Autor: Kub@z | 8.7.2004 |
Ú V O D
Mezi oblíbené aktivity
hackerů patří útoky, jejichž cílem je odepření služeb napadených počítačových
systémů. Takové útoky bývají obávanými nočními můrami systémových a síťových
administrátorů a jsou označovány jako DoS (Denial of Service) a DDoS (Distributed
Denial of Service - distribuovaná verze).
D o S ( D E N I A L O F
S E R V I C E )
Prvním typem útoků vedoucích
k odepření služeb je DoS; cílem je zpravidla naprosto si osvojit prostředky
napadeného systému a následně znemožnit serveru vykonávat standardně nabízené
služby. Pro lepší pochopení principu těchto útoků se podíváme na poštovní
server, který byl schopen přijímat a odesílat například 40 zpráv za sekundu. A
co udělal v tomto případě útočník? Jednoduše se snažil překonat kapacitu serveru
a zasílal například 100 zpráv za sekundu, což samozřejmě vedlo k požadovanému
zahlcení.
Pod zkratkou DoS se ovšem
skrývá celá množina útoků, jejichž společným znakem je většinou poškození
dobrého jména napadeného serveru a snížení důvěryhodnosti před širokou
veřejností (často doprovázené finanční újmou). Zmíněné skutečnosti samozřejmě
činí útočníkovi pravé a nefalšované potěšení z jeho nekalé činnosti.
Typickým představitelem
útoku DoS je tzv. SYN flooding, používaný v prostředí, kde je využíván protokol
TCP (Transmission Control Protocol). Jeho cílem není poškodit data, ale
znemožnit serveru poskytovat nabízené služby, například již zmiňované přijímání
a zasílaní zpráv. Jak SYN flooding pracuje? Během útoku je zneužíváno vlastnosti
TCP protokolu zvané "three way handshake", tedy ověření skutečnosti, že klient i
server chtějí navázat dané spojení. Rovněž je využíván synchronizační paket SYN
(Synchronize Sequence Number), který zahajuje proces navázání komunikace.
A právě masivním zasíláním
paketů požadujících navázání spojení a neprovedením třetí konečné fáze úvodní
výměny informací se útočník snaží zahltit server a znemožnit mu tak být k
dispozici řádným uživatelům, kteří v daném okamžiku také požadují jednotlivé
služby. Bystrého čtenáře jistě napadne, že by bylo možné útočníka poměrně rychle
vystopovat podle jeho IP adresy. Tuto slabinu si však brzy uvědomili i hackeři a
přišli s rozšířením tohoto útoku o IP spoofing, což je předstírání falešné IP
adresy. Při těchto útocích bývá často předstírána IP adresa stroje, který není v
daném okamžiku k dispozici, a nehrozí tedy ukončení navazovaného spojení.
Napadený server nejprve čeká po dobu vyhrazenou na reakci tohoto systému a
teprve pak pokus o spojení definitivně ukončí.
D D o S ( D I S T R I B
U T E D D E N I A L O F S E R V I C E )
Vylepšeným následníkem DoS
útoků je distribuovaný typ útoku, vedoucí ke stejnému cíli, tj. k odepření
služeb. Právě tento typ útoku vzbudil v roce 1999 do té doby nebývalý zájem
sdělovacích prostředků o dění prostředí počítačových sítí, neboť svými
požadavky úspěšně zahlcoval nejznámější servery (například na známý vyhledávač
Yahoo - www.yahoo.com - byly zasílány stovky MB dat za sekundu). Jak je patrné z
názvu útoku, využívá se během jeho vedení větší počet napadených stanic, do
kterých dříve pronikl hacker a do kterých nainstaloval potřebný software.
Celý proces útoku si můžeme
zjednodušeně popsat takto: útočník (případně útočníci) nejprve zahájí takzvanou
prohledávací fázi, ve které se automaticky skenuje velké množství připojených
počítačových systémů (tisíce, statisíce), a snaží se odhalit jejich zranitelná
místa. Poté, co získal seznam relativně snadno napadnutelných systémů, do nich
pronikne a nainstaluje potřebné nástroje pro budoucí hromadný útok na vytypovaný
server. Mezi nejznámější, a tedy i nejpoužívanější "nástroje" hromadného útoku
lze zařadit:
1. Smurf-jeden ze starších
DDoS útoků, který byl jako první široce rozšířen. Byl založen na principu
zasílání stovek ICMP (Internet Control Message Protocol) echo paketů.
2. Trinoo - také starší a
poněkud jednodušší DDoS útok. Oproti starší generaci, ve které byla užívána
autentizace pomocí jednoduše zašifrovaných a zkompilovaných hesel, podle nichž
pak užitím určitých technik bylo možné odhalit útočníky, je ovšem vylepšen.
Trinoo používá nezašifrovanou komunikaci a typicky během ní užívá následující
porty:
1524 tcp
27665 tcp
27444 udp
31335 udp
3. TFN (Tribe Flood Network)
- byl napsán z velké části německým hackerem s cílem poukázat na to, jak
zranitelné jsou sítě. Útok s úspěchem využíval klient/server přistup. TFN
bohužel vedl k masivním útokům proti nejznámějším
4. Stacheldraht - v překladu
"ostnatý drát" je pokračovatelem útoků Trinoo a TFN. Pro kontrolu zpráv mezi
články napadajícího řetězce používá protokoly TCP a ICMP. Hlavní výhodou je
schopnost upgradovat program vzdáleně Stacheldraht smaže současné soubory a
nové¨si stahuje ze vzdáleného systému přes rcp. Během komunikace mezi klientem,
ovladačem a agentem jsou využívány následující porty:
16660 tcp
65000 tcp
ICMP ECHO
ICMP ECHO REPLY
S. TFN2K (Tribal Flood
Network 2000) - jeden z nejpokročilejších DDoS softwarových nástrojů. Podporuje
větší množství útoků (SYN flooding, UDP floods, broadcast ping floods a ping
floods), přičemž komunikace mezi všemi komponentami v řetězci napadení je
šifrována algoritmem CAST - 256 a pak zakódována prostřednictvím Base 64, takže
obsah kontrolních paketů jednoduše vypadá jako náhodné ASCII znaky. Dříve tento
program běžel na unixových strojích, nyní byl však předělán i do prostředí
Windows, což ho činí ještě nebezpečnějším hrozí tak široké rozšíření tohoto
systému na internetu, zejména ve vzdělávacích institucích a ve vnitřních
podnikových sítích.
6. Shaft - částečně navazuje
na Trinoo, Stacheldraht a TFN, obsahuje však navíc řadu vylepšení. Mimo jiné
umožňuje přepínat tzv. handler servery a porty, což činí útočníka obtížněji
detekovatelným.
Pozn.: Pozor, všechny
zmíněné nástroje lze poměrně bez problémů stáhnout z internetu!
Z P Ů S O B Y Ú T O K U
V předchozím odstavci jsme
si vyjmenovali nejčastější nástroje, jejichž společným cílem je napadení
vytypovaných subjektů, a můžeme si tedy odpovědět na otázku, jaké způsoby
využívají tyto nástroje ke své činnosti.
Prvním takovým útokem
(známým dobře i v České republice) jsou e-mailové bomby. Jejich
charakteristickou vlastností je zahlcování poštovních serverů obrovským
množstvím zpravidla identických e-mailových zpráv. Cílem tohoto způsobu je
zahlcení síťového spoje, užívání všech dostupných zdrojů napadeného systému a v
neposlední řadě také zaplnění disku všemožnými syslog-soubory.
Druhým způsobem je "Ping od
Death", zahrnující posílání ICMP echo paketů s abnormální velikostí. IP
specifikaci, jež zakazuje vytvoření paketu větší délky, lze bohužel obejít
pomocí fragmentace, která umožní přenos takovéhoto paketu.
Třetí způsob je označován
jako "Zombies", tj. využívání "živých mrtvol". Na takto označených počítačových
systémech je již útočníkem nainstalován nástroj potřebný k jejich ovládání a
následnému zaútočení na vybraný server.
Čtvrtý způsob je označován
slovem "Hogging". Představuje často používanou metodu spočívající ve
spotřebovávání dostupných systémových prostředků napadeného hostitele, což
zpravidla vede i ke zhroucení napadeného systému.
Posledním a poměrně velmi
rozšířeným útokem je již zmiňovaný SYN flooding (viz výše).
O C H R A N A
A jaká je možná ochrana
proti těmto útokům na naše počítačové systémy? Důležité je "být v obraze“ a
pravidelně sledovat zprávy zveřejňované organizacemi, které se touto
problematikou profesionálně zabývají. Kromě charakteristiky různých druhů útoků
se tak dozvíte i informace o možné prevenci rady, jak se na daný problém co
nejlépe připravit a jaká přijmout opatření. Neopomíjena by měla být také stránka
personální, tím myslím pravidelné školení pracovníků zabývajících ' se
bezpečnostní problematikou. Důležité je také sledovat aktualizace používaných
produktů reagující s určitou časovou prodlevou na tyto otázky. Zřejmě již
nemusím připomínat, že důslednou a správně nakonfigurovaným firewallem lze také
mnohému efektivně zabránit. Navíc nás může těšit vědomí, že se standardizační
komise IETF (Internet Engineering Task Force) chystá také rázně promluvit a
udělat přítrž těmto útokům. Snaží se totiž vyvinout software sledující tok dat
na internetu, který by rychle a snadno identifikoval zdroj potíží.