DENIAL OF SERVICE di Baldi Benedetta

CHE COS'è "DENIAL OF SERVICE"?

nel campo della sicurezza informatica indica un malfunzionamento dovuto ad un attacco informatico in cui si fanno esaurire deliberatamente le risorse di un sistema informatico che fornisce un servizio ai client, ad esempio un sito web su un web server, fino a renderlo non più in grado di erogare il servizio ai client richiedenti.
Oltre al senso primario di denial of service come azione deliberata ci si può riferire ad esso come azione accidentale, in seguito per esempio ad una errata configurazione, o come nel caso dell'effetto Slashdot

Caratteristiche

Gli attacchi vengono abitualmente attuati inviando molti pacchetti di richieste, di solito ad un server web, FTP o di posta elettronica saturandone le risorse e rendendo tale sistema "instabile". Qualsiasi sistema collegato ad Internet e che fornisca servizi di rete basati sul TCP è quindi soggetto al rischio di attacchi DoS. Per rendere più efficace l'attacco in genere vengono utilizzati molti computer inconsapevoli, detti zombie, sui quali precedentemente è stato inoculato un programma appositamente creato per attacchi DoS e che si attiva ad un comando proveniente dal cracker creatore.
Non solo i sistemi server possono essere vittime di un attacco DoS ma anche semplici utenti e client, siano diminuiti gli attacchi DoS più eclatanti, però si è scoperta un'estrema vulnerabilità della rete per l'aumento costante della potenza operativa degli attuali personal computer e dell'accesso ad Internet tramite i sistemi DNS
.L'implementazione del protocollo TCP/IP, che non garantisce particolare sicurezza sull'identificazione dei mittenti di pacchetti ma anzi ne protegge l'anonimato, può essere sfruttata per mascherarne la vera provenienza.

Tipi di attacco

  • Attacco diretto: l'attaccante interagisce direttamente con la vittima. In questo caso l'attaccante si dice reale e la vittima si dice di primo livello.
  • Attacco indiretto: l'attaccante sfrutta terze parti per colpire la vittima. In questo caso l'attaccante si dice riflesso, le terze parti si dicono vittime di secondo livello e la vittima finale si dice vittima di primo livello.

Attacchi portati da un singolo

Questi tipi di attacco, provenendo da un'unica fonte, sono potenzialmente rintracciabili:

  • Syn-Flood
  • Smurf

SYN-FLOOD

  • Storicamente il Syn-Flooding rappresenta il capostipite degli attacchi DoS, che trova le sue dirette radici nel Ping of Death.
  • Tutte le regole di funzionamento del protocollo TCP esigono che il sistema risponda allocando alcune risorse (in pratica memoria) per la connessione. Programmando opportunamente un semplice PC, è possibile richiedere l'apertura di diverse migliaia di connessioni al secondo, che "inondando" il server e ne consumano rapidamente tutta la memoria, bloccandolo o mandandolo in crash.
  • Il punto debole di questo tipo di attacco è che il computer attaccante deve essere in grado di mandare il flusso di pacchetti attraverso la connessione ad Internet fino al server attaccato.
  • l'attaccante invia una serie di richieste alla sua vittima e la macchina server, sulla quale vengono eseguiti dei servizi, non sarà in grado di gestire tutte le richieste e i servizi stessi andranno in crash, risultando prima molto rallentati e poi, successivamente, inaccessibili. In questa maniera, un utente qualunque non sarà in grado di accedere ai servizi, ricevendo un errore di richiesta scaduta o timeout.
  • https://it.wikipedia.org/wiki/SYN_flood

SMURF

  • Una modalità di attacco più sofisticata, detta Smurf attack, utilizza un flusso di pacchetti modesto, in grado di passare attraverso una normale connessione via modem, ed una rete esterna (evidentemente mal configurata) che agisce da moltiplicatore di pacchetti, i quali si dirigono infine verso il bersaglio finale lungo linee di comunicazione ad alta velocità.
  • Si noti che questo tipo di attacco è possibile solo in presenza di reti che abbiano grossolani errori di configurazione dei sistemi (nello specifico nella configurazione dei router) che le collegano tra loro e con Internet.

Attacchi da più host

In questi attacchi il bersaglio viene attaccato contemporaneamente da più fonti, rendendo difficile rintracciare l'attaccante originario:

  • DDoS
  • DRDoS

DDOS

Una variante di tale approccio è il DDoS , dal funzionamento identico ma realizzato utilizzando numerose macchine attaccanti che insieme costituiscono una botnet. Naturalmente gli attaccanti tendono a non esporsi direttamente, in questo caso per le forze dell'ordine sarebbe infatti semplice risalire ai computer utilizzati per l'attacco.
Per evitare di essere individuati, gli attaccanti infettano preventivamente un numero elevato di computer con dei virus o worm che lasciano aperte delle backdoor a loro riservate, anche per avere a disposizione un numero sufficiente di computer per l'attacco. I computer che sono controllati dall'attaccante vengono chiamati zombie.
Una particolarità degli zombies Windows è data dalla possibilità, per l'attaccante, di programmare un trojan in grado di diffondersi automaticamente a tutta una serie di contatti presenti sul computer infettato. Una particolarità degli zombies Windows è data dalla possibilità, per l'attaccante, di programmare un trojan in grado di diffondersi automaticamente a tutta una serie di contatti presenti sul computer infettato.Quando il numero di zombies è ritenuto adeguato, o quando viene a verificarsi una data condizione, i computer infetti si attivano e sommergono il server bersaglio di richieste di connessione. Con l'avvento della banda larga il fenomeno dei DDoS sta assumendo proporzioni preoccupanti, dato che attualmente esistono milioni di persone dotate di una connessione ad Internet molto veloce e permanente, ma con scarse o nulle conoscenze e contromisure riguardanti la sicurezza informatica.
Il flusso enorme di risposte generato provocherà nel sistema una tale "inondazione" di traffico, rendendo il server inadeguato alla gestione delle abituali funzioni on-line.

DRDOS

In questa particolare tipologia di attacco, il computer attaccante produce delle richieste di connessione verso server con connessioni di rete molto veloci utilizzando come indirizzo di provenienza non il proprio bensì quello del bersaglio dell'attacco. In questo modo i server risponderanno affermativamente alla richiesta di connessione non all'attaccante ma al bersaglio dell'attacco. Grazie all'effetto moltiplicatore dato dalle ritrasmissioni dei server contattati, che a fronte della mancanza di risposta da parte del bersaglio dell'attacco (apparentemente l'iniziatore della connessione) provvederanno a ritrasmettere (fino a 3 volte solitamente) il pacchetto immaginandolo disperso, si entrerà così in un circolo vizioso che vedrà rapidamente esaurirsi le risorse del bersaglio. Il problema si sta presentando con maggiore incidenza da quando Microsoft ha deciso di rendere le "Raw Sockets", interfacce di accesso al TCP/IP, facilmente disponibili.

cosa fanno i Dispositivi di protezione da attacchi DoS e DDoS

  • Filtraggio dei Dati in arrivo
  • Implementare i filtri che presiedono all'ingresso, nei propri router e firewall, dei pacchetti contenenti informazioni sulla provenienza dei dati alterati (cioè spoofed); non si otterrà un arresto dell'attacco DoS ma si potrà ricostruire il flusso di traffico qualificato come "malefico" in tempi relativamente brevi, per consentire la reazione difensiva degli Internet service provider (anti spoofing).
  • Limitazione del Traffico
  • Sistemi di riconoscimento delle intrusioni
  • Molti router consentono, attualmente, di limitare la quantità di banda utilizzata per la fornitura di un servizio attraverso il "campionamento" e l'analisi dei pacchetti che vi transitano.
  • Si tratta di sistemi commerciali in grado di individuare Trinoo e TFN. Attraverso tali sistemi di verifica (Intrusion Detection System) vengono individuati i malintenzionati che comunicano tramite slave, agent e master, scoprendo se alcune delle macchine nella propria rete vengono usate, malignamente, come pedine per sferrare l'attacco.

in conclusione...

Quindi, un attacco Denial of Service è un tentativo malevolo di rendere non disponibile agli utenti legittimi un sito Web o un'applicazione Web, sovraccaricando intenzionalmente l'infrastruttura di supporto del sito con un volume enorme di traffico fittizio, fino al punto in cui tale sito non è più in grado di elaborare ulteriori richieste o riesce a farlo solo con estrema lentezza.

Link Immagini E SITI

immagini prese:

THE END
Created By
Benedetta Baldi
Appreciate

Credits:

I LINK DELLE FOTO SONO NOMINATE NELLA PRESENTAZIONE

Made with Adobe Slate

Make your words and images move.

Get Slate

Report Abuse

If you feel that this video content violates the Adobe Terms of Use, you may report this content by filling out this quick form.

To report a Copyright Violation, please follow Section 17 in the Terms of Use.