Сессионная атака, атака медленными сессиями (Session Attack, SlowLoris)

Между ботом и сервером-жертвой устанавливается TCP-сессия. Когда сессия уже успешно создана, атакующий бот не отвечает ACK пакетом, чтобы удержать сессию открытой, пока не сработает событие “Таймаут сессии”(Session Time Out). Пустая сессия расходует системные ресурсы (ОЗУ, процессор и пр.), которые будут неизбежно выделены сервером для обработки открытой сессии. В результате сервер-жертва резервирует свободные ресурсы на обслуживание открытых TCP-сессий с ботами. С ростом числа поддельных сессий остается все меньше системных ресурсов для поддержания и открытия новых TCP-сессий с легитимными пользователями и в итоге наступает недоступность сервера-жертвы.

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

Атака поддельными TCP сессиями с несколькими SYN-ACK (Multiple SYN-ACK Fake Session Attack)

Этот вариант атаки поддельной сессией выполняется несколькими SYN и несколькими ACK пакетами совместно с одним или более RST или FIN пакетами. что такое хайп хостинг Такая модификация позволяет обходить механизмы защиты, которые детектируют обычные атаки поддельными сессиями, делая поддельный трафик еще более похожим на легитимный. тарифы на абузхостинг
Далее...

IP Null атака (IP Null Attack)

 Согласно нормам RFC заголовок IP-пакета должен содержать сведения об используемом протоколе транспортного уровня в поле “Protocol”. При использовании IP Null атаки отправляются пакеты с нулевым значением этого поля. Пограничные маршрутизаторы и файрволлы, скорее всего, беспрепятственно пропустят такой пакет, как не классифицированный. Не смотря на то, что в настоящее время нулевое значение в поле “протокол” зарезервировано для указания IPv6 Hop-by-Hop Option (HOPOPT), далеко не каждый сервер может принять и корректно обработать такой пакет. А если такие пакеты поступают в большом количестве, их анализ будет занимать достаточно значительную часть системных ресурсов, вплоть до их полного исчерпания и отказа сервера.
Далее...

Фрагментированный UDP Flood (UDP Fragmentation Flood, UDP Fragmentation, Nuke)

Одна из разновидностей UDP Flood. Отличается тем, что для атаки используются пакеты максимального допустимого размера, чтобы заполнить канал минимальным количеством пакетов. Поскольку эти фрагменты пакетов являются фальсифицированными и не имеют никакого отношения к реальным данным, сервер-жертва, принимая их, будет резервировать ресурсы для того, чтобы восстанавливать несуществующие пакеты из поддельных фрагментов. Рано или поздно это приведет или к исчерпанию системных ресурсов и отказу сервера, или к переполнению каналов. Так же, как и UDP Flood, такую атаку сложно фильтровать, и риск переполнения канала много выше. Рекомендуемые методы защиты такие же, как и в случае UDP Flood. Защита от ddos DDoS атака на телефон Защита от ддос атак сервера DDoS панель
Далее...