DoS निवारण
Categories:
DDoS निवारण
दो प्रकार के DoS हमले:
- सेवा को क्रैश करना
- नेटवर्क को जाम करना
हमले के प्रकार
| हमले का प्रकार | हमले की विधि | उपाय |
|---|---|---|
| Distributed DoS | कई स्वतंत्र IP वाली मशीनें एक साथ हमला करती हैं | 1. सेवा में कमी 2. ब्लैकलिस्ट 3. नेटवर्क डिवाइस बंद करें |
| Yo-yo attack | स्वचालित स्केलिंग क्षमता वाली सेवाओं के लिए, संसाधनों के कम होने के अंतराल में हमला करना | ब्लैकलिस्ट |
| Application layer attacks | विशिष्ट कार्यों या विशेषताओं पर हमला करना, LAND हमला इस प्रकार में आता है | ब्लैकलिस्ट |
| LANS | यह हमला विशेष रूप से निर्मित TCP SYN पैकेट का उपयोग करता है (आमतौर पर एक नए कनेक्शन को खोलने के लिए), जिससे लक्ष्य मशीन एक खाली कनेक्शन खोलती है जहां स्रोत पता और लक्ष्य पता दोनों उसके अपने IP पते होते हैं, निरंतर स्वयं को उत्तर देती है, सिस्टम संसाधनों की खपत करती है और क्रैश हो जाती है। यह हमला विधि SYN फ्लड हमले से अलग है। | ब्लैकलिस्ट |
| Advanced persistent DoS | विरोधी-जासूसी/स्पष्ट लक्ष्य/प्रतिरोध से बचना/लंबे समय तक हमला/उच्च गणना शक्ति/बहु-थ्रेड हमला | सेवा में कमी |
| HTTP slow POST DoS attack | वैध कनेक्शन बनाने के बाद बहुत धीमी गति से बड़ी मात्रा में डेटा भेजना, जिससे सर्वर संसाधन समाप्त हो जाते हैं | सेवा में कमी |
| Challenge Collapsar (CC) attack | मानक वैध अनुरोधों को बार-बार भेजना, जो अधिक संसाधनों का उपयोग करते हैं, जैसे कि सर्च इंजन बड़ी मात्रा में मेमोरी का उपयोग करते हैं | सेवा में कमी, सामग्री पहचान |
| ICMP flood | बड़ी संख्या में ping/त्रुटि ping पैकेट /Ping of death (विकृत ping पैकेट) | सेवा में कमी |
| Permanent denial-of-service attacks | हार्डवेयर पर हमला करना | सामग्री पहचान |
| Reflected attack | तीसरे पक्ष को अनुरोध भेजना, पते को नकली बनाकर, उत्तर को वास्तविक पीड़ित की ओर निर्देशित करना | ddos श्रेणी |
| Amplification | कुछ सेवाओं को रिफ्लेक्टर के रूप में उपयोग करके ट्रैफ़िक को बढ़ाना | ddos श्रेणी |
| Mirai botnet | नियंत्रित IoT उपकरणों का उपयोग करना | ddos श्रेणी |
| SACK Panic | अधिकतम खंड आकार और चयनात्मक पुष्टि में हेराफेरी करना, जिससे पुनः प्रसारण होता है | सामग्री पहचान |
| Shrew attack | TCP पुनः प्रसारण समय समाप्ति तंत्र की कमजोरी का फायदा उठाना, संक्षिप्त सिंक्रोनस ट्रैफ़िक विस्फोट का उपयोग करके उसी लिंक पर TCP कनेक्शन को बाधित करना | समय समाप्ति पर त्यागें |
| Slow Read attack | slow post के समान, वैध अनुरोध भेजता है, लेकिन बहुत धीरे से पढ़ता है, कनेक्शन पूल को खत्म करने के लिए, TCP रिसीव विंडो आकार के लिए एक बहुत छोटी संख्या की घोषणा करके प्राप्त किया जाता है | समय समाप्ति पर डिस्कनेक्ट, सेवा में कमी, ब्लैकलिस्ट |
| SYN flood | बड़ी संख्या में TCP/SYN पैकेट भेजना, जिससे सर्वर में अर्ध-खुले कनेक्शन हो जाते हैं | समय समाप्ति तंत्र |
| Teardrop attacks | लक्ष्य मशीन को ओवरलैपिंग और अत्यधिक बड़े पेलोड वाले दूषित IP टुकड़े भेजना | सामग्री पहचान |
| TTL समाप्ति हमला | जब TTL समाप्त होने के कारण पैकेट त्याग दिए जाते हैं, तो राउटर CPU को ICMP समय समाप्ति प्रतिक्रिया उत्पन्न और भेजनी होती है। ऐसी कई प्रतिक्रियाएं उत्पन्न करने से राउटर का CPU ओवरलोड हो जाता है | ट्रैफ़िक त्यागें |
| UPnP हमला | DNS प्रवर्धन तकनीक पर आधारित, लेकिन हमला तंत्र एक UPnP राउटर है, जो अनुरोध को एक बाहरी स्रोत से दूसरे स्रोत में अग्रेषित करता है, UPnP व्यवहार नियमों की अनदेखी करते हुए | सेवा में कमी |
| SSDP परावर्तन हमला | कई उपकरणों, जिनमें कुछ आवासीय राउटर भी शामिल हैं, में UPnP सॉफ़्टवेयर में कमज़ोरियाँ हैं, जिनका उपयोग हमलावर पोर्ट 1900 से अपने चुने हुए लक्ष्य पते पर प्रतिक्रियाएं प्राप्त करने के लिए कर सकता है। | सेवा में कमी, पोर्ट ब्लॉक करें |
| ARP स्पूफिंग | MAC पते को किसी अन्य कंप्यूटर या गेटवे (जैसे राउटर) के IP पते से जोड़ना, जिससे मूल वास्तविक IP के लिए ट्रैफ़िक हमलावर को पुनर्निर्देशित हो जाता है, जिससे सेवा से वंचित हो जाता है। | ddos श्रेणी |
निवारक उपाय
- हमले के ट्रैफ़िक की पहचान करें
- सेवा को नुकसान पहुंचाना
- ट्रैफ़िक सामग्री की पहचान करें
- सेवा में भीड़
- पहुंच समय रिकॉर्ड करें
- सेवा को नुकसान पहुंचाना
- हमले के ट्रैफ़िक को संसाधित करें
- हमला ट्रैफ़िक त्यागें
- हमलावर ip को ब्लॉक करें
- ipv4 ip की संख्या सीमित है, ब्लैकलिस्ट बनाना आसान है
- ipv6 की संख्या अधिक है, ब्लैकलिस्ट बनाना कठिन है. ipv6 के पते के खंड का उपयोग किया जा सकता है, लेकिन गलती से ब्लॉक करने का जोखिम है
- पहुंच आवृत्ति नियंत्रित करें
ओपन-सोर्स टूल्स
हमले के उपकरण
https://github.com/palahsu/DDoS-Ripper- 162 forks, 755 stars
- https://github.com/MHProDev/MHDDoS
- 539 forks, 2.2k stars
- MHDDoS - DDoS Attack Script With 40 Methods
- https://github.com/NewEraCracker/LOIC
- 539 forks, 1.9k stars
- C#
- network stress tool
- https://github.com/PraneethKarnena/DDoS-Scripts
- 165 forks, 192 stars
- C, Python
- https://github.com/theodorecooper/awesome-ddos-tools
- 46 stars
- collection of ddos tools
रक्षा उपकरण
- https://github.com/AltraMayor/gatekeeper
- GPL-3.0 License
- 159 forks, 737 stars
- C, Lua
- Gatekeeper is the first open source DoS protection system.
https://github.com/Exa-Networks/exabgp- Apache like license
- 415 forks, 1.8k stars
- Python
- The BGP swiss army knife of networking
- https://github.com/curiefense/curiefense
- Apache 2.0 License
- 60 forks, 386 stars
- Application-layer protection
- protects sites, services, and APIs
- https://github.com/qssec/Hades-lite
- GPL-3.0 License
- 24 forks, 72 stars
- C
- कर्नेल-स्तरीय Anti-ddos ड्राइवर
- https://github.com/snort3/snort3
- GPL-2.0 License
- 372 forks, 1.4k stars
- next generation Snort IPS (Intrusion Prevention System)
- C++
ट्रैफ़िक मॉनिटरिंग
- https://github.com/netdata/netdata
- GPL-3.0 License
- 5.2k forks, 58.3k stars
- C
- https://github.com/giampaolo/psutil
- BSD-3-Clause License
- 1.2 forks, 8.2k stars
- Python, C
- Cross-platform lib for process and system monitoring in Python, also network monitoring
- https://github.com/iptraf-ng/iptraf-ng
- GPL-2.0 License
- 22 forks, 119 stars
- C
- IPTraf-ng is a console-based network monitoring program for Linux that displays information about IP traffic.