Zerbitzu ukapenaren eraso

Segurtasun informatikoan zerbitzuaren ukatze erasoa edota DoS deiturikoa (ingeleseko Denial of Service izenetik), konputagailu edo konputagailu-sare sistema bati egindako erasoa da, non benetako erabiltzaileek zerbitzuak edo errekurtsoak ezin dituzten erabili.

Oro har, biktimaren sarearen banda zabaleraren edo sistemaren errekurtso konputazionalen gainkargak sarera duen lotura galtzea eragiten du. Informazio isuri handiko ataken gainkargaz sortzen da; zerbitzaria gainkargatu eta ematen ari den zerbitzua eten egiten da. Horregatik esaten zaio "ukapena"; Beraz, zerbitzariak ezingo die erabiltzaileen eskakizunei erantzun. Teknika hau Crakerrek erabiltzen dute zerbitzutik at uzteko jomugan dituzten zerbitzariak.

Dos erasoaren talde-erabilera zerbitzuaren ukatze eraso antolatua, edo DDoS (ingeleseko Distributed Denial of Service izenetik hartua) deiturikoa da. Eraso horren funtsa konexioa gune desberdinetatik egitean eta informazio fluxu jasangaitza sortzean datza.

DdoS-ak egiteko modurik arruntena botnetaren bitartez egitea da. Teknika hau ziber-erasorik erabiliena eta eragingarriena da. Ziber-eraso hauek internet-politikaren aurkakoak dira, eta herrialde gehienetan legea urratzea dakar eraso hauetakoren bat egiteak. Tresna hau askotan erabili izan da jakiteko noiz bihurtzen den ordenagailua ezegonkor eta noiz arte eskaintzen dituen zerbitzuak behar bezala. Horrela, administrariek zerbitzariak jasan dezakeen trafiko bolumenaren edukiera jakin dezakete eta, bidenabar, aparatu bakoitzak duen benetako ahalmena ezagutu dezakete.

Eraso prozedurak

“Zerbitzua ukapenaren” erasoak erabiltzaileen legezko erabilpena eragozten du sarearen zerbitzua erabiltzean. Erasoa modu askotara eman daiteke. Baina denek dute zerbait komunean: TCP/IP protokoloa darabilte beren nahia lortzeko. DoS erasoa modu askotara burutu daiteke. Nahiz eta, gehienbat honetan datzan:

  • konputagailu baliabideen xahutzea, hala nola, banda zabalarena, diskoaren espazioa, edo prozesatzailearen denbora.
  • Konfigurazioaren informazio aldaketa. Adibidez, ibilbideen informazioaren bideraketa.
  • Egoeraren informazio-aldaketa , TCP (TCP reset) saioen etenaldiak medio
  • Sarearen osagarri fisikoen etetea.
  • Zerbitzu baten erabiltzaileen eta biktimaren arteko komunikazioak zailtzea edo egoki komunikatzea eragoztea.

Eraso Motak

SYN Gainezkatzea (SYN Flood)

TCP/IParen oinarriak Makina bat beste makina batekin TCP/IP bitartez komunikatzen denean benetako eskaerarekin batera beste zenbait datu bidaltzen ditu. Datu hauek eskaeraren goiburua osatzen dute. Goiburuaren barruan Flag izeneko seinale batzuk daude. Seinale hauei (flag-ei) esker konexioari hasiera eman, itxi, eskaera bat presazkoa den begiratu, konexioa berrabiatu, etab.,egin daiteke. Flag-ak eskaeraren (bezeroaren) zein erantzunaren (zerbitzariaren) eskaeretan sartzen dira. Ikus dezagun, nolakoa den TCP/IP arteko truke estandarra:

  • 1 Konexioa ezarri: Bezeroak SYN Flaga bidaltzen du, zerbitzariak konexioa onartzen badu, SYN/ACKak batekin erantzun beharko lioke, ondoren bezeroak ACK Flag-arekin erantzungo dio.

1-Bezeroa --------SYN-----> 2-zerbitzaria

4-Bezeroa <-----SYN/ACK---- 3-zerbitzaria

5-Bezeroa --------ACK-----> 6-zerbitzaria

  • 2 Konexioa berrabiarazi: Akatsen bat izanez gero edo bidaltze-paketeen galera Flags RSTaren bidalketa ezartzen da.

1-Bezeroa -------Reset-----> 2-zerbitzaria

4-Bezeroa <----Reset/ACK---- 3-zerbitzaria

5-Bezeroa --------ACK------> 6-zerbitzaria


SYN gainezkatzeak TCP/SYN (goiburuan Flags SYN daramaten eskaera batzuek) paketeen isuria bidaltzen du, askotan jatorrizko helbidea faltsifikatuarekin. Jasotako pakete bakoitza konexio eskaera gisa hartzen du helmugan, horrela, zerbitzariari konexio ahaleginak sortzen dira TCP/SYN-ACK paketearekin erantzuten dira eta horiek TCP/ACK (3 aukera TCP konexioaren ezarpen-prozesuaren zatia) paketearen erantzunaren zain geratzen dira. Hala ere, IP helbidea faltsua denez edo IP helbideak konexiorik eskatu ez duenez, ez da inoiz erantzunik iristen. Konexio ahalegin hauek zerbitzariaren baliabide asko xahutzen dituzte, eta asko mugatzen da zerbitzariak egin ditzaken lotura kopurua. Ondorioz, eskaera errealei erantzuteko zerbitzariaren ahalmena asko murriztuko da.

SYN cookie-ek SYN gainezkatzearen aurkako babesa eskaintzen duen mekanismoa dute. Cookie horiek, lotura bakoitza hasieratzean, host helburuaren baliabide erreserba ezabatzen dute.

ICMP Gainezkatzea (ICMP Flood)

Zerbitzu-ukapen eraso teknika honen helburua biktimaren banda-zabalera agortzea da. Echo request ICMP (ping) pakete astun asko bidaltzean datza erasoa. Horrela, ICMP Echo reply (pong) paketeak sortu beharko ditu biktimak eta gehiegizko lan-kargaren ondorioz, sarea eta biktima baliabide faltan izango dira. Erasotzailearen eta erasotuaren arteko prozesatze-ahalmen erlazioaren baitan egongo da gainkargaren maila.Hau da, erasotzailearen ahalmena askoz handiagoa bada, biktimak ezin izango du sortutako trafikoa jasan.

UDP Gainezkatzea (UDP Flood)

Eraso hau hautaturiko biktimaren aurka UDP pakete kopuru handiak bidaltzean datza. UDP protokoloa konexiorik gabekoa denez, eraso horiek IP spoofing-a izaten dute lagungarri. Eraso horiek echo deia exekutatzen duten makinen aurka egitea ohikoa da. Erasoaren ondorioz, tamaina handiko echo mezuak sortzen dira.

SMURF

Eraso hau ICMP gainezkatzearen aldaera suntsitzaileagoa da, ICMP gainezkatzea baino ondorio larriagoak dituelako. Smurf erasoan parte-hartzaileak 3 dira: Erasotzailea, bitartekaria eta erasotua Hala ere, erasotuaz gain bitartekaria ere biktima izan daiteke. Izan ere, erasotuaren ondorio berdinak pairatu baititzazke. Erasotzaileak "echo request" (ping) motako ICMP paketeak broadcasteko IP helbide batera bidaltzen ditu. Jatorrizko helbide gisa biktimarena erabiltzen du (Spoofing-a). Lotura duten makinek “Echo reply” erabiliko dute erantzuteko eta biktimaren helbidera erantzungo dute. Konexioa duten makina guztiek erantzuna bidaliko dutenez, erasoaren tamaina handiagoa izango da eta ondorioak ere larriagoak izango dira. Izan ere, erantzun horietako bakoitzak biktimaren baliabideak oztopatu nahi ditu eta sistemaren funtzionamendu arrunta eragoztea lortzen du. Horregatik, esan ohi da ICMP-ren ahaide suntsitzailea dela.

LAND erasoa (LAND attack)

Teardrop attack

Aplikazio mailako uholdeak

Nuke-ak

Prebentzioa eta erantzuna

Eraso hauek saihesteko, edota eraso gaituztenean kalteen eragina gutxitzeko, hainbat tresna erabili daitezke. Adibidez suebakiak, switch-ak, router-ak, IPS-an oinarritutako prebentzioa, pipeak garbitzea, Blackholing eta sinkholing-a... Hala ere, erasoa jasan dugunean oso garrantzitsua da gure zerbitzariak baliabide nahikoa izatea. Baliabide nahikoa baditu eskariei aurre egingo die, eta ez da zerbitzu etenik egongo. Erasotzailea baliabide aldetik hobea bada, ordea, zerbitzaria txiki geratuko da eta ezingo ditu eskariak kudeatu. Beraz garrantzitsua da ahalik eta zerbitzari berri eta ahaltsuena izatea.

Legeria

Delitu informatikoei dagokienez, legeria oso atzeratua dago herrialde askotan. Erresuma Batuan, adibidez, 2006az geroztik delituak dira horrelako erasoak, eta 10 urteko kartzela zigorra izan dezakete erasotzaileek. Ameriketako Estatu Batuetan ere zigor handiak jaso ditzake erasoa egiten duenak, delitu federaltzat jotzen baita. Espainian ere legea eraberrituz delitu hauei aurre egin nahi izan diete, eta egun delitua da eraso mota hori egitea. Hala ere, erasotzailearen kokalekua ez jakiteak asko zailtzen du halako erasoen aurkako borroka. Izan ere, nahiz eta delitugilea eta biktima herrialde berekoak izan, askotan beste herrialde batzuetako zerbitzariak agertzen dira tartean. Zerbitzari horietan ezkutatzen da erasotzailearen benetako helbidea, eta helbide hori lortzeko polizien arteko nazioarteko lankidetza behar da. Beraz, delitu txiki asko ez dira argitzen, horiek argitzeak ekarriko lituzkeen kostueangatik. Ondorioz, erasoak eragiten dituen kalteen baitan dago delitua ikertuko duten ala ez.

Ikus, gainera


Kanpo estekak