Hlavní navigace

Příchod hackerů: zrození DoS útoků

Lukáš Erben 20. 5. 2014

DoS a DDoS patří dnes k nejrozšířenějším a stále poměrně účinným formám kyber útoků. Využívají se v rámci protestů, konkurenčního boje, pro odvedení pozornosti nebo jako prostá pomsta. Jsou stále přístupnější a za pár desítek dolarů si je koupí i dítě. Jejich historie přitom sahá zpět celé čtvrtstoletí.

DoS tedy Denial of Service, či česky odmítnutí služby (v případě DDoS vyvolané distribuovaným útokem jdoucím z mnoha různých IP adres – typicky ovládnutých počítačů), patří k nejčastějším typům útoků v dnešním internetovém světě. Denně jich probíhají řádově tisíce a ty největší mohou mít „sílu“ zabírající šířku přenosového pásma až ve stovkách gigabitů za sekundu.

Drtivá většina těchto útoků je pochopitelně výrazně menší, nicméně i tak jejich četnost a především síla v poslední době stále narůstá – například podle studie společnosti Prolexic z minulého roku meziročně vzrostla průměrná šířka pásma u jimi sledovaných serverů sedminásobně (na 48 Gbps), průměrná délka útoku stoupla na 34 hodin. Ostatně jen rozbor trendů, zdrojů (vede pochopitelně Čína), cílů a dalších informací o DdoS útocích v posledních několika letech by vydal na celý obsáhlý článek. Hned několik článků či menší seriál by pak bylo možné věnovat nejrůznějším technikám a postupům, jimiž jsou podobné útoky dnes prováděny, a případně jak a nakolik se jim lze bránit. Nás ale pochopitelně zajímá především jejich historie, která se začala psát na sklonku osmdesátých let v té nejjednodušší myslitelné podobě.

E-kniha: Lukáš Erben, Úsvit hackerů

Kniha Úsvit hackerů vypráví fascinující příběh počátků hackerů, tedy lidí, o kterých dnes slýcháme prakticky denně. Tito lidé existovali dávno před současnými hackery, kteří se dokáží nabourat do informačních systémů. Existovali dávno před vznikem internetu, počítačů, chytrých telefonů a platebních karet.

Knihu si můžete zakoupit za 90 Kč v obchodech Palmknihy.czGoogle Play. Neobsahuje DRM.

1989: Ping flood

Jedním ze základních příkazů protokolu ICMP, který představuje základ sady internetových protokolů je „Echo Request“ – prostý požadavek na odpověď, na nějž by měl být schopen odpovědět každý prvek pracující na IP vrstvě. Pro provedení úspěšného útoku pomocí Ping Flood stačilo z jediného počítače s větší šířkou přenosového pásma, než měla „oběť“, poslat nepřetržitý proud požadavků na odezvu, čímž se zahltila příchozí přenosová kapacita, cílový počítač (nebo jiný prvek pracující na IP vrstvě) pak ve snaze na všechny tyto dotazy odpovědět zahltil i kapacitu odchozí. Právě Ping floods, které se začaly ve větším měřítku objevovat již v roce 1989, jsou často uváděny jako vůbec první rozšířená forma útoků DoS.

Zajímavé je, že funkce Ping (Echo Request) byla v minulosti zneužívána i jiným způsobem – jako tzv. „Ping smrti“ (Ping of death). Pro ten stačilo odeslat zkomolený dotaz větší než maximální velikost IPv4 paketu (65 535 bytů) ve formě fragmentů, který v mnoha případech způsobil po „složení“ v cílovém počítači přetečení bufferu a jeho následný „pád“.

1990: IRC EFnet: platforma pro řízení DDoS

Přestože v době nejrůznějších messengerů, snapchatů či hipchatů je takřka zapomenuto i staré dobré ICQ, na IRC – jeden z prvních masivních „chatovacích“ protokolů, si řada čtenářů Rootu jistě vzpomene. IRC vytvořil v roce 1988 Jarkko Oikarinen jako náhradu chatovacího programu MUT na finské BBS OuluBox. Za zmínku stojí, že v době státního převratu v Sovětském svazu v roce 1991 zůstalo IRC jediným funkčním informačním kanálem v době kdy byly blokovány běžné sdělovací prostředky a používalo se pro předávání informací i během Války v perském zálivu v roce 1990.

DDoS

IRC bylo populární chatovací platformou až do příchodu IM aplikací a sociálních sítí. Po roce 2000 se ale stalo také platformou pro řízení DDoS útoků (kterým se budeme věnovat v jednom z dalších dílů seriálu). Na obrázku PC klient mIRC.

Poměrně neorganizovaná síť IRC serverů se poprvé stabilizovala v roce 1990, kdy vznikl Efnet, tedy Eris Free Network (eris.berkeley.edu byl posledním IRC serverem který nevynucoval prakticky žádná pravidla pro napojování dalších serverů). Přestože v následujících letech vznikly i další IRC sítě a v roce 1996 se oddělil Evropský IRCnet, byl to právě Efnet, odkud byly řízeny jedny z prvních významných DDoS útoků. IRC se stalo vhodným řídícím systémem pro ovládání „botů“, kteří se usídlili na napadených zombie PC (botnetům se budeme podrobněji věnovat v některém z následujících dílů) – stačilo nastavit boty tak, aby „naslouchaly“ na určeném kanále a následně jim prostřednictvím IRC zadávat úkoly – to bychom ale prozatím předbíhali.

1996: Útok na Panix

Byl pátek večer a Alexis Rosen se právě chystal odejít z práce, když mu jeden z jeho počítačů poslal e-mail. […] Byla to řádka prostého textu generovaná automaticky jedním ze strojů, které monitorovaly jeho síť. Sdělovala prostě: „Mailové servery neběží.“ Ani jeden ze šesti tisíc zákazníků Panixu tak nemohl přijímat elektronickou poštu. […] Když zjistil, o jaký problém se jedná, pocítil mráz v zádech. Někdo nebo něco posílal 210krát za vteřinu stále jeden a ten samý typ zprávy, na kterou byl jeho počítač povinen odpovědět. A dokud útok pokračoval – což trvalo několik týdnů – Rosen musel dnem i nocí pracovat, aby se pod přívalem datového smetí jeho systémy nezhroutily.

Panix Attack, Time Magazine, září 1996

Jeden z prvních skutečných (a úspěšných) DoS útoků provedených metodou SYN flod se odehrál v září 1996 a jeho obětí se stala společnost Panix, třetí nejstarší poskytovatel intenetového připojení (ISP) na světě (před Panixem byly už jen NetCom a the World). Alexis Rosen, který útok odhalil, nebyl rozhodně žádný zelenáč. Byl jedním ze zakladatelů Panixu a zároveň byl ze „staré školy“, a tak neváhal a celý incident zveřejnil. Záhy se ukázalo, že podobným útokům čelila v poslední době řada provozovatelů internetových serverů a služeb, kteří ale neměli nic společného. Jediným pojítkem byl článek v hackerských časopisech 2600 a Phrack, který popisoval, jak právě takový typ útoku provést, včetně návodu, jak napsat jednoduchý program, který automaticky vytvoří záplavu příkazů SYN, tzv. „SYN flood“.

DDoS

Článek o „Projektu Neptune“ v hackerském e-zinu Phrack z července 1996.

SYN (synchronize) je úvodní požadavek na TCP spojení klienta se serverem, na který server odpovídá SYN-ACK a následně dostane od klienta odpověď ACK. SYN flood funguje prostě tak, že neposílá serveru zpět očekávaný kód ACK (nebo vyšle dotaz SYN s falešnou IP adresou, z níž nemůže přijít odpověď). Server tak zbytečně čeká na odezvu, což vytěžuje jeho kapacitu, pokud je podvržených dotazů SYN posláno větší množství v neustálém sledu, je možné server poměrně snadno zahltit. Dnes již existuje řada opatření a postupů, jak se proti tomuto útoku bránit, v roce 1996 se ale jednalo o naprostou novinku, která dokázala dostat takřka na kolena i veterána mezi ISP, jako byl Panix.

DDoS

Schéma útoku SYN flood.

SYN Flood se stal prvním typem DoS útoku, před nímž vydal oficiální varování americký CERT – stalo se tak 19. září 1996 ve zprávě číslo 21, která začínala těmito dvěma odstavci:

TCP SYN Flooding a útoky pomocí podvržených IP

Dva „podzemní časopisy“ v nedávné době vydaly kód k provádění útoků denial-of-service pomocí „napůl otevřených“ TCP spojení. Tento kód je aktivně používán k útokům na internetové servery. V současné době nemáme k dispozici kompletní řešení pro tento problém, nicméně existují kroky, které lze učinit pro snížení jeho negativního dopadu. Odhalení původce útoku je obtížné, lze to ale dokázat, byli jsme informováni, že některé zdroje útoků byly identifikovány.

Libovolný systém připojený k internetu a poskytující síťové služby prostřednictvím protokolu TCP (jako webový server, FTP server nebo mailový server) je možným cílem tohoto útoku. Vedle útoků proti konkrétním serverům mohou být též napadeny vaše routery a další síťové serverové systémy, pokud podporují nějaké TCP služby (např. Echo). Následky útoku mohou být různé v závislosti na systému, nicméně útok sám využívá podstatu TCP protokolu tak, jak jej používají všechny systémy.

Zpráva CA-1996–21, 19. záři 1996

Přestože se možná některé zdroje prvních rozsáhlých DoS útoků podařilo vypátrat, nikdo ve skutečnosti nebyl odhalen ani dopaden. ISP a provozovatelé internetových serverů se prostě museli učit s DoS útoky bojovat a žít. Koneckonců „Panix Attack“, jak byl celý incident s první vlnou SYN Flood útoků pojmenován, byl jen začátkem. Na další kapitoly z historie DoS a DDoS útoků se podíváme v příštím díle seriálu.

Odkazy

Našli jste v článku chybu?

24. 5. 2014 18:44

Jenda (neregistrovaný)

Zrovna OTR mi funguje úplně všude (Psi+, Adium, IM+, mcabber, Pidgin…).

24. 5. 2014 15:01

Neasi (neregistrovaný)

Více/méně. Nevýhoda je dělení do kanálů a z toho plynoucí centralizace. Na druhou stranu, servery se dají linkovat k ostatním, takže to zas taková vada není.

Jinak jabber taky neumí spoustu věcí, když mají lidé rozdílného klienta. Rozchodit přenosy souborů je porod a třeba takové OTR se mi prostě ani nepodařilo.

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Lupa.cz: Není sleva jako sleva. Jak obchodům nenaletět?

Není sleva jako sleva. Jak obchodům nenaletět?

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?