Zawsze z filtrem

Funkcje filtrowania mogą skutecznie zapobiegać rozproszonym atakom typu "odmowa świadczenia usług" (DDoS).

Funkcje filtrowania mogą skutecznie zapobiegać rozproszonym atakom typu "odmowa świadczenia usług" (DDoS).

Obiektem ataków, określanych w terminologii technicznej jako DDoS (Distributed Denial of Service), dotychczas były komputery pracujące pod systemami Solaris lub Linux. Aby przeprowadzić atak, należało się wcześniej włamać do systemu. Jednak narzędzia dostępne w Internecie zostały już w takim stopniu zmodyfikowane, że można ich użyć do ataku na serwery NT i komputery działające pod kontrolą Windows. Prawdopodobnie wkrótce pojawią się informacje o atakach DDoS na komputery z systemami Windows.

Mechanizm ataku

Na ogólnie dostępnych stronach WWW można znaleźć i pobrać wiele narzędzi DDoS, np. Trinoo, TFN (Tribe Flood Network) i Stacheldraht. By się o tym przekonać, wystarczy odwiedzić jedną z witryn:http://www.technotronic.com/denial.html lubhttp://packetstorm.security.com/distributed.

Używając narzędzi DDoS, włamywacz tworzy system o trójwarstwowej architekturze. Wyszukuje on w Internecie serwery, których systemy zabezpieczeń pozwalają na zagnieżdżenie odpowiednich programów. Są to tzw. główne serwery ataku, które następnie nawiązują łączność z innymi komputerami, w których są instalowane tzw. demony (rezydentne programy, które na komputerze unixowym wykonują określone zadanie). Te komputery są określane potocznie jako zombie.

Po przygotowaniu kilkuset "zombie" do ataku, włamywacz wysyła pakiety z danymi do atakujących serwerów, a te z kolei przesyłają do "zombie" polecenie wysłania do obiektów atakowanych olbrzymiej liczby pakietów. Nie można odczytać adresu komputera inicjującego atak, ponieważ dzięki użyciu odpowiednich metod najczęściej jest on sfałszowany.

Warto włączyć filtrowanie

Właśnie dzięki temu, że adresy IP są fałszywe, można skutecznie zapobiegać atakom. Każdy usługodawca internetowy może zastosować proste zabezpieczenie. Po odebraniu pakietu zawierającego sfałszowany adres serwer nie przesyła go dalej. Funkcja ta to filtrowanie wejścia. Z kolei każda firma, która ma stałe połączenie z Internetem, powinna uruchomić mechanizm "filtrowania wyjścia", który zapobiega wysyłaniu pakietów ze sfałszowanym adresem IP. Więcej informacji na ten temat można znaleźć pod adresem:http://www.sans.org/y2k/egress.htm.

Aby uruchomić tego typu filtry, wystarczy wprowadzić niewielkie zmiany w konfiguracji routerów, które nie mają wpływu na ich wydajność. Dokładny opis tej czynności zawiera dokument RFC 2267 ( http://info.internet.isi.edu/in-notes/rfc/files/rfc2267.txt ).

Niezależnie od mechanizmów filtrujących pakiety przychodzące i wychodzące, podstawowym elementem zabezpieczającym każdy system informatyczny powinna być zapora (firewall). Filtrowanie może wprawdzie skutecznie zapobiegać wielu atakom DDoS, lecz nie zapobiegnie wszystkim.

--------------------------------------------------------------------------------

Na podstawie InfoWorld oprac. jch


TOP 200