a normal tcp packet shown in figure
¿Cómo un paquete TCP que causa dos ataques diferentes del paquete TCP normal?
a normal tcp packet shown in figure
¿Cómo un paquete TCP que causa dos ataques diferentes del paquete TCP normal?
En realidad no difiere. Una denegación de servicio usualmente involucra una inundación de paquetes, en lugar de un solo paquete mal formado. Hubo algunos ataques "atrás en el día", como el Ping of Death, que explotó vulnerabilidades en el código de manejo de paquetes en el sistema objetivo, pero estos son (en gran parte) una cosa del pasado.
En general, con un ataque DoS, encontrará que se envían miles de paquetes SYN para matar de hambre al sistema de recursos. Esto puede evitar que los usuarios legítimos se conecten, ya que el sistema está tratando de servir a los clientes falsos.
Los paquetes TCP "para DoS" no son diferentes de los paquetes TCP "no para DoS". La diferencia está en el intento .
Un servidor típico, frente a Internet (por ejemplo, un servidor web), está listo para gastar algunos de sus valiosos recursos (CPU, RAM ...) en el procesamiento y la respuesta a solicitudes de clientes anónimos. Esa es su función. El servidor está diseñado para actuar de esa manera. Por supuesto, estos recursos no son gratuitos; Las personas que pagaron por ellos lo hacen porque creen que los clientes usarán el servidor de una manera "normal". Por ejemplo, para un sitio Q & A como security.stackexchange.com , los propietarios del servidor están listos para pagar por el servidor bajo el acuerdo tácito de que el cliente está bajo el control de un ser humano quién leerá o al menos hojeará el contenido de la página.
Un denegación de servicio típico es cuando muchos clientes se conectan sin respetar ese acuerdo: los clientes Haz muchas peticiones y ningún humano lee las respuestas. Esto hace que el servidor gaste los recursos "para nada", y si hay suficientes clientes no humanos, el servidor ya no tiene recursos suficientes para manejar otros clientes normales, honestos y humanos.
Pero todo esto tiene que ver con el procesamiento de los datos una vez obtenidos en el lado del cliente. Por naturaleza, esto está fuera del alcance del servidor. Desde el punto de vista del servidor, estas solicitudes DoS no son distinguibles individualmente de las solicitudes normales. Para resaltar la diferencia, considere las siguientes situaciones:
La situación 1 es un DoS simple. Lo mismo ocurre con la situación 2, que no se distingue de la situación 1 simplemente mirando los paquetes. La situación 3, sin embargo, no es un DoS; el propietario del servidor no reaccionará con eso lloriqueando y llamando a la Policía; en cambio, el propietario del servidor comprará servidores más grandes y tomará un poco de champaña ante la posibilidad de diez millones de clientes potenciales. Pero, nuevamente, no hay diferencia técnica entre las situaciones 2 y 3, como puede verse desde el servidor.
La defensa práctica contra DoS implica formas heurísticas para reconocer la situación 3 de manera diferente a las situaciones 1 y 2. CAPTCHA , por ejemplo, se usa para asegurarse de que un ser humano real esté detrás del teclado, por lo que se detecta la situación 1 (pero no 2) (al menos esa es la intención; si CAPTCHA funciona bien es otra pregunta). El sistema de detección heurística será eficaz para discriminar el DoS tipo 1 mal hecho, pero se puede vencer fácilmente con un poco de competencia y usar mucho de clientes distintos (el famoso denegación de servicio distribuido ataque).
En cualquier caso, los métodos de detección de DoS no son para analizar una solicitud, sino sobre correlaciones entre muchas solicitudes . No encontrará un poco en el encabezado TCP que dice "esto es para un DoS, no para un usuario humano normal". DoS, o no DoS, es una pregunta definida sobre un gran conjunto de solicitudes. Cada solicitud individual es idéntica a una solicitud "no-DoS" normal.
En los viejos tiempos, hubo un ataque divertido llamado ping-of-death . Se trata de enviar un paquete de ping con un tamaño superior a 65,535 bytes, lo que provocará que el sistema de destino se bloquee. Este ataque se ha solucionado durante bastante tiempo.
En general, un ataque de denegación de servicio ocurre cuando un sistema o aplicación de destino recibe un paquete que contiene datos que no esperaba recibir y, por lo tanto, no podía manejar. El ping del ataque de la muerte es un ejemplo de esto. Este tipo de ataque de denegación de servicio es cada vez menos común.
Otro tipo de ataque de denegación de servicio es el ataque distribuido de denegación de servicio. Esto implica enviar cantidades masivas de paquetes normales a un sistema de destino con la esperanza de agotar todo el ancho de banda disponible, bloqueando así el tráfico legítimo. La mayoría de los ataques de denegación de servicio son de esta naturaleza porque es increíblemente fácil de realizar y se puede escalar fácilmente para eliminar casi cualquier objetivo. Consulte la reciente Spamhaus ' ataque .
Casi todos los ataques DoS no utilizan paquetes de red alternados. Esto se debe a que los ataques DoS al alternar paquetes de red son demasiado específicos, por lo que no se usan ampliamente. En los ataques SYN solo usa una dirección de remitente falsificada.
La mayoría del DoS explota la aplicación de servicio, los paquetes de red son los mismos que los paquetes ordinarios. Esto se debe a que el DoS está intentando paralizar la aplicación del servicio de Internet mediante el envío de solicitudes de proceso lento.
En estos días, muchos de los ataques DoS de la capa 7, y me di cuenta de que digo que DoS significa que se usa una computadora.
Así que te daré un ejemplo, la hermosa y lenta solicitud de GET incompleta de Loris. Podría conectarse al servidor HTTP a través de TCP y luego enviar una solicitud GET de HTTP incompleta, lo que provocará que el servidor no agote el tiempo de espera de la conexión porque la idea es que cree que está en una red que no es de confianza y que no lo hará por largos períodos de tiempo, como 400 segundos.
Simplemente los inundas, o incluso los tienes a 1 por segundo, y el servidor Apache que no tiene la defensa para esto está terminado.
Lea este artículo para obtener más información .
Entonces, para responder a su pregunta: el paquete de conexión TCP no es diferente, pero lo que envíe puede ser diferente y puede hacer una gran diferencia. Tenga en cuenta que el paquete de conexión sigue siendo extremadamente importante porque es lo que lo conecta con el servidor. Simplemente haces que el servidor no agote el tiempo de tu conexión, o haces algo así de fácil
Lea otras preguntas en las etiquetas denial-of-service tcp