>>Hrajte s Námi ve světech bohů a válek<<

DDoS = atak na PTc společnosti

16. června 2008 v 22:22 | mimik |  Přehled a zajímavosti
hrozbou PTC světa je nyní DDoS atack !!! Už schvátil snad všechny firmy které začali být výnosné
Jediné firmy které kupují dostatečně drahé opratření aby se vyhly jsou :

Bux.to

Neobux

Thinkbux

Firmy jsou proti němu takřka bezbranné...náprava tohoto viru stojí nemálo finančních prostředků a často vede k zániku firmy,což v případě našich firem zatím překonali většinou všechny(ten-ads a buxvisit napadeny už po 4 ,OSB napadeno po 2. , alertbux po 1. a všechny ostatní minimálně 1 napadeny byly ale nebylo to znát díky rychlému zákroku adminů ... )
A cože to je ten DDoS atack?Okopíroval jsem úryvek jednoho slovenského článku,tak si udělejte obrázek sami :

Čo je to vlastne DDoS?

DDoS (Distributed denial of service) je metóda, kedy útočník zahltí svoju obeť obrovským množstvom požiadaviek. To má väčšinou za následok zahltenie a následný pád systému. Pre tento útok sa využíva väčšinou obrovské množstvo nezávislých počítačov, ktoré sú infikované nebezpečným kódom, ako napríklad trójskym koňom, vírusom alebo iným. Takto útočník získa prístup k obrovskému množstvu infikovaných počítačov, ktoré sa nazývajú zombie. Tieto počítače systematicky zasielajú množstvo požiadaviek na vybranú obeť. Medzi najznámejšie a najúspešnejšie patria štyri typy útokov. Každý z nich si osobitne rozoberieme a popíšeme.

UDP flood: Najmenej deštruktívny

UDP flood je jeden z najzákladnejších útokov DDoSom. Pri UDP sa väčšinou posielajú jednosmerne požiadavky na obeť, kedy sa neočakáva spätná väzba a packety (požiadavky) môžu doraziť v ľubovoľnom poradí. Tento útok je väčšinou zameraný na zahltenie konektivity, čo znamená úplné vyradenie dostupnosti na internete. Je to asi najmenej deštruktívny útok zo štvorice a v prípade menšieho počtu je celkom dobre odfiltrovateľný bežným firewallom, vo väčšsom rozsahu - presahujúcom možnosti internetového pripojenia cieľového serveru - môže obeť požiadať o filtrovanie u svojho upstream providera (poskytovateľa konektivity). Tento útok vyžaduje spoofovanie (falšovanie) IP adries, preto je ochrana filtráciou zdrojových adries nepoužiteľná.
V tejto dobe už hádam všetci provideri majú nastavené anti-spoof filtre, ktoré obmedzia útočníka na falšovanie IP adries len z jednej siete. Skrýva sa teda umiestnenie infikovaného počítača, ale obeť už môže informovať prevádzkovateľa siete a požiadať ho o prekontrolovanie činnosti. Veľmi podobne funguje aj ICMP flood útok, ktorý má rovnaké vlastnosti ako UDP flood a aj rovnaký spôsob ochrany.

TCP Syn Flood: Útočí na hardvérové limity

Podľa charakteristiky TCP musí každá správna požiadavka prebiehať v troch krokoch. Počítač užívateľa, ktorý sa chce pripojiť k serveru, pošle v prvom kroku požiadavku SYN (synchronizácia) a čaká na odpoveď serveru. Ten na zdrojovú IP adresu (odkiaľ prišla požiadavka) pošle naspať odpoveď v podobe SYN/ACK a čaká na spätnú reakciu. V prípade úspešného prijatia používateľom zašle spätne odpoveď ACK/FIN a tým sa vytvorí stabilné spojenie medzi serverom a klientským počítačom. Tento proces sa nazýva "three-way handshake", vo voľnom preklade trojcestné podanie ruky.
V prípade Syn Flood útoku pošle zombie počítač prvú požiadavku na server SYN, ale s falošnou (spoofed) IP adresou. Opäť je potrebné falšovať IP adresu. Server po jej prijatí pošle na túto falošnú adresu požiadavku na overenie, teda SYN/ACK, avšak odpovede sa nedočká. A tak stále vyčkáva na odpoveď, aby mohol dokončiť toto "napoly otvorené" spojenie, čo môže trvať aj niekoľko minút (záleží od nastavenia serveru a firewallu). Takýmto spôsobom je možné otvárať spojenia dovtedy, kým sa s nimi obeť nedokáže vysporiadať.
Ako ochrana sa dnes často používa firewall s nainštalovaným TCP proxy serverom, ktorý prijíma a vyhodnocuje všetky TCP spojenia smerované na server a overuje ich pravosť. Ak sú korektné, prepustí ich na server, v opačnom prípade ich zahodí. Týmto sa snaží odľahčovať cieľový server. Takáto ochrana je oveľa účinnejšia, než v prípade, že by sa o požiadavky staral priamo server. Útok je väčšinou používaný ako útok na hardvérové limity firewallov, routerov či serverov.

DC++ flood: Patrí k najlepším

Veľmi zákerný typ útoku, využívajúci chybu vo výmennom systéme tejto populárnej P2P siete. Tento útok patrí k jednému z najdeštruktívnejších, jeho filtrácia je veľmi obtiažna. Útok spočíva vo využití chyby v DC++ huboch, ktoré mu umožňujú, aby pri pripojení prezentoval svoju IP adresu ako IP adresu obete. Vďaka tomu je obeť zahltená množstvami požiadaviek od hubu a zároveň od každého užívateľa, ktorý je na neho pripojený.
V prípade použitia väčšieho množstva veľkých hubov je tento útok masívny a úplne deštruktívny. Patrí k tým najzložitejším z pohľadu ochrany pred ním a zároveň k najlepším z pohľadu efektivity tohto útoku.

HTTP flood: Najzákernejší

Tento útok je najjednoduchší zo štvorice útokov. V prípade profesionálneho vykonania (stáva sa aj najzložitejším) je však najzákernejši a obrana proti nemu je takmer nemožná. Útočník sa pripája na webové sídlo pomocou reálnych IP adries infikovaných strojov, nepoužíva sa ich falšovanie (spoofovanie). Server je zahlcovaný obrovským množstvom požiadaviek, ktoré su pre server aj firewall z hľadiska pripojenia úplne korektné, preto ho nie je možné rozoznať od skutočných požiadaviek. V malom množstve dokážu pomôcť blacklisty (zoznamy podozrivých IP adries).
Pri tomto útoku môže byť vynaliezavosť útočníka veľká. Ak by napríklad útočil na web, ktorý v určitých miestach pristupuje k veľkej databáze údajov, môže útočník posielať neustále požiadavky práve na toto miesto a tak server vyradiť oveľa rýchlejšie. Vďaka tomu je tento útok najzákernejší a najdeštruktívnejší zo všetkých. Bežným spôsobom ochrany je zvyšovanie kapacity webového sídla (farmy), čo sa nedá donekonečna. Jedinou ochranou tak zostáva analýza paketov.

Ochrana proti DDoSu

Pozrime sa teraz na ochranu proti uvedeným štyrom doteraz najpoužívanejším spôsobom útoku DDoSom. Proti všetkým útokom sa dá chrániť len do určitej miery. Proti silným útokom je žiaľ každá ochrana neúčinná.
Štandardnou ochranou proti DDoSu sú správne nastavenia serveru či klientskej stanice. Samozrejmosťou je kvalitné zariadenie ako router a firewall. Tým sa dá do určitej miery predísť útokom typov UDP flood, ICMP flood a TCP flood. Dokážu zneškodniť niekoľko tisíc zombie počítačov.
Útok zahltením webového servera sa ani dobrým routerom či firewallom odchytiť nedá. Zostáva jediná možnosť - analýza paketov (požiadaviek). Špičkou na trhu je spoločnosť Cisco so svojím produktom Guard. Keďže útočí stroj, je každá požiadavka - nech vyzerá akokoľvek náhodne - vygenerovaná a má svoj vzor. Guard využíva tento fakt a pri analýze každej požiadavky na server hľadá nejaký vzorec. Ak ho objaví, IP adresu zablokuje. Takáto ochrana má úspešnosť 96 % až 98 %, v závislosti od kvality útoku a zložitosti vzorcu pre filtráciu.
Guard sa pri prvom nasadení na novú sieť (napríklad housing) zapne do tzv. Learning módu - stavu učenia sa. V tomto štádiu nesmú ísť na sieť žiadne útoky. Guard počas tohto módu analyzuje bežnú dátovú prevádzku (traffic) a učí sa ju rozpoznávať. Tento mód trvá okolo 24 hodín. Následne sa prepne do tzv. Protekčného módu (chránenie), kedy si už "plní svoje povinnosti" a analyzuje prevádzku za účelom filtrovania.
Guard sa skladá z dvoch častí:
  • Cisco Anomaly Detector
  • Cisco Guard
Detector by sa podľa topológie siete mal umiestniť čo najbližšie webovej farme, zatiaľ čo Guard naopak čo najďalej. Detector dátovú prevádzku analyzuje, Guard ju následne filtruje. Takto je zabezpečená ochrana pred škodlivou premávkou. Ako doplňujúce riešenie existuje zariadenie od firmy Arbor Networks, ktoré funguje rovnako, ako Cisco Analyzer (detector), spolupracuje s Guardom a takto chráni sieť. Toto zariadenie je zapojené kdekoľvek v sieti a komunikuje s routermi, pričom sleduje netflow štatistiku a na jej základe dokáže (za pomoci Guardiana) filtrovať väčšinu zbytočnej premávky v sieti. Vo veľkej sieti dokáže odfiltrovať až 30 % zbytočnej premávky a tak šetrí náklady na zbytočne rýchle linky, ktoré v skutočnosti nie sú potrebné. Táto technológia stojí pre svoju výnimočnosť na trhu milióny korún.
Ďalším spôsobom ochrany je rozkladanie dátového prenosu medzi niekoľko geograficky odlišne umiestnených datacentier, čím sa umožňuje pripájať klientov z okolia na najbližší mirror (zrkadliaci) server. Tým sa šetrí nielen na šírke linky a dátovom prenose, ale aj na veľkosti serverov, ktoré musia spracovávať požiadavky. Týmto spôsobom je možné rozdeliť útok, spolu so skutočným dátovým prenosom na niekoľko menších častí a ľahšie ich filtrovať. Tento sposôb je využívaný množstvom spoločností, medzi ktoré patrí napríklad Microsoft i Google.

Vytvorenie botnetu a jeho využitie

So znalosťou fungovania DDoSu a spôsobu ochrany sa môžeme pozrieť na spôsoby vytvárania botnetu, ktorý slúži na správu zombie počítačov. Najjednoduchším spôsobom je už spomenutý HTTP flood - v tej najjednoduchšej podobe. Na internete je možné nájsť množstvo profesionálnych či komerčných programov, ktoré dokážu zahltiť webový server. Tento útok je samozrejme považovaný za amatérsky a jeho dôsledok je často mizivý alebo žiadny.
Na ostatné typy útoku sa väčšinou používajú tzv. botnety, čiže siete infikovaných počítačov (zombies), ktoré sú spojené v jednom mieste, odkiaľ ich útočník ovláda. Ich vytvorenie je spravidla náročné, pre znalých však veľmi jednoduché. Na začiatku stojí vždy trójsky kôň, ktorý je ošetrený proti všetkým alebo aspoň väčšine antivírových softvérov, pomocou privátneho rootkitu alebo čistým novým kódom, ktorý heuristické rozpoznávanie antivírových softvérov nerozozná. Potom záleži len na fantázii útočníka.

DDoS v praxi: Novodobý vydierateľ

Určite zaujímavou otázkou je, prečo si dá niekto tak veľa námahy s vybudovaním obrovského botnetu, na ktorý treba vynaložiť množstvo času a úsilia. Odpoveď je jasná - pre peniaze. DDoS sa stal novodobým vydieracím a deštruktívnym nástrojom internetu. Pri jeho bežných veľkostiach niekoľko desiatok tisíc infikovaných počítačov dokáže vyradiť zo siete v podstate akýkoľvek server alebo celé housingy, či dokonca zahltiť konektivitu ISP. Takto dokáže napáchať miliónové škody, čo v konkurenčnom boji môže znamenať zánik.
Jednoduchý príklad: Predstavte si, že existujú dva elektronické obchody v jednej krajine, ktoré predávajú rovnaký sortiment za veľmi podobné ceny. Jeden z obchodníkov sa rozhodne "prenajať" si botnet a zahltí konkurenciu na niekoľko dní či dokonca týždňov. Samozrejme, že by to pre neho znamenalo obrovské navýšenie ziskov a pre druhého obrovskú straty dôvery, klientov a možno úplny zánik.
Prenájom takýchto botnetov sa pohybuje v tisíckach dolárov, avšak zisky môžu byť mnohonásobné a dokázateľnosť v podstate nulová, keďže napadnuté počítače sú vo vlastníctve osôb nevediacich o nákaze v ich počítači. Títo užívatelia nemajú často vôbec potuchy o svojej nákaze ani po začatí útoku, pretože pakety sú malé a teda ho neobmedzujú pri bežnom využívaní pripojenia, avšak na cieli pri veľkom množstve páchajú obrovské škody. Takto útočník získa obrovské prostriedky v pohodlí domova a disponuje najväčšou silou, proti ktorej je ochrana neuveriteľne zložitá a finančne náročná nielen na zariadenie, ale aj na odborníkov, ktorí musia celý útok sledovať a prispôsobovať mu ochranu siete.
Určite zaujímavou informáciou je, koľko infikovaných počítačov treba, aby dosiahli určitú silu. Za predpokladu, že chce útočnik udržat botnet čo najdlhšie "pri živote" - teda nechce, aby majiteľ infikovanej stanice zistil, že sa niečo deje - je nutné na asi 2 Gbit/s približne 10 000 infikovaných počítačov.

Útok na spoločnosť Lightstorm: Paľba 17 Gbit/s

Na zákazníka spoločnosti Lightstorm bol zameraný pravdepodobne historicky najväčší DDoS útok na svete. O jeho priebehu i o tom, čo mu predchádzalo, sme sa rozprávali s Marekom Mahdalom, predsedom predstavenstva spoločnosti SmartDev Media a.s., a konateľom spoločnosti Lightstorm s.r.o, Tomášom Molotom.
Prvé útoky zaznamenal klient spoločnosti SmartDev už niekedy v auguste 2006. Vystriedali sa postupne všetky typy útokov v rozmedzí 200 Mb/s až 900 Mb/s. Spoločnosť preto začala hľadať riešenie ochrany, prešla väčšinu veľkých poskytovateľov housingu, až skončila u Slovenskej spoločnosti Lightstorm. Útoky ustali až do apríla 2007, kedy začali zaznamenávať prvé narušenie ochrany za pomoci DDoS útokov v rozmedzí jedenkrát za týždeň. Pozostávali z HTTP floodov a podarilo sa ich úspešne odfiltrovať.
Prvý veľký útok a aj veľká skúška zariadenia Cisco Guard, ktorý spolocnosť Lightstorm vlastní podľa svojich slov pravdepodobne ako jediný z poskytovateľov housingových služieb na Slovensku, začína 2. júla 2007 so silou 170 Mbit/s v kombinácii s UDP/SYN Flood. Útok je celkom ľahko odrazený. O niekoľko hodín narastá až na 750 Mbit/s, čo však stále nevedie k viditeľnému poškodeniu. O hodinu neskôr sa už ale presiahne méta 1 Gbit/s, ochrana od spoločnosti Cisco prestáva fungovať. Jeden z najväčších poskytovatelov konektivity na Slovensku blokuje celú prevádzku (až vo Frankfurte), smerujúcu na zasiahnutý web, aby na tento útok nedoplatil zvyšok Slovenska.

ISP radšej firmu vypol

3. júla spoločnosť zmenila IP adresy. O hodinu neskôr už útok začal opäť použitím všetkých štyroch vyššie popísaných typov DDoS útokov, kedy dosahoval až 6 GBit/s. Spoločnosť, ktorá poskytuje konektivitu pre Lightstorm, úplne zablokovala celý rozsah ich IP adries, aby ochránila zvyšných klientov. Útočník sa však zameral na celú sieť poskytovatľa konektivity. Po určitom čase sa tak odstavila celá zahraničná konektivita poskytovateľa na niekoľko hodín.
Útok trval niekoľko dní, až sa do 24. júla vystupňoval na neuveriteľných 17 Gbit/s. Spoločnosť Lightstorm prišla s riešením problému. Vytvorila niekoľko GRE "Generic Routing Encapsulation" tunelov a pomocou BGP "Border Gateway Protocol" vytvorili spoje na datacentrá v Miami, Phoenixe, Londýne a Hong Kongu. Vďaka tomuto riešeniu sa každé pripojenie s požiadavkou v skutočnosti pripojí na najbližšie datacentrum, kde sa odfiltruje časť útokov a následne sa prepošle cez Cisco Guard do Bratislavy.
Lightstormu sa nakoniec podarilo vyriešiť problémy s DDoSom a dokázala odfiltrovať úplne všetky nasledujúce útoky. Momentálne sú podľa jej informácií hostované servery v plnej prevádzke bez najmenších problémov.
Aj na tejto kauze vidieť, že konkurenčný boj nepozná hranice a takto obrovskou silou dokáže útočník spôsobiť mnohomiliónové škody aj iným spoločnostiam, nielen tej cieľovej.

Priebeh jedného z útokov:

Cisco Guard odolal do sily 1 GB/s




Základom je dobrá voľba housingu a ochrana PC

DDoS sa stal najsilnejšou zbraňou internetového terorizmu a momentálne sa pri jeho profesionálnom vykonaní ubráni len s veľkými problémami malá hŕstka spoločností. Preto si pri výbere poskytovateľa housingu a konektivity vyberajte podľa jeho kvality, nie podľa ceny. Užívatelia, ktorí navštevujú ktorúkoľvek z P2P sietí, by mali byť na pozore a svoje počítače chrániť antivírusom a firewallom a pravidelnými updatmi. Samozrejmosťou je neklikať bezhlavo na každé okno, ktoré sa na vás v systéme "vyrúti". V prípade podozrenia je dobré vyhľadať odbornú pomoc a problém "nezamiesť do kúta", aby sa váš počítač nepridal medzi veľkú rodinu zombie, ktoré slúžia prospechu jednotlivcov.
Více na živě.sk
 

Buď první, kdo ohodnotí tento článek.

Nový komentář

Přihlásit se
  Ještě nemáte vlastní web? Můžete si jej zdarma založit na Blog.cz.
 

Aktuální články

Reklama