Zabójczy ping

W okresie szerzących się epidemii wirusów, coraz szybszych łączy internetowych oraz zwiększenia się liczby komputerów w Sieci broń hakerów o nazwie Distributed Denial of Service jest groźniejsza niż kiedykolwiek wcześniej.

W okresie szerzących się epidemii wirusów, coraz szybszych łączy internetowych oraz zwiększenia się liczby komputerów w Sieci broń hakerów o nazwie Distributed Denial of Service jest groźniejsza niż kiedykolwiek wcześniej.

Denial of Service (w skrócie DoS) to atak doprowadzający do odmowy dostępu, a jego celem jest utrudnienie lub całkowite uniemożliwienie świadczenia usług. Atak może być wymierzony w serwer WWW, który haker przeciąży, wysyłając do niego setki tysięcy żądań wyświetlenia stron. Atak typu DoS może również odciąć od Internetu wybraną sieć osiedlową, angażując całą przepustowość jej łączy (metodą wysyłania do atakowanej maszyny ogromnej liczby różnego typu pakietów danych). Atak DoS jest dość szerokim pojęciem. Można też podać przykład odwrotny: użytkownik danej sieci doprowadza do przeciążenia łączy serwera, umieszczając na nim poszukiwane przez innych internautów pliki: nowy film, grę, muzykę itp. W tym tekście skoncentrujemy się jednak na atakach przy użyciu komputerów spoza sieci.

Distributed Denial of Service

Siła ataku DDoS zależy od liczby realizujących go komputerów - im więcej, tym większy efekt.

Siła ataku DDoS zależy od liczby realizujących go komputerów - im więcej, tym większy efekt.

Do klasycznych ataków DoS używa się niewielu komputerów (zazwyczaj kilku). Ich skuteczność zależy głównie od przepustowości łączy, którymi dysponują ofiara oraz haker.

Ta metoda jest już za mało skuteczna. Odparcie ataku zajmuje administratorowi parę minut, bo wystarczy odciąć dostęp do serwera tylko kilku komputerom. Natomiast sam atakujący łatwo może zostać zidentyfikowany. Inaczej jest w przypadku ataku rozproszonego DDoS (Distributed Denial of Service), który wykorzystuje zasoby sieciowe o wiele większej liczby komputerów, często do kilkunastu tysięcy.

Atak tego typu jest niepokojąco skuteczny. Już wiele razy nawet pozornie bezpieczne i stabilne serwery nie potrafiły wytrzymać naporu setek tysięcy żądań. Także wytropienie napastnika nie jest już łatwe. O wykryciu przez FBI autora ataku DDoS na serwery internetowe takich gigantów, jak Ebay, czy Dell, zdecydował przypadek - przechwałki na jednej z grup dyskusyjnych. "Technicznie wykrycie napastnika jest możliwe. Konieczna jest jednak współpraca wielu różnych instytucji. Wymaga to sporych nakładów i nie jest łatwe do wykonania" - mówi Piotr Kijewski z zespołu CERT Polska. Niestety, do tej pory próby wykrycia sprawców wielu głośnych ataków DDoS - chociażby gigantycznego z 2002 roku, kiedy za cel obrano 13 głównych serwerów DNS - spełzły na niczym.

Trojan + haker = DDoS

Klasyczny atak DoS, wykorzystujący niewiele komputerów przy dużej przepustowości łączy.

Klasyczny atak DoS, wykorzystujący niewiele komputerów przy dużej przepustowości łączy.

Zbudowanie sieci komputerów wykorzystywanych do ataków Distributed Denial of Service (tzw. ddosnetu) to dziś zadanie dość łatwe nawet dla osoby niewiele wiedzącej o bezpieczeństwie systemów operacyjnych. Przyczyną są wirusy, luki w różnego typu oprogramowaniu oraz stosunkowo łatwy dostęp do różnego rodzaju exploitów, czyli programów pozwalających włamać się do komputera ofiary bez jakiejkolwiek znajomości języków programowania. Warunki te są wręcz idealne do zbudowania własnej sieci, z której zaatakować można każdego. Pierwszym etapem budowania ddosnetu jest wyszukanie komputerów, w których z powodu luk w zabezpieczeniach łatwo zainstalować określone oprogramowanie - w wypadku sieci do ataków DDoS będzie to odpowiedni trojan. Oprogramowanie zainstalowane na komputerze ofiary ma nie tylko umożliwić hakerowi przeprowadzenie ataku Distributed Denial of Service, lecz często także wyszukać i zainfekować kolejne maszyny już bez udziału samego atakującego. Oprogramowanie do tworzenia ddosnetów jest przygotowane tak, aby dać napastnikowi jak największe możliwości kontroli zainfekowanych maszyn przy zachowaniu jak największej anonimowości. Poza wspomnianą funkcją opanowywania nowych komputerów programy te potrafią także odpowiednio zakamuflować się na dysku ofiary (często unieszkodliwiając nawet program antywirusowy) i uaktywniać tylko wtedy, kiedy wykonywany jest atak, a nawet skasować się po jego dokonaniu. Zarządzanie taką siecią może zapewniać hakerowi anonimowość - wszystko odbywa się najczęściej za pośrednictwem sieci IRC, co w praktyce skutecznie uniemożliwia zidentyfikowanie go.

Rodzaje ataków

Jest kilka rodzajów ataków Distributed Denial of Service. Najważniejsze z nich to ICMP Smurf, SynFlood, ataki wymierzone w DNS i Chargen (usługi opierające się na protokole UDP) oraz serwery HTTP.

ICMP Smurf

ICMP Smurf to najpopularniejsza forma ataku DDoS, cechująca się dużą skutecznością.

ICMP Smurf to najpopularniejsza forma ataku DDoS, cechująca się dużą skutecznością.

Najczęściej wykorzystywanym typem DDoS jest ICMP Smurf. Schemat jego działania jest dość prosty. Atakujący ze zmienionym adresem źródłowym (patrz ramka "Spoofing") wysyła do określonych komputerów (najczęściej wchodzących w skład jego ddosnetu) pakiet ICMP Echo request (szerzej znany pod nazwą ping), a komputery odpowiadają pakietem ICMP echo reply wysłanym pod adres IP, który tego zażądał. Bardzo często do wzmocnienia ataku wykorzystuje się sieci LAN z włączoną opcją directed broadcast - odpowiedź na ICMP Echo request wysyłana jest z każdego komputera wchodzącego w ich skład (np. na jedno żądanie przychodzi 50 odpowiedzi).

Obrona przed tego typu atakiem jest dość trudna - ofiara może jedynie zablokować dostęp do swoich łączy atakującym adresom IP, jednak jest to bardzo problematyczne, jeśli pakiety pochodzą z ddosnetu liczącego kilka tysięcy maszyn. Koniecznie należy też uniemożliwić wzmacnianie ICMP Smurf za pomocą directed broadcast. Administratorzy sieci lokalnych powinni zablokować tę opcję (w przypadku Linuksa należy wydać polecenie echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts, a na routerach Cisco polecenie no ip directed-broadcast).

SynFlood

Drugim często stosowanym typem ataku jest SynFlood. Do zrozumienia zasad jego działania niezbędna jest znajomość sposobu nawiązywania połączeń w protokole TCP. Jego wyjaśnienie znaleźć można w ramce "3-Way Handshake". Atak SynFlood polega na ustanawianiu tzw. półotwartych sesji. Jeden z atakujących komputerów wysyła jedynie pakiet SYN, zmuszając w ten sposób serwer do odpowiedzi pakietami SYN i ACK. Istotą tego DDoS-u nie jest próba przeciążenia łącza, lecz uniemożliwienie uprawnionym osobom nawiązywania połączeń oraz jak największe wykorzystanie pamięci serwera, co spowodować może utrudnienia bądź całkowite zaprzestanie świadczenia usług.

Najskuteczniejszą metodą obrony przed atakiem SynFlood jest wykorzystanie firewalla z opcją synproxy. Synproxy powoduje, że to firewall wykorzystywany jest do nawiązywania pierwszej fazy połączenia. Jeśli połączenie nawiązywane będzie w sposób niebudzący wątpliwości, zostanie przekazane do serwera. Dzięki opcji synproxy nie ma teoretycznie zagrożenia atakiem SynFlood dla serwera działającego za firewallem. Niestety, ta metoda obrony nie jest doskonała ze względu na moc obliczeniową firewalla, który obsługuje tylko określoną liczbę połączeń, a wszystkie inne trafiają bezpośrednio do serwera. Więcej informacji podajemy w ramce "Firewall na celowniku".

UDP flood - DNS

Atak na usługę DNS. Po lewej - masowa wysyłka zapytań do ofiary, po prawej - atak z wykorzystaniem powszechnych serwerów nazw.

Atak na usługę DNS. Po lewej - masowa wysyłka zapytań do ofiary, po prawej - atak z wykorzystaniem powszechnych serwerów nazw.

Metoda oparta na protokole UDP wykorzystywana jest przede wszystkim do spowodowania jak największego obciążenia łącza ofiary. UDP flood nie jest jednak DDoS-em wykorzystującym wady samego protokołu, lecz aplikacji funkcjonujących na jego podstawie. Dwie usługi często stają się celem ataków Distributed Denial of Service - DNS (tzw. nameserver) oraz Chargen.

Atak DDoS na serwer DNS ma na celu zakłócenie translacji adresów symbolicznych na adresy IP. Może to sparaliżować niektóre usługi czy programy oraz utrudnić internautom korzystanie z Sieci. Atak na usługi DNS jest trudny i często nie przynosi pożądanych efektów. Haker ma dwie możliwości zaatakowania serwerów dokonujących translacji adresów symbolicznych. Pierwszy dotyczy serwerów DNS, będących serwerami nazw określonych podsieci. W tym wypadku haker wysyła do jak największej liczby serwerów nazw, działających powszechnie w Internecie, zapytanie o domenę w podsieci ofiary, co powoduje wygenerowanie dość dużego ruchu i może utrudnić pracę zaatakowanego serwera. Drugi typ ataku polega na wysyłaniu do ofiary tysięcy sfałszowanych zapytań o adres IP nieistniejącej domeny. W tym wypadku odpowiedź (wysyłana przez serwer DNS) znacznie przekracza wielkość zapytania (wysyłanego przez atakującego), co może doprowadzić nawet do przeciążenia łączy, na których działa ofiara. Nie ma skutecznej metody zabezpieczenia się przed atakami na serwer DNS, można jedynie zmniejszyć ich skalę, ustalając prawa dostępu do poszczególnych serwerów nazw. Haker nie mógłby wówczas wykorzystać pierwszego opisanego typu ataku.


Zobacz również