¿Cuál es el principio del ataque de los Pitufos y cómo prevenirlo?
Ataques DDoS comunes
smurf, Fraggle attack, Trinoo, Tribe Flood Network (TFN), TFN2k y Stacheldraht son programas de ataque DDoS relativamente comunes. Echemos un vistazo a sus principios. cuyas ideas de ataque son básicamente similares. Ataque Smurf: Smurf es una tecnología de ataque DDoS simple pero efectiva. Smurf también utiliza el programa ping para transmitir directamente la IP de origen falsificada para atacar. La información transmitida en Internet se puede enviar a máquinas a lo largo de la red por ciertos medios (a través de direcciones de transmisión u otros mecanismos). Cuando una máquina utiliza una dirección de transmisión para enviar un paquete de solicitud de eco ICMP (como Ping), algunos sistemas responderán con un paquete de respuesta de eco ICMP, de modo que al enviar un paquete se recibirán muchos paquetes de respuesta. El ataque Smurf utiliza este principio y también requiere una dirección de origen falsa. Es decir, la dirección de origen enviada por Smurf en la red es la dirección del host que se va a atacar, y la dirección de destino es la dirección de transmisión del paquete de solicitud de eco ICMP, lo que hace que muchos sistemas respondan al mismo tiempo y envíen una gran cantidad de mensajes. cantidad de información al host atacado (porque su dirección ha sido suplantada). Smurf utiliza una dirección de origen falsificada para hacer ping continuamente a una o más redes de computadoras, lo que hace que todas las computadoras respondan a una dirección de host que no es la computadora atacante que realmente envió el paquete de información. Esta dirección de origen falsificada es en realidad el objetivo del ataque y se verá abrumada por la enorme cantidad de información de respuesta. Una red informática que responde a este paquete falsificado se convierte en cómplice involuntario del ataque. Un simple ataque pitufo que en última instancia causa congestión de la red y caídas de terceros es uno o dos órdenes de magnitud mayor que un ping de inundación mortal. Este método de utilizar la red para enviar un paquete y provocar una gran cantidad de respuestas también se denomina "amplificación" pitufa.
Ataque Fraggle: El ataque Fraggle es una modificación simple del ataque Smurf, utilizando mensajes de respuesta UDP en lugar de ICMP.
Ataque "trinoo": trinoo es un complejo programa de ataque DDoS y un software de ataque basado en inundación UDP. Utiliza un programa "maestro" para controlar automáticamente cualquier número de programas "agentes" que realmente llevan a cabo el ataque. Por supuesto, antes del ataque, el intruso había tomado el control de la computadora con el programa maestro y de todas las computadoras con el programa agente para poder instalar el software. El atacante se conecta a la computadora con el programa maestro instalado, inicia el programa maestro y luego el programa maestro es responsable de iniciar todos los programas agentes según una lista de direcciones IP. Luego, el agente inunda la red con paquetes UDP y envía un paquete UDP de 4 bytes con todos ceros a un puerto aleatorio del host objetivo atacado. En el proceso de procesar estos paquetes de datos basura que exceden su capacidad de procesamiento, el rendimiento de la red. el host atacado continúa disminuyendo hasta que no se pueden proporcionar los servicios normales o incluso colapsar. No falsifica direcciones IP, por lo que este método de ataque no se utiliza mucho.
Ataques "Tribal Flood Network" y "TFN2K": Tribe Flood Network, al igual que trinoo, utiliza un programa maestro para comunicarse con agentes de ataque ubicados en múltiples redes y utiliza ICMP para emitir comandos al servidor proxy. Las fuentes pueden ser falsificadas. TFN puede lanzar innumerables ataques DoS en paralelo, de varios tipos, y también puede crear paquetes con direcciones IP de origen falsificadas. Los ataques que TFN puede lanzar incluyen: inundación SYN, inundación UDP, inundación de solicitudes de eco ICMP y Smurf (que utiliza múltiples servidores para enviar paquetes de datos masivos para implementar ataques DoS) y otros ataques. La versión mejorada de TFN, TFN2k, cifra aún más los paquetes de comandos, lo que dificulta la consulta del contenido del comando. La fuente del comando puede ser falsificada y también hay una puerta trasera para controlar el servidor proxy.
Ataque "stacheldraht": Stacheldraht también se basa en el mismo modelo cliente/servidor que TFN y trinoo, donde el programa Master se comunica potencialmente con miles de programas agentes. Al lanzar un ataque, el intruso se conecta al programa maestro. Stacheldraht ha agregado nuevas características: la comunicación entre el atacante y el programa maestro está encriptada, la fuente del comando es falsa y puede evitar que algunos enrutadores filtren con RFC2267. Si se detecta el filtrado, solo falsificará la dirección IP y. finalmente de 8 bits, para que los usuarios no puedan saber qué máquina en qué segmentos de la red están siendo atacados al mismo tiempo, se utiliza la tecnología rcp (copia remota, copia remota) para actualizar automáticamente el programa del agente; Stacheldraht, al igual que TFN, puede lanzar innumerables ataques DoS en paralelo, de varios tipos, y también puede crear paquetes con direcciones IP de origen falsificadas. Los ataques lanzados por Stacheldraht incluyen ataques UDP, ataques TCP SYN y ataques de respuesta de eco ICMP.
Cómo prevenir ataques DoS/DdoS
Los ataques DoS han existido casi desde el nacimiento de Internet y se han ido desarrollando y actualizando con el desarrollo de Internet. Vale la pena mencionar que no es difícil encontrar herramientas DoS. Las comunidades en línea donde los piratas informáticos viven juntos tienen la tradición de compartir software de piratas informáticos e intercambiar experiencias de ataque. Estas herramientas, como el ataque DoS, se pueden obtener fácilmente de Internet. El software mencionado anteriormente son todos software disponibles públicamente que se pueden encontrar en Internet. Por tanto, cualquier persona que navegue por Internet puede suponer una amenaza potencial para la seguridad de la red. Los ataques DoS representan una gran amenaza para la seguridad de la red de Internet en rápido desarrollo. Sin embargo, hasta cierto punto se puede decir que los ataques DoS nunca desaparecerán y actualmente no existe una solución fundamental desde el punto de vista técnico.
Ante el peligroso banco DoS, ¿cómo debemos afrontar los ataques de hackers que aparecen en cualquier momento? Primero resumamos los problemas técnicos que plantean la amenaza de ataques DoS. Se puede decir que los ataques DoS son causados por las siguientes razones:
1. Las debilidades del software son fallas del sistema relacionadas con la seguridad contenidas en sistemas operativos o aplicaciones. Estas fallas son causadas principalmente por una programación defectuosa, una revisión descuidada del código fuente, efectos secundarios no intencionales o algún enlace inapropiado. Dado que el software utilizado depende casi por completo del desarrollador, las vulnerabilidades causadas por el software sólo pueden solucionarse aplicando parches, instalando hot fixes y service packs. Cuando se descubre que una aplicación tiene una vulnerabilidad, el desarrollador lanzará inmediatamente una versión actualizada para corregir la vulnerabilidad. Los ataques DoS causados por fallas inherentes en el protocolo de desarrollo pueden compensarse con parches simples.
2. Una mala configuración también puede convertirse en un riesgo de seguridad para el sistema. Estas configuraciones erróneas suelen ocurrir en dispositivos, sistemas o aplicaciones de hardware y, a menudo, son causadas por empleados irresponsables e inexpertos o por teorías erróneas. La configuración adecuada de enrutadores, firewalls, conmutadores y otros dispositivos de conexión de red en su red reducirá la probabilidad de que ocurran estos errores. Si se descubren tales vulnerabilidades, se debe consultar a técnicos profesionales para reparar los problemas.
3. Ataque de denegación de servicio por sobrecarga con solicitudes repetidas. Un ataque de denegación de servicio ocurre cuando las solicitudes repetidas de un recurso exceden en gran medida la capacidad de pago del recurso (por ejemplo, sobrecargar un servidor web que ya está lleno con demasiadas solicitudes).
Para evitar ataques DoS en el sistema, desde los dos primeros puntos, los administradores de red deben mantener el sistema de forma activa y cuidadosa para garantizar que no existan riesgos ni vulnerabilidades de seguridad, mientras que para el tercer punto, se requieren ataques maliciosos; La instalación de dispositivos de seguridad, como firewalls, filtra los ataques DoS. También se recomienda encarecidamente que los administradores de red revisen los registros de los dispositivos de seguridad con regularidad para descubrir amenazas de seguridad al sistema de manera oportuna.