În tehnologia informației, mulți termeni au fost împrumutați din alte domenii ca de exemplu termenii militari. Acest lucru are sens când vine vorba de siguranță. În acest sens, putem să definim un atac ca pe o încercare din partea unui individ neautorizat sau a unui grup de a schimba sau de a provoca daune sistemului. Aceste atacuri pot fi complet banale și sporadice, dar și foarte bine organizate.
Principalul aspect al diferențierii atacurilor este faptul că pot avea loc în mai multe moduri și din diferite motive. Un atacator poate avea diferite motive de a ataca. Unele dintre ele pot fi:
1. atacul de dragul distracției;
2. atacul din cauza insatisfacției personale cu privire la sistemul-țintă;
3. atacul cu scopul de a fura ceva de la sistemul informațional-țintă;
4. atacul cu scopul de a realiza anumite obiective politice;
5. atacul ca parte dintr-un mare atac terorist etc.
Indiferent de motivul atacului, sarcina voastră ca administrator de sistem responsabil cu siguranța este să protejați angajații împotriva acestei forme de violență. În multe situații, veți fi singurul din companie de la care se așteaptă să apărați cu succes sistemul împotriva atacului asupra sistemului de informații ale companiei. Pentru a duce o luptă de succes împotriva atacatorilor externi, trebuie să fiți familiarizați cu toate tipurile de atacuri, cu caracteristicile lor și cu modul de a vă apăra de ele.
Identificarea atacurilor Denial-of-Service și Distributed Denial-of-Service
Atacurile Denial-of-Service (DoS) împiedică utilizatorii obișnuiți (autorizați) să acceseze resursele. De exemplu, un atacator poate încerca să blocheze un website de comerț electronic, pentru a nu mai permite cumpărătorilor legitimi să achiziționeze. Majoritatea atacurilor simple DoS vin de la un sistem, iar ținta este un anumit server sau resursele unei companii.
Nu există doar un singur tip de atac DoS, ci mai multe metode similare cu aceeași țintă. Un atac DoS poate fi prezentat pur și simplu sub forma unui server care, supraîncărcat cu rezolvarea cererilor false, nu are suficient timp să proceseze cererile obișnuite. Totuși, trebuie să menționăm că serverele nu sunt singurele care trebuie să fie ocupate. Va exista o situație similară dacă atacatorul supraîncarcă întreaga lățime de bandă (bandwidth).
Mai multe tipuri de atacuri pot avea loc în această categorie, cu aceste rezultate: refuzul accesului la informații, aplicații, sisteme sau infrastructuri de comunicare, blocarea unui site web, în timp ce comunicarea și sistemul rămân funcționale, căderea sistemului de operare (prin care un simplu restart poate întoarce serverul la starea normală), supraîncărcarea canalului de comunicare în rețea și împiedicarea utilizatorilor autorizați să acceseze sistemul, de a deschide un număr maxim de sesiuni TCP (acest tip de atac se numește atac TCP SYN flood DoS).
Cele mai frecvente două atacuri de tip DoS sunt:
1. ping of death;
2. buffer overflow.
Ping of death determină căderea sistemului prin trimiterea pachetelor ICMP, care sunt mai mari decât capacitatea sistemului. Atacurile buffer overflow încearcă să seteze mai multe date în buffer (de obicei, în forma unor șiruri lungi) decât poate acesta susține. Code Red, Slapper și Slammer sunt atacuri care aparțin grupului buffer overflow, în timp ce Ping este un exemplu de atac din grupul ping of death.
Atacul Distributed Denial-of-service (DDoS) este similar cu atacul DoS. Atacul DDoS mărește conceptul de atacuri DoS prin folosirea mai multor sisteme de calcul (de obicei, prin botnet-uri de sistem) pentru a gestiona atacul asupra sistemului-țintă. Aceste atacuri sunt caracterizate prin faptul că abuzează de anumite slăbiciuni ale rețelei țintă, precum DSL sau conexiuni prin cablu. Aceste conexiuni, care sunt conectate continuu la internet, au, de obicei, o protecție scăzută sau nu au deloc. Un atacator poate seta o aplicație atac pe zeci sau chiar sute de sisteme de calcul, folosind DSL sau modemuri prin cablu. Programul atacatorului rămâne pasiv în aceste calculatoare, până primește un semnal de la calculatorul principal (master), de unde atacatorul coordonează atacul. Semnalul pornește programul care demarează atacurile sincronizate asupra rețelei țintă sau sistemului. Atacurile DDoS sunt, de obicei, realizate prin internet, deoarece în acest fel se pot ținti infrastructurile rețelei companiilor mari.
