1.2.5. Атаки на основе отказа в обслуживании
Важнейшей задачей КС является обеспечение надежного удаленного доступа к данному объекту с любого объекта сети. Всякий пользователь КС должен иметь возможность подключиться к любому объекту КС и получить в соответствии со своими правами удаленный доступ к ее ресурсам. Зачастую в КС такая задача решается следующим образом: на объекте в сетевой ОС запускается ряд программ-серверов, входящих в состав телекоммуникационных служб предоставления удаленного сервиса (например, FTP-сервер, WWW-сервер и т. д.). Сервер, находясь в памяти операционной системы объекта КС, постоянно ожидает получения запроса на подключение от удаленного объекта и по возможности передает запросившему объекту ответ, разрешая подключение или не разрешая. Аналогично происходит создание виртуального канала связи, по которому обычно взаимодействуют объекты. В этом случае непосредственно ядро сетевой ОС обрабатывает приходящие извне запросы на создание виртуального [92].
Атака отказ в обслуживании пытается истощить ресурсы атакуемой компьютерной системы (жертвы). Этими ресурсами являются, ширина канала, вычислительные мощности компьютерных систем. Поиск атаки «отказ в обслуживании» сосредоточен на определении механизма идентификации поведения атаки или механизма реагирования, для уменьшения возможного ущерба, причиненного атакой.
Обычно существуют два основных метода реагирования на атаку. Это нахождение источника атаки, путем различных способов или уменьшение интенсивности атаки, с помощью блокирования атакующих пакетов [35].
Перед началом распределённой атаки, вызывающей отказ в обслуживании пользователей, взломщик занимается поиском слабых мест в системе безопасности хоста. О многих из них становится известно от разработчиков программного обеспечения. Затем на хост-зомби устанавливаются вспомогательные программы, что позволяет атаковать целевой объект с помощью команды. Обладая полным контролем над хостом-зомби, злоумышленник может создавать любые пакеты, в том числе и недопустимого содержания, например пакеты с неверной контрольной суммой, неверными значениями в полях заголовков или с запрещённой комбинацией флагов [12].
Выделяют два разных вида таких атак – основанные на ошибках в программном обеспечении и лавинные атаки. Лавинные атаки подразделяются на атаки с одного и со многих компьютеров. Данная классификация изображена на рис. 1.11.
Операционная система КС способна поддерживать ограниченное число открытых виртуальных соединений, а также отвечать на ограниченное число запросов (ограничена длина очереди запросов на подключение, тайм-аут очистки очереди и число одновременно открытых соединений). Эти ограничения устанавливаются индивидуально для каждой сетевой ОС. При отсутствии статической ключевой информации в КС – идентификация запроса возможна только по адресу его отправителя. Если в КС не предусмотрено средств аутентификации адреса отправителя, т.е. инфраструктура КС позволяет с какого-либо объекта системы
Рис. 1.11. Классификация распределённых атак, основанная на числе посылаемых пакетов и количестве атакующих
xT передавать на атакуемый объект большое число анонимных запросов на подключение от имени других объектов (тем самым переполняя очередь запросов), числом на несколько порядков меньше пропускной способности канала (направленный мини-шторм), то это и будет реализацией типовой угрозы безопасности РВС «отказ в обслуживании» (denial of service, DoS). В результате имеет место нарушение на атакованном объекте работоспособности соответствующей службы предоставления удаленного сервиса, то есть невозможность получения удаленного доступа с других объектов КС из-за переполнения очереди (буфера) запросов [13].