V roce 1997 byl kromě nástroje trinoo zveřejněn i nástroj pro SMURF útoky (z původního názvu zdrojového kódu smurf.c), který zneužíval zasílání paketů na broadcastové adresy z podvržené zdrojové IP adresy. Podvržená zdrojová IP adresa byla potom zahlcena odpověďmi na podvržený požadavek. Změny v konfiguracích sítí dnes podobný útok prakticky znemožňují.

Mezi prvními útoky se kromě zmíněných protokolů UDP a ICMP samozřejmě objevoval i protokol TCP a to zejména ve formě tzv. SYN flood. Zahlcení SYN pakety způsobovalo cílovým strojům problémy, protože musely na pakety odpovídat podle specifikace protokolu TCP paketem SYN-ACK a vyčkávat, zda protistrana dokončí třícestný handshake odpovědí paketem ACK. To se ale v případě SYN flood nestane, protože IP adresa je s největší pravděpodobností podvržena. Přesto ale musí cílový stroj určitou dobu vyčkávat na odpověď a alokovat pro toto vyčkávání zdroje, což může vést až k úplnému vyčerpání zdrojů a stroj přestane nová spojení navazovat.

Záměrně zde není dán prostor DoS útokům založeným na zneužití konkrétní zranitelnosti. Nástrojů jako Winnuke vznikalo více a zneužívaly zranitelnosti aplikací nebo operačních systémů pro navození DoS stavu. Jejich eliminaci postačilo buď aktualizovat daný systém, nebo je blokovat na úrovni signatury na IPS systémech.

Současnost DoS útoků

Podobně jako v případě vývoje malwaru i DoS útoky byly z počátku nástrojem nadšenců, většinou bez touhy po přímém finančním zisku. DoS jako služba začal být nabízen v roce 2004 a během několika let se stal velmi oblíbeným využitím existujících botnetů (druhým nejoblíbenějším ihned po spamu) [3]. Poskytování DoS služeb s určitým poklesem v letech 2008 až 2009 pokračuje dodnes s přímočarým byznys modelem – cena za délku a sílu útoku. Výrazně může navýšit cenu specializovaný požadavek jako např. geografická vymezenost botnetu (Chcete útok ze strojů pouze v ČR? Tak si připlaťte).

Základní stavební kameny DoS útoků se výrazně nezměnily, stále jsou využívány různé druhy zahlcení. Ve vrstvách OSI modelu se některé typy útoků posunuly až na aplikační vrstvu, což se týká zejména protokolu http. Populární jsou varianty na tzv. slow útoky, během kterých útočníci buď pomalu zasílají vlastní požadavek (http request) nebo pomalu stahují odezvu serveru (http response) s cílem vyčerpat maximální počet spojení na serveru a tak ho znepřístupnit validním uživatelům. Varianty na tyto útoky se jmenují slowloris, Slow POST nebo Slow Read [4]

Obr. 1: Objednávka DoS útoku z roku 2012 po ICQ s platbou přes již dnes neexistující Liberty Reserve.

V případě původního UDP floodu se změnil převážně způsob jeho generování. Smyslem útoku je vygenerovat více provozu, než kolik zvládne linka cíle. Pro generování dostatečného množství provozu jsou navíc často využívány veřejně dostupné služby náhodných strojů v internetu pro efekt tzv. reflection (odraz) a amplification (zesílení). Útočník pošle požadavek z podvržené adresy, která je ve skutečnosti adresou cíle útoku, na veřejně dostupnou UDP službu. Služba odpoví vlastním paketem na adresu cíle (útočník vlastně odrazil útok o veřejně dostupnou službu), odpověď je ideálně ještě výrazně větší než byl původní paket útočníka (násobné zesílení útoku). Útočníkovi takto přicházejí pakety od validních služeb z Internetu a zahlcují mu pásmo.

Události z jara 2013 navíc jasně ukázali, že ani útoky typu SYN flood nejsou zdaleka minulostí. Pomocí klasického SYN floodu s podvrženými zdrojovými IP adresami (podvrženými tak, aby vypadaly jako z ČR) byl útočník schopen plně vyřadit nebo silně omezit i ty největší organizace v ČR, myšleno z pohledu konektivity a poskytování online služeb.

Budoucnost DoS útoků

Pro odraz a zesílení byla velmi populární služba DNS, následovalo využívání služby NTP, popř. kombinace obojího. Zatím největší útok generovaný těmito metodami se pohyboval na úrovni 300Gbps a jednalo se o útoky spojené se jménem Spamhaus [5]. Možnost zneužít DNS a NTP služby je často zapříčiněna chybnou konfigurací a důsledkem útoků bývá i to, že jsou administrátoři služeb upozorňováni, ať konfiguraci upraví a do budoucna podobnému zneužití zamezí. Proto je populární vyhledávání nových možnosti pro vytváření odrazů a zesílení DoS útoků.

V posledních dnech se velmi diskutuje možnost zneužití služby UPnP pro DoS útoky, resp. služby SSDP [6]. To by znamenalo možnost zneužít velké množství (zatím bylo podle citované zprávy nalezeno přes 4 miliony zařízení) domácích zařízení pro podobné typy útoků. Oprava konfigurace nebo aktualizace domácích zařízení jsou dlouhodobým problémem a proto by tento typ DoS mohl být útočníkům k dispozici po velmi dlouho dobu. Zneužití tohoto protokolu navíc nabízí až třiceti násobné zesílení útoku (tzn., útočník s linkou 1Mbps vygeneruje útok o síle 30Mbps).

SYN flood se také bude nadále využívat. I přesto, že se jedná o velmi starou techniku, byly v těchto týdnech zaznamenány změny v jeho použití. Namísto běžně využívaných SYN paketů o velikosti 40-60B útočníci je velikost paketu cca 1kB. Toto zásadní navýšení velikosti má za následek kombinaci klasického SYN floodu mířícího na vyčerpání zdrojů síťových zařízení nebo serverů se zahlcením linky. V rámci trendu pojmenovávání útoků a exploitů byl tento útok pojmenován Tsunami [7].

Robert Šefr

Použité a citované zdroje:

• [1] defense.net (online) [cit. 2014-10-20],
• [2] DITTRICH, David. The DoS Project's "trinoo" distributed denial of service attack tool [cit. 2014-10-20],
• [3] ABLON, Lillian; LIBICKI, Martin; GOLAY, Andrea, „Markets for Cybercrime Tools and Stolen Data“ [cit. 2014-10-20],
• [4] code.google.com (online) [cit. 2014-10-20],
• [5] VAAS, Lisa. Schoolboy arrested over Spamhaus DDoS, world's biggest cyber attack (online) [cit. 2014-10-20],
• [6] KHANDELWAL, Swati. Reflection DDoS Attacks Using Millions of UPnP Devices on the Rise (online) [cit. 2014-10-20],
• [7] PAGANINI, Pierluigi. Tsunami SYN-Flood DDoS Attack, a dangerous trend (online) [cit. 2014-10-20],