Edisi pertama oleh William Stallings dan Lawrie Brown
Kuliah slide dengan Lawrie Brown
Denial of Service penolakan layanan (DoS) suatu tindakan yang mencegah atau mengganggu penggunaan resmi dari jaringan, sistem, atau aplikasi dengan melelahkan sumber daya seperti unit central processing (CPU), memori, bandwidth, dan ruang disk serangan bandwidth jaringan sumber daya sistem sumber daya aplikasi menjadi masalah untuk beberapa waktu Klasik Penolakan serangan layanan
dapat menggunakan sederhana banjir ping
dari link kapasitas yang lebih tinggi untuk menurunkan menyebabkan hilangnya lalu lintas sumber lalu lintas banjir dengan mudah diidentifikasi Klasik Penolakan serangan layanan Sumber Alamat Spoofing menggunakan alamat sumber palsu diberikan hak istimewa yang cukup untuk “soket mentah” mudah untuk membuat menghasilkan volume besar paket diarahkan pada sasaran dengan berbeda, acak, alamat sumber menyebabkan kemacetan yang sama tanggapan tersebar di Internet Sumber yang sebenarnya adalah jauh lebih SYN Spoofing Serangan umum lainnya Serangan kemampuan server untuk merespon permintaan sambungan tabel meluap digunakan untuk mengelola mereka maka serangan terhadap sumber daya sistem TCP Connection Handshake SYN Spoofing Serangan SYN Spoofing Serangan Penyerang sering menggunakan baik alamat sumber acak atau dari server kelebihan beban untuk memblokir kembalinya (paling) paket ulang memiliki volume lalu lintas jauh lebih rendah Penyerang dapat di link kapasitas jauh lebih rendah Jenis Serangan Banjir diklasifikasikan berdasarkan protokol jaringan yang digunakan ICMP Banjir menggunakan paket ICMP, misalnya gema permintaan biasanya diperbolehkan melalui, beberapa diperlukan UDP Banjir alternatif menggunakan paket UDP ke port TCP SYN Banjir didistribusikan Penolakan serangan layanan telah Volume terbatas jika sumber tunggal yang digunakan beberapa sistem memungkinkan volume lalu lintas yang jauh lebih tinggi untuk membentuk Terdistribusi Denial of Service (DDoS) Serangan sering terganggu PC / workstation zombie dengan program backdoor diinstal membentuk sebuah botnet DDoS Kontrol Hierarchy Serangan refleksi menggunakan perilaku normal dari jaringan penyerang mengirimkan paket dengan alamat sumber palsu adalah bahwa target ke server respon server diarahkan pada sasaran jika mengirim banyak permintaan ke beberapa server, respon dapat banjir Target berbagai protokol misalnya UDP atau TCP / SYN idealnya ingin respon lebih besar dari permintaan Serangan refleksi variasilebih lanjut menciptakan lingkaran mandiri antara perantara dan sasaran cukup mudah untuk menyaring dan memblokir Serangan amplifikasi Serangan DNS Amplifikasi menggunakan permintaan DNS dengan alamat sumber palsu menjadi target mengeksploitasi perilaku DNS untuk mengkonversi permintaan kecil untuk respon yang jauh lebih besar 60 byte permintaan 512-4000 respon byte Penyerangmengirimkan permintaan ke beberapa server yang terhubung dengan baik, yang sasaran banjir hanya perlu aliran moderat paket permintaan Pertahanan DoS Serangan volume lalu lintas yang tinggi mungkin sah Hasil publisitas tinggi, misalnya “slash-putus- putus” atau situs yang sangat populer, misalnya Olimpiade dll atau lalu lintas yang sah diciptakan oleh penyerang tiga baris pertahanan terhadap (D) DoS: pencegahan serangan dan preemption deteksi serangan dan penyaringan Serangan sumber traceback dan identifikasi Pencegahan serangan blok palsu alamat sumber pada router sebagai dekat dengan sumber mungkin masih terlalu jarang dilaksanakan kontrol tingkat di jaring distribusi hulu pada jenis paket tertentu misalnya beberapa ICMP, beberapa UDP, TCP / SYN menggunakan dimodifikasi TCP koneksi penanganan menggunakan SYN cookies ketika meja penuh Pencegahan serangan blok IP diarahkan siaran memblokir layanan yang mencurigakan & kombinasi mengelola serangan aplikasi dengan “teka- teki” untuk membedakan permintaan manusia yang sah praktik keamanan sistem umum yang baik menggunakan cermin dan direplikasi server ketika kinerja tinggi dan kehandalan yang Menanggapi Serangan perlu rencana respon insiden yang baik dengan kontak untuk ISP diperlukan untuk memaksakan penyaringan lalu lintas hulu rincian proses respon memiliki filter standar idealnya memiliki monitor jaringan dan IDS untuk mendeteksi dan memberitahu pola lalu lintas normal Menanggapi Serangan mengidentifikasi jenis serangan menangkap dan menganalisa paket-paket filter desain untuk memblokir lalu lintas serangan hulu atau mengidentifikasi dan sistem yang benar / aplikasi bug memiliki aliran jejak paket ISP kembali ke sumber mungkin sulit dan memakan waktu diperlukan jika tindakan hukum yang diinginkan melaksanakan rencana kontingensi Ringkasan memperkenalkan penolakan layanan (DoS) serangan banjir klasik dan serangan spoofing SYN ICMP, UDP, TCP SYN banjir didistribusikan penolakan layanan (DDoS) serangan serangan refleksi dan amplifikasi pertahanan terhadap serangan DoS menanggapi serangan DoS