Bezpieczeństwo systemów Wybrane ataki sieciowe
Stara szkoła DoS: luki w zabezpieczeniach
W połowie lat 90-tych XX wieku ataki DoS dokonywane
były przede wszystkim poprzez wykorzystywanie luk w
Podstawy
popularnych systemach operacyjnych
zabezpieczeń sieci
Luki były skutkiem błędów programistycznych i pozwalały
na wywoływanie nieprawidłowości w działaniu
Testy penetracyjne
oprogramowania lub sprzętu w nietypowych warunkach
Warunki te powstawały gdy u\
ytkownik wysyłał
nieoczekiwane dane do  dziurawego systemu
Ataki DoS
Najskuteczniejszymi technikami były jednopakietowe
exploity atakujące stos TCP/IP konkretnego systemu
PZS  ataki DoS PZS  ataki DoS
1 2
Zbigniew Suski Zbigniew Suski
Nowoczesne techniki DoS: wyczerpanie zasobów Fragmentacja pakietów
Wcześniejsze metody ataku, których celem było
wyczerpanie zasobów zwykle nie stanowią dziś
większego zagro\
enia
Nowoczesne ataki DoS wymierzone są przede wszystkim
wymierzone w infrastrukturę sieciową
Nowoczesne ataki DoS zostały ściślej ukierunkowane i
polegają na wyszukiwaniu mo\
liwości wysycenia
wszelkich zasobów w taki sposób by uprawnieni
u\
ytkownicy nie byli w stanie ich wykorzystać
PZS  ataki DoS PZS  ataki DoS
3 4
Zbigniew Suski Zbigniew Suski
Fragmentacja pakietów Ping of Death
Wysyłane są fragmenty datagramu ICMP Echo request
Ka\
dy fragment niesie w sobie następujące
o łącznym rozmiarze przekraczającym 65535 bajtów
informacje:
Wartość 65535 jest maksymalną wartością zapisywalną
Identyfikator pakietu, który uległ fragmentacji
w polu Długość nagłówka IP
(fragment ID)
Niektóre systemy operacyjne nie potrafiły przetworzyć
Informacje o wielkości przenoszonych danych
takiego pakietu i zawieszały się lub restartowały
Wskaz
nik przesunięcia fragmentacji (offset) 
Do przeprowadzenia ataku nie były potrzebne \
adne
umiejscowienie danych z tego fragmentu w pełnym
specjalne narzędzia. Wystarczał standardowy program
datagramie
ping
Flagę MF (More Fragments) określającą czy dany
Obecnie atak ten jest w większości przypadków
fragment jest ostatnim, czy następują po nim kolejne
nieskuteczny
PZS  ataki DoS PZS  ataki DoS
5 6
Zbigniew Suski Zbigniew Suski
Opracował: Zbigniew Suski
Bezpieczeństwo systemów Wybrane ataki sieciowe
Atak TearDrop - przykład Nakładanie fragmentów (Fragment Overlapping)
Schemat ataku jest podobny do Teardrop, ale inny cel
Poprawne fragmenty pakietu o wielkości 4000 bajtów
Celem jest ominięcia zapory sieciowej lub innego
urządzenia filtrującego
Próba nadpisania części nagłówka TCP z pierwszego
Pierwszy fragment 1500 B Drugi fragment 1500 B Trzeci fragment
fragmentu. Nagłówek ten mo\
e zawierać dane, które są
1000 B
zgodne z polityką bezpieczeństwa zaimplementowaną na
Nie pofragmentowany pakiet 4000 bajtów
zaporze przez co nie jest przez nią odrzucany. Drugi
fragment poprzez wykorzystanie wskaz
nika przesunięcia
fragmentacji stara się nadpisać część nagłówka z
pierwszego datagramu zmieniając profil całego połączenia
Fragment 800
Pierwszy fragment
bajtów nie ujęty w
1500 B
Drugi fragment 1500 B
nagłówku
Np.. Połączenie na port 23 (telnet) mo\
na uzyskać
przesunięcia
wysyłając pierwszy fragment na port 80 (HTTP) i
Trzeci fragment 2199 B
nadpisując go kolejnym fragmentem
PZS  ataki DoS PZS  ataki DoS
7 8
Zbigniew Suski Zbigniew Suski
Ataki zalewowe (flooding) Zalew UDP  wariant 1
Wysyłanie du\
ej ilości pakietów UDP na dowolne
Wykorzystują efekt skali zalewając zaatakowaną
(losowe) porty maszyny atakowanej. Atakowany
maszynę bardzo du\
ą liczbą pakietów. Do ataku mo\
e
system najczęściej wykonuje następujące działania:
posłu\
yć dowolny protokół stosowany w Internecie
Sprawdza, czy jakaś aplikacja nasłuchuje na
Cechą szczególną tego typu ataków jest istnienie
danym porcie
trzech stron: atakującego oraz dwóch ofiar: celu ataku
Stwierdza, \
e nie ma takiej aplikacji
oraz maszyny bądz
maszyn generujących ruch
(reflector). Cel ataku prawie nigdy nie zna prawdziwego
Wysyła pakiet ICMP Destination Unreachable
z
ródła ataku, gdy\
zalewany jest pakietami
Du\
a ilość obsługiwanych w ten sposób pakietów i
pochodzącymi od drugiej ofiary ataku, która mo\
e być
wysyłanych pakietów ICMP mo\
e spowodować
niczego nieświadoma
niedostępność systemu dla innych klientów
PZS  ataki DoS PZS  ataki DoS
9 10
Zbigniew Suski Zbigniew Suski
Zalew UDP  wariant 2 Zalew SYN/TCP
W drugim wariancie ataku wymaga się najczęściej dwóch Atak ten ma na celu wyczerpanie zasobów serwera
maszyn, które są atakowane. Polega on na stworzeniu poprzez zainicjowanie bardzo wielu połączeń TCP.
pętli pomiędzy nimi.
Kiedy maszyna otrzymuje pakiet z zapaloną flagą SYN
na otwartym porcie, to stos TCP/IP alokuje pamięć dla
Aby atak był skuteczny komputery te musza posiadać
uruchomione usługi odpowiadające na datagramy UDP. nowego połączenia wysyłając jednocześnie pakiet
Najczęściej wykorzystywanymi usługami są echo oraz SYN/ACK.
chargen. Chargen jest usługą, która na ka\
dy otrzymany
Jeśli inicjujący pakiet SYN został wysłany ze
pakiet wysyła pakiet.
sfałszowanym adresem z
ródła, to odpowiedz
na pakiet
SYN/ACK nie nadejdzie lub będzie to pakiet RST (jeśli
Pętlę inicjuje się poprzez wysłanie do maszyny
udostępniającej usługę chargen, pakietu ze sfałszowanym sfałszowany adres z
ródła jest u\
ywany).
adresem nadawcy wskazującym na serwis echo innego
Aby atak był skuteczny inicjujące pakiety SYN muszą
(lub tego samego) komputera. Chargen odpowie
nadchodzić szybciej ni\
zaatakowany system potrafi je
pakietem, co z kolei zobliguje serwis echo do wysłania
przetworzyć.
kolejnego pakietu.
PZS  ataki DoS PZS  ataki DoS
11 12
Zbigniew Suski Zbigniew Suski
Opracował: Zbigniew Suski
Bezpieczeństwo systemów Wybrane ataki sieciowe
Zalew SYN/TCP Zalew SYN/TCP
Na atakowanej maszynie, do wykrycia ataku
mo\
na u\
yć programu netstat
Wynik polecenia
netstat
Ruch sieciowy i obcią\
enie
zasobów podczas ataku na
serwer DNS
PZS  ataki DoS PZS  ataki DoS
13 14
Zbigniew Suski Zbigniew Suski
Atak LAND Atak SMURF
Atak ten wykorzystuje niedopatrzenie w specyfikacji
Odmiana SYN Flooding
protokołu ICMP (pakiety ICMP Echo).
Adres nadawcy jak i z
ródła ustawiany jest na
Wysyłając pakiet ICMP \
ądania echa ze sfałszowanym
adres atakowanego hosta.
adresem z
ródła, na adres rozgłoszeniowy sieci, mo\
na
Tworzy to nieskończoną pętle, w którą wpada
spowodować:
zaatakowany komputer próbujący sam sobie
du\
y ruch, często kończący się sztormem kolizyjnym
odpowiadać na otrzymane pakiety
i chwilowym spadkiem wydajności sieci
Atak w chwili obecnej nie stanowi realnego
komputer ofiary, który został mimowolnym nadawcą
zagro\
enia gdy\
jest wykrywany przez większość
\
ądania echa zalany zostanie pakietami
systemów operacyjnych i zapór sieciowych
potwierdzenia, co mo\
e doprowadzić do jego
zablokowania
PZS  ataki DoS PZS  ataki DoS
15 16
Zbigniew Suski Zbigniew Suski
Rozproszony atak DoS (DDoS) Rozproszony DoS
Aby atak był skuteczny potrzebnych jest zwykle od
kilkuset do kilku tysięcy komputerów z
zainstalowanym oprogramowaniem agentów
Faza instalacji przebiega w kilku etapach:
skanowanie du\
ej liczby komputerów pod kątem
posiadania znanej luki
przejęcie kontroli nad wra\
liwymi hostami
zainstalowanie agenta
u\
ycie zdobytego komputera do dalszego
skanowania
PZS  ataki DoS PZS  ataki DoS
17 18
Zbigniew Suski Zbigniew Suski
Opracował: Zbigniew Suski
Bezpieczeństwo systemów Wybrane ataki sieciowe
Sieci  zombie Ataki DoS w warstwie aplikacji
Jednym z najbardziej dotkliwych aspektów dojrzewania
Są bardziej eleganckie i wymagają alokowania
ataków DoS jest powstawanie sieci zombie.
znacznie mniejszych zasobów po stronie
Zombie  który został spenetrowany przez napastnika i
napastnika.
pozostaje pod jego kontrolą.
Najprostszy scenariusz: atakujący odnajduje na
Moc obliczeniowa sieci zombie jest  wynajmowana
popularnej witrynie zasoby, które po stronie
spamerom, szanta\
ystom i innym, którzy chcą w
klienta nie wymagają zbyt intensywnych
anonimowy sposób skorzystać z rozproszonej mocy
obliczeń, ale powodują du\
e obcią\
enie serwera.
obliczeniowej.
Generując niewiele (kilka na sekundę) zapytań,
W II kwartale 2008 roku średnio ponad 10 milionów
napastnik mo\
e taką witryną unieszkodliwić.
komputerów zombie ka\
dego dnia rozsyłało spam i
wiadomości zawierające złośliwe oprogramowanie. 74 %.
odbieranych wiadomości stanowił spam.
MyDoom
PZS  ataki DoS PZS  ataki DoS
19 20
Zbigniew Suski Zbigniew Suski
Przeciwdziałanie atakom DoS Wdra\
anie infrastruktury technicznej
odpornej na ataki DoS
Pełne zabezpieczenie przed atakami DoS nie jest
mo\
liwe. Nie nale\
y się łudzić, \
e mo\
na osiągnąć
Produkty zabezpieczające przed atakami DoS
100% poziom odporności.
Celem powinno być dą\
enie do stanu, w którym nasz Planowanie przepustowości
system w ka\
dym momencie będzie zdolny do
Współpraca z dostawcą usług internetowych (ISP)
świadczenia usług o jak najwy\
szym poziomie, dla
Utwardzanie brzegu sieci
mo\
liwie największej ilości klientów. Metody:
Wdra\
anie infrastruktury technicznej odpornej na Utwardzanie serwerów
ataki DoS
Testowanie DoS (testy penetracyjne !!!)
Wykrywanie ataków DoS
Reagowanie na ataki DoS
PZS  ataki DoS PZS  ataki DoS
21 22
Zbigniew Suski Zbigniew Suski
Wykrywanie ataków DoS Reagowanie na ataki DoS
Obserwacja złośliwego oprogramowania
Plan i praktyczne sposoby reakcji na atak
Technologia i techniki wykrywania ataków DoS
Filtrowanie i przekierowywanie agresywnego ruchu
Skanowanie sieci w poszukiwaniu botów DoS
Kontakt z ISP i rozpoczęcie śledztwa
Przesunięcie celu
Zastosowanie alternatywnej infrastruktury lub trybów
aplikacji
PZS  ataki DoS PZS  ataki DoS
23 24
Zbigniew Suski Zbigniew Suski
Opracował: Zbigniew Suski