атакою застосовується складна система параметрів, таких як частота пересилки і розмір пакета. Іншою важливою особливістю ботнетів є властивість оновлювати програмну частину з віддаленого сервера. Завдяки цьому атакуючий може додавати нові функції і виправляти помилки в своєму коді. Наприклад, він може завантажити на боти новий механізм атаки, гнучко реагувати на зміни в захисному забезпеченні жертви, керувати атакою протягом її здійснення.
Класифікації атак на відмову
На сьогоднішній момент існує досить багато різних видів атак на відмову, кожна з яких використовує певну особливість побудови мережі або уразливості програмного забезпечення. Наприклад, атаки можуть здійснюватися шляхом безпосередньої пересилання великої кількості пакетів (UDP, ICMP flood), використання проміжних вузлів (Smurf, Fraggle), передачі занадто довгих пакетів (Ping of Death), некоректних пакетів (Land) або великої кількості трудомістких запитів. Зауважимо, що протягом останнього часу відбувається розвиток цього напрямку діяльності і поява нових видів і способів атак. З останніх тенденцій можна відзначити появу атак погіршення якості (Quality Reduction Attack) і низькочастотних атак (Low Rated Attack) і, безумовно, цей процес триватиме, потребуючи нових досліджень і розробки нових методів протидії. Основні існуючі класи атак досить добре вивчені. Представляють інтерес, однак, різні підходи до їх класифікації. В роботі [5] атаки класифіковані відповідно до протоколів, за якими вони здійснюються. Виділені наступні атаки: SYN flood, TCP reset, ICMP flood, UDP flood, DNS request, CGI request, Mail bomb, ARP storm і атаки на алгоритмічну складність.
Рис. 2. Класифікація атак на відмову
У звіті Prolexic Technologies [6] наводиться класифікація атак (Мал. 2). Виділяють три тип атак:
Targeted attacks (використовують недоліки в протоколах, прикладних програмах).
- Consumption attacks (завантажують ресурси системи).
Exploitative attacks (використовують уразливості, помилки коду).
Розподілені атаки на відмову (за способом реалізації та об'єкта дії) поділяють на два класи:
виснаження ресурсів мережі;
виснаження ресурсів вузла.
Виснаження ресурсів мережі полягає у пересиланні великої кількості пакетів в мережу жертви.Вони зменшують її пропускну здатність для законних користувачів. Існує кілька видів таких атак:
UDP / ICMP flood полягає у пересиланні значної кількості великих (фрагментованих) пакетів по протоколах UDP / ICMP;
Smurf / Fraggle полягає у пересиланні пакетів UDP / ICMP ECHO на широкий діапазон адрес з сфальсифікованою IP адресою.
При цьому на адресу жертви приходить велика кількість пакетів-відповідей. Виснаження ресурсів вузла полягає у пересиланні трудомістких або некоректних запитів жертві. До цього виду відносяться наступні атаки:
TCP SYN - свідоме переривання процесу встановлення з'єднання і створення великої кількості напіввідкритих TCP / IP з'єднань (оскільки це число обмежене, то вузол перестає приймати запити на з'єднання).
Land - пересилання пакета TCP SYN з однаковими адресами одержувача і д...
