Zaštita ranjivosti mreže od DoS napada

Zaštita ranjivosti mreže od DoS napada Ivica Dodig Polytechnic of Zagreb HR-10000 ZAGREB, Vrbik 8, CROATIA e-mail: ivica.dodig@tvz.hr SAŽETAK Ugrađeni sustav obično karakterizira uređaj koji koristi procesor za izvršavanje jednog ili više zadataka. Mnogi sustavi često vrše nadzor i kontrolu funkcija, kao što je prikupljanje i izvještavanje rada nekog senzora ili kontrola različitih uređaja. Ugrađeni sustavi imaju rastuću težnju da mijenjaju podatke i kontrolu informacija te su u nekim slučajevima čak izravno spojeni na Internet ili na ostale javne mreže. Zbog toga je važno da ugrađeni sustav ima podršku za rad na mreži. U ovom radu predstavljena je mogućnost ugrađenog sustava za povećanjem sigurnosti od napada na mreži, kao što je DoS. Dan je prijedlog mreže s ugrađenim sustavom i pregled nekih metodologija za obranu od DoS napada. Ključne riječi: Ugrađeni sustav, mreža, DoS I Uvod Računalni sustavi danas su u širokoj primjeni i u svim aspektima ljudskog života čak i u područjima gdje su skriveni od korisnika. Široka grupa računalnih sistema koji su predodređeni za izvršavanje nekih specifičnih zadataka mogu se nazvati ugrađenim sustavima. Tipičan ugrađeni sustav očituje se svojstvom kao što je mala veličina, niska potrošnja i mala cijena. Ugrađeni sustav realiziran je kao jedna pločica s jednim mikroprocesorom i programom koji je pohranjen u memoriju. Mnoge ugrađene sustave karakterizira trenutno izvršavanje samo jedne aplikacije za neku određenu namjenu. Prednost uporabe generički izrađenog ugrađenog sustava naspram specijalizirano izrađenog sklopovskog uređaja jest određivanje njegove funkcionalnosti putem programske podrške što smanjuje cijenu i vrijeme razvoja. Ugrađeni sustavi nisu uvijek samostalan uređaj. Mnogi ugrađeni sustavi sastavljeni su od računalnih dijelova od kojih su neki dijelovi veće jedinice koje rade samostalno bez ugrađenog sustava. Kod takvih uređaja ugrađeni sustav djeluje samo kao dodatak koji pomaže toj većoj jedinici izvršiti neki specifičan zadatak s većom pouzdanošću jer se za sam ugrađeni sustav očekuje da radi neprekidno bez grešaka duži niz godina. Također se očekuje da se u nekim slučajevima samostalno oporave ukoliko dođe do greške. Razlog većoj sigurnosti i pouzdanosti leži u tome što je softver za ugrađene sustave razvijen i testiran puno pažljivije nego za osobna računala te se nepouzdani mehanički dijelovi kao što su tvrdi diskovi, preklopnici i sklopke nastoje izbjeći. U radu je prikazana mogućnost primjene ugrađenog sustava za poboljšan rad mreže u slučaju sigurnosnih prijetnji kao što je DoS napad. Drugi dio ovog rada razmatra sigurnost na mreži. U trećem dijelu su opisani DoS napadi i njegove podvrste, te tehnike otkrivanja i mogućnosti obrane od DoS napada. Četvrto dio predlaže rješenje problema sa ugrađenim sustavom. Peto dio daje pregled opisanog problema i moguće poboljšanje performansi mreže. II Mrežna sigurnost Razvojem Interneta, osobnih računala i računalnih mreža raste mogućnost sigurnosnih prijetnji, ranjivosti i štetnih napada. Hakeri, virusi, osvetoljubivi zaposlenici i čak ljudska pogreška neke su od opasnosti na mreži. Internet je nedvojbeno postao najveća mreža javnih podataka, uključujući i olakšanu osobnu i poslovnu komunikaciju. Količina prometa koji se prenosi putem Interneta i velikih poslovnih mreža raste eksponencijalno svaki dan. Najveći dio komunikacije zauzima e-pošta i poslovne transakcije koje se izvršavaju putem Interneta bilo da zaposlenici na terenu koriste neki oblik preglednika ili udaljeni ogranci velikih tvrtki koriste udaljeno spajanje na mrežu tvrtke da bi izvršili svoje zadatke. Internet je transformirao i uvelike unaprijedio način na koji se obavlja posao ali je ujedno ta mreža i njoj pripadajuće tehnologije stvorila rastući broj sigurnosnih prijetnji od kojih se tvrtke moraju zaštititi. Mrežni napadi koji najčešće dolaze iz javne mreže interneta su po svojoj prilici puno ozbiljniji kada nanesu štetu tvrtkama koje pohranjuju osjetljive podatke kao što su osobni, medicinski ili financijski zapisi. Posljedice takvih napada mogu načiniti blagu štetu ili kompletno oslabiti mrežu i podatke te tvrtke na način da važni podaci mogu biti izgubljeni, privatnost može biti narušena ili da na dulje vremensko razdoblje mreža bude srušena i neupotrebljiva za korištenje. Zbog svega toga tvrtke moraju imati dovoljno dobru sigurnosnu politiku kako bi klijentima bila omogućena adekvatna komunikacija te kako bi ih zaštitili od napada. U nastojanju da zaštite svoje korisnike, tvrtke moraju zaštititi svoje zaposlenike i partnere od sigurnosnih prekršaja. Internet i intranet moraju omogućiti brzu i efektivnu komunikaciju između zaposlenika i partnera. Dakako, komunikacija i efikasnost uvelike će ovisiti o posljedicama mrežnih napada. Napad može direktno prouzročiti da zaposlenici neko vrijeme ne mogu izvršavati svoje zadatke i da mreža mora biti nefunkcionalna dok se ne

oporavi od štete ili dok se podaci potrebni za rad ne obnove. Uglavnom, gubitak dragocjenog vremena i podataka može uvelike utjecati na efikasnost i moral zaposlenika [15],[16],[17]. Napad na mrežu mogu izvršiti hakeri na takav način da prouzroče štetu na podacima ili da mrežu učine nedostupnom, nesvjesni zaposlenici ostavljajući mrežu ranjivu nehotice najčešće neznanjem te nezadovoljni zaposlenici. Ono što napadač može napraviti je da pošalje virus u mrežu, podmetne program znan kao trojanski konj, pošalje neograničene količine neželjene pošte ili izvrši razne vrste napada. Virusi su najrašireniji oblik sigurnosnih prijetnji zato što zahvaćaju široko područje djelovanja. Virusi su računalni programi napisani od programera i dizajnirani su da repliciraju sami sebe te da zaraze računala kada ih pokrene određeni događaj. Učinak nekih virusa relativno je neopasan i uzrokuje dosadna prekidanja, kao npr. smiješna poruka koja se pojavi kada pišemo e-poštu i tipkamo na tastaturi. Ostali virusi puno su pogubniji i uzrokuju probleme, kao što je brisanje dokumenata s tvrdog diska ili, jednostavno, usporavanje rada samog sistema. Mreža može biti zaražena virusom jedino ako virus uđe u mrežu iz nekog vanjskog izvora, bilo da je to neki oblik prijenosnog medija ili da je skinut s Interneta. Kada jednom računalo postane zaraženo, ostala računala na toj mreži u viskom su stupnju rizika od virusa. Programi znani kao trojanski konj ili trojanci najčešće djeluju kao bezopasni ili korisni softverski programi, kao što su računalne igre, ali oni su zapravo prijetnja pod maskom. Trojanci mogu obrisati podatke, kopirati poruke na listu adresa e-pošte i otvoriti put za napad na računalo. Trojanac se može donijeti samo ako se kopira u sistem na način da bude, skinut s Interneta, preko diska ili da je otvoren preko priloga poruke. Niti trojanci niti virusi ne mogu se širiti preko poruke nego jedino preko priloga u poruci. Neželjena pošta znana kao spam oblik je poruka koja je nevažeća ili je to oblik gdje se preko adrese razašiljanja šalje na sve e-pošte u nekoj mreži. Ta pošta obično je bezopasna ali može biti štetna na taj način da troši vrijeme onog koji prima poruku ili da bespotrebno troši mjesto za pohranu pošte. Postoji velik broj mrežnih napada koji su dokumentirani i koji su uglavnom klasificirani u tri osnovne kategorije: napadi koji sami izviđaju (engl. reconnaissance attacks), napadi koji onemogućuju pristup (engl. access attacks) i DoS (engl. Denial of Service) napadi [16]. Napadi koji samo izviđaju važne su informacije uz pomoć kojih hakeri prikupljaju podatke koje kasnije koriste za kompromitiranje mreže. Najčešće su to softverski alati, kao što su skeneri koji snime mrežne resurse i iskoriste potencijalne slabosti u ciljanoj mreži i aplikacijama. Na primjer dosta softvera napravljeno je kako bi mrežnim administratorima omogućilo lakšu promjenu zaporke ukoliko zaposlenik zaboravi svoju lozinku. Ukoliko zaporka dođe u krive, ruke ona može biti vrlo opasno oružje. Takva programska podrška uvelike olakšava rad administratorima te dolaskom lozinke trećoj osobi može uzrokovati neovlašteno korištenje podataka. Pristupni napadi provode se nakon što se otkriju ranjivosti u mrežnim prostorima, kao što je autentifikacijski servis i FTP s ciljem da pronađu korisnički račun e-pošte, bazu podataka i ostale povjerljive informacije. DoS napadi sprječavaju pristup dijelovima ili cijelim računalnim sistemima. Oni obično šalju veliku količinu nekontroliranih podataka na uređaj koji je spojen na mrežu neke tvrtke ili Internet, blokirajući tako protok ispravnog prometa. Štoviše, takav napad može prerasti u DDoS (engl. Distributed Denial of Service) u kojem napadač kompromitira više uređaja ili korisničkih stanica. Osim navedenih postoji još oblika nesigurnosti. U sljedećem poglavlju razmatraju se DoS napadi i njegovi oblici te mogućnosti obrane od njih. III DoS napadi Za analizu napada potrebno je razumijevanje mrežnog prometa te njegove kompozicije. Najčešće korištene riječi koje opisuju mrežni promet jesu tok i format. Tok je kratka referenca za mrežni protokol i za poruke koje putuju do svojih odredišta. Format se odnosi na strukturu podataka, okvira, ćelija, paketa, datagrama i segmenata. Danas se u mrežnom prometu najčešće koristi Transport Control Protocol/Internet Protocol (TCP/IP) koji radi tako da podatak razdjeli na manje segmente sa logičkim adresama koji se zovu paketi [17]. U današnje vrijeme nije se lako obraniti od neželjenih paketa na internetu. Jedan od velikih problema u današnjim mrežama je DoS napad koji računalne resurse učini neupotrebljivima za krajnje korisnike. United States Computer Emergency Readiness Team identificirao je simptome koje DoS napad uključuje najčešće: smanjenje mrežnih performansa, neka web stranica postane neraspoloživom, cijelu mrežu postane nedostupnom, dramatično povećan broj spam e-pošte (ovaj DoS napad znan je kao engl. Mail-Bomb )[1]. Neki od današnjih napada ne moraju biti nužno samo DoS napadi. Oni mogu DoS napad sadržavati kao samo jedan dio većeg napada. Isto tako DoS napadi mogu prethoditi problemima u mrežnim granama prije napada na neko potencijalno računalo. Za primjer propusnost usmjernika između interneta i LAN-a uslijed napada može biti smanjena, kompromitirajući tako ne samo potencijalno napadnuto računalo nego i cijelu mrežu. DoS napad karakteriziran je eksplicitnim pokušajem napadača da onemogući legitimne korisnike da koriste željeni servis. Napadi mogu biti usmjereni na bilo koju mrežnu komponentu, uključujući usmjernike, web, e-poštu ili DNS poslužitelje. DoS napad može biti izveden na nekoliko načina. Neki od osnovnih oblika napada su [2]:

1. Potrošnja računalnih resursa kao što je propusnost, diskovni prostor ili procesorsko vrijeme. 2. Prekid konfiguracijskih informacija, kao što su informacije usmjernika, 3. Prekid informacija, kao što je nepredviđeno resetiranje TCP sesija, 4. Prekid fizičkih mrežnih komponenti, 5. Ometanje komunikacijskog medija između korisnika i žrtve tako da oni više ne mogu komunicirati. Jedan od najjednostavnijih DoS napada, s obzirom na broj posrednika između napadača i žrtve, prikazan je na slici 1. U ovom slučaju napadač putem Interneta šalje neželjene pakete ne koristeći nikakve posrednike između njega i ciljanog poslužitelja nad kojim izvršava napad. Ukoliko se dogodi da između napadača i žrtve Slika 1. Primjer direktnog DoS napada postoji još niz posrednika, napad prelazi u DDoS. Na ovaj način napadač otežava praćenje od kud je napad krenuo. DDoS napad prikazan je na slici 2. Ovdje napadač prije samog napada zaposli jednog ili više klijenata, zatim klijenti šalju svoj zahtjev na računala znana kao master, koji pak dalje šalju zahtjeve na računala agente ( agent ) s kojih se šalju napadi na žrtvu. Svi posrednici pokreću specijalan program koji generira pakete koji odlaze ka žrtvi [3]. Ukoliko se u napadu uvede još jedan stupanj tako da računala agenti šalju zahtjeve na računala koja Slika 2. Primjer DDoS napada dalje reflektiraju napad prema žrtvi, napad prelazi u DRDoS (engl. Distributed Reflective Denial of Service) napad. Kod ovakvog napada, napadač upravlja posrednicima tako da oni šalju napadački promet do reflektora s podvaljenom IP adresom žrtve, i onda reflektori šalju dalje promet prema žrtvi uzrokujući DoS. Reflektori su još jedan nivo računala koji povećavaju količinu prometa. Na taj način reflektori omogućuju napadaču da se uvelike oteža pokušaj pronalaska izvorišne mreže iz koje je došao napad [4]. Napad može biti izvršen uporabom softverske ranjivosti, nedostatkom samog mrežnog protokola ili izvršavanjem napada izgladnjivanjem. Kod softverske ranjivosti, napadači mogu iskoristiti nedostatke i slabosti u softveru kod usmjernika i ostalih mrežnih uređaja. Tako je otkrivena slabost kod nekih Cisco 7xx usmjernika kod kojih se prekine njihov rad ukoliko se na njih spoji s protokolom Telnet i utipka vrlo duga zaporka. Također u tip softverskih ranjivosti baziranih na nivou operacijskog sustava pripadaju i napadi znani pod nazivima: Ping of Death [5], Land [6], TearDrop [7]. Tu još postoje napadi bazirani na propustima u samoj aplikaciji te tako postoji napad pod imenom Finger bomb [8] i Chargen attack [9]. Neki od DoS napada ne iskorištavaju slabosti nego nedostatak mrežnog protokola. Tako postoji napad pod imenom DNS cache poisoning [10],[11] kod kojeg se DoS napadom priručna memorija DNS-a napuni pogrešnim informacijama. Što se tiče napada izgladnjivanjem, neki od najpoznatijih primjera su Ping Flooding [7], Syn Flooding [12] i UDP Flooding [13]. U nastavku je razmatran SYN Flooding napad. Kod ovog napada iskorištava se propust u TCP protokolu i ova vrsta napada zastupljena je sa 50% svih DoS napada. TCP konekcija se uspostavlja u 3 stupnja gdje klijent i poslužitelj izmjenjuju poruke za uspostavljanje konekcije: 1. Komunikacija počinje tako da klijent poslužitelju šalje SYN poruku. 2. Kada poslužitelj primi SYN poruku, on rezervira neke od potrebnih resursa za očekivanu konekciju i šalje klijentu poruku SYN-ACK. 3. Klijent završava uspostavu konekcije šaljući ACK poruku. 4. Nakon što poslužitelj primi ACK poruku, konekcija je uspješno uspostavljena i klijent i poslužitelj mogu početi izmjenjivati podatke. Prilikom toga napad je izvršen tako da napadač u koraku 3 nikada ne pošalje potvrdu konekcije i na taj način alocirani resursi poslužitelja na polu otvorenoj TCP konekciji bit će oslobođeni tek nakon određenog vremena. Budući da su sistemski resursi konačni i ograničeni, on uskoro neće moći primati nove dolazeće konekcije. Uz sve te vrste napada, postoje prevencije i metode za sprječavanje i prepoznavanje DoS napada. Jedna od metoda je preživljavanje napada Surviving

attacks [14]. Najjednostavniji način da se preživi napad je da se prethodno napravi plan protiv napada. Za prevenciju protiv napada razdvoje se blokovi IP adresa za kritične poslužitelje zajedno sa svojim rutama. Razdvajanje ruta nije toliko rasipno i može poslužiti kod jednostavnog balansiranja ili dijeljenja resursa kod normalnog rada i prebacivanja u izvanredni način rada u slučaju napada. Moguće je i uključiti razne oblike filtriranja, ali kod ovakvih načina prevencije od napada poslužitelji moraju imati veliku propusnost kako se filtriranje ne bi osjetilo u radu samog poslužitelja. Sljedeći način zaštite od DoS napada je postavljanje pametnih preklopnika, usmjernika ili vatrozida. Međutim vatrozidi imaju jednostavna pravila kojima dozvoljavaju ili zabranjuju protokole, pristupe ili IP adrese. Upravo zbog toga neki DoS napadi previše su složeni za današnje vatrozide iz razloga što DoS napadi mogu napasti i na pristupu 80, a vatrozidi ne mogu razlikovati valjani promet od DoS napada. Drugi problem kod vatrozida je što se oni najčešće nalaze preduboko u topologiji mreže. Prije nego li promet dođe do vatrozida, on može biti uzrokovan DoS napadom već na usmjerniku. Ipak neki vatrozidi imaju ugrađen algoritam obrane od DoS napada tako da proglase DoS napadom sve što je iznad neke vrijednosti u vremenu (npr. više od 20 paketa/sekundi kroz 20 sekundi proglašeno je DoS napadom). Kada se dogodi ovakva situacija, vatrozid se jednostavno prebaci u izvanredni način rada. Kod ovakvog načina rada sav ulazni promet blokiran je, osim prethodno uspostavljenog i svih aktivnih konekcija, a izlazni promet je dozvoljen. Što se tiče preklopnika i usmjernika, oni mogu imati ograničenu brzinu i ACL (engl. Access Control List) kod koje se pomoću ugrađenih pravila filtrira promet. Postoji još i IPS (engl. Intrusion-PREVENTION system) orijentirana zaštita koja se temelji na FPGA (engl. Fieldprogrammable gate arrays) ili ASIC (engl. Applicationspecific Integrated Circuit) tehnologiji. Tehnologija i moguća zaštita koja će biti opisana u sljedećem poglavlju zasnovana je na uporabi inteligentnog ugrađenog sustava pomoću kojeg bi se pokušao spriječiti DoS napad i na taj način ubrzati rad mreže. Ovakva zaštita bi se postavila prije nego promet dođe do samog poslužitelja kod samog ulaza prometa u neku mrežu prije usmjernika ili preklopnika. topologije i načini povezivanja mreža. Neki od primjera razvijenih topologija mreža jesu: topologija sabirnice, topologija prstena i topologija organizirana na principu hijerarhijskog stabla. Međutim razvojem mreža nastali su i problemi iz razloga što se mreža više Slika 3. Primjer nezaštićene mrežne arhitekture razvijala, pojavljivali su se novi problemi u samoj mreži među kojima je DoS jedan od njih. Primjer nezaštićene mrežne arhitekture koja je vrlo osjetljiva na bilo kakav napad prikazana je na slici 3. Kod ovakve arhitekture nema nikakve zaštite od potencijalnih napada i ukoliko se on dogodi, takva mreža postat će nedostupna, kao i resursi koji se u njoj daju. Ova mreža sadrži dva lokalna usmjernika i dva usmjernika od ISP-a od kojih je jedan na izlazu iz mreže iz koje se događa napad a drugi je na ulazu u mrežu koja je napadnuta. Ukoliko usmjernik nema neku zaštitu od potencijalnih napada poslužitelj koji će biti napadnut u toj mreži, s vrlo će velikom vjerojatnošću postati nedostupnim. Naravno, napad može biti izveden tako da se ne dogodi između dva usmjernika, već da se s prvog usmjernika napadne drugi usmjernik koji će poslužiti samo kao mjesto s kojeg će se dalje izvoditi napadi prema ciljanoj mreži. Poboljšanje zaštite postiže se ukoliko je poslije usmjernika postavljen vatrozidni element koji ima mogućnosti obrane poslužitelja. Uglavnom, u IV Zaštita mreže uporabom ugrađenog sustava Računalna mreža grupa je međusobno povezanih računala. Ona omogućuje računalima međusobno komuniciranje i dijeljenje resursa i informacija. Prvu mrežu dizajniranu za ministarstvo obrane SAD-a dizajnirala je ARPA (Advance Research Projects Agency) nazvana ARPANET (Advanced Research Projects Agency Network). To je ujedno bila i prva računalna mreža u svijetu u kasnim 60-ima i ranim 70-ima. Nakon toga računalna mreža proširila se tako da je postala dostupna svima i razvijene su razne Slika 4. Primjer poboljšane mrežne arhitekture današnjim mrežama to je tako i riješeno. Velik nedostatak kod takvih mreža jest taj što se DoS napad događa i prije toga na samom usmjerniku tako da i ukoliko se poslužitelj uspije zaštiti pomoću

vatrozidnog elementa, mreža još uvijek može biti nedostupna izvana jer može doći do preopterećenja na samom usmjerniku. Primjer ovakve poboljšane mrežne arhitekture nalazi se na slici 4. Prijedlog kojim bi se pokušalo spriječiti potencijalne DoS napade prikazana je na slici 5. Kod ovakve mrežne arhitekture ugrađeni sustav detektirao bi pokušaj napada i odlučio što će učiniti s paketima za te su dane trenutne tehnologije za obranu, te njihove prednosti i nedostaci. Rad je usmjeren na mogućnost primjene ugrađenog sustava u zaštiti od DoS napada. Iako se o DoS napadima zna dosta, još uvijek ne postoji dovoljno dobro rješenje u njegovom sprječavanju. Uporabom ugrađenog sustava te primjenom adekvatnog rješenja kod filtriranja i odluke o obrani od napada rasteretili bi se usmjernici i vatrozidi koji u današnjim rješenjima filtriraju napade. Kao što je već spomenuto u poglavlju prije, vatrozid može pomoći spriječiti DoS napad na ciljanog poslužitelja, ali ne može osigurati da će resursi koje nudi poslužitelj biti dostupni u svakom trenutku. Uporabom ugrađenog sustava, pokušalo bi se ubrzati odluku kod napada te potrebne akcije kako bi se spriječilo i zaustavilo napad što bi utjecalo i na performanse mreže. Reference Slika 5. Primjer mrežne arhitekture sa ugrađenim sustavom koje ustanovi da su izazvani DoS napadom. Izgled same arhitekture vrlo je sličan izgledu arhitekture sa vatrozidnim elementom osim što se kod ove mrežne arhitekture dolazni paketi još dodatno filtriraju i kroz sam ugrađeni sustav. Ugrađeni sustav bi se mogao postaviti ispred ili iza samog usmjernika, s time da je bolja opcija ispred jer bi na taj način ugrađeni sustav filtrirao pakete i prije samog dolaska na usmjernik te na taj način onemogućio izvršenje napada izravno na usmjernik. Druga varijanta ovoga sustava je da se ugrađeni sustav postavi iza usmjernika. Kod ovog rješenja i dalje ostaje problem ukoliko se napad izvrši na sam usmjernik. Prednost ovog sustava u odnosu na sustav koji ima samo vatrozidni element jest u tome sto bi se dolazni promet rasteretio na njega i što tada vatrozidni element ne bi morao blokirati sav promet u slučaju napada koji se dogodi nakon napada kako to danas rade neki vatrozidni elementi. Dakle najbolje rješenje koje je i prikazano na slici bilo bi postavljanje ugrađenog sustava ispred samog usmjernika. Takav ugrađeni sustav u biti bi se postavio ispred svakog većeg usmjernika i svojim filtriranjem bi sprječavao potencijalne DoS napade. Probleme koje na ovako postavljenoj mrežnoj arhitekturi treba riješiti jesu: kako to napraviti kada ih umjesto jednog napadača ima možda deset tisuća (DDoS napad), te kako to napraviti na siguran način, tako da se ne može poslati lažirana poruka koja bi uzrokovala da se neka mreža proglasi mrežom iz koje je došao napad, a da ona nije odgovorna za napad. V Zaključak U ovom radu opisana je zaštita mreže uporabom ugrađenog sustava od potencijalnih DoS napada. Opisana je mrežna sigurnost kao i DoS napadi, [1] Mindi McDowell, National Cyber Alert System, 2007, http://www.us-cert.gov/cas/tips/st04-015.html [2] Department of Homeland Security: Cyber Security Procurement, Language for Control Systems, http://www.us-cert.gov/control_systems/pdf/ [3] Rocky K.C. Chang, Defending against flooding based distributed denial of service attacks : A tutorial, IEEE Communications Magazine, October 2002 [4] Vern Paxson, An Analysis of Using Reflectors for Distributed Denial-of-Service Attacks, 2001, http://www.icir.org/vern/papers/reflectors.ccr.01.pdf [5] CERT Advisory CA-1996-26,Denial-of-Service Attack via ping, http://www.cert.org/advisories/ca- 1996-26.html [6] Cisco Security Advisory: TCP Loopback DoS Attack (land.c) and Cisco Devices, December 1997 http://www.cisco.com/warp/public/770/land-pub.shtml [7] Wong Natepetcharachai and Bo Zhang, DDoS Attack Tools and Incidents http://www.scf.usc.edu/~bozhang/personal/pdfs/ddos. pdf [8]Internet Security System http://www.iss.net/security_center/advice/exploits/ser vices/finger/finger_bomb/default.htm [9] CERT Advisory CA-1996-01: UDP Port Denialof-Service Attack, http://www.cert.org/advisories/ca- 1996-01.html [10] Tom Olzak, DNS Cache Poisoning: Definition and Prevention, 2006, http://adventuresinsecurity.com/ Papers/ DNS_Cache_Poisoning.pdf [11] DNS Cache Poisoning - The Next Generation, 2007, http://www.secureworks.com/research/articles/ dns-cache-poisoning/ [12] CERT Advisory CA-1996-21 TCP SYN Flooding and IP Spoofing Attacks, http://www.cert.org/advisories/ca-1996-21.html [13] Indiana Ave, Advanced Networking Management Lab (ANML), Distributed Denial of Service Attacks(DDoS) Resources, 2008: http://www.anml.iu.edu/ddos

[14] Corsaire White Papers, Surviving Distributed Denial of Service (DDoS) Attacks, 2004, http://whitepapers.silicon.com/0,39024759,60461862p, 00.htm [15] Computer and Network Security, http://comptechdoc.org/independent/security/ [16] Network Security, http://www.cisco.com/warp/public/cc/so/neso/sqso/ [17] Marin, G.A., Network Security Basics, Security & Privacy, IEEE, Nov.-Dec. 2005, Volume: 3, Issue: 6, On page(s): 68-72