атаки ddos

Леонід Шапіро. архітектор ІТ-систем, MVP, MCT, MCSE, MCITP: EA, MCSE: S, MCSE: M, [email protected]

атаки DDoS
Частина 2. Арсенал противника

атаки ddos
Які методи використовуються зловмисниками для свого шкідливого впливу на сервери, мережеве обладнання, програми? Настав час розібратися з їх «арсеналом» докладніше

У попередній статті [1] ми з'ясували, що DoS / DDoS-атаки представляють одну з найбільш серйозних загроз інформаційній безпеці для сучасного підприємства незалежно від його сфери діяльності.

Які ж бувають атаки? Слід познайомитися з арсеналом засобів зловмисників, щоб навчитися їм протистояти. Сучасна класифікація передбачає такі типи DoS / DDoS-атак [2]:

  1. Network floods - найпростіший для зловмисника варіант. Не потрібно установки TCP-сесії з комп'ютером жертви. Призводять до виснаження ресурсів атакується системи або смуги пропускання каналу. Прикладами таких атак є ICMP і UDP flood.
  2. Атаки, спрямовані на серверні ресурси. Зазвичай цей варіант використовується для впливу на сервери додатків. Прикладами є TCP-SYN, TCP-RST, TCP-ACK.
  3. Атаки на ресурси додатків. Треба відзначити, що це не тільки вплив на HTTP, але і HTTPS, DNS, VOIP, SMTP, FTP і інші прикладні протоколи. Серед цих атак HTTP flood, DNS flood та інше.
  4. Сканування. По суті, саме по собі сканування на перший погляд видається нешкідливим, оскільки саме по собі не створює проблем, але насправді це «розвідка перед боєм», що дозволяє з'ясувати інформацію, яка допоможе в подальшому атакувати систему.
  5. Повільні атаки малого обсягу, так звані Low and Slow. Цей варіант представляє найбільшу небезпеку в силу малої помітності і тривалого часу наростання шкідливого впливу. Зазвичай тут мова йде про вплив на додатки і іноді на серверні ресурси.
  6. Складні атаки на веб-додатки. Ці механізми використовують уразливості в веб-додатках, які надають розробники. Це призводить до несанкціонованого доступу до системи, втрат і несанкціонованим змінам даних.
  7. Атаки під SSL - мається на увазі, що зловмисник може маскувати свої деструктивні дії всередині SSL-трафіку, що значно ускладнює протидію. Протокол SSL працює поверх TCP / IP, забезпечуючи безпеку обміну інформацією для користувачів. Які ж тут є можливості для зловмисників? Можна говорити про атаки на сам процес установки SSL-взаємодії (SSL handshake), відправка «сміттєвих» пакетів сервера або зловживання функціями узгодження ключової інформації і т.д.

Приклади мережевих атак (network floods)

Мета атакуючого досягнута. Справжні клієнти не можуть додзвонитися. А тепер подивимося, як це відбувається в мережі.

Як працює ICMP flood

Малюнок 1. Атака ICMP flood

Як працює UDP flood

Як можна було помітити, ні ICMP, ні UDP flood не використовують уразливості системи, тобто ми маємо справу зі стандартними принципами роботи стека TCP / IP. Значить, подібним атакам може бути піддана абсолютно будь-яке середовище.

Приклади атак на сервери

Як працює TCP-SYN flood

Розглянемо ще один приклад: нехай треба записатися на прийом до лікаря, і пацієнти повинні прийти і взяти талон на певний час. Як буде виглядати атака в цьому випадку? Велика кількість людей беруть талони, вибираючи таким способом все тимчасові ресурси, при цьому вони потім нікуди не приходять. Справжніх пацієнтів непрінялі, оскільки вони просто не змогли записатися. Тепер подивимося, як це буде відбуватися в мережі. Цей приклад ілюструє принцип роботи атаки SYN flood.

У цих атаках використовується інша особливість стека протоколів TCP / IP - потреба установки TCP-сесії. На відміну від UDP, де це не потрібно, при TCP-взаємодії необхідно, щоб відправник «домовився» з одержувачем перед тим, як щось буде надіслано. Для цього використовується механізм three-way handshake -трехетапного підтвердження [4, 5]. Принцип його роботи виглядає наступним чином: клієнт посилає пакет SYN (Synchronize), сервер відповідає пакетом SYN-ACK (Synchronize-Acknowledge), клієнт підтверджує прийом пакета SYN-ACK пакетом ACK (Acknowledge). На цьому процедура встановлення з'єднання завершується (див. Рис. 2).

Малюнок 2. Атака SYN-flood

Як працює TCP-RESET

В TCP / IP ця атака називається TCP-RESET [6, 7]. Її завдання - порушити взаємодію між учасниками.

Будь-TCP-пакет містить заголовок. У числі іншого він містить біт прапора скидання (RST). Зазвичай цей біт має нульове значення, але в разі установки його в 1 одержувач повинен негайно припинити використовувати дане з'єднання. Цей механізм використовується, коли на одному комп'ютері в процесі передачі даних відбувається збій. Другий комп'ютер, не знаючи про це, продовжує відправляти інформацію. Після відновлення вихідного комп'ютера після збою він може продовжувати отримувати пакети від старого з'єднання, але оскільки про нього не залишилося жодної інформації, незрозуміло, що з ними робити. Саме в цій ситуації буде надіслано вимогу скидання (RESET) другого комп'ютера. Далі можна встановлювати нове з'єднання.

Виходить, що цей механізм потрібен, але цю функціональність може використовувати атакуючий. Яким чином? Перехопити пакети, підробити пакет і встановити в ньому прапор RESET, прапор скидання. Далі відправити ці підроблені пакети учасникам взаємодії, що в кінцевому рахунку призводить до порушення TCP-сесії між ними.

Приклади атак на додатки

Як працює HTTP flood

Найбільш поширеною DDoS-атакою, націленої на додатки, є HTTP flood [2]. Зазвичай для її здійснення використовується бот-мережу, втім, до складу атакуючих цілком можуть входити і добровольці, наприклад, коли мова йде про цілеспрямовану хактівістской діяльності. Існують варіанти GET і POST. Всущності, обидві ці альтернативи спрямовані на вичерпання ресурсів веб-додатки.

Малюнок 3. Атака HTTP flood

Як працює DNS flood

Далеко не завжди деструктивні дії атакуючого спрямовані на якісь вразливості систем. Мова цілком може йти про використання їх стандартної поведінки, того, що називається функціональністю «by design» [3]. Саме це ми мали можливість побачити в наведених вище прикладах.

Зрозуміло, зловмисник не стане застосовувати тільки одну атаку (вектор), навпаки, постарається використовувати відразу кілька, щоб ускладнити захист системи.

Нарешті, ще один і, мабуть, найбільш важливий аспект - зміна атаки може відбуватися за хвилини або навіть секунди, оскільки зловмисники використовують досить досконалі засоби. А раз так, то ніякі «ручні» методи захисту, які передбачають виконання адміністратором безпеки первісної ідентифікації атак подальшої реалізації контрзаходів для її відображення, що не будуть належним чином ефективні. Атакуючий зможе змінити спосіб впливу на ресурси жертви швидше, ніж адміністратор безпеки ідентифікувати і відбити атаку. Отже, необхідно забезпечити відображення в автоматичному режимі.

У наступній статті ми продовжимо розгляд варіантів DDoS-атак.

Схожі статті