Wat is DoS-aanval?
DOS is een aanval die wordt gebruikt om legitieme gebruikers de toegang tot een bron te ontzeggen, zoals toegang tot een website, netwerk, e-mails, enz. Of om deze extreem traag te maken. DoS is de afkorting voor D enial o f S ervice. Dit type aanval wordt meestal geïmplementeerd door de doelbron te raken, zoals een webserver met te veel verzoeken tegelijk. Dit heeft tot gevolg dat de server niet op alle verzoeken reageert. Het effect hiervan kan zijn dat de servers crashen of ze vertragen.
Sommige zaken afsnijden van internet kan leiden tot aanzienlijk verlies van zaken of geld. Het internet en computernetwerken zijn van energie voor veel bedrijven. Sommige organisaties, zoals betalingsgateways en e-commercesites, zijn volledig afhankelijk van internet om zaken te doen.
In deze zelfstudie laten we u zien wat een denial of service-aanval is, hoe deze wordt uitgevoerd en hoe u zich tegen dergelijke aanvallen kunt beschermen.
Onderwerpen die in deze tutorial worden behandeld
- Soorten Dos-aanvallen
- Hoe DoS-aanvallen werken
- DoS-aanvalstools
- DoS-bescherming: voorkom een aanval
- Hacking-activiteit: Ping of Death
- Hacking-activiteit: start een DOS-aanval
Soorten Dos-aanvallen
Er zijn twee soorten Dos-aanvallen namelijk;
- DoS - dit type aanval wordt uitgevoerd door een enkele host
- Gedistribueerde DoS - dit type aanval wordt uitgevoerd door een aantal gecompromitteerde machines die allemaal op hetzelfde slachtoffer zijn gericht. Het overspoelt het netwerk met datapakketten.
Hoe DoS-aanvallen werken
Laten we eens kijken hoe DoS-aanvallen worden uitgevoerd en de gebruikte technieken. We zullen vijf veelvoorkomende soorten aanvallen bekijken.
Ping of Death
De ping-opdracht wordt meestal gebruikt om de beschikbaarheid van een netwerkbron te testen. Het werkt door kleine datapakketten naar de netwerkbron te sturen. De ping of death maakt hiervan gebruik en verzendt datapakketten boven de maximale limiet (65.536 bytes) die TCP / IP toestaat. TCP / IP-fragmentatie verdeelt de pakketten in kleine stukjes die naar de server worden gestuurd. Omdat de verzonden datapakketten groter zijn dan wat de server aankan, kan de server vastlopen, opnieuw opstarten of crashen.
smurf
Dit type aanval maakt gebruik van grote hoeveelheden ICMP-ping-doel (Internet Control Message Protocol) op een internet-uitzendadres. Het antwoord-IP-adres wordt vervalst met dat van het beoogde slachtoffer. Alle antwoorden worden naar het slachtoffer gestuurd in plaats van het IP-adres dat voor de pings wordt gebruikt. Omdat een enkel internet-uitzendadres maximaal 255 hosts kan ondersteunen, versterkt een smurfaanval een enkele ping 255 keer. Het effect hiervan is dat het netwerk wordt vertraagd tot een punt waarop het onmogelijk is om het te gebruiken.
Bufferoverloop
Een buffer is een tijdelijke opslaglocatie in RAM die wordt gebruikt om gegevens op te slaan, zodat de CPU deze kan manipuleren voordat deze naar de schijf wordt teruggeschreven. Buffers hebben een maximale grootte. Dit type aanval laadt de buffer met meer gegevens dan het kan bevatten. Dit zorgt ervoor dat de buffer overloopt en de gegevens die erin staan beschadigd raken. Een voorbeeld van een bufferoverflow is het verzenden van e-mails met bestandsnamen van 256 tekens.
Traan
Dit type aanval maakt gebruik van grotere datapakketten. TCP / IP splitst ze op in fragmenten die op de ontvangende host worden verzameld. De aanvaller manipuleert de pakketten terwijl ze worden verzonden, zodat ze elkaar overlappen. Dit kan ertoe leiden dat het beoogde slachtoffer crasht terwijl het probeert de pakketten opnieuw samen te stellen.
SYN-aanval
SYN is een afkorting voor Synchronize. Dit type aanval maakt gebruik van de drieweg-handshake om communicatie via TCP tot stand te brengen. SYN-aanval werkt door het slachtoffer te overspoelen met onvolledige SYN-berichten. Dit zorgt ervoor dat de slachtoffercomputer geheugenbronnen toewijst die nooit worden gebruikt en dat de toegang aan legitieme gebruikers wordt geweigerd.
DoS-aanvalstools
Hieronder volgen enkele van de tools die kunnen worden gebruikt om DoS-aanvallen uit te voeren.
- Nemesy - deze tool kan worden gebruikt om willekeurige pakketten te genereren. Het werkt op ramen. Deze tool kan worden gedownload vanaf http://packetstormsecurity.com/files/25599/nemesy13.zip.html. Als u een antivirusprogramma heeft, wordt dit vanwege de aard van het programma hoogstwaarschijnlijk als een virus gedetecteerd.
- Land en LaTierra - deze tool kan worden gebruikt voor IP-spoofing en het openen van TCP-verbindingen
- Blast - deze tool kan worden gedownload vanaf http://www.opencomm.co.uk/products/blast/features.php
- Panther - deze tool kan worden gebruikt om het netwerk van een slachtoffer te overspoelen met UDP-pakketten.
- Botnets - dit zijn massa's gecompromitteerde computers op internet die kunnen worden gebruikt om een gedistribueerde denial of service-aanval uit te voeren.
DoS-bescherming: voorkom een aanval
Een organisatie kan het volgende beleid toepassen om zichzelf te beschermen tegen Denial of Service-aanvallen.
- Aanvallen zoals SYN-overstromingen profiteren van bugs in het besturingssysteem. Door beveiligingspatches te installeren, kunt u de kans op dergelijke aanvallen verkleinen.
- Inbraakdetectiesystemen kunnen ook worden gebruikt om illegale activiteiten op te sporen en zelfs te stoppen
- Firewalls kunnen worden gebruikt om eenvoudige DoS-aanvallen te stoppen door al het verkeer van een aanvaller te blokkeren door zijn IP te identificeren.
- Routers kunnen worden geconfigureerd via de toegangscontrolelijst om de toegang tot het netwerk te beperken en verdacht illegaal verkeer te laten vallen.
Hacking-activiteit: Ping of Death
We gaan ervan uit dat u voor deze oefening Windows gebruikt. We gaan er ook van uit dat u ten minste twee computers heeft die op hetzelfde netwerk zijn aangesloten. DOS-aanvallen zijn illegaal op netwerken waarvoor u niet bevoegd bent. Daarom moet u voor deze oefening uw eigen netwerk opzetten.
Open de opdrachtprompt op de doelcomputer
Voer het commando ipconfig in. U krijgt vergelijkbare resultaten als hieronder weergegeven
Voor dit voorbeeld gebruiken we verbindingsdetails voor mobiel breedband. Noteer het IP-adres. Opmerking: om dit voorbeeld effectiever te laten zijn, moet u een LAN-netwerk gebruiken.
Schakel over naar de computer die u voor de aanval wilt gebruiken en open de opdrachtprompt
We zullen onze slachtoffercomputer pingen met oneindige datapakketten van 65500
Voer de volgende opdracht in
ping 10.128.131.108 -t |65500
HIER,
- "Ping" stuurt de datapakketten naar het slachtoffer
- "10.128.131.108" is het IP-adres van het slachtoffer
- "-T" betekent dat de datapakketten moeten worden verzonden totdat het programma wordt gestopt
- "-L" specificeert de gegevensbelasting die naar het slachtoffer moet worden verzonden
U krijgt vergelijkbare resultaten als hieronder weergegeven
Het overspoelen van de doelcomputer met datapakketten heeft niet veel effect op het slachtoffer. Om de aanval effectiever te maken, moet u de doelcomputer aanvallen met pings van meer dan één computer.
De bovenstaande aanval kan worden gebruikt voor aanvallers, routers, webservers enz.
Als u de effecten van de aanval op de doelcomputer wilt zien, kunt u Taakbeheer openen en de netwerkactiviteiten bekijken.
- Klik met de rechtermuisknop op de taakbalk
- Selecteer taakbeheer starten
- Klik op het netwerktabblad
- U krijgt resultaten die vergelijkbaar zijn met de volgende
Als de aanval succesvol is, zou u meer netwerkactiviteiten moeten kunnen zien.
Hacking-activiteit: start een DOS-aanval
In dit praktische scenario gaan we Nemesy gebruiken om datapakketten te genereren en de doelcomputer, router of server te laten overstromen.
Zoals hierboven vermeld, wordt Nemesy door uw antivirusprogramma gedetecteerd als een illegaal programma. Voor deze oefening moet u het antivirusprogramma uitschakelen.
- Download Nemesy van http://packetstormsecurity.com/files/25599/nemesy13.zip.html
- Pak het uit en voer het programma Nemesy.exe uit
- U krijgt de volgende interface
Voer in dit voorbeeld het doel-IP-adres in; we hebben het doel-IP gebruikt dat we in het bovenstaande voorbeeld hebben gebruikt.
HIER,
- 0 aangezien het aantal pakketten oneindig betekent . U kunt het instellen op het gewenste aantal als u geen oneindige datapakketten wilt verzenden
- Het veld size specificeert de databytes die verzonden moeten worden en de vertraging specificeert het tijdsinterval in milliseconden.
Klik op de verzendknop
U zou de volgende resultaten moeten kunnen zien
De titelbalk toont het aantal verzonden pakketten
Klik op de stopknop om te voorkomen dat het programma datapakketten verzendt.
U kunt de taakbeheerder van de doelcomputer volgen om de netwerkactiviteiten te zien.
Overzicht
- De bedoeling van een denial of service-aanval is om legitieme gebruikers de toegang tot een bron zoals een netwerk, server enz. Te ontzeggen.
- Er zijn twee soorten aanvallen: denial of service en gedistribueerde denial of service.
- Een denial of service-aanval kan worden uitgevoerd met SYN Flooding, Ping of Death, Teardrop, Smurf of buffer overflow
- Beveiligingspatches voor besturingssystemen, routerconfiguratie, firewalls en inbraakdetectiesystemen kunnen worden gebruikt om u te beschermen tegen Denial of Service-aanvallen.