Útok typu DoS (denial of service – odepření služby) patří k tomu nejnepříjemnějšímu, co nás může v oblasti informační (ne)bezpečnosti potkat. Špatně se proti němu brání, špatně se zaznamenává, jeho provedení je jednoduché… I samotná jeho podstata je nebezpečně jednoduchá: jde o to, udělat určité zdroje nedostupné oprávněným uživatelům...

Základní informace

Útok DoS mívá zpravidla dvě základní formy. V první přinutí agresor počítač k resetu/restartu anebo ke spotřebování vlastních zdrojů tak, aby dále nemohl poskytovat své služby. Ve druhé zajistí „obsazení“ komunikačního média mezi uživatelem a obětí, aby mezi nimi nemohla být nastolena odpovídající vazba.
DoS útok by se v reálném světě dal přirovnat buď k vyčerpání zdrojů (třeba vyprodání všech dostupných lístků na divadelní představení) nebo k obsazení přístupových komunikací (blokáda, dopravní zácpa). Tyto úkony se přitom dějí nikoliv na základě objektivní skutečnosti, nýbrž na základě subjektivního rozhodnutí útočníka.
Představte si úplně jednoduchou situaci. Máte e-mailovou schránku o určité kapacitě a někdo se rozhodne, že vám ji vyřadí z provozu útokem DoS. Takže do ní začne posílat nepřetržitý proud e-mailů ze své schránky. Ale to by pravděpodobně nestačilo, proud je proto několikanásobný – z mnoha různých schránek (toto je vlastně princip útoku DDoS – distributed DoS). Vy se nejprve pokusíte tyto e-maily odfiltrovat (což je obtížné, pokud útočník dokáže u každého z nich poměrně jednoduchým způsobem zfalšovat parametry, jako je adresa odesílatele nebo předmět zprávy). Možná i zvýšíte velikost schránky, abyste byli schopni se s touto záplavou vypořádat.
Jenomže po krátké chvíli zjistíte, že příval e-mailů sílí a že váš server se s ním není schopen vypořádat – prostě může přijmout třeba deset tisíc e-mailů za hodinu, ale někdo vám jich posílá desetkrát tolik. Server pak devadesát tisíc e-mailů odmítne přijmout – a mezi nimi i regulérní zprávy. Pokud se útok nepodaří zastavit, můžete svoji e-mailovou schránku odepsat, nechat ji napospas útočníkům a založit novou.
Tento příklad je velmi výstižný. Hacker se vaší schránky v podstatě ani nedotkl, a přesto ji vyřadil z provozu. Přitom velkým nebezpečím DoS útoků je právě to, že jsou relativně jednoduché.

Metody útoku

V současné době rozeznáváme čtyři základní způsoby DoS útoků, s nimiž se lze v praxi setkat. První z nich je útok za pomocí obsazení přenosové kapacity. Je to velmi účinná a jednoduchá metoda, kdy dojde k zablokování přístupu k určité službě. Útočník zkrátka vytvoří takový provoz, který plně vytíží přístupovou cestu, čímž vytěsní ostatní (regulérní) uživatele. Jednou z možností je zahltit přístupovou cestu, pokud má útočník k dispozici silnější linku. To je ale spíše vzácnost, a tak k tomu, aby přístup zahltil, nebo alespoň výrazně ztížil, využije několika linek slabších. Druhá varianta je ale zase složitější na koordinaci a znalosti útočníka.
Dalším typem útoku je přivlastnění systémových zdrojů. „Cílem hry“ v daném případě není zahltit přístupovou linku, ale spotřebovat limitované zdroje oběti. Tedy třeba procesorový čas, paměť serveru či volné místo na disku. Útočník v takovém případě vytváří (korektně či nekorektně) stav, kdy získává podstatnou část systémových zdrojů, takže na regulérní uživatele zbude jen zanedbatelná kapacita.
Třetím typem DoS útoku je zneužití chyb v programech. Tyto chyby přitom mohou být známé nebo nově objevené. V prvním případě jde zpravidla o servery, jejichž správci zanedbávají záplatování. Vlivem chyby nedokáže program reagovat na neobvyklou situaci a dochází k jeho zhroucení, zacyklení, pádu či jinému nekorektnímu chování. Důsledek je ale zřejmý: regulérní uživatel služby k ní nemůže získat přístup.
Čtvrtým a zároveň posledním typem DoS útoku je napadení DNS a systémů směrování paketů. V podstatě dojde k tomu, že na DNS serverech dojde ke změnám záznamů o IP adresách – tyto jsou změněny tak, že veškerý provoz je měněn ve prospěch útočníka nebo spřízněného subjektu (který ze situace samozřejmě získává nemalý prospěch) nebo že žádosti vedou do „slepé uličky“ (tady sice útočník přímý prospěch nezískává, ale postižený subjekt utrpí škodu). Při provedení tohoto útoku je zneužívána skutečnost, že manipulace se směrovacími tabulkami není nijak obtížná, neboť protokoly RIPv1 nebo BGPv4 mají velmi slabou autentizaci. K akceptování změny jim tak stačí jen požadavek z podvržené IP adresy, která bývá pohříchu jediným autentizačním prvkem. Útočník pak relativně snadno umístí nesprávnou informaci do odkládací paměti jmenného serveru. A všem žadatelům jsou následně poskytovány mylné informace ohledně směrování.
Někdy se také uvádí ještě pátý případ DoS útoku, a to útok na DNS servery, jejichž zneprovoznění znamená ztrátu většiny internetového i e-mailového provozu. Ve skutečnosti ale nejde o pátý typ útoku, nýbrž o cíl útoku. Vlastní DoS útok proti DNS serverům je pokaždé vedený některým z výše uvedených způsobů.
Speciálním typem DoS útoků jsou pak již výše zmíněné distribuované útoky – distributed DoS, zkráceně DDoS. Jejich nebezpečnost se násobí tím, že jsou vedeny z různých směrů, přičemž zpravidla využívají metody obsazení přenosové kapacity. V případě DDoS je velmi obtížné zastavit útočníka, protože své síly rozloží tak, aby působily z mnoha směrů. Podobný útok ovšem vyžaduje značné technologické znalosti. Navíc je zde problém distribuce útočných nástrojů a koordinace jejich aktivity. Běžné DoS útoky totiž zvládne díky snadno dostupným nástrojům na internetu kdekdo. „Odměnou“ útočníkovi za zvládnutí technologie a techniky DDoS je pak skutečnost, že výsledný útok je zpravidla úspěšný a těžko odstranitelný.

(Sebe)obrana před DoS

Obrana před DoS útoky není vůbec jednoduchá – ale je možná. Každopádně si ale nevystačíme s jedinou poučkou či jedním opatřením, ale musíme implementovat komplexní soubor opatření. To je opravdu jediná možnost, jak se s nepříjemným „odepřením“ služby se ctí vypořádat.
V prvé řadě pravidelně kontrolujte instalování dostupných bezpečnostních záplat. Toto je ostatně pravidlo, které platí nejen pro případ prevence proti DoS/DDoS útokům, ale i proti dalším bezpečnostním hrozbám. Stejně tak se doporučuje používat nejnovější verze programů a systémů, které byly navrhovány už s přihlédnutím k odolnosti vůči určitým typům útokům.
Na routeru je vhodné nastavit pravidlo, že žádný první paket z jakékoliv IP adresy není vpuštěn dále. Toto příliš nepomáhá u DoS, ale hodně u DDoS, které často falšují IP adresu odesílatele (a zpravidla ji používají právě pouze jednou než vygenerují další). Přitom regulérní komunikace dotčena není, protože TCP zajišťuje při běžném provozu poslání prvního paketu i podruhé.
Aktivujte na firewallu službu filtrující všechny UDP požadavky. Nedoporučuje se zakázat všechny UDP (v interní síti totiž můžete odmítnout i legitimní aplikace), ale stačí zákaz přístupu UDP služeb z internetu. Tím zabráníte příchodu UDP paketů s podvrženými parametry.
Vypněte nepoužívané nebo nepotřebné služby, čímž snížíte šanci, že právě tyto budou zneužity útočníky pro napadení systému. Dále implementujte filtry směrování. Toto sníží zranitelnost vůči některým typům útoků, které využívají jejich absence. Znemožněte zápis na disk, neboť jakýkoliv zápis na disk rovná se zvýšené riziko přivlastnění systémových zdrojů útočníkem, protože prostor na disku je konečný – a zaveďte kvóty (časové, velikostní aj.), aby jejich absenci nemohl útočník využít ve svůj prospěch.
Investujte do záložních zdrojů, které budou ihned k dispozici pro případ odstavení běžně využívaných prostředků. Také pravidelně zálohujte, a to nejen data, ale především konfigurační parametry systému.
A konečně: nezapomeňte se na možnost DoS útoku připravit a vypracovat krizový plán pro případ, že by k něčemu podobnému došlo. V jeho rámci si zajistěte kvalitní kontakt na poskytovatele připojení, protože s jeho pomocí je možné incident zvládnout mnohem rychleji a jednodušeji.