Безпека комп’ютера захист від розподіленої ddos ​​атаки та інструменти останньої

  • Безпека 17-05-2017, 12:10

комп

Проста SYN-повінь дозволяє атакуючому генерувати трафік від однієї машини. Smurf-атака піднімає ставку, але все ще обмежується обсягом трафіку, який може бути використаний Smurf-підсилювачем.

У розподіленій DDoS-атаці (Distributed Denial-of-Service - DDoS) немає жодних обмежень на кількість машин, які служать для початку атаки, і на величину пропускної спроможності, яку вправі витратити атакуючий. Так як атакуючий може координувати дії довільно великої кількості головних комп'ютерів, то для DDoS-атаки меж немає. Це представляє новий та небезпечний поворот у розвитку вторгнень.

Принцип DDoS атаки та захист від неї

DDoS-атака використовує розподілену природу Internet з комп'ютерами, що належать розкиданим по земній кулі різним організаціям, створення масивної пакетної повені в однієї чи кількох жертв. Для проведення атакуючого спочатку захоплює велику кількість комп'ютерів-жертв, які часто називають зомбі (zombies).

Потенційні зомбі-системи розташовані десь в Internet і мають безліч простих уразливих місць, які атакуючий може використовувати для швидкого захоплення. У звичайних DDoS-атаках, помічених до сьогодні, зомбі встановлювалися на вразливих серверах в університетах, системах маленьких і великих компаній, машинах Internet-провайдерів і навіть системах домашніх користувачів, підключених до постійних цифрових ліній DSL або сервісів через кабельні модеми.

Атакуючий сканує великі області Internet у пошуках вразливих машин і встановлює програмне забезпечення зомбі на знайдені системи. Більшість машин, де є зомбі, захоплені за допомогою атаки переповненням буфера або спорідненого.експлойт. Атакуючі здатні встановити групи із сотень, тисяч або навіть десятків тисяч зомбі.

Програмне забезпечення зомбі є складовою інструменту, який чекає команди атакуючого, що використовує спеціальний інструмент-клієнт для взаємодії з цими зомбі. Атакуючий задіює одну або кілька клієнтських машин, щоб наказати всім зомбі одночасно виконати команду - як правило, провести вторгнення проти мішені.

Всі зомбі покірно відгукуються, топаючи жертву в пакетній повені трафіком. Клієнт зв'язується із зомбі, але атакуючий зазвичай звертається до клієнта з окремої системи. Описана методика додає до архітектури додатковий обманний рівень, ускладнюючи слідчим розшук атакуючого.

«Детективи» здатні виявити зомбі та розташування програми-клієнта, але не атакуючого, який сидить за іншою машиною, можливо в іншій півкулі. Атакуючі можуть навіть застосувати методику ретрансляції за допомогою Netcat, щоб додати додаткові обманні рівні, роблячи власну затримку ще складнішою.

Сьогодні є безліч інструментальних засобів, і їх кількість постійно зростає.

Tribe Flood Network (TFN) і його наступник TFN2K, Blitznet від Phreeon; Mstream; TrinOO і споріднені йому WinTrinOO і Freak88; Trinity; Shaft; Про Stacheldraht від Randomizer поєднує властивості TFN і TrinOO.

Потужний інструмент TFN2K

Нижче я розповім про властивості TFN2K, який є одним із найбільш повнофункціональних інструментальних засобів у цьому жанрі. Атакуючі, використовуючи TFN2K, можуть керувати всіма своїми зомбі, ведучи кілька різних типів атак:

Targa - набір програм «битими» пакетами, також написаний Mixter; UDP-повінь; SYN-повінь; ICMP-повінь; Smurf-атака; «змішана» атака - UDP-, SYN-і ICMP-повені.

З такою можливістю вибору, якщо жертва здається не особливо вразливою від ICMP-повені, атакуючий легко переключиться на SYN-повені. Якщо ж атакуючі розгорнули кілька Smurf-підсилювачів, але вони відносно мало зомбі, вони посилять свою DDoS за допомогою Smurf-атаки.

Одна з найцікавіших особливостей TFN2K відноситься до зв'язку між клієнтом та зомбі. Щоб перешкодити іншим атакуючим чи адміністратору машини-зомбі дістатися до зомбі, клієнт повинен перевірити справжність зомбі за допомогою зашифрованого пароля партнерки. Крім того, всі пакети від клієнта до зомбі надсилаються за допомогою ICMP-пакета «луна-відгуку». TFN2K зв'язується за допомогою ping-відповіді, завжди без посилки самого ping-пакету.

Чому TFN2K застосовує такий дивний спосіб зв'язку? По-перше, «відлуння» ICMP дозволяються в багатьох мережах, тому що адміністратор мережі конфігурує маршрутизатори і брандмауери так, щоб дозволити внутрішнім користувачам продзвонювати ping-пакетами зовнішній світ. Їхні ping-відповіді повинні повернутися в мережу, тому ICMP-пакети «відлуння» дозволені. Інша причина для використання ICMP полягає в тому, щоб зробити з'єднання прихованим. Немає номера порту, пов'язаного з ICMP; система тільки слухає ICMP-пакети та передає їх додатку TFN2K.

Отже, якщо адміністратор виконує Nmap для сканування портів машини-зомбі або локально запускає команду netstat, щоб отримати список відкритих портів, жодних нових портів не буде вказано як відкритих для TFN2K, оскільки програма використовує ICMP.

Якщо відбувається розслідування DDoS-атаки, кінцева жертва повинна розкручувати атаку у зворотному порядку: маршрутизатор за маршрутизатором, провайдер за провайдером - до одного абокільком зомбі. Від цієї точки атаку потрібно простежити далі: знову маршрутизатор за маршрутизатором, провайдер за провайдером – до клієнта. І все одно не знайдено атакуючого, який просто з'єднувався з клієнтом, використовуючи Netcat, можливо, через ретрансляційну мережу. Іншими словами, виявити атакуючого при дійсно стійкому розгортанні TFN2K дуже важко!

Останньою цікавою можливістю TFN2K є функція, що дозволяє атакуючому виконати одну довільну команду одночасно на всіх зомбі. На додаток до вибору запуску певної dDoS-атаки атакуючий вправі наказати всім зомбі в той же час реалізувати одну команду, цілком можливо, подібну до дистанційної оболонки (rsh), вбудованої в TFN2K.

Використовуючи цю опцію, атакуючий може наказати всім зомбі запустити FTP і встановити нову версію, або одночасно видалити всю інформацію на їх жорстких дисках, щоб відкинути переслідування, або змінити оточення зомбі за забаганням атакуючого.