Przeciwdziałanie atakom DDoS
Przeciwdziałanie atakom DDoS
dr inż. Tomasz Jordan Kruk
Zakład Jakości Usług Sieci NASK
Instytut Automatyki i Informatyki Stosowanej PW
Konferencja SECURE  2002, 6-7 listopada 2001, Warszawa
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Ataki DoS i DDoS (I)
" DoS, Denial of Service, atak typu odmowa usługi,
" DDoS, Distributed Denial of Service,
 od połowy 1999 roku,
 sierpień 1999, Trinoo, 227 komputerów, w tym 114 z sieci Internet2, do
ataku na serwer Uniwersytetu w Minnesocie, serwer sparaliżowany na dwa
dni,
" możliwe konsekwencje,
 7 luty - Yahoo!,
 8 luty - Amazon, Buy.com, CNN, eBay,
 9 luty - ETrade, ZDNet
 łączne straty szacowane na blisko 2 miliardy dolarów
Konferencja SECURE  2002, 6-7 listopada 2001, Warszawa
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Ataki DoS i DDoS (II)
" filtrowanie pakietów z pewnego z
ródła zawodzi, wiele z
ródeł,
" zamiast 1000 pakietów z 1 z
ródła, po 1 pakiecie z 1000 z
ródeł,
" detekcja ataku utrudniona ze względu na nieprzewidywalność
z
ródła,
" Powody skuteczności ataków DDoS:
 protokół TCP/IP,
 Internet z orgomną liczbą niedostatecznie zabezpieczonych systemów
operacyjnych.
Konferencja SECURE  2002, 6-7 listopada 2001, Warszawa
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Istota ataków DDoS
" wyszukanie odpowiedniego kandydata na komputer
zarządzający atakiem, dobrzy kandydaci to np. serwery w
sieciach akademickich,
" stamtąd przeszukanie tysięcy adresów IP w celu wykrycia
komputerów ze znanymi lukami, kompromitacja systemów,
załadowanie oprogramowania,
" zainicjowanie ataku poprzez wydanie sygnału do serwera
zarządzającego atakiem,
Cechy:
" oprogramowanie zautomatyzowane, bez potrzeby interakcji,
" częsty kamuflaż z
ródła ataku.
Konferencja SECURE  2002, 6-7 listopada 2001, Warszawa
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Schemat ataku DDoS
Demon
Master
Demon
Demon
Demon
Demon
Atakujący
Ofiara
Konferencja SECURE  2002, 6-7 listopada 2001, Warszawa
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Klasyczne ataki DDoS
Narzędzia Metoda ataku
TrinOO UDP
Tribe Flood Network UDP, ICMP, SYN, Smurf
Stacheldracht UDP, ICMP, SYN, Smurf
TFN 2K UDP, ICMP, SYN, Smurf
Shaft UDP, ICMP, SYN, Smurf
Mstream Stream (ACK)
Trinity, Trinity V3 UDP, SYN, RST, Random Flag
Konferencja SECURE  2002, 6-7 listopada 2001, Warszawa
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Ataki przez zalewanie pakietami
Typy metod wykorzystywanych do realizacji ataków DDoS
" ataki przez zalewanie (flood) pakietami,
" ataki przez preparowanie pakietów.
Ataki przez zalewanie pakietami
" atak smurf,
" atak TCP SYN flood,
" atak UDP flood,
" atak ICMP flood.
Konferencja SECURE  2002, 6-7 listopada 2001, Warszawa
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Ataki przez preparowanie pakietów
" atak ping of death (za duże ICMP echo request),
" atak chargen (wariant UDP flood),
" atak TearDrop (wykorzystanie fragmentacji pakietów),
 targa, SYNdrop, Boink, Nestea Bonk, TearDrop2, NewTar
" atak land (ten sam adres ofiary jako z
ródło i adresat),
" atak WinNuke (dane out of band do określonego portu).
Konferencja SECURE  2002, 6-7 listopada 2001, Warszawa
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Metody przeciwdziałania
" Distributed Systems Intruder Tools Workshop (1999, CERT
CC)
" osobne zalecenia dla:
 menedzerów,
 administratorów systemów,
 dostawców sieci czyli ISP,
 członków grup IRT.
" w przypadku DDoS
 mała możliwość obrony na poziomie użytkownika,
 większy wpływ środków zaradczych na poziomie operatorów sieci i ISP.
Konferencja SECURE  2002, 6-7 listopada 2001, Warszawa
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Metody przeciwdziałania - użytkownik
" aktualizacja systemu i aplikacji,
" personal firewall,
" okresowa analiza systemu i otwartych połączeń,
" analiza dzienników systemowych,
" okresowy audyt zabezpieczeń, np. Nessus,
" wstrzemięz
liwość w kontekście ściągania programów z
nieznanych z
ródeł,
" stosowanie zalecanych praktyk w zabezpieczaniu systemów.
Konferencja SECURE  2002, 6-7 listopada 2001, Warszawa 1
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Metody przeciwdziałania - administrator
" analiza pakietów wychodzących z sieci (egress filtering),
" blokowanie przychodzących pakietów z adresem broadcast,
" filtrowanie przychodzącego directed broadcast,
" filtrowanie adresów nieroutowalnych,
" blokada wszystkich nieużywanych portów (w tym IRC),
" uruchomienie systemów IDS,
" regularna analiza ruchu sieciowego,
" uświadomienie użytkowników, prosta metoda powiadamiania,
" stosowanie zalecanych praktyk.
Konferencja SECURE  2002, 6-7 listopada 2001, Warszawa 1
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Inne podejścia - client puzzle
" twóca: RSA,
" przeznaczenie: zabezpieczanie serwerów Web,
" client puzzle - zagadka, generacja zależna od czasu,
informacji unikatowej dla serwera i żądania klienta,
" standardowo akceptacja wszystkich połączeń,
" selektywność włączana w przypadku wykrycia ataku,
" wybiórcza akceptacja zleceń od klientów sieci Web,
Konferencja SECURE  2002, 6-7 listopada 2001, Warszawa 1
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Inne podejścia - IP Traceback
" cel - w przypadku wykrycia ataku wyznaczenie jego mapy
sieciowej,
" problem - adresy z
ródłowe, ze względu na nie włączany
source routing nie są wiarygodne,
" idea - routery znakują pakiety informacją o drodze,
" DDoS angażuje wiele pakietów, wystraczy więc znakowanie
statystycznej próbki, np. 1 pakiet na 20000,
" umożliwienie ofierze zgrubnej analizy z
ródła ataku, w trakcie i
przez pewien okres po ataku,
" inna propozycja - wprowadzenie ICMP Traceback wysyłany na
żądanie ofiary z częściową drogą pakietu jako zawartością,
" wada - konieczność zmiany oprogramowania na routerach.
Konferencja SECURE  2002, 6-7 listopada 2001, Warszawa 1
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Inne podejścia - mechanizm pushback
" ataki DDoS rozpatrywane jako problem kontroli przeciążeń,
" dławienie ruchu na routerach pośrednich,
" o fakcie podejrzenia o atak powiadamiane sa routery
poprzedzające na drodze - stąd nazwa pushback,
" przetestowane w ośrodkach AT&T w oparciu o routing na
systemach FreeBSD,
" wada - wymaga rozszerzenia funkcjonalności
oprogramowania routerów.
Konferencja SECURE  2002, 6-7 listopada 2001, Warszawa 1
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Podsumowanie
" nie ma aktualnie skutecznej metody ochrony przed atakami
DDoS,
" jest wiele propozycji wymagających np. zmiany
oprogramowania routerów,
Przeciwdziałanie
" w przypadku użytkowników końcowych - dbałość o
zabezpieczenie systemów operacyjnych i aplikacji, by nie
zostać wykorzystanym do ataków DDoS,
" w przypadku ISP i operatorów sieci - mają więcej do
powiedzenia niż końcowi użytkownicy; ochrona
użytkowników poprzez kontrolę ruchu i współdziałanie
urządzeń we własnej domenie,
Konferencja SECURE  2002, 6-7 listopada 2001, Warszawa 1
T.Kruk@ia.pw.edu.pl