Hlavní navigace

Když „chytré“ kamery útočí: rozbor současných DDoS útoků

Petr Krčmář

Cloudflare zveřejnil informace o dvou nedávných DDoS útocích, které měly společné vlastnosti: byly ohromné a stály za nimi napadené kamery připojené k internetu.

Internet věcí je poměrně novou oblastí zájmu bezpečnostních expertů, o to více nebezpečnou. Odborníci před připojováním nejrůznějších krabiček varují už poměrně dlouho a obávají se především zneužití k DDoS útokům. Společnost Cloudflare zveřejnila podrobnosti dvou nedávných útoků, které přinesly rekordní datové toky přesahující jeden milion požadavků za sekundu.

Čtěte: DDoS útoky: jak se účinně bránit?

Zatímco tradiční DDoS útoky jsou vedeny pomocí SYN flood nebo ACK flood na třetí síťové vrstvě, zmíněné IoT útoky byly provedeny pomocí HTTP provozu na sedmé vrstvě. Tok přitom ve dvou případech přesahoval 1 milion požadavků za sekundu (1 Mrps). Stojí za nimi linuxový malware Mirai, který je určen právě pro embedded zařízení připojená k internetu: routery, IP kamery, video přehrávače a podobné přístroje.

Odkud a kam

Jeden z útoků přicházel z 52 467 IP adres a ve špičce přicházelo 1,75 Mrps. Hlavní útok přitom trval 15 minut, další související útoky větší než 1 Mrps pak proběhly v řádech minut.

Graf HTTP útoku
Autor: Cloudflare

Graf HTTP útoku

Šlo o velmi krátké HTTP požadavky, jejichž délka se pohybovala okolo 121 bytů. V hlavičce přitom nebylo nic užitečného. Síť Cloudflare útok rozprostřela do stovky datacenter, ale většina z nich se dostala do několika málo z nich. Ukazuje to následující graf:

Zasažená datacentra Cloudflare
Autor: Cloudflare

Zasažená datacentra Cloudflare

Podle Cloudflare se zdá, že jde o další společný znak – koncentrovanost útoku. Většina toku skončila v Hong Kongu nebo v Praze. Technici se proto zabývali tím, zda zdroj nepochází z několika málo autonomních systému (AS). Ukázalo se však, že tomu tak není – 10 000 náhodně analyzovaných požadavků pocházelo z 300 různých AS.

Nejvíce z následujících:

   48 AS24086 ; Vietnam
  101 AS4134  ; China
  128 AS7552  ; Vietnam
  329 AS45899 ; Vietnam
 2366 AS15895 ; Ukraine

Vedou poskytovatelé z Ukrajiny a Vietnamu.

Datové toky

Porovnání podle počtu požadavků je jedním z hledisek, ale tradičně se velikost DDoS měří v bajtech přenesených za sekundu. V tomto ohledu nebyly zmíněné IoT útoky nijak dramaticky velké – ve špičce okolo 2 Gbps. Poměrně běžně dnes vídáme útoky o velikosti stovek gigabitů, které ale využívají odrazů a útočí na nižší síťové vrstvě.

Zmíněné IoT útoky posílají HTTP požadavky, kterými zahlcují přímo koncové servery. Nejde tedy ani tak o ucpání linek, jako o spotřebování všech zdrojů serveru. K vidění jsou ale i HTTP útoky s výrazně většími požadavky, které generují standardně velký datový tok. Konkrétní příklad:

HTTP útok
Autor: Cloudflare

HTTP útok – počet požadavků

Počet požadavků není nijak vysoký a ve špičce dosahuje 220 Krps. Vytváří ale velký datový tok:

HTTP útok datový tok
Autor: Cloudflare

HTTP útok – datový tok

Pro útok na HTTP server je kontraproduktivní vytvářet velké datové toky, protože tím se tlak přesouvá ze serverů na linky. Požadavky z tohoto konkrétního útoku vypadaly takto:

GET /en HTTP/1.1
User-Agent: <some string>
Cookie:   <some cookie>
Host: example.com
Connection: close
Content-Length: 800000

a[]=&b[]=&a[]=&b[]=&a[]=&b[]=&a[]=&b[]=&a[]=&b[]=&a[]=&b[]=...

Tok byl tedy vygenerován velkým obsahem v požadavku, útočník také měnil hlavičky, někdy přicházely požadavky jako GET, jindy jako POST. Útok trval hodinu a přicházel ze 128 833 adres. Valná většina ho skončila ve Frankfurtu.


Autor: Cloudflare

Cíle velkého HTTP útoku

Jelikož zdrojových adres bylo velké množství, technici předpokládali opět velký rozptyl po různých sítích. To se opět potvrdilo a 10 000 náhodně vybraných požadavků bylo vytvořeno v 737 sítích. Největší z nich:

  286 AS45899 ; Vietnam
  314 AS7552  ; Vietnam
  316 AS3462  ; Taiwan
  323 AS18403 ; Vietnam
 1510 AS15895 ; Ukraine

Opět vedou poskytovatelé z Vietnamu a Ukrajiny.

Napadená zařízení

Je velmi těžké zjistit přesný zdroj těchto útoků, ale podle Cloudflare existuje velké množství důkazů pro to, že společným jmenovatelem je IoT.

Všechna zařízení měla do internetu port 23 (telnet) otevřený nebo zavřený – nikdy ne filtrovaný. To ukazuje na malware, který po napadení zařízení deaktivuje přístup přes telnet, který je u embedded zařízení stále velmi běžný.

Mnoho zařízení ve Vietnamu byly CCTV kamery s otevřeným portem 80. Na něm je možné vidět přihlášení do webového rozhraní pro nastavení kamery.

Webové rozhraní kamery
Autor: Cloudflare

Webové rozhraní kamery

Na Ukrajině byla situace odlišná, u tamních útočících zařízení je port 80 zavřený, což komplikuje odhalení podrobností. U jednoho zařízení byl ale objeven otevřený port 443 s důvěryhodným certifikátem vystaveným u Western Digital. Certifikát byl vystaven na jméno device-xxxx.wd2go.com, což ukazuje na síťový disk (NAS).

Dalších útoků přibude

DDoS útoků určitě ještě výrazně přibude, zatím jsou do něj zapojeny hlavně kamery, jak ale bude přibývat chytrých žárovek, ledniček, domů a praček, přibude i nezabezpečených zařízení náchylných k podobnému hromadnému napadení. Další fází pak budou chytré telefony a tablety, které dnes disponují desítkami megabitů konektivity a v mnoha případech jsou také neaktualizované a nezabezpečené.

Našli jste v článku chybu?
120na80.cz: Boreliózu nelze žádným testem prokázat

Boreliózu nelze žádným testem prokázat

Lupa.cz: Levný tarif pro Brno nebude, je to kartel

Levný tarif pro Brno nebude, je to kartel

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

DigiZone.cz: R2B2 a Hybrid uzavřely partnerství

R2B2 a Hybrid uzavřely partnerství

Vitalia.cz: 7 originálních adventních kalendářů pro mlsné

7 originálních adventních kalendářů pro mlsné

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Vitalia.cz: Jak vybrat ořechy do cukroví a kde mají levné

Jak vybrat ořechy do cukroví a kde mají levné

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Lupa.cz: Obchod budoucnosti je bez front, košíků i pokladen

Obchod budoucnosti je bez front, košíků i pokladen

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?