„Szolgáltatásmegtagadással járó támadás” változatai közötti eltérés
[ellenőrzött változat] | [ellenőrzött változat] |
aNincs szerkesztési összefoglaló |
a nemz. kat. |
||
(47 közbenső módosítás, amit 31 másik szerkesztő végzett, nincs mutatva) | |||
1. sor: | 1. sor: | ||
{{korrektúra}}{{Gondok|nincs forrás=2022 áprilisából|tömörítendő=2022 áprilisából|lektor=2022 áprilisából}}{{redir2|DoS|A|DOS}} |
|||
{{korrektúra}} |
|||
⚫ | A '''szolgáltatásmegtagadással járó támadás''' ''(denial-of-service vagy DoS)'', más néven '''túlterheléses támadás''', illetve az '''elosztott szolgáltatásmegtagadással járó támadás''' ''(distributed denial-of-service, DDoS)'' [[informatika]]i szolgáltatás teljes vagy részleges megbénítása, helyes működési módjától való eltérítése. |
||
{{redir2|DoS|A|DOS}} |
|||
⚫ | A '''szolgáltatásmegtagadással járó támadás''' |
||
A |
A szolgáltatásmegtagadású támadás egy meghatározott rendszer ismert gyengeségeit, vagy valamilyen speciális protokoll tulajdonságait (gyengéit) támadja meg. Célja, hogy a felhasználók ne tudják elérni a számukra fontos információkat, a számítógépet vagy a számítógép hálózatot. A támadás hatására a rendszer nagyon lelassul, elérhetetlenné válik, esetleg össze is omolhat. |
||
== SYN flooding támadás == |
== SYN flooding támadás == |
||
[[Fájl:Tcp synflood.png|thumb|right|200px|SYN flooding támadás]] |
[[Fájl:Tcp synflood.png|thumb|right|200px|SYN flooding támadás]]{{Bővebben|SYN flood}} |
||
A SYN flooding támadás a [[Transmission Control Protocol|TCP protokoll]] három-utas |
A SYN flooding támadás a [[Transmission Control Protocol|TCP protokoll]] három-utas kézfogású üzenet visszaigazolási rendszerét használja ki. |
||
Mielőtt egy munkaállomás kapcsolódni akar egy [[szerver]]hez a |
Mielőtt egy munkaállomás kapcsolódni akar egy [[szerver]]hez, a szervernek azt egy [[port]]hoz kell kapcsolnia, és azt a portot ki kell nyitnia. Ezt a lépést passzív port nyitásnak hívjuk. Ha egyszer a passzív port nyitva van, a kliens kezdeményezheti egy aktív port nyitását. Ekkor a három-utas kézfogás folyamata zajlik le. |
||
# '''SYN''': Amikor a kliens egy SYN-t küld a szervernek, sor kerül az aktív port nyitásra. A kliens a szegmens sorszámát egy véletlen értékre ''A'' állítja. |
# '''SYN''': Amikor a kliens egy SYN-t ''(Synchronise, magyarul szinkronizálás)'' küld a szervernek, sor kerül az aktív port nyitásra. A kliens a szegmens sorszámát egy véletlen értékre (''A)'' állítja. |
||
# '''SYN-ACK''': A válaszában a szerver egy SYN-ACK küld. A nyugtázó szám értékét a kapott sorszám értéke plusz 1 |
# '''SYN-ACK''': A válaszában a szerver egy SYN-ACK ''(Synchronise acknowledgement, magyarul szinkronizálás elismerése)'' jelzést küld. A nyugtázó szám értékét a kapott sorszám értéke plusz 1-re állítja ''(A+1),'' a csomag sorszámaként pedig egy másik véletlen számot választ ki (''B)''. |
||
# '''ACK''': Végül a kliens egy ACK- |
# '''ACK''': Végül a kliens egy ACK-ot ''(Acknoweldge, magyarul elismerés)'' küld a szervernek. A sorozatszám a kapott nyugtázó érték lesz ''(A+1),'' és a kliens által küldött érték a szervertől kapott sorozatszám plusz 1. ''(B+1)'' |
||
Ekkor mind a kliens, mind a szerver megkapja a kapcsolatfelvétel nyugtáját. |
Ekkor mind a kliens, mind a szerver megkapja a kapcsolatfelvétel nyugtáját. |
||
A SYN flooding támadás esetén a támadó egy hamis IP |
A SYN flooding támadás esetén a támadó egy hamis IP-címről küldi el a SYN üzenetet, amit a szerver megfelelő módon fogad és a hamis IP-címre visszaküldi a SYN-ACK üzenetet. Ezután várja a kliens ACK nyugtáját, ezt azonban a hamis IP-címről soha nem kapja meg. Természetesen egy meghatározott időtúllépést követően eldobja a kapcsolatot, azonban sok hamis SYN üzenet esetén a felesleges várakozási idők a szabályos kapcsolatok fogadását is nagyon lelassítják, súlyos esetben lehetetlenné teszik. |
||
== POD (Ping of death) támadás == |
== POD (Ping of death) támadás == |
||
A |
A POD támadás lényege, hogy a támadó egy legalább 64 kilobyte méretű ICMP ping csomagot ''(Internet Control Message Protocol ping packet)'' küld a megtámadott gépre. Az [[RFC:791|RFC 791]] szabvány szerint egy IPv4 csomag maximális mérete, beleértve az IP headert is, 65 535 (2<sup>16</sup> – 1) byte, ez a korlátozás a teljes csomaghosszat leíró 16 bit széles header mezőnek a méretéből következik. |
||
Egy ilyen indokolatlanul nagy ping csomagot a legtöbb rendszer képtelen kezelni |
Egy ilyen indokolatlanul nagy ping csomagot a legtöbb rendszer képtelen kezelni, ezért ez képes komolyan megakasztani a gép működését (szaggató [[Egér (számítástechnika)|egér]], akadozó műveletek), vagy – rosszabb esetben – akár teljesen össze is omlaszthatja, például [[Windows]] esetén [[kék halál]]t, vagy [[Unix]]/[[Linux]]/[[BSD]] esetén [[kernelpánik]]ot okozhat. |
||
Barátságos környezetben célszerű a pingelésre válaszolni. Ellenséges környezetben a fontosabb gépek jobban teszik, ha pingelésre nem reagálnak, és általánosságban is csak a tényleges alapfeladatukat végzik, hisz |
Barátságos környezetben célszerű a pingelésre válaszolni. Ellenséges környezetben a fontosabb gépek jobban teszik, ha pingelésre nem reagálnak, és általánosságban is csak a tényleges alapfeladatukat végzik, hisz semelyik internetes kapcsolat indítványozásra sem kötelező reagálni. [[Unix]]/[[Linux]]/[[BSD]] esetén már az ezredforduló óta, óvatos rendszergazdai rutinnak számít a rendszer tűzfalát ezen morcosan tartózkodó szellemben konfigurálni. Az eredmény, hogy az így konfigurált szerverek sikeres támadása sokkal nehezebb. |
||
== DoS / DDoS == |
== DoS / DDoS == |
||
33. sor: | 32. sor: | ||
=== A támadás menete === |
=== A támadás menete === |
||
A „zombi” gépek távolról vezérelhetőek egy „mester” gépről (a támadó gépéről). Ha elég gépet fertőzött meg a támadóprogrammal a „mester” állomás jelt ad a „zombiknak”, hogy kezdjék meg a támadást a kiszemelt célpont vagy célpontok ellen. Ekkor az összes „zombi” egyszerre elindítja a támadást, és bár egyenként kis mennyiségű adattal dolgoznak, mégis több száz, vagy akár százezer támadó gép esetén a sok kis adatcsomag eredménye hatalmas adatáramlás, mely a megtámadott gép ellen irányul. |
A „zombi” gépek távolról vezérelhetőek egy „mester” gépről (a támadó gépéről). Ha már elég gépet fertőzött meg a támadóprogrammal, a „mester” állomás jelt ad a „zombiknak”, hogy kezdjék meg a támadást a kiszemelt célpont vagy célpontok ellen. Ekkor az összes „zombi” egyszerre elindítja a támadást, és bár egyenként kis mennyiségű adattal dolgoznak, mégis több száz, vagy akár százezer támadó gép esetén a sok kis adatcsomag eredménye hatalmas adatáramlás, mely a megtámadott gép ellen irányul. |
||
=== Ismert |
=== Ismert DoS programok === |
||
Ismert |
Ismert DoS programok például a Trin00,<ref>{{Cite web |url=http://www.iss.net/security_center/reference/vuln/TrinooDaemon.htm# |title=Trin00 DDoS tool - Daemon activity |accessdate=2012-03-13 |archiveurl=https://web.archive.org/web/20120304134232/http://www.iss.net/security_center/reference/vuln/TrinooDaemon.htm# |archivedate=2012-03-04 }}</ref> a TFN, TFN2K és a Stacheldrath. |
||
Az Anonymous akciókhoz LOIC ([[Low Orbit Ion Cannon]]) programot, és HOIC ([[High Orbit Ion Cannon]]) programot használnak. |
|||
'''Ismert DDoS programok''' |
|||
Ismert DDoS programok például a DDoser 3.4, IPKiller v2.3., [[Low Orbit Ion Cannon|LOIC]] |
|||
=== Története === |
=== Története === |
||
Az első DDoS támadás [[1999]]-ben jelent meg, csupán 3 évvel a ''[[SYN |
Az első DDoS támadás [[1999]]-ben jelent meg{{Forráskérő}}, csupán 3 évvel a ''[[SYN flood]]''-ot használó DoS támadások után. [[2000]] februárjának elején olyan népszerű internetes oldalakat tettek elérhetetlenné ilyen támadással, mint az [[Amazon.com|Amazon]], [[CNN]], [[eBay]], és a [[Yahoo]]!{{Forráskérő}} 2002-ben a 13 root [[Domain Name System|DNS]]-ből 9-et tettek elérhetetlenné masszív, irányított DDoS támadással, melynek folyamán ezen szerverek némelyike 150 ezer [[ICMP]] kérést fogadott másodpercenként{{Forráskérő}}, azonban mivel az akció alig fél óráig tartott, az internet nem bénult meg nagy mértékben. |
||
A történelem egyik legnagyobb DDoS támadását a [[Mydoom]] nevű féregvírus okozta, mely 2004. január végén terjedt el néhány nap alatt megfertőzve a világ internetre kötött számítógépeinek csaknem 20%-át (a [[Windows]] rendszert használó gépek jelentős részét), és február elején elérhetetlenné tette az [[SCO]] weboldalát, mivel kb. 25-30 ezer fertőzött zombi-gép támadta a cég szervereit. A vírus B. variánsa a [[Microsoft]]ot vette célba, az azonban kiállta a támadást. 2004 júniusában megjelent az F variáns, amely a [[RIAA]] (az amerikai kép- és hanganyagok jogdíjaival foglalkozó társaság) számítógépeit támadta. |
A történelem egyik legnagyobb DDoS támadását a [[Mydoom]] nevű féregvírus okozta, mely 2004. január végén terjedt el néhány nap alatt megfertőzve a világ internetre kötött számítógépeinek csaknem 20%-át (a [[Windows]] rendszert használó gépek jelentős részét), és február elején elérhetetlenné tette az [[SCO]] weboldalát, mivel kb. 25-30 ezer fertőzött zombi-gép támadta a cég szervereit. A vírus B. variánsa a [[Microsoft]]ot vette célba, az azonban kiállta a támadást. 2004 júniusában megjelent az F variáns, amely a [[Amerikai Hanglemezgyártók Szövetsége|RIAA]] (az amerikai kép- és hanganyagok jogdíjaival foglalkozó társaság) számítógépeit támadta. |
||
2009 augusztusában egy grúz szolgáltató ellen volt DDoS támadás. A vélhetőleg orosz titkos ügynökök a [[Twitter]]t tették 3 és fél órára elérhetetlenné. A támadók a következő oldalakat akarták még megtámadni: [[Facebook]] (épphogy elbírta.), [[ |
2009 augusztusában egy grúz szolgáltató ellen volt DDoS támadás. A vélhetőleg orosz titkos ügynökök a [[Twitter]]t tették 3 és fél órára elérhetetlenné. A támadók a következő oldalakat akarták még megtámadni: [[Facebook]] (épphogy elbírta.), [[YouTube]], [[Gmail]].<ref>[http://webisztan.blog.hu/2009/08/06/megint_a_regi_szep_idok_twitter_is_down DoS-támadás a Twitter ellen]</ref> |
||
2013.05.07-től elérhetetlenné tette a Battlelogot és a Battlefield 3 című játék összes szerverét, melyet azóta már orvosoltak. |
|||
== Organikus DDoS == |
|||
Az '''organikus DDoS''' akkor alakul ki, ha egy [[weblap]] iránt nagy az érdeklődés, ám az a megnövekedett érdeklődést lassan szolgálja ki. Ennek hatására az érdeklődő felhasználók tömege a lassulást érezve újra és újra megpróbálják az adott weboldalt elérni, ezzel tovább terhelve az oldalt, ami egy idő után nem bírja tovább, és leáll. |
|||
[[Frész Ferenc]] szerint: „Ebben az állapotában, hogyha elkezd túlterhelődni, kiesik, akkor kvázi azok a felhasználók, akik nem érik el, megpróbálják újra és újra elérni, tehát kialakul egy ilyen organikus DDoS. Kvázi olyan, mintha egy szolgáltatásmegtagadással járó támadás érné a rendszert, de ez nem támadás volt, hanem önmagától az érdeklődéstől megtöbbszöröződik ilyenkor a terhelés.”<ref>{{Cite news|title=A választási iroda honlapját még mindig nem állították helyre|url=https://hirtv.hu/ahirtvhirei/a-valasztasi-iroda-honlapjat-meg-mindig-nem-allitottak-helyre-2459411|work=Hír TV|date=2018-04-11|accessdate=2018-05-09|language=hu}}</ref> |
|||
== A DDoS ellenszerei == |
== A DDoS ellenszerei == |
||
=== Hozzáférés-ellenőrzési lista és/vagy tűzfalak === |
=== Hozzáférés-ellenőrzési lista és/vagy tűzfalak === |
||
A |
A router fő funkciója a csomagok irányítása. Kiegészítő funkciója, hogy információt szolgáltasson a netflow-ról az elszámoláshoz és a hálózati diagnosztikához. A netflow információt visszaélés- és ritkaesemény-figyelő eszközök használják fel, amelyek fel tudják fedezni a szokatlan hálózat-használatot, így jelezni tudnak egy lehetséges DDoS támadást. |
||
Egy DDoS támadás alatt, ha a támadót azonosították, a hálózat operátorai fel tudják számolni a támadást manuális „null routing”-gal, vagyis kiejtik a támadó forgalmat, a támadó hostot, vagy tartományt. |
Egy DDoS támadás alatt, ha a támadót azonosították, a hálózat operátorai fel tudják számolni a támadást manuális „null routing”-gal, vagyis kiejtik a támadó forgalmat, a támadó hostot, vagy tartományt. |
||
60. sor: | 71. sor: | ||
== Jegyzetek == |
== Jegyzetek == |
||
{{ |
{{jegyzetek}} |
||
== Források == |
== Források == |
||
* RFC 4732 Internet Denial-of-Service Considerations |
* [[RFC:4732|RFC 4732]] Internet Denial-of-Service Considerations |
||
* [http://www.w3.org/Security/Faq/wwwsf6.html W3C The World Wide Web Security FAQ] |
* [http://www.w3.org/Security/Faq/wwwsf6.html W3C The World Wide Web Security FAQ] |
||
* http://www.pcguru.hu/hirek/megtamadtak-a-battlefield-3-szervereit/22884 |
|||
{{Nemzetközi katalógusok}} |
|||
{{Portál|Informatika|i }} |
|||
[[Kategória:Informatikai biztonság]] |
[[Kategória:Informatikai biztonság]] |
A lap jelenlegi, 2024. június 24., 18:43-kori változata
Ezt a szócikket át kellene olvasni, ellenőrizni a szöveg helyesírását és nyelvhelyességét, a tulajdonnevek átírását. Esetleges további megjegyzések a vitalapon. |
Ezzel a szócikkel vagy szakasszal kapcsolatban felmerült kifogás(ok):
|
A szolgáltatásmegtagadással járó támadás (denial-of-service vagy DoS), más néven túlterheléses támadás, illetve az elosztott szolgáltatásmegtagadással járó támadás (distributed denial-of-service, DDoS) informatikai szolgáltatás teljes vagy részleges megbénítása, helyes működési módjától való eltérítése.
A szolgáltatásmegtagadású támadás egy meghatározott rendszer ismert gyengeségeit, vagy valamilyen speciális protokoll tulajdonságait (gyengéit) támadja meg. Célja, hogy a felhasználók ne tudják elérni a számukra fontos információkat, a számítógépet vagy a számítógép hálózatot. A támadás hatására a rendszer nagyon lelassul, elérhetetlenné válik, esetleg össze is omolhat.
SYN flooding támadás
[szerkesztés]A SYN flooding támadás a TCP protokoll három-utas kézfogású üzenet visszaigazolási rendszerét használja ki. Mielőtt egy munkaállomás kapcsolódni akar egy szerverhez, a szervernek azt egy porthoz kell kapcsolnia, és azt a portot ki kell nyitnia. Ezt a lépést passzív port nyitásnak hívjuk. Ha egyszer a passzív port nyitva van, a kliens kezdeményezheti egy aktív port nyitását. Ekkor a három-utas kézfogás folyamata zajlik le.
- SYN: Amikor a kliens egy SYN-t (Synchronise, magyarul szinkronizálás) küld a szervernek, sor kerül az aktív port nyitásra. A kliens a szegmens sorszámát egy véletlen értékre (A) állítja.
- SYN-ACK: A válaszában a szerver egy SYN-ACK (Synchronise acknowledgement, magyarul szinkronizálás elismerése) jelzést küld. A nyugtázó szám értékét a kapott sorszám értéke plusz 1-re állítja (A+1), a csomag sorszámaként pedig egy másik véletlen számot választ ki (B).
- ACK: Végül a kliens egy ACK-ot (Acknoweldge, magyarul elismerés) küld a szervernek. A sorozatszám a kapott nyugtázó érték lesz (A+1), és a kliens által küldött érték a szervertől kapott sorozatszám plusz 1. (B+1)
Ekkor mind a kliens, mind a szerver megkapja a kapcsolatfelvétel nyugtáját.
A SYN flooding támadás esetén a támadó egy hamis IP-címről küldi el a SYN üzenetet, amit a szerver megfelelő módon fogad és a hamis IP-címre visszaküldi a SYN-ACK üzenetet. Ezután várja a kliens ACK nyugtáját, ezt azonban a hamis IP-címről soha nem kapja meg. Természetesen egy meghatározott időtúllépést követően eldobja a kapcsolatot, azonban sok hamis SYN üzenet esetén a felesleges várakozási idők a szabályos kapcsolatok fogadását is nagyon lelassítják, súlyos esetben lehetetlenné teszik.
POD (Ping of death) támadás
[szerkesztés]A POD támadás lényege, hogy a támadó egy legalább 64 kilobyte méretű ICMP ping csomagot (Internet Control Message Protocol ping packet) küld a megtámadott gépre. Az RFC 791 szabvány szerint egy IPv4 csomag maximális mérete, beleértve az IP headert is, 65 535 (216 – 1) byte, ez a korlátozás a teljes csomaghosszat leíró 16 bit széles header mezőnek a méretéből következik.
Egy ilyen indokolatlanul nagy ping csomagot a legtöbb rendszer képtelen kezelni, ezért ez képes komolyan megakasztani a gép működését (szaggató egér, akadozó műveletek), vagy – rosszabb esetben – akár teljesen össze is omlaszthatja, például Windows esetén kék halált, vagy Unix/Linux/BSD esetén kernelpánikot okozhat.
Barátságos környezetben célszerű a pingelésre válaszolni. Ellenséges környezetben a fontosabb gépek jobban teszik, ha pingelésre nem reagálnak, és általánosságban is csak a tényleges alapfeladatukat végzik, hisz semelyik internetes kapcsolat indítványozásra sem kötelező reagálni. Unix/Linux/BSD esetén már az ezredforduló óta, óvatos rendszergazdai rutinnak számít a rendszer tűzfalát ezen morcosan tartózkodó szellemben konfigurálni. Az eredmény, hogy az így konfigurált szerverek sikeres támadása sokkal nehezebb.
DoS / DDoS
[szerkesztés]Az egyszerű DoS támadás egy-az-egy-ellen támadás, ahol egy nagyon erős „támadó” állomás és a célállomás van kapcsolatban, nincsenek közbeiktatott gépek. A DDoS támadások egy összetettebb fajtája, amely a támadón és támadotton kívüli számítógépekben rejlő „erőt”, illetve a külső számítógépek nagy mennyiségét hasznosítja a támadáshoz.
A DDoS támadóállomások keletkezése
[szerkesztés]- Egy automatizált eszköz (alkalmazás) felkutatja az internetre kapcsolódó, sebezhető számítógépeket. Amikor talál egyet, és képes megfertőzni azt, feltelepít egy rejtett támadóprogramot, amitől a megtámadott gép „zombivá” alakul (az elnevezés utal az akarat és értelem nélküli élőhalottakra, akik külső utasításra támadnak).
- Másik lehetőség, hogy a rejtett program telepítése számítógépes vírusokkal vagy trójai programokkal történik.
A támadás menete
[szerkesztés]A „zombi” gépek távolról vezérelhetőek egy „mester” gépről (a támadó gépéről). Ha már elég gépet fertőzött meg a támadóprogrammal, a „mester” állomás jelt ad a „zombiknak”, hogy kezdjék meg a támadást a kiszemelt célpont vagy célpontok ellen. Ekkor az összes „zombi” egyszerre elindítja a támadást, és bár egyenként kis mennyiségű adattal dolgoznak, mégis több száz, vagy akár százezer támadó gép esetén a sok kis adatcsomag eredménye hatalmas adatáramlás, mely a megtámadott gép ellen irányul.
Ismert DoS programok
[szerkesztés]Ismert DoS programok például a Trin00,[1] a TFN, TFN2K és a Stacheldrath.
Az Anonymous akciókhoz LOIC (Low Orbit Ion Cannon) programot, és HOIC (High Orbit Ion Cannon) programot használnak.
Ismert DDoS programok
Ismert DDoS programok például a DDoser 3.4, IPKiller v2.3., LOIC
Története
[szerkesztés]Az első DDoS támadás 1999-ben jelent meg[forrás?], csupán 3 évvel a SYN flood-ot használó DoS támadások után. 2000 februárjának elején olyan népszerű internetes oldalakat tettek elérhetetlenné ilyen támadással, mint az Amazon, CNN, eBay, és a Yahoo![forrás?] 2002-ben a 13 root DNS-ből 9-et tettek elérhetetlenné masszív, irányított DDoS támadással, melynek folyamán ezen szerverek némelyike 150 ezer ICMP kérést fogadott másodpercenként[forrás?], azonban mivel az akció alig fél óráig tartott, az internet nem bénult meg nagy mértékben.
A történelem egyik legnagyobb DDoS támadását a Mydoom nevű féregvírus okozta, mely 2004. január végén terjedt el néhány nap alatt megfertőzve a világ internetre kötött számítógépeinek csaknem 20%-át (a Windows rendszert használó gépek jelentős részét), és február elején elérhetetlenné tette az SCO weboldalát, mivel kb. 25-30 ezer fertőzött zombi-gép támadta a cég szervereit. A vírus B. variánsa a Microsoftot vette célba, az azonban kiállta a támadást. 2004 júniusában megjelent az F variáns, amely a RIAA (az amerikai kép- és hanganyagok jogdíjaival foglalkozó társaság) számítógépeit támadta.
2009 augusztusában egy grúz szolgáltató ellen volt DDoS támadás. A vélhetőleg orosz titkos ügynökök a Twittert tették 3 és fél órára elérhetetlenné. A támadók a következő oldalakat akarták még megtámadni: Facebook (épphogy elbírta.), YouTube, Gmail.[2] 2013.05.07-től elérhetetlenné tette a Battlelogot és a Battlefield 3 című játék összes szerverét, melyet azóta már orvosoltak.
Organikus DDoS
[szerkesztés]Az organikus DDoS akkor alakul ki, ha egy weblap iránt nagy az érdeklődés, ám az a megnövekedett érdeklődést lassan szolgálja ki. Ennek hatására az érdeklődő felhasználók tömege a lassulást érezve újra és újra megpróbálják az adott weboldalt elérni, ezzel tovább terhelve az oldalt, ami egy idő után nem bírja tovább, és leáll.
Frész Ferenc szerint: „Ebben az állapotában, hogyha elkezd túlterhelődni, kiesik, akkor kvázi azok a felhasználók, akik nem érik el, megpróbálják újra és újra elérni, tehát kialakul egy ilyen organikus DDoS. Kvázi olyan, mintha egy szolgáltatásmegtagadással járó támadás érné a rendszert, de ez nem támadás volt, hanem önmagától az érdeklődéstől megtöbbszöröződik ilyenkor a terhelés.”[3]
A DDoS ellenszerei
[szerkesztés]Hozzáférés-ellenőrzési lista és/vagy tűzfalak
[szerkesztés]A router fő funkciója a csomagok irányítása. Kiegészítő funkciója, hogy információt szolgáltasson a netflow-ról az elszámoláshoz és a hálózati diagnosztikához. A netflow információt visszaélés- és ritkaesemény-figyelő eszközök használják fel, amelyek fel tudják fedezni a szokatlan hálózat-használatot, így jelezni tudnak egy lehetséges DDoS támadást. Egy DDoS támadás alatt, ha a támadót azonosították, a hálózat operátorai fel tudják számolni a támadást manuális „null routing”-gal, vagyis kiejtik a támadó forgalmat, a támadó hostot, vagy tartományt.
Szabályok sorát kezelik, amelyek részletezik a korlátozásokat minden egyes hálózati hosztra és eszközre. Korlátozza a ki- és bemenő forgalmat egy hoszton, hacsak nem engedélyezett és ismert szolgáltatásról van szó. Be lehet állítani, hogy mind a bejövő, mind a kimenő forgalmat ellenőrizze. Ha a DDoS támadót azonosították, a hálózat operátorai véget tudnak vetni a támadásnak azzal, hogy manuálisan megváltoztatják az ACL vagy Tűzfal felületét, a támadó hosztot vagy domaint.
Mélyreható csomagvizsgálatot alkalmaz, így vizsgálja át a csomagokat vírusok, trójaiak és más támadó alkalmazások után kutatva. A mélyreható csomagvizsgálat technikáját alkalmazzák a DDoS támadások elleni védelemre, de minden csomagot valós időben kell átvizsgálni.
Jegyzetek
[szerkesztés]- ↑ Trin00 DDoS tool - Daemon activity. [2012. március 4-i dátummal az eredetiből archiválva]. (Hozzáférés: 2012. március 13.)
- ↑ DoS-támadás a Twitter ellen
- ↑ „A választási iroda honlapját még mindig nem állították helyre”, Hír TV, 2018. április 11. (Hozzáférés: 2018. május 9.) (magyar nyelvű)
Források
[szerkesztés]- RFC 4732 Internet Denial-of-Service Considerations
- W3C The World Wide Web Security FAQ
- http://www.pcguru.hu/hirek/megtamadtak-a-battlefield-3-szervereit/22884