Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   AntiDDos - АнтиДДОС (https://forum.antichat.xyz/forumdisplay.php?f=141)
-   -   Виды Denial of Service (https://forum.antichat.xyz/showthread.php?t=128948)

Dimi4 09.07.2009 00:43
Виды Denial of Service
 
Виды Denial of Service, классификация

[ =) ] Интро какбы)

Вообщем существует стереотип, что есть всего два типа отказа в обслуживании - Ddos & Dos. Но это далеко не так :) . Так как у нас появился новый раздел, думаю будет полезный небольшой очерк на эту тему. :)

[ ~ ] ЭЭэ, ты о чем вообще?

DoS-атака (от англ. Denial of Service, отказ в обслуживании) и DDoS-атака (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании») — атака на вычислительную систему с целью довести её до отказа, то есть, создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён. Отказ «вражеской» системы может быть как самоцелью (например, сделать недоступным популярный сайт), так и одним из шагов к овладению системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.).

В некоторых случаях к DDoS-атаке приводит легитимное действие, например, простановка ссылки на сайт (размещённый на не очень производительном сервере) на популярном интернет-ресурсе (слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и отказу в обслуживании части из них.
© http://ru.wikipedia.org/wiki/DoS-атака


[ ~ ] Ага, понял, поделим на виды?

Давайте разобьем всё по полочкам.
В веб-приложениях различают:
  • Classic DoS:
    • Denial of Service
    • Distributed Denial of Service
  • Looped DoS
  • Recursive File Include


В браузерах различают:
  • Сrashing
  • Blocking
  • Freezing
  • Resources consumption


[ ~ ]Поподробнее с этого места...
  • Classic DoS
В случае DDoS - виснет система. Поэтому потребуется ее перезагрузка. Также можно обойтись лишь остановкой процесса, который грузит всю систему (Apache, nginx, MySQL итд.), но такое крайне редко случается.

В случае DoS - происходит сильная нагрузка на сервер. Может быть вызвана произвольно, когда на посещаемом портале используются тяжёлые операции (работа с БД, картинками, загрузка файлов, работа с большими файлами и тд.)

Также DdoS и DoS различают тем, что DdoS атака происходит с разных сетей (разные страны, провайдеры) и отловить зомбированные машины практически невозможно, а DoS часто-густо исходит из одной подсети.
  • Looped DoS
Looped DoS часто возникает в не качественных поисковых машинах (боты индексируют свою же систему), редиректорах. Если нет ограничений на редирекцию, то пользователь может составить урл, при котором произойдет "вечное" перенаправление. По сути тоже что и Looped DoS.
  • Recursive File Include
Recursive File Include - по факту LFI, или даже RFI :) По сути тоже что и Looped DoS.
Смысл в том, что происходит вечный цикл инклуда файла. Тоесть пхп сценарий инклудит сам себя.
Например:
PHP код:
include($_GET['page']); 
Если обратится к скрипту
Код:
script.php?page=script.php
можна повесить веб сервер :)

Далее о браузерах :)
  • Сrashing DoS
Ну раз уже начали читать, скажу что они не на столько опасны, на сколько не приятны. И так, в результате Сrashing DoS браузер "падает". Последствия: утеряны не сохраненные даные.
  • Blocking DoS
В результате Blocking DoS браузер вас не слушается. Совем :D . Хотя и не виснет, просто вы ему больше не хозяин :) . Придется закрыть.
  • Freezing
С Freezingом всё просто. Браузер виснет, и ничего тут не поделаешь. Последствие те же что и у первых двоих.
  • Resources consumption
Resources consumption. Браузер забирает на себя все ресурсы компютера. Как результат - подвисание всей системы.

[ ~ ]Как же защитится?

Ну... Для этого и создан этот раздел :) Хотя можно выделить ключи к успеху:
  • Хороший хостинг
  • Анти-DDoS оборудование
  • Ширина канала
  • Гибкие настройки сервака
  • Хорошо проектированный и оптимизированный проект
  • Средства влияния ("Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как технического, так и организационно-правового характера." © Википедия)

[ =( ] Послесловие

И помните, не юзайте говно-паблик-антиддос скрипты, они вас точно не спасут. Да если задуматься, нихера вас вообще не спасет :) Снифайте трафик и анализируйте пакеты, юзайте netfilter .

http://i2r.ru/static/452/out_19122.shtml - Защита
http://en.wikipedia.org/wiki/Netfilter - Netfilter
http://uasc.org.ua/2009/04/ddos-відмова-сервісу/ - Заметка в блоге на украинском
http://stfw.ru/page.php?id=163 DDoS - виртуальный терроризм. Что такое DDoS-атака?
http://stfw.ru/page.php?id=7381 Не так страшен DDoS, как его малюют

Ну и гугл) Много интересного.

Специально для antichat.ru, © [UASC], Dimi4

ettee 09.07.2009 02:00
Пример классификации по присваемым сигнатурам в IPS:
Код:
MSRPC_NTLM_Reset_DoS
Oracle_One_Byte_Packet_DoS
BlackBerry_SRP_DoS
DCOM_SystemActivation_DoS
DHCP_ClientID_DoS
Email_Mailman_Date_DoS
MSRPC_WksSvc_UserEnum_DoS
NDMP_Veritas_BackupExec_ErrorField_BO
Netbios_Flood_DoS
Oracle_Listener_Services_DoS
MSRPC_Spoolss_GetPrinterData_DoS
Email_Exchange_Calendar_DoS
OWA_Script_UTF_Encoding
SIP_0_Response_Code
BrightStor_Authentication_DoS
HTTP_Apache_Header_Memory_DoS
RPC_BrightStor_ARCserve_Dos
UDP_Flood_DoS
HTTP_Apache_LF_Memory_DoS
HTTPS_Apache_ClearText_DoS
MSRPC_PlugAndPlay_GetDevList_DoS
RAR_Invalid_Header_Size
HTTP_iManager_POST_DOS
DNS_Malformed_Flood
MSRPC_Netware_Get_User_DoS
DPS_Magic_Number_DoS
HTML_IE_Url_Overflow
HTTP_MhtmlMid_Bo
Chargen_Denial_of_Service
Cisco_CallMgrDB_DoS
Cisco_CR_DoS
Cisco_IOS_IPV4_DoS
DCOM_RemoteGetClassObject_DoS
DNS_Bind_OPT_DoS
DNS_WINS_DoS
Echo_Denial_of_Service
Email_ExchangeStore_DoS
Finger_Forwarding_DOS
Fraggle_Attack
Fragment_Resources_Exhausted
FTP_Floppy_DoS
FTP_Pasv_DOS
FTP_Wildcard_DoS
Gauntlet_ICMP_DoS
H225_Invalid_Field_DoS
H225_Invalid_Length_DoS
Helix_Server_DoS
HTTP_Apache_Chunked_DoS
HTTP_Apache_DOS
HTTP_BadBlue_DOS
HTTP_Cgiproc_DoS
HTTP_Cisco_IOS_DOS
HTTP_Cisco_IOS_Query_DOS
HTTP_ColdFusion_SyntaxChecker_DOS
HTTP_Compaq_Insight_DoS
HTTP_CrystalReports_FileAccess_DoS
HTTP_DosDevice
HTTP_ECware_DOS
HTTP_IIS_Host_DoS
HTTP_IIS_ISAPI_Filter_Error_DoS
HTTP_IISExAir_DOS
HTTP_Lock_Method_DOS
HTTP_MyDoom_DoS
HTTP_PHPNuke_ModulesPhp_DOS
HTTP_WebDAV_Long_Rqst_DOS
HTTP_WebDAV_XML_Attribute_DoS
HTTP_WhatsUp_Login_DoS
ICMP_Flood
ICMP_Modem_DoS
ICMP_TCP_MTU_DoS
ICMP6_BSD_Dos
Ident_Flood
IIS_FTP_Session_Status_DoS
Image_ANI_RateNumber_DoS
IP_Flushot
IP_Ping_Of_Death_Jolt
IP_PingOfDeath_Jolt2
IP_SS_Ping
IP_Timestamp_Not_Aligned
IPV6_Bad_Fragment_Chain
IRC_Trinity_Notification
IRC_TrinityV3_Notification
IRC_Vscan
ISAKMP_Delete_SPI_DOS
Land_Attack
LDAP_BER_Sequence_Dos
LDAP_Sun_Search_Dos
MSRPC_LSA_Crash
MSRPC_LSA_DoS
MSRPC_Malformed_DOS
MSRPC_MSDTC_Message_DoS
MSRPC_MSDTC_VA_DoS
MSRPC_Registry_Request_DoS
MSRPC_RFPoison_Attack
Mstream_Master
Mstream_Zombie_Request
Mstream_Zombie_Response
MyDoom_SYNFlood
Nestea
NewTear
Oracle_Listener_Debug_DoS
Ping_Flood
PingOfDeath
PlugAndPlay_DoS
POP_Retr_DoS
Radius_AccessPacket_DoS
Radius_AcctStatusType_Dos
Saihyousen_Attack
SMS_Remote_Service_DoS
SMTP_Exchange_Verb_DoS
Smurf_Attack
SNMP_Cisco_Zero_Size_DOS
Snork_Attack
SOAP_ASPNet_RCP_Encode_DoS
SQL_SSRP_DoS
SSL_Hello_Msg_DoS
Stacheldraht_Agent
Stacheldraht_Handler
Stream_DoS
STUN_KPhone_DoS
SynDrop
SYNFlood
Synthesized_Host_Attack_Flood
Synthesized_Network_Attack_Flood
Syslog_Cisco_Zero_Size_DoS
TCP_Connection_Flood
TCP_Flag_SynUrg
TCP_Timestamp_DoS
TCP_Urg_OutOfRange
TCP_Within_Window_DoS
TCP_Zero_Length_Option
TearDrop
TearDrop2
Telnet_PolycomDoS
TFN_Daemon
TFN2K_ICMP_Command
TFN2K_TCP_Command
TFN2K_UDP_Command
Trin00_Daemon_Request
Trin00_Daemon_Response
Trinoo_Master_Request
Trinoo_Master_Response
Twinge_Attack
UDP_Bomb
UDP_Port_Loopback
UDP_Squid_WCCP_Cachelist_DOS
VOIP_DRDoS
VOIP_New_Call_Dos
Win_IGMP_DOS
Win_IGMP_Option_DoS
Win2K_DomainController_DOS
Windows_Printing_Service_DOS
WinNuke_Attack
WINS_DelAssoc_DoS
WinTrin00_Daemon_Request
WinTrin00_Daemon_Response
XML_Document_Too_Large
XML_EntityDecl_DoS
XML_EntityRef_DoS

oRb 09.07.2009 20:23
немного дополню

Slowloris HTTP DoS
Достаточно молодой вид атак, направленный на отказ в обслуживании веб-сервера. Описание атаки появилось в блоге ha.ckers.org 17 июня.
Slowloris похожа на SYN флуд, только работает на прикладном уровне модели OSI. Суть атаки сводится к медленной отправке HTTP заголовков, не завершая запроса. Таким образом при большом количестве соединений веб-сервер либо не сможет устанавливать новые соединения, либо использует весь доступный лимит памяти*.

Список серверов подверженных атаке:
  • Apache 1.x
  • Apache 2.x
  • dhttpd
  • GoAhead WebServer
  • WebSense "block pages"
  • Trapeze Wireless Web Portal
  • Verizon's MI424-WR FIOS Cable modem
  • Verizon's Motorola Set-Top Box
  • BeeWare WAF
  • Deny All WAF

* - точно не понял, что будет :)

chatlanin55 10.07.2009 14:29
[QUOTE]
Виды Denial of Service, классификация
Recursive File Include - по факту LFI, или даже RFI :) По сути тоже что и Looped DoS.
Смысл в том, что происходит вечный цикл инклуда файла. Тоесть пхп сценарий инклудит сам себя.
QUOTE]

Для таких ламо как я - подробнее о LFI
http://raz0r.name/articles/null-byte-alternative/


Время: 05:21