DDoS

Distributed Denial-of-Service attacks from botnets Bevezetés- DoS/DDoS

DoS meghatározása „

Denial of Service: szolgáltatás megtagadás. A támadó a célpont informatikai rendszerét próbálja olyan módon túlterhelni, hogy az képtelen legyen a normál, üzemszerű működésre és így az általa nyújtott szolgáltatás biztosítására.

„Klasszikus” DoS A célpontot egyetlen pontból támadják. „ A támadó a célpont erőforrásait próbálja lefoglalni. „ Lehetséges hálózati rétegben (pl. TCP Syn Flood Attack) vagy alkalmazási rétegben (e-mail flooding) „

DDoS „

„ „

Distributed Denial of Service: elosztott szolgáltatás megtagadásos támadási módszerek. A támadó egyidejűleg nagyszámú végpontot használva indítja meg a támadást. Lehetséges a hálózati rétegben (ICMP vagy UDP flooding) vagy az alkalmazási rétegben.

DDos topológia

DDos topológia 2. A kompromittált gépek felosztása: agent, handler „ A handler-ek karbantartanak egy listát az elérhető agent-ekről. „ A handler-ek jelzik az agent-eknek a támadás indítását és a támadás módját. „

DDoS kommunikáció „

Handler és agent közötti kommunikáció: Trin00 (csak UDP flood) vagy TFN(Tribe Flood Network) (SYN,ICMP,UDP) Titkosítás nélkül –kivétel: parancsok küldésének kezdete

„

Újgenerációs eszközök: TFN2K, Stacheldraht A kommunikáció nagy részének titkosítása

DoS támadások-Syn Flooding/1 „

„

Az IP hálózatok legnépszerűbb szolgáltatásai (SMTP, HTTP, FTP) TCP kapcsolatot alkalmaznak. TCP kapcsolat felépítését „háromutas” kézfogás előzi meg. A kliens Syn csomagot küld. 2. A szerver Syn + ACK csomaggal nyugtáz. 3. A kliens ACK csomaggal nyugtáz. A kapcsolat ettől a ponttól működőképes. 1.

Syn Flooding/2 „

A támadás menete: A támadó Syn csomagot küld, hamisított feladó címmel. A célpont tárolja a leendő kapcsolat adatait, majd Syn + ACK nyugtázó csomagot küld a feladónak (a hamisított, esetleg nem is létező címre). 3. A célpont nem kap választ, ezért néhányszor (általában még háromszor) újraküldi az üzenetet. 4. A célpont felszabadítja a kapcsolat tárolására szolgáló memóriát. 1. 2.

A támadó nagy mennyiségű Syn csomaggal árasztja el a célpontot, amelynek a kapcsolatok állapotát tároló memóriája megtelik, így nem lesz képes új TCP kapcsolatot létrehozni.

Syn Flooding/3 „ 1. 2.

Védekezés módszerei: A „félkész” kapcsolatok tárolására szolgáló memória megnövelése. Speciális eljárások (Syn Cookie): A módszer lényege az, hogy a szerver a saját SYNACK csomagjában beállított szekvenciaszámba belekódolja azokat az információkat, amelyeket különben a helyi pufferben kellene tárolni; így nincs szükség memória-allokációra, csak néhány számításra. A bejövő ACK csomag által nyugtázott szekvenciaszám segítségével a kapcsolat helyi adatstruktúrája felépíthető anélkül, hogy a SYN és az ACK beérkezése között bármit is tárolnunk kellene.

E-mail flooding „

„

„

A támadó a célpont SMTP szerver számára nagy mennyiségű vagy nagy méretű elektronikus levelet küld. A célpont tárolókapacitása véges, így kellő mennyiségű levéltől megtelik, ami további levelek fogadását lehetetlenné teszi. Ilyen mail-bombázást végre lehet hajtani nagyobb probléma nélkül az interneten megtalálható programokkal.

Ping flooding A célszámítógép nagy tömegű pinggel bombázása „ A pingek nagyságától és fajtájától függően a régi operációs rendszereknél összeomláshoz vezethet „ Annak a hálózatnak az akadályoztatásához vezet, amelyben a megtámadott számítógép van. „

DDoS támadások- ICMP flooding, „Smurf” attack „ „

„

AZ ICMP az IP segédprotokollja. A hálózati hibakereséshez használt „ping” parancs ICMP Echo Request és Echo Reply üzeneteket használ. Minden IP hálózatnak létezik egy „broadcast” címe, amelyre üzenetet küldve a hálózat összes végpontja válaszol. Hibás konfigurálás esetén ez a broadcast cím nem csak hálózaton belül érhető el.

ICMP flooding, „Smurf” attack 2. A támadó keres ilyen hibásan konfigurált, nagy sávszélességű, sok végpontot tartalmazó hálózatokat. „ A célpont címét hamisítva feladóként, a hálózat broadcast címére elkezd Echo request üzeneteket küldeni. „ A hálózat összes végpontja válaszol, Echo reply üzeneteket küldve a célpont címére. „

ICMP flooding, „Smurf” attack 3. Védekezés: 1. A hálózati útválasztók helyes konfigurálása. 2. Támadás észlelése esetén a támadást akaratlanul végrehajtó (vagy ideiglenesen az összes) hálózatból érkező Echo reply üzenet szűrése. „

DDOS az alkalmazási rétegben „

„ „

A támadó nagyszámú végpontot használva normál, a rendes működés során általánosan használt kéréseket küld a célpontnak. A kiszolgálókat nem az extrém esetekre méretezik, így az erőforrások kimerülnek. A szolgáltatások általában aszimmetrikus működésűek (a kérést elküldeni egyszerűbb, mint a választ előállítani), így könnyű lefoglalni az erőforrásokat (hálózati sávszélesség, számítási kapacitás).

HTTP támadás Helyesen megválasztott kérésekkel a kiszolgálót nagy mennyiségű művelet végrehajtására lehet késztetni, így a kiszolgálás sebessége használhatatlan értékre csökken. „ A legnépszerűbb webszolgáltatások dinamikusan állítják elő az oldalakat, tipikusan adatbázisból dolgozva. „

HTTP támadás 2. Egy rövid példa: <script type="text/javascript"> function Tolt() { sSearch = ""; for (i=0; i<7; i++) sSearch += String.fromCharCode(65+Math.floor(Math.random()*27)); document.getElementById("dframe").src="http://www.google.hu/search?hl=hu&q="+sSearch+"&btnG=Google+ker es%C3%A9s&meta="; var tt = setTimeout("Tolt()",1000); } <iframe id="dframe" src="about:blank" width="600" height="600">

HTTP támadás 3. Védekezés: 1. Csaknem lehetetlen; a támadás módszerének ismeretében egyedileg meghatározott módszerrel. 2. Drága megoldást jelent az elosztott architektúra (cache szerverek), így a támadás jobban eloszlik. „

Reflektív DDoS támadások Viszonylag fiatal DDoS támadási módszer. „ A támadás során más, „ártatlan” végpontokat használnak fegyverként. „ Az „ártatlan” végpontokat nem szükséges uralni a támadás indításához. „ Hálózati és alkalmazási rétegben egyaránt elvégezhető. „

Reflektív DDoS támadások 2. „ „ „ „ „ „

Hálózati rétegben kivitelezett reflektív támadás: TCP Syn+ACK Attack. A támadó a harmadik félnek („ártatlan végpont”) TCP Syn csomagot küld, a célpont címét hamisítva a feladó címeként. Az „ártatlan végpont” erre TCP Syn + ACK csomaggal válaszol, elkezdve a TCP kapcsolat létrehozását. A TCP Syn + ACK csomag a célpontot találja el. Mivel az „ártatlan végpont” nem kap választ, ezért újraküldi (általában még háromszor) a csomagot. A támadó egyetlen csomagjának hatására a célpont négy csomagot kap.

Reflektív DDoS támadások 3. „

„

„

Alkalmazás rétegben: egyes SMTP kiszolgálók a nem létező címre érkező elektronikus leveleket elfogadják, majd amikor kiderül, hogy a kézbesítés lehetetlen, a feladó számára értesítést küldenek. Ha a támadó a célpont email címét adja meg az SMTP párbeszéd során, akkor az értesítést az áldozat kapja meg. A levelek küldését botnetek nagy tömegben képesek elvégezni, a reflektív működés miatt a hálózati szintű szűrés nehezen kivitelezhető.

Reflektív DDoS támadások 4. HELO sanyi 250 mail.webgame.hu Hello 3e44bd93.adsl.enternet.hu [62.68.189.147], pleased to meet you MAIL FROM: [email protected] 250 2.1.0 [email protected]... Sender ok RCPT TO: [email protected] 550 5.7.1 [email protected]... Relaying denied

Összefoglaló „

„

„

A DDoS támadások végrehajtása a botnetek segítségével egyre egyszerűbb, így a támadások száma várhatóan növekedni fog. A támadások elindulása után a védekezés már nehéz, utólag az események rekonstruálása (és így a felelősök megbüntetése) ritkán megoldható. Az ilyen támadások visszaszorítása érdekében megelőző tevékenységeket kell végezni (botnet vezérlő végpontok felderítése, lekapcsolása).

Botnetek

Bevezetés - Változások a trendekben Az internetes támadások szándéka megváltozott az idő múlásával. Korábban…. - DOS - Worm Támadás az infrastruktúra ellen. Napjaink… - ID Theft - Phising - SPAM - Spyware A támadás direkt célpontjai az emberek.

Minden út… A legtöbb reklámpostát … A legtöbb férget és vírust … A legtöbb DOS támadásokat …

…BOTNET

Mi a botnet? A botnet szó a „roBOT NETwork” szavakból származik. Robotok, mert előre programozott feladatot hajtanak végre. Network, mert ezek a robotok hálózatba vannak szervezve. botnet: a fertőzött számítógépek (bot-ok) egy botmaster vezénylete alatt. Együttműködő, csoportosan távvezérelhető bot-ok hálózata. A bot-ok majdnem mindig kompromittált Windowsgépek; a botnetvezérlők majdnem mindig kompromittált Unix-gépek, amik IRC-t futtatnak.

Támadó

Bot herder („pásztor”) támadás (DDoS, SPAM stb.)

bejelentkezés, infó’ a zombi számítógépről

parancsok

Zombi Számítógépek

Röviden a történelem és felépítés Eredeti feladat : Segíteni az IRC operátoroknak (Eggdrop 1993) Korai backdoors Fejlett, kiforrt technika a támadásban és a rejtőzködésben is (SubSeven, Bot/Bionet bot) Modern Botok (AgoBot, GTBot) Új P2P botok

Hogy indult? Korai backdoor-ok 1 - 1 client-server model Közvetlen a támadó irányítja Limitált kapacitás Első akciók: - Zene lejátszás - CD ROM nyitogatás Később : - Jelszó lopás - Screenshots - File feltöltés/letöltés

Kezdetben miért az IRC? Az IRC-s botnetek minden hasonló híreszteléssel szemben nem rosszindulatúan jöttek létre. Egyszerűen egy csapat bot összekapcsolt hálózatát jelentették, amik képesek együttműködni. Főleg az IRC-n terjedtek el, mivel ott nincsenek csatorna védelmi szolgáltatások. Ezért a felhasználók ha tartani szeretnének egy csatornát, botnetet hoznak létre (egy bot nem bot alapon). IRC szerverek előnye: Ingyenesen elérhető Könnyű használni Nagyobb anonimitás Központosított irányítás, parancs kiadás Nagyobb számú kliens

A támadók tapasztalt IRC használók

Mekkora kapacitású egy botnet? Superszámítógépek - Elosztott számoló rendszerek - BOINC – SETI@Home, atomfizikára használták Az emberek beleegyeznek, hogy erőforrásokat adományozzanak. Botnet: Distributed Computing egy speciális esete - A számítógépek tulajdonosainak a beleegyezése nélkül - Erősebb, mint egy szuperszámítógép – ingyen ☺

Miért készítenek Botneteket?

Számoljuk ki a költségeket! Legális út 1,000 PC és hozzá infrastruktúra = $1,000,000+

Hacker Botnet kód = ingyenesen letölthető az internetről Elosztott reklámpostán és vírusfertőzéseken keresztül ~ 0.1 százalékos siker. Szükség van 1,000,000 email-re. Mennyibe kerül 1 millió email kiküldése?

Neked 1,000 PC = $1,000,000 Hacker által 1,000 PC < $500

Mire használják a Botneteket? Network for hire Spam küldés Jelszó vadászat DOS Click Fraud …

Pozíciók az illegális botnet gazdaságban. Botgazda: Bot-okkal rendelkezik és irányítja őket. Botnet eladó: Eladja a Bot-ok használatát (vagy meghatalmaz) spammereknek. Spammer: Reklámpostát küld. Szponzor: Fizet a spammernek a termék vagy szolgáltatás reklámozásáért. Exploit developer: Biztonsági rést kihasználó kódot fejleszt Bot developer: Fejleszti vagy általában, módosítja a létező bot-okat.

Miért élnek meg a botnetek? ISP-k nem ellenőrzik/szűrik az ügyfeleket Nagy sávszélességgel rendelkező végfelhasználói gépek, különösebb védelem nélkül Cégek hibásan biztonságosnak tudják servereiket és hálózatukat NSPs/ISP nem ellenőrzik a rosszindulatú forgalmat, és nem lépnek fel elég agresszíven a spammerek ellen. Akik néha hónapokon, éveken át tevékenykedhetnek A hatalmi szerveknek nincs elég kapacitása, erőforrása a terhelő bizonyítékok begyűjtésére.

Botnet Kliensek Agobot/Phatbot/Forbot/XtremBot C++ ban írták, nyílt forrás, több tízezer sor Moduláris struktúra, megengedi a parancsok és letapogató képességek bővítését Perl Compatible Regular Expressions (PCRE) forgalomellenőrzéshez NTFS Alternate Data Stream (ADS) Offers Rootkit funkciók a rejtőzködéshez hibakeresők (Softice, OllyDbg), VMWare C&C protocol IRC helyett A megjelenése valamikor 2002 októberére tehető. Mára már valószínűsíthetően több ezer variánsa létezik a botnak. Egyik ágazat a Phatbot-ra keresztelt botnet, amely már igen fejlett, képes például P2P botnet létrehozására is, de ezen kívül számos más funkcióval is rendelkezik. Néhány ezek közül: IRC csatorna használata, rengeteg exploitot ismer, DoS támadások indítására is alkalmas, stb.

DSNX Bots C++ I/F pluginnal http://www.securityforest.com/wiki/index.php/Categor y:Maintaining_Access

Q8 Bots Nagyon rövid kód – 926 sor C-ben Linux/Unix –ra írva

Kaiten Ez egy linux alatt működő, számos opcióval rendelkező bot. Előnye, hogy mérete nagyon kicsi: néhány száz sorból áll. Hátránya, hogy csak IRC alapú kommunikációra képes Gyenge felhasználó hitelesítés – könnyű eltéríteni

SDBot/RBot/UrBot/URXBot A legaktívabb jelenleg C kód és nyílt forrás Népszerű a támadók körében Szintén az Agobot idejéből származik, de ez egy jóval egyszerűbb rendszer. Ennek is számos variánsa létezik (valószínűsíthetően több ezer). Az Agobottal ellentétben csak alapvető funkciókkal rendelkezik, de a számos patch-nek köszönhetően a funkciók kibővíthetőek. Az alapkód így csak párezer sor. mIRC-based Bots, GT-Bot GT = Global Threat és összefoglaló neve minden mIRC-szkriptű botnak Első megjelenése 1998-ra tehető, manapság ennek is számos variánsa létezik, melyeket Aristoteles néven is emlegetnek. A bot gyakran a mIRC kliensbe beleépítve található meg, vagy scriptként telepíthető a mirc.ini-be.

SpyBot

<3,000 soros C kód Talán az SDBot-ból fejlődött Hasonló parancs és vezérlő rész Nem ”rejtegeti” célját Variációk méretben, struktúrában, komplexitásban, implementációban Bot családok kiterjeszthető Az Agobot kezd dominánsá válni

Botnet Példa (Zunker) A PandaLabs a napokban egy érdekes bejegyzést készített a blogján: egy spamküldő botnet “kezelőfelületét” mutatják be. Országonkénti bontásban láthatjuk, hány számítógépet sikerült megfertőzniük, és milyen ütemben növekedik a botnet. több info: http://pandalabs.pandasecurity.com/archive/Zun ker.aspx

1. spam küldés 2. vírus letöltés

Vége

Storm Németh Norbert I7S8BP

Definíció / Név eredet ●

●

A Storm egy peer to peer botnet, amit a Storm worm-nek keresztelt trójain keresztül terjed. A Storm worm legismertebb nevei – – –

●

Peacomm (Symantec) Nuwar(Windows) Zhelatin(F-secure)

Nagy médiafigyelmet kapott, a gyors és hatékony terjedés miatt kapta a nevet

Történelem ● ● ●

● ● ●

2006-ban tűnt fel először 2007 elején a malwarek 8%-át tesz ki 2007 szeptemberében becslések szerint 1-50 millió fertőzött gép (később csak 85.000) – Elég, hogy egész országok internetelérését megzavarja – A legnagyobb szuperszámítógépeivel vetekedő számítási teljesítmény 2008 elején árháború a Nugache botnettel 2008 márciusa a spamek 20%-ért felelős 2008 októberében már csak néhány ezer fertőzött host

Siker okai ●

●

●

●

● ●

Lopakodik, általában nem okoz kárt a fertőzött hosztnak és nem emészti fel az erőforrásait. – A cél nem hírnév (Sasser), hanem profit Peer to Peer alapú működés, nincsenek kiiktatható központi szerverek A kártékony kód kb 30 percenként változik (más források szerint percenként) – A bináris újracsomagolása (repacking) Fast-flux hálózat – DNS rekordhoz tartozó címek gyors és folyamatos változtatása „Ellenséges” programok kiiktatása A bináris gyakran változik, lépést tart a védekezéssel

Terjedés ●

●

●

Gyakran aktualizált, social engineering sémákat alkalmazó e-mail-ek csatolmányaként vagy az azokban található link tölti le a kártékony kódot. – NFL, nemzeti ünnepek, TOR, ingyen játékok A kód gyakran változik, így az un. Signaturebased detektálása nehézkes. Próbálkoztak még – Youtube captcha hibáját kihasználva, célzott spam küldése Xbox tulajdonosoknak, hogy nyerhetnek Halo3 játékot – Greeting cards – Pdf – Republikánus párt oldalán keresztül is terjesztették

Fertőzés menete ●

Linkek megnyitásakor, specifikus browser esetén próbál csak fertőzni – – –

Http kérés USER-AGENT mezeje alapján dönt, hogy próbál-e fertőzni Amennyiben sebezhetőnek tűnik a browser, kb 8-10 különböző exploittal próbálkozik Ez az exploit kód tölti le és installálja a binárist (Mindkettő kb. percenként változik)

Fertőzés menete 2 ●

Egy host több lépésben fertőzödik meg, minden egyes rész a P2P hálózaton keresztül töltődik le – – – – – –

● ●

game0.exe game1.exe game2.exe game3.exe game4.exe game5.exe dropper

-

Backdoor/downloader SMTP relay Email address stealer Email virus spreader DDoS attack tool Updated copy of Storm Worm

A P2P komponens tartalmaz 100 peer-t Moduláris felépítés, cserélhető komponensekkel

Kommunikáció ●

P2P hálózat a parancsok továbbítására és a többi bot megtalálására – –

Kezdetben OVERNET (P2P DHT routing protokoll) Később minden OVERNET üzenetet XORolnak egy 40byte-os kulccsal. ● ●

A botnet szegmentálása Ebből arra következtettek, hogy eladják a botnet bizonyos részeit, amelyek egy kulccsal irányíthatóak

Kommunikáció 2 ●

●

Nem minden az OVERNET hálózatban megtalálható node tatozik a botnethez A botok speciális, naponta 32 különböző értékű MD4 hash-t hsználnak (ez azonosítana egy fájlt) –

●

A botnet gazdája ismeri ezt az értéket és a szabványos protokollt használva egy-egy fájl helyett parancsokat „oszt meg”

*.mpg;size=*; tartalomleírót tartalmaznak a fájlok – –

* helyén 16 bites számok állnak Ebből származtatja a bot az IP-t és portot, amelyen a Control-node-hoz csatlakozik

Védekezési mechanizmusok ●

●

Az AV szoftvereket nem terminálja, a belépési pontjukat patcheli, hogy 0-val térjenek vissza, mintha lefutottak volna. Több kutatót DDOS támadás alá vett a botnet, amikor vizsgálták azt –

●

Az nem derült ki, hogy automata, vagy az irányítók által indított támadások voltak-e

Egyetemi hálózatokon használt, fertőzött hostokat kereső szerverek ellen is támadsát indított a botnet –

UC San Diego

DDoS ●

●

A game4.exe (DDoS attack tool) felelős érte Elküldik neki az áldozat IP-jét és a támadás típusát, ami lehet – – –

TCP SYN flood ICMP PING flood Vagy mindkéttő egyszerre

Végrehajtott támadások ●

Anti spam/scam cégek – – – – –

419Eater Scamwarners Artists against 419 Spamnation Spamhaus ●

●

Az eredeti célpontok a konkurrens Warezov vírushoz kötődő oldalak voltak, a forgalom egy DNS rekord változtatással irányítódott a cég ellen

Kutató –

Joe Stewart

Trónkövetelők ●

Kraken – – –

A Storm négyszeresére becsülik Még jobban lopakodik Fortune 500 vállalatok 10%-ba bejutott ●

– ●

AV, IDS, IPS, firewall

Nem P2P, több különböző protokollon kommunikál

Srizbi – –

Mérete nem sokkal kisebb, mint a Kraken-é Ez sem P2P

BotTorrent BitTorrent használata DDoS támadásokhoz

Árki Gábor 2008 december 9

A biztonságos elektronikus kereskedelem alapjai Distributed Denial-of-Service attacks from botnets

Bevezetés • DDoS támadást nem csak botnetek segítségével lehet indítani • Léteznek egyszerűbb, trükkösebb módszerek is • Miért a BitTorrent? ▫ ▫ ▫ ▫

Architektúra Talán a legnépszerűbb p2p alkalmazás Az egész világon széles körben elterjedt kliensek Az Internet forgalmának nagy hányada

BitTorrent terminológia • Availability (elérhetőség): a torrent teljes másolatainak száma • Torrent fájl: hash információ a fájlról, a tracker címe • Peer (csomópont): egy csatlakozott felhasználó • Seed (megosztó): a teljes tartalommal rendelkező peer • Leech (letöltő): olyan peer, amely még nem rendelkezik minden fájldarabbal • Swarm (boly): együttesen az összes peer, ami megosztja a torrent fájlt • Tracker (nyomonkövető): A tracker egy központi szerver; közvetít a peerek között, statisztikát vezet

BitTorrent alapok • Tracker szerver ▫ A fájlmegosztást koordinálja a peerek között ▫ Statisztikákat készít ▫ Listát küld az elérhető peerekről

• A megosztandó fájlról készítünk egy torrent fájlt (benne hash és egyéb információk, tracker címe) • A torrent fájlt közzétesszük, beállunk seedelni a kliensünkkel • Mások letöltik a torrent fájlt, csatlakoznak a tracker szerverhez, onnan megkapva a peer listát pedig hozzánk

BitTorrent hálózat

Kihasználható sérülékenységek • Bárki létesíthet trackert • Bármilyen torrent fájl közzétehető • Lehetséges támadási formák:

▫ 1. Az áldozatot peerként hozzáadjuk a listához

x Hamis üzenetet küldünk a trackernek és hozzáadjuk a peert a bolyhoz x Vagy a kompromizálódott tracker hozzáadja az áldozatot a peerlistához

▫ 2. Az áldozatot trackerként adjuk meg

x Az áldozatot tracker szerverként adjuk meg a torrent fájlban

▫ 3. Az áldozatot peerként hozzáadjuk a DHT-hez

x Hamis üzenetben csatlakoztatjuk a peert a DHT-hoz

A sérülékenységek vizsgálata • Legegyszerűbb támadási forma az első változat

▫ Hamis üzenetet küldeni egyszerű, trackert manipulálni már valamivel bonyolultabb ▫ Nem olyan hatékony mint a második változat x A hamis üzenetek kiszűrhetők, ha a csomag forrás IP címe és a BitTorrent protokollban megadott cím különbözik (NAT esetén probléma lehet) x A peerek között egy BitTorrent handshake szükséges csatlakozáskor, az áldozatnál a „BitTorrent protocol” sztringet tartalmazó üzenetek könnyen felismerhetők

• A második támadási forma sokkal hatékonyabb

▫ A tracker fontos szerepet tölt be a BitTorrent működésében (peerek csatlakoztatása, letöltés irányítása) ▫ A peereknek rendszeres időközönként újra kell csatlakozniuk ▫ Peer és tracker között nincsen BitTorrent handshake, a peer nem ismeri fel hogy az áldozat nem is egy BitTorrent tracker

Támadás: az áldozat mint tracker • Létrehozzuk a torrent fájlt, trackerként megadjuk az áldozat címét

▫ Ebben a formában nem elég hatékony: mivel az áldozattól nem érkezik statisztika, ha nincsen le- és feltöltő, a torrent biztosan nem lesz népszerű

• Szerencsére a BitTorrent támogatja a multi-tracker funkciót ▫ A torrent fájlban több trackert is megadunk ▫ Első helyre működő egy működő tracker, utána az áldozat(ok) IP címe kerül ▫ Szükség lehet a tracker módosítására is

x Hamis statisztikát küldve, sok seedert és peert mutatva népszerűbb lesz a torrentünk x A frissítési intervallumot állítva növelhetjük a támadás sikerét

BitTorrent hálózat támadás közben

Kivitelezés a gyakorlat • University of California, 2007 • Választottak több népszerű torrentet • Létrehozták a torrent fájlt, benne egy saját módosított tracker címével, majd több IP:port bejegyzéssel (HTTP, FTP, SMTP, SSH és több zárt porton is tesztelve lett) • A peerek az első csatlakozott tracker válaszüzenetében kapják meg a frissítési intervallumot, ami alapján rendszeresen frissítik a státuszukat minden trackernél • A saját, módosított tracker sem bírta a terhelést a DDoS támadás miatt, de • a kliensek ezután még agresszívebben próbáltak csatlakozni egy működőképes trackert keresve • Az érdeklődés fenntartásához szükséges volt a torrent megfelelő minőségű seedelése is

Kísérletek I:

10 torrent; 1 nyitott, 10 zárt portra 25331 különböző host 753.93 TCP Conn/s, 62.77 Kbps (max 127.28 Kbps)

Kísérletek I: II:

10 torrent; 1 nyitott, 10 zárt portra 25331 különböző host 753.93 TCP Conn/s, 62.77 Kbps (max 127.28 Kbps) 25 torrent; 1 nyitott, 10 zárt portra 55127 különböző host 1400.74 TCP Conn/s, 137.78 Kbps (max 252.40 Kbps)

Kísérletek I: II: III:

10 torrent; 1 nyitott, 10 zárt portra 25331 különböző host 753.93 TCP Conn/s, 62.77 Kbps (max 127.28 Kbps) 25 torrent; 1 nyitott, 10 zárt portra 55127 különböző host 1400.74 TCP Conn/s, 137.78 Kbps (max 252.40 Kbps) 25 torrent; 1 nyitott, 501 zárt portra 86320 különböző host 1580.88 TCP Conn/s, 132.97 Kbps (max 538.38 Kbps)

Kísérletek I: II: III: IV:

10 torrent; 1 nyitott, 10 zárt portra 25331 különböző host 753.93 TCP Conn/s, 62.77 Kbps (max 127.28 Kbps) 25 torrent; 1 nyitott, 10 zárt portra 55127 különböző host 1400.74 TCP Conn/s, 137.78 Kbps (max 252.40 Kbps) 25 torrent; 1 nyitott, 501 zárt portra 86320 különböző host 1580.88 TCP Conn/s, 132.97 Kbps (max 538.38 Kbps) 25 torrent; 1 nyitott, 49 zárt port + peerlista alapú támadás 1 nyitott, 201 zárt portra 58046 különböző host 1440.17 TCP Conn/s, 176.69 Kbps (max 482.81 Kbps)

Eredmények

Eredmények

Eredmények

Eredmények értelmezése • 25 torrenttel 137-176 Kbps stabilan 2 napon keresztül • A csomagok 95%-a kisméretű TCP handshake volt (többségében a zárt portokra) • A zárt portok között egyenletesen oszlott el a forgalom • A hostok 20%-a generálta a forgalom 90%-át, de ez is 11500 hostot jelent • A hostok átlagosan 17 hop távolságra voltak, 90%-uk 20, 50 %-uk 16 hopon belül • A hostok 87%-a C osztályú, 12%-a B osztályú címmel rendelkezett nagy számú különböző hálózatból • A 4 kísérlet során jól látható a különböző támadások során a skálázódás

Megoldási javaslatok • Ha egy feltételezett tracker nem válaszol a várt BitTorrent üzenetekkel, a kliensnek feltételeznie kellene, hogy nem BitTorrent trackerről van szó ▫ Bizonyos számú kísérlet után ki kellene vennie a címet a tracker listáról ▫ Vagy egyre növekvő időintervallumokkal kezdhetne újracsatlakozási kísérletbe

• Webes torrent keresőknél

▫ Maximumot szabni a torrentben megadható trackerek számára ▫ Ellenőrizni a torrentben megadott trackerek elérhetőségét, a tartósan inaktív trackereket eltávolítani a listából ▫ Ezzel részben elvesznek a multi-tracker megoldás előnyei, de jelentősen csökkentik a támadások hatékonyságát

Megoldási javaslatok 2 • Ellenőrzött trackerek ▫ Nyilvános oldalakra csak elfogadott trackereket tartalmazó torrent fájlt lehessen feltölteni ▫ Vagy az oldal saját trackerére cserélje a fájlban megadottakat ▫ Így viszont elveszik a P2P jelenlegi szabadsága, a nyilvános oldalaknak pedig nagy kapacitású trackerekre lenne szüksége

• A támadás automatizálása ellen szükséges a torrentek feltöltésének szabályozása és ellenőrzése

Összegzés • A BitTorrent felhasználása DDoS támadásokra jelenleg (2007) nem ismert széles körben és nem elterjedt módszer DE • Ahogy nő a BitTorrent népszerűsége, nő a felhasználható „tűzerő” is, így egyre valószínűbb lesz egy ilyen jellegű támadás megvalósítása

Források • Karim El Defrawy, Minas Gjoka and Athina Markopoulou (University of California, Irvine), BotTorrent: Misusing BitTorrent to Launch DDoS Attacks • Jerome Harrington, Corey Kuwanoe, Cliff C. Zou (School of Electrical Engineering and Computer Science, University of Central Florida, Orlando), A BitTorrent-Driven Distributed Denial-ofService Attack • http://hu.wikipedia.org/wiki/BitTorrent

DDos mint politikai, társadalmi vagy vallási állásfoglalás

Tartalom z z z z z z

Clinton – Obama (blogger.com – Google) orosz – grúz konfliktus orosz – észt konfliktus Radio Free Europe / Radio Liberty ‘Anonymous’ – Scientológiai Egyház összefoglalás

orosz – észt konfliktus (2007) z

célpontok: számos észt állami szerver – – –

z

elnök hivatalos weboldala Külügyminisztérium oldala www.reform.ee (miniszterelnök pártjának oldala)

a támadások: – – – –

egyszerű ping nagy csomagokkal SYN & UDP flood botnetektől ismeretlen forrás szerint: „attacks came from a range of Russian government IP addresses” www.reform.ee defaced z z

"party apologises and promises to bring monument back to its location„ az észt parlament elnézést kér és megígéri, hogy visszahelyezteti a szobrot régi helyére

‘Anonymous’ – Scientology (2008-1) z z

a célpont: a Scientológiai Egyház weboldala a támadás: – – –

egyszerű DDoS a webes kiszolgálásért felelős szerverek ellen az Scientológiai Egyház webszervere a Prolexic védelme alá kerül (szűrőként bekerül egy gép a webszerver elé) téves információk alapján DDoS indul egy holland iskola ellen z

z

leírások szerint közvetlenül a webszervert akarták támadni, de rossz IP címhez jutottak…

háttér: –

Anonymous (Project Chanology) z z

egy kezdeményezés a Scientológiai Egyház internetes tevékenysége (cenzúrája) ellen „high-level hackers” –

z

DDoS eszközök készítése és publikálása IRC csatornán

„scriptkiddies” –

a kész eszközök szándékos használata

Radio Free Europe / Radio Liberty (2008-04) z

a célpont: Radio Free Europe – – – –

z

RFE/RL oldalak (Belarus, Kosovo, Azerbaijan, Tatar-Bashkir, Radio Farda, South Slavic, Russian, Tajik) charter97.org – angol nyelvű politikai híroldal Fehéroroszországban legis-group.ru – orosz nyelvű oldal compromat.net – orosz nyelvű híroldal

a támadás: – – –

nincsenek konkrét részletek a célpontokat túlterhelték (sávszélesség, sok request) egyes vélemények szerint a célpontok túlzott szólásszabadságot gyakoroltak, ami sértette néhányak érdekeit

Clinton – Obama (2008-07) z

az áldozat: blogger.com –

z

„tool for political debate and free expression”

a támadás: – – –

Obama-párti felhasználók spamnek jelölték a Clinton-párti blogokat Clinton-párti blogokat letiltotta a spam-szűrő nem botnet, egyszerű „kézi” PDDoS (Political (Distributed) Denial of Service)

orosz – grúz konfliktus I. (2008-07) z z

az áldozat: grúzia elnökének (Mikheil Saakhasvili) hivatalos weboldala a támadás: – – –

deface (slideshow Saakhasvili és Hitler nyílvános megjelenéseiről) DDoS támadás alatt az oldalt áthelyezik az USA-ba (Tulip Systems)

orosz – grúz konfliktus II/a (2008-10) z

az áldozat(ok): Grúz állami szerverek – – – –

z

központi kormányzati gépek Külügyminisztérium Védelmi Minisztérium (kereskedelmi weboldalak)

a támadás(ok): – –

az áldozatok DDoS támadás szenvedtek (elmondásuk szerint a támadás orosz ip-tartományból indult) A Külügyminisztérium a Google blogszolgáltatására költözik át z

“A cyber warfare campaign by Russia is seriously disrupting many Georgian websites, including that of the Ministry of Foreign Affairs.”

orosz – grúz konflitus II/b (2008-10) z z

áldozatok: híroldalak, hírportálok mindkét oldalon a támadás(ok): –

osinfo.ru defaced z

– – –

az Alania TV (konkurens hírcsatorna) weboldalának tartalmát szolgáltatja

osradio.ru deface civil.ge megírja a fenti két esetet Æ DDoS támadást szenved Æ Blogger account alá mozdul www.parliament.ge & president.gov.ge HTTP flood támadás alatt z

C&C (vezérlés) Törökországból (googlecomaolcomyahoocomaboutcom.net)

orosz – grúz konfliktus II/b (2008-10) z

a támadás részletesebben: –

célpontok (statikus) listájának nyilvánosságra hozatala Æ a támadásnak nincs „gyenge pontja” (középpontja) z

–

orosz fórumokon beszélgetés formájában

átlagfelhasználók ellátása egyszerű DoS eszközökkel z

nincs feltétlenül szükség saját erőforrások (botnet) használatára

orosz – grúz konfliktus II/b (2008-10) SQL injection-re érzékeny grúz oldalak listájának nyilvánosságra hozatala

z –

a fenti lista alapján automatikusan működő deface eszközök készítése (és használata)

visszaélés a nyilvánosan elérhető e-mailcímekkel

z –

(grúz) állami vezetők címei (spam, malware…)

az ellenfél kommunikációs csatornáinak megsemmisítése

z – –

legnépszerűbb grúz hackerfóruma folyamatos DDoS támadás alatt válasz: RIA Novosti (orosz) hírügynökség oldala nem elérhető

Észtország nem hivatalosan felajánlotta segítségét Grúziának

z –

a megindított támadássorozat nagyon hasonló forgatókönyvet követ, mint a 2007-es észt-orosz konfliktus

összefoglalás z

z

a hagyományos konfliktusok (politikai, társadalmi vagy épp vallási) természetes kiegészítőjévé vált néhány területen a „cyberwar” (deface, DDoS) a botnetek mellett szándékos használatra felhasználóbarát DDoS (és deface) eszközök is megjelennek –

–

az emberek érzékenyek a politikai/társadalmi/vallási kérdésekre, könnyen fanatizálhatók, bevonhatók egy-egy támadásba koordinálás fórumokon, IRC csatornán, nincs konkrét „botmaster”, a közösség irányítja önmagát vagy a célpontok bele vannak kódolva az eszközökbe

összefoglalás z z

nagyjából azonos forgatókönyv alapján történnek a dolgok (oroszgrúz konfliktus) mi sem maradtunk ki teljesen –

2004 október – Zafi.C féreg z

z

google.com, microsoft.com és miniszterelnok.hu ellen indított DoS támadást

problémák –

nehezen meghatározható támadó/felbujtó z z

–

ki vonható felelősségre egy amúgy is feszült helyzetben? z

–

tényleg Orosz állami IP-címekről indultak a támadások az orosz-észt konfliktus esetén? Nem lehet, hogy valaki a háttérben… Radio Free Europe, Radio Liberty – kinek és miért érdeke támadni őket? egy ország? egy egyén? egy politikai csoport?

hogyan számszerűsíthetőek a károk? z

pl. a Scientológiai Egyháznak (állításuk szerint) 70 ezer dollár kárt okozott az egy napos kiesés, az egyetlen vádlott egy tizenéves, aki 37,500 dollárt köteles fizetni és legfeljebb tíz év börtönre is számíthat

Védekezés DDoS támadások ellen Zsoldos Viktor 2008. december 9.

Amitől ez nem olyan könnyű Az ártó és a valós forgalmat nehéz megkülönböztetni ► A probléma nem az Ön készülékében van ►

2

Brute force ►

Black-holing vagy sinkholing ƒ Támadás esetén minden csomagot elterel egy feketelyukba (speciális router) ƒ A feketelyuk eldobja a csomagokat ƒ Erkölcsi győzelem…

►

Szelektív Black-holing ƒ Csak bizonyos forrás IP-ről/IP tartományból érkező csomagokat tereli el ƒ Tipikusan ismert spam/botnet tartományok 3

Router ►

A legtöbb routerben alapvető védelmi funkciók ƒ ƒ ƒ ƒ ƒ

►

FLOOD szűrés IP szűrés (de… spoofing) Ping szűrés „QoS” Log

Speciális eszközök, speciális routerekben (Cisco) ƒ ACL – Access Control List: „Finomhangolt IP-szűrés” ƒ CAR – Committed Access Rate: „Finomhangolt QoS”

►

(IDS) 4

5

DDoS mitigation ►

DDoS Mitigation – DDoS „mérséklés”: a kifejezést általában kereskedelmi forgalomban lévő DDoS védelmi megoldásokra használják ƒ Nem tökéletes megoldások ƒ False Positive és False Negative ƒ Szűk keresztmetszet lehet

►

Outsourcing

►

Dedikált eszközök

►

Overlay hálózat

ƒ A szolgáltatásra irányuló forgalmat elterelik egy DDoS védelemre kialakított architektúra felé ƒ A megszűrt forgalmat visszaterelik a szolgáltatásnak ƒ Számtalan termék

ƒ Hatékony, de drága ƒ Pl. SOS - Secure Overlay Services

6

7

Túlméretezés ►

A „legyegyszerűbb” eszköz

►

Sávszélesség

ƒ Költséges ƒ Több Gb/s támadásoknál lehet ez sem elég

ƒ ƒ ►

Fix On-Demand

Kiszolgáló eszköz

ƒ Saját redundáns eszközök ƒ Szolgáltatók közötti megállapodás 8

Nem az Ön készülékében… ► ►

Védekezünk, tervezgetünk… Pedig ez esetben nem a mi felelőtlenségünk

►

R.U.N.S.A.F.E. guidelines ƒ ƒ ƒ ƒ ƒ ƒ ƒ

Refuse to Run Unknown Programs Update Our Computers Regularly Nullify Unneeded Risks Safeguard Our Identity and Password Assure Sufficient Resources for Proper System Care Face Insecurity Everybody Needs to Do Their Part 9

Honeypot! A honeypot egy olyan biztonsági eszköz, amellyel észlelhetjük, megnehezíthetjük és analizálható formában rögzíthetjük az illetéktelen rendszer hozzáféréseket. A gyakorlatban ez annyit tesz, hogy a valódi szolgáltatások mellé biztonsági szempontból gyenge rendszerkomponensekből álló (de általunk tudatosan kontrollált) szolgáltatás(oka)t helyezünk, ami „mézesmadzagként” vonzza a támadásokat, ezzel eltávolítva a célkeresztet a valódi rendszerekről, illetve lehetővé téve a támadások biztonságos keretek közötti elemzését. ► ►

Első publikáció 1990 Első megvalósítás ~10 év múlva

11

Osztályozás ►

High-Interaction ƒ ƒ ƒ ƒ ƒ

►

Hétköznapi számítógépek, hálózati eszközök Legális adatforgalom nélkül Minden aktivitás gyanúsnak tekinthető Valós szolgáltatás, OS → valós támadások → valós kockázat Komplex üzemeltetés, több adminisztráció, nem skálázható

Low-Interaction ƒ ƒ ƒ ƒ ƒ

Látszólagos szolgáltatások Korlátozott interakció → szinte 0 kockázat Alapvetően statisztikai információkat szolgáltat Több 1000 szolgáltatás könnyedén Egyszerű üzemeltetés, és (újra) üzembe helyezés

► Fizikai ↔ Virtuális ► Kutatási ↔ Vállalati

12

Elhelyezés

13

Hogy jön ez ide? ►

Amire a honeypot képes ƒ EWS – Early Warning System ƒ Elterelés ƒ SPAM, vírusok ƒ Támadások elemzése ƒ Logok, statisztikák ƒ Zombie emulálás ►

További eszközökkel (snort, firewall, Honeywall) további információk nyerhetőek ki: IRC szerver 14 IP, port, jelszavak, nickname

Összefoglalás ►

Vannak eszközeink a védekezésre ƒ Drágák, olcsók, egyszerűek, bonyolultak, gyengék és hatékonyak ƒ De egyik sem tökéletes

►

Megoldás a globális biztonságtudat lenne ƒ R.U.N.S.A.F.E.

►

Ami segíthet a támadó fejével gondolkodni: Honeypot ƒ Drágák, olcsók, egyszerűek, bonyolultak, gyengék és hatékonyak ƒ Tesztelés, analizálás, statisztikák ƒ Mára már elterjedt biztonsági eszköz

15