Un'altra forma di attacco alle reti è il DoS(Denial of Services), questo attacco non punta a carpire informazioni ma ad impedire l' accesso ad un servizio o ad una risorsa.Tali attacchi sono vincolati ad un determinato programma o ad una determinata versione ed hanno colpito diversi fornitori a causa di "sviste"relative al networking, ovviamente i sistemi operativi moderni sono stati protetti verso molti di questi attacchi è comunque utile riflettere sul modo in cui queste tecniche possono essere applicate.
Un tipico esempio è il Ping of Dead(ping letale), esso attaccava una debolezza del protocollo ICMP ,secondo le specifiche i messaggi echo ICMP devono avere solo 216 o 65536 byte di dati nel pacchetto, diversi sistemi operativi vengono messi fuori uso se ricevono pacchetti con dimensioni superiori.Si tratta di una tecnica molto semplice e quasi tutti i sistemi moderni sono stati protetti contro tale minaccia. Simile al Ping of Dead è il Teardrop che sfrutta una debolezza ,presente in diversi fornitori, nell'implementazione del riassemblaggio dei pacchetti frammentati.Questo attacco consiste nell' inviare pacchetti con offset sovrapposti che provoca il crash di sistemi in cui questa condizione anomala non è stata prevista. Alcuni attacchi DoS non puntano a provocare crash di sistema ma semplicemente a sovraccaricarlo in modo da impedire le risposte, questa tecnica è chiamata flooding, l' aggressore invia al sistema bersaglio molti pacchetti ping di grandi dimensioni cercando di esaurire l' ampiezza di banda della connessione.Si tratta di un attacco non molto astuto, in pratica è un braccio di ferro basato sull' ampiezza di banda, se un aggressore dispone di un'ampiezza di banda superiore può inviare più dati di quanto il sistema bersaglio possa processarne, impedendo in tal modo l'accesso al traffico legittimo.Una forma più astuta di implementare il flooding consiste nello sfruttare delle macchine host collegate in rete per moltiplicare l' invio di pacchetti verso il sistema bersaglio,per attuare tale tecnica le macchine host devono essere collegate in una rete che accetta indirizzi broadcast, quindi l'aggressore invia pacchetti ICMP camuffati di grandi dimensioni a tutti gli host, questi a loro volta risponderanno con messaggi echo ICMP verso l'IP del pacchetto camuffato,ovvero il sistema bersaglio.
Un ulteriore tipo di attacco flooding punta a esaurire gli stati nello stack TPC/IP, dato che TCP gestisce le connessioni deve essere in grado di risalire ad esse in qualsiasi momento, lo stack consente di fare questo ma il numero di connessioni che può tracciare NON è infinito.Quindi l'aggressore inonda il sistema bersaglio con pacchetti SYN con indirizzo di origine camuffato e inesistente, il sistema bersaglio risponderà inviando pacchetti SYN/ACK e attenderà la risposte ACK.Tutte queste connessioni semiaperte vengono inserite in una coda le cui dimensioni sono limitate, ad un certo punto lo stack sarà pieno e risulterà impossibile al sistema bersaglio ricevere pacchetti SYN reali.
Un tipico esempio è il Ping of Dead(ping letale), esso attaccava una debolezza del protocollo ICMP ,secondo le specifiche i messaggi echo ICMP devono avere solo 216 o 65536 byte di dati nel pacchetto, diversi sistemi operativi vengono messi fuori uso se ricevono pacchetti con dimensioni superiori.Si tratta di una tecnica molto semplice e quasi tutti i sistemi moderni sono stati protetti contro tale minaccia. Simile al Ping of Dead è il Teardrop che sfrutta una debolezza ,presente in diversi fornitori, nell'implementazione del riassemblaggio dei pacchetti frammentati.Questo attacco consiste nell' inviare pacchetti con offset sovrapposti che provoca il crash di sistemi in cui questa condizione anomala non è stata prevista. Alcuni attacchi DoS non puntano a provocare crash di sistema ma semplicemente a sovraccaricarlo in modo da impedire le risposte, questa tecnica è chiamata flooding, l' aggressore invia al sistema bersaglio molti pacchetti ping di grandi dimensioni cercando di esaurire l' ampiezza di banda della connessione.Si tratta di un attacco non molto astuto, in pratica è un braccio di ferro basato sull' ampiezza di banda, se un aggressore dispone di un'ampiezza di banda superiore può inviare più dati di quanto il sistema bersaglio possa processarne, impedendo in tal modo l'accesso al traffico legittimo.Una forma più astuta di implementare il flooding consiste nello sfruttare delle macchine host collegate in rete per moltiplicare l' invio di pacchetti verso il sistema bersaglio,per attuare tale tecnica le macchine host devono essere collegate in una rete che accetta indirizzi broadcast, quindi l'aggressore invia pacchetti ICMP camuffati di grandi dimensioni a tutti gli host, questi a loro volta risponderanno con messaggi echo ICMP verso l'IP del pacchetto camuffato,ovvero il sistema bersaglio.
Un ulteriore tipo di attacco flooding punta a esaurire gli stati nello stack TPC/IP, dato che TCP gestisce le connessioni deve essere in grado di risalire ad esse in qualsiasi momento, lo stack consente di fare questo ma il numero di connessioni che può tracciare NON è infinito.Quindi l'aggressore inonda il sistema bersaglio con pacchetti SYN con indirizzo di origine camuffato e inesistente, il sistema bersaglio risponderà inviando pacchetti SYN/ACK e attenderà la risposte ACK.Tutte queste connessioni semiaperte vengono inserite in una coda le cui dimensioni sono limitate, ad un certo punto lo stack sarà pieno e risulterà impossibile al sistema bersaglio ricevere pacchetti SYN reali.
Nessun commento:
Posta un commento