На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Распределенные атаки на отказ от обслуживания

Атаки на отказ от обслуживания, нацеленные на конкретные Web-узлы, вызывают переполнение последних за счет преднамеренного направления на них Internet-тра-
фика большого объема. Такие атаки, предусматривающие за­пуск программ, иногда называемых зомби, ранее были скрыты на сотнях подключенных к Internet компьютерах, которые при­надлежали обычно ничего не подозревающим организациям.
Распределенные атаки на отказ от обслуживания — DDoS
(Distributed Denial of Service) — сравнительно новая разновид­ность компьютерных преступлений. Но распространяется она с пугающей скоростью.


Средства для атак на отказ от обслуживания
АТАКУЮЩИЕ СЕРВЕРЫ
Сетевые атаки на отказ от обслуживания заметно участились после 1996 года, ког­да на Web-серверы обрушились потоки SYN. Winnuke, teardrop, Land, bonk, snork и smurf — вот лишь некоторые из средств реализации таких атак, которые выводят из строя системы или засоряют сети. Мало того, что сами по себе эти атаки довольно неприятны, теперь они могут инициироваться одновременно с сотен управ­ляемых атакующих серверов.
На узлах, организованных хакерами, можно найти три инструментальные средства для атак DDoS: trinoo, Tribe FloodNet (TFN) и TFN2K. Совсем недавно появилось еще одно — stacheldraht (что в переводе с немецкого означает «колючие провода»), соче­тающее в себе наиболее неприятные качества TFN и trinoo. представлены характеристики средств для атак на отказ от обслуживания.
При обычной сетевой атаке на отказ от обслуживания хакер использует инстру­ментарий для посылки пакетов выбранной им системе. Эти пакеты должны вызвать переполнение и сбой на целевой системе и спровоцировать ее перезагрузку. Доволь­но часто адрес отправителя таких пакетов искажается, в силу чего обнаружить реаль­ный источник атаки оказывается крайне трудно. Изменить адрес отправителя ничего не стоит, поскольку от жертвы не требуется ответных сообщений.
Организация атаки DDoS по-прежнему под силу одному хакеру, но эффект такой атаки значительно усиливается за счет использования атакующих серверов, извест­ных как агенты. Этими агентами, которых в trinoo называют демонами (daemon), а в TFN — серверами (server), удаленно управляет хакер.
Получить представление о масштабах подобной атаки можно хотя бы на таком при­мере: в нападении на один сервер университета штата Миннесота в различное время было согласованно задействовано более 1000 систем. Атака не только привела к от­ключению этого сервера, но и блокировала доступ ко всей сети кото­рую связывали с Internet два соединения.


Прежде чем начать атаку DDoS, хакер должен проделать предварительную работу, в том числе получить доступ с правами корня (root) или администратора на макси­мально возможное число систем. До сих пор в качестве агентов при атаке DDoS ис­пользовались системы Solaris и Linux. Для получения доступа проводится поиск уяз­вимых мест систем с помощью таких сканирующих инструментальных средств, как sscan. Затем хакер, используя соответствующий сценарий, проникает в каждую из си­стем и выполняет установку серверного программного обеспечения.
Для такой инсталляции часто применяется команда удаленного копирования. Сер­вер, на котором устанавливается программное обеспечение, станет еще одной жерт­вой и внезапное увеличение частоты применения команды удаленного копи­рования обычно служит признаком того, что система не только взломана, но и может использоваться для проникновения на многие другие.
Как только установлен и запущен атакующий сервер — все готово к началу атаки. Чем больше вовлеченных систем, тем массивнее будет атака.
Основными источниками и объектами атак DDoS до сих пор были некоммерческие узлы. Большинство компаний имеют межсетевые экраны, которые помогают предотв­ратить проникновение на узлы с целью их использования для распределения агентов или в качестве хостов для самих агентов. Однако если межсетевой экран плохо скон­фигурирован, это равносильно его отсутствию, поэтому сам факт установки экрана вовсе не гарантирует надежную защиту.
Если атака DDoS началась, остановить ее очень сложно. Пакеты, появляющиеся на вашем межсетевом экране, можно здесь блокировать, но они могут столь же легко переполнить вход вашего Internet-соединения. Если адреса отправителей этих пакетов не были искажены, можно попытаться связаться с задействованными системами и по­просить их отключить агентов. Таких систем может быть несколько сотен по всему миру. Если же адреса искажены, вы не узнаете, действительно ли они соответствуют адресам отправителей пакетов до тех пор, пока не разыщете несколько мнимых от­правителей (если только выбранные адреса не были адресами RFC 1918).
TFN и trinoo используют различные подходы к удаленному управлению. В обоих случаях хакер применяет клиента для передачи команд, управляющих агентами. Ядро trinoo, называемое обработчиком, ждет сигнала, приходящего на порт 27665/ТСР для организации соединения, устанавливая его только после того, как передан соответ­ствующий пароль (по умолчанию это betaalmostdone). Как только хакер аутентифици-рован обработчиком, он послать команды всем агентам о начале передачи по-
токов UDP на одну или несколько целевых систем в течение известного периода времени (от 1 до 2000 с). Адреса отправителя пакетов trinoo не искажаются, в силу чего определить, какие системы являются агентами, довольно просто. Единственная трудность состоит в том, что их может оказаться очень много.
TFN использует ответные сообщения ICMP (Internet Control Message Protocol; для взаимодействия с клиентами и агентами. Пакеты того же типа пересылаются и в ответ­ных сообщениях команды Ping. Различным командам присваиваются разные кодовые зна­чения; например, 345 означает старт потока SYN. Инструментарий TFN поддерживает несколько разновидностей атак на отказ от обслуживания: потоки SYN, UDP, ICMP и smurfmg. Поскольку сервер TFN работает как корневой, адреса отправителя могут быть искажены (скорее всего, так и будет сделано), чтобы затруднить поиск источников атаки.


TFN2K появился в декабре 1999 года и предусматривает надежный уровень шиф­рования (алгоритм CAST-256) при управлении пакетами. Этот метод передачи управ­ляющих сообщений был усовершенствован для того, чтобы разрешить искажение ад­ресов отправителей и передачу пакетов различных типов. Агент TFN2K анализирует сетевой интерфейс и проверяет приходящие из адреса клиентской сети данные, кото­рые он может дешифровать в корректные команды. Все это еще больше усложняет выявление и отслеживание обработчика. Обработчику не передаются никакие ответ­ные сообщения, поэтому он делает вывод, что агент TFN отвечает исключительно по собственному усмотрению.
Инструментарий stacheldraht сочетает в себе возможности TFN и trinoo. Как и TFN, stacheldraht способен искажать адреса отправителей. Кроме того, он может проводить тестирование, чтобы выявить присутствие фильтрации RFC 2267, попытавшись пере­дать пакет с адресом отправителя 3.3.3.3. Если тот блокируется, значит, адреса отпра­вителей по-прежнему искажены, но только в последних восьми битах адреса. Stacheldraht предоставляет возможность модернизации, что позволяет автоматически заменить агентов на новые и запустить их. Stacheldraht использует зашифрованные пакеты TCP (аналогично trinoo) для взаимодействия между клиентами (интерфейс ха­кера) и обработчиками. Для связи с агентами он также использует зашифрованные па­кеты TCP или ICMP. Теперь нетрудно представить себе «удовольствие» стать объек­том нападения одновременно сотен хакеров.
Из-за огромного числа систем, вовлеченных в атаки DDoS, попытки прекратить эти атаки практически обречены на провал. Однако существуют превентивные меры, предпринимая которые можно вообще не допустить подобных нападений. Главное — учесть, что атаки начинаются с поиска тысяч уязвимых систем, подключенных к Internet, и последующего проникновения в них. Если эти системы обновить, проникновение можно предотвратить.
Наконец, можно сделать так, чтобы сети не становились источником пакетов с ис­каженными адресами отправителя. RFC 2267 описывает методику проверки прав дос­тупа, то есть фильтрации пакетов при их входе в сеть так, чтобы только пакеты с ле­гальными адресами отправителя могли преодолеть маршрутизаторы. Остановка всех пакетов с искаженными адресами не предотвратит подобной атаки, но навести поря­док после ее завершения будет намного проще.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика