ABSTRACT

Atacurile DDoS reprezintă unele dintre ameninșările

majore și una dintre cele mai dificile probleme de
securitate ale internetului de astăzi. Acestea pot consuma
resursele de comunicare și computare ale unui sistem
intr-o perioadă scurtă de timp.

Nedelcu Georgiana Iuliana– 333AB

Sisteme Avansate de Comunicare in Mediul Industrial

ATACURI DDOS
Cuprins
Ce sunt atacurile DoS și DDoS ............................................................................................................................... 2
SYN flood – Atacuri de nivel 4 ............................................................................................................................... 2
HTTP GET DoS ....................................................................................................................................................... 3
Atacuri cu amplificare NTP.................................................................................................................................... 4

Atacuri “Hit and Run” ........................................................................................................................................... 5

Browser Based Bots .............................................................................................................................................. 5
Spoofed User-Agents folosiți în majoritatea Bot Session-urilor ........................................................................... 6
Shared Botnets...................................................................................................................................................... 6
Atacuri Multi-Vector ............................................................................................................................................. 7
Atacuri folosind dispozitive mobile....................................................................................................................... 7

Țări din care provin cel mai frecvent atacurile DDoS............................................................................................ 8

Bibliografie ............................................................................................................................................................ 9

1|Page
 ATACURI DDOS

Ce sunt atacurile DoS și DDoS

Un atac DoS(Denial of Sercive) este un atac ce are ca scop crearea unor impedimente în
comunicația dintre rețeaua afectată și utilizatori. Acestea realizează acest lucru prin copleșirea
serverului cu o cantitate mare de trafic de date care îl forțează să se închidă.

Un atac DDoS(Distributed Denial of Service) este un atac DDoS compus din mai multe sisteme
infectate. Este mult mai greu să combați un atac DDoS decât un atac DoS datorită volumului vast
de device-uri. Acestea pot realiza atacuri la nivelui aplicație, insă pot comite atacuri și la nivelul
rețea pentru a afecta infrastructura rețelei. De obicei sistemele folosite în atacuri DDoS sunt
răspândite din punct de vedere geografic și folosesc multiple conexiuni la internet, facând
controlul atacurilor extrem de dificil.

Atacurile DoS și DDoS sunt extrem de periculoase deoarece, spre deosebire de alte tipuri de
atacuri, acestea nu au ca scop furtul de informații, ci crearea unor bariere în comunicarea
serverelor afectate cu utilizatorii.

Atacurile DDoS exploatează de obicei 3 dintre cele 7 nivele ale modelului de comunicație
OSI(Open Systems Interconnection): nivelui 3(nivelui rețea), nivelul 4(nivelui transport), și
nivelul 7(nivelul aplicație).

SYN flood – Atacuri de nivel 4

Atacurile ”SYN flood” reprezintă atacuri DDoS ale nivelului 4(nivelui transport). Ele exploatează
maniera în care este realizată o conexiune TCP(Transmission Control Protocol) pentru a-și
distribui atacul. Maniera în care se stabilește o conexiune de tip TCP se numește ”three-way
handshake”. În acestă metodă, clientul trimite către server un pachet de tip SYN. Serverul îi
trimite înapoi clientului un pachet de tip AKN(Acknowledgement), urmând ca la final clientul să
îi trimită și el serverului un pachet de tip AKN. Odată realizat acest ”three-way handshake”,
conexiunea este finalizată.

2|Page
Un SYN flood se folosește de răbdarea inerentă a stivei TCP pentru a suprasatura un server prin
a-i trimite o inundație de pachete SYN, ingorând semnalele SYN AKN returnate de către server.

În consecință serverul își epuizează resursele, fiind forțat să aștepte o perioadă de timp
predefinită pentru a primi semnalul de AKN de la clienții legitimi. De asemenea, un server este
limitat din punct de vedere al numărului de TCP-uri corupte pe cale le poate avea la un moment
dat, așadar unui atacator îi este foarte ușor de obicei să atingă această limită dacă trimite
suficient de multe pachete de tip SYN, astfel împiedicând serverul să răspundă la request-uri de
la utilizatori legiti.

Un combo SYN flood este compus din două atacuri SYN: unul folosește pachete SYN obișnuite,
iar celălalt pachete largi de peste 250 bytes. Ambele atacuri sunt executate simultan. Pachetele
de dimensiune normală epuizează resursele serverului, în timp ce pachetele largi cauzează
saturarea rețelei.

SYN flood – urile sunt destul de ușor de depistat de către aplicații pe bază de proxy. Din moment
ce acestea falsifică o conexiune la server și sunt de obicei pe bază de harware, cu o limită mult
mai mare de TCP-uri corupte, soluțiile pe bază de proxy pot suporta volumul mare de conexiuni
fără a deveni copleșite. Deoarece soluțiile pe bază de proxi reprezintă ‘endpoint’-ul conexiunii
TCP, nu va permite trecerea conexiunii către server până nu a fost finalizat un ‘three-way
handshake’, oprind astfel SYN flood – ul la proxy.

Aceste tipuri de atacuri sunt de obicei oprite folosind SYN cookies. ’SYN cookies’ folosesc hash-
uire criptografică, ceea ce sunt costisitoare din punct de vedere al puterii de computație, ceea ce
le face dezirabile pentru permiterea soluțiilor proxy/delivery cu capabilități criptografice
accelerate hardware să se ocupe de aceste tipuri de măsuri de securitate. Serverele pot
implementa ’SYN cookies’, însă dificultatea adițională plasată pe server atenuează majoritatea
beneficiilor obținute prin prevenirea SYN flood – urilor, și de obicei rezultă în site-uri și servere
disponibile, dar cu o performanță foarte scăzută.

HTTP GET DoS

Atacurile de tip HTTP GET sunt considerate mai dificil de detectat deoarece acestea sunt atacuri
de nivel 7(nivelul rețea), ceea ce denotă că s-a stabilit deja conexiunea ”three-way handshake”,
păcălind astfel orice tip de dispozitiv care verifică doar comunicația de nivelul 4, trecând astfel
neobservat drept o conexiune legitimă.

3|Page
Metoda de atac abordată de HTTP GET este aceea de a trimite serverului un număr mare de
request-uri(requesturi legitime), forțând serverul să răspundă la aceste request-uri, astfel
nemaiputând să răspundă request-urilor timise de utilizatori legitimi.

Ca o metodă de protecție împotriva acestor tipuri de atacuri a fost implementată o limitare a

vitezei, însă aceasta a forțat atacatorii să treacă la metode mai ingenioase de a-și continua atacul.
Aceștia au recurs la un sistem distribuit de boți(calculatoare zombii), pentru a se asigura că
request-urile(atacurile) vin din foarte multe direcții, facându-le mult mai greu de diferențiat față
de request-urile legitime. Acest sistem de boși distribuit este realizat prin folosirea unor
programe de tip malware sau trojan, care au ca scop infectarea unui dispozitiv de comunicație
conectat la rețea, fără știrea utilizatorului

Atacurile de nivel 7 sunt mai greu de detectat deoarece conexiunea TCP este deja validă, și la fel
sunt și request-urile. Problema este să realizezi când sunt mai mulți clienți care cer un număr
mare de obiecte în același timp și să realizezi că este un atac. Acest lucru este dificil deoarece de
obicei request-urile legitime sunt amestecate cu cele folosite pentru atac. Astfel, o filosofie ‘deny
all’ va rezulta în situația dorită de atacator: un Denial of Service.

Protejarea împotriva acestor atacuri implică de obicei un rate-shaping algorithm care

monitorizează clienții și se asigură că aceștia nu fac request la mai mult de un număr prestabilit
de obiecte pe o anumită perioadă de timp, de obicei măsurată în secunde sau minute. Dacă
clientul depășește această limită, adresa IP a clientului este ‘blacklisted’ pentru o perioadă
prestabilită de timp, iar request-uri ulterioare sunt refuzate cât timp adresa IP respectivă este
‘blacklisted’.

Deoarece această procedură poate să afecteze și utilizatori valizi, furnizorii de firewall de nivel
7(aplication firewall), caută metode mai ingenioase de a preveni atacuri DoS, fără a afecta
utilizatori legitimi. Scopul implementării unui firewall la nivelul aplicație este acela de a asigura o
conexiune rapidă și securizată. Prin prevenirea atacurilor de nivel 4 și 7, aceste soluții permit
serverelor să continue să funcționeze fără degradări de performanță cauzate de adacuri DoS.

Atacuri cu amplificare NTP

Asemeni atacurilor SYN flood, atacurile cu amplificare NTP se folosesc de o vulnerabilitate a
sistemului de comunicație pentru a-și realiza atacul. NTP(Network Time Protocol) este un
protocol de comunicație folosit de calculatoare dintr-o rețea pentru a-și sincroniza ceasurile.
Vulnerabilitatea pe care atacurile cu amplificare NTP o exploatează este o comandă ce se găsește

4|Page
în versiunile mai vechi ale protocolului NTP. Această comandă returnează o listă cu ultimele 600
de IP-uri care s-au conectat la server. Folosind această comandă, atacatorii foțează serverul să
trimită înapoi un pachet de date mult mai mare decât request-ul inițial. Această metodă poate
copleși serverul cu multitudinea de date ce trebuiesc transmise. Astfel aceștia pot compromite
serverul într-un timp foarte scurt. De asemenea, lipsa vreunei metode de
autentificare(”handshake”) a protocolului de bază UDP(User Datagram Protocol), poate cauza
atacuri cu amplificare NTP destul de masive.

Sunt mai bine de 400.000 de servere NTP în toată lumea ce pot fi folosite într-un astfel de atac.
Unele dintre acestea pot atinge un factor de amplificare de până la 700%, ceea ce ar cauza o
problemă majoră pentru traficul de internet.

Atacuri “Hit and Run”

Atacurile “Hit and Run” reprezintă(asemeni numelui), atacuri ce folosesc pachete de mici
dimensiuni în lansarea atacului, pe durată de timp îndelungată. Spre deosebire de alte atacuri
DDoS, atacurile ”Hit and Run” nu se basează pe trimiterea unor pachete de dimensiuni foarte
mari la un anume moment de timp, ci abordează o metodă ce poate dura zile sau chiar săptămâni,
ceea ce o face una dintre cele mai periculoase forme de atacuri DDoS, precum și una dintre cele
mai populare. Un alt avantaj pe care aceste tipuri de atacuri le au față de celelalte metode este
faltul că acestea nu sunt menite să fie atacuri continue, ceea ce cauzează impedimente majore
pentru solițiile anti-DDoS(care de obicei au o reacție lentă). Astfel, orice tip de soliție împotriva
acestor tipuri de atacuri va trebui să fie ”activată/dezactivată” manual pentru fiecare explozie de
pachete.

Browser Based Bots

Browser Based Bots reprezintă segmente de cod malițios de care te poți intersecta în timpul unei
sesiuni de web browsing. Aceștia rulează în tineriorul unui browser și infectează un calculator
fără știrea utilizatorului, în momentul în care acesta afectează un website malițios. Mai mulți boți
pot lansa simultan un atac împotriva unui server din mai multe dispozitive compromise.

Aceștia apelează la o multitudine de metode pentru a putea evita soluțiile anti-DDoS: unii boți au
abilitatea de a imita anumite aspecte ale comportamentului unui browser, cum ar fi suportul
cookie-urilor. Totuși, acesta nu este atributul principal ce face acest tip de atac unul periculos, ci
faptul că atacurile de tip ”Browser Based Bots” sunt atacuri de nivel 7(nivelul rețea), ceea ce
înseamă că deja a fost stabilită conexiunea tip ”three-way handshake”. De asemenea, această

5|Page
metodă poate compromite un server fără să necesite un trafic mare de date: în medie, un atac
de 50 – 100 de request-uri pe secundă este suficient pentru a bloca un server de dimensiune
medie. Aceste tipuri de atacuri sunt greu de detectat și de obicei sunt depistate numai după ce
răul a fost deja comis.

Depistarea atacurilor de nivel 7 necesită o înțelegere fundamentală a nivelului aplicație. De

asemenea, este necesară o diferențiere între 3 tipuri de trafic: ”malicious bot traffic”, ”regular
bot traffic”(de exemplu boții pentru search engines) și ”human traffic”, precum și o abilitate de
a calcula un factor de risk în funcție de: identitatea vizitatorului, comportamentul acestuia și
reputația acestuia.

Spoofed User-Agents folosiți în majoritatea Bot Session-

urilor
Boții folositori, precum ”Googlebots” sunt esențiali pentru a asigura site-urile sunt indexate
corect de către search engines. Astfel, este important să nu îi blocăm accidental.

”Spoofed User-Agents” este o metodă prin care boții malițioși pot trece drept boți folositori,
proveniți din surse legitime precum Google sau Yahoo. Metoda aceasta este eficientă âmpotriva
sistemelor cu filtre low-level.

Există o multitudine de boți malițioși ce pot fi confundați cu search engines, însă ei nu prezintă o
amenințare serioasă. De fapt, aceasta este una din cele mai ușoare tipuri de atacuri DDoS ale
nivelului aplicație datorită comportamentului predictibil al search-engine-urilor, precum și ale
punctelor de plecare predeterminate.

Shared Botnets
Un ”botnet” reprezintă un grup de computere infectate de programe malițioase. De obicei
utilizatorii acestor sisteme sunt inconștienți de existența vreunei probleme, ceea ce le permite
atacatorilor să folosească sistemele respective în realizarea unor atacuri DDoS fără stirea
utilizatorului. Această metodă de atac vine și cu o formă de flexibilitate în ceea ce privește
dispozitivele ce pot fi folosite în lansarea unui atac DDoS: acestea pot varia de la calculatoare, la
telefoane mobile, la camere CCTV, care au de obicei o parolă predefinită ușor de ghicit.

”Shared botnets” reprezintă mai multe botnet-uri împărțite între hackeri împrumutate de la un
hacker la altul. Acestea pot avea deținători multipli și folosesc aceleași sisteme compromise

6|Page
pentru a lansa atacurile împotriva diferitelor ținte. Aceștia pot fi cumpărață pe internet și pot fi
lansați cu ușutință chiar și de utilizatori ce nu dețin cunoștințe tehnice.

Aceste tipuri de atacuri continuă să crească semnificativ deoarece pot fi accesate la un cost redus
și pot fi utilizate cu ușurință să aibe cunoștințe tehnice. Sistemele de atenuare ale atacurilor DDoS
trebuie să fie proactive și folosească metode de securitate pe bază de reputație pentru a anticipa
intențiile utilizatorilor(și să le poată da red flag dacă este necesar).

Ușurința în utilizarea acestor tipuri de atacuri precum și constul redus al acestora le cataloghează
drept unele dintre atacurile DDoS mai populare, și se estimează că numărul acestora va crește
semnificativ.

Atacuri Multi-Vector
Pentru a înțelege acest tip de atac trebuie să vedem un singur fel de atac DDoS drept un vector.
Folosing acest mod de percepere, ”Multi-Vector Attacks” reprezintă un atac masiv ce înglobează
mai multe tipuri de atacuri DDoS, de tipuri diferite(cu cât mai variate cu atat mai bine).

Rata de succes ale acestor atacuri precum și daunele colaterale pe care le pot cauza unui business
reprezintă factori esențiali ce le face foarte atrăgătoare pentru atacatori. O metodă foarte
eficientă folosită de acest tip de atac este lansarea unui ”vector-attack” pe post de diversiune, în
timp ce alt atac, mult mai puternic este folosit ca și armă principală.

Aceste tipuri de atacuri pot fi extrem de greu de combătut, deoarece orice tip de soliție
concepută împotriva lor va trebui să aibe o abordare multinivel de-a lungul întregului data center
și o echipă de IT foarte competenți în combaterea acestor tipuri de atacuri.

Atacuri folosind dispozitive mobile

Dispozitivele mobile au devenit în ultima vreme o țintă preferată de atacatori datorită sistemului
de securitate mai limitat decât cel al calculatoarelor personale. De asemenea, penetrarea acestor
sisteme de securitate devine din ce în ce mai ușor odată cu creșterea lățimii de bandă de internet,
precum și a creșterii vitezei de conectare.

Majoritatea utilizatorilor nu își instalează antivirus pe dispozitivele mobile însă tind să instaleze
aplicații într-o manieră mai relaxată decât pe calculatorul personal(pot instala aplicații din surse

7|Page
nesigure), netinând cont de riscurile de securitate, ceea ce face infectarea acestor dispozitive
mult mai ușor de realizat.

Dispozitivele mobile devin din ce în ce mai folosite și din ce în ce mai puternice, ceea ce va cauza
o creștere exponențială ale acestor tipuri de atacuriDe asemenea, combaterea acestor atacuri
vine și cu un nivel adițional de complexitate: rețelele celulare nu pot folosi firewall-uri tradiționale
pentru a bloca adresa IP a sursei din moment ce ar afecta și traficul legitim.

Țări din care provin cel mai frecvent atacurile DDoS

De obicei atacurile DDoS sunt redireționate prin medii de hosting sau dispozitive conectate la
internet ăn regiuni cu infrastructură nesecurizată. Deși este posibil ca atacurile să provină din alte
țări, ele pot totuși să fie amplificate prin alte medii. Infrastructura de IT în aceste regiuni tinde să
aibe măsuri de securitate destul de scăzute, motiv pentru care resursele de computare din aceste
regiuni sunt adesea folosite pentru realizarea acestor tipuri de atacuri

Aceste atacuri cel mai probabil vor continua să crească în aceste regiuni pe măsură ce numărul
dispozitivelor cu conexiune la internet din aceste regiuni va crește. O implementare ale unor
metode de regulare și control a securității ar putea reduce în mod semnificativ atacurile care
provin din aceste regiuni.

Țările cu cea mai mare frecvență ale atacurilor DDoS

12

10

0
India China Iran Indonezia Us Thailanda Turcia Rusia Vietnam Peru

Țările cu cea mai mare frecvență ale atacurilor DDoS

8|Page
Bibliografie
http://www.cs.columbia.edu/~locasto/projects/candidacy/papers/ioannidis2002pushback.pdf

http://ieeexplore.ieee.org/abstract/document/1199330/

http://www.sciencedirect.com/science/article/pii/S1389128603004250

https://www.keycdn.com/support/ddos-attack/

https://www.imperva.com/docs/DS_Incapsula_The_Top_10_DDoS_Attack_Trends_ebook.pdf

https://devcentral.f5.com/articles/layer-4-vs-layer-7-dos-attack

https://isc.sans.edu/forums/diary/NTP+reflection+attack/17300/

9|Page