W powodzi niechcianych pakietów
-
- 25.03.2002
Większość ataków DoS/DDoS wykorzystuje tzw. spoofing, czyli podszywanie się pod inny adres(y) IP. Sztuka polega na tym, że w nagłówkach pakietów IP wysyłanych przez atakującego wpisywany jest inny niż rzeczywisty adres źródłowy (source). Dzięki temu ofiara (victim) nie może w łatwy sposób zorientować się skąd rzeczywiście pochodzi atak. Przy klasycznym ataku DoS spoofing służy atakującemu głów-nie do zachowania anonimowości. Podszywanie się może jednak także służyć bezpośrednio do ataku. Przykładem jest atak zwany Smurf lub ping flood, polegający na wysyłaniu do kontrolowanych komputerów pakietów typu ICMP_ECHO REQUEST (tzw. ping), których źródłowy adres IP wskazuje na ofiarę. W rezultacie ofiara otrzymuje w krótkim czasie bardzo dużą liczbę pakietów ICMP_ECHO REPLY. Analogicznie wygląda atak przy użyciu serwerów DNS. Najczęściej używane metody ataków są opisane w ramce.
Najczęściej używane programy do ataków DDoS
Bieżące informacje na temat ataków DoS/DDoS
Listy sieci uznanych za potencjalne wzmacniacze ataków Smurf można znaleźć pod adresem: www.netscan.org
Strategie obrony
Wiele rodzajów ataków jest rozpoznawanych przez oprogramowanie firewall działające na routerach oraz współpracujące z nimi rozwiązania do wykrywania włamań. Zastosowanie tych rozwiązań, choć zalecane, nie gwarantuje jednak ochrony przed skutkami ataku DoS/DDoS. W szczególności zaś tymi, które wykorzystują protokół HTTP - wrogi ruch najczęściej bowiem trudno odróżnić od zwykłego. Z punktu widzenia profilaktyki i wczesnego wykrywania ważna jest więc znajomość "normalnej" statystyki ruchu we własnej sieci. Gwarancji wykrycia ataku jednak nie ma.
Gdy istnieją podejrzenia, że sieć jest obiektem ataku DoS/DDoS, należy zorientować się, jakie zasoby są jego przedmiotem i jaka jest jego skala. Według statystyk CERT, 90% ataków DoS/DDoS to ataki nieprofesjonalne, trwające ok. godziny. Jeżeli skala ata- ku jest mała bądź średnia, jednym ze środków zaradczych może być zmiana priorytetów lub nawet wyłączenie serwisów nie mających krytycznego znaczenia dla funkcjonowania firmy. Jeżeli skala ataku jest duża, może być konieczne fizyczne odłączenie od Internetu. Choć działanie takie w pewnym sensie oznacza poddanie się, uniemożliwia hakerom destabilizację sieci i działających w niej serwisów, czego zawsze należy unikać.
Aby wykryć i ukarać autora ataku, jego przebieg musi być na bieżąco rejestrowany w plikach log. W świetle prawa logi nie są dowodem, lecz jedynie poszlaką - zwłaszcza gdy pochodzą z jednej sieci. Możliwość wykrycia sprawcy rośnie, gdy uda się odtworzyć jego ścieżkę działania. Warto więc porozumieć się z dostawcą Internetu, aby i on logował napływający ruch.
Denial of Service
SYN
Podczas ataku SYN haker czyni użytek ze standardowego mechanizmu nawiązywania połączenia w protokole TCP/IP. W pierwszym etapie do ofiary jest wysyłany pakiet z flagą SYN, będący "prośbą" o ustanowienie połączenia. Zgodnie z definicją protokołu ofiara wyśle do atakującego pakiet z atrybutem ACK (acknowledge - potwierdzać) i będzie oczekiwać na ostatni, trzeci etap - wysłanie pakietu ACK przez inicjującego sesję. Istotą ataku jest wysyłanie do ofiary jak największej liczby pakietów inicjujących i niepotwierdzanie nawiązania sesji, w efekcie czego system ofiary zawiesi się pod wpływem przepełnienia bufora kolejki sesji.
Land
Atak podobny do SYN, z tą różnicą, że pakiety wysyłane w kierunku ofiary zawierają jej adres IP w polu source, co powoduje zapętlenie się mechanizmu nawiązywania połączeń.
Ping of death
Stosunkowo stary atak stosowany wobec komputerów, działających pod kontrolą systemu Unix, Linux oraz Windows 95/98. Polega na wysłaniu w kierunku ofiary pakietu ICMP_ECHO (ping) o długości dłuższej niż 65 536 bajtów. Efektem ataku jest zawieszenie się systemu.
Teardrop
Ten typ ataku wykorzystuje słabość mechanizmu odpowiedzialnego za składanie w całość danych przesyłanych przez sieć w oddzielnych pakietach. Atakujący wysyła w kierunku ofiary pakiety, w których dane "zachodzą na siebie", uniemożliwiając tym samym poprawne ich złożenie. W wyniku ataku teardrop następuje zawieszenie lub restart systemu.
Distributed Denial of Service
Smurf
Jedna z najstarszych metod ataku DDoS. Polega na wysłaniu dużej liczby pakietów ICMP_ECHO REQUEST (ping) na adres rozgłoszeniowy sieci (broadcast). W nagłówku pakietów jako źródło podawany jest adres IP ofiary. Jeśli sieć nie jest zabezpieczona, router przekaże polecenie ping każdemu komputerowi w podsieci, a te odpowiedzą zalewem pakietów ICMP_ECHO REPLY w kierunku ofiary. Sieć nie zabezpieczona przed tego typu atakiem jest określana jako smurf amplifier, czyli wzmacniacz. Jeżeli atakujący będzie generować polecenia ping zajmujące 50 Kb/s, to sieć składająca się ze 100 komputerów wyśle do ofiary pakiety zajmujące pasmo ok. 5 Mb/s!
Flood
Atak polegający na wysyłaniu bardzo dużej liczby zapytań - zazwyczaj do serwerów WWW. Atakujący wykorzystuje w tym celu od kilkudziesięciu do kilkuset komputerów jednocześnie, powodując unieruchomienie serwisu. Najpopularniejszym narzędziem do tego typu ataków jest oprogramowanie Tribal Flood Network.
DNS flood
Atak o rosnącej popularności. Polega na wysyłaniu dużej liczby zapytań do serwerów nazw internetowych (DNS), podając w nagłówku adres ofiary jako źródłowy. Istota ataku polega na wzmocnieniu: informacja zwracana przez serwery DNS jest z reguły kilkakrotnie większa niż zapytanie.
E-mail spoofing
Jest wiele metod unieruchomienia serwerów pocztowych. Najpopularniejsza metoda to wirus rozsyłający się automatycznie pod wszystkie adresy z książki adresowej. Inna, bardziej zaawansowana, metoda polega na wysyłaniu wszystkim użytkownikom wiadomości z nie istniejącego adresu, nakłaniającej do natychmiastowej odpowiedzi. Ruch wzrasta nie tylko w wyniku odpowiedzi użytkowników, ale także z powodu wysyłania przez serwer informacji o błędzie w adresie.
