Locked History Actions

Distributed Denial of Service

Žodis angliškai

Distributed denial of service

Žodis lietuviškai

Paskirstyta atsisakymo aptarnauti ataka

Apibrėžimas

DDoS-ataka — tai atakų prieš kompiuterines sistemas rūšys. Jų tikslas yra sukurti tokias sąlygas, kad teisėtiems sistemos naudotojams jos ištekliai taptų neprieinami ar apsunkinamas jų gavimas.

Bendra informacija apie DOS (DDOS) tipo atakas

Interneto teikiamos galimybės suteikia vis daugiau papildomu funkcijų jo vartotojams. Tačiau kartu su naujomis galimybėmis kyla ir vis daugiau rūpesčių tas paslaugas teikiančių sistemų administratoriams, besirūpinantiems ne tik pačios sistemos tinkamu funkcionavimu, bet ir jos saugumu.

Viena iš aktualiausių atakų prieš sistemas, teikiančias paslaugas internetu, yra atsisakymo aptarnauti (DoS) ataka. Ja siekiama tam tikrą sistemą ar jos paslaugą padaryti neprieinama teisėtiems jos vartotojams. Jei atsisakymo aptarnauti atakoje dalyvauja keli kompiuteriai (dar vadinami agentais ar zombiais), ataka tampa paskirstyta (DDoS) ir gali buti daug kartų galingesnė nei DoS ataka.

Dažniausiai pasitaikanti ir labiausiai matoma DoS ataka yra kada piktavalis bando perpildyti tinklą dideliu kiekiu informacijos. Pvz. kada Jūs įrašote svetaines adresa į savo naršyklės paieškos laukelį, Jūs siunčiate užklausą serveriui, kuriame patalpinta ta svetainė. Serveris vienu metu gali apdoroti limituotą kiekį tokių užklausų, taigi jai piktavalis apkrauną serverį didesniu srautu užklausų negu jis gali apdoroti, serveris nebegali atsakyti į Jūsų užklausą. Tai jau vadinama DoS ataka, nes Jūs nebegalite gauti norimos paslaugos.

Iš ką tik aptartos atakos galime susidaryti įspūdį, kad piktavaliai kėsinasi tik į didelius serverius, bet DoS atakos gali būti orientuotos ir individualiai. Kaip pavyzdį, galime paminėti elektroninio pašto DoS ataką. Jeigu Jūs turite elektroninį paštą, nesvarbu ar jis būtų sukurtas firmos vidiniame serveryje ar pasinaudojant kitų tiekėjų paslaugomis (gmail, yahoo ir t.t.), jis visada turės ribotą atminties kiekį, kuriuo galėsite naudotis. Siūsdamas daugybę laiškų, arba tiesiog keletą laiškų su dideliu kiekiu papildomos informacijos, piktavalis gali perpildyti Jūsų elektroninio pašto dėžutes atminties ribą, tokiu būdu neleisdamas Jums gauti naudingos informacijos.

DoS atakos ypač skaudžiai atsiliepia, pvz., kompanijoms, užsiimančioms telekomunikacijomis ir jos sau tiesiog negali leisti tapti piktavalių aukomis. Be žlugusios reputacijos, kompanijos patiria visiškai apčiuopiamus tiesioginius ir netiesioginius finansinius nuostolius. Užblokuotas tinklalapis daugeliui organizacijų reiškia negautas pajamas, o atakos atrėmimo išlaidos ar kreipimasis į kitus interneto tiekėjus skaudžiai atsiliepia biudžetui. Apsauga nuo DDoS atakų ypač svarbi internetinėms parduotuvėms, tinklaraščių tarnyboms, naujienų tarnyboms ir kitoms kompanijoms, kurių veiklai būtina, kad jų tinklalapiu nuolat galėtų naudotis klientai.

Simptomai

US-CERT (angl. United States Computer Emergency Readiness Team) įvardija 4 pagrindinius DoS atakos simptomus:

1) neįprastai lėtas tinklo našumas;

2) tam tikros svetainės neprieinamumas;

3) visų svetainių neprieinamumas;

4) ryškus gaunamų elektronio šlamšto laiškų padidėjimas.

Simptomai apie galimai vykdomą DoS ataką gali pasireikšti ne tik atakuojamoje sistemoje, bet ir aplinkiniuose įrenginiuose. Pvz., maršrutizatoriaus, eseančio tarp vietinio tinklo ir interneto, tinklo srautas gali būti sueikvotas DoS atakos, todėl vietiniame tinkle esančios sitemos neturės prieigos prie interneto. Tokiu būdu, trikdomas ne tik norimos sistemos darbas, bet ir su ja susietų įrenginių veikla.

Jeigu ataka yra pakankamai didelio masto, ji gali paveikti viso geografinio regiono darbą, nors piktavaliai to ir neplanavo. Taip dažniausiai nutinka kada tinklo yra blogai suderintas arba jo infrastruktūra yra netinkama.

Kenksmingo kodo plitimas

Kad DoS ataka būtų sėkminga, reikalingas didelis, koncentruotas į vieną taikinį informacijos srautas. Tą pasiekti iš vieno taško (kompiuterio) yra sudėtinga, todėl DoS atakos paprastai rengiamos pasinaudojant kitais užkrėstais kompiuteriais (zombiais, agentais). Tokios atakos vadinamos DDoS (paskirstyto atsisakymo aptarnauti) atakomis, nes jose dalyvauja keli kompiutriai, o informacijos srautas yra paskirstomas iš jų visų.

Kad DDos ataka būtų įgyvendinama, pirma piktavalis turi surinkti armiją zombių (ukrėstų kompiuterių, kuriuos gali panaudoti atakai). Tokie potencialūs kompiuteriai yra ieškomi keliais budais:

1) atsisitiktiniu skenavimu. Taikant šį metodą, tinklas skenuojamas atsitiktinai ir tikimasi rasti auką, kurios apsaugos sistemą piktavalis gali apeiti.

2) skenavimu pagal sąrašą. Taikant ši metodą, prieš skenavimą, piktavalis surenka sarašą kompiuterių, kurie galėtų būti užvaldyti. Tada, šis sąrašas skenuojamas ir tikimasi užvaldyti kuo daugiau sistemų.

3) topologinis skenavimas. Šis metodas išnaudoją jau užkrestame kompiuteryje esančią informaciją tolesnei aukų paieškai. Paprastai ieškoma kompiuteryje išsaugotų URL adresų, bandoma juos skenuoti ir tikrinti ar galima užvaldyti auką.

4) vietinio potinklo skenavimas. Šis skenavimas vykdomas aplinkoje, kuri yra už tarpsegmentinio ekrano. Užkrėstas kompiuteris skanuoja visą vietinį tinklą ieškodamas neapsaugotų taškų. Kada visas vietinis tinklas yra praskenuotas, paieška gali būti išplėsta į kitus tinklus.

Kenksmingas kodas taip pat gali būti paskleistas keliai budais:

1) centralizuotas. Jeigu yra randamas pažeidžiamas kompiuteris, kuris gali tapti zombiu, centriniam šaltiniui yra nusiunčiama instrukcija pagal kurią jis persiunčia reikalingą kodų rinkinį į aukos kompiuterį. Čia kenkėjiškas kodas automatiškai įsidiegia, ir pats pradeda ieškoti tolimesnių aukų.

PAV1.PNG

1 pav. Centralizuotas kenkėjiško kodo plitimas

2) su gryžtamu ryšiu. Šiuo metodu kenksmingą kodą siunčia pats piktavalis įsilaužimo metu. Tačiau šis kodas nėra skirtas užvaldyti aukos kompiuterį, o tiesiog atidaryti kelią pagrindinio kenkėjiško kodo persiuntimui, kuris taip pat yra gaunamas iš piktavalio, automatiškai įdiegiamas ir pradeda ieškoti naujų aukų.

PAV2.PNG

2 pav. Kenkėjiško kodo plitimas su gryžtamu ryšiu

3) autonominis. Šiuo metodu, pitkavalis įsilaužimo metu aukai nusiunčia kenkėjišką kodą, kuris automatiškai įdiegiamas ir pradeda ieškoti naujų aukų. Šiuo metodu skleidžiant kenkėjišką kodą nereikalingas atskiras šaltinis, iš kurio jis būtų siunčiamas.

PAV3.PNG

3 pav. Autonominis kenkėjiško kodo plitimas

== Atakų tipai ==

DDoS atakos klasifikuojamos pagal atakų pobūdį. Keli populiariausi atakų būdai:

1) HTTP GET – tai suplanuotas didelio skaičiaus užklausų pasiuntimas iš kompiuterių-zombių tinklo į interneto serverį, taip išsekinant visus jo resursus.

2) DNS perpildymas – tai didelio skaičiaus DNS užklausų perdavimas, dėl ko domenų vardų serveris tampa nebeprieinamu kitiems naudotojams, nes resursai užimti užklausų apdorojimu.

3) UDP perpildymas – tai daugybės didžiulių UDP paketų siuntimas aukai. Taip išnaudojama atakuojamos sistemos perdavimo kanalų talpa.

4) TCP SYN perpildymas – tai daugybės užklausų TCP susijungimui su „taikiniu“ pradėti siuntimas. Taip galų gale sistemai tenka naudoti visus savo išteklius šių dalinių prisijungimų apdorojimui.

Dar keli žinomi atakų būdai: Apache2, ARP poison, Back, CrashIIS, DoSNuke, Land, Mailbomb, Ping of death, Process Table, Smurf Attack, Teardrop. Apie šias atakas detaliau galima paskaityti pasinaudojus [1] adresu.

DDoS atakų mechanizmo principas yra toks pat, tačiau atskirai gali būti išskiriami du atakų tipai: paprasta DDoS (4 pav. a) ir paskirstyto atsisakymo aptarnauti panaudojant reflektorius (DRDoS, 4 pav. b) ataka.

Paprastos DDoS atakos metu, atakuojančių kompiuerių armija yra sudaryta iš valdančių zombių ir paprastų zombių. Abu tipai yra kompiuteriai, kuriuose piktavalis yra paskleidęs savo kenkėjišką kodą. Piktavalis koordinuoja valdančius zombius, kurie savo ruoštu dar žemesnę grandį. Piktavaliui davus signalą atakai valdantiems zombiams šie taip pat jį persiunčia kitiems paprastiems zombiams ir numatyta ataka vykdoma sinchroniškai.

DRDoS atakos scenarijus yra labai panašus į ką tik aptartąjį, tačiau šiuo atveju zombiai puola auka netiesiogiai, o pasinaudodami neužkrėstai kompiuteriais – reflektoriais. Zombiai nieko dėtiems kompiuteriams siunčia aukos IP adresą, suklaidindami juos ir leisdami manyti, kad auka nori gauti atsakymą iš jų. Atsakydami į užklausą, jie siunčia atsakymą aukos adresu, taip sukurdami DDoS ataką. Šis būdas yra pavojingesnis už prieš tai aptartą, nes šiuo atveju atakuojančių kompiuterių mąstas yra kur kas didesnis.

PAV4.PNG (a) (b)

4 pav. DDoS (a) ir DRDoS (b) atakų schemos

Apsaugos būdai

Dėja, pilnai apsisaugoti nuo DDoS ar DRDoS atakų būdų nėra. Visų pirmą reikėtų imtis saugumo priemonių, kad Jūsų kompiuteris netaptų vienu iš zombių, kuriuos būtų galima panaudoti rengiant tokias atakas:

1) Turėti antivirusinę ir ją pastoviai atnaujinti;

2) Įsidiegti ugniasienę;

3) Neatsakingai nedalinti savo elektroninio pašto kontaktų.

Firmos, norėdamos sumažinti DDoS atakų padaromą žalą gali diegtis medaus puodynes (angl. honeypot), suderinti savo tarpsegmentinius ekranus, naudoti srautą limituojančius komutatorius ar maršrutizatorius ir pan.

Literatrūros sąrašas

  1. http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_7-4/dos_attacks.html

  2. http://www.us-cert.gov/cas/tips/ST04-015.html

  3. http://dspace.vgtu.lt/bitstream/1/821/1/20-24_Ramanauskaite.pdf

  4. http://www.elektronika.lt/straipsniai/kompiuterija/12566/ddos-ataku-anatomija/

  5. http://en.wikipedia.org/wiki/Denial-of-service_attack

paskutinį kartą redaguota 2011-10-20 12:32:39 redaktoriaus KarolisKiela