilerstellung basiert auf dem durchschnittlichen Paketfluss für einen Netzwerkfluss, der aus aufeinanderfolgenden Paketen mit ähnlichen Paketfeldern besteht. In der Tat besteht die Profilierung der Aktivität darin, die Headerinformationen eines Netzwerkpakets zu überwachen und den durchschnittlichen Paketfluss für einen Netzwerkfluss zu berechnen, um die Erhöhung des Aktivitätsniveaus zu erkennen.

2. Sequentielle Erkennung von Veränderungspunkten

Diese Erkennungstechnik folgt den folgenden Schritten:

• Handel isolieren : Erkennungsalgorithmen für Veränderungspunkte Isolieren Änderungen der durch Angriffe verursachten Netzwerkverkehrsstatistiken.
• Filterverkehr : Algorithmen filtern Zielverkehrsdaten nach Adresse, Port oder Protokoll und speichern Sie den resultierenden Fluss in Form chronologischer Serien.
• Identifizieren Sie den Angriff : Die sequentielle Erkennungstechnik der Änderungspunkte verwendet den Algorithmus der kumulativen Summe (CUSUM), um die Rückangriffe zu identifizieren und zu lokalisieren. Der Algorithmus berechnet die Unterschiede zwischen dem realen lokalen Durchschnitt und in der chronologischen Reihe des Menschenhandels erwartet.
• Identifizieren Sie die analytische Aktivität : Diese Technik kann auch verwendet werden, um typische Analyseaktivitäten von Netzwerkwürmern zu identifizieren.

3. Signalanalyse basierend auf Wavelets

Die Wavelet -Analyse beschreibt ein Eingangssignal in Bezug auf spektrale Komponenten. Die Wavelets bieten eine gleichzeitige Beschreibung von Zeit und Frequenz. Die Energieanalyse jedes Spektralfensters bestimmt das Vorhandensein von Anomalien. Die Signalanalyse bestimmt die Zeit, zu der bestimmte Frequenzkomponenten vorhanden sind, und filtert die Eingangssignale von abnormalem Verkehr wie Hintergrundgeräuschen.

Vi. Gegenmaßnahmen

1. DOS / DDOS-Gegenffekte Strategien

Absorbieren : Verwenden Sie eine zusätzliche Kapazität, um Angriffe aufzunehmen. Dies erfordert eine vorherige Planung und zusätzliche Ressourcen.

Identifizieren Sie Degradation Services : Identifizieren Sie kritische Dienste und stoppen Sie nicht kritische Dienste.

Service -Stopp : Stoppen Sie alle Dienste, bis sich der Angriff beruhigt hat.

2. Rück- / DDOs -Angriff Gegenmaßnahmen

• sekundäre Opfer schützen

-> Überwachen Sie die Sicherheit regelmäßig, um vor der DDOS -Agentensoftware geschützt zu bleiben.

-> Installieren Sie die Software Trojaner Antiviren und Anti-Pferd.

-> Bewusstsein aller Internetnutzer für Präventionsprobleme und -techniken.

-> Deaktivieren Sie unnötige Dienste, deinstallieren nicht verwendete Anwendungen und analysieren Sie alle Dateien, die aus externen Quellen empfangen werden.

-> Konfigurieren Sie die in das System und die grundlegenden Software des Systems integrierten Verteidigungsmechanismen und regelmäßig regelmäßig.

• Manager erkennen und neutralisieren

Netzwerkverkehrsanalyse : Analysieren Sie Kommunikationsprotokolle und Verkehrsmodelle zwischen Managern und Kunden oder Managern und Agenten, um Netzwerkknoten zu identifizieren, die mit Managern infiziert werden könnten.

Neutralisierung von Botnet -Managern : Es gibt im Allgemeinen nur wenige DDOS -Manager, die in Bezug auf die Anzahl der Agenten eingesetzt werden. Die Neutralisation einiger Manager kann möglicherweise mehrere Agenten nutzlos machen und so DDOs -Angriffe vereiteln.

Benutzerquellenadresse : Es besteht eine anständige Wahrscheinlichkeit, dass die usurpierte Quelladresse von DDOS -Angriffspaketen keine gültige Quelladresse des definierten Subnetzes darstellt.

• Potenzielle Angriffe verhindern

Ausgangsfilter : Es geht darum, die Header von IP -Paketen zu scannen, die ein Netzwerk verlassen, um sicherzustellen.

Eingabefilter : Es verhindert, dass die Quelle angegangen wird, schützt vor Angriffen durch Überschwemmungen. Es ermöglicht dem Absender, bis zu seiner wirklichen Quelle verfolgt zu werden.

TCP -Abfangen : Die Konfiguration von TCP Intercept schützt die Server vor TCP -Syn -Überschwemmungsangriffen und verhindern die Rückenangriffen, indem sie TCP -Verbindungsanforderungen abfangen und validieren.

Gebundene Rate:: Es handelt sich um eine rate, die eingehende oder ausgehende Verkehr beschränkt. Sie reduziert einen eingehenden Verkehr mit hohem Volumen, der einen DDOS -Angriff verursachen kann.

-> Die mit begrenzten Sicherheit implementierten Systeme, auch als Honigtöpfe (Honeypots) bekannt, wirken als Anreiz für einen Angreifer.

-> Honigtöpfe werden verwendet, um Informationen zu Angreifern, Angriffstechniken und Tools zu erhalten, indem eine Aufzeichnung von Systemaktivitäten gespeichert wird.

-> Verwenden Sie einen In -Tiefen -Verteidigungsansatz mit IPS an verschiedenen Stellen vom Netzwerk, um den verdächtigen Rückenverkehr zu mehreren Honiggläser umzuleiten.

-> Erhöhen Sie die Bandbreite für kritische Verbindungen, um zusätzlichen Verkehr zu absorbieren, der durch einen Angriff erzeugt wird.

-> Replik -Server, um zusätzlichen Sicherheitsschutz zu bieten.

-> Balken Sie die Last auf jedem Server in einer mehrfachen Serverarchitektur aus, um DDOS -Angriffe zu lindern.

-> Konfigurieren Sie die Router so, dass sie auf einen Server mit einer Logik zugreifen, um die eingehenden Verkehrsebenen zu begrenzen, die für den Server sicher sind.

-> Die Begrenzung vermeidet schädliche Server durch Steuern des Rückverkehrs.

-> Kann erweitert werden, um den DDOS -Angriffsverkehr einzuschränken und den legitimen Benutzerverkehr für bessere Ergebnisse zu autorisieren.

Entfernung von Abfragen:

-> Server entfernen die Pakete, wenn die Last zunimmt.

Die forensische Analyse erfolgt speziell als Ergebnis eines Vorfalls. In Bezug auf ein Sicherheitsaudit ermöglicht die forensische Analyse dank digitaler Beweise, einen Angriff als Ganzes zu rekonstruieren, um nach den von dem Piraten hinterlassenen Spuren zu suchen.

-> Analyse Verkehrsmodelle angreifen: Die Daten werden nach dem Angriff analysiert, um nach spezifischen Merkmalen innerhalb des angreifenden Verkehrs zu suchen. Auf diese Weise können Netzwerkadministratoren neue Filtertechniken entwickeln, um zu verhindern.

-> Paket Tradeback: Ähnlich wie bei Reverse Engineering hilft es, die Angriffsquelle zu finden, um die erforderlichen Maßnahmen zu ergreifen, um andere Angriffe zu blockieren.

-> Analyse des Journal of Events: Das Journal of Events hilft dabei.

3. Verteidigung gegen Botnets

-> RFC 3704 Filterung : Es begrenzt die Auswirkungen von DDOs, indem es den Verkehr mit gefälschten Adressen durch einen Filter in FAI verweigert.

-> Filter des Reputations -IP -Quelle Cisco IPS : Reputation Services helfen zu bestimmen, ob IP -Adresse oder -dienste eine Bedrohungsquelle sind oder nicht. Cisco IPS aktualisiert regelmäßig seine Datenbank mit bekannten Bedrohungen wie Botnets, Botnet -Sammlern, Malware usw. und helfen beim Rückzug zurück.

-> Schwarze Löcher Filterung : Das Schwarze Loch bezieht sich auf Netzwerkknoten, bei denen eingehender Verkehr abgelehnt oder aufgegeben wird, ohne die Quelle darüber zu informieren, dass die Daten den erwarteten Empfänger nicht erreicht haben. Die Filterung von schwarzen Löchern bezieht sich auf die Beseitigung von Paketen im Routing.

-> DDOS -Präventionsangebote oder DDOS -Service : Aktivieren Sie die IP -Quellwache (in CISCO) oder ähnliche Funktionen in anderen Routern, um den Datenverkehr abhängig von der DHCP -Überwachungsdatenbank oder IP -Quellanleihen zu filtern, die verhindern, dass ein Bot gefälschte Pakete sendet.

4. Andere DDOs / DOS -Gegenmaßnahmen

Um DDOS / DOS -Angriffe zu vermeiden, können die folgenden Anweisungen befolgt werden:

1) Verwenden Sie leistungsstarke Verschlüsselungsmechanismen wie WPA2, AES 256 usw.

2) Deaktivieren Sie unbenutzte und ungesicherte Dienste.

3) Aktualisieren Sie den Kern mit der neuesten Version

4) Führen Sie in der Tiefenvalidierung der Einträge durch

5) Verhindern Sie die Verwendung unnötiger Funktionen wie Get, Strcpy usw.

6) verhindern

7) Konfigurieren Sie die Firewall, um den Zugriff auf externe ICMP -Verkehr zu verweigern

8) Implementieren Sie kognitive Funkgeräte in der physischen Schicht, um Jamming -Angriffe zu verwalten.

9) Stellen Sie sicher, dass Software und Protokolle auf dem neuesten Stand sind.

10) Verhindern.

11) Blockieren Sie alle eingehenden Pakete von Serviceports, um den Verkehr von Reflexionsservern zu blockieren.

12) Sicherung der Fernverwaltung und Konnektivitätstests.

5. DOS / DDOS -Schutz in Bezug auf FAI

Diese Mechanismen ermöglichen es dem Internetdienstanbieter (ISP), sich vor Rück-/DDOs -Angriffen zu schützen:

1) Die meisten FAI blockieren einfach alle Anfragen während eines DDOS.

2) FAIS bietet DDOS -Schutz in der Cloud für Internetverbindungen, damit sie nicht durch den Angriff gesättigt sind.

3) DDOS -Schutz in der Cloud lenkt während des Angriffs den Verkehr in Richtung der FAI und gibt sie zurück.

4) Administratoren können die ISPs bitten, ihre betroffene IP zu blockieren und ihre Website nach der Ausbreitung von DNS auf eine andere IP zu verschieben.

DDOS -Schutzgeräte: Fortiddos-1200b, Cisco Guard XT 5650, A10 Thunder TPS

Werkzeuge: Incapsula DDOS -Schutz, Anti -DDOS -Guardian, Cloudflare, DefensePro

Vii. Rücken- / DDOS -Penetrationstest

Schritt 1: Definieren Sie ein Ziel

-> Es wird eine Frage sein, einen Plan für den Penetrationstest festzulegen

Schritt 2: Testen Sie schwere Lasten auf dem Server

-> Es ist erforderlich, den Mindestschwellenwert für Rückenangriffe zu bestimmen

Schritt 3: Überprüfen von schutzbedürftigen Rücksystemen

-> Dies besteht darin, die Kapazität des Systems zu überprüfen, um mit den Back -Angriffen umzugehen

Schritt 4: Führen Sie einen SYN -Angriff auf dem Server aus

-> Die Ergebnisse der Penetrationstests helfen den Administratoren, Sicherheitskontrollen des geeigneten Netzwerkperimeter wie Lastausgleich, IDs, IPs, Firewalls usw. zu bestimmen und zu übernehmen.

Schritt 5: Ausführen von Porting -Angriffen auf dem Server ausführen

-> Es geht darum, das Zielverkehrsnetzwerk zu überfluten, um die Stabilität des Systems zu überprüfen.

Schritt 6: Starten Sie einen E -Mail -Bomber auf den E -Mail -Servern

-> Die Verwendung von Werkzeugen Bomber -E -Mail Sendet eine große Anzahl von E -Mails an einen Target Messaging Server.

Schritt 7: Überfluten Sie die Formen der Website und des Gästebuchs mit falschen Eingängen

-> Dies erhöht die Verwendung des Prozessors, indem alle Verbindungsanforderungen für die Ports unter Blockade beibehalten werden.

Schritt 8: Dokumentieren Sie alle Ergebnisse.

-> Alle Ergebnisse müssen dokumentiert werden.

Abteilungsangriff – Definition

A Ministerium für Dienstleistungen ( Denial -of -Service -Angriff , Daher die Abkürzung Zurück) ist ein Angriff, der darauf abzielt, einen Dienst nicht verfügbar zu machen, um zu verhindern, dass legitime Benutzer einen Dienst daran nutzen. Es kann sein:

• Die Flut eines Netzwerks (ein Computernetzwerk ist eine Reihe von Geräten, die mit dem Austausch verbunden sind. ) um seinen Betrieb zu verhindern
• Die Störung von Verbindungen zwischen zwei Maschinen, die den Zugang zu einem bestimmten Dienst verhindern
• Die Behinderung des Zugangs zu einer Dienstleistung für eine bestimmte Person

Die Denial -of -Service -Angriff kann somit einen Dateiserver blockieren, es unmöglich machen, auf einen Webserver zuzugreifen, die Verteilung von E -Mails in einem Unternehmen zu verhindern oder eine Website nicht verfügbar zu machen (das Internet ist das globale Computernetzwerk, das dem öffentlichen Dienst zugänglich macht. )) .

Der Pirat braucht nicht unbedingt (die Bedürfnisse sind in Bezug auf die Wechselwirkung zwischen Individuum und Umwelt. Er ist. ) Raffinierte Ausrüstung. So sind bestimmte Rückenangriffe (bei Anatomie bei Wirbeltieren, einschließlich Menschen, der Rücken ist der Teil. ) kann mit begrenzten Ressourcen gegen ein viel größeres und modernes Netzwerk ausgeführt werden. Diese Art von Angriff “Asymmetrischer Angriff” wird manchmal aufgerufen (aufgrund des Unterschieds der Ressourcen zwischen den Protagonisten). Ein Hacker mit einem Computer (ein Computer ist ein Computer mit einer Verarbeitungseinheit, die es zulässt. ) veraltet und ein Modem (das Modem (Koffer für Modulator-Demodulator) ist ein Serviergerät. ) Langsam kann so viel größere Maschinen oder Netzwerke neutralisieren.

Die Ablehnungsangriffe der Abteilung haben sich im Laufe der Zeit verändert (Zeit ist ein Konzept, das vom Menschen entwickelt wurde, um das zu verstehen. ) (sehen ).

Alles (alles inklusive als Set von dem, was existiert. ) Erstens wurden erstere nur von einem einzigen “Angreifer” verübt; Schnell, fortgeschrittenere Angriffe, die eine Vielzahl von “Soldaten” beinhalteten, auch “Zombies” genannt, auch als “Zombies” bezeichnet werden. Wir sprechen dann von DDOs ( Verteilte Ablehnung des Serviceangriffs )). Dann wurden die Rücken- und DDOS -Angriffe von Piraten begangen, die nur von der Leistung und dem Ruhm angezogen wurden. Heute sind dies hauptsächlich kriminelle Organisationen, die im Wesentlichen durch Geld motiviert sind (Silber- oder Metallsilber ist ein chemisches Element des Ag -Symbols – des. )) . Somit haben sich einige Hacker auf das “Heben” von “Zombies” -Armen spezialisiert, die sie dann an andere Piraten mieten können, um ein bestimmtes Ziel anzugreifen. Mit der starken Zunahme der Anzahl (das Zahlenkonzept in der Sprachwissenschaft wird in der Artikelzahl “Nummer behandelt. ) Austausch im Internet hat die Anzahl der Singles zur Ablehnung des Dienstes sehr stark fortgeschritten (ein Piraten startet einen Rücken- oder DDOS -Angriff auf ein Unternehmen und bittet ihn um ein Lösegeld, um diesen Angriff zu stoppen !)).

Historisch

Die Angriffe durch Leugnung des Dienstes sind entstand. ) in den 80ern. DDOs (oder verteilte Back -Angriffe) wären neuer: Der erste offizielle DDOS -Angriff fand im August 1999 statt: Ein Tool (ein Tool ist ein finanzielles Objekt, das von einem Lebendchen verwendet wird, um seine Erhöhung zu erhöhen. ) genannt “trinoo ddo” (unten beschrieben) wurde in mindestens 227 Systemen, von denen 114 im Internet waren. ) Minnesota. Nach diesem Angriff blieb der Internetzugang der Universität länger als zwei Tage blockiert.

Der erste DDOS -Angriff, der in der Verbraucherpresse vermittelt wurde. Am 7. Februar Yahoo! (Yahoo!,Inc. ist ein amerikanisches Internet Service Company, das arbeitet. ) war das Opfer eines DDOS -Angriffs, der vorgenommen wurde (Rendering ist ein Computerprozess, der das 2D -Bild berechnet (entspricht einem Foto). ) sein Internetportal für drei Stunden unzugänglich. Am 8. Februar Amazon.com, kaufen.Com, CNN und eBay waren von DDOS -Angriffen betroffen. ) ihrer Operation. Am 9. Februar waren E und ZDNET wiederum Opfer von DDOS -Angriffen.

Analysten glauben, dass Yahoo während der drei Stunden der Unzugänglichkeit Yahoo! hat einen E-Commerce- und Werbeeinnahmen in Höhe von rund 500.000 US-Dollar unterzogen . Laut Amazon.com, sein Angriff führte zu einem Verlust von 600.000 US -Dollar über 10 Stunden. Während des Angriffs eBay.com ist vergangen (die Vergangenheit ist in erster Linie ein Konzept, das mit der Zeit verbunden ist: Es besteht aus dem Ganzen. ) 100 % Verfügbarkeit (die Verfügbarkeit von Geräten oder ein System ist eine Leistungsmaßnahme, die. ) 9,4 %; CNN.COM ging unter 5 % des Volumens (Volumen in physischen oder mathematischen Wissenschaften, eine Menge, die die Erweiterung misst. ) normal ; ZDNET.com und etrade.com waren praktisch unzugänglich. Schwab.Com, die Online -Site des Charles Schwab -Broker, war ebenfalls betroffen, aber er weigerte sich, genaue Zahlen zu seinen Verlusten zu geben. Wir können nur davon ausgehen, dass in einem Unternehmen, das 2 Milliarden US -Dollar pro Woche für Online -Trades beträgt, der Verlust nicht vernachlässigbar war. Michael Calce, derjenige, der Amazon gehackt hat.com, yahoo!, CNN und eBay wurden zu 8 Monaten (dem Monat aus Lat verurteilt. Mensis “Monat” und früher bei PLUR. “Menstruation”) ist eine Zeitspanne. ) in einem jungen Haftzentrum (er war zum Zeitpunkt der Tatsachen erst 15 Jahre alt).

Im September 2001 war ein bestimmtes Virus (ein Virus war eine biologische Einheit, die eine Wirtszelle benötigt, die er verwendet. ) Roter Code infiziert einige tausend Systeme und eine Sekunde (Sekunde ist das Weibliche des zweiten Adjektivs, der unmittelbar nach dem ersten kommt oder wer. ) Version mit dem Titel Code Red II installiert einen DDOS -Agenten. Die Gerüchte behaupten, er müsse einen Angriff auf das Weiße Haus (das Weiße Haus (Weißes Haus in englischer Sprache)) starten die offizielle Residenz und das Büro des. )) . In einem Kontext (der Kontext eines Ereignisses umfasst die Umstände und Bedingungen, die es umgeben;. ) Krisenpolitik kündigt die Regierung der Vereinigten Staaten an, dass Sicherheitsmaßnahmen durchgeführt werden. Aber im Sommer 2002 ist es das Internet, um sich einem DDOS -Angriff gegen seine 13 Wurzelserver zu unterziehen. Diese Server sind die wichtigsten Punkte des Überweisungssystems (in der Welt der Eisenbahnen, um einen Zug von einer Strecke zur anderen zu übergeben, wir verwenden wir. ) Internet, als Domänenname -System bezeichnet. ) (DNS). Dieser Angriff dauert nur eine Stunde (die Stunde ist eine Messeinheit 🙂 aber hätte das Ganze lähmen können (theoretisch von Sets, ein Satz bezeichnet intuitiv eine Sammlung. ) Internet Netzwerk. Der Vorfall wird von Experten, die behaupten, die Sicherheit ihrer Maschinen in Zukunft zu stärken, ernst genommen.

Die erste Version von Slapper, die Mitte September 2002 erschien, kontaminierte mehr als 13.000 Linux-Server (im strengen Sinne ist Linux der Name des Kernel des freien Betriebssystems, Multitasking. ) in zwei Wochen. Slapper verwendet ein Sicherheitsloch, das im OpenSSL1 -Modul und im Fahrzeug vorhanden ist (ein Fahrzeug ist eine mobile Maschine, mit der Sie Personen oder Gebühren von a bewegen können. ) Ein DDOS -Agent. Dies wird in der Zeit erkannt und gestoppt.

Trotz allem blockierte am Montag 21. Oktober 2002 ein neuer Back -Angriff 9 der 13 wichtigsten Server, was ihre Ressourcen drei Stunden lang nicht zugänglich machte. Teil der Unternehmen und Organisationen, die diese Schlüsselserver verwalten, reagieren und beschließt, ihre Sicherheitsgeräte zu überprüfen. Das FBI hat eine Untersuchung eröffnet, aber die Autoren des Angriffs verspricht, schwierig zu werden.

Kurz nach Datenbankserver (in Informationstechnologie (TI) sind Daten häufig eine elementare Beschreibung. ) Microsoft (Microsoft Corporation (NASDAQ: MSFT) ist eine multinationale amerikanische Lösungen. ) SQL Server, schlecht konfiguriert, sind mit dem Wurm infiziert (Würmer bilden eine sehr heterogene Gruppe von Wirbellosen Tieren. ) SQL Slammer. Letzterer trägt einen DDOS -Agenten, der am 25. Januar 2003 gegen das Internet einen Angriff gestartet hat. Diesmal bezeichnet nur 4 der 13 Root -Server, die für das Routing verantwortlich sind (in der Informatik (in der Informatik. ) Das Internet wurde betroffen. Trotz der Virulenz (Virulenz bezeichnet den pathogenen, schädlichen und gewalttätigen Charakter eines Mikroorganismus. ) des Angriffs wurde die Gesamtleistung des Netzwerks kaum um 15 % reduziert .