Significato di Dosnet

[jarod1981®]

Negli ultimi due anni alcune delle grandi aziende Americane che hanno fatto fortuna su Internet (Yahoo,Amazon,eBuy ecc. ecc.) hanno subito un danno che ammonta a svariati milioni di dollari e ancora oggi per quanto abbiano migliorato i lori sistemi sono sempre vulnerabili. Stiamo parlando del DoS attack (denial of service) uno dei metodi che permette a molti hackers di tagliare fuori dalla rete sia un piccolo sito fino ad arrivare a grandi colossi che dispongono di larghissima banda. Il DoS attack sfrutta un “half-open” grazie al protocollo TCP, in dettaglio poniamo che “A” sia un server web da attaccare mentre “B” la macchina che attacca, “B” manda un serie di pacchetti “SYN” al server “A” per prepararsi alla connessione ma con un indirizzo di ritorno non valido, il server “B” di conseguenza risponderà con un pacchetto “SYN/ACK” che non arriverà mai, questo causa un enorme volume di connessioni non portate a termine e il server “B” vedendo che i pacchetti non raggiungo il server “A” tenterà di mandarne altri, fino a quando il volume di pacchetti persi porterà il server “B” a negare anche le richieste valide, nello stesso tempo si subisce anche un flood perché i pacchetti di “SYN” inviati arrivano prima che il time-out per il controllo dei pacchetti persi finisca richiedendo al server “B” nuove connessioni, fino al punto da non poter creare nuove connessioni, tutto ciò porta al totale blocco del servizio web. Per limitare i danni contro il DoS Attack sui router vengono implementati alcuni filtri e politiche di firewall ma tutto questo comporta un decremento delle prestazioni del router e sicuramente non alla soluzione del problema. Per limitare i danni sui router bloccare tutti i pacchetti ICMP che arrivano dall’esterno è una cosa da fare visto che comunemente gli attacchi arrivano tramite pacchetti di ping ICMP, ma bisogna anche bloccare la risposta all’arrivo di pacchetti ICMP costruiti per causare un errore ICMP di risposta da parte del router. Nelle ultime versioni dei kernel di BSD si sono occupati di questo problema e compilandoli consigliamo di usare l’opzione icmp_bandlim che sicuramente limita questo tipo di attacchi e usando i nuovi kernel si nota che i pacchetti “SYN” non vengono più accettati da un dato ip quando un certo numero non vanno a termine limitando così il numero di risposte. Tutto questo però non ha un grande effetto o non serve a nulla quando un server o un’intera rete viene messa sotto DDoS attack (Distribuited Denial of Service). Come sopra il server web “B” viene bombardato di richieste “SYN” non da una singola macchina ma da bensì diverse, che vengono controllate a sua volta da una o piu macchine che fungo da HUB della “DoSNet” . Quando un server subisce un attacco simile le cose da fare sono pochissime visto che spesso il flusso di dati che arriva utilizza una banda nettamente più larga di quello che il server ha a disposizione , bloccare gli ICMP sui core router è una cosa da fare e loggare tutti gli IPs per poi farli filtrare sui core router, ma anche facendo ciò la DoSNet può passare dall’invio di pacchetti ICMP a UDP e quindi rendere vano il blocco. Per quanto si possa fare, siti che si occupano e vivono di commercio elettronico non possono applicare politiche di firewall estreme visto che devono permettere connessioni che arrivano da qualsiasi ip e tempi di risposta adeguati, di conseguenza risultano anche quelli più vulnerabili. Nel prossimo numero parleremo di come è strutturata una DoSNet più in dettaglio e del nuovo tipo di attacco DRDoS (Distribiuted Reflection Denial of Service) e come proteggersi.

[Solo gli utenti registrati possono visualizzare tutti i links]

[jarod1981®]

A Dosnet ([Solo gli utenti registrati possono visualizzare tutti i links]
[Solo gli utenti registrati possono visualizzare tutti i links]
) is a type of [Solo gli utenti registrati possono visualizzare tutti i links]
/[Solo gli utenti registrati possono visualizzare tutti i links]
and mostly used as a term for malicious botnets while benevolent botnets often simply are referred to as botnets. Dosnets are used for [Solo gli utenti registrati possono visualizzare tutti i links]
(DDoS) attacks which can be very devastating.
They range in size from a couple of bots to a couple of thousand bots up to over a hundred thousand bots.
Many dosbots use the [Solo gli utenti registrati possono visualizzare tutti i links]
protocol, but some use their own custom protocols. Some may use a decentralized [Solo gli utenti registrati possono visualizzare tutti i links]
network.
More advanced dosnets use technologies such as [Solo gli utenti registrati possono visualizzare tutti i links]
connections and [Solo gli utenti registrati possono visualizzare tutti i links]
to prevent [Solo gli utenti registrati possono visualizzare tutti i links]
and data inspection.
The botmaster can use the bots to "[Solo gli utenti registrati possono visualizzare tutti i links]
" (send a disruptive data flood) to other computers or networks. He can often also make them perform various other tasks, such as remotely fetching a new version of the bot software and update themselves.
Well-known dosnet software includes [Solo gli utenti registrati possono visualizzare tutti i links]
, [Solo gli utenti registrati possono visualizzare tutti i links]
and [Solo gli utenti registrati possono visualizzare tutti i links]
.
There are some dosnet hunters who finds dosnets and analyze the bot and/or network in order to dismantle them, by getting access to them and commanding them to "uninstall" themselves if such a feature is present in the bot software, or to "update" themselves to a dud, or download and execute some sort of cleaner.


[Solo gli utenti registrati possono visualizzare tutti i links]