012345

}w !"#$%&'()+,-./012345
M ASARYKOVA UNIVERZITA FAKULTA INFORMATIKY

Transakˇcn´ı a cˇ asová detekce odchoz´ıch DoS utok ´ u˚ ´ D IPLOMOV A´ PR ACE

Bc. Marián Lorenc

Brno, podzim 2015

Prohlásˇ en´ı ˚ Prohlaˇsuji, zˇ e tato diplomová práce je mym ım autorskym ´ puvodn´ ´ d´ılem, které jsem vypracoval samostatnˇe. Vˇsechny zdroje, prameny a literaturu, které jsem pˇri vypracován´ı pouˇz´ıval nebo z nich cˇ erpal, v práci rˇ a´ dnˇe cituji s uveden´ım ´ upln´ eho odkazu na pˇr´ısluˇsny´ zdroj.

Vedouc´ı práce: Mgr. V´ıt Bukaˇc, Ph.D. ii

Podˇekován´ı Na tomto m´ıstˇe bych rád podˇekoval Mgr. V´ıtu Bukaˇcovi, Ph.D., ktery´ mne v práci vedl a poskytoval mi cenné rady a konzultace bˇehem rˇ eˇsen´ı mé práce. ˚ Dále bych zde chtˇel podˇekovat svym kteˇr´ı mi umoˇznili studium na ´ rodiˇcum, této sˇ kole a také své pˇr´ıtelkyni, která mi byla po celou dobu oporou.

iii

Shrnut´ı C´ılem této práce je navrhnout symbolicky´ zápis, kterym ´ bude moˇzno popiso´ vat s´ıt’ovou komunikaci bˇehem prob´ıhaj´ıc´ıho utoku typu odm´ıtnut´ı sluˇzby. To˚ muto návrhu pˇredcházela dukladn´ a analyza ´ komunikace v rámci jednotlivych ´ ´ ˚ Z vysledk utok u. u˚ analyzy ´ ´ byly definovány symboly, konstanty a samotná synˇ ´ taxe zápisu. Vytvoˇreny´ zápis umoˇznuje popsat sˇ irokou sˇ kálu DoS utok u˚ a je velmi variabiln´ı. Pˇr´ınosem této práce je umoˇznˇen´ı rychlé vymˇ ´ eny cˇ itelnych ´ in´ formac´ı o struktuˇre utoku mezi vˇedci, cˇ i programy.

iv

Abstract The aim of this work is design a symbolic notation which will be possible to describe network communication during denial of service attacks. The design process was preceded by a thorough analysis of the communication during the various attacks. From the results of analyzes were defined symbols, constants and the syntax of the notation. Created notation allows you to describe a wide range of DoS attacks and is very variable. The benefit of this work is to enable the rapid exchange of readable information about the structure of attacks between scientists, or software.

v

Kl´ıcˇ ová slova ´ ˚ Symbolicky´ zápis Denial Of Service, DoS, Detekce DoS utok u,

vi

Obsah 1 2

3

4

´ Uvod . . . . . . . . . . . . . . . . . . . . . . DoS utoky ´ . . . . . . . . . . . . . . . . . . . 2.1 Charakteristika s´ıt’ového provozu . . . 2.1.1 IP protokol . . . . . . . . . . . . 2.1.2 HTTP protokol . . . . . . . . . ´ 2.2 Utoky typu Denial of Service . . . . . ´ 2.2.1 Historie DoS utok u˚ . . . . . . . 2.2.2 Záplavové typy (DoS flood) . . ´ 2.2.3 Utoky vyuˇz´ıvaj´ıc´ı zranitelnost´ı ´ 2.2.4 Distribuované utoky . . . . . . 2.2.5 Ostatn´ı . . . . . . . . . . . . . . Existuj´ıc´ı nástroje a zpusoby ˚ detekce . . . 3.1 Nástroje . . . . . . . . . . . . . . . . . 3.1.1 LOIC . . . . . . . . . . . . . . . 3.1.2 XOIC . . . . . . . . . . . . . . . 3.1.3 Tor’s Hammer . . . . . . . . . . 3.1.4 Switchblade . . . . . . . . . . . 3.1.5 HTTPFlooder . . . . . . . . . . 3.1.6 HOIC . . . . . . . . . . . . . . . 3.1.7 Slowloris . . . . . . . . . . . . . ˚ ´ ˚ . . 3.2 Zpusoby obrany proti DoS utok um 3.2.1 Prevence . . . . . . . . . . . . . ´ 3.2.2 Detekce DoS utok u˚ . . . . . . . ´ 3.2.3 Reakce na prob´ıhaj´ıc´ı utok . . . Definice symbolického zápisu . . . . . . . 4.1 Motivace . . . . . . . . . . . . . . . . . ´ 4.2 Analyza u˚ . . . . . . . . . . . . . . ´ utok 4.2.1 Postup analyzy . . . . . . . . . ´ 4.2.2 Vysledky analyzy ´ ´ . . . . . . . . 4.3 Symbolicky´ zápis . . . . . . . . . . . . 4.3.1 Symboly . . . . . . . . . . . . . 4.3.2 Zápis . . . . . . . . . . . . . . . 4.3.3 Syntaxe . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1 2 2 3 5 5 6 8 10 12 14 15 15 15 16 17 17 17 18 18 20 20 21 22 24 24 25 25 27 28 28 28 30 vii

Pˇr´ıklad vytvárˇ en´ı zápisu . . . . . . . ´ Definice utok u˚ . . . . . . . . . . . . . 4.5.1 TCP . . . . . . . . . . . . . . . 4.5.2 HTTP . . . . . . . . . . . . . . 4.6 Návrh sluˇzby . . . . . . . . . . . . . 4.6.1 Change-point detection . . . 4.6.2 Signature-based detection . . 4.6.3 Machine learning . . . . . . . 4.6.4 Vyuˇzit´ı symbolického zápisu 5 Závˇer . . . . . . . . . . . . . . . . . . . . . A Seznam elektronickych ´ pˇr´ıloh . . . . . . 4.4 4.5

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

31 35 35 38 39 40 40 40 40 42 48

viii

Seznam obrázku˚ 2.1 2.2 2.3

´ DDoS utoky podle druhu obˇeti (Q2 2014) [5] 6 ´ Schéma takzvaného reflektivn´ıho DoS utoku 9 Hierarchická struktura botnetu 13

3.1

Nástroj LOIC 16

ix

Seznam tabulek 2.1 2.2 2.3

Porovnán´ı modelu ISO/OSI a TCP/IP [16] 3 Struktura IPv4 paketu 4 Struktura HTTP poˇzadavku / odpovˇedi 5

3.1

´ ˚ 19 Detaily nástroju˚ pro vytvárˇ en´ı DoS utok u.

4.1 4.2 4.3

´ cnych Tabulka rozdˇelen´ı utoˇ ´ nástroju˚ podle protokolu˚ 26 Souhrn symbolu˚ zápisu 29 Konstanty symbolického zápisu 32

x

Kapitola 1

´ Uvod ´ Historie Denial of Service (DoS) utok u˚ sahá k pˇrelomu osmdesátych a deva´ ´ cn´ıkovi pouˇz´ıt primitivn´ıch desátych ´ let dvacátého stolet´ı. V té dobˇe staˇcilo utoˇ ˚ Za cˇ tvrtstolet´ı technástroju˚ a obˇet’ zahltit souvislym ´ proudem stejnych ´ paketu. ´ cn´ıci se zaˇcali maskovat podnického rozvoje se toho mnoho zmˇenilo, utoˇ ´ vrhován´ım IP adres, k provádˇen´ı utok u˚ zaˇcaly byt ´ pouˇz´ıvány rozsáhlé s´ıtˇe nakaˇzenych ´ poˇc´ıtaˇcu˚ nic netuˇs´ıc´ıch uˇzivatelu˚ a mnoho dalˇs´ıho. Spousta prin˚ cipu˚ vˇsak zustala stejnych. ´ Hlavn´ım c´ılem této práce bylo navrhnout a definovat strukturovany´ zápis, ´ kterym typu Denial of Service popsat a bude pouˇzitelny´ ´ bude moˇzné utoky ´ ˚ Pˇred samotnym pro vymˇ u. ´ enu dat pˇri detekci utok ´ návrhem a definic´ı bylo ˚ ehu jednotlivych ´ ˚ V rámci této nutné analyzovat komunikaci bˇehem prubˇ u. ´ utok ´ analyzy bylo tˇ r eba identifikovat a popsat vlastnosti, kter ymi jsou tyto utoky ´ ´ charakteristické a jimiˇz se odliˇsuj´ı od bˇezˇ ného s´ıt’ového provozu. Vytvoˇren´ım symbolického zápisu vznikne prostˇredek pro vymˇ ´ enu jedno´ ıch. Symbolicky´ zápis bude moˇzné znaˇcnych ´ a cˇ itelnych ´ informac´ı o DoS utoc´ pouˇz´ıt jak pro vymˇ ´ enu informac´ı mezi lidmi, tak i jako strojovˇe cˇ itelny´ formát ˚ s informacemi o DoS utoc´ ´ ıch. pro detekˇcn´ı nástroje, cˇ i alternativu k datasetum Práce je rozdˇelena do nˇekolika logickych ´ cˇ a´ st´ı chronologicky podle toho, jak ´ byl problém zpracováván. Uvodn´ ı pˇrehledová kapitola 2 je rozdˇelena na dvˇe cˇ a´ sti. V prvn´ı cˇ a´ sti je obecnˇe popsán s´ıt’ovy´ provoz a jeho pravidla. Druhá cˇ a´ st ´ se zabyv´ u˚ na jednotlivé typy a popisem jejich vlastnost´ı. ´ a rozdˇelen´ım DoS utok ´ ˚ Kapitola 3 se vˇenuje nástrojum, ˚ které Struˇcnˇe je zde popsána historie DoS utok u. ´ cn´ıky pˇri DoS utoc´ ´ ıch a také ruzn ˚ ymi ˚ jsou pouˇz´ıvány utoˇ zpusoby obrany proti ´ ´ ˚ Samotnou analyzou ´ tˇemto utok um. jednotlivych u˚ a definic´ı symbolického ´ ´ utok zápisu se zabyv´ práce. ´ a kapitola 4. Kapitola 5 shrnuje vysledky ´

1

Kapitola 2

DoS utoky ´ Tato cˇ a´ st práce obsahuje informace, které jsem nastudoval z dostupné litera´ ˚ V prvn´ı cˇ a´ sti je tury, a slouˇz´ı k pochopen´ı souvislost´ı v oblasti DoS utok u. ’ struˇcnˇe popsán s´ıt ovy´ provoz a jeho principy vˇcetnˇe nejvyznamnˇ ejˇs´ıch proto´ ˚ Následuj´ıc´ı cˇ a´ st se zab´ırá samotnymi ´ kolu. utoky typu Denial of Service, jejich ´ histori´ı a jejich dˇelen´ım.

2.1 Charakteristika s´ıt’ového provozu ˚ které umoˇznuj´ ˇ ı spojen´ı a vymˇ Poˇc´ıtaˇcovou s´ıt´ı se oznaˇcuje soubor nástroju, ´ enu informac´ı mezi zaˇr´ızen´ımi na dálku. Nejvˇetˇs´ı takovou s´ıt´ı je Internet. Do této obrovské celosvˇetové s´ıtˇe jsou pˇripojeny miliardy zaˇr´ızen´ı, a proto je komunikace na ni postavena na velmi robustn´ım základˇe. Na celou s´ıt’ se lze d´ıvat z mnoha stran (smˇerován´ı, technologie pˇrenosu, zabezpeˇcen´ı, protokoly, atd.), z nichˇz jsou nˇekteré v tomto dokumentu popsány. Pro dalˇs´ı porozumˇen´ı tomuto doku˚ zité seznámit se s referenˇcn´ım ISO/OSI modelem, ktery´ popisuje mentu je duleˇ ´ jednotlivé vrstvy komunikace, na kterych [16] ´ také prob´ıhaj´ı jednotlivé utoky. Tento model se skládá ze sedmi vrstev, z nichˇz kaˇzdá vykonává jasnˇe danou ˚ ych ´ funkci. Vrstvy na ruzn ıch spolu komunikuj´ı pomoc´ı rozhran´ı, zat´ımco ´ urovn´ ´ ˚ Jednotkomunikace na stejnych ıch prob´ıhá prostˇrednictv´ım protokolu. ´ urovn´ livé vrstvy jsou popsány v tabulce 2.1, kde jsou srovnány s modelem TCP/IP. Jak uˇz bylo zm´ınˇeno vyˇ ´ se, s´ıt’ová komunikace je umoˇznˇena souˇcinnost´ı mnoha protokolu˚ na vrstvách OSI modelu. Datagramy jsou pˇrenásˇ eny pomoc´ı ˚ které nesou jak vlastn´ı data, tak mnoho dalˇs´ıch informac´ı zajiˇst’uj´ıc´ıch paketu, samotnou komunikaci. Tyto informace jsou pˇrenásˇ eny v hlaviˇckách jednot˚ Souˇca´ st´ı mnoha utok ´ livych datagramu. u˚ je podvrˇzen´ı informac´ı v tˇechto ´ ´ ˚ zité pochopit strukturu hlaviˇckách. K pochopen´ı fungován´ı tˇechto utok u˚ je duleˇ ˚ a funkce hlaviˇcek nˇekterych ´ tˇechto protokolu. 2

´ 2. D O S UTOKY TCP/IP

ISO/OSI Aplikaˇcn´ı vrstva

Aplikaˇcn´ı vrstva

Prezenˇcn´ı vrstva Relaˇcn´ı vrstva

Transportn´ı vrstva

Transportn´ı vrstva

S´ıt’ová (IP) vrstva

S´ıt’ová vrstva

Vrstva s´ıt’ového rozhran´ı

Linková vrstva Fyzická vrstva

Tabulka 2.1: Porovnán´ı modelu ISO/OSI a TCP/IP [16] 2.1.1 IP protokol Nejrozˇs´ırˇ enˇejˇs´ım protokolem slouˇz´ıc´ım pro pˇrenos dat na Internetu je IP protokol stále ve verzi 4, proto je zde popsána struktura jeho hlaviˇcky. Protokol funguje na s´ıt’ové vrstvˇe modelu ISO/OSI 2.1. [20] ´ Verze protokolu Hodnota udává verzi protokolu. Z hlediska utok u˚ nemá zˇ a´ dny´ vyznam. Standardn´ı hodnota pro IPv4 protokol je 4. ´ ˚ IHL – Délka hlaviˇcky Udává délku hlaviˇcky. Maximáln´ı délka je 60 bajtu. ˚ Typ sluˇzby Puvodnˇ e mˇelo pole slouˇzit k urˇcen´ı typu sluˇzby a t´ım k ideáln´ımu smˇerován´ı datagramu. Dnes slouˇz´ı k zajiˇstˇen´ı QoS (Quality of Service). Celková délka Celková délka udávaná v bajtech. Identifikace Jednoznaˇcny´ identifikátor datagramu. Slouˇz´ı k identifikaci pˇri pˇr´ıpadném rozdˇelen´ı datagramu do v´ıce paketu˚ (tzv. fragmentace). Pˇr´ıznaky Tˇri bity, které slouˇz´ı pro rˇ´ızen´ı fragmentace. Offset fragmentu Je vyuˇzit pˇri opˇetovném skládán´ı datagramu, ktery´ byl frag˚ Udává poˇcet osmic bytu˚ od zaˇca´ tku puvodn´ ˚ mentován do v´ıce paketu. ıho datagramu po zaˇca´ tek aktuáln´ıho paketu. [20] ˚ které jeˇstˇe muˇ ˚ ze paket uskuteˇcnit. Time to live (TTL) Udává poˇcet skoku“, ” ˚ S kaˇzdym smˇerovaˇcem, se dekrementuje. Pokud dosáhne ´ pruchodem nuly, paket je zahozen. Tato technika slouˇz´ı jako ochrana pˇred zacyklen´ım. ˚ ze byt ´ cn´ıky. Pˇri nastaven´ı pˇr´ıliˇs n´ızké hodnoty Toto pole muˇ ´ zneuˇzito utoˇ 3

´ 2. D O S UTOKY Bit 0 32 64

0

4

8

16

Verze

IHL

Typ sluˇzby

Protokol

31

Celková délka Pˇr´ıznaky

Identifikace TTL

19

Offset fragmentu

Kontroln´ı souˇcet hlaviˇcky

96

Zdrojová adresa

128

C´ılová adresa

160

Nepovinná nastaven´ı

...

Data Tabulka 2.2: Struktura IPv4 paketu

(0-1) dosáhne TTL paketu v s´ıti obˇeti hodnoty nula a postiˇzeny´ smˇerovaˇc ´ 0, coˇz spotˇrebovává jeho poté odes´ılá zpˇet zprávu ICMPv4 typu 11, kod ˚ ze doj´ıt aˇz k pˇret´ızˇ en´ı serstrojovy´ cˇ as. S velkym ´ poˇctem tˇechto paketu˚ muˇ ´ veru, cˇ i smˇerovaˇce. Tento typ utoku je znám jako TTL expiry“ [10]. ” ˇ ıslo protokolu Udává, kterému protokolu transportn´ı vrstvy jsou data po C´ ˇ ısla protokolum ˚ jsou pˇriˇrazována organizac´ı Internet Aspˇrijet´ı pˇredána. C´ signed Numbers Authority (IANA). [19] Kontroln´ı souˇcet hlaviˇcky Je poˇc´ıtán algoritmem, ktery´ je popsán v RFC 1071 [32]. Slouˇz´ı jako kontrola poˇskozen´ı datagramu bˇehem pˇrenosu. Pokud kontroln´ı souˇcet neodpov´ıdá uvedené hodnotˇe, datagram je zahozen. ´ ıch typu denial Zdrojová adresa IPv4 adresa odesilatele. Tato adresa je pˇri utoc´ of service (DoS, cˇ esky odm´ıtnut´ı sluˇzby) velmi cˇ asto podvrˇzená a neprav´ ´ cn´ıci zamˇenuj´ ˇ ı zdrojové IP adresy, nazyv´ divá. Utoky, pˇri nichˇz utoˇ ´ ame IP ” spoofing“. ´ ˚ ze byt C´ılová adresa IPv4 adresa pˇr´ıjemce. U utok u˚ typu Land muˇ ´ zdrojová ad˚ ze zpusobovat ˚ resa shodná s c´ılovou, coˇz muˇ problémy. [25] ˇ ıc´ı volby, které mohou m´ıt ruznou ˚ Nepovinná nastaven´ı Doplnuj´ délku a hodnoty. Data Hlaviˇcky dalˇc´ıch vrstev a samotná data.

4

´ 2. D O S UTOKY Struktura ˇ adek poˇzadavku / odpovˇedi R´

Hlaviˇcky

Pˇr´ıklad HTTP odpovˇedi HTTP/1.1 404 Not Found Date: Sun, 18 Oct 2012 10:36:20 GMT Server: Apache/2.2.14 (Win32) Content-Length: 230 Connection: Closed Content-Type: text/html; charset=iso-8859-1

Prázdny´ rˇ a´ dek Tˇelo poˇzadavku / odpovˇedi

,404 Not Found ...

Tabulka 2.3: Struktura HTTP poˇzadavku / odpovˇedi 2.1.2 HTTP protokol Bezstavovy´ protokol HTTP slouˇz´ı k pˇrenásˇ en´ı hypertextovych dokumentu˚ a ´ informac´ı [14]. Od devadesátych let byl vyuˇz´ıván organizac´ı W3C1 a bez nˇej ´ by dneˇsn´ı Internet tak, jak jej známe, neexistoval. Informace jsou na webu ˚ ze utoˇ ´ cn´ık nˇekteré pˇrenásˇ eny HTTP zprávami. Stejnˇe jako u protokolu IP muˇ ´ informace uvnitˇr zprávy podvrhnout a vyuˇz´ıt je k utoku. ˚ Zprávy se dˇel´ı na poˇzadavek (Request) a odpovˇed’ (Response) s ruznou strukturou. Poˇzadavek obsahuje rˇ a´ dek poˇzadavku, ve kterém je specifikovaná metoda poˇzadavku, URL a verze protokolu. Jednotlivé poloˇzky jsou oddˇeleny ˚ ze obsahomezerami. Následuj´ıc´ı rˇ a´ dky slouˇz´ı k pˇrenosu hlaviˇcky, která muˇ ˚ které mohou byt vat mnoˇzstv´ı parametru, ´ definovány i uˇzivatelem. Následuje prázdny´ rˇ a´ dek a samotné tˇelo zprávy. Pˇr´ıklad lze vidˇet v tabulce 2.3. ˚ zitá pole obsahuj´ıc´ı URL a pole, které Z pohledu této práce jsou duleˇ urˇcuje metodu poˇzadavku. Nejbˇezˇ nˇejˇs´ı jsou metody GET a POST. GET slouˇz´ı k vyˇza´ dán´ı informac´ı, POST zˇ a´ dá server, aby pˇrijal data pos´ılaná klientem. ˚ kdy GET pˇredává serveru parametry Dalˇs´ı rozd´ıl je v pˇredáván´ı parametru, jako souˇca´ st URI a POST parametry obsahuje v tˇele poˇzadavku.

´ 2.2 Utoky typu Denial of Service ´ ´ Denial of Service (DoS, cˇ esky Utoky typu odepˇren´ı sluˇzby) utoky jsou rela´ cinnym ´ ˚ Kvuli ˚ tivnˇe jednoduchym, ale velmi uˇ utok u. ´ ´ typem kybernetickych ´ ´ své jednoduchosti jsou tyto utoky jedny z nejpouˇz´ıvanˇejˇs´ıch. Veˇskeré sluˇzby 1. Odkaz na web organizace:

5

´ 2. D O S UTOKY Commerce Enterprise

29% 30% 11% Public Sector 15%

Media and Entertainment

15% High Tech

´ Obrázek 2.1: DDoS utoky podle druhu obˇeti (Q2 2014) [5] dostupné na Internetu jsou poskytovány servery, které maj´ı urˇcitou konekti´ vitu a vypoˇ C´ılem DoS utok u˚ je znemoˇznit dostupnost konkrétn´ı ´ cetn´ı vykon. ´ ´ sluˇzby, a to bud’ zahlcen´ım komunikaˇcn´ıch cest se serverem (utoky s velkym ´ datovym ´ tokem), nebo pˇret´ızˇ en´ım vypoˇ ´ cetn´ıch prostˇredku˚ serveru (CPU, pamˇet’). ´ V obou pˇr´ıpadech nen´ı bˇehem utok u˚ moˇzná komunikace se serverem a t´ım i se ´ sluˇzbami, které poskytuje. Utoˇcn´ık v takovém pˇr´ıpadˇe server neovládá, nezná ˚ administrátorská hesla, a pˇresto znemoˇzn´ı pˇr´ıstup legitimn´ım uˇzivatelum. ´ ˚ jsou ruzn´ ˚ eho typu. Nˇekteré utoky ´ Motivace k tˇemto utok um maj´ı poli˚ ˚ tické duvody (kyberterorismus), jiné se snaˇz´ı zpusobit sˇ kodu konkrétn´ım ko˚ merˇcn´ım subjektum, jindy jde o náboˇzenské konflikty. V neposledn´ı rˇ adˇe se ´ jedná o vlastn´ı zviditelnˇen´ı. Nejv´ıce utok u˚ bylo ve druhém cˇ tvrtlet´ı roku 2014 ˚ (obrázek 2.1). uskuteˇcnˇeno proti obchodn´ım spoleˇcnostem a velkym ´ podnikum To svˇedˇc´ı o velkém tlaku pˇri konkurenˇcn´ım boji spoleˇcnost´ı. 2.2.1 Historie DoS utok ´ u˚ ´ Prvn´ı DoS utoky se zaˇcaly objevovat koncem osmdesátych ´ let dvacátého sto´ ´ let´ı. Jedn´ım z prvn´ıch byl v roce 1989 utok typu ICMP flood (2.2.2) [23]. Utok byl velmi primitivn´ı a spoˇc´ıval v opakovaném zas´ılán´ı ICMP paketu˚ Echo ” Request“ (ping) s podvrˇzenymi IP adresami (IP spoofing 2.2.5). ´ ˚ ´ cn´ıky Se vzrustaj´ ıc´ım vykonem poˇc´ıtaˇcu˚ a s´ıt’ovou konektivitou bylo pro utoˇ ´ ´ cinné utoky. ´ ´ ˚ byly tˇreba vykonn´ stále obt´ızˇ nˇejˇs´ı provádˇet uˇ K utok um e stroje ´ s vˇetˇs´ı konektivitou neˇz obˇet’, a proto byly cˇ asto páchány prostˇrednictv´ım uni˚ ke kterym ´ verzitn´ıch poˇc´ıtaˇcu, S tˇemi se cˇ ile ´ byly ukradeny pˇr´ıstupové udaje. obchodovalo na cˇ erném trhu. 6

´ 2. D O S UTOKY V roce 1996 byla objevena slabina rodiny protokolu˚ TCP/IP a byl poprvé ´ pouˇzit utok typu SYN flood (2.2.2), ktery´ vyt´ızˇ ´ı serverové prostˇredky na maxi˚ mum a zpusob´ ı jeho nedostupnost. Následuj´ıc´ı rok bylo vytvoˇreno mnoˇzstv´ı programu˚ vyuˇz´ıvaj´ıc´ıch chyb v nezabezpeˇcenych systémech. Pˇr´ıkladem mo´ hou byt ´ teardrop, boink a bonk. Ve stejném roce byla také objevena nová ra´ ´ finovaná technika utok u˚ zvaná Smurf utok podle prvn´ıho programu, ktery´ jej ´ cn´ık k jeho proveden´ı neprovádˇel. Jeho vyhodou bylo pˇredevˇs´ım to, zˇ e utoˇ ´ ´ ´ potˇreboval vysokou konektivitu. Utoˇcn´ıkovi staˇcilo smˇerovat utok ICMP pakety s podvrˇzenou zdrojovou adresou za adresu obˇeti na broadcastovou adresu s´ıtˇe. Vˇsechny poˇc´ıtaˇce poslouchaj´ıc´ı na broadcastové adrese poté zaˇcaly odpov´ıdat na adresu obˇeti a tak ji zahltili. Spolu s vyvojem sˇ kodlivych nástroju˚ se vyv´ıjely i obranné mechanismy ´ ´ ´ ıch zneuˇz´ıváno. Jedinou skupinou a byly opravovány chyby, jichˇz bylo pˇri utoc´ ´ ˚ která pˇretrvávala, byla skupina záplavovych ´ utok u, u˚ (2.2.2), které ´ (flood) utok ´ se snaˇz´ı zahltit komunikaci se serverem. K proveden´ı utoku je tˇreba vˇetˇs´ı sˇ´ırˇ ky pásma pˇripojen´ı, neˇz kterym ´ disponuje obˇet’. V této dobˇe (1998) jiˇz neexisto˚ ´ cn´ıky stále valy tak velké rozd´ıly v konektivitˇe a z tohoto duvodu bylo pro utoˇ obt´ızˇ nˇejˇs´ı disponovat dostateˇcnˇe rychlym bylo prvn´ı ´ pˇripojen´ım. Vysledkem ´ ´ pouˇzit´ı takzvaného DDoS (distributed Denial of Service) utoku, ktery´ spojuje ´ v´ıce stroju˚ do jedné logické s´ıtˇe a utok je provádˇen spoleˇcnˇe vˇsemi stroji najednou (2.2.4). ´ ˚ DDoS utoky ´ V následuj´ıc´ıch letech prob´ıhal rozvoj distribuovanych u. ´ utok jsou vˇetˇsinou provádˇeny ve dvou fáz´ıch. V prvn´ı prob´ıhá vytvárˇ en´ı botnetu ´ cn´ık se pomoc´ı cˇ ervu˚ cˇ i jiného malwaru snaˇz´ı z´ıskat kontrolu nad (2.2.4). Utoˇ mnoha poˇc´ıtaˇci. Tyto obˇeti (nˇekdy také oznaˇcovány jako zombies, daemons“) ” ´ jsou poté vyuˇz´ıvány ke skuteˇcnému utoku na konkrétn´ı c´ıl. Vyhoda takovychto ´ ´ botnetu˚ spoˇc´ıvá v jejich znovupouˇzitelnosti, komplikované obranˇe proti jejich ´ ˚ a sloˇzité cestˇe k odhalen´ı skuteˇcného utoˇ ´ cn´ıka. utok um Roku 1999 byl rozˇs´ırˇ en jeden z nejznámˇejˇs´ıch programu˚ slouˇz´ıc´ıch ´ k provádˇen´ı DDoS utok u˚ - Trinoo. Disponoval rozsáhlym ´ botnetem, ktery´ do˚ Spolu s n´ım bylo vytvárˇ eno mnoˇzstv´ı sahoval velikosti nˇekolika tis´ıc démonu. ˚ které slouˇzily ke stejnému uˇ ´ celu. Nˇekteré v´ıce cˇ i ménˇe podobnych ´ programu, z nich byly schopny aktualizace po s´ıti, cˇ i vlastn´ı reprodukce do dalˇs´ıch zaˇr´ızen´ı. ´ ´ Jedny z prvn´ıch velkych u˚ probˇehly v unoru roku 2000. Byly m´ırˇ eny ´ utok proti nejvˇetˇs´ım internetovym ´ spoleˇcnostem, jako jsou eBay, Yahoo, Amazon. ´ Utok trval nˇekolik des´ıtek hodin a nˇekteré z webu˚ byly urˇcitou dobu nedo´ stupné. Za utoky byl po roce odsouzen patnáctilety´ mlad´ık pˇrezd´ıvany´ Mafia” Boy“, ktery´ pozdˇeji o incidentu napsal knihu. [7] ´ V posledn´ı dobˇe se nejznámˇejˇs´ımi staly DoS utoky organizované hnut´ım Anonymous. Tato skupina nemá zˇ a´ dnou pevnˇe danou hierarchii, ani jasnˇe sta7

´ 2. D O S UTOKY noveny´ c´ıl, a tak své c´ıle vol´ı zcela neˇcekanˇe a nevyzpytatelnˇe [28]. Pod´ıleli se ˇ an´ım vládn´ıch dokumentu˚ na cˇ innosti organizace WikiLeaks, spojené s odtajnov´ ´ [38]. Dále na utoku proti spoleˇcnosti Sony [42], nebo na rˇ adˇe akc´ı m´ırˇ enych ´ proti ˚ bˇehem arabského jara [35]. vládám totalitn´ıch reˇzimu, ´ ´ DDos utoky se stávaj´ı cˇ astym ´ nástrojem politickych ´ boju˚ napˇr´ıklad utoky ´ vedené hnut´ım Hamás proti Izraeli [41], cˇ i utoky spojené s prodemokratickymi ´ protesty v Hong Kongu [40]. S vyv´ıjej´ıc´ımi se obrannymi mechanismy a se zrychluj´ıc´ım se pˇripojen´ım ´ ´ cn´ıci vymyˇ ˚ ´ ˚ Po obˇet´ı k Internetu utoˇ utok u. ´ sleli nové a rafinovanˇejˇs´ı zpusoby ´ ˚ se kterymi ˚ zeme setkat. letech tak zde existuje nˇekolik typu˚ utok u, se v praxi muˇ ´ V následuj´ıc´ı kapitole je velká vˇetˇsina z nich popsána. 2.2.2 Záplavové typy (DoS flood) ´ Utoky tohoto typu jsou svou podstatou ty nejjednoduˇssˇ´ı. Jejich c´ılem je vyge˚ nerovat co nejvˇetˇs´ı datovy´ tok smˇerem k obˇeti a t´ım zahltit jej´ı linku a zpusobit ˚ nedostupnost serveru, cˇ i sluˇzby pro bˇezˇ né uˇzivatele [12]. Z duvodu vˇetˇs´ı efektivity jsou k jejich uskuteˇcnˇen´ı cˇ asto pouˇz´ıvány distribuované poˇc´ıtaˇcové s´ıtˇe, takzvané botnety (2.2.4). ICMP Flood (ping flood) ´ Tento typ utoku vyuˇz´ıvá ICMP pakety typu Echo Request“. Pakety jsou ” ´ cn´ık cˇ ekal na ododes´ılány co nejvˇetˇs´ı frekvenc´ı na adresu obˇeti, aniˇz by utoˇ povˇed’. Obˇet’ po pˇrijet´ı paketu standardnˇe odpov´ıdá paketem Echo Reply“ ” stejné velikosti a t´ım svou linku zahlcuje podruhé. Pokud objem pˇrenásˇ enych ´ datovych bloku˚ pˇrekroˇc´ı sˇ´ırˇ ku pásma (bandwidth) dané linky, stává se obˇet’ ´ ´ cn´ık mnohdy pos´ılá pakety s podvrˇzenou zdrojovou IP adnedostupnou. Utoˇ resou, viz IP spoofing“ (2.2.5). V dneˇsn´ı dobˇe jsou cˇ asto pakety tohoto typu ” filtrovány firewally. [25] UDP Flood ´ UDP flood je dalˇs´ım typem DoS utoku, ktery´ se snaˇz´ı zahltit linku obˇeti. ´ ıch bylo cˇ asto vyuˇz´ıváno Vyuˇz´ıvá transportn´ıho protokolu UDP. Pˇri tˇechto utoc´ sluˇzeb chargen [31] a echo [30] z rodiny protokolu˚ TCP/IP, které pˇri správném ´ pouˇzit´ı utoky mnohonásobnˇe zes´ıl´ı. Sluˇzba chargen po pˇrijet´ı jakékoli zprávy odpov´ıdá na zdrojovou adresu náhodnymi daty, zat´ımco sluˇzba echo na zdro´ jovou adresu pos´ılá stejná data, která pˇrijala. ´ cn´ık podvrhne zdrojovou IP adresu za adresu poˇc´ıtaˇce s dobrou Pokud utoˇ konektivitou (zesilovaˇc), ktery´ poskytuje tyto sluˇzby a cˇ ´ıslo portu nastav´ı na 8

´ 2. D O S UTOKY ´ cn´ıka zpravidla hodnotu jedné z tˇechto sluˇzeb, zesilovaˇc zahlt´ı obˇet’ m´ısto utoˇ ´ ´ cn´ıka obdrˇzel. Utoˇcn´ık tak nepotˇrebuje k uspˇ ´ esˇ nému vˇetˇs´ı zprávou, neˇz od utoˇ ´ ´ ˚ utoku ani rychlé pˇripojen´ı, ani vysoky´ vypoˇ c etn´ ı v ykon. Takov ymto utok um ´ ´ ´ se rˇ´ıká reflektivn´ı [15] a jsou pouˇz´ıvány vˇetˇsinou jako distribuované (2.2.4). ´ Schéma reflektivn´ıho utoku je zobrazeno na obrázku (2.2). Pro vypoˇ ´ cet ´ cinnosti utoku ´ uˇ (BAF - Bandwidth Amplification Factor) se pouˇz´ıvá rovnice (2.1) [34]. [25] BAF =

len(UDP provoz) od zesilovaˇce k obˇeti len(UDP provoz) od utoˇ ´ cn´ıka k zesilovaˇci

Zesilovač

(2.1)

Oběť

Útočník

´ Obrázek 2.2: Schéma takzvaného reflektivn´ıho DoS utoku TCP Flood ´ Podle pˇr´ıznaku˚ se rozliˇsuje nˇekolik typu˚ tˇechto utok u˚ (URG, ACK, PSH, ´ RST, SYN, FIN) [29]. Kromˇe utok u˚ SYN a RST Flood maj´ı vˇsechny stejnou pod´ statu jako utoky UDP a ICMP Flood. Záplava pakety typy SYN nen´ı klasickou záplavou, která se snaˇz´ı pˇret´ızˇ it ´ ˚ linku obˇeti. Svou podstatou odpov´ıdá sp´ısˇ e utok um, které maj´ı za c´ıl vyˇcerpat ´ cn´ık pos´ılá obˇeti mnoˇzstv´ı SYN paketu, ˚ které se v TCP prostˇredky obˇeti. Utoˇ komunikaci pouˇz´ıvaj´ı k navázán´ı spojen´ı pomoc´ı trojcestného handshakingu ´ cn´ık má v umyslu ´ (three-way handshake) [29]. Obˇet’ si mysl´ı, zˇ e utoˇ navázat spojen´ı a pokud nemá implementovány mechanismy pro obranu pˇred t´ımto typem 9

´ 2. D O S UTOKY ´ ˚ odeˇsle smˇerem k utoˇ ´ cn´ıkovi odpovˇed’ v podobˇe TCP paketu typu ACK utok u, a alokuje urˇcité zdroje pro budouc´ı spojen´ı. K tomuto spojen´ı vˇsak jiˇz nikdy nedojde a s dalˇs´ımi pˇricházej´ıc´ımi poˇzadavky na vytvoˇren´ı spojen´ı jsou alokovány dalˇs´ı a dalˇs´ı dostupné zdroje obˇeti, dokud nedojde k jejich vyˇcerpán´ı. Obˇet’ se pak stává pro dalˇs´ı spojen´ı nedostupnou [13]. Naopak s vyuˇzit´ım RST paketu˚ ˚ ze utoˇ ´ cn´ık ukonˇcit validn´ı spojen´ı mezi dvˇema poˇc´ıtaˇci. [25] muˇ HTTP Flood ´ Utoky typu HTTP se snaˇz´ı pomoc´ı poˇzadavku˚ (nejˇcastˇeji GET, nebo POST (2.1.2)) vyˇcerpat prostˇredky daného HTTP serveru. Po jejich vyˇcerpán´ı server pˇrestává byt ´ schopny´ obsluhovat dalˇs´ı poˇzadavky a stává se nedostupnym. ´ ´ Tyto utoky lze vˇetˇsinou jen tˇezˇ ko odhalit od bˇezˇ ného provozu, a proto je obrana proti nim cˇ asto velmi obt´ızˇ ná a existuje vˇetˇsinou ve formˇe konkrétn´ıch pravidel ´ firewallu pro konkrétn´ı utok. [25] Poˇzadavky jsou obvykle konstruovány tak, aby byly co nejjednoduˇssˇ´ı a vy´ ˚ padaly jako obyˇcejny´ provoz (vˇetˇsinou ve formˇe masivn´ıch DDoS utok u), nebo naopak, aby spotˇrebovávaly co nejv´ıce serverovych prostˇredku˚ (napˇr. ´ poˇzadavek POST ve spojen´ı s ukládán´ım dat do databáze). ˚ e utoky ´ ´ ´ Ruzn´ maj´ı spoleˇcné vlastnosti, a proto i u HTTP utok u˚ existuj´ı utoky, ´ které vyuˇz´ıvaj´ı chyb, cˇ i vlastnost´ı daného protokolu. Napˇr´ıklad utok, ktery´ byl proslaven nástrojem slowloris (3.1.7), vyuˇz´ıvá HTTP poˇzadavku˚ a snaˇz´ı se udrˇzet co nejvˇetˇs´ı poˇcet otevˇrenych ´ spojen´ı a t´ım vyˇcerpat zdroje serveru. K udrˇzen´ı spojen´ı pos´ılá v co nejdelˇs´ıch intervalech d´ılˇc´ı poˇzadavky. ´ HTTP slow POST utoky vyuˇz´ıvaj´ı toho, zˇ e lze pomoc´ı nich pˇrenásˇ et data. ´ Utok spoˇc´ıvá v odeslán´ı poˇzadavku POST, kterému je velikost obsahu nastavena na co nejvˇetˇs´ı velikost. Poˇzadavek je poté odeslán a data jsou odes´ılána co nejmenˇs´ı rychlost´ı a server je nucen udrˇzovat spojen´ı, dokud neobdrˇz´ı vˇsechna data. [8] ´ 2.2.3 Utoky vyuˇz´ıvaj´ıc´ı zranitelnost´ı ´ Skupina tˇechto utok u˚ je specifická t´ım, zˇ e k jejich proveden´ı nen´ı tˇreba vy´ sokého vykonu, cˇ i velké konektivity. Utoky jsou zamˇerˇ ené na konkrétn´ı chybu, ´ cˇ i nedostatek v implementaci protokolu, operaˇcn´ıho systému, nebo programu. ´ cn´ıkovi proto staˇc´ı identifikovat tento nedostatek, cˇ i zranitelnost a správnˇe Utoˇ ˚ zkonstruovanymi pakety zpusobit vyˇrazen´ı konkrétn´ı sluˇzby z provozu. ´ Teardrop ´ Svého cˇ asu (druhá polovina 90. let) populárn´ı jednoduchy´ utok. Vyuˇz´ıvá zranitelnosti nˇekterych ´ implementac´ı IP protokolu v operaˇcn´ıch systémech Windows 10

´ 2. D O S UTOKY i Linux. Spoˇc´ıvá v chybném nastaven´ı offsetu fragmentu (2.1.1), kdy je offset ´ následuj´ıc´ıho paketu umyslnˇ e nastaven na niˇzsˇ´ı hodnotu a jeho data tak zasa˚ huj´ı do svého pˇredchudce. Pˇri opˇetovném sestavován´ı IP datagramu docház´ı ˚ k chybˇe, která zpusob´ ı pád systému. Ping of death ˚ V s´ıti Podle RFC 791 [20] je maximáln´ı velikost IP datagramu 65535 bajtu. ˚ ´ tak nelze vˇetˇs´ı datagram bˇezˇ nym odeslat. Podstatou tohoto utoku ´ zpusobem ´ cn´ık vˇetˇs´ı datagram fragmentuje a stejnˇe jako v pˇredchoz´ım utoku ´ je, zˇ e utoˇ chybnˇe nastav´ı offset fragmentu posledn´ıho paketu na nejvˇetˇs´ı moˇznou hodnotu. Chybnˇe nastav´ı také jeho velikost tak, aby se pˇri sestavován´ı dostala aˇz za ˇ zminovanou hranici. Opˇetovné sestavován´ı takovéhoto datagramu mohlo na ˚ nˇekterych chybu. Chyba je zapˇr´ıcˇ inˇena pˇreteˇcen´ım pamˇeti ´ systémech zpusobit ˚ ze zpusobit ˚ vyhrazené pro sestavovany´ datagram a muˇ aˇz pád systému. Název ´ je odvozen od typu ICMP paketu, ktery´ se k utoku pouˇz´ıvá. PDoS ´ Pojmenován´ı tohoto utoku pocház´ı ze zkratky anglického Permanent“, nebo ” ´ take nˇekdy Phlashing“ DoS. Tyto utoky se zamˇerˇ uj´ı na konkrétn´ı hardware ” (napˇr´ıklad smˇerovaˇce, routery a podobnˇe). Podstatou je kompletn´ı vyˇrazen´ı ´ ˚ utoˇ ´ cn´ıka. Po z provozu daného zaˇr´ızen´ı, nebo uprava jeho cˇ innosti podle vule ˚ ze z´ıskán´ı pˇr´ıstupu k zaˇr´ızen´ı (nejˇcastˇeji chybou firmware daného zaˇr´ızen´ı) muˇ ´ cn´ık libovolnˇe mˇenit obsah pamˇeti ROM, nastavovat nepovolené hodnoty, utoˇ ˚ vlastn´ı upraveny software. Po tomto nebo dokonce nahrát do zaˇr´ızen´ı svuj ´ utoku je nutné napadeny´ hardware znovu pˇreinstalovat, nebo zcela vymˇenit. [39] Hash DoS ´ Tento pomˇernˇe novy´ utok (2011) c´ıl´ı na hashovac´ı algoritmy webovych ser´ ˚ Je nebezpeˇcny´ pˇredevˇs´ım kvuli ˚ rozˇs´ırˇ enosti hashovac´ıch algoritmu, ˚ které veru. ´ jsou proti utoku zranitelné (napˇr´ıklad hashovac´ı funkce DJBX33A, DJBX31A ´ ˚ jednoduchosti proveden´ı utoku. ´ a DJBX33X) a kvuli Utok spoˇc´ıvá v odeslán´ı HTTP POST poˇzadavku, ktery´ obsahuje velké mnoˇzstv´ı promˇennych, které ´ ´ cn´ık snaˇz´ı doc´ılit co nejvˇetˇs´ıho jsou transformovány na stejny´ hash. T´ım se utoˇ mnoˇzstv´ı koliz´ı a dosáhnout co nejhorˇs´ıch moˇznych u˚ pro vyhledáván´ı. ´ vysledk ´ Hashovac´ı funkce serveru poté procház´ı postupnˇe vˇsechny promˇenné na stejném indexu a cˇ asová sloˇzitost se mˇen´ı z konstantn´ı aˇz k lineárn´ı a server se stává pˇret´ızˇ enym. ´ [3] 11

´ 2. D O S UTOKY 2.2.4 Distribuované utoky ´ ´ Nˇekteré typy utok u˚ (pˇredevˇs´ım záplavové) vyˇzaduj´ı ke svému proveden´ı vyˇssˇ´ı ´ cn´ık potˇrebuje vypoˇ c etn´ ı v ykon, nebo konektivitu. V takovém pˇr´ıpadˇe utoˇ ´ ´ ´ z´ıskat moc nad vˇetˇs´ım mnoˇzstv´ı poˇc´ıtaˇcu˚ a z nich poté vést kontrolovany´ utok. ´ ˚ se rˇ´ıká distribuované. Obrana proti nim je velmi obt´ızˇ ná, Takovym um ´ utok ´ cn´ık je nav´ıc ´ ˚ ych ˚ ych protoˇze utoky pˇricház´ı z ruzn ´ IP adres z ruzn ´ cˇ a´ st´ı svˇeta. Utoˇ ´ c´ıc´ımi poˇc´ıtaˇci a je proto tˇezˇ ko dohledatelny. kryty´ utoˇ ´ Prakticky vˇsechny DoS ´ utoky lze provést jako distribuované.

Botnet ´ S´ıt’ poˇc´ıtaˇcu˚ slouˇz´ıc´ıch k provádˇen´ı utok u˚ se nazyv´ ´ a botnet. Jednotlivé bot˚ ych nety mohou dosahovat ruzn ´ velikost´ı – od jednotek po statis´ıce, nˇekdy aˇz ˚ Botnety jsou obvykle tvoˇreny hierarchickou strukturou. Na miliony, poˇc´ıtaˇcu. ´ cn´ık, ktery´ cely´ utok ´ jej´ım vrcholu stoj´ı samotny´ utoˇ rˇ´ıd´ı. Pod n´ım se nacház´ı ´ cn´ıkem a poˇc´ıtaˇci, poˇc´ıtaˇce (Handler), které zajiˇst’uj´ı pˇrenos informac´ı mezi utoˇ ´ které provád´ı samotny´ utok (Agent, Bot). Struktura je zobrazena na obrázku ´ cn´ık muˇ ˚ ze do hierarchie pˇridávat libovolné mnoˇzstv´ı urovn´ ´ 2.3. Utoˇ ı. Takovéto ´ cn´ıka a ten je pˇres v´ıce vrstev huˇ ˚ re dohledauspoˇra´ dán´ı zajiˇst’uje vyˇssˇ´ı kryt´ı utoˇ telny. ´ [25] ´ cn´ıkem a agenty muˇ ˚ ze prob´ıhat mnoha zpusoby. ˚ Komunikace mezi utoˇ ´ U modern´ıch utok u˚ je veˇskerá komunikace sˇ ifrovaná, aby nemohlo doj´ıt k od´ cn´ıci pouˇz´ıvaj´ı jak bˇezˇ né ´ cn´ıky. Utoˇ cizen´ı s´ıtˇe, nebo k jej´ımu ovládán´ı jinymi utoˇ ´ protokoly, tak i vlastn´ı, které si sami navrhnou. Protoˇze jednotlivé poˇc´ıtaˇce klasického botnetu v sobˇe mus´ı uchovávat informace o tom, kde se vzájemnˇe nalézaj´ı, aby spolu mohly komunikovat, je takové uspoˇra´ dán´ı velmi choulostivé k odhalen´ı. V pˇr´ıpadˇe objeven´ı jednoho cˇ lánku je moˇzné dohledat vel˚ ˚ ych kou cˇ a´ st s´ıtˇe. Z tohoto duvodu se pro komunikaci vyuˇz´ıvaj´ı sluˇzby ruzn ´ ˚ e Instant Messagery – IM). veˇrejnych ´ sluˇzeb a komunikátoru˚ (napˇr. IRC, ruzn´ V pˇr´ıpadˇe vypadku jsou tak jednotlivé servery jednoduˇse nahraditelné a infor´ mace o novém uspoˇra´ dán´ı s´ıtˇe jsou jednoduˇse dostupné. [27] Jinym ´ typem botnetu jsou takzvané fast flux botnety. Tyto botnety vyuˇz´ıvaj´ı rychlych zmˇen v DNS záznamech (IP adresy jednotlivych záznamu˚ se mˇen´ı ´ ´ ˇ ı odhalen´ı struktury botnetu v rˇ a´ dech minut). Tyto praktiky velice znesnadnuj´ a jeho odstaven´ı. U tohoto typu botnetu v sobˇe nemus´ı jednotlivé poˇc´ıtaˇce ˚ a proto ani odhalen´ı nˇekolika serveru˚ nen´ı uchovávat adresy ostatn´ıch serveru, pro fungován´ı botnetu kritické. [6] 12

´ 2. D O S UTOKY Útočník

Handler

Handler

Agent

Agent Agent

Agent

Agent

Agent Agent

Obrázek 2.3: Hierarchická struktura botnetu Vytvárˇ en´ı botnetu ˚ ze prob´ıhat manuálnˇe, poloautomaticky anebo nejbˇezˇ nˇeji Vytvoˇren´ı s´ıtˇe muˇ ˚ zcela automatizovanˇe. Proces lze rozdˇelit do nˇekolika kroku: •

Nalezen´ı zranitelnych ´ stroju˚

•

Prolomen´ı ochrany

•

Instalace sˇ kodlivého software

•

Ustanoven´ı komunikace

Hledán´ı moˇznych obˇet´ı vˇetˇsinou spoˇc´ıvá v hledán´ı zranitelného poˇc´ıtaˇce ´ s urˇcitym ´ operaˇcn´ım systémem, ktery´ poskytuje urˇcité sluˇzby, cˇ i jiné vlastnosti které se daj´ı zneuˇz´ıt pro ovládnut´ı poˇc´ıtaˇce. Toto skenován´ı poˇc´ıtaˇcu˚ prob´ıhá poˇc´ıtaˇcem, ktery´ byl jiˇz napaden takzvanym ´ cˇ ervem. Ten se zcela automaticky sˇ´ırˇ´ı na vhodné obˇeti, podobnˇe jako chˇripka v reálném svˇetˇe. Po napa´ cn´ıkem den´ı poˇc´ıtaˇce zprostˇredkuje spojen´ı mezi napadenym ´ poˇc´ıtaˇcem a utoˇ 13

´ 2. D O S UTOKY a umoˇzn´ı mu jeho kontrolu pomoc´ı takzvanych zadn´ıch vrátek. Poté znovu ´ ´ cn´ık plnou kontzaˇcne hledat nové obˇeti a sˇ´ırˇ it se na nˇe. V tuto chv´ıli má utoˇ ˚ ze do ni naistalovat software pro vytvoˇren´ı botnetu. [25] rolu nad obˇet´ı a muˇ 2.2.5 Ostatn´ı IP spoofing ´ T´ımto vyrazem se oznaˇcuje odeslán´ı paketu s umyslnˇ e zfalˇsovanou zdrojovou ´ ´ IP adresou v hlaviˇcce IP paketu (2.1.1). Pouˇz´ıvá se u vˇetˇsiny DoS utok u˚ a slouˇz´ı ´ cn´ıka, k pˇresmˇerován´ı odpovˇedi na jinou adresu, nebo k zatajen´ı totoˇznosti utoˇ ´ ˚ [2] k znesnadnˇen´ı filtrován´ı utok u. Email bombing ´ cn´ık se snaˇz´ı obˇet’ zahltit emai´ Je to jednoduchá, aˇz primitivn´ı forma utoku. Utoˇ ´ ˚ ´ lovymi sp´ısˇ e psychickou, neˇz penˇezˇ n´ı ujmu obˇeti. Utok ´ zprávami a t´ım zpusobit ´ se pro vˇetˇs´ı efektivnost pouˇz´ıvá spoleˇcnˇe s DDoS utoky. [1] Dalˇs´ı Banana attack, XDoS

14

Kapitola 3

Existuj´ıc´ı nástroje a zpusoby ˚ detekce V této kapitole jsou popsány jednotlivé nástroje, které jsou následnˇe podrobeny ´ ˚ kterymi analyze u, jsou cha´ svého chován´ı. U kaˇzdého jsou uvedeny typy utok ´ ˚ ˚ ˚ rakteristické a zpusob jejich pouˇzit´ı. Dalˇs´ı cˇ a´ st této kapitoly se vˇenuje zpusob um ´ ˚ detekce jednotlivych u. ´ utok

3.1 Nástroje ˚ ych ˚ ˚ at’ uˇz lepˇs´ıch, cˇ i horˇs´ıch, existuje mnoho nástroju, ˚ které lze Z ruzn u, ´ duvod ´ volnˇe vyuˇz´ıt ke generován´ı témˇerˇ jakéhokoli typu DoS utoku. S vyuˇzit´ım tˇechto nástroju˚ lze také testovat vlastn´ı servery, jestli jsou odolné proti konkrétn´ım ˚ utok ´ ˚ S t´ımto zduvodnˇ ˚ typum u. en´ım jsou vˇetˇsinou také dostupné na bˇezˇ nych ´ serverech ke stáhnut´ı. ˚ ymi ´ ˚ Tato cˇ a´ st obsahuje popis vybranych druhy utok u, ´ nástroju˚ napˇr´ıcˇ ruzn ´ ˇ ı. V tabulce 3.1 jsou pˇrehlednˇe popsány hlavn´ı vlastnosti jednotkteré umoˇznuj´ ˚ livych ´ nástroju. 3.1.1 LOIC LOIC (Low Orbit Ion Cannon) je jedn´ım z nejznámˇejˇs´ıch a nejrozˇs´ırˇ enˇejˇs´ıch programu˚ toho druhu. Podle autora s pˇrezd´ıvkou Praetox má slouˇzit k testován´ı ´ ˚ odolnosti serveru˚ proti DoS utok um, nicménˇe je hojnˇe vyuˇz´ıván právˇe k jejich realizaci. Praetox po nˇejaké dobˇe tento software vydal jako veˇrejné d´ılo (Pub´ u˚ vzniklo mnoˇzstv´ı nástroju, ˚ které lic domain) a se zveˇrejnˇen´ım zdrojovych ´ kod z nich vycház´ı a vylepˇsuj´ı je, pˇr´ıpadnˇe pˇridávaj´ı dalˇs´ı funkcionalitu. LOIC za svou obl´ıbenost vdˇecˇ ´ı hnut´ı Anonymous, které jej v roce 2008 modifikovalo ´ ˚ Anonymous je nehierarchické hnut´ı, a vyuˇz´ıvalo jej k provádˇen´ı svych u. ´ utok ˚ které nemá pevnˇe stanovené veden´ı, ani c´ıle. Z tohoto duvodu se i samotny´ ˚ ych ´ a Anoupraveny´ LOIC sˇ´ırˇ´ı pomoc´ı videonávodu˚ a ruzn diskusn´ıch for ´ ” ˚ ze stát prakticky kaˇzdy. nem“(ˇclenem Anonymous) se tak muˇ ´ Aplikace je napsána v jazyce C# a je dostupná pro vˇsechny bˇezˇ né desktopové operaˇcn´ı systémy (Windows, Linux, Mac OS) a dokonce i pro mobiln´ı An15

´ ˚ 3. E XISTUJÍ CÍ N ASTROJE A ZP USOBY DETEKCE

Obrázek 3.1: Nástroj LOIC droid. Za svou obl´ıbenost vdˇecˇ ´ı cˇ a´ steˇcnˇe i velmi jednoduchému ovládán´ı a graˇ fickému uˇzivatelskému rozhran´ı. LOIC umoˇznuje provádˇet záplavové typy ´ utok u˚ promoc´ı protokolu˚ TCP, UDP a HTTP (konkrétnˇe TCP SYN, UDP flood ´ a HTTP GET). Uskuteˇcnˇen´ı utoku je velmi jednoduché a rychlé. Staˇc´ı ve for´ mulárˇ i nastavit poloˇzky URL cˇ i IP, zvolit typ utoku, nastavit port a poˇcet vláken, ´ ˚ ehu utoku ´ která budou utok provádˇet. V prubˇ je uˇzivatel informován ve sta˚ ehu utoku. ´ ´ esˇ nˇe a neuspˇ ´ esˇ nˇe odevové cˇ a´ sti o prubˇ Jsou zobrazovány poˇcty uspˇ slanych ´ paketu˚ a dalˇs´ıch statistickych ´ hodnot. Uˇzivatelské rozhran´ı programu je vidˇet na obrázku 3.1. 3.1.2 XOIC Autorem tohoto nástroje je programátor s pˇrezd´ıvkou DLR (nebo také david9904). Podle jeho slov na webu SourceForge.net1 , kde se nacház´ı i zdro´ ´ cinnˇejˇs´ı neˇz vyˇ jové kody nástroje, má byt ´ XOIC uˇ ´ se zm´ınˇeny´ nástroj LOIC. Nepouˇz´ıvá prostˇredky, které zbyteˇcnˇe spotˇrebovávaj´ı strojovy´ cˇ as. ˚ Opˇet umoˇznuje ˇ Napˇr´ıklad poˇc´ıtadlo odeslanych a ztracenych paketu. vy´ ´ ´ konávat záplavové typy utok u˚ protokoly TCP, UDP, HTTP a nav´ıc byla pˇridána podpora protokolu ICMP (konkrétnˇe TCP SYN, UDP flood, HTTP GET a ICMP flood). XOIC rovnˇezˇ poskytuje grafické uˇzivatelské rozhran´ı, a proto je jeho 1. Zdroj:

16

´ ˚ 3. E XISTUJÍ CÍ N ASTROJE A ZP USOBY DETEKCE ovládán´ı velmi snadné. Aplikace je dostupná pouze pro systémy Windows a to jen v novˇejˇs´ıch verz´ıch (Windows 7 a vyˇ ´ se). 3.1.3 Tor’s Hammer ´ Tento nástroj vyuˇz´ıvá utok u˚ typu slow POST a podle jejich autoru˚ slouˇz´ı ˚ Podle jejich popisu staˇc´ı k vyˇrazen´ı bˇezˇ ´ıc´ıho k testován´ı webovych serveru. ´ ´ ´ cinné proti nejserveru jediná instance programu. Utoky této aplikace jsou uˇ ˚ Apache i IIS (Internet Information Services). rozˇs´ırˇ enˇejˇs´ım webovym ´ serverum ˚ Ke zpusoben´ ı jejich nedostupnosti staˇc´ı zhruba 256 vláken programu. Hlavn´ım rysem programu je moˇznost anonymizace jeho provozu pomoc´ı s´ıtˇe Tor, z cˇ ehoˇz vyplyv´ ´ a i jeho název. Software je naprogramován v jazyce Python a je tedy multiplatformn´ı. Nástroj neobsahuje uˇzivatelské rozhran´ı a jedná se tedy o konzolovou aplikaci, ´ jej´ızˇ utoky lze skriptovat. Pouˇzit´ı je vzhledem k jednoduchosti programu velmi jednoduché. 3.1.4 Switchblade Switchblade2 je nástroj vytvoˇreny´ organizac´ı OWASP (Open Web Application Security Project), která se zabyv´ ´ a bezpeˇcnost´ı na Internetu. Má slouˇzit pro ´ zátˇezˇ ové testován´ı webovych typu slowloris a slow ´ serveru˚ Apache a IIS utoky POST. Je napsán v jazyce C++ a je dostupny´ pro operaˇcn´ı systémy Windows. Program má pˇrehledné uˇzivatelské rozhran´ı, ve kterém lze vybrat typ ´ pouˇzitého utoku, poˇcet spojen´ı, jejich frekvenci a délku. Lze také zvolit, jestli se ´ pˇri utoku maj´ı pouˇz´ıt poˇzadavky GET, nebo POST. 3.1.5 HTTPFlooder ´ ˚ Lze s n´ım provádˇet jak záplavové Tento program nab´ız´ı sˇ irokou sˇ kálu utok u. ´ ´ utoky (HTTP), tak utoky typu slowloris, slow POST, hash DoS a nˇekolik dalˇs´ıch. Poskytuje také velké mnoˇzstv´ı nastaven´ı. Kromˇe obvyklych ´ moˇznost´ı ´ jakymi jsou nastaven´ı délky utoku, jejich frekvence a poˇctu vláken, lze zvo´ ˚ nastaven´ı jejich parametru˚ a mnoho lit uˇzivatelské hlaviˇcky HTTP poˇzadavku, dalˇs´ıho. Nástroj je napsán jako skript v jazyce Perl. Z toho vyplyv´ ´ a, zˇ e je platformnˇe ˚ ´ nezávisly. Z tohoto d uvodu tak´ e neobsahuje z a dn´ e uˇ z ivatelsk´ e rozhran´ı. ´ ˇ 2. Zdroj:

17

´ ˚ 3. E XISTUJÍ CÍ N ASTROJE A ZP USOBY DETEKCE 3.1.6 HOIC HOIC (High Orbit Iont Cannon) je jedn´ım z dalˇs´ıch nástroju˚ vycházej´ıc´ıch ˚ z puvodn´ ıho programu LOIC. I tento software byl cˇ asto vyuˇz´ıván skupinou ´ Anonymous. Na rozd´ıl od programu LOIC je zamˇerˇ en pouze na utoky typu ´ HTTP flood, poskytuje vˇsak v´ıce moˇznost´ı nastaven´ı samotného utoku a jeho ˚ Jsou to jednoduché hlavn´ı vyhoda spoˇc´ıvá v pouˇzit´ı takzvanych Boosteru“. ´ ´ ” ˚ ze utoˇ ´ cn´ık libovolnˇe upravovat odchoz´ı poˇzadavky, nastaskripty, kterymi muˇ ´ vit frekvenci jejich odes´ılán´ı a mˇenit dalˇs´ı parametry (napˇr. URL obˇeti, User agent, HTTP referer) tak, aby kaˇzdy´ poˇzadavek vypadal jako legitimn´ı a zne´ snadnil tak detekci samotného utoku. Program je distribuován jako spustitelny´ *.exe soubor a je tedy dostupny´ pouze pro operaˇcn´ı systém Windows. Obsahuje grafické uˇzivatelské rozhran´ı, které je velmi podobné nástroji LOIC. 3.1.7 Slowloris ´ Program ve velkém Tento software definoval novy´ stejnojmenny´ typ utoku. mnoˇzstv´ı otev´ırá spojen´ı se serverem obˇeti. Jejich prostˇrednictv´ım pak pos´ılá HTTP poˇzadavky, které vˇsak nejsou kompletn´ı. Obˇet’ cˇ eká na dokonˇcen´ı ´ cn´ık udrˇzuje co nejdelˇs´ı cˇ asové poˇzadavku a udrˇzuje tak spojen´ı aktivn´ı. Utoˇ prodlevy (aby nevyprˇsel cˇ asovy´ limit a obˇet’ neukonˇcila spojen´ı) a postupnˇe pos´ılá dalˇs´ı cˇ a´ sti poˇzadavku. Mezi t´ım obˇet’ stále udrˇzuje aktivn´ı spojen´ı. Pro kaˇzdé otevˇrené spojen´ı si server obˇeti alokuje urˇcité prostˇredky. Po vyˇcerpán´ı ˚ ze otev´ırat nová spojen´ı a stává se nedostupnou. tˇechto prostˇredku˚ obˇet’ nemuˇ Nástroj je naprogramovany´ jako skript v jazyce Perl a je bez uˇzivatelského rozhran´ı. Neoficiálnˇe existuje i IPv6 verze programu.

18

Slow POST Slow POST, Slow eaders, SSL renegotiation Flood (HTTP) Flood (HTTP) Slow POST Slow POST

1.0

4.0.1

1.0

2.1.003

0.7

2.2

Tors hammer

SwitchBlade

HTTPflooder

Hoic

slowloris

R-U-Dead-Yet

EA092D2258E80A4A7122059E34FA6287 451C94A23536DCBBA422D7612B34B6FF A7525A7E621CA98E16B77E31756800EF 3DEA97765EA00E60062284C493E498FB 9851EC582AEE27DDFDC966FC4CE9FFD9

´ ˚ Tabulka 3.1: Detaily nástroju˚ pro vytvárˇ en´ı DoS utok u.

Nástroj LOIC XOIC Tors hammer SwitchBlade HTTPflooder Hoic slowloris R-U-Dead-Yet Hulk

HTTP

HTTP

HTTP

HTTP

HTTP

HTTP

TCP, UDP, ICMP

TCP, UDP, HTTP

Protokoly

MD5 E6FA3028CD03318496852718143D256F B6C4E2C4FA384212126D7DBB832460C9 6ACDB872B766F089EAC3ADA04043C444

Flood (TCP, UDP, ICMP)

1.3

XOIC

Autor Praetox Technologies DLR (david9904) OWASP Robert Hansen (RSnake) ravivr Barry Shteiman

Flood (TCP, UDP, HTTP)

1.0.8.0

LOIC

Hulk

Typy utok ´ u˚

Verze

Nástroj

Ne

Ne

Ne

Ne

Ne

Ne

Ne

Ne

Admin. práva

Ne

Ne (ano)

Ano

Ne

Ano

Ne

Ano

Ano

GUI

´ ˚ 3. E XISTUJÍ CÍ N ASTROJE A ZP USOBY DETEKCE

3.2 Zpusoby ˚ obrany proti DoS utok ´ um ˚ ´ Proti rostouc´ımu poˇctu a s´ıle DoS utok u˚ je tˇreba adekvátn´ı obrana. Pˇrirozenym ´ ´ ˚ e zpusoby ˚ vyvojem se spolu s DoS utoky vyv´ıjely i ruzn´ obrany proti nim. Lo´ gicky lze tyto postupy a opatˇren´ı rozdˇelit do tˇr´ı kategori´ı, kterymi jsou: ´ •

Prevence

•

´ Detekce DoS utoku

•

´ Reakce na prob´ıhaj´ıc´ı utok

V této podkapitole jsou popsány nˇekteré obecné postupy i konkrétn´ı korporátn´ı rˇ eˇsen´ı, která jsou poskytována tˇret´ımi stranami jako placené sluˇzby. 3.2.1 Prevence ´ cn´ıkovi zabránily utok ´ ˚ Postupy prevence slouˇz´ı k tomu, aby utoˇ vubec uskuteˇcnit. I kdyˇz poskytovatelé internetového pˇripojen´ı (ISP) disponuj´ı urˇcitymi moˇznostmi a ve vázˇ nych pˇr´ıpadech mohou proti prob´ıhaj´ıc´ım DoS ´ ´ ´ ˚ zakroˇcit [18], hlavn´ı zodpovˇednost za bezpeˇcnost v s´ıti má vˇzdy jej´ı utok um ˚ zité, aby se dostateˇcnˇe vˇenoval veˇskerym provozovatel. Je proto velmi duleˇ ´ moˇznostem preventivn´ıch opatˇren´ı. Naprosto základn´ım pravidlem, které plat´ı jak pro velké s´ıtˇe organizac´ı, tak pro malé domác´ı s´ıtˇe, je udrˇzovat veˇskeré systémy aktualizované. Vˇetˇsina chyb, ´ cn´ıci mohli vyuˇz´ıt prostˇrednictv´ım utok ´ kterych u˚ vyuˇz´ıvaj´ıc´ıch zranitel´ by utoˇ nost´ı (2.2.3), je neprodlenˇe po jejich odhalen´ı opravena a jsou vydány aktualiˇ ı tak proveden´ı utoku. ´ zace, které chybu opravuj´ı a zabranuj´ Na hraniˇcn´ıch prvc´ıch s´ıtˇe je vhodné zavést konkrétn´ı pravidla, která ome˚ ˚ Konkrétnˇe zuj´ı, nebo zcela zakazuj´ı pruchod urˇcitych ´ paketu˚ nebo celych ´ toku. ´ ıch (2.2.2). se jedná napˇr´ıklad o ICMP provoz, ktery´ je cˇ asto pouˇz´ıván pˇri utoc´ Dalˇs´ım doporuˇcen´ım je omezit pomˇer pˇr´ıchoz´ıch SYN paketu˚ ke zbytku pro´ ˚ zitou souˇca´ st´ı levozu. SYN pakety nelze uplnˇ e zakázat, protoˇze jsou duleˇ gitimn´ıho provozu, ale jejich pomˇer k celkovému provozu na s´ıti by nemˇel ˚ zitym pˇrekroˇcit urˇcitou hranici [25]. Duleˇ ´ krokem je také zavést kontrolu zdrojovych adres paketu˚ (takzvany´ Reverse Path Forwarding [11]), která zabrán´ı ´ podvrˇzen´ı zdrojovych ´ adres (IP spoofing 2.2.5). V rámci prevence je vhodné, aby si kaˇzdá organizace stanovila takzvany´ Business contingency plan. Pro tento plán si organizace definuje opatˇren´ı a re´ akce pro pˇr´ıpad prob´ıhaj´ıc´ıho DoS utoku. C´ılem tohoto plánu je zachován´ı bezpeˇcnosti a bezproblémového chodu vˇsech kritickych ´ systému˚ v organizaci. 20

´ ˚ 3. E XISTUJÍ CÍ N ASTROJE A ZP USOBY DETEKCE Pˇred vypracován´ım samotného plánu by si kaˇzdá organizace mˇela nejprve de´ finovat vˇsechna zranitelná m´ısta, která by mohla byt postihnuta (rou´ utokem ter na perimetru, router uvnitˇr s´ıtˇe, firewall, server, nebo jen konkrétn´ı aplikace). Dalˇs´ım krokem je stanoven´ı do jaké m´ıry jejich vypadek ovlivn´ı chod or´ ganizace. Vysledkem by mˇel byt ´ ´ prioritnˇe seˇrazeny´ seznam zranitelnost´ı, nad ´ kterym [37] ´ lze vypracovat cely´ plán pro pˇr´ıpad utoku. 3.2.2 Detekce DoS utok ´ u˚ ´ ˚ ale nikdy Kvalitn´ı prevence velmi omez´ı mnoˇzstv´ı proveditelnych utok u, ´ ´ ˚ nezajist´ı naprostou ochranu pˇred vˇsemi utoky. Z tohoto duvodu je nutné ´ ˚ Pro detekován´ı utok ´ vˇenovat prostˇredky i na detekci prob´ıhaj´ıc´ıch utok u. u˚ lze ˚ Kaˇzdy´ z nich pˇristupuje k rˇ eˇsen´ı problému trochu jinym vyuˇz´ıt v´ıce pˇr´ıstupu. ´ ˚ ˚ zpusobem. Nejbˇezˇ nˇejˇs´ı zpusoby detekce lze rozdˇelit do dvou skupin. Jedná se o signaturovy´ pˇr´ıstup (porovnáván´ı signatur) a detekci anomáli´ı. [22] [36] [21] Porovnáván´ı signatur Tento pˇr´ıstup monitoruje s´ıt’ovy´ provoz a porovnává hodnoty atributu˚ hlaviˇcek jednotlivych paketu˚ a obsah paketu˚ s databáz´ı signatur. Databáze obsahuje ´ ˚ které se vyskytuj´ı v paketech známych ´ ˚ Spolu s tˇemito mnoˇzstv´ı rˇ etˇezcu, u. ´ utok ˚ e kombinace zdrojovych rˇ etˇezci jsou v databázi uchovávány ruzn´ ´ a c´ılovych ´ IP ˚ Pˇri porovnáván´ı se vyuˇz´ıvaj´ı rychlé algoritmy jako napˇr´ıklad adres a portu. Aho-Corasick, Commentz-Walter, cˇ i varianty zaloˇzené na regulárn´ıch vyrazech. ´ ˚ Nevyhodou tohoto zpusobu je vysoká nároˇcnost na prostˇredky pˇri vyhledáván´ı ´ a s t´ım souvisej´ıc´ı zpomalován´ı vyhledáván´ı s rostouc´ı velikost´ı databáze. ˚ ˚ nen´ı Protoˇze tento zpusob porovnává konkrétn´ı rˇ etˇezce a kombinace atributu, ´ ˚ [22] [36] schopen rozpoznávat nové typy utok u. Detekce anomáli´ı Pˇr´ıstupy zaloˇzené na detekci anomáli´ı jsou schopny uˇcen´ı, a t´ım i roz´ ˚ coˇz je jejich hlavn´ı vyhodou ˚ ˚ poznáván´ı novych u, oproti zpusob um ´ typu˚ utok ´ porovnávaj´ıc´ım signatury. Obecnˇe se tyto techniky detekce skládaj´ı ze dvou ˚ pˇredkládán bˇezˇ ny´ s´ıt’ovy´ provoz. T´ım je fáz´ı. V prvn´ı fázi uˇcen´ı je algoritmum vytvoˇren urˇcity´ vzor (profil). Ve druhé fázi prob´ıhá samotná detekce anomáli´ı reálného provozu vzhledem k vytvoˇrenému profilu. Za anomálii je povaˇzováno to, co je detekováno v s´ıti a pˇritom nen´ı obsaˇzeno v modelu vytvoˇreném ve fázi ˚ které muˇ ˚ zeme rozdˇelit podle zpusobu ˚ uˇcen´ı. Existuje mnoˇzstv´ı pˇr´ıstupu, detekce a uˇcen´ı na statistické, strojové uˇcen´ı (machine learning) a vytˇezˇ ován´ı dat (data mining). [21] 21

´ ˚ 3. E XISTUJÍ CÍ N ASTROJE A ZP USOBY DETEKCE Statistická detekce anomáli´ı Statistické metody detekce rozpoznávaj´ı anomálie na základˇe mˇerˇ itelnych odchylek v provozu. Porovnává se ´ ˚ napˇr´ıklad mnoˇzstv´ı pˇrenesenych dat na kaˇzdou IP adresu, poˇcet paketu, ´ ˚ Tento druh detekce je uspˇ ´ esˇ ny´ nebo urˇcité znaky v hlaviˇckách paketu. ´ hlavnˇe pˇri odhalován´ı záplavovych utok u˚ zaloˇzenych na velkém da´ ´ ´ ˚ které jsou zaloˇzeny na vyuˇzit´ı tovém provozu. Naopak detekce utok u, ˚ ych ˚ ze cˇ init problémy. Statistické metody jsou ruzn zranitelnost´ı mu muˇ ´ velmi podobné metodám porovnávaj´ıc´ım signatury, ale dokázˇ ´ı se uˇcit ´ a odhalovat i neznámé utoky. [21] [36] ˚ Strojové uˇcen´ı Zpusoby detekce zaloˇzené na strojovém uˇcen´ı neporovnávaj´ı ’ s´ıt ovy´ provoz s konkrétn´ımi hodnotami jako pˇredchoz´ı pˇr´ıstupy. Anomálie odhaluj´ı na základˇe urˇcitych pravidel a bˇehem vyhodno´ ´ esˇ nosti cován´ı jsou schopny neustálého sebezdokonalován´ı podle uspˇ konkrétn´ıch pravidel. Základem velkého mnoˇzstv´ı metod jsou bayesovské s´ıtˇe (Bayesian Networks), vyuˇz´ıvaj´ıc´ı grafické znázornˇen´ı pravdˇepodobnostn´ıch vztahu˚ mezi konkrétn´ımi jevy. Jelikoˇz metoda vyhodnocuje s´ıt’ovy´ provoz jako komplexn´ı systém a zamˇerˇ uje se na vztahy ´ esˇ ná pˇri detekci distribuovanych mezi konkrétn´ımi jevy, je velmi uspˇ ´ DoS ´ ˚ které mohou v pˇr´ıpadˇe jinych ˚ utok u, skryty. [21] [36] ´ metod zustat Vytˇezˇ ován´ı dat Tato velmi komplexn´ı metoda vyhledává na vzorku dat s´ıt’ového provozu urˇcité vzory a odchylky od normáln´ıho provozu prostˇrednictv´ım takzvané fuzzy logiky, která na rozd´ıl od klasické vyrokov´ e logiky nepracuje pouze se dvˇema hodnotami, ale s m´ırou ´ pravdivosti urˇcitého vyroku. Pro d´ılˇc´ı cˇ innosti pˇri vyhodnocován´ı jsou ´ vyuˇz´ıvány i statistické metody a dalˇs´ı jednoduˇssˇ´ı algoritmy, které jsou souˇca´ st´ı celého komplexn´ıho systému vyhodnocuj´ıc´ıho s´ıt’ovy´ provoz. [21] [36] 3.2.3 Reakce na prob´ıhaj´ıc´ı utok ´ ´ cn´ıkovi V pˇr´ıpadˇe, zˇ e se i pˇres vˇsechny preventivn´ı opatˇren´ı podaˇr´ı utoˇ ´ uskuteˇcnit DoS utok, je vyˇzadována rychlá reakce na stranˇe obˇeti pro co nejvˇetˇs´ı ´ zm´ırnˇen´ı následku˚ utoku. Aby reakˇcn´ı doba byla co nejkratˇs´ı, je vhodné m´ıt pˇripravené reakˇcn´ı scénárˇ e a havarijn´ı tym, kde budou jasnˇe definovány role. ´ ’ ˚ má jinou rozlohu, jej´ı fungován´ı je Kaˇzdá s´ıt je jiná, skládá se z jinych ´ prvku, kritické pro bˇeh jinych sluˇzeb, a proto nelze definovat jeden univerzáln´ı po´ stup, jak se v takové situaci chovat. Existuj´ı vˇsak urˇcité spoleˇcné postupy, které ´ lze aplikovat v jakékoli situaci. Základn´ı reakce na prob´ıhaj´ıc´ı utok jsou uvedeny napˇr´ıklad ve white paperu spoleˇcnosti Cisco [9]. 22

´ ˚ 3. E XISTUJÍ CÍ N ASTROJE A ZP USOBY DETEKCE ´ ´ Zásadn´ı reakc´ı na utok by mˇelo byt Lze ´ filtrován´ı datového provozu utoku. to uˇcinit napˇr´ıklad manuálnˇe, kdy z logu˚ s´ıt’ového provozu zjist´ıme IP adresy ´ ˚ zeme ve firewallu zakázat. a porty, ze kterych a ty poté muˇ ´ je smˇerován utok, Dalˇs´ı moˇznost´ı je vyuˇzit´ı nˇekterého z IDS (Instruction Detection System ˚ ˚ Tyto systémy vyuˇz´ıvaj´ı pro odhalen´ı Systém pro odhalen´ı pruniku) systému. ´ utok u˚ technik popsanych ´ v pˇredchoz´ı kapitole (3.2.2). Po odhalen´ı prob´ıhaj´ıc´ıho ´ utoku systém bud’to vygeneruje upozornˇen´ı, a nebo sám zablokuje konkrétn´ı sˇ kodlivé aktivity v s´ıti.

23

Kapitola 4

Definice symbolického zápisu C´ılem této práce bylo vytvoˇren´ı a zdokumentován´ı symbolického zápisu, ´ kterym DoS utok. Samotnému vyvoji zápisu ´ by bylo moˇzno postihnout jakykoli ´ ´ ˚ ´ pˇredcházela dukladn´ a analyza u˚ zaznamenanych ´ utok ´ ve formátu pcap (packet ´ ˚ ych capture). Jednotlivé utoky byly analyzovány v ruzn ´ proveden´ıch co se tyˇ ´ ce ˚ ´ nastaven´ı, a také s ruznou dobou trván´ı. Tato forma analyzy u˚ mi umoˇznila ´ utok ˚ odhalit nˇekteré souvislosti, které by jinak zustaly skryté. ˚ Prvn´ı cˇ a´ st této kapitoly rozvád´ı hlavn´ı duvody pro vytvoˇren´ı nového ˚ ´ ˚ Ve druhé cˇ a´ sti kapitoly je popsán prubˇ ˚ eh analyzy, zpusobu zápisu utok u. ´ pouˇzity´ software a závˇery plynouc´ı z analyzy. V následuj´ıc´ı cˇ a´ sti je definován ´ samotny´ symbolicky´ zápis, jeho syntaxe a sémantika. Následuj´ıc´ı cˇ a´ st obsahuje ´ názorny´ pˇr´ıklad vytvoˇren´ı takového zápisu pro konkrétn´ı utok. Na konci kapi´ ˚ toly jsou uvedeny ukázky zápisu˚ nˇekolika zkoumanych u. ´ utok

4.1 Motivace Hlavn´ı motivac´ı pro vytvoˇren´ı symbolického zápisu bylo vytvoˇren´ı mecha´ nismu, kterym vˇcetnˇe opakuj´ıc´ıch ´ by bylo moˇzno jednoznaˇcnˇe popsat utoky ´ ´ se usek u˚ komunikace, které utoky produkuj´ı. Takovyto ´ zápis by v budoucnu ´ mohl byt u˚ typu odm´ıtnut´ı ´ vyuˇzitelny´ pro jednoznaˇcnou detekci odchoz´ıch utok sluˇzby. ´ cely existuje jen minimum datasetu˚ o DoS utoc´ ´ ıch se Pro vyzkumn´ e uˇ ´ ˚ ehu utok ´ ˚ Pomoc´ı nového symbolického zápisu by bylo záznamem prubˇ u. ´ moˇzné evidovat popisy mnoha utok u˚ v kompaktn´ım formátu. Zárovenˇ tak vznikne prostˇredek, ktery´ umoˇzn´ı jednoduˇse a rychle porovnávat vstupn´ı ´ ˚ Novym podm´ınky experimentáln´ıch studi´ı tykaj´ u. ´ ıc´ıch se DoS utok ´ symbolickym ´ zápisem tak bude moˇzno popsat jednotlivé datasety a zefektivnit cˇ innost ˚ ych vyzkumn ´ ´ tym ´ u. ˚ které jsou schopny analyzovat soubory a proExistuje nˇekolik nástroju, gramy podle urˇcitych pravidel (název, binárn´ı obsah, hash a podobnˇe) a jsou ´ ˚ Jedná se tak schopny detekovat malware a dalˇs´ı typy sˇ kodlivych nástroju. ´ 24

´ 4. D EFINICE SYMBOLICK E´ HO Z APISU napˇr´ıklad o frameworky YARA1 a OpenIOC2 . Ani jeden ovˇsem nedisponuje ´ ˚ prostˇredky pro jednoduché a cˇ itelné popsán´ı s´ıt’ového provozu DoS utok u. Impulsem pro vyvoj zcela nov´ e ho z´ a pisu byla absence jednoznaˇ c ného ´ formátu, s jehoˇz pomoc´ı by si nejen stroje, ale i lidé byli schopni pˇredávat infor´ ˚ Z tohoto duvodu ˚ mace o struktuˇre DoS utok u. pˇribylo k jednoznaˇcnosti dalˇs´ı kritérium – cˇ itelnost. Novy´ symbolicky´ zápis by proto mˇel byt ´ co nejstruˇcnˇejˇs´ı ´ a cˇ itelnˇe strukturovany. jednoznaˇcnˇe popsat a mˇel ´ Zárovenˇ by mˇel umˇet utok by byt ´ dostateˇcnˇe obecny, ´ aby byl schopen vyjádˇrit jakoukoli moˇznou variantu ´ utoku i v budoucnu. Strojovou cˇ itelnost zápisu mohou vyuˇz´ıt detekˇcn´ı nástroje, které budou ´ ´ schopny odhalit prob´ıhaj´ıc´ı utok na základˇe utok u˚ popsanych symbolickym ´ ´ zápisem. Jak by mohl takovy´ detekˇcn´ı nástroj vypadat, je nast´ınˇeno v kapitole 4.6.

4.2 Analyza ´ u˚ ´ utok ´ Analyza u˚ prob´ıhala formou detailn´ıho rozboru s´ıt’ové komunikace zazna´ utok ´ ´ c´ıc´ıho poˇc´ıtaˇce. K dispozici jsem menané bˇehem utoku na s´ıt’ovém rozhran´ı utoˇ ´ ˚ Data v tomto formátu obmˇel pˇres 120 záznamu˚ utok u˚ ve formˇe pcap souboru. ´ sahuj´ı kompletn´ı detailn´ı informace o s´ıt’ové komunikaci na urovni jednotlivych ´ ˚ Celkovˇe se jednalo o utoky ´ ˚ ymi paketu. generované 22 ruzn programy 4.1. ´ ’ Bˇehem analyzy jsem ve zkoumanych vzorc´ıch s´ıt ové komunikace hledal ´ ´ jakékoli anomálie, které jsou odliˇsné od bˇezˇ ného provozu. Pˇri vyhledáván´ı ´ anomáli´ı a vzorcu˚ chován´ı signifikantn´ıch pro jednotlivé utoky jsem vyuˇz´ıval nástroje Wireshark3 a Splunk4 . Kaˇzdy´ z tˇechto nástroju˚ mi umoˇznil zkoumat za´ chycené utoky z jiného pohledu. Pomoc´ı Wiresharku jsem byl schopen detailnˇe analyzovat vlastnosti kaˇzdého paketu zvlásˇ t’, zat´ımco Splunk mi umoˇznil uce´ leny´ pohled nad celym d´ıky jeho schopnosti rychle vyhledávat, filtrovat ´ utokem a analyzovat velké mnoˇzstv´ı strojovych ´ dat. 4.2.1 Postup analyzy ´ ´ Utoky jsem rozdˇelil do dvou skupin podle typu protokolu, prostˇrednictv´ım ´ ´ kterého utok prob´ıhal. Jedna skupina utok u˚ ke své cˇ innosti vyuˇz´ıvá pouze pro´ tokol TCP, druhá v rámci utoku pouˇz´ıvá protokol aplikaˇcn´ı vrstvy HTTP 4.1. To ´ ˚ z kaˇzdé skupiny jsem pˇristupoval jsem zohlednil i bˇehem analyzy um ´ a k utok m´ırnˇe odliˇsnˇe. 1. 2. 3. 4.

Zdroj: Zdroj: Zdroj: Zdroj:

25

´ 4. D EFINICE SYMBOLICK E´ HO Z APISU TCP ByteDos DoS55 JavaLoic Loic Longcat SimpleDoSTool SynFloodDos XOIC

HTTP AnonymousDoS AnonymousDoser BanglaDos FireFlood Hoic HttpDosTool HttpFlooder Hulk Janidos Loic Longcat Slowloris Torshammer UnknownDoser

´ cnych Tabulka 4.1: Tabulka rozdˇelen´ı utoˇ ´ nástroju˚ podle protokolu˚ ˚ pˇredpoklad takovy, Se znalost´ı informac´ı z kapitoly 2.2 byl muj ´ zˇ e pro kaˇzdy´ ´ ´ utok existuje urˇcity´ vzorec chován´ı, ktery´ se bˇehem utoku neustále opakuje. ˚ ´ Z tohoto duvodu jsem se pokouˇsel utoky rozdˇelit na jednotlivé cˇ a´ sti a u nich sledovat specifické vlastnosti. Na základˇe tˇechto vlastnost´ı bych poté mohl na´ vrhnout symbolicky´ zápis, ktery´ by byl schopen popsat tyto utoky. ´ Kaˇzdy´ soubor se záznamem utoku jsem nejprve pˇrevedl do csv souboru a podrobil komplexn´ı analyze nástrojem Splunk. Soubory pcap jsem do csv ´ formátu pˇrevádˇel pomoc´ı programu TShark s následuj´ıc´ı syntax´ı: ” t s h a r k . exe ” −r ”ZDROJ” −T f i e l d s −E header=y −E quote=d −E s e p a r a t o r =” ,” −e ”PARAMETR” > ”CIL” Pomoc´ı pˇrep´ınaˇce -e lze vloˇzit neomezeny´ poˇcet atributu˚ z pcap souboru. Názvy atributu˚ jsou stejné jako v pravidlech pro filtrován´ı v programu Wireshark. Tento pˇr´ıkaz lze vloˇzit do cyklu a hromadnˇe pˇrevést vˇetˇs´ı mnoˇzstv´ı sou˚ boru. Po konverzi staˇc´ı ve Splunku zadat cestu k adresárˇ i se soubory a poˇckat, neˇz se soubory nahraj´ı. Splunk by mˇel sám rozeznat formát souboru a typ oddˇelovaˇce. Pokud tomu tak nen´ı, lze tyto parametry zvolit ruˇcnˇe. Poté staˇc´ı ´ zadat, které atributy chceme sledovat. Soustˇredil jsem se na statistické udaje ´ ˚ typy protov rámci celého utoku. Jednalo se napˇr´ıklad o velikosti paketu, ˚ Po z´ıskán´ı obecnych ´ kolu˚ a cˇ ´ısla portu. informac´ ı o utoku jsem pokraˇ coval sle´ dován´ım konkrétn´ıch paketu˚ programem Wireshark. V rámci vyzkumu jsem se ´ 26

´ 4. D EFINICE SYMBOLICK E´ HO Z APISU zamˇerˇ il pˇredevˇs´ım na tyto vlastnosti: IP adresa, cˇ ´ıslo portu, TCP pˇr´ıznaky, veli´ kost paketu, fragmentace paketu, obsah datové cˇ a´ sti a u HTTP utok u˚ i na obsah cˇ a´ sti pro HTTP poˇzadavek. V rámci analyzy jsem d´ a le pakety filtroval podle ´ cˇ ´ısla portu. T´ım jsem jednoduˇse z´ıskal záznam komunikace bˇehem konkrétn´ıho ´ utoku. 4.2.2 Vysledky analyzy ´ ´ ´ Hned na zaˇca´ tku analyzy jsem si potvrdil svou hypotézu o rozdˇelen´ı utok u˚ ´ ´ na menˇs´ı stále se opakuj´ıc´ı cˇ a´ sti. Vˇsechny zkoumané utoky obsahuj´ı sekvence komunikace, které se napˇr´ıcˇ toky opakuj´ı. Nemus´ı se nutnˇe jednat o zcela identické kusy komunikace, ale jejich schéma byv´ ´ a stejná. Pro potˇrebu analyzy ´ jsem ˚ eh utoku ´ si tedy prubˇ rozdˇelil na tˇri logické cˇ a´ sti: •

Navázán´ı spojen´ı (Vˇetˇsinou three way handshake.)

•

´ ´ Utok (Pˇrevázˇ nˇe opakuj´ıc´ı se hlavn´ı cˇ a´ st utoku.)

•

Ukonˇcen´ı spojen´ı (RST pakety, FIN, ACK pakety. Na rozd´ıl od pˇredchoz´ı cˇ a´ sti se v rámci toku neopakuj´ı.)

Vˇetˇsina nástroju˚ proto otev´ırá komunikaci na v´ıce portech najednou a komunikuje podle stále stejného vzorce. Existuj´ı ovˇsem i vyjimky jako Anony´ mousDos, ktery´ vˇzdy komunikuje pouze na jednom portu. Zde je souhrn signi˚ které jsem pozoroval u sledovanych ´ ˚ fikantn´ıch znaku, u: ´ vlastnost´ı utok ´ ´ IP adresa Ze sledovanych u˚ pouze utoky nástroje SynFloodDos vyuˇz´ıvaj´ı ´ utok IP spoofing a kaˇzdy´ odeslany´ paket má jinou zdrojovou IP adresu. Ostatn´ı ´ ˚ tomu, zˇ e navazuj´ı spojen´ı), maj´ı stabiln´ı IP adresu po celou utoky (kvuli ´ dobu utoku. ˇ ısla portu, ˚ na kterych TCP port C´ ´ nástroje komunikuj´ı se s kaˇzdym ´ novym ´ spojen´ım inkrementuj´ı. Vyjimku opˇet pˇredstavuje SynFloodDos, ktery´ cˇ ´ısla ´ portu˚ (stejnˇe jako IP adresy) náhodnˇe generuje. Velikost okna Dalˇs´ım sledovanym ´ parametrem byla velikost okna definovaná v TCP segmentu paketu. V rámci analyzy ´ jsem nalezl dva základn´ı vzory ’ ´ chován´ı. Bud to cely´ utok prob´ıhá s konstantn´ı velikost´ı nastavenou na ˚ nebo se velikost okna bˇehem utoku ´ maximáln´ı hodnotu (65536 bajtu), ´ cn´ıkem spojen´ı postupnˇe sniˇzuje a pˇri dosaˇzen´ı nulové hodnoty je utoˇ ´ pˇreruˇseno RST paketem. Poté je znovu provedeno navázán´ı spojen´ı a utok prob´ıhá od zaˇca´ tku. 27

´ 4. D EFINICE SYMBOLICK E´ HO Z APISU ˇ ym ´ Datovy´ segment Cast u˚ je zpráva obsaˇzená v datové cˇ a´ sti ´ znakem TCP utok ´ paketu. Tyto zprávy jsou do utok u˚ pˇridávány jednotlivymi DoS nástroji ´ ’ a jsou bud nastaveny uˇzivatelem, napevno pˇriˇrazeny konkrétn´ım proˇ ezec definovany´ uˇzivatelem gramem, nebo jsou náhodnˇe generovány. Retˇ ˚ ze byt muˇ ´ v rámci datové cˇ a´ sti paketu opakován nˇekolikrát tak, aby mˇel paket velikost poˇzadovanou programem (napˇr´ıklad nˇekteré verze programu LOIC). HTTP segment V rámci HTTP segmentu jsou charakteristickymi pole URL, ´ Verze a User-Agent.

4.3 Symbolicky´ zápis Na základˇe pozorovanych vlastnost´ı a chován´ı datové komunikace bˇehem ´ ´ utok u˚ jsem navrhl symbolicky´ zápis, ktery´ je schopen tuto komunikaci popsat. Inspirac´ı pˇri vytvárˇ en´ı zápisu mi byly programovac´ı jazyky a regulárn´ı vyrazy. ´ ´ Jazykem Python jsem se inspiroval pˇri grafické upravˇ e zápisu. Lze tak podobnˇe odsadit logické celky komunikace. Z regulárn´ıch vyraz u˚ jsem pˇrevzal jedno´ duchy´ systém kvantifikátoru˚ pro zápis opakován´ı prvku.

4.3.1 Symboly Protoˇze je nutné popisem s´ıt’ové komunikace pomoc´ı symbolického zápisu postihnout celou rˇ adu charakteristickych ´ vlastnost´ı, zavedl jsem nˇekolik symbolu˚ a konstant se specifickym Symboly jsou uvedeny v tabulce 4.2 (za ´ vyznamem. ´ X lze dosadit paket, promˇennou, nebo uzávorkovanou cˇ a´ st toku) a konstanty v tabulce 4.3.

4.3.2 Zápis ´ ´ ˚ Datové toky utok u˚ lze zapisovat dvˇema zpusoby. Usporn´ y formát se hod´ı sp´ısˇ e ´ ˚ které jsou na prvn´ı pohled cˇ itelné. Cely´ zápis utoku ´ pro kratˇs´ı zápisy utok u, je zobrazen na jednom rˇ a´ dku a vˇetˇs´ı strukturalizace by pouze zbyteˇcnˇe zab´ırala v´ıce m´ısta. Pro názornost jsou v ukázce m´ısto skuteˇcnych ´ paketu˚ pouˇzity pojmy popsané v kapitole 4.2.2. Pˇr´ıklad zápisu: ( [ navazani s p o j e n i ] [ utok ] [ ukonceni s p o j e n i ] )∗ 28

´ 4. D EFINICE SYMBOLICK E´ HO Z APISU ´ Strukturovaný zápis proti tomu nab´ız´ı moˇznost popsat sloˇzity´ utok tak, aby byl stále snadno cˇ itelny´ a na prvn´ı pohled byly patrné jeho základn´ı vlastnosti. Pro strukturovany´ zápis plat´ı dvˇe základn´ı pravidla: •

Kaˇzdy´ paket na novém rˇ a´ dku.

•

´ Jednotlivé cˇ a´ sti uzavˇrené závorkami jsou o jednu urove nˇ odsazeny.

´ Ze zápisu utoku v tomto formátu je ihned patrné jeho rozdˇelen´ı na jednot˚ eh utoku, ´ livé cˇ a´ sti – Navázán´ı spojen´ı, Prubˇ Ukonˇcen´ı spojen´ı. Pˇr´ıklad zápisu: ( [ navazani s p o j e n i ] ( [ utok ] [ utok ] ... ∗ ) [ ukonceni s p o j e n i ] )∗ Symbol [] {} () $[]

X ∗|s , X 0−N |p , X N |s

X−1 , X−2

d V, A

Popis Ohraniˇcuje vlastnosti paketu. Parametry oddˇelené stˇredn´ıkem Oddˇelen´ı typu˚ paketu˚ v daném poˇrad´ı (tcp, http) Ohraniˇcuje cˇ a´ st toku, kde prob´ıhá opakován´ı Ohraniˇcuje hodnotu uvedenou pomoc´ı regulárn´ıho vyrazu ´ Prvn´ı cˇ a´ st horn´ıho indexu znaˇc´ı poˇcet opakován´ı a za svislou cˇ arou se nacház´ı typ opakován´ı (s – sériové, p - paraleln´ı) Doln´ı index znaˇc´ı pˇr´ısluˇsnost hodnoty k paketu, nebo toku. Pˇr´ısluˇsnost závis´ı na kontextu, ve kterém se tento symbol pouˇzije. Hodnota bez oznaˇcen´ı plat´ı pro aktuáln´ı paket, nebo tok, s indexem -1 pro pˇredchoz´ı atd. zpoˇzdˇen´ı ´ cn´ık (Attacker) Obˇet’ (Victim), Utoˇ Tabulka 4.2: Souhrn symbolu˚ zápisu

29

´ 4. D EFINICE SYMBOLICK E´ HO Z APISU 4.3.3 Syntaxe Jednotlivé pakety jsou ohraniˇceny hranatymi závorkami ( [“ a ]“). Pokud nen´ı ´ ” ” rˇ eˇceno jinak, jsou uvedeny parametry TCP cˇ a´ sti paketu, které obsahuj´ı anoma´ lity nebo maj´ı jinou vypov´ıdaj´ıc´ı hodnotu pro identifikaci utoku. V pˇr´ıpadˇe, zˇ e je tˇreba uvést informace i z jinych cˇ a´ st´ı paketu, jsou tyto cˇ a´ sti oddˇeleny ´ sloˇzenymi závorkami ( {“ a }“) a jejich typ je uveden jako horn´ı index kaˇzdé ´ ” ” ´ cn´ıkem. z nich. Na následuj´ıc´ı ukázce je popsán paket, ktery´ byl odeslán utoˇ V TCP cˇ a´ sti se vyskytuj´ı pˇr´ıznaky PSH, ACK“. Z HTTP cˇ a´ sti lze vyˇc´ıst, zˇ e se ” jedná o GET poˇzadavek a c´ılová URI je uloˇzená v promˇenné $uri.

[ {A; PSH ,ACK} T CP {GET ; $request.uri=$uri} HT T P ]

Pro oznaˇcen´ı zpoˇzdˇen´ı mezi pakety lze mezi jejich zápis vloˇzit parametr d“ ” s konkrétn´ı, nebo pˇribliˇznou hodnotou. Parametry Jednotlivé parametry paketu jsou oddˇeleny stˇredn´ıkem ( ;“). Na prvn´ım ” m´ıstˇe popisu TCP cˇ a´ sti paketu je vˇzdy uveden odesilatel (Attacker, Victim) a za n´ım následuj´ı pˇr´ıznaky TCP segmentu (Flags) tak, jak jsou textovˇe uvedeny u paketu v programu Wireshark. V HTTP cˇ a´ sti je na zaˇca´ tku vyhrazen prostor pro ´ odpovˇedi. Pˇrehled statyp HTTP poˇzadavku (GET, POST), nebo stavovy´ kod ´ u˚ je napˇr´ıklad v RFC2616 [14]. Ukázku takového pouˇzit´ı lze vidˇet vovych ´ kod ´ v kapitole 4.5.2 u zápisu utoku HOIC. Dalˇs´ı atributy je moˇzno do popisu libovolnˇe pˇridat za pouˇzit´ı notace programu Wireshark. Zápis parametru je symbolem =“ rozdˇelen na dvˇe cˇ a´ sti. Prvn´ı uvád´ı název atributu paketu dle syntaxe ” programu Wireshark a v druhé je uvedena samotná hodnota. Napˇr´ıklad: $ r e q u e s t . u r i = ”/ index . htm” Promˇenné Pro zvyˇ ´ sen´ı variability, obecnosti a pˇrehlednosti zápisu lze hodnoty, nebo i celé cˇ a´ sti zápisu nahrazovat promˇennymi. Promˇenné jsou uvozeny znakem ´ amerického dolaru ( $“). Jejich název mus´ı byt ´ v rámci zápisu unikátn´ı a nesm´ı ” vyuˇz´ıvat slov rezervovanych pro konstanty. Definice promˇennych mus´ı byt ´ ´ ´ ´ uvedena se zápisem utoku. Hodnoty lze promˇennym pˇriˇrazovat i formou regulárn´ıho vyrazu. Re´ ´ gulárn´ı vyrazy jsou ohraniˇceny pomoc´ı hranatych ´ ´ závorek uvozenych ´ znakem 30

´ 4. D EFINICE SYMBOLICK E´ HO Z APISU ˚ dolaru. Uvnitˇr regulárn´ıho vyrazu lze vyuˇz´ıvat promˇenné stejnym ´ ´ zpusobem, jako jinde s vyuˇzit´ım metaznaku \“, ktery´ v regulárn´ıch vyrazech slouˇz´ı pro ´ ” ˚ Na pˇr´ıkladu lze vidˇet pˇriˇrazen´ı hodtakzvané escapován´ı speciáln´ıch znaku. noty do promˇenné $uri pomoc´ı regulárn´ıho vyrazu ( bud’ promˇenná $u1, ´ ” nebo promˇenná $u2“). $ u r i = $ [ \ $u1 | \ $u2 ] Konstanty ˚ ych ´ Bˇehem popisu ruzn u˚ jsem zjistil, zˇ e se nˇekteré cˇ a´ sti pravidelnˇe opa´ utok kuj´ı, nebo maj´ı charakteristické vlastnosti. Pro takové prvky jsem vytvoˇril konˇ ı a zjednoduˇsuj´ı vysledn stanty, které zpˇrehlednuj´ y´ zápis. Pˇrehled konstant je ´ uveden v tabulce 4.3.

Matadata ˇ ´ ıch uchovávat i dalˇs´ı data, která ze saSymbolicky´ zápis umoˇznuje o utoc´ ’ motného s´ıt ového provozu nevyˇcteme. Jedná se napˇr´ıklad o typ a verzi serveru ´ obˇeti, typ utoku a jiné informace, které mohou pˇrispˇet k jednoznaˇcnosti zápisu ´ ´ utoku. Tato metadata slouˇz´ı pˇredevˇs´ım k tomu, aby si cˇ tenárˇ mohl utok um´ıstit ˚ ze jednat o informace o prostˇred´ı, ve kterém do kontextu. Pˇrevázˇ nˇe se tak muˇ ´ utok prob´ıhal. Zápis metadat je uvozen kl´ıcˇ ovym ´ slovem $metadata“ a je uveden spoleˇcnˇe ” s promˇennymi. Samotny´ zápis pokraˇcuje za rovn´ıtkem a rˇ´ıd´ı se pravidly JSON ´ notace. Konkrétn´ı kl´ıcˇ ová slova nejsou definována, a tak lze zapsat prakticky ´ jakákoli data, která budou pro utok pˇr´ıznaˇcná. $metadata = { ” s e r v e r ” : ”Apache HTTP S e r v e r 2 . 4 . 6 ” ” type ” : ”HTTP a t t a c k ” }

4.4 Pˇr´ıklad vytvárˇen´ı zápisu V této kapitole je krok za krokem popsán postup vytvárˇ en´ı symbolického ´ zápisu utoku typu HTTP flood nástroje LOIC. Tento postup slouˇz´ı pro ´ cely a lze podle nˇej postupovat pˇri vytvárˇ en´ı základn´ıho popisu ukázkové uˇ ´ prakticky jakéhokoli DoS utoku. 31

´ 4. D EFINICE SYMBOLICK E´ HO Z APISU Konstanta [3WH] uMSG gMSG rMSG

MSG $random $metadata

Popis Three-way-handshake User message, uˇzivatelem zadaná zpráva Generated message, generovaná zpráva, v popisu by mˇela byt ´ uvedena pravidla pro generován´ı Repetitive message, opakuj´ıc´ı se stále stejná zpráva definovaná programem (v popisu by mˇela byt ´ uvedena konkrétn´ı hodnota) Bl´ızˇ e nespecifikovaná zpráva Náhodnˇe generovaná hodnota. Typ závis´ı na typu ˇ ıslo, text, IP adresa, ...) c´ılové promˇenné. (C´ ´ Promˇenná slouˇz´ıc´ı pro uloˇzen´ı metadat utoku Tabulka 4.3: Konstanty symbolického zápisu

Jako zdroj informac´ı nám poslouˇz´ı záznam s´ıt’ové komunikace bˇehem ´ prob´ıhaj´ıc´ıho utoku ve formátu pcap. Pro jeho analyzu pouˇzijeme kombinaci ´ programu Wireshark a software pro analyzu velkého mnoˇzstv´ı dat (Big Data), ´ v tomto pˇr´ıpadˇe Splunk. ´ Prvn´ı cˇ a´ st analyzy utoku (body 1. – 6.) probˇehne v programu Wireshark. ´ ´ V této fázi manuálnˇe vyhledáváme abnormality v komunikaci bˇehem utoku. 1.

Vyfiltrujeme si konkrétn´ı konverzaci podle IP adresy a cˇ ´ısla portu. Vyfiltrován´ım konkrétn´ı konverzace z´ıskáme pˇrehled o posloupnosti pa˚ která se zpravidla opakuje bˇehem celého utoku. ´ ketu, Pˇr´ıklad filtrovac´ıho rˇ etˇezce: ( i p . addr eq 1 9 2 . 1 6 8 . 1 . 1 0 and i p . addr eq 1 9 2 . 1 6 8 . 1 . 2 0 ) and ( t c p . p o r t eq 49177 and t c p . p o r t eq 8 0 )

2.

´ V komunikaci nejprve identifikujeme základn´ı prvky utoku, jako jsou ´ navázán´ı spojen´ı, hlavn´ı cˇ a´ st utoku (obvykle se jedná o cˇ a´ st doruˇcuj´ıc´ı data k obˇeti) a ukonˇcen´ı spojen´ı.

3.

˚ které Bˇehem sledován´ı konverzac´ı se soustˇred´ıme na hodnoty atributu, jsou uvedeny v kapitole 4.2.2 a snaˇz´ıme se nalézt pravidla a souvislosti, podle kterych ´ se mˇen´ı.

4.

Vytvoˇr´ıme jednoduchy´ zápis konverzace podle definovanych pravidel ´ symbolického zápisu. V tomto pˇr´ıpadˇe: 32

´ 4. D EFINICE SYMBOLICK E´ HO Z APISU ( [ 3WH] [ {A; PSH ,ACK}{GET} ] ( [V ;ACK] ∗ [A;ACK] ∗ ) [A; RST ,ACK] ) ∗|p ´ ˚ Kaˇzdy´ tok je iniUtok se tedy skládá z velkého mnoˇzstv´ı datovych ´ toku. ´ cn´ık v rámci kaˇzdého toku zas´ılá ciován TCP handshake. Následnˇe utoˇ HTTP GET request s pˇr´ıznaky PSH a ACK k obˇeti. Obˇet’ odpov´ıdá pa´ cn´ık pos´ılá paket s pˇr´ıznakem ACK. Tato kety s pˇr´ıznakem ACK a utoˇ ´ cn´ık celou komunikaci ukonˇc´ı pakecˇ a´ st se opakuje do té doby, neˇz utoˇ tem s pˇr´ıznaky RST, ACK. 5.

Pokraˇcujeme znovu od bodu jedna a vytvárˇ´ıme dalˇs´ı a dalˇs´ı zápisy. Kombinace hodnot IP adres a cˇ ´ısel portu˚ nevol´ıme náhodnˇe, ale podle dvou pravidel: ´ (a) Je nutné analyzovat konverzace rovnomˇernˇe bˇehem celého utoku. (b) Je nutné analyzovat rˇ adu po sobˇe jdouc´ıch konverzac´ı. ˇ ım v´ıce konverzac´ı takto analyzujeme, t´ım jednoduˇseji a hlavnˇe pˇresnˇeji C´ ´ jsme schopni sestavit symbolicky´ zápis utoku. Konkrétn´ı poˇcet analyzovanych ´ konverzac´ı závis´ı na jejich variabilitˇe.

6.

Po analyze ´ dostateˇcného mnoˇzstv´ı konverzac´ı jsme schopni z posloupnosti vytvoˇrenych ´ zápisu˚ odvodit pravidla, podle kterych ´ se mˇen´ı vlast˚ V zásadˇe existuje nˇekolik nosti konverzac´ı vˇcetnˇe jednotlivych paketu. ´ moˇznost´ı, podle kterych ´ se vlastnosti mˇen´ı: ˚ avaj´ı stejné. (a) Zust´ (b) Mˇen´ı se náhodnˇe. (c)

Mˇen´ı se na základˇe urˇcitého pravidla (inkrementace, opakován´ı omezeného mnoˇzstv´ı hodnot stále dokola).

Pro vyjádˇren´ı konkrétn´ıch pravidel lze vyuˇz´ıt symbolu˚ základn´ıch matematickych ´ operac´ı (+, -, *, /), cˇ i symbolu˚ pro inkrementaci a dekrementaci (++, --). 33

´ 4. D EFINICE SYMBOLICK E´ HO Z APISU Pokud procház´ıme jednotlivé komunikace jednu po druhé, zjist´ıme, zˇ e s kaˇzdym dalˇs´ım spojen´ım se napˇr´ıklad inkrementuje cˇ ´ıslo portu ´ ´ cn´ıka. To muˇ ˚ zeme zapsat takto: utoˇ $tcp.srcport = $tcp.srcport−1 ++ ´ ˚ zeme naˇse závˇery, Vzhledem k velkému poˇctu konverzac´ı v utoku nemuˇ které jsme vyvodili pouze ze zlomku z nich, generalizovat. Z tohoto ˚ duvodu je nutné vysledky ovˇerˇ it pomoc´ı softwaru pro analyzu velkého ´ ´ mnoˇzstv´ı dat. V mém pˇr´ıpadˇe to byl Splunk.

7.

˚ které jsme uvedli v zápisu. Jednotlivé Ovˇerˇ´ıme veˇskeré hodnoty atributu, formy opakován´ı od sebe jednoduˇse rozeznáme:

´ Statické Atribut bˇehem celého utoku obsahuje pouze jednu hodnotu. ˚ které Náhodné Poˇcet hodnot by mˇel zhruba odpov´ıdat poˇctu paketu, konkrétn´ı atribut obsahuj´ı (lze dopoˇc´ıtat podle pomˇeru paketu˚ s atributem a celkového poˇctu paketu˚ v konverzaci). Omezeny´ vyˇ ´ cet Poˇcet hodnot pomˇerem neodpov´ıdá pˇredchoz´ı moˇznosti a je vyraznˇ e niˇzsˇ´ı (jednotky aˇz des´ıtky). ´ Inkrementace Poˇcet je stejny´ jako u druhé moˇznosti, ale hodnoty se ˚ ze byt s kaˇzdou dalˇs´ı konverzac´ı inkrementuj´ı. Poˇcet muˇ ´ sn´ızˇ en zbytek pod´ılu poˇctu paketu˚ obsahuj´ıc´ıch atribut a rozsahu hodnot ˚ ze nabyvat atributu (napˇr´ıklad hodnota cˇ ´ısla portu muˇ maximálnˇe ´ 65535).

8.

´ Pokud známe konkrétn´ı poˇcty opakován´ı jednotlivych cyklu˚ utoku, ´ ˚ zeme si jednoduˇse vypoˇc´ıtat jaky´ je pomˇer vyskytu muˇ konkrétn´ıho pa´ ˚ ci poˇctu ostatn´ıch paketu˚ v zápisu jednoho utoku. ´ ketu vuˇ Podobnˇe budeme postupovat i v nástroji Splunk a vyfiltrujeme si pakety podle ˚ ci vzorového paketu. Vypoˇcteme pomˇer vyskytu tohoto typu paketu vuˇ ´ ´ celkovému poˇctu paketu˚ zaznamenanych bˇehem utoku. Pomˇery by si ´ ´ mˇely odpov´ıdat (s vˇetˇs´ım mnoˇzstv´ım provedenych utok u˚ se zvyˇsuje ´ pˇresnost), jinak nastala chyba pˇri definici zápisu, nebo pˇri vypoˇ ´ ctu pomˇeru. Napˇr´ıklad: 34

´ 4. D EFINICE SYMBOLICK E´ HO Z APISU ( [ 3WH] [A; PSH ,ACK;uMSG] [A; FIN ,ACK] [V ;ACK] [ {V ; FIN , PSH ,ACK} { 4 0 0 } ] [A; RST ,ACK] ) ∗|p

´ Na pˇr´ıkladu utoku nástroje XOIC vid´ıme pˇr´ıklad vypoˇ ´ ctu pomˇeru paketu (3WH obsahuje 3 pakety):

0, 125 =

1 3+5

(4.1)

Vysledn y´ pomˇer poˇctu vyfiltrovanych ´ ´ paketu˚ podle vlastnost´ı vzorového paketu a celkového poˇctu paketu˚ by se mˇel k této hodnotˇe bl´ızˇ it.

4.5 Definice utok ´ u˚ Pro lepˇs´ı pˇredstavu je zde uvedeno nˇekolik ukázek zápisu nejrozˇs´ırˇ enˇejˇs´ıch ´ ˚ Symbolické zápisy jsou doplnˇeny o slovn´ı popis kaˇzdého utoku ´ utok u. tak, aby byly zápisy jasnˇe cˇ itelné i pro cˇ tenárˇ e, ktery´ nezná syntaxi tohoto zápisu.

4.5.1 TCP LOIC ´ Zápis utok u˚ nástroje LOIC má vcelku jednoduchou strukturu. Navázán´ı spo´ jen´ı prob´ıhá s kaˇzdym na inkrementovaném cˇ ´ısle portu oproti ´ novym ´ utokem ´ pˇredchoz´ımu utoku. Po proveden´ı three-way handshake docház´ı ze strany ´ cn´ıka k odeslán´ı paketu s pˇr´ıznaky ACK a PSH. Paket je doplnˇen o textoutoˇ ´ cn´ık zvovou informaci ve formˇe nˇekolikrát opakovaného rˇ etˇezce, ktery´ si utoˇ lil. Obˇet’ potvrzuje pˇrijet´ı paketem ACK. Tato stˇr´ıdavá komunikace se opakuje, ´ dokud obˇet’ neukonˇc´ı spojen´ı paketem RST. Utoky prob´ıhaj´ı na v´ıce portech soubˇezˇ nˇe. 35

´ 4. D EFINICE SYMBOLICK E´ HO Z APISU ( $tcp.srcport = $tcp.srcport−1 ++ [ 3WH] ( [A; PSH ,ACK;uMSG∗|s ] [ V ;ACK] ) ∗|s [V ; RST ] ) ∗|p XOIC ´ ´ ˚ LOIC. Struktura zápisu utok u˚ nástroje XOIC je velmi podobná utok um ´ ´ cn´ıka, na S kaˇzdym opˇet prob´ıhá inkrementace cˇ ´ısla portu utoˇ ´ novym ´ utokem ´ cn´ık pos´ılá kterém prob´ıhá komunikace. Probˇehne three-way handshake, utoˇ PSH, ACK paket a vzápˇet´ı pos´ılá FIN, ACK paket pro aktivn´ı ukonˇcen´ı spojen´ı. Obˇet’ na prvn´ı paket odpov´ıdá paketem ACK a ukonˇcuje spojen´ı paketem ´ cn´ık pos´ılá RST paket, a t´ım ´ FIN s kodem 400 Bad Request“ v HTTP cˇ a´ sti. Utoˇ ” spojen´ı definitivnˇe ukonˇcuje. ( $tcp.srcport = $tcp.srcport−1 ++ [ 3WH] [A; PSH ,ACK;uMSG] [A; FIN ,ACK] [V ;ACK] [ {V ; FIN , PSH ,ACK} { 4 0 0 } ] [A; RST ,ACK] ) ∗|p ByteDos ´ Jak lze poznat ze symbolického zápisu, utoky nástroje ByteDos jsou jeˇstˇe jed´ cn´ık ihned spojen´ı noduˇssˇ´ı, neˇz pˇredchoz´ı dva pˇr´ıklady. Po navázán´ı spojen´ı utoˇ ukonˇcuje paketem s pˇr´ıznakem FIN. Obˇet’ odpov´ıdá paketem RST, a t´ım cely´ ´ utok konˇc´ı. ( [ 3WH] [A; FIN ,ACK] [ V ; RST ,ACK] ) ∗|p DoS55 ´ Tento utok prob´ıhá pouze navázán´ım velkého poˇctu spojen´ı. Po vyprˇsen´ı cˇ asového limitu na stranˇe obˇeti jej obˇet’ ukonˇcuje paketem RST. ( [ 3WH] d ˜ 1 2 6 s [V ; RST ,ACK] ) ∗|p 36

´ 4. D EFINICE SYMBOLICK E´ HO Z APISU LongCat ´ Zápis tohoto utoku je velmi podobny´ pˇredchoz´ımu. Po navázán´ı spojen´ı pomoc´ı three-way handshake jej obˇet’ ukonˇcuje paketem RST. ( [ 3WH] d ˜ 0 . 0 2 s [V ; RST ,ACK] ) ∗|p SynFloodDos ´ ´ Tento utok je popsán dvˇema zanoˇrenymi cykly. Samotny´ utok je tvoˇren ´ ’ ´ cn´ıka. Obˇet mu odpouze opakovanym ´ odes´ılán´ı SYN paketu˚ ze strany utoˇ pov´ıdá paketem s pˇr´ıznakem SYN ACK. Po vyprˇsen´ı cˇ asového limitu, kdy obˇet’ ´ cn´ıka, ukonˇcuje spojen´ı paketem RST. Tento cyklus se neobdrˇz´ı odpovˇed’ utoˇ opakuje vˇzdy pˇresnˇe 116 krát a v kaˇzdém je vygenerována nová IP adresa ´ cn´ıka. Po tomto poˇctu opakován´ı je vygenerováno nové cˇ ´ıslo portu a cely´ utoˇ proces se opakuje. ( $tcp.srcport = $random ( $ip.src = $random [A; SYN ] [ V ; SYN,ACK] d˜21 s [V ; RST ,ACK] 116|p ) ) ∗|p SimpleDosTool ´ SimpleDosTool vytvárˇ´ı jednoduché utoky, pˇri kterych ´ ve velkém mnoˇzstv´ı navázˇ e spojen´ı s obˇet´ı a po menˇs´ı prodlevˇe odeˇsle paket FIN. Obˇet’ odpov´ıdá paketem RST a ukonˇcuje spojen´ı. ( $tcp.srcport = $tcp.srcport−1 ++ [ 3WH] d ˜ 0 . 1 s [A; FIN ,ACK] [V ; RST ,ACK] ) ∗|p JavaLOIC ´ Struktura tohoto utoku je velmi podobná pˇredchoz´ımu. V nˇekterych ´ pˇr´ıpadech zde docház´ı po navázán´ı spojen´ı k urˇcité vzájemné komunikaci v po37

´ 4. D EFINICE SYMBOLICK E´ HO Z APISU ˚ dobˇe pˇredem neurˇceného poˇctu ACK paketu. ( $tcp.srcport = $tcp.srcport−1 ++ [ 3WH] ( [A;ACK] [ V ;ACK] ) ∗ [A; FIN ,ACK] [V ; RST ,ACK] ) ∗|p 4.5.2 HTTP ´ HTTP utoky se podle symbolického zápisu mohou zdát sloˇzitˇejˇs´ı. Ve ´ skuteˇcnosti prob´ıhaj´ı podobnˇe jednoduˇse jako TCP utoky. Sloˇzitost zápisu je ˚ ˚ které lze u tˇechto zpusobena pouze vˇetˇs´ım poˇctem promˇenlivych atributu, ´ ´ utok u˚ pozorovat.

LOIC Nástroj LOIC po navázán´ı spojen´ı odes´ılá paket s poˇzadavkem GET s parame˚ které jsou try $ua a $uri. Obˇet’ odpov´ıdá nespecifikovanym ´ poˇctem segmentu, ´ cn´ıkem sporadicky potvrzovány pakety s pˇr´ıznakem ACK. Tato komuniutoˇ kace se stále opakuje, pˇriˇcemˇz velikost aktuáln´ıho ACK paketu je vˇzdy menˇs´ı, ´ cn´ıka paketem RST. neˇz velikost pˇredchoz´ıho. Spojen´ı je ukonˇceno ze strany utoˇ

( $ t c p . s r c p o r t = $ t c p . s r c p o r t −1 ++ [ 3WH] [ {A; PSH ,ACK}{GET ; $request.uri=$ u r i ; $ h t t p . u s e r a g e n t =$ua } ] ( [V ;ACK] ∗ [A;ACK; $s<=$s −1 ] )∗ [A; RST ,ACK] )∗ $ua = ” M o z i l l a / 4 . 0 ( compatible ; MSIE 7 . 0 ; Windows NT 6 . 0 ) ” $ u r i = $[\/ index \ . htm \ ? [A−Z ] { 6 } ] $s = t c p . window size value 38

´ 4. D EFINICE SYMBOLICK E´ HO Z APISU HOIC ´ cn´ıkem stejnˇe jako v pˇredchoz´ım pˇr´ıkladu odeslán Po navázán´ı spojen´ı je utoˇ poˇzadavek GET s konkrétn´ımi parametry $uri a $ua. Následná komunikace prob´ıhá opˇet naprosto shodnˇe jako v pˇredchoz´ım pˇr´ıpadˇe. V tomto pˇr´ıpadˇe ´ ovˇsem ukonˇcen´ı komunikace iniciuje obˇet’ paketem FIN a HTTP kodem 200 ” ´ OK“. Utoˇcn´ık odpov´ıdá paketem ACK a korektnˇe ukonˇcuje spojen´ı paketem FIN,ACK. Obˇet’ potvrzuje pˇrijet´ı posledn´ıho paketu a t´ım je komunikace uzavˇrena. ( $ t c p . s r c p o r t = $ t c p . s r c p o r t −1 ++ [ 3WH] [ {A; PSH ,ACK}{GET ; $request.uri=($uri) ; $ h t t p . u s e r a g e n t =$ua } ] ( [V ;ACK] ∗ [A;ACK; $s<=$s −1 ] ∗ ) [ {V ; FIN , PSH ,ACK} { 2 0 0 } ] [A;ACK] [A; FIN ,ACK] [V ;ACK] ∗ ) $ua = ”” $ u r i = ”/ index . htm” $s = t c p . window size value

4.6 Návrh sluˇzby Jako jeden z pˇr´ıkladu˚ vyuˇzit´ı vytvoˇreného symbolického zápisu je sluˇzba, cˇ i ´ nástroj, která by byla schopna detekovat utok na základˇe jeho definice symbolickym ´ zápisem (signature-based/pattern-based IDS5 ). V reálném s´ıt’ovém provozu se samozˇrejmˇe pˇrevázˇ nˇe vyskytuje bˇezˇ ná komunikace, kterou bude muset detekˇcn´ı nástroj rozeznat a ignorovat. Protoˇze nelze jednoduˇse a exaktnˇe definovat, jak vypadá bˇezˇ ny´ a neˇskodny´ provoz, bude tˇreba vyuˇz´ıt nˇektery´ z postupu˚ z oboru umˇelé inteligence. Vybral jsem nˇekolik moˇznych ´ metod, které by mohly v takovémto nástroji ´ ˚ slouˇzit pro detekci utok u. 5. zkratka Intrusion Detection System

39

´ 4. D EFINICE SYMBOLICK E´ HO Z APISU 4.6.1 Change-point detection Metoda Change-point detection (ˇcesky Detekce zmˇeny“) spoˇc´ıvá v detekci ” zmˇeny sledovanych parametru˚ v datech um´ıstˇenych do cˇ asového rámce. ´ ´ ´ Vyhodou metody je, zˇ e pro jej´ı poˇzit´ı pˇri detekci prob´ıhaj´ıc´ıch DoS utok u˚ ´ ´ nen´ı potˇreba m´ıt utoky pˇresnˇe definované. Metoda pracuje s mnoˇzstv´ım statistickych porovnává aktuáln´ı hodnoty a vysledn´ e odchylky de´ dat, se kterymi ´ ´ tekuje jako zmˇeny. [4] [24] ˚ Namˇerˇ ená data Dalˇs´ı vyhodou tohoto pˇr´ıstupu je rychlost jeho algoritmu. ´ lze okamˇzitˇe porovnat se statistickymi hodnotami a vyhodnotit vysledek. De´ ´ ˚ ze bez problému˚ prob´ıhat v reálném cˇ ase, tekce touto metodou proto muˇ ´ coˇz bylo i v laboratorn´ıch podm´ınkách pˇri detekci utok u˚ prokázáno [43]. Nevyhodou metody mohou byt ´ ´ pomˇernˇe cˇ asté chybné detekce zmˇen. [17] 4.6.2 Signature-based detection Detekce metodou Signature-besed je zaloˇzena na porovnáván´ı známych sig´ ´ esˇ ny, natur a vzoru˚ s mnoˇzinou vstupn´ıch dat. Pokud je nález uspˇ ´ detekce se ´ povaˇzuje za pozitivn´ı. Pˇri vyuˇzit´ı tohoto pˇr´ıstupu pro detekci DoS utok u˚ by ´ bylo nutné pro kaˇzdy´ utok pˇresnˇe definovat vzor, ktery´ bude porovnáván. Dalˇs´ı nevyhodou této metody je jej´ı nároˇcnost na vypoˇ pˇri pouˇzit´ı na ´ ´ cetn´ı vykon ´ linkách s velkou propustnost´ı a z toho plynouc´ı problémy pˇri pouˇzit´ı v reálném cˇ ase. Vyhodou této metody je jej´ı vysoká pˇresnost a malé procento faleˇsnych ´ ´ detekc´ı. [17] Z tˇechto vlastnost´ı vyplyv´ ´ a, zˇ e metodu Signature-based detection lze ´ vhodnˇe vyuˇz´ıt pro detekci známych u˚ nad záznamem s´ıt’ové komunikace. ´ utok ´ ´ esˇ ná nebude. Metody lze ale Pˇri detekci novych u˚ tato metoda pˇr´ıliˇs uspˇ ´ utok ˚ ych i vhodnˇe kombinovat a vyuˇz´ıt kladnych ´ vlastnost´ı ruzn ´ metod. [33] 4.6.3 Machine learning Metoda strojového uˇcen´ı se vyznaˇcuje schopnost´ı reagovat na zmˇeny a uˇcit se z pˇredchoz´ıch zkuˇsenost´ı. V tomto ohledu se jev´ı jako ideáln´ı pro pouˇzit´ı v kombinaci s pˇredchoz´ımi dvˇema metodami pro jejich zastˇreˇsen´ı. Existuj´ı dva základn´ı pˇr´ıstupy strojového uˇcen´ı – uˇcen´ı s uˇcitelem a uˇcen´ı bez uˇcitele. Pro oba typy uˇcen´ı byly popsány techniky, které lze pouˇz´ıt pro klasifikaci s´ıt’ového ´ ˚ [44] [26] provozu a detekci prob´ıhaj´ıc´ıch DoS utok u. 4.6.4 Vyuˇzit´ı symbolického zápisu ˚ Vˇsechny vyˇ z´ıskat prvotn´ı in´ se uvedené metody potˇrebuj´ı nˇejakym ´ zpusobem formace at’ uˇz o tom, jaky´ má charakter bˇezˇ ny´ s´ıt’ovy´ provoz (anomaly de40

´ 4. D EFINICE SYMBOLICK E´ HO Z APISU ´ ıch samotnych tection metody), cˇ i o utoc´ (signature-based detection). Metody ´ strojového uˇcen´ı s uˇcitelem zase vyˇzaduj´ı data, na jejichˇz základˇe bude provedeno prvotn´ı uˇcen´ı systému. Jako prostˇredek pro vymˇ ´ enu tˇechto informac´ı lze vyuˇz´ıt vytvoˇreny´ symbolicky´ zápis. Jako nejvhodnˇejˇs´ı se pro vyuˇzit´ı symbolického zápisu jev´ı metoda strojového uˇcen´ı a signature-based detekce, pro které lze jednoznaˇcnˇe definovat ´ jednotlivé utoky. Pro detekci zaloˇzenou na metodˇe change-point detection lze ´ symbolické zápisy utok u˚ vyuˇz´ıt pro sn´ızˇ en´ı poˇctu poˇctu chybnych ´ detekc´ı. Ze ´ zápisu lze vyˇc´ıst, jaké vlastnosti se bˇehem utoku budou mˇenit a na tyto vlast˚ ze byt nosti muˇ ´ detekce primárnˇe zamˇerˇ ena (napˇr´ıklad sn´ızˇ en´ım prahu pro detekci zmˇeny).

41

Kapitola 5

Závˇer C´ılem této práce bylo navrhnout a definovat symbolicky´ zápis pro popis komu´ nikace vytvárˇ ené prob´ıhaj´ıc´ımi utoky. Po analyze ´ a popisu charakteristickych ´ ´ vlastnost´ı DoS utok u˚ se podaˇrilo definovat symbolicky´ zápis, ktery´ by mˇel vy´ hovovat veˇskerym v uvodu práce. Samotny´ ´ kritéri´ım pˇredem definovanych ´ zápis by mˇel byt ´ schopen jednoznaˇcnˇe a cˇ itelnˇe popsat nejrozmanitˇejˇs´ı varianty ´ ˚ coˇz lze pozorovat na pˇr´ıkladech v kapitole 4.5. DoS utok u, ˚ zitou cˇ a´ st´ı práce pˇred samotnou definic´ı symbolického zápisu bylo stuDuleˇ ´ dium vyvoje DoS utok u˚ a principu˚ jejich fungován´ı, které je popsáno v kapi´ tole 2. Pouhá teorie by ovˇsem také nestaˇcila a bylo tˇreba analyzovat jednotlivé ´ nástroje v kapitole 3 a samotné záznamy utok u˚ jimi produkovanych ´ (4.2). Teprve s tˇemito vˇedomostmi jsem byl schopen navrhnout zápis tak, aby dokázal ´ popsat utok se vˇsemi jeho vlastnostmi, které jsme schopni vyˇc´ıst ze s´ıt’ové komunikace. ´ ˚ Hlavn´ı Vysledkem je pomˇernˇe robustn´ı nástroj pro popis DoS utok u. ´ pˇrednost tohoto symbolického zápisu vid´ım v cˇ itelnosti cˇ lovˇekem a zárovˇen ´ ıch, i poˇc´ıtaˇcem. Symbolicky´ zápis lze pouˇz´ıt pro vymˇ ´ enu informac´ı o utoc´ ´ nebo napˇr´ıklad jako vstup pro navrˇzenou detekˇcn´ı sluˇzbu. V definici utoku po˚ coˇz je moc´ı symbolického zápisu lze zahrnout obrovské mnoˇzstv´ı parametru, umoˇznˇeno pouˇzit´ım notace programu Wireshark pro promˇenné. Na práci by bylo moˇzné navázat detailn´ım návrhem sluˇzby pro detekci ´ DoS utok u˚ a jej´ı následnou implementac´ı. Takovyto ´ nástroj by mohl ovˇerˇ it pouˇzitelnost symbolického zápisu v praxi. Dalˇs´ı moˇznost´ı je ovˇerˇ en´ı, pˇr´ıpadnˇe ´ ˚ které nebyly v práci rozˇs´ırˇ en´ı pouˇzitelnosti zápisu o dalˇs´ı varianty DoS utok u, ´ zahrnuty (napˇr´ıklad amplifikaˇcn´ı utoky). Práce bude s laskavym ´ svolen´ım vedouc´ıho práce Mgr. V´ıta Bukaˇce, Ph.D. uveˇrejnˇena na webu <>, ktery´ slouˇz´ı jako ucelená databáze vzorku˚ utok u, ´ ´ utok u˚ a dalˇs´ıch dat slouˇz´ıc´ıch pro experimentován´ı s DoS utoky.

42

Literatura [1] Adeyinka, O.: Internet Attack Methods and Internet Security Technology. In Modeling & Simulation, 2008. AICMS 08. Second Asia International Conference on, IEEE, 2008, s. 77–82. [2] Ali, F.: IP Spoofing. The Internet Protocol Journal, roˇcn´ık 10, cˇ . 4, 2007: s. 2–9. [3] Aumasson, J.-P., Bernstein, D. J., Boslet, M.: Hash-Flooding DOS Reloaded: Attacks and defenses. In 29th Chaos Communication Congress, Hamburg, Prosinec 2012, [cit. 2015-12-23]. Dostupné z: [4] Basseville, M., Nikiforov, I. V.: Detection of Abrupt Changes: Theory and Application. Prentice Hall, 1993, ISBN 0-13-126780-9. [5] Belson, D.: Akamai State of the Internet Report, Q2 2014. Q2 [2014 Report], roˇcn´ık 8, cˇ . 2, 2014. [6] Caglayan, A., Toothaker, M., Drapaeau, D., Burke, D., Eaton, G.: Behavioral analysis of fast flux service networks. In Proceedings of the 5th Annual Workshop on Cyber Security and Information Intelligence Research: Cyber Security and Information Intelligence Challenges and Strategies, ACM, 2009. [7] Calce, M., Silverman, C.: Mafiaboy: How I Cracked the Internet and why It’s Still Broken. Viking, 2008, ISBN 9780670067480. [8] Chee, W. O., Brennan, T.: H.....t.....t....p....p....o....s....t. OWASP AppSec DC 2010, Listopad 2010, [Online], [cit. 2015-12-23]. Dostupné z: [9] Cisco: Defeating DDOS Attacks. 2004, [Online], [cit. 2015-12-23]. Dostupné z: 43

´ Eˇ R 5. Z AV [10] Cisco: TTL Expiry Attack Identification and Mitigation. 2009, [Online], [cit. 2015-12-23]. Dostupné z: [11] Cisco: Understanding Unicast Reverse Path Forwarding. 2014, [Online], [cit. 2015-12-23]. Dostupné z: [12] Douligeris, C., Mitrokotsa, A.: DDoS Attacks and Defense Mechanisms: Classification and State-of-the-art. Computer Networks, roˇcn´ık 44, cˇ . 5, Duben 2004: s. 643–666, ISSN 1389-1286, doi:10.1016/j.comnet.2003.10.003. [13] Eddy, W.: RFC4987, TCP SYN Flooding Attacks and Common Mitigations. 2007, [Online], [cit. 2015-12-23]. Dostupné z: [14] Fielding, R., Gettys, J., Mogul, J., Frystyk, H., Masinter, L., Leach, P., Berners-Lee, T.: RFC 2616, Hypertext Transfer Protocol – HTTP/1.1. 1999, [Online], [cit. 2015-12-23]. Dostupné z: [15] Goyal, P., Malik, S.: Detection of Distributed Reflection DoS by using Rank Correlation. International Journal of Computer Science and Mobile Computing, roˇcn´ık 3, cˇ . 8, 2014. [16] Groth, D.: Network+ study guide. Alameda, Calif: Sybex, 2005, ISBN 9780-7821-4406-2. [17] Gupta, S., Grover, D., Bhandari, A.: Detection Techniques against DDoS attacks: A Comprehensive Review. International Journal of Computer Apˇ plications, roˇcn´ık 96, cˇ . 5, Cerven 2014: s. 49–57, doi:10.5120/16794-6390. [18] Houle, K., Greene, B.: ISP Security - Real World Techniques II. NANOG26, Eugene, OR, 2002. Dostupné z: [19] IANA: Protocol Numbers. 2015, [Online], [cit. 2015-12-23]. Dostupné z: 44

´ Eˇ R 5. Z AV [20] Internet Engineering Task Force: RFC 791, Internet Protocol - DARPA Inernet Program, Protocol Specification. 1981, [Online], [cit. 2015-12-23]. Dostupné z: [21] Jyothsna, V., Prasad, V. R., Prasad, K. M.: A review of anomaly based intrusion detection systems. International Journal of Computer Applications, roˇcn´ık 28, cˇ . 7, 2011: s. 26–35. [22] Liao, H.-J., Lin, C.-H. R., Lin, Y.-C., Tung, K.-Y.: Intrusion detection system: A comprehensive review. Journal of Network and Computer Applications, roˇcn´ık 36, cˇ . 1, 2013: s. 16–24. [23] Liska, A.: Building an Intelligence-Led Security Program. Elsevier Science, 2014, ISBN 9780128023709. [24] Liu, S., Yamada, M., Collier, N., Sugiyama, M.: Change-point detection in time-series data by relative density-ratio estimation. Neural Networks, ˇ roˇcn´ık 43, Cervenec 2013: s. 72–83, doi:10.1016/j.neunet.2013.01.012. [25] Mirkovic, J., Dietrich, S., Dittrich, D., Reiher, P.: Internet Denial of Service: Attack and Defense Mechanisms. Upper Saddle River, NJ, USA: Prentice Hall, 2004, ISBN 0131475738. [26] Nafiseh Kahani, M. B., Saeed Shiry: Detecting Denial of Service Attacks Utilizing Machine Learning Methods. International Journal of Computing Architecture, roˇcn´ık 3, cˇ . 1, 2008. [27] Ollmann, G.: Botnet communication topologies. 2009, [cit. 2015-12-23]. Dostupné z: [28] Olson, P.: We are Anonymous : inside the hacker world of LulzSec, Anonymous, and the global cyber insurgency. New York: Back Bay Books, 2013, ISBN 0316213527. [29] Postel, J.: RFC793, Transmission Control Protocol. Zárˇ´ı 1981, [Online], [cit. 2015-12-23]. Dostupné z: [30] Postel, J.: RFC 862, Echo Protocol. 1983, [Online], [cit. 2015-12-23]. Dostupné z: [31] Postel, J.: RFC 864, Character Generator Protocol. 1983, [Online], [cit. 201512-23]. Dostupné z: 45

´ Eˇ R 5. Z AV [32] R., B., Borman, D., Partridge, C.: RFC 1071, Computing the Internet Checksum. 1988, [Online], [cit. 2015-12-23]. Dostupné z: [33] Rajapandian, P., Alagarsamy, K.: Intrusion Detection in Dos Attacks. Inter´ national Journal of Computer Applications, roˇcn´ık 15, cˇ . 8, Unor 2011: s. 33–37, doi:10.5120/1967-2634. [34] Rossow, C.: Amplification Hell: Revisiting Network Protocols for DDoS Abuse. In Proceedings of the 2014 Network and Distributed System Security (NDSS) Symposium, Internet Society, 2014. [35] Ryan, Y.: Anonymous and the Arab uprisings. Kvˇeten 2011, [Online], [cit. 2015-12-23]. Dostupné z: [36] Sailesh, K.: Survey of Current Network Intrusion Detection Techniques. 2007, [Online], [cit. 2015-12-23]. Dostupné z: [37] Sian, J.: Why do organisations need a DDoS contingency plan? 2012, [Online], [cit. 2015-12-23]. Dostupné z: [38] Sifry, M.: Wikileaks and the Age of Transparency. O/R Books, 2011, ISBN 9781935928317. [39] Smith, R.: PhlashDance: Discovering permanent denial of service attacks against embedded systems. EUSecWest 08, London, May 2008. Dostupné z: [40] Soluk, K.: DDoS Activity in the Context of Hong Kong – Pro-democracy Movement. Listopad 2014, [Online], [cit. 2015-12-23]. Dostupné z: [41] Soluk, K.: DDoS and Geopolitics – Attack analysis in the context of the Israeli-Hamas conflict. Srpen 2014, [Online], [cit. 2015-12-23]. Dostupné z:
´ Eˇ R 5. Z AV ddos-and-geopolitics-attack-analysis-in-the-context-o f-the-israeli-hamas-conflict/> [42] Stone, M.: Anonymous #OpSony: DDoS attacks against PlayStation succeed. Duben 2011, [Online], [cit. 2015-12-23]. Dostupné z: [43] Wang, H., Zhang, D., Shin, K.: Change-point monitoring for the detection of DoS attacks. IEEE Transactions on Dependable and Secure Computing, ˇ ıjen 2004: s. 193–208, doi:10.1109/tdsc.2004.34. roˇcn´ık 1, cˇ . 4, R´ [44] Zander, S., Nguyen, T., Armitage, G.: Automated traffic classification and application identification using machine learning. In The IEEE Conference on Local Computer Networks 30th Anniversary, Institute of Electrical & Electronics Engineers (IEEE), 2005, doi:10.1109/lcn.2005.35.

47

Pˇr´ıloha A

Seznam elektronickych ´ pˇr´ıloh Na pˇriloˇzeném DVD je um´ıstˇen archiv pcap.zip, ktery´ obsahuje pcap soubory s pouˇzitymi záznamy s´ıt’ové komunikace produkované jednotlivymi ´ ´ ´ utoky. Soubory jsou pojmenovány podle názvu nástroje, jehoˇz komunikace byla zaznamenávána. V názvu souboru je také obsaˇzen název protokolu, ´ prostˇrednictv´ım kterého utok prob´ıhal. V souboru s názvem DP_Lorenc.pdf je um´ıstˇena také elektronická verze diplomové práce ve formátu pdf.

48

012345

Recommend Documents