Użytkowniku, broń się sam
16 grudnia 2002
Zapobieganie, a tym bardziej skuteczne reagowanie na ataki DDoS
to walka z wiatrakami, do której nie kwapią się ani producenci sprzętu sieciowego, ani dostawcy usług
internetowych. Być może nadszedł czas, by z problemem poradzili sobie sami użytkownicy Internetu.
Tomasz Grabowski
Problemy z urządzeniami sieciowymi, a zwłaszcza z łączami
zdarzają się stosunkowo często. Niejednokrotnie znikają one same, zanim administrator dojdzie ich przyczyny.
Czasami jednak przyczyną problemów wcale nie jest infrastruktura, lecz rozproszony atak typu DDoS – Distributed
Denial of Service. Symptomy są zazwyczaj bardzo podobne. Początkowo odczuwalne jest spowolnienie w dostępie
do Internetu. Wkrótce potem występują kilkuminutowe przerwy w działaniu sieci. Bywa jednak, że
brak komunikacji trwa całe godziny, a nawet dni.
Napływający ruch skutecznie wysyca całe dostępne
łącze internetowe i znacznie obciąża urządzenia sieciowe ofiary, prowadząc nierzadko do ich
unieruchomienia. W obu przypadkach sieć ofiary przestaje być dostępna z zewnątrz. W sytuacji, kiedy połączenie
z Internetem jest niezbędne dla funkcjonowania firmy, straty spowodowane atakami DDoS mogą być bardzo poważne.
Uniemożliwienie firmie komunikacji ze światem może jednak być jedynie środkiem do osiągnięcia
innego celu: odwrócenia uwagi administratorów od właściwego ataku na zasoby wewnętrzne.
Po słynnych atakach DDoS na największe portale internetowe w 2000 r. oraz ostatnich atakach na szkieletowe serwery
DNS wiemy już, że ataki DDoS są zagrożeniem realnym, wciąż nie wiemy jednak, jak się przed
nimi skutecznie bronić. Ci, przeciwko którym choć raz wymierzono atak DDoS nie zapomną ogarniającej
ich bezradności oraz zaskoczenia, że uznawane powszechnie za skuteczne metody ochrony przed atakami, np. blokowanie
przez systemy zaporowe odpowiednich adresów IP lub portów, nie zdają w tej sytuacji egzaminu.
Duża farma u podstawy
Aby przeprowadzić skuteczny atak typu
Distributed Denial of Service (DDoS), intruz musi najpierw przejąć kontrolę nad kilkuset, czy nawet kilkoma
tysiącami komputerów w Internecie. Im bardziej są one rozproszone pomiędzy różne sieci,
tym atak ma większe szanse powodzenia – rozproszenie utrudnia bowiem koordynację działań zaradczych.
Liczy się także umiejscowienie komputerów w sieci, a zwłaszcza wielkość dostępnego im
pasma sieciowego. Po uzyskaniu dostępu do komputerów włamywacz instaluje na nich łatwo dostępne
i proste w użyciu oprogramowanie do prowadzenia ataków, np. Trinoo, Stacheldraht czy Trible Flood Network.
Na polecenie włamywacza uśpione programy budzą się i są gotowe do wykonywania wskazanych przez niego
zadań. Jednym z nich może być wysyłanie dużej ilości zwykłych lub też dodatkowo spreparowanych
pakietów w kierunku określonego adresu/adresów IP.
Czy zebranie odpowiedniego arsenału
komputerów do przeprowadzenia ataku DDoS stanowi problem? Niestety, nie. Intruzi posługują się w tym
celu specjalnym oprogramowaniem, które w zadanym przedziale adresów IP samo znajduje komputery posiadające
znane luki w zabezpieczeniach. Następnie wykorzystują je do zdobycia uprawnień administratora i automatycznie
instalują oprogramowanie służące do przeprowadzania ataków. Do przeprowadzenia ataku DDoS nie potrzeba
więc fachowej wiedzy. Nie trzeba też wiele czasu. W Akademickim Centrum Informatyki w Szczecinie (ACI) przeprowadziliśmy
dokładną analizę działania jednego z takich narzędzi. Testy wykazały, że wyszukanie i przejęcie
kontroli nad stu komputerami może zająć intruzowi około... 20 minut.
Powodów prowadzenia
ataków DDoS może być wiele: od chęci zrobienia psikusa lub uprzykrzenia komuś życia, przez
zwykły wandalizm, aż po celowe usunięcie z sieci niewygodnej zawartości, a nawet terroryzm. Na szczęście,
w większości przypadków powód jest bardzo błahy. Analiza ataków dokonanych w ramach Akademickiej
Miejskiej Sieci Komputerowej w Szczecinie (AMSK) pozwoliła nam ustalić, że motywacją większości
intruzów były tzw. wojny IRC-owe. Ich celem jest pozbawienie ofiary dostępu do Internetu na kilka minut,
aby w tym czasie przejąć kontrolę nad zarządzanymi z jego sieci kanałami pogawędkowymi IRC –
Internet Relay Chat. Osoby, które zajmują się tego typu procederem to zazwyczaj kilkunastoletni chłopcy,
dla których stanowi to niezłą zabawę. Stwierdziliśmy także, że obszarami podwyższonego
ryzyka są w rzeczywistości wszelkie serwisy świadczące usługi dostępu do kont systemowych czyli
firmy, oferujące klientom interaktywny dostęp do swojego systemu za pośrednictwem Telnet-u czy SSH.
Walka z wiatrakami
Zmasowane ataki DDoS trwające wiele godzin lub
dni nie występują zbyt często. W zdecydowanej większości przypadków (około 80%), które
badaliśmy w AMSK, ataki DDoS objawiały się sporadycznymi, kilkuminutowymi przerwami w dostępie do Internetu.
Ataki długotrwałe stanowiły jedynie ok. 5% wszystkich ataków DDoS. Ta prawidłowość wynika
z faktu, że wraz z wydłużaniem czasu trwania ataku wzrasta prawdopodobieństwo namierzenia atakującego
podczas wydawania poleceń kontrolowanym przez niego komputerom oraz namierzenia samych atakujących komputerów.
W związku z tym, długotrwałe ataki DDoS wiążą się więc najczęściej z utratą
kontroli intruza nad użytymi przez niego komputerami.
Charakterystyka ruchu generowanego podczas ataku jest
bardzo podobna do tego, który odbywa się podczas normalnej pracy sieci. To właśnie dlatego zwykłe
filtrowanie ruchu nie daje w przypadku ataków DDoS spodziewanych rezultatów. Pakiety wysyłane do naszej
sieci, często nie mają bowiem żadnej wspólnej cechy, na podstawie której można by stworzyć
ich syntetyczny opis. Problem leży zresztą gdzie indziej: pakietów jest tak dużo, że momentalnie
wysycają całe dostępne pasmo łącza internetowego.
Wyśledzenie źródła
ataku prostymi metodami nie jest możliwe, ponieważ pakiety wysyłane podczas ataku DDoS mają z zasady nieprawdziwy
adres nadawcy. Wskazuje to na bardzo istotną potrzebę współpracy między dostawcami usług internetowych,
którzy choć powinni, nie zawsze sprawdzają ruch wychodzący z ich sieci pod kątem zgodności
adresów rzeczywistych z zapisanymi w pakietach. Nie zawsze też badają przyczyny zwiększonego ruchu na
niektórych interfejsach ich routerów.
Obrona przed konkretnym atakiem DDoS może trwać kilka
godzin, a nawet kilka dni. Zależy to od liczby atakujących komputerów oraz od jakości współpracy
między usługodawcami internetowymi. Aby maksymalnie ograniczyć wpływ potencjalnego ataku DDoS na działanie
firmy, należy się do tego odpowiednio przygotować. W pierwszym rzędzie warto sprawdzić, czy obsługujący
firmę dostawca usług internetowych ma plan postępowania na wypadek zgłoszenia ataku DDoS. Sam plan to
jednak za mało – nikt kto nie próbował chociażby zasymulować ataków DDoS w swojej
sieci, nie jest tak naprawdę gotowy na ich nadejście.
Trzeba też zadbać o to, aby samemu nie
stać się narzędziem w rękach intruza atakującego inną sieć. Podstawowym środkiem ostrożności
jest czuwanie nad aktualizacją oprogramowania wszystkich urządzeń działających w sieci – również
stacji roboczych. Dzięki temu, intruzowi znacznie trudniej będzie przejąć kontrolę nad firmowymi
komputerami. Kolejna sprawa to zabieg polegający na takim skonfigurowaniu routerów, aby uniemożliwić
wysyłanie przez firmową sieć pakietów z adresem nadawcy innym niż adres rzeczywisty. Zabieg ten
nie daje pewności, że firmowa sieć nie zostanie wykorzystana do ataku, umożliwi jednak ofierze ataku DDoS
poinformowanie nas o zaistniałej sytuacji, dzięki czemu będzie można szybciej zareagować.
Atakom DDoS nie da się przeciwdziałać stosując urządzenia sieciowe najnowszej generacji. Choć
w ciągu ostatnich kilku lat powstało kilka ciekawych projektów związanych z wykrywaniem i namierzaniem
źródeł ataków DDoS, np. IP Traceback, ICMP Traceback czy CenterTrack. Żaden z nich nie doczekał
się jednak implementacji na szeroką skalę, co tak naprawdę jest podstawowym warunkiem ich skuteczności.
Producenci nie kwapią się z wyposażaniem swoich urządzeń w nowe oprogramowanie, wytykając w/w
technikom liczne wady. Polegają one głównie na tym, że intruz jest w stanie oszukać korzystające
z tych technik urządzenia i skierować podejrzenia o źródło ataku na jakąś inną
sieć, nie związaną z atakiem. Poza tym praktyczne testy wykazały, że w przypadku bardzo rozproszonego
geograficznie ataku, techniki te są dość zawodne. W obliczu tych faktów liczący się producenci
urządzeń sieciowych boją się implementować w swoich produktach rozwiązania, których skuteczność
działania nie jest do końca jasna. Póki co, pozostaje więc żmudne namierzanie sprawców ataku
oparte na lepszej lub gorszej współpracy dostawców usług internetowych.
Uczynna
Jennie
Sprawa nie jest jednak zupełnie beznadziejna. Zamiast ręcznie wykrywać zwiększony
ruch na interfejsach, dostawcy Internetu mogliby wykorzystać do tego specjalistyczne oprogramowanie potrafiące zrobić
to automatycznie. Namierzenie sprawcy zajmowałoby wtedy nieporównywalnie mniej czasu niż obecnie. Rozwiązania
tego rodzaju, przeznaczone zwłaszcza dla dużych sieci korporacyjnych i większych ISP, oferuje już kilka
firm takich jak Arbor, Mazu, Captus czy Asta. Po zainstalowaniu narzędzia te „uczą się” ruchu charakterystycznego
dla danej sieci, a następnie wykrywają anomalie od typowych charakterystyk. Stosowane w nich algorytmy nie dają
może 100% pewności namierzenia źródła ataku, niemniej pomagają znacznie osłabić
jego siłę. Podstawową wadą tych rozwiązań jest to, że wymagają one zakupu dedykowanych
urządzeń, oraz, że współpracują tylko z wybranymi routerami korzystającymi z Netflow-a
oraz cFlowd-a, czyli w praktyce z urządzeniami firm Cisco oraz Juniper.
W Akademickim Centrum Informatyki
w Szczecinie rozpoczęliśmy projekt open source o nazwie Jennie, w ramach którego rozwijane jest oprogramowanie
do walki z atakami DDoS. System pozwala ustalać m.in. czy sieć jest źródłem, czy celem ataku i
wykrywać którymi interfejsami przechodzą wrogie pakiety. Może też sugerować administratorowi
sposoby zmniejszenia negatywnego oddziaływania ataku na sieć, np. wskazywać, na którym interfejsie i
jakiego rodzaju filtry powinien uruchomić. Po wykryciu ataku, Jennie przekieruje podejrzany ruch do wyspecjalizowanej
stacji, która zajmie się jego szczegółową analizą. Wynikiem tych analiz będzie informacja
o tym, co i jak należy skonfigurować na poszczególnych urządzeniach. Dodatkowo, ten wyspecjalizowany
system zarejestruje wszystkie pakiety, aby umożliwić ich późniejszą analizę, np. w celach
dowodowych.
Pakiet Jennie będzie także wyposażony w detektory ruchu generowanego przez znane programy
do przeprowadzania ataków DDoS, np. komendy wydawane skompromitowanym komputerom. Będzie też pomocny przy
wykrywaniu przejętych komputerów, np. poprzez korelację ich zachowania z dotychczasowym przebiegiem ataku
czy też swoiste „udawanie” zachowania intruza, który sprawdza przejęte komputery czy nadal ma
do nich dostęp. Do poprawnej pracy systemu Jennie potrzebny będzie jeden komputer PC, choć oczywiście
dwa lub trzy zdecydowanie usprawnią jego funkcjonowanie. Oprogramowanie Jennie będzie zbierać informacje za
pomocą protokołu SNMP, dzięki czemu będzie mogło współpracować praktycznie ze wszystkimi
urządzeniami sieciowymi. Osoby zainteresowane szczegółami technicznymi oprogramowania Jennie lub ewentualnie
uczestnictwem w projekcie zapraszam na witrynę: http://jennie.man.szczecin.pl.
Użytkownicy
łączcie się
Spektakularne ataki DDoS zdarzają się dosyć rzadko, jednak
i te mniej widoczne są poważnym zagrożeniem dla bezpieczeństwa przedsiębiorstw, co wynika z samej
natury przygotowań do ich prowadzenia. Oprogramowanie do prowadzenia ataków DDoS jest wciąż doskonalone.
Stosowane dziś metody ataków wymyślono dobre kilka lat temu. Już dziś znane są jednak teoretyczne
założenia, które – jeśli wprowadzone w życie – uczynią przyszłe ataki DDoS
bardziej wyrafinowanymi i groźnymi niż wszystko, co widzieliśmy do tej pory. Warto poświęcić
większą uwagę projektowi Curious Yellow, który bardzo dokładnie opisuje jak mogą wyglądać
w przyszłości zarówno ataki DDoS, jak i oparte na nich nowe zagrożenia w Internecie: http://blanu.net/curious_yellow.html.
Łatwość z jaką można uruchamiać ataki DDoS, ich trudne do przewidzenia skutki oraz
problemy w wyśledzeniu ich sprawców powinny skłonić wszystkich do współpracy mającej
na celu znalezienie skutecznych środków zaradczych. Skoro jednak do aktywnej walki z atakami DDoS nie spieszą
się ani producenci sprzętu sieciowego, ani też dostawcy usług internetowych, swoich sił powinni spróbować
sami użytkownicy Internetu.