Atak DDoS jako zasłona dymna

cyberataki
DDoS
Krzysztof Surgut
14.09.2016 Krzysztof Surgut

Atak DDoS najczęściej kojarzony jest ze sposobem zaburzenia poprawnej pracy aplikacji internetowych przez hakerów, szantażystów, złośliwych graczy komputerowych czy znudzone dzieciaki. Okazuje się, że atak DDoS może mieć również inne przeznaczenie.


Atak DDoS jako „zasłona dymna”


Naukowcy uniwersytetu z czeskiej Ostrawy, opublikowali dokument, który jest wynikiem ich analizy i symulacji wykorzystania ataku DDoS do zakamuflowania dedykowanych kanałów przesyłania informacji.

Dokument naukowców można potraktować wręcz jak wytyczne do sposobu realizacji tego typu ukrytej komunikacji. Okazuje się, że wykorzystując atak DDoS możliwym jest transferowanie danych w taki sposób, aby przy użyciu statystycznych metod wykrywania, nie było możliwości prostego i łatwego wykrycia tego faktu.


W czym jest problem?


Tajne przesyłanie informacji” kojarzyć się może z jakimiś szpiegowskimi metodami przemycania wykradzionych, poufnych danych. I nie chodzi tutaj o zaszyfrowanie przesyłanej informacji, ale o ukrycie samego faktu transferu danych. Jakie to może mieć znaczenie?

Wyobraźmy sobie, że serwery jakiegoś banku atakowane są przy wykorzystaniu DDoS. Systemy ochronne banku mają za zadanie nie tylko odsiać zbędne pakiety, które wysyłane są przez atak DDoS, ale także monitorować każdy ruch pakietów IP docierający do serwerów banku.

Wykrycie próby przesłania plików na serwery bankowe, powinno być traktowane jak próba zawirusowania systemu lub próba zainstalowania złośliwego oprogramowania. I nie jest ważne czy sposób przesyłania danych wykorzystuje metody szyfrowania czy też nie. Sam fakt podjęcia próby transferu pliku jest już wystarczający do tego, aby go udaremnić.

Problem pojawi się wtedy, gdy system ochrony nie jest w stanie stwierdzić, że poza atakiem DDoS, odbywa się także ukryty transfer plików, np. ze złośliwym oprogramowaniem.

Jak piszą w swoim dokumencie badacze z Ostrawy:

„… w dodatku kanał transferowy może być dynamicznie zorientowany, co może utrudnić mechanizm wykrywania…”.

Opisany przez naukowców z Czech sposób „ukrycia” kanału przesyłowego stawia duże wymagania systemom ochronnym. Sami autorzy wykazali w swojej pracy, że popularne metody statystyczne zawodzą w tym wypadku.


A to nie koniec problemu


Opisana metoda ukrycia transferu danych wykorzystuje nieużywane pola w nagłówkach protokołów, a jednocześnie transfer danych odbywa się z wielu miejsc w sieci. Jeżeli do analizy ruchu IP, a w szczególności wykrycia ataku DDoS wykorzystuje się próbki netflow to ten fakt dodatkowo utrudnia wykrycie opisanej metody ukrytego przesyłania plików.

Po pierwsze, próbki netflow nie zawierają żadnej wiedzy o wykorzystaniu nieużywanych pól w nagłówkach ramek z danymi. Do wykrycia faktu użycia tych pól potrzebna jest bezpośrednia analiza rzeczywistego ruchu IP, a nie statystycznych próbek opisujących ten ruch – a takimi są próbki netflow.

Po drugie, atak DDoS wykrywany jest przy wykorzystaniu mi. algorytmów statystycznych. Jeżeli ten mechanizm zawodzi, jak wykazali badacze z Czech, wówczas detekcja ukrytego transferu danych wymaga całkiem nowych metod monitorowania ruchu IP.


Atak DDoS to nic nowego, ale…


Wykorzystywanie ataku DDoS do odwrócenia uwagi administratorów nie jest niczym nowym. Atak DDoS stosunkowo często ma za zadanie maskowanie prób włamania do atakowanego systemu informatycznego.

Atak DDoS szczególnie jest przydatny, gdyż dezorganizuje pracę bardzo ważnej aplikacji i cały dział IT firmy ma pełne ręce roboty, aby przywrócić system informatyczny do normalnej pracy. W ten sposób hakerzy odwracają uwagę specjalistów działu IT od rzeczywistej intencji ataku.

Opisana przez naukowców z Ostrawy metoda ukrytego transferu danych, stawia zdecydowanie wyżej poprzeczkę dla systemów ochronny. Wprawdzie opisany mechanizm jest jak na razie akademicką dywagacją, popartą rzeczywistymi symulacjami w laboratorium – to jednak już teraz widać, jak ważna jest metoda analizy samego ruchu IP, a nie tylko próbek netflow.

Zastosowanie ukrytego transferu danych, gdzie atak DDoS ma być jedynie pretekstem, może posłużyć do wielu innych zastosować. Obecnie obserwuje się bardzo dynamiczny rozwój wszelkich metod ukrytego transferu informacji – szczególnie cyberprzestępcy są zainteresowani tego typu technikami, a nie tylko szpiedzy.

Krzysztof Surgut
Krzysztof Surgut krzysztof.surgut@dataspace.pl Przez ostatnie 15 lat współrealizował zaawansowane, ogólnopolskie projekty telekomunikacyjne i informatyczne (m.in. w Dialog, HAWE). Ekspert z zakresu systemów transmisji danych, VoIP, IPTV, systemów bezpieczeństwa oraz systemów radiowych. Współtwórca pierwszego w Polsce Scrubbing Center.
Bezpieczeństwo IT
Ataki DDoS z WordPressa
Bezpieczeństwo IT
Ataki DDoS na DNS nie są przypadkowe