NA CD NEWSY Z OKŁADKI FIRMA MAGAZYN PROGRAMY WARSZTAT
bezpieczeństwo
Ataki typu DoS
Ataki typu DoS
Anatomia zagrożenia i metody obrony
z pierwszej kategorii wykorzystują sła-
R
wiatowa pajęczyna wcale nie jest bezpiecznym miejscem.
boS
ć ofiary wynikającą z ograniczonej
Lista zagrożeń jest długa i stale roS
nie. Obok takich
przepustowoS
ci połączenia z Internetem.
niebezpieczeństw jak wirusy czy włamania do systemów Łącza poszkodowanego są zalewane dużą
iloS
cią danych, przez co właS
ciwa komu-
coraz powszechniejsze stają się ostatnio ataki blokujące
nikacja zostaje bardzo utrudniona lub jest
dostęp do zasobów i usług sieciowych.
w ogóle niemożliwa. W przypadku ata-
Wojciech Łamek
taki typu odmowa usługi (ang. De-
nial of Service, DoS) są skierowa-
Ane przeciwko sieciom i systemom
komputerowym. Ich celem jest uniemoż-
liwienie firmie lub organizacji dostarcza-
nia usług swoim użytkownikom i klien-
tom. Serwery WWW przestają udostęp-
niać strony, serwery pocztowe nie odbie-
rają i nie wysyłają wiadomoS
ci, a zablo-
kowane rutery odcinają dostęp do Inter-
netu. Użytkownicy domowi oraz biuro-
wi generalnie nie są zagrożeni, chociaż
ich komputery mogą zostać wykorzysta-
ne do przeprowadzenia ataku. Do ofiar
ataków DoS można zaliczyć także klien-
tów zaatakowanych serwisów, którzy nie
mogą korzystać z zablokowanych usług.
Rozróżniamy ataki destrukcyjne oraz
ataki obniżające sprawnoS
ć systemu. Ce-
lem ataku destrukcyjnego jest całkowite
odcięcie klientów od atakowanego serwi-
su. W przypadku ataków obniżających po-
ziom konsumowana jest tylko pewna
częS
ć zasobów ofiary.
Ataki DoS można również podzielić
na skierowane przeciwko sieci oraz prze-
ciwko systemom komputerowym. Ataki
Słynne ataki DoS
Najsłynniejsza seria ataków DDoS miała miej-
sce w lutym 2000 r. Jako pierwszy został za-
atakowany serwis Yahoo. W efekcie zalewu
strumieniem pakietów o wielkoS
ci 1 GB ser-
wis był niedostępny przez 3 godziny. Następ-
nego dnia celem ataków stały się serwisy
CNN.com, eBay.com, Buy.com oraz Ama-
zon.com. Każdy z tych ataków trwał od jed-
nej do czterech godzin. Z kolei 9 lutego za-
atakowano serwery należące do ETrade oraz
ZDNet. Sprawcą ataków okazał się 16-letni
Metody obrony przed atakami typu SYN Flood
uczeń z Kanady o pseudonimie Mafiaboy.
INTERNET.luty.2005
48
 WARSZTAT PROGRAMY MAGAZYN FIRMA Z OKŁADKI NEWSY NA CD
bezpieczeństwo
ku skierowanego przeciwko systemowi,
agresor może mieć na celu całkowite
unieruchomienie serwera bądx
też zablo-
kowanie jednej z jego usług. Innym spo-
sobem ataku na system komputerowy jest
Struktura
zajęcie jego zasobów. Ponieważ każdy
pakietów
komputer ma ograniczoną iloS
ć zasobów
w atakach
potrzebnych do działania (pamięć ope-
wykorzystu-
racyjną, moc obliczeniową procesora,
jących
przestrzeń dyskową itp.), atakujący może
nieprawi-
podjąć działania zmierzające do ich wy-
dłową
czerpania. fragmentację
danych
Ataki DoS mogą być przeprowadza-
ne ze stałym lub zmiennym natężeniem.
W większoS
ci przypadków mamy do czy-
nienia ze stałym poziomem natężenia,
kiedy to atakujący przez cały czas gene-
ruje ruch pakietów z maksymalną siłą.
Taki atak z jednej strony bardzo szybko
blokuje dostęp do usługi, z drugiej jest ataku SYN Flood jest zajęcie wszystkich przez zaporę ogniową całego procesu
natychmiast wykrywany. Ataki zmienne dostępnych slotów, w wyniku czego sys- nawiązywania połączenia. Po otrzymaniu
są trudniejsze do rozpoznania, ponieważ tem przestaje akceptować przychodzące ostatecznej odpowiedzi od klienta fire-
natężenie zmienia się przez cały okres ich połączenia. wall  powtarza sekwencję nawiązywa-
trwania. JeS
li siła ataku zwiększa się po- Aby wyeliminować niebezpieczeń- nia połączenia z serwerem.
woli, prowadzi to do stopniowego wy- stwo ataku, należy dokonać zmiany w ob- Ping of Death jest atakiem, który wy-
czerpywania zasobów ofiary. W efekcie słudze nawiązywania połączenia TCP. korzystuje błędną obsługę protokołu IP
zagrożenie może zostać wykryte dopie- Jednym z takich rozwiązań jest SYN Co- przez system operacyjny. Podczas ataku
ro po dłuższym czasie. okies. Metoda ta polega na tym, że do do ofiary jest wysyłany pofragmento-
każdego pakietu wysyłanego przez ser- wany pakiet IP. Poszczególne fragmenty
Ataki pojedyncze wer zostaje dołączona informacja (co- zostają tak spreparowane, aby po ich
Pierwsze ataki typu DoS były atakami po- okie), która następnie wraca do serwera złożeniu przez odbiorcę powstał pakiet
jedynczymi (point-to-point), w których wraz z odpowiedzią klienta. Ponieważ o długoS
ci przekraczającej maksymalny
komunikacja przebiegała bezpoS
rednio cookie zawiera wszystkie dane potrzeb- rozmiar pakietów IP. Odebranie takich
pomiędzy komputerem atakującego a ma- ne do odtworzenia połączenia, serwer nie nieprawidłowych danych często powodo-
szyną ofiary. Do tej grupy należy flo- musi przechowywać informacji na temat wało zawieszenie się lub restart serwera.
oding, który polega na zalewaniu ofiary niekompletnych połączeń. Inne rozwią- Obecnie w większoS
ci systemów opera-
dużą iloS
cią pakietów, co prowadzi do zanie to SYN Defender. W tym przypad- cyjnych poprawiono obsługę defragmen-
zapchania łącza. Celem ataku typu flood ku, kiedy serwer wyS
le pakiet do klien- tacji pakietów, przez co ataki tego typu
może stać się również serwer IRC. Pod- ta, chroniący go firewall sam wygeneru- nie stanowią już zagrożenia.
czas ataku IRC Flood wybrany kanał IRC je odpowiedx
. Trzecią powszechnie sto- Innym atakiem wykorzystującym pro-
jest zalewany dużą iloS
cią tekstu, co sowaną techniką obrony jest SYN Pro- blemy ze składaniem nieprawidłowych
znacznie utrudnia rozmowę prowadzoną xy. Metoda ta opiera się na buforowaniu fragmentów danych przez system opera-
przez użytkowników kanału.
Jednym z pierwszych ataków DoS był
SYN Flood, który polega na zalewaniu
ofiary dużą iloS
cią pakietów inicjujących
połączenie. Serwer odpowiada na taki
strumień odpowiednimi pakietami, jed-
nak nie otrzymuje od klienta potwierdze-
nia. Okres przez jaki serwer będzie pró-
bował skontaktować się z klientem różni
Anatomia ataku
się w zależnoS
ci od systemu operacyj-
typu Land
nego i może dochodzić do kilku minut.
W tym czasie połączenie jest w połowie
otwarte, a po wygaS
nięciu limitu czasu
zostaje zamknięte. Każdemu częS
ciowo
otwartemu połączeniu zostaje przydzie-
lony w pamięci operacyjnej bufor prze-
chowujący przychodzące pakiety oraz
numer IP i port x
ródłowy klienta. Celem
INTERNET.luty.2005
49
NA CD NEWSY Z OKŁADKI FIRMA MAGAZYN PROGRAMY WARSZTAT
bezpieczeństwo
atakowana maszyna próbuje nawiązać
połączenie z samą sobą, co prowadzi do
powstania nieskończonej pętli i blokady
stosu TCP. Efektem ataku Land było za-
zwyczaj zawieszenie się systemu opera-
cyjnego. Obecnie nie stanowi już zagro-
żenia, ponieważ w najnowszych wersjach
systemów operacyjnych poprawiono im-
plementację stosu TCP, a ponadto atak
tego typu może być skutecznie blokowa-
ny za pomocą zapór ogniowych.
Atak z wykorzystaniem wzmacniacza
Ataki ze wzmacniaczami
Najczęstszym problemem z jakim styka się
cyjny jest Teardrop. Stosując tę technikę tym, że rutery znajdujące się na trasie pa- intruz, który chce przeprowadzić atak DoS,
atakujący generuje pofragmentowany pa- kietów dołączają do nich mocno skom- jest zbyt mała przepustowoS
ć posiadanego
kiet IP w ten sposób, aby poszczególne presowaną informację, która pozwoli łącza z Internetem w porównaniu z łączem
jego częS
ci nachodziły na siebie. Podob- odbiorcy okreS
lić trasę przebytą przez atakowanego. Rozwiązaniem tego proble-
nie jak w przypadku Ping of Death, zmia- pakiet. Inne rozwiązanie polega na wy- mu może być wykorzystanie innych kom-
na w algorytmie składania pakietów wy- syłaniu przez każdy ruter wiadomoS
ci puterów do wzmocnienia (powielenia) ata-
eliminowała zagrożenie ze strony ataków ICMP do adresata pakietów, które wła- ku. Jako powielacza można użyć jednej ma-
tego typu. S
nie przesłał. szyny, jak również całej sieci.
Atak Smurf
IP Spoofing Zmieniony adres x
ródłowy może zo- Jednym z ataków stosujących efekt
Adres x
ródłowy pakietu przesyłanego stać również wykorzystany do stworzenia wzmocnienia jest Smurf, który wykorzy-
przez Internet jest normalnie adresem pętli komunikacyjnej. Przykładem może stuje sieć komputerową do zwielokrotnie-
komputera z którego wysłano dane. Jed- być atak Land, będący odmianą SYN Flo- nia transmisji pakietów. Atak Smurf po-
nak użytkownik, który kontroluje sys- od. W tym przypadku pakiety SYN wy- lega na tym, że na adres rozgłoszeniowy
tem, może wymusić zastąpienie praw- syłane przez atakującego mają identycz- wybranej sieci zostaje wysłana duża licz-
dziwego adresu innym. Fałszowanie ny adres nadawcy i odbiorcy, który jest ba pakietów ICMP echo request, w któ-
adresu nadawcy jest okreS
lane jako IP jednoczeS
nie adresem ofiary. W efekcie rych jako adres x
ródłowy podano adres
Spoofing i służy ukryciu prawdziwego
x
ródła ataku.
Podstawową metodą obrony przed
techniką IP Spoofing jest uniemożliwie-
nie wysyłania pakietów z nieprawdziwy-
mi adresami IP. Taka funkcja może być
jednak realizowana tylko w sieci z której
wysyłane są pakiety. Niestety, wielu ad-
ministratorów nie filtruje wychodzących
z ich sieci danych pod kątem fałszywych
adresów x
ródłowych.
Opracowano również techniki służą-
ce lokalizacji atakującego pomimo sfał- Przebieg ataku Chargen
szowania adresu. Jedna z nich polega na
INTERNET.luty.2005
50
 WARSZTAT PROGRAMY MAGAZYN FIRMA Z OKŁADKI NEWSY NA CD
bezpieczeństwo
atakowanego komputera. Każda z maszyn łączonych do Internetu, a następnie przej- w której klient kontroluje pewną liczbą
w sieci odpowiada na to żądanie, wysyła- mują nad nimi kontrolę. Proces ten jest węzłów, a te z kolei zarządzają podległy-
jąc na adres ofiary komunikat ICMP echo okreS
lany jako tworzenie sieci DDoS mi im agentami.
reply. W efekcie komputer będący celem i przebiega w kilku etapach. Atak rozpoczyna się z komputera
ataku jest zalewany pakietami zwielokrot- Budowa sieci rozpoczyna się z kom- klienta, który wysyła odpowiedni rozkaz
nionymi tyle razy, ile komputerów odpo- putera atakującego (klienta), który skanuje do węzłów. Te z kolei przesyłają go da-
wiedziało na komunikat. Podstawową Internet w poszukiwaniu odpowiedniej lej do agentów, którzy przeprowadzają
metodą uniemożliwiającą przeprowadze- liczby słabo zabezpieczonych maszyn. wybrany typ ataku DoS. Agresor wysy-
nie ataku Smurf jest ignorowanie przez Haker wykorzystuje błędy w konfigura- łając sygnał do ataku podaje godzinę jego
ruter brzegowy (łączący sieć z resztą In- cji oraz znane powszechnie dziury w bez- rozpoczęcia, czas trwania, cel oraz tech-
ternetu) żądań ICMP echo wysyłanych na pieczeństwie systemów, aby się do nich nikę ataku.
adres rozgłoszeniowy sieci.
Jako powielacze mogą być również
użyte serwisy działające na bazie proto-
kołu UDP. W tym celu najczęS
ciej ko-
rzysta się z usługi chargen. Chargen
(Character Generator) jest to serwis, któ-
ry w odpowiedzi na dowolny pakiet wy-
słany na port 19 generuje wiadomoS
ć za-
wierającą ciąg znaków o losowej długo-
S
ci. Ataki z wykorzystaniem tej usługi
mogą przybierać dwie formy. W pierw-
szym przypadku atakujący wysyła na port
chargen pakiety UDP o jak najmniejszej
wielkoS
ci. W odpowiedzi serwer wysyła
do ofiary pakiety zawierające dane o dłu-
goS
ci od 0 do 512 znaków. Drugi rodzaj
ataku wymaga znalezienia dwóch kompu-
terów z działającą usługą chargen. Agre-
sor wysyła na adres pierwszej ofiary pa-
kiet UDP, podając jako nadawcę drugą
maszynę. Komputer odpowiada na pakiet
UDP, wysyłając ciąg znaków na port char-
gen drugiego serwera. Ten z kolei także
generuje odpowiedx
, co prowadzi do po-
wstania nieskończonej pętli, która pochła-
nia całą przepustowoS
ć łącza pomiędzy
zaatakowanymi maszynami. Aby unie-
możliwić przeprowadzenie ataku z wyko-
rzystaniem serwisu Chargen, wystarczy
wyłączyć tę usługę na serwerze.
DDoS
Mimo zastosowania wzmacniaczy agre-
sor może nie uzyskać wystarczającej siły
potrzebnej do przeprowadzenia skutecz- Struktura sieci DDoS
nego ataku DoS. Już samo znalezienie
odpowiedniej liczby komputerów umoż-
liwiających wzmocnienie strumienia pa- włamać. Po przejęciu kontroli nad ma- Sieć DDoS zapewnia swojemu twór-
kietów może być doS
ć trudne. Siłę do- szyną atakujący instaluje program prze- cy wysoki poziom bezpieczeństwa. Po-
wolnego ataku DoS (pojedynczego lub kształcający system w węzeł sieci DDoS. nieważ intruz włamuje się bezpoS
rednio
powielonego) można jednak wielokrot- Węzeł prowadzi dalsze poszukiwania da- tylko do kilku komputerów, a następne
nie zwiększyć, jeS
li zostanie on przepro- jących się przejąć maszyn, na których in- maszyny są już przejmowane automa-
wadzony jednoczeS
nie z wielu maszyn. staluje moduł agenta, który będzie prze- tycznie przez wczeS
niej zarażone kom-
Taki atak, mogący wykorzystywać nawet prowadzać właS
ciwy atak DoS. Ponieważ putery, spada ryzyko, że haker zostanie
tysiące komputerów, nosi miano rozpro- proces pozyskiwania agentów odbywa się wykryty podczas tworzenia sieci DDoS.
szonego ataku DoS (Distributed Denial automatycznie, atakujący jest w stanie Również podczas ataku komputer agre-
of Service). stworzyć w ciągu godziny sieć DDoS skła- sora pozostaje anonimowy, gdyż nie wy-
W celu przeprowadzania ataku DDoS dającą się z kilku tysięcy maszyn. Go- stępuje przeciwko atakowanemu serwe-
hakerzy włamują się do komputerów pod- towa sieć tworzy hierarchiczną strukturę, rowi bezpoS
rednio.
INTERNET.luty.2005
51
NA CD NEWSY Z OKŁADKI FIRMA MAGAZYN PROGRAMY WARSZTAT
bezpieczeństwo
Zakończenie
Konsekwencje prawne ataków DoS
Chociaż ataki Denial of Service nie pro-
wadzą do uzyskania przez intruza dostępu
W USA ataki DoS, zgodnie z ustawą  National Information Infrastructure Protection Act z 1996 r.,
do systemu, jak również nie powodują utra-
są przestępstwem federalnym zagrożonym karą od 5 do 10 lat więzienia oraz grzywną w wysoko-
ty lub kradzieży danych, mogą w znacz-
S
ci 250 tys. USD. Z kolei w Wielkiej Brytanii sprawców ataków Denial of Service pozwala pocią-
nym stopniu ograniczyć lub nawet całko- gnąć do odpowiedzialnoS
ci znowelizowana w 2002 roku ustawa  Computer Misuse Act . W pol-
skim prawie odpowiedzialnoS
ć karną osób przeprowadzających ataki DoS regulują trzy artykuły
wicie zablokować zdolnoS
ć organizacji do
Kodeksu Karnego:
prowadzenia działalnoS
ci w Internecie.
Brak możliwoS
ci S
wiadczenia usług może
Art. 268 [NISZCZENIE INFORMACJI]
kosztować firmę sporo czasu i pieniędzy.
ż1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej infor-
Atak DoS może też prowadzić do utraty
macji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się
klientów, którzy zniechęceni przedłużającą
z nią, podlega grzywnie, karze ograniczenia wolnoS
ci albo pozbawienia wolnoS
ci do lat 2.
ż2. Jeżeli czyn okreS
lony w ż1 dotyczy zapisu na komputerowym noS
niku informacji, sprawca
się niemożliwoS
cią skorzystania z serwisu
podlega karze pozbawienia wolnoS
ci do lat 3.
pójdą gdzie indziej.
ż3. Kto, dopuszczając się czynu okreS
lonego w ż1 lub 2, wyrządza znaczną szkodę majątkową,
Największe niebezpieczeństwo stano-
podlega karze pozbawienia wolnoS
ci od 3 miesięcy do lat 5.
wią rozproszone ataki DoS, które potrafią
ż4. R
ciganie przestępstwa okreS
lonego w ż1-3 następuje na wniosek pokrzywdzonego.
zablokować serwisy dysponujące bardzo
wydajnymi łączami z Internetem. Szacuje
Art. 269 [SABOTAŻ KOMPUTEROWY]
się, że miesięcznie przeprowadza się ok. ż1. Kto na komputerowym noS
niku informacji niszczy, uszkadza, usuwa lub zmienia zapis o szcze-
15 tys. ataków tego typu. Narzędzia prze- gólnym znaczeniu dla obronnoS
ci kraju, bezpieczeństwa w komunikacji, funkcjonowania ad-
ministracji rządowej, innego organu państwowego lub administracji samorządowej albo za-
znaczone do tworzenia sieci DDoS są obec-
kłóca lub uniemożliwia automatyczne gromadzenie lub przekazywanie takich informacji, pod-
nie powszechnie dostępne i pozwalają oso-
lega karze pozbawienia wolnoS
ci od 6 miesięcy do lat 8.
bom posiadającym podstawową wiedzę
ż2. Tej samej karze podlega, kto dopuszcza się czynu okreS
lonego w ż1, niszcząc albo wymie-
z zakresu komputerów na przeprowadze-
niając noS
nik informacji lub niszcząc albo uszkadzając urządzenie służące automatycznemu
nie zmasowanych ataków na największe
przetwarzaniu, gromadzeniu lub przesyłaniu informacji.
serwisy internetowe. Aby móc skutecznie
Art. 287 [OSZUSTWO KOMPUTEROWE]
chronić się przed tym zagrożeniem, nie
ż1. Kto, w celu osiągnięcia korzyS
ci majątkowej lub wyrządzenia innej osobie szkody, bez upo-
wystarczy już stosowanie zabezpieczeń
ważnienia wpływa na automatyczne przetwarzanie, gromadzenie lub przesyłanie informacji
na poziomie pojedynczej sieci, lecz trze-
lub zmienia, usuwa albo wprowadza nowy zapis na komputerowym noS
niku informacji, podle-
ba wprowadzić odpowiednie rozwiązania
ga karze pozbawienia wolnoS
ci od 3 miesięcy do lat 5.
w skali całego Internetu.
ż2. W wypadku mniejszej wagi sprawca podlega grzywnie, karze ograniczenia wolnoS
ci albo po-
zbawienia wolnoS
ci do roku.
ż3. Jeżeli oszustwo popełniono na szkodę osoby najbliższej, S
ciganie następuje na wniosek po-
krzywdzonego.
INTERNET.luty.2005
52