Denial-of-Service-Angriff

Diagramm eines DDOS -Angriffs. Beachten Sie, wie mehrere Computer einen einzelnen Computer angreifen.

Im Computer, a Denial-of-Service-Angriff (DoS Angriff) ist ein Cyber ​​Attacke in dem der Täter versucht, eine Maschine oder eine Netzwerkressource für seine beabsichtigten zu gestalten Benutzer durch vorübergehend oder unendlich störende Störung Dienstleistungen von a Gastgeber verbunden mit a Netzwerk. Die Verweigerung des Dienstes wird in der Regel durch Überschwemmung der gezielten Maschine oder Ressource mit überflüssigen Anfragen erreicht, um Systeme zu überlasten und einige oder alle legitimen Anfragen zu verhindern.[1]

In einem Verteilte Denial-of-Service-Angriff (DDOS -Angriff), der eingehende Verkehr, der das Opfer überflutet, stammt aus vielen verschiedenen Quellen. Es sind ausgefeiltere Strategien erforderlich, um diese Art von Angriff zu mildern, da der Versuch, eine einzige Quelle zu blockieren, nicht ausreicht, da mehrere Quellen vorhanden sind.[2]

Ein DOS- oder DDOS -Angriff ist analog zu einer Gruppe von Menschen, die sich in der Eingangstür eines Geschäfts drängen, was es für legitime Kunden schwierig macht, einzusteigen und so den Handel zu stören.

Kriminelle Täter von DOS-Angriffen zielen häufig auf Standorte oder Dienstleistungen, die auf hochkarätigem Profil veranstaltet werden Webserver wie Banken oder Kreditkarte Zahlungsgateways. Rache, Bestechung[3][4][5] und Aktivismus[6] kann diese Angriffe motivieren.

Geschichte

PanixDas drittälteste ISP der Welt war das Ziel dessen, was als erster DOS-Angriff angesehen wird. Am 6. September 1996 war Panix a unterworfen Syn -Flut Angriff, der seine Dienste für mehrere Tage senkte, während Hardware -Anbieter, insbesondere Cisco, eine ordnungsgemäße Verteidigung herausfanden.[7]

Eine weitere frühe Demonstration des DOS -Angriffs wurde von Khan C. Smith im Jahr 1997 während a Def con Ereignis, Störung des Internetzugangs auf die Las Vegas Strip seit über einer Stunde. Die Veröffentlichung von Beispielcode während des Ereignisses führte zum Online -Angriff von Sprint, ERDLINK, E-Tradeund andere große Unternehmen im Jahr zu folgen.[8]

Im September 2017, Google Cloud erlebte einen Angriff mit einem Peakvolumen von 2,54 Terabit pro Sekunde.[9] Am 5. März 2018, ein unbenannter Kunde des US-amerikanischen Dienstleisters Arbor -Netzwerke Fiel Opfer der größten DDOs bis zu diesem Datum und erreichte einen Höhepunkt von etwa 1,7 Terabit pro Sekunde.[10] Der vorherige Rekord war einige Tage zuvor am 1. März 2018 aufgestellt worden, als Github von einem Angriff von 1,35 Terabit pro Sekunde getroffen wurde.[11]

Im Februar 2020,, Amazon Web Services erlebte einen Angriff mit einem Peakvolumen von 2,3 Terabit pro Sekunde.[12][13] Im Juli 2021 hat der CDN -Provider Cloudflare seinen Kunden vor einem DDOS -Angriff eines globalen Mirai -Botnetzes mit bis zu 17,2 Millionen Anfragen pro Sekunde geschützt.[14] Der russische DDOS -Präventionsanbieter Yandex sagte, er habe am 5. September einen HTTP -Pipelining -DDOS -Angriff blockiert, der aus unpatched Mikrotik -Netzwerkausrüstung stammt.[15]

Typen

Die Denial-of-Service-Angriffe sind durch einen expliziten Versuch von Angreifern gekennzeichnet, die legitime Nutzung eines Dienstes zu verhindern. Es gibt zwei allgemeine Formen von DOS -Angriffen: diejenigen, die Crash -Dienste und diejenigen, die überflutet werden. Die schwerwiegendsten Angriffe werden verteilt.[16]

Verteilte dos

Ein DDOS-Angriff (verteilter Denial-of-Service) tritt auf, wenn mehrere Systeme die Bandbreite oder die Ressourcen eines gezielten Systems, normalerweise ein oder mehrere Webserver, überfluten.[16] Ein DDOS -Angriff verwendet mehr als einen einzigartigen IP Adresse oder Maschinen, oft von Tausenden von Wirten, die mit Malware infiziert sind.[17][18] Eine verteilte Denial -of -Service -Angriffsanschlag umfasst in der Regel mehr als rund 3–5 Knoten in verschiedenen Netzwerken. Weniger Knoten können sich als DOS -Angriff qualifizieren, ist jedoch kein DDOS -Angriff.[19][20]

Mehrere Maschinen können mehr Angriffsverkehr als eine Maschine erzeugen, mehrere Angriffsmaschinen sind schwieriger auszuschalten als eine Angriffsmaschine, und das Verhalten jeder Angriffsmaschine kann heimlich sein, was es schwieriger macht, nachzuverfolgen und zu stilllingen. Da der eingehende Verkehr, der das Opfer überflutet, aus verschiedenen Quellen stammt, kann es unmöglich sein, den Angriff einfach durch Verwendung zu stoppen Eindringenfilterung. Es macht es auch schwierig, den legitimen Benutzerverkehr vom Angriffsverkehr zu unterscheiden, wenn sie über mehrere Herkunftspunkte verteilt sind. Als Alternative oder Erweiterung eines DDOS können Angriffe die Schmieden von IP -Absenderadressen beinhalten (Adressen des IP -Absenders (IP -Adresse Spoofing) Weitere erschweren die Identifizierung und Besiegung des Angriffs. Diese Angreifervorteile verursachen Herausforderungen für Abwehrmechanismen. Zum Beispiel kann der bloße Kauf der eingehenderen Bandbreite als das aktuelle Volumen des Angriffs möglicherweise nicht helfen, da der Angreifer möglicherweise einfach mehr Angriffsmaschinen hinzufügen kann.

Das Ausmaß der DDOS -Angriffe ist in den letzten Jahren weiter gestiegen, bis 2016 über ein A. Terabit pro Sekunde.[21][22] Einige häufige Beispiele für DDOS -Angriffe sind UDP -Überschwemmung, Syn -Überschwemmung und DNS -Verstärkung.[23][24]

Jo-Jo-Angriff

A Yo-yo Angriff ist eine bestimmte Art von DOS/DDOs, die auf wolken gehostete Anwendungen abzielen, die verwendet werden Autoscaling.[25][26][27] Der Angreifer generiert eine Flut des Verkehrs, bis ein Wolkenhost nach außen skaliert werden, um die Verkehrszunahme zu bewältigen, und dann den Angriff annimmt und das Opfer mit überregierten Ressourcen zurücklässt. Wenn sich das Opfer wieder skaliert, wird der Angriff fortgesetzt, was dazu führt, dass die Ressourcen wieder auftreten. Dies kann zu einer verringerten Servicequalität in den Zeiten der Skalierung auf und ab und zu einem finanziellen Abfluss der Ressourcen in Zeiträumen über die Provisionierung führen, während sie mit geringeren Kosten für einen Angreifer im Vergleich zu einem normalen DDOS-Angriff operieren, da es nur benötigt wird Verkehr für einen Teil der Angriffszeit zu erzeugen.

Anwendungsschichtangriffe

Ein Anwendungsschicht DDOS -Angriff (manchmal bezeichnet als als Schicht 7 DDOS -Angriff) ist eine Form von DDOs -Angriff Anwendungsschicht Prozesse.[28][19] Der Angriff übertrifft über bestimmte Funktionen oder Funktionen einer Website mit der Absicht, diese Funktionen oder Funktionen zu deaktivieren. Dieser Anwendungsschichtangriff unterscheidet sich von einem gesamten Netzwerkangriff und wird häufig gegen Finanzinstitute verwendet, um sie und das Sicherheitspersonal von Sicherheitsverletzungen abzulenken.[29] Im Jahr 2013 machten DDOS-Angriffe für Anwendungsschichten 20% aller DDOS-Angriffe aus.[30] Nach Forschung von Akamai TechnologiesEs gab "51 Prozent mehr Anwendungsschichtangriffe" von dem vierten Quartal 2013 bis zum vierten Quartal 2014 und "16 Prozent mehr" von dem vierten Quartal 2014 bis zum vierten Quartal 2014.[31] Im November 2017; Junade Ali, ein Ingenieur bei Wolkenflare stellte fest, dass Angriffe auf Netzwerkebene weiterhin von hoher Kapazität ausgestattet sind, sie jedoch seltener auftraten. Ali stellte ferner fest, dass, obwohl Angriffe auf Netzwerkebene immer weniger häufig waren, Daten aus CloudFlare zeigten, dass Angriffe für Anwendungsschichten immer noch keine Anzeichen einer Verlangsamung zeigten.[32] Im Dezember 2021 folgt dem der Log4shell Sicherheitsanfälligkeit, eine zweite Verwundbarkeit in der Open Source Log4j Die Bibliothek wurde entdeckt, was zu DDOS -Angriffen der Anwendungsschicht führen konnte.[33]

Anwendungsschicht

Das OSI -Modell (ISO/IEC 7498-1) ist ein konzeptionelles Modell, das die internen Funktionen eines Kommunikationssystems charakterisiert und standardisiert Abstraktionsschichten. Das Modell ist ein Produkt des Open Systems Interconnection Project am Internationale Standardisierungsorganisation (ISO). Die Modell gruppiert ähnliche Kommunikationsfunktionen in einer von sieben logischen Schichten. Eine Schicht serviert die Schicht darüber und wird von der Schicht darunter serviert. Beispielsweise bietet eine Ebene, die fehlerfreie Kommunikation in einem Netzwerk bietet, den Kommunikationspfad, der von Anwendungen darüber benötigt wird, während sie die nächste niedrigere Ebene zum Senden und Empfangen von Paketen, die diesen Pfad durchqueren, aufgerufen.

Im OSI -Modell die Definition seiner Anwendungsschicht ist schmaler im Bereich als oft implementiert. Das OSI -Modell definiert die Anwendungsschicht als Benutzeroberfläche. Die OSI-Anwendungsschicht ist für die Anzeige von Daten und Bildern an den Benutzer in einem menschlichen Anerkennungsformat und zur Schnittstelle mit dem verantwortlich Präsentationsfolie darunter. In einer Implementierung werden häufig die Anwendungs- und Präsentationsebenen kombiniert.

Angriffsmethode

Der einfachste DOS -Angriff basiert hauptsächlich auf brutaler Gewalt, überflutet das Ziel mit einem überwältigenden Fluss von Paketen, übersättigte seine Verbindungsbandbreite oder die Verschiebung der Systemressourcen des Ziels. Die sättigenden Überschwemmungen der Bandbreite beruhen auf der Fähigkeit des Angreifers, den überwältigenden Fluss von Paketen zu erzeugen. Ein gemeinsamer Weg, dies heute zu erreichen Botnetz.

Ein Anwendungsschicht -DDOS -Angriff erfolgt hauptsächlich für bestimmte gezielte Zwecke, einschließlich Störungen und Zugriff auf Datenbanken. Es erfordert weniger Ressourcen als Netzwerkschichtangriffe, begleitet sie jedoch häufig.[34] Ein Angriff kann getarnt werden, um wie legitimen Verkehr auszusehen, außer dass er bestimmte Anwendungspakete oder Funktionen abzielt. Der Angriff auf die Anwendungsebene kann Dienste wie das Abrufen von Informationen oder Suchfunktionen auf einer Website stören.[30]

Fortgeschrittene persistente dos

Ein Fortgeschrittene persistente dos (APDOS) ist mit einem verbunden fortgeschrittene anhaltende Bedrohung und erfordert spezialisiert DDOS -Minderung.[35] Diese Angriffe können wochenlang bestehen bleiben; Die längste ununterbrochene Periode dauerte bisher 38 Tage. Dieser Angriff umfasste ungefähr 50 Petabit (über 50.000 Terabit) böswilliger Verkehr.[36]

Angreifer in diesem Szenario können taktisch zwischen mehreren Zielen wechseln, um eine Ablenkung zu schaffen, um defensive DDOs -Gegenmaßnahmen zu entgehen, aber während sich schließlich den Hauptschub des Angriffs auf ein einziges Opfer konzentrieren. In diesem Szenario können Angreifer mit kontinuierlichem Zugang zu mehreren sehr leistungsstarken Netzwerkressourcen eine längere Kampagne aufrechterhalten, die ein enormes Maß an nicht amplifiziertem DDOS-Verkehr erzeugt.

APDOS -Angriffe sind gekennzeichnet durch:

  • Erweiterte Aufklärung (Vorangriff OSINT und umfangreiches Abkleidungsscanning, das über lange Zeiträume entdeckt wurde, um der Erkennung zu entgehen)
  • Taktische Ausführung (Angriff mit primären und sekundären Opfern, aber der Fokus liegt auf der primären)
  • Explizite Motivation (ein kalkuliertes Endspiel/Zielziel)
  • Große Computerkapazität (Zugang zu erheblicher Computerleistung und Netzwerkbandbreite)
  • Gleichzeitige Multi-Thread-OSI-Schichtangriffe (anspruchsvolle Tools, die in Schichten 3 bis 7 arbeiten)
  • Persistenz über längere Zeiträume (kombiniert alles in einem konzertierten, gut verwalteten Angriff über eine Reihe von Zielen).[37]

Denial-of-Service als Service

Einige Anbieter bieten sogenannte "Booter "- oder" Stresser "-Dienste an, die einfache webbasierte Frontenden haben, und akzeptieren die Zahlung über das Web. Vermarktet und als Stresstest-Tools gefördert, können sie verwendet werden, um nicht autorisierte Denial-of-Service-Angriffe durchzuführen und technisch unkomplizierte Angreifer Zugang zu hoch entwickelten Angriffstools zu ermöglichen.[38] Normalerweise von a angetrieben BotnetzDer von einem Verbraucher-Belaster erzeugte Verkehr kann zwischen 5 und 50 GBB/s reichen, was in den meisten Fällen den durchschnittlichen Internetzugang zu Hause verweigern kann.[39]

Symptome

Das US -amerikanische Computer -Notbereitschaftsteam der Vereinigten Staaten (US-Cert) hat die Symptome eines Denial-of-Service-Angriffs identifiziert, um Folgendes zu enthalten:[40]

  • ungewöhnlich langsam Netzwerkleistung (Öffnen von Dateien oder Zugriff auf Websites),
  • Nichtverfügbarkeit einer bestimmten Website oder
  • Unfähigkeit, auf eine Website zuzugreifen.

Angriffstechniken

Angriffstools

In Fällen wie z. Mydoom und Slowloris Die Werkzeuge sind eingebettet in Malware und starten Sie ihre Angriffe ohne Kenntnis des Systembesitzers. Stacheldraht ist ein klassisches Beispiel für ein DDOS -Tool. Es verwendet eine geschichtete Struktur, in der der Angreifer a verwendet Kundenprogramm Um eine Verbindung zu Handlern herzustellen, die kompromittierte Systeme sind, die Befehle an die ausstellen Zombie -Agenten was wiederum den DDOS -Angriff erleichtert. Agenten werden vom Angreifer über die Handler mit automatisierten Routinen kompromittiert, um Schwachstellen in Programmen auszunutzen, die Remote -Verbindungen akzeptieren, die auf den gezielten Remote -Hosts ausgeführt werden. Jeder Handler kann bis zu tausend Agenten kontrollieren.[41]

In anderen Fällen kann eine Maschine Teil eines DDOS -Angriffs werden, beispielsweise in der Zustimmung des Eigentümers in Operation Payback organisiert von der Gruppe Anonym. Das Low -Orbit -Ionenkanone wurde normalerweise auf diese Weise verwendet. Zusammen mit Hohe Umlaufbahn -Ionenkanone Eine Vielzahl von DDOS -Tools ist heute verfügbar, einschließlich bezahlter und kostenloser Versionen mit unterschiedlichen Funktionen. Es gibt einen Untergrundmarkt für diese in Hacker-bezogenen Foren und IRC-Kanälen.

Anwendungsschichtangriffe

Anwendungsschichtangriffe verwenden dosverursachende Angriffe Heldentaten und kann dazu führen, dass serverläufe Software den Festplattenraum füllt oder alle verfügbaren Speicher verbraucht oder CPU -Zeit. Angriffe können bestimmte Pakettypen oder Verbindungsanfragen verwenden, um endliche Ressourcen zu sättigen, indem sie beispielsweise die maximale Anzahl offener Verbindungen einnehmen oder den Scheibenraum des Opfers mit Protokollen füllen. Ein Angreifer mit Zugriff auf Shell-Ebene auf den Computer eines Opfers kann ihn verlangsamen, bis er unbrauchbar ist oder es mit einem abstürzt Gabelbombe. Eine andere Art von DOS-Angriff auf Anwendungsebene ist Xdos (oder XML DOS), die vom modernen Web gesteuert werden können Anwendungsfeuerwalls (WAFS).

Alle Angriffe zur Kategorie von Ausbeutung von Zeitüberschreitungen[42] Langsame DoS -Angriffe Implementieren Sie einen Anwendungsschichtangriff. Beispiele für Bedrohungen sind Slowloris, die anhängige Verbindungen zum Opfer herstellen, oder Slowdroid, ein Angriff auf mobilen Geräten.

Ein weiteres Ziel von DDOS -Angriffen kann darin bestehen, zusätzliche Kosten für den Anwendungsbetreiber zu erstellen, wenn dieser Ressourcen basierend auf Cloud Computing. In diesem Fall sind normalerweise anwendungsbedingte Ressourcen an eine benötigte Niveau der Servicequalität (QoS) gebunden (z. B. die Antworten sollten weniger als 200 ms betragen). Diese Regel ist normalerweise mit automatisierter Software verknüpft (z. B. Amazon Cloudwatch[43]) Virtuelle Ressourcen vom Anbieter aufzunehmen, um die definierten QoS -Werte für die erhöhten Anforderungen zu erfüllen. Der Hauptanreiz für solche Angriffe kann darin bestehen, den Anwendungseigentümer dazu zu bringen, die Elastizitätsniveaus zu erhöhen, um den erhöhten Anwendungsverkehr zu bewältigen, finanzielle Verluste zu verursachen, oder sie dazu zu zwingen, weniger wettbewerbsfähig zu werden.

A Bananenangriff ist eine weitere bestimmte Art von DOS. Dazu gehört es, ausgehende Nachrichten vom Client wieder auf den Client zu leiten, den Zugang von außen zu verhindern und den Kunden mit den gesendeten Paketen zu überfluten. EIN LAND Angriff ist von diesem Typ.

Degradation-of-Service-Angriffe

Pulsierende Zombies sind kompromittierte Computer, die darauf ausgerichtet sind, intermittierende und kurzlebige Überschwemmungen von Opfer-Websites zu starten, um es nur zu verlangsamen, anstatt sie zu stürzen. Diese Art von Angriff, bezeichnet als Degradation des Dienstes, kann schwieriger zu erkennen sein und die Verbindung zu Websites über längere Zeiträume stören und behindern, was möglicherweise zu einer größeren Störung führt als ein Denial-of-Service-Angriff.[44][45] Die Exposition von Serviceangriffsanschlägen wird durch Erkenntnis, ob der Server wirklich angegriffen wird oder höher als die normalen legitimen Verkehrslasten aufweist, weiter erschwert.[46]

Distributed DoS -Angriff

Wenn ein Angreifer einen Angriff eines einzelnen Hosts montiert, würde er als DoS -Angriff eingestuft. Jeder Angriff gegen die Verfügbarkeit würde als Denial-of-Service-Angriff eingestuft. Wenn andererseits ein Angreifer viele Systeme verwendet, um gleichzeitig Angriffe gegen einen entfernten Host zu starten, würde dies als DDOS -Angriff eingestuft.

Malware kann DDOS -Angriffsmechanismen tragen. Eines der bekannteren Beispiele dafür war Mydoom. Sein DOS -Mechanismus wurde zu einem bestimmten Zeitpunkt und einer bestimmten Uhrzeit ausgelöst. Diese Art von DDOs umfasste vor dem Freigeben der Malware die Ziel -IP -Adresse, und es war keine weitere Interaktion erforderlich, um den Angriff zu starten.

Ein System kann auch mit a kompromittiert werden Trojaner enthält a Zombie -Agent. Angreifer können auch Systeme mit automatisierten Tools einbrechen, die Fehler in Programmen ausnutzen, die Verbindungen von Remote -Hosts anhören. Dieses Szenario betrifft hauptsächlich Systeme, die als Server im Web fungieren. Stacheldraht ist ein klassisches Beispiel für ein DDOS -Tool. Es verwendet eine geschichtete Struktur, in der der Angreifer a verwendet Kundenprogramm Um eine Verbindung zu Handlern herzustellen, die kompromittierte Systeme sind, die Befehle an die Zombie -Agenten ausstellen, was wiederum den DDOS -Angriff erleichtert. Agenten werden vom Angreifer über die Handler beeinträchtigt. Jeder Handler kann bis zu tausend Agenten kontrollieren.[41] In einigen Fällen kann eine Maschine Teil eines DDOS -Angriffs werden, beispielsweise in der Zustimmung des Eigentümers in Operation Payback, organisiert von der Gruppe Anonym. Diese Angriffe können verschiedene Arten von Internetpaketen wie TCP, UDP, ICMP usw. verwenden.

Diese Sammlungen von kompromittierten Systemen sind als bekannt als Botnets. DDOS -Tools mögen Stacheldraht Verwenden Sie immer noch klassische DOS -Angriffsmethoden, die sich auf IP -Spoofing und Verstärkung wie Schlumpfangriffe und Fraggle -Angriffe (Arten von Bandbreitenverbrauchsangriffen). Syn Überschwemmungen (Ein Ressourcenhungerangriff) kann ebenfalls verwendet werden. Neuere Tools können DNS -Server für DoS -Zwecke verwenden. Im Gegensatz zum DDOS -Mechanismus von MyDoom können Botnets gegen jede IP -Adresse gewendet werden. Skript Kinder Verwenden Sie sie, um legitime Benutzer die Verfügbarkeit bekannter Websites zu verweigern.[47] Ausgefugtere Angreifer verwenden DDOS -Tools für die Zwecke von Erpressung- einschließlich gegen ihre geschäftlichen Rivalen.[48]

Es wurde berichtet, dass es neue Angriffe von gibt Internet der Dinge (IoT) Geräte, die an der Ablehnung von Serviceangriffen beteiligt waren.[49] Bei einem bekannten Angriff, der mit rund 20.000 Anfragen pro Sekunde ihren Höhepunkt erreichte, stammte rund 900 CCTV -Kameras.[50]

Großbritannien Gchq Es hat Werkzeuge, die für DDOs gebaut wurden, namens Predators Face und Rolling Thunder.[51]

Einfache Angriffe wie Syn -Überschwemmungen können mit einer Vielzahl von Quell -IP -Adressen erscheinen, was das Erscheinungsbild eines verteilten DOS verleiht. Diese Flutangriffe erfordern nicht die Fertigstellung des TCP Drei-Wege-Handschlag und versuchen Sie, die Ziel -Syn -Warteschlange oder die Serverbandbreite zu erschöpfen. Da die Quell -IP -Adressen trivial gefälscht werden können, kann ein Angriff aus einer begrenzten Reihe von Quellen stammen oder sogar von einem einzelnen Host stammen. Stapelverbesserungen wie z. Syn Cookies kann eine wirksame Minderung gegen Syn -Warteschlangen -Überschwemmungen sein, sich jedoch nicht mit der Erschöpfung der Bandbreite befassen.

DDOS -Erpressung

Im Jahr 2015 wurden DDOS -Botnets wie DD4BC an Bedeutung und zielten sich auf Finanzinstitute ein.[52] Cyber-Ausdehnungsforscher beginnen in der Regel mit einem Angriff auf niedriger Ebene und einer Warnung, dass ein größerer Angriff durchgeführt wird, wenn ein Lösegeld nicht bezahlt wird Bitcoin.[53] Sicherheitsexperten empfehlen gezielte Websites, das Lösegeld nicht zu bezahlen. Die Angreifer neigen dazu, in ein erweitertes Erpressungsschema zu geraten, sobald sie erkennen, dass das Ziel bereit ist zu zahlen.[54]

HTTP Slow Post -DOS -Angriff

Der erste 2009 entdeckte HTTP Slow Post -Angriff sendet eine vollständige, legitime HTTP -Post -Header, einschließlich a Inhaltslänge Feld, um die zu folgende Größe des Nachrichtenkörpers anzugeben. Der Angreifer sendet dann jedoch die tatsächliche Nachricht mit einer extrem langsamen Geschwindigkeit (z. B. 1 Byte/110 Sekunden). Da die gesamte Nachricht korrekt und abgeschlossen ist, versucht der Zielserver, dem zu folgen Inhaltslänge Feld im Kopf und warten Sie, bis der gesamte Körper der Nachricht übertragen wird, was sehr lange dauern kann. Der Angreifer stellt Hunderte oder sogar Tausende solcher Verbindungen her, bis alle Ressourcen für eingehende Verbindungen auf dem Opferserver erschöpft sind, was weitere Verbindungen unmöglich macht, bis alle Daten gesendet wurden. Es ist bemerkenswert, dass im Gegensatz zu vielen anderen DDOs- oder DDOS logisch Ressourcen des Opfers, was bedeutet, dass das Opfer immer noch genügend Netzwerkbandbreite und Verarbeitungsleistung zum Betrieb hat.[55] Kombiniert mit der Tatsache, dass die Apache HTTP Server Wird standardmäßig Anforderungen von bis zu 2 GB Größe akzeptieren, dieser Angriff kann besonders leistungsstark sein. HTTP Slow Post -Angriffe sind schwer von legitimen Verbindungen zu unterscheiden und können daher einige Schutzsysteme umgehen. Owasp, ein Open Source Das Webanwendungssicherheitsprojekt veröffentlichte ein Tool zum Testen der Sicherheit von Servern gegen diese Art von Angriff.[56]

Challenge Collapsar (CC) Angriff

Eine Challenge Collapsar -Angriff (CC) ist ein Angriff, bei dem Standard -HTTP -Anfragen häufig an einen gezielten Webserver gesendet werden. Das Einheitliche Ressourcenidentifikatoren (URIS) In den Anforderungen erfordern komplizierte zeitaufwändige Algorithmen oder Datenbankvorgänge, die die Ressourcen des gezielten Webservers erschöpfen können.[57][58][59]

Im Jahr 2004 erfand ein chinesischer Hacker Kiki mit dem Spitznamen ein Hacking -Tool, um diese Art von Anfragen zu senden, um eine NSFOCUS -Firewall namens anzugreifen Collapsarund so war das Hacking -Tool als bekannt als Herausforderung Collapsar, oder CC kurz. Folglich bekam diese Art von Angriff den Namen CC -Angriff.[60]

ICMP (Internet Control Message Protocol) Flut

A Schlumpfangriff stützt sich auf falsch konfigurierte Netzwerkgeräte, mit denen Pakete über die an alle Computerhosts in einem bestimmten Netzwerk gesendet werden können Broadcastadresse des Netzwerks und nicht eines bestimmten Maschine. Der Angreifer sendet eine große Anzahl von IP Pakete mit der Quelladresse, die so gefälscht sind, dass die Adresse des Opfers zu sein scheint. Die meisten Geräte in einem Netzwerk werden standardmäßig darauf reagieren, indem sie eine Antwort an die Quell -IP -Adresse senden. Wenn die Anzahl der Maschinen im Netzwerk, die auf diese Pakete empfangen und darauf reagieren, sehr groß ist, wird der Computer des Opfers mit Verkehr überflutet. Dies überlastet den Computer des Opfers und kann ihn während eines solchen Angriffs sogar unbrauchbar machen.[61]

Ping -Flut basiert darauf, dem Opfer eine überwältigende Anzahl von zu senden Klingeln Pakete, normalerweise mit dem Klingeln Befehl von Unix-artig Gastgeber.[a] Es ist sehr einfach zu starten. Die Hauptanforderung ist der Zugang zu größer Bandbreite als das Opfer.

Ping des Todes basiert auf dem Senden des Opfers ein missgebildetes Ping -Paket, das zu einem Systemabsturz auf einem gefährdeten System führt.

Das Blacknurse Angriff ist ein Beispiel für einen Angriff, der den erforderlichen Zielport nicht erreichbar ICMP -Pakete ausnutzt.

Nuke

Ein Nuke ist ein altmodischer Denial-of-Service-Angriff gegen Computernetzwerke bestehend aus fragmentiert oder anderweitig ungültig ICMP Pakete, die an das Ziel gesendet werden und mit einer geänderten Verwendung erreicht werden Klingeln Nützlichkeit, um diese beschädigten Daten wiederholt zu senden und so den betroffenen Computer zu verlangsamen, bis es zu einem vollständigen Stopp geht.[62]

Ein spezifisches Beispiel für einen Nukeangriff, bei dem die Bedeutung gewann Winnuke, was die Verwundbarkeit in der ausgenutzt hat Netbios Handler in Windows 95. Eine Reihe von Daten außerhalb des Bandes wurde an gesendet TCP Port 139 der Maschine des Opfers, wodurch es sich versperrt und angezeigt hat Bluescreen des Todes.[62]

Peer-to-Peer-Angriffe

Angreifer haben einen Weg gefunden, um eine Reihe von Bugs auszunutzen Peer-To-Peer Server, um DDOS -Angriffe zu initiieren. Die aggressivsten dieser Peer-to-Peer-DDOS-Angriffe DC ++. Mit Peer-to-Peer gibt es kein Botnetz und der Angreifer muss nicht mit den von ihm untergräbenden Kunden kommunizieren. Stattdessen wirkt der Angreifer als Puppenspieler, die Kunden von großer Anweisungen haben Peer-to-Peer-Dateifreigabe Hubs, um von ihrem Peer-to-Peer-Netzwerk zu trennen und stattdessen eine Verbindung zur Website des Opfers herzustellen.[63][64][65]

Ständige Ablehnung des Serviceangriffs

Permanent-Denial-of-Service (PDOs), auch lose als Praxis bekannt,[66] ist ein Angriff, der ein System so schlecht schädigt, dass es Ersatz oder Neuinstallation von Hardware erfordert.[67] Im Gegensatz zu dem verteilten Angriff des Dienstes verteilt sich ein PDOS Networking -Hardware. Der Angreifer nutzt diese Schwachstellen, um die eines Geräts zu ersetzen Firmware mit einem modifizierten, beschädigten oder defekten Firmware -Image - ein Prozess, der bei legitimem als bezeichnet wird als blinken. Die Absicht ist zu Backstein Das Gerät, das es für seinen ursprünglichen Zweck unbrauchbar macht, bis es repariert oder ersetzt werden kann.

Das PDOS ist ein reine Hardware -gezielte Angriff, der viel schneller sein kann und weniger Ressourcen erfordert als ein Botnetz bei einem DDOS -Angriff. Aufgrund dieser Merkmale und der potenziellen und hohen Wahrscheinlichkeit von Sicherheitsnutzungen bei netzwerkfähigen eingebetteten Geräten hat sich diese Technik zahlreicher Hacking-Communities aufmerksam gemacht. Brickerbot, ein Stück Malware, das IoT -Geräte zielte, verwendete PDOS -Angriffe, um seine Ziele zu deaktivieren.[68]

Phlashdance ist ein Tool, das von Rich Smith (einem Mitarbeiter von Hewlett-Packards Systems Security Lab) erstellt wurde, das zur Erkennung und Demonstration von PDOS-Schwachstellen auf der EUSECWECWEST-Sicherheitskonferenz in London 2008 verwendet wird.[69]

Reflektierter Angriff

Ein verteilter Angriff des Dienstes kann das Senden von gefälschten Anfragen irgendeiner Art an eine sehr große Anzahl von Computern umfassen, die auf die Anfragen antworten. Verwendung Internet -Protokolladresse SpoofingDie Quelladresse ist auf die des gezielten Opfers festgelegt, was bedeutet, dass alle Antworten auf das Ziel gehen (und überfluteten). Diese reflektierte Angriffsform wird manchmal als "DRDOS" bezeichnet.[70]

ICMP -Echo -Anfrage Anschläge (Schlumpfangriffe) kann als eine Form des reflektierten Angriffs angesehen werden, da die Überschwemmungshosts Echo-Anfragen an die Broadcast-Adressen von falsch konfigurierten Netzwerken senden und damit Hosts dazu verleiten, Echo-Antwortpakete an das Opfer zu senden. Einige frühe DDOS -Programme haben eine verteilte Form dieses Angriffs implementiert.

Verstärkung

Amplifikationsangriffe werden verwendet, um die Bandbreite zu vergrößern, die an ein Opfer gesendet wird. Viele Dienste können genutzt werden, um als Reflektoren zu fungieren, einige schwieriger zu blockieren als andere.[71] US-Cert hat festgestellt, dass verschiedene Dienste zu unterschiedlichen Verstärkungsfaktoren führen können, wie nachstehend tabellarisch:[72]

UDP-basierte Verstärkungsangriffe
Protokoll Verstärkungsfaktor Anmerkungen
Mitel Micollab 2.200.000.000[73]
Memcached 50.000 In Version 1.5.6 behoben[74]
NTP 556.9 In Version 4.2.7p26 behoben[75]
Chargen 358.8
DNS bis 179[76]
QOTD 140.3
Quake -Netzwerkprotokoll 63.9 In Version 71 behoben
Bittorrent 4.0 - 54,3[77] Seit 2015 in Libutp behoben
COAP 10 - 50
WAFFEN 33.5
SSDP 30.8
Kad 16.3
SNMPV2 6.3
Dampfprotokoll 5.5
Netbios 3.8

Bei DNS -Amplifikationsangriffen wird ein Angreifer eine DNS -Namensuche -Anfrage an einen oder mehrere öffentliche DNS -Server gesendet, wodurch die Quell -IP -Adresse des gezielten Opfers gefälscht wird. Der Angreifer versucht, so viele Informationen wie möglich anzufordern und so die DNS -Antwort zu verstärken, die an das gezielte Opfer gesendet wird. Da die Größe der Anfrage erheblich kleiner als die Antwort ist, kann der Angreifer leicht die an das Ziel gerichtete Verkehrsmenge erhöhen.[78][79]

SNMP und NTP kann auch als Reflektor bei einem Verstärkungsangriff ausgenutzt werden. Ein Beispiel für einen verstärkten DDOS -Angriff durch den Netzwerkzeitprotokoll (NTP) wird durch einen Befehl genannt Einstellung, der die Details der letzten 600 Hosts sendet, die die Zeit vom NTP -Server zurück zum Antragsteller angefordert haben. Eine kleine Anfrage für diesen Zeitserver kann mit einer gefälschten Quell -IP -Adresse eines Opfers gesendet werden, was zu einer Antwort 556.9 -fache der Größe der Anforderung an das Opfer führt. Dies wird verstärkt, wenn Botnets verwendet werden, die alle Anforderungen mit derselben gefälschten IP -Quelle senden, was dazu führt, dass eine große Menge an Daten an das Opfer zurückgesendet wird.

Es ist sehr schwierig, gegen diese Art von Angriffen zu verteidigen, da die Antwortdaten von legitimen Servern stammen. Diese Angriffsanforderungen werden auch über UDP gesendet, für die keine Verbindung zum Server erforderlich ist. Dies bedeutet, dass die Quell -IP nicht überprüft wird, wenn eine Anforderung vom Server empfangen wird. Um diese Schwachstellen aufmerksam zu machen, wurden Kampagnen gestartet, die sich der Suche nach Verstärkungsvektoren widmen, die dazu geführt haben, dass Personen ihre Resolver reparieren oder die Resolver vollständig geschlossen haben.

Mirai Botnet

Dieser Angriff funktioniert mit a Wurm Hunderttausende IoT -Geräte im Internet infizieren. Der Wurm verbreitet sich durch Netzwerke und Systeme, die die Kontrolle über schlecht geschützte IoT-Geräte wie Thermostate, Wi-Fi-fähige Uhren und Waschmaschinen übernehmen.[80] Der Eigentümer oder Benutzer hat normalerweise keine sofortige Anzeige, wenn das Gerät versklavt wird. Das IoT -Gerät selbst ist nicht das direkte Ziel des Angriffs, es wird als Teil eines größeren Angriffs verwendet.[81] Sobald der Hacker die gewünschte Anzahl von Geräten versklavt hat, weist er die Geräte an, zu versuchen, einen ISP zu kontaktieren. Im Oktober 2016 griff ein Mirai -Botnet Dyn an, das ISP für Websites wie Twitter, Netflix usw. ist.[80] Sobald dies geschah, waren diese Websites alle mehrere Stunden lang nicht erreichbar.

R-U-Dead-Yet? (Rudy)

Rudy Attack zielt auf Webanwendungen durch Hunger der verfügbaren Sitzungen auf dem Webserver. Ähnlich wie Slowloris, Rudy hält die Sitzungen mit unendlichen Postübertragungen und sendet einen willkürlich großen Header-Wert inhaltlich inhaltlich.[82]

Sack Panik

Manipulieren Maximale Segmentgröße und Selektive Bestätigung (Sack) kann von einem abgelegenen Gleichaltrigen verwendet werden Ganzzahlüberlauf im Linux -Kernel, der sogar a verursacht Kernel Panik.[83] Jonathan Looney entdeckte CVE-2019-11477, Cve-2019-11478, Cve-2019-11479 am 17. Juni 2019.[84]

Spitzmausangriff

Der Shrew-Angriff ist ein Denial-of-Service-Angriff auf die Transmissionskontrollprotokoll wo der Angreifer beschäftigt der Mann in der Mitte Techniken. Es verwendet kurze synchronisierte Verkehrsausbrüche, um TCP-Verbindungen auf demselben Glied zu stören, indem eine Schwäche des Timeout-Mechanismus der TCP-Wiedervermittlung ausnutzt.[85]

Langsamer Angriff

Ein langsamer Angriff sendet legitime Anwendungsschichtanfragen, liest jedoch sehr langsam die Antworten, wodurch versucht wird, den Verbindungspool des Servers zu erschöpfen. Es wird erreicht, indem eine sehr kleine Anzahl für die TCP -Empfangsfenstergröße bewirbt und gleichzeitig langsamer Puffer der Kunden des Kunden entleert wird, was zu einer sehr niedrigen Datenflussrate führt.

Anspruchsvoller Denial-of-Service-Angriff mit niedriger Bandbreite verteilte Denial-of-Service

Ein ausgefeilter DDOS-Angriff mit niedriger Bandbreite ist eine Form von DOS, die weniger Verkehr nutzt und ihre Wirksamkeit erhöht, indem es auf einen Schwachpunkt des Systemdesigns des Opfers abzielt, d. H. Der Angreifer sendet den Verkehr aus komplizierten Anfragen an das System.[86] Im Wesentlichen ist ein ausgefeilter DDOS -Angriff aufgrund seiner Verwendung von weniger Verkehr niedriger, die Größe kleiner ist, was es schwieriger zu identifizieren, und es kann die Fähigkeit, Systeme zu verletzen, die durch Flusssteuerungsmechanismen geschützt werden.[86][87]

(S) Syn -Flut

A Syn -Flut tritt auf, wenn ein Host eine Flut von TCP/SYN -Paketen sendet, häufig mit einer gefälschten Absenderadresse. Jedes dieser Pakete wird wie eine Verbindungsanforderung behandelt, wodurch der Server a laichen halbe offene VerbindungDurch das Zurücksenden eines TCP/Syn-ACK-Pakets (bestätigen Sie) und Warten auf ein Paket als Antwort aus der Absenderadresse (Antwort auf das ACK-Paket). Da die Adresse des Absenders geschmiedet wird, kommt die Antwort nie. Diese halben offenen Verbindungen sättigen die Anzahl der verfügbaren Verbindungen, die der Server herstellen kann, und verhindern, dass sie auf legitime Anfragen bis nach dem Ende des Angriffs reagieren.[88]

Tränenangriffe

Ein Tränenanschlag beinhaltet das Senden verstümmelt IP Fragmente mit überlappenden, übergroßen Nutzlasten an die Zielmaschine. Dies kann verschiedene Betriebssysteme aufgrund eines Fehlers in ihrem Absturz bringen TCP/IP Fragmentierung Neueinrichtung Code.[89] Windows 3.1x, Windows 95 und Windows NT Betriebssysteme sowie Versionen von Linux Vor den Versionen 2.0.32 und 2.1.63 sind für diesen Angriff anfällig.

(Obwohl im September 2009 eine Verwundbarkeit in Windows Vista wurde als "Tränenanfall" bezeichnet, dies zielte darauf ab SMB2 Dies ist eine höhere Schicht als die TCP -Pakete, die es verwendete.[90][91]

Eines der Felder in einem IP -Header ist das Feld „Fragment -Offset“, das die Startposition oder den Offset der Daten in einem fragmentierten Paket relativ zu den Daten im Originalpaket anzeigt. Wenn sich die Summe des Versatzes und der Größe eines fragmentierten Pakets von der des nächsten fragmentierten Pakets unterscheidet, überlappen sich die Pakete. In diesem Fall kann ein Server, der für Tränenanschläge anfällig ist, die Pakete nicht wieder zusammenbauen-was zu einer Erkrankung des Dienstes führt.

Telefonieverweigerung (TDOS)

Voice over IP hat eine missbräuchliche Entstehung einer großen Anzahl von gemacht Telefon Sprachanrufe kostengünstig und leicht automatisiert, während die Call -Ursprünge durch die falsche Darstellung durchführen können Anrufer -ID -Spoofing.

Nach Angaben der USA Bundesamt für UntersuchungenDie Telefonieverweigerung (TDOs) ist als Teil verschiedener betrügerischer Systeme aufgetreten:

  • Ein Betrüger kontaktiert den Bankier oder Makler des Opfers und hat das Opfer dazu veranlasst, eine Geldübertragung zu beantragen. Der Versuch des Bankiers, das Opfer zur Überprüfung der Übertragung zu kontaktieren, schlägt fehl, da die Telefonleitungen des Opfers mit Tausenden von Scheinanrufen überflutet werden, was das Opfer nicht erreichbar macht.[92]
  • Ein Betrüger kontaktiert die Verbraucher mit einem falschen Anspruch, einen herausragenden Eintrag zu sammeln Zahltagdarlehen Für Tausende von Dollar. Wenn der Verbraucher Objekte einleitet, revanchiert sich der Betrüger, indem er den Arbeitgeber des Opfers mit Tausenden von automatisierten Anrufen überflutet. In einigen Fällen wird die angezeigte Anrufer -ID gefälscht, um sich als Polizei- oder Strafverfolgungsbehörden auszugeben.[93]
  • Schwoten: Ein Betrüger kontaktiert die Verbraucher mit einer falschen Inkasso -Nachfrage und droht, die Polizei zu schicken. Wenn das Opfer bildet, überflutet der Betrüger die örtlichen Polizeinummern mit Anrufen, welche Anrufer -ID gefälscht ist, um die Nummer des Opfers anzuzeigen. Die Polizei kommt bald in die Residenz des Opfers an und versucht, den Ursprung der Anrufe zu finden.

Telefonie-Denial-of-Service kann auch ohne existieren Internet -Telefonie. In dem 2002 New Hampshire Senats Wahl Telefon -Jamming -Skandal, Telemarketer waren es gewohnt, politische Gegner mit falschen Anrufen an Marmeladenbanken am Wahltag zu überfluten. Die weit verbreitete Veröffentlichung einer Zahl kann es auch mit genügend Anrufen überfluten, um sie unbrauchbar zu machen, wie es 1981 mit mehreren +1-1-Jahren zu Unfall geschehen ist.Vorwahl-867-5309 Abonnenten, die von Hunderten von Anrufen täglich überschwemmt sind, als Antwort auf das Lied 867-5309/Jenny.

TDOs unterscheiden sich von anderen Telefonbelästigung (wie zum Beispiel Streichanruf und obszöne Anrufe) durch die Anzahl der Anrufe entstanden; Indem das Opfer kontinuierlich mit wiederholten automatisierten Anrufen einnimmt, wird das Opfer daran gehindert, sowohl Routine- als auch Notrufanrufe zu tätigen oder zu empfangen.

Verwandte Heldentaten umfassen SMS -Überschwemmungsangriffe und schwarzes Fax oder Faxschleifeübertragung.

TTL -Ablaufangriff

Es braucht mehr Router -Ressourcen, um ein Paket mit einem abzugeben Ttl Wert von 1 oder weniger als es, ein Paket mit einem höheren TTL -Wert zu leiten. Wenn ein Paket aufgrund von TTL -Ablauf fallen gelassen wird, muss die Router -CPU eine generieren und senden ICMP -Zeit überschritten Antwort. Das Erzeugen vieler dieser Antworten kann die CPU des Routers überlasten.[94]

UPNP -Angriff

Dieser Angriff verwendet eine vorhandene Sicherheitsanfälligkeit in Universal Plug and Play (UPNP) Protokoll, um eine beträchtliche Menge der vorliegenden Verteidigungsmethoden zu umgehen und das Netzwerk und die Server eines Ziels zu überfluten. Der Angriff basiert auf einer DNS -Amplifikationstechnik, aber der Angriffsmechanismus ist ein UPNP -Router, der Anfragen von einer äußeren Quelle zu einer anderen ignorierenden UPNP -Verhaltensregeln weiterleitet. Die Verwendung des UPNP -Routers gibt die Daten an einem unerwarteten UDP -Anschluss von einer falschen IP -Adresse zurück, sodass es schwieriger ist, einfache Maßnahmen zur Abschaltung der Verkehrsflut zu ergreifen. Laut dem Imperva Forscher, der effektivste Weg, um diesen Angriff zu stoppen, besteht darin, dass Unternehmen Upnp -Router abschließen.[95][96]

SSDP -Reflexionsangriff

Im Jahr 2014 wurde festgestellt, dass SSDP in verwendet wurde DDOs Angriffe, die als "bekannt sind"SSDP -Reflexionsangriff Mit Verstärkung ". Viele Geräte, einschließlich einiger Wohnrouter, haben eine Anfälligkeit in der UPNP -Software, mit der ein Angreifer Antworten erhalten kann Hafennummer 1900 zu einer Zieladresse ihrer Wahl. Mit einer Botnetz Von Tausenden von Geräten können die Angreifer ausreichende Paketraten erzeugen und eine Bandbreite besetzen, um Verbindungen zu sättigen, was zu einer Verweigerung der Dienste führt.[97][98][99] Das Netzwerkunternehmen Wolkenflare hat diesen Angriff als "dummes einfaches DDOS -Protokoll" beschrieben.[100]

ARP -Spoofing

ARP -Spoofing ist ein üblicher DOS -Angriff, der eine Sicherheitsanfälligkeit im ARP -Protokoll beinhaltet, die es einem Angreifer ermöglicht MAC-Adresse An die IP-Adresse eines anderen Computers oder Gateways (wie ein Router), wodurch der Verkehr für die ursprüngliche authentische IP bestimmt ist, um den des Angreifers umgeleitet zu werden, was zu einer Ablehnung des Dienstes führt.

Verteidigungstechniken

Defensive Antworten auf Denial-of-Service-Angriffe beinhalten in der Regel die Verwendung einer Kombination aus Angriffserkennung, Verkehrsklassifizierung und Reaktionstools, die darauf abzielen, den Verkehr als illegitim zu identifizieren und den Verkehr zuzulassen, den sie als legitim identifizieren.[101] Eine Liste von Präventions- und Antwortwerkzeugen wird unten bereitgestellt:

Upstream -Filterung

Alle zum Opfer bestimmten Datenverkehr werden umgeleitet, um ein "Reinigungszentrum" oder ein "Scrubbing Center" über verschiedene Methoden zu durchlaufen, wie z.[102] Proxies, Digital Cross verbindet oder sogar direkte Schaltkreise, die den "schlechten" Verkehr (DDOs und auch andere gemeinsame Internetangriffe) trennt und nur einen guten legitimen Verkehr an den Opferserver sendet.[103] Der Anbieter benötigt eine zentrale Konnektivität zum Internet, um diese Art von Service zu verwalten, es sei denn, er befindet sich in derselben Einrichtung wie das "Reinigungszentrum" oder "Scrubbing Center". DDOS -Angriffe können jede Art von Hardware -Firewall überwältigen, und der böswillige Verkehr durch große und reife Netzwerke wird gegen DDOs immer effektiver und wirtschaftlicher nachhaltiger.[104]

Anwendungshardware Frontend

Anwendungsfront-End-Hardware ist intelligente Hardware, die im Netzwerk platziert ist, bevor der Verkehr die Server erreicht. Es kann in Netzwerken in Verbindung mit Routern und Schalter verwendet werden. Die Anwendung Front-End-Hardware analysiert Datenpakete beim Eingeben des Systems und identifiziert sie dann als Priorität, regelmäßig oder gefährlich. Es gibt mehr als 25 Bandbreitenmanagement Anbieter.

Antragsniveau -Schlüssellanzahlindikatoren

Ansätze für DDOS-Angriffe gegen Cloud-basierte Anwendungen können auf einer Anwendungsschichtanalyse basieren, die angeben, ob eingehender Schüttverkehr legitim ist und somit Elastizitätsentscheidungen ohne die wirtschaftlichen Auswirkungen eines DDOS-Angriffs auslöst.[105] Diese Ansätze beruhen hauptsächlich auf einen identifizierten Wertspfad innerhalb der Anwendung und überwachen den Fortschritt von Anfragen auf diesem Pfad über Markierungen, die als wichtige Abschlussindikatoren bezeichnet werden.[106]

Im Wesentlichen sind diese Techniken statistische Methoden zur Beurteilung des Verhaltens eingehender Anfragen, um festzustellen, ob etwas Ungewöhnliches oder Abnormales vor sich geht.

Eine Analogie ist für ein stationäres Kaufhaus, in dem Kunden im Durchschnitt einen bekannten Prozentsatz ihrer Zeit für verschiedene Aktivitäten wie das Abholen und Untersuchung, das Zurücksetzen, das Füllen eines Korbs, das Warten auf bezahlen, bezahlen ausgeben und gehen. Diese hochrangigen Aktivitäten entsprechen den wichtigsten Abschlussindikatoren im Service oder Standort, und sobald das normale Verhalten bestimmt ist, kann abnormales Verhalten identifiziert werden. Wenn eine Menge Kunden im Geschäft ankam und ihre ganze Zeit damit verbrachte, Artikel zu holen und zurückzubringen, aber nie Einkäufe tätigte, könnte dies als ungewöhnliches Verhalten gekennzeichnet werden.

Das Kaufhaus kann versuchen, sich auf Perioden mit hoher Aktivität anzupassen, indem er kurzfristig eine Mitarbeiterreserve einbringt. Aber wenn dies routinemäßig war, wäre ein Mob, um aufzutauchen, aber nie etwas zu kaufen, dies könnte den Laden mit den zusätzlichen Kosten für Mitarbeiter ruinieren. Bald würde das Geschäft die MOB -Aktivität identifizieren und die Anzahl der Mitarbeiter zurückschulen und erkennen, dass der Mob keinen Gewinn erzielt und nicht zugestellt werden sollte. Dies mag es legitime Kunden schwieriger machen, während der Präsenz des Mobs bedient zu werden, spart dem Laden vor dem ruhigen Ruin.

Bei elastischen Cloud -Diensten, bei denen eine riesige und abnormale zusätzliche Arbeitsbelastung erhebliche Gebühren durch den Cloud -Dienstleister verursachen kann, kann diese Technik verwendet werden, um die Ausweitung der Serververfügbarkeit auf den Schutz vor wirtschaftlichem Verlust zu skalieren oder sogar zu stoppen.

Schwarzholz und Spülenholz

Mit Blackhole RoutingDer gesamte Datenverkehr zu der angegriffenen DNS oder der IP-Adresse wird an ein "Schwarzes Loch" (Null-Schnittstelle oder einen nicht existierenden Server) gesendet. Um effizienter zu sein und die Netzwerkkonnektivität zu beeinflussen, kann sie vom ISP verwaltet werden.[107]

A DNS Sinkhole Leitet den Verkehr zu einer gültigen IP -Adresse, die den Verkehr analysiert und schlechte Pakete ablehnt. Sinkholing ist für die meisten schweren Angriffe nicht effizient.

IPS -basierte Prävention

Intrusion Prevention Systems (IPS) sind wirksam, wenn die Angriffe mit Signaturen verbunden sind. Der Trend unter den Angriffen ist jedoch, legitime Inhalte, aber schlechte Absichten zu haben. Intrusion-Präventionssysteme, die an der Erkennung von Inhalten arbeiten, können verhaltensbasierte DOS-Angriffe nicht blockieren.[35]

Ein Asic Basierte IPs können Angriffe des Dienstes erkennen und blockieren, weil sie das haben Verarbeitungsleistung und die Granularität, um die Angriffe zu analysieren und wie a zu handeln Leistungsschalter auf automatisierte Weise.[35]

DDS -basierte Verteidigung

Ein DDS-Verteidigungssystem (DDS) ist mehr auf das Problem als IPS und kann verbindungsbasierte DOS-Angriffe und solche mit legitimen Inhalten, aber schlechten Absichten blockieren. Ein DDS kann auch sowohl Protokollangriffe (wie Tränen und Ping des Todes) als auch ratenbasierte Angriffe (wie ICMP-Überschwemmungen und Syn-Überschwemmungen) ansprechen. DDS verfügt über ein speziell gebautes System, mit dem die Verweigerung von Dienstangaben mit einer größeren Geschwindigkeit problemlos identifiziert und behindert werden kann als eine Software, die ein System ist.[108]

Firewalls

Im Falle eines einfachen Angriffs a Firewall Könnte eine einfache Regel hinzugefügt haben, um alle eingehenden Verkehr von den Angreifern zu verweigern, basierend auf Protokollen, Ports oder den Ursprungs -IP -Adressen.

Komplexere Angriffe sind jedoch schwer mit einfachen Regeln zu blockieren legitimen Verkehr bedienen.[109] Darüber hinaus können Firewalls in der Netzwerkhierarchie zu tief sein, wobei Router nachteilig sind, bevor der Verkehr in die Firewall gelangt. Außerdem unterstützen viele Sicherheitstools IPv6 immer noch nicht oder sind möglicherweise nicht ordnungsgemäß konfiguriert, sodass die Firewalls häufig während der Angriffe umgangen werden.[110]

Router

Ähnlich wie bei Schaltern haben Router einige ratebegrenzte und ACL Fähigkeit. Auch sie sind manuell eingestellt. Die meisten Router können unter einem DOS -Angriff leicht überwältigt werden.Nokia Sr-Os Verwendung FP4/FP5 Processors bietet DDOS -Schutz. Nokia Sr-Os Verwendet auch Big Data Analytics basiert Nokia Deepfield Defender Für DDOS -Schutz.Cisco iOS hat optionale Funktionen, die die Auswirkungen von Überschwemmungen verringern können.[111]

Schalter

Die meisten Schalter haben einige ratebegrenzte und ACL Fähigkeit. Einige Switches bieten automatische und/oder systemweit Ratenbegrenzung, Verkehrsformung, Verzögerte Bindung (TCP -Spleißen), Tiefe Paketprüfung und Bogon -Filterung (Scheinzeit IP -Filterung) DOS -Angriffe durch automatische Tariffilterung und WAN -Link -Failover und Ausgleich zu erkennen und zu sanieren.[35]

Diese Programme funktionieren so lange, wie die DOS -Angriffe durch die Verwendung von ihnen verhindert werden können. Beispielsweise kann die Syn -Flut unter Verwendung einer verzögerten Bindung oder TCP -Spleißen verhindert werden. In ähnlicher Weise können inhaltsbasierte DOs mit einer Deep-Paket-Inspektion verhindert werden. Angriffe aus dunkle Adressen oder dunkle Adressen zu gehen können mit Verwendung verhindert werden Bogon -Filterung. Die automatische Tariffilterung kann so lange funktionieren, wie die festgelegten Ratenschwellen korrekt eingestellt wurden. Das WAN-Link-Failover funktioniert, solange beide Links einen DOS/DDOS-Präventionsmechanismus haben.[35]

Blockieren verletzlicher Ports

Zum Beispiel in einem SSDP -Reflexionsangriff; Die wichtigste Minderung besteht darin, den eingehenden UDP -Verkehr auf Port 1900 in der Firewall zu blockieren.[112]

Unbeabsichtigte Denial-of-Service

Eine unbeabsichtigte Denial-of-Service-Denial-of-Service kann auftreten, wenn ein System abgelehnt wird, nicht aufgrund eines absichtlichen Angriffs einer einzelnen Person oder einer Gruppe von Individuen, sondern einfach aufgrund eines plötzlichen enormen Anstiegs der Popularität. Dies kann passieren, wenn eine äußerst beliebte Website einen herausragenden Link zu einer zweiten, weniger gut vorbereiteten Website veröffentlicht, beispielsweise als Teil einer Nachrichtengeschichte. Das Ergebnis ist, dass ein erheblicher Teil der regulären Benutzer der primären Site - möglicherweise Hunderttausende von Personen - auf diesen Link im Bereich weniger Stunden klicken und den gleichen Effekt auf die Zielwebsite wie einen DDOS -Angriff hat. Ein Vipdos ist gleich, aber speziell, wenn der Link von einer Berühmtheit gepostet wurde.

Wann Michael Jackson starb Im Jahr 2009 wurden Websites wie Google und Twitter verlangsamt oder sogar abgestürzt.[113] Die Server vieler Websites dachten, die Anfragen stammten von einem Virus oder einer Spyware, die versuchten, einen Denial-of-Service-Angriff zu verursachen, und warnen den Benutzern, dass ihre Fragen wie "automatisierte Anfragen von a Computer Virus oder Spyware -Anwendung ".[114]

Nachrichtenseiten und Link -Websites - Websites, deren Hauptfunktion darin besteht, Links zu interessanten Inhalten an anderer Stelle im Internet zu liefern - werden dieses Phänomen am wahrscheinlichsten verursachen. Das kanonische Beispiel ist das Slashdot -Effekt Beim Empfangen von Verkehr von Slashdot. Es ist auch als "das" bekannt Reddit Umarmung des Todes "und" die Digg Wirkung".

Es ist auch bekannt, dass Router als beide unbeabsichtigte DOS -Angriffe verursachen D-Link und Netgear Router haben NTP -Server überladen, indem sie sie überfluteten, ohne die Einschränkungen von Kundentypen oder geografischen Einschränkungen zu respektieren.

Eine ähnliche unbeabsichtigte Denial-of-Service-Denial-Service kann auch über andere Medien auftreten, z. Wenn eine URL im Fernsehen erwähnt wird. Wenn ein Server durch indiziert wird Google oder ein anderes Suchmaschine Während der Spitzenzeiten der Aktivität oder nicht viel verfügbare Bandbreite, während sie indiziert werden, kann es auch die Auswirkungen eines DOS -Angriffs erleben.[35][Fehlgeschlagene Überprüfung]

In mindestens einem solchen Fall wurde rechtliche Maßnahmen ergriffen. In 2006, Universal Tube & Rollform Equipment Corporation verklagt Youtube: Massive Anzahl potenzieller youtube.com-Benutzer haben versehentlich die URL der Röhrenfirma utube.com eingegeben. Infolgedessen musste das Röhrenunternehmen große Geldbeträge für die Verbesserung seiner Bandbreite ausgeben.[115] Das Unternehmen scheint die Situation ausgenutzt zu haben, wobei Utube.com jetzt Anzeigen für Werbeeinnahmen enthält.

Im März 2014 nach Malaysia Airlines Flug 370 ist verschwunden, DigitalGlobe gestartet a Crowdsourcing Service, auf dem Benutzer bei der Suche nach dem fehlenden Jet in Satellitenbildern helfen können. Die Antwort überwältigte die Server des Unternehmens.[116]

Eine unbeabsichtigte Denial-of-Service-Denial-of-Service kann auch aus einem vorgeplanten Ereignis resultieren, das von der Website selbst erstellt wurde, wie dies der Fall war Volkszählung in Australien 2016.[117] Dies kann verursacht werden, wenn ein Server zu einem bestimmten Zeitpunkt einen Service anbietet. Dies könnte eine Universitätswebsite sein, die die Noten festlegt, die zu diesem Zeitpunkt zu viel mehr Anmeldemittel als in jedem anderen zur Verfügung stehen.

Anfang 2021 wurde das Videospiel der Woche 7 bis Freitagabend als exklusives Newgrounds -Videospiel veröffentlicht. Aufgrund des Anstiegs des Verkehrs, der Newgrounds verursachte, stürzte der Standort aufgrund eines unbeabsichtigten DDOS -Angriffs ab.[118]

Nebenwirkungen von Angriffen

Rückstreuung

Bei der Sicherheit des Computer-Netzwerks ist die Rückstreuung ein Nebeneffekt eines gefälschten Denial-of-Service-Angriffs. Bei dieser Art von Angriff fälscht (oder Schmieden) die Quelladresse in IP -Pakete geschickt an das Opfer. Im Allgemeinen kann die Opfermaschine nicht zwischen den gefälschten Paketen und legitimen Paketen unterscheiden, daher reagiert das Opfer auf die gefälschten Pakete wie gewohnt. Diese Antwortpakete werden als Rückstreuung bezeichnet.[119]

Wenn der Angreifer Quellenadressen zufällig speichert, werden die Rückstreupakete des Opfers an zufällige Ziele zurückgeschickt. Dieser Effekt kann durch verwendet werden Netzwerkteleskope als indirekter Beweis solcher Angriffe.

Der Begriff "Rückstreuanalyse" bezieht sich auf die Beobachtung von Rückstreupaketen, die in einem statistisch signifikanten Teil der ankommen IP Adresse Raum, um die Eigenschaften von DOS -Angriffen und Opfern zu bestimmen.

Rechtmäßigkeit

Zahlreiche Websites, die Tools zur Durchführung eines DDOS -Angriffs anbieten, wurden vom FBI unter dem beschlagnahmt Computerbetrug und Missbrauchsgesetz.[120]

Viele Gerichtsbarkeiten haben Gesetze, nach denen Angriffe des Dienstes illegal sind.

  • In den USA können Angriffe des Dienstes von Denial-of-Service als Bundesverbrechen unter dem angesehen werden Computerbetrug und Missbrauchsgesetz mit Strafen, die jahrelange Freiheitsstrafe beinhalten.[121] Das Computerkriminalität und Abteilung für geistiges Eigentum von den USA Justizministerium Verarbeitet Fälle von DOS und DDOs. In einem Beispiel wurde im Juli 2019 Austin Thompson, auch bekannt als Derptrolling, zu 27 Monaten Gefängnis und 95.000 US -Dollar von einem Bundesgericht verurteilt, weil er mehrere DDOS -Angriffe auf große Videospielunternehmen durchgeführt und ihre Systeme von Stunden bis Tagen störten.[122][123]
  • Im Europa Länder, die kriminelle Ablehnungsangriffe begehen, können mindestens zu einer Verhaftung führen.[124] Das Vereinigtes Königreich ist insofern ungewöhnlich, als es ausdrücklich die Denial-of-Service-Angriffe verboten und eine maximale Strafe von 10 Jahren Gefängnis mit dem festgelegt hat Polizei- und Justizgesetz 2006, die Abschnitt 3 der von der geändert haben Computermissbrauchsgesetz 1990.[125]
  • Im Januar 2019, Europol kündigte an, dass "Aktionen derzeit weltweit im Gange sind, um die Benutzer" von Webstress.org, einem ehemaligen DDOS -Marktplatz, der im April 2018 im Rahmen von Operation Power Off geschlossen wurde, aufzuspüren ".[126] Laut Europol habe die britische Polizei eine Reihe von "Live -Operationen" auf mehr als 250 Nutzer von Webstrestresant und anderen DDOS -Diensten durchgeführt.[127]

Am 7. Januar 2013, Anonym postete eine Petition auf der Whitehouse.gov Standort bittet darum, dass DDOs als rechtliche Protestform anerkannt werden, die dem ähnlich ist Proteste belegenDie Behauptung ist, dass die Ähnlichkeit des Zwecks beider gleich ist.[128]

Siehe auch

Anmerkungen

  1. ^ Die -t -Flagge auf Fenster Systeme sind viel weniger in der Lage, ein Ziel zu überwältigen, auch das Flag -L (Größe) lässt keine gesendete Paketgröße von mehr als 65500 in Windows zu.

Verweise

  1. ^ "Angriffe des Dienstes verstehen". US-Cert. 6. Februar 2013. Abgerufen 26. Mai 2016.
  2. ^ "Was bedeutet ein DDOS -Angriff? - DDOS Bedeutung". USA.kaspersky.com. 2021-01-13. Abgerufen 2021-09-05.
  3. ^ Prince, Matthew (25. April 2016). "Leere DDOS -Bedrohungen: Treffen Sie das Armada -Kollektiv". Wolkenflare. Abgerufen 18. Mai 2016.
  4. ^ "Brand.com -Präsident Mike Zammuto enthüllt Erpressversuch". 5. März 2014. archiviert von das Original am 11. März 2014.
  5. ^ "Mike Zammuto von Brand.com erörtert die Erpressung von Meetup.com". 5. März 2014. archiviert von das Original am 13. Mai 2014.
  6. ^ "Die Philosophie des anonymen". Radicalphilosophy.com. 2010-12-17. Abgerufen 2013-09-10.
  7. ^ "Distributed Denial of Service -Angriffe - Das Internet Protocol Journal - Band 7, Nummer 4". Cisco. Archiviert von das Original Am 2019-08-26. Abgerufen 2019-08-26.
  8. ^ Smith, Steve. "5 berühmte Botnets, die das Internet als Geisel hielten". tqaweekly. Abgerufen 20. November, 2014.
  9. ^ Cimpanu, Catalin. "Google sagt, es hat 2017 einen DDOS -Angriff von 2,54 TBPS gemildert, der bisher größtes bekannt ist". ZDNET. Abgerufen 2021-09-16.
  10. ^ Goodin, Dan (5. März 2018). "Der US -Dienstleister überlebt die größten aufgezeichneten DDOs in der Geschichte". ARS Technica. Abgerufen 6. März 2018.
  11. ^ Ranger, Steve. "Github hat mit dem größten DDOS -Angriff getroffen, der jemals gesehen wurde, zdnet". ZDNET. Abgerufen 2018-10-14.
  12. ^ "Amazon vereitelt den größten DDOs Cyber-Angriff '". BBC News. 18. Juni 2020. Abgerufen 11. November, 2020.
  13. ^ Pinho, Mario (29. Mai 2020). "AWS Shield Threat Landscape Report ist jetzt verfügbar". AWS Security Blog. Abgerufen 11. November, 2020.
  14. ^ "Cloudflare vereitelt 17,2 m RPS DDOS -Angriff - der größte, der jemals berichtet hat". Der Cloudflare -Blog. 2021-08-19. Abgerufen 2021-12-23.
  15. ^ "Yandex von potentem Meris DDOS Botnetz geschlagen". ThreatPost.com. Abgerufen 2021-12-23.
  16. ^ a b Taghavi Zargar, Saman (November 2013). "Eine Übersicht über Verteidigungsmechanismen gegen DDOS (Distributed Denial of Service (DDOs)) Überschwemmungsangriffe" (PDF). IEEE Kommunikationsumfragen und Tutorials. S. 2046–2069. Abgerufen 2014-03-07.
  17. ^ Khalifeh, Soltanian, Mohammad Reza (2015-11-10). Theoretische und experimentelle Methoden zur Verteidigung gegen DDOS -Angriffe. Amiri, Iraj Sadegh, 1977-. Waltham, MA. ISBN 978-0128053997. OCLC 930795667.
  18. ^ "Wurde Ihre Website von einem Zombie gebissen?". Cloudbric. 3. August 2015. Abgerufen 15. September 2015.
  19. ^ a b "Schicht sieben DDOs -Angriffe". Infosec Institute.
  20. ^ Raghavan, S.V. (2011). Eine Untersuchung der Erkennung und Minderung der Denial -of -Service -Angriffe (DOS). Springer. ISBN 9788132202776.
  21. ^ Goodin, Dan (28. September 2016). "Rekordverletzte DDOs Berichten zufolge von> 145.000 gehackten Kameras". ARS Technica. Archiviert Aus dem Original am 2. Oktober 2016.
  22. ^ Khandelwal, Swati (26. September 2016). "Der weltweit größte 1 TBPS -DDOS -Angriff wurde von 152.000 gehackten intelligenten Geräten gestartet". Die Hacker News. Archiviert Aus dem Original am 30. September 2016.
  23. ^ Kumar, Bhattacharyya, Dhruba; Kalita, Jugal Kumar (2016-04-27). DDOS -Angriffe: Evolution, Erkennung, Prävention, Reaktion und Toleranz. Boca Raton, FL. ISBN 9781498729659. OCLC 948286117.
  24. ^ "Imperva, Global DDOS Threat Landscape, 2019 Bericht" (PDF). Imperva.com. Imperva. Abgerufen 4. Mai 2020.
  25. ^ Seiten, Mor; Bremler-Barr, Anat; Rosensweig, Elisha (17. August 2015). "Jo-Jo-Angriff: Verwundbarkeit im automatischen Skalierungsmechanismus". ACM Sigcomm Computerkommunikation Review. 45 (4): 103–104. doi:10.1145/2829988.2790017.
  26. ^ Barr, Anat; Ben David, Ronen (2021). "Kubernetes Autoscaling: yo Yo Schwachstelle und Minderung angreifen ". Proceedings der 11. Internationalen Konferenz über Cloud Computing und Services Science. S. 34–44. Arxiv:2105.00542. doi:10.5220/0010397900340044. ISBN 978-989-758-510-4. S2CID 233482002.
  27. ^ Xu, Xiaoqiong; Li, Jin; Yu, Hongfang; Luo, lang; Wei, Xuetao; Sonne, Gang (2020). "Auf dem Weg zu Yo-Yo-Angriffsminderung in der Cloud Auto-Scaling-Mechanismus". Digitale Kommunikation und Netzwerke. 6 (3): 369–376. doi:10.1016/j.dcan.2019.07.002. S2CID 208093679.
  28. ^ Lee, Newton (2013). Terrorismusbekämpfung und Cybersicherheit: Gesamtinformationsbewusstsein. Springer. ISBN 9781461472056.
  29. ^ "Gartner sagt, dass 25 Prozent der verteilten Denialverweigerungsangriffe im Jahr 2013 Anwendung sein werden - basierend". Gärtner. 21. Februar 2013. archiviert von das Original am 25. Februar 2013. Abgerufen 28. Januar 2014.
  30. ^ a b Ginovsky, John (27. Januar 2014). "Was Sie über die Verschlechterung von DDOS -Angriffen wissen sollten". ABA Banking Journal. Archiviert von das Original Am 2014-02-09.
  31. ^ "Q4 2014 Status des Internet - Sicherheitsbericht: Zahlen - Der Akamai -Blog". blogs.akamai.com.
  32. ^ Ali, Junade (23. November 2017). "Die neue DDOS -Landschaft". Cloudflare -Blog.
  33. ^ Hill, Michael (2021-12-16). "Second LOG4J Schwachstellen trägt eine Denial-of-Service-Bedrohung, ein neuer Patch zur Verfügung.". CSO online. Abgerufen 2021-12-18.
  34. ^ Higgins, Kelly Jackson (17. Oktober 2013). "Der DDOS-Angriff verwendete den 'Headless'-Browser in 150 Stunden Belagerung". Dunkle Lesung. Informationswoche. Archiviert von das Original am 22. Januar 2014. Abgerufen 28. Januar 2014.
  35. ^ a b c d e f Kiyuna und Conyers (2015). Cyberwarfare Quellbuch. ISBN 978-1329063945.
  36. ^ Ilascu, Ionut (21. August 2014). "38 Tage lang DDOS-Belagerung beträgt über 50 Petabit im schlechten Verkehr". Softpedia News. Abgerufen 29. Juli 2018.
  37. ^ Gold, Steve (21. August 2014). "Videospielunternehmen, die von 38-tägiger DDOS-Angriff getroffen wurden". SC Magazine UK. Archiviert von das Original Am 2017-02-01. Abgerufen 4. Februar 2016.
  38. ^ Krebs, Brian (15. August 2015). "Stress testet die Booter Services finanziell". Krebs über Sicherheit. Abgerufen 2016-09-09.
  39. ^ Mubarakali, Azath; Srinivasan, Karthik; Mukhalid, Reham; Jaganathan, Subash C. B.; Marina, Ninoslav (2020-01-26). "Sicherheitsherausforderungen im Internet der Dinge: Verteilte Ablehnung der Erkennung von Serviceangriffs mithilfe von Support Vector Machine -basierten Expertensystemen". Recheninformationen. 36 (4): 1580–1592. doi:10.1111/Coin.12293. ISSN 0824-7935. S2CID 214114645.
  40. ^ McDowell, Mindi (4. November 2009). "Cyber-Sicherheitstipp ST04-015-Verständnis der Denial-of-Service-Angriffe". US -amerikanische Computer -Notbereitschaftsteam der Vereinigten Staaten. Archiviert vom Original am 2013-11-04. Abgerufen 11. Dezember, 2013.
  41. ^ a b Dittrich, David (31. Dezember 1999). "Das" Stacheldraht "verteilte Denial Denial of Service Attack Tool". Universität von Washington. Archiviert von das Original Am 2000-08-16. Abgerufen 2013-12-11.
  42. ^ Cambiaso, Enrico; Papaleo, Gianluca; Chiola, Giovanni; Aiello, Maurizio (2015). "Entwerfen und Modellieren des langsamen nächsten DoS -Angriffs". Computational Intelligence in Security for Information Systems Conference (CISIS 2015). 249-259. Springer.
  43. ^ "Amazon Cloudwatch". Amazon Web Services, Inc..
  44. ^ Enzyklopädie der Informationstechnologie. Atlantic Publishers & Distributoren. 2007. p. 397. ISBN 978-81-269-0752-6.
  45. ^ Schwabach, Aaron (2006). Internet und das Gesetz. ABC-Clio. p. 325. ISBN 978-1-85109-731-9.
  46. ^ Lu, Xicheng; Wei Zhao (2005). Netzwerk und mobiles Computing. Birkhäuser. p. 424. ISBN 978-3-540-28102-3.
  47. ^ Boyle, Phillip (2000). "SANS -Institut - Intrusion Detection FAQ: Verteilte Verweigerung von Service -Angriffstools: n/a". Ohne Institut. Archiviert von das Original am 2008-05-15. Abgerufen 2008-05-02.
  48. ^ Leyden, John (2004-09-23). "US -Kreditkartenfirma kämpft gegen den DDOS -Angriff". Das Register. Abgerufen 2011-12-02.
  49. ^ Swati Khandelwal (23. Oktober 2015). "CCTV -Kameras hacken, um DDOS -Angriffe zu starten". Die Hacker News.
  50. ^ Zeifman, Igal; Gayer, Ofer; Wilder, oder (21. Oktober 2015). "CCTV DDOS Botnetz in unserem eigenen Hinterhof". incapsula.com.
  51. ^ Glenn Greenwald (2014-07-15). "Hacking Online -Umfragen und andere Möglichkeiten, wie britische Spione das Internet kontrollieren wollen". Das Intercept_. Abgerufen 2015-12-25.
  52. ^ "Wer steckt hinter DDOS -Angriffen und wie können Sie Ihre Website schützen?". Cloudbric. 10. September 2015. Abgerufen 15. September 2015.
  53. ^ Solon, Olivia (9. September 2015). "Cyber-Ausdorten, die auf den Finanzsektor abzielen, fordern Bitcoin-Ransoms". Bloomberg. Abgerufen 15. September 2015.
  54. ^ Greenberg, Adam (14. September 2015). "Akamai warnt vor einer erhöhten Aktivität aus der DDOS -Erpressungsgruppe". SC -Magazin. Abgerufen 15. September 2015.
  55. ^ "OWASP -Plan - Strawman - Layer_7_ddos.pdf" (PDF). Öffnen Sie das Sicherheitsprojekt für Webanwendungen. 18. März 2014. Abgerufen 18. März 2014.
  56. ^ "OWASP HTTP -Post -Tool". Archiviert von das Original Am 2010-12-21.
  57. ^ "Was ist ein CC -Angriff?". Huawei Cloud-Wachstum mit Intelligenz. Archiviert vom Original am 2019-03-05. Abgerufen 2019-03-05.
  58. ^ 刘鹏;郭洋. "CC (Challenge Collapsar) Angriffsverteidigungsmethode, Gerät und System". Google -Patente. Archiviert vom Original am 2019-03-05. Abgerufen 2018-03-05.
  59. ^ 曾 宪力;史伟;关志 来;彭国柱. "CC (Challenge Collapsar) Angriffsschutzmethode und -vorrichtung". Google -Patente. Archiviert vom Original am 2019-03-05. Abgerufen 2018-03-05.
  60. ^ "史上 最 臭名 昭著 的 黑客 工具 cc 的 前世今生 前世今生". Netease (in vereinfachtem Chinesisch).驱动 中国 网 (北京). 2014-07-24. Archiviert von das Original Am 2019-03-05. Abgerufen 2019-03-05.
  61. ^ "Arten von DDOs -Angriffen". DDOS -Ressourcen (Distributed Denial of Service Attacks), durchdringende Technologielabors an der Indiana University. Advanced Networking Management Lab (ANML). 3. Dezember 2009. archiviert von das Original Am 2010-09-14. Abgerufen 11. Dezember, 2013.
  62. ^ a b "Was ist ein Nuke? | Radware - ddospedia". Security.radware.com. Abgerufen 2019-09-16.
  63. ^ Paul SOP (Mai 2007). "Prolexic Distributed Denial of Service Attack Alarm". Prolexic Technologies Inc.. Prolexic Technologies Inc. archiviert aus das Original am 2007-08-03. Abgerufen 2007-08-22.
  64. ^ Robert Lemos (Mai 2007). "Peer-to-Peer-Netzwerke haben für DOS-Angriffe kooptiert". SecurityFocus. Abgerufen 2007-08-22.
  65. ^ Fredrik Ullner (Mai 2007). "Verteilte Angriffe verweigern". DC ++: Nur diese Jungs, weißt du?. Abgerufen 2007-08-22.
  66. ^ Leyden, John (2008-05-21). "Phrashing -Angriff thrount eingebettete Systeme". Das Register. Abgerufen 2009-03-07.
  67. ^ Jackson Higgins, Kelly (19. Mai 2008). "Permanente Denial-of-Service-Angriffs-Sabotagen-Hardware". Dunkle Lesung. Archiviert von das Original am 8. Dezember 2008.
  68. ^ ""Brickerbot" führt zu PDOS -Angriffen ". Radware. Radware. 4. Mai 2017. Abgerufen 22. Januar, 2019.
  69. ^ "EUSECWEST ANWENDUNGSBEREICHERUNGSKONFERENZ: LONDON, UK," Eusecwest. 2008. archiviert von das Original am 2009-02-01.
  70. ^ Rossow, Christian (Februar 2014). "Amplifikation Hölle: Überprüfung von Netzwerkprotokollen für DDOS -Missbrauch" (PDF). Internetgesellschaft. Archiviert von das Original (PDF) am 4. März 2016. Abgerufen 4. Februar 2016.
  71. ^ Paxson, Vern (2001). "Eine Analyse der Verwendung von Reflektoren für verteilte Denial-of-Service-Angriffe". Icir.org.
  72. ^ "Alarm (TA14-017A) UDP-basierte Verstärkungsangriffe". US-Cert. 8. Juli 2014. Abgerufen 2014-07-08.
  73. ^ "CVE-2022-26143: Eine Zero-Tag-Anfälligkeit für die Start von UDP-Amplifikation DDOS-Angriffen". Wolkenflare Blog. 2022-03-08. Abgerufen 16. März 2022.
  74. ^ "Memcached 1.5.6 Versionsnotizen". GitHub. 2018-02-27. Abgerufen 3. März 2018.
  75. ^ "DRDOS / Amplification -Angriff mit dem Befehl ntpdc monlist" ". Support.ntp.org. 2010-04-24. Abgerufen 2014-04-13.
  76. ^ Van Rijswijk-deij, Roland (2014). "DNSSEC und sein Potenzial für DDOS -Angriffe". DNSSEC und sein Potenzial für DDOS -Angriffe - eine umfassende Messstudie. ACM -Presse. S. 449–460. doi:10.1145/2663716.2663731. ISBN 9781450332132. S2CID 2094604.
  77. ^ Adamsky, Florian (2015). "P2P-Datei-Sharing in der Hölle: Ausnutzung von BitTorrent-Schwachstellen, um verteilte reflektierende DOS-Angriffe zu starten".
  78. ^ Vaughn, Randal; Evron, Gadi (2006). "DNS -Verstärkungsangriffe" (PDF). Isotf. Archiviert von das Original (PDF) Am 2010-12-14.
  79. ^ "Alarm (TA13-088A) DNS-Amplifikationangriffe". US-Cert. 8. Juli 2013. Abgerufen 2013-07-17.
  80. ^ a b Kolias, Konstantinos; Kambourakis, Georgios; Stavrou, Angelos; Voas, Jeffrey (2017). "DDOs im IoT: Mirai und andere Botnets". Computer. 50 (7): 80–84. doi:10.1109/mc.2017.201. S2CID 35958086.
  81. ^ Kuzmanovic, Aleksandar; Knightly, Edward W. (2003-08-25). Niedrige TCP-zielgerichtete Denialverweigerung von Dienstangaben: Die Spitzmäuse gegen die Mäuse und Elefanten. ACM. S. 75–86. Citeseerx 10.1.1.307.4107. doi:10.1145/863955.863966. ISBN 978-1581137354.
  82. ^ "R-U-Dead-Yet".
  83. ^ "Sack Panik und andere TCP -Denial -Denial -Diensteprobleme". Ubuntu Wiki. 17. Juni 2019. archiviert von das Original am 19. Juni 2019. Abgerufen 21. Juni 2019.
  84. ^ "CVE-2019-11479". CVE. Archiviert von das Original am 21. Juni 2019. Abgerufen 21. Juni 2019.
  85. ^ Yu Chen; Kai Hwang; Yu-Kwong Kwok (2005). "Filterung von Shrew -DDOS -Angriffen im Frequenzbereich". Die IEEE -Konferenz über lokale Computernetzwerke zum 30. Jubiläum (LCN'05) l. S. 8 pp. doi:10.1109/lcn.2005.70. HDL:10722/45910. ISBN 978-0-7695-2421-4. S2CID 406686.
  86. ^ a b Ben-Porat, U.; Bremler-Barr, A.; Levy, H. (2013-05-01). "Sicherheitsanfälligkeit von Netzwerkmechanismen für hoch entwickelte DDOS -Angriffe". IEEE -Transaktionen auf Computern. 62 (5): 1031–1043. doi:10.1109/tc.2012.49. ISSN 0018-9340. S2CID 26395831.
  87. ^ Orbitalsatelit. "Langsamer HTTP -Test". SourceForge.
  88. ^ Eddy, Wesley (August 2007). "TCP -Syn -Überschwemmungsangriffe und gemeinsame Minderungen". Tools.ietf.org. RFC 4987. Abgerufen 2011-12-02.
  89. ^ "Cert Advisory CA-1997-28 IP-Denial-of-Service-Angriffe". Zertifikat 1998. Abgerufen 18. Juli, 2014.
  90. ^ "Windows 7, Vista, die einem" Teardrop -Angriff "ausgesetzt ist". ZDNET. 8. September 2009. Abgerufen 2013-12-11.
  91. ^ "Microsoft Security Advisory (975497): Schwachstellen in SMB könnten die Ausführung der Remotecode ermöglichen". Microsoft.com. 8. September 2009. Abgerufen 2011-12-02.
  92. ^ "FBI - falsche Telefonanrufe lenken die Verbraucher von echtem Diebstahl ab". Fbi.gov. 2010-05-11. Abgerufen 2013-09-10.
  93. ^ "Betrug des Internet Crime Complaint Center (IC3) ist 7. Januar 2013". IC3.gov. 2013-01-07. Abgerufen 2013-09-10.
  94. ^ "TTL Abiry Attack Identifikation und Minderung". Cisco -Systeme. Abgerufen 2019-05-24.
  95. ^ "Neue DDOS -Angriffsmethode nutzt UPNP". Dunkle Lesung. Abgerufen 2018-05-29.
  96. ^ "Neue DDOS -Angriffsmethode erfordert einen neuen Ansatz zur Verstärkung der Angriffsminderung - Blog | Imperva". Blog | Imperva. 2018-05-14. Abgerufen 2018-05-29.
  97. ^ Leitfaden zu DDOS -Angriffen, S. 8
  98. ^ "UDP-basierte Verstärkungsangriffe".
  99. ^ SSDP erzeugt 100 Gbit / s DDOs
  100. ^ "Dummes einfaches DDOS -Protokoll (SSDP) erzeugt 100 Gbit / s DDOS". Der Cloudflare -Blog. 2017-06-28. Abgerufen 2019-10-13.
  101. ^ Loukas, G.; Oke, G. (September 2010). "Schutz gegen Denial -of -Service -Angriffe: Eine Umfrage" (PDF). Computer. J. 53 (7): 1020–1037. doi:10.1093/comjnl/bxp078. Archiviert von das Original (PDF) Am 2012-03-24. Abgerufen 2015-12-02.
  102. ^ "MPLS-basierter synchroner Verkehr Shunt (Nanog28)". Riverhead -Netzwerke, Cisco, Colt Telecom. Nanog28. 2003-01-03. Archiviert von das Original Am 2003-01-03. Abgerufen 2003-01-10.
  103. ^ "Ablenkung und Sieben -Techniken zur Besiege von DDOS -Angriffen". Cisco, Riverhead -Netzwerke. Nanog23. 2001-10-23. Archiviert von das Original am 2008-09-21. Abgerufen 2001-10-30.
  104. ^ "DDOS -Minderung über regionale Reinigungszentren (Januar 2004)" (PDF). Sprintlabs.com. Sprint ATL -Forschung. Archiviert von das Original (PDF) am 2008-09-21. Abgerufen 2011-12-02.
  105. ^ Alqahtani, S.; Gamble, R. F. (1. Januar 2015). DDOs -Angriffe in Service -Wolken. 2015 48. Hawaii International Conference on System Sciences (HICSS). S. 5331–5340. doi:10.1109/hICs.2015.627. ISBN 978-1-4799-7367-5. S2CID 32238160.
  106. ^ Kousiouris, George (2014). "Schlüsselabschlussindikatoren: Minimierung der Auswirkung von DOS-Angriffen auf elastische Cloud-basierte Anwendungen basierend auf Markov-Ketten-Checkpoints auf Anwendungsebene". Nahe Konferenz. S. 622–628. doi:10.5220/0004963006220628. ISBN 978-989-758-019-2.
  107. ^ Patrikakis, C.; Massikos, M.; Zouraraki, O. (Dezember 2004). "Verteilte Ablehnung von Serviceangriffen". Das Internet Protocol Journal. 7 (4): 13–35. Archiviert von das Original Am 2015-12-27. Abgerufen 2010-01-13.
  108. ^ Popeskic, Valter (16. Oktober 2012). "Wie verhindern oder stoppen Sie DOS -Angriffe?".
  109. ^ Froutan, Paul (24. Juni 2004). "Wie man sich gegen DDOS -Angriffe verteidigen". Computerwelt. Abgerufen 15. Mai, 2010.
  110. ^ "Cyber ​​Security Schwachstellenprobleme in die Höhe schnellen". Computerweekly.com. Abgerufen 2018-08-13.
  111. ^ Suzen, Mehmet. "Einige iOS -Tipps für Internetdienst (Anbieter)" (PDF). Archiviert von das Original (PDF) am 2008-09-10.
  112. ^ SSDP -DDOS -Angriff
  113. ^ Shiels, Maggie (2009-06-26). "Das Web verlangsamt sich nach Jacksons Tod". BBC News.
  114. ^ "Es tut uns leid. Automatisierter Abfragefehler". Google -Produktforen ›Google -Suche Forum. 20. Oktober 2009. Abgerufen 2012-02-11.
  115. ^ "YouTube verklagt von Sound-Alike-Site". BBC News. 2006-11-02.
  116. ^ Bill Chappell (12. März 2014). "Die Leute überladen Website, in der Hoffnung, nach einem fehlenden Jet zu suchen". NPR. Abgerufen 4. Februar 2016.
  117. ^ Palmer, Daniel (19. August 2016). "Experten haben Zweifel an der Zensus -DDOS -Ansprüche besetzt". Abgrenzer. Abgerufen 31. Januar 2018.
  118. ^ Cohen, Skylar (19. April 2021). "Freitagabend Funkin 'Week 7 enthüllt Newgrounds". Game Rant. Archiviert vom Original am 25. April 2021. Abgerufen 15. Mai, 2022.
  119. ^ "Rückenstreuanalyse (2001)". Animationen (Video). Genossenschaftliche Vereinigung für Internetdatenanalysen. Abgerufen 11. Dezember, 2013.
  120. ^ "Das FBI beschlagnahmt 15 DDOs-für-Hire-Websites". Kotaku. 6. Januar 2019.
  121. ^ "United States Code: Titel 18.1030. Betrug und verwandte Aktivitäten im Zusammenhang mit Computern | Regierungsdrucke". gpo.gov. 2002-10-25. Abgerufen 2014-01-15.
  122. ^ "Utah Mann wegen Computer -Hacking -Kriminalität verurteilt". 2019-07-02. Archiviert vom Original am 2019-07-10.
  123. ^ Smolaks, Max (2019-07-04). "Holen Sie sich REKT: Zwei Jahre in CLINK für spielbusting DDOs Brat Derptrolling". Das Register. Abgerufen 2019-09-27. Austin Thompson, alias Derptrolling, der 2013 mit der Einführung von DDOS -Angriffen (Distributed Denial of Service) gegen große Videospielunternehmen bekannt wurde, wurde von einem Bundesgericht zu 27 Monaten Gefängnis verurteilt. Thompson, ein Einwohner von Utah, muss ebenfalls 95.000 US -Dollar für Tagesbreak -Spiele zahlen, die Sony im Besitz von Derptrolling befanden. Zwischen Dezember 2013 und Januar 2014 setzte Thompson auch Valve's Steam - die größte digitale Vertriebsplattform für PC -Spiele - sowie den Ursprungsservice von Electronic Arts und den Battlenet von Blizzard. Die Störung dauerte zwischen Stunden und Tagen.
  124. ^ "Internationale Maßnahmen gegen DD4BC Cybercriminal Group". Europol. 12. Januar 2016.
  125. ^ "Computermissbrauchsgesetz 1990". Gesetzgebung.gov.uk - The National Archives, Großbritanniens. 10. Januar 2008.
  126. ^ "Newsroom". Europol. Abgerufen 29. Januar 2019.
  127. ^ "Behörden auf der ganzen Welt, die Nutzer der größten DDOS-for-Hire-Website verfolgen". Europol. Abgerufen 29. Januar 2019.
  128. ^ "Anonyme DDOS -Petition: Gruppenaufrufe auf das Weiße Haus, um verteilte Denial -of -Service als Protest zu erkennen.". Huffingtonpost.com. 2013-01-12.

Weitere Lektüre

Externe Links