DoS angrep

Mon 02 December 2013

Denial of Service angrep er en type angrep som har som mål å gjøre en ressurs utilgjengelig for legitim bruk. På norsk kalles dette gjerne tjenestenektangrep.

Introduksjon

Flooding attack

Dette er når man angriper sender store mengder med tilsynelatende legitim trafikk til en tjeneste. Denne angrepstrafikken vil holde tjenesten opptatt sånn at andre legitime brukere ikke får tilgang til tjenesten.

Vulnerability attack

Denne typen angrep benytter seg av pakker som er skreddersydd for å kræsje tjenesten ved å utnytte en eller flere kjente feil i tjenesten.

Motivasjon for DoS angrep

I begynnelsen handlet det mye om å vise seg frem, såkallte proof-of-concept. Senere har DoS angrep også blitt brukt for å ta ned hjemmesider til politiske motstandere eller konkurrerende forretningsvirksomheter.

Noen typer DoS angrep

Flooding
Angriperen forfalsker avsender adressen og tvinger offeret til å sløse bort ressursene sine.

TCP SYN floods: Oppretter mange halvåpne tilkoblinger som fyller opp statetables.

ICMP echo floods / Ping floods: Bruker store pakker, eller mange pakker uten å vente på svar.

UDP floods: Sender mange UDP pakker til tilfeldige (ubrukte) porter sånn at offeret blir opptatt med å svare med "ICMP destination unreachable" pakker.


Ping of death
Sender ICMP echo forespørsler ved å bruke pakker som er større en 65.536 bytes. IP er ikke designet for å takle pakker større en 65.536 bytes, og noen systemer vil dermed kunne ha problemer med å takle disse pakkene.

En angriper kan sende angrepspakken sin som flere pakkefragmenter (og dermed ikke komme i konflikt med IP spesifikasjonene), men når mottakeren setter sammen alle disse fragmentene vil han ende opp med en pakke som er for stor, og systemet kan kræsje.

$ ping -l 65550 hostname

Ping flood

En annen ping variant er å bare pinge offeret så mye som overhodet mulig, uten å vente på svarpakkene. Dersom en har mer båndbredde en offeret vil en kunne trekke all båndbredde fra offeret og angrepet vil være vellykket.

Smurf attack
Sender ping forespørsler til nettverkets broadcast addresse. Alle pakkene har falsk avsender addresse, offeret sin addresse. Når alle maskinene på nettverket svarer på pingforespørslen vil offeret bli oversvømt med svar på den opprinnelige angreps forespørslen.

Det finnes også en variant av dette angrepet, fraggle attack, som sender UDP trafikk på port 7 og 19 til en broadcast addresse. Igjen så er avsender adressen falsk, og offeret blir oversvømt med svarpakker fra alle maskiner som lytter på den aktuelle broadcast adressen.

Ingen av angrepene som er nevnt over vil trolig fungere idag da nettverksutstyr, operativsystem og applikasjoner er sikret mot disse type angrep. Den store trusselen mot tjenester idag er såkallte distribuerte tjenestenekt angrep (DDoS).

Comments