Cục Dịch vụ tấn công

-> Liên kết quảng cáo : Cướp biển sử dụng các liên kết quảng cáo để tải xuống giày.

Cục Dịch vụ tấn công

Việc từ chối dịch vụ (trở lại) là một cuộc tấn công vào máy tính hoặc mạng giúp giảm, hạn chế hoặc ngăn chặn khả năng truy cập của các tài nguyên hệ thống đối với người dùng hợp pháp của nó.

Trong một cuộc tấn công trở lại, những kẻ tấn công tràn ngập hệ thống nạn nhân, theo yêu cầu dịch vụ hoặc do giao thông không hợp lý, để làm quá tải tài nguyên của họ. Do đó, cuộc tấn công trở lại chính xác dẫn đến sự không có sẵn của một dịch vụ.

2. Cuộc tấn công từ chối phân tán (DDoS) là gì ?

Một cuộc tấn công từ chối dịch vụ phân tán (DDoS) ngụ ý vô số hệ thống thỏa hiệp tấn công một mục tiêu duy nhất, gây ra sự từ chối dịch vụ cho người dùng của hệ thống đích.

Để khởi động một cuộc tấn công DDOS, kẻ tấn công sử dụng giày để tấn công một hệ thống duy nhất.

3. Tác động của các cuộc tấn công trở lại

Các cuộc tấn công của bộ có hậu quả có hại đối với các tổ chức nạn nhân. Tác động của cuộc tấn công trở lại có thể dẫn đến cấu trúc liên quan:

• Mất giá trị kinh doanh: Người dùng dịch vụ không còn tự tin,
• Mạng không hoạt động: Các dịch vụ không thể truy cập được,
• Mất tài chính: Có thể có sự sụt giảm doanh thu,
• tổ chức của tổ chức.

4. Các loại cơ bản của các vectơ tấn công Back / DDoS

Các loại cơ bản của các vectơ tấn công Back hoặc DDoS như sau:

• Các cuộc tấn công thể tích: Họ tiêu thụ băng thông của mạng hoặc dịch vụ mục tiêu. Nó được đo bằng các bit mỗi giây (BPS) bằng các cuộc tấn công lũ lụt, các cuộc tấn công khuếch đại (UDP, ICMP, Ping of Death, Smurf), v.v.
• Các cuộc tấn công giao thức: Họ tiêu thụ các bảng trạng thái kết nối có trong các thành phần của cơ sở hạ tầng mạng như bộ cân bằng tải, thanh – máy chủ Fire và Ứng dụng. Cuộc tấn công được đo bằng các gói mỗi giây (PPS).

Ví dụ: Syn, ACK, TCP, tấn công phân mảnh, v.v.

• Lớp ứng dụng tấn công : Họ tiêu thụ tài nguyên hoặc dịch vụ ứng dụng, do đó làm cho chúng không có sẵn cho những người dùng hợp pháp khác. Nó được đo bằng các yêu cầu mỗi giây (RPS).

Ví dụ: HTTP GET / POST Attack

Ii. Kỹ thuật tấn công

1. Tấn công lũ lụt UDP

-> Kẻ tấn công gửi các gói UDP UDP, với gói gói rất cao, đến máy chủ từ xa trên các cổng ngẫu nhiên của máy chủ đích sử dụng một loạt các địa chỉ IP.

-> Lũ ​​lụt của các gói UDP sẽ buộc máy chủ xác minh các ứng dụng không tồn tại nhiều lần tại các cổng của các cổng.

-> Các ứng dụng hợp pháp không thể truy cập được bởi hệ thống và trả về gói phản hồi lỗi với thông báo “đích không thể truy cập”.

-> Cuộc tấn công này sẽ tiêu thụ các tài nguyên của mạng và băng thông có sẵn, làm cạn kiệt mạng cho đến khi nó bị ngắt kết nối.

2. Tấn công lũ lụt ICMP

-> Đây là một loại tấn công trong đó những kẻ tấn công gửi một số lượng lớn các gói ứng dụng Echo ICMP cho nạn nhân.

-> Quả thực quản trị viên mạng sử dụng ICMP chủ yếu cho cấu hình IP, khắc phục sự cố và nhắn tin lỗi của các gói không thể sử dụng được.

-> Các gói này sẽ chỉ ra hệ thống mục tiêu để phản hồi và sự kết hợp lưu lượng sẽ bão hòa băng thông của mạng mục tiêu. Cái sau sẽ bị quá tải và sẽ ngừng trả lời các yêu cầu TCP / IP hợp pháp.

-> Để bảo vệ bản thân khỏi các cuộc tấn công lũ lụt ICMP, có thể xác định giới hạn ngưỡng, khi vượt quá, gọi chức năng bảo vệ chống lại các cuộc tấn công lũ lụt ICMP.

3. Cái chết ping

-> Kẻ tấn công cố gắng trồng, mất ổn định hoặc đóng băng hệ thống mục tiêu hoặc dịch vụ bằng cách gửi các gói lớn bằng lệnh ping đơn giản.

-> Nếu kích thước của gói vượt quá giới hạn kích thước được quy định bởi RFC791 IP (65535), quy trình gia cố có thể tạo ra hệ thống.

4. Smurf tấn công

-> Trong cuộc tấn công này, tiền đạo chiếm đoạt địa chỉ IP của mục tiêu và gửi một luồng tối đa của các gói Echo ICMP (ping) đến các địa chỉ phát sóng, nghĩa là nói với mạng khuếch tán IP. Mỗi ping sẽ bao gồm địa chỉ được chiếm đoạt máy tính đích.

-> Các máy chủ của mạng phát sóng sẽ phản hồi với các yêu cầu Echo ICMP cho máy nạn nhân, điều này cuối cùng sẽ gây ra sự cố máy.

5. Đồng bộ truy vấn tấn công lũ lụt

-> Kẻ tấn công gửi một số lượng lớn các yêu cầu SYN cho nạn nhân với địa chỉ IP sai.

-> “Lũ lụt” tận dụng lỗ hổng trong cách mà hầu hết các máy chủ thực hiện các cuộc đàm phán TCP đến ba.

-> Khi nạn nhân nhận được yêu cầu SYN, cô ấy phải giữ một dấu vết của kết nối một phần trong một “hàng đợi hàng đợi” trong ít nhất 75 giây.

-> Một máy chủ độc hại có thể sử dụng kích thước nhỏ của hàng đợi nghe bằng cách gửi một số yêu cầu SYN đến máy chủ, nhưng không bao giờ trả lời SYN / ACK.

-> Hàng đợi lắng nghe của nạn nhân lấp đầy nhanh chóng.

-> Giữ mỗi kết nối không hoàn chỉnh trong 75 giây có thể được sử dụng như một sự từ chối tấn công dịch vụ.

6. Tấn công phân mảnh

-> Các cuộc tấn công này ngụ ý việc truyền các gói UDP hoặc TCP gian lận lớn hơn MTU (đơn vị truyền tối đa) của mạng (thường là ~ 1500 byte). Cuộc tấn công này sẽ phá hủy khả năng của một nạn nhân để thưởng thức các gói bị phân mảnh.

-> Vì các gói này là sai và không thể đạt được, các tài nguyên của máy chủ đích nhanh chóng được tiêu thụ, dẫn đến sự không có sẵn của máy chủ.

7. Các cuộc tấn công với HTTP GET hoặc POST yêu cầu

-> Một cuộc tấn công lũ HTTP sử dụng những gì dường như là HTTP nhận hoặc đăng các yêu cầu hợp pháp để tấn công máy chủ web hoặc một ứng dụng.

-> Cuộc tấn công HTTP sẽ được thực hiện bằng cách trì hoãn việc gửi tiêu đề HTTP để duy trì kết nối HTTP và làm cạn kiệt tài nguyên máy chủ web.

-> Cuộc tấn công bài HTTP có thể được thực hiện bằng cách gửi một tiêu đề hoàn chỉnh và thân máy không hoàn chỉnh, bắt buộc máy chủ web phải đợi phần còn lại của cơ thể cho đến khi các tài nguyên cạn kiệt.

số 8. Tấn công Slowloris

-> SlowLoris là một ứng dụng DDOS Attack sử dụng các yêu cầu HTTP một phần để mở kết nối giữa một máy tính và máy chủ web được nhắm mục tiêu, sau đó giữ cho các kết nối này mở càng lâu càng tốt, nhấn chìm và làm chậm mục tiêu.

-> Do đó, nhóm kết nối đồng thời tối đa của máy chủ đích sẽ được hoàn thành và các nỗ lực kết nối bổ sung sẽ bị từ chối.

9. Cuộc tấn công đa thể nhất

-> Trong một cuộc tấn công đa nhãn, những kẻ tấn công kết hợp một tập hợp các mối đe dọa như các cuộc tấn công thể tích, giao thức và ứng dụng được triển khai đến nhiều giai đoạn, trên một số điểm nhập cảnh (vectơ tấn công) để lây nhiễm máy tính và mạng, và do đó đến mục tiêu.

-> Kẻ tấn công sẽ nhanh chóng đi từ hình thức từ chối dịch vụ phân tán.

-> Thông thường, các cuộc tấn công này được sử dụng để gây nhầm lẫn cho dịch vụ CNTT của một công ty để khiến nó chi tiêu tất cả các nguồn lực của mình và chuyển hướng sự chú ý của nó sang mặt sai.

10. Tấn công giữa các đồng nghiệp

-> Sử dụng khách hàng ngang hàng, những kẻ tấn công yêu cầu khách hàng ngắt kết nối với mạng ngang hàng của họ và kết nối với trang web giả mạo của nạn nhân.

-> Những kẻ tấn công sử dụng các lỗi được tìm thấy trên mạng bằng giao thức DC ++ (Kết nối trực tiếp), được sử dụng để chia sẻ tất cả các loại tệp giữa các khách hàng nhắn tin tức thời.

-> Nhờ vào điều này, những kẻ tấn công khởi động các cuộc tấn công từ chối dịch vụ lớn và các trang web thỏa hiệp.

11. Tấn công trở lại vĩnh viễn

Trong số các cuộc tấn công trở lại vĩnh viễn, chúng tôi có:

-> The Phlashing : Mặt sau vĩnh viễn, còn được gọi là Phlalashing, đề cập đến các cuộc tấn công gây ra thiệt hại không thể đảo ngược cho hệ thống của hệ thống.

-> The Sự phá hoại : Không giống như các cuộc tấn công trở lại khác, anh ta phá hoại hệ thống của hệ thống, buộc nạn nhân phải thay thế hoặc cài đặt lại thiết bị.

-> The Hệ thống gạch đá : Cuộc tấn công này được thực hiện bằng cách sử dụng một phương pháp được gọi là “gạch một hệ thống”. Bằng cách sử dụng phương pháp này, những kẻ tấn công gửi cập nhật phần cứng gian lận cho các nạn nhân.

12. Dịch vụ tranh chấp theo Phản xạ phân phối (DRDO)

-> Một cuộc tấn công từ chối dịch vụ phản xạ phân tán (DRDO), còn được gọi là cuộc tấn công được chiếm đoạt, ngụ ý việc sử dụng một số máy trung gian và thứ cấp góp phần vào cuộc tấn công DDoS thực tế chống lại máy hoặc ứng dụng đích.

-> Kẻ tấn công khởi động cuộc tấn công này bằng cách gửi các yêu cầu đến máy chủ trung gian, các yêu cầu này sau đó được chuyển hướng đến các máy thứ cấp, từ đó phản ánh lưu lượng truy cập về phía mục tiêu.

-> Lợi thế : Mục tiêu chính dường như bị nạn nhân thứ cấp tấn công trực tiếp, không phải bởi kẻ tấn công thực sự; Một số máy chủ nạn nhân trung gian được sử dụng, dẫn đến sự gia tăng trong cuộc tấn công băng thông.

Iii. Bốt

1. Sự định nghĩa

-> Boots là các ứng dụng phần mềm thực hiện các tác vụ tự động trên internet và thực hiện các tác vụ lặp đi lặp lại đơn giản, chẳng hạn như khám phá web và lập chỉ mục công cụ tìm kiếm.

-> Botnet là một mạng lưới lớn các hệ thống thỏa hiệp và có thể được kẻ tấn công sử dụng để khởi động các cuộc tấn công bằng cách từ chối dịch vụ.

2. Phương pháp phân tích để tìm máy dễ bị tổn thương

-> Phân tích ngẫu nhiên : Máy bị nhiễm bệnh kiểm tra địa chỉ IP một cách ngẫu nhiên từ bãi biển địa chỉ IP của mạng mục tiêu và kiểm tra lỗ hổng.

-> Phân tích danh sách kết quả : Đầu tiên kẻ tấn công thu thập danh sách các máy có khả năng bị tổn thương, sau đó thực hiện phân tích để tìm máy dễ bị tổn thương.

-> Phân tích tôpô : Anh ấy sử dụng thông tin thu được trên máy bị nhiễm bệnh để tìm máy mới dễ bị tổn thương.

-> Phân tích mạng con cục bộ : Máy bị nhiễm đang tìm kiếm máy dễ bị tổn thương mới trong mạng cục bộ của riêng mình.

-> Phân tích hoán vị : Anh ấy sử dụng danh sách hoán vị giả ngẫu nhiên của các địa chỉ IP để tìm các máy dễ bị tổn thương mới.

3. Mã độc hại lan truyền như thế nào ?

Những kẻ tấn công sử dụng ba kỹ thuật để tuyên truyền phần mềm độc hại đến một hệ thống dễ bị tổn thương mới được phát hiện:

-> Tuyên truyền nguồn trung tâm: Kẻ tấn công đặt một hộp công cụ tấn công vào nguồn trung tâm và một bản sao của nó sẽ được chuyển sang hệ thống dễ bị tổn thương mới được phát hiện.

-> Tuyên truyền chuỗi ngược: Kẻ tấn công đặt hộp công cụ tấn công lên hệ thống của mình và một bản sao của hộp được chuyển sang hệ thống dễ bị tổn thương mới được phát hiện.

-> Tuyên truyền tự trị: Bản thân máy chủ sẽ chuyển hộp công cụ tấn công vào hệ thống đích, chính xác là khi lỗ hổng của nó được phát hiện.

-> Liên kết quảng cáo : Cướp biển sử dụng các liên kết quảng cáo để tải xuống giày.

4. Sử dụng các thiết bị di động như một botnet để khởi chạy các cuộc tấn công DDoS

-> Android dễ bị tổn thương với các phần mềm độc hại khác nhau như ngựa Trojan, bot (robot), công cụ truy cập từ xa (chuột), v.v. Từ các cửa hàng thứ ba.

-> Những thiết bị Android không có bảo đảm này là mục tiêu chính của những kẻ tấn công để mở rộng botnet của chúng.

-> Sau khi kẻ tấn công bắt bạn với một ứng dụng, anh ta có thể sử dụng thiết bị của bạn làm botnet để khởi chạy các cuộc tấn công DDOS.

Iv. Công cụ tấn công trở lại / DDOS

1. Một số công cụ tấn công trở lại và DDOS

Pháo ion quỹ đạo cao (Hoic) : Hoic thực hiện các cuộc tấn công DDOS trên bất kỳ địa chỉ IP nào, với một cổng được người dùng chọn và giao thức được chọn bởi người dùng.

HTTP King tải không thể chịu đựng được (HULK) : Hulk là một công cụ DDOS cho máy chủ web. Nó được sử dụng cụ thể để tạo khối lượng lưu lượng trên máy chủ web.

Davoset : là một dòng lệnh để thực hiện các cuộc tấn công DDoS trên các trang web thông qua các lỗ hổng của lạm dụng chức năng và các thực thể bên ngoài XML trên các trang web khác.

Các công cụ khác: Tsunami, Blackhat Hacking Tools, ETC.

2. Công cụ tấn công trở lại và DDOS cho thiết bị di động

Pháo ion quỹ đạo thấp (LOIC) : Phiên bản Android của phần mềm Phong cách Ion (LOIC) thấp.

Andosid : Andosid cho phép kẻ tấn công mô phỏng một cuộc tấn công trở lại (chính xác là một cuộc tấn công HTTP sau lũ) và một cuộc tấn công DDoS vào máy chủ web từ điện thoại di động.

Các công cụ khác: Trình tạo gói, pingtools pro, v.v.

V. Kỹ thuật phát hiện

Kỹ thuật phát hiện dựa trên việc xác định sự gia tăng lưu lượng bất hợp pháp. Tất cả các kỹ thuật phát hiện định nghĩa một cuộc tấn công là một sự khác biệt bất thường và đáng chú ý liên quan đến ngưỡng của thống kê lưu lượng mạng thông thường.

1. Hồ sơ hoạt động

Một cuộc tấn công được chỉ định bởi:

• Sự gia tăng mức độ hoạt động giữa các cụm lưu lượng mạng.
• Sự gia tăng tổng số cụm riêng biệt (tấn công DDoS)

Hồ sơ hoạt động dựa trên dòng gói trung bình cho luồng mạng, bao gồm các gói liên tiếp với các trường tương tự của các gói. Thật vậy, hồ sơ hoạt động là giám sát thông tin tiêu đề của gói mạng và tính toán luồng trung bình của các gói cho một luồng mạng để phát hiện sự gia tăng mức độ hoạt động.

2. Phát hiện tuần tự các điểm thay đổi

Kỹ thuật phát hiện này theo các bước sau:

• Buôn bán chính thức : Thuật toán phát hiện cho các điểm thay đổi thay đổi phân lập số liệu thống kê lưu lượng mạng gây ra bởi các cuộc tấn công.
• Lọc lưu lượng : Thuật toán Bộ lọc dữ liệu lưu lượng truy cập mục tiêu theo địa chỉ, cổng hoặc giao thức và lưu trữ luồng kết quả dưới dạng chuỗi thời gian.
• Xác định cuộc tấn công : Kỹ thuật phát hiện tuần tự của các điểm thay đổi sử dụng thuật toán tổng tích lũy (cusum) để xác định và xác định vị trí các cuộc tấn công ngược; Thuật toán tính toán sự khác biệt giữa mức trung bình cục bộ thực và dự kiến ​​trong chuỗi thời gian buôn bán.
• Xác định hoạt động phân tích : Kỹ thuật này cũng có thể được sử dụng để xác định các hoạt động phân tích điển hình của giun mạng.

3. Phân tích tín hiệu dựa trên sóng con

Phân tích wavelet mô tả tín hiệu đầu vào theo các thành phần quang phổ. Các sóng con cung cấp một mô tả đồng thời về thời gian và tần số. Phân tích năng lượng của từng cửa sổ quang phổ xác định sự hiện diện của dị thường. Phân tích tín hiệu xác định thời gian mà các thành phần tần số nhất định có mặt và lọc các tín hiệu đầu vào của lưu lượng bất thường như nhiễu nền.

Vi. Biện pháp đối phó

1. DOS / DDOS Các chiến lược phản ứng phản ứng

Hấp thụ : Sử dụng một khả năng bổ sung để hấp thụ các cuộc tấn công; Điều này đòi hỏi lập kế hoạch trước và các nguồn lực bổ sung.

Xác định các dịch vụ suy thoái : Xác định các dịch vụ quan trọng và dừng các dịch vụ phi công bằng.

Dừng dịch vụ dừng lại : Dừng tất cả các dịch vụ cho đến khi cuộc tấn công đã bình tĩnh lại.

2. Trở lại / ddos ​​tấn công các biện pháp đối phó

• Bảo vệ nạn nhân thứ cấp

-> Thường xuyên theo dõi bảo mật để được bảo vệ khỏi phần mềm đại lý DDOS.

-> Cài đặt phần mềm chống vi-rút Trojan và chống ngựa và cập nhật chúng.

-> Nhận thức về tất cả người dùng Internet về các vấn đề và kỹ thuật phòng ngừa.

-> Hủy kích hoạt các dịch vụ không cần thiết, gỡ cài đặt các ứng dụng chưa sử dụng, phân tích tất cả các tệp nhận được từ các nguồn bên ngoài.

-> Định cấu hình chính xác và thường xuyên cập nhật các cơ chế bảo vệ được tích hợp vào hệ thống và phần mềm cơ bản của hệ thống.

• Phát hiện và vô hiệu hóa các nhà quản lý

Phân tích lưu lượng mạng : Phân tích các giao thức truyền thông và mô hình lưu lượng giữa người quản lý và khách hàng hoặc người quản lý và đại lý để xác định các nút mạng có thể bị nhiễm người quản lý.

Trung hòa các nhà quản lý botnet : Nhìn chung có rất ít người quản lý DDoS được triển khai liên quan đến số lượng đại lý. Sự trung hòa của một số nhà quản lý có thể khiến một số đại lý trở nên vô dụng, do đó cản trở các cuộc tấn công DDoS.

Địa chỉ nguồn người dùng : Có một xác suất khá là địa chỉ nguồn được chiếm đoạt của các gói tấn công DDOS không đại diện cho một địa chỉ nguồn hợp lệ của mạng con được xác định.

• Ngăn chặn các cuộc tấn công tiềm năng

Bộ lọc đầu ra : Đó là một câu hỏi về việc quét các tiêu đề của các gói IP rời khỏi mạng, để đảm bảo rằng lưu lượng trái phép hoặc độc hại không bao giờ rời khỏi mạng nội bộ và kiểm tra các thông số kỹ thuật cần thiết để tiếp cận mục tiêu.

Bộ lọc nhập cảnh : Nó ngăn chặn địa chỉ nguồn, bảo vệ chống lại các cuộc tấn công bằng cách lũ lụt. Nó cho phép người gửi được truy tìm cho đến khi nguồn thực của nó.

TCP đánh chặn : Cấu hình của TCP Intercept sẽ bảo vệ các máy chủ khỏi các cuộc tấn công lũ lụt của TCP và ngăn chặn các cuộc tấn công ngược bằng cách chặn và xác thực các yêu cầu kết nối TCP.

Tỷ lệ ràng buộc:: Đó là một tỷ lệ giới hạn lưu lượng đến hoặc đi, nó làm giảm lưu lượng đến khối lượng lớn có thể gây ra một cuộc tấn công DDoS.

-> Các hệ thống được thực hiện với bảo mật hạn chế, còn được gọi là chậu mật ong (honeypots), hoạt động như một động lực cho kẻ tấn công.

-> Chữ mật ong được sử dụng để có được thông tin về những kẻ tấn công, kỹ thuật tấn công và công cụ bằng cách lưu trữ một bản ghi các hoạt động hệ thống.

-> Sử dụng cách tiếp cận phòng thủ trong phạm vi với IPS tại các điểm khác nhau từ mạng để chuyển hướng lưu lượng trở lại đáng ngờ tới một số lọ mật ong.

-> Tăng băng thông trên các kết nối quan trọng để hấp thụ thêm lưu lượng truy cập được tạo ra bởi một cuộc tấn công.

-> Máy chủ bản sao để cung cấp bảo vệ bảo mật bổ sung.

-> Cân bằng tải trên mỗi máy chủ trong kiến ​​trúc nhiều máy chủ để giảm bớt các cuộc tấn công DDoS.

-> Định cấu hình các bộ định tuyến để họ truy cập một máy chủ có logic để giới hạn các mức lưu lượng đến an toàn cho máy chủ.

-> Giới hạn tránh các máy chủ gây tổn hại bằng cách kiểm soát lưu lượng trở lại.

-> Có thể được mở rộng để hạn chế lưu lượng tấn công DDoS và ủy quyền lưu lượng người dùng hợp pháp để có kết quả tốt hơn.

Loại bỏ các truy vấn:

-> Máy chủ sẽ xóa các gói khi tải tăng, điều này sẽ tạo ra một câu đố được giải quyết để bắt đầu yêu cầu.

Phân tích pháp y xảy ra đặc biệt là kết quả của một sự cố. Đề cập đến kiểm toán bảo mật, phân tích pháp y cho phép tái cấu trúc toàn bộ cuộc tấn công, nhờ bằng chứng kỹ thuật số, để tìm kiếm các dấu vết do cướp biển để lại.

-> Phân tích Các mô hình giao thông tấn công: Dữ liệu được phân tích sau cuộc tấn công để tìm kiếm các đặc điểm cụ thể trong giao thông tấn công. Điều này có thể giúp các quản trị viên mạng phát triển các kỹ thuật lọc mới để ngăn lưu lượng lưu lượng truy cập vào hoặc ra khỏi mạng.

-> Tradeback gói: Tương tự như kỹ thuật đảo ngược, giúp tìm ra nguồn tấn công, để thực hiện các biện pháp cần thiết để chặn các cuộc tấn công khác.

-> Phân tích Tạp chí các sự kiện: Tạp chí các sự kiện giúp xác định nguồn lưu lượng trở lại, để nhận ra loại tấn công DDoS.

3. Phòng thủ chống lại botnet

-> Lọc RFC 3704 : Nó giới hạn tác động của DDO bằng cách từ chối lưu lượng truy cập với các địa chỉ sai lệch thông qua bộ lọc ở FAI.

-> Bộ lọc nguồn IP Cisco IPS : Dịch vụ danh tiếng giúp xác định xem địa chỉ IP hoặc dịch vụ có phải là nguồn đe dọa hay không, Cisco IPS thường xuyên cập nhật cơ sở dữ liệu của mình với các mối đe dọa đã biết như botnet, người thu thập botnet, phần mềm độc hại, v.v. và giúp lọc lại.

-> Lỗ đen lọc : Lỗ đen đề cập đến các nút mạng nơi lưu lượng truy cập đến bị từ chối hoặc bị bỏ rơi mà không thông báo cho nguồn rằng dữ liệu không đến được với người nhận dự kiến. Việc lọc các lỗ đen đề cập đến việc loại bỏ các gói trong định tuyến.

-> Ưu đãi phòng ngừa DDoS hoặc dịch vụ DDoS : Kích hoạt Guard nguồn IP (tính bằng Cisco) hoặc các tính năng tương tự trong các bộ định tuyến khác để lọc lưu lượng truy cập tùy thuộc vào cơ sở dữ liệu giám sát DHCP hoặc trái phiếu nguồn IP ngăn không cho bot gửi các gói sai lệch.

4. Các biện pháp đối phó khác của DDoS / DOS

Để tránh các cuộc tấn công DDOS / DOS, các hướng dẫn sau đây có thể được tuân theo:

1) Sử dụng các cơ chế mã hóa mạnh mẽ như WPA2, AES 256, v.v.

2) Tắt dịch vụ không được sử dụng và không có bảo đảm.

3) Cập nhật hạt nhân với phiên bản mới nhất

4) Thực hiện xác thực trong các mục nhập

5) Ngăn chặn việc sử dụng các chức năng không cần thiết như GetS, Strcpy, v.v.

6) Ngăn chặn địa chỉ trả lại bị nghiền nát

7) Định cấu hình tường lửa để từ chối truy cập vào lưu lượng ICMP bên ngoài

8) Thực hiện radio nhận thức trong lớp vật lý để quản lý các cuộc tấn công gây nhiễu.

9) Đảm bảo rằng phần mềm và giao thức được cập nhật.

10) Ngăn chặn việc truyền tải các gói địa chỉ gian lận về FAI.

11) Chặn tất cả các gói đến từ các cổng dịch vụ để chặn lưu lượng truy cập từ các máy chủ phản xạ.

12) Kiểm tra kết nối và quản lý từ xa an toàn.

5. Bảo vệ DOS / DDOS về FAI

Các cơ chế này cho phép Nhà cung cấp dịch vụ Internet (ISP) tự bảo vệ mình khỏi các cuộc tấn công trở lại/DDOS:

1) Hầu hết FAI chỉ cần chặn tất cả các yêu cầu trong một cuộc tấn công DDOS, thậm chí ngăn chặn lưu lượng truy cập hợp pháp vào dịch vụ.

2) FAIS cung cấp bảo vệ DDoS trong đám mây cho các liên kết Internet để chúng không bị bão hòa bởi cuộc tấn công.

3) Bảo vệ DDoS trong đám mây chuyển hướng giao thông tấn công về phía FAI trong cuộc tấn công và trả lại.

4) Quản trị viên có thể yêu cầu các ISP chặn IP bị ảnh hưởng của họ và chuyển trang web của họ sang IP khác sau khi có DNS lan truyền.

Thiết bị bảo vệ DDOS: Fortiddos-1200b, Cisco Guard XT 5650, A10 Thunder TPS

Công cụ: Incapsula DDOS Bảo vệ, Người bảo vệ chống DDOS, Cloudflare, DefensePro

Vii. Kiểm tra thâm nhập trở lại / ddos

Bước 1: Xác định mục tiêu

-> Nó sẽ là một câu hỏi về việc thiết lập một kế hoạch cho bài kiểm tra thâm nhập

Bước 2: Kiểm tra tải nặng trên máy chủ

-> Cần xác định ngưỡng tối thiểu cho các cuộc tấn công trở lại

Bước 3: Kiểm tra các hệ thống trở lại dễ bị tổn thương

-> Điều này bao gồm việc xác minh khả năng của hệ thống để đối phó với các cuộc tấn công trở lại

Bước 4: Chạy một cuộc tấn công Syn trên máy chủ

-> Kết quả của các thử nghiệm thâm nhập sẽ giúp quản trị viên xác định và áp dụng các điều khiển bảo mật của chu vi mạng thích hợp như Balancer, ID, IPS, tường lửa, v.v.

Bước 5: Chạy các cuộc tấn công chuyển đổi trên máy chủ

-> Đó là một câu hỏi về việc tràn vào mạng lưu lượng truy cập mục tiêu để xác minh sự ổn định của hệ thống.

Bước 6: Khởi chạy một máy bay ném bom email trên máy chủ email

-> Việc sử dụng các công cụ Email máy bay ném bom sẽ gửi một số lượng lớn email đến máy chủ nhắn tin đích.

Bước 7: Chặn các hình thức của trang web và cuốn sách khách có lối vào sai

-> Điều này làm tăng việc sử dụng bộ xử lý bằng cách duy trì tất cả các yêu cầu kết nối trên các cổng dưới sự phong tỏa.

Bước 8: Tài liệu tất cả các kết quả.

-> Tất cả các kết quả phải được ghi lại.

Cục tấn công – Định nghĩa

MỘT Cục Dịch vụ tấn công Từ chối tấn công dịch vụ , Do đó viết tắt Mặt sau) là một cuộc tấn công nhằm mục đích không có mặt một dịch vụ, để ngăn người dùng hợp pháp khỏi dịch vụ sử dụng nó. Nó có thể:

• Lũ mạng lưới (mạng máy tính là một bộ thiết bị được liên kết với nhau để trao đổi. ) để ngăn chặn hoạt động của nó
• sự xáo trộn các kết nối giữa hai máy, ngăn chặn quyền truy cập vào một dịch vụ cụ thể
• Sự cản trở quyền truy cập vào một dịch vụ cho một người cụ thể

Do đó, việc từ chối tấn công dịch vụ có thể chặn một máy chủ tệp, khiến không thể truy cập máy chủ web, ngăn chặn phân phối email trong một công ty hoặc không có sẵn trang web (Internet là mạng máy tính toàn cầu có thể truy cập vào dịch vụ công cộng. )) .

Cướp biển không nhất thiết cần (nhu cầu về sự tương tác giữa cá nhân và môi trường. Anh ấy là. ) Thiết bị tinh vi. Do đó, một số cuộc tấn công trở lại (trong giải phẫu, ở động vật có xương sống bao gồm cả con người, mặt sau là phần. ) có thể được thực thi với các nguồn lực hạn chế đối với mạng lớn hơn và hiện đại. Kiểu tấn công “Tấn công bất đối xứng” này đôi khi được gọi (do sự khác biệt về tài nguyên giữa các nhân vật chính). Một hacker với máy tính (máy tính là máy có bộ xử lý cho phép nó. ) lỗi thời và một modem (modem (vali, cho bộ điều biến bộ điều biến), là một thiết bị phục vụ. ) Do đó chậm có thể vô hiệu hóa các máy hoặc mạng lớn hơn nhiều.

Các cuộc tấn công từ chối của bộ đã thay đổi theo thời gian (thời gian là một khái niệm được phát triển bởi con người để hiểu. ) (nhìn thấy ).

Mọi thứ (tất cả được bao gồm như một tập hợp những gì tồn tại thường được hiểu là thế giới hoặc. ) Đầu tiên, trước đây chỉ được thực hiện bởi một “kẻ tấn công” duy nhất; Nhanh chóng, các cuộc tấn công tiên tiến hơn xuất hiện, liên quan đến vô số “binh sĩ”, còn được gọi là “zombie”. Sau đó chúng tôi nói về DDO ( Phân tán từ chối tấn công dịch vụ )). Sau đó, các cuộc tấn công Back và DDoS được gây ra bởi những tên cướp biển chỉ bị thu hút bởi kỳ tích và sự nổi tiếng. Ngày nay, đây chủ yếu là các tổ chức tội phạm, về cơ bản được thúc đẩy bởi tiền (bạc hoặc kim loại là một yếu tố hóa học của biểu tượng Ag – của. )) . Do đó, một số tin tặc đã chuyên về “dỡ bỏ” các đội quân “zombie”, sau đó họ có thể thuê cho những tên cướp biển khác để tấn công một mục tiêu cụ thể. Với sự gia tăng mạnh về số lượng (khái niệm số lượng trong ngôn ngữ học được xử lý trong bài viết “Số. ) Trao đổi trên internet, số lượng người độc thân từ chối dịch vụ đã tiến triển rất mạnh mẽ (một tên cướp biển đã phát động một cuộc tấn công trở lại hoặc DDoS vào một công ty và yêu cầu anh ta chuộc lại cuộc tấn công này !)).

Lịch sử

Các cuộc tấn công bằng cách từ chối dịch vụ đã xuất hiện (ngày mà ngày là khoảng thời gian ngăn cách mặt trời mọc; đó là. ) trong thập niên 80. DDoS (hoặc các cuộc tấn công trở lại phân tán) sẽ gần đây hơn: cuộc tấn công DDOS chính thức đầu tiên diễn ra vào tháng 8 năm 1999: một công cụ (một công cụ là một đối tượng được hoàn thành bởi một sinh vật sống để tăng. ) được gọi là “Trinoo DDO” (được mô tả bên dưới) đã được triển khai trong ít nhất 227 hệ thống, trong đó có 114 người trên internet, đến các máy chủ của Đại học Flood (một trường đại học là một cơ sở giáo dục đại học có mục tiêu có. ) Minnesota. Sau cuộc tấn công này, truy cập internet đại học vẫn bị chặn trong hơn hai ngày.

Cuộc tấn công DDoS đầu tiên qua trung gian trên báo chí tiêu dùng đã diễn ra vào tháng 2 năm 2000, do Michael Calce gây ra, được biết đến với cái tên Mafiaboy. Vào ngày 7 tháng 2, Yahoo! (Yahoo!,INC. là một công ty dịch vụ Internet của Mỹ hoạt động. ) là nạn nhân của một cuộc tấn công DDOS được thực hiện (kết xuất là một quy trình máy tính tính toán hình ảnh 2D (tương đương với một bức ảnh). ) Cổng thông tin Internet của nó không thể truy cập trong ba giờ. Vào ngày 8 tháng 2, Amazon.com, mua.com, cnn và eBay bị ảnh hưởng bởi các cuộc tấn công DDoS gây ra điểm dừng hoặc chậm. ) hoạt động của họ. Vào ngày 9 tháng 2, E Trade và ZDNet lần lượt trở thành nạn nhân của các cuộc tấn công DDoS.

Các nhà phân tích tin rằng trong ba giờ không thể tiếp cận, Yahoo! đã trải qua mất doanh thu thương mại điện tử và doanh thu quảng cáo lên tới khoảng 500.000 đô la . Theo Amazon.com, cuộc tấn công của anh ta dẫn đến mất 600.000 đô la trong 10 giờ. Trong cuộc tấn công, eBay.com đã qua (quá khứ trước hết là một khái niệm liên quan đến thời gian: nó được tạo thành từ toàn bộ. ) Tính khả dụng 100 % (tính khả dụng của thiết bị hoặc hệ thống là thước đo hiệu suất mà. ) 9,4 %; CNN.com đã xuống dưới 5 % khối lượng (khối lượng, trong khoa học vật lý hoặc toán học, là một đại lượng đo lường phần mở rộng. ) Bình thường ; ZDNet.com và etrade.com thực tế không thể truy cập được. Schwab.com, trang web trực tuyến của nhà môi giới Charles Schwab, cũng bị ảnh hưởng nhưng anh ta từ chối đưa ra những con số chính xác về tổn thất của mình. Chúng tôi chỉ có thể giả định rằng, trong một công ty trị giá 2 tỷ đô la mỗi tuần cho các giao dịch trực tuyến, khoản lỗ không đáng kể. Michael Calce, người đã hack Amazon.com, yahoo!, CNN và eBay đã bị kết án 8 tháng (tháng (từ LAT. Mensis “Tháng”, và trước đây tại Plur. “Kinh nguyệt”) là một khoảng thời gian. ) trong một trung tâm giam giữ trẻ (anh ta chỉ mới 15 tuổi vào thời điểm thực tế).

Vào tháng 9 năm 2001, một loại virus nhất định (một loại virus là một thực thể sinh học đòi hỏi một tế bào chủ, mà anh ta sử dụng. ) Mã đỏ lây nhiễm vài nghìn hệ thống và thứ hai (thứ hai là nữ tính của tính từ thứ hai, người đến ngay sau lần đầu tiên hoặc ai. ) Phiên bản, có tiêu đề Code Red II, cài đặt một tác nhân DDOS. Những tin đồn cho rằng anh ta phải tiến hành một cuộc tấn công vào Nhà Trắng (Nhà Trắng (Nhà Trắng bằng tiếng Anh) là nơi cư trú chính thức và văn phòng của. )) . Trong một bối cảnh (bối cảnh của một sự kiện bao gồm các tình huống và điều kiện xung quanh nó;. ) Chính sách khủng hoảng, Chính phủ Hoa Kỳ tuyên bố rằng các biện pháp an ninh sẽ được thực hiện. Nhưng vào mùa hè năm 2002, cho đến khi internet trải qua một cuộc tấn công DDoS vào 13 máy chủ gốc của nó. Các máy chủ này là điểm chính của hệ thống giới thiệu (trong thế giới đường sắt, để vượt qua một chuyến tàu từ đường ray này sang đường đua khác, chúng tôi sử dụng. ) Internet, được gọi là hệ thống tên miền (hệ thống tên miền (hoặc DNS, hệ thống tên miền) là một dịch vụ cho phép. ) (DNS). Cuộc tấn công này sẽ chỉ kéo dài trong một giờ (giờ là một đơn vị đo lường 🙂 nhưng có thể đã làm tê liệt toàn bộ (theo lý thuyết về các bộ, một tập hợp trực quan chỉ định một bộ sưu tập. ) Mạng internet. Vụ việc được thực hiện nghiêm túc bởi các chuyên gia, những người tuyên bố sẽ tăng cường an ninh máy móc của họ trong tương lai.

Phiên bản đầu tiên của Slapper, xuất hiện vào giữa tháng 9 năm 2002, đã ô nhiễm hơn 13.000 máy chủ Linux (theo nghĩa nghiêm ngặt, Linux là tên của hạt nhân của hệ điều hành miễn phí, đa nhiệm. ) trong hai tuần. Slapper sử dụng một lỗ an toàn có mặt trong mô -đun OpenSSL1 và xe (xe là máy di động, cho phép bạn di chuyển mọi người hoặc phí. ) Một đại lý DDOS. Điều này được phát hiện và dừng kịp thời.

Bất chấp tất cả, vào thứ Hai ngày 21 tháng 10 năm 2002, một cuộc tấn công trở lại mới đã chặn 9 trong số 13 máy chủ chính, khiến tài nguyên của họ không thể truy cập được trong ba giờ. Một phần của các công ty và tổ chức quản lý các máy chủ chính này phản ứng và quyết định xem xét các thiết bị an toàn của họ. FBI đã mở một cuộc điều tra, nhưng việc định vị (các) tác giả của cuộc tấn công hứa hẹn sẽ khó khăn.

Ngay sau khi các máy chủ cơ sở dữ liệu (trong công nghệ thông tin (TI), dữ liệu là một mô tả cơ bản, thường. ) Microsoft (Tập đoàn Microsoft (NASDAQ: MSFT) là một giải pháp đa quốc gia của Mỹ. ) SQL Server, được cấu hình kém, bị nhiễm sâu (Worms tạo thành một nhóm rất không đồng nhất. ) SQL SLAMmer. Người thứ hai mang một đại lý DDOS đã phát động một cuộc tấn công vào ngày 25 tháng 1 năm 2003 chống lại Internet. Lần này, chỉ có 4 trong số 13 máy chủ gốc chịu trách nhiệm định tuyến (trong khoa học máy tính, thuật ngữ định tuyến chỉ định cơ chế mà dữ liệu của thiết bị. ) Internet đã bị ảnh hưởng. Mặc dù có độc lực (độc lực chỉ định đặc tính gây bệnh, có hại và bạo lực của vi sinh vật. ) của cuộc tấn công, hiệu suất chung của mạng hầu như không giảm 15 % .