Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.08.2021

Firma Fortinet rozszerzyła...

Firma Fortinet rozszerzyła ofertę o usługę FortiTrust, która dołączyła do innych usług...
26.08.2021

Aplikacje biznesowe

Ready_™ AppStore
26.08.2021

Automatyzacja chmur...

Integracja z Red Hat Ansible
26.08.2021

Backup kodu źródłowego

GitProtect.io dostępny na Github
26.08.2021

Wsparcie pracy hybrydowej

Zdalny SD WAN
26.08.2021

Nowy monitor Philips 498P9Z

Nowy monitor Philips 498P9Z to model wyposażony w 49-calowy, zakrzywiony panel VA o...
26.08.2021

Wytrzymały punkt dostępowy

D-Link DIS-2650AP
26.08.2021

Ekonomiczne dyski

SSD bez DRAM
26.08.2021

Petabajty pojemności

Serwery QNAP

Modelowe ataki przestępców. Wolumetryczne ataki odmowy dostępu – DDoS

Data publikacji: 27-05-2021 Autor: Ireneusz Tarnowski

W ciągu ostatniej dekady ataki powodujące niedostępność krytycznych usług lub systemów były stosowane w celu spowodowania strat finansowych i utraty prestiżu w różnych gałęziach biznesu. Równie często celem były również systemy oraz witryny rządowe, a ten rodzaj ataku służył jako narzędzie manifestacji politycznych lub broń w świecie cyberwojny.

 

A  tak DoS (ang. Denial-of-Service) w dużym uproszczeniu polega na tym, że system świadczący usługę jest blokowany, tak by uprawnieni użytkownicy nie mogli uzyskać do niego dostępu. W ataku DoS napastnik zasypuje docelowy system ruchem sieciowym lub stale wysyła informacje, co prowadzi do blokady lub awarii systemu.

 

> Rodzaje ataków typu odmowa dostępu

Blokada usługi sieciowej może być dokonywana na kilka sposobów. Ze względu na warstwę modelu OSI wyróżnia się ataki wolumetryczne i aplikacyjne. Można powiedzieć, że jest to podział na ataki ilościowe (wolumetryczne) przeprowadzone w warstwie sieciowej L3 lub transportowej L4 oraz jakościowe (aplikacyjne) przeprowadzone w warstwie aplikacyjnej L7 modelu OSI.

Ze względu na skalę ataku (liczbę systemów atakujących) wyróżnia się ataki rozproszone (ang. Distributed Denial of Service). Ataki DDoS osiągają skuteczność dzięki wykorzystaniu wielu systemów komputerowych jako źródeł ruchu związanego z atakami. Jeżeli przestępcy zainfekują lub wykorzystają słabości istniejących systemów(np. błędną konfigurację publicznych usług), to tworzą sieć komputerów wykorzystywanych do ataków, która nazywana jest botem. Maszyny atakujące mogą obejmować komputery i inne zasoby sieciowe, takie jak urządzenia IoT.

Wolumetryczne ataki DDoS mają na celu wyczerpanie przepustowości sieci wewnętrznej. Ataki te przeprowadzane są przeciwko konkretnemu celowi. Zazwyczaj wybierane są krytyczne usługi u dostawców usług (SP) lub bezpośrednio w sieci klientów korporacyjnych. Atakujący, generując dużą liczbę pakietów sieciowych, zalewa miejsce docelowe. By zwiększyć swoją skuteczność, bardzo często wykorzystuje podatne usługi, takie jak memcached, NTP, DNS i SSDP. Wykorzystując błędnie skonfigurowane publiczne usługi, znacząco zwiększa rozmiar pakietu sieciowego, w ten sposób zapełniając łącza i doprowadzając do przerwy w działaniu lub awarii systemu.

Wysoko wykwalifikowani napastnicy zwykle łączą wolumetryczne ataki DDoS z atakami warstwy aplikacji. W istocie skupiają się oni na atakach na poziomie aplikacji, które wyrządzają rzeczywiste szkody.

Groźba ataku DDoS bywa czasami używana do szantażowania firm, np. serwisów aukcyjnych, instytucji rządowych czy finansowych, gdzie przerwa w działaniu systemu transakcyjnego przekłada się na bezpośrednie straty finansowe firmy i jej klientów. W takich przypadkach osoby stojące za atakiem żądają okupu za odstąpienie od ataku lub jego przerwanie.

 

> Największe ataki DDoS w dotychczasowej historii

W październiku 2020 r. zespół Google Cloud ujawnił informację o ataku DDoS wymierzonym w usługi Google’a, który miał miejsce we wrześniu 2017 r. Atak ten osiągnął wielkość 2,54 Tb/s, co czyni go największym zarejestrowanym atakiem DDoS.

Badacze TAG (ang. Threat Analysis Group – zespół Google’a analizujący największe zagrożenia i ataki) twierdzą, że atak nastąpił z Chin, z sieci czterech chińskich dostawców usług internetowych (ASN 4134, 4837, 58453 i 9394). Potwierdzono, że szczyt ataku 2,54 Tb/s był „zwieńczeniem sześciomiesięcznej kampanii”, w której wykorzystano różne metody ataków w celu zahamowania infrastruktury serwerowej Google. Atakujący użyli kilku sieci do sfałszowania 167 Mp/s do 180 000 ujawnionych serwerów CLDAP, DNS i SMTP, które następnie wysłałyby duże odpowiedzi.

Atak ten pokazał, jak duży wolumen ruchu sieciowego może osiągnąć atakujący dysponujący odpowiednimi zasobami. Było to czterokrotnie więcej niż dotychczasowy rekord. W 2016 r. poprzez botnet Mirai przeprowadzono atak na poziomie 623 Gb/s. Atak ten na jeden dzień zatrzymał usługi (systemy streamingowe, DNS, zasoby chmurowe, telewizje online) głównych dostawców w Ameryce Północnej.

Co więcej, atak na Google'a jest również większy niż ujawniony w lutym 2020 r. (uznawany jednak za największy) atak DDoS 2,3 Tb/s, którego celem była infrastruktura. Był to atak typu Reflection Amplification DDoS Attack, którego bezpośrednim celem były serwery Github (rys. 1). Do jego przeprowadzenia wykorzystano podatne serwery CLDAP. Rys. 2 pokazuje dynamikę zmian ataków DDoS.

 

> Ataki wolumetryczne

Jak już zostało wspomniane, atak wolumetryczny ma na celu wysycenie łącza internetowego i tym samym „odcięcie” od sieci atakowanego systemu. Prowadzenie takiego ataku z pojedynczego komputera mija się z celem, bo wielkość ataku ograniczona jest do łącza pomiędzy komputerem atakującym a atakowanym, a to sprawia, że mitygacja takiego ataku jest bardzo łatwa. W praktyce ataki typu odmowa dostępu przeprowadza się z rozległej infrastruktury, z bardzo wielu komputerów jednocześnie. Wtedy mamy do czynienia z atakiem rozproszonym. Typowymi atakami wolumetrycznymi są:

 

SYN Flood

SYN flood (atak półotwarty) to rodzaj ataku typu „odmowa usługi” (DDoS), którego celem jest uniemożliwienie dostępu do serwera dla uprawnionego ruchu poprzez wykorzystanie wszystkich dostępnych zasobów serwera. Atak polega na wysyłaniu dużej ilości pakietów z ustawioną w nagłówku flagą synchronizacji (SYN) i najczęściej ze sfałszowanym adresem IP nadawcy (IP spoofing). Pakiety TCP z ustawioną flagą SYN służą do informowania zdalnego komputera o chęci nawiązania z nim połączenia. Poprzez wielokrotne wysyłanie pakietów z żądaniem połączenia początkowego (SYN) osoba atakująca może przeciążać wszystkie dostępne porty na docelowej maszynie serwerowej, powodując, że docelowe urządzenie wolno reaguje lub nie odpowiada na prawidłowy ruch. Jeżeli taki atak będzie ciągły, a liczba pakietów bardzo duża, w pewnym momencie nastąpi przepełnienie tablicy połączeń atakowanej maszyny, co spowoduje, że ów komputer nie będzie akceptował następnych przychodzących połączeń.

ICMP Flood

Atak DDoS oparty na protokole ICMP (ang. Internet Control Message Protocol), znany również jako atak typu Ping Flood, to typowy atak typu Denial-of-Service (DoS), w którym osoba atakująca próbuje przeciążyć docelowe urządzenie żądaniami ICMP (tzw. pingami). Zwykle komunikaty ICMP żądania echa i odpowiedzi echa są używane do „pingowania” urządzenia sieciowego w celu zdiagnozowania łączności urządzenia oraz połączenia między nadawcą a urządzeniem. Przez zalewanie atakowanego systemu pakietami żądań sieć jest zmuszona odpowiedzieć taką samą liczbą pakietów odpowiedzi. Powoduje to, że cel staje się niedostępny dla normalnego ruchu.

Ponieważ ataki ICMP Flood DDoS przeciążają połączenia sieciowe urządzenia docelowego złośliwym ruchem, uniemożliwiane jest przedostanie się legalnych żądań. Tym, co sprawia, że ten wektor ataku jest jeszcze bardziej niebezpieczny, jest fakt, że umożliwia fałszowanie adresów IP w celu zamaskowania urządzenia wysyłającego. Choć obecnie, przy wyrafinowanych atakach z wykorzystaniem botnetów (zwłaszcza botów opartych na IoT), atakujący nie maskują adresu IP bota.

 

[...]

 

Ekspert w zakresie analizy i reagowania na cyberzagrożenia. Analizując zagrożenia w cyberprzestrzeni oraz techniki, taktyki i procedury w atakach, ocenia potencjalny wpływ na organizację i opracowuje plany reakcji na pojawiające się ataki i zagrożenia. Miłośnik defensywnego podejścia do cyberbezpieczeństwa.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"