Útoky

Denial of Service (DOS)

 • cíl útoku je vyřazení služby z činnosti - bývá konstruován tak, že jeho cílem je v jednom čase útok na jednu konkrétní službu
 • dochází k přehlcení požadavky a pádu nebo minimálně jeho nefunkčnosti 
 • někdy jako součást jiného útoku či zahlazení stop

Všechny typy se vyznačují několika společnými charakteristikami:

 • Zaplavení provozu na síti náhodnými daty, které zabraňují protékání skutečných dat.
 • Zabránění nebo přerušení konkrétnímu uživateli v přístupu ke službě.
 • Narušení konfiguračního nastavení.
 • Extrémnímu zatížení CPU cílového serveru.
 • Vsunutím chybových hlášení do sekvence instrukcí, které můžou vést k pádu systému.
 • Pád samotného operačního systému.

DoS pomocí chyb v implementaci IP

 • PingOfDeath – odeslání příliš velkého paketu pomocí ping, nekontrolující příjemce se zhroutil
 • Teardrops – využívá chyby při skládání fragmentovaných paketů (posílá nekorektní fragmenty)

DoS pomocí nedokonalostí TCP/IP

 • SYN flooding 
  • útočník zahájí navázání TCP spojení (pošle paket SYN)
  • cíl potvrdí (SYN ACK) a alokuje pro otevírané spojení zdroje
  • útočník ale nedokončí navázání spojení, místo toho zahajuje otevírání dalších a dalších spojení
  • cíl postupně vyčerpá své zdroje a přestane přijímat žádosti o spojení od regulérních klientů
  • řešení: zkrátit dobu čekání na potvrzení navázaného spojení od klienta, alokovat pro ně zdroje až po potvrzení
 • Land attack – varianta SYN útoku, v žádosti o spojení  je jako adresát i odesilatel uveden cílový stroj, ten se zahltí zasíláním potvrzení sám sobě
 • Smurf – zahlcení cíle ICMP pakety (ping), jejich zpracování mívá někdy přednost před běžným provozem; útočník pošle žádost o ping všem (broadcast) a jako odesilatele uvede cíl útoku
 • DNS útok – podobný předchozímu, jen místo ICMP používá DNS dotazy a odpovědi

 

DDoS – Distributed Denial of Service

 • DoS útok vedený souběžně z mnoha stanic 
 • na nezabezpečené počítače je distribuován útočný program (označován jako zombie), např. virem
 • v určitý čas útočník vzbudí zombie a pošle je současně na cíl
 • mnoho různých variant, zejména v přístupu k synchronizaci zombie
 • obtížně se blokuje – zdrojů je příliš mnoho
Kam dál?