Jump to content

DoS халдлага

Википедиа — Чөлөөт нэвтэрхий толь
DDoS клиентээр халдсан халдлагын бүдүүвч зураг

Анх DOS нь 8086-family microprocessor үйлдлийн системд зориулагдан бүтээгдэж байсан.1973 оноос өдийг хүртэл шинэчлэгдэн сайжирч төрөл зүйл нь олширсоор байгаа томоохон халдлагын нэг юм.1981-02-25 нд 86-DOS 0.42 хувилбаргарчбайсанболөдийд хэзээ ямар төрөл гарсан нь тодохойлох боломжгүйгээр эрчимтэй хөгжиж байна. Denial-of-service (DoS: англ. "албаны буюу үйлчилгээний түгжээ" эсвэл "үйлчилгээний татгалзал") гэдэг нь серверийн ажиллагааг зогсоож улмаар цаашлаад Datebase - руу нь нэвтрэх юм. Веб сервер маань хэрэглэгчийн ямар нэг хязгаартай байдаг бөгөөд бид түүнийг 1 цагт 5 уут гурил тээрэмддэг хүн гэж бодъё. Гэтэл баяраар түүний тээрэмдэх гурилын тоо ихсэж ачааллаа дийлэх ядарч унана. Үүний адилаар ceрвер болон вебд их хэмжээний хүсэлт хандалт ирснээр веб сервер маань уналтанд орохыг DoS халдлага гэнэ. Компьютер үйлдлүүдийг хийхдээ нэг нэгээр нь биш их бага хэмжээгээр өгөдлүүдийг нэгэн зэрэг гүйцэтгэдэг. Ингэснээр DoS халдлаганд компьютер болон веб сервер өртөхөд CPU (Central Processor Unit) болон RAM (Random Access Memory) ачааллаж ихээхэн хэмжээний өгөгдлийг гүйцэтгэж чадахгүйн улмаас түр уналтанд орох болон цаашлаад гацдаг байна. DoS халдлага нь ихэвчлэн пакетын халдлага байдаг.

Dos халдлага нь түр буюу тодорхой бус хугацаагаар зогсоох юм уу эсвэл интернэтэд холбогдсон компьютерийн үйлчилгээг зогсоох гэх мэт өөрийн зорилтот хэрэглэгчдэд нь сүлжээний нөөц байхгүй болгох гэсэн оролдлого юм. DoS-ийг ихэвчлэн банк, кредит картны төлбөр зэрэг өндөр хувийн мэдээллийг үзэх мөн вэб сервер дээр зохион байгуулсан сайт эсвэл үйлчилгээг бууруулах зорилгоор DoS-ийг хийдэг.

DoS халдлагын төрөл

[засварлах | кодоор засварлах]
  • Ping of Death
  • Teardrop
  • Ping Flooding
  • Amplification
  • D-DoS
  • SYN-Flooding
  • Port scan
  • Stealth SYN scan
  • FIN /X-Mas/ Null-Scan
  • Idle-Scan
  • Spoof
  • Application layer DDos attack
  • Hit-and-Run DDoS
  • XorDDos
  • Shroud Proactive
  • Телнет гэх мэт олон төрөл байна.
Ping o Death

IP пакетын хэмжээ 65507 (65535-20-8) байдаг тэгвэл 65536 илгээвэл юу болох бол? Энд 8 нь ICMP толгой мэдээлэл, 20 нь IP хаягны толгой мэдээлэл агуулагддаг. Гэхдээ бид шууд Ping явуулахад "Request timed out" гээд Ping маань үхчихдэг. Цаанаа хариулахгүйгээр тохируулчихсан учраас тэр.

Teardrop

IP хаягийг хэсэглэж явуулахад TCP/IP нүх илэрч хэсгүүдийг цуглуулах гэж оролддог.

Amplification

Ping Flood шиг боловч дайралтыг Broadcast хаяг ба Spoof ашигласнаар пакетаа хэд дахин өсгөдөг.

Distributed DoS

Dos, D-DoS хоёрын ялгаа нь smurf ашиглаж нэг хостоос дайрвал DoS болно. Олон Zombie зэрэг ашиглаж дайрвал D-DoS болно. Zombie гэдэг бидний амьдрал дээр мэддэг амьд үхдэлтэй утгын хувьд төстэй. Тиймээс ч ингэж нэрлэсэн байх. Zombie-гийн зорилго нь та ямар нэг компьютер лүү дайрахгүй харин өөр компьютерээр дамжуулж дайрдаг. Ингэснээр буцаагаад таныг барихад хэцүү болно. Өртөгч компьютерээс хэн хакердсаныг харахад таны zombie харагдах болохоос та харагдахгүй юм. Zombie болгоход дараах шаардлагуудыг хангасан байх хэрэгтэй:

  • Таны хянах зорилготой PC руу орох боломжтой
  • IPID - Identification number-г мэдэх хэрэгтэй.
  • Бусад хүмүүстэй маш бага мэдээлэл солилцдог байх хэрэгтэй.
SYN Flooding

Эхлээд TCP/SYN пакетыг илгээхэд дайрах гэж байгаа сервер хариуд нь TCP/SYN-ACK пакетыг илгээгээд буцаж TCP/ACK пакет ирэхийг хүлээдэг. Гэвч хакердагч ACK пакетыг илгээхгүй харин half-open байдлыг нь ашигладаг.

FIN /X-Mas/ Null-Scan

Энэ нь ямар нэг холбоо тогтоодоггүй, харин бага багаар урагшаа ажилладаг. Нэг нээлттэй порт байлаа гэхэд та түүнийг хянахгүй харин тэр хаалга хаагдвал reset пакетаа явуулдаг.

Spoof
Idle-Scan

nMap, IP identification number ашиглаж Zombie-гоор дамжуулдаг. Одоогийн байдлаар хамгийн сайл үл харагдагч хянах систем юм.

Hit-and-run

Hit-and-run DDoS Энэ нь богино хугацаанд халддагч нэгэнт өртсөн бол хохирогч халдлагыг зогсоох эсвэл сервэрээ хамгаалж чаддаг болтлоо үргэлжилдэгээрээ бусад DDosхалдлагын төрлүүдээс онцгой юм. Энэ халдлага нь сервэрийг бүрэн унагаахад дунджаар 20 оос 60 минут л хангалттай. Халдлагын дараа 12 цаг 24 цаг бүүр 7 хоногоор халдлага үргэлжлэх боломжтой. Заримдаа Hit-and-run DDosийг DDosийн test хийх зорилгоор ашиглаж байна. Халдагч нэг л халдсан бол хохирогч тэрхүү DDosийг цэвэрлэсэн ч дараа нь халдагч дахин нэвтрэх боломжтой. Hit-and-run DDosийг antivirus-DDosпрограмыг ашиглан зогсоодог.

XorDDos

XorDDos Ихэнх хохирогчид нь Ази тивд илэрсэн учир анх Азид үүссэн байх магадлалтай. XorDDosнь Trojan malware болон hijacks Linux ийг ашиглан DDosхийнэ. 150+ Gbps ийм хэмжээний өндөр ачааллыг үзүүлдэг. C/C++ програмын хэл дээр бичигдсэн байдаг. ARM болон x86 систэмүүдээр илрүүлэх боломжтой. Линукс дээр Secure Shell үйлчилгээний нууц үгийг олж авах зорилгоор довтолгоог эхлүүлж цаашлаад нэгэнт Secure Shell – ийн нууц үгийг олж авсанаар амжилттай нэвтрэн XorDDoS– ийг ажиллуулах давуу эрхтэй скриптийг сервэр болон компьютерт татна суулгадаг.


Телнет нь хэрэглэгчдэд гадны машинд хандаж тэнд команд биелүүлэх боломж олгодог. NT-н 135-р портоор Телнет хийвэл уг машиныг гацаадаг бөгөөд майкрософт мэдээлэл сервер рүү 80-р портоор Телнет хийгээд Get бичин гацааж болдог. 80-р порт бол веб серверт хэвийн ажилладаг стандарт порт юм. Гэхдээ Telnet нь DoS хийхээс илүүтэйгээр fakemail, fakenews-г үүсгэхэд түлхүү хэрэглэгддэг. Хамгийн их халдлагад өртдөг портууд:

  1. Порт (Web/HTTP) - 45,54%
  2. Порт (NetBIOS) - 20.22%
  3. Порт (SQL) - 13.68%
  4. Порт1985 (HSRP) - 3.52
  5. Порт 138(NetBIOS) -3.38%
  6. Порт 25(SMPT) - 3.37%
  7. Порт 161 (SNMP in) - 3.34%
  8. Порт 162 (SNMP trap) - 3.26%
  9. Порт 21 (FTP) -1.75%
  10. Порт 443 (HTTPS) - 1.55%
DoS дайралт болж байгааг мэдэх
  • Интернэт холболт маш удаан болох
  • Зарим вэбүүд идэвхгүй болох
  • Ямар ч вэб сайт руу орж болохгүй байх
  • Маш их замбраагүй spam ирэх

DoS халдлагаас хамгаалах

[засварлах | кодоор засварлах]

Юуны өмнө вирусний эсрэг програм, галт хана хоёрыг суулгаж идэвхжүүлнэ. Гол нь галт ханынхаа тохиргоог зөв хийх хэрэгтэй. Dos халдлага интернэтээр хийгддэг халдлага учраас ашиглагдахгүй байгаа портуудыг хааж өгнө. DoS халдлагад хамгийн их өртөх портын дугаар 8080, 8070, 9999, 8888 байна. Та өөрийн веб серверийг халдлагаас хамгаалахыг хүсвэл хамгийн эхэнд портын талаар мэдэх хэрэгтэй. Аль портоор юу дамжихыг Internet Assigned Numbers Authority олон улсын байгууллагаас тогтоож өгдөг. Порт гэдэг бол 16 бит урттай тэмдэггүй (unsigned) тоо байдаг. 0 - 1023 бол давуу эрхтэй порт, 1024 - 49151 бол регистертэй порт, 49152 - 65535 бол динамик эсвэл хувийн зорилгоор ашиглагддаг порт. Зарим портонд одоогоор юу ч заагаагүй байдаг бөгөөд шинэ зүйл гарвал тухайн портонд харгалзуулдаг. Хамгийн их халдлагад өртдөг Портууд 1. Порт (Web/HTTP) - 45,54% 2. Порт (NetBIOS) - 20.22% 3. Порт (SQL) - 13.68% 4. Порт1985(HSRP) -3.52 5.Порт 138(NetBIOS) -3.38% 6.Порт 25(SMPT) - 3.37% 7.Порт 161 (SNMP in) - 3.34% 8.Порт 162 (SNMP trap) - 3.26% 9.Порт 21 (FTP) -1.75% 10.Порт 443 (HTTPS) - 1.55%

DoSхалдлагаас хэрхэн хамгаалах вэ ? Юуны өмнө вирусний эсрэг програм, галт хана хоёрыг суулгаж идэвхжүүлнэ. Гол нь галт ханынхаа тохиргоог зөв хийх хэрэгтэй. Dos халдлага интернэтээр хийгддэг халдага учраас ашиглагдахгүй байгаа портуудыг хааж өгнө. DoSхалдлагадхамгийних өртөапортын дугаар 8080, 8070, 9999, 8888 байна.Та өөрийн веб серверийг халдалгаас хамгаалахыг хүсвэл хамгийн эхэнд портыг талаар мэдэх хэрэгтэй. Аль портоор юу дамжихыг Internet Assigned Numbers Authority олон улсын байгууллагаас тогтоож өгдөг. Порт гэдэг бол 16 бит урттай тэмдэггүй (unsigned) тоо байдаг. 0 - 1023 бол давуу эрхтэй порт, 1024 - 49151 бол регистертэй порт, 49152 - 65535 бол динамик эсвэл хувийн зорилгоор ашиглагддаг порт. Зарим портонд одоогоор юу ч заагаагүй байдаг бөгөөд шинэ зүйл гарвал тухайн портонд харгалзуулдаг.

Хэрэв эдгээр портууд нээлттэй байвал хааж өгөх коммандууд:

  • Windows - Terminal нээн (run + cmd)
  • netstat -tulpn - нээлттэй портуудын харах комманд
  • pkill -ns <pid> эсвэл Task Manager --> end port
  • netstat -aon | more
  • Unix - Terminal нээн (alt + ctrl + t)
  • sudo netstat -ap | grep : <port_nubmer>
  • kill <pid> процессийг шууд таслан зогсоон
  • kill -9 <pid>
  • kill -9

Springboard буюу бусад халдлагуудыг хязгаарлах (ICMP хариу халдлагууд, ping цацалт гэх мэт)

Dos халдалагын төрөл болох ping flood хийе Эхлээд эхлээд бид DoSхалдлага хийх сайт эсвэл сервэрийн IPхаягийг мэдэж авах хэрэгтэй. Алхам 1: Command Promfнээн nslookupкоммандыг бичнэ.(NSLOOKUP --> URL-д оноогдсон IP хаягыг харуулна) Алхам 2: Халдах обьектын домайн нэрийг бичиж өгнө. Жишээ: www.google.mn үүнийг хийсний дараа IP хаяг нь гарч ирнэ. Алхам 3: Дахин шинэ Command Promfнээн ping <ip address>коммандаа хийж өгнө. Хэрэв ping амжилттайамжилттай болсон бол ping <ip address> -t -l 65500 гэсэн коммандыг хийж өгнө. (PING <ip address> -t -l 65500 --> ping комманд нь ихэвчлэн холболт тогтоогдсоныг шалгах зорилгоор ашигладаг "-t"-н таныг ping коммандыг зогсоох хүртэл үргэлжлэн нэг үгээр дуусашгүй "-l"-н 65500 byte датаилгээхийгзаана) Unix Ping Flooding хийх nslookup sudo ping -f -s 56500 <ip address> (-s packet - ийн хэмжээ, -f тасралтгүй явуулах) Ping Flooding хэрхэн амжилттай болсоныг мэдэх вэ ? Халдагчийн компьютерийн интернет ачааллан. Халдсан обьект ачаалалсаны улмаас Server, Web нь түр уналтанд орж зогсонго байдалд орно дээр бид www.google.mn -ийг IP хаягаар нь ping flooding хийж DoSдож чадсан бол Web Browser - ээр googleрүү IP хаягаар хандаж нэвтэрч болохгүй байх юм. Санамж : Халдагч этгээд интернетийн хурд сайн байх хэрэгтэй учир нь халдагч бай болсон обьектруу их хэмжээгээр packet илгээдэг тул халдагч удаан интернеттэй бол халдагчийн сүлжээ ачааллаа дийлэхгүй нэг үгээр өөрөө өөрийгөө DoSхийж байна гэсэн үг. Монгол улсад бүртгэгдсэн DoSболон кибер халдлагын тохиолдлууд 2004 онд Ерөнхий сайд залуучуудтай онлайн ярилцлага хийх үед сүлжээний үйлчилгээг унагах довтолгоон хийсэн.(DDoS). 2006 - 2008 онд Зарим байгууллагын мэдээллэлийн аюулгүйн байдлын түвшин доогуур байсныг ашиглан мөнгө хулгайлах тохиолдолд хэд хэдэн удаа гарсан. 2008 оны 11 сарын 15-нд Монгол улсын Ерөнхийлөгчийн веб сайт www.president.mn (Defacement) халдлагад өртсөн. 2008 онд нийгмийн даатгалын ерөнхий газраас цалингийн цэс алдагдсан (Trojan horse). 2009 онд www.pmis.gov.mn хакер халдлагад өртсөн (JavaScript). 2011 оноос Веб сайтуудад DDoSхалдлагад эрчимтэй өртөж эхэлсэн. 2012 оны эхэнд өндөр чадвартай DDoSхалдлага улсын байгууллагуудад үйлдэгдсэн 300kb/s хурдтай. 2013 онд www.mongolcomment.mn (Defacement) хийлгэсэн. 2013оны байдлаар DDOS attack ийн 20 орчим хувыг application layer DDos attack эзэлж байна. Бусад network орчинд хийдэг халдлагуудаас ялгагдах зүйл нь IT аюулгүйн газрууд болон санхүүгийн байгууллаг зэрэг томоохон газруудад халдлага хийгдэж байна. Хохирогчийн OSI model ийг онилдог. 2013 оны эхний хагас жилд Мобиком корпорацийн MАБХТ-д нийт 2,331,390 дохио бүртгэгдсэнээс 1,341,755 дохиог ноцтой гэж үзэн хаалт хийж 1,227,065 хамгаалсан байна. Нийт ноцтой дохионы нийт ноцтой дохионы 27,965-н DDoSхалдлага байсан бөгөөд үүнээс 153-н хамгаалсан байна. Үүнээс нийт DDoSхалдлагаас Protocol, Total traffic, TCP-SYN, DNS төрлийн халдлагууд дийлэнхи хувийг эзэлж байна. Өмнөх тайлангуудаас харахад DNS серверүүд рүү чиглэсэн DDOS халдлага тогтмол өндөр хувьтай бүртгэгдсэн байна. 2013 оны эхний 6 сарын байдлаар хамгаалалтын системийн илрүүлж зогсоосон түгээмэл 10 халдлага. Remote Desktop Denial of Service(DoS) Attack: 316215 FTP: Bad Login: 261377 Windows Remote Desktop Access: 257741 UDP: LOIC Distributed Deniel of Service (DDoS) Tool: 216599 HTTP: SlowlorisDoS Tool: 203170 Invalid TCP Traffic: Possible Recon Scan (SYN FIN): 185823 TCP: Port Scan: 103189 SSH: Login Attempt Client Request: 83808 HTTP: ZmEu Vulnerability Scanner: 60592 HTTP: Cross Site Scripting in GET Request: 45559 Томоохон DoSхалдлага. DDoS attacks during the October 2011 South Korean by-election 2011 оны аравдугаар сарын өмнөд Солонгосын сонгуулын үеэр 2 удаа DDos халдлага явсан юм. Grand National Party намын нарын бичгийн дарга өөртөө сонгуульд давуу тал олж авхын тулд ашигласан. Эхний халдлага нь БНСУ-ын Үндэсний Сонгуулийн Комиссын цахим хуудас болон нэр дэвшигч Park Won-soon ний цахим хуудасанд халдсан байна. Халдлагын зорилго нь сонгуулын үеэр сонгогчид сонгуулын цахим хуудсыг ашиглахад төвөгтэй болгоход оршиж байсан. Энэ халдлага нь Grand National Party (GNP) намын хадагтай Na д ашигтай байсан гэх ч таамаг бий. Цагдаагыхан шалгасны дараа 2 халдлагын ард Grand National Party намын Choi Gu-sik байсныг илрүүлсэн. Мөн түүнтэй хамт 4 хүнийг сэжигтнээр баривчилсан байна. Өмнөд Солонгос даяаар энэ тухай ярилцаж 30 гаруй их дээд сургуулынхан цахим халдлагыг эсэргүүцсэн мэдэгдэл хийсэн. Хувийншалтгааныулмаас Халагдаж гоморхсон ажилтны нэг болох БрэтМак Данэл DOS дайралт ашиглан Tornado De¬velopment -н системийг бүхэлд нь унтрааж 3 долоо хоногт 5 удаа системд нэвтэрч 11000 гаруй хэрэглэгчдийг спамаар булж $325000 -ийн хохирол учруулжээ. Санхүүгийнзорилгоор Ихэнх гэмт хэрэгсанхүүгийн сэдэлттэй байдаг.Байгууллагын санхүүгийн мэдээллийг худалдах, өөртөө ашигтайгаар өөрчлөх гэх мэт үйлдлүүд ихэнхдээ ордог.Cisco sys¬tems -н хоёр нягтлан 8 сая орчим долларын үнэ бүхий барааг завшсаныхаа төлөө 34 саршорондялэдлэхболжээ.Британийн интернэтийн үйлчилгээ үзүүлэгч Cloud nine компани нууцлаг дайралтын дараагаар бүр мөсөн ажиллагаагаа зогсоожээ.Сүлжээгээ сэргээхийн тулд шаардлагатай мөнгөний хэмжээг нь даатгал нөхөж чадаагүй байна.Хамгийн эхний нууц үгийн дайралтад firewall төхөөрөмжөртөндараагийн DOS дайралтадсүлжээажиллагаагүйболжээ. Өнгөрсөн онд энэ мэдээлэл гарч байсан. WikiLeaks”вэб сайтыг дэмжигч хакеруудын “Anonymous” бүлэглэлийн таван гишүүнийг баривчилсан байна. Тэд бүгд эрэгтэй бөгөөд Их Британийн иргэд аж.Тэднийг “WikiLeaks” компани тай хамтран ажиллахыг зөвшөөрөөгүй компаниудын вэб сайтуудруу халдлага хийж, үйл ажиллагааг нь доголдуулсан хэргээр баривчилжээ.Хакерууд “Paypal”, “Amazon” болон “MasterCard”компаниудын вэб сайтруу хийсэн халдлагад оролцсон байжээ. “Anonymous” бүлэглэл нь компаниудруу DDoS төрлийн дайралт хийдэг.Энэ нь вэб сайтруу зохиомлоор асар их хэмжээний өгөгдлийг нэгэн зэрэг өгч, улмаар ажиллахгүй болгодог юм.“WikiLeaks” АНУ-ын дипломат сувгийн талаарх мэдээллийг цацсан билээ. Харин Засгийн газрын шахалтаар хэд хэдэн компани “WikiLeaks”-ийг хууль бус үйл ажиллагаа явуулж байна гээд холбоогоо тасалж, сөрөг хакерууд вэб сайтыг нь хаах халдлага хийсэн юм.Хэрэглэгчдийн хандалт огцом ихэссэнээс тул компанийн зүгээс ийм хэмжээний ачааллыг дааж чадах вэб байрлуулах үйлчилгээ үзүүлэгч “Amazon.com”-д байршуулсан ч өнгөрсөн долоо хоногийн лхагва гаригт “Amazon”-ыг АНУ-ын конгрессын албан хаагчид Жулиан Ассанжтай ямар холбоотой талаар байцааж эхэлснээс болж, “WikiLeaks”-ээс зайгаа барисан юм.

Энэ төрлийн халдлагыг санаатайгаар үйлдэн мэдээллийн боловсруулалт болон өгөгдлийн оруулалт эсвэл -дамжуулалтанд хэр хэмжээний хохирол учруулсанаас шалтгаалсан ял шийтгэл оногдуулдаг. Үүний жишээнд:

  • Англид зөвхөн халдлагад ашиглагдах програмыг татаж авсаны төлөө 2 жилийн хорих ялын шийтгэл
  • Швейцарт өндөр хэмжээний мөнгөн торгууль эсвэл тав хүртэл жилийн хорих ял
  • Германд мэдээллийн боловсруулалт, өгөгдөлд санаатайгаар халдан үйл ажиллагаанд доголдол учруулсан[1][2] хэмээн нэгэн гэмт хэрэгтэнд олон жилийн хорих ял өгсөнөөс[3] гадна ийм төрлийн халдлагад ашиглах зориулалттай програм бүтээх буюу тараасан гэх гэмт үйлдэл хийхийг санаархсан хэмээн олон зүйл ангиар[4][5] яллах нь бий.
  • Австрид мэдээллийн санд хохирол учруулсан[6] болон зөвхөн нэг компьютерийн үйл ажиллагаанд санаатай халдахад ч[7] ял өгдөг байна.
  1. Gröseling, Höfinger: Computersabotage und Vorfeldkriminalisierung – Auswirkungen des 41. StrÄndG zur Bekämpfung der Computerkriminalität, MMR 2007, 626, 628f.
  2. Ernst: Das neue Computerstrafrecht, NJW 2007, 2661, 2665.
  3. LG Düsseldorf, Urteil vom 22. März 2011, Az. 3 KLs 1/11.
  4. Strafgesetzbuch (StGB) § 303b Computersabotage
  5. Strafgesetzbuch (StGB)§ 202c Vorbereiten des Ausspähens und Abfangens von Daten
  6. Datenbeschädigung
  7. Störung der Funktionsfähigkeit eines Computersystems