Příchod hackerů: zrození DoS útoků

Lukáš Erben 20. 5. 2014

DoS a DDoS patří dnes k nejrozšířenějším a stále poměrně účinným formám kyber útoků. Využívají se v rámci protestů, konkurenčního boje, pro odvedení pozornosti nebo jako prostá pomsta. Jsou stále přístupnější a za pár desítek dolarů si je koupí i dítě. Jejich historie přitom sahá zpět celé čtvrtstoletí.

DoS tedy Denial of Service, či česky odmítnutí služby (v případě DDoS vyvolané distribuovaným útokem jdoucím z mnoha různých IP adres – typicky ovládnutých počítačů), patří k nejčastějším typům útoků v dnešním internetovém světě. Denně jich probíhají řádově tisíce a ty největší mohou mít „sílu“ zabírající šířku přenosového pásma až ve stovkách gigabitů za sekundu.

Drtivá většina těchto útoků je pochopitelně výrazně menší, nicméně i tak jejich četnost a především síla v poslední době stále narůstá – například podle studie společnosti Prolexic z minulého roku meziročně vzrostla průměrná šířka pásma u jimi sledovaných serverů sedminásobně (na 48 Gbps), průměrná délka útoku stoupla na 34 hodin. Ostatně jen rozbor trendů, zdrojů (vede pochopitelně Čína), cílů a dalších informací o DdoS útocích v posledních několika letech by vydal na celý obsáhlý článek. Hned několik článků či menší seriál by pak bylo možné věnovat nejrůznějším technikám a postupům, jimiž jsou podobné útoky dnes prováděny, a případně jak a nakolik se jim lze bránit. Nás ale pochopitelně zajímá především jejich historie, která se začala psát na sklonku osmdesátých let v té nejjednodušší myslitelné podobě.

E-kniha: Lukáš Erben, Úsvit hackerů

Kniha Úsvit hackerů vypráví fascinující příběh počátků hackerů, tedy lidí, o kterých dnes slýcháme prakticky denně. Tito lidé existovali dávno před současnými hackery, kteří se dokáží nabourat do informačních systémů. Existovali dávno před vznikem internetu, počítačů, chytrých telefonů a platebních karet.

Knihu si můžete zakoupit za 90 Kč v obchodech Palmknihy.czGoogle Play. Neobsahuje DRM.

1989: Ping flood

Jedním ze základních příkazů protokolu ICMP, který představuje základ sady internetových protokolů je „Echo Request“ – prostý požadavek na odpověď, na nějž by měl být schopen odpovědět každý prvek pracující na IP vrstvě. Pro provedení úspěšného útoku pomocí Ping Flood stačilo z jediného počítače s větší šířkou přenosového pásma, než měla „oběť“, poslat nepřetržitý proud požadavků na odezvu, čímž se zahltila příchozí přenosová kapacita, cílový počítač (nebo jiný prvek pracující na IP vrstvě) pak ve snaze na všechny tyto dotazy odpovědět zahltil i kapacitu odchozí. Právě Ping floods, které se začaly ve větším měřítku objevovat již v roce 1989, jsou často uváděny jako vůbec první rozšířená forma útoků DoS.

Zajímavé je, že funkce Ping (Echo Request) byla v minulosti zneužívána i jiným způsobem – jako tzv. „Ping smrti“ (Ping of death). Pro ten stačilo odeslat zkomolený dotaz větší než maximální velikost IPv4 paketu (65 535 bytů) ve formě fragmentů, který v mnoha případech způsobil po „složení“ v cílovém počítači přetečení bufferu a jeho následný „pád“.

1990: IRC EFnet: platforma pro řízení DDoS

Přestože v době nejrůznějších messengerů, snapchatů či hipchatů je takřka zapomenuto i staré dobré ICQ, na IRC – jeden z prvních masivních „chatovacích“ protokolů, si řada čtenářů Rootu jistě vzpomene. IRC vytvořil v roce 1988 Jarkko Oikarinen jako náhradu chatovacího programu MUT na finské BBS OuluBox. Za zmínku stojí, že v době státního převratu v Sovětském svazu v roce 1991 zůstalo IRC jediným funkčním informačním kanálem v době kdy byly blokovány běžné sdělovací prostředky a používalo se pro předávání informací i během Války v perském zálivu v roce 1990.

DDoS

IRC bylo populární chatovací platformou až do příchodu IM aplikací a sociálních sítí. Po roce 2000 se ale stalo také platformou pro řízení DDoS útoků (kterým se budeme věnovat v jednom z dalších dílů seriálu). Na obrázku PC klient mIRC.

Poměrně neorganizovaná síť IRC serverů se poprvé stabilizovala v roce 1990, kdy vznikl Efnet, tedy Eris Free Network (eris.berkeley.edu byl posledním IRC serverem který nevynucoval prakticky žádná pravidla pro napojování dalších serverů). Přestože v následujících letech vznikly i další IRC sítě a v roce 1996 se oddělil Evropský IRCnet, byl to právě Efnet, odkud byly řízeny jedny z prvních významných DDoS útoků. IRC se stalo vhodným řídícím systémem pro ovládání „botů“, kteří se usídlili na napadených zombie PC (botnetům se budeme podrobněji věnovat v některém z následujících dílů) – stačilo nastavit boty tak, aby „naslouchaly“ na určeném kanále a následně jim prostřednictvím IRC zadávat úkoly – to bychom ale prozatím předbíhali.

1996: Útok na Panix

Byl pátek večer a Alexis Rosen se právě chystal odejít z práce, když mu jeden z jeho počítačů poslal e-mail. […] Byla to řádka prostého textu generovaná automaticky jedním ze strojů, které monitorovaly jeho síť. Sdělovala prostě: „Mailové servery neběží.“ Ani jeden ze šesti tisíc zákazníků Panixu tak nemohl přijímat elektronickou poštu. […] Když zjistil, o jaký problém se jedná, pocítil mráz v zádech. Někdo nebo něco posílal 210krát za vteřinu stále jeden a ten samý typ zprávy, na kterou byl jeho počítač povinen odpovědět. A dokud útok pokračoval – což trvalo několik týdnů – Rosen musel dnem i nocí pracovat, aby se pod přívalem datového smetí jeho systémy nezhroutily.

Panix Attack, Time Magazine, září 1996

Jeden z prvních skutečných (a úspěšných) DoS útoků provedených metodou SYN flod se odehrál v září 1996 a jeho obětí se stala společnost Panix, třetí nejstarší poskytovatel intenetového připojení (ISP) na světě (před Panixem byly už jen NetCom a the World). Alexis Rosen, který útok odhalil, nebyl rozhodně žádný zelenáč. Byl jedním ze zakladatelů Panixu a zároveň byl ze „staré školy“, a tak neváhal a celý incident zveřejnil. Záhy se ukázalo, že podobným útokům čelila v poslední době řada provozovatelů internetových serverů a služeb, kteří ale neměli nic společného. Jediným pojítkem byl článek v hackerských časopisech 2600 a Phrack, který popisoval, jak právě takový typ útoku provést, včetně návodu, jak napsat jednoduchý program, který automaticky vytvoří záplavu příkazů SYN, tzv. „SYN flood“.

DDoS

Článek o „Projektu Neptune“ v hackerském e-zinu Phrack z července 1996.

SYN (synchronize) je úvodní požadavek na TCP spojení klienta se serverem, na který server odpovídá SYN-ACK a následně dostane od klienta odpověď ACK. SYN flood funguje prostě tak, že neposílá serveru zpět očekávaný kód ACK (nebo vyšle dotaz SYN s falešnou IP adresou, z níž nemůže přijít odpověď). Server tak zbytečně čeká na odezvu, což vytěžuje jeho kapacitu, pokud je podvržených dotazů SYN posláno větší množství v neustálém sledu, je možné server poměrně snadno zahltit. Dnes již existuje řada opatření a postupů, jak se proti tomuto útoku bránit, v roce 1996 se ale jednalo o naprostou novinku, která dokázala dostat takřka na kolena i veterána mezi ISP, jako byl Panix.

DDoS

Schéma útoku SYN flood.

SYN Flood se stal prvním typem DoS útoku, před nímž vydal oficiální varování americký CERT – stalo se tak 19. září 1996 ve zprávě číslo 21, která začínala těmito dvěma odstavci:

TCP SYN Flooding a útoky pomocí podvržených IP

Dva „podzemní časopisy“ v nedávné době vydaly kód k provádění útoků denial-of-service pomocí „napůl otevřených“ TCP spojení. Tento kód je aktivně používán k útokům na internetové servery. V současné době nemáme k dispozici kompletní řešení pro tento problém, nicméně existují kroky, které lze učinit pro snížení jeho negativního dopadu. Odhalení původce útoku je obtížné, lze to ale dokázat, byli jsme informováni, že některé zdroje útoků byly identifikovány.

Libovolný systém připojený k internetu a poskytující síťové služby prostřednictvím protokolu TCP (jako webový server, FTP server nebo mailový server) je možným cílem tohoto útoku. Vedle útoků proti konkrétním serverům mohou být též napadeny vaše routery a další síťové serverové systémy, pokud podporují nějaké TCP služby (např. Echo). Následky útoku mohou být různé v závislosti na systému, nicméně útok sám využívá podstatu TCP protokolu tak, jak jej používají všechny systémy.

widgety

Zpráva CA-1996–21, 19. záři 1996

Přestože se možná některé zdroje prvních rozsáhlých DoS útoků podařilo vypátrat, nikdo ve skutečnosti nebyl odhalen ani dopaden. ISP a provozovatelé internetových serverů se prostě museli učit s DoS útoky bojovat a žít. Koneckonců „Panix Attack“, jak byl celý incident s první vlnou SYN Flood útoků pojmenován, byl jen začátkem. Na další kapitoly z historie DoS a DDoS útoků se podíváme v příštím díle seriálu.

Odkazy

Našli jste v článku chybu?
120na80.cz: Pálení žáhy: která jídla ne a co nás uzdraví?

Pálení žáhy: která jídla ne a co nás uzdraví?

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!