DDoS - Κατανοώντας τα βασικά των επιθέσεων DoS - DDoS



Η Ιδέα

Οι επιθέσεις Denial of Service προσπαθούν να εξαντλήσουν τους πόρους του «θύματος». Αυτοί οι πόροι μπορεί να είναι το εύρος ζώνης του δικτύου, η υπολογιστική ισχύς ή οι δομές δεδομένων λειτουργικών συστημάτων. Για να εξαπολυθεί μια επίθεση DDoS, χτίζεται αρχικά ένα δίκτυο υπολογιστών, οι οποίοι θα χρησιμοποιηθούν για να παραγάγουν τον όγκο της κίνησης που απαιτείται ώστε να προκληθεί άρνηση των υπηρεσιών στους εξουσιοδοτημένους χρήστες των υπηρεσιών οι οποίες είναι στόχος της επίθεσης. Για να δημιουργήσουν αυτό το δίκτυο επίθεσης, οι επιτιθέμενοι ανακαλύπτουν τρωτά sites ή τρωτούς hosts που είναι διασυνδεμένοι με το δίκτυο. Τέτοιου είδους hosts είναι συνήθως εκείνοι που τρέχουν out-of-date anti-virus ή μη επιδιορθωμένο software. Οι τρωτοί αυτοί hosts χρησιμοποιούνται από τον επιτιθέμενο, που χρησιμοποιεί το ελάττωμά τους για να αποκτήσει πρόσβαση σε αυτούς. Το επόμενο βήμα για τον εισβολέα είναι να εγκαταστήσει νέα προγράμματα (γνωστά ως εργαλεία επίθεσης) στους εκτεθειμένους hosts του δικτύου επίθεσης. Οι hosts που τρέχουν αυτά τα εργαλεία επίθεσης (Nazario J., 2004) είναι γνωστοί ως “zombies" και μπορούν να πραγματοποιήσουν οποιαδήποτε επίθεση κάτω από τον έλεγχο του επιτιθέμενου.    
(http://www.cisco.com/en/US/tech/tk59/technologies_white_paper09186a0080174a5b.shtml#intro)






Στρατολόγηση τρωτών μηχανών 

Οι επιτιθέμενοι χρησιμοποιούν διαφόρων ειδών τεχνικές (γνωστές και ως τεχνικές σάρωσης) προκειμένου να βρουν «τρωτές» μηχανές σε ένα δίκτυο ή στο διαδίκτυο. . (Calvert, M. Doar, and E. Zegura; 1997).


Τυχαία Σάρωση  

Ο υπολογιστής του επιτιθέμενου ή ένα άλλος που έχει ήδη «μολυνθεί» με κατάλληλο λογισμικό δοκιμάζει τυχαία διευθύνσεις IP από το χώρο διευθύνσεων IP και ελέγχει εάν οι υπολογιστές που έχουν διευθυνσιοδοτηθεί με αυτές έχουν κενά ασφαλείας, είναι δηλαδή τρωτές. Η αναγνώριση αυτή γίνεται με την δοκιμή ύπαρξης διάφορων γνωστών τρωτών σημείων στα λειτουργικά συστήματα ή στην εξέταση για ελλιπή / πλημμελή  παραμετροποίηση τους κλπ. Όταν βρεθεί ο κατάλληλος υπολογιστής τον «μολύνει» με την εγκατάσταση του ίδιου κακόβουλου λογισμικού. Η νέα αυτή μηχανή με την σειρά της θα αρχίσει την αναζήτηση άλλων τρωτών υπολογιστών με μοναδικό σκοπό την εξάπλωση του κακόβουλου λογισμικού. Γίνεται φανερό ότι με την πολιτική αυτή η εξάπλωση γίνεται ταχύτατα. (Huffaker B., Fomenkov M., Moore D., Claffy K.C., 2001)


Hitlist Σάρωση

Πολύ πριν την εκδήλωση της επίθεσης, ο επιτιθέμενος συγκεντρώνει σε μια λίστα όσο το δυνατόν μεγαλύτερο αριθμό IP διευθύνσεων από τρωτούς υπολογιστές. Η σύνταξη του κατάλογου αυτού γίνεται συνήθως με πολύ αργούς ρυθμούς και για ένα αρκετά μεγάλο χρονικό διάστημα. Έτσι είναι δυνατόν η δραστηριότητα αυτή να μην παρατηρηθεί. Όταν ο επιτιθέμενος αποφασίσει ότι ήρθε η ώρα να εξαπολυθεί επίθεση αρχίζει να σαρώνει την λίστα σειριακά. Σε κάθε ένα υπολογιστή που βρίσκει ότι εξακολουθεί να είναι τρωτός εγκαθιστά το κακόβουλο λογισμικό και μοιράζει την διαθέσιμη λίστα σε  2 ίσια κομμάτια. Κάθε μολυσμένος υπολογιστής επαναλαμβάνει την διαδικασία εύρεσης τρωτής μηχανής / εγκατάστασης κακόβουλου λογισμικού / διαίρεσης της λίστας. Έτσι σε ελάχιστο χρόνο καταφέρνει να μολύνει μεγάλο αριθμό συστημάτων ώστε να χρησιμοποιηθούν κατά την επικείμενη επίθεση. 


Σάρωση τοπολογίας 

Η τεχνική σάρωσης τοπολογίας, χρησιμοποιεί πληροφορίες που βρίσκονται αποθηκευμένες σε ένα ήδη μολυσμένο υπολογιστή. Εξετάζεται δηλαδή ο σκληρός δίσκος του μηχανήματος για γνωστά URL. Αυτά τα URL καθίστανται στόχοι και ελέγχονται αν οι web servers που αυτές αναφέρονται είναι τρωτοί. Η τεχνική αυτή είναι εξαιρετικά καλή και η απόδοση της φαίνεται να προσεγγίζει εκείνη της hitlist σάρωσης. Ως εκ τούτου, η σάρωση τοπολογίας είναι ικανή να δημιουργήσει ένα μεγάλο στρατό από επιτιθέμενους εξαιρετικά γρήγορα και επιταχύνει με αυτό τον τρόπο την εξάπλωση του κακόβουλου κώδικα.   

Σάρωση τοπικού δικτύου 

Αυτή του είδους η σάρωση δρα πίσω από τα firewall σε μια περιοχή η οποία έχει μολυνθεί από το κακόβουλο λογισμικό. Ο «μολυσμένος» υπολογιστής ψάχνει στο τοπικό του δίκτυο να βρει τρωτούς υπολογιστές. Μόλις εξεταστούν όλες οι μηχανές του τοπικού δικτύου και μολυνθούν όσες από αυτές είναι τρωτές, μπορεί να συνεχίσει η διαδικασία σάρωσης σε άλλα συστήματα εκτός τοπικού δικτύου, χρησιμοποιώντας μια από τις παραπάνω περιγραφόμενες τεχνικές.

Βιβλιογραφία
  1. Nazario J.; (2004);“Defense and Detection strategies against Internet Worms”; Artech House; Boston; Pp 35-36
  2. Calvert K, M. Doar, and E. Zegura; (1997); “Modeling Internet Topology”; IEEE Transactions on Communications; December 1997; pp 160–163
  3. Huffaker B., Fomenkov M., Moore D., Claffy K.C.; (2001); “Macrosopic analyses of the infrastructure:  Measurement and Visualization of Internet Connectivity and Performance.”  http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.28.4969



Αναρτήθηκε από
Ετικέτες

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

Εγγραφή σε: Σχόλια ανάρτησης (Atom)