Hlavní navigace

Příchod hackerů: DoS se mění v DDoS

27. 5. 2014
Doba čtení: 7 minut

Sdílet

Minulý týden jsme otevřeli téma DDoS útoků, věnovali jsme se v podstatě jen jejich starší a jednoduší „DoS“ verzi. Na konci devadesátých let ale fenomén „odmítnutí služby“ postoupil na další úroveň, prodloužil svou zkratku o druhé D – distribuované, a vysloužil si pozornost FBI i amerického kongresu a prezidenta.

S tím, jak rostla přenosová kapacita internetových přípojek a páteřních sítí a zlepšovaly se znalosti správců a bezpečnostních specialistů ohledně boje s první generací DoS útoků, jejímž vrcholem byl do značné míry SYN Flood, museli útočníci hledat nový způsob, jak účinně „zasáhnout cíl“ – tedy odstavit mimo provoz konkrétní server či segment sítě. Jako nejlogičtější krok vpřed se zdál útok z mnoha směrů, který nebude tak snadné „zablokovat“ a navíc bude obtížné útočníka vysledovat.

1997: Šmoulí útok

První slavný distribuovaný útok se záměrem zahltit cílovou síť vyžíval, podobně jako vůbec první DoS útoky Ping Flood a pozdější SYN Flood, prostou povinnost síťových prvků odpovídat na dotaz v protokolu ICMP (Internet Control Message Protocol). Vtip byl ale v tom, že program smurf.c, který v roce 1997 vytvořil a zveřejnil hacker s přezdívkou Tfreak, neútočil přímo, ale využíval k útoku odraz o zvolenou síť (respektive její vysílací logickou adresu – broadcast address), čímž se síla útoku zmnohonásobila počtem zařízení, která se podařilo „oslovit“, aby na podvržený dotaz odpověděla. Samotný princip byl jednoduchý: pomocí smurf.c se na vysílací IP adresu do „odrazové“ sítě vyslal obrovský počet ICMP paketů s podvrženou IP adresou, která patřila cíli (oběti útoku). Pokud se podařilo k odpovědi „vyburcovat“ dostatečný počet počítačů v „odrazové“ síti, byla oběť efektivně zaplavena pakety z mnoha zdrojů a dostala se do stavu odmítnutí služby.

Obrana proti „šmoulím útokům“ není složitá – stačí jednotlivé koncové stroje nastavit tak, aby na ICMP dotazy či jejich broadcasty neodpovídaly a routery v síti nakonfigurovat, aby pakety směrované na broadcast adresy nepřeposílaly dále. Problém byl v tom, že až do roku 1999 platila pravidla, podle nichž routery tyto pakety ve standardním nastavení přeposílat měly. Není proto divu, že smurf.c bylo oblíbeným útočným nástrojem prakticky po celý zbytek devadesátých let. Podobně jako v řadě předchozích případů i u smurf.c se objevily modifikované varianty – například Fraggle.c, jehož autorem byl také Tfreak a který útočil prostřednictvím UDP paketů posílaných na porty 7 a 19 broadcast adresy.

ICMP se stává vůbec oblíbeným „nástrojem“ v rukou hackerů a útočníků, kteří v roce 1997 začínají masově využívat pro řízení nových „Ping Flood“ útoků kanály IRC, a to především v síti Efnet. Ta se brání například nasazením služby CHANFIX, která má zajistit, aby nevznikaly „opuštěné“ kanály IRC.

1999: TFN

Přestože fenoménu SYN Flood si již v roce 1996 všiml americký CERT, první skutečně masové pozornosti se fenoménu DoS a DDoS útoků dostává až v roce 1999, kdy jejich počet i dopad narůstá do rozměrů hodných pozornosti médií a bezpečnostních složek.

Příčina dalšího nárůstu útoků v roce 1999 byla prostá – v první polovině roku se totiž objevilo několik nových „nástrojů“ pro unixové a Windows NT servery (v podstatě se jednalo o modernizované varianty SYN Flood, ICMP Flood, UDP Flood a Smurf.c a pro zesílení útoku začaly být dokonce používány stanice s MacOS. Jejich vylepšenou verzi pak spojil do jediného „balíku“ pod názvem Tribe FloodNet 2K – TFN2K německý hacker a bezpečnostní expert známý pod přezdívkou „Mixter“.

Této aktivity si opět všiml americký CERT a vydal zprávu CA-1999–17, která situaci popisovala.

Podobně jako TNF, také TFN2K je navržen pro spouštění koordinovaných útoků DoS z mnoha zdrojů proti jednomu či více cílům současně. Zahrnuje funkce, které znesnadňují rozpoznat a filtrovat data posílaná TFN2K a naopak umožňují vzdálené ovládání a zamaskování skutečného zdroje útoku, přenos dat pomocí různých protokolů včetně UDP, TCP a ICMP, i funkce, které mají zamaskovat další uzly v TFN2K síti pomocí klamných paketů. […] Podobně jako TFN, také TFN2K může zaplavit sítě zasíláním obrovských objemů dat na systémy oběti a navíc zahrnuje i útoky, jejichž cílem je zablokovat nebo způsobit nestabilitu systému prostřednictvím zdeformovaných nebo neplatných paketů.

Úryvek ze zprávy CERT CA-1999–17, červen 1999

Mixter podle všeho vytvořil svůj TFN2K jako supernástroj, který měl předvést vše co bylo v dané době v oblasti DDoS útoků možné – a naučit tak správce systémů a sítí se těmto útokům bránit. Své motivy vysvětlil v roce 2000 například v rozhovoru pro portál zdnet.com, když byl tázán, proč se rozhodl přepsat a vylepšit TFN a dát jej k dispozici veřejně.

TFN jsem přepsal, protože jsem byl toho názoru, že Trinoo (jiný nástroj, který lze použít pro snadné spouštění útoků typu Smurf) byl tak účinný především proto, že byl držen v ústraní a nebyl znám jeho kód. […] Problém současné infrastruktury je, že je nedostatečně zabezpečená. Například lze snadno podvrhnout pakety a spustit distribuovaný útok a je těžké se tomu bránit kvůli slabinám současných protokolů. Rozhodl jsem se napsat TFN a dát veřejně k dispozici i jeho zdrojový kód na bezpečnostní portály, aby jej lidé mohli studovat, pochopili potenciální útočné metody a naučili se jim bránit. Je to bezpečnostní koncept známý jako „plné přiznání“, jehož podstatou je nalézt a zveřejnit každou slabinu, včetně těch skutečně zásadních, co nejdříve, aby měl každý možnost analyzovat ji a zamyslet se nad protiopatřeními.

Z rozhovoru Mixtera pro Zdnet, 10. únor 2000

Jedním z hlavních problémů byl podle Mixtera zastaralý IPv4 a potřeba přejít co nejdříve na IPv6 (psal se přitom rok 2000!), stejně jako nedostatečné zabezpečení serverů, které byly napadány, kompromitovány a využívány k útokům, i koncových stanic, z nichž se v roce 1999 stávaly první „zombie“, tedy napadené a ovládnuté PC, využívané například pro koordinaci těchto útoků.

Klientský modul TFN2K – nástroj fungoval v distribuovaném režimu – měl tedy klientský modul (pro ovládání) a serverový modul (pro samotný útok).

Problém byl v tom, že správci a bezpečnostní experti se učili zjevně pomaleji, než „skriptující mládež“, která se TFN2K ujala a zahájila s jeho pomocí (a za využití dalších nástrojů, jako byl Stacheldraht – ostnatý drát, který kombinoval funkce a vlastnosti Trinoo a TFN) spustili sérií útoků, které na přelomu let 1999/2000 dočasně odstavily mimo provoz weby a portály jako bylo Yahoo!, Buy.com, eBay, Amazon, E-Trade, MSN.com, Dell, Zdnet nebo CNN – tedy víceméně největší servery své doby. Celková škoda, kteoru tyto útoky způsobily, byla následně odhadnuta na 1–2 miliardy dolarů. DDoS sútoky se tak poprvé dostaly na přední stránky největších týdeníků a o problematiku se začalo zajímat Národní Centrum pro Ochranu Infastruktury (NIPC) a vedení FBI.

2000: Project Rivolta

Představte si, že by Google přestal na hodinu fungovat. Že za útoky z počátku roku 2000 stála ve velké míře právě „skriptující mládež“ není totiž tak docela přesné. Ve skutečnosti byla většina z nich prací patnáctiletého středoškoláka Michaela Demona Calcea z kanadského Quebecu. Calce, který vyrůstal jako dítě rozvedených rodičů a většinu času trávil od svých šesti let spíše u počítače než s kamarády, nazval svůj největší útok „projekt Rivolta“ (italsky povstání, výtržnost). Jeho cílem bylo Yahoo!, které patřilo v roce 2000 k nejvýznamnějším vyhledávačům (ostatně patří k nim dodnes, byť jeho podíl je ve srovnání s onou dobou velmi malý). Calceovi, který používal přezdívku MafiaBoy, se podařilo právě to, co jsme naznačili o pár řádek výše: vyřadil Yahoo z provozu na celou hodinu. Jednalo se vlastně o soutěž „kyberskupin“ v tom, kdo má větší vliv v kybernetickém světě. Na úspěšné sestřelení Yahoo tak reagovali oponenti Calceovi skupiny TNT odstavením Buy.com. Calce se ale nenechal zastínit a během následujících několika dní odstavil na různě dlouhou dobu pomocí DDoS útoků Ebay, CNN, Amazon a Dell.

root_podpora

Hlavní stránka Yahoo z roku 2000.

MafiaBoy ale nebyl moc chytrý. O svých „úspěších“ se začal chlubit na IRC, kde jej záhy vysledovala FBI společně s kanadskou královskou jízdní policií – že se patrně nechlubí cizím peřím došlo vyšetřovatelům v okamžiku, když oznámil útok na Dell v okamžiku, kdy o něm ještě nebyly veřejné zprávy. Vzhledem ke svému mladistvému věku a přiznání byl nakonec odsouzen jen k osmi měsícům otevřeného dohledu, roční podmínce, omezenému používání internetu a symbolické pokutě 160 dolarů.

V roce 2000 se tak z DDoS útoků stal nový fenomén, který měl zásadním způsobem ovlivnit internet. Děsivá byla jejich účinnost i jednoduchost, s jakou dokázal patnáctiletý student odstavit hned několik nejvýznamnějších portálů a serverů. Období jejich „slávy“ teprve začínalo a následující roky měly ukázat, že to byl autor TFN2K Mixter, kdo správně odhadl (a vlastně možná ještě podcenil) jejich nebezpečí. Jak prohlásil počítačový expert Winn Schwartou při své výpovědi před americkým kongresem v témže roce, „vládní a komerční počítačové systémy jsou chráněny tak chabě, že mohou být v podstatě považovány za bezbranné – je to elektronický Pearl Harbour čekající na útok“.

Odkazy

Byl pro vás článek přínosný?