SYN-наводнение (SYN-flood)

Данный тип атаки - SYN-наводнение - использует стандартный механизм установления TCP-соединения, называемый также механизмом тройного квитирования - посылка SYN-пакета, получение пакета SYN-ACK и посылка ACK-пакета. Суть атаки заключается в создании большого числа незавершенных TCP-соединений: на машину жертвы обрушивается шквал запросов на установление соединения, т.е. пакеты с выставленным флагом SYN; сервер отвечает, как и положено, пакетами SYN-ACK, но открытия соединения не воспоследует, а - следует отправка следующего SYN-пакета, на который также следует ответ, данное соединения также остается незавершенным и т.д., вследствие чего ресурсы машины вскоре оказываются исчерпаны. В результате мы имеем атаку на отказ в обслуживании, т.к. новые соединения уже не могут быть открыты; сервер выпадает в оффлайн.

Ветхозаветный synk4 может служить яркой иллюстрацией реализации такого рода атаки; программа способна передавать целевой хост, порт; а также - затрудняющий, разумеется, изъявление справедливого гнева админа, случайный адрес источника пакетов.

UDP-наводнение (UDP-flood)

Еще одно весьма образное название данного типа атаки, цель которой также отказ в обслуживании - шторм UDP-пакетов. Используется бессеансовый режим протокола UDP; инициируется отправка огромного количества UDP-пакетов, результатом чего является перегрузка сети и целевых машин. Изюминкой данного метода можно признать то обстоятельство, что UDP-трафик пользуется ярко выраженным приоритетом перед TCP-трафиком; в отличие от TCP - в UDP отсутствует механизм предоствращения подобных перегрузок, что приводит к весьма печальному результату - UDP-трафик быстро захватывает полосу пропускания.

Наиболее распространенный пример UDP-наводнения - атака на сервис chargen. Механизм здесь достаточно несложен; предположим, устанавливается связь между двумя хостами - соответственно chargen и echo. Сервис chargen генерит символы, сервис echo дублирует получаемые данные. Идет отправка UDP-пакетов на порт 19 (chargen) первого хоста, IP-адрес и порт источника подделываются (UDP-порт 7 (echo)). Таким образом - фрагмент сети, соединяющий два хоста, явно перегружен, что может резко негативно сказаться на функционале все сети.

Пакетная фрагментация

В контексте перечня атак, направленных на отказ в обслуживании, совершенно необходимо упомянуть так называемую пакетную фрагментацию. Данный тип атаки использует ряд уязвимостей TCP/IP, связанных с дефрагментацией пакетов и возможностью инициировать сложности в сборке фрагментов; насчитывается немалое количество ее разновидностей - bonk, boink и newtear, teardrop, ping of death. Последняя, например, использует некорректную обработку ICMP-фрагментов, посылая больше данных, нежели максимальный размер всего IP-пакета.

Smurfing

Принцип остроумной и несложной этой атаки основан на использовании ICMP-протокола. Ping-пакеты с подделанным адресом источника, отправленные по широковещательному адресу, доставляются всем хостам сети, что вызывает шквал ответов на указанную в качестве источника машину жертвы - ICMP ECHO REPLY. В результате, как несложно предположить, сеть подвергается явной перегрузке; и цель атаки - отказ в обслуживании - вероятнее всего, достигнут.

Наиболее известные утилиты, печально известные в плане организации DDoS (Distributed Denial of Service, распределенный отказ в обслуживании) - это Tribal Flood Network (TFN), TFN2K, Trinoo и Stacheldraht. Которые совершенно необязательно искать в инете сразу по прочтении этой статьи; нелишне помнить, что изложенная информация является сугубо ознакомительной и, как уже сказано, почти что классикой хакерского искусства. IT-мир не стоит на месте; описанные виды атак интересны сегодня уже скорее лишь как история.

Хотя...

:)