DoS: Odmítnutí síťových služeb

DEFINICE DoS (Denial of Service) je forma útoku, při níž je síťový server zahlcen tisíci falešných požadavků na p...


DEFINICE
DoS (Denial of Service) je forma útoku, při níž je síťový server zahlcen tisíci
falešných požadavků na poskytnutí nějakých služeb nebo dat. Tyto požadavky jsou
vysílány programy umístěnými na jednom nebo několika vnějších počítačích.
Vzhledem k zahlcení serveru falešnými požadavky není možno uspokojovat potřeby
skutečných uživatelů.
Útoky na internetové servery jsou vděčným tématem novinových článků i
diskusních příspěvků na webu. Když se ale něco takového přihodí vám, zřejmě
uvidíte celý problém ze zcela jiné perspektivy. Jedním z typů útoků, kterým je
věnována značná pozornost uživatelů i médií, je DoS (Denial of Service).
Například společnost Terra Lycos, respektive její velmi navštěvované
internetové produkty, jako Lycos Mail, Tripod nebo Angelfire, odolávají útokům
typu DoS nejméně jedenkrát měsíčně. Firma přitom zajišťuje provoz více než 300
různých webů, které navštěvuje 40,3 milionu uživatelů. Množství lidí
postižených nedostupností služeb, kterou útoky DoS mohou (v případě svého
úspěchu) způsobit, je tak značné.
"Společnosti, které působí na internetovém mediálním trhu nebo poskytují
hostingové služby, jsou obvyklým cílem útoků typu DoS," říká Tim Wright, CTO
(Chief Technology Officer) a CIO (Chief Information Officer) společnosti Terra
Lycos. V případě jeho společnosti však nejde o smrtící útoky typu DDoS
(Distributed Denial of Service), které k zahlcení serverů využívají množství
předem napadených serverů, ale o starší typ DoS. (Útoky DDoS byly značně
medializovány před třemi lety v souvislosti se zahlcením serverů Amazon, Yahoo,
eBay a dalších.) Ani při odrážení útoku typu DoS však není situace jednoduchá.

Staré, ale silné
Útoky typu DoS, se kterými se Wright setkává, se na počítačové scéně vyskytují
podstatně déle než útoky typu DDoS. Zatímco v případě distribuovaného útoku DoS
se využívá především efektu síly ohromného množství předem podrobených serverů,
které k nebohé oběti posílají své žádosti útoky typu DoS si vystačí se
zahlcením žádostmi o spojení z jednoho nebo několika málo počítačů. Jde o tzv.
útoky syn flood, které jsou snad tak staré jako samotný protokol TCP.
Útoky typu syn flood posílají falešné požadavky na synchronizaci při zahájení
spojení (connection synchronization syn). Cílový server vyšle odpověď ack
(acknowledgement), na kterou však již neobdrží žádnou reakci. Cílový server
drží session otevřenou po předem definovaný úsek času a poté ji zavře. Pokud
takových požadavků přijde velké množství, server má otevřené velké množství
spojení a není schopen obsloužit další uživatele. V případě množství falešných
požadavků pak vlastně jen čeká na odpovědi a neobsluhuje nikoho, protože není
schopen otevřít další spojení.
Proti útokům typu syn flood neexistuje v podstatě žádná ochrana, protože
využívají způsobu definovaného pro zahájení TCP session. "Nejhorší útoky jsou
takové, při kterých se protokoly tváří, že je všechno v pořádku," komentuje
tuto skutečnost Wright.

Dokonalejší útoky
Útočníci jsou vynalézaví, a tak se i útoky typu syn flood zdokonalují a stávají
se daleko nepříjemnějšími. Nová forma syn flood, nazývaná DRDoS (Distributed
Reflection Denial of Service), byla přibližně před rokem použita proti serverům
společnosti Gibson Research. Útok trval čtyři hodiny a přidělal vedení firmy
nemálo starostí.
Útok typu DRDoS je podle Steva Gibsona, prezidenta společnosti GRC, do jisté
míry opakem útoku typu syn flood. Gibson sám razí tento nový název právě od
doby, kdy loni v lednu takový útok zažil na vlastní kůži. Tenkrát útočníci
zahlcovali množství počítačů na internetu pakety, které měly tyto stroje
přesvědčit, že se GRC.com snaží iniciovat spojení. A tato zařízení, jako hodné
a poslušné přístroje, masově odeslala na GRC.com odpověď ack.
Server GRC.com věděl, že neodeslal žádnou žádost o inicializaci spojení, a tak
příchozí zprávy ack prostě zahodil. Odesílací zařízení se však domnívala, že se
jejich zprávy ztratily kdesi v kybernetickém prostoru, a tak poslala zprávy
znovu tak, až se intenzita útoku zečtyřnásobila.
Gibson tvrdí, že ví o řadě dalších firem, které byly napadeny útokem typu
DRDoS. "Webhostingové společnosti a velké webové servery jsou těmi největšími a
nejsnáze zaměřitelnými cíli," říká. "To prostě naštvete někoho, kdo je schopen
pomocí stažené utility zahájit útok, a on ani chvíli neváhá, aby vás
potrestal," dodává.

Lék neexistuje
Filtrování příchozích paketů podle Wrighta i Gibsona nepomáhá, protože
zpomaluje veškerý provoz. V případě útoku typu DRDoS navíc pakety přicházejí
odevšad, takže není možné odfiltrovat jen jednu nebo několik adres.
Jedinou možností, jak se s takovými útoky vypořádat, je podle Gibsona odpojit
cílový stroj od webu a vyčkávat, až se situace uklidní. Je také možné požádat
svého poskytovatele internetových služeb, aby zrušil spojení s vaším serverem,
tj. aby zahazoval všechny příchozí pakety syn i ack směřující k cílovému
stroji. "Tak alespoň útočníci nemohou blokovat provoz dalším strojům připojeným
do stejného síťového segmentu," vysvětluje Gibson. "Ale když se nad tím
zamyslíte, tak zjistíte, že útočníci stejně vyhráli. Váš server je totiž zcela
nefunkční. Ale co se s tím dá dělat," uzavírá.

Léky na útoky typu syn flood
Zkraťte dobu, po kterou server čeká na pokračování session vyvolané příkazem
syn po odpovědi ack.
Blokujte provoz, který k vám přichází z útočících falešných IP adres.
Použijte filtrování paketů tekoucích z vaší sítě, abyste zabránili zneužití
vlastních serverů pro roli útočníků na další servery. Nestanete se tak
nedobrovolnými spolupachateli útočníka.

Léky na útoky typu DRDoS
V době útoku požádejte svého poskytovatele internetových služeb, aby zrušil
cestu paketům jdoucím na napadenou IP adresu. To ovšem bohužel znamená ztrátu
možnosti komunikovat z této adresy, a tedy vyřazení služby z provozu.
Použijte nástroje pro analýzu vzorků síťového provozu a síťové čmuchaly
(sniffers), abyste byli schopni rychleji rozpoznat přicházející útok.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.