Как работает DDos атака и защита от нее


Простое SYN-наводнение позволяет атакующему генерировать трафик от одной машины. Smurf-атака поднимает ставку, но все еще ограничивается объемом трафика, который может быть использован Smurf-усилителем.

В распределенной DDoS-атаке (Distributed Denial-of-Service - DDoS) нет никаких ограничений на число машин, которые служат для начала атаки, и на величину пропускной способности, которую вправе израсходовать атакующий. Так как атакующий может координировать действия произвольно большого количества главных компьютеров, то для DDoS-атаки пределов нет. Это представляет новый и опасный поворот в развитии вторжений.

Впервые появившиеся открыто в конце лета 1999 года, они стали чрезвычайно популярными в сети. Действительно, в начале февраля 2000 года слава этих атак значительно возросла после того, как они были использованы в нескольких массивных наводнениях высококлассных Web-сайтов, включая такие светила Internet, как Amazon, eBay, ETrade и ZDNet.


Принцип DDoS атаки и защита от нее



DDoS-атака использует распределенную природу Internet с компьютерами, принадлежащими разбросанным по земному шару различным организациям, для создания массивного пакетного наводнения у одной или нескольких жертв. Для проведения атакующий сначала захватывает большое количество компьютеров-жертв, часто называемых зомби (zombies).

Потенциальные зомби-системы расположены где-нибудь в Internet и имеют множество простых уязвимых мест, которые атакующий может использовать для быстрого захвата. В обычных DDoS-атаках, замеченных до настоящего времени, зомби устанавливались на уязвимых серверах в университетах, системах маленьких и больших компаний, машинах Internet-провайдеров и даже системах домашних пользователей, подключенных к постоянным цифровым линиям DSL или сервисам через кабельные модемы.

Атакующий сканирует огромные области Internet в поисках уязвимых машин и устанавливает программное обеспечение зомби на найденные системы. Большинство машин, где имеются зомби, захвачены при помощи атаки переполнением буфера или родственного эксплойта. Атакующие способны установить группы из сотен, тысяч или даже десятков тысяч зомби.

Программное обеспечение зомби является составной частью инструмента, который ждет команды атакующего, использующего специальный инструмент-клиент для взаимодействия с этими зомби. Атакующий задействует одну или несколько клиентских машин, чтобы приказать всем зомби одновременно выполнить команду - как правило, провести вторжение против мишени.

Все зомби покорно откликаются, топя жертву в пакетном наводнении трафиком. Клиент связывается с зомби, но атакующий обычно обращается к клиенту с отдельной системы. Описанная методика добавляет к архитектуре дополнительный обманный уровень, затрудняя следователям розыск атакующего.

«Детективы» способны обнаружить зомби и расположение программы-клиента, но не атакующего, который сидит за другой машиной, возможно в другом полушарии. Атакующие в силах даже применить методику ретрансляции при помощи Netcat, чтобы добавить дополнительные обманные уровни, делая собственную поимку еще более трудной.

Сегодня имеется множество инструментальных средств, и число их постоянно растет.

Tribe Flood Network (TFN) и его преемник TFN2K,
Blitznet от Phreeon;
Mstream;
TrinOO и родственные ему WinTrinOO и Freak88;
Trinity;
Shaft;
О Stacheldraht от Randomizer, объединяет свойства TFN и TrinOO.


Мощный инструмент TFN2K



Ниже я расскажу о свойствах TFN2K, который является одним из наиболее полнофункциональных инструментальных средств в этом жанре. Атакующие, используя TFN2K, могут руководить всеми своими зомби, ведя несколько разных типов атак:

Targa - набор программ «битыми» пакетами, также написанный Mixter;
UDP-наводнение;
SYN-наводнение;
ICMP-наводнение;
Smurf-атака;
«смешанная» атака - UDP-, SYN- и ICMP-наводнения.

С такой возможностью выбора, если жертва кажется не особенно уязвимой от ICMP-наводнений, атакующий без труда переключится на SYN-наводнения. Если же атакующие развернули несколько Smurf-усилителей, но у них относительно мало зомби, они усилят свою DDoS при помощи Smurf-атаки.

Одна из наиболее интересных особенностей TFN2K относится к связи между клиентом и зомби. Чтобы помешать другим атакующим или администратору машины-зомби добраться до зомби, клиент должен проверить подлинность зомби при помощи зашифрованного пароля партнерки. Кроме того, все пакеты от клиента к зомби посылаются посредством ICMP-пакета «эхо-отклика». TFN2K связывается при помощи ping-ответа, всегда без посылки самого ping-пакета.

Почему TFN2K применяет такой странный метод связи? Во-первых, «эхо-отклики» ICMP разрешаются во многих сетях, потому что администратор сети конфигурирует маршрутизаторы и брандмауэры так, чтобы позволить внутренним пользователям прозванивать ping-пакетами внешний мир. Их ping-ответы должны возвратиться в сеть, поэтому ICMP-пакеты «эхо-отклика» дозволены. Другая причина для использования ICMP состоит в том, чтобы сделать соединение скрытым. Нет номера порта, связанного с ICMP; система только слушает ICMP-пакеты и передает их приложению TFN2K.

Следовательно, если администратор выполняет Nmap для сканирования портов машины-зомби или локально запускает команду netstat, чтобы получить список открытых портов, никакие новые порты не будут указаны как открытые для TFN2K, поскольку программа использует ICMP.

TFN2K также поддерживает множество механизмов сокрытия. Во-первых, адрес источника всего трафика от клиента к зомби может быть подменен. Далее, зомби сами выполняют спуфинг трафика, посылаемого машинам жертвы. Серверы в состоянии даже отправлять пакеты-ловушки другим жертвам, чтобы помочь сбить детективов.

Если происходит расследование DDoS-атаки, конечная жертва должна раскручивать атаку в обратном порядке: маршрутизатор за маршрутизатором, провайдер за провайдером - к одному или нескольким зомби. От этой точки атаку нужно проследить дальше: снова маршрутизатор за маршрутизатором, провайдер за провайдером - к клиенту. И все равно не найден атакующий, который просто соединялся с клиентом, используя Netcat, возможно через ретрансляционную сеть. Другими словами, обнаружить атакующего при действительно устойчивом развертывании TFN2K очень трудно!

В более ранних инструментальных средствах машина-клиент содержала простой текстовый файл, указывающий IP-адреса всех зомби под ее управлением. После обнаружения файл применялся для поиска зомби с целью их уничтожения. Однако в TFN2K атакующие зашифровали этот файл в клиенте, так что, если клиент и будет обнаружен, он не скажет следователям, где расположены зомби.

Последней интересной возможностью TFN2K является функция, позволяющая атакующему выполнить одну произвольную команду одновременно на всех зомби. В дополнение к выбору запуска определенной dDoS-атаки атакующий вправе приказать всем зомби в то же самое время реализовать одну команду, вполне возможно, подобную дистанционной оболочке (rsh), встроенной в TFN2K.

Используя эту опцию, атакующий может приказать всем зомби запустить FTP и установить новую версию, или одновременно удалить всю информацию на их жестких дисках, чтобы отбросить преследование, или изменить окружение зомби по прихоти атакующего.

Еще советуем:
  • Защита от DDOS
  • Smurf-атаки и защита от них
  • Защита против дистанционного прекращения сервисов
  • Защита против локального истощения ресурсов
  • Защита от DDOS атак