Konrad MALEWSKI - Pro Futuro - AGH
Konrad MALEWSKI - Pro Futuro - AGH
Konrad MALEWSKI - Pro Futuro - AGH
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>Konrad</strong> <strong>MALEWSKI</strong><br />
<strong>AGH</strong>, Kraków<br />
email: kmalewski@gmail.com<br />
Wielowarstwowe ataki odmowy usługi w systemach z rezerwacją zasobów<br />
Słowa kluczowe<br />
ataki DDoS – bezpieczeństwo – sieci<br />
Streszczenie<br />
Ataki DoS oraz DDoS stały się ostatnio poważnym problemem zarówno dla wielkich korporacji<br />
jak i przeciętnego użytkownika. Z jednej strony powodują wielomilionowe straty korporacji<br />
z drugiej uniemożliwiają użytkownikom korzystanie z Internetu. Aktualnie wykorzystywane<br />
ataki polegają w głównej mierze na wysłaniu ogromnej ilości danych i wykorzystaniu<br />
łącza ofiary zakłócając prawidłowe działanie serwisu. Zakłada to istnienie odpowiedniej ilości<br />
komputerów, których sumaryczna przepustowość jest większa niż przepustowość atakowanego<br />
serwisu. Logiczną konsekwencją i zarazem kolejnym zagrożeniem dla użytkowników Internetu<br />
mogą stać się ataki wielo-warstwowe, które łącząc różnorodne techniki mogą zminimalizować<br />
liczbę potrzebnych komputerów-zombie oraz zmniejszyć wymagania odnośnie przepustowości<br />
łącz, aby osiągnąć podobny efekt. Z powodu braku danych empirycznych skutki ataków wielowarstwowych<br />
nie są do końca zbadane, jednak pewnym jest że kierunek rozwoju ataków DoS<br />
wymusi badania w tej dziedzinie.<br />
1. Wstęp<br />
Sporo czasu upłynęło od pamiętnej daty – 2 listopada 1988 roku, kiedy to robak internetowy<br />
Morris stał się przyczyną pierwszego ataku DoS. Pomimo tego, że robak nie został zaprojektowany<br />
w celach destrukcyjnych szacuje się, że zaraził około 6000 maszyn Unikowych.<br />
Straty spowodowane działaniem szkodnika oceniono na ponad 10 milionów dolarów. Od<br />
tamtego czasu zarówno ataki DoS jak i mechanizmy obrony przeszły znaczną metamorfozę.<br />
Wiedza i umiejętności, które musi posiąść haker, aby włamać się do danego systemy nieprzerwanie<br />
ulega zwiększeniu. Powodowane jest to zwiększeniem złożoności systemów informatycznych<br />
a także wiedzą, która została zdobyta podczas minionych lat walki ze złośliwym<br />
oprogramowaniem i tworzącymi go programistami. Rozwój technik ataku i obrony zaowocował<br />
powstaniem rozbudowanej taksonomii ataków [Mirkovic i Reiher 2004]. Zaproponowany<br />
podział technik uwzględnia wszystkie możliwe czynniki ataku: podział ze względu na stopień<br />
automatyzacji, wykorzystywanej podatności, możliwość kamuflowania się pod fałszywym<br />
adresem IP, dynamikę ataku, możliwość jednoznacznej identyfikacji, liczbę agentów biorących<br />
39
Krakowska Konferencja Młodych Uczonych 2007<br />
udział w ataku, cel ataku oraz na koniec zamierzony wpływ na ofiarę. Taki podział jest wynikiem<br />
ewolucji ataków DoS. Gdy epoka grasującego po Internecie robaka Morrisa przeminęła<br />
[Mirkovic i in. 2004], nastał czas wykorzystywania luk w systemach operacyjnych [CERT<br />
Advisory CA-1997-28], [CERT Advisory CA-1996-21], [CERT® Advisory CA-1996-26].<br />
W tym okresie również na masową skalę zaczęły powstawać rootkity [Dittrich 2002]. Ataki te<br />
bardzo skuteczne w latach 90-tych w minimalnie zmodyfikowanej formie są skuteczne nawet<br />
dziś. Bardzo zmieniły się natomiast narzędzia wykorzystywane do przeprowadzania ataków.<br />
Początkowo proste narzędzia do automatyzacji ataku były dostępne tylko dla nielicznych.<br />
Logiczną konsekwencją rozwoju sieci Internet było powstanie programów mogących przeprowadzić<br />
wiele typów ataku w sposób automatyczny. Pojawienie się narzędzi takich jak Rape,<br />
Wingenocide czy Targa spowodowało, że każdy mógł przeprowadzić ataki DoS. Przełom XX<br />
i XXI wieku przyniósł narzędzie sobą nowe narzędzia DdoS [Criscuolo 2000]. Pozwalały one<br />
na stworzenie tzw. Botnetów, czyli sieci zdalnie sterowanych komputerów, które były kontrolowane<br />
zdalnie przez napastnika. Wiek XXI, to nie tylko nowe metody ataku, ale również<br />
wykorzystanie robaków internetowych do rozprzestrzeniania złośliwego oprogramowania<br />
[Zalewski 2000]. W ostatnich latach częste stały się ataki DRDoS, które wykorzystują nie tylko<br />
odbicie, ale również wzmocnienie [Randal and Gadi 2006]. Ogólna tendencja ataków DDoS<br />
zdaje się iść w kierunku różnorakich technik ataku, kamuflażu i sposobów rozprzestrzeniania<br />
się hostów zombie [Zalewski 2000].<br />
2. Obrona przeciwko DoS<br />
Równie licznego podziału doczekały się metody obrony [Champagne, Lee 2006]. Jeden<br />
z bardziej zwięzłych a zarazem dość celnych podziałów dzieli je wyłącznie na trzy kategorie:<br />
prewencja, mitygacja oraz zwodzenie. W kategorii prewencji znajdują się wszystkie systemy<br />
służące do filtrowania, ograniczania zdolności komunikacyjnych, skanowania antywirusowego.<br />
Do akcji prewencyjnych przeciw atakom DoS można zaliczyć: priorytetyzowanie ruchu,<br />
redundantną strukturę sieci, stosowanie dodatkowych warstw sieciowych szyfrujących dane<br />
czy systemów, które usuwają z transmisji klient-serwer wszystkie anomalie. Zwodzenie ma<br />
na celu skierowanie ataku do innej maszyny i zmylenie przeciwnika tak, aby myślał, że osiąga<br />
cel ataku podczas gdy docelowy system, do którego kierowany jest ruch symuluje skutki ataku<br />
i zbiera dane które, mogą zostać wykorzystane do zbudowania odpowiedniego filtru dla systemu<br />
prewencyjnego. Wszystkie wymienione wyżej typy systemów mogą zostać zrealizowane<br />
zarówno sprzętowo jak i w postaci oprogramowania instalowanego na maszynach serwujących<br />
usługi.<br />
3. Wielowarstwowe ataki DDoS<br />
Wydaje się, że przeciw każdemu atakowi DoS, specjaliści zajmujący się bezpieczeństwem<br />
posiadają metody obrony lub są w stanie stworzyć je w stosunkowo krótkim czasie. Obecnie<br />
stosowane ataki wydają się nie łączyć więcej niż jednej technik na raz. Zakładając, że dany<br />
atak ukierunkowany jest nie na wysycenie łącza ofiary, ale na zużycie jak największej liczby<br />
zasobów w postaci pamięci lub czasu procesora, powstanie narzędzia łączącego niektóre techniki<br />
ataku na poszczególnych warstwach ISO/OSI jest tylko kwestią czasu.<br />
Aby taki atak mógł mieć miejsce, ataki na niższe warstwy muszą zezwalać na komunikację<br />
40
Krakowska Konferencja Młodych Uczonych 2007<br />
w wyższych warstwach. I tak na przykład atak na warstwę transportową (np. SYN Flood) nie<br />
może w warstwie niższej wykorzystywać ataku uniemożliwiającego komunikację w warstwie<br />
transportowej (np. Teardrop). Chcąc skonstruować atak, który używałby wszystkich 7 warstw<br />
należałoby na przykład wykorzystać zmodyfikowane wersje Rose [Rose attack] w warstwie 3,<br />
Shrew [Kuzmanovic i Knightly 2004] w warstwie 4 oraz wyspecjalizowany atak skierowany<br />
na zużycie zasobów w warstwie aplikacji.<br />
Application HTTP, DNS, SSL based...<br />
Presentation GIF, JPG...<br />
Session<br />
RPC based attack,<br />
SSL based attack...<br />
Transport Naptha, SYN Flood, SMURF...<br />
Network<br />
ARP spoofing, IP flooding,<br />
Fragmentation attack,<br />
IP adress spoofing...<br />
Data Link MAC spoofing/flooding...<br />
Physical WiFi attack...<br />
Rys. 1. Ataki na poszczególne warstwy ISO/OSI<br />
Fig. 1. Attacks on layers ISO/OSI<br />
4. Ataki wielowarstwowe vs ataki „tradycyjne”<br />
Skutki ataków wielowarstwowych są trudne do przewidzenia. Łącząc różne metody mogą<br />
stać się niewykrywalne przez współczesne systemy antywłamaniowe a zarazem ich skuteczność<br />
może stanowić sumę skuteczności wszystkich warstw. Aby niektóre ataki mogły współistnieć,<br />
może zajść potrzeba ich modyfikacji np. w przypadku Naphta. Ataki wielowarstwowe,<br />
o ile okażą się skuteczne posiadają jeszcze jedną znaczącą (ważną) cechę. Załóżmy, że napastnik<br />
posiada pod swoją kontrolą 1000 komputerów podłączonych do sieci Internet za pomocą<br />
łącza 100Mbit. Jeżeli taka liczba komputerów jest wystarczająca do osiągnięcia 100% obciążenia<br />
maszyny ofiary za pomocą ataku SYN Flood, ile komputerów mniej musi poświęcić napastnik,<br />
jeśli wykorzysta ataki wielowarstwowe? Odpowiedź na to pytanie wymaga dalszych<br />
badań, ponieważ nie zarejestrowano do tej pory ataku wielowarstwowego.<br />
5. Skuteczność współczesnych metod obrony<br />
Skuteczność współczesnych systemów obrony przed atakami wielowarstwowymi zależy<br />
w dużym stopniu od samej charakterystyki danych wysyłanych przez napastnika. Jeżeli ruch<br />
ów w jakiś sposób wyróżnia się z całości, systemy filtrujące powinny wyeliminować zagrożenie<br />
poprzez identyfikację sieci komputerów-zombie intruza. Podobnie system wykrywania<br />
anomalii może poradzić sobie z atakiem, jeśli jego statystyczne cechy na tyle odbiegają od<br />
wzorcowego ruchu, aby wyzwolić alarm. <strong>Pro</strong>blem pojawia się w momencie, gdy narastający<br />
ruch atakującego powoduje problemy z komunikacją wśród użytkowników serwisu, co prowadzi<br />
do tego, że strumienie danych intruza i klientów stają się nierozróżnialne.<br />
41
Krakowska Konferencja Młodych Uczonych 2007<br />
6. Podsumowanie i kierunki dalszych badań<br />
Ataki DoS są ciągłym i realnym zagrożeniem dla społeczności internetowej. Niektórzy<br />
obawiają się nawet paraliżu wszystkich maszyn spowodowanym atakiem DoS na główne serwery<br />
DNS w Internecie [Notes 2007]. Trend wskazuje, że problem ten będzie się nasilał i stale<br />
spędzał sen z powiek specjalistom IT. Ataki wielowarstwowe mogą się przyczynić do eskalacji<br />
problemu, ponieważ w momencie wykrycia nowej podatności mogą stać się narzędziem<br />
wzmacniającym skutki ataku. W celu zaopatrzenia administratorów w sprawdzone narzędzie<br />
w walce z atakami, konieczne jest powstanie dogłębnej analizy problemu, która przyczyni się<br />
do stworzenia nowych metod niwelowania ataków.<br />
Literatura<br />
[1] Mirkovic J., Reiher P. 2004: A Taxonomy of DDoS Attack and DDoS Defense Mechanisms,<br />
ACM SIGCOMM CCR.<br />
[2] Mirkovic J., Dietrich S., Dittrich D., Reiher P. 2004: Internet Denial of Service: Attack and<br />
Defense Mechanisms, Prentice Hall PTR, chapter 3.3.<br />
[3] CERT Advisory CA-1997-28 IP Denial-of-Service Attacks.<br />
[4] CERT Advisory CA-1996-21 TCP SYN Flooding and IP Spoofing Attacks.<br />
[5] CERT® Advisory CA-1996-26 Denial-of-Service Attack via ping.<br />
[6] Dittrich D. 2002: "Root Kits" and hiding files/directories/processes after a break-in.<br />
[7] Criscuolo P.J. 2000: Distributed Denial of Service Tools Trinoo, Tribe Flood Network, Tribe Flood<br />
Network 2000, and Stacheldraht, University of California Lawrence Livermore National Laboratory<br />
[8] Zalewski M. 2000: "I Don't Think I Really Love You" or Writing Internet Worms for Fun and <strong>Pro</strong>fit.<br />
[9] Randal V., Gadi E. 2006: DNS Amplification Attacks.<br />
[10] Champagne D., Lee R.B. 2006: Scope of DDoS Countermeasures: Taxonomy of <strong>Pro</strong>posed<br />
Solutions and Design Goals for Real-World Deployment, 8th International Symposium on<br />
Systems and Information Security (SSI'2006).<br />
[11] Rose attack - http://digital.net/~gandalf/Rose_Frag_Attack_Explained.htm.<br />
[12] Kuzmanovic A., Knightly E.W. 2004: Low-Rate TCP-Targeted Denial of Service Attacks and<br />
Counter Strategies, Submitted to IEEE/ACM Transactions on Networking.<br />
[13] Notes A. 2007: Biggest threat to Internet could be a massive virtual blackout, National Journal's<br />
Technology Daily.<br />
Multi layered DDoS attacks against reservation-based systems<br />
Abstract<br />
This article presents current trends and new methods of DoS attacks in context of systems<br />
in which a request causes resource reservation. Since the first known DoS attack - the Morris<br />
worm - was registered, DoS attacks have significantly evolved. For over 20 years scientist and<br />
IT specialists have been working hard to analyze DoS attack methods and develop new ways of<br />
prevention, mitigation and deterrence of such attacks. Simultaneously and one step ahead to<br />
their work villains have been working even harder to figure out new methods of exploiting<br />
vulnerabilities in reservation-based systems. The DoS trend suggests that new multi-layer<br />
attacks may prove deadly to Internet society. Because of the lack of empirical data on the<br />
subject, the impact of such attacks and usefulness of current defense mechanisms is yet to be<br />
determined.<br />
42