DoS = Denial Of Service
Ma che cos'è??
Nella sicurezza informatica DoS, scritto con la maiuscola al primo e terzo posto, è la sigla di denial of service, letteralmente negazione del servizio. Si tratta di un attacco informatico in cui si cerca di portare il funzionamento di un sistema informatico che fornisce un servizio, ad esempio un sito web, al limite delle prestazioni, lavorando su uno dei parametri d'ingresso, fino a renderlo non più in grado di erogare il servizio.
Gli attacchi vengono abitualmente attuati inviando molti pacchetti di richieste, di solito ad un server Web, FTP o di posta elettronica saturandone le risorse e rendendo tale sistema "instabile", quindi qualsiasi sistema collegato ad Internet e che fornisca servizi di rete basati sul TCP è soggetto al rischio di attacchi DoS. Inizialmente questo tipo di attacco veniva attuato da "hacker", come gesto di dissenso etico nei confronti dei siti web commerciali e delle istituzioni.Oggi gli attacchi DoS hanno la connotazione decisamente più "criminale" di impedire agli utenti della rete l'accesso ai siti web vittime dell'attacco. Per rendere più efficace l'attacco in genere vengono utilizzati molti computer inconsapevoli, detti zombie, sui quali precedentemente è stato inoculato un programma appositamente creato per attacchi DoS e che si attiva ad un comando proveniente dal cracker creatore. Se il programma maligno si è diffuso su molti computer, può succedere che migliaia di PC violati da un cracker, ovvero una botnet, producano inconsapevolmente e nello stesso istante un flusso incontenibile di dati che travolgeranno come una valanga anche i link più capienti del sito bersaglio.Non solo i sistemi server possono essere vittime di un attacco DoS, bensì anche semplici utenti e client. Sebbene questi attacchi siano molto meno frequenti e di nessun interesse per i cosiddetti cracker.La probabilità sempre minore di incontrare sistemi veramente vulnerabili ha fatto sì che siano diminuiti gli attacchi DoS più eclatanti, però si è scoperta un'estrema vulnerabilità della rete per l'aumento costante della potenza operativa degli attuali PC e dell'accesso ad Internet tramite i sistemi DNS.L'implementazione del protocollo TCP/IP, che non garantisce particolare sicurezza sull'identificazione dei mittenti di pacchetti ma anzi ne protegge l'anonimato, può venir sfruttato per mascherarne la vera provenienza.Trattandosi di connessioni apparentemente legittime, è impossibile bloccarle senza interrompere anche il flusso realmente inoffensivo. Però limitando drasticamente il numero di sessioni aperte simultaneamente l'impatto dell'attacco si riduce considerevolmente senza limitare il flusso dei pacchetti regolari.
Anche limitando il discorso al blocco di un sito web, esistono, e sono stati utilizzati, parecchi modi di ottenere questo risultato.
TIPOLOGIE DI ATTACCO:
- Attacco diretto: l'attaccante interagisce direttamente con la vittima. In questo caso l'attaccante si dice reale e la vittima si dice di primo livello.
- Attacco indiretto: l'attaccante sfrutta terze parti per colpire la vittima. In questo caso l'attaccante si dice riflesso, le terze parti si dicono vittime di secondo livello e la vittima finale si dice vittima di primo livello.
DISPOSITIVI DI PROTEZIONE:
Filtraggio dei Dati in arrivoImplementando i filtri che presiedono all'ingresso, nei propri router e firewall, dei pacchetti contenenti informazioni sulla provenienza dei dati alterate (cioè spoofed), non si otterrà un arresto dell'attacco DoS ma si potrà ricostruire il flusso di traffico qualificato come "malefico" in tempi relativamente brevi, per consentire la reazione difensiva degli Internet Service Provider (anti spoofing).
Limitazione del TrafficoMolti router consentono, attualmente, di limitare la quantità di banda utilizzata per la fornitura di un servizio attraverso il "campionamento" ed analisi dei pacchetti che vi transitano. In caso di attacco non resterà attiva una quantità di banda sufficiente a provocare un danno cospicuo o a bloccare il flusso legittimo dei dati. Questa limitazione si otterrà ad esempio con l'utilizzazione di una macchina Linux che funga da gateway attraverso un'azione CAR (Commited Access Rate), così si bloccherà un attacco DDoS che usi pacchetti ICMP o TCP, SYN poiché viene considerevolmente limitata la banda utilizzabile da questi.
Sistemi di riconoscimento delle intrusioniSi tratta di sistemi commerciali in grado di individuare Trinoo e TFN, ad esempio l'FBI fornisce, gratuitamente, un prodotto definito Find DDoS in grado di scoprire i file system visti sopra, risultato dell'attacco Distribued Denial of Service. Attraverso tali sistemi di verifica (Intrusion Detection System) vengono individuati i malintenzionati che comunicano tramite slave, agent e master, scoprendo se alcune delle macchine, nella propria rete, vengono usate, malignamente, come pedine per sferrare l'attacco. In particolare i Network Auditing Tools sono programmi che consentono la verifica e l'analisi della rete aziendale alla ricerca di eventuali agenti in grado di provocare un attacco di tipo DDoS.
Fonte: Web
![:\](/forum/data/assets/smilies/mhhae.gif "Mhhae :\")
.
grazie!
Cerca DDoS su youtube se vuoi imparare qualcosa, in giro ci sono scriptini in perl, ma siamo sicuri che tu voglia solo imparare?
