Académique Documents
Professionnel Documents
Culture Documents
Atacuri DDoS
Atacuri DDoS
ATACURI DDOS
Cuprins
Ce sunt atacurile DoS și DDoS ............................................................................................................................... 2
SYN flood – Atacuri de nivel 4 ............................................................................................................................... 2
HTTP GET DoS ....................................................................................................................................................... 3
Atacuri cu amplificare NTP.................................................................................................................................... 4
1|Page
ATACURI DDOS
Un atac DDoS(Distributed Denial of Service) este un atac DDoS compus din mai multe sisteme
infectate. Este mult mai greu să combați un atac DDoS decât un atac DoS datorită volumului vast
de device-uri. Acestea pot realiza atacuri la nivelui aplicație, insă pot comite atacuri și la nivelul
rețea pentru a afecta infrastructura rețelei. De obicei sistemele folosite în atacuri DDoS sunt
răspândite din punct de vedere geografic și folosesc multiple conexiuni la internet, facând
controlul atacurilor extrem de dificil.
Atacurile DoS și DDoS sunt extrem de periculoase deoarece, spre deosebire de alte tipuri de
atacuri, acestea nu au ca scop furtul de informații, ci crearea unor bariere în comunicarea
serverelor afectate cu utilizatorii.
Atacurile DDoS exploatează de obicei 3 dintre cele 7 nivele ale modelului de comunicație
OSI(Open Systems Interconnection): nivelui 3(nivelui rețea), nivelul 4(nivelui transport), și
nivelul 7(nivelul aplicație).
2|Page
Un SYN flood se folosește de răbdarea inerentă a stivei TCP pentru a suprasatura un server prin
a-i trimite o inundație de pachete SYN, ingorând semnalele SYN AKN returnate de către server.
În consecință serverul își epuizează resursele, fiind forțat să aștepte o perioadă de timp
predefinită pentru a primi semnalul de AKN de la clienții legitimi. De asemenea, un server este
limitat din punct de vedere al numărului de TCP-uri corupte pe cale le poate avea la un moment
dat, așadar unui atacator îi este foarte ușor de obicei să atingă această limită dacă trimite
suficient de multe pachete de tip SYN, astfel împiedicând serverul să răspundă la request-uri de
la utilizatori legiti.
Un combo SYN flood este compus din două atacuri SYN: unul folosește pachete SYN obișnuite,
iar celălalt pachete largi de peste 250 bytes. Ambele atacuri sunt executate simultan. Pachetele
de dimensiune normală epuizează resursele serverului, în timp ce pachetele largi cauzează
saturarea rețelei.
SYN flood – urile sunt destul de ușor de depistat de către aplicații pe bază de proxy. Din moment
ce acestea falsifică o conexiune la server și sunt de obicei pe bază de harware, cu o limită mult
mai mare de TCP-uri corupte, soluțiile pe bază de proxy pot suporta volumul mare de conexiuni
fără a deveni copleșite. Deoarece soluțiile pe bază de proxi reprezintă ‘endpoint’-ul conexiunii
TCP, nu va permite trecerea conexiunii către server până nu a fost finalizat un ‘three-way
handshake’, oprind astfel SYN flood – ul la proxy.
Aceste tipuri de atacuri sunt de obicei oprite folosind SYN cookies. ’SYN cookies’ folosesc hash-
uire criptografică, ceea ce sunt costisitoare din punct de vedere al puterii de computație, ceea ce
le face dezirabile pentru permiterea soluțiilor proxy/delivery cu capabilități criptografice
accelerate hardware să se ocupe de aceste tipuri de măsuri de securitate. Serverele pot
implementa ’SYN cookies’, însă dificultatea adițională plasată pe server atenuează majoritatea
beneficiilor obținute prin prevenirea SYN flood – urilor, și de obicei rezultă în site-uri și servere
disponibile, dar cu o performanță foarte scăzută.
3|Page
Metoda de atac abordată de HTTP GET este aceea de a trimite serverului un număr mare de
request-uri(requesturi legitime), forțând serverul să răspundă la aceste request-uri, astfel
nemaiputând să răspundă request-urilor timise de utilizatori legitimi.
Atacurile de nivel 7 sunt mai greu de detectat deoarece conexiunea TCP este deja validă, și la fel
sunt și request-urile. Problema este să realizezi când sunt mai mulți clienți care cer un număr
mare de obiecte în același timp și să realizezi că este un atac. Acest lucru este dificil deoarece de
obicei request-urile legitime sunt amestecate cu cele folosite pentru atac. Astfel, o filosofie ‘deny
all’ va rezulta în situația dorită de atacator: un Denial of Service.
Deoarece această procedură poate să afecteze și utilizatori valizi, furnizorii de firewall de nivel
7(aplication firewall), caută metode mai ingenioase de a preveni atacuri DoS, fără a afecta
utilizatori legitimi. Scopul implementării unui firewall la nivelul aplicație este acela de a asigura o
conexiune rapidă și securizată. Prin prevenirea atacurilor de nivel 4 și 7, aceste soluții permit
serverelor să continue să funcționeze fără degradări de performanță cauzate de adacuri DoS.
4|Page
în versiunile mai vechi ale protocolului NTP. Această comandă returnează o listă cu ultimele 600
de IP-uri care s-au conectat la server. Folosind această comandă, atacatorii foțează serverul să
trimită înapoi un pachet de date mult mai mare decât request-ul inițial. Această metodă poate
copleși serverul cu multitudinea de date ce trebuiesc transmise. Astfel aceștia pot compromite
serverul într-un timp foarte scurt. De asemenea, lipsa vreunei metode de
autentificare(”handshake”) a protocolului de bază UDP(User Datagram Protocol), poate cauza
atacuri cu amplificare NTP destul de masive.
Sunt mai bine de 400.000 de servere NTP în toată lumea ce pot fi folosite într-un astfel de atac.
Unele dintre acestea pot atinge un factor de amplificare de până la 700%, ceea ce ar cauza o
problemă majoră pentru traficul de internet.
Aceștia apelează la o multitudine de metode pentru a putea evita soluțiile anti-DDoS: unii boți au
abilitatea de a imita anumite aspecte ale comportamentului unui browser, cum ar fi suportul
cookie-urilor. Totuși, acesta nu este atributul principal ce face acest tip de atac unul periculos, ci
faptul că atacurile de tip ”Browser Based Bots” sunt atacuri de nivel 7(nivelul rețea), ceea ce
înseamă că deja a fost stabilită conexiunea tip ”three-way handshake”. De asemenea, această
5|Page
metodă poate compromite un server fără să necesite un trafic mare de date: în medie, un atac
de 50 – 100 de request-uri pe secundă este suficient pentru a bloca un server de dimensiune
medie. Aceste tipuri de atacuri sunt greu de detectat și de obicei sunt depistate numai după ce
răul a fost deja comis.
”Spoofed User-Agents” este o metodă prin care boții malițioși pot trece drept boți folositori,
proveniți din surse legitime precum Google sau Yahoo. Metoda aceasta este eficientă âmpotriva
sistemelor cu filtre low-level.
Există o multitudine de boți malițioși ce pot fi confundați cu search engines, însă ei nu prezintă o
amenințare serioasă. De fapt, aceasta este una din cele mai ușoare tipuri de atacuri DDoS ale
nivelului aplicație datorită comportamentului predictibil al search-engine-urilor, precum și ale
punctelor de plecare predeterminate.
Shared Botnets
Un ”botnet” reprezintă un grup de computere infectate de programe malițioase. De obicei
utilizatorii acestor sisteme sunt inconștienți de existența vreunei probleme, ceea ce le permite
atacatorilor să folosească sistemele respective în realizarea unor atacuri DDoS fără stirea
utilizatorului. Această metodă de atac vine și cu o formă de flexibilitate în ceea ce privește
dispozitivele ce pot fi folosite în lansarea unui atac DDoS: acestea pot varia de la calculatoare, la
telefoane mobile, la camere CCTV, care au de obicei o parolă predefinită ușor de ghicit.
”Shared botnets” reprezintă mai multe botnet-uri împărțite între hackeri împrumutate de la un
hacker la altul. Acestea pot avea deținători multipli și folosesc aceleași sisteme compromise
6|Page
pentru a lansa atacurile împotriva diferitelor ținte. Aceștia pot fi cumpărață pe internet și pot fi
lansați cu ușutință chiar și de utilizatori ce nu dețin cunoștințe tehnice.
Aceste tipuri de atacuri continuă să crească semnificativ deoarece pot fi accesate la un cost redus
și pot fi utilizate cu ușurință să aibe cunoștințe tehnice. Sistemele de atenuare ale atacurilor DDoS
trebuie să fie proactive și folosească metode de securitate pe bază de reputație pentru a anticipa
intențiile utilizatorilor(și să le poată da red flag dacă este necesar).
Ușurința în utilizarea acestor tipuri de atacuri precum și constul redus al acestora le cataloghează
drept unele dintre atacurile DDoS mai populare, și se estimează că numărul acestora va crește
semnificativ.
Atacuri Multi-Vector
Pentru a înțelege acest tip de atac trebuie să vedem un singur fel de atac DDoS drept un vector.
Folosing acest mod de percepere, ”Multi-Vector Attacks” reprezintă un atac masiv ce înglobează
mai multe tipuri de atacuri DDoS, de tipuri diferite(cu cât mai variate cu atat mai bine).
Rata de succes ale acestor atacuri precum și daunele colaterale pe care le pot cauza unui business
reprezintă factori esențiali ce le face foarte atrăgătoare pentru atacatori. O metodă foarte
eficientă folosită de acest tip de atac este lansarea unui ”vector-attack” pe post de diversiune, în
timp ce alt atac, mult mai puternic este folosit ca și armă principală.
Aceste tipuri de atacuri pot fi extrem de greu de combătut, deoarece orice tip de soliție
concepută împotriva lor va trebui să aibe o abordare multinivel de-a lungul întregului data center
și o echipă de IT foarte competenți în combaterea acestor tipuri de atacuri.
Majoritatea utilizatorilor nu își instalează antivirus pe dispozitivele mobile însă tind să instaleze
aplicații într-o manieră mai relaxată decât pe calculatorul personal(pot instala aplicații din surse
7|Page
nesigure), netinând cont de riscurile de securitate, ceea ce face infectarea acestor dispozitive
mult mai ușor de realizat.
Dispozitivele mobile devin din ce în ce mai folosite și din ce în ce mai puternice, ceea ce va cauza
o creștere exponențială ale acestor tipuri de atacuriDe asemenea, combaterea acestor atacuri
vine și cu un nivel adițional de complexitate: rețelele celulare nu pot folosi firewall-uri tradiționale
pentru a bloca adresa IP a sursei din moment ce ar afecta și traficul legitim.
Aceste atacuri cel mai probabil vor continua să crească în aceste regiuni pe măsură ce numărul
dispozitivelor cu conexiune la internet din aceste regiuni va crește. O implementare ale unor
metode de regulare și control a securității ar putea reduce în mod semnificativ atacurile care
provin din aceste regiuni.
10
0
India China Iran Indonezia Us Thailanda Turcia Rusia Vietnam Peru
8|Page
Bibliografie
http://www.cs.columbia.edu/~locasto/projects/candidacy/papers/ioannidis2002pushback.pdf
http://ieeexplore.ieee.org/abstract/document/1199330/
http://www.sciencedirect.com/science/article/pii/S1389128603004250
https://www.keycdn.com/support/ddos-attack/
https://www.imperva.com/docs/DS_Incapsula_The_Top_10_DDoS_Attack_Trends_ebook.pdf
https://devcentral.f5.com/articles/layer-4-vs-layer-7-dos-attack
https://isc.sans.edu/forums/diary/NTP+reflection+attack/17300/
9|Page