DDoS napadi – jednostavna metodologija s pogubnim posljedicama

Kako ubiti internet?

Informacijski sustavi u cijelom svijetu pa i kod nas svakodnevno su izloženi DDoS napadima. Najčešći takvi napadi su automatsko skeniranje i pokušaji da se naruši raspoloživost servisa po principu ako-prođe-prođe.

PIŠE BRANIMIR LAMBAŠA

Bio je to dan kad je umalo slomljen internet. U ponedjeljak, 18. ožujka 2013. Spamhouse je kontaktirao tvrtku CloudFlare zbog golemog prometa koji se slijevao prema njihovim poslužiteljima. Spamhouse se inače bavi borbom protiv spama koji prema najnovijim istraživanjima čini preko 90 % ukupnog e-mail prometa, dok je misija tvrtke CloudFlare hostanje zahtjevnih internetskih servisa i pružanje usluga za njihovu informacijsku sigurnost.
Spamhouse je vrlo brzo kod CloudFlarea kreirao korisnički račun te se promet počeo preusmjeravati preko njihovih poslužitelja. Inicijalno, prema Spamhouse servisima je bilo usmjereno oko 10 Gbps koji su većinom dolazili od otvorenih DNS rekurzora. Iako je Spamhouse preusmjerio svoj promet preko mnogo veće i robusnije CloudFlareove mreže, promet se i dalje povećavao sljedećih dana. Tijekom 19. ožujka bio je 90 Gbps, a 22. ožujka dosegnut je vrhunac -120 Gbps.
Uočivši da se promet koji ide prema Spamhouseu uspješno distribuira preko drugih centara i napadači su promijenili taktiku tako da su svoje napade usmjerili i na njih. Tako je meta postao i ClaudFlare i tvrtke od kojih kupuje bandwith. Priča je konačno završena nakon nekoliko dana kada su napadi prekinuti, a količina prometa vratila se u normalno stanje. Iako je to bio dotad najveći ovakav napad meta je ipak obranjena relativno uspješno.
Mada nije vezana uz temu ovog članka kojim želimo objasniti kako funkcioniraju DDoS napadi zanimljiva je i pozadina priče o tom napadu i tko stoji iza njega. Spamhouse distribuira black liste IP adresa i poslužitelja koji distribuiraju i šalju spam-poruke. Baš jedan od takvih sumnjiči se i za napad na Spamhouse. Nizozemska web-hosting tvrtka Cyberbunker pruža usluge hostanja svega što nije vezano za dječju pornografiju i terorizam - po modelu no questions asked. Zato su postali zanimljivi profesionalnim spamerima koji su počeli koristiti njihove usluge. Nakon nekog vremena Spamhouse je uočio da sa Cyberbunker poslužitelja na regularnoj bazi dolazi velika količina spamova te ih je blokirao. Onda je uslijedila odmazda u obliku opisanog DDoS napada.

Štićenu informaciju obilježava povjerljivost, cjelovitost i dostupnost (CIA - Confidentiality, Integrity, Availability), a DoS napadi izravno narušuju načelo dostupnosti

Što je DDoS napad

DoS napad je engleski akronim za Denial of Service odnosno uskraćivanje usluge. Okarakteriziran je samim nazivom - legitimnom korisniku je uskraćen pristup odnosno korištenje servisa ili usluge. Teorija o informacijskoj sigurnosti govori o tri glavna stupa ili načela koja označavaju štićenu informaciju - povjerljivost, cjelovitost i dostupnost (CIA - Confidentiality, Integrity, Availability). DoS napadi izravno utječu na to treće - dostupnost. Ta vrst napada može se najjednostavnije objasniti usporedbom s prometnom gužvom - svaka prometnica ima svoj kapacitet. Znači, u jednom trenutku njom se može kretati određeni broj vozila. Kad se taj broj premaši promet se jednostavno zaustavlja i svi automobili stoje ili se kreću metar-po-metar.
Baš kao prometnice i elementi u računalno-komunikacijskoj infrastrukturi imaju svoja ograničenja. Iako je redundancija obvezan pojam pri uspostavi bilo kojeg informacijskog sustava, resursi su u konačnici ipak limitirani. Količina prometa koju može prenijeti komunikacijski link, broj konekcija na poslužitelju u određenom vremenu ili broj operacija koje može obaviti procesor neki su od parametara koji definiraju resurse elemenata informacijskog sustava. Iako tehnologija ubrzano napreduje povećavanjem tih parametara za cijeli red veličine u samo nekoliko mjeseci ili godina, resursi u danom trenutku dosegnu svoj limit - a kad ga dosegnu usluga postaje nedostupna.
Dakako, to čini elemente informacijskog sustava ranjivima, a svaka se ranjivost može iskoristiti. I tu počinje priča o Denial of Service ili DoS napadima.



Grafički prikaz rasta dolaznog prometa uslijed DDoS napada (CloudFlare.com)

Igre bez granica
Napad koji je privukao pažnju cijelog svijeta jer je uskratio servis mnoštvu ljudi i uzrokovao golemu financijsku štetu pokrenuo je i izveo petnaestogodišnjak alatom koji je pronašao na internetu. To dokazuje da su napadi dostupni više-manje svima koji imaju priključak na internet, bez potrebe za velikim znanjem i infrastrukturom. Drugi aspekt napada je utjecaj na poslovanje jer se kompanijama mogu nanijeti velike štete. Višemilijunski gubici (u dolarima) koje su pretrpjele neke od najvećih svjetskih kompanija ukazuju na moć uspješno izvedenog DDoS napada.
Samo godinu dana nakon napada, u glavnom estonskom gradu Tallinu NATO je osnovao Cooperative Cyber Defense Center of Excellence (CCD COE) zadužen za istraživanje odgovara na cyber napade i utvrđivanje protokola za obranu od njih. Lociranje tako vrhunskog centra praktički na samoj granici s Rusijom pokazuje da cyber-ratovanje polako preuzima primat i značaj nad konvencionalnim metodama.

Početak

Prvi službeno zabilježeni DoS napad odigrao se krajem osamdesetih kad su se pojavile prve ping-poplave. Maliciozni programi slali bi legitiman ICMP zahtjev prema meti na koji bi ona odgovarala. Ako su se zahtjevi ponavljali velikom brzinom i u beskonačnoj petlji, meta ne bi stigla dovoljno brzo odgovoriti na sve njih. Trošila je svoje interne resurse i u jednom trenu jednostavno je došlo do zasićenja i uskraćenja usluge jer meta više nije mogla odgovarati ni na zahtjeve legitimnih korisnika.
Ozbiljan napredak u razvoju takvih napada dogodio se kad su napadači shvatili da su znatno efikasniji ako napadaju metu istodobno s nekoliko računala. Tako je nastao DDoS (Distributed Denial of Service) napad kad u istom trenutku veći broj računala šalje prema meti legitimne zahtjeve. Kod običnog DoS napada meta se mogla obraniti tako da ne propušta upite s napadačeva računala, no kod DDoS napada to više nije moguće napraviti na jednostavan način.
U početku su DDoS napadi inicirani s nekoliko računala udruženih napadača koji bi obasipali metu zahtjevima i brzo potrošili njene resurse. Međutim, onda su se pojavile i brzo proširile botnet mreže zaraženih zombi-računala. Putem raznih zloćudnih kodova, napadači su širili mrežu korisničkih računala pod svojom kontrolom kojima je moguće upravljati s jednog mjesta (C&C poslužitelji). Tako su došli do vojske računala koja sama nemaju značajne računalne performanse, ali ujedinjena i upravljana s jednog mjesta čine moćan informacijski sustav. Za bolje razumijevanje razmjera takvih napada Symantec je krajem prošle godine objavio da je uspješno eliminirao dio botnet mreže koju je činilo gotovo dva milijuna računala.

Objava Twittera o tehničkim poteškoćama Selffie (Twitter)

Tijekom devedesetih DDoS­ napadi postali su uobičajena pojava, a onda se dogodio se jedan od poznatijih - 7. veljače 2000. godine, petnaestogodišnjak iz Quebeca poznat kao Mafiaboy, lansirao je niz DDoS napada prema nekim najvećim svjetskim IT kompanijama. Njegov projekt Rivolta cijeli je tjedan stvarao probleme Yahoou, Amazonu, Dellu, eBayu i CNN-u. Yahoo koji je tada vrijedio nekoliko milijardi dolara i bazira se isključivo na online poslovanju bio je nedostupan puni sat vremena. Slučaj je značajan s dva aspekta - napad koji je privukao pažnju cijelog svijeta onemogućio je servis milijunima ljudi i uzrokovao golemu financijsku štetu.

Estonski poučak

Estonija je mala zemlja na obali Baltičkog mora koja je do raspada Sovjetskog Saveza bila u njegovu sastavu. Za ovu priču još je bitno da u Estoniji žive brojni pripadnici ruske nacionalne manjine, a 2007. godine smatrana je najumreženijom državom u Europi. Čak 96 % bankarskih transakcija obavlja se online, a 60 % stanovništva koristi svakodnevno internetske servise. Estonija je uistinu bila i ostala pozitivan primjer kako se informacijsko-komunikacijske tehnologije mogu učinkovito iskoristiti na dobrobit građana. No, estonski primjer pokazuje kako ono vrijedno što imamo često predstavlja i najveću ranjivost.

DDoS je napad kad brojna računala u istom trenutku šalju prema meti legitimne zahtjeve. Kod običnog DoS napada meta se mogla obraniti ne propuštajući upite s napadačeva računala, no kod DDoS napada to je mnogo složenije.

Svoju burnu i često neugodnu povijest s Rusijom, estonski su političari odlučili još jednom razjasniti odlukom da premjeste spomenik sovjetskog vojnika iz središta Tallina na lokalno groblje. Jasno je kako je takav čin ocijenila značajna ruska manjina u Estoniji.
Cyber-napad je započeo 26. travnja 2007. u deset sati navečer. Tijekom prva dvadeset i četiri sata prošao je više-manje nezamijećen, a otkriven je u trenutku kad je estonski ministar obrane uočio da se ne može ulogirati na web-stranicu svoje političke stranke. Prve mete napada bile su upravo web-stranice estonskih političkih stranaka, a nakon toga se proširio na web-stranice estonske vlade i parlamenta. Prvih tjedan dana sve te stranice bile su potpuno nedostupne, a već sljedećeg tjedna popis meta se proširio na najvažnije estonske medije i intenzitet se značajno povećao. Već prve analize prometa pokazale su da najveći promet stiže s računala koja nisu locirana u Estoniji. Logična obrana od takve vrste napada bilo je blokiranje dolaznog prometa iz inozemstva. Time su sve estonske stranice koje su se odlučile na takav potez postale nedostupne korisnicima izvan Estonije. Intenzivni napadi trajali su puna dva tjedna. Najjači napad Estonija je doživjela 9. svibnja, na godišnjicu završetka Drugoga svjetskog rata, točno u ponoć kad je pojurilo više od četiri milijuna paketa u sekundi. Glavne mete bile su estonske banke i financijski sektor. Već drugi dan najveća estonska banka Hansabank morala je obustaviti online poslovanje. Zemlja u kojoj se 96 % transakcija obavlja online ostala je bez te usluge, nisu radili bankomati, estonske kreditne kartice nisu se mogle koristiti nigdje u svijetu... Prije nego što su 19. svibnja napadi konačno obustavljeni srušeno je na stotine servisa i web-stranica. U jednom trenutku vlada je odlučila blokirati sav promet iz inozemstva tako da je Estonija bila komunikacijski potpuno izolirana.
Nikad se nije saznalo tko je stajao iza tog napada iako su estonske vlasti odmah optužile rusku vladu koja je to žurno negirala. Unatoč tomu što organizator nije otkriven, naknadne analize pokazale su da su u napadu sudjelovali hakeri aktivisti i mnogo takozvanih script kidsa, osoba ograničenog znanja koje žele sudjelovati u takvim akcijama. Tijekom napada na brojnim su se ruskim forumima pojavile upute kako jednostavno lansirati DoS napad s vlastitog računala što su mnogi i prihvatili.
Za cyber-napad na Estoniju iskorišten je isključivo DoS i to je slučaj bez presedana. Koliko je značajan taj događaj i kakvu prijetnju predstavljaju cyber-napadi pokazuje i činjenica da je NATO samo godinu dana nakon napada osnovao u Tallinu CCD COE (Cooperative Cyber Defence Center of Excellence) zadužen za istraživanje odgovora na cyber-napade i utvrđivanje protokola za obranu.



Prikaz napada korištenjem lažiranih IP adresa (CloudFlare.com)

Kako generirati 100 Gbps prometa?

Nizozemska tvrtka Cyberbunker pruža usluge hostanja svega što nije vezano uz dječju pornografiju i terorizam - po modelu no questions asked i time je postala zanimljiva profesionalnim spamerima

Uhvatimo se malo matematike. Napad od primjerice ­­65 Gbps pripadao bi skupini od 5% najvećih DDoS napada. Toliki promet nije moguće generirati samo s jednog računala. Jedan od načina da se uspješno izvede je ­botnet mreža. Lansiranje 65 Gbps napada zahtijevalo bi ­botnet od 65.000 računala od kojih svako može generirati upstream promet od 1Mbps.
Uzmemo li u obzir da su brojna zombi-računala u botnetu locirana u zemljama gdje ne postoji brzi pristup internetu te da sva nisu istodobno online, botnet mreža potrebna za takav napad morala bi biti i deset puta veća što znači da treba iznajmiti neki golemi botnet. Zbog toga napadači traže tehnike za pojačanje prometa, a jedna od njih - primijenjena pri napadu na Spamhouse - je DNS reflection. Evo o čemu je riječ - kad se prvi put spojite na internet vaš ISP vam dodjeljuje DNS poslužitelja odnosno DNS rezolver. Kad kliknete na neki link vaše računalo šalje upit prema DNS rezolveru i traži IP adresu poslužitelja domene u linku. Ako vaš DNS rezolver već ima spremljen odgovor dobit ćete ga odmah, a ako nema proslijedit će upit DNS rezolveru zaduženom za tu domenu. Obično DNS rezolveri određenog ISP-a odgovaraju isključivo na upite računala iz njegove mreže.
Nažalost, mnogi su DNS poslužitelji pogrešno konfigurirani pa odgovaraju na sve upite neovisno o tomu otkud dolaze, a napadači su baš te servere prepoznali kao idealan alat za DDoS napade. DNS upiti koje obrađuju DNS rezolveri šalju se UDP protokolom, što znači da napadač može mijenjati (lažirati) dolaznu IP adresu. Navede li napadač kao dolaznu IP adresu adresu mete DNS rezolver će svoj odgovor usmjeriti na tu adresu. Uputi li napadač prema DNS poslužitelju upit od 64 bajta, poslužitelj će poslati odgovor duljine 3223 bajta pri čemu je stupanj pojačanja 50 puta. Znači, napadač je našao način kako svoj odlazni promet može krajnje jednostavno povećati 50 puta i usmjeriti ga prema meti. Baš to se dogodilo pri napadu na Spamhouse, kad su napadači prvi put iskoristili tu tehniku u većim razmjerima i generirali dotad neviđen promet koji poslužitelji mete jednostavno nisu mogli obraditi.
Metoda DNS pojačanja bila je hit prošle godine, a već početkom ove objavljeni su članci o novoj još razornijoj metodi gdje se umjesto DNS rezolvera koristi NTP protokol (Network Time Protocol) preko kojega računala dobivaju informaciju o točnom vremenu. Protokol koristi i UDP pa se mogu lažirati i dolazne IP adrese. Kao i kod DNS pojačanja, napadači svoj odlazni upit pretvaraju u odgovor koji dolazi na adresu mete, no ovaj put s pojačanjem od čak 206 puta.
Postoji još jedna vrsta DoS napada, novija i opasnija za današnje informacijske sustave. Slow DoS napad zasniva se na značajki da HTTP protokol očekuje cjelokupno zaglavlje zahtjeva prije negoli počne generirati odgovor. Napadač može kreirati takav HTTP zahtjev da ga poslužitelj nikad ne primi dokraja pa čekajući nastavak zadržava resurse i ne može odgovoriti na ostale legitimne zahtjeve. Za slow DoS napad nisu potrebni veliki resursi kao kod opisanih vrsta napada već jedan jedini upit poslan s jednog računala.

DoS napadi u Hrvatskoj

I informacijski sustavi u Hrvatskoj svakodnevno su izloženi DDoS napadima. To su većinom automatska skeniranja i pokušaji da se naruši raspoloživost servisa po principu ako-prođe-prođe. Ipak, neki napadi i njihove najave mogu se smatrati ciljanima, a mete su najčešće birane iz aktivističko-političkih razloga. Jedan od značajnijih odigrao se 3. prosinca 2008. kad su počeli napadi na portal Index.hr. Potrajali su nekoliko dana, a Index.hr većinu je vremena bio nedostupan. Na hakerskim se forumima u okviru globalnih akcija često najavljuju napadi na bankarski sektor i vladine institucije. Veliki su napadi najavljeni u danima prije ulaska Hrvatske u Europsku uniju. Iako nikad nisu potvrđeni, nagađa se da ih je bilo, ali da su uspješno izbjegnuti. Posljednjih godina sve je više uređaja specijaliziranih za antiDDoS djelovanje odnosno za mitigaciju DDoS napada. Takvi uređaji najčešće prepoznaju uzorke prometa koji potječe od DDoS napada ili preusmjeruju maliciozni promet preko drugih data-centara kako bi rasteretili metu. Brojne hrvatske tvrtke zastupnici su proizvođača antiDDoS uređaja pa se pretpostavlja da su vlasnici najosjetljivijih informacijskih sustava takve uređaje već integrirali u svoje data-centre.

Crne prognoze

Prema posljednjim istraživanjima DDoS napadi su treća po redu maliciozna aktivnost čiji je cilj kompromitacija povjerljivosti, raspoloživosti i cjelovitosti informacija. Svi opisani primjeri odnose se na kompromitaciju informacijskih sustava koji nisu nužno vezani za osnovne ljudske potrebe. Živimo u visoko informatiziranom svijetu gdje se neke stvari koje uzimamo zdravo za gotovo kao što je opskrba energijom, vodom i slično uvelike oslanjaju na informacijske sustave. Napad i zaustavljanje takvog informacijskog sustava značajno bi utjecalo na svakodnevni život građana koji bi bio drastično narušen. Baš zbog toga DDoS napadi su jedno od najopasnijih oružja u sferi cyber-ratovanja što se sve češće spominje kao platforma budućih svjetskih sukoba.

Kako nenamjerno pokrenuti
DDoS napad

Malo prije isteka roka za predaju ovog članka dogodio se još jedan DDoS napad koji je brzo obišao planet i primijetili su ga mnogi. Na kraju ovogodišnje dodjele Oscara voditeljica priredbe Ellen Degeneres snimila je selfie na kojem je desetak najpopularnijih glumaca današnjice. Fotografiju je odmah postavila na Twitter i stvar se zakotrljala - slika je ubrzo postala najtvitanija objava u povijesti narušivši dostupnost Twitter poslužitelja koji neko vrijeme nisu bili dostupni svim korisnicima. U usporedbi s ozbiljnim napadačima i metodama opisanim u ovom članku, Ellen Degeneres je nenamjerno pokrenula mnogo jednostavniji napadački mehanizam.