La mayoría de los tipos reducidos de ataques DoS

6

Según tengo entendido, generalmente hay solo dos tipos de ataques de Denegación de Servicio en relación con el modelo OSI:

  • Red-Layer-DoS (NLDoS) en las capas 3 , 2 o 1.

  • Application-Layer-DoS (ALDoS) en las capas 7 , 6 o 5.

¿Qué pasa con la capa 4? ¿Hay ataques de denegación de servicio generalmente disponibles en esta capa? Además, ¿es preciso mi intento de reducción?

    
pregunta JohnDoea 15.09.2018 - 23:04
fuente

4 respuestas

5
  

¿Qué pasa con la capa 4 y mi intento de reducción es preciso?

Tu intento de reducción parece agrupar los niveles 3, 2 y 1 juntos y agrupar 7, 6 y 5 juntos. Esto no es del todo exacto ya que pueden existir ataques de denegación de servicio en todos los niveles del modelo OSI.

Además, existe una complicación con respecto al modelo OSI frente al mundo real. Las otras respuestas y comentarios son correctos de que el modelo OSI de siete capas no es el modelo que se usa más comúnmente para describir ataques basados en la red (como DOS). El modelo más utilizado es el modelo de pila de Internet "TCP / IP". La principal diferencia semántica entre estos modelos es que el modelo OSI utiliza las capas 5, 6 y 7, mientras que en el modelo TCP / IP, todo sobre TCP se llama capa 5 (la capa de aplicación). Una razón para esto es que el modelo OSI es independiente del protocolo, pero en el mundo real es el rey TCP. En TCP / IP, TCP e IP corresponden a las capas 4 y 3 del modelo OSI, respectivamente. Todo lo que está por encima de TCP se llama simplemente capa 5 (la capa de aplicación).

Respecto a la capa 4: hay una variedad de ataques que pueden ocurrir en la capa 4. En el mundo real, en su mayor parte esto significa ataques en la capa de transporte a través de TCP o UDP (dos de los principales protocolos de la capa de transporte). Como mencionan las otras respuestas y comentarios, un ataque importante a través de TCP es el ataque de inundación de TCP SYN. Esto implica enviar una gran cantidad de paquetes SYN para abrir conexiones en la máquina que está siendo atacada, pero nunca completar o finalizar la conexión, por lo que la máquina atacada invierte recursos y tiempo en escuchar y, finalmente, tiene que agotarse. A continuación enumero algunos ataques de DOS (o DDOS) de capa 4:

  • TCP SYN Flood Attack (descrito anteriormente y en otras respuestas)
  • Ataque TCP SYN-ACK (Enviar SYN con una dirección falsificada a la (s) máquina (es) zombie (s), el (los) zombie (s) envía (s) SYN-ACK para atacar al objetivo)
  • UDP Flood Attack (enviando muchos paquetes UDP)

Con respecto a ICMP, a menudo esto también se denomina "ping" y se usa para entender la conectividad de la red. Por esta razón, es mejor llamar a un ataque de inundación de ICMP un ataque de capa 3 en lugar de un ataque de capa 4 a pesar de que ICMP "vive por encima de" IP.

Aquí hay algunos ejemplos adicionales de ataques de DOS en cada capa de la pila de Internet:

  • Capa 5 (Capa de aplicación): ejemplos de protocolos de capa de aplicación son HTTP, FTP, DNS, etc. Un ataque de inundación de DNS es un ejemplo de un ataque de DOS en el que los atacantes intentan utilizar todos los recursos de un servidor DNS y, por lo tanto, denegar el servicio a otros usuarios legítimos.
  • Capa 4 (Capa de transporte): (Ver arriba)
  • Capa 3 (Capa de red): Inundación de ICMP (consulte la discusión de ICMP más arriba). Para otro ejemplo, considere el secuestro de IP.
  • Capa 2: desbordamiento de la tabla CAM de un conmutador de capa 2.
  • Capa 1: corte el cable Ethernet. O, otro ejemplo, atasco de teléfono celular (explosión del canal físico (aire) con ruido de RF).
respondido por el hft 18.09.2018 - 20:34
fuente
7

Las capas OSI y los ataques DoS de muestra son los siguientes:

Capa 7 (Capa de aplicación): ataques basados en HTTP GET o POST

Capa 6 (Capa de presentación): ataques de solicitud SSL mal formados

Capa 5 (Capa de sesión) - Ataques de sesión Telnet / SSH

Capa 4 (Capa de transporte): ataques SYN Flood / SMURF

Capa 3 (Capa de red): ataques de inundación de ICMP

Capa 2 (Capa de enlace de datos): ataques de inundación de MAC

Capa 1 (Capa física) - Destrucción física

    
respondido por el Kay 16.09.2018 - 12:34
fuente
7
  

Layer 4 (Transporte) A menudo se hace referencia al ataque DoS como un SYN flood .

Las capas 5, 6 y 7 del modelo OSI se conocen como la capa de aplicación dentro de TCP / IP. Lo que mencionó como "Application-Layer-DoS (ALDoS), en la capa 7". Sin embargo, una capa de aplicación inundable, podría ser referida como XDoS. Desafortunadamente, además de Guía rápida de DDoS por National Cybersecurity y Centro de Integración de Comunicaciones, 29 de enero de 2014 No pude encontrar mucho sobre el modelo OSI para DoS. En cambio, la mayoría de la documentación habla sobre el modelo TCP / IP para DoS.

Desde Guía rápida de DDoS pude determinar estos ejemplos para el modelo OSI sin embargo:

  • Capa 5 (Sesión) - Ataque DDoS por Telnet
  • Capa 6 (Presentación) - Solicitud SSL con formato incorrecto
  • Capa 7 (Aplicación):
    • solicitud GET de PDF
    • HTTP GET
    • POST HTTP
respondido por el safesploit 15.09.2018 - 23:36
fuente
2

Hay básicamente dos enfoques diferentes para clasificar los ataques DDoS utilizando el modelo de red ISO / OSI.

1) El primero de ellos es principalmente popular en artículos de investigación : intente analizar el Carga útil de los paquetes que la víctima está recibiendo, como si se tratara de tráfico legítimo. El protocolo superior (en términos de modelo OSI) que aún es reconocible define la soledad del ataque.

Digamos que estás operando en un enlace de gigabit y que estás recibiendo 3 gigabits de UDP por segundo, lo que hace que tus servicios de acceso a Internet sean inalcanzables para el resto del mundo debido a la gran congestión. Con este enfoque, si el puerto UDP de origen o destino dentro de los paquetes de ataque es igual a 53 y el contenido de esos paquetes se parece al DNS consultas, entonces usted puede decir que es una "inundación de DNS". El sistema de nombres de dominio pertenece a la capa 7 de OSI, por lo que este es un ataque DDoS de capa 7.

Pero si de repente el valor del puerto UDP se cambia a, digamos, 0, entonces se convierte inmediatamente en un ataque DDoS de capa 4 ("inundación UDP"), aunque el efecto final del ataque sigue siendo el mismo.

Con este enfoque, prácticamente cualquier ataque donde los paquetes contengan cualquier valor sensible en el campo IPv4 Protocol / IPv6 Next Header pero no permitir ninguna otra toma de huellas dactilares sería un ataque de capa 4.

2) El otro enfoque, que es utilizado principalmente por los proveedores de mitigación de DDoS [1] , [2] , [3] , es el siguiente. El propósito de un ataque DDoS es reducir un recurso de red. Un recurso de red no proporciona un servicio si, y solo si, al menos una de las capas de red de las que depende no funciona correctamente. Un ataque "pertenece" a la capa más baja que se ve afectada.

De esta manera, en el ejemplo anterior, tanto la inundación de DNS como la inundación de UDP se marcarán con la capa OSI 2 o la capa 3, dependiendo de la arquitectura de su red (por ejemplo, si le gustan a arp packet-priority enable son configurado en sus conmutadores, y así sucesivamente), y cualquier ataque que afecte las implementaciones de la capa 4 (por ejemplo, controladores TCP y módulos del kernel) directamente sería un ataque de la capa 4. Los ejemplos comunes incluyen:

y así sucesivamente.

    
respondido por el ximaera 20.09.2018 - 17:33
fuente

Lea otras preguntas en las etiquetas