CADENCE's DDoS

Użytkowniku, broń się sam

16 grudnia 2002

Zapobieganie, a tym bardziej skuteczne reagowanie na ataki DDoS to walka z wiatrakami, do której nie kwapią się ani producenci sprzętu sieciowego, ani dostawcy usług internetowych. Być może nadszedł czas, by z problemem poradzili sobie sami użytkownicy Internetu.

Tomasz Grabowski

Problemy z urządzeniami sieciowymi, a zwłaszcza z łączami zdarzają się stosunkowo często. Niejednokrotnie znikają one same, zanim administrator dojdzie ich przyczyny. Czasami jednak przyczyną problemów wcale nie jest infrastruktura, lecz rozproszony atak typu DDoS – Distributed Denial of Service. Symptomy są zazwyczaj bardzo podobne. Początkowo odczuwalne jest spowolnienie w dostępie do Internetu. Wkrótce potem występują kilkuminutowe przerwy w działaniu sieci. Bywa jednak, że brak komunikacji trwa całe godziny, a nawet dni.

Napływający ruch skutecznie wysyca całe dostępne łącze internetowe i znacznie obciąża urządzenia sieciowe ofiary, prowadząc nierzadko do ich unieruchomienia. W obu przypadkach sieć ofiary przestaje być dostępna z zewnątrz. W sytuacji, kiedy połączenie z Internetem jest niezbędne dla funkcjonowania firmy, straty spowodowane atakami DDoS mogą być bardzo poważne. Uniemożliwienie firmie komunikacji ze światem może jednak być jedynie środkiem do osiągnięcia innego celu: odwrócenia uwagi administratorów od właściwego ataku na zasoby wewnętrzne.

Po słynnych atakach DDoS na największe portale internetowe w 2000 r. oraz ostatnich atakach na szkieletowe serwery DNS wiemy już, że ataki DDoS są zagrożeniem realnym, wciąż nie wiemy jednak, jak się przed nimi skutecznie bronić. Ci, przeciwko którym choć raz wymierzono atak DDoS nie zapomną ogarniającej ich bezradności oraz zaskoczenia, że uznawane powszechnie za skuteczne metody ochrony przed atakami, np. blokowanie przez systemy zaporowe odpowiednich adresów IP lub portów, nie zdają w tej sytuacji egzaminu.

Duża farma u podstawy

Aby przeprowadzić skuteczny atak typu Distributed Denial of Service (DDoS), intruz musi najpierw przejąć kontrolę nad kilkuset, czy nawet kilkoma tysiącami komputerów w Internecie. Im bardziej są one rozproszone pomiędzy różne sieci, tym atak ma większe szanse powodzenia – rozproszenie utrudnia bowiem koordynację działań zaradczych. Liczy się także umiejscowienie komputerów w sieci, a zwłaszcza wielkość dostępnego im pasma sieciowego. Po uzyskaniu dostępu do komputerów włamywacz instaluje na nich łatwo dostępne i proste w użyciu oprogramowanie do prowadzenia ataków, np. Trinoo, Stacheldraht czy Trible Flood Network. Na polecenie włamywacza uśpione programy budzą się i są gotowe do wykonywania wskazanych przez niego zadań. Jednym z nich może być wysyłanie dużej ilości zwykłych lub też dodatkowo spreparowanych pakietów w kierunku określonego adresu/adresów IP.

Czy zebranie odpowiedniego arsenału komputerów do przeprowadzenia ataku DDoS stanowi problem? Niestety, nie. Intruzi posługują się w tym celu specjalnym oprogramowaniem, które w zadanym przedziale adresów IP samo znajduje komputery posiadające znane luki w zabezpieczeniach. Następnie wykorzystują je do zdobycia uprawnień administratora i automatycznie instalują oprogramowanie służące do przeprowadzania ataków. Do przeprowadzenia ataku DDoS nie potrzeba więc fachowej wiedzy. Nie trzeba też wiele czasu. W Akademickim Centrum Informatyki w Szczecinie (ACI) przeprowadziliśmy dokładną analizę działania jednego z takich narzędzi. Testy wykazały, że wyszukanie i przejęcie kontroli nad stu komputerami może zająć intruzowi około... 20 minut.

Powodów prowadzenia ataków DDoS może być wiele: od chęci zrobienia psikusa lub uprzykrzenia komuś życia, przez zwykły wandalizm, aż po celowe usunięcie z sieci niewygodnej zawartości, a nawet terroryzm. Na szczęście, w większości przypadków powód jest bardzo błahy. Analiza ataków dokonanych w ramach Akademickiej Miejskiej Sieci Komputerowej w Szczecinie (AMSK) pozwoliła nam ustalić, że motywacją większości intruzów były tzw. wojny IRC-owe. Ich celem jest pozbawienie ofiary dostępu do Internetu na kilka minut, aby w tym czasie przejąć kontrolę nad zarządzanymi z jego sieci kanałami pogawędkowymi IRC – Internet Relay Chat. Osoby, które zajmują się tego typu procederem to zazwyczaj kilkunastoletni chłopcy, dla których stanowi to niezłą zabawę. Stwierdziliśmy także, że obszarami podwyższonego ryzyka są w rzeczywistości wszelkie serwisy świadczące usługi dostępu do kont systemowych czyli firmy, oferujące klientom interaktywny dostęp do swojego systemu za pośrednictwem Telnet-u czy SSH.

Walka z wiatrakami

Zmasowane ataki DDoS trwające wiele godzin lub dni nie występują zbyt często. W zdecydowanej większości przypadków (około 80%), które badaliśmy w AMSK, ataki DDoS objawiały się sporadycznymi, kilkuminutowymi przerwami w dostępie do Internetu. Ataki długotrwałe stanowiły jedynie ok. 5% wszystkich ataków DDoS. Ta prawidłowość wynika z faktu, że wraz z wydłużaniem czasu trwania ataku wzrasta prawdopodobieństwo namierzenia atakującego podczas wydawania poleceń kontrolowanym przez niego komputerom oraz namierzenia samych atakujących komputerów. W związku z tym, długotrwałe ataki DDoS wiążą się więc najczęściej z utratą kontroli intruza nad użytymi przez niego komputerami.

Charakterystyka ruchu generowanego podczas ataku jest bardzo podobna do tego, który odbywa się podczas normalnej pracy sieci. To właśnie dlatego zwykłe filtrowanie ruchu nie daje w przypadku ataków DDoS spodziewanych rezultatów. Pakiety wysyłane do naszej sieci, często nie mają bowiem żadnej wspólnej cechy, na podstawie której można by stworzyć ich syntetyczny opis. Problem leży zresztą gdzie indziej: pakietów jest tak dużo, że momentalnie wysycają całe dostępne pasmo łącza internetowego.

Wyśledzenie źródła ataku prostymi metodami nie jest możliwe, ponieważ pakiety wysyłane podczas ataku DDoS mają z zasady nieprawdziwy adres nadawcy. Wskazuje to na bardzo istotną potrzebę współpracy między dostawcami usług internetowych, którzy choć powinni, nie zawsze sprawdzają ruch wychodzący z ich sieci pod kątem zgodności adresów rzeczywistych z zapisanymi w pakietach. Nie zawsze też badają przyczyny zwiększonego ruchu na niektórych interfejsach ich routerów.

Obrona przed konkretnym atakiem DDoS może trwać kilka godzin, a nawet kilka dni. Zależy to od liczby atakujących komputerów oraz od jakości współpracy między usługodawcami internetowymi. Aby maksymalnie ograniczyć wpływ potencjalnego ataku DDoS na działanie firmy, należy się do tego odpowiednio przygotować. W pierwszym rzędzie warto sprawdzić, czy obsługujący firmę dostawca usług internetowych ma plan postępowania na wypadek zgłoszenia ataku DDoS. Sam plan to jednak za mało – nikt kto nie próbował chociażby zasymulować ataków DDoS w swojej sieci, nie jest tak naprawdę gotowy na ich nadejście.

Trzeba też zadbać o to, aby samemu nie stać się narzędziem w rękach intruza atakującego inną sieć. Podstawowym środkiem ostrożności jest czuwanie nad aktualizacją oprogramowania wszystkich urządzeń działających w sieci – również stacji roboczych. Dzięki temu, intruzowi znacznie trudniej będzie przejąć kontrolę nad firmowymi komputerami. Kolejna sprawa to zabieg polegający na takim skonfigurowaniu routerów, aby uniemożliwić wysyłanie przez firmową sieć pakietów z adresem nadawcy innym niż adres rzeczywisty. Zabieg ten nie daje pewności, że firmowa sieć nie zostanie wykorzystana do ataku, umożliwi jednak ofierze ataku DDoS poinformowanie nas o zaistniałej sytuacji, dzięki czemu będzie można szybciej zareagować.

Atakom DDoS nie da się przeciwdziałać stosując urządzenia sieciowe najnowszej generacji. Choć w ciągu ostatnich kilku lat powstało kilka ciekawych projektów związanych z wykrywaniem i namierzaniem źródeł ataków DDoS, np. IP Traceback, ICMP Traceback czy CenterTrack. Żaden z nich nie doczekał się jednak implementacji na szeroką skalę, co tak naprawdę jest podstawowym warunkiem ich skuteczności. Producenci nie kwapią się z wyposażaniem swoich urządzeń w nowe oprogramowanie, wytykając w/w technikom liczne wady. Polegają one głównie na tym, że intruz jest w stanie oszukać korzystające z tych technik urządzenia i skierować podejrzenia o źródło ataku na jakąś inną sieć, nie związaną z atakiem. Poza tym praktyczne testy wykazały, że w przypadku bardzo rozproszonego geograficznie ataku, techniki te są dość zawodne. W obliczu tych faktów liczący się producenci urządzeń sieciowych boją się implementować w swoich produktach rozwiązania, których skuteczność działania nie jest do końca jasna. Póki co, pozostaje więc żmudne namierzanie sprawców ataku oparte na lepszej lub gorszej współpracy dostawców usług internetowych.

Uczynna Jennie

Sprawa nie jest jednak zupełnie beznadziejna. Zamiast ręcznie wykrywać zwiększony ruch na interfejsach, dostawcy Internetu mogliby wykorzystać do tego specjalistyczne oprogramowanie potrafiące zrobić to automatycznie. Namierzenie sprawcy zajmowałoby wtedy nieporównywalnie mniej czasu niż obecnie. Rozwiązania tego rodzaju, przeznaczone zwłaszcza dla dużych sieci korporacyjnych i większych ISP, oferuje już kilka firm takich jak Arbor, Mazu, Captus czy Asta. Po zainstalowaniu narzędzia te „uczą się” ruchu charakterystycznego dla danej sieci, a następnie wykrywają anomalie od typowych charakterystyk. Stosowane w nich algorytmy nie dają może 100% pewności namierzenia źródła ataku, niemniej pomagają znacznie osłabić jego siłę. Podstawową wadą tych rozwiązań jest to, że wymagają one zakupu dedykowanych urządzeń, oraz, że współpracują tylko z wybranymi routerami korzystającymi z Netflow-a oraz cFlowd-a, czyli w praktyce z urządzeniami firm Cisco oraz Juniper.

W Akademickim Centrum Informatyki w Szczecinie rozpoczęliśmy projekt open source o nazwie Jennie, w ramach którego rozwijane jest oprogramowanie do walki z atakami DDoS. System pozwala ustalać m.in. czy sieć jest źródłem, czy celem ataku i wykrywać którymi interfejsami przechodzą wrogie pakiety. Może też sugerować administratorowi sposoby zmniejszenia negatywnego oddziaływania ataku na sieć, np. wskazywać, na którym interfejsie i jakiego rodzaju filtry powinien uruchomić. Po wykryciu ataku, Jennie przekieruje podejrzany ruch do wyspecjalizowanej stacji, która zajmie się jego szczegółową analizą. Wynikiem tych analiz będzie informacja o tym, co i jak należy skonfigurować na poszczególnych urządzeniach. Dodatkowo, ten wyspecjalizowany system zarejestruje wszystkie pakiety, aby umożliwić ich późniejszą analizę, np. w celach dowodowych.

Pakiet Jennie będzie także wyposażony w detektory ruchu generowanego przez znane programy do przeprowadzania ataków DDoS, np. komendy wydawane skompromitowanym komputerom. Będzie też pomocny przy wykrywaniu przejętych komputerów, np. poprzez korelację ich zachowania z dotychczasowym przebiegiem ataku czy też swoiste „udawanie” zachowania intruza, który sprawdza przejęte komputery czy nadal ma do nich dostęp. Do poprawnej pracy systemu Jennie potrzebny będzie jeden komputer PC, choć oczywiście dwa lub trzy zdecydowanie usprawnią jego funkcjonowanie. Oprogramowanie Jennie będzie zbierać informacje za pomocą protokołu SNMP, dzięki czemu będzie mogło współpracować praktycznie ze wszystkimi urządzeniami sieciowymi. Osoby zainteresowane szczegółami technicznymi oprogramowania Jennie lub ewentualnie uczestnictwem w projekcie zapraszam na witrynę: http://jennie.man.szczecin.pl.

Użytkownicy łączcie się

Spektakularne ataki DDoS zdarzają się dosyć rzadko, jednak i te mniej widoczne są poważnym zagrożeniem dla bezpieczeństwa przedsiębiorstw, co wynika z samej natury przygotowań do ich prowadzenia. Oprogramowanie do prowadzenia ataków DDoS jest wciąż doskonalone. Stosowane dziś metody ataków wymyślono dobre kilka lat temu. Już dziś znane są jednak teoretyczne założenia, które – jeśli wprowadzone w życie – uczynią przyszłe ataki DDoS bardziej wyrafinowanymi i groźnymi niż wszystko, co widzieliśmy do tej pory. Warto poświęcić większą uwagę projektowi Curious Yellow, który bardzo dokładnie opisuje jak mogą wyglądać w przyszłości zarówno ataki DDoS, jak i oparte na nich nowe zagrożenia w Internecie: http://blanu.net/curious_yellow.html.

Łatwość z jaką można uruchamiać ataki DDoS, ich trudne do przewidzenia skutki oraz problemy w wyśledzeniu ich sprawców powinny skłonić wszystkich do współpracy mającej na celu znalezienie skutecznych środków zaradczych. Skoro jednak do aktywnej walki z atakami DDoS nie spieszą się ani producenci sprzętu sieciowego, ani też dostawcy usług internetowych, swoich sił powinni spróbować sami użytkownicy Internetu.