facebook LinkedIN LinkedIN - follow
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přihlášení SystemNEWSPřehledy
 
Tematické seriály

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 
Nové!

RPA - automatizace procesů

Softwaroví roboti automatizují obchodní procesy.

články >>

 
Nové!

IoT – internet věcí

Internet věcí a jeho uplatnění napříč obory.

články >>

 
Nové!

VR – virtuální realita

Praktické využití virtuální reality ve službách i podnikových aplikacích.

články >>

 
Nové!

Bankovní identita (BankID)

K službám eGovernmentu přímo z internetového bankovnictví.

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
 
Partneři webu
IT SYSTEMS 11/2014 , IT Security

Historie, současnost a budoucnost DoS útoků



ComguardMezi první dokumentované DoS útoky patří ICMP flood roku 1989 [1]. Jednoduché zahlcení pomocí pingu stačilo pro znepřístupnění cílové služby. I během dalších let se objevovali další útoky, spíše ale jako technologické pokusy bez většího zájmu médií. Prvním větším milníkem v historii DoS útoků byl únor roku 2000, kdy byla zasažena stránka Yahoo! Použitým nástrojem byl software trinoo (nebo také trin00), který z několika infikovaných strojů spouští UDP flood na cílový stroj [2]. Samotný software trinoo byl zveřejněn roku 1997 a jednalo se o první veřejně dostupný nástroj na útoky typu DoS. Trinoo se tedy dá považovat za jeden z prvních DDoS botnetů.


V roce 1997 byl kromě nástroje trinoo zveřejněn i nástroj pro SMURF útoky (z původního názvu zdrojového kódu smurf.c), který zneužíval zasílání paketů na broadcastové adresy z podvržené zdrojové IP adresy. Podvržená zdrojová IP adresa byla potom zahlcena odpověďmi na podvržený požadavek. Změny v konfiguracích sítí dnes podobný útok prakticky znemožňují.

Mezi prvními útoky se kromě zmíněných protokolů UDP a ICMP samozřejmě objevoval i protokol TCP a to zejména ve formě tzv. SYN flood. Zahlcení SYN pakety způsobovalo cílovým strojům problémy, protože musely na pakety odpovídat podle specifikace protokolu TCP paketem SYN-ACK a vyčkávat, zda protistrana dokončí třícestný handshake odpovědí paketem ACK. To se ale v případě SYN flood nestane, protože IP adresa je s největší pravděpodobností podvržena. Přesto ale musí cílový stroj určitou dobu vyčkávat na odpověď a alokovat pro toto vyčkávání zdroje, což může vést až k úplnému vyčerpání zdrojů a stroj přestane nová spojení navazovat.

Záměrně zde není dán prostor DoS útokům založeným na zneužití konkrétní zranitelnosti. Nástrojů jako Winnuke vznikalo více a zneužívaly zranitelnosti aplikací nebo operačních systémů pro navození DoS stavu. Jejich eliminaci postačilo buď aktualizovat daný systém, nebo je blokovat na úrovni signatury na IPS systémech.

Současnost DoS útoků

Podobně jako v případě vývoje malwaru i DoS útoky byly z počátku nástrojem nadšenců, většinou bez touhy po přímém finančním zisku. DoS jako služba začal být nabízen v roce 2004 a během několika let se stal velmi oblíbeným využitím existujících botnetů (druhým nejoblíbenějším ihned po spamu) [3]. Poskytování DoS služeb s určitým poklesem v letech 2008 až 2009 pokračuje dodnes s přímočarým byznys modelem – cena za délku a sílu útoku. Výrazně může navýšit cenu specializovaný požadavek jako např. geografická vymezenost botnetu (Chcete útok ze strojů pouze v ČR? Tak si připlaťte).

Základní stavební kameny DoS útoků se výrazně nezměnily, stále jsou využívány různé druhy zahlcení. Ve vrstvách OSI modelu se některé typy útoků posunuly až na aplikační vrstvu, což se týká zejména protokolu http. Populární jsou varianty na tzv. slow útoky, během kterých útočníci buď pomalu zasílají vlastní požadavek (http request) nebo pomalu stahují odezvu serveru (http response) s cílem vyčerpat maximální počet spojení na serveru a tak ho znepřístupnit validním uživatelům. Varianty na tyto útoky se jmenují slowloris, Slow POST nebo Slow Read [4]

Obr. 1: Objednávka DoS útoku z roku 2012 po ICQ s platbou přes již dnes neexistující Liberty Reserve.
Obr. 1: Objednávka DoS útoku z roku 2012 po ICQ s platbou přes již dnes neexistující Liberty Reserve.

V případě původního UDP floodu se změnil převážně způsob jeho generování. Smyslem útoku je vygenerovat více provozu, než kolik zvládne linka cíle. Pro generování dostatečného množství provozu jsou navíc často využívány veřejně dostupné služby náhodných strojů v internetu pro efekt tzv. reflection (odraz) a amplification (zesílení). Útočník pošle požadavek z podvržené adresy, která je ve skutečnosti adresou cíle útoku, na veřejně dostupnou UDP službu. Služba odpoví vlastním paketem na adresu cíle (útočník vlastně odrazil útok o veřejně dostupnou službu), odpověď je ideálně ještě výrazně větší než byl původní paket útočníka (násobné zesílení útoku). Útočníkovi takto přicházejí pakety od validních služeb z Internetu a zahlcují mu pásmo.

Události z jara 2013 navíc jasně ukázali, že ani útoky typu SYN flood nejsou zdaleka minulostí. Pomocí klasického SYN floodu s podvrženými zdrojovými IP adresami (podvrženými tak, aby vypadaly jako z ČR) byl útočník schopen plně vyřadit nebo silně omezit i ty největší organizace v ČR, myšleno z pohledu konektivity a poskytování online služeb.

Budoucnost DoS útoků

Pro odraz a zesílení byla velmi populární služba DNS, následovalo využívání služby NTP, popř. kombinace obojího. Zatím největší útok generovaný těmito metodami se pohyboval na úrovni 300Gbps a jednalo se o útoky spojené se jménem Spamhaus [5]. Možnost zneužít DNS a NTP služby je často zapříčiněna chybnou konfigurací a důsledkem útoků bývá i to, že jsou administrátoři služeb upozorňováni, ať konfiguraci upraví a do budoucna podobnému zneužití zamezí. Proto je populární vyhledávání nových možnosti pro vytváření odrazů a zesílení DoS útoků.

V posledních dnech se velmi diskutuje možnost zneužití služby UPnP pro DoS útoky, resp. služby SSDP [6]. To by znamenalo možnost zneužít velké množství (zatím bylo podle citované zprávy nalezeno přes 4 miliony zařízení) domácích zařízení pro podobné typy útoků. Oprava konfigurace nebo aktualizace domácích zařízení jsou dlouhodobým problémem a proto by tento typ DoS mohl být útočníkům k dispozici po velmi dlouho dobu. Zneužití tohoto protokolu navíc nabízí až třiceti násobné zesílení útoku (tzn., útočník s linkou 1Mbps vygeneruje útok o síle 30Mbps).

SYN flood se také bude nadále využívat. I přesto, že se jedná o velmi starou techniku, byly v těchto týdnech zaznamenány změny v jeho použití. Namísto běžně využívaných SYN paketů o velikosti 40-60B útočníci je velikost paketu cca 1kB. Toto zásadní navýšení velikosti má za následek kombinaci klasického SYN floodu mířícího na vyčerpání zdrojů síťových zařízení nebo serverů se zahlcením linky. V rámci trendu pojmenovávání útoků a exploitů byl tento útok pojmenován Tsunami [7].

Robert Šefr

Autor článku, Robert Šefr, působí ve společnosti COMGUARD s.r.o.

Použité a citované zdroje:

  • [1] defense.net (online) [cit. 2014-10-20],
  • [2] DITTRICH, David. The DoS Project's "trinoo" distributed denial of service attack tool [cit. 2014-10-20],
  • [3] ABLON, Lillian; LIBICKI, Martin; GOLAY, Andrea, „Markets for Cybercrime Tools and Stolen Data“ [cit. 2014-10-20],
  • [4] code.google.com (online) [cit. 2014-10-20],
  • [5] VAAS, Lisa. Schoolboy arrested over Spamhaus DDoS, world's biggest cyber attack (online) [cit. 2014-10-20],
  • [6] KHANDELWAL, Swati. Reflection DDoS Attacks Using Millions of UPnP Devices on the Rise (online) [cit. 2014-10-20],
  • [7] PAGANINI, Pierluigi. Tsunami SYN-Flood DDoS Attack, a dangerous trend (online) [cit. 2014-10-20],
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

idGuard je přesnější než lidské oko

Ověří identitu klientů během 2 minut

idGuardŘada firem musí ze zákona ověřo­vat identitu svých zákazníků. Přes­tože jde především o finanční insti­tuce, s identifikací zákazníků se musí v dnešním digitálním světě po­týkat spousta dalších společností. To vše za vás přitom už dnes může obstarat aplikace. Není potřeba posílat klienty na pobočku, všechno jde vyřešit z pohodlí domova.