La maggior parte dei tipi ridotti di attacchi DoS

6

A quanto ho capito, generalmente ci sono solo due tipi comuni di attacchi di tipo Denial of Service per quanto riguarda il modello OSI:

  • Network-Layer-DoS (NLDoS) su layer 3 , 2 o 1.

  • Application-Layer-DoS (ALDoS) su layer 7 , 6 o 5.

E il layer 4? Esistono attacchi di Denial of Service generalmente disponibili su questo livello? Inoltre, il mio tentativo di riduzione è accurato?

    
posta JohnDoea 15.09.2018 - 23:04
fonte

4 risposte

5

What about layer 4 and is my reducing attempt accurate?

Il tuo tentativo di riduzione sembra raggruppare i livelli 3, 2 e 1 insieme e il gruppo 7, 6 e 5 insieme. Questo non è del tutto preciso poiché gli attacchi di negazione del servizio possono esistere a tutti i livelli del modello OSI.

Inoltre, c'è una complicazione rispetto al modello OSI rispetto al mondo reale. Le altre risposte e commenti sono corretti sul fatto che il modello OSI a sette livelli non è il modello più comunemente usato per descrivere attacchi basati sulla rete (come DOS). Il modello più comunemente utilizzato è il modello di stack Internet "TCP / IP". La semantica principale differente tra questi modelli è che il modello OSI utilizza i livelli 5,6 e 7, mentre nel modello TCP / IP tutto ciò che si trova sopra il protocollo TCP è chiamato solo livello 5 (il livello dell'applicazione). Una ragione di ciò è che il modello OSI è indipendente dal protocollo, ma nel mondo reale TCP / IP è il re. In TCP / IP, TCP e IP corrispondono rispettivamente ai livelli 4 e 3 del modello OSI. Tutto ciò che si trova sopra il protocollo TCP si chiama solo livello 5 (il livello dell'applicazione).

Riguardo al livello 4: Ci sono una varietà di attacchi che possono verificarsi al livello 4. Nel mondo reale, per la maggior parte ciò significa attacchi al livello di trasporto via TCP o UDP (due dei principali protocolli del livello di trasporto). Come menzionano le altre risposte e commenti, un attacco principale via TCP è l'attacco TCP SYN Flood. Ciò comporta l'invio di un numero elevato di pacchetti SYN per l'apertura delle connessioni sulla macchina che viene attaccata, ma non completa o termina la connessione in modo che la macchina attaccata spenda risorse e tempo per l'ascolto e alla fine debba scadere. Elenco alcuni attacchi di livello 4 DOS (o DDOS) di seguito:

  • TCP SYN Flood Attack (Descritto sopra e in altre risposte)
  • TCP SYN-ACK Attack (Invia SYN con un indirizzo spoofato ai computer zombi, zombie (s) invia (s) SYN-ACK per attaccare target)
  • UDP Flood Attack (invio di molti pacchetti UDP)

Riguardo a ICMP, questo è anche spesso chiamato "ping", ed è usato per capire la connettività di rete. Per questo motivo è meglio chiamare un attacco flood ICMP un attacco di livello 3 piuttosto che un attacco di livello 4 anche se ICMP "vive sopra l'IP".

Ecco alcuni esempi aggiuntivi di attacchi DOS su ogni livello dello stack Internet:

  • Layer 5 (Application Layer): esempi di protocolli del livello dell'applicazione sono HTTP, FTP, DNS, ecc. Un attacco flood in DNS è un esempio di attacco DOS in cui gli aggressori cercano di utilizzare tutte le risorse di un server DNS e quindi negano il servizio ad altri utenti legittimi.
  • Layer 4 (Transport Layer): (Vedi sopra)
  • Livello 3 (livello di rete): alluvione ICMP (vedere la discussione di ICMP sopra). Per un altro esempio, considera il dirottamento IP.
  • Livello 2: overflow della tabella CAM di un interruttore di livello 2.
  • Livello 1: taglia il cavo Ethernet. Oppure, un altro esempio, l'inceppamento del telefono cellulare (esplosione del canale fisico (aria) con rumore RF)
risposta data 18.09.2018 - 20:34
fonte
7

I livelli OSI e gli attacchi DoS di esempio sono i seguenti:

Layer 7 (Application Layer) - HTTP GET o attacchi basati su POST

Layer 6 (Presentation Layer) - Attacchi di richieste SSL non corretti

Livello 5 (livello sessione) - Attacchi sessione Telnet / SSH

Layer 4 (Transport Layer) - Attacchi SYN Flood / SMURF

Livello 3 (livello di rete) - Attacchi di inondazione ICMP

Layer 2 (Data Link Layer) - Attacchi flooding MAC

Layer 1 (Physical Layer) - Distruzione fisica

    
risposta data 16.09.2018 - 12:34
fonte
7

Layer 4 (Transport) DoS attack is often referred to as a SYN flood.

I livelli 5,6 e 7 del modello OSI sono indicati come il livello dell'applicazione in TCP / IP. Che hai menzionato come "Application-Layer-DoS (ALDoS), sul livello 7". Tuttavia, un'inondazione a livello di applicazione potrebbe essere indicata come XDoS. Sfortunatamente, oltre a Guida rapida DDoS di National Cybersecurity e Communications Integration Center, 29 gennaio 2014 Non ho potuto trovare molto riguardo al modello OSI per il DoS. Invece, la maggior parte della documentazione parla del modello TCP / IP per il DoS.

Da Guida rapida DDoS Sono stato in grado di determinare questi esempi per il modello OSI però:

  • Livello 5 (sessione) - attacco Telnet DDoS
  • Livello 6 (Presentazione) - Richiesta SSL non valida
  • Livello 7 (Applicazione):
    • PDF Richiedi GET
    • HTTP OTTIENI
    • HTTP POST
risposta data 15.09.2018 - 23:36
fonte
2

Esistono fondamentalmente due diversi approcci per classificare gli attacchi DDoS utilizzando il modello di rete ISO / OSI.

1) Il primo di questi è per lo più popolare in documenti di ricerca : prova ad analizzare carico utile dei pacchetti ricevuti dalla vittima, come se si trattasse di traffico legittimo. Il protocollo più in alto (in termini di modello OSI) che è ancora riconoscibile definisce il layerness dell'attacco.

Supponiamo che tu stia operando su un collegamento gigabit e stai ricevendo 3 gigabit di flood UDP al secondo, il che rende i tuoi servizi rivolti verso Internet non raggiungibili per il resto del mondo a causa della strong congestione. Con questo approccio, se la porta UDP di origine o di destinazione all'interno dei pacchetti di attacco è uguale a 53 e il contenuto di tali pacchetti è simile al DNS query, quindi si può dire che è un "flood DNS". Il Domain Name System appartiene al livello OSI 7, quindi questo è un attacco DDoS di livello 7.

Ma se improvvisamente il valore della porta UDP viene cambiato, diciamo, 0, allora diventa immediatamente un attacco DDoS di livello 4 ("UDP flood"), anche se l'effetto finale dell'attacco rimane lo stesso.

Con questo approccio, praticamente qualsiasi attacco in cui i pacchetti contengono alcun valore ragionevole nel campo Protocollo IPv4 / Intestazione successiva IPv6 ma non consentire ulteriori impronte digitali sarebbe un attacco di livello 4.

2) L'altro approccio, che viene utilizzato principalmente dai fornitori di attenuazione DDoS [1] , [2] , [3] , è la seguente. Lo scopo di un attacco DDoS è quello di portare giù una risorsa di rete. Una risorsa di rete non fornisce un servizio se, e solo se, almeno uno dei livelli di rete da cui dipende non funziona correttamente. Un attacco "appartiene" al livello più basso che viene colpito.

In questo modo, nell'esempio sopra, sia l'alluvione DNS che l'inondazione UDP saranno contrassegnati con OSI layer 2 o layer 3, a seconda dell'architettura della tua rete (ad esempio se i like di arp packet-priority enable sono configurato sugli switch e così via) e qualsiasi attacco che influisca direttamente sulle implementazioni del livello 4 (ad es. driver TCP e moduli del kernel) sarebbe un attacco di livello 4. Esempi comuni includono:

e così via.

    
risposta data 20.09.2018 - 17:33
fonte

Leggi altre domande sui tag