DDoS: Jak bardzo można wzmocnić taki atak?

bezpieczeństwo
cyberataki
DDoS
Krzysztof Surgut
21.09.2015 Krzysztof Surgut

Praktycznie z każdego światowego raportu wynika, że od wielu lat ilość ataków DDoS notorycznie rośnie. Tak duża popularność ataków DDoS spowodowana jest między innymi tym, że znacząco spadły koszty realizacji takiej formy ataku w Internecie. Jedną z ważnych przyczyn takiego stanu rzeczy jest „odkrycie” metod wzmacniania ataku DDoS.

Wzmocnienie sprawia, że mały strumień pakietów IP może zamienić się w lawinę pakietów skierowanych na łącze internetowe ofiary. Między innymi, dzięki temu możliwe jest generowanie ataków DDoS nawet o wielkości paruset Gbps. Tak wielki atak może  zachwiać wydajnością sieci IP dużego operatora telekomunikacyjnego, a co dopiero mówić o łączu internetowym zwykłej firmy.


Jak mierzy się wzmocnienie DDoS?


Do określania wielkości wzmocnienia ataku DDoS używa się najczęściej dwóch wskaźników. Pierwszym wskaźnikiem jest BAF (z ang. Bandwidth Amplification Factor), który jest ilorazem ilości bajtów UDP skierowanych na łącze ofiary do ilości bajtów UDP wygenerowanych przez atakującego:

 BAF =     UDP payload bytes at victim
    —————————————
   UDP payload bytes from attacker

 

 

 

Drugim wskaźnikiem jest PAF (z ang. Packet AmplificaBon Factor), który jest ilorazem ilości pakietów skierowanych do ofiary i ilości pakietów wygenerowanych przez atakującego:

 PAF =     # of IP packets at victim
    —————————————
  # of IP packets from attacker

 

 

 

Stosując powyższe metody liczenia możliwym jest porównanie efektywności wzmocnienia ataku DDoS. Jak dużego można dokonać wzmocnienia? Przeczytasz w dalszej części wpisu.


Dzięki czemu wzmacnia się DDoS?


Co tak naprawdę sprawia, że ataki DDoS ulegają wzmocnieniu? Generalnie wyróżnić można 5 grup aplikacji i protokołów, które służą do realizacji wzmocnienia ataku DDoS.

Do wzmocnienia ataku DDoS wykorzystuje się podatności, poszczególnych grup protokołów czy aplikacji, na różnego rodzaju metody podszywania się pod adres IP ofiary oraz właściwości każdego z protokołów czy aplikacji do wysyłania szczególnie dużej ilości danych (np. w odpowiedzi na zapytanie). Poniżej podstawowy podział na grupy narzędzi, służących do wzmacniania ataków DDoS.

GRUPA I – Usługi sieciowe

Grupa protokołów, które wykorzystywane są w Internecie. Lista poniższych protokołów jest szczególnie wrażliwa na wykorzystanie ich w atakach DDoS.​

Protokół  Port   Opis  

SNMP 161 protokół służący do zarządzania urządzeniami sieciowymi (np. ruterami, przełącznikami) poprzez sieci IP

NTP 123 to powszechnie wykorzystywana usługa, której zadaniem jest synchronizacja zegarów z wzorcowymi źródłami czasu

DNS 53 kluczowy protokół stosowanych w internecie; zapewnia mechanizm zamiany nazw domenowych na adresy IP

NetBios 137 protokół sieciowy firmy IBM, pochodzący z lat osiemdziesiątych umożliwiający aplikacjom opartym na API NetBIOS komunikację w sieciach TCP/IP

SSDP 1900     protokół stworzony przez firmy Microsoft i HewlettPackard służący do wykrywania urządzeń UPnP (Universal Plug-and-Play)

 

GRUPA II – Protokoły własne

Grupa protokołów stworzonych do różnego rodzaju funkcji, które wciąż są obsługiwane przez wiele urządzeń sieciowych lub serwisów internetowych.

Protokół  Port   Opis  

CharGen 19 protokół generatora znaków, służy do testowania łączności sieciowej (dawniej implementowany w drukarkach)

QOTD 17 mechanizm wysyłający w jednym pakiecie UDP „cytat dnia” (z ang. Quote Of The Day

 

GRUPA III – Sieci P2P

Grupa sieci P2P, wykorzystywanych do wymiany plików w Internecie. Poniższe sieci P2P są bardzo popularne i ciągle używane przez internatów na całym świecie – szczególnie do dystrybucji filmów, programów, aplikacji (zwłaszcza nielegalnych wersji lub wersji zawierających wirusy).

Protokół  Port   Opis  

BitTorrent    dowolny port protokół wymiany i dystrybucji plików przez Internet, którego celem jest odciążenie łączy serwera udostępniającego pliki

Kad    dowolny port bezserwerowa sieć z której korzysta eMule – system wymiany plików

 

GRUPA IV – Serwery gier

Serwery wykorzystywane do synchronizacji zachowań graczy danej gry/aplikacji. Dzięki tym urządzeniom możliwa jest wspólna zabawa wielu graczy z całego świata w czasie rzeczywistym.

Protokół  Port   Opis  

Quake 3    27960    gra sieciowa

Steam    27015    bardzo popularna platforma dystrybucji gier

 

GRUPA V – sieć botnet’ów

Sieci komputerów „zombie”, o których pisałem w tym wpisie.

Zasada działania wzmocnienia jest bardzo prosta. Najczęściej wystarczy wysłać fałszywe zapytanie, aby w odpowiedzi uzyskać standardową odpowiedź. Różnica polega na tym, że w fałszywym zapytaniu wstawiany jest adres IP ofiary, a jednocześnie każda z wyżej wymienionych grup, w odpowiedzi na zapytanie wysyła zdecydowanie więcej danych niż ma samo zapytanie. Jak dużo danych w odpowiedzi mogą wysłać do ofiary ataku DDoS powyższe protokoły i aplikacje?


Jak bardzo można wzmocnić atak DDoS?


Poniżej wykres prezentujący poziom wzmocnienia ataku DDoS, w zależności od usługi sieciowej, protokołu, serwisu czy aplikacji internetowej (w tym gry) – wymienionych wcześniej w poszczególnych grupach.

Wzmocnienie DDoS
Wzmocnienie ataku DDoS

Warto zwrócić uwagę, że powyższy wykres wykonano w skali logarytmicznej. Widać, że wykorzystując NTP można uzyskać potężne wzmocnienia ataku DDoS (tej metody użyto do wygenerowania ataku DDoS o wielkości 400Gbps).

Jednocześnie wzmocnienie ataku wolumetrycznego na poziomie 100-krotności, nie wymaga wyrafinowanych metod – jak widać na powyższym zestawieniu (zainteresowanych odsyłam do szczegółowego artykułu Christiana Rossowa, który można znaleźć tutaj).

Niestety ochrona przed tego typu atakami DDoS wcale nie jest taka prosta. A to nie jedyne metody generowania ataków wolumetrycznych, których zadaniem jest „zatłoczenie” łącza internetowego ofiary. Żaden firewall nie jest w stanie poradzić sobie z atakiem wolumetrycznym, dlatego warto wcześniej przygotować się do obrony przed takim atakiem DDoS, korzystając z wyspecjalizowanej usługi – na przykład usługi Anty DDoS firmy Data Space.

Zwłaszcza, że ataki DDoS to najczęściej wstęp do dalszych działań hakerów. Potwierdza to raport mi. Kaspersky LAB, gdzie pracownicy działów IT różnych firm potwierdzili, że wraz z atakiem DDoS zaobserwowali zakłócenia w działaniu również wielu innych usług czy serwisów. Dlatego warto zdjąć sobie z głowy ataki DDoS i skupić się na pilnowaniu pozostałych serwisów czy sieci LAN.

Krzysztof Surgut
Krzysztof Surgut krzysztof.surgut@dataspace.pl Przez ostatnie 15 lat współrealizował zaawansowane, ogólnopolskie projekty telekomunikacyjne i informatyczne (m.in. w Dialog, HAWE). Ekspert z zakresu systemów transmisji danych, VoIP, IPTV, systemów bezpieczeństwa oraz systemów radiowych. Współtwórca pierwszego w Polsce Scrubbing Center.
Bezpieczeństwo IT
DDoS i zombie, czyli cyberszaman w akcji
Bezpieczeństwo IT
Ataki DDoS i VoIP, czyli koniec gadania przez Internet
   /   Bezpieczeństwo IT   /   DDoS: Jak bardzo można wzmocnić taki atak?