Pagrindinės DoS atakų rūšys

IV_VygandasS

Šiame informaciniame straipsnyje pateikiame pagrindinių DoS atakų rūšių apibrėžimus.

DoS (angl. Denial of Service) - atsisakymas aptarnauti: resursų autorizuoto pasiekiamumo prevencija arba vėlinimo sukėlimas į laiką orientuotoms operacijoms.

• UDP užtvindymo atakos yra vykdomos siunčiant aukos sistemai didelius kiekius UDP protokolo paketų. To pasekmės varijuoja nuo aukos tinklo pralaidumo dalino užkimšimo nereikalingu informacinių duomenų srautu iki visiško jo išnaudojimo, taip neleidžiant prie aukos kompiuterių sistemos prisijungti teisėtiems naudotojams. UDP užtvindymo atakos būna daromos tiek su tiksliai nurodomai aukos sistemos prievadais, tiek su atsitiktiniais. Tačiau dažniau taikomas yra pastarasis metodas, kadangi UDP užtvindymo atakos esmė yra siunčiant UDP paketus į atsitiktinius prievadus priversti aukos sistemą rinkti užklausas neegzistuojančios programom. Taigi aukos kompiuterių sistema pastoviai turi generuoti ICMP paketus su atsaku „lokacija nepasiekiama“ ir siųsti jas nurodytiems sufalsifikuotiems IP ištakų adresams.
  
  
• Ping užtvindymo atakos naudojamos pasitelkiant ICMP protokolą, kuris leidžia siųsti ICMP echo užklausas į nutolusį kompiuterį norint sužinoti ar jis yra pasiekiamas. ICMP užtvindymo atakų metu aukai yra siunčiami didelės apimties ICMP echo užklausų paketais (angl. ping), galimai nurodant sufalsifikuota ištakos IP adresą. Kadangi šie paketai reikalauja atsako iš aukos kompiuterio, aukos tinklo pralaidumas yra užkraunamas atsako siuntimais, taip sumažinant aukos kompiuterių sistemos tinklo veiklos našumą.
  
  
• SYN užtvindymo ataka išnaudoja TCP protokolu paremto trišalio rankos paspaudimo silpnybę. Tarnybinis serveris gauna iš naudotojo TCP protokolo sinchronizaciją inicijuojantį paketą su SYN vėliavų rinkiniu iš kliento. Nurodyta tarnybinė stotis siunčia naudotojui atgal TCP protokolo paketą su SYN, ACK vėliavų rinkiniu ir laukia iš kliento galutinio TCP protokolo paketo su ACK vėliavų rinkiniu, kuris turi patvirtinti TCP protokolo trišaliu rankos paspaudimu paremtą susijungimą. Remiantis šiuo principu atakos iniciatorius siunčia didelį kiekį TCP protokolo paketų su SYN vėliavų rinkiniu tarnybiniai stočiai, o gavęs iš tarnybinės stoties sinchronizacijos patvirtinimo paketą, nesiunčia tarnybinei stočiai patvirtinimo TCP protokolo paketo su susijungimo patvirtinimu. Kadangi gavęs TCP paketą su SYN vėliavų rinkiniu tarnybinė stotis siunčia atgal sinchronizacijos patvirtinimo paketus ir toliau laukia susijungimo patvirtinimo paketo iš kliento, galiausiai tarnybinės stoties buferis persipildo, dėl susikaupusio didelio kiekio eilėje laukiančių paketų. Taip yra sutrikdoma tarnybinė stoties veikla nepaliekant galimybės priimti bei apdoroti teisėtų naudotojų siunčiamų TCP protokolo trišaliu rankos paspaudimu paremtų susijungimų inicijavimą nurodančių paketų.

merkys

Sveiki idomiau kokia itaka serveriui duoda vienu ar kitu ugniasienes parametru sumazinimas iki minimaliu? Kokie parametrai visgi turetu buti palikti normalesni o kurie tarkim yra mazai reikalingi ir juos butu galima minimalizuoti iki minimaliu skaiciu. Aciu lauksiu patarimo.

IV_VygandasS

Viskas priklauso nuo serverio lankytojams teikiamos "paslaugos" pobūdžio. Pvz. jeigu kraunant svetainę yra atliekamas didelis kiekis mažų failų persiuntimo lankytojui - vertėtų atkreipti dėmesį į TCP SYN paketų kiekį iš vieno IP adreso (t.y. esant reikalui jį padidinti). Didesnis UDP paketų kiekis yra įprastai reikalingas žaidimų serveriams. Reikalingas bendras įeinančių susijungimų kiekis dažniausiai priklauso nuo lankytojų kiekio, bei jų vykdomų prisijungimų kiekio. Lygiagrečių susijungimų kiekio parametras gali būti reikalingas didesnis, kai prie serverio yra jungiamasi iš daugybės kompiuterių, kurių išorinis IP adresas yra vienodas (pvz. iš ofiso).

Įprastai rečiausiai pasiekiamas limitas yra ICMP paketų kiekis per sekundę, taigi tikėtina jog šio limito gali pakakti ir visiškai minimalios vertės.

Bendru atveju, kaip ir minėjome daug kas priklauso nuo to kokios tarnybos veikia serveryje, bei kokie yra šių tarnybų poreikiai. Šiuo kriterijus geriausiai nusakyti/įvertinti gali pats serverio administratorius.

merkys

Tokiu atveju kokius parametrus parekomenduotumete naudoti jei veikia vienas tinklapis paleistas ant Wordpress kuris susilaukia ~10.000 unikaliu lankytoju kasdien? Jokiems zaidimams nenaudojama. Naudojama tik tinklalapiui ir pastui registruotu ir uzsisakiusiu pranesimus apie nauja posta informavimui?

IV_VygandasS

Kaip ir minėjome, geriausiai įvertinti serverio poreikius gali tik pats serverio administratorius.

Taip pat norime patikslinti jog iš mazgo pusės taikoma ugniasienė įtakoja tik įeinantį srautą. Taigi "pastui registruotu ir uzsisakiusiu pranesimus apie nauja posta informavimui" neturi įtakoti. Pačios svetainės pasiekiamumui aktualus būtų TCP SYN paketų iš vieno IP adreso limitas. Bei esant didesniam vienu metu lankytojų srautui, bendras įeinančių susijungimų srautas. Todėl galbūt vertėtų šiuos parametrus pakelti aukščiau nei pagal nutylėjimą pateiktos vertės. Tačiau jeigu nekyla nesklandumų su svetainės užkrovimo greičiu, šių parametrų didinti nevertėtų.