Универзитет Сингидунум
Факултет за информатику и рачунарство

Рачунарске мреже

Младен Веиновић, Александар Јевремовић

7.1.4. Напад ускраћивањем услуге


Онемогућавање услуге (енгл. Denial of Service, DoS) је тип напада усмерен ка комуникационој структури, односно, њеном капацитету (пропусној моћи). Циљ напада овог типа није да нападачу омогући приступ или контролу над удаљеним системом (или подацима) већ да заузимањем свих комуникационих капацитета онемогуће приступ систему од стране регуларних корисника.

Постоји више типова напада са циљем онемогућавања услуге. Најједноставнији типови напада овог типа се базирају слању што веће количине података жртви у што мањем временском периоду. Нешто напреднији тип напада је напад са модификованим пакетима мрежног нивоа. Пример оваквог типа напада је тзв. рефлектовани напад. Код овог типа напада нападач посреднику (који није компромитован – под нападачевом контролом) шаље пакете који захтевају одговор а код којих је за изворишна адреса (адреса нападача) замењена адресом жртве. Ово је уједно и најпримитивнији облик сакривања извора напада.


Слика 7.1.4.-1. Модел рефлектованог напада са циљем онемогућавања услуге

Један од најопаснијих типова напада са циљем онемогућавања услуге је дистрибуирани напад са циљем онемогућавања услуге (енгл. Distributed Denial of Service, DDoS). Главна карактеристика оваквих напада је то што нападач не зависи од капацитета сопствених комуникационих канала већ за напад може истовремено користити капацитете хиљада компромитованих посредника.


Слика 7.1.4.-2. Модел дистрибуираног напада са циљем онемогућавања услуге

Код овог типа напада самом нападу претходи процес компромитовања што већег броја посредника (који се понекад називају и „зомбијима“). За компромитовање посредника најчешће се користи малициозни софтвер. На компромитоване посреднике се инсталира софтвер за удаљену контролу који, када нападач добије адресу жртве, започиње слање података. Два значајна проблема при одбрани од овог типа напада су та што се јавља велико оптерећење комуникационих канала и што постоји велики број извора напада.

Средином 2008. године примећен је нови тип напада са циљем онемогућавања услуге. Овај напад није усмерен на загушивање комуникационог канала жртве већ на њен мрежни интерфејс. Редослед корака у извршавању овог типа напада је следећи:

  1. Кориснички програм на страни нападача са нивоа IP протокола шаље жртви IP датаграм са садржајем који је идентичан садржају TCP пакета за отварање сокета (иницирање везе).

  2. Нападнути рачунар након пријема датаграма прослеђује садржај транспортном нивоу - TCP протоколу – који отвара нови сокет сматрајући да се ради о регуларном захтеву.

  3. Процес се понавља док се комуникација са нападнутим рачунаром не онемогући превеликим бројем отворених сокета.

Напади са циљем онемогућавања услуге не представљају реткост на Интернет мрежи а готово да их нема у локалним мрежама. Претпоставља се чак и да је ово један од облика информационих ратова између земаља и великих привредних субјеката. На пример, по речима Хозеа Назариа, мрежна компанија Арбор Нетворкс из Лексингтона је 20. јула 2008. године приметила велику количину саобраћаја из Русије усмерену ка сајтовима грузијског парламента након чега су ти сервери искључени. Такође, оригиналан садржај сајта грузијског парламента на адресиhttp://mfa.gov.ge замењен је садржајем који су поставили руски хакери. Тачан идентитет нападача никада није утврђен.

Напади са циљем онемогућавања услуге могу проузроковати озбиљне проблеме корисницима који зависе од комуникационих канала високе пропусне моћи (Интернет провајдери, велики пословни субјекти, он-лајн пословања и сл.). Постоје различити начини одбране од оваквих напада (конфигурација рутера, алтернативни линкови итд.).

 
Internet marketing
Преузмите ПДФ целе књиге
Заштита у рачунарским мрежама
Овладајте Веб развојем и РНР програмирањем
Овладајте савременим базама података
Обратите се ауторима:
Ваша имејл адреса:
Ваше име:
Порука:
Безбедносни код:
Captcha
Research Gate
Слика [Chapter:Number]