Szolgáltatásmegtagadással járó támadás

A Wikipédiából, a szabad enciklopédiából

A szolgáltatásmegtagadással járó támadás (Denial of Service vagy DoS), más néven túlterheléses támadás, illetve az elosztott szolgáltatásmegtagadással járó támadás (Distributed Denial of Service, DDoS) informatikai szolgáltatás teljes vagy részleges megbénítása, helyes működési módjától való eltérítése.

A szolgáltatásmegtagadásos támadás egy meghatározott alkalmazás, operációs rendszer ismert gyengeségeit, vagy valamilyen speciális protokoll tulajdonságait (gyengéit) támadja meg. Célja, hogy az alkalmazás, vagy rendszer elérésére feljogosított felhasználókat megakadályozza a számukra fontos információk, a számítógép-rendszer vagy akár a számítógép-hálózat elérésében. A támadás eredményeképpen a rendszer nagyon lelassul, elérhetetlenné válik, esetleg össze is omolhat. A lényege, hogy lehetőség szerint megakadályozza a célgép elérését.

SYN flooding támadás[szerkesztés | forrásszöveg szerkesztése]

SYN flooding támadás

A SYN flooding támadás a TCP protokoll három-utas kézfogásos üzenet visszaigazolási rendszerét használja ki. Mielőtt egy munkaállomás kapcsolódni akar egy szerverhez, a szerver ezt egy porthoz kell hogy kapcsolja és ezt a portot ki kell nyissa. Ezt a lépést passzív port nyitásnak hívjuk. Ha egyszer a passzív port nyitva van, a kliens kezdeményezheti egy aktív port nyitását. Ekkor a három-utas kézfogás folyamata zajlik le.

  1. SYN: Amikor a kliens egy SYN-t küld a szervernek, sor kerül az aktív port nyitásra. A kliens a szegmens sorszámát egy véletlen értékre A állítja.
  2. SYN-ACK: A válaszában a szerver egy SYN-ACK küld. A nyugtázó szám értékét a kapott sorszám értéke plusz 1 re állítja (A+1) a csomag sorszámaként egy másik véletlen számot választ ki. B.
  3. ACK: Végül a kliens egy ACK-t küld a szervernek. A sorozatszám a kapott nyugtázó érték lesz (A+1) és a kliens által küldött érték a szervertől kapott sorozatszám plusz 1. (B+1)

Ekkor mind a kliens, mind a szerver megkapja a kapcsolatfelvétel nyugtáját.

A SYN flooding támadás esetén a támadó egy hamis IP címről küldi el a SYN üzenetet, amit a szerver megfelelő módon fogad és a hamis IP címre visszaküldi a SYN-ACK üzenetet. Ezután várja a kliens ACK nyugtáját ezt azonban a hamis IP címről soha nem kapja meg. Természetesen egy meghatározott timeoutot követően eldobja a kapcsolatot, azonban sok hamis SYN üzenet esetén a felesleges timeout idők a szabályos kapcsolatok fogadását is nagyon lelassítják súlyos esetben lehetetlenné teszik.

POD (Ping of death) támadás[szerkesztés | forrásszöveg szerkesztése]

A POD támadás lényege, hogy a támadó egy legalább 64 Kbyte méretű ICMP ping csomagot (Internet Control Message Protocol ping packet) küld a megtámadott gépre. Az RFC 791 szabvány szerint egy IPv4 csomag maximális mérete, beleértve az IP headert is, 65 535 (216 – 1) byte, ez korlátozás a teljes csomaghosszat leíró 16 bit széles header mezőnek a méretéből következik.

Egy ilyen indokolatlanul nagy ping csomagot a legtöbb rendszer képtelen kezelni. Ezért ez képes komolyan megakasztani a gép működését (szaggató egér, akadozó műveletek) vagy – rosszabb esetben – akár teljesen össze is omlaszthatja, például Windows esetén kék halált vagy Unix/Linux/BSD esetén kernelpánikot okozhat.

Barátságos környezetben célszerű a pingelésre válaszolni. Ellenséges környezetben a fontosabb gépek jobban teszik, ha pingelésre nem reagálnak, és általánosságban is csak a tényleges alapfeladatukat végzik, hisz semelyik internetes kapcsolat indítványozásra sem kötelező reagálni. Unix/Linux/BSD esetén már az ezredforduló óta, óvatos rendszergazdai rutinnak számít a rendszer tűzfalát ezen morcosan tartózkodó szellemben konfigurálni. Az eredmény, hogy az így konfigurált szerverek sikeres támadása sokkal nehezebb.

DoS / DDoS[szerkesztés | forrásszöveg szerkesztése]

Az egyszerű DoS támadás egy-az-egy-ellen támadás, ahol egy nagyon erős „támadó” állomás és a célállomás van kapcsolatban, nincsenek közbeiktatott gépek. A DDoS támadások egy összetettebb fajtája, amely a támadón és támadotton kívüli számítógépekben rejlő „erőt”, illetve a külső számítógépek nagy mennyiségét hasznosítja a támadáshoz.

A DDoS támadóállomások keletkezése[szerkesztés | forrásszöveg szerkesztése]

  • Egy automatizált eszköz (alkalmazás) felkutatja az internetre kapcsolódó, sebezhető számítógépeket. Amikor talál egyet, és képes megfertőzni azt, feltelepít egy rejtett támadóprogramot, amitől a megtámadott gép „zombivá” alakul (az elnevezés utal az akarat és értelem nélküli élőhalottakra, akik külső utasításra támadnak).
  • Másik lehetőség, hogy a rejtett program telepítése számítógépes vírusokkal vagy trójai programokkal történik.

A támadás menete[szerkesztés | forrásszöveg szerkesztése]

A „zombi” gépek távolról vezérelhetőek egy „mester” gépről (a támadó gépéről). Ha elég gépet fertőzött meg a támadóprogrammal a „mester” állomás jelt ad a „zombiknak”, hogy kezdjék meg a támadást a kiszemelt célpont vagy célpontok ellen. Ekkor az összes „zombi” egyszerre elindítja a támadást, és bár egyenként kis mennyiségű adattal dolgoznak, mégis több száz, vagy akár százezer támadó gép esetén a sok kis adatcsomag eredménye hatalmas adatáramlás, mely a megtámadott gép ellen irányul.

Ismert DDoS programok[szerkesztés | forrásszöveg szerkesztése]

Ismert DDoS programok például a Trin00[1], a TFN, TFN2K és a Stacheldrath.

Az Anonymous akciókhoz LOIC (Low-orbit Ion-cannon) programot, és HOIC (High-orbit Ion-cannon) programot használnak.

Története[szerkesztés | forrásszöveg szerkesztése]

Az első DDoS támadás 1999-ben jelent meg, csupán 3 évvel a SYN flood-ot használó DoS támadások után. 2000 februárjának elején olyan népszerű Internetes oldalakat tettek elérhetetlenné ilyen támadással, mint az Amazon, CNN, eBay, és a Yahoo! 2002-ben a 13 root DNS-ből 9-et tettek elérhetetlenné masszív, irányított DDoS támadással, melynek folyamán ezen szerverek némelyike 150 ezer ICMP kérést fogadott másodpercenként, azonban mivel az akció alig fél óráig tartott, az Internet nem bénult meg nagy mértékben.

A történelem egyik legnagyobb DDoS támadását a Mydoom nevű féregvírus okozta, mely 2004. január végén terjedt el néhány nap alatt megfertőzve a világ internetre kötött számítógépeinek csaknem 20%-át (a Windows rendszert használó gépek jelentős részét), és február elején elérhetetlenné tette az SCO weboldalát, mivel kb. 25-30 ezer fertőzött zombi-gép támadta a cég szervereit. A vírus B. variánsa a Microsoftot vette célba, az azonban kiállta a támadást. 2004 júniusában megjelent az F variáns, amely a RIAA (az amerikai kép- és hanganyagok jogdíjaival foglalkozó társaság) számítógépeit támadta.

2009 augusztusában egy grúz szolgáltató ellen volt DDoS támadás. A vélhetőleg orosz titkos ügynökök a Twittert tették 3 és fél órára elérhetetlenné. A támadók a következő oldalakat akarták még megtámadni: Facebook (épphogy elbírta.), Youtube, Gmail. [2] 2013.05.07-től elérhetetlenné tette a Battlelogot és a Battlefield 3 című játék összes szerverét, melyet azóta már orvosoltak.

A DDoS ellenszerei[szerkesztés | forrásszöveg szerkesztése]

Hozzáférés-ellenőrzési lista és/vagy tűzfalak[szerkesztés | forrásszöveg szerkesztése]

A Router fő funkciója a csomagok irányítása. Kiegészítő funkciója, hogy információt szolgáltasson a netflow-ról az elszámoláshoz és a hálózati diagnosztikához. A netflow információt visszaélés- és ritkaesemény-figyelő eszközök használják fel, amelyek fel tudják fedezni a szokatlan hálózat-használatot, így jelezni tudnak egy lehetséges DDoS támadást. Egy DDoS támadás alatt, ha a támadót azonosították, a hálózat operátorai fel tudják számolni a támadást manuális „null routing”-gal, vagyis kiejtik a támadó forgalmat, a támadó hostot, vagy tartományt.

Szabályok sorát kezelik, amelyek részletezik a korlátozásokat minden egyes hálózati hosztra és eszközre. Korlátozza a ki- és bemenő forgalmat egy hoszton, hacsak nem engedélyezett és ismert szolgáltatásról van szó. Be lehet állítani, hogy mind a bejövő, mind a kimenő forgalmat ellenőrizze. Ha a DDoS támadót azonosították, a hálózat operátorai véget tudnak vetni a támadásnak azzal, hogy manuálisan megváltoztatják az ACL vagy Tűzfal felületét, a támadó hosztot vagy domaint.

Illetéktelen hálózati behatolást jelző rendszer (IDS)[szerkesztés | forrásszöveg szerkesztése]

Mélyreható csomagvizsgálatot alkalmaz, így vizsgálja át a csomagokat vírusok, trójaiak és más támadó alkalmazások után kutatva. A mélyreható csomagvizsgálat technikáját alkalmazzák a DDoS támadások elleni védelemre, de minden csomagot valós időben kell átvizsgálni.

Jegyzetek[szerkesztés | forrásszöveg szerkesztése]

Források[szerkesztés | forrásszöveg szerkesztése]