dokumentasi<Sebelum | Contents [show] | Seterusnya>
11.4.1. Penafian Perkhidmatan
Serangan penafian perkhidmatan memanfaatkan kelemahan untuk mencipta kehilangan perkhidmatan, selalunya dengan merosakkan proses yang terdedah. The Ujian Tekanan kategori menu Kali Linux mengandungi beberapa alat untuk tujuan ini.
Apabila ramai orang mendengar istilah "serangan penafian perkhidmatan", mereka serta-merta memikirkan serangan penggunaan sumber yang dihantar daripada berbilang sumber sekaligus terhadap satu sasaran. Ini akan menjadi a diedarkan serangan penafian perkhidmatan, atau DDoS. Serangan semacam ini jarang menjadi sebahagian daripada penilaian keselamatan profesional.
Sebaliknya, serangan penafian perkhidmatan tunggal selalunya adalah hasil daripada percubaan yang tidak wajar untuk mengeksploitasi kelemahan. Jika penulis eksploitasi mengeluarkan kod separa berfungsi atau bukti konsep (PoC) dan ia digunakan dalam medan, ini boleh mewujudkan keadaan penafian perkhidmatan. Malah eksploitasi berkod dengan betul mungkin hanya berfungsi dalam keadaan yang sangat khusus tetapi menyebabkan penafian perkhidmatan dalam keadaan yang lebih rendah. Nampaknya penyelesaiannya adalah dengan hanya menggunakan kod eksploitasi yang selamat dan teruji, atau menulis sendiri. Walaupun dengan penyelesaian ini, tiada jaminan dan ini sangat mengehadkan penilai, menyebabkan kekangan yang tidak wajar, yang mengakibatkan penilaian yang lebih rendah. Sebaliknya, kuncinya adalah kompromi. Elakkan kod PoC dan eksploitasi yang belum diuji di lapangan dan sentiasa pastikan peguam telah melindungi anda untuk kemalangan lain.
Biasanya, serangan penafian perkhidmatan tidak dilancarkan dengan sengaja. Kebanyakan alat kerentanan automatik akan mengisytiharkan penolakan kelemahan perkhidmatan sebagai risiko yang lebih rendah disebabkan fakta bahawa walaupun anda boleh mengalih keluar perkhidmatan daripada operasi, perkhidmatan itu tidak boleh dieksploitasi untuk pelaksanaan kod. Walau bagaimanapun, adalah penting untuk diingat bahawa tidak semua eksploitasi dikeluarkan secara terbuka dan penafian kelemahan perkhidmatan mungkin menutupi ancaman yang lebih mendalam dan lebih serius. Eksploit pelaksanaan kod untuk penafian perkhidmatan yang diketahui mungkin wujud tetapi tidak terbuka. Intinya ialah, beri perhatian kepada kelemahan penafian perkhidmatan dan galakkan pelanggan anda untuk menambalnya tanpa mengira rating ancaman mereka (selalunya rendah).