Útoky DoS a DDoS Projektování distribuovaných systémů Ing. Jiří ledvina, CSc.

Slides:



Advertisements
Podobné prezentace
© 2000 VEMA počítače a projektování spol. s r. o..
Advertisements

Síťové prvky.
SÍŤOVÉ PROTOKOLY.
Brána firewall a její využití
Hrozby připojení k Internetu
Úvod do počítačových sítí Úvod. Úvod do počítačových sítí •Úvod, síťové protokoly, architektury,standardy •Fyzická úroveň •Linková úroveň •Lokální počítačové.
Základy databázových systémů
SÍŤOVÉ SLUŽBY DNS SYSTÉM
Komunikace v DS Přednášky z distribuovaných systémů Ing. Jiří Ledvina, CSc.
Analýza síťového provozu
Pravidelné zálohování dat
Aplikační proxy Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
VLAN Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc.
VI –Bezpečnost podnikové infrastruktury – VIKMA07 - IM.
Architektura databází Ing. Dagmar Vítková. Centrální architektura V této architektuře jsou data i SŘBD v centrálním počítači. Tato architektura je typická.
Protokol TCP/IP a OSI model
Aplikace VT v hospodářské praxi internetové technologie Ing. Roman Danel, Ph.D. VŠB – TU Ostrava.
CZ.1.07/1.4.00/ VY_32_INOVACE_169_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.
Útoky prováděné po Internetu ISSS 2003 Department name
Projektování distribuovaných systémů Lekce 15 Ing. Jiří ledvina, CSc.
Internet.
TCP a firevall Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Protokoly a adresy na internetu
Základy počítačových sítí elektronická pošta Základy počítačových sítí Lekce 5 Ing. Jiří ledvina, CSc.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
BIS Firewall Roman Danel VŠB – TU Ostrava.
Firewall.
BEZPEČNOSTNÍ PRAVIDLA PŘI POUŽÍVÁNÍ POČÍTAČE A INTERNETU.
CZ.1.07/1.4.00/ VY_32_INOVACE_168_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.
DATABÁZOVÉ SYSTÉMY. 2 DATABÁZOVÝ SYSTÉM SYSTÉM ŘÍZENÍ BÁZE DAT (SŘBD) PROGRAM KTERÝ ORGANIZUJE A UDRŽUJE NASHROMÁŽDĚNÉ INFORMACE DATABÁZOVÁ APLIKACE PROGRAM.
© 2007 Cisco Systems, Inc. All rights reserved.Cisco Public 1 Application Layer Functionality and Protocols Network Fundamentals – Chapter 3.
INTERNET – struktura, fungování a přehled využití
1 I NTERNETOVÁ INFRASTRUKTURA. H ISTORIE SÍTĚ I NTERNET RAND Corporation – rok 1964 Síť nebude mít žádnou centrální složku Síť bude od začátku navrhována.
Datové sítě Ing. Petr Vodička.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-16.
Základy informatiky část 6
Shrnutí Chceme–li připojit PC k Internetu musíme: 1.Zadat adresu DNS serveru (začne pracovat převod IP adresa  symbolické jméno), prakticky začne fungovat.
Vybudujte si svůj vlastní internetovský ochranný val
Internet.
Internetové protokoly Autor: Milan Bílek. Internet Internet je celosvětová systém propojených počítačových sítí. Počítače mezi sebou komunikují pomocí.
Bezpečnost podnikové sítě EI4. Firewall 1 Firewall 2 Ochranná zeď Chrání síť před útoky zvenku Neovlivňuje samotný provoz uvnitř sítě Veškerá komunikace.
Bezpečnost sítí s IP Michal Horák ČVUT, Praha 1. Bezpečnost sítí s IP Minimalizace zranitelných míst Systémy na detekci útoků  analyzátory  manažeři.
Protokoly úrovně 3 nad ATM Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc.
Transportní úroveň Úvod do počítačových sítí Lekce 10 Ing. Jiří Ledvina, CSc.
Komunikace v DS Přednášky z distribuovaných systémů Ing. Jiří Ledvina, CSc.
Firewall na Linuxu Vypracoval: Petr Toman. Druhy firewallů Aplikační proxy servery – pracuje na aplikační vrstvě pro konkrétní aplikační protokol. Firewally.
Internet protocol Počítačové sítě Ing. Jiří Ledvina, CSc.
Multimediální přenosy v IP sítích Libor Suchý Prezentace diplomové práce.
PV175 SPRÁVA MS WINDOWS I Podzim 2008 Síťové služby Administrátor systému: Pracovní doba administrátora se sestává z výměny magnetických pásek v zálohovacích.
Program pro detekci síťových útoků Marek Lapák. Úvod Rozmach počítačových sítí – Internetu  Stále více činností se uskutečňuje prostřednictvím počítačů.
E- MAIL Ing. Jiří Šilhán. E LEKTRONICKÁ POŠTA NEBOLI vývoj od počátku sítí – původní návrh pouze pro přenos krátkých textových zpráv (ASCII) základní.
Řízení přenosů TCP Počítačové sítě Ing. Jiří Ledvina, CSc.
Aktivní prvky ochrany sítí ● Filtrace, proxy, firewall ● Filtrace přenosu, zakázané adresy, aplikační protokoly ● Proxy, socks, winsocks ● Překlad adres.
Virtualizace ● IP forwarding ● IP tunneling ● Virtuální síť.
Problematika obrany proti DDoS útokům Ing. Tomáš Havlíček Produktový manažer 3 | 09 | 2015.
Internet. je celosvětový systém navzájem propojených počítačových sítí („síť sítí“), ve kterých mezi sebou počítače komunikují pomocí rodiny protokolů.
 = jedná se o vzájemné propojení lokálních počítačových sítí pomocí vysokorychlostních datových spojů  vznikl spojením mnoha menších sítí  v každé.
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně AUTOR: Bc. Petr Poledník NÁZEV: Podpora výuky v technických oborech TEMA: Počítačové systémy ČÍSLO.
Transportní vrstva v TCP/IP Dvořáčková, Kudelásková, Kozlová.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně
PB169 – Operační systémy a sítě
Propojování sítí (1) Propojování sítí je možné realizovat, např. pomocí: Repeater: zesilovač, který předává veškeré informace z jedno-ho síťového segmentu.
Úvod do počítačových sítí
Počítačové sítě IP vrstva
Transportní protokoly
Základy počítačových sítí elektronická pošta
Ing. Jiří Šilhán IP Spoofing.
Ing. Jiří Šilhán IPv4.
IPv6 druhá část Ing. Jiří Šilhán.
Transkript prezentace:

Útoky DoS a DDoS Projektování distribuovaných systémů Ing. Jiří ledvina, CSc.

Přehled napadení Lokální útoky Přetečení bufferu Prolomení hesla Vzdálené útoky Spoofing SYN Flood Smurf Attack Frangle Attack Ping of Death Teardrop Application Attack

Útoky - spoofing Spoofing – navádění k nepravosti je metoda falšování internetové adresy. Útočník používá falešnou IP adresu s cílem přesměrovat tok dat do cílové sítě napadaného uzlu nebo podvést server a přesvědčit jej aby identifikoval útočníka jako legitimní uzel. Útočník vychází ze znalosti odpovědí, které nemůže dostávat od napadeného uzlu, protože jsou (odpovědi) směrovány originálnímu (podstrčenému) systému. Jestliže je spoofing použit pro DoS útok, stává se cílová adresa obětí. Spoofing je používán ve většině DoS útoků. Mnoho útočníků začíná DoS útokem, aby zahltili vybraný uzel a mohli převzít jeho adresu. IP Hijacking (IP únos) je hlavní metoda používaná pro útočení na zabezpečenou síť. Dalším možností je útok typu Man in the Middle.

Útoky – SYN Flood SYN Flood – Zaplavení SYNy je metoda, kdy útočník posílá sérii SYN požadavků směrem k oběti. Cíl odpovídá SYN ACK a čeká na ACK aby mohl ukončit navázání spojení. Místo odpovědí s ACK přichází další SYN a otevírá další spojení. To způsobí vznik front a naplnění vyrovnávacích pamětí napadeného uzlu, takže jsou legitimní uživatelé odmítáni. Toho může útočník využít a "unést - spoof" IP adresu napadeného počítače. Tento útok neslouží pouze k zahlcení přístupu k uzlu, ale může být útokem sám o sobě. Je obecně používán jako DoS ve virech a je velmi jednoduché jej vytvořit.

Útoky – Smurf Attack, Fraggle Attack Smurf Attack – Smurf a Fraggle útoky jsou nejsnadnější z pohledu prevence. Útočník posílá velké množství ICMP echo paketů na všeobecnou IP adresu a s falešnou zdrojovou adresou. Zdroj (napadená adresa) je zahlcena mnoha odpověďmi. Jednoduchá prevence spočívá v zablokování zprávy se všeobecnou adresou z cizích sítí. Fraggle Attack – tento typ útoku je tentýž jako Smurf s tím rozdílem, že používá UDP. Poslání UDP echo na všeobecnou adresu způsobí zaslání odpovědí ze všech cílových adres sítě na napadenou adresu. Obranou je opět blokování zpráv se všeobecnou adresou ze vzdálených sítí.

Útoky – Ping of Death, TearDrop a Application Attack Ping of Death – útočník posílá do sítě nelegální ICMP echo pakety delší než slabik s cílem síť zničit. Tyto útoky jsou zastaralé a vážou se k NT4 a Win95. Teardrop – známý jako útok s IP fragmentací je DoS útok orientovaný na systémy pracující pod NT4.0, Win95 nebo Linux do Podobně jako předchozí útok není dnes efektivní. Application Attack – Tyto DoS útoky mají za cíl využít zranitelných míst aplikačních programů pro pád systému nebo jeho restartování.

Denial of Services (DoS) Architektura Útočící systém Oběť Zesilovač (mumie) Původní technologie DoS Generování a posílání paketů Jeden zdroj, jeden cíl Jeden zdroj, více cílů Více zdrojů, jeden cíl Více zdrojů, více cílů

Denial of Services (DoS) … Útok záplavou paketů Zatížení přístupových cest Zatížení hostitelského systému Používají se pakety několika typů TCP – (TCP floods) – proud paketů s různě nastavenými příznaky (SYN, ACK, RST) ICMP – ICMP echo (ping floods) – tok ICMP paketů UDP – (UDP floods) – tok UDP echo paketů

Denial of Services (DoS) … Změny atributů v paketu Zdrojová IP adresa IP spoofing – falešná IP zdrojová adresa Skrytí skutečné IP adresy zdroje Posílání odpovědí na IP adresu oběti Zdrojové/cílové porty TCP a UDP flooding útok (záplavou) Ztížení filtrování paketů Jiné hodnoty IP záhlaví Náhodný obsah parametrů IP záhlaví, cílová adresa zůstává konzistentní

Distribuovaný DoS (DDoS) Automatizace útoku Skenování systémů oběti s cílem identifikace (operační systém, běžící programy) Generování seznamu potenciálně napadnutelných systémů Generování seznamu kompromitovaných systémů Instalace prostředků pro útok Modely automatické propagace Propagace z centrálního zdroje Kopírování prostředků z centrálního zdroje do obětí (kompromitace systému) Přenos dat pomocí HTTP, FTP, RPC… Útok v další fázi

Distribuovaný DoS (DDoS) … Propagace zpětným zavedením Inicializace zavedení prostředků z napadeného systému Prostředky v napadeném systému vyvolají spojení a natáhnou soubory Použití TFTP, http Rozšíření prostředků pro útok je decentralizované Autonomní propagace Metody napadaní zahrnují umístění instrukcí pro útok přímo do oběti Inicializace útoku cyklicky bez obnovy souborů z externího zdroje

Distribuovaný DoS (DDoS) … Zesilování útoku Využití direkt broadcastů pro útok Univerzity a Ethernet – 200 počítačů v lok. Síti Ve směrovačích – test na totožnost příchozího a odchozího rozhraní Smurf – útok ICMP echo na broadcastů Fraggle – modifikace, UDP echo Pepsi attack – UDP na diagnostické porty síťových zařízení

DRDoS Distributed Reflection DoS koordinátor útoku pošle TCP/SYN pakety na množinu serverů uvede falešnou zdrojovou adresu (adresu napadaného stroje) servery posílají TCP/SYN-ACK na napadený stroj ztracené pakety se posílají znovu – další navýšení provozu obelhané servery nemusí být napadeny, chovají se podle pravidel nebezpečí pro BGP směrovače (TCP/179) obrana serverů – bezestavové navazování spojení (cookies)

DNS reflection attacks, DNS zesilování využívá rekurze DNS serverů open resolver – příjem požadavků od systémů mimo oblast velké množství napadených DNS serverů dlouhé UDP pakety (omezení 512) – fragmentace (60/4000) zesílení – požadavek 60 slabik, odpověď 512 nalezeno otevřených resolverů v Internetu útočník vytvoří dotaz na všechny záznamy v doméně, velký UDP buffer

Útok na TCP – snížení rychlosti Shrew attack – rejsek minRTO = 1s RTT = 10ms až 100ms útok na RTT – slow start – opakování startu od začátku vysílání krátkých pulzů, zatěžujících síť (DoS) 50ms/1s vede ke ztrátám paketů – opakování přenosu TCP synchronizuje restarty – zpomalení těžko detekovatelné

Scanování portů (ftp, telnet, smtp, finger, http) TCP connect scanning – základní způsob scanování portů. Útočník se zkusí připojit voláním connect ke každému portu – pokud na portu naslouchá démon, spojení se podaří. Výhodou je rychlost (lze scanovat více portů paralelně), velkou nevýhodou je ovšem snadné rozpoznání scanu cílovým strojem.

Scanování portů … TCP SYN scanning – nedochází k úplnému navázání spojení, proto se této metodě říká „half-open scanning“. Útočník vyšle paket s nastaveným příznakem SYN, který indikuje snahu navázat spojení. Cílový počítač odpoví buď paketem SYN|ACK (značí, že daný port naslouchá) nebo RST (port je uzavřen). Pokud se útočníkovi vrátí SYN|ACK, vyšle okamžitě paket RST, který spojení přeruší. Uvedený způsob scanování je zalogován mnohem menším množstvím systémů, a proto je pro hackery daleko vhodnější. Potenciální nevýhodou je nutnost mít administrátorská privilegia na stroji, odkud se útok provádí.

Scanování portů … TCP FIN scanning – jak jsem již zmínil, ani TCP SYN scanování není dostatečně tajné a je velmi často logováno. Některé firewally registrují příchozí pakety SYN a také IDS (Intrusion Detection Software) si jich obvykle všimne. Například pakety FIN však mohou někdy proklouznout nepovšimnuty. Uzavřené porty totiž na paket FIN odpovídají paketem RST, zatímco otevřené porty příchozí pakety FIN ignorují. Bohužel to není pravidlem – některé systémy odpovídají paketem RST, ať je port otevřený nebo ne. Využitelnost této metody je tedy pro útočníky malá.

Scanování portů … Fragmentation scanning – jedná se o modifikaci již zmíněných metod. Místo poslání celého paketu ho rozdělíme do několika malých fragmentů, které nepůsobí podezřele. Metoda nefunguje u paketových filtrů a firewallů, které hromadí příchozí pakety do fronty, nicméně je úspěšná ve velkém množství případů.

Scanování portů … TCP reverse ident scanning – tzv. ident protokol ([RFC 1413]) umožňuje zjistit, pod jakým uživatelským jménem běží proces na některém z otevřených portů. Můžeme tak scanovat všechny porty a zjišťovat, zda služby na těch otevřených běží s administrátorskými privilegii. Jedná se o cennou informaci – hacker nebude napadat službu, která není spuštěna s právy superuživatele.

Scanování portů … TCP Null scanning – útočník posílá pakety se sekvenčním číslem, ale bez nastavených příznaků (FIN, SYN, PSH…). Uzavřené porty odpoví paketem RST, otevřené porty budou pakety ignorovat.

Scanování portů … UDP ICMP port unreachable scanning – scanování UDP portů je složitější než u TCP portů, protože otevřené UDP porty nemusí posílat potvrzení jako odpověď na naše pakety a ani uzavřené porty nemusí nijak odpovědět. Naštěstí cílová stanice odpoví ICMP_UNREACH_PORT při pokusu o navázání spojení s uzavřeným portem; seznam otevřených portů tedy získáme vylučovací metodou. Musíme však také vzít v potaz eventuální ztrátu paketů a do scanneru implementovat opakované zaslání paketu. Metoda je navíc dost pomalá, protože frekvence odpovědí ICMP_UNREACH_PORT není příliš velká (aby nedošlo ke zbytečné alokaci dostupných prostředků). UDP scanner není hackery příliš využíván, ale zkušenosti ukazují, že v některých případech (např. u systémů Solaris) může být pro ně užitečný.

Příklady programů Trino – inicializuje UDP útoky na náhodné porty. Je distribuovaný, typu master/slave, pro nešifrovanou komunikaci používá porty 1524/TCP, 17665/TCP, 27444/UDP, 31335/UDP, ale ty mohou být snadno změněny. TFN (Tribal Flood Network) – decentralizovaný, používá IP spoofing. Pro výměnu zpráv používá ICMP Echo replay, komunikace není šifrovaná.

Příklady programů … TFN 2K – je vylepšenou variantou TFN. Používá šifrovanou komunikaci, agent je těžko zjstitelný, protože nekomunikuje. Ke komunikaci nepoužívá vyhrazené porty, ty jsou vybrány náhodně programem. Stracheldracht – (německy ostnatý drát) je prostředek pro DDoS útok, vycházející z TFN a kombinující výhody Trino s výhodami TFN. Komunikace mezi útočníky je šifrovaná. Je zajištěn automatická obnova agentů. Pro komunikaci se používá TCP a ICMP. Pro komunikaci se používají implicitně porty 1660/TCP, 65000/TCP, ICMP Echo, ICMP Echo Replay, ale mohou být jednoduše změněny.