Виды Denial of Service, классификация [ =) ] Интро какбы) Вообщем существует стереотип, что есть всего два типа отказа в обслуживании - Ddos & Dos. Но это далеко не так . Так как у нас появился новый раздел, думаю будет полезный небольшой очерк на эту тему. [ ~ ] ЭЭэ, ты о чем вообще? DoS-атака (от англ. Denial of Service, отказ в обслуживании) и DDoS-атака (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании») — атака на вычислительную систему с целью довести её до отказа, то есть, создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён. Отказ «вражеской» системы может быть как самоцелью (например, сделать недоступным популярный сайт), так и одним из шагов к овладению системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.). В некоторых случаях к DDoS-атаке приводит легитимное действие, например, простановка ссылки на сайт (размещённый на не очень производительном сервере) на популярном интернет-ресурсе (слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и отказу в обслуживании части из них. © http://ru.wikipedia.org/wiki/DoS-атака [ ~ ] Ага, понял, поделим на виды? Давайте разобьем всё по полочкам. В веб-приложениях различают: Classic DoS: Denial of Service Distributed Denial of Service Looped DoS Recursive File Include В браузерах различают: Сrashing Blocking Freezing Resources consumption [ ~ ]Поподробнее с этого места... Classic DoS В случае DDoS - виснет система. Поэтому потребуется ее перезагрузка. Также можно обойтись лишь остановкой процесса, который грузит всю систему (Apache, nginx, MySQL итд.), но такое крайне редко случается. В случае DoS - происходит сильная нагрузка на сервер. Может быть вызвана произвольно, когда на посещаемом портале используются тяжёлые операции (работа с БД, картинками, загрузка файлов, работа с большими файлами и тд.) Также DdoS и DoS различают тем, что DdoS атака происходит с разных сетей (разные страны, провайдеры) и отловить зомбированные машины практически невозможно, а DoS часто-густо исходит из одной подсети. Looped DoS Looped DoS часто возникает в не качественных поисковых машинах (боты индексируют свою же систему), редиректорах. Если нет ограничений на редирекцию, то пользователь может составить урл, при котором произойдет "вечное" перенаправление. По сути тоже что и Looped DoS. Recursive File Include Recursive File Include - по факту LFI, или даже RFI По сути тоже что и Looped DoS. Смысл в том, что происходит вечный цикл инклуда файла. Тоесть пхп сценарий инклудит сам себя. Например: PHP: include($_GET['page']); Если обратится к скрипту Code: script.php?page=script.php можна повесить веб сервер Далее о браузерах Сrashing DoS Ну раз уже начали читать, скажу что они не на столько опасны, на сколько не приятны. И так, в результате Сrashing DoS браузер "падает". Последствия: утеряны не сохраненные даные. Blocking DoS В результате Blocking DoS браузер вас не слушается. Совем . Хотя и не виснет, просто вы ему больше не хозяин . Придется закрыть. Freezing С Freezingом всё просто. Браузер виснет, и ничего тут не поделаешь. Последствие те же что и у первых двоих. Resources consumption Resources consumption. Браузер забирает на себя все ресурсы компютера. Как результат - подвисание всей системы. [ ~ ]Как же защитится? Ну... Для этого и создан этот раздел Хотя можно выделить ключи к успеху: Хороший хостинг Анти-DDoS оборудование Ширина канала Гибкие настройки сервака Хорошо проектированный и оптимизированный проект Средства влияния ("Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как технического, так и организационно-правового характера." © Википедия) [ =( ] Послесловие И помните, не юзайте говно-паблик-антиддос скрипты, они вас точно не спасут. Да если задуматься, нихера вас вообще не спасет Снифайте трафик и анализируйте пакеты, юзайте netfilter . http://i2r.ru/static/452/out_19122.shtml - Защита http://en.wikipedia.org/wiki/Netfilter - Netfilter http://uasc.org.ua/2009/04/ddos-відмова-сервісу/ - Заметка в блоге на украинском http://stfw.ru/page.php?id=163 DDoS - виртуальный терроризм. Что такое DDoS-атака? http://stfw.ru/page.php?id=7381 Не так страшен DDoS, как его малюют Ну и гугл) Много интересного. Специально для antichat.ru, © [UASC], Dimi4
Пример классификации по присваемым сигнатурам в IPS: Code: MSRPC_NTLM_Reset_DoS Oracle_One_Byte_Packet_DoS BlackBerry_SRP_DoS DCOM_SystemActivation_DoS DHCP_ClientID_DoS Email_Mailman_Date_DoS MSRPC_WksSvc_UserEnum_DoS NDMP_Veritas_BackupExec_ErrorField_BO Netbios_Flood_DoS Oracle_Listener_Services_DoS MSRPC_Spoolss_GetPrinterData_DoS Email_Exchange_Calendar_DoS OWA_Script_UTF_Encoding SIP_0_Response_Code BrightStor_Authentication_DoS HTTP_Apache_Header_Memory_DoS RPC_BrightStor_ARCserve_Dos UDP_Flood_DoS HTTP_Apache_LF_Memory_DoS HTTPS_Apache_ClearText_DoS MSRPC_PlugAndPlay_GetDevList_DoS RAR_Invalid_Header_Size HTTP_iManager_POST_DOS DNS_Malformed_Flood MSRPC_Netware_Get_User_DoS DPS_Magic_Number_DoS HTML_IE_Url_Overflow HTTP_MhtmlMid_Bo Chargen_Denial_of_Service Cisco_CallMgrDB_DoS Cisco_CR_DoS Cisco_IOS_IPV4_DoS DCOM_RemoteGetClassObject_DoS DNS_Bind_OPT_DoS DNS_WINS_DoS Echo_Denial_of_Service Email_ExchangeStore_DoS Finger_Forwarding_DOS Fraggle_Attack Fragment_Resources_Exhausted FTP_Floppy_DoS FTP_Pasv_DOS FTP_Wildcard_DoS Gauntlet_ICMP_DoS H225_Invalid_Field_DoS H225_Invalid_Length_DoS Helix_Server_DoS HTTP_Apache_Chunked_DoS HTTP_Apache_DOS HTTP_BadBlue_DOS HTTP_Cgiproc_DoS HTTP_Cisco_IOS_DOS HTTP_Cisco_IOS_Query_DOS HTTP_ColdFusion_SyntaxChecker_DOS HTTP_Compaq_Insight_DoS HTTP_CrystalReports_FileAccess_DoS HTTP_DosDevice HTTP_ECware_DOS HTTP_IIS_Host_DoS HTTP_IIS_ISAPI_Filter_Error_DoS HTTP_IISExAir_DOS HTTP_Lock_Method_DOS HTTP_MyDoom_DoS HTTP_PHPNuke_ModulesPhp_DOS HTTP_WebDAV_Long_Rqst_DOS HTTP_WebDAV_XML_Attribute_DoS HTTP_WhatsUp_Login_DoS ICMP_Flood ICMP_Modem_DoS ICMP_TCP_MTU_DoS ICMP6_BSD_Dos Ident_Flood IIS_FTP_Session_Status_DoS Image_ANI_RateNumber_DoS IP_Flushot IP_Ping_Of_Death_Jolt IP_PingOfDeath_Jolt2 IP_SS_Ping IP_Timestamp_Not_Aligned IPV6_Bad_Fragment_Chain IRC_Trinity_Notification IRC_TrinityV3_Notification IRC_Vscan ISAKMP_Delete_SPI_DOS Land_Attack LDAP_BER_Sequence_Dos LDAP_Sun_Search_Dos MSRPC_LSA_Crash MSRPC_LSA_DoS MSRPC_Malformed_DOS MSRPC_MSDTC_Message_DoS MSRPC_MSDTC_VA_DoS MSRPC_Registry_Request_DoS MSRPC_RFPoison_Attack Mstream_Master Mstream_Zombie_Request Mstream_Zombie_Response MyDoom_SYNFlood Nestea NewTear Oracle_Listener_Debug_DoS Ping_Flood PingOfDeath PlugAndPlay_DoS POP_Retr_DoS Radius_AccessPacket_DoS Radius_AcctStatusType_Dos Saihyousen_Attack SMS_Remote_Service_DoS SMTP_Exchange_Verb_DoS Smurf_Attack SNMP_Cisco_Zero_Size_DOS Snork_Attack SOAP_ASPNet_RCP_Encode_DoS SQL_SSRP_DoS SSL_Hello_Msg_DoS Stacheldraht_Agent Stacheldraht_Handler Stream_DoS STUN_KPhone_DoS SynDrop SYNFlood Synthesized_Host_Attack_Flood Synthesized_Network_Attack_Flood Syslog_Cisco_Zero_Size_DoS TCP_Connection_Flood TCP_Flag_SynUrg TCP_Timestamp_DoS TCP_Urg_OutOfRange TCP_Within_Window_DoS TCP_Zero_Length_Option TearDrop TearDrop2 Telnet_PolycomDoS TFN_Daemon TFN2K_ICMP_Command TFN2K_TCP_Command TFN2K_UDP_Command Trin00_Daemon_Request Trin00_Daemon_Response Trinoo_Master_Request Trinoo_Master_Response Twinge_Attack UDP_Bomb UDP_Port_Loopback UDP_Squid_WCCP_Cachelist_DOS VOIP_DRDoS VOIP_New_Call_Dos Win_IGMP_DOS Win_IGMP_Option_DoS Win2K_DomainController_DOS Windows_Printing_Service_DOS WinNuke_Attack WINS_DelAssoc_DoS WinTrin00_Daemon_Request WinTrin00_Daemon_Response XML_Document_Too_Large XML_EntityDecl_DoS XML_EntityRef_DoS
немного дополню Slowloris HTTP DoS Достаточно молодой вид атак, направленный на отказ в обслуживании веб-сервера. Описание атаки появилось в блоге ha.ckers.org 17 июня. Slowloris похожа на SYN флуд, только работает на прикладном уровне модели OSI. Суть атаки сводится к медленной отправке HTTP заголовков, не завершая запроса. Таким образом при большом количестве соединений веб-сервер либо не сможет устанавливать новые соединения, либо использует весь доступный лимит памяти*. Список серверов подверженных атаке: Apache 1.x Apache 2.x dhttpd GoAhead WebServer WebSense "block pages" Trapeze Wireless Web Portal Verizon's MI424-WR FIOS Cable modem Verizon's Motorola Set-Top Box BeeWare WAF Deny All WAF * - точно не понял, что будет
