ABS

TRA
CT
Atac
urile
DDoS
repre
zint
unele
dintr
e
ame
nin
rile
majo
re i
Cuprins
Ce sunt atacurile DDoS......................................................................................................2
Diferena dintre DoS i DDoS.............................................................................................2
SYN flood Atacuri de nivel 4............................................................................................2
HTTP GET DoS....................................................................................................................3
Bibliografie.........................................................................................................................4

1 | Page
 ATACURI DDOS

Ce sunt atacurile DDoS

Un atac DDoS(Distributed Denial of Service) este un atac compus din mai multe
sisteme infectate care intesc ctre un sistem specific cu scopul de a-l face inoperabil.
Sistemele infectate formeaz un botnet i atac victima prin a le umple sistemele cu
o cantitate mare de trafic, cauzndu-le s nu mai funcioneze. Spre deosebire de alte
atacuri, atacurile DDoS nu au ca scop furtul de informaii sau impunerea unor riscuri de
securitate, ci s fac un website inaccesibil, ceea ce poate cauza pierderi majore
oricrui business online.

Atacurile DDoS exploateaz de obicei 3 dintre cele 7 nivele ale modelului de

comunicaie OSI(Open Systems Interconnection): nivelui 3(nivelui reea),
nivelul 4(nivelui transport), i nivelul 7(nivelul aplicaie).

Diferena dintre DoS i DDoS

Un DoS(Denial of Service) atac victime la nivelul aplicaiei, cu intenia de a face
website-ul respectiv inaccesibil. Acesta este realizat de un singur utilizator cu o singur
conexiune la internet.

Un atac DDoS(Distributed Denial of Service) folosete mai multe sisteme infectate

cu diferite aprese IP pentru a livra un atac similar, ins la o scar mult mai mare. Este
mult mai greu s combai un atac DDoS dect un atac DoS datorit volumului vast de
device-uri. Acestea pot realiza atacuri la nivelui aplicaie, ins pot comite atacuri i la
nivelul reea pentru a afecta infrastructura reelei.

De obicei sistemele folosite n atacuri DDoS sunt rspndite din punct de vedere
geografic i folosesc multiple conexiuni la internet, facnd controlul atacurilor extrem de
dificil.

SYN flood Atacuri de nivel 4

Un atac DDoS de nivel 4(nivelul transport) se mai numete i SYN flood. O
conexiune TPC este stabilit ntr-o manier cunoscut sub numele de three-way

2 | Page
handshake: Clientul trimite un pachet SYN, serverul rspunde cu un SYN AKN, iar la
final clientul rspunde cu un AKN. Dup ce acest three-way handshake este finalizat,
conexiunea TCP este considerat finalizat. La acest punct aplicaiile ncep de obicei s
trimit date folosind nivelul 7(nivelul aplicaie), precum HTTP-ul.

Un SYN flood se folosete de rbdarea inerent a stivei TCP pentru a suprasatura un

server prin a-i trimite o inundaie de pachete SYN, ingornd semnalele SYN AKN
returnate de ctre server. Acest lucru cauzeaz serverul s si epuizeze resursele
ateptnd o perioad de timp predefinit pentru a primi semnalul de AKN de la un client
legitim. Deoarece site-urile i aplicaiile sunt limitate din punct de vedere al numrului
de TCP-uri corupte pe care le pot avea deschise simultan, dac un atacator trimite
suficiente pachete SYN ctre un server, poate atinge cu uurint limita maxim de TCP-
uri corupte permise, nepermind serverului s rspund la request-uri legitime.

Un combo SYN flood este compus din dou atacuri SYN: unul folosete pachete SYN
obinuite, iar cellalt pachete largi de peste 250 bytes. Ambele atacuri sunt executate
simultan. Pachetele de dimensiune normal epuizeaz resursele serverului, n timp ce
pachetele largi cauzeaz saturarea reelei.

SYN flood urile sunt destul de uor de depistat de ctre aplicaii pe baz de proxy. Din
moment ce acestea falsific o conexiune la server i sunt de obicei pe baz de harware,
cu o limit mult mai mare de TCP-uri corupte, soluiile pe baz de proxy pot suporta
volumul mare de conexiuni fr a deveni suprasaturat. Deoarece soluiile pe baz de
proxi reprezint endpoint-ul conexiunii TCP, nu va permite trecerea conexiunii ctre
server pn nu a fost finalizat un three-way handshake, oprind astfel SYN flood ul la
proxy.

Aceste tipuri de atacuri sunt de obicei oprite folosind SYN cookies. SYN cookies
folosesc hash-uire criptografic, ceea ce sunt costisitoare din punct de vedere al puterii
de computaie, ceea ce le face dezirabile pentru permiterea soluiilor proxy/delivery cu
capabiliti criptografice accelerate hardware s se ocupe de aceste tipuri de msuri de
securitate. Serverele pot implementa SYN cookies, ns dificultatea adiional plasat
pe server atenueaz majoritatea beneficiilor obinute prin prevenirea SYN flood urilor,
i de obicei rezult n site-uri i servere disponibile, dar cu o performan foarte sczut.

HTTP GET DoS

Un atac DoS este mai dificil de detectat. Acesta este realizat de obicei prin utilizarea lui
HTTP GET. Asta nseamn c three-way handshake a fost finalizat, ceea ce pclete
device-uri i soluii ce verific numai comunicaia TCP de nivel 4. Atacul arat ca o
conexiune legitim, i ajunge astfel la aplicaia server.

3 | Page
n acel moment atacul ncepe s trimit un numr mare de request-uri de fiiere/obiecte
folosind HTTP GET. Acestea sunt de obicei request-uri legitime, singura problem este c
sunt foarte multe. Astfel, serverul se concentreaz pe rspunderea acestor request-uri i
i este foarte greu s rspund unor request-uri noi.

Cnd a fost folosit limitarea vitezei ca o msur de protecie mpotriva acestor atacuri,
atacatorii au trecut la un sistem distribuit de bots(zombii) pentru a se asigura c
request-urile(atacurile) vin din foarte multe locaii, i devin n concluzie mai greu de
detectat i de asemenea mai greu de oprit. Atacatorul folosete malware sau trojans
s depoziteze un bot diferite servere, urmnd ca apoi s le includ n atacul su,
instruind boii s cear o list de obiecte de pe un site sau server.

Atacurile de nivel 7 sunt mai greu de detectat deoarece conexiunea TCP este deja
valid, i la fel sunt i request-urile. Problema este s realizezi cnd sunt mai muli
clieni care cer un numr mare de obiecte n acelai timp i s realizezi c este un atac.
Acest lucru este dificil deoarece de obicei request-urile legitime sunt amestecate cu cele
folosite pentru atac. Astfel, o folosofie deny all va rezulta n situaia dorit de atacator:
un Denial of Service.

Protejarea mpotriva acestor atacuri implic de obicei un rate-shaping algorithm care

monitorizeaz clienii i se asigur c acetia nu fac request la mai mult de un numr
prestabilit de obiecte pe o anumit perioad de timp, de obicei msurat n secunde sau
minute. Dac clientul depete aceast limit, adresa IP a clientului este blacklisted
pentru o perioad prestabilit de timp, iar request-uri ulterioare sunt refuzate ct timp
adresa IP respectiv este blacklisted.

Deoarece aceast procedur poate s afecteze i utilizatori valizi, furnizorii de firewall

de nivel 7(application firewall), caut metode mai ingenioase de a preveni atacuri DoS,
fr a afecta utilizatori legitimi. Scopul implementrii unui firewall la nivelul aplicaie
este acela de a asigura o conexiune rapid i securizat. Prin prevenirea atacurilor de
nivel 4 i 7, aceste soluii permit serverelor s continue s funcioneze fr degradri de
performan cauzate de adacuri DoS.

Bibliografie
http://www.cs.columbia.edu/~locasto/projects/candidacy/papers/ioannidis2002pushback
.pdf

http://ieeexplore.ieee.org/abstract/document/1199330/

http://www.sciencedirect.com/science/article/pii/S1389128603004250

https://www.keycdn.com/support/ddos-attack/

4 | Page
https://www.imperva.com/docs/DS_Incapsula_The_Top_10_DDoS_Attack_Trends_ebook.p
df

https://devcentral.f5.com/articles/layer-4-vs-layer-7-dos-attack

5 | Page