Костин Д. В. Введение



Pdf просмотр
Дата22.05.2017
Размер0.72 Mb.
Просмотров229
Скачиваний0
ТипСценарий

Костин Д.В.
1.

Введение
DоS – это общий термин, который переводится как «отказ в обслуживании» и нацелен на то, чтобы ограничить доступ на сайт легитимным пользователям и вызвать простой системы. В результате такого простоя, компания может понести огромные убытки, а часть пользователей просто перестанет пользоваться данным ресурсом. Часто злоумышленник не в силе обойти хорошо настроенную защиту какого-либо ресурса и тогда, ощущая свое бессилие, взломщик может прибегнуть к последнему средству — атаке DoS.
2.

Типы атак DoS.
Классификация взята из источника
[1]

2.1 Насыщение полосы пропускания
Наиболее коварной формой атак DoS является насыщение полосы пропускания (bandwidth consumption). По существу, взломщики могут заполнить всю доступную полосу пропускания определенной сети. Это можно осуществить и в локальной сети, однако чаще всего злоумышленники захватывают ресурсы удаленно. Для реализации такой атаки можно воспользоваться двумя сценариями.
Сценарий 1.
Взломщик может насытить сетевое подключение целевой системы, воспользовавшись более широкой полосой пропускания. Такой сценарий вполне возможен, если злоумышленник обладает сетевым подключением Т1 (1.544 Мбит/с) или более быстрым, и лавинно заполняет сетевое соединение с полосой пропускания 56 или 128 Кбит/с.
Сценарий 2.
Взломщики усиливают атаку DoS, вовлекая в процесс насыщения целевого сетевого соединения несколько узлов. Воспользовавшись таким подходом, сеть с доступом ТЗ (45
Мбит/с) можно насытить с помощью канала связи 56 Кбит/с. Благодаря чему это возможно? Используя другие узлы для усиления атаки DoS, взломщик с помощью ограниченной полосы пропускания может насытить полосу пропускания 100 Мбит/с. Для того чтобы успешно реализовать эту возможность, взломщик должен привлечь дополнительные узлы.
2.2 Недостаток ресурсов
Атака, приводящая к недостатку ресурсов (resource starvation), отличается от предыдущей атаки тем, что она направлена на захват системных ресурсов, таких как центральный процессор, память, дисковые квоты или другие системные процессы. Зачастую взломщик обладает легитимным доступом к ограниченному количеству системных ресурсов. Однако он предпринимает попытку захватить и дополнительные ресурсы. Таким образом, система или законные пользователи будут испытывать недостаток в совместно используемых ресурсах. Атаки такого типа обычно приводят к недоступности ресурса, и, следовательно, к краху системы, переполнению файловой системы или зависанию процессов.

2

2.3 Ошибки программирования
Ошибки программирования (programming flaw) заключаются в неспособности приложения, операционной системы или логической микросхемы обрабатывать исключительные ситуации. Обычно эти ситуации возникают при передаче уязвимому элементу несанкционированных данных. Для определенных приложений, которым требуются пользовательские входные данные, взломщики будут передавать строковые данные длиной в тысячи строк. Если программой используется буфер фиксированной длины, скажем, 128 байт, то злоумышленники попробуют сгенерировать условие переполнения буфера и вызвать крах приложения.
2.4 Маршрутизация и атаки DNS
Такие атаки DoS основываются на манипуляции записями таблицы маршрутизации, что приводит к прекращению обслуживания легитимных систем или сетей. Большинство протоколов маршрутизации используют слабые алгоритмы аутентификации. Это предоставляет злоумышленникам возможность изменять маршруты, зачастую указывая ложный исходный IP-адрес и вызывая состояние отказа в обслуживании. В результате таких атак трафик целевой сети маршрутизируется через сеть взломщика или в «черную дыру», т.е. в никуда — в сеть, которой не существует. Атаки DoS, направленные на серверы DNS, также являются достаточно эффективными.
2.5 Общие атаки DoS
Некоторые атаки DoS можно использовать для нескольких типов систем. Мы будем называть такие атаки общими (generic). В основном общие атаки направлены на насыщение полосы пропускания или захват ресурсов. Стандартным элементом атак этого типа является манипулирование протоколами.
3.

Распространённые DoS-атаки.
3.1 Атака Smurf. (Опираясь на источник
[2]
).
Для начала немного разберём протокол ICMP(Internet Control Message Protocol – протокол управляющих сообщений Internet), который был задуман как безопасное средство для уведомления об ошибках, а так же для выдачи несложных запросов и ответа на них.
Рассмотрим отличия протокола ICMP от TCP и UDP.
1.
Не используются номера портов, как, например, в TCP или UDP.
2.
Чтобы различать разные службы указывается только тип сообщения и код, который находится в первых двух байтах заголовка. По этим байтам определяют кому именно предназначено сообщение.
3.
На эхо-запрос(ping-запрос) способны отвечать почти все операционные системы, и отключить режим ответа, который установлен по умолчанию, довольно проблематично.
4.
Поддержка широковещательного трафика, ICMP позволяет отправлять данные сразу нескольким адресам. И как будет показано далее, именно эта возможность позволяет злоумышленнику осуществить атаку Smurf.

3
Атака Smurf позволяет воспользоваться преимуществами рассылки широковещательных направленных запросов и требует как минимум трех участников: взломщика, усиливающей сети и цели. Злоумышленник отправляет ложные ICMP-пакеты ECHO на широковещательный адрес усиливающей сети. Исходный адрес пакетов подменяется так, как будто бы сама жертва сгенерировала запрос. Как только пакет ECHO передается на широковещательный адрес, все системы усиливающей сети сгенерируют ответ на запрос узла-жертвы. Если взломщик отсылает один ICMP-пакет в усиливающую сеть, в которой содержится 100 узлов, генерирующих ответные сообщения на широковещательный запрос, то можно считать, что взломщик в сто раз увеличил эффективность атаки DoS.
Вышесказанное схематично иллюстрируется на рисунке 3.1.
Рисунок 3.1. Схема атаки Smurf.
Контрмеры: защита от атак Smurf
[1], [3]
Имеется множество методов защиты от Smurf – они описаны в статье Крейга А.
Хьюджина о защите от Smurf
[4]
Для того чтобы предотвратить возможность использования вашей сети (компьютера) для усиления, запретите прохождение направленных широковещательных запросов на пограничном маршрутизаторе. На маршрутизаторах Cisco для этого можно воспользоваться командой no ip directed-broadcast. На устройствах Cisco IOS версии 12 этот режим включен по умолчанию. При использовании других устройств обратитесь к документации, входящей в комплект поставки.
Кроме того, некоторые операционные системы можно настроить так, чтобы отбрасывались все широковещательные ICMP-пакеты ECHO.
3.2

Атака Fraggle.(Согласно источникам
[5], [6]
)
Атака Fraggle похожа на атаку Smurf, за небольшим исключением, в данной атаке используется протокол UDP. Принцип действия этой атаки простой: на седьмой порт жертвы отправляются echo-команды по широковещательному запросу. Затем подменяется ip-адрес злоумышленника на ip-адрес жертвы, которая вскоре получает множество ответных сообщений. Иx количество зависит от числа узлов в сети. Эта атака приводит к

4 насыщению полосы пропускания и полному отказу в обслуживании жертвы. Если все же служба echo отключена, то будут сгенерированы ICMP-сообщения, что также приведет к насыщению полосы.
Контрмеры: защита от атаки Fraggle.
[6]
Если вы действительно думаете, что в настоящее время страдает от Fraggle атаки, просто заблокируйте эхо порт, расположенный в порту 7. Вы также можете заблокировать порт
19, который так же является широко используемым для Fraggle атаки.
3.3 Атака с помощью переполнения пакетами SYN. (Опираясь на
[7]
,
[8]
.)
Рассмотрим хронологию событий установки соединения(рисунок 3.2):
1.
Пакет SYN отсылается с определённого порта системы А на порт системы B, который находится к режиме LISTEN. Состояние соединения переходит в
SYN_RECV.
2.
Система B передаёт A пакет SYN/ACK.
3.
В случае успеха, система А передаёт обратно пакет ACK и соединение переходит в состояние ESTABLISHED.
Рисунок 3.2. Процедура установки соединения.
Данный механизм прекрасно работает, однако некоторые изъяны позволяют злоумышленнику создать условие DoS. Дело в том, что многие системы заранее выделяют некоторое количество ресурсов для установки потенциального соединения, то есть такого, которое еще не до конца установлено. Поэтому достаточно небольшого количества запросов на установку соединения, чтобы полностью израсходовать ресурсы системы.
Атака происходит следующим образом:
1.
Злоумышленник передаёт пакет SYN системе B, однако подменяет свой адрес на адрес несуществующего узла.
2.
Система B посылает пакет SYN/ACK по ложному адресу.
3.
Так как ложного узла не существует, система B не получит ответный пакет ACK или RST(сброс) и соединение будет помешено в очередь на установку соединения.
Из этой очереди соединение будет удалено лишь после истечения определённого промежутка времени, обычно он колеблется в интервале от 75 секунд до 23 минут.
Злоумышленнику достаточно отправлять несколько пакетов SYN через каждые 10 секунд, чтобы полностью заблокировать определённый порт.

5
Контрмеры: защита от атаки с использованием пакетов SYN.
[1]
Чтобы определить, подвержена ли атаке ваша система, можно воспользоваться командой netstat, если она поддерживается операционной системой. Многочисленные соединения в состоянии SYN_RECV свидетельствуют о том, что именно в этот момент проводится атака.
Далее приводятся три основных способа защиты от атак с использованием пакетов SYN.
Хотя каждый из подходов имеет свои достоинства и недостатки, все они способны снизить воздействие сфокусированной атаки SYN. Не забывайте о сложности выявления злоумышленника, поскольку он использует ложный исходный адрес.
Способ 1. Увеличение размера очереди на установку соединений.
Необходимо настроить размер очереди на установку соединения таким образом, чтобы нейтрализовать воздействие атаки. Однако, это не самое оптимальное решение, так как необходимы дополнительные системные ресурсы.
Способ 2. Уменьшение периода ожидания установки соединения.
Так же можно сократить интервал ожидания на установку соединения. Тем не менее, это тоже не самое оптимальное решение проблемы.
Способ 3. Использование пакетов обновления программного обеспечения.
На самом деле, большинство современных операционных систем уже имеют встроенные механизмы выявления и предотвращения данной атаки. Например, ядро системы Linux версии 2.0.30 и более поздних версий имеет режим SYN cookie, который позволяет легитимным пользователям устанавливать соединение даже в момент атаки. В системах
Windows NT необходимо установить обновление SP2 или более позднее. В данных обновлениях реализован динамический механизм выделения ресурсов, поэтому очередь на установку соединения никогда не будет переполнена.
3.4

Атаки DNS. (Основываясь на источниках
[5], [9], [10]
)

Существует очень много неправильно настроенных DNS-серверов, которые способны принять запрос от любого пользователя. Атаку можно осуществить следующим образом: злоумышленник посылает запрос на DNS-север, который вернёт как можно больше информации, например, «ANY» и подменяет обратный адрес на адрес жертвы. Так как обычно пропускные способности DNS-серверов достаточно высоки, злоумышленнику не составляет труда организовать атаку в несколько десятков Гбит/с.
Контрмеры: защита от DNS-атаки.
[1]
К сожалению, нет действенных мер для предотвращения данной атаки, вы можете только выиграть время, чтобы собрать необходимую информацию об ip-адресах атакующих машин и передать данную информацию вашему провайдеру, для фильтрации трафика.

6
3.5

Атака Ping of Dead. (Источник
[11].
)
Нападение типа ping-of-death выполняется путем посылки ping пакета, размер которого превышает максимально допустимый размер IP пакета 65,536 байт. Этот пакет делится на фрагменты, а когда получающий хост пытается вновь собрать этот большой пакет, многие машины при попытке выделить память для этого пакета с фиктивной длиной ведут себя не очень грациозно и обычно перезагружаются. Данная уязвимость применима к любому транспортному протоколу, который поддерживает фрагментацию
(TCP, UDP, IGMP, ICMP и др.).
Контрмеры: защита от атаки PoD.
[12]
Решением данной проблемы является введение дополнительной проверки размера собираемого пакета при получении, которая суммирует смещения фрагментации всех связанных пакетов. Если общая сумма превысит 65 535, пакет считается неправильным и отбрасывается. Подобная проверка может проводиться и в межсетевых экранах.
3.6

Атака методом slow HTTP POST.
[13]

Атака базируется на уязвимости в протоколе HTTP. Slow HTTP POST атака работает следующим образом: злоумышленник отправляет POST заголовок с легитимным полем
«Content-Length», которое позволяет веб серверу понять, какой объём данных к нему поступает. Как только заголовок отправлен, тело POST сообщения начинает передаваться с очень медленной скоростью, что позволяет использовать ресурсы сервера намного дольше, чем это необходимо, и, как следствие, помешать обработке других запросов.
Контрмеры: защита от атаки slow HTTP POST.
Установить перед Web-сервером производительный Nginx
[14]
для кэширования запросов.
Данная атака была проведена на сайт http://www.kibia.ru/
, на котором, как мне помнится, стоит nginx. Использовалась утилита OWASP HTTP Post Tool[
15]
. После прохождения приблизительно 300+ запросов остальные запросы начинали отбрасываться.
4.

Распределенные атаки DoS.
[16]

Атака DDoS запускается в два этапа. Во-первых, злоумышленник строит сеть атаки которая разрастается и состоит из тысяч заражённых компьютеров(так называемых зомби или ботов). Затем злоумышленник направляет весь потом трафика в сторону жертвы
(рисунок 4.1).
Для построения сети, злоумышленник ищет компьютеры, которые не защищены должным образом. Существует два пути захвата уязвимого хоста, первый из них – побудить пользователя запустить вредоносную программу, такую как вирус , второй – использование автоматизированных программ, таких как черви, которые могут автоматически просканировать удалённые компьютеры. Далее с помощью захваченных

7 компьютеров ищутся уязвимости на других удалённых машинах, для построения огромной сети ботов(зомби).
Рисунок 4.1. Схема осуществления DDoS-атаки
Чаще всего боты могут синхронизировать свои действия с помощью скрытых каналов.
Например протокол IRC является законной услугой связи и злоумышленник может посылать команды через данный протокол, чтобы координировать поведение ботов. Часто пакеты IRC дополнительно маскируются, чтобы раскрытие одного бота не привело к идентификации другого бота или злоумышленника. Чтобы дополнительно избежать обнаружение, злоумышленник часто меняет IRC каналы. Такое поведение можно было наблюдать у BotNet(2005 год) и MyDoom(2004 год).
Далее рассмотрим классификацию DDoS атак(согласно источнику
[16]
):
1.
Способы сканирования уязвимых компьютеров.

Простое сканирование(Scanning). Злоумышленник вручную сканирует удалённые компьютеры на возможные уязвимости и осуществляет атаку. В настоящее время сканирование выполняется автоматически червями.

Случайное сканирование(Random scanning). При случайном сканировании, каждый заражённый компьютер исследует случайные адреса в сети интернет или локальном пространстве IP-адресов. Так как правила сканирования не синхронизированы между атакующими хостами, часто появляются дублирующиеся боты по тем же адресам.

HitList сканирование(Hitlist scanning). Заражённый компьютер выполняет сканирование на основе HitList списка загружаемого извне. Когда происходит обнаружение уязвимого компьютера результат посылается злоумышленнику. Такой подход позволяет заразить все уязвимые компьютеры из списка за 30 секунд(Staniford et al. 2002). Тем не менее,
HitList должен быть собран заранее с помощью других методов сканирования.

Сканирование через указатели(Signpost scanning). Данный подход использует шаблоны связей скомпрометированного компьютера. Например,

8 черви могут анализировать адресную книгу электронной почты, чтобы выбрать новые цели. Недостатком является то, что скорость распространения зависит от поведения пользователей и не контролируется атакующим.
2.
Цели.

Серверное приложение. Данное нападение приведёт к отключению ресурса и, возможно, связанных ресурсов, из-за чего законные клиенты не смогут воспользоваться услугой.

Доступ к сети. Этот тип атаки отключает доступ к компьютеру жертвы или сети. Примером может служить UTP-атака.

Инфраструктура. Атаки на целевые узлы, отвечающие за работоспособность в сети Интернет. Это могут быть атаки на серверы доменных имён, маршрутизаторов и т.д.
3.
Воздействие.

Разрушительное. Цель разрушительной атаки, чтобы полностью затормозить или остановить службу жертвы, так, чтобы клиенты не смогли получить доступ к данному ресурсу.

Понижение работоспособности. Цель атаки потребить некоторую часть ресурсов, чтобы серьёзно снизить качество обслуживания. Если клиенты будут недовольны качеством обслуживания, они могут отказаться от данного поставщика услуг.
Основные инструменты для осуществления DDoS-атак и методы противодействия
[17]:
Trinoo. Основываясь на источнике.
Trinoo позволяет осуществлять SYN распределённые DoS-атаки. Связь между клиентом и ботами происходит через незашифрованное UDP. Обычно используется 27665 TCP-порт и
27444 UDP-порт. Дополнительная информация приведена в документе Дэвида Дитриха
«The DoS Project's "trinoo" distributed Denial of Service attack tool, October 21, 1999».
[18]
TFN. Основываясь на источнике.
Пакет TFN способен воспроизводить сразу несколько типов атак: ICMP-, UDP-, SYN-,
Smurf-атаки. Заметное отличие программы TFN от Trinoo состоит в том, что все коммуникации между клиентом и демонами происходят через ICMP ECHO пакеты. Так как TCP и UDP трафик отсутствует, обнаружить TFN гораздо сложнее, потому что многие системы мониторинга даже не настроены на запись трафика ICMP. Дополнительная информация доступна в статье Дэвида Дитриха «The "Tribe Flood Network" distributed denial of service attack tool, October 21, 1999».
[19]
Stacheldraht. Основываясь на источнике.
Stacheldraht появился в конце лета 1999 года и сочетает в себе черты Trinoo и TFN. Теперь сеанс связи между главным и подчинёнными модулями зашифрован, а так же доступно обновление серверного компонента с использование команды RCP. Как и в TFN можно осуществлять ICMP, UDP, SYN и Smurf атаки. Дополнительная информация в статье

9
Дэвида Дитриха «The "stacheldraht" distributed denial of service attack tool, December 31,
1999».
[20]
TFN2K. Основываясь на источнике.
TFN2K – следующее поколение пакета TFN. Главное особенностью является: шифрование трафика, атака с произвольно выбранных портов, использование нескольких транспортных протоколов, чтобы скрыть истинный источник атаки, переключение между различными методами атак. Как и TFN, пакет TFN2K поддерживает SYN-, UDP-, ICMP- и
Smurf-атаки. Более подробная информация доступна в докладе Jason Barlow и Woody
Thrower, Axent Security Team, "TFN2K - An Analysis", March 7, 2000.
[21]
Обнаружение. Основываясь на источнике
[17].
Для выявления DDoS-атак можно использовать следующие инструменты:

NIPC Tools.
[22]
Находит установки на жёсткий диск используя сканирование файлов.

Zombie Zapper.
[23]
Способна обнаружить атаки Trinoo, TFN, Stacheldraht в момент начала атаки.

Remote Intrusion Detector(RID).
[24]
Обнаруживает атаки Trinoo, Stacheldraht, TFN.
Предотвращение. (Исходя из источников
[1], [3]
)
Нужно не допускать использование компьютеров в качестве «ботов». Необходимо ограничить использование ненужных служб, установить модули обновлений операционной системы, задать необходимые привилегии на доступ к файлам и каталогам.
Чтобы предотвратить нападение на ваш компьютер других «ботов», правильно настройте фильтрацию на пограничных маршрутизаторах, а так же используйте фильтрацию ICMP пакетов, чтобы исключить применение Smurf-атаки.
5. Заключение
Стремительно возрастает популярность распределенных атак DoS. поскольку необходимые для этого средства становятся абсолютно доступны и для их использования не требуется никаких особых знаний. Эти атаки являются наиболее разрушительными, так как при этом быстро "захватываются" даже большие узлы Internet, которые становятся абсолютно неработоспособными.
Ввиду того что электронная коммерция продолжает играть основную роль в электронной промышленности, воздействие атак DoS на электронное сообщество будет все время возрастать. В настоящее время многие организации начали получать свои доходы от предоставления интерактивных ресурсов. В результате распределенная атака DoS может при вести некоторые из них к банкротству. Что еще более важно, так это возможности сокрытия, которые в каждой атаке используются в полной мере. И наконец, не забывайте о том, что атаки DoS применяются и в милитаристских целях. Многие правительства планируют или уже приступили к разработке приемов ведения электронных войн, в которые вовлечены атаки DoS, а не обычные ракеты. Поистине пришло время кибертерроризма.

10
Список литературы:
1.
Коллектив авторов «Иллюстрированный самоучитель по защите в Интернет». —
2004. — С. 2, 3, 4, 5, 6, 7, 8, 9, 12. URL: http://lib.qrz.ru/node/14677 2.
Стивен Норткат, Джуди Новак. Обнаружение нарушений безопасности в сетях. Третье издание. Перевод с английского: Издательский дом «Вильямс», 2003 – 448 стр. Стр.
75-87.
3.
Скудис Э. Противостояние хакерам. М.: ДМК Пресс, 2003. — 506 с. –с. 349-370.
4.
Craig A. Huegen. THE LATEST IN DENIAL OF SERVICE ATTACKS: "SMURFING".
// URL:
http://www.pentics.net/denial-of-service/white-papers/smurf.html
5.
Википедия. Свободная энциклопедия. DoS-атака. // URL: http://ru.wikipedia.org/wiki/DoS-атака
6.
How to Prevent Denial of Service (DoS) Attack. // URL: http://www.ids- sax2.com/articles/PreventDosAttacks.htm
7.
И. Д. Медведовский, П. В. Семьянов, Д. Г. Леонов «Атака на Internet». Издательство
ДМК. -1999. -332стр. 120-125с.
8.
О. М. Бойцев. Защити свой компьютер на 100% от вирусов и хакеров. 2008г. -340с.
9.
Alert (TA13-088A). DNS Amplification Attacks. // URL: http://www.us- cert.gov/ncas/alerts/TA13-088A
10.
Журнал Хакер. DDoS с умножением через DNS-резолверы: технические подробности.
// URL: http://www.xakep.ru/post/59564/
11.
Cisco. Средства сдерживания нападений типа "отказ в сервисе". // URL: http://www.cisco.com/russian_win/warp/public/3/ru/solutions/sec/mer_cisco_aud-dos.html
12.
Википедия. Ping of Dead. // URL: http://ru.wikipedia.org/wiki/Ping_of_death
13.
Атака на отказ в обслуживании методом slow HTTP POST. // URL: http://habrahabr.ru/post/116056/
14.
NGINX. // URL: http://nginx.org/ru/
15.
OWASP HTTP Post Tool. // URL: https://www.owasp.org/index.php/OWASP_HTTP_Post_Tool
16.
Denial of Service Attacks. Qijun Gu, PhD. Department of Computer Science Texas State
University. // URL: http://s2.ist.psu.edu/paper/DDoS-Chap-Gu-June-07.pdf
17.
Advanced Networking Management Lab (ANML)
Distributed Denial of Service Attacks(DDoS) Resources. // URL: http://web.archive.org/web/20100709203539/http://anml.iu.edu/ddos/index.html
18.
David Dittrich, "The DoS Project's "trinoo" distributed Denial of Service attack tool, October
21, 1999. // URL: http://staff.washington.edu/dittrich/misc/trinoo.analysis.txt
19.
David Dittrich, The "Tribe Flood Network" distributed denial of service attack tool, October
21, 1999. // URL: http://staff.washington.edu/dittrich/misc/tfn.analysis.txt
20.
David Dittrich, The "stacheldraht" distributed denial of service attack tool, December 31,
1999. // URL: http://staff.washington.edu/dittrich/misc/stacheldraht.analysis.txt
21.
Jason Barlow and Woody Thrower, Axent Security Team, "TFN2K - An Analysis", March 7,
2000. // URL: http://www.securiteam.com/securitynews/5YP0G000FS.html
22.
NIPC Tools. // URL: http://www.nipc.gov

11 23.
Zombie Zapper. // URL: http://razor.bindview.com
24.
Remote Intrusion Detector(RID) . // URL: http://www.theorygroup.com/Software/RID


Поделитесь с Вашими друзьями:


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал