Útoky Dos&DDos

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: Kub@z
Datum: 8.7.2004
Hodnocení/Hlasovalo: 1/1

Útoky Dos a DDos mají za cíl znemožnit uživatelům přístup do systému zahlcením pakety...

Ú V O D

Mezi oblíbené aktivity hackerů patří útoky, jejichž cílem je odepření služeb napadených počítačových systémů. Takové útoky bývají obávanými nočními můrami systémových a síťových administrátorů a jsou označovány jako DoS (Denial of Service) a DDoS (Distributed Denial of Service - distribuovaná verze).  

D o S ( D E N I A L  O F  S E R V I C E )

Prvním typem útoků vedoucích k odepření služeb je DoS; cílem je zpravidla naprosto si osvojit prostředky napadeného systému a následně znemožnit serveru vykonávat standardně nabízené služby. Pro lepší pochopení principu těchto útoků se podíváme na poštovní server, který byl schopen přijímat a odesílat například 40 zpráv za sekundu. A co udělal v tomto případě útočník? Jednoduše se snažil překonat kapacitu serveru a zasílal například 100 zpráv za sekundu, což samozřejmě vedlo k požadovanému zahlcení.

Pod zkratkou DoS se ovšem skrývá celá množina útoků, jejichž společným znakem je většinou poškození dobrého jména napadeného serveru a snížení důvěryhodnosti před širokou veřejností (často doprovázené finanční újmou). Zmíněné skutečnosti samozřejmě činí útočníkovi pravé a nefalšované potěšení z jeho nekalé činnosti.

Typickým představitelem útoku DoS je tzv. SYN flooding, používaný v prostředí, kde je využíván protokol TCP (Transmission Control Protocol). Jeho cílem není poškodit data, ale znemožnit serveru poskytovat nabízené služby, například již zmiňované přijímání a zasílaní zpráv. Jak SYN flooding pracuje? Během útoku je zneužíváno vlastnosti TCP protokolu zvané "three way handshake", tedy ověření skutečnosti, že klient i server chtějí navázat dané spojení. Rovněž je využíván synchronizační paket SYN (Synchronize Sequence Number), který zahajuje proces navázání komunikace.

A právě masivním zasíláním paketů požadujících navázání spojení a neprovedením třetí konečné fáze úvodní výměny informací se útočník snaží zahltit server a znemožnit mu tak být k dispozici řádným uživatelům, kteří v daném okamžiku také požadují jednotlivé služby. Bystrého čtenáře jistě napadne, že by bylo možné útočníka poměrně rychle vystopovat podle jeho IP adresy. Tuto slabinu si však brzy uvědomili i hackeři a přišli s rozšířením tohoto útoku o IP spoofing, což je předstírání falešné IP adresy. Při těchto útocích bývá často předstírána IP adresa stroje, který není v daném okamžiku k dispozici, a nehrozí tedy ukončení navazovaného spojení. Napadený server nejprve čeká po dobu vyhrazenou na reakci tohoto systému a teprve pak pokus o spojení definitivně ukončí. 

D D o S  ( D I S T R I B U T E D  D E N I A L  O F  S E R V I C E )

Vylepšeným následníkem DoS útoků je distribuovaný typ útoku, vedoucí ke stejnému cíli, tj. k odepření služeb. Právě tento typ útoku vzbudil v roce 1999 do té doby nebývalý zájem sdělovacích prostředků o dění prostředí počítačových sítí, neboť svými požadavky úspěšně zahlcoval nejznámější servery (například na známý vyhledávač Yahoo - www.yahoo.com - byly zasílány stovky MB dat za sekundu). Jak je patrné z názvu útoku, využívá se během jeho vedení větší počet napadených stanic, do kterých dříve pronikl hacker a do kterých nainstaloval potřebný software.

Celý proces útoku si můžeme zjednodušeně popsat takto: útočník (případně útočníci) nejprve zahájí takzvanou prohledávací fázi, ve které se automaticky skenuje velké množství připojených počítačových systémů (tisíce, statisíce), a snaží se odhalit jejich zranitelná místa. Poté, co získal seznam relativně snadno napadnutelných systémů, do nich pronikne a nainstaluje potřebné nástroje pro budoucí hromadný útok na vytypovaný server. Mezi nejznámější, a tedy i nejpoužívanější "nástroje" hromadného útoku lze zařadit:

1. Smurf-jeden ze starších DDoS útoků, který byl jako první široce rozšířen. Byl založen na principu zasílání stovek ICMP (Internet Control Message Protocol) echo paketů.

2. Trinoo - také starší a poněkud jednodušší DDoS útok. Oproti starší generaci, ve které byla užívána autentizace pomocí jednoduše zašifrovaných a zkompilovaných hesel, podle nichž pak užitím určitých technik bylo možné odhalit útočníky, je ovšem vylepšen. Trinoo používá nezašifrovanou komunikaci a typicky během ní užívá následující porty:

1524 tcp

27665 tcp

27444 udp

31335 udp  

3. TFN (Tribe Flood Network) - byl napsán z velké části německým hackerem s cílem poukázat na to, jak zranitelné jsou sítě. Útok s úspěchem využíval klient/server přistup. TFN bohužel vedl k masivním útokům proti nejznámějším e-commerce serverům.

4. Stacheldraht - v překladu "ostnatý drát" je pokračovatelem útoků Trinoo a TFN. Pro kontrolu zpráv mezi články napadajícího řetězce používá protokoly TCP a ICMP. Hlavní výhodou je schopnost upgradovat program vzdáleně Stacheldraht smaže současné soubory a nové¨si stahuje ze vzdáleného systému přes rcp. Během komunikace mezi klientem, ovladačem a agentem jsou využívány následující porty:  

16660 tcp

65000 tcp

ICMP ECHO

ICMP ECHO REPLY

S. TFN2K (Tribal Flood Network 2000) - jeden z nejpokročilejších DDoS softwarových nástrojů. Podporuje větší množství útoků (SYN flooding, UDP floods, broadcast ping floods a ping floods), přičemž komunikace mezi všemi komponentami v řetězci napadení je šifrována algoritmem CAST - 256 a pak zakódována prostřednictvím Base 64, takže obsah kontrolních paketů jednoduše vypadá jako náhodné ASCII znaky. Dříve tento program běžel na unixových strojích, nyní byl však předělán i do prostředí Windows, což ho činí ještě nebezpečnějším hrozí tak široké rozšíření tohoto systému na internetu, zejména ve vzdělávacích institucích a ve vnitřních podnikových sítích.

6. Shaft - částečně navazuje na Trinoo, Stacheldraht a TFN, obsahuje však navíc řadu vylepšení. Mimo jiné umožňuje přepínat tzv. handler servery a porty, což činí útočníka obtížněji detekovatelným.

Pozn.: Pozor, všechny zmíněné nástroje lze poměrně bez problémů stáhnout z internetu!  

Z P Ů S O B Y   Ú T O K U

V předchozím odstavci jsme si vyjmenovali nejčastější nástroje, jejichž společným cílem je napadení vytypovaných subjektů, a můžeme si tedy odpovědět na otázku, jaké způsoby využívají tyto nástroje ke své činnosti.

Prvním takovým útokem (známým dobře i v České republice) jsou e-mailové bomby. Jejich charakteristickou vlastností je zahlcování poštovních serverů obrovským množstvím zpravidla identických e-mailových zpráv. Cílem tohoto způsobu je zahlcení síťového spoje, užívání všech dostupných zdrojů napadeného systému a v neposlední řadě také zaplnění disku všemožnými syslog-soubory.

Druhým způsobem je "Ping od Death", zahrnující posílání ICMP echo paketů s abnormální velikostí. IP specifikaci, jež zakazuje vytvoření paketu větší délky, lze bohužel obejít pomocí fragmentace, která umožní přenos takovéhoto paketu.

Třetí způsob je označován jako "Zombies", tj. využívání "živých mrtvol". Na takto označených počítačových systémech je již útočníkem nainstalován nástroj potřebný k jejich ovládání a následnému zaútočení na vybraný server.

Čtvrtý způsob je označován slovem "Hogging". Představuje často používanou metodu spočívající ve spotřebovávání dostupných systémových prostředků napadeného hostitele, což zpravidla vede i ke zhroucení napadeného systému.

Posledním a poměrně velmi rozšířeným útokem je již zmiňovaný SYN flooding (viz výše).  

O C H R A N A

A jaká je možná ochrana proti těmto útokům na naše počítačové systémy? Důležité je "být v obraze“ a pravidelně sledovat zprávy zveřejňované organizacemi, které se touto problematikou profesionálně zabývají. Kromě charakteristiky různých druhů útoků se tak dozvíte i informace o možné prevenci rady, jak se na daný problém co nejlépe připravit a jaká přijmout opatření. Neopomíjena by měla být také stránka personální, tím myslím pravidelné školení pracovníků zabývajících ' se bezpečnostní problematikou. Důležité je také sledovat aktualizace používaných produktů reagující s určitou časovou prodlevou na tyto otázky. Zřejmě již nemusím připomínat, že důslednou a správně nakonfigurovaným firewallem lze také mnohému efektivně zabránit. Navíc nás může těšit vědomí, že se standardizační komise IETF (Internet Engineering Task Force) chystá také rázně promluvit a udělat přítrž těmto útokům. Snaží se totiž vyvinout software sledující tok dat na internetu, který by rychle a snadno identifikoval zdroj potíží.