Hlavní navigace

Denial of Service (DoS) útoky: záplavové typy

12. 9. 2006
Doba čtení: 8 minut

Sdílet

 Autor: 29
V dnešním díle se podíváme na jedny z nejprostších a stále používaných DoS útoků, které stále mnohým uživatelům a správcům sužují život, jelikož pomocí nástrojů zvládne útok i začátečník. Jmenovitě si tu probereme útoky ICMP záplava, UDP záplava, TCP záplava, Mass mailing list a E-mail bombs.

Co jsou to záplavové DoS útoky?

Záplavové DoS (DoS Flood) útoky jsou jedny z nejprostších útoků. Spočívají ve vygenerování co největšího toku, aby zahltily linku oběti. Obrana proti nim je těžká, zvláště pokud jsou použity při distribuovaném (útok, kdy se útočí z více počítačů) útoku.

V čem spočívají?

Jak již bylo uvedeno, spočívají v zahlcení linky oběti takovým množstvím dat, že znemožní regulérní provoz. Laicky řečeno: znamená to, že pokud naše oběť bude připojena k Internetu rychlostí 128kbit/s a útočník bude připojen 512kbit/s a začne posílat oběti data, co nejrychleji může, zahltí tím linku oběti. Oběť nebude mít šanci komunikovat s okolím, jelikož kapacita linky bude vyčerpána.

zahlcení

Jaké jsou možnosti záplavových DoS útoků dnes?

V dnešní době, kdy jsou velké servery připojeny k Internetu linkami o takové rychlosti, o které se zatím obyčejným uživatelům může pouze zdát, jsou obyčejné záplavové útoky proti takovým serverům neúčinné. „Obyčejné“ jsem napsal záměrně, protože pokud začnou útočit stovky nebo tisíce počítačů (v případě DDoS), není problém odstranit jakýkoliv server.

Ikonka - Kristalova Lupa 2006
Víte o zajímavé české službě či projektu a rádi byste o něm dali vědět ostatním? Zajímá vás, co považují za nejlepší na českém Internetu odborníci i běžní uživatelé? Pak neváhejte a nominujte své favority v anketě Křisťálová Lupa 2006! Až do 22. září 2006 můžete ovlivnit, ze kterých projektů se bude vybírat vítěz pro tento rok. Dejte vědět provozovatelům služeb, co si o jejich nabídce myslíte a ovlivněte tak český Internet!

Pokud zůstaneme pouze u obyčejného DoS, ten stále zůstává nebezpečný proti malým serverům, jejichž rychlost připojení nepřevyšuje desítky Mbit/s. Ještě snadnějším cílem můžou být obyčejní uživatelé, jejichž připojení se v současné době pohybuje okolo 1 Mbit/s.

Proč jsou tak nebezpečné?

Jejich nebezpečnost spočívá v tom, že je téměř nemožné jim přímo zabránit, zvláště pokud jsou distribuované. Proč jim je těžké zabránit, si můžeme ilustrovat třeba na příkladu obyčejného uživatele.

Uživatel je připojen modemem do Internetu. Najednou někdo proti němu spustí záplavový DoS útok. Uživatel se podívá na tok, co k němu přichází, a všimne si, že veškeré pakety jsou stejné. Proto si řekne, že je nejspíš obětí útoku. Může si například zapnout ve firewallu pravidlo, aby útok neprošel výše – ovšem to mu ani trošku nepomůže, jelikož linka bude dále zahlcována. K obraně je třeba, aby byla komunikace filtrována již u poskytovatele. To ovšem poskytovatel pro obyčejného uživatele neudělá. Takže obyčejný uživatel je odříznut od Internetu do doby, než útočník přestane (jedinou výjimkou je, že uživatel dostane při novém připojení novou IP adresu).

Pokud se toto stane nějaké firmě nebo někomu, kdo si za připojení platí, poskytovatel připojení nejspíše vyslyší volání o pomoc a vytvoří u sebe pravidlo ve firewallu. Tím se oběť zbaví provozu, ovšem útočník to nevzdá, a když zjistí, že je server znovu připojen, dojde mu, že jeho DoS útok byl odfiltrován. Problém mu to nečiní, protože může zfalšovat zdrojovou adresu a změnit port, na který jsou data posílána. Vlastně může útok jednoduše modifikovat a tím filtrovací pravidlo obejít. Může se jednat o téměř nekonečný boj. V takovém případě se server často odpojí úplně, útok se analyzuje, hledá se útočník a vymýšlí se co nejlepší protiopatření.

Útoky

Záplavové útoky se poznají většinou podle toho, že mají ve jménu slovo flood, což přeloženo do češtiny znamená záplava. Tyto útoky jsou si velice podobné a liší se pouze použitým protokolem nebo nastaveným příznakem. Mezi těmito útoky se v poslední době (několik let) žádné novinky neobjevují a nedá se ani očekávat, že by se do budoucna něco měnilo. Nyní budou následovat takové nejznámější útoky, které bývají často zmiňovány.

ICMP záplava (ICMP Flood)

Již z jména pramení, že tento útok využívá protokolu ICMP, nejčastěji se používají pakety typu ICMP Echo, což jsou pakety, které využívají ping a slouží k zjišťování, zda je vzdálené zařízení dostupné. Podle doporučení (RFC) by měla být maximální velikost ICMP Echo paketu 548 B, ovšem program ping jak pro systémy Windows, tak i pro Linux umožňuje velikost ICMP Echo paketu až 65 kB (největší možný ICMP Echo paket může být 65.535 B, tak to uvádí specifikace).

ICMP Echo funguje tak, že my pošleme ICMP Echo request a cílový počítač posílá zpátky ICMP Echo reply. Přitom zachovává velikost paketu. Toho lze využít tak, že zfalšujeme adresu odesílatele a tím docílíme, že datová linka oběti bude ucpávána dvakrát. Jednou daty směrem tam a podruhé daty zpátky (která budou určena oné zfalšované adrese).

Tomuto útoku například napomáhají také možnosti programu ping pod operačním systémem Linux. Zde můžete nastavit velikost ICMP Echo paketu a hlavní věc, co nabízí, je režim flood. Tento režim je aktivován přepínačem -f a provede to, že program posílá ICMP Echo pakety, jak nejrychleji umí. Navíc po každém odeslaném ICMP Echo request paketu vypíše do konzole jednu tečku a s každým přijatým ICMP Echo reply paketem jednu tečku smaže. Takže přehledně vidíte, jak stíhá oběť odpovídat. Pokud nestíhá odpovídat, znamená to, že útok je úspěšný. (ICMP Echo pakety bývají ale často filtrovány).

Vlastnosti: obyčejný záplavový útok, výhodné je, že pokud oběť odpovídá, zahlcuje se její linka dvojnásob. Útok je velmi lehké provést.

UDP záplava (UDP Flood)

K tomuto útoku se používá transportního protokolu UDP. Výhodou tohoto protokolu je to, že je bezstavový. To znamená, že se u něj nesestavuje spojení jako u protokolu TCP (o tomto se detailně zmíním v dalším díle). Principem útoku je zahltit linku oběti. V minulosti se také stávalo, že některé služby na tuto záplavu reagovaly tím, že se zhroutily.

Používá se zde také zranitelnosti služeb echo a chargen. Služby echo a chargen bývaly často defaultně spuštěny v operačních systémech Linux (tyto služby se dokonce vyskytují i v operačních systémech Windows, ovšem nebývají defaultně spuštěné). Služba echo pracuje tak, že veškerá data, která přijdou na její port, jsou poslána zpět (jedná se o jakousi ozvěnu). Naproti tomu služba chargen pracuje tak, že na ni pošlete nějaká data a ona vám zpátky pošle náhodná data.

Trik spočívá v tom, že pošleme data oběti na port echo a zfalšujeme zdrojovou adresu a port. Zfalšujeme je tak, že zdrojovou IP nastavíme na nějaký počítač, který poskytuje službu echo nebo chargen, a port nastavíme na tuto službu. Tímto docílíme toho, že tyto dva počítače si budou tato data posílat stále dokola. Má to tu výhodu, že takto se může odstranit server, který je k Internetu připojen daleko rychleji než my. Ovšem tyto služby se v dnešní době již nepoužívají, ale výjimka potvrzuje pravidlo.

Vlastnosti: obyčejný záplavový útok, velkou slávu získal právě zacyklením pomocí služeb chargen a echo.

TCP záplavy (TCP Flood)

Jak již z názvu vyplývá, tyto útoky jsou založeny na protokolu TCP. Na Internetu se můžete setkat s názvy SYN Flood, ACK Flood, RST Flood, FIN Flood, URG Flood, PSH Flood, nebo jejich kombinacemi. Jedná se vlastně pořád o to samé, jedinou výjimkou je útok SYN Flood, který jsem zařadil mezi DoS vyčerpávající prostředky. Dále RST Flood bývá často používán k resetování spojení (o resetování spojení napíši samostatný článek).

Jejich názvy vycházejí z toho, jaké příznaky má TCP paket nastaveny. Jejích cíl je ovšem pořád stejný, vygenerovat takový datový tok, aby došlo k zahlcení linky oběti. Počítač oběti na tyto pakety obvykle nereaguje (správně by měl poslat zpátky TCP paket s RST příznakem, ovšem toto nebývá dodržováno nebo je filtrováno firewallem). Význam jednotlivých příznaků můžete najít v detailním anglickém článku.

Vlastnosti: obyčejné záplavové útoky (kromě SYN a RST Flood).

Mass mailing list

Tento útok spočívá v zahlcení určité e-mailové schránky, aby byla nepoužitelná. V době, kdy vládne elektronické poště spam, má snad každý s tímto útokem nějaké zkušenosti. Smyslem tohoto útoku ovšem není posílat spam, nýbrž zaplnit schránku tak, aby byla plná a nemohly již přicházet žádné další e-maily. Dříve to nebyl problém, zvláště když se velikost e-mailové schránky pohybovala v řádech desítek MB. Dnes jsou již schránky sice větší, ale pokud každý den někomu přijde tisíc e-mailů, je dosaženo stejného efektu – schránka je nepoužitelná.

Jak vypadá takový útok? Docela jednoduše. Útočník „obejde“ Internet a zaregistruje vybranou e-mailovou adresu na webových stránkách. Například různé konference, newslettery, bulletiny nebo navštíví stránky s pornografií. Hlavně registrace na stránkách s pornografií jsou největší zásobárna e-mailů (jež budou oběti chodit), jelikož odsud bývají e-mailové adresy distribuovány spamerům.

Vlastnosti: záplavový útok, orientovaný na e-mailovou schránku. Nebezpečí je veliké kvůli snadnosti útoku a možnost vystopování útočníka téměř nulová.

E-mail bombs (E-mail bombing)

Tento útok je velice podobný mass mailing listu. S tím rozdílem, že k vytvoření e-mailů se používá program. E-maily tedy generuje sám útočník a jejich množství záleží na tom, kolik jich pošle. Tento útok nemusí zůstat pouze u zaplnění schránky uživatele, ale může být i snahou o zhroucení cílového poštovního serveru. Ovšem k tomu je spíše vhodné, aby byl tento útok distribuovaný.

Pokud se útočník snaží „shodit“ e-mailový server, nahrává mu do karet také v dnešní době složitější zpracovávání e-mailů. Mám tím na mysli hlavně to, že e-mailový server kromě toho, že obstarává poštu, často kontroluje poštu, zda se nejedná o spam a také zda se nejedná o virus. To přispívá k tomu, že pro odbavení jedné e-mailové zprávy je potřeba více procesorového času.

BRAND24

Vlastnosti: záplavový útok zaměřený na e-mailový server nebo e-mailovou schránku. Útok je snadný a často používaný jako osobní pomsta.

Závěr

V dnešním díle jsme se podívali na záplavové útoky. Pokud byste si je chtěli otestovat, není problém, například pomocí sady nástrojů Net Tools 4. Tato sada programů nabízí programy jak pro otestování dnes probraných útoků, tak i pro otestování útoků probíraných v dalších dílech seriálu.

Už vám někdo někdy naschvál zahltil e-mailovou schránku nebo mobilní telefon?

Byl pro vás článek přínosný?

Autor článku

Autor je spolumajitelem firmy PATRON-IT a celým srdcem technik. Specializuje se na kybernetickou bezpečnost a má zkušenosti etického hackera. Věří, že aby mohl síť dobře zabezpečit, musí ji nejprve umět prolomit.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).