Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности,
которая автоматизирует ключевые процессы управления:
контроль соответствия требованиям, управление рисками, учет активов, планирование работ,
задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
Злоумышленник может попытаться вызвать отказ в обслуживании (DoS), напрямую отправив большой объем сетевого трафика. Прямой сетевой поток - это когда одна или несколько скомпрометированных ранее систем (ботнет) используются для отправки большого объема сетевых пакетов на внешний сервис или сеть жертвы. Для этого может использоваться практически любой сетевой протокол.
Большие ботнеты могут генерировать значительный объем трафика из систем, разбросанных по всему Интернету. Злоумышленник может иметь собственный ботнет или могут арендовать время в существующей ботнете для проведения атаки. В некоторых наихудших случаях для распределенной DoS (DDoS) атаки для генерации потока используется так много систем, что каждой из них достаточно отправить небольшое количество трафика, чтобы создать достаточный объем для насыщения целевой сети. В таких обстоятельствах отличить DDoS-трафик от легитимных клиентов становится чрезвычайно сложно.
Одними из способов усилить эффект от DDoS являются методы Reflection и Amplification.
Например при атаках DNS Reflection жертва подвергается массированным подложным ответам DNS. Для этого применяют ботнет, где каждый бот в такой сети генерирует несколько DNS-запросов на множество DNS серверов, но в качестве IP источника указывает один и тот же IP-адрес жертвы. Каждый DNS-сервис отвечает по этому IP-адресу жертвы, что приводит к отказу в обслуживании.
При атаке Amplification злоумышленник формирует запрос к промежуточному серверу таким образом, чтобы промежуточный сервер формировал пакеты существенно большего размера, чем были отправлены злоумышленником. Например ботнет отправил 100 000 коротких запросов DNS по 50 байт (всего 5 Мбайт), а каждый ответ от DNS сервера к узлу жертвы содержит 1 Кбайт, то жертва получает 100 Мбайт трафика.
Объединяя методы Reflection и Amplification злоумышленник может значительно усилить объем трафика.
Большие ботнеты могут генерировать значительный объем трафика из систем, разбросанных по всему Интернету. Злоумышленник может иметь собственный ботнет или могут арендовать время в существующей ботнете для проведения атаки. В некоторых наихудших случаях для распределенной DoS (DDoS) атаки для генерации потока используется так много систем, что каждой из них достаточно отправить небольшое количество трафика, чтобы создать достаточный объем для насыщения целевой сети. В таких обстоятельствах отличить DDoS-трафик от легитимных клиентов становится чрезвычайно сложно.
Одними из способов усилить эффект от DDoS являются методы Reflection и Amplification.
Например при атаках DNS Reflection жертва подвергается массированным подложным ответам DNS. Для этого применяют ботнет, где каждый бот в такой сети генерирует несколько DNS-запросов на множество DNS серверов, но в качестве IP источника указывает один и тот же IP-адрес жертвы. Каждый DNS-сервис отвечает по этому IP-адресу жертвы, что приводит к отказу в обслуживании.
При атаке Amplification злоумышленник формирует запрос к промежуточному серверу таким образом, чтобы промежуточный сервер формировал пакеты существенно большего размера, чем были отправлены злоумышленником. Например ботнет отправил 100 000 коротких запросов DNS по 50 байт (всего 5 Мбайт), а каждый ответ от DNS сервера к узлу жертвы содержит 1 Кбайт, то жертва получает 100 Мбайт трафика.
Объединяя методы Reflection и Amplification злоумышленник может значительно усилить объем трафика.
БДУ ФСТЭК:
УБИ.140
Угроза приведения системы в состояние "отказ в обслуживании"
Угроза заключается в возможности отказа дискредитированной системой в доступе легальным пользователям при лавинообразном увеличе...
УБИ.153
Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов
Угроза заключается в возможности осуществления нарушителем опосредованного деструктивного программного воздействия на дискредити...
Техники ATT@CK:
T1498.001
Network Denial of Service:
Direct Network Flood
Adversaries may attempt to cause a denial of service (DoS) by directly sending a high-volume of network traffic to a target. Thi...
T1498.002
Network Denial of Service:
Reflection Amplification
Adversaries may attempt to cause a denial of service (DoS) by reflecting a high-volume of network traffic to a target. This type...
Связанные риски
Риск | Угроза | Уязвимость | Тип актива | Связи | |
---|---|---|---|---|---|
Недоступность публичных сервисов
из-за
возможности распределенной атаки на отказ в обслуживании (DDoS)
в веб-сервере
Доступность
Отказ в обслуживании
|
Недоступность публичных сервисов
Доступность
Отказ в обслуживании
|
Возможность распределенной атаки на отказ в обслуживании (DDoS) | 1 |