DDOS jak żyć?

No Comments

DDOS czyli distributed denial-of-service.

To po prostu rodzaj ataku mający na celu przeciążyć usługę aby uniemożliwić do niej dostęp. Można to porównać do autobusów w godzinach szczytu albo do zatłoczonych ulic w dużym mieście. Jeśli ulica ma możliwość przepustową 100 samochodów na minutę, to co się stanie jeśli będzie chciało tamtędy przejechać 200 samochodów w ciągu minuty? Dana ulica po prostu się zablokuje i wzrośnie czas oczekiwania na przejazd, a jeśli dojdzie do wypadku to ulica kompletnie się zablokuje i nie będzie możliwości przejazdu.
Bardziej komputerowym przykładem może być to że załóżmy że mamy łącze 10Gb/s, w pewnym momencie padamy ofiarą ataku DDOS i różne komputery wysyłają do nas dane które przekraczają maksymalną możliwość łącza powoduję jego kompletne zablokowanie, co więcej nagle zwiększony ruch może w pełni wykorzystać zasoby naszego serwera i doprowadzić do tego że program odpowiedzialny za jakieś zadanie (np serwer www) się po prostu zawiesi i przestanie odpowiadać, a czasami nawet dojdzie do restartu całego serwera.

Rodzaje i sposoby – Bezpośrednie

Istnieje bardzo dużo sposobów przeprowadzenia ataku, a każdy z nich zależy od możliwości. Najpopularniejsze sposoby polegają na:

Użycie routerów domowych

Coraz częściej można się spotkać z atakiem na routery domowe, samych sposobów ataku jest wiele przykładem są specjalne maile które zawierają linki . Następstwa natomiast to często najprostsza zmiana serwerów DNS i tutaj dla każdego zalecam sprawdzenie czy taka zmiana nie została dokonana na Twoim serwerze za pomocą narzędzie firmy F-secure Test DNS routera. Taka zmiana sprawia że możemy skierować ruch od nieświadomej ofiary na dowolny serwer na świecie, co często wykorzystuje _pewien_ rząd, aby przeprowadzać ataki DDOS na serwisy internetowe. Bardziej zaawansowany atak polega na wprowadzeniu rootkita do naszego routera i przez to pełny pakiet możliwości zaczynając od dostępu do wnętrza sieci jak i na zewnątrz pełnego czytania ruchu czyli jakie strony otwieramy oraz poznanie wszystkich danych jakie przesyłamy przez internet, dlatego tak ważne jest szyfrowanie stron www.
Jak już atakujący ma dostęp do routera może wysyłać żądania połączenia się z pewną stroną na przykład 10 razy na sekundę, można sobie wyobrazić co się stanie jeśli atakujący będzie miał takich routerów np 100 albo i więcej.

Użycie „zdobycznych” serwerów

Czasy kiedy hackerzy włamywali się na strony internetowe lub serwery tylko po to żeby zostawić tam informacje o tym że to on się włamał lub po prostu żeby narobić bałaganu dawno już się skończyły. Teraz po włamaniu instaluje się tzw. Back Door-y czyli tylko wejście które umożliwi atakującemu wykorzystanie tego serwera do swoich celów jak na przykład ataku DDOS. Dlaczego akurat serwery? ponieważ najczęściej są podłączone do łącz internetowych o dużej przepustowości jak np 10Gb/s i użycie paru takich serwerów potrafi wygenerować olbrzymi ruch, a jeśli wykorzystamy tylko 10% zasobów to nawet nikt się nie zorientuje że taki serwer jest przejęty, i nie zareaguje.

Rodzaje i sposoby – Pośrednie

NTP, DNS, SNMP – czyli UDP

Czym są te magiczne skróty? Otóż NTP to protokół wykorzystywany do synchronizacji czasu między komputerami, praktycznie każdy komputer jest w niego wyposażony, i to właśnie słabość tego protokołu napawa wiele osób o zawroty głowy. Jak to działa? Otóż w specyfikacji protokołu NTP występuje coś takiego jak wysłanie do serwera czasu zapytania o adresy ip komputerów które się z nim łączyły (polecenie monlist). Na które serwer odpowie adresami ip nawet 600(!) ostatnich adresów które prosiły o synchronizację czasu. Tutaj wiele osób pomyśli no tak odpowie ale tobie więc co to za problem? Otóż problem jest właśnie ostatni magiczny skrót występujący w nagłówku czyli UDP. Jest to protokół bezstanowy, czyli wysyłam list i jako adres zwrotny mogę (w dogodnych okolicznościach) wpisać dowolny komputer na świecie. Co sprawia że mając 1 Mb/s łącze wysyłając spreparowane zapytanie jesteśmy w stanie zwiększyć je do nawet 500Mb/s, co już może zablokować niejedno łącze na świecie. Na podobnej zasadzie odbywa się atak w przypadku każdego innego protokołu, wysyłamy żądanie do serwera pośredniczącego, który nieświadomy atakuje ofiarę.
Na szczęście wzrasta świadomość osób zarządzającymi tego typu usługami i zaczynają wprowadzać blokady lub ograniczenia na bardziej niebezpieczne elementy protokołów.

W połączeniu z DOS

DOS czyli denial of service odbywa się poprzez pojedynczego atakującego wykorzystującego słabość serwera lub aplikacji aby ją spowolnić. Jest to na przykład zmuszenie aplikacji do wykonania czasochłonnych obliczeń sprawiając że duża część zasobów serwera zostaje oddelegowana do tego zadania. Co później może zostać wykorzystane do DDOS czyli po prostu oddelegowanie przejętych komputerów do wysyłania zapytań powodujących DOS. Jest to trudniejszy do wykonania atak, jednak często bardziej skuteczny gdyż nie potrzebuje tyle zasobów od strony atakującego. Jest jednak często łatwiejszy do rozwiązania dla ofiary gdyż wystarczy wprowadzić poprawki w aplikacji, prze na przukład dodanie CAPTCHA-y.

Czym nie jest DDOS

DDOS nie jest atakiem hackerskim w pełnym znaczeniu tego słowa. Ponieważ nie powoduje on przełamania zabezpieczeń tylko uniemożliwienie innym osobą korzystanie z danej usługi. Na przykład włamanie do banku i kradzież pieniędzy jest kradzieżą ponieważ znikną pieniądze, w takiej sytuacji DDOS będzie nie włamaniem a na przykład zastawieniem frontowych drzwi uniemożliwiając osobą dostęp do tych pieniędzy które jednak będą bezpieczne w sejfie. W związku z tym ataki DDOS są często krytykowane przez wszystkie strony zarówno ‚white hat’, ‚grey hat’ jak i ‚black hat’ a osoby za nie odpowiedzialne, najczęściej nie posiadają szerokiej wiedzy informatycznej chcą po prostu komuś zaszkodzić. Czasami jednak się zdarza że chcemy w ten sposób zniechęcić klientów do konkurencji, poprzez DDOS dużego sklepu internetowego na przykład przed świętami aby zniechęcić do niego klientów i ściągnąć ich do siebie.

Jak się bronić

Jak było widać w święta Bożonarodzeniowe 2014 roku obrona nie jest łatwa (duże ataki DDOS na sieci Sony PSN oraz Microsoft Xbox live uniemożliwiły granie przez internet na wybranych konsolach nawet przez dwa dni). W końcu tak jak w klepsydrze tylko mała część piasku może przelecieć w najwęższym miejscu. Aby to zmienić trzeba najpierw znaleźć która część infrastruktury albo aplikacji należy ‚poszerzyć’ – zwiększenie przepustowości łącza lub dodanie zasobów do serwera. Jednak może to być procesem niekończącym się i stale wymagającym nakładów finansowych. Albo po prostu wprowadzić filtrowanie ziarenek piasku zanim wpadną do kolejki do przesypania. Poprzez blokadę pakietów UDP których się nie spodziewamy (patrz atak pośredni), czyli jeśli używamy tylko wewnętrzny serwer czasu to możemy zablokować kompletnie komunikację NTP przechodzącą przez naszą bramę, a jeśli mamy wewnętrzny serwer DNS to dać możliwość tylko jemu łączenia się ze światem zewnętrznym w celu wykonania zapytań lub odebrania odpowiedzi DNS, a jeśli to my serwujemy strefy DNS dla świata to można pomyśleć o limitowaniu liczby odpowiedzi DNS dla danego IP, co jest trudne we wprowadzeniu i możliwe że po prostu zablokujemy pytania które nie są wykorzystywane do ataku. Lepszym rozwiązaniem jest odpowiedź na zapytania DNS ANY tylko przez TCP co utrudni wykorzystanie naszego serwera do ataku na inne osoby. Czyli wprowadzenie dobrze zarządzanej zapory ogniowej (firewalla).

Użycie „Tarczy”

Czyli średniowieczne metody, jeśli ktoś nas atakuje to musimy się zasłonić tarczą, nasz hosting oferuje w standardzie obronę przed DDOS, i zrobimy wszystko żeby Twoja strona była dostępna nawet podczas ataku. Ty śpisz my działamy.

ROAN Agencja InterAktywna to przede wszystkim kreatywny zespół, który także uwielbia prowadzić ten Blog.

Zostaw komentarz

    Dopisz się do Newslettera!

    • To pole jest do zatwierdzania i powinno pozostać na niezmienionym poziomie.

    Sprawdź także

    Zobacz więcej
    No Comments