Bližší pohled na způsoby DDoS

Hlavním tématem včerejšího Živě byly DoS (Denial of Services) útoky. Přestože byla velká část tématu již popsána, na mnohem nebezpečnější distribuované DoS útoky se příliš nedostalo. Jak vlastně fungují? Proč jsou tak nebezpečné?
Petr Hněvkovský: Distribuované Denial of Service (DDoS) útoky používají stejné metody jako tradiční DoS, ale spouští je z několika stovek až tisíců míst najednou. Takový distribuovaný útok je mnohem účinnější než klasický DoS a také mnohem náročnější na obranu právě proto, že není veden z jednoho určitého místa.

Jak DDoS funguje?

Na rozdíl od DoSu je DDoS útok složitější po architektonické stránce, kde se využívá víceúrovňové řízení útoku. Každá taková úroveň zahrnuje nesouvisející skupinu počítačů, jež má svou určitou roli v celém útoku. V obecném modelu se nainstaluje malý prográmek (zvaný též Agent, Daemon nebo Zombie) na větší skupinu různých systémů. Tím se postupně vytvoří armáda Zombie, která tiše čeká na příkaz k útoku od řídící stanice – Mastera. Master je útočníkem řízený systém, který na jeho příkaz vyšle jasné instrukce Zombie systémům, na jaký cíl (IP adresu) mají spustit DoS atak.

Klepněte pro větší obrázek

Určitě se teď ptáte, jak ale útočník nainstaluje Zombie na stovky až tisíce systémů, aby si vytvořil svou spící armádu. Jelikož je celý systém DDoS útoku poměrně složitý a právě část vytvoření Zombie armády technicky a časově nejnáročnější, byly vytvořeny celé sady nástrojů, které za vás tuto špinavou práci vykonají. Stačí si pouze stáhnout některý z těchto nástrojů z Internetu. Po instalaci určit rozsah IP adres, kde sám vyzkouší „děravost“ systémů a na vhodné z nich pak umístí Zombie. Poté již stačí zadat adresu cíle, kterou Zombie v jednom okamžiku současně napadnou. Podívejme se na jednotlivé typy DDoS útoků, z nichž velká část pochází z rukou hackera jménem Mixter.

TFN neboli Tribal Flood Network

TFN byl první viditelný DDoS útok. Používá dvojúrovňovou architekturu, kde útočník přímo ovládá skupinu Zombie. Té dává instrukce, jaký je cíl a také jaký typ útoku bude použit. Jeho škála munice je poměrně slušná: SYN Flood, Ping Flood, UDP Bomb a Smurf. Samozřejmostí je spoofing neboli padělání zdrojové IP adresy. Komunikace mezi řídícím systémem a Zombie probíhá pomocí ICMP ECHO a ICMP ECHO REPLY paketů.

TFN na druhou

TFN2K je pozdější vylepšenou verzí původního TFN, ke kterému přidává DoS útoky Targa3 a Mix. Hlavní novinkou je rozšířená možnost komunikace pomocí kombinace TCP, UDP a ICMP paketů. Komunikace je navíc zašifrovaná pomocí CAST šifry, což ještě více znesnadňuje zjištění přípravy takového útoku v síti a pokud je objeven, odvádí vaši pozornost na smyšlené cíle pomocí podvržených „lákavých“ paketů.

Trin00

Trin00 se posunul až k tříúrovňové architektuře, kde mezi útočníka a Zombie přidává ještě jednu úroveň řízení – Mastera. Útočník řídí malou skupinu Masterů pomocí TCP na portu 27665, ty pak komunikují na portu 27444 přes UDP se Zombie a ty už vykonají své.

Klepněte pro větší obrázek

Tyto porty jsou nejčastější, přesto je prosím berte s rezervou, jelikož existuje minimálně jedna obměna s porty 1524 TCP a 31335 UDP. Tříúrovňová architektura je sice zajímavá a určitě znesnadní trasování útočníka, celkově je však Trin00 poměrně omezený, jelikož nepoužívá žádnou technologii maskování komunikace ani zdrojových adres. Dále je limitován znalostí pouze jednoho typu DoS útoku, takže namísto variace jako u TFN používá pouze UDP Flood.

Ostnatý drát neboli Stacheldraht

Stacheldraht je opravdu pichlavá zbraň. Poučil se ze všech předchozích a zkombinoval jejich kvality. Z velké části funguje jako TFN, má stejnou sadu DoS ataků a podporuje spoofing. Z Trin00 použil tři úrovně komunikace a ty šifruje podobně jako TFN2K.

Navíc v novějších verzích podporuje možnost maskování své přítomnosti a vlastní komunikace, která probíhá dle vlastních pravidel pomocí různých protokolů na náhodných portech. Nejnovější verze Stacheldrahtu v sobě dokonce obsahuje možnost automatického update známou spíše u antivirů.

...a další jsou na cestě

Na rozdíl od Fapi a blitznet útoků, které již pomalu upadly v zapomnění, existují další a novější verze DDoS nástrojů. Výše popsané útoky jsou asi nejznámější a také nejpoužívanější. Bohužel však nejsou poslední a stejně jako v případě Stacheldrahtu nové většinou vznikají na jejich základech, ke kterým přidávají další vrstvy, útoky, šifrování a jiná vylepšení oproti původním verzím. Mezi takové patří spank, Trank, shaft a další.

Je možné se vůbec bránit?

Při jednom z testů bylo zjištěno, že je možné jedním automatickým nástrojem zjistit zranitelné místo systému a skrze něj nainstalovat Zombie během 5 vteřin, tzn. několik tisíc během jedné hodiny. To už je slušná armáda Zombie, která je nebezpečná právě svou početností. Správně nakonfigurovaný systém se totiž dokáže standardnímu DoS útoku ubránit, byť ho to může lehce zpomalit, ale síle tisíců útočících systémů najednou se sám o sobě neubrání nikdy.

Co se týče základů obrany platí obecná pravidla ochrany proti DoS, na které si vás opět dovolím odkázat na minulé číslo Connect!u, tentokrát na článek „Braňte se! Jak na to?“. Než začnete válku s útočníkem, navrhuji ještě jedno šalamounské řešení, které může překvapivě jednoduše odrazit celý útok.

Na prvním vstupním zařízení sítě, směrovači, je možné nastavit pravidlo, které nepustí žádný první paket z jakékoli IP adresy. Takové pravidlo sice nepomůže u DoS ataku, ale u DDoS, kde se v drtivé většině případů falšují zdrojové adresy, a ty se používají pouze jednou, je neuvěřitelně účinné. Toto pravidlo je dokonce možné mít zapnuté neustále, protože robustnost TCP zajistí u legitimního spojení poslání prvního paketu podruhé. Přesto ho raději doporučuji pouze jako připravené neaktivní pravidlo, které lze zapnout na požádání.

Stejně jako u tohoto řešení je důležité klást největší důraz na anti-spoof ochranu na vstupních zařízeních. Nezapomeňte sledovat podivné události v logu vašeho firewallu, i když vhodnější je nechat takovou práci systémům na detekci průniku a vyhledávání zranitelnosti.

Právě tyto systémy jsou velmi důležité v přípravné fázi útoku, kdy systém detekce průniku sleduje podezřelý síťový provoz (kupř. hledání vhodných systémů pro Zombie nebo komunikaci Master-Zombie). Kdežto skener zranitelnosti nejen vyhledává bezpečnostní díry operačního systému, ale je také schopen vypátrat na napadnutých systémech spící Zombie. Je zajímavé, že i některé přední antiviry fungují jako skenery zranitelnosti, jelikož jsou také schopné identifikovat Zombie kód v napadených systémech a odstranit jej dříve, než je vydán příkaz k útoku.

V poslední řadě nezapomeňte na váš krizový tým, krizový plán a hlavně na kvalitní krizový kontakt na vašeho poskytovatele připojení, protože zahájenou bitvu můžete vyhrát, ale ne sám bez cizí pomoci.

Slovníček

Systém - v článku je použit termín systém, který označuje počítač většinou se Solaris nebo obdobným unixovým operačním systémem; v poslední době se objevily i varianty využívající Windows NT

Útočník - označení osoby útočníka (hackera) nebo jeho systému, který používá pro instalaci, spuštění nebo řízení DDoS útoku

Zombie - funkční systém v Síti napadený útočníkovým prográmkem, který zůstává nečinný dokud nedostane instrukce k útoku

Master - další kompromitovaný systém v Síti využívaný v tříúrovňovém řízení útoku, má na starost získání co největšího počtu Zombie, a také zajišťuje komunikaci mezi útočníkem a jeho rekrutovanými Zombie

IP spoofing - posílání IP paketů s falšovanou zdrojovou IP adresou

ICMP - Internet Control Message Protocol; součást IP sloužící převážně ke zjištění stavu a dostupnosti síťových zařízení; nejznámější použití je příkaz PING

CAST - symetrická šifra s proměnným klíčem o délce 40 až 128 bitů; CAST šifruje po 64bitových blocích obdobně jako DES, ale je třikrát rychlejší; Entrust vlastní licenci, kterou uvolnil zdarma k použití v roce 1997

Odkazy:

Váš názor Další článek: Chystá se USB s velkými proudy a napětím

Témata článku: Windows, DDoS, Útočník, Cizí pomoc, Cílové zařízení, Vhodný systém, Útok, Využívající windows, Ping, Původní úroveň, Daemon, Nejznámější systém, Master, Stejná zranitelnost, Celý útok, Nejpoužívanější síť, Způsob, Zombie, Největší slabina, Veřejná databáze, Pingu, Nejznámější použití, Slušná armáda, Cast, Složité pravidlo



Izrael díky speciální kamufláži zařídil pro své vojáky „neviditelnost“

Izrael díky speciální kamufláži zařídil pro své vojáky „neviditelnost“

** Materiál „Kit 300“ představuje vizuální i termální kamufláž ** Dokáže zablokovat tepelné vyzařování maskovaného vojáka či třeba stroje ** Velký kus materiálu Kit 300 může ukrýt vozidlo až do velikosti Hummeru

Stanislav Mihulka
IzraelMateriálArmáda
Nejlepší filmy na Netflixu v roce 2021. Všechny mají český dabing nebo titulky

Nejlepší filmy na Netflixu v roce 2021. Všechny mají český dabing nebo titulky

Tyto filmy byly v roce 2021 na českém Netflixu nejoblíbenější. Nerozlišujeme žánr, stáří ani hodnocení na filmových webech. Jde o oblíbenost, kterou sleduje web FlixPatrol a počítá z ní souhrnné žebříčky.

Ondřej Králík
Netflix
Lék proti depresi za stokorunu snižuje riziko těžkého průběhu i úmrtí na onemocnění covid-19

Lék proti depresi za stokorunu snižuje riziko těžkého průběhu i úmrtí na onemocnění covid-19

** Klinická studie zkoumala vliv antidepresiva fluvoxamin na covid-19 ** Počet úmrtí souvisejících s covidem-19 klesl zhruba o 90 % ** Potřeba intenzivní lékařské péče se snížila zhruba o 65 %

Karel Kilián
COVID-19LékyDepreseMedicína
Rusko obviňuje astronautku NASA ze sabotáže Mezinárodní vesmírné stanice
Jiří Černý
Mezinárodní vesmírná staniceNASARusko