Denial of Service Attack
29. Květen 2000, 00:00 (7448x zobrazeno)
1. Co je to DoS útok, typy těchto útoků a možná obrana proti nim
Útok typu "odmítnutí služby" (DoS attack) je útokem, který je namířený proti serveru (resp. celé síti) připojenému k Internetu. Jeho cílem je ochromení provozu tohoto serveru na základě zvýšení počtu přicházejících požadavků na obsloužení. Příkladem takového útoku je útok, při kterém hacker spustí program generující nějaká nesmyslná data, která jsou posílána na server. Server (nebo i celá síť providera) je pak zahlcen těmito přicházejícími daty a již není schopen reagovat na požadavky řádných uživatelů. V horším případě může dojít až k úplnému zhavarování a zhroucení. Někdy se stává, že primárním cílen není zhavarování serveru, ale že DoS útok je použit hackerem pouze jako doplňková akce sloužící například pro zametení stop, restartování vzdáleného počítače apod. Podle způsobu provedení můžeme DoS útoky obecně rozdělit do tří skupin a sice na:
- Útoky, které využívají chyb v implementaci TCP/IP (Ping of Death, Teardrops Attacks)
- Útoky, které využívají nedokonalostí a nedostatků ve specifikaci TCP/IP (SYN attack, Land attack)
- Útoky hrubou silou (Smurf attack)
1.1 Útoky, které využívají chyb v implementaci TCP/IP
Ping of Death Příkaz (utilita) ping se běžne používá pro zjištění toho zda vzdálený server pracuje. Hacker použije příkaz Ping pro vytvoření IP paketu, který je větší než maximum povolené ve specifikaci IP protokolu (65 536 bajtů). Tento abnormálně velký paket je pak poslán do cizí sítě. To může způsobit havárii, zamrznutí nebo restart celého systému. Tento útok je poměrně starý a všichni výrobci operačních systémů poskytují opravy, záplaty, které si s tímto typem útoku poradí.
Teardrops Attacks Novější typ útoku, který využívá slabosti při opětovném sestavovování fragmentů IP paketu. Během své cesty po Internetu může být IP datagram rozdělen do menších kusů. Každý kus vypadá jako původní IP paket až na to, že obsahuje položku offset která říká například "Tento fragment nese bajty od 600 do 800 původního IP paketu". Teardrop program vytváří sérii IP fragmentů s překrývajícími se položkami ofsetů. Když jsou tyto fragmenty opětovně sestavovány na cílovém počítači některé systémy zhavarujím zamrznou nebo se restarují.
1.2 Útoky, které využívají nedokonalostí a nedostatků ve specifikaci TCP/IP
SYN attack Tento útok využívá toho jakým způsobem se pomocí protokolu TCP/IP navazuje spojení. Proces navazování spojení se označuje jako tzv. "třífázový handshaking" (three way handshake). Celé to funguje zhruba takto: Aplikace, která inicializuje session (tj. chce posílat data, komunikovat) posílá příjemci synchronizační paket SYN. Příjemce posílá zpátky potvrzovací paket TCP SYN-ACK, na který iniciátor odpovídá potvrzovacím paketem ACK. Po takovémto navázání komunikace jsou aplikace připraveny posílat a přijímat data.
Při SYN útoku zaplavuje hacker cílový systém sériem TCP SYN paketů. KAždý paket způsobuje to, že cílový systém pošle odpověď SYN ACK. Zatímco cílový systém čeká na ACK které následují za SYN-ACK, zařadí všechny nevyřízené SYN-ACK odpovědi do fronty (tzv. backlog queue) Tato fronta má omezenou délku, obvykle docela malou. Jakmile je fronta plná, system začne ignorovat všechny příchozí SYN požadavky. Pakety SYN-ACK jsou vyrazeny z fronty pouze když přijde zpět ACK nebo když interní časovač (který je nastaven na relativně dlouhé intervaly) ukončí celý proces navazování komunikace. Celý útok je "vylepšen tím", že v záhlaví příchozích SYN paketů je uvedena špatná nebo neplatná IP adresa. Všechny odpovědi SYN-ACK jsou posílány na tuto adresu, což zaručuje , že odpověď na SYN-ACK nikdy zpátky nepřijde. Tak se tedy vytvoří fronta objednávek, která je vždycky plná, což téměř znemožní se legitimním TCP SYN požadavkům dostat do systému.
Land attack Jednoduchý hybrid SYN útoku - hackeři zaplaví SYN pakety do sítě s předstíranou (zfalšovanou) zdrojovou IP adresou cílového systému. Ačkoliv tento typ útoku je nový většina výrobců OS poskytuje opravy řešící tento problém. Jiním způsobem jak ochránit síť před Land útokem je mít firewall, který odfiltrovává všechny příchozí pakety s neplatnými IP adresami. Pakety které přicházejí do vašeho systému se zdrojovými IP adresami která je identifikuje jako že jsou generované z interního systému jsou zřejmě špatné. Filtrování paketů výrazně neutralizuje vystavení sítě tomuto typu útoku.
1.3 Útoky hrubou silou
Smurf útok Jedná se o útok hrubou silou zaměřený na vlastnost v IP specifikaci, která je známá jako všeobecné adresování ("direct broadcast addressing"). Hacker zaplaví router speciálními pakety tzv. "pingy". Poněvadž cílové IP adresy každého paketu jsou broadcast adresou vaší sítě, router bude šířit "pingy" všem počítačům vaší sítě. Pokud máte mnoho stanic, dojde k velkému nárůstu zatížení sítě. Celý útok se dá znásobit ještě tím, že hacker může zfalšovat zdrojovou IP adresu pingů, a odpovědi na tyto pingy mohou zahltit síť odkud pochází předstíraná zdrojová adresa. Vaše síť se pak stane pouze prostředníkem útoku.
Obrana proti tomuto druhu útoku spočívá v tom, že buď můžete vypnout broadcast adresování , tedy za podpředpokladu, že to váš router dovoluje nebo můžete filtrovat "pingy" pomocí firewallu a omezit tak echo provoz na malé procento z celkového provozu sítě.
UDP Flood Při tomto typu útoku hacker pomocí falšování zapne službu, která pro testovací účely generuje sérii znaků pro každý paket, který přijme, spolu s UDP echo službou jiného systému, která také odpovídá na jakýkoliv znak který přijme. Výsledkem je nonstop proud nesmyslných dat mezi dvěma systémy. Abyste zabránili UDP záplavě, můžete buď zakázat všechny UDP služby na každém uzlu vaší sítě nebo aktivovat firewall filtrující všechny příchozí požadavky UDP služeb. Poněvadž UDP služby jsou navrženy pro interní diagnostikování, meli byste vystačit se zákazem přístupu UDP služeb z Internetu. Nedoporučuje se úplný zákaz veškerého UDP provozu, můžete tím totiž odmítnout některé legitimní aplikace jako např. RealAudio, které používá UDP jako svůj transportní mechanismus.
2. Co je to DDoS útok?
Zkratka DDoS znamená "Distributed Denial of Service" a označuje variantu DoS útoku vedeného ne z jednoho počítače, ale souběžně z velkého množství stanic. Slovo velké množství znamená v této souvislosti desítky, stovky a dokonce i tisíce stanic. Co se týká praktické realizace takového útoku, neznamená to, že v danou chvíli sedí u těchto stanic hackeři, nýbrž že na těchto stanicích je nainstalován hackerem nějaký program (tzv. zombie), který se na pokyn hackera aktivuje a zasype oběť přívalem dat.
3. Shrnutí
Existuje několik různých druhů DoS útoků, které mohou být hackery použity pro ochromení provozu serveru nebo celé sítě. Některé z těchto útoků jsou již poměrně dlouho známé a lze se proti nim účinně bránit např aplikováním záplaty do příslušného operačního systému, proti jiným je obrana složitější. A v tom spatřuji také velký problém. Ačkoliv obrana proti těmto útokům je poměrně složitá (nastavování routerů, firewallů apod. )samotný útok může být proveden prakticky kýmkoliv a neklade na hackera v podstatě žádné požadavky co se znalostí týká.Člověk provádějící tento útok, může být úplný počítačová analfabet stačí jen když si stáhne příslušný program pro generování provozu někde na internetu a spustí ho.
4. Dodatek
Po dopsání kapitoly číslo dva, ve které uvádím stručný přehled DoS útoků jsem narazil na popis nového typu DoS útoku.
Útok pomocí DNS Hacker pošle několika DNS serverům množství malých dotazů, ve kterých zfalšuje zdrojovou adresu, tak aby se shodovala s IP adresou systému na který chce podniknout útok. DNS servery odpoví na tyto dotazy velkým množstvím dat, které jsou nasměrovány do cílové sítě dle uvedené zdrojové adresy. Výsledkem je, tak jako v ostatních případech, úplné zahlcení nebo alespoň výrazné omezení konektivity dané sítě.
Líbil se vám článek?
4 (11x hodnoceno)
Přidejte si článek do oblíbených
linkuj.cz
del.icio.us
rss - HOWTOSouvisející články
Komentáře
