Primitivní, ale účinné: Odepření služby

Odepření služby představuje jeden z nejčastějších typů útoků v kybernetickém prostoru. A zároveň jeden z nejnebez...


Odepření služby představuje jeden z nejčastějších typů útoků v kybernetickém
prostoru. A zároveň jeden z nejnebezpečnějších a nejnepříjemnějších.

Zákeřnost útoků DoS (Denial of Service, odepření služby) spočívá v tom, že není
napaden skutečný cíl, ale přístupové zdroje k němu. A to zdroje takové, nad
nimiž často nemá příslušný cíl žádnou moc. Hodně to připomíná třeba středověkou
taktiku obléhání hradů vyhladovění. Obránci mohli být sebestatečnější (stejně
jako mnozí dnešní správci), ale útočník je udolal vhodně zvolenou taktikou.
Dalším nebezpečím DoS útoků je, že jsou relativně jednoduché. Rozhodně jsou
jednodušší než pokusy o vlámání se do systému. Zpravidla také jde o zlomyslný,
záměrný a předem pečlivě připravený útok. Situaci pak útočníkům usnadňuje i
skutečnost, že neexistuje dlouhodobě spolehlivá ochranná metoda.
Stejně jako jsou pestré způsoby DoS útoků (viz níže), tak jsou pestré i
pohnutky, které vedou k jejich provedení. Často je to msta (zneuznaný bývalý
zaměstnanec), vyjádření osobního postoje (slavné vzájemné výpady příznivců
různých operačních systémů) nebo pomoc někomu (třeba v rámci nekalého
konkurenčního boje), případně je za útokem snaha o restart systému (po předchozí
instalaci trojského koně či jiného škodlivého kódu). Ztráty vznikají v různých
oblastech. Útok snižuje dostupnost určité služby, což v mnoha případech vede k
odlivu tržeb či návštěvníků (tedy možných zákazníků). Dále pak lze ke ztrátám
přičíst nutnost provedení následné analýzy a především vlastní řešení problému.

Typy DoS
V současné době rozeznáváme čtyři základní typy DoS útoků, s nimiž se lze v
praxi setkat. První z nich je útok za pomoci obsazení přenosové kapacity. Je to
velmi účinná a jednoduchá metoda, kdy dojde k zablokování přístupu k určité
službě. Útočník zkrátka vytvoří takový provoz, který plně vytíží přístupovou
cestu, čímž vytěsní ostatní (regulérní) uživatele. Jednou z možností zahlcení
přístupové cesty je využití vlastní silnější linky. To je ale spíše vzácnost
častěji bývá využito několika linek slabších. Druhá varianta je ale složitější
na koordinaci a znalosti útočníka.
Dalším typem útoku je přivlastnění systémových zdrojů. Cílem hry v daném případě
není zahltit přístupovou linku, ale spotřebovat limitované zdroje oběti. Tedy
třeba procesorový čas, paměť serveru či volné místo na disku. Útočník v takovém
případě vytváří (korektně či nekorektně) stav, kdy získává podstatnou část
systémových zdrojů, takže na regulérní uživatele zbude jen zanedbatelná
kapacita.
Třetím typem DoS útoku je zneužití chyb v programech. Tyto chyby přitom mohou
být známé nebo nově objevené. V prvním případě jde zpravidla o servery, jejichž
správci zanedbávají záplatování. Vlivem chyby nedokáže program zpravidla
reagovat na neobvyklou situaci a dochází k jeho zhroucení, zacyklení, pádu či
jinému nekorektnímu chování. Důsledek je ale zřejmý: regulérní uživatel služby k
ní nemůže získat přístup.
Čtvrtým a zároveň posledním typem DoS útoku je napadení DNS a systémů směrování
paketů. V podstatě se stane to, že na DNS serverech dojde ke změnám záznamů o IP
adresách tyto jsou upraveny tak, že veškerý provoz je měněn ve prospěch útočníka
nebo spřízněného subjektu (který ze situace samozřejmě získává nemalý prospěch)
nebo že žádosti vedou do slepé uličky (tady sice útočník přímý prospěch
nezískává, ale postižený subjekt utrpí škodu). Při provedení tohoto útoku je
zneužívána skutečnost, že manipulace se směrovacími tabulkami není nijak
obtížná, neboť protokoly RIPv1 nebo BGPv4 mají velmi slabou autentizaci. K
akceptování změny jim tak
stačí jen požadavek z podvržené IP adresy, která bývá pohříchu
jediným autentizačním prvkem. Útočník pak relativně snadno umístí nesprávnou
informaci do odkládací paměti jmenného serveru. A všem žadatelům jsou
následně poskytovány mylné informace ohledně směrování.
Někdy se také uvádí ještě pátý případ DoS útoku, a to útok na DNS servery,
jejichž zneprovoznění znamená ztrátu většiny internetového i e-mailového
provozu. Ve skutečnosti ale nejde o pátý typ útoku, nýbrž o cíl útoku. Vlastní
DoS útok proti DNS serverům je pokaždé veden některým z výše uvedených způsobů.

Distribuovaný DoS
Speciálním typem DoS útoků jsou distribuované útoky Distributed DoS, zkráceně
DDoS. Jejich nebezpečnost se násobí tím, že jsou vedeny z různých směrů, přičemž
zpravidla využívají metody obsazení přenosové kapacity. V případě DDoS je velmi
obtížné útočníka zastavit, protože své síly rozloží tak, aby působi-ly z mnoha
směrů. Běžné DoS útoky zvládne díky na internetu snadno dostupným nástrojům
kdekdo, ale DDoS vyžaduje značné technologické znalosti. Navíc je zde problém
distribuce útočných nástrojů a koordinace jejich aktivity. Odměnou útočníkovi je
pak skutečnost, že výsledný útok je zpravidla úspěšný a těžko odstranitelný.
Krásně je to vidět na příkladu různých internetových červů, kdy se třeba Code
Red (objevený v červenci 2001) dokázal rozšířit na něco kolem 350 tisíc serverů
a následně spustil DDoS útok vůči doméně www.whitehouse.gov. Nebo Blaster (srpen
2003) zaútočil z několika set tisíc strojů proti doméně www.windowsupdate.com. V
prvním případě řešili správci problém tak, že změnili IP adresu příslušné
domény, protože útok směřoval vůči ní když pak došlo k napadení (Code Red se
připravil o výhodu momentu překvapení tím, že neútočil ihned, ale až po nějakém
čase), útok směřoval do prázdna. V případě kódu Blaster byla situace trochu
problematičtější, protože útok směřoval přímo proti dotyčnému názvu. Majitel
domény ji proto musel uzavřít a veškerý provoz směřovat na subdoménu
windowsupdate.microsoft.com. Ani to nebyl zase tak velký problém, protože
původní doména sloužila beztak víceméně k přesměrovávání na tuto adresu.
Mimochodem, tato událost byla posledním impulzem, který přiměl největšího
světového výrobce softwaru k vypsání odměn za informace vedoucí k dopadení
pisatelů škodlivých kódů.

Obrana
Jak už jsme opakovali v našem seriálu několikrát, základem je prevence, neboť
nejlepší bezpečnostní incident je takový, který vůbec nenastane. Pro případ
zabránění DoS útokům doporučujeme následující opatření:
lInstalujte všechny dostupné bezpečnostní záplaty. To je ostatně pravidlo, které
platí nejen pro případ prevence proti DoS útokům, ale i proti dalším
bezpečnostním hrozbám. Stejně tak se doporučuje používat nejnovější verze
programů a systémů, které byly navrhovány už s přihlédnutím k odolnosti vůči
určitým typům útokům.
lVypněte nepoužívané nebo nepotřebné služby, čímž snížíte šanci, že právě tyto
budou zneužity útočníky pro napadení systému.
lImplementujte filtry směrování. To sníží zranitelnost vůči některým typům
útoků, které využívají jejich absence (třeba útoky smurf attack zneužívají toho,
že jsou schopné zahltit síť díky absenci routerů).
lZnemožněte zápis na disk (jakýkoliv zápis na disk rovná se zvýšené riziku
přivlastnění systémových zdrojů útočníkem, protože prostor na disku je konečný)
a zaveďte kvóty (časové, velikostní aj.), aby jejich absenci nemohl útočník
využít ve svůj prospěch.
l Nastavte kontrolu nezvykle vysokého využití procesoru, pevného disku, paměti
apod., protože na DoS útok je nejlépe být zavčas upozorněni.
l Dbejte na fyzickou bezpečnost, aby neměl útočník usnadněný přístup k vašemu
hardwaru.
l Investujte do záložních zdrojů, které budou ihned k dispozici pro případ
odstavení běžně využívaných prostředků.
l Pravidelně zálohujte, a to nejen data, ale především konfigurační parametry
systému.
lVytvořte a dodržujte kvalitní politiku přístupu k systému na administrátorské
úrovni.
Ani sebedůslednější dodržování výše uvedených doporučení však nezaručí, že se
nestanete obětí DoS útoku. To je bohužel daň za koncepci TCI/IP protokolů, která
na jedné straně přispěla ke skutečně masovému rozšíření internetu na straně
druhé však má i svá slabá místa. Filozofickou otázkou ale zůstává, zdali by jiný
protokol byl vůči (alespoň některým) typům DoS útoků imunní.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.