DDoS támadások DDoS támadások veszélyei és az ellenük veszélyei és az ellenük

való védekezés való védekezés lehetséges módszereilehetséges módszerei

Gyányi SándorGyányi Sándor

DoS támadás meghatározásaDoS támadás meghatározása

Denial of Service: szolgáltatás Denial of Service: szolgáltatás megtagadás. A támadó a célpont megtagadás. A támadó a célpont informatikai rendszerét próbálja olyan informatikai rendszerét próbálja olyan módon túlterhelni, hogy az képtelen módon túlterhelni, hogy az képtelen legyen a normál, üzemszerű működésre legyen a normál, üzemszerű működésre és így az általa nyújtott szolgáltatás és így az általa nyújtott szolgáltatás nyújtására.nyújtására.Leggyakoribb módszer: túlterhelés.Leggyakoribb módszer: túlterhelés.

„„Klasszikus” DoSKlasszikus” DoS

A célpontot egyetlen pontból támadják.A célpontot egyetlen pontból támadják. A támadó a célpont erőforrásait próbálja A támadó a célpont erőforrásait próbálja

lefoglalni.lefoglalni. Lehetséges hálózati rétegben (pl. TCP Lehetséges hálózati rétegben (pl. TCP

Syn Flood Attack) vagy alkalmazási Syn Flood Attack) vagy alkalmazási rétegben (e-mail flooding vagy anonymous rétegben (e-mail flooding vagy anonymous ftp tárolóhely lefoglalás)ftp tárolóhely lefoglalás)

TCP Syn Flood AttackTCP Syn Flood Attack

Az IP hálózatok - így az Internet is - Az IP hálózatok - így az Internet is - legnépszerűbb szolgáltatásai (SMTP, HTTP, legnépszerűbb szolgáltatásai (SMTP, HTTP, FTP) TCP kapcsolatot alkalmaznak.FTP) TCP kapcsolatot alkalmaznak.

TCP kapcsolat felépítését egy úgynevezett TCP kapcsolat felépítését egy úgynevezett „háromutas” kézfogás előzi meg.„háromutas” kézfogás előzi meg.

1.1. A kliens Syn csomagot küld.A kliens Syn csomagot küld.

2.2. A szerver Syn + ACK csomaggal nyugtáz.A szerver Syn + ACK csomaggal nyugtáz.

3.3. A kliens Syn + ACK csomaggal nyugtáz. A A kliens Syn + ACK csomaggal nyugtáz. A kapcsolat ettől a ponttól működőképes.kapcsolat ettől a ponttól működőképes.

TCP Syn Flood Attack 2.TCP Syn Flood Attack 2. A támadás menete:A támadás menete:

1.1. A támadó Syn csomagot küld, hamisított feladó A támadó Syn csomagot küld, hamisított feladó címmel.címmel.

2.2. A célpont tárolja a leendő kapcsolat adatait, majd A célpont tárolja a leendő kapcsolat adatait, majd Syn + ACK nyugtázó csomagot küld a feladónak (a Syn + ACK nyugtázó csomagot küld a feladónak (a hamisított, esetleg nem is létező címre).hamisított, esetleg nem is létező címre).

3.3. A célpont nem kap választ, ezért néhányszor A célpont nem kap választ, ezért néhányszor (általában még háromszor) újraküldi az üzenetet.(általában még háromszor) újraküldi az üzenetet.

4.4. A célpont felszabadítja a kapcsolat tárolására A célpont felszabadítja a kapcsolat tárolására szolgáló memóriát.szolgáló memóriát.

A támadó nagy mennyiségű Syn csomaggal A támadó nagy mennyiségű Syn csomaggal árasztja el a célpontot, amelynek a kapcsolatok árasztja el a célpontot, amelynek a kapcsolatok állapotát tároló memóriája megtelik, így nem lesz állapotát tároló memóriája megtelik, így nem lesz képes új TCP kapcsolatot létrehozni.képes új TCP kapcsolatot létrehozni.

TCP Syn Flood Attack 3.TCP Syn Flood Attack 3.

Védekezés módszerei:Védekezés módszerei:

1.1. A „félkész” kapcsolatok tárolására A „félkész” kapcsolatok tárolására szolgáló memória megnövelése.szolgáló memória megnövelése.

2.2. Speciális eljárások (Syn Cookie).Speciális eljárások (Syn Cookie).

E-mail floodingE-mail flooding

A támadó a célpont SMTP szerver számára A támadó a célpont SMTP szerver számára nagy mennyiségű elektronikus levelet küld.nagy mennyiségű elektronikus levelet küld.

A célpont tárolókapacitása véges, így kellő A célpont tárolókapacitása véges, így kellő mennyiségű levéltől megtelik, ami további mennyiségű levéltől megtelik, ami további levelek fogadását lehetetlenné teszi.levelek fogadását lehetetlenné teszi.

Ha a célponton a beérkezett leveleket szűrésnek Ha a célponton a beérkezett leveleket szűrésnek vetik alá, akkor a szűrés gyengeségeinek vetik alá, akkor a szűrés gyengeségeinek kihasználása, és így a rendszer erőforrásainak kihasználása, és így a rendszer erőforrásainak lefoglalása (pl. 2GB-nál nagyobb ZIP állomány lefoglalása (pl. 2GB-nál nagyobb ZIP állomány csatolása).csatolása).

E-mail flooding 2.E-mail flooding 2.

Védekezés: a támadás detektálása, a Védekezés: a támadás detektálása, a támadó címének meghatározása majd támadó címének meghatározása majd hálózati rétegben kitiltása.hálózati rétegben kitiltása.

HTTP kiszolgáló leterheléseHTTP kiszolgáló leterhelése

Egy HTTP kiszolgáló általában Egy HTTP kiszolgáló általában maximalizálja az egy időben működő maximalizálja az egy időben működő processzeinek számát. A támadó sok processzeinek számát. A támadó sok egyidejű kapcsolatot hoz létre, amelyeken egyidejű kapcsolatot hoz létre, amelyeken lassú adatátvitelt végez, így igénybe veszi lassú adatátvitelt végez, így igénybe veszi az összes rendelkezésre álló processzt.az összes rendelkezésre álló processzt.

A támadó speciális kérések kiadásával A támadó speciális kérések kiadásával elfogyasztja a kiszolgáló belső elfogyasztja a kiszolgáló belső erőforrásait.erőforrásait.

DDoSDDoS

Distributed Denial of Service: elosztott Distributed Denial of Service: elosztott szolgáltatás megtagadásos támadási szolgáltatás megtagadásos támadási módszerek.módszerek.

A támadó egyidejűleg nagyszámú A támadó egyidejűleg nagyszámú végpontot használva indítja meg a végpontot használva indítja meg a támadást.támadást.

Lehetséges a hálózati rétegben (ICMP Lehetséges a hálózati rétegben (ICMP vagy UDP flooding) vagy az alkalmazási vagy UDP flooding) vagy az alkalmazási rétegben.rétegben.

ICMP flooding, „Smurf” attackICMP flooding, „Smurf” attack

AZ ICMP az IP segédprotokollja.AZ ICMP az IP segédprotokollja. A hálózati hibakereséshez használt „ping” A hálózati hibakereséshez használt „ping”

parancs ICMP Echo Request és Echo parancs ICMP Echo Request és Echo Reply üzeneteket használ.Reply üzeneteket használ.

Minden IP hálózatnak létezik egy Minden IP hálózatnak létezik egy „broadcast” címe, amelyre üzenetet küldve „broadcast” címe, amelyre üzenetet küldve a hálózat összes végpontja válaszol. a hálózat összes végpontja válaszol. Hibás konfigurálás esetén ez a broadcast Hibás konfigurálás esetén ez a broadcast cím nem csak hálózaton belül érhető el.cím nem csak hálózaton belül érhető el.

ICMP flooding, „Smurf” attack 2.ICMP flooding, „Smurf” attack 2.

A támadó keres ilyen hibásan konfigurált, A támadó keres ilyen hibásan konfigurált, nagy sávszélességű, sok végpontot nagy sávszélességű, sok végpontot tartalmazó hálózatokat.tartalmazó hálózatokat.

A célpont címét hamisítva feladóként, a A célpont címét hamisítva feladóként, a hálózat broadcast címére elkezd Echo hálózat broadcast címére elkezd Echo request üzeneteket küldeni.request üzeneteket küldeni.

A hálózat összes végpontja válaszol, Echo A hálózat összes végpontja válaszol, Echo reply üzeneteket küldve a célpont címére.reply üzeneteket küldve a célpont címére.

ICMP flooding, „Smurf” attack 3.ICMP flooding, „Smurf” attack 3.

Védekezés: Védekezés:

1.1. A hálózati útválasztók helyes A hálózati útválasztók helyes konfigurálása.konfigurálása.

2.2. Támadás észlelése esetén a támadást Támadás észlelése esetén a támadást akaratlanul végrehajtó (vagy akaratlanul végrehajtó (vagy ideiglenesen az összes) hálózatból ideiglenesen az összes) hálózatból érkező Echo reply üzenet szűrése.érkező Echo reply üzenet szűrése.

DDOS az alkalmazási rétegbenDDOS az alkalmazási rétegben

A támadó nagyszámú végpontot használva A támadó nagyszámú végpontot használva normál, a rendes működés során általánosan normál, a rendes működés során általánosan használt kéréseket küld a célpontnak. használt kéréseket küld a célpontnak.

A kiszolgálókat nem az extrém esetekre A kiszolgálókat nem az extrém esetekre méretezik, így az erőforrások kimerülnek.méretezik, így az erőforrások kimerülnek.

A szolgáltatások általában aszimmetrikus A szolgáltatások általában aszimmetrikus működésűek (a kérést elküldeni egyszerűbb, működésűek (a kérést elküldeni egyszerűbb, mint a választ előállítani), így könnyű lefoglalni mint a választ előállítani), így könnyű lefoglalni az erőforrásokat (hálózati sávszélesség, az erőforrásokat (hálózati sávszélesség, számítási kapacitás).számítási kapacitás).

HTTP támadásHTTP támadás

Helyesen megválasztott kérésekkel a Helyesen megválasztott kérésekkel a kiszolgálót nagy mennyiségű művelet kiszolgálót nagy mennyiségű művelet végrehajtására lehet késztetni, így a végrehajtására lehet késztetni, így a kiszolgálás sebessége használhatatlan kiszolgálás sebessége használhatatlan értékre csökken.értékre csökken.

A legnépszerűbb webszolgáltatások A legnépszerűbb webszolgáltatások dinamikusan állítják elő az oldalakat, dinamikusan állítják elő az oldalakat, tipikusan adatbázisból dolgozva.tipikusan adatbázisból dolgozva.

HTTP támadás 2.HTTP támadás 2.

Egy rövid példa:Egy rövid példa:<html><html><head><head><title>DOS</title><title>DOS</title><script type="text/javascript"><script type="text/javascript">function Tolt()function Tolt(){{

sSearch = "";sSearch = "";for (i=0; i<7; i++)for (i=0; i<7; i++)

sSearch += String.fromCharCode(65+Math.floor(Math.random()*27));sSearch += String.fromCharCode(65+Math.floor(Math.random()*27));document.getElementById("dframe").src="http://www.google.hu/search?document.getElementById("dframe").src="http://www.google.hu/search?hl=hu&q="+sSearch+"&btnG=Google+keres%C3%A9s&meta=";hl=hu&q="+sSearch+"&btnG=Google+keres%C3%A9s&meta=";var tt = setTimeout("Tolt()",1000);var tt = setTimeout("Tolt()",1000);

}}</script></script></head></head><body onload="Tolt()"><body onload="Tolt()"><iframe id="dframe" src="about:blank" width="600" height="600"></iframe><iframe id="dframe" src="about:blank" width="600" height="600"></iframe></body></body>

HTTP támadás 3.HTTP támadás 3.

Védekezés:Védekezés:

1.1. Csaknem lehetetlen, a támadás Csaknem lehetetlen, a támadás módszerének ismeretében egyedileg módszerének ismeretében egyedileg meghatározott módszerrel. meghatározott módszerrel.

2.2. Drága megoldást jelent az elosztott Drága megoldást jelent az elosztott architektúra (cache szerverek), így a architektúra (cache szerverek), így a támadás jobban eloszlik.támadás jobban eloszlik.

Reflektív DDoS támadásokReflektív DDoS támadások

Viszonylag fiatal DDoS támadási módszer.Viszonylag fiatal DDoS támadási módszer. A támadás során más, „ártatlan” A támadás során más, „ártatlan”

végpontokat használnak fegyverként.végpontokat használnak fegyverként. Az „ártatlan” végpontokat nem szükséges Az „ártatlan” végpontokat nem szükséges

uralni a támadás indításához.uralni a támadás indításához. Hálózati és alkalmazási rétegben egyaránt Hálózati és alkalmazási rétegben egyaránt

elvégezhető.elvégezhető.

Reflektív DDoS támadások 2.Reflektív DDoS támadások 2.

Hálózati rétegben kivitelezett reflektív támadás: TCP Hálózati rétegben kivitelezett reflektív támadás: TCP Syn+ACK Attack.Syn+ACK Attack.

A támadó a harmadik félnek („ártatlan végpont”) TCP A támadó a harmadik félnek („ártatlan végpont”) TCP Syn csomagot küld, a célpont címét hamisítva a feladó Syn csomagot küld, a célpont címét hamisítva a feladó címeként.címeként.

Az „ártatlan végpont” erre TCP Syn + ACK csomaggal Az „ártatlan végpont” erre TCP Syn + ACK csomaggal válaszol, elkezdve a TCP kapcsolat létrehozását.válaszol, elkezdve a TCP kapcsolat létrehozását.

A TCP Syn + ACK csomag a célpontot találja el.A TCP Syn + ACK csomag a célpontot találja el. Mivel az „ártatlan végpont” nem kap választ, ezért Mivel az „ártatlan végpont” nem kap választ, ezért

újraküldi (általában még háromszor) a csomagot.újraküldi (általában még háromszor) a csomagot. A támadó egyetlen csomagjának hatására a célpont négy A támadó egyetlen csomagjának hatására a célpont négy

csomagot kap.csomagot kap.

Egy valós támadás: http://www.grc.com/dos/drdos.htmEgy valós támadás: http://www.grc.com/dos/drdos.htm

Reflektív DDoS támadások 3.Reflektív DDoS támadások 3.

Védekezés:Védekezés:

1.1. Hamisított IP csomagok szűrése (ISP Hamisított IP csomagok szűrése (ISP szintű beavatkozás).szintű beavatkozás).

2.2. TCP portcím alapján a keletkező TCP portcím alapján a keletkező forgalom egy része kiszűrhető (ISP forgalom egy része kiszűrhető (ISP szintű beavatkozás).szintű beavatkozás).

Reflektív DDoS támadások 4.Reflektív DDoS támadások 4.

Alkalmazás rétegben: egyes SMTP kiszolgálók a Alkalmazás rétegben: egyes SMTP kiszolgálók a nem létező címre érkező elektronikus leveleket nem létező címre érkező elektronikus leveleket elfogadják, majd amikor kiderül, hogy a elfogadják, majd amikor kiderül, hogy a kézbesítés lehetetlen, a feladó számára kézbesítés lehetetlen, a feladó számára értesítést küldenek.értesítést küldenek.

Ha a támadó a célpont email címét adja meg az Ha a támadó a célpont email címét adja meg az SMTP párbeszéd során, akkor az értesítést az SMTP párbeszéd során, akkor az értesítést az áldozat kapja meg.áldozat kapja meg.

A levelek küldését botnetek nagy tömegben A levelek küldését botnetek nagy tömegben képesek elvégezni, a reflektív működés miatt a képesek elvégezni, a reflektív működés miatt a hlózati szintű szűrés nehezen kivitelezhető.hlózati szintű szűrés nehezen kivitelezhető.

Reflektív DDoS támadások 5.Reflektív DDoS támadások 5.

HELO sanyiHELO sanyi250 mail.webgame.hu Hello 250 mail.webgame.hu Hello

3e44bd93.adsl.enternet.hu [62.68.189.147], 3e44bd93.adsl.enternet.hu [62.68.189.147], pleased to meet youpleased to meet you

MAIL FROM: bill.gates@microsoft.comMAIL FROM: bill.gates@microsoft.com250 2.1.0 bill.gates@microsoft.com... Sender ok250 2.1.0 bill.gates@microsoft.com... Sender okRCPT TO: george.w.bush@whitehouse.govRCPT TO: george.w.bush@whitehouse.gov550 5.7.1 george.w.bush@whitehouse.gov... 550 5.7.1 george.w.bush@whitehouse.gov...

Relaying deniedRelaying deniedRCPT TO: bill.clinton@kewl.huRCPT TO: bill.clinton@kewl.hu550 5.1.1 bill.clinton@kewl.hu... User unknown550 5.1.1 bill.clinton@kewl.hu... User unknown

Reflektív DDoS támadások 6.Reflektív DDoS támadások 6.

Védekezés:Védekezés:

Levelező szerverek helyes konfigurálása.Levelező szerverek helyes konfigurálása.

ÖsszefoglalóÖsszefoglaló

A DDoS támadások végrehajtása a botnetek A DDoS támadások végrehajtása a botnetek segítségével egyre egyszerűbb, így a segítségével egyre egyszerűbb, így a támadások száma várhatóan növekedni fog.támadások száma várhatóan növekedni fog.

A támadások elindulása után a védekezés már A támadások elindulása után a védekezés már nehéz, utólag az események rekonstruálása (és nehéz, utólag az események rekonstruálása (és így a felelősök megbüntetése) ritkán így a felelősök megbüntetése) ritkán megoldható.megoldható.

Az ilyen támadások visszaszorítása érdekében Az ilyen támadások visszaszorítása érdekében megelőző tevékenységeket kell végezni (botnet megelőző tevékenységeket kell végezni (botnet vezérlő végpontok felderítése, lekapcsolása).vezérlő végpontok felderítése, lekapcsolása).

ForrásokForrások

RFC 793: Transmission Control ProtocolRFC 793: Transmission Control Protocol http://www.techzoom.net/paper-mailbomb.http://www.techzoom.net/paper-mailbomb.

aspasp http://www.cert.org/advisories/CA-1998-01http://www.cert.org/advisories/CA-1998-01

.html.html http://www.newscientist.com/article.ns?id=http://www.newscientist.com/article.ns?id=

dn4858dn4858 http://www.cert.org/tech_tips/http://www.cert.org/tech_tips/

denial_of_service.htmldenial_of_service.html