W powodzi niechcianych pakietów

Pełne zabezpieczenie się przed atakiem typu Denial of Service nie jest możliwe. Znając metody działania i narzędzia używane do ich prowadzenia, można jednak minimalizować zagrożenie.

Pełne zabezpieczenie się przed atakiem typu Denial of Service nie jest możliwe. Znając metody działania i narzędzia używane do ich prowadzenia, można jednak minimalizować zagrożenie.

Ataki powodujące zawieszenie pracy serwisu internetowego lub odcięcie go od sieci znane są co najmniej od 5 lat. Wydaje się, że to wystarczająco dużo czasu, by poznać metody działania hakerów i opracować narzędzia wykrywające i przeciwdziałające atakom. Fenomen ataków typu Denial of Service (DoS), a zwłaszcza Distributed Denial of Service (DDoS) polega jednak na tym, że pomimo znajomości mechanizmów ich prowadze- nia, możliwości zabezpieczenia czy obrony przed nimi są bardzo ograniczone. Najlepiej dowodzi tego spektakularny atak DDoS, przeprowadzony wiosną ubiegłego roku. W jego wyniku witryny głównych amerykańskich serwisów internetowych były niedostępne przez kilkanaście godzin.

Każdy sposób dobry

Motywy, jakimi kierują się osoby przeprowadzające ataki DoS/DDoS, nie różnią się od tych, które stoją za "zwykłymi" włamaniami. Pierwszy z nich to ciekawość tego, co się stanie - zdecydowana większość ataków DoS to sprawka młodocianych hakerów, którym wpadły w ręce odpowiednie narzędzia. Drugi motyw to zemsta lub złośliwe działanie pod wpływem pobudek ideologicznych. Trzeci powód to zysk w postaci informacji, a nawet pieniędzy - unieruchomienie witryny handlowej przekłada się na bezpośrednie straty finansowe sprzedającego oraz utratę zaufania klientów. "Atak Denial of Service może być sposobem na odwrócenie uwagi od właściwego ataku lub próbą wywołania chaosu w nadziei, że ktoś w pośpiechu popełni błąd, który atakujący będzie mógł wykorzystać. Unieruchomienie serwisów może też mieć na celu podszycie się pod nie w celu wykorzystania ich uprawnień, np. dostępu do innej sieci" - tłumaczy Tomasz Polus, specjalista ds. bezpieczeństwa w BSI sp. z o.o. w Krakowie.

Jak nie pomagać hakerom?

Administratorzy poświęcają wiele uwagi temu, aby zarządzane przez nich sieci nie stały się ofiarami ataku. Częstokroć zapominają jednak o zabezpieczeniu sieci przed wykorzystaniem jej jako narzędzia.

Ochrona przed użyciem sieci do ataku na innych nie jest trudna. Podstawowym zaleceniem jest utrzymywanie aktualnych wersji oprogramowania oraz odpowiednie skonfigurowanie działającego na routerze oprogramowania firewall. Chodzi przede wszystkim o wyłączenie możliwości wysyłania przez sieć pakietów zawierających w nagłówku źródłowy adres IP nie należący do własnej puli. Kolejne działanie to uniemożliwienie wywoływania z zewnątrz sieci jej adresów typu broadcast (z końcówką 255). Już te dwa zabiegi znacznie ograniczają ryzyko niezamierzonego uczestniczenia w typowym ataku DDoS.

Skutki określane jako Denial of Service można wywołać na różne sposoby. Najczęściej jest to skierowanie w stronę ofiary ruchu o nasileniu wielokrotnie przekraczającym możliwości jego obsłużenia. Można to osiągnąć zarówno środkami technicznymi, jak i metodami socjotechnicznymi, np. rozsyłając listy zachęcające do działań, powodujących wzmożony ruch. Inna popularna metoda to wykorzystanie błędów w implementacji protokołów TCP/IP, UDP lub ICMP przez wysyłanie do ofiary uszkodzonych lub odpowiednio zmodyfikowanych pakietów. Bezpośrednim efektem takich działań mogą być zawieszenie lub restart aplikacji, np. serwera WWW czy pocztowego, zawieszenie lub restart systemu operacyjnego, unieruchomienie routera, za pośrednictwem którego usługi są udostępniane, lub choćby znaczący spadek jakości dostępu do usług.

Zmiana twarzy

Pierwsze raporty o atakach DoS pojawiły się na stronach CERT w 1996 r. Początkowo zamachy były wykonywane za pośrednictwem jednego komputera, podłączonego do Internetu szybkim łączem. Obecnie atakujący potrafią przejąć kontrolę nad kilkuset, a nawet kilkoma tysiącami komputerów (możliwość taką dają konie trojańskie, o których piszemy w oddzielnym artykule) po to, aby w skoordynowany sposób atakować swoje ofiary za ich pośrednictwem. Stąd właśnie wzięła się nazwa: Distributed Denial of Service. "Aby dokonać ataku typu DDoS, włamywacz musi zdobyć kontrolę nad większą liczbą komuterów - najczęściej są to słabo zabezpieczone komputery domowe, podłączone do Internetu poprzez stałe łącza. Budowa sieci to najbardziej pracochłonny etap, jednak raz zbudowana sieć może posłużyć do wielu ataków. Sam atak jest prosty - polega na uruchomieniu odpowiedniego programu i wyborze konkretnej meto- dy ataku i wskazaniu ofiary" - twierdzi Wojciech Dworakowski, dyrektor techniczny w ABA sp. z o.o. z Krakowa.


TOP 200