Quali sono le funzionalità dell'intestazione TCP incluse negli attacchi DoS? Come il tipo di servizio: http, porta: 80 e il conteggio, e che altro?
Voglio conoscere le funzionalità che determinano l'attacco in modo da poter scrivere un codice in maprouce Hadoop per estrarlo da un file di registro contenente pacchetti TCP.
Varia in base al servizio e all'attacco. Gli attacchi DoS tendono a cadere in tre categorie; saturare la connessione di rete (a.k.a. flooding della larghezza di banda), sovraccaricare il servizio (a.k.a. flooding dell'applicazione), o sovraccaricare il firewall (a.k.a. flood del firewall).
La saturazione della rete funziona inviando così tanti dati al server che utilizza tutta la larghezza di banda, con il risultato che la maggior parte degli utenti autentici (e la maggior parte del traffico dell'attaccante) non è in grado di raggiungere il server. Questo può essere fatto in molti modi; in genere inviando grandi quantità di pacchetti di controllo UDP o TCP al server. Ciò renderà difficile agli utenti autentici raggiungere qualsiasi servizio sulla rete su cui è attivo il server e rendere difficile l'uscita dei dati da qualsiasi server su tale rete a Internet. Tale traffico può essere rilevato e bloccato in modo relativamente semplice a monte, ma poiché gli indirizzi IP di origine sono quasi certamente falsificati, è difficile rintracciare. Gli aggressori non hanno bisogno di creare effettivamente alcuna connessione di rete, quindi il traffico non deve avere indirizzi IP reali. In una variante dell'attacco, gli hacker falsificano l'indirizzo IP del server per inviare pacchetti TCP SYN a servizi inesistenti su migliaia di server su Internet, che quindi inviano i pacchetti RST TCP al server.
L'overloading del servizio funziona attaccando il servizio in modo specifico, utilizzando le risorse sul servizio. Questo può essere fatto in vari modi, ma di solito è fatto facendo molte richieste in un breve periodo di tempo, usando tutte le risorse sul server. Questo potrebbe essere accessi casuali o qualsiasi altra cosa a cui il servizio è vulnerabile. (Si noti che altri attacchi, ad esempio l'attacco brute force degli account amministrativi, possono produrre lo stesso risultato.) Ciò si basa su connessioni di rete reali, quindi gli indirizzi IP di origine sono reali, ma le macchine sono probabilmente parte di una botnet.
Il sovraccarico del firewall funziona aprendo molte connessioni TCP, ma non necessariamente inviando molto in termini di dati. I firewall devono gestire le connessioni di rete tra le reti e alcuni sono dotati di funzioni di scansione di sicurezza. Perché questi ultimi funzionino, devono monitorare le connessioni. Ciò significa che devono mantenere i dettagli della connessione e, con risorse limitate, è possibile utilizzare tutte le connessioni disponibili aprendo troppe connessioni di rete; quindi impedendo al firewall di accettare nuove connessioni fino a quando alcune delle attuali scadono per mancanza di traffico.
Leggi altre domande sui tag http tcp denial-of-service