ICMP (Internet Control Message Protocol)

засварлах

ICMP протокол нь Интернет дээр нь түгээмэл хэрэглэгддэг протокол юм. Энэ протокол оношлогооны мэдээлэл болон алдааны мэдэгдлүүдийг тайлагнах оношлох протокол юм. Үүнээс гадна энэ нь SSL, VPN -д холболтыг баталгаажуулах ашигладаг. Данийн компани саяхан өөрийн харилцагчаас эсрэг ICMP урсгалын багагүй хэмжээний DDOS дайралтыг олжээ. Энэ халдлага нь BlackNurse гэж нэрлэдэг бөгөөд энэ нь Type 3 Code 3 ICMP пакетуудыг дүүргэдэг DDOS халдлага байсан юм. Халдлагын процесс нь CPU -д хэт их ачаалал өгч сүлжээний тоног төхөөрөмжийн үйл ажиллагааг зогсоож байсан юм.ICMP-ийн echo-request мэдээ нь PING коммандаар ажилладаг ба энэ нь ямар нэг хостоос зангилаа хүртэл дамжуулал хүртэмжтэй үгүйг шалгана. Өөрөөр хэлбэл сүлжээний хүртээмжийг шалгана. Харин ICMP –ийн echo-reply мэдээ нь зангилаа хүртээмжийг шалгана.

DOS(Denial of Service)

засварлах

Анх DOS нь 8086-family microprocessor үйлдлийн системд зориулагдан бүтээгдэж байсан.1973 оноос өдийг хүртэл шинэчлэгдэн сайжирч төрөл зүйл нь олширсоор байгаа томоохон халдлагын нэг юм. Denial of Service (DoS) халдлага нь серверийн ажиллагааг зогсоож улмаар цаашлаад Datebase - руу нь нэвтрэх юм. Веб сервер маань хэрэглэгчийн ямар нэг хязгаартай байдаг. Сeрвер болон вебд их хэмжээний хүсэлт хандалт ирснээр веб сервер маань уналтанд орохыг DoS халдлага гэнэ. Компьютер үйлдлүүдийг хийхдээ нэг нэгээр нь биш их бага хэмжээгээр өгөдлүүдийг нэгэн зэрэг гүйцэтгэдэг. Ингэснээр DoS халдлаганд компьютер болон веб сервер өртөхөд CPU(Central Processor Unit) болон RAM (Random Access Memory) ачааллаж ихээхэн хэмжээний өгөгдлийг гүйцэтгэж чадахгүйн улмаас түр уналтанд орох болон цаашлаад гацдаг байна. DoS халдлага нь ихэвчлэн пакетын халдлага байдаг. DOS-ийг ихэвчлэн банк, кредит картны төлбөр зэрэг өндөр хувийн мэдээллийг үзэх мөн вэб сервер дээр зохион байгуулсан сайт эсвэл үйлчилгээг бууруулах зорилгоор халдлага хийдэг.

BlackNurse халдлага нь DOS(Denial of Service)-ийн хэмжээний халдлага юм.TDC Аюулгүй байдлын төвийн судлаачид (15Mbps Bandwidth тай зөөврийн Laptop болон PC)-гээр ICMP протоколыг ашиглан Ping Flood хийдэг шинэ халдлагийг тогтоогоод байгаа. Black Nurse халдлагаар ямарч том серверүүдийг унагаах чадалтай ба их ноцтой халдлага болоод байгаа.Данийн компани саяхан өөрийн харилцагчаас эсрэг ICMP урсгалын багагүй хэмжээний DOS дайралтыг олжээ. Энэ халдлага нь Black Nurse гэж нэрлэдэг бөгөөд энэ нь Type 3 Code 3 ICMP пакетуудыг дүүргэдэг DOS халдлага байсан юм. Халдлагын процесс нь CPU -д хэт их ачаалал өгч сүлжээний тоног төхөөрөмжийн үйл ажиллагааг зогсоож байсан юм.

Зураг 1 Халдлага

DOS халдлагуудын төрлүүд

засварлах
  • Ping of death

IP пакет хэмжээ нь 65507(65535-20-8) байдаг ба 8 нь ICMP толгойн мэдээлэл , 20 нь IP хаягний толгой мэдээлэл агуулагддаг. Гэхдээ бид шууд Ping явуулахад “Request timed out” гээд Ping маань үхчихдэг. Яагаад гэвэл цаанаа хариулахгүйгээр тохируулчихсан байдаг.

  • Teardrop

IP хаягийг хэсэгчилж явуулахад TCP/IP нүх илэрч хэсгүүдийг цуглуулах гэж оролддог.

  • DDOS гэх мэт маш олон төрлийн аттакууд байгаа

DDOS ба DOS –ийн ялгаа гэвэл smurf ашиглан нэг хостоос дайрвал DOS , олон хостоос дайрвал DDOS юм. DDOS –оор дайрахад өөр PC нүүдээс дайрдаг ба тэрийг нь Zombie гэж нэрийддэг.

Black Nurse халдлага хэрхэн ажилдаг вэ?

засварлах

BlackNurse халдлага нь DOS(Denial of Service)-ийн халдлага юм.TDC Аюулгүй байдлын төвийн судлаачид (15Mbps Bandwidth тай зөөврийн Laptop болон PC)-гээр ICMP протоколыг ашиглан Ping Flood хийдэг шинэ халдлагийг тогтоогоод байгаа. Black Nurse халдлагаар ямарч том серверүүдийг унагаах чадалтай ба их ноцтой халдлага болоод байгаа.

ICMP Echo (Type 8 Code 0) дээр үндэслэсэн бөгөөд ping үер халдлага гэж нэрлэдэг ба өөрөөр Black Nurse attack гэдэг энэ нь ICMP халдлага юм.Code3 нь Type3 ICMP пакетуудыг илгээх замаар ажилдаг. Хакер интернэт холболтоор Server , Firewall -д тодорхой төрлийн процесстой ачаалал өгч (DoS) серверийг зогсоох юм. Black Nurse Traffice Volume нь маш бага байна , урт нь 15 Mbps -ээс 18 Mbps (эсвэл 40,000 -аас 50,000 packets секундэд шиднэ).


  • Type 8, Code 0: Echo request (used to ping)
  • Type 0, Code 0: Echo reply (used to ping)
  • Type 3, Code 0: Destination network unreachable
  • Type 3, Code 1: Destination host unreachable
  • Type 3, Code 2: Destination protocol unreachable
  • Type 3, Code 3: Destination port unreachable

Халдлагад өртсөн технологиуд

засварлах
  • Cisco ASA 5505, 5506, 5510 , 5515 , 5516 , 5525
  • Cisco 6500 routers with SUP2T and Netflow v9 on the inbound interface
  • Palo Alto 5050 Firewalls with firmware 7.1.4-h2
  • Zyxel NWA3560-N (Wireless attack from LAN Side)
  • Stormshield firewalls - fix is underdevelopment гэх мэт томоохон технологиуд

Халдлагийн source code

засварлах

Та доорх линкээс орж source кодыг харч болно.

Халдлагаас хэрхэн хамгаалах арга шийдлүүд

засварлах

Эхлээд вирусы эсрэг программууд болон галт хана буву firewall суулгаж өгөх хэрэгтэй. Галт хана дээрээ зөв тохиргоонуудыг хийж өгөх хэрэгтэй.DOS халдлага нь интернетээр хийгддэг халдлага учраас ашиглагдахгүй байгаа портыг хааж өгөх хэрэгтэй.DOS халдлагад хамгийн өртдөг порт бол 8080 , 8070 , 9999 , 8888 байна.

Монголд DOS аттакийн тархац

засварлах

Цахим ертөнц хөгжихийн хэрээр цахим халдлагууд ихсэж хувь хүн болон албан байгуулга , санхүүгийн байгуулгууд зэрэг томоохон байгуулгаруу өдөрт хичнээн мянган удаа дайрч байгаа билээ. Монгол оронд энэ жил урьд жилүүдийг бодоход цахим халдлага эрс ихсэж байгаа билээ. Доорх графикаас та Монгол улсруу хамгийн их дайрч байгаа 5 улсыг харуулсан болно

Халдагчдын байдал

Ашигласан материал

засварлах