Bližší pohled na způsoby DDoS

Hlavním tématem včerejšího Živě byly DoS (Denial of Services) útoky. Přestože byla velká část tématu již popsána, na mnohem nebezpečnější distribuované DoS útoky se příliš nedostalo. Jak vlastně fungují? Proč jsou tak nebezpečné?
Petr Hněvkovský: Distribuované Denial of Service (DDoS) útoky používají stejné metody jako tradiční DoS, ale spouští je z několika stovek až tisíců míst najednou. Takový distribuovaný útok je mnohem účinnější než klasický DoS a také mnohem náročnější na obranu právě proto, že není veden z jednoho určitého místa.

Jak DDoS funguje?

Na rozdíl od DoSu je DDoS útok složitější po architektonické stránce, kde se využívá víceúrovňové řízení útoku. Každá taková úroveň zahrnuje nesouvisející skupinu počítačů, jež má svou určitou roli v celém útoku. V obecném modelu se nainstaluje malý prográmek (zvaný též Agent, Daemon nebo Zombie) na větší skupinu různých systémů. Tím se postupně vytvoří armáda Zombie, která tiše čeká na příkaz k útoku od řídící stanice – Mastera. Master je útočníkem řízený systém, který na jeho příkaz vyšle jasné instrukce Zombie systémům, na jaký cíl (IP adresu) mají spustit DoS atak.

Klepněte pro větší obrázek

Určitě se teď ptáte, jak ale útočník nainstaluje Zombie na stovky až tisíce systémů, aby si vytvořil svou spící armádu. Jelikož je celý systém DDoS útoku poměrně složitý a právě část vytvoření Zombie armády technicky a časově nejnáročnější, byly vytvořeny celé sady nástrojů, které za vás tuto špinavou práci vykonají. Stačí si pouze stáhnout některý z těchto nástrojů z Internetu. Po instalaci určit rozsah IP adres, kde sám vyzkouší „děravost“ systémů a na vhodné z nich pak umístí Zombie. Poté již stačí zadat adresu cíle, kterou Zombie v jednom okamžiku současně napadnou. Podívejme se na jednotlivé typy DDoS útoků, z nichž velká část pochází z rukou hackera jménem Mixter.

TFN neboli Tribal Flood Network

TFN byl první viditelný DDoS útok. Používá dvojúrovňovou architekturu, kde útočník přímo ovládá skupinu Zombie. Té dává instrukce, jaký je cíl a také jaký typ útoku bude použit. Jeho škála munice je poměrně slušná: SYN Flood, Ping Flood, UDP Bomb a Smurf. Samozřejmostí je spoofing neboli padělání zdrojové IP adresy. Komunikace mezi řídícím systémem a Zombie probíhá pomocí ICMP ECHO a ICMP ECHO REPLY paketů.

TFN na druhou

TFN2K je pozdější vylepšenou verzí původního TFN, ke kterému přidává DoS útoky Targa3 a Mix. Hlavní novinkou je rozšířená možnost komunikace pomocí kombinace TCP, UDP a ICMP paketů. Komunikace je navíc zašifrovaná pomocí CAST šifry, což ještě více znesnadňuje zjištění přípravy takového útoku v síti a pokud je objeven, odvádí vaši pozornost na smyšlené cíle pomocí podvržených „lákavých“ paketů.

Trin00

Trin00 se posunul až k tříúrovňové architektuře, kde mezi útočníka a Zombie přidává ještě jednu úroveň řízení – Mastera. Útočník řídí malou skupinu Masterů pomocí TCP na portu 27665, ty pak komunikují na portu 27444 přes UDP se Zombie a ty už vykonají své.

Klepněte pro větší obrázek

Tyto porty jsou nejčastější, přesto je prosím berte s rezervou, jelikož existuje minimálně jedna obměna s porty 1524 TCP a 31335 UDP. Tříúrovňová architektura je sice zajímavá a určitě znesnadní trasování útočníka, celkově je však Trin00 poměrně omezený, jelikož nepoužívá žádnou technologii maskování komunikace ani zdrojových adres. Dále je limitován znalostí pouze jednoho typu DoS útoku, takže namísto variace jako u TFN používá pouze UDP Flood.

Ostnatý drát neboli Stacheldraht

Stacheldraht je opravdu pichlavá zbraň. Poučil se ze všech předchozích a zkombinoval jejich kvality. Z velké části funguje jako TFN, má stejnou sadu DoS ataků a podporuje spoofing. Z Trin00 použil tři úrovně komunikace a ty šifruje podobně jako TFN2K.

Navíc v novějších verzích podporuje možnost maskování své přítomnosti a vlastní komunikace, která probíhá dle vlastních pravidel pomocí různých protokolů na náhodných portech. Nejnovější verze Stacheldrahtu v sobě dokonce obsahuje možnost automatického update známou spíše u antivirů.

...a další jsou na cestě

Na rozdíl od Fapi a blitznet útoků, které již pomalu upadly v zapomnění, existují další a novější verze DDoS nástrojů. Výše popsané útoky jsou asi nejznámější a také nejpoužívanější. Bohužel však nejsou poslední a stejně jako v případě Stacheldrahtu nové většinou vznikají na jejich základech, ke kterým přidávají další vrstvy, útoky, šifrování a jiná vylepšení oproti původním verzím. Mezi takové patří spank, Trank, shaft a další.

Je možné se vůbec bránit?

Při jednom z testů bylo zjištěno, že je možné jedním automatickým nástrojem zjistit zranitelné místo systému a skrze něj nainstalovat Zombie během 5 vteřin, tzn. několik tisíc během jedné hodiny. To už je slušná armáda Zombie, která je nebezpečná právě svou početností. Správně nakonfigurovaný systém se totiž dokáže standardnímu DoS útoku ubránit, byť ho to může lehce zpomalit, ale síle tisíců útočících systémů najednou se sám o sobě neubrání nikdy.

Co se týče základů obrany platí obecná pravidla ochrany proti DoS, na které si vás opět dovolím odkázat na minulé číslo Connect!u, tentokrát na článek „Braňte se! Jak na to?“. Než začnete válku s útočníkem, navrhuji ještě jedno šalamounské řešení, které může překvapivě jednoduše odrazit celý útok.

Na prvním vstupním zařízení sítě, směrovači, je možné nastavit pravidlo, které nepustí žádný první paket z jakékoli IP adresy. Takové pravidlo sice nepomůže u DoS ataku, ale u DDoS, kde se v drtivé většině případů falšují zdrojové adresy, a ty se používají pouze jednou, je neuvěřitelně účinné. Toto pravidlo je dokonce možné mít zapnuté neustále, protože robustnost TCP zajistí u legitimního spojení poslání prvního paketu podruhé. Přesto ho raději doporučuji pouze jako připravené neaktivní pravidlo, které lze zapnout na požádání.

Stejně jako u tohoto řešení je důležité klást největší důraz na anti-spoof ochranu na vstupních zařízeních. Nezapomeňte sledovat podivné události v logu vašeho firewallu, i když vhodnější je nechat takovou práci systémům na detekci průniku a vyhledávání zranitelnosti.

Právě tyto systémy jsou velmi důležité v přípravné fázi útoku, kdy systém detekce průniku sleduje podezřelý síťový provoz (kupř. hledání vhodných systémů pro Zombie nebo komunikaci Master-Zombie). Kdežto skener zranitelnosti nejen vyhledává bezpečnostní díry operačního systému, ale je také schopen vypátrat na napadnutých systémech spící Zombie. Je zajímavé, že i některé přední antiviry fungují jako skenery zranitelnosti, jelikož jsou také schopné identifikovat Zombie kód v napadených systémech a odstranit jej dříve, než je vydán příkaz k útoku.

V poslední řadě nezapomeňte na váš krizový tým, krizový plán a hlavně na kvalitní krizový kontakt na vašeho poskytovatele připojení, protože zahájenou bitvu můžete vyhrát, ale ne sám bez cizí pomoci.

Slovníček

Systém - v článku je použit termín systém, který označuje počítač většinou se Solaris nebo obdobným unixovým operačním systémem; v poslední době se objevily i varianty využívající Windows NT

Útočník - označení osoby útočníka (hackera) nebo jeho systému, který používá pro instalaci, spuštění nebo řízení DDoS útoku

Zombie - funkční systém v Síti napadený útočníkovým prográmkem, který zůstává nečinný dokud nedostane instrukce k útoku

Master - další kompromitovaný systém v Síti využívaný v tříúrovňovém řízení útoku, má na starost získání co největšího počtu Zombie, a také zajišťuje komunikaci mezi útočníkem a jeho rekrutovanými Zombie

IP spoofing - posílání IP paketů s falšovanou zdrojovou IP adresou

ICMP - Internet Control Message Protocol; součást IP sloužící převážně ke zjištění stavu a dostupnosti síťových zařízení; nejznámější použití je příkaz PING

CAST - symetrická šifra s proměnným klíčem o délce 40 až 128 bitů; CAST šifruje po 64bitových blocích obdobně jako DES, ale je třikrát rychlejší; Entrust vlastní licenci, kterou uvolnil zdarma k použití v roce 1997

Odkazy:

Váš názor Další článek: Chystá se USB s velkými proudy a napětím

Témata článku: Windows, DDoS, Cert, Útok, Složité pravidlo, Slušná armáda, Stejná zranitelnost, Cast, Nejpoužívanější síť, Cílové zařízení, Nejznámější použití, Pingu, Cizí pomoc, Nejznámější systém, Veřejná databáze, Vhodný systém, Ping, Daemon, Původní úroveň, Způsob, Zombie, Využívající windows, Útočník, Master, Pohled


Určitě si přečtěte

Apple Macbook Air M1: testujeme výkon, výdrž, a hlavně kompatibilitu aplikací [průběžně aktualizováno]

Apple Macbook Air M1: testujeme výkon, výdrž, a hlavně kompatibilitu aplikací [průběžně aktualizováno]

** Testujeme Apple Macbook Air s procesorem M1 ** Zajímá nás nejen výkon, ale zejména kompatibilita aplikací ** Článek je průběžně doplňován na základě vašich dotazů

Jiří Kuruc | 206

Jiří Kuruc
Apple
Cableporn: Podívejte se na úžasná díla umělců z podnikových serveroven

Cableporn: Podívejte se na úžasná díla umělců z podnikových serveroven

** Uspořádání kabelů můžete vnímat i jako podivný druh umění ** To nejkrásnější se skrývá v datacentrech a serverovnách ** Podívejte se na skutečné „cableporn“ z optiky i kroucené dvojlinky

Vojtěch Malý | 52

Vojtěch Malý
DatacentraServery
26 užitečných rozšíření pro Chrome: Naučte prohlížeč nové věci

26 užitečných rozšíření pro Chrome: Naučte prohlížeč nové věci

** Prohlížeč Chrome obsahuje širokou škálu funkcí, neumí ale všechno ** Jeho schopnosti můžete rozšířit pomocí rozšíření ** Vybrali jsme pro vás zajímavé a užitečné doplňky

Karel Kilián | 44

Karel Kilián
Doplňky do prohlížečeChromeProhlížeče

Aktuální číslo časopisu Computer

Megatest herních monitorů

Jak zabezpečit mobil v rukou dítěte

Radíme s nákupem grafické karty