Cómo usar comandos de DOS para atacar
Existen muchos métodos de ataque DoS específicos, pero la mayoría de ellos se pueden dividir en las siguientes categorías:
Explotación de defectos en la implementación del software
Ataque OOB (común herramienta winnuke), ataque TearDrop (herramienta común teardrop.cboink.cbonk.c), ataque lan
diagrama de flujo principal del software
d, ataque de paquete fragmentado IGMP, ataque sacudida, Cisco 2600 enrutador IOS versión 12 .0 (10) Ataques remotos de denegación de servicio, etc. Estos ataques aprovechan las fallas de implementación del software atacado para completar ataques DoS. Por lo general, estas herramientas de ataque enviarán uno o más mensajes de un tipo específico al sistema atacado. Estos ataques suelen ser fatales y normalmente matan con un solo golpe. Además, las direcciones de origen de muchos ataques pueden ser falsificadas, incluso a través de IDS u otro rastreador. El software registra los mensajes de ataque y no puede descubrir quién inició el ataque, y la mayoría de estos ataques son unos pocos mensajes de un tipo específico y una pequeña cantidad de mensajes en un período de tiempo muy corto. Si la dirección IP de origen es falsificada, entonces Making. Seguimiento casi imposible.
Entonces, ¿cómo se producen estos ataques? A menudo, tipos específicos de mensajes o solicitudes no se manejan durante el desarrollo del software, lo que hace que el software se ejecute de manera anormal cuando encuentra dichos mensajes, lo que provoca fallas del software o incluso fallas del sistema. Las causas de tales ataques se explican a continuación con varios ejemplos específicos.
El 7 de mayo de 1997, alguien lanzó winnuke.c, que primero estableció una conexión TCP con el host Win95/NT y luego envió datos de emergencia TCP, provocando que el otro extremo del sistema fallara. 139/TCP es el puerto de escucha más utilizado en sistemas Win95/NT, por lo que winnuke.c utiliza este puerto. Este ataque se denomina ataque OOB debido al uso del indicador MSG_OOB, pero en realidad debería ser un ataque de datos de emergencia TCP.
El Teardrop.c original solo construyó dos paquetes fragmentados y envió dos paquetes fragmentados UDP al mismo tiempo cada vez. Si especifica un recuento de envíos, reenviará los dos paquetes fragmentados anteriores. Puede falsificar la IP de origen y realizar ataques remotos a través de enrutadores, afectando a sistemas como Linux/WinNT/Win95. El método utilizado es:
IP de origen de lágrima IP de destino [-s puerto de origen][-d puerto de destino][-n veces]
Un ataque DoS relativamente nuevo es el ataque DoS implementado por Windows SMB, lanzado en agosto de 2002, se puede ejecutar de forma remota en cualquier sistema Windows que permita conexiones anónimas, y se recomienda encarecidamente a los usuarios de Windows que apliquen el parche correspondiente. El principio de funcionamiento es establecer una conexión con el sistema de destino, luego enviar una solicitud específica y el sistema de destino mostrará una pantalla azul. La herramienta de prueba lanzada SMBdie.exe es una herramienta de interfaz gráfica. Simplemente ingrese el nombre NETBIOS de la dirección de destino.
Como se puede ver en la discusión anterior, este ataque es muy poderoso y difícil de detectar. Pero en realidad, sólo es dañino durante un corto tiempo después de que se libera la vulnerabilidad, y los proveedores lanzan rápidamente parches para corregir la vulnerabilidad. Por lo tanto, los ataques de la vieja escuela descritos anteriormente suelen ser ineficaces en entornos del mundo real. Sin embargo, los últimos métodos de ataque todavía nos hacen estremecer. Todo lo que podemos hacer es prestar mucha atención a la aparición de vulnerabilidades de seguridad y aplicar nuevos parches de manera oportuna. Si quiere ser vago, comprar servicios relacionados de una empresa de servicios de seguridad profesional debería ser una mejor opción.
Explotación de las vulnerabilidades del protocolo
Si la vulnerabilidad mencionada anteriormente no daña durante mucho tiempo, entonces la capacidad de supervivencia de este tipo de ataque es muy fuerte.
Para poder interoperar e interconectarse en la red, todas las implementaciones de software deben seguir los protocolos establecidos. Si hay vulnerabilidades en estos protocolos, todo el software que siga los protocolos se verá afectado.
El ataque más clásico es un ataque de inundación sincrónico que aprovecha las vulnerabilidades del protocolo TCP/IP. Por lo general, el establecimiento de una conexión TCP se divide en tres pasos: el cliente envía un paquete SYN al servidor, el servidor asigna algunos recursos para la conexión y devuelve un paquete SYN/ACK, y espera el último paquete ACK establecido por el servidor. conexión; finalmente, el cliente envía un paquete ACK para que se establezca la conexión entre los dos y se puedan transferir datos a través de la conexión. El proceso de este ataque consiste en enviar paquetes SYN de forma salvaje sin devolver paquetes ACK. El servidor ocupa demasiados recursos, lo que genera demasiados recursos del sistema y la incapacidad de responder a otras operaciones o a solicitudes normales de red.
Este tipo de ataque es un ataque típico que utiliza una pequeña cantidad de recursos para ocupar una gran cantidad de los recursos del oponente. Un sistema P4 Linux puede enviar entre 30 y 40 millones de mensajes synflood de 64 bytes, en comparación con los 20 millones de un servidor normal, básicamente sin reacción (incluido el mouse y el teclado). Además, el synflood no sólo se puede realizar de forma remota, sino que también se puede falsificar la dirección IP de origen, lo que dificulta mucho su rastreo. Para encontrarlo hay que acudir a todos los operadores de redes troncales, empezando por los routers de primer nivel.
Para ataques de inundación sincrónicos con direcciones IP de origen falsificadas, será difícil rastrear al atacante a menos que los administradores de todos los enrutadores entre el atacante y el sistema atacado cooperen en la búsqueda. En la actualidad, algunos productos de firewall afirman tener capacidades anti-DoS, pero sus capacidades generalmente son limitadas. Incluyendo firewalls de hardware extranjeros, la mayoría de los firewalls de 100 M solo tienen capacidades de inundación antisíncronas de 20-30 Mbps (paquetes de sincronización de 64 bytes), lo cual es inconsistente. Está relacionado con su capacidad para reenviar paquetes pequeños. No importa cuán grande sea el tráfico, el firewall puede fallar. Algunos proveedores de seguridad han reconocido los peligros de los ataques DoS y han comenzado a desarrollar productos especializados contra la denegación de servicio.
Dado que el protocolo TCP/IP cree en la dirección de origen del mensaje, además de utilizar la dirección de transmisión, otro método de ataque es el ataque de denegación de servicio reflexivo, y el protocolo de multidifusión puede ayudar mejor al reflexivo. Ataques de denegación de servicio. Sin embargo, la mayoría de los enrutadores prohíben las direcciones de transmisión y las direcciones de protocolo de multidifusión.
Otro tipo de ataque consiste en utilizar una gran cantidad de solicitudes de servicio normales que cumplan con el protocolo, porque cada solicitud consume una gran cantidad de recursos del sistema, lo que provoca que las solicitudes de servicio normales fallen. Por ejemplo, el protocolo HTTP es un protocolo sin estado y los atacantes crean una gran cantidad de solicitudes de búsqueda. Estas solicitudes consumen una gran cantidad de recursos del servidor y provocan DoS. Este tipo de ataque es más fácil de manejar porque es una solicitud normal, exponer las direcciones IP de origen normales y prohibir estas IP funcionará.
Contención de recursos
Este tipo de ataque es la estrategia de un atacante deshonesto, es decir, envío muchos datos basura, consumiendo todos tus recursos, lo que provoca un DoS porque tengo muchos recursos. a mi disposición, como ICMPflood, streamflood, connectflood, etc. Para obtener más recursos que el sistema objetivo, los atacantes generalmente lanzan DDoS (DistributedDos Distributed Denial of Service). El atacante controla múltiples títeres de ataque para lanzar ataques y producir el efecto deseado. Los dos primeros tipos de ataques pueden falsificar direcciones IP y son muy difíciles de rastrear. El tercer tipo de ataque puede exponer la dirección IP del títere atacante porque requiere establecer una conexión. Estas direcciones IP pueden prohibirse a través del firewall. Para ataques que son difíciles de rastrear y prohibir, solo podemos esperar productos especializados contra la denegación de servicio.
Programas de ataque
smurf, trinoo, tfn, tfn2k y stacheldraht son programas de ataque DoS relativamente comunes. Este artículo analizará sus principios y medidas de defensa para ayudar a los administradores a defenderse eficazmente contra los ataques DoS Storm. para mantener la seguridad del sitio web.