Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

DDoS támadások veszélyei és az ellenük való védekezés lehetséges módszerei Gyányi Sándor.

Hasonló előadás


Az előadások a következő témára: "DDoS támadások veszélyei és az ellenük való védekezés lehetséges módszerei Gyányi Sándor."— Előadás másolata:

1 DDoS támadások veszélyei és az ellenük való védekezés lehetséges módszerei
Gyányi Sándor

2 DoS támadás meghatározása
Denial of Service: szolgáltatás megtagadás. A támadó a célpont informatikai rendszerét próbálja olyan módon túlterhelni, hogy az képtelen legyen a normál, üzemszerű működésre és így az általa nyújtott szolgáltatás nyújtására. Leggyakoribb módszer: túlterhelés.

3 „Klasszikus” DoS A célpontot egyetlen pontból támadják.
A támadó a célpont erőforrásait próbálja lefoglalni. Lehetséges hálózati rétegben (pl. TCP Syn Flood Attack) vagy alkalmazási rétegben ( flooding vagy anonymous ftp tárolóhely lefoglalás)

4 TCP Syn Flood Attack Az IP hálózatok - így az Internet is - legnépszerűbb szolgáltatásai (SMTP, HTTP, FTP) TCP kapcsolatot alkalmaznak. TCP kapcsolat felépítését egy úgynevezett „háromutas” kézfogás előzi meg. A kliens Syn csomagot küld. A szerver Syn + ACK csomaggal nyugtáz. A kliens Syn + ACK csomaggal nyugtáz. A kapcsolat ettől a ponttól működőképes.

5 TCP Syn Flood Attack 2. A támadás menete:
A támadó Syn csomagot küld, hamisított feladó címmel. A célpont tárolja a leendő kapcsolat adatait, majd Syn + ACK nyugtázó csomagot küld a feladónak (a hamisított, esetleg nem is létező címre). A célpont nem kap választ, ezért néhányszor (általában még háromszor) újraküldi az üzenetet. A célpont felszabadítja a kapcsolat tárolására szolgáló memóriát. A támadó nagy mennyiségű Syn csomaggal árasztja el a célpontot, amelynek a kapcsolatok állapotát tároló memóriája megtelik, így nem lesz képes új TCP kapcsolatot létrehozni.

6 TCP Syn Flood Attack 3. Védekezés módszerei:
A „félkész” kapcsolatok tárolására szolgáló memória megnövelése. Speciális eljárások (Syn Cookie).

7 flooding A támadó a célpont SMTP szerver számára nagy mennyiségű elektronikus levelet küld. A célpont tárolókapacitása véges, így kellő mennyiségű levéltől megtelik, ami további levelek fogadását lehetetlenné teszi. Ha a célponton a beérkezett leveleket szűrésnek vetik alá, akkor a szűrés gyengeségeinek kihasználása, és így a rendszer erőforrásainak lefoglalása (pl. 2GB-nál nagyobb ZIP állomány csatolása).

8 flooding 2. Védekezés: a támadás detektálása, a támadó címének meghatározása majd hálózati rétegben kitiltása.

9 HTTP kiszolgáló leterhelése
Egy HTTP kiszolgáló általában maximalizálja az egy időben működő processzeinek számát. A támadó sok egyidejű kapcsolatot hoz létre, amelyeken lassú adatátvitelt végez, így igénybe veszi az összes rendelkezésre álló processzt. A támadó speciális kérések kiadásával elfogyasztja a kiszolgáló belső erőforrásait.

10 DDoS Distributed Denial of Service: elosztott szolgáltatás megtagadásos támadási módszerek. A támadó egyidejűleg nagyszámú végpontot használva indítja meg a támadást. Lehetséges a hálózati rétegben (ICMP vagy UDP flooding) vagy az alkalmazási rétegben.

11 ICMP flooding, „Smurf” attack
AZ ICMP az IP segédprotokollja. A hálózati hibakereséshez használt „ping” parancs ICMP Echo Request és Echo Reply üzeneteket használ. Minden IP hálózatnak létezik egy „broadcast” címe, amelyre üzenetet küldve a hálózat összes végpontja válaszol. Hibás konfigurálás esetén ez a broadcast cím nem csak hálózaton belül érhető el.

12 ICMP flooding, „Smurf” attack 2.
A támadó keres ilyen hibásan konfigurált, nagy sávszélességű, sok végpontot tartalmazó hálózatokat. A célpont címét hamisítva feladóként, a hálózat broadcast címére elkezd Echo request üzeneteket küldeni. A hálózat összes végpontja válaszol, Echo reply üzeneteket küldve a célpont címére.

13 ICMP flooding, „Smurf” attack 3.
Védekezés: A hálózati útválasztók helyes konfigurálása. Támadás észlelése esetén a támadást akaratlanul végrehajtó (vagy ideiglenesen az összes) hálózatból érkező Echo reply üzenet szűrése.

14 DDOS az alkalmazási rétegben
A támadó nagyszámú végpontot használva normál, a rendes működés során általánosan használt kéréseket küld a célpontnak. A kiszolgálókat nem az extrém esetekre méretezik, így az erőforrások kimerülnek. A szolgáltatások általában aszimmetrikus működésűek (a kérést elküldeni egyszerűbb, mint a választ előállítani), így könnyű lefoglalni az erőforrásokat (hálózati sávszélesség, számítási kapacitás).

15 HTTP támadás Helyesen megválasztott kérésekkel a kiszolgálót nagy mennyiségű művelet végrehajtására lehet késztetni, így a kiszolgálás sebessége használhatatlan értékre csökken. A legnépszerűbb webszolgáltatások dinamikusan állítják elő az oldalakat, tipikusan adatbázisból dolgozva.

16 HTTP támadás 2. Egy rövid példa: <html> <head>
<title>DOS</title> <script type="text/javascript"> function Tolt() { sSearch = ""; for (i=0; i<7; i++) sSearch += String.fromCharCode(65+Math.floor(Math.random()*27)); document.getElementById("dframe").src="http://www.google.hu/search?hl=hu&q="+sSearch+"&btnG=Google+keres%C3%A9s&meta="; var tt = setTimeout("Tolt()",1000); } </script> </head> <body onload="Tolt()"> <iframe id="dframe" src="about:blank" width="600" height="600"></iframe> </body> ", "width": "800" }

17 HTTP támadás 3. Védekezés:
Csaknem lehetetlen, a támadás módszerének ismeretében egyedileg meghatározott módszerrel. Drága megoldást jelent az elosztott architektúra (cache szerverek), így a támadás jobban eloszlik.

18 Reflektív DDoS támadások
Viszonylag fiatal DDoS támadási módszer. A támadás során más, „ártatlan” végpontokat használnak fegyverként. Az „ártatlan” végpontokat nem szükséges uralni a támadás indításához. Hálózati és alkalmazási rétegben egyaránt elvégezhető.

19 Reflektív DDoS támadások 2.
Hálózati rétegben kivitelezett reflektív támadás: TCP Syn+ACK Attack. A támadó a harmadik félnek („ártatlan végpont”) TCP Syn csomagot küld, a célpont címét hamisítva a feladó címeként. Az „ártatlan végpont” erre TCP Syn + ACK csomaggal válaszol, elkezdve a TCP kapcsolat létrehozását. A TCP Syn + ACK csomag a célpontot találja el. Mivel az „ártatlan végpont” nem kap választ, ezért újraküldi (általában még háromszor) a csomagot. A támadó egyetlen csomagjának hatására a célpont négy csomagot kap. Egy valós támadás:

20 Reflektív DDoS támadások 3.
Védekezés: Hamisított IP csomagok szűrése (ISP szintű beavatkozás). TCP portcím alapján a keletkező forgalom egy része kiszűrhető (ISP szintű beavatkozás).

21 Reflektív DDoS támadások 4.
Alkalmazás rétegben: egyes SMTP kiszolgálók a nem létező címre érkező elektronikus leveleket elfogadják, majd amikor kiderül, hogy a kézbesítés lehetetlen, a feladó számára értesítést küldenek. Ha a támadó a célpont címét adja meg az SMTP párbeszéd során, akkor az értesítést az áldozat kapja meg. A levelek küldését botnetek nagy tömegben képesek elvégezni, a reflektív működés miatt a hlózati szintű szűrés nehezen kivitelezhető.

22 Reflektív DDoS támadások 5.
HELO sanyi 250 mail.webgame.hu Hello 3e44bd93.adsl.enternet.hu [ ], pleased to meet you MAIL FROM: Sender ok RCPT TO: Relaying denied RCPT TO: User unknown

23 Reflektív DDoS támadások 6.
Védekezés: Levelező szerverek helyes konfigurálása.

24 Összefoglaló A DDoS támadások végrehajtása a botnetek segítségével egyre egyszerűbb, így a támadások száma várhatóan növekedni fog. A támadások elindulása után a védekezés már nehéz, utólag az események rekonstruálása (és így a felelősök megbüntetése) ritkán megoldható. Az ilyen támadások visszaszorítása érdekében megelőző tevékenységeket kell végezni (botnet vezérlő végpontok felderítése, lekapcsolása).

25 Források RFC 793: Transmission Control Protocol


Letölteni ppt "DDoS támadások veszélyei és az ellenük való védekezés lehetséges módszerei Gyányi Sándor."

Hasonló előadás


Google Hirdetések