Przeciwdziałanie atakom DDoS
Przeciwdziałanie atakom DDoS
dr inż. Tomasz Jordan Kruk
Zakład Jakości Usług Sieci NASK
Instytut Automatyki i Informatyki Stosowanej PW
Konferencja SECURE 2002, 6-7 listopada 2001, Warszawa
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Ataki DoS i DDoS (I)
" DoS, Denial of Service, atak typu odmowa usługi,
" DDoS, Distributed Denial of Service,
od połowy 1999 roku,
sierpień 1999, Trinoo, 227 komputerów, w tym 114 z sieci Internet2, do
ataku na serwer Uniwersytetu w Minnesocie, serwer sparaliżowany na dwa
dni,
" możliwe konsekwencje,
7 luty - Yahoo!,
8 luty - Amazon, Buy.com, CNN, eBay,
9 luty - ETrade, ZDNet
łączne straty szacowane na blisko 2 miliardy dolarów
Konferencja SECURE 2002, 6-7 listopada 2001, Warszawa
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Ataki DoS i DDoS (II)
" filtrowanie pakietów z pewnego zródła zawodzi, wiele zródeł,
" zamiast 1000 pakietów z 1 zródła, po 1 pakiecie z 1000 zródeł,
" detekcja ataku utrudniona ze względu na nieprzewidywalność
zródła,
" Powody skuteczności ataków DDoS:
protokół TCP/IP,
Internet z orgomną liczbą niedostatecznie zabezpieczonych systemów
operacyjnych.
Konferencja SECURE 2002, 6-7 listopada 2001, Warszawa
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Istota ataków DDoS
" wyszukanie odpowiedniego kandydata na komputer
zarządzający atakiem, dobrzy kandydaci to np. serwery w
sieciach akademickich,
" stamtąd przeszukanie tysięcy adresów IP w celu wykrycia
komputerów ze znanymi lukami, kompromitacja systemów,
załadowanie oprogramowania,
" zainicjowanie ataku poprzez wydanie sygnału do serwera
zarządzającego atakiem,
Cechy:
" oprogramowanie zautomatyzowane, bez potrzeby interakcji,
" częsty kamuflaż zródła ataku.
Konferencja SECURE 2002, 6-7 listopada 2001, Warszawa
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Schemat ataku DDoS
Demon
Master
Demon
Demon
Demon
Demon
Atakujący
Ofiara
Konferencja SECURE 2002, 6-7 listopada 2001, Warszawa
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Klasyczne ataki DDoS
Narzędzia Metoda ataku
TrinOO UDP
Tribe Flood Network UDP, ICMP, SYN, Smurf
Stacheldracht UDP, ICMP, SYN, Smurf
TFN 2K UDP, ICMP, SYN, Smurf
Shaft UDP, ICMP, SYN, Smurf
Mstream Stream (ACK)
Trinity, Trinity V3 UDP, SYN, RST, Random Flag
Konferencja SECURE 2002, 6-7 listopada 2001, Warszawa
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Ataki przez zalewanie pakietami
Typy metod wykorzystywanych do realizacji ataków DDoS
" ataki przez zalewanie (flood) pakietami,
" ataki przez preparowanie pakietów.
Ataki przez zalewanie pakietami
" atak smurf,
" atak TCP SYN flood,
" atak UDP flood,
" atak ICMP flood.
Konferencja SECURE 2002, 6-7 listopada 2001, Warszawa
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Ataki przez preparowanie pakietów
" atak ping of death (za duże ICMP echo request),
" atak chargen (wariant UDP flood),
" atak TearDrop (wykorzystanie fragmentacji pakietów),
targa, SYNdrop, Boink, Nestea Bonk, TearDrop2, NewTar
" atak land (ten sam adres ofiary jako zródło i adresat),
" atak WinNuke (dane out of band do określonego portu).
Konferencja SECURE 2002, 6-7 listopada 2001, Warszawa
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Metody przeciwdziałania
" Distributed Systems Intruder Tools Workshop (1999, CERT
CC)
" osobne zalecenia dla:
menedzerów,
administratorów systemów,
dostawców sieci czyli ISP,
członków grup IRT.
" w przypadku DDoS
mała możliwość obrony na poziomie użytkownika,
większy wpływ środków zaradczych na poziomie operatorów sieci i ISP.
Konferencja SECURE 2002, 6-7 listopada 2001, Warszawa
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Metody przeciwdziałania - użytkownik
" aktualizacja systemu i aplikacji,
" personal firewall,
" okresowa analiza systemu i otwartych połączeń,
" analiza dzienników systemowych,
" okresowy audyt zabezpieczeń, np. Nessus,
" wstrzemięzliwość w kontekście ściągania programów z
nieznanych zródeł,
" stosowanie zalecanych praktyk w zabezpieczaniu systemów.
Konferencja SECURE 2002, 6-7 listopada 2001, Warszawa 1
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Metody przeciwdziałania - administrator
" analiza pakietów wychodzących z sieci (egress filtering),
" blokowanie przychodzących pakietów z adresem broadcast,
" filtrowanie przychodzącego directed broadcast,
" filtrowanie adresów nieroutowalnych,
" blokada wszystkich nieużywanych portów (w tym IRC),
" uruchomienie systemów IDS,
" regularna analiza ruchu sieciowego,
" uświadomienie użytkowników, prosta metoda powiadamiania,
" stosowanie zalecanych praktyk.
Konferencja SECURE 2002, 6-7 listopada 2001, Warszawa 1
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Inne podejścia - client puzzle
" twóca: RSA,
" przeznaczenie: zabezpieczanie serwerów Web,
" client puzzle - zagadka, generacja zależna od czasu,
informacji unikatowej dla serwera i żądania klienta,
" standardowo akceptacja wszystkich połączeń,
" selektywność włączana w przypadku wykrycia ataku,
" wybiórcza akceptacja zleceń od klientów sieci Web,
Konferencja SECURE 2002, 6-7 listopada 2001, Warszawa 1
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Inne podejścia - IP Traceback
" cel - w przypadku wykrycia ataku wyznaczenie jego mapy
sieciowej,
" problem - adresy zródłowe, ze względu na nie włączany
source routing nie są wiarygodne,
" idea - routery znakują pakiety informacją o drodze,
" DDoS angażuje wiele pakietów, wystraczy więc znakowanie
statystycznej próbki, np. 1 pakiet na 20000,
" umożliwienie ofierze zgrubnej analizy zródła ataku, w trakcie i
przez pewien okres po ataku,
" inna propozycja - wprowadzenie ICMP Traceback wysyłany na
żądanie ofiary z częściową drogą pakietu jako zawartością,
" wada - konieczność zmiany oprogramowania na routerach.
Konferencja SECURE 2002, 6-7 listopada 2001, Warszawa 1
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Inne podejścia - mechanizm pushback
" ataki DDoS rozpatrywane jako problem kontroli przeciążeń,
" dławienie ruchu na routerach pośrednich,
" o fakcie podejrzenia o atak powiadamiane sa routery
poprzedzające na drodze - stąd nazwa pushback,
" przetestowane w ośrodkach AT&T w oparciu o routing na
systemach FreeBSD,
" wada - wymaga rozszerzenia funkcjonalności
oprogramowania routerów.
Konferencja SECURE 2002, 6-7 listopada 2001, Warszawa 1
T.Kruk@ia.pw.edu.pl
Przeciwdziałanie atakom DDoS
Podsumowanie
" nie ma aktualnie skutecznej metody ochrony przed atakami
DDoS,
" jest wiele propozycji wymagających np. zmiany
oprogramowania routerów,
Przeciwdziałanie
" w przypadku użytkowników końcowych - dbałość o
zabezpieczenie systemów operacyjnych i aplikacji, by nie
zostać wykorzystanym do ataków DDoS,
" w przypadku ISP i operatorów sieci - mają więcej do
powiedzenia niż końcowi użytkownicy; ochrona
użytkowników poprzez kontrolę ruchu i współdziałanie
urządzeń we własnej domenie,
Konferencja SECURE 2002, 6-7 listopada 2001, Warszawa 1
T.Kruk@ia.pw.edu.pl
Wyszukiwarka
Podobne podstrony:
Cwiczenie 07 Testy penetracyjne ataki DoSPZS 03a ataki dosBezpieczeństwo Ataki typu DoS Anatomia zagrożenia i metody obrony 02 2005FUNFACE DOS OPIScompilar dos59 1 Czerwiec 2000 Ataki czy prowokacjedos lid fun der goldener pawe c moll pfte vni vla vc voxdos win to linux howto 6dos kompilierenDOS DIOD TUTataki komputeroweOkno MS DOSCo to jest so uruchamianie pol dos unixDOS A KURS03Brasílio Sallum Jr , B Resenha Labirintos Dos Generaiswięcej podobnych podstron