Ancora DDos!? Perche!?

[kaoshack]

Ciao a tutti vorrei capire il perchè essistano gli attacchi DDos nonostante le moderne tecnologie che ci fornisce la nostra epoca.Conosco due tipologie di attacchi DDos il PING-Flood e il SYN-Flood (se qualcuno ne conosce altre perfavore melo dica).
Allora per il PING-Flood non credo ci siano molti problemi i moderni firewall come il mio bloccano tutte le richiede ping da tutti gli host, quindi no-problem.
Per i SYN-Flood bisogna per forza avere una porta aperta, quindi se si vuole stare al sicuro basta bloccare tutte le porte, ma se proprio si ha l'esigenza di avere una porta aperte (p2p,o alcuno altro server) basta installare un piccolo sistema IDS che dopo un deterninato numero di connessioni SYN le blocca scongiurando così l'attacco.
Ora la domanda che mi sorge spontanea, ci sono altre tipologie di attacchi DDos che non possono essere scongiurate dai moderni sistemi?
Dato che ancora oggi colossi come la microsoft etc hanno avuto e hanno ancora questi problemi.

[makuro]

Originariamente inviato da kaoshack
[cut...]
basta installare un piccolo sistema IDS che dopo un deterninato numero di connessioni SYN le blocca scongiurando così l'attacco.

Se provengono da 1000 fonti diverse, come li differenzi da quelle lecite? Le chiudi tutte? Ecco il DDos, anche le legittime non possono passare.

[kaoshack]

si tratta pur sempre di una cosa momentanea il DDos sicuramente per qualche minuto non farà passare le richieste anche lecite ma non causa un impallamento del sistema.
immagina che i leggittimi proprietari di un server non abbiano accesso diretto al server ma solo via SSH telnet etc. dovrebbero riavviare il istema per far ripartire tutto.
Invece grazie ai sistemi IDS non si fa si che il sistema vada in palla
In ogni caso se non si hanno porte apertr non si sarebbe cmq vulnerabili ai sys-flood qindi elimina completmente il problema dei ddos...
conosci altre tipologie di attacco oltre ping-flood e sys-flood?

[NetEscape]

Qui ti puoi sbizzarrire:
http://staff.washington.edu/dittrich/misc/ddos/

L'attacco Ddos può anche essere eseguito inconsapevolmente da macchine infette da worm, ad. es. Da questi pc, detti "zombie", si possono lanciare una quantità impressionante di attacchi. Gli specialisti attualmente sono rivolti verso le grandi società che gestiscono giochi d'azzardo online. O paghi il pizzo o ti fotto il server.

[billiejoex]

In caso di flooding di massa non c'è IDS che tenga.
Per DoS non devi pensare necessariamente al solo freezing della macchina, al crash del singolo componente o al classico consumo eccessivo di risorse che rallenta il sistema.
Se in caso di flooding un IDS blocca preventivamente qualunque richiesta di connessione dall'esterno è vero che il sistema non crasha e rimane in piedi ma è altrettanto vero che tale sistema non potrà più offrire alcun servizio al mondo esterno. E questo non è soltanto un DoS in piena regola, ma direi piuttosto che ne è addirittura l'essenza stessa.
Se il flooding è massiccio non c'è soluzione che tenga, salvo quella di staccare il cavo di rete e aspettare che l'attacco finisca.

[Habanero]

biliejoex ha colto nel segno...

il syn flood non è un consumo di banda ma un consumo di risorse dovuto a come sono implementati gli stack tcpip. Esistono contromisure contro il syn-flood implementate proprio nello stack (vedi i syn-cookies o la controversa tecnologia "inventata" da Steve Gibson per i suoi server)

Un attacco basato sul consumo di banda è invece difficilmente gestibile. Se ti arriva un flusso maggiore di quello che riesci ad analizzare (e soprattutto molto maggiore del traffico lecito) la maggior parte dei pacchetti utili andrà persa.
Se chi attacca ha disponibile una ampiezza di banda molto maggiore della tua poco puoi fare (vedi a questo proposito gli attacchi distribuiti basati su flotte di zombie). L'unico modo per bloccarli è agire dove l'ampiezza di banda è maggiore e l'attacco è gestibile: sui router del tuo ISP!

Ah! per la cronaca tipi di attacchi DoS ne esistono moltissimi..


link interessanti:
http://www.grc.com/dos/grcdos.htm
http://www.grc.com/dos/drdos.htm

[kaoshack]

quanli altri tipi di attacchi dos?
diciamo che e un computer ha un firewall che filtra i ping e tutte le porte l' attacker non avrebbe modo di avere contatti diretti col computer quindi non può effettuare un DDos (naturalmente sarà molto difficile trovare un computer che non abbia porte aperte dato la grande diffusione del P2P e altri tipi di sistemi che hanno bisogno di avere porte aperte)

[edivad82]

Originariamente inviato da kaoshack
quanli altri tipi di attacchi dos?
diciamo che e un computer ha un firewall che filtra i ping e tutte le porte l' attacker non avrebbe modo di avere contatti diretti col computer quindi non può effettuare un DDos (naturalmente sarà molto difficile trovare un computer che non abbia porte aperte dato la grande diffusione del P2P e altri tipi di sistemi che hanno bisogno di avere porte aperte)

sostanzialmente tutti i servizi possono essere colpiti da DDoS... è appunto anche questo uno dei problemi della difficoltà di implementare un ids efficiente...oltre per la natura stessa del DDoS, ovvero sorgenti differenti...

[makuro]

Originariamente inviato da kaoshack
quanli altri tipi di attacchi dos?
diciamo che e un computer ha un firewall che filtra i ping e tutte le porte l' attacker non avrebbe modo di avere contatti diretti col computer quindi non può effettuare un DDos

...ancora...se il tuo firewall passa il tempo a filtrare milioni di milioni di connessioni non "buone", non avrà neanche il tempo di farti passare quelle buone...ecco il Dos.

[kaoshack]

forse non mi capisci, o io sono stato infelice nello spiegarmi
il mio firewall filtra infatti tutte le connessioni dirette tutte le porte, ma quelle dirette no quelle indirette, se no nemmeno io riusirei a stare su internet.
quindi in questo caso dato che il mio computer non fornisce nessun servizio posso stare al sicuro dai sys-flood (dato che non uso p2p o qualsieasi altro server che tenga una porta in ascolto) proprio perchè il sys-flood ha bisogno di una porta che stia in ascolto per poter attaccare.