Denial of Service atack

"DoS" beralih ke halaman ini. Untuk kegunaan lain, lihat DOS (disambiguasi) .

DDoS Stacheldraht Serangan diagram.
Dalam komputasi , sebuah denial-of-service (DoS) atau distributed denial-of-service (DDoS) serangan merupakan upaya untuk membuat mesin atau sumber daya jaringan tidak tersedia untuk yang dimaksudkan pengguna . Meskipun sarana untuk melaksanakan, motif, dan sasaran serangan DoS dapat bervariasi, umumnya terdiri dari upaya untuk sementara atau selamanya mengganggu atau menangguhkan layanan dari tuan rumah terhubung ke internet . Sebagai klarifikasi, DDoS (Distributed Denial of Service) serangan dikirim oleh dua orang atau lebih, atau bot. (Lihatbotnet ) DoS (Denial of Service) serangan dikirim oleh satu orang atau sistem. Seperti tahun 2014 , prevalensi serangan DDoS meningkat ke titik di mana jumlah terdeteksi rata-rata serangan per jam telah mencapai 28. [1]
Pelaku serangan DoS biasanya menargetkan situs atau layanan host di high-profile web server seperti bank, kartu kredit gateway pembayaran, dan bahkan root nameserver . Ancaman DoS juga umum dalam bisnis, [2] dan kadang-kadang bertanggung jawab atas serangan situs web. [3] Teknik ini sekarang telah melihat penggunaan yang luas dalam permainan tertentu, yang digunakan oleh pemilik server atau tidak puas pesaing pada permainan, seperti pemilik server populer minecraft server. Semakin, serangan DoS juga telah digunakan sebagai bentuk perlawanan. Richard Stallman telah menyatakan bahwa DoS merupakan bentuk 'Internet Jalan Protes'. [4] Istilah ini umumnya digunakan berkaitan dengan jaringan komputer , namun tidak terbatas pada bidang ini ; misalnya, juga digunakan dalam referensi untuk CPU pengelolaan sumber daya. [5]
Salah satu metode umum serangan melibatkan menjenuhkan mesin target dengan permintaan komunikasi eksternal, begitu banyak sehingga tidak bisa menanggapi lalu lintas yang sah, atau merespon sangat lambat seperti yang akan diberikan pada dasarnya tidak tersedia. Serangan seperti ini biasanya menyebabkanserver overload . Secara umum, serangan DoS diimplementasikan dengan baik memaksa komputer target (s) untuk me-reset, atau mengkonsumsi nya sumber daya sehingga tidak bisa lagi memberikan layanan yang dimaksudkan atau menghalangi media komunikasi antara pengguna yang dituju dan korban sehingga mereka dapat tidak lagi berkomunikasi secara memadai.
Denial-of-service serangan dianggap pelanggaran Architecture Board Internet 's Internet penggunaan yang tepat kebijakan , dan juga melanggar kebijakan penggunaan yang dapat diterima hampir semua penyedia layanan Internet . Mereka juga umumnya merupakan pelanggaran hukum negara masing-masing.
Isi
1 Gejala dan manifestasi
2 Metode serangan
2.1 Internet Control Message Protocol (ICMP) banjir
2.2 (S) SYN banjir
2.3 Serangan Teardrop
Serangan 2.4 Peer-to-peer
2.5 Asimetri dari pemanfaatan sumber daya dalam serangan kelaparan
2.6 permanen denial-of-service serangan
2,7 banjir Application-level
2,8 Nuke
Serangan 2,9 HTTP POST DDOS
2.10 RU-Mati-Yet? (RUDY)
2.11 Lambat Baca serangan
2.12 serangan Distributed
2.13 Tercermin / spoofed serangan
2.14 Telephony penolakan layanan
2.15 penolakan disengaja layanan
2.16 Denial-of-Service Level II
3 Melakukan DoS-serangan
4 Penanganan
4.1 Firewall
4.2 Switches
4.3 Router
Hardware front end 4.4 Aplikasi
Pencegahan 4,5 IPS berbasis
Pertahanan 4.6 DDS berbasis
4.7 Blackholing dan sinkholing
4,8 pipa Bersih
Efek 5 Side serangan DoS
5.1 Backscatter
6 Legalitas
7 Lihat juga
8 Catatan dan referensi
9 Bacaan lebih lanjut
10 Pranala luar
Gejala dan manifestasi
The United States Computer Emergency Readiness Team (US-CERT) mendefinisikan gejala denial-of-service serangan meliputi:
Luar biasa lambat kinerja jaringan (membuka file atau mengakses situs web)
Tersedianya situs web tertentu
Ketidakmampuan untuk mengakses situs web
Peningkatan dramatis dalam jumlah email spam yang diterima-(jenis serangan DoS dianggap sebagai bom e-mail ) [6]
Pemutusan koneksi internet nirkabel atau kabel
Penolakan jangka panjang akses ke web atau layanan internet
Denial-of-service serangan juga dapat menyebabkan masalah dalam jaringan 'cabang' di sekitar komputer aktual yang diserang. Sebagai contoh, bandwith dari router antara internet dan LAN dapat dikonsumsi oleh serangan, mengorbankan bukan hanya komputer yang dimaksudkan, tetapi juga seluruh jaringan atau komputer lain di LAN. [7]
Jika serangan dilakukan pada skala yang cukup besar, seluruh wilayah geografis konektivitas Internet dapat dikompromikan tanpa pengetahuan penyerang atau maksud dengan peralatan infrastruktur jaringan dikonfigurasi secara tidak benar atau tipis.
Metode serangan
A denial-of-service attack ditandai oleh usaha eksplisit oleh penyerang untuk mencegah pengguna yang sah dari layanan dari menggunakan layanan tersebut. Ada dua bentuk umum serangan DoS: orang-orang bahwa layanan kecelakaan dan yang layanan banjir.
Serangan DoS dapat dilakukan dalam beberapa cara. Serangan dapat dasarnya diklasifikasikan ke dalam lima keluarga:
Konsumsi sumber daya komputasi, seperti bandwidth, memori, ruang disk, atau prosesor waktu.
Gangguan terhadap informasi konfigurasi, seperti Routing informasi.
Gangguan informasi negara, seperti ulang yang tidak diminta dari sesi TCP.
Gangguan komponen jaringan fisik.
Menghalangi media komunikasi antara pengguna yang dituju dan korban sehingga mereka tidak bisa lagi berkomunikasi secara memadai.
Sebuah serangan DoS mungkin termasuk eksekusi malware dimaksudkan untuk:
Max keluar prosesor penggunaan 's, mencegah pekerjaan dari terjadi.
Memicu kesalahan dalam microcode mesin.
Memicu kesalahan dalam urutan instruksi, sehingga memaksa komputer menjadi negara stabil atau lock-up.
Eksploitasi kesalahan dalam sistem operasi, menyebabkan kelaparan sumber daya dan / atau meronta-ronta , yaitu untuk menggunakan semua fasilitas yang tersedia sehingga tidak ada kerja nyata dapat dicapai atau dapat menyebabkan crash sistem itu sendiri
Crash sistem operasi itu sendiri.
Dalam kebanyakan kasus serangan DoS melibatkan penempaan alamat pengirim IP ( alamat IP spoofing ) sehingga lokasi mesin menyerang tidak dapat dengan mudah diidentifikasi dan untuk mencegah penyaringan paket berdasarkan alamat sumber.
Internet Control Message Protocol (ICMP) banjir
Lihat juga: serangan Smurf , Ping banjir dan Ping kematian
Sebuah serangan smurf adalah salah satu varian tertentu dari banjir DoS serangan di Internet publik. Hal ini bergantung pada perangkat jaringan terkonfigurasi yang memungkinkan paket yang akan dikirim ke semua host komputer pada jaringan tertentu melalui alamat broadcast jaringan, daripada mesin tertentu. Jaringan kemudian berfungsi sebagai penguat smurf. Dalam serangan itu, para pelaku akan mengirimkan sejumlah besar IP paket dengan alamat sumber palsu untuk muncul sebagai alamat korban.Bandwidth jaringan dengan cepat habis, mencegah paket yang sah dari mendapatkan melalui ke tujuan mereka. [8] Untuk memerangi penolakan layanan serangan di Internet, layanan seperti Smurf Amplifier Registry telah memberikan penyedia layanan jaringan kemampuan untuk mengidentifikasi jaringan terkonfigurasi dan untuk mengambil tindakan yang tepat seperti penyaringan .
Ping banjir didasarkan pada pengiriman korban yang jumlahnya sangat besar ping paket, biasanya menggunakan "ping" perintah dari Unix-like host (t-flag pada Windows sistem jauh lebih mampu berlebihan target, juga-l (ukuran ) flag tidak memungkinkan ukuran paket pengirimannya lebih besar dari 65500 di Windows). Hal ini sangat sederhana untuk memulai, kebutuhan utama adalah akses ke lebih besar bandwidth yang dari korban.
Ping kematian didasarkan pada pengiriman korban ping paket cacat, yang mungkin menyebabkan sistem crash.
(S) SYN banjir
Lihat juga: SYN banjir
Sebuah banjir SYN terjadi ketika sebuah host mengirimkan banjir paket TCP / SYN, seringkali dengan alamat pengirim palsu. Masing-masing paket ini ditangani seperti permintaan sambungan, menyebabkan server untuk menelurkan sebuah koneksi setengah terbuka , dengan mengirimkan kembali TCP / paket SYN-ACK (Akui), dan menunggu untuk sebuah paket respon dari alamat pengirim (respon terhadap ACK Packet). Namun, karena alamat pengirim dipalsukan, tanggapan tidak pernah datang. Ini koneksi setengah terbuka menjenuhkan jumlah koneksi yang tersedia server mampu membuat, menjaga dari menanggapi permintaan yang sah sampai setelah serangan berakhir. [9]
Serangan Teardrop
Sebuah serangan teardrop melibatkan pengiriman hancur IP fragmen dengan tumpang tindih, lebih dari ukuran muatan ke mesin target. Hal ini dapat menyebabkan crash berbagai sistem operasi karena bug dalam mereka TCP / IP fragmentasi perakitan ulang kode. [10] Windows 3.1x , Windows 95 dan Windows NT sistem operasi, serta versi Linuxsebelum versi 2.0.32 dan 2.1 .63 rentan terhadap serangan ini.
Sekitar September 2009, kerentanan dalam Windows Vista disebut sebagai "serangan teardrop", tapi serangan itu ditargetkan SMB2 yang merupakan lapisan yang lebih tinggi dari paket TCP yang teardrop digunakan. [11] [12]
Peer-to-peer serangan
Penyerang telah menemukan cara untuk mengeksploitasi sejumlah bug dalam peer-to-peer server untuk memulai serangan DDoS. Yang paling agresif serangan peer-to-peer-DDoS ini memanfaatkan DC + + . Serangan Peer-to-peer yang berbeda dari biasa botnet serangan berbasis. Dengan peer-to-peer tidak ada botnet dan penyerang tidak harus berkomunikasi dengan klien itu merongrong. Sebaliknya, penyerang bertindak sebagai "dalang," memerintahkan klien besar file sharing peer-to-peer hub untuk memutuskan sambungan dari mereka jaringan peer-to-peer dan terhubung ke situs korban sebagai gantinya. Akibatnya, beberapa ribu komputer mungkin agresif mencoba untuk menyambung ke situs target. Sementara web server biasa dapat menangani beberapa ratus koneksi per detik sebelum kinerja mulai menurun, kebanyakan server web gagal hampir seketika di bawah lima atau enam ribu sambungan per detik. Dengan serangan peer-to-peer cukup besar, sebuah situs berpotensi terkena dengan sampai 750.000 sambungan dalam waktu singkat. Web server yang ditargetkan akan terpasang oleh koneksi yang masuk.
Sementara serangan peer-to-peer yang mudah untuk mengidentifikasi dengan tanda tangan, sejumlah besar alamat IP yang perlu diblokir (sering lebih dari 250.000 selama serangan besar-besaran) berarti bahwa jenis serangan dapat membanjiri pertahanan mitigasi. Bahkan jika perangkat mitigasi dapat terus memblokir alamat IP, ada masalah lain yang perlu dipertimbangkan. Sebagai contoh, ada sebuah momen singkat di mana sambungan dibuka pada sisi server sebelum tanda tangan itu sendiri datang melalui. Hanya sekali sambungan dibuka ke server dapat mengidentifikasi tanda tangan dikirim dan dideteksi, dan sambungan dirobohkan. Bahkan meruntuhkan koneksi membutuhkan sumber daya server dan dapat membahayakan server.
Metode ini serangan dapat dicegah dengan menetapkan dalam protokol peer-to-peer port mana yang diperbolehkan atau tidak. Jika port 80 tidak diperbolehkan, kemungkinan serangan terhadap website bisa sangat terbatas.
Asimetri dari pemanfaatan sumber daya dalam serangan kelaparan
Sebuah serangan yang sukses dalam mengkonsumsi sumber daya pada komputer korban harus baik:
dilakukan oleh penyerang dengan sumber daya yang lebih besar, dengan baik:
mengendalikan komputer dengan kekuatan komputasi yang lebih besar atau, lebih umum, bandwidth jaringan yang besar
mengendalikan sejumlah besar komputer dan mengarahkan mereka untuk menyerang sebagai sebuah kelompok. Sebuah serangan DDoS adalah contoh utama ini.
mengambil keuntungan dari properti dari sistem operasi atau aplikasi pada sistem korban yang memungkinkan serangan mengkonsumsi jauh lebih banyak sumber daya korban dari penyerang (serangan asimetris). Serangan Smurf , SYN banjir , Sockstress dan menyerang Naptha semua serangan asimetris.
Serangan dapat memanfaatkan kombinasi metode ini untuk memperbesar kekuasaannya.
Tetap denial-of-service serangan
Sebuah permanen denial-of-service (PDOS), juga dikenal sebagai longgar phlashing, [13] adalah serangan yang merusak sistem begitu parah sehingga memerlukan penggantian atau instalasi ulang hardware. [14] Berbeda dengan distributed denial-of-service attack , serangan PDOS mengeksploitasi kelemahan keamanan yang memungkinkan administrasi remote pada antarmuka manajemen hardware korban, seperti router, printer, atau lainnya hardware jaringan . Penyerang menggunakan kerentanan ini untuk mengganti perangkat firmware dengan dimodifikasi, korup, atau cacat firmware image-sebuah proses yang bila dilakukan secara sah dikenal sebagai berkedip. Ini karena " batu bata"perangkat, rendering itu tidak dapat digunakan untuk tujuan aslinya sampai dapat akan diperbaiki atau diganti.
PDOS adalah hardware yang ditargetkan serangan murni yang bisa lebih cepat dan membutuhkan sumber daya yang lebih sedikit daripada menggunakan botnet dalam serangan DDoS. Karena fitur ini, dan potensi dan tinggi kemungkinan eksploitasi keamanan pada Jaringan Diaktifkan Perangkat Terpasang (needs), teknik ini telah menjadi perhatian dari banyak hacker masyarakat.
PhlashDance adalah alat yang diciptakan oleh Rich Smith (seorang karyawan dari Sistem Keamanan Lab Hewlett-Packard) yang digunakan untuk mendeteksi dan menunjukkan PDOS kerentanan pada 2008 Konferensi EUSecWest Terapan Keamanan di London. [15]
Banjir Application-level
Berbagai DoS penyebab eksploitasi seperti buffer overflow dapat menyebabkan server menjalankan perangkat lunak untuk mendapatkan bingung dan mengisi ruang disk atau mengkonsumsi semua memori yang tersedia atau waktu CPU .
Jenis lain dari DoS mengandalkan terutama pada kekerasan, membanjiri target dengan fluks besar paket, oversaturating bandwidth koneksi atau menghabiskan sumber daya target sistem. Banjir Bandwidth-menjenuhkan mengandalkan penyerang memiliki bandwidth yang lebih tinggi tersedia daripada korban; cara umum untuk mencapai hari ini adalah melalui Distributed Denial of Service, menggunakan botnet . Banjir lainnya dapat menggunakan jenis paket tertentu atau permintaan sambungan ke sumber daya yang terbatas jenuh dengan, misalnya, menduduki jumlah maksimum koneksi terbuka atau mengisi ruang disk korban dengan kayu.
A "serangan pisang" adalah jenis tertentu lain DoS. Ini melibatkan mengarahkan pesan keluar dari klien kembali ke klien, mencegah akses luar, serta membanjiri klien dengan paket yang dikirim.
Seorang penyerang dengan akses shell tingkat ke komputer korban dapat memperlambat itu sampai tidak dapat digunakan atau kecelakaan itu dengan menggunakan bom garpu.
Semacam aplikasi-tingkat serangan DoS adalah Xdos (atau XML DoS) yang dapat dikontrol oleh Web modern Application Firewall (WAFS).
Nuke
A Nuke adalah denial-of-service attack tua terhadap jaringan komputer yang terdiri dari terfragmentasi atau tidak sah ICMP paket yang dikirim ke target, dicapai dengan menggunakan dimodifikasi ping utilitas untuk berulang kali mengirim data korup ini, sehingga memperlambat komputer terpengaruh sampai datang untuk berhenti sama sekali.
Sebuah contoh yang spesifik dari serangan nuklir yang memperoleh beberapa menonjol adalah WinNuke , yang mengeksploitasi kerentanan dalam NetBIOS handler di Windows 95 . Serangkaian out-of-band data yang dikirim ke TCP port 139 dari komputer korban, menyebabkan ia mengunci dan menampilkan Blue Screen of Death (BSOD).
Serangan DDOS HTTP POST
Pertama kali ditemukan pada tahun 2009, serangan HTTP POST mengirimkan lengkap, sah HTTP header POST , yang mencakup 'Content-Length' lapangan untuk menentukan ukuran tubuh pesan untuk mengikuti. Namun, penyerang kemudian mulai mengirim isi pesan yang sebenarnya pada tingkat yang sangat lambat (misalnya 1 byte/110 detik).Karena seluruh pesan yang benar dan lengkap, server target akan mencoba untuk mematuhi 'Content-Length' lapangan di header, dan menunggu untuk seluruh tubuh pesan yang akan dikirim, sehingga memperlambat menurunkannya. [16] Selanjutnya dikombinasikan dengan fakta bahwa Apache akan, secara default, menerima permintaan hingga 2GB dalam ukuran, serangan ini bisa sangat kuat. Serangan HTTP POST sulit untuk membedakan dari koneksi yang sah, dan karena itu mampu melewati beberapa sistem perlindungan. OWASP , sebuah open source proyek keamanan aplikasi web, telah merilis sebuah alat uji untuk menguji keamanan server terhadap jenis serangan.
RU-Mati-Yet? (RUDY)
Serangan ini menargetkan aplikasi web dengan kelaparan tersedia sesi pada server web. Sama seperti Slowloris , RUDY membuat sesi pada berhenti menggunakan pernah berakhir transmisi POST dan mengirim nilai sundulan konten-panjang sewenang-wenang besar.
Baca serangan Lambat
Baca serangan Lambat mengirimkan permintaan sah lapisan aplikasi tetapi membaca tanggapan yang sangat lambat, sehingga mencoba untuk knalpot server kolam koneksi.Membaca lambat dicapai oleh iklan jumlah yang sangat kecil untuk TCP Receive ukuran Jendela dan pada saat yang sama dengan mengosongkan TCP klien menerima penyangga perlahan. Yang secara alami memastikan laju aliran data yang sangat rendah.
Serangan Distributed
A D istributed D enial o f S ervice Attack (DDoS) terjadi ketika beberapa sistem membanjiri bandwidth atau sumber daya sistem yang ditargetkan, biasanya satu atau lebih server web. [17] ini adalah hasil dari beberapa sistem dikompromikan (misalnya botnet ) membanjiri sistem dengan lalu lintas yang ditargetkan. Ketika server kelebihan beban dengan koneksi, koneksi baru tidak bisa lagi diterima. Keuntungan utama bagi seorang penyerang menggunakan distributed denial-of-service attack adalah bahwa beberapa mesin dapat menghasilkan lalu lintas serangan lebih dari satu mesin, beberapa mesin serangan lebih sulit untuk mematikan mesin dari satu serangan, dan bahwa perilaku setiap mesin serangan bisa stealthier, sehingga sulit untuk melacak dan mematikan. Keuntungan penyerang ini menyebabkan tantangan bagi mekanisme pertahanan. Misalnya, hanya membeli lebih banyak bandwidth yang masuk dari volume saat serangan mungkin tidak membantu, karena penyerang mungkin bisa cukup menambahkan mesin serangan yang lebih.
Malware dapat membawa mekanisme serangan DDoS; salah satu contoh yang lebih terkenal dari hal ini adalah MyDoom . Its mekanisme DoS dipicu pada tanggal dan waktu tertentu. Jenis DDoS terlibat hardcoding alamat IP target sebelum rilis dari malware dan tidak ada interaksi lebih lanjut yang diperlukan untuk meluncurkan serangan.
Sebuah sistem juga dapat dikompromikan dengan trojan , yang memungkinkan penyerang untuk men-download agen zombie , atau trojan mungkin berisi satu. Penyerang juga dapat masuk ke sistem dengan menggunakan alat otomatis yang mengeksploitasi kelemahan dalam program yang mendengarkan koneksi dari remote host. Skenario ini terutama menyangkut sistem bertindak sebagai server di web. Stacheldraht adalah contoh klasik dari alat DDoS. Ini menggunakan struktur berlapis di mana penyerang menggunakanprogram klien untuk menghubungkan ke penangan, yang merupakan sistem dikompromikan yang mengeluarkan perintah ke agen zombie , yang pada gilirannya memfasilitasi serangan DDoS. Agen dikompromikan melalui penangan oleh penyerang, menggunakan rutinitas otomatis untuk mengeksploitasi kerentanan dalam program yang menerima koneksi remote berjalan pada remote host target. Setiap handler dapat mengendalikan hingga seribu agen. [18] Dalam beberapa kasus mesin dapat menjadi bagian dari serangan DDoS dengan persetujuan pemilik, misalnya, di Operation Payback , yang diselenggarakan oleh kelompok Anonymous .
Koleksi ini sistem kompromis dikenal sebagai botnet . Alat DDoS seperti Stacheldraht masih menggunakan metode serangan DoS klasik berpusat pada IP spoofing dan amplifikasi seperti serangan smurf dan serangan fraggle (ini juga dikenal sebagai serangan konsumsi bandwidth). SYN banjir (juga dikenal sebagai serangan kelaparan sumber daya) juga dapat digunakan. Alat baru dapat menggunakan server DNS untuk tujuan DoS. Tidak seperti MyDoom itu DDoS mekanisme, botnet dapat berbalik melawan alamat IP. Script kiddies menggunakannya untuk menyangkal ketersediaan situs-situs terkenal untuk pengguna yang sah. [19] penyerang yang lebih canggih menggunakan DDoS alat untuk tujuanpemerasan - bahkan terhadap saingan bisnis mereka . [20]
Serangan sederhana seperti banjir SYN dapat muncul dengan berbagai alamat IP sumber, memberikan penampilan DoS terdistribusi dengan baik. Serangan banjir ini tidak memerlukan penyelesaian TCP tiga way handshake dan berusaha untuk menguras tujuan SYN antrian atau bandwidth server yang. Karena alamat IP sumber dapat trivial palsu, serangan bisa datang dari seperangkat terbatas sumber, atau bahkan mungkin berasal dari sebuah host. Perangkat tambahan Stack seperti cookies syn mungkin mitigasi efektif terhadap SYN antrian banjir, namun bandwidth yang kelelahan lengkap mungkin memerlukan keterlibatan. [ penjelasan lebih lanjut diperlukan ]
Jika penyerang gunung serangan dari sebuah host itu akan diklasifikasikan sebagai serangan DoS. Bahkan, setiap serangan terhadap ketersediaan akan digolongkan sebagai Denial of serangan Service. Di sisi lain, jika seorang penyerang menggunakan banyak sistem untuk secara bersamaan meluncurkan serangan terhadap sebuah remote host, hal ini akan diklasifikasikan sebagai serangan DDoS.
Lihat juga: DDoS mitigasi
Tercermin / serangan spoofed
Sebuah distributed denial of service attack mungkin melibatkan pengiriman permintaan palsu dari beberapa jenis untuk jumlah yang sangat besar dari komputer yang akan membalas permintaan. Menggunakan alamat Internet Protocol spoofing , alamat sumber diatur ke bahwa korban yang ditargetkan, yang berarti semua balasan akan pergi ke (dan banjir) target. (Hal ini mencerminkan bentuk serangan yang kadang-kadang disebut "DRDOS". [21] )
Request ICMP Echo serangan ( Smurf serangan ) dapat dianggap sebagai salah satu bentuk serangan tercermin, sebagai tuan rumah banjir (s) Permintaan Echo mengirim ke alamat broadcast jaringan salah dikonfigurasi, sehingga menarik host untuk mengirim Echo Reply paket ke korban. Beberapa program DDoS awal menerapkan bentuk didistribusikan serangan ini.
Banyak pelayanan dapat dimanfaatkan untuk bertindak sebagai reflektor, beberapa lebih sulit untuk memblokir daripada yang lain. [22] serangan amplifikasi DNS melibatkan mekanisme baru yang meningkatkan efek amplifikasi, menggunakan daftar yang jauh lebih besar dari server DNS dari lihat sebelumnya. [23] [24 ] SNMP dan NTP juga dapat dimanfaatkan sebagai reflektor dalam serangan amplifikasi.
Telephony penolakan layanan
Voice over IP telah membuat originasi kasar dari sejumlah besar telepon panggilan suara yang murah dan mudah otomatis sementara memungkinkan asal panggilan yang akan disalahpahami melalui caller ID spoofing .
Menurut US Federal Bureau of Investigation , TDoS telah muncul sebagai bagian dari berbagai skema penipuan:
Sebuah kontak scammer bankir korban atau broker, meniru korban untuk meminta transfer dana. Upaya bankir untuk menghubungi korban untuk verifikasi transfer gagal sebagai saluran telepon korban sedang dibanjiri ribuan panggilan palsu, render korban unreachable. [25]
Sebuah konsumen kontak scammer dengan klaim palsu untuk mengumpulkan beredar bayaran pinjaman untuk ribuan dolar. Ketika konsumen objek, scammer membalas dengan banjir majikan korban dengan ribuan panggilan otomatis. Dalam beberapa kasus, ditampilkan ID pemanggil palsu untuk meniru polisi atau lembaga penegak hukum.[26]
Sebuah konsumen kontak scammer dengan permintaan penagihan utang palsu dan mengancam untuk mengirim polisi; ketika korban menolak keras, scammer banjir nomor polisi setempat dengan panggilan yang ID pemanggil palsu untuk menampilkan nomor korban. Polisi segera tiba di kediaman korban berusaha untuk menemukan asal-usul panggilan.
Telephony penolakan layanan bisa eksis bahkan tanpa telepon Internet . Pada 2002 New Hampshire Senat jamming telepon pemilu skandal , telemarketer digunakan untuk membanjiri lawan politik dengan panggilan palsu macet bank telepon pada hari pemilihan. Publikasi luas dari nomor juga bisa membanjiri dengan panggilan cukup untuk membuat itu tidak dapat digunakan, seperti yang terjadi dengan +1- beberapa kode area -867-5309 pelanggan dibanjiri oleh ratusan panggilan misdialed setiap hari dalam menanggapi sebuah lagu populer 867-5309/Jenny .
TDoS berbeda dari lainnya pelecehan telepon (seperti panggilan prank dan panggilan telepon cabul ) dengan jumlah panggilan berasal; dengan menduduki garis terus-menerus dengan panggilan otomatis berulang, korban dicegah dari membuat atau menerima panggilan telepon baik rutin maupun darurat.
Eksploitasi terkait termasuk banjir SMS serangan dan faks hitam atau fax transmisi lingkaran.
Penolakan tanpa sengaja, layanan
Ini menggambarkan situasi di mana sebuah situs web akhirnya ditolak, bukan karena serangan yang disengaja oleh satu individu atau sekelompok individu, tetapi hanya karena lonjakan besar tiba-tiba dalam popularitas. Hal ini dapat terjadi ketika sebuah posting situs yang sangat populer link terkemuka untuk kedua, kurang dipersiapkan dengan baik situs, misalnya, sebagai bagian dari berita. Hasilnya adalah bahwa proporsi yang signifikan dari pengguna biasa situs utama - berpotensi ratusan ribu orang - klik link tersebut dalam waktu beberapa jam, memiliki efek yang sama pada situs target sebagai serangan DDoS. Sebuah VIPDoS adalah sama, namun secara khusus ketika link tersebut diposting oleh seorang selebriti.
Ketika Michael Jackson meninggal pada tahun 2009, situs-situs seperti Google dan Twitter melambat atau bahkan jatuh. [27] server Banyak situs 'pikir permintaan berasal dari virus atau spyware mencoba untuk menyebabkan Denial serangan Service, memperingatkan pengguna bahwa permintaan mereka tampak seperti "permintaan otomatis dari virus komputer atau aplikasi spyware ". [28]
Situs berita dan link situs - situs yang fungsi utamanya adalah untuk menyediakan link ke konten menarik di tempat lain di Internet - yang paling mungkin menyebabkan fenomena ini. Kanonik contoh adalah efek Slashdot saat menerima lalu lintas dari Slashdot . Situs seperti Reddit , Digg , para Laporan membanting tulang , Fark , Sesuatu yang mengerikan, dan Webcomic Penny Arcade memiliki sendiri sesuai "efek" mereka, yang dikenal sebagai "the Reddit pelukan kematian", "efek Digg", menjadi "drudged", "farking", "goonrushing" dan "wanging"; masing-masing.
Router juga telah dikenal untuk membuat serangan DoS tidak disengaja, karena keduanya D-Link dan Netgear router telah menciptakan NTP vandalisme dengan membanjiri server NTP tanpa menghormati pembatasan jenis klien atau keterbatasan geografis.
Penolakan disengaja Mirip layanan juga dapat terjadi melalui media lain, misalnya ketika URL yang disebutkan di televisi. Jika server yang sedang diindeks oleh Google atau lainmesin pencari selama periode puncak kegiatan, atau tidak memiliki banyak bandwidth yang tersedia saat diindeks, juga dapat mengalami efek dari serangan DoS.
Tindakan hukum telah diambil dalam setidaknya satu kasus tersebut. Pada tahun 2006, Universal Tube & Rollform Equipment Corporation menggugat YouTube : jumlah besar calon pengguna youtube.com sengaja mengetik URL tabung perusahaan, utube.com. Akibatnya, perusahaan tabung akhirnya harus menghabiskan sejumlah besar uang pada upgrade bandwidth mereka. [29] Perusahaan ini tampaknya telah mengambil keuntungan dari situasi, dengan utube.com sekarang mengandung iklan untuk pendapatan iklan.
Pada bulan Maret tahun 2014, setelah Malaysia Airlines Flight 370 hilang, DigitalGlobe meluncurkan crowdsourcing layanan di mana pengguna bisa membantu pencarian untuk jet yang hilang dalam gambar satelit. Tanggapan kewalahan server perusahaan. [30]
Denial-of-Service Level II
Tujuan dari DoS L2 (mungkin DDoS) serangan adalah untuk menyebabkan peluncuran mekanisme pertahanan yang menghambat segmen jaringan dari mana serangan itu berasal. Dalam kasus serangan terdistribusi atau kop modifikasi IP (yang tergantung pada jenis perilaku keamanan) sepenuhnya akan memblokir jaringan diserang dari Internet, tapi tanpa sistem crash.
Pertunjukan DoS-serangan
Sebuah beragam program yang digunakan untuk meluncurkan serangan DoS-. Sebagian besar program-program ini benar-benar terfokus pada melakukan DoS-serangan, sementara yang lain juga benar injector Packet , mampu melakukan tugas-tugas lain juga. Alat tersebut dimaksudkan untuk digunakan jinak, tetapi mereka juga dapat dimanfaatkan dalam melancarkan serangan pada jaringan korban.
Penanganan
Tanggapan defensif untuk serangan Denial of Service biasanya melibatkan penggunaan kombinasi deteksi serangan, klasifikasi lalu lintas dan alat respon, bertujuan untuk memblokir lalu lintas yang mereka mengidentifikasi sebagai tidak sah dan memungkinkan lalu lintas yang mereka mengidentifikasi sebagai sah. [31] Daftar pencegahan dan alat respon tersedia di bawah ini:
Firewall
Firewall dapat diatur untuk memiliki aturan sederhana seperti untuk mengizinkan atau menolak protokol, port atau alamat IP. Dalam kasus serangan sederhana yang berasal dari sejumlah kecil alamat IP yang tidak biasa misalnya, orang bisa memasang aturan sederhana untuk drop semua lalu lintas masuk dari orang-orang penyerang.
Namun serangan yang lebih kompleks akan sulit untuk memblokir dengan aturan sederhana: misalnya, jika ada serangan yang sedang berlangsung pada port 80 (web service), tidak mungkin untuk drop semua lalu lintas masuk pada port ini karena hal itu akan mencegah server dari melayani lalu lintas yang sah. [32] Selain itu, firewall mungkin terlalu jauh di dalam hirarki jaringan. Router mungkin akan terpengaruh sebelum lalu lintas sampai ke firewall. Meskipun demikian, firewall secara efektif dapat mencegah pengguna dari meluncurkan serangan jenis banjir sederhana dari mesin di belakang firewall.
Beberapa firewall stateful , seperti OpenBSD pf (4) packet filter, dapat bertindak sebagai proxy untuk koneksi: jabat tangan divalidasi (dengan klien) bukan hanya meneruskan paket ke tujuan. Ini tersedia untuk BSD lainnya juga. Dalam konteks itu, hal itu disebut "synproxy".
Switch
Kebanyakan switch memiliki beberapa tingkat-membatasi dan ACL kemampuan. Beberapa switch menyediakan otomatis dan / atau seluruh sistem rate limiting , traffic shaping ,tertunda mengikat ( TCP splicing ), pemeriksaan paket yang mendalam dan Bogon filtering (palsu IP filtering) untuk mendeteksi dan memperbaiki serangan penolakan layanan melalui penyaringan tingkat otomatis dan WAN Link failover dan menyeimbangkan
Skema ini akan bekerja selama serangan DoS adalah sesuatu yang dapat dicegah dengan menggunakan mereka. Misalnya SYN banjir dapat dicegah dengan menggunakan splicing mengikat atau TCP tertunda. Berdasarkan DoS Demikian pula konten dapat dicegah dengan menggunakan inspeksi paket yang mendalam. Serangan yang berasal darialamat gelap atau pergi ke alamat gelap dapat dicegah dengan menggunakan Bogon filtering . Otomatis tingkat penyaringan dapat bekerja selama Anda telah menetapkan tingkat-batas benar dan granularly. Wan-link failover akan bekerja selama kedua link memiliki DoS / DDoS mekanisme pencegahan
Router
Serupa dengan switch, router memiliki beberapa tingkat-membatasi dan ACL kemampuan. Mereka juga diatur secara manual. Sebagian besar router dapat dengan mudah kewalahan bawah serangan DoS. Cisco IOS memiliki fitur yang mencegah banjir, yaitu pengaturan contoh. [33]
Hardware end aplikasi depan
Hardware end aplikasi depan perangkat keras yang cerdas ditempatkan pada jaringan sebelum lalu lintas mencapai server. Hal ini dapat digunakan pada jaringan dalam hubungannya dengan router dan switch. Hardware end aplikasi front analisis paket data saat mereka memasuki sistem, dan kemudian mengidentifikasi mereka sebagai prioritas, teratur, atau berbahaya. Ada lebih dari 25 manajemen bandwidth vendor.
Pencegahan berbasis IPS
Sistem pencegahan intrusi (IPS) akan efektif jika serangan memiliki tanda tangan yang terkait dengan mereka. Namun, tren di antara serangan adalah memiliki konten yang sah tapi niat buruk. Sistem pencegahan intrusi yang bekerja pada pengakuan konten tidak dapat memblokir perilaku berbasis serangan DoS.
Sebuah ASIC IPS berbasis dapat mendeteksi dan memblokir serangan penolakan layanan karena mereka memiliki kekuatan pemrosesan dan granularity untuk menganalisis serangan dan bertindak seperti pemutus sirkuit dengan cara otomatis.
Sebuah IPS berbasis tarif (RBIPS) harus menganalisis lalu lintas granularly dan terus memantau pola lalu lintas dan menentukan apakah ada lalu lintas anomali. Ini harus membiarkan arus lalu lintas yang sah sementara memblokir lalu lintas serangan DoS. [34]
Pertahanan berbasis DDS
Lebih terfokus pada masalah daripada IPS, Pertahanan Sistem DoS (DDS) mampu memblok koneksi berbasis serangan DoS dan mereka dengan konten yang sah tapi niat buruk.Sebuah DDS juga dapat mengatasi kedua serangan protokol (seperti Teardrop dan Ping kematian) dan serangan berbasis tarif (seperti banjir ICMP dan banjir SYN).
Blackholing dan sinkholing
Dengan blackholing, semua lalu lintas ke DNS diserang atau IP address yang dikirim ke "lubang hitam" (antarmuka nol atau server tidak ada). Agar lebih efisien dan menghindari mempengaruhi konektivitas jaringan, dapat dikelola oleh ISP. [35]
Sinkholing rute lalu lintas ke alamat IP yang valid yang menganalisa trafik dan menolak paket yang buruk. Sinkholing tidak efisien untuk sebagian besar serangan yang parah.
Pipa bersih
Semua lalu lintas dilewatkan melalui "Pusat pembersihan" atau "menggosok center" melalui berbagai metode seperti proxy, terowongan atau sirkuit bahkan langsung, yang memisahkan "buruk" lalu lintas (DDoS dan juga serangan internet umum lainnya) dan hanya mengirimkan lalu lintas baik di luar ke server. Penyedia membutuhkan konektivitas pusat ke Internet untuk mengelola layanan semacam ini kecuali mereka kebetulan berada dalam fasilitas yang sama sebagai "pusat pembersihan" atau "scrubbing pusat". [36]
Arbor Networks , Prolexic Teknologi , Tata Communications , AT & T dan Verisign adalah contoh penyedia layanan ini. [37] [38] [39] [40]
Efek samping dari serangan DoS
Backscatter
Lihat juga: Backscatter (email) dan Internet kebisingan latar belakang
Dalam keamanan jaringan komputer, backscatter adalah efek samping dari palsu denial-of-service attack. Dalam jenis serangan, penyerang parodi (atau tempa) alamat sumber dalam IP paket yang dikirim ke korban. Secara umum, mesin korban tidak dapat membedakan antara paket-paket palsu dan paket yang sah, sehingga korban merespon paket-paket palsu seperti biasanya. Paket respon ini dikenal sebagai backscatter. [41]
Jika penyerang spoofing alamat sumber acak, paket respon backscatter dari korban akan dikirim kembali ke tujuan acak. Efek ini dapat digunakan oleh teleskop jaringan sebagai bukti tidak langsung dari serangan tersebut.
Istilah "analisis backscatter" mengacu pada mengamati paket backscatter tiba pada bagian yang signifikan secara statistik dari alamat IP ruang untuk menentukan karakteristik serangan DoS dan korban.
Legalitas
Dalam UU Kepolisian dan Kehakiman 2006 , Inggris secara khusus dilarang denial-of-service serangan dan menetapkan hukuman maksimal 10 tahun penjara. [42]
Di AS, denial-of-service serangan dapat dianggap sebagai kejahatan federal di bawah Penipuan dan Penyalahgunaan Komputer Undang-Undang dengan hukuman yang mencakup tahun penjara. [43] Banyak [ yang? ] negara lain memiliki hukum yang serupa.
Situasi AS berada di bawah putusan pengadilan dengan kasus di California. [44]
Pada tanggal 7 Januari 2013, Anonymous diposting petisi di whitehouse.gov situs meminta agar DDoS diakui sebagai bentuk hukum protes mirip dengan Menempati protes . [45]