Professional Documents
Culture Documents
stopie trudnoci
16
hakin9 Nr 2/2007
Land attack
Naley do grupy atakw majcych na celu wykorzystanie niepoprawnej implementacji stosu TCP/IP. Naley ju raczej do atakw historycznych. Atakujcy wysya pakiet TCP SYN z
podmienionym adresem rdowym wskazujcym na ofiar oraz z takim samem portem rdowym i docelowym - wskazujcym na usug
atakowanego serwera. Jak si okazao, na taki
zabieg podatnych byo wiele systemw. Przykadowo cisco: IOS blokowao ruch na 30 sekund. Maszyny windows 95 wieszay si. Atak
mona atwo przeprowadzi przy uyciu publicznie dostpnego programu land.c. Kady
nowoczesny OS powinien by uodporniony na
Powiniene wiedzie...
www.hakin9.org
ten typ ataku. Poza tym takie pakiety powinny by wycinane na poziomie firewalla.
Ping of death
Winnuke
Gony swojego czasu atak wykorzystujcy w windows luk polegajc na niepoprawnym obsueniu danych OOB (Out of Band) skierowanych do portw 137-139 (NetBios).
Windows nie potrafi obsuy danych OOB, co skutkowao dziwnym
zachowaniem - od utraty poczenia internetowego po zawieszenie
si maszyny. Atak byo bardzo atwo
przeprowadzi za pomoc graficznych narzdzi spod windows. W celu
jego uniknicia mona wyczy obsug NetBios albo zablokowa na firewallu porty 137-139.
Teardrop
SYN flood
www.hakin9.org
hakin9 Nr 2/2007
17
Atak
tym przypadku ICMP echo) na adres rozgoszeniowy sieci. Pakiety te wysyane s z podmienionym
adresem rdowym IP. Wszystkie hosty w docelowej sieci po odebraniu takiego pakietu odpowiadaj ICMP reply przesyajc go podmienionemu adresowi rdowemu,
ktry staje si celem ataku. Na jeden pakiet wysany przez atakujcego, moe odpowiedzie nawet
kilkaset hostw, wic wzmocnienie tego ataku jest znaczne. Przykadowo - wysyajc pakiety z prdkoci 512kbit/s przy wzmocnieniu
100 serwer docelowy jest obciony strumieniem danych o przepywie 50Mbit/s.
Dzi wikszo routerw zapobiega rozprzestrzenianiu si tego rodzaju pakietw rozgoszeniowych. Ponadto wiele routerw filtruje komunikaty ICMP. Aby zabezpieczy si przed tymi atakami mona
zablokowa moliwo rozgaszania
pakietw IP na ca sie. Dla systemw BSD:
sysctl -w net.inet.ip.directedbroadcast=0
UDP chargen-echo
Ataki aplikacyjne
Fraggle attack
Intruder
sysctl -w net.ipv4.tcp_max_syn_
Master
Master
Master
backlog=8192
Smurf attack
Naley do grupy atakw majcych na celu zapchanie cza lub(i) wykorzystanie zasobw atakowanego serwera. Polega na efekcie ,,wzmocnienia'', ktre mona
uzyska wysyajc pakiety IP (w
18
hakin9 Nr 2/2007
Victim
Control traffic
Attack traffic
www.hakin9.org
Trinoo
Stacheldraht
Zaliczany jest do atakw DDoS - Distributed Denial of Service. Ataki takie wykorzystuj wiele innych komputerw, ktre mog peni rol zombie. Dla porwnania smurf czy fraggle ich nie wykorzystuj i mimo, e
wykorzystuj wiele niewinnych hostw jako wzmocnienie nie s klasyfikowane jako DDoS. Jeli jednak
kontrolowana armia zombie zaatakuje docelowe serwery za pomoc
dowolnej techniki DoS to jest ju to
uwaane za DDoS. Stacheldraht jest
koniem trojaskim robicym z zaraonych komputerw zombie, ktre s kontrolowane przez komputery zarzdzajce (master) a te z kolei s kontrolowane przez atakujcego. W kadej chwili armia hostw
moe dosta od atakujcego rozkaz
www.hakin9.org
Poprzednik Stacheldrahta. Znacznie prostszy, o trj warstwowej architekturze, ale umoliwia jedynie
ataki UDP. Oprcz standardowej
- tekstowej wersji, powstaa rwnie nakadka pod windows - wintrinoo - co przyczynio si do duej
popularnoci tego narzdzia wrd
mao zaawansowanych uytkownikw sieci. Trinoo nie wykorzystuje
ICMP do komunikacji. Posiada te
same wady co Stacheldraht. Forma
przeciwdziaania i obrony: podobnie
jak Stacheldraht.
TFN
hakin9 Nr 2/2007
19
Atak
Ataki z uyciem
serwerw DNS
20
hakin9 Nr 2/2007
www.hakin9.org
Ostatnio pojawio si kilka publikacji zwizanych z analiz wykrywalnoci masowych atakw DDoS. W
[4],[5] autorzy argumentuj e posiadajc milion komputerw pod
swoj kontrola mona przeprowadza ataki DDoS, ktre s na tyle
rozproszone, e wykrycie ich przy
uyciu dzisiejszych technik wydaje
si by niemoliwe. Kady z komputerw zombie wykonuje najzwyklejsze poczenie z usug serwera. Nie sposb rozrni poprawnych pocze dokonywanych
przez uprawnionych uytkownikw
od pocze dokonywanych przez
zombie. Z punktu widzenia atakujcego setki tysicy komputerw w
jednej chwili prbuj poczy si
z ofiar. Zaatakowany serwer nie
ma praktycznie adnej moliwoci
obrony przed takim atakiem. Jest
to bardzo powany problem, ktry wraz ze wzrostem iloci maszyn
podczonych do Internetu bdzie
si nasila. W celu zapobiegania albo przynajmniej minimalizowania
takiego ataku potrzebne s kompleksowe dziaania na wiksz skal. Nale do nich: instalacja wydajnych mechanizmw wykrywania
DDoS w wielu punktach sieci takich
jak styk midzy ISP a uytkownika-
Klasyfikacja
www.hakin9.org
Umiejscowienie
detektora DDoS
hakin9 Nr 2/2007
21
Atak
Proste mechanizmy
Iptables
set -j DROP
-j DROP
http
-m iplimit --iplimit-mask 8
--iplimit-above 4 -j REJECT
22
hakin9 Nr 2/2007
badguy
--rcheck --seconds 60 -j DROP
ipfw
ACCEPT
www.hakin9.org
e si to z szeregiem problemw
jest to rozwizanie opcjonalne a
niektre routery mog nawet wyci te dodatkowe pola. Najwikszym problemem jest jednak rozmiar pola opcji. Pole IP header len
to tylko 4 bity wic cay nagwek IP
jest ograniczony do 15 sw 32-bitowych (60 bajtw). Odejmujc niezmienn dugo nagwka IP (20
bajtw), opcj RR (3 bajty), pozostaje 37 bajtw co pozwala zapisa
do 9 adresw IP. Niestety jest to za
mao. Na dodatek atakujcy moe
wygenerowa pakiety IP ju z jakimi opcjami, ktre zajmuj cenne
miejsce w nagwku, co praktycznie mogoby cakowicie zniwelowa
uycie powyszej techniki. Dlatego
nie jest ona szerzej uywana.
ICMP traceback
ICMP traceback jest technik, ktra nie suy do wykrywania czy zapobiegania atakom DDoS. Suy do
namierzania rda wzgldnie duej
liczby pakietw. W tym celu routery
przekazujce pakiety musz raz na
okoo 20000(do dostrojenia) przesanych pakietw wysa nowy komunikat - ICMP Traceback, w ktrym
zawarte s dane o pochodzeniu tego pakietu. Dziki temu podczas ataku DDoS atakujcy dostanie pewn liczb pakietw ICMP traceback,
ktre po odpowiednim sklejeniu poka mu ca ciek ataku. Wad tego rozwizania s komunikaty
ICMP, ktre s czsto filtrowane. Poza tym atakujcy moe wysya faszywe ICMP Traceback. W tym celu zaproponowano ju uycie infrastruktury klucza publicznego, jednak
na razie nic si nie przyjo na szersz skal.
IP traceback
Jest nowsz i lepsz technik namierzania. Rozrnia si dwie wersje tej techniki: Node sampling i Edge sampling.
Node Sampling
Routers
in path
Marked
packets
porwna iloci pakietw z tymi samymi adresami IP. Im mniej jest pakietw z danym adresem IP tym bliej rda znajduje si router z tym
adresem. Wad tej metody, oprcz
doklejania niestandardowej opcji do
nagwka IP, jest niemoliwo namierzenia wielu rde ataku. Jeli
nastpuje on z wielu adresw (wiele cieek) na raz nie da si ich odtworzy. Obie wady eliminuje kolejna technika.
Edge Sampling
Wszystkie dodatkowe informacje zapisuje si w 16-bitowym polu Identification nagwka IP. Normalnie wykorzystywane jest ono do
sklejania sfragmentowanych pakietw IP. Zakada si wic, e fragmentacja nie bdzie wykorzystana.
Jest to do racjonalne zaoenie,
jeli uwzgldni si, e dzi wiele routerw, ze wzgldw bezpieczestwa nie przekazuje sfragmentowanych pakietw IP. Edge Sampling
polega na tym, e kady router z
pewnym maym prawdopodobiestwem prbuje dokona zapisu informujcego o ciece. Wymagane
tutaj pola to start address, end address oraz distance field. Pierwszy
router, ktry postanowi dokona zapisu wpisuje swj adres w pole pocztkowego adresu, po czym ustawia dystans na 0. Kady kolejny ro-
Path reconstruction
at victim
a
a
b
b
c
c
c
c
d
c
d
victim
Reconstructed
path
www.hakin9.org
hakin9 Nr 2/2007
23
Atak
Address
Hash (address)
BitInterleave
k-1
24
hakin9 Nr 2/2007
www.hakin9.org
Syncookie
Jest technik majc na celu obron przed atakami Syn flood. Polega
na tym, e po odebraniu przez serwer pakietu z flag SYN nie zapisuje
on adnych informacji w kolejce pocze nasuchujcych. Zamiast tego w odpowiedzi SYN,ACK inicjalizuje pole ISN (pocztkowy numer
sekwencyjny TCP) na pewn okrelon warto - zwan ciasteczkiem.
Klient zobowizany jest, zgodnie z
protokoem TCP na odpowiedzenie
pakietem ACK z wartoci numeru
sekwencyjnego rwn ISN+1. Dopiero po odebraniu tej odpowiedzi
serwer odczytuje ciasteczko i sprawdza jego poprawno. Jeli jest poprawne zostaje nawizane poczenie TCP. Jeli nie - pakiet taki zostaje
odrzucony. Serwer utrzymuje 32 bitowy licznik czasowy t zwikszany o
1 co 64 sekundy. Podczas inicjalizacji w ISN zapisywane s: t modulo 32
(5 najmodszych bitw t), skrt MD5
z adresw rdowego i docelowego,
portu rdowego i docelowego oraz
licznika t(24 bity), oraz zakodowane
MSS (3 bity). Po odebraniu odpowiedzi sprawdzana jest warto licznika
czasowego czy jest ona taka sama
(albo o 1 wiksza) od aktualnej wartoci tego licznika na serwerze. Jeli
tak, to znaczy, e odpowied mieci
si w ustalonych ramach czasowych.
Jeli nie - pakiet jest odrzucany. Nastpnie wyliczona jest suma MD5 z
danych nagwka aktualnego pakietu oraz aktualnego t (albo o 1 mniejszego) i porwnana z wartoci z
ciasteczka. Gdyby nie ten etap, atakujcy musiaby wysa tylko 32 pakiety, aby nawiza poczenie (a
tak sprawdzany skrt, bazujc na
wartoci t gwarantuje, e odebrano
poprawn odpowied). Jeli wszystko si zgadza to oznacza, e na-
Syncache
dw - kady opisuje jedno potwarte poczenie. Po nadejciu nowego pakietu SYN wyliczany jest skrt
z adresu i portu rdowego i docelowego oraz pewnej losowej wartoci. Warto tego skrtu decyduje o
tym, do ktrego wiaderka (na ktr
list FIFO) trafi informacja o tym poczeniu. Jeli lista ta jest ju pena,
usuwane jest najstarsze poczenie. Zastosowanie tablicy haszujcej oraz funkcji haszujcej z losow
wartoci ma na celu rwnomierne
rozoenie ruchu pomidzy wszystkie wiaderka. Nawet jeli przyjdzie
kilka identycznych pakietw SYN
trafi one do innego wiaderka. Wic
s one chronione przed selektywnymi atakami. Mona ustala maksymaln ilo rekordw dla caej tablicy haszujcej 7 oraz maksymalny
rozmiar kadego wiaderka 8. Mechanizm Syncache zazwyczaj czy
si z Syncookie. Zwykle Syncookie
jest wyczone, lecz jeli limity Syncache zostan przekroczone zostaje wczony mechanizm Syncookie.
DnsGuard
www.hakin9.org
hakin9 Nr 2/2007
25
Atak
Agflow Table
DWARD
Jest projektem majcym na celu wykrywanie ataku DDoS w jego wczesnej fazie - w pobliu rda ataku. Skada si z moduw observation, rate-limiting oraz traffic-poli-
Legitimate
Connection List
Classification
Agflow Models
Traffic statistics
Connection Table
Connection Models
RESOURCE ROUTER
OBSERVATION COMPONENT
TRAFFIC-POLICING
COMPONENT
Aglow classification
results
f(x-y)
RATE-LIMITING COMPONENT
Rate
Limit
Rules
26
hakin9 Nr 2/2007
www.hakin9.org
cing. Obserwacja i zbieranie statystyk ruchu odbywa si dwutorowo. Po pierwsze zbierane s statystyki dla kadego odlegego adresu
IP (zwane agregacj agflow). Kady rekord agflow zawiera dane dotyczce iloci oraz rozmiarw pakietw TCP, UDP oraz ICMP wysyanych w obu kierunkach. Po drugie
zbierane s statystyki dla kadego
poczenia TCP (agregacja connection). Kady rekord opisujcy poczenie zawiera podobne statystyki
jak rekord agflow.
Jednoczenie stworzone zostay
trzy klasy ruchu dla agregacji agflow.
Pierwsza z nich to klasa Normal opisujca ruch, ktrego statystyki zgodne s z normalnym modelem ruchu.
Kolejna to Suspicious uywana do
opisania agflow zgodnego z normalnym modelem, jednak zaklasyfikowanego niedawno do trzeciej z klas:
Attack. Klasa Attack uywana jest do
opisania ruchu niezgodnego z okrelonymi normami.
Modu obserwacyjny porwnuje biece rekordy agflow z normalnym modelem ruchu, po czym decyduje do ktrej z tych klas zaliczy
dany ruch. W tym celu zdefiniowano
parametr, ktry okrela maksymalny stosunek iloci pakietw wysanych do odebranych. Jego przekroczenie oznacza, e zostao wysanych znaczco wicej pakietw ni
odebrano (prawdopodobnie bez potwierdzenia ACK dla TCP), co jest
jednym z syndromw ataku. Biecy stosunek ilociowy pakietw jest
odpowiednio modyfikowany w przypadku, jeli przez pewien czas nie
otrzymuje si potwierdzenia (jest on
zwikszany w celu wykrycia ataku).
Dziki temu jeli dany /emphagflow
by zaklasyfikowany jako normalny
w przypadku nagego nastpienia
ataku zostanie to szybciej wykryte. Dla TCP dodatkowo wykorzystywane s jeszcze stosunki ilociowe
pakietw TCP z flagami SYN i ACK.
Dla ICMP porwnywane s np: stosunek iloci ICMP echo i reply. Protok UDP nie posiada tak mocnej korelacji dwukierunkowej, wiele
aplikacji wysya datagramy UDP do
odbiorcy bez potwierdzenia. Dlatego tutaj dobrano dwie wartoci graniczne. Jedna z nich okrela maksymaln ilo adresw rdowych
a druga minimaln ilo pakietw
dla danego /emphagflow. Po przekroczeniu obu wartoci ruch klasyfikowany jest jako atak.
Podobn metod wykorzystano
dla agregacji connection. Wyrnione s trzy klasy pocze. Good, Bad
oraz Transient. Modu obserwacyjny
dla kadej agregacji typu connection
przydziela odpowiedni klas. Dla
ATTENTIONAL
SUBSYSTEM
GAIN
CONTROL
+
STM
+
GAIN
CONTROL
+
ORIENTING
SUBSYSTEM
DIPOLE FIELD
+
STM
F2
STM
RESET
WAVE
+
F1
A
+
INPUT
PATTERN
www.hakin9.org
SPUNNID
hakin9 Nr 2/2007
27
Atak
dzieli go na klastry, z ktrych kady bdzie zawiera tylko ten o konkretnej specyfice - zgodnie z ekstrapolowanym zbiorem cech. Same
sieci ART posiadaj wiele zalet, ktre mona wykorzysta do rozwizania problemw atakw DDoS. Po
pierwsze parametr czujnoci - vigilance, za pomoc ktrego mona
kontrolowa poziom precyzji uczenia sieci i w efekcie jak wiele klastrw powstanie. Ponadto s one
do stabilne - nie zdarza si, aby
jeden wektor testowy zostawa przyporzdkowany raz do jednego klastra, raz do innego. Nie wane w jakiej kolejnoci wektory testowe bd podawane na wejcie - i tak kady z nich zostanie zaklasyfikowany
do tego samego klastra. S rwnie
do plastyczne - co daje zdolno
uczenia si nowych wektorw w takim samym stopniu w kadym etapie trenowania.
Algorytm dla sieci ART jest do
prosty. W pierwszym etapie nastpuje inicjalizacja wektorw wzorcowych sieci (wag) oraz parametru vigilance, ktry mieci si w przedziale (0,1). Kolejna faza to trenowanie
sieci, podczas ktrej podaje si na
jej wejcie kolejne wektory trenujce. Dla kadego takiego wektora trenujcego znajdywany jest najbardziej podobny wektor wzorcowy. Nastpnie sprawdzany jest poziom zrnicowania pomidzy oboma wektorami. Jeli jest wikszy ni
zdefiniowany przez parametr vigilance, to tworzony jest kolejny wektor wzorcowy symbolizujcy powstanie nowego klastra. Jeli nie,
to wektor trenujcy jest klasyfikowany jako nalecy do klastra "najbardziej podobnego" wektora wzorcowego. W takim wypadku odpowiadajcy mu wektor wzorcowy jest odpowiednio modyfikowany, aby lepiej si dopasowa do wektora trenujcego. Dopuszcza si te modyfikacj pozostaych wektorw testowych, aby oddali je od wektora trenujcego. Dla parametru vigilance rwnego 1 wymagane jest
100% dopasowanie wic powstanie
tyle klastrw, ile jest wektorw trenujcych. Dla wartoci rwnej 0 po-
28
hakin9 Nr 2/2007
wstanie tylko jeden klaster. Wybiera si go tak, aby otrzyma wymagan liczb klastrw. W ten sposb
z bardzo duym przyblieniem dziaaj sieci ART9.
Praktyczne realizacje oparte na
ART-1 skadaj si z dwch warstw
F1 i F2. W warstwie F2 aktywowany jest tylko jeden bit odpowiadajcy najlepiej dopasowanemu wzorcowi. Cz sieci zwana Attentional subsystem odpowiada za reakcje na znane wektory wejciowe
oraz dopasowywanie ju istniejcych wektorw wzorcowych. Buduje
ona wektor oczekiwa - top-down,
czcy warstw F2 z F1 i pomagajcy stabilizowa prac sieci10.
Jednak Attentional subsystem nie
jest w stanie plastycznie reagowa
na wektory nowego typu. Do tego suy Orienting subsystem, ktra ma na celu wyliczenie podobiestwa midzy wektorem trenujcym
a wzorcowym i w przypadku za duej rnicy wstawienie nowego wektora wzorcowego. Wicej o sieciach
ART w [14][15].
SPUNNID bazuje na zaprojektowaniu takiej sieci ART-1, dla ktrej powstaj trzy klastry opisujce
ruch11. Moe to by ruch normalny,
znany atak DDoS lub nowy, nieznany atak. W celu wytrenowania takiej
sieci naley z wychwyconych pakietw ekstrapolowa zesp cech, ktre nastpnie s przeksztacane w
odpowiednio znormalizowany binarny wektor trenujcy (a potem, podczas wykrywania wektor testujcy).
W tym celu ustala si okno czasowe T, podczas ktrego wychwytywane si wszystkie pakiety, dla ktrych
wyliczane s cechy, po czym podaje si odpowiedni wektor na wejcie
ART-1. Wzito pod uwag nastpujce cechy: procentowy udzia w caym ruchu pakietw TCP, UDP, ICMP,
procentowy udzia w ruchu TCP pakietw z flagami SYN, SYN+ACK,
ACK, redni rozmiar nagwka oraz
redni rozmiar danych.
Podczas niektrych testw sie
SPUNNID okazaa si do efektywna, osigajc skuteczno wykrywania atakw DoS na poziomie 90% przy bardzo niskim wsp-
www.hakin9.org
Podsumowanie
Ataki typu DoS ewoluuj nieustannie. Nowoczesne DDoS cigle bazuj na mechanizmach sprzed 10
lat, jednak masowo i ilo uywanych do ataku komputerw czyni je coraz groniejszymi. W ostatnim czasie zaczynaj pojawia si
sieci liczce nawet setki tysice
komputerw, co pozwala na praktycznie bezkarne blokowanie atakami DoS kadego wikszego serwera. Jednoczenie wykorzystywane s coraz skuteczniejsze metody
atakw - chociaby te zwizane z
protokoem DNS i jego rozszerzeniami. Niestety wikszo uywanych powszechnie protokow nie
bya projektowana z myl o bezpieczestwie. Nawet te zaprojektowane niedawno jak ipv6 posiadaj
wiele sabych punktw, ktre z pewnoci bd nadal wykorzystywane
przez atakujcych. Z drugiej strony pojawia si coraz wicej systemw sucych detekcji, namierzaniu i unikaniu atakom. S to zazwyczaj systemy specjalizowane. Skuteczna obrona przed DoS wie si
z kompleksowymi dziaaniami zwizanymi z instalacj takich systemw na masow skal. Wszystko
wskazuje na to, e skala atakw i
straty z nich wynikajce bd stopniowo zmusza administratorw
sieci oraz operatw ISP do coraz
bardziej zdecydowanych dziaa
zmierzajcych do zmniejszenia takich zagroe. Na ile bd one skuteczne ? Czas pokae. l