Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

DDoS támadások veszélyei és az ellenük való védekezés lehetséges módszerei Gyányi Sándor.

Hasonló előadás


Az előadások a következő témára: "DDoS támadások veszélyei és az ellenük való védekezés lehetséges módszerei Gyányi Sándor."— Előadás másolata:

1 DDoS támadások veszélyei és az ellenük való védekezés lehetséges módszerei Gyányi Sándor

2 DoS támadás meghatározása  Denial of Service: szolgáltatás megtagadás. A támadó a célpont informatikai rendszerét próbálja olyan módon túlterhelni, hogy az képtelen legyen a normál, üzemszerű működésre és így az általa nyújtott szolgáltatás nyújtására. Leggyakoribb módszer: túlterhelés.

3 „Klasszikus” DoS  A célpontot egyetlen pontból támadják.  A támadó a célpont erőforrásait próbálja lefoglalni.  Lehetséges hálózati rétegben (pl. TCP Syn Flood Attack) vagy alkalmazási rétegben ( flooding vagy anonymous ftp tárolóhely lefoglalás)

4 TCP Syn Flood Attack  Az IP hálózatok - így az Internet is - legnépszerűbb szolgáltatásai (SMTP, HTTP, FTP) TCP kapcsolatot alkalmaznak.  TCP kapcsolat felépítését egy úgynevezett „háromutas” kézfogás előzi meg. 1. A kliens Syn csomagot küld. 2. A szerver Syn + ACK csomaggal nyugtáz. 3. A kliens Syn + ACK csomaggal nyugtáz. A kapcsolat ettől a ponttól működőképes.

5 TCP Syn Flood Attack 2.  A támadás menete: 1. A támadó Syn csomagot küld, hamisított feladó címmel. 2. A célpont tárolja a leendő kapcsolat adatait, majd Syn + ACK nyugtázó csomagot küld a feladónak (a hamisított, esetleg nem is létező címre). 3. A célpont nem kap választ, ezért néhányszor (általában még háromszor) újraküldi az üzenetet. 4. A célpont felszabadítja a kapcsolat tárolására szolgáló memóriát. A támadó nagy mennyiségű Syn csomaggal árasztja el a célpontot, amelynek a kapcsolatok állapotát tároló memóriája megtelik, így nem lesz képes új TCP kapcsolatot létrehozni.

6 TCP Syn Flood Attack 3.  Védekezés módszerei: 1. A „félkész” kapcsolatok tárolására szolgáló memória megnövelése. 2. Speciális eljárások (Syn Cookie).

7 flooding  A támadó a célpont SMTP szerver számára nagy mennyiségű elektronikus levelet küld.  A célpont tárolókapacitása véges, így kellő mennyiségű levéltől megtelik, ami további levelek fogadását lehetetlenné teszi.  Ha a célponton a beérkezett leveleket szűrésnek vetik alá, akkor a szűrés gyengeségeinek kihasználása, és így a rendszer erőforrásainak lefoglalása (pl. 2GB-nál nagyobb ZIP állomány csatolása).

8 flooding 2.  Védekezés: a támadás detektálása, a támadó címének meghatározása majd hálózati rétegben kitiltása.

9 HTTP kiszolgáló leterhelése  Egy HTTP kiszolgáló általában maximalizálja az egy időben működő processzeinek számát. A támadó sok egyidejű kapcsolatot hoz létre, amelyeken lassú adatátvitelt végez, így igénybe veszi az összes rendelkezésre álló processzt.  A támadó speciális kérések kiadásával elfogyasztja a kiszolgáló belső erőforrásait.

10 DDoS  Distributed Denial of Service: elosztott szolgáltatás megtagadásos támadási módszerek.  A támadó egyidejűleg nagyszámú végpontot használva indítja meg a támadást.  Lehetséges a hálózati rétegben (ICMP vagy UDP flooding) vagy az alkalmazási rétegben.

11 ICMP flooding, „Smurf” attack  AZ ICMP az IP segédprotokollja.  A hálózati hibakereséshez használt „ping” parancs ICMP Echo Request és Echo Reply üzeneteket használ.  Minden IP hálózatnak létezik egy „broadcast” címe, amelyre üzenetet küldve a hálózat összes végpontja válaszol. Hibás konfigurálás esetén ez a broadcast cím nem csak hálózaton belül érhető el.

12 ICMP flooding, „Smurf” attack 2.  A támadó keres ilyen hibásan konfigurált, nagy sávszélességű, sok végpontot tartalmazó hálózatokat.  A célpont címét hamisítva feladóként, a hálózat broadcast címére elkezd Echo request üzeneteket küldeni.  A hálózat összes végpontja válaszol, Echo reply üzeneteket küldve a célpont címére.

13 ICMP flooding, „Smurf” attack 3.  Védekezés: 1. A hálózati útválasztók helyes konfigurálása. 2. Támadás észlelése esetén a támadást akaratlanul végrehajtó (vagy ideiglenesen az összes) hálózatból érkező Echo reply üzenet szűrése.

14 DDOS az alkalmazási rétegben  A támadó nagyszámú végpontot használva normál, a rendes működés során általánosan használt kéréseket küld a célpontnak.  A kiszolgálókat nem az extrém esetekre méretezik, így az erőforrások kimerülnek.  A szolgáltatások általában aszimmetrikus működésűek (a kérést elküldeni egyszerűbb, mint a választ előállítani), így könnyű lefoglalni az erőforrásokat (hálózati sávszélesség, számítási kapacitás).

15 HTTP támadás  Helyesen megválasztott kérésekkel a kiszolgálót nagy mennyiségű művelet végrehajtására lehet késztetni, így a kiszolgálás sebessége használhatatlan értékre csökken.  A legnépszerűbb webszolgáltatások dinamikusan állítják elő az oldalakat, tipikusan adatbázisból dolgozva.

16 HTTP támadás 2. Egy rövid példa: DOS function Tolt() { sSearch = ""; for (i=0; i<7; i++) sSearch += String.fromCharCode(65+Math.floor(Math.random()*27)); document.getElementById("dframe").src="http://www.google.hu/search?hl=hu&q="+sSe arch+"&btnG=Google+keres%C3%A9s&meta="; var tt = setTimeout("Tolt()",1000); }

17 HTTP támadás 3.  Védekezés: 1. Csaknem lehetetlen, a támadás módszerének ismeretében egyedileg meghatározott módszerrel. 2. Drága megoldást jelent az elosztott architektúra (cache szerverek), így a támadás jobban eloszlik.

18 Reflektív DDoS támadások  Viszonylag fiatal DDoS támadási módszer.  A támadás során más, „ártatlan” végpontokat használnak fegyverként.  Az „ártatlan” végpontokat nem szükséges uralni a támadás indításához.  Hálózati és alkalmazási rétegben egyaránt elvégezhető.

19 Reflektív DDoS támadások 2.  Hálózati rétegben kivitelezett reflektív támadás: TCP Syn+ACK Attack.  A támadó a harmadik félnek („ártatlan végpont”) TCP Syn csomagot küld, a célpont címét hamisítva a feladó címeként.  Az „ártatlan végpont” erre TCP Syn + ACK csomaggal válaszol, elkezdve a TCP kapcsolat létrehozását.  A TCP Syn + ACK csomag a célpontot találja el.  Mivel az „ártatlan végpont” nem kap választ, ezért újraküldi (általában még háromszor) a csomagot.  A támadó egyetlen csomagjának hatására a célpont négy csomagot kap. Egy valós támadás:

20 Reflektív DDoS támadások 3.  Védekezés: 1. Hamisított IP csomagok szűrése (ISP szintű beavatkozás). 2. TCP portcím alapján a keletkező forgalom egy része kiszűrhető (ISP szintű beavatkozás).

21 Reflektív DDoS támadások 4.  Alkalmazás rétegben: egyes SMTP kiszolgálók a nem létező címre érkező elektronikus leveleket elfogadják, majd amikor kiderül, hogy a kézbesítés lehetetlen, a feladó számára értesítést küldenek.  Ha a támadó a célpont címét adja meg az SMTP párbeszéd során, akkor az értesítést az áldozat kapja meg.  A levelek küldését botnetek nagy tömegben képesek elvégezni, a reflektív működés miatt a hlózati szintű szűrés nehezen kivitelezhető.

22 Reflektív DDoS támadások 5. HELO sanyi 250 mail.webgame.hu Hello 3e44bd93.adsl.enternet.hu [ ], pleased to meet you MAIL FROM: Sender ok RCPT TO: Relaying denied RCPT TO: User unknown

23 Reflektív DDoS támadások 6.  Védekezés: Levelező szerverek helyes konfigurálása.

24 Összefoglaló  A DDoS támadások végrehajtása a botnetek segítségével egyre egyszerűbb, így a támadások száma várhatóan növekedni fog.  A támadások elindulása után a védekezés már nehéz, utólag az események rekonstruálása (és így a felelősök megbüntetése) ritkán megoldható.  Az ilyen támadások visszaszorítása érdekében megelőző tevékenységeket kell végezni (botnet vezérlő végpontok felderítése, lekapcsolása).

25 Források  RFC 793: Transmission Control Protocol  mailbomb.asp mailbomb.asp mailbomb.asp  01.html 01.html 01.html  dn4858 dn4858 dn4858  vice.html


Letölteni ppt "DDoS támadások veszélyei és az ellenük való védekezés lehetséges módszerei Gyányi Sándor."

Hasonló előadás


Google Hirdetések