NA CD

NEWSY

Z OK£ADKI

FIRMA

MAGAZYN

PROGRAMY

WARSZTAT

bezpieczeñstwo

INTERNET.luty.2005

48

Anatomia zagrożenia i metody obrony

Ataki typu DoS

komputerowym. Ich celem jest uniemo¿-
liwienie firmie lub organizacji dostarcza-
nia us³ug swoim u¿ytkownikom i klien-
tom. Serwery WWW przestaj¹ udostêp-
niaæ strony, serwery pocztowe nie odbie-
raj¹ i nie wysy³aj¹ wiadomoœci, a zablo-
kowane rutery odcinaj¹ dostêp do Inter-
netu. U¿ytkownicy domowi oraz biuro-
wi generalnie nie s¹ zagro¿eni, chocia¿
ich komputery mog¹ zostaæ wykorzysta-
ne do przeprowadzenia ataku. Do ofiar
ataków DoS mo¿na zaliczyæ tak¿e klien-
tów zaatakowanych serwisów, którzy nie
mog¹ korzystaæ z zablokowanych us³ug.

Rozró¿niamy ataki destrukcyjne oraz

ataki obni¿aj¹ce sprawnoœæ systemu. Ce-
lem ataku destrukcyjnego jest ca³kowite
odciêcie klientów od atakowanego serwi-
su. W przypadku ataków obni¿aj¹cych po-
ziom konsumowana jest tylko pewna
czêœæ zasobów ofiary.

Ataki DoS mo¿na równie¿ podzieliæ

na skierowane przeciwko sieci oraz prze-
ciwko systemom komputerowym. Ataki

z pierwszej kategorii wykorzystuj¹ s³a-
boœæ ofiary wynikaj¹c¹ z ograniczonej
przepustowoœci po³¹czenia z Internetem.
£¹cza poszkodowanego s¹ zalewane du¿¹
iloœci¹ danych, przez co w³aœciwa komu-
nikacja zostaje bardzo utrudniona lub jest
w ogóle niemo¿liwa. W przypadku ata-

S³ynne ataki DoS

Najs³ynniejsza seria ataków DDoS mia³a miej-
sce w lutym 2000 r. Jako pierwszy zosta³ za-
atakowany serwis Yahoo. W efekcie zalewu
strumieniem pakietów o wielkoœci 1 GB ser-
wis by³ niedostêpny przez 3 godziny. Nastêp-
nego dnia celem ataków sta³y siê serwisy
CNN.com, eBay.com, Buy.com oraz Ama-
zon.com. Ka¿dy z tych ataków trwa³ od jed-
nej do czterech godzin. Z kolei 9 lutego za-
atakowano serwery nale¿¹ce do ETrade oraz
ZDNet. Sprawc¹ ataków okaza³ siê 16-letni
uczeñ z Kanady o pseudonimie Mafiaboy.

Ataki typu DoS

Œwiatowa pajêczyna wcale nie jest bezpiecznym miejscem.
Lista zagro¿eñ jest d³uga i stale roœnie. Obok takich
niebezpieczeñstw jak wirusy czy w³amania do systemów
coraz powszechniejsze staj¹ siê ostatnio ataki blokuj¹ce
dostêp do zasobów i us³ug sieciowych.

Wojciech £amek

Metody obrony przed atakami typu SYN Flood

A

taki typu odmowa us³ugi (ang. De-
nial of Service, DoS) s¹ skierowa-
ne przeciwko sieciom i systemom



WARSZTAT

NA CD

NEWSY

Z OK£ADKI

FIRMA

MAGAZYN

PROGRAMY

bezpieczeñstwo

INTERNET.luty.2005

49

ku skierowanego przeciwko systemowi,
agresor mo¿e mieæ na celu ca³kowite
unieruchomienie serwera b¹dŸ te¿ zablo-
kowanie jednej z jego us³ug. Innym spo-
sobem ataku na system komputerowy jest
zajêcie jego zasobów. Poniewa¿ ka¿dy
komputer ma ograniczon¹ iloœæ zasobów
potrzebnych do dzia³ania (pamiêæ ope-
racyjn¹, moc obliczeniow¹ procesora,
przestrzeñ dyskow¹ itp.), atakuj¹cy mo¿e
podj¹æ dzia³ania zmierzaj¹ce do ich wy-
czerpania.

Ataki DoS mog¹ byæ przeprowadza-

ne ze sta³ym lub zmiennym natê¿eniem.
W wiêkszoœci przypadków mamy do czy-
nienia ze sta³ym poziomem natê¿enia,
kiedy to atakuj¹cy przez ca³y czas gene-
ruje ruch pakietów z maksymaln¹ si³¹.
Taki atak z jednej strony bardzo szybko
blokuje dostêp do us³ugi, z drugiej jest
natychmiast wykrywany. Ataki zmienne
s¹ trudniejsze do rozpoznania, poniewa¿
natê¿enie zmienia siê przez ca³y okres ich
trwania. Jeœli si³a ataku zwiêksza siê po-
woli, prowadzi to do stopniowego wy-
czerpywania zasobów ofiary. W efekcie
zagro¿enie mo¿e zostaæ wykryte dopie-
ro po d³u¿szym czasie.

Ataki pojedyncze

Pierwsze ataki typu DoS by³y atakami po-
jedynczymi (point-to-point), w których
komunikacja przebiega³a bezpoœrednio
pomiêdzy komputerem atakuj¹cego a ma-
szyn¹ ofiary. Do tej grupy nale¿y flo-
oding, który polega na zalewaniu ofiary
du¿¹ iloœci¹ pakietów, co prowadzi do
zapchania ³¹cza. Celem ataku typu flood
mo¿e staæ siê równie¿ serwer IRC. Pod-
czas ataku IRC Flood wybrany kana³ IRC
jest zalewany du¿¹ iloœci¹ tekstu, co
znacznie utrudnia rozmowê prowadzon¹
przez u¿ytkowników kana³u.

Jednym z pierwszych ataków DoS by³

SYN Flood, który polega na zalewaniu
ofiary du¿¹ iloœci¹ pakietów inicjuj¹cych
po³¹czenie. Serwer odpowiada na taki
strumieñ odpowiednimi pakietami, jed-
nak nie otrzymuje od klienta potwierdze-
nia. Okres przez jaki serwer bêdzie pró-
bowa³ skontaktowaæ siê z klientem ró¿ni
siê w zale¿noœci od systemu operacyj-
nego i mo¿e dochodziæ do kilku minut.
W tym czasie po³¹czenie jest w po³owie
otwarte, a po wygaœniêciu limitu czasu
zostaje zamkniête. Ka¿demu czêœciowo
otwartemu po³¹czeniu zostaje przydzie-
lony w pamiêci operacyjnej bufor prze-
chowuj¹cy przychodz¹ce pakiety oraz
numer IP i port Ÿród³owy klienta. Celem

ataku SYN Flood jest zajêcie wszystkich
dostêpnych slotów, w wyniku czego sys-
tem przestaje akceptowaæ przychodz¹ce
po³¹czenia.

Aby wyeliminowaæ niebezpieczeñ-

stwo ataku, nale¿y dokonaæ zmiany w ob-
s³udze nawi¹zywania po³¹czenia TCP.
Jednym z takich rozwi¹zañ jest SYN Co-
okies. Metoda ta polega na tym, ¿e do
ka¿dego pakietu wysy³anego przez ser-
wer zostaje do³¹czona informacja (co-
okie), która nastêpnie wraca do serwera
wraz z odpowiedzi¹ klienta. Poniewa¿
cookie zawiera wszystkie dane potrzeb-
ne do odtworzenia po³¹czenia, serwer nie
musi przechowywaæ informacji na temat
niekompletnych po³¹czeñ. Inne rozwi¹-
zanie to SYN Defender. W tym przypad-
ku, kiedy serwer wyœle pakiet do klien-
ta, chroni¹cy go firewall sam wygeneru-
je odpowiedŸ. Trzeci¹ powszechnie sto-
sowan¹ technik¹ obrony jest SYN Pro-
xy. Metoda ta opiera siê na buforowaniu

przez zaporê ogniow¹ ca³ego procesu
nawi¹zywania po³¹czenia. Po otrzymaniu
ostatecznej odpowiedzi od klienta fire-
wall „powtarza” sekwencjê nawi¹zywa-
nia po³¹czenia z serwerem.

Ping of Death jest atakiem, który wy-

korzystuje b³êdn¹ obs³ugê protoko³u IP
przez system operacyjny. Podczas ataku
do ofiary jest wysy³any pofragmento-
wany pakiet IP. Poszczególne fragmenty
zostaj¹ tak spreparowane, aby po ich
z³o¿eniu przez odbiorcê powsta³ pakiet
o d³ugoœci przekraczaj¹cej maksymalny
rozmiar pakietów IP. Odebranie takich
nieprawid³owych danych czêsto powodo-
wa³o zawieszenie siê lub restart serwera.
Obecnie w wiêkszoœci systemów opera-
cyjnych poprawiono obs³ugê defragmen-
tacji pakietów, przez co ataki tego typu
nie stanowi¹ ju¿ zagro¿enia.

Innym atakiem wykorzystuj¹cym pro-

blemy ze sk³adaniem nieprawid³owych
fragmentów danych przez system opera-

Struktura
pakietów
w atakach
wykorzystu-
j¹cych
nieprawi-
d³ow¹
fragmentacjê
danych

Anatomia ataku
typu Land

NA CD

NEWSY

Z OK£ADKI

FIRMA

MAGAZYN

PROGRAMY

WARSZTAT

bezpieczeñstwo

INTERNET.luty.2005

50

cyjny jest Teardrop. Stosuj¹c tê technikê
atakuj¹cy generuje pofragmentowany pa-
kiet IP w ten sposób, aby poszczególne
jego czêœci nachodzi³y na siebie. Podob-
nie jak w przypadku Ping of Death, zmia-
na w algorytmie sk³adania pakietów wy-
eliminowa³a zagro¿enie ze strony ataków
tego typu.

Atak z wykorzystaniem wzmacniacza

Atak Smurf

Przebieg ataku Chargen

IP Spoofing

Adres Ÿród³owy pakietu przesy³anego
przez Internet jest normalnie adresem
komputera z którego wys³ano dane. Jed-
nak u¿ytkownik, który kontroluje sys-
tem, mo¿e wymusiæ zast¹pienie praw-
dziwego adresu innym. Fa³szowanie
adresu nadawcy jest okreœlane jako IP
Spoofing i s³u¿y ukryciu prawdziwego
Ÿród³a ataku.

Podstawow¹ metod¹ obrony przed

technik¹ IP Spoofing jest uniemo¿liwie-
nie wysy³ania pakietów z nieprawdziwy-
mi adresami IP. Taka funkcja mo¿e byæ
jednak realizowana tylko w sieci z której
wysy³ane s¹ pakiety. Niestety, wielu ad-
ministratorów nie filtruje wychodz¹cych
z ich sieci danych pod k¹tem fa³szywych
adresów Ÿród³owych.

Opracowano równie¿ techniki s³u¿¹-

ce lokalizacji atakuj¹cego pomimo sfa³-
szowania adresu. Jedna z nich polega na

tym, ¿e rutery znajduj¹ce siê na trasie pa-
kietów do³¹czaj¹ do nich mocno skom-
presowan¹ informacjê, która pozwoli
odbiorcy okreœliæ trasê przebyt¹ przez
pakiet. Inne rozwi¹zanie polega na wy-
sy³aniu przez ka¿dy ruter wiadomoœci
ICMP do adresata pakietów, które w³a-
œnie przes³a³.

Zmieniony adres Ÿród³owy mo¿e zo-

staæ równie¿ wykorzystany do stworzenia
pêtli komunikacyjnej. Przyk³adem mo¿e
byæ atak Land, bêd¹cy odmian¹ SYN Flo-
od. W tym przypadku pakiety SYN wy-
sy³ane przez atakuj¹cego maj¹ identycz-
ny adres nadawcy i odbiorcy, który jest
jednoczeœnie adresem ofiary. W efekcie

atakowana maszyna próbuje nawi¹zaæ
po³¹czenie z sam¹ sob¹, co prowadzi do
powstania nieskoñczonej pêtli i blokady
stosu TCP. Efektem ataku Land by³o za-
zwyczaj zawieszenie siê systemu opera-
cyjnego. Obecnie nie stanowi ju¿ zagro-
¿enia, poniewa¿ w najnowszych wersjach
systemów operacyjnych poprawiono im-
plementacjê stosu TCP, a ponadto atak
tego typu mo¿e byæ skutecznie blokowa-
ny za pomoc¹ zapór ogniowych.

Ataki ze wzmacniaczami

Najczêstszym problemem z jakim styka siê
intruz, który chce przeprowadziæ atak DoS,
jest zbyt ma³a przepustowoœæ posiadanego
³¹cza z Internetem w porównaniu z ³¹czem
atakowanego. Rozwi¹zaniem tego proble-
mu mo¿e byæ wykorzystanie innych kom-
puterów do wzmocnienia (powielenia) ata-
ku. Jako powielacza mo¿na u¿yæ jednej ma-
szyny, jak równie¿ ca³ej sieci.

Jednym z ataków stosuj¹cych efekt

wzmocnienia jest Smurf, który wykorzy-
stuje sieæ komputerow¹ do zwielokrotnie-
nia transmisji pakietów. Atak Smurf po-
lega na tym, ¿e na adres rozg³oszeniowy
wybranej sieci zostaje wys³ana du¿a licz-
ba pakietów ICMP echo request, w któ-
rych jako adres Ÿród³owy podano adres



WARSZTAT

NA CD

NEWSY

Z OK£ADKI

FIRMA

MAGAZYN

PROGRAMY

bezpieczeñstwo

INTERNET.luty.2005

51

atakowanego komputera. Ka¿da z maszyn
w sieci odpowiada na to ¿¹danie, wysy³a-
j¹c na adres ofiary komunikat ICMP echo
reply. W efekcie komputer bêd¹cy celem
ataku jest zalewany pakietami zwielokrot-
nionymi tyle razy, ile komputerów odpo-
wiedzia³o na komunikat. Podstawow¹
metod¹ uniemo¿liwiaj¹c¹ przeprowadze-
nie ataku Smurf jest ignorowanie przez
ruter brzegowy (³¹cz¹cy sieæ z reszt¹ In-
ternetu) ¿¹dañ ICMP echo wysy³anych na
adres rozg³oszeniowy sieci.

Jako powielacze mog¹ byæ równie¿

u¿yte serwisy dzia³aj¹ce na bazie proto-
ko³u UDP. W tym celu najczêœciej ko-
rzysta siê z us³ugi chargen. Chargen
(Character Generator) jest to serwis, któ-
ry w odpowiedzi na dowolny pakiet wy-
s³any na port 19 generuje wiadomoœæ za-
wieraj¹c¹ ci¹g znaków o losowej d³ugo-
œci. Ataki z wykorzystaniem tej us³ugi
mog¹ przybieraæ dwie formy. W pierw-
szym przypadku atakuj¹cy wysy³a na port
chargen pakiety UDP o jak najmniejszej
wielkoœci. W odpowiedzi serwer wysy³a
do ofiary pakiety zawieraj¹ce dane o d³u-
goœci od 0 do 512 znaków. Drugi rodzaj
ataku wymaga znalezienia dwóch kompu-
terów z dzia³aj¹c¹ us³ug¹ chargen. Agre-
sor wysy³a na adres pierwszej ofiary pa-
kiet UDP, podaj¹c jako nadawcê drug¹
maszynê. Komputer odpowiada na pakiet
UDP, wysy³aj¹c ci¹g znaków na port char-
gen drugiego serwera. Ten z kolei tak¿e
generuje odpowiedŸ, co prowadzi do po-
wstania nieskoñczonej pêtli, która poch³a-
nia ca³¹ przepustowoœæ ³¹cza pomiêdzy
zaatakowanymi maszynami. Aby unie-
mo¿liwiæ przeprowadzenie ataku z wyko-
rzystaniem serwisu Chargen, wystarczy
wy³¹czyæ tê us³ugê na serwerze.

DDoS

Mimo zastosowania wzmacniaczy agre-
sor mo¿e nie uzyskaæ wystarczaj¹cej si³y
potrzebnej do przeprowadzenia skutecz-
nego ataku DoS. Ju¿ samo znalezienie
odpowiedniej liczby komputerów umo¿-
liwiaj¹cych wzmocnienie strumienia pa-
kietów mo¿e byæ doœæ trudne. Si³ê do-
wolnego ataku DoS (pojedynczego lub
powielonego) mo¿na jednak wielokrot-
nie zwiêkszyæ, jeœli zostanie on przepro-
wadzony jednoczeœnie z wielu maszyn.
Taki atak, mog¹cy wykorzystywaæ nawet
tysi¹ce komputerów, nosi miano rozpro-
szonego ataku DoS (Distributed Denial
of Service).

W celu przeprowadzania ataku DDoS

hakerzy w³amuj¹ siê do komputerów pod-

Struktura sieci DDoS

³¹czonych do Internetu, a nastêpnie przej-
muj¹ nad nimi kontrolê. Proces ten jest
okreœlany jako tworzenie sieci DDoS
i przebiega w kilku etapach.

Budowa sieci rozpoczyna siê z kom-

putera atakuj¹cego (klienta), który skanuje
Internet w poszukiwaniu odpowiedniej
liczby s³abo zabezpieczonych maszyn.
Haker wykorzystuje b³êdy w konfigura-
cji oraz znane powszechnie dziury w bez-
pieczeñstwie systemów, aby siê do nich

w³amaæ. Po przejêciu kontroli nad ma-
szyn¹ atakuj¹cy instaluje program prze-
kszta³caj¹cy system w wêze³ sieci DDoS.
Wêze³ prowadzi dalsze poszukiwania da-
j¹cych siê przej¹æ maszyn, na których in-
staluje modu³ agenta, który bêdzie prze-
prowadzaæ w³aœciwy atak DoS. Poniewa¿
proces pozyskiwania agentów odbywa siê
automatycznie, atakuj¹cy jest w stanie
stworzyæ w ci¹gu godziny sieæ DDoS sk³a-
daj¹c¹ siê z kilku tysiêcy maszyn. Go-
towa sieæ tworzy hierarchiczn¹ strukturê,

w której klient kontroluje pewn¹ liczb¹
wêz³ów, a te z kolei zarz¹dzaj¹ podleg³y-
mi im agentami.

Atak rozpoczyna siê z komputera

klienta, który wysy³a odpowiedni rozkaz
do wêz³ów. Te z kolei przesy³aj¹ go da-
lej do agentów, którzy przeprowadzaj¹
wybrany typ ataku DoS. Agresor wysy-
³aj¹c sygna³ do ataku podaje godzinê jego
rozpoczêcia, czas trwania, cel oraz tech-
nikê ataku.

Sieæ DDoS zapewnia swojemu twór-

cy wysoki poziom bezpieczeñstwa. Po-
niewa¿ intruz w³amuje siê bezpoœrednio
tylko do kilku komputerów, a nastêpne
maszyny s¹ ju¿ przejmowane automa-
tycznie przez wczeœniej zara¿one kom-
putery, spada ryzyko, ¿e haker zostanie
wykryty podczas tworzenia sieci DDoS.
Równie¿ podczas ataku komputer agre-
sora pozostaje anonimowy, gdy¿ nie wy-
stêpuje przeciwko atakowanemu serwe-
rowi bezpoœrednio.

NA CD

NEWSY

Z OK£ADKI

FIRMA

MAGAZYN

PROGRAMY

WARSZTAT

bezpieczeñstwo

INTERNET.luty.2005

52

Zakoñczenie

Chocia¿ ataki Denial of Service nie pro-
wadz¹ do uzyskania przez intruza dostêpu
do systemu, jak równie¿ nie powoduj¹ utra-
ty lub kradzie¿y danych, mog¹ w znacz-
nym stopniu ograniczyæ lub nawet ca³ko-
wicie zablokowaæ zdolnoœæ organizacji do
prowadzenia dzia³alnoœci w Internecie.
Brak mo¿liwoœci œwiadczenia us³ug mo¿e
kosztowaæ firmê sporo czasu i pieniêdzy.
Atak DoS mo¿e te¿ prowadziæ do utraty
klientów, którzy zniechêceni przed³u¿aj¹c¹
siê niemo¿liwoœci¹ skorzystania z serwisu
pójd¹ gdzie indziej.

Najwiêksze niebezpieczeñstwo stano-

wi¹ rozproszone ataki DoS, które potrafi¹
zablokowaæ serwisy dysponuj¹ce bardzo
wydajnymi ³¹czami z Internetem. Szacuje
siê, ¿e miesiêcznie przeprowadza siê ok.
15 tys. ataków tego typu. Narzêdzia prze-
znaczone do tworzenia sieci DDoS s¹ obec-
nie powszechnie dostêpne i pozwalaj¹ oso-
bom posiadaj¹cym podstawow¹ wiedzê
z zakresu komputerów na przeprowadze-
nie zmasowanych ataków na najwiêksze
serwisy internetowe. Aby móc skutecznie
chroniæ siê przed tym zagro¿eniem, nie
wystarczy ju¿ stosowanie zabezpieczeñ
na poziomie pojedynczej sieci, lecz trze-
ba wprowadziæ odpowiednie rozwi¹zania
w skali ca³ego Internetu.

Konsekwencje prawne ataków DoS

W USA ataki DoS, zgodnie z ustaw¹ „National Information Infrastructure Protection Act” z 1996 r.,
s¹ przestêpstwem federalnym zagro¿onym kar¹ od 5 do 10 lat wiêzienia oraz grzywn¹ w wysoko-
œci 250 tys. USD. Z kolei w Wielkiej Brytanii sprawców ataków Denial of Service pozwala poci¹-
gn¹æ do odpowiedzialnoœci znowelizowana w 2002 roku ustawa „Computer Misuse Act”. W pol-
skim prawie odpowiedzialnoœæ karn¹ osób przeprowadzaj¹cych ataki DoS reguluj¹ trzy artyku³y
Kodeksu Karnego:

Art. 268 [NISZCZENIE INFORMACJI]

§1. Kto, nie bêd¹c do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej infor-

macji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie siê
z ni¹, podlega grzywnie, karze ograniczenia wolnoœci albo pozbawienia wolnoœci do lat 2.

§2. Je¿eli czyn okreœlony w §1 dotyczy zapisu na komputerowym noœniku informacji, sprawca

podlega karze pozbawienia wolnoœci do lat 3.

§3. Kto, dopuszczaj¹c siê czynu okreœlonego w §1 lub 2, wyrz¹dza znaczn¹ szkodê maj¹tkow¹,

podlega karze pozbawienia wolnoœci od 3 miesiêcy do lat 5.

§4. Œciganie przestêpstwa okreœlonego w §1-3 nastêpuje na wniosek pokrzywdzonego.

Art. 269 [SABOTA¯ KOMPUTEROWY]

§1. Kto na komputerowym noœniku informacji niszczy, uszkadza, usuwa lub zmienia zapis o szcze-

gólnym znaczeniu dla obronnoœci kraju, bezpieczeñstwa w komunikacji, funkcjonowania ad-
ministracji rz¹dowej, innego organu pañstwowego lub administracji samorz¹dowej albo za-
k³óca lub uniemo¿liwia automatyczne gromadzenie lub przekazywanie takich informacji, pod-
lega karze pozbawienia wolnoœci od 6 miesiêcy do lat 8.

§2. Tej samej karze podlega, kto dopuszcza siê czynu okreœlonego w §1, niszcz¹c albo wymie-

niaj¹c noœnik informacji lub niszcz¹c albo uszkadzaj¹c urz¹dzenie s³u¿¹ce automatycznemu
przetwarzaniu, gromadzeniu lub przesy³aniu informacji.

Art. 287 [OSZUSTWO KOMPUTEROWE]

§1. Kto, w celu osi¹gniêcia korzyœci maj¹tkowej lub wyrz¹dzenia innej osobie szkody, bez upo-

wa¿nienia wp³ywa na automatyczne przetwarzanie, gromadzenie lub przesy³anie informacji
lub zmienia, usuwa albo wprowadza nowy zapis na komputerowym noœniku informacji, podle-
ga karze pozbawienia wolnoœci od 3 miesiêcy do lat 5.

§2. W wypadku mniejszej wagi sprawca podlega grzywnie, karze ograniczenia wolnoœci albo po-

zbawienia wolnoœci do roku.

§3. Je¿eli oszustwo pope³niono na szkodê osoby najbli¿szej, œciganie nastêpuje na wniosek po-

krzywdzonego.