Οι επιθέσεις DOS στα δίκτυα επικοινωνίας (συντομογραφία Denial Of Service – Άρνηση Παροχής Υπηρεσιών) είναι επιθέσεις που προκαλούν την απαγόρευση- άρνηση χρήσης του δικτύου στους εξουσιοδοτημένους χρήστες του. Η ηλεκτρονική επίθεση πραγματοποιείται συνήθως εις βάρος παροχέων Internet, οδηγώντας το σύστημα σε κατάσταση crash (κατάρρευση) και απενεργοποίηση.
Ο τύπος αυτός της επίθεσης έχει ως σκοπό την υπερφόρτωση του συστήματος- στόχου ώστε να φτάσει σε σημείο δέσμευσης όλων των πόρων του. Με τη διαρκή κατανάλωση μνήμης και bandwidth που δεν αποδεσμεύονται, το σύστημα δεν είναι σε θέση να εξυπηρετήσει τους κανονικούς χρήστες του. Το crash επιτυγχάνεται μέσω της αποστολής πακέτων δεδομένων (data packets) σε υπερβολικά μεγάλο ρυθμό έτσι ώστε το σύστημα-στόχος να αδυνατεί να τα επεξεργαστεί. Αναγκαστική λύση είναι η επανεκκίνηση του συστήματος.
Όταν οι επιθέσεις ξεκινούν από έναν στρατό διαφορετικών υπολογιστών τότε η επίθεση ονομάζεται DDos – Distributed Denial of service attacks (Κατανεμημένες επιθέσεις Άρνησης Παροχής Υπηρεσιών). Ανάλογου τύπου επιθέσεις είναι οι Ping of Death, Teardrop, SYN Attack, Land Attack και Smurf Attack.
Οι επιθέσεις DOS στα δίκτυα επικοινωνίας: επίτευξη μέσω IP spoofing
Πώς αποκρύπτεται όμως η ταυτότητα του επιτιθέμενου; Οι επιθέσεις DOS πραγματοποιούνται κυρίως μέσω του IP spoofing. Η τεχνική αυτή βασίζεται στη δημιουργία πακέτων IP με ψεύτικη διεύθυνση προέλευσης, προκειμένου να συγκαλυφθεί η ταυτότητα του αποστολέα του πακέτου. Ο παραλήπτης έτσι νομίζει ότι προήλθε από άλλον υπολογιστή.
Το βασικό πρωτόκολλο που χρησιμοποιείται στο διαδίκτυο για την αποστολή και λήψη δεδομένων είναι το IP – Internet Protocol. Κάθε πακέτο IP περιέχει το πακέτο δεδομένων, καθώς και ένα header (κεφαλίδα) όπου καταγράφονται οι διευθύνσεις IP του αποστολέα και του παραλήπτη του πακέτου. Ένας κακόβουλος χρήστης μπορεί να στείλει ένα πακέτο IP με παραποιημένη κεφαλίδα.
Οι ανάλογες επιθέσεις πλημμυρίζουν το στόχο με τόσα πακέτα που οδηγείται σε δυσλειτουργία και δεν μπορεί να εξυπηρετήσει σωστά τους νόμιμους χρήστες του. Ο επιτιθέμενος στις περισσότερες περιπτώσεις διαλέγει μία τυχαία αλλά επιτρεπόμενη IP διεύθυνση ώστε να παραποιήσει την κεφαλίδα του IP πακέτου.
Ο επιτιθέμενος κατευθύνει τις απαντήσεις του Server προς κάποιο άλλο υπολογιστή. Η τεχνική αυτή αποκρύπτει την πραγματική ταυτότητα του επιτιθέμενου. Μη εξουσιοδοτημένοι χρήστες εξυπηρετούνται πλέον από το Server, και ταυτόχρονα χωρίς να έχει σημασία η αποστολή απάντησης στη σωστή IP.
Οι επιθέσεις DOS στα δίκτυα επικοινωνίας: αντιμετώπιση του IP spoofing
Η πιο αποτελεσματική αντιμετώπιση ενάντια σε αυτήν την απειλή είναι η χρήση ενός υπολογιστή gateway που θα βρίσκεται ανάμεσα στο τοπικό δίκτυο και το Διαδίκτυο. Ο υπολογιστής ρυθμίζεται ώστε να απορρίπτει κάθε εισερχόμενο πακέτο από το διαδίκτυο με διεύθυνση προέλευσης κάποια IP του τοπικού δικτύου. Ο gateway πρέπει επίσης να απορρίπτει όσα πακέτα προέρχονται από το τοπικό δίκτυο με διεύθυνση προέλευσης μία IP εκτός αυτού. Με τον ταυτόχρονο έλεγχο εισερχόμενων και εξερχόμενων πακέτων, εξασφαλίζεται ότι οι χρήστες του τοπικού δικτύου δε θα χρησιμοποιήσουν την τεχνική IP spoofing για επιθέσεις εντός/ εκτός δικτύου.
Μερικά από τα πρωτόκολλα ανώτερου επιπέδου συγκριτικά με το IP (πχ TCP) έχουν δικούς τους μηχανισμούς ασφαλείας έναντι του IP spoofing. Το TCP συγκεκριμένα αριθμεί κάθε πακέτο που μεταδίδεται. Οι δύο υπολογιστές που συμμετέχουν στην σύνδεση TCP ξέρουν με βεβαιότητα εάν κάποιο πακέτο ανήκει στην παρούσα σύνδεση ή αν προέρχεται από τρίτο υπολογιστή.