Сетевые атаки на отказ в обслуживании (DOS, DDOS)

DoS-атака(DenialofService, отказ в обслуживании) - атака на вычислительную систему с целью вывести её из строя, то есть создание таких условий, при которых легитимные пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён. Отказ «вражеской» системы может быть как самоцелью (например, сделать недоступным популярный сайт), так и одним из шагов к овладению системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.). Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от DistributedDenialofService, распределённая атака типа «отказ в обслуживании»). Существуют различные причины, по которым может возникнуть DoS-условие: Ошибка в программном коде, приводящая к обращению к неиспользуемому фрагменту адресного пространства, выполнению недопустимой инструкции или другой необрабатываемой исключительной ситуации, когда происходит аварийное завершение серверного приложения. Недостаточная проверка данных пользователя, приводящая к бесконечному либо длительному циклу или повышенному длительному потреблению процессорных ресурсов (исчерпанию процессорных ресурсов) либо выделению большого объёма оперативной памяти (исчерпанию памяти). Флуд - атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания ресурсов системы — процессора, памяти либо каналов связи. Атака второго рода — атака, которая стремится вызвать ложное срабатывание системы защиты и таким образом привести к недоступности ресурса. Если атака (обычно флуд) производится одновременно с большого количества IP-адресов, то в этом случае она называется распределённой атакой на отказ в обслуживании (DDoS).

14. Атаки на «срыв стэка».

Срыв стека – один из типов атак на ресурсы, который применяется в основном для завладения полномочиями в обход ввода пароля.

Срыв стека осуществляется за счет переполнения буфера, расположенного в стеке. Как известно, в стеке размещается адрес возврата из текущей подпрограммы, который при переполнении буфера окажется поврежденным. В простейшем случае это приведет к сбою в работе программы, а при применении специально сформированного буфера появится возможность выполнения произвольного кода, созданного злоумышленником;

Так как вызову функции сопутствует занесение адреса возврата в стек, то при его подмене атакующим, управление передается по заданному им адресу. Здесь используется переполнение буфера локальных переменных функции, которые также создаются в стеке.

Методика защиты:

- в ходе разработки проекта не применять буферы статического размера; в противном случае следует проводить жесткий контроль объема информации при ее записи в буфер;

- при задании размера некоего буфера имеет смысл создать именованную константу и применять ее в коде программы.

- максимально использовать возможности поиска ошибок, предлагаемые компилятором, а это особенно важно на стадии отладки приложения.

15. Компьютерные вирусы, программы типа “троянский конь”.

Компьютерный вирус – это небольшая программа, часто написанная в машинных кодах, способная внедрятся в другие программы, хранящиеся на запоминающих устройствах компьютера. Обычно эти программы обладают встроенными функциями копирования себя в оперативную память машины и оттуда переписываются на другие диски или отправляют свои копии по сети. Программа-вирус может выполнять на компьютере какие-либо вредные действия – например, портить данные и в ряде случаев выводить машину из строя.

Существует множество видов вирусных программ:

а) Загрузочные вирусы – сохраняют свои копии в таблицах разметки дисков, что гарантирует постоянную активацию вирусов при загрузке системы. Сетевые вирусы – распространяются по различным компьютерным сетям;

б) Резидентные вирусы – оставляют свои копии в системной памяти, перехватывают некоторые события (например, обращения к файлам или дискам) и вызывают при этом процедуры заражения обнаруженных объектов. Нерезидентные вирусы – не заражают память ПК и являются активными ограниченное время;

в) Черви – распространяются через сеть помимо воли пользователя, используя известные бреши в ПО;

г) Самомодифицирующиеся вирусы, способные менять свою структуру с сохранением вредоносности, что сильно затрудняет их обнаружение;

д) Невидимые – записываются в программы таким образом, что их бывает очень трудно обнаружить, или же обманывающие сканирующие программы с помощью специальных модулей, находящихся в оперативной памяти.

е) Троянские программы, которые не способны к саморазмножению, но очень опасны, т.к. маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему диска.

ж) Макровирусы – заражающие документы, в которых предусмотрено выполнение макрокоманд (специальных программ высокого уровня).