Hlavní navigace

Denial of Service útoky: man in the middle, distribuované DoS

3. 10. 2006
Doba čtení: 7 minut

Sdílet

 Autor: 29
Pokud vás zajímají DoS útoky, potom byste si neměli tento díl nechat ujít, probereme si tu totiž v dnešní době nejaktuálnější distribuované DoS útoky a ukážeme si tu málo známé, ale vysoce nebezpečné útoky využívající koncept Mitm. Dále se zde zaměříme na problémy, které mohou nastat, pokud budete používat příliš tvrdou bezpečnostní politiku.

DoS využívající Mitm (Man in the middle) útoků

Zkratka Mitm znamená v překladu „muž uprostřed“. Tyto útoky spočívají v přesměrování síťového datového toku tak, aby procházel přes váš počítač. Lze je rozdělit do dvou větších kategorií: v první kategorii se jedná o Mitm útoky v lokálních sítích a v druhé o Mitm útoky v prostředí Internetu (případně MAN nebo WAN sítích). My se zde budeme zabývat pouze Mitm útoky v lokálních sítích. Více se o nich můžete dozvědět také v našem nedávném seriálu Odposloucháváme data na přepínaném Ethernetu.

Pro DoS útoky se dají použít jmenovitě tyto útoky: ARP Cache poisoning, DHCP Spoofing, ICMP Redirecting, Port stealing (i když ten není ze svého principu 100% spolehlivý), DNS Spoofing (v omezené míře). Všechny tyto útoky jsou probírány ve výše zmiňovaném seriálu.

Útok MAC Flooding jsem vypustil záměrně, jelikož s jeho pomocí se DoS útoku dosáhnout nedá. Tento útok sice způsobí, že vidíme veškerá data na síti, ale i když se budeme snažit, přesto nezabráníme doručení těchto dat. Ta jsou totiž posílána všem počítačům najednou, kdežto u ostatních útoků je musíme dále přeposílat. Jedinou možností je zkombinovat tento útok ještě s něčím navíc, například s TCP resetovacím útokem (článek o tomto útoku připravujeme).

DoS a MAC Flood

Na obrázku vidíte, jak procházejí data v sítí v případě, že je použito Mitm útoku (jakýkoliv z výše jmenovaných kromě útoku MAC Flooding). Pokud útočník nepřepošle data k oběti, potom k ní nikdy nedorazí. Ovšem v případě Mitm útoku MAC Flooding je situace odlišná, její vyobrazení najdete na obrázku vpravo. Zde jsou data ze switche poslána všem připojeným počítačům, útočník zde žádná data nepřeposílá, proto nemůže zabránit doručení dat.

Co můžeme provádět?

Abych mohl být konkrétnější a vše bylo snadnější k pochopení, budeme předpokládat, že máme nějakou síť o X počítačích a veškerá komunikace v síti prochází přes nás, jelikož jsme použili útok ARP Cache poisoning. Ještě jednou připomínám, že veškeré útoky jsou možné proto, že všechna data prochází přes nás (útočníka). My je přeposíláme dále (toto se děje automaticky). Pokud přerušíme toto přeposílání, data k cílovému počítači nedorazí.

Nyní k tomu, co vše můžeme provést. Můžeme izolovat určitý počet počítačů od sítě. Toho se docílí tím, že přestaneme přeposílat data určená pro tyto počítače nebo z nich jdoucí. Tím tyto počítače nebudou mít možnost komunikovat s okolím. Tento útok považuji za velice zákeřný, protože většina správců sítě ani nezjistí, co se stalo a bude hledat chybu v operačním systému nebo hardwaru (pokud jsem se některých správců tímto tvrzením dotkl, tak se omlouvám). Jestliže si chcete tuto izolaci zkusit, doporučuji program Ettercap ve verzi pro Linux nebo Windows. V tomto programu použijte plugin Isolate.

Předchozí útok můžeme trošku vylepšit tím, že přestaneme přeposílat data úplně. Tím docílíme toho, že v síti přestane fungovat veškerá komunikace. Provedení takového útoku je opět snadné pomocí aplikace Ettercap. Útok můžeme také „obohatit“ o nepřeposílání pouze určitých dat, například můžeme vyřadit komunikaci informačního systému, pošty, IP telefonů atd. Zatím o žádném programu určeném k tomu nevím. Na druhou stranu nepovažuji něco takového za veliký problém, rozhodně daleko menší než problémy, které by nástroj mohl způsobit.

Další možností, kterou nám Mitm útoky přinášejí, je krádež spojení. Útok vypadá asi takto: klient začne komunikovat se serverem. Jakmile se přihlásí, vy odstraníte klienta a převezmete jeho spojení se serverem. To znamená, že můžete komunikovat se serverem a jste přihlášeni. Tento útok nemá s DoS příliš společného, proto ho zde nebudu dál rozebírat. Pokud ovšem projevíte v anketě zájem, napíši o tomto útoku samostatný článek.

Jak se bránit?

Hlavní obranou je zabránit Mitm útokům. O obraně jsem již také napsal seriál Bráníme se odposlechu. Takže důležité je obranu nepodceňovat, jelikož k provedení Mitm útoku nejsou potřeba téměř žádné znalosti, jak jste se mohli dozvědět v našich seriálech nebo jednoduchým prozkoumáním programu Ettercap.

DoS využívající bezpečnostních opatření

Tato kategorie je velice zvláštní a to z toho důvodu, že tyto útoky jsou umožněny díky horlivým bezpečnostním opatřením. Tyto útoky mohou být více či méně nebezpečné. Bohužel žádný známý útok si zde neukážeme, jelikož žádný není. Tyto útoky se odvíjejí od konkrétní situace, pro lepší pochopení vám tu proto některé možnosti nastíním.

Jaké můžou být útoky?

Začneme od těch jednodušších. Například pokud pro přihlášení do operačního systému máte nastaveno, že po třech neúspěšných pokusech o přihlášení se systém na určitou dobu zamkne, pak není problém pro nějakého vtipálka, aby si to nezkusil a neznemožnil vám tak pracovat.

Horší varianta předešlého útoku může být například ve firmě, kde se po třech neúspěšných zadáních hesla zablokuje účet uživatele. Ještě závažnější je, když toto pravidlo platí i třeba pro přihlášení do pošty. To pak není problém během pár sekund zablokovat všechny účty.

Další příklad se může týkat přísného nastavování diskových kvót. Například pokud poběží některý program, bude si vytvářet nějaké soubory a vyčerpá svoje volné diskové místo, může havarovat. Opačný problém může být, pokud máte vysokou úroveň logování událostí a nemáte nastaveny kvóty. Pak se vám může stát, že vám logy zahltí veškeré místo na disku a systém havaruje. Tento problém se může zdát v současné době nepravděpodobný, jelikož disky jsou již větší, v dřívějších dobách se to ale stávalo často.

Dalším příkladem může být obrana proti síťovým útokům aktivní cestou. Například pokud detekční systém zjistí, že je na vaši síť prováděn útok z určité IP adresy, zareaguje vytvořením filtrovacího pravidla, kde zablokuje po určitou dobu IP adresu útočníka. Ovšem co se stane, když útočník zfalšuje svoji IP adresu? Ano, váš systém odfiltruje „nevinnou“ IP adresu. Útočník tímto dostává do ruky velmi mocnou zbraň, pomocí které může zabránit určitým počítačům, aby se k vám připojily. Tento útok bývá často modifikován dle situace.

Unintentional DoS (nechtěné)

Tyto DoS útoky jsou charakterizovány svým jménem. Ne vždy se dají označovat jako útok, to však posuďte sami na krátkém příkladě.

Servery jako www.msn.com nebo www.bbc.com mají obrovskou návštěvnost a přináší nám novinky ze světa. Často odkazují na servery, odkud čerpaly a často jsou tyto servery maličké a nestavěné na příliš veliký provoz. Jenomže takovýto odkaz zapříčiní obrovský nárůst návštěvnosti onoho serveru a buďto je zahlcena internetová linka, nebo se server zhroutí a často bývá nepřístupný i několik dnů.

Distributed DoS (distribuované)

Jedná se o útoky, které jsou charakteristické tím, že se jich účastní více než jeden počítač (počítač inicializující útok). Tyto útoky jsou v poslední době asi nejvíce vidět a nejvíce se o nich mluví. Hodně lidí je také považuje za DoS útoky druhé verze, ovšem to není pravda. Pokud bychom DoS útoky dělili podle počtu útočících počítačů, pak bychom je dělili na obyčejné (o jednom útočníku) a distribuované (o více útočnících).

Ve zkratce se tedy jedná o záplavové DoS útoky, při kterých útočí více než jeden počítač.

Jak dlouho s námi jsou?

Mnohým lidem se také může zdát že DDoS útoky jsou velmi mladé, to je ovšem také zdání, protože již od objevení záplavových (flood) útoků se používají distribuované útoky. Pokud totiž chtěli útočníci zahltit server o větší kapacitě linky, museli se domluvit a útočit spolu.

Jak vypadaly a jak vypadají

Dříve tyto útoky vypadaly zhruba tak, jak jsem popsal o odstavec výše. Útočníci se museli domluvit a útočili ze svých počítačů nebo počítačů, ke kterým měli přístup. Postupem času se způsob provádění těchto útoků velice změnil. Většina útoků zde probíhá pouze s jedním útočníkem, útočníci jednají většinou za sebe. K útoku používají takzvané zombie počítače, jež útočníci ovládají pomocí botnetů.

Utoky DDoS

Co jsou to zombie počítače a botnety?

Jelikož nerad opakuji co už bylo jednou napsáno, odkážu vás zde na článek o botnet sítích a o problematice se zmíním pouze okrajově. Dále ještě doporučím jeden velmi zajímavý článek angličtině od člověka, jehož server byl obětí DDoS útoku. Článek je o útoku, jak se proti němu bránil a jak nakonec vypátral útočníka.

Útočníci získávají nové počítače pomocí trojských koní, které se na počítače dostanou většinou využitím nějaké nově objevené chyby. Jakmile se trojský kůň dostane na počítač, často si ještě stáhne dodatečné programy a připojí se na určitý IRC server, kde čeká na rozkazy. Takto se k IRC serveru připojí veškeré infikované počítače (každý útočník používá jiný server nebo kanál). Jakmile se útočník připojí k IRC serveru, může všem počítačům rozkazovat. Většinou napíše příkaz, který mají vykonat a na koho útočit a zombie (infikované) počítače to splní.

BRAND24

Schema botnetu

Botnety jsou sítě zombie (infikovaných) počítačů, většinou má botnet velikost stovek nebo tisíců počítačů, ve velmi extrémních případech má botnet i více jak milion zombie počítačů. Botnet často vlastní i více útočníků, motivace lidí k vytvoření vlastního botnetu jsou různé. Někdo v tom nachází zálibu a je to pro něj hra, jiný si takto zase vydělává (botnet totiž následně prodá).

Dnešní díl byl plný teorie, přesto doufám, že pro vás byl zároveň zajímavý. Pokud jste něčemu nerozuměli či objevili nějakou nesrovnalost, napište prosím do názorů pod článkem a já se budu snažit vám vše vysvětlit nebo uvést na pravou míru případný omyl.

Měli byste zájem o články, pojednávající o TCP únosu spojení a RST Útoku?

Byl pro vás článek přínosný?

Autor článku

Autor je spolumajitelem firmy PATRON-IT a celým srdcem technik. Specializuje se na kybernetickou bezpečnost a má zkušenosti etického hackera. Věří, že aby mohl síť dobře zabezpečit, musí ji nejprve umět prolomit.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).