Nedávná kauza týkající se útoků na web WikiLeaks zpopularizovala a oprášila DDoS útoky, které svět počítačové bezpečnosti provázejí již dlouhou dobu. Mnoho uživatelů se však s jejich principem seznámila právě nyní, zejména v rámci nabízené utility LOIC, která sloužila k hromadnému útoku na vyhlédnuté nepřátelské weby, jež odepřely služby WikiLeaks. Jak vlastně DoS a DDoS útoky fungují, které techniky se nejčastěji používají?
Poslání DoS a DDoS útoků lze rychle vytušit již z původního nezkráceného anglického označení tedy Denial of Service, tedy odmítnutí služby. Může jít o útoky, které cílí na konkrétní počítač, případně celou síť. Oproti jiným útokům je zde nutné podotknout, že nejde o útoky v tom slova smyslu, kdy se útočníci pokusí získat cenná data nebo přístup do systému – DoS útok zajistí pouze vyřazení služby či sítě z provozu. Na to ale samozřejmě mohou navazovat další, již více destruktivní útoky, kterým DoS útok vytvoří cestu do vyhlesnutého systému.
DDoS útoky (Distributed Denial of Service) jsou speciální variantou DoS útoků, podílí se na nich však více počítačů najednou. Právě nedávná kauza WikiLeaks je typickou ukázkou distribuovaného DoS útoku, obrovské množství počítačů spojilo své síly a dostupnou konektivitu, cíle byly vždy společné. DDoS útoky mají výhodu v zesíleném efektu, celou situaci si lze představit jako paralelu k distribuovaným výpočtům, avšak sdíleným zdrojem není výpočetní výkon, nýbrž část dostupného připojení. Pokud musí oběť (typicky webový server) zpracovat a obsloužit kumulované požadavky v objemu terabajtů za hodinu, mají útočníci zpravidla vyhráno.
Ještě než se podíváme na nejčastěji používané DoS a DDoS útoky, je nutné zmínit další základní dělení, a sice podle toho, zda jde o útoky lokální nebo vzdálené. Jak již název prvně zmíněné kategorie napovídá, je zapotřebí mít k provedení místního DoS útoku přístup k počítači, proti němuž bude útok veden. Naproti tomu v případě vzdálených útoků postačí připojení přes síť, nejčastěji Internet – právě do této skupiny tedy spadá nedávný útok v rámci kauzy WikiLeaks.
Hlavní zbraň v boji ve jménu WikiLeaks měla z pohledu koncových uživatelů tuto podobu
Potají na pozadí
Na první pohled se může zdát, že DDoS a DoS útoky jsou prakticky identické, pouze se jich zúčastní větší počet počítačů. Základní princip je opravdu takový, nicméně liší se techniky, kterými útočníci poskládají armádu útočících počítačů. V případě DDoS útoků byla dříve běžná synchronizace, útočníci se domluvili, jaký typ útoku použijí a ve kterou dobu. Přesně ve stejný čas pak najednou vyslali požadavek na server, který hodlali shodit.
Postupem času ale uvedený přístup začal být neefektivní, a to vinou jak stoupajícího počtu uživatelů, kteří byli pro provedení útoku potřební, tak složitější koordinace. Útočníci proto začali spoléhat na neslavně proslulé botnety, tedy sítě vzdáleně ovládaných počítačů. Základní cíl je jednoduchý: infikovat co nejvíce strojů a získat je pod svou kontrolu, z takto zotročené armády zombie počítačů pak na dálku zároveň odeslat smrtící požadavky vyhlédnutému serveru.
Pro vybudování dostatečně velkého botnetu útočníci nejčastěji volí některého z populárních trojských koní, samotní uživatelé ve skutečnosti zpravidla ani netuší, že je jejich počítač infiltrován. Útočník se totiž snaží všechny své ovečky udržet v domnění, že se nic neděje, a tak nedochází k mazání dat, lákání peněz nebo jiné okaté činnosti. Právě DDoS útoky spojené s obhajobou WikiLeaks ale zvolily opačný, méně rozšířený postup – uživatelé si ze svého stroje stažením klienta vytvořili bota dobrovolně, i když předem věděli, k jakému účelu bude jejich počítač využit. Do budoucna by však podobného přístupu mohlo být řádně zneužito.
Časovaná bomba pro každého
Základním, v historii velice oblíbeným útokem se stalo zneužití testování dostupnosti pomocí příkazu ping, zpravidla zvětšením velikosti balíčku odesílaných testovacích dat, jež musel vyhlédnutý počítač zpracovat. Tento typ útoků spadá do kategorie takzvaných flood útoků, stejně jako zneužití SYN, tedy úvodní části handshake komunikace přes TCP.
Historie cílených útoků je bohatá, mezi populární nástroje kdysi patřil také Winnuke
Princip je velice jednoduchý, po odeslání SYN jde o prodloužení prodlevy čekání na odpověď v podobě SYN-ACK. Server tak čeká v právě otevřeném spojení na odezvu, která je v případě DDoS útoků zesílena. Mimo uvedené záplavové útoky se v minulosti oblibě těšilo také zneužité fragmentace IP paketů, které byly během postupného odesílání upraveny tak, aby následující překryl původní. Při skládání na straně příjemce tak došlo k chybě a následného zhroucení dané rutiny, případně celého systému. Jak ping, tak SYN flood nebo útoky s využitím fragmentace však patří do kategorie historických útoků, dnes si již i servery se základním zabezpečením bez větších problémů poradí.
Mezi moderními DDoS útoky vyčnívá občasné zneužití P2P sítí, které ukazuje další možnost, jak lze takovýto typ útoků provést. Oproti jiným variantám se často jedná o zneužití chyby v P2P klientovi, a tedy otevření cestičky do uživatelova počítače po jeho odstavení z provozu. První krok spočívá v odpojení klienta od serveru a následném připojení přímo k jeho počítači. Nevýhodou je však nutnosti detailní znalosti konkrétního protokolu a čekání na chybu, na druhou stranu však zneužitím útočník může získat mnoho obětí během okamžiku.
Speciální variantou DoS a DDoS útoků jsou takzvané nukes, které spadají do kategorie zneužití na základě známé chyby v cílovém systému. Zpravidla se do jedné kategorie zahrnují scénáře zneužití objevených chyb i programy, které na ně cílí. Na výjimečnosti získávají hlavně díky posledně zmíněnému principu, jelikož patří mezi útoky, jichž se mohou zúčastnit i začínající uživatelé – k dispozici bývají programy, jež nabízejí jednoduché připojení k vyhlédnuté oběti (která je náchylná na konkrétní zranitelnost) a automatické provedení útoku. Účastníci útoku tak nemusí mít žádné ponětí a principu dané chyby, postačí jen pár kliknutí a nasměrování předpřipravené zbraně na správný cíl.
Dobrovolné útoky
Nedávný útok na nepřátele WikiLeaks ukázal, že členění počítače do sítě dobrovolných botů představuje otázku několika málo okamžiků, základem se stal kód aplikace LOIC (Low Orbit Ion Cannon), jež slouží k zátěžovým testům a v tomto případě právě DDoS útokům. V režimu Hive Mind se uživatel prostřednictvím upraveného LOIC připojí k IRC serveru a poskytne svůj počítač k případným útokům. DDoS útoky z botnetů, na jehož tvorbě se dobrovolně podílejí sami uživatelé, nepatří mezi každodenní rutinu. Kauza boje za WikiLeaks ale jasně ukázala, že mohou být úspěšné, v budoucnosti se terčem může stát kterýkoliv server, hlavní podmínkou je nadšení samotných uživatelů.
Domovské stránky pro stažení nástroje v boji za WikiLeaks
I když se skupina nabízející upravenou verzi LOIC a sami uživatelé hájí myšlenkou boje za svobodu slova a udržení dostupnosti informací celému světu, jednalo se o DDoS útok jako kterýkoliv jiný. A co doporučují tvůrci stránek, odkud je předpřipravený LOIC ke stažení? Botnetoví dobrovolníci mají tvrdit, že jejich stroj byl zneužit virem nebo jakkoliv jinak popírat aktivní a vědomou účast na organizovaných DDoS útocích. Tato obhajoba u DDoS útoků z botnetů samozřejmě dává smysl, nicméně v případě konkrétních případů z legislativního pohledu nejspíš nebude stoprocentně uvěřitelná.
Princip základních útoků je vždy stejný, záleží pouze na útočníkovi, jak je zkombinuje s dalšími možnostmi. Pokud se o variantách, které rozšiřují výše popsané modely, chcete dočíst více, můžete zalistovat například jednou ze snadno vstřebatelných zahraničních PDF prezentací, detailní popis přesahuje rozsah a zaměření tohoto článku. DoS a DDoS útoky se proslavily díky nedávné kauze WikiLeaks, doufejme, že se již v blízké době zase na chvíli odmlčí.
