Szolgáltatásmegtagadással járó támadás

(DDoS szócikkből átirányítva)

A szolgáltatásmegtagadással járó támadás (denial-of-service vagy DoS), más néven túlterheléses támadás, illetve az elosztott szolgáltatásmegtagadással járó támadás (distributed denial-of-service, DDoS) informatikai szolgáltatás teljes vagy részleges megbénítása, helyes működési módjától való eltérítése.

A szolgáltatásmegtagadású támadás egy meghatározott rendszer ismert gyengeségeit, vagy valamilyen speciális protokoll tulajdonságait (gyengéit) támadja meg. Célja, hogy a felhasználók ne tudják elérni a számukra fontos információkat, a számítógépet vagy a számítógép hálózatot. A támadás hatására a rendszer nagyon lelassul, elérhetetlenné válik, esetleg össze is omolhat.

SYN flooding támadásSzerkesztés

 
SYN flooding támadás

A SYN flooding támadás a TCP protokoll három-utas kézfogású üzenet visszaigazolási rendszerét használja ki. Mielőtt egy munkaállomás kapcsolódni akar egy szerverhez, a szervernek azt egy porthoz kell kapcsolnia, és azt a portot ki kell nyitnia. Ezt a lépést passzív port nyitásnak hívjuk. Ha egyszer a passzív port nyitva van, a kliens kezdeményezheti egy aktív port nyitását. Ekkor a három-utas kézfogás folyamata zajlik le.

  1. SYN: Amikor a kliens egy SYN-t (Synchronise, magyarul szinkronizálás) küld a szervernek, sor kerül az aktív port nyitásra. A kliens a szegmens sorszámát egy véletlen értékre (A) állítja.
  2. SYN-ACK: A válaszában a szerver egy SYN-ACK (Synchronise acknowledgement, magyarul szinkronizálás elismerése) jelzést küld. A nyugtázó szám értékét a kapott sorszám értéke plusz 1-re állítja (A+1), a csomag sorszámaként pedig egy másik véletlen számot választ ki (B).
  3. ACK: Végül a kliens egy ACK-ot (Acknoweldge, magyarul elismerés) küld a szervernek. A sorozatszám a kapott nyugtázó érték lesz (A+1), és a kliens által küldött érték a szervertől kapott sorozatszám plusz 1. (B+1)

Ekkor mind a kliens, mind a szerver megkapja a kapcsolatfelvétel nyugtáját.

A SYN flooding támadás esetén a támadó egy hamis IP-címről küldi el a SYN üzenetet, amit a szerver megfelelő módon fogad és a hamis IP-címre visszaküldi a SYN-ACK üzenetet. Ezután várja a kliens ACK nyugtáját, ezt azonban a hamis IP-címről soha nem kapja meg. Természetesen egy meghatározott időtúllépést követően eldobja a kapcsolatot, azonban sok hamis SYN üzenet esetén a felesleges várakozási idők a szabályos kapcsolatok fogadását is nagyon lelassítják, súlyos esetben lehetetlenné teszik.

POD (Ping of death) támadásSzerkesztés

A POD támadás lényege, hogy a támadó egy legalább 64 kilobyte méretű ICMP ping csomagot (Internet Control Message Protocol ping packet) küld a megtámadott gépre. Az RFC 791 szabvány szerint egy IPv4 csomag maximális mérete, beleértve az IP headert is, 65 535 (216 – 1) byte, ez a korlátozás a teljes csomaghosszat leíró 16 bit széles header mezőnek a méretéből következik.

Egy ilyen indokolatlanul nagy ping csomagot a legtöbb rendszer képtelen kezelni, ezért ez képes komolyan megakasztani a gép működését (szaggató egér, akadozó műveletek), vagy – rosszabb esetben – akár teljesen össze is omlaszthatja, például Windows esetén kék halált, vagy Unix/Linux/BSD esetén kernelpánikot okozhat.

Barátságos környezetben célszerű a pingelésre válaszolni. Ellenséges környezetben a fontosabb gépek jobban teszik, ha pingelésre nem reagálnak, és általánosságban is csak a tényleges alapfeladatukat végzik, hisz semelyik internetes kapcsolat indítványozásra sem kötelező reagálni. Unix/Linux/BSD esetén már az ezredforduló óta, óvatos rendszergazdai rutinnak számít a rendszer tűzfalát ezen morcosan tartózkodó szellemben konfigurálni. Az eredmény, hogy az így konfigurált szerverek sikeres támadása sokkal nehezebb.

DoS / DDoSSzerkesztés

Az egyszerű DoS támadás egy-az-egy-ellen támadás, ahol egy nagyon erős „támadó” állomás és a célállomás van kapcsolatban, nincsenek közbeiktatott gépek. A DDoS támadások egy összetettebb fajtája, amely a támadón és támadotton kívüli számítógépekben rejlő „erőt”, illetve a külső számítógépek nagy mennyiségét hasznosítja a támadáshoz.

A DDoS támadóállomások keletkezéseSzerkesztés

  • Egy automatizált eszköz (alkalmazás) felkutatja az internetre kapcsolódó, sebezhető számítógépeket. Amikor talál egyet, és képes megfertőzni azt, feltelepít egy rejtett támadóprogramot, amitől a megtámadott gép „zombivá” alakul (az elnevezés utal az akarat és értelem nélküli élőhalottakra, akik külső utasításra támadnak).
  • Másik lehetőség, hogy a rejtett program telepítése számítógépes vírusokkal vagy trójai programokkal történik.

A támadás meneteSzerkesztés

A „zombi” gépek távolról vezérelhetőek egy „mester” gépről (a támadó gépéről). Ha már elég gépet fertőzött meg a támadóprogrammal, a „mester” állomás jelt ad a „zombiknak”, hogy kezdjék meg a támadást a kiszemelt célpont vagy célpontok ellen. Ekkor az összes „zombi” egyszerre elindítja a támadást, és bár egyenként kis mennyiségű adattal dolgoznak, mégis több száz, vagy akár százezer támadó gép esetén a sok kis adatcsomag eredménye hatalmas adatáramlás, mely a megtámadott gép ellen irányul.

Ismert DoS programokSzerkesztés

Ismert DoS programok például a Trin00,[1] a TFN, TFN2K és a Stacheldrath.

Az Anonymous akciókhoz LOIC (Low Orbit Ion Cannon) programot, és HOIC (High Orbit Ion Cannon) programot használnak.

Ismert DDoS programok

Ismert DDoS programok például a DDoser 3.4, IPKiller v2.3., LOIC

TörténeteSzerkesztés

Az első DDoS támadás 1999-ben jelent meg[forrás?], csupán 3 évvel a SYN flood-ot használó DoS támadások után. 2000 februárjának elején olyan népszerű internetes oldalakat tettek elérhetetlenné ilyen támadással, mint az Amazon, CNN, eBay, és a Yahoo![forrás?] 2002-ben a 13 root DNS-ből 9-et tettek elérhetetlenné masszív, irányított DDoS támadással, melynek folyamán ezen szerverek némelyike 150 ezer ICMP kérést fogadott másodpercenként[forrás?], azonban mivel az akció alig fél óráig tartott, az internet nem bénult meg nagy mértékben.

A történelem egyik legnagyobb DDoS támadását a Mydoom nevű féregvírus okozta, mely 2004. január végén terjedt el néhány nap alatt megfertőzve a világ internetre kötött számítógépeinek csaknem 20%-át (a Windows rendszert használó gépek jelentős részét), és február elején elérhetetlenné tette az SCO weboldalát, mivel kb. 25-30 ezer fertőzött zombi-gép támadta a cég szervereit. A vírus B. variánsa a Microsoftot vette célba, az azonban kiállta a támadást. 2004 júniusában megjelent az F variáns, amely a RIAA (az amerikai kép- és hanganyagok jogdíjaival foglalkozó társaság) számítógépeit támadta.

2009 augusztusában egy grúz szolgáltató ellen volt DDoS támadás. A vélhetőleg orosz titkos ügynökök a Twittert tették 3 és fél órára elérhetetlenné. A támadók a következő oldalakat akarták még megtámadni: Facebook (épphogy elbírta.), YouTube, Gmail.[2] 2013.05.07-től elérhetetlenné tette a Battlelogot és a Battlefield 3 című játék összes szerverét, melyet azóta már orvosoltak.

Organikus DDoSSzerkesztés

Az organikus DDoS akkor alakul ki, ha egy weblap iránt nagy az érdeklődés, ám az a megnövekedett érdeklődést lassan szolgálja ki. Ennek hatására az érdeklődő felhasználók tömege a lassulást érezve újra és újra megpróbálják az adott weboldalt elérni, ezzel tovább terhelve az oldalt, ami egy idő után nem bírja tovább, és leáll.

Frész Ferenc szerint: „Ebben az állapotában, hogyha elkezd túlterhelődni, kiesik, akkor kvázi azok a felhasználók, akik nem érik el, megpróbálják újra és újra elérni, tehát kialakul egy ilyen organikus DDoS. Kvázi olyan, mintha egy szolgáltatásmegtagadással járó támadás érné a rendszert, de ez nem támadás volt, hanem önmagától az érdeklődéstől megtöbbszöröződik ilyenkor a terhelés.”[3]

A DDoS ellenszereiSzerkesztés

Hozzáférés-ellenőrzési lista és/vagy tűzfalakSzerkesztés

A router fő funkciója a csomagok irányítása. Kiegészítő funkciója, hogy információt szolgáltasson a netflow-ról az elszámoláshoz és a hálózati diagnosztikához. A netflow információt visszaélés- és ritkaesemény-figyelő eszközök használják fel, amelyek fel tudják fedezni a szokatlan hálózat-használatot, így jelezni tudnak egy lehetséges DDoS támadást. Egy DDoS támadás alatt, ha a támadót azonosították, a hálózat operátorai fel tudják számolni a támadást manuális „null routing”-gal, vagyis kiejtik a támadó forgalmat, a támadó hostot, vagy tartományt.

Szabályok sorát kezelik, amelyek részletezik a korlátozásokat minden egyes hálózati hosztra és eszközre. Korlátozza a ki- és bemenő forgalmat egy hoszton, hacsak nem engedélyezett és ismert szolgáltatásról van szó. Be lehet állítani, hogy mind a bejövő, mind a kimenő forgalmat ellenőrizze. Ha a DDoS támadót azonosították, a hálózat operátorai véget tudnak vetni a támadásnak azzal, hogy manuálisan megváltoztatják az ACL vagy Tűzfal felületét, a támadó hosztot vagy domaint.

Illetéktelen hálózati behatolást jelző rendszer (IDS)Szerkesztés

Mélyreható csomagvizsgálatot alkalmaz, így vizsgálja át a csomagokat vírusok, trójaiak és más támadó alkalmazások után kutatva. A mélyreható csomagvizsgálat technikáját alkalmazzák a DDoS támadások elleni védelemre, de minden csomagot valós időben kell átvizsgálni.

JegyzetekSzerkesztés

  1. Trin00 DDoS tool - Daemon activity. [2012. március 4-i dátummal az eredetiből archiválva]. (Hozzáférés: 2012. március 13.)
  2. DoS-támadás a Twitter ellen
  3. A választási iroda honlapját még mindig nem állították helyre”, Hír TV, 2018. április 11. (Hozzáférés ideje: 2018. május 9.) (magyar nyelvű) 

ForrásokSzerkesztés