Support: 56 657 71 78

DoS – rodzaje ataków

Bezpieczeństwo IT
cyberataki
DDoS
Atak DDoS

Podstawowy podział ataków DoS


Cyberataki, których celem jest uniemożliwienie działania systemu komputerowego lub usługi sieciowej, powszechnie określane są skrótem DoS (z ang. Denial of Service – Odmowa Dostępu). Tego typu cyberataki mają swoje wersje i podziały, w zależności od sposobu ich realizacji.

Wszystkie statystyki zespołów CERT na całym świecie pokazują ciągły wzrost ataków DoS. A wszystko przez to, że stały się bardzo … tanie. Dlaczego? Poniżej postaram się krótko pokazać jak rozwinęły się techniki ataków Odmowy Dostępu.

 

DoS


Najprostszy typ ataku DoS to ciągłe wysyłanie określonych typów pakietów na adres IP atakowanego serwisu – do tego wysyłane pakiety mają na celu nie tylko wysycenie pasma na łączu internetowym, do którego podłączony jest serwis internetowy. Niektóre z ataków wykorzystują niedoskonałości protokołów internetowych, przez co angażują zasoby informatyczne atakowanego serwisu (np. serwera), wyczerpanie tych zasobów blokuje dostęp do niego.

Innym sposobem  jest przeciążanie danego serwisu w taki sposób, aby nie mógł on realizować swojej funkcji (np. wysyłanie dużych plików do serwisu FTP, w celu wysycenia miejsca na dyskach).

W początkowej historii tego typu ataków, programy generujące ataki instalowane były w jednej lokalizacji, np. na pojedynczym komputerze i z tego miejsca uruchamiały poszczególne metody wysycenia zasobów aplikacji internetowej. Pierwszą aplikacją, która służyła do wytworzenia sztucznego ruchu IP, wysycającego zasoby informatyczne serwisu był program Low Orbit Ion Cannon (nazywane w skrócie LOIC).

Każdy kto chciał przeprowadzić atak typu DoS, mógł legalnie pobrać taki program (program udostępniano za darmo), uruchomić go na swoim komputerze, wpisać URL serwisu ofiary i uruchomić proces ataku. Program był w stanie w ciągu doby zasymulować chęć otworzenia danej witryny WWW nawet więcej niż 0.5mln razy (przypominam, że w Polsce za taki typu DoS grozi odpowiedzialność karna – piszę o tym tutaj).

Źródło ataku DoS takie jak LOIC, łatwo było zidentyfikować i zablokować – wystarczyło na urządzeniu sieciowym wpisać wybrane adresy IP na „czarną listę”.

Ponadto taka forma ataku DoS jest bardzo nieefektywna finansowo dla atakujących hakerów. Na przykład wymaga łącza internetowego o większym paśmie niż atakowane łącze ofiary. Dlatego hakerzy zaczęli szukać innych metod realizacji ataku, która pozwoliłaby na dużo bardziej efektywniejsze (a tym samym tańsze) realizowanie ataków typu DoS.

Na początek opracowano metodę rozproszenia źródeł ataków. Tym samym nie można było już tak łatwo wyłączyć strumieni pakietów, które uznano za atak DoS. W ten sposób narodził się…

 

DDoS


Cel tego typu ataku jest identyczny jak w DoS – wysycenie zasobów systemu informatycznego ofiary. Jednak sposób realizacji jest odmienny. W przypadku tego typu ataku wykorzystywane są „obce” komputery (serwery).

Najogólniej mówiąc, komputery zwykłych użytkowników są infekowane rodzajem wirusa, który pozwala na konkretny typ aktywności w Internecie – bez wiedzy właściciela. Mówi się o takich komputerach „zombie”. Haker posiada specjalne oprogramowanie, które pozwala mu zarządzać całą masą zainfekowanych komputerów i zdalnie uruchamiać atak DoS na wskazany serwis.

Po wydaniu odpowiedniej komendy komputery zombie, poprzez pracujący w tle program, wykonują różne czynności, które skutkują wysyłaniem danych do serwisu internetowego ofiary. Wszystkie czynności w zainfekowanym komputerze wykonywane są „po cichu”, w taki sposób aby użytkownik nie wiedział, że jest źródłem ataku DDoS.

Ta metoda ataku diametralnie utrudniła obronę.

Po pierwsze, liczba źródeł ataku jest praktycznie nieograniczona (zarówno pod względem ilości, jak i geograficznie). Tym samym nie ma już takiej prostej metody odfiltrowania pojedynczych adresów IP, które są źródłem ataków (źródeł może być tysiące).

Po drugie, odfiltrowanie ruchu IP z konkretnego obszaru geograficznego także nie jest zbyt skuteczne, ponieważ zainfekowane komputery najczęściej znajdują się na całym świecie.

Po trzecie, odrzucanie ruchu pakietów IP z konkretnego adresu IP może skończyć się odcięciem od serwisu internetowego realnego użytkownika, który nie jest świadomy tego, że poza tym że korzysta z tego serwisu to jeszcze generuje atak DoS. Ten problem dotyczy szczególnie bardzo popularnych serwisów np. banków internetowych. Odcięcie konkretnego adresu IP spowoduje całkowite uniemożliwienie korzystania z usług tego banku osoby, która w tej chwili pracuje na tym komputerze.

Mając to wszystko na względzie, systemy ochronne bardzo mocno się skomplikowały. O ile w przypadku DoS wystarczała zwykła „czarna lista”, o tyle w przypadku DDoS analiza ruchu internetowego musi być zdecydowanie większa i dokładniejsza, aby odróżnić zwykłą aktywność użytkownika komputera od aktywności programu atakującego (działającego bez wiedzy użytkownika komputera).

W ten sposób bardzo mocno skomplikowano proces obrony, a jednocześnie bardzo mocno obniżony został koszt wykonania ataku DoS. Zainfekowanie tysięcy komputerów na całym świecie sprawiło, że hakerzy nie muszą inwestować w rozbudowane łącze internetowe (w końcu korzystają z łącza użytkownika) – a także nie muszą inwestować w dużą moc obliczeniową (bo taką moc „pożyczają” sobie od właściciela komputera). Jedyną pracę jaką muszą wykonać, to napisanie odpowiedniego wirusa i rozpowszechnienie go na świecie  – tutaj metod jest tysiące i nie będę rozwijał tego wątku.

Na tym nie koniec inwencji hakerów. Pozbyto się problemu prostej identyfikacji źródła ataku, jednak wciąż pozostał problem generowania bardzo dużych ataków liczonych w Gbit/s. Wygenerowanie tak dużego ataku DDoS, wymaga zainfekowania bardzo dużej ilości komputerów. Tutaj także dokonano „postępu”.

 

DRDOS


Bardzo szybko znaleziono sposób na zwiększenie efektywności ataku DoS – wykorzystano zjawisko odbicia. W tym przypadku wykorzystano zwykły proces komunikacji komputerów w Internecie. Posłużono się metodą, która polega na tym, że każdy komputer i urządzenie podłączone do sieci odpowiada na każde „zapytanie” w Internecie, jakie dostanie ze świata.

W jaki sposób wykorzystano ten mechanizm?

Wysyła się odpowiednie „zapytanie” do przypadkowego komputera, jednak w „zapytaniu” fałszuje się nadawcę. Tym samym odpowiedź na takie zapytanie nie trafi do tego komputera, który je tak naprawdę zadał, lecz do komputera, którego pokazano jako nadawcę. W ten sposób narodził się nowy typ ataku DRDOS (z ang. distributed reflected denial of service, czyli rozproszony odbity atak odmowy dostępu).

Ta metoda nie wymaga zainfekowania komputera (jak w przypadku DDoS). Wystarczy odpowiednio spreparować „zapytanie” i wysyłać je na przypadkowe adresy IP w Internecie. Każdy zapytany natychmiast odpowie pytającemu (problem w tym, że odpowiedź trafi do serwisu ofiary a nie systemu, który wygenerował „zapytanie”).

W ramach tej formy ataku DoS pojawiła się jeszcze bardziej wyrafinowana jego odmiana, która wykorzystuje metodę zwielokrotnienia – tak powstał atak…

 

Amplification DDoS (wzmocniony atak DDoS)


W przypadku tego ataku wykorzystano nie tylko zjawisko odbicia, ale dodatkowo dołożono zjawisko wzmocnienia. Jak to działa?

W sposobach komunikowania się urządzeń w sieci Internet istnieją takie metody, gdzie pojedyncze „zapytanie” skutkuje wysłaniem do pytającego zdecydowanie więcej danych niż zostało przysłane. W ten sposób odpowiedź na zapytanie może zawierać nawet 1000 razy więcej danych niż zawierało samo „zapytanie”.

Metoda jest …. piekielnie efektywna. Wystarczy wysłać „zapytanie” do odpowiedniego serwisu internetowego (np. DNS), gdzie jako pytającego podaje się adres ofiary, a w efekcie serwis internetowy odpowiada ilością danych 1000 razy większą niż miało samo „zapytanie”. Jeżeli te dane trafią na łącze ofiary to spowodują olbrzymi przyrost ruchu na łączu internetowym. Przy wykorzystaniu tej formy ataku bardzo łatwo można wysycić łącze internetowe dowolnego serwisu internetowego na świecie.

 

A to nie wszystko


Metod ataków DoS wciąż przybywa. Ataki dotykają praktycznie dowolnego serwisu internetowego, np. systemów VoIP do rozmów telefonicznych przez Internet. Ponadto metody ataków DoS zaczynają przechodzić do najwyższych warstw komunikacji internetowej. Przykładowo możliwe są ataki:

ReDoS

Skrót pochodzi od ang. Regular expression Denial of Service, czyli odmowa dostępu poprzez wyrażenie regularne. Na czym polega tego typu atak?

Celem jest maksymalne wykorzystanie mocy obliczeniowej aplikacji internetowej lub zapętlenie jej algorytmu działania. Większość aplikacji internetowych do poprawnego wykonania jakiejś czynności wymaga podania pewnych danych, tzw. wyrażeń regularnych. Jednak programiści bardzo rzadko pisząc programy sprawdzają jak zachowuje się aplikacja, gdy poda jej się nieprawdziwe lub skomplikowane wyrażenie regularne. W efekcie prawie w każdej aplikacji istnieje taki moment, gdy przesyłając odpowiednio spreparowane wyrażenie regularne aplikacja może się zapętlić lub „zgłupieć”. Efektem często jest ustanie działania aplikacji lub jej części, bądź wykorzystanie dużo większej mocy obliczeniowej niż przy zwykłej pracy aplikacji.

W niektórych przypadkach tą metodą można włamać się do systemu informatycznego lub bardzo mocno zaburzyć jej działanie.

APDoS

To bardzo wyrafinowany typ ataku DDoS. Wykorzystaujący mechanizm APT (z ang. advanced persistent threat), stąd nazwa APDoS – z ang. advanced persisted DoS. Ten rodzaj ataku wykorzystuje wiele metod jednocześnie. Skupia się przede wszystkim na aplikacji, a nie na łączu – co nie oznacza, że łącze nie jest atakowane. Ten typ ataku wymaga dużego doświadczenia od hakera i przygotowania całego scenariusza ataku, wykorzystując wszelkie dostępne metody ataków hakerskich. Rozróżnia się parę płaszczyzn takiego działania:

zaawansowane rozpoznanie – czyli skanowanie i sprawdzanie zabezpieczeń,

działanie taktyczne – wykorzystywane są efekty z rozpoznania i przygotowany jest precyzyjny scenariusz ataku,

wysoka motywacja – tego typu działania realizowane są przez grupy przestępcze (motywowane chęcią włamania się do internetowego banku) lub organizacje militarne w ramach działań cyberwojny,

jednocześność – realizacja wielu typów ataków w tej samej chwili, co wymaga sporych zasobów informatycznych i mocy obliczeniowej – zwłaszcza po stronie serwisu ofiary,

okresowość – atak nie polega wyłącznie na jednorazowym działaniu, ale na cyklicznym wykonywaniu różnego typu ataków – czasami aby atak się powiódł, trzeba trafić w specyficzną chwilę działania systemów informatycznych ofiary – taka forma działania atakujących doczekała się nawet swojej nazwy.

Hit-and-run DoS

To okresowe i cykliczne nękanie atakami DoS ofiary o bardzo dużym natężeniu i przypadkowych odstępach czasu. Może trwać dzień lub tydzień, po czym atak zostanie ponowiony po upływie kolejnego okresu czasu. Ta cykliczoność wyróżnia ten typ ataku od zwykłego DoS, który najczęściej jest atakiem ciągłym trwającym jakiś czas, po czym po upływie czasu zanika. Ataki DoS potrafią trwać parę dni lub tygodni.

 

Co robić?


Rodzajów ataków DoS wciąż przybywa. Hakerzy analizują zwykłe sposoby komunikacji urządzeń lub aplikacji w Internecie i szukają scenariuszy, które pozwolą na „wyłączenie” serwisu internetowego lub otworzą drzwi do włamania. Trwa ciągły wyścig zbrojeń atakujących i firm tworzących systemy obronne.

Angażowane są coraz bardziej zaawansowane technologie. Już dawno zaprzęgnięto do pracy systemy sztucznej inteligencji, której zadaniem jest wykrywanie każdej anomalii. Samo wystąpienie anomalii nie jest jeszcze informacją o ataku, ale daje sygnał do jeszcze większej aktywności oficerów bezpieczeństwa, analizy tego co się wydarzyło i sprawdzenia czy to było działanie przypadkowe czy celowe.

Scenariusze grup atakujących hakerów są coraz bardziej rozbudowane i bazują na wszystkich możliwych metodach ataków. A same ataki coraz częściej przypominają zaawansowane scenariusze z gier komputerowych czy bitew historycznych. W takich przypadkach zakup zwykłego firewall’a już nie wystarcza. Wymagany jest ciągły monitoring systemów informatycznych i weryfikowanie przez ludzi każdego sygnału, który może być potencjalnym atakiem.

Sprawy szczególnie się komplikują w przypadku ataków na same aplikacje w warstwie 7, ponieważ programiści piszący aplikacje nie mają żadnych sztywnych ram lub reguł, które muszą być przestrzegane. A to daje dodatkowe pole do popisu hakerom, którzy będą zawsze szukać niedoskonałości programów i testować ich odporność na różne ataki. Ochrona warstwy 7 jest szczególnie trudna, ale to temat na osobny wpis.

Rodzaje ataków DoS

Rodzaje ataków DoS można podzielić także w zależności od aktywności w poszczególnych warstwach modelu ISO/OSI.

A wówczas podział wygląda następująco:

WARSTWA      Jednostka PDU Opis WarstwyProtokółPrzykładowy atak DoSPotencjalny wpływ
 APLIKACJI (7)DATA Tworzenie pakietów.Dostęp do bazy danych. FTP, HTTP, POP3 & SMTP PDF GET requests, HTTP GET, HTTP POST, = website forms (login, uploading photo/video, submitting feedback)  Poszukiwane limitu zasobów, poprzez fałszywe rezerwowanie zasobów.
 PREZENTACJI (6)DATA Tłumaczy format danych od nadawcy do odbiorcy  Protokoły kompresji i kodowaniaMalformed SSL Requests — Zasobochłonna kontrola kodowania SSL. Atakujący wykorzystuje tunel SSL do ataków HTTP na wybrany serwer.Przeciążony system może przestać akceptować połączenia SSL lub automatycznie restartować się 
SESJI (5) DATAZarządza tworzeniem, zakończeniem i synchronizacją sesji poprzez sieć. Protokoły Logon/Logoff Telnet DDoS-atakujący wykorzystuje lukę w oprogramowaniu serwera Telnet który działa np. na przełączniku.  Nie pozwala na zarządzanie przełącznikiem przez administratora
TRANSPORTU (4) SEGMENT Zapewnia bezbłędną transmisję pomiędzy hostami w sieci (wykrywa błędy) Protokoły TCP & UDP  SYN Flood, Smurf Attack  Wysycenie limitów przepływności hosta lub urządzeń sieciowych
SIECI (3)PAKIET Informacje dotyczące routingu i przełączania w sieciach Protokoły IP,
ICMP, ARP, & RIP 
ICMP Flooding – A Layer 3. Atak DDoS, który wykorzystuje ICMP do przeciążenia sieci docelowej.Może mieć wpływ na przepustowość sieci i dołożyć dodatkowe obciążenie na fireall’u 
 ŁĄCZA DANYCH (2)RAMKA Zestawia, utrzymuje, i decyduje, w jaki sposób dokonuje się transferu w warstwie fizycznejProtokoły 802.3 & 802.5 i dotyczy urządzeń takich jak karta sieciowa, przełączniki i brige oraz inne punkty dostępu. MAC flooding – zalewanie portów przełącznika pakietami  Zakłóca przepływ danych zwykle od nadawcy do odbiorcy – najczęściej występuje na wszystkich portach. 
FIZYCZNA (1)  BITBudowa struktury danych odpowiedniej dla danego medium Protokoły 100BaseT&1000 Base-X  Fizyczna destrukcja, manipulacja, specjalna usterka Potrzebna interwencja w celu naprawy

 

Praktycznie w każdej warstwie modelu ISO/OSI występują działania, których zadaniem jest dezorganizacja poprawności działania poszczególnych procesów, a to oznacza że ataki DoS są jak wirus o olbrzymim spektrum działania.

Data Space kontakt@dataspace.pl Naszą misją jest być najlepszym wyborem dla firm, które muszą być online bez względu na wszystko, przez 24 godziny, 7 dni w tygodniu, 365 dni w roku. Dostarczamy im platformę składającą się z najbardziej zaawansowanych rozwiązań z zakresu infrastruktury IT.
Bezpieczeństwo IT
Hakerski Tunel SSL ma się dobrze
Bezpieczeństwo IT
DDoS i zombie, czyli cyberszaman w akcji