Nedávné i stávající útoky Anonymous či jiných skupin uživatelů budí pozornost veřejnosti hlavně díky dvěma základním aspektům – během pár chvil se podaří odstavit servery renomovaných společností nebo různých sdružení a zároveň se na útocích mohou podílet také uživatelé, kteří nepotřebují mít rozsáhlé technické znalosti. Přesně takové jsou aktuální hacktivistické DDoS útoky, které mnoho lidí lákají. Jaké techniky se nejčastěji používají?
Pro úplnost hned na začátek uveďme základní fakta, tedy že poslání DoS a DDoS útoků lze rychle vytušit již z původního nezkráceného anglického označení tedy Denial of Service, tedy odmítnutí služby. Může jít o útoky, které cílí na konkrétní počítač, případně celou síť. Oproti jiným útokům je zde nutné podotknout, že nejde o útoky v tom slova smyslu, kdy se útočníci pokusí získat cenná data nebo přístup do systému – DoS útok zajistí pouze vyřazení služby či sítě z provozu. Na to ale samozřejmě mohou navazovat další, již více destruktivní útoky, kterým DoS útok vytvoří cestu do vyhlesnutého systému.
DDoS útoky (Distributed Denial of Service) jsou speciální variantou DoS útoků, podílí se na nich však více počítačů najednou. Právě nedávné útoky vedené pod hlavičkou Anonymous jsou typickou ukázkou distribuovaného DoS útoku, obrovské množství počítačů spojilo své síly a dostupnou konektivitu, cíle byly vždy společné. DDoS útoky mají výhodu v zesíleném efektu, celou situaci si lze představit jako paralelu k distribuovaným výpočtům, avšak sdíleným zdrojem není výpočetní výkon, nýbrž část dostupného připojení. Pokud musí oběť (typicky webový server) zpracovat a obsloužit kumulované požadavky v objemu terabajtů za hodinu, mají útočníci zpravidla vyhráno.
Ještě než se podíváme na nejčastěji používané DoS a DDoS útoky, je nutné zmínit další základní dělení, a sice podle toho, zda jde o útoky lokální nebo vzdálené. Jak již název prvně zmíněné kategorie napovídá, je zapotřebí mít k provedení místního DoS útoku přístup k počítači, proti němuž bude útok veden. Naproti tomu v případě vzdálených útoků postačí připojení přes síť, nejčastěji Internet – právě do této skupiny tedy spadají nedávné útoky v rámci kauz Anonymous.
LOIC je populárním nástrojem pro DDoS útoky
Útočníci se mají tvářit jako oběti
Jedním ze základních nástrojů, které jsou v současných hromadných útocích používané, je LOIC – Low Orbit Ion Cannon. Ten v principu slouží k zátěžovým testům a v tomto případě právě DDoS útokům. V režimu Hive Mind se uživatel v konkrétních útocích prostřednictvím upraveného LOIC připojil k IRC serveru a poskytl svůj počítač k případným útokům. DDoS útoky z botnetů, na jehož tvorbě se dobrovolně podílejí sami uživatelé, nepatří mezi každodenní rutinu. Kauza boje za svobodu slova v rámci Anonymous ale jasně ukázala, že mohou být úspěšné, v budoucnosti se terčem může stát kterýkoliv server, hlavní podmínkou je nadšení samotných uživatelů.
Velkou výhodou použití LOIC z pohledu útočníků je velice snadné ovládání, útočníci ani nemusí tušit základní principy o zahlcování vzdáleného serveru TCP či UDP pakety, které na pozadí ve skutečnosti probíhá. Právě LOIC se stal jednou ze zbraní vyjádření nesouhlasu se SOPA, kdy byly napadeny servery vlády Spojených států a další. Zajímavé je, že podle prohlášení Anonymous bylo při útocích reagujících na odstavení serveru MegaUpload využito 5600 uživatelů, kteří se prostřednictvím LOIC na DDoS útoku podíleli, a jednalo se tak o jejich největší útok podobného typu. Kdo by tedy čekal nutnost použití desítek či stovek tisíc zdrojových počítačů, bude překvapen – i s takto relativně malým počtem se DDoS útok vydařil. Podobně jednoduché je také využití dalšího nástroje, kterým je HOIC.
I když se skupina nabízející upravenou verzi LOIC či HOIC a sami uživatelé hájí myšlenkou boje za svobodu slova a udržení dostupnosti informací celému světu, jednalo se o DDoS útok jako kterýkoliv jiný. A co doporučují tvůrci stránek, odkud je předpřipravený LOIC či HOIC v případě starších i budoucích plánovaných útoků ke stažení? Botnetoví dobrovolníci mají tvrdit, že jejich stroj byl zneužit virem nebo jakkoliv jinak popírat aktivní a vědomou účast na organizovaných DDoS útocích. Tato obhajoba u DDoS útoků z botnetů samozřejmě dává smysl, jedná se pak o slovo proti slovu v případě konfrontaci s logem vedeným daným ISP. Bude ale univerzálně postačovat?
Maska Guye Fawkese se stala jasným znakem příznivců Anonymous. Jak online, tak při aktuálních protestech v reálném světě
Pomalu, ale jistě
Nevýhodu použití nástrojů LOIC a HOIC pro klasické DDoS útoky představuje jednoduché zahlcení serveru mnoha požadavky, s čímž se správně nakonfigurovaný firewall či jiný detekčně-obranný mechanismus dokáže alespoň částečně vypořádat. Proto se v akcích Anonymous i dalších podobných útocích přistupuje i k technice známé jako Slowloris – naznačení pomalosti v názvu není náhodné, tento útok opravdu funguje na principu pomalejšího odstavení provozu.
Server při útoku není zahlcen klasickými HTTP požadavky, které ho bombardují, ale postupně se otevírají spojení a čeká se na kompletní zpracování. Jednotlivé součásti hlavičky však ze strany útočníka přicházejí velice pomalu, a tak je každé spojení otevřené po maximálně možnou dobu. Těsně před vypršením timeoutu pak klient (útočník) pošle další část, čímž se aktuální prodleva resetuje a čeká se znovu. Takto je každý z jednotlivých požadavků uměle protahován po co možná nejdelší dobu a server musí udržovat velké množství spojení. Slowloris tedy v záznamech na serveru negeneruje žádnou chybovou zprávu, resp. nedetekuje bombardování mnoha rychlými požadavky, přitom ale dlouho zpracovávaná otevřená spojení blokují další, regulérní provoz.
V reakci na uvedené útoky LOIC, HOIC a Slowloris vydal CSIRT.cz následující doporučení obrany, které na svých serverech můžete i vy:
- Proti útoku SLOWLORIS lze například použít modul pro webový server apache mod-antiloris.Tento modul omezuje počet otevřených konexí ve stavu SERVER_BUSY_READ pro jednu IP adresu; dalším podobným projektem je mod_noloris. Pokud používáte webový server nginx, ten je proti útokům pomocí slowloris odolnější.
- Proti ostatním útokům lze použít modul TARPIT pro iptables, který zpomaluje odpovědi zasílané zpět útočníkům, čímž zdržuje posílání dalších requestů. Další možností je omezovat příchozí spojení pomocí modulů limit či hashlimit.
- Proti útokům lze také doporučit použití některého odolnějšího webového serveru, například již zmiňovaný nginx v módu reverzní proxy se zapnutou cache.
- CSIRT také doporučuje zkontrolovat, zda na webových stránkách nejsou zbytečně dostupné skripty, které již nejsou potřeba, dále doporučuje kontrolu stránek na XSS a SQL injection zranitelnosti, například pomocí nástrojeNikto2. Doporučuje také preventivně změnit hesla k databázím.