Atacuri DDoS

Ce sunt atacurile DoS și DDoS

Un atac DoS(Denial of Sercive) este un atac ce are ca scop crearea unor impedimente în comunicația dintre rețeaua afectată și utilizatori. Acestea realizează acest lucru prin copleșirea serverului cu o cantitate mare de trafic de date care îl forțează să se închidă.

Un atac DDoS(Distributed Denial of Service) este un atac DDoS compus din mai multe sisteme infectate. Este mult mai greu să combați un atac DDoS decât un atac DoS datorită volumului vast de device-uri. Acestea pot realiza atacuri la nivelui aplicație, insă pot comite atacuri și la nivelul rețea pentru a afecta infrastructura rețelei. De obicei sistemele folosite în atacuri DDoS sunt răspândite din punct de vedere geografic și folosesc multiple conexiuni la internet, facând controlul atacurilor extrem de dificil.

Atacurile DoS și DDoS sunt extrem de periculoase deoarece, spre deosebire de alte tipuri de atacuri, acestea nu au ca scop furtul de informații, ci crearea unor bariere în comunicarea serverelor afectate cu utilizatorii.

Atacurile DDoS exploatează de obicei 3 dintre cele 7 nivele ale modelului de comunicație OSI(Open Systems Interconnection): nivelui 3(nivelui rețea), nivelul 4(nivelui transport), și nivelul 7(nivelul aplicație).

SYN flood - Atacuri de nivel 4

Atacurile ”SYN flood” reprezintă atacuri DDoS ale nivelului 4(nivelui transport). Ele exploatează maniera în care este realizată o conexiune TCP(Transmission Control Protocol) pentru a-și distribui atacul. Maniera în care se stabilește o conexiune de tip TCP se numește ”three-way handshake”. În acestă metodă, clientul trimite către server un pachet de tip SYN. Serverul îi trimite înapoi clientului un pachet de tip AKN(Acknowledgement), urmând ca la final clientul să îi trimită și el serverului un pachet de tip AKN. Odată realizat acest ”three-way handshake”, conexiunea este finalizată.

Un SYN flood se folosește de răbdarea inerentă a stivei TCP pentru a suprasatura un server prin a-i trimite o inundație de pachete SYN, ingorând semnalele SYN AKN returnate de către server.

În consecință serverul își epuizează resursele, fiind forțat să aștepte o perioadă de timp predefinită pentru a primi semnalul de AKN de la clienții legitimi. De asemenea, un server este limitat din punct de vedere al numărului de TCP-uri corupte pe cale le poate avea la un moment dat, așadar unui atacator îi este foarte ușor de obicei să atingă această limită dacă trimite suficient de multe pachete de tip SYN, astfel împiedicând serverul să răspundă la request-uri de la utilizatori legiti.

Un combo SYN flood este compus din două atacuri SYN: unul folosește pachete SYN obișnuite, iar celălalt pachete largi de peste 250 bytes. Ambele atacuri sunt executate simultan. Pachetele de dimensiune normală epuizează resursele serverului, în timp ce pachetele largi cauzează saturarea rețelei.

SYN flood - urile sunt destul de ușor de depistat de către aplicații pe bază de proxy. Din moment ce acestea falsifică o conexiune la server și sunt de obicei pe bază de harware, cu o limită mult mai mare de TCP-uri corupte, soluțiile pe bază de proxy pot suporta volumul mare de conexiuni fără a deveni copleșite. Deoarece soluțiile pe bază de proxi reprezintă ‘endpoint’-ul conexiunii TCP, nu va permite trecerea conexiunii către server până nu a fost finalizat un ‘three-way handshake’, oprind astfel SYN flood - ul la proxy.

Aceste tipuri de atacuri sunt de obicei oprite folosind SYN cookies. ’SYN cookies’ folosesc hash-uire criptografică, ceea ce sunt costisitoare din punct de vedere al puterii de computație, ceea ce le face dezirabile pentru permiterea soluțiilor proxy/delivery cu capabilități criptografice accelerate hardware să se ocupe de aceste tipuri de măsuri de securitate. Serverele pot implementa ’SYN cookies’, însă dificultatea adițională plasată pe server atenuează majoritatea beneficiilor obținute prin prevenirea SYN flood - urilor, și de obicei rezultă în site-uri și servere disponibile, dar cu o performanță foarte scăzută.