Головна

атаки DoS

  1.  Атаки можливі, якщо щось в вас відповідає на них
  2.  Виживання під час атаки (3).
  3.  засікання атаки
  4.  ВИХІДНІ ПОЛОЖЕННЯ ТІЛА ДЛЯ АТАКИ І ЗАСОБИ АТАКИ
  5.  Чи могли рапіри з однаковим успіхом використовуватися і для захисту і для атаки?
  6.  Положення об'єкта для зовнішньої Тратаку

Цей розділ охоплює DoS атаки. DoS атаки це зазвичай пакетні атаки. Хоча проти сучасної атаки з підробкою пакетів, яка перевантажує мережу, мало що можна зробити, ви можете обмежити пошкодження, переконавшись, що атака не може обрушити ваші сервера.

1. Обмеження кількості породжуваних процесів.

2. Зменшення наслідків springboard атак (ICMP відповідь, широкомовний ping і т.д.).

3. Кеш маршрутизації ядра.

Звичайна DoS атака проти породжує процеси сервера намагається вичерпати ресурси сервера по процесам, файловим дескрипторах і пам'яті до тих пір, поки машина не '' повисне ''. У inetd (Зверніться до inetd (8)) є кілька параметрів, що дозволяють обмежити такі атаки. Необхідно врахувати, що хоча можна запобігти падінню системи, в загальному випадку неможливо запобігти припиненню роботи сервісу. Уважно прочитайте сторінку довідника і зверніть особливу увагу на параметри -c, -C, і -R. Врахуйте, що параметр -C не працює в разі атак з використанням підроблених IP пакетів, тому як правило необхідне використання певних налаштувань. Деякі standalone сервіси використовують власні параметри, що обмежують породження процесів.

У Sendmail є власний параметр -OMaxDaemonChildren, яка працює набагато краще, ніж параметр sendmail, що обмежує навантаження. Вам необхідно задати параметр запуску sendmail MaxDaemonChildren досить великим, щоб обслуговувати очікуване навантаження, але так, щоб комп'ютер міг обслужити таку кількість додатків sendmail без падіння системи. Доброю заходом є запуск sendmail в режимі черзі (-ODeliveryMode = queued) і запуск даемона (sendmail -bd) окремо від черги (sendmail -q15m). Якщо ви все ж хочете організувати доставку в режимі реального часу, запускайте чергу з меншим інтервалом -q1m, але переконайтеся в правильній установці параметра sendmail MaxDaemonChildren для запобігання помилок.

Syslogd може бути атакований безпосередньо, настійно рекомендується використовувати параметр -s якщо це можливо і параметр -a в інших випадках.

Ви також повинні бути дуже обережні з сервісами, які здійснюють зворотне підключення, наприклад, з TCP Wrapper і його зворотним identd-запитом, який може бути атакований безпосередньо. З цієї причини можливість TCP Wrapper генерувати зворотний ident зазвичай не слід використовувати.

Правильним буде заборона доступу до внутрішніх сервісів із зовнішньої мережі шляхом відповідної настройки брандмауера на зовнішньому маршрутизаторі. Ідея в тому, щоб запобігти перевантаженню сервісів атаками з зовнішньої мережі, а крім того захистити root від злому через мережу. Завжди налаштовуйте виключає брандмауер, тобто '' Закрити всі крім портів A, B, C, D, і M-Z ''. Цим способом ви можете закрити всі порти нижнього діапазону, крім явно зазначених, таких як named (Якщо ви підтримуєте інтернет-зону), ntalkd, sendmail, І інших сервісів, доступних з інтернет. Якщо ви спробуєте налаштувати брандмауер іншим способом - включає, або дозволяє брандмауер, є великий шанс забути '' закрити '' пару сервісів, або додати новий внутрішньо сервіс і забути оновити брандмауер. Ви можете відкрити діапазон портів з великими номерами для звичайних додатків без загрози портам нижнього діапазону. Врахуйте також, що FreeBSD дозволяє вам контролювати діапазони портів, що використовуються для динамічної прив'язки через різні змінні sysctl net.inet.ip.portrange (sysctl -a | fgrep portrange), що дозволяє спростити настройку брандмауера. Наприклад, ви можете використовувати звичайний діапазон портів зі значеннями від 4000 до 5000, і діапазон портів з великими номерами від 49152 до 65535, а потім заблокувати всі до 4000 порту (звичайно залишивши доступ з інтернет до певних портів.

Інший поширений тип DoS атак називається springboard - сервер атакується таким чином, що генеруються відповіді перевантажують його, локальну мережу або якісь інші комп'ютери. Найбільш поширена атака цього виду це широковещательная ICMP ping атака. Атакуючий підробляє пакети ping, підставляючи IP адреса машини, яку він має намір атакувати, і відправляє їх на широкомовна адресу вашої локальної мережі. Якщо ваш зовнішній маршрутизатор не налаштований на відкидання пакетів ping на широкомовні адреси, ваша мережа починає генерувати відповідні відповіді на підроблений адреса, що призводить до перевантаження хоста-жертви, особливо якщо атакуючий використовує цей же трюк з безліччю широкомовних адрес в безлічі мереж одночасно. Були зареєстровані широкомовні атаки понад ста двадцяти мегабіт. Інша поширена springboard атака спрямована на ICMP систему повідомлення про помилки. Конструюючи пакети, що викликають ICMP повідомлення про помилки, атакуючий може навантажити вхідні повідомлення сервера і змусити сервер навантажити вихідні повідомлення ICMP відповідями. Цей тип атаки може також обрушити сервер, коли той вичерпає mbuf, зазвичай якщо сервер не може обмежити число відповідей ICMP, коли вони генеруються занадто швидко. використовуйте змінну sysctl net.inet.icmp.icmplim. Останній основний клас springboard атак відноситься до певних внутрішніх сервісів inetd, Таким як сервіс udp echo. Атакуючий просто підробляє адресу джерела і адреса призначення UDP пакетів, встановлюючи в їх якості відповідно echo порт сервера A і B, обидва цих сервера належать вашої локальної мережі. Ці два сервера починають перекидатися цим пакетом один з одним. Атакуючий може викликати перевантаження обох серверів і їх мереж, просто відправивши кілька пакетів таким способом. Аналогічні проблеми існують з портом chargen. Компетентний системний адміністратор повинен відключити ці тестові сервіси inetd.

Атаки з підробленими пакетами можуть також використовуватися для переповнення кешу маршрутизації ядра. Зверніться до параметрів sysctl net.inet.ip.rtexpire, rtminexpire, і rtmaxcache. Атака з підробленими пакетами, що використовує довільний IP адреса джерела, змусить ядро ??згенерувати тимчасовий кешированний маршрут в таблиці маршрутизації, який можна побачити за допомогою netstat -rna | fgrep W3. Ці маршрути зазвичай видаляються через 1600 секунд або близько того. Якщо ядро ??визначить, що кешована маршрутна таблиця стала занадто великий, воно динамічно зменшить rtexpire, але ніколи не стане робити його менше ніж rtminexpire. З цим пов'язані дві проблеми:

1. Ядро не відреагує досить швидко, коли легко навантажений сервер буде раптово атакований.

2. Значення rtminexpire недостатньо мало для підтримки працездатності в умовах тривалої атаки.

Якщо ваші сервери підключені до інтернет через лінію T3 або швидшу, завбачливо буде змінити обидва значення rtexpire і rtminexpire за допомогою sysctl (8). Ніколи не встановлюйте жоден з цих параметрів в нуль (якщо тільки ви не хочете обрушити систему). Установка обох параметрів в значення 2 секунди повинна запобігти таблицю маршрутизації від атак.



 Захист ядра, raw пристроїв і файлових систем |  Проблеми, пов'язані з доступом до Kerberos і SSH

 Заставка в дії |  Активація заставки |  хинти пристроїв |  Вступ |  Обліковий запис суперкористувача |  Приклад 13-1. Додавання користувача в FreeBSD |  обмеження користувачів |  Короткий опис |  Вступ |  захист FreeBSD |

© um.co.ua - учбові матеріали та реферати