[ Pobierz całość w formacie PDF ]

 ataki odmowy usÅ‚ug wciąż b¹dÄ… możliwe. Dobrze przygotowani decydenci zaaranżujÄ…
dobrze nagÅ‚oÅ›nione ataki na popularne cele, takie jak rzÄ…dy, najwi¹ksze firmy czy nie-
popularne osoby. SÄ…dzimy, że takie ataki stanÄ… si¹ kiedyÅ› w Internecie codziennoÅ›ciÄ….
8 n n
Pakiet IP musi mieć adres zródłowy, to pole nie jest opcjonalne. Napastnicy stosujący atak
DoS nie używają własnych adresów ani adresów szablonowych, gdyż mogą one pomóc
w ujawnieniu zródÅ‚a ataku lub co najmniej uÅ‚atwić identyfikacj¹ i odfiltrowanie takich
pakietów. Cz¹sto zamiast tego używajÄ… adresów zródÅ‚owych wybieranych losowo, dzi¹ki
czemu można łatwiej zmierzyć tempo ataków w skali całego Internetu.
Komputer atakowany pakietami DoS radzi sobie z obsÅ‚ugÄ… cz¹Å›ci z nich. WysyÅ‚a odpowie-
dzi pod sfałszowane adresy, co powoduje, że pakiety te są rozpylane po całej przestrzeni
adresowej Internetu. Można je wyłapywać teleskopem pakietów (ang. packet telescope),
programem monitorującym nadchodzący ruch w ogłaszanych, ale nieużywanych sieciach.
Z efektem tym zetkn¹liÅ›my si¹ w 1995 roku, gdy rozpocz¹liÅ›my rozgÅ‚aszanie, wtedy
nieużywanej, sieci AT&T 12.0.0.0/8 i rozpocz¹liÅ›my obserwowanie nadchodzÄ…cego
strumienia pakietów. W ciągu dnia odbieraliśmy z Internetu od 5 do 20 MB losowych
pakietów. Niektóre z nich wypÅ‚yn¹Å‚y z miejsc, które używaÅ‚y sieci 12 na swoje potrzeby
wewn¹trzne. Inne byÅ‚y wynikiem różnego rodzaju bÅ‚¹dów konfiguracyjnych. Jednak
najciekawsze pakiety pochodziły od komputerów poddawanych różnym atakom fałszo-
wania adresu nadawcy. Ludzie o niezbyt czystych intencjach wybrali sobie nieużywaną
sieć AT&T na zródło fałszowanych pakietów, może jako żart, a może po to, by wskazać
na  firm¹ telefonicznÄ… . To, co zobaczyliÅ›my, byÅ‚o nadchodzÄ…cym zewszÄ…d  krzykiem
umierających komputerów .
Temat ten rozwin¹li informatycy w pracy pod redakcjÄ… Moore a [2001]. Obserwowali
oni i analizowali ruch rozpraszania wstecznego (ang. backscatter) w celu zbadania rze-
czywistego globalnego tempa i celów ataków. Rzadko udaje si¹ zdobyć technik¹ dowodzÄ…cÄ…
powszechności ataków w skali globalnej. Poza zastosowaniami badawczymi, informacje
te mają wartość komercyjną, gdyż wiele firm monitoruje swoich klientów w poszuki-
waniu potencjalnych problemów, a teleskop pakietów jest świetnym detektorem wcześnie
wykrywajÄ…cym ataki typu DoS.
PosÅ‚ugujÄ…c si¹ sieciÄ… /8, wyÅ‚apaliÅ›my 1/256 losowo adresowanych pakietów w sieci.
Znacznie mniejsze sieci, czyli i mniejsze teleskopy, wciąż mogą dać dobry obraz tego
rodzaju ruchu  sieci /16 są z pewnością dostatecznie duże. Z wyliczeń wynika, że sieć
/28 (zawierająca 16 komputerów) otrzymuje dziennie około sześciu tego typu pakietów.
Oczywiście, technika ta powoduje dalszy wyścig zbrojeń. Napastnicy mogą zacząć
przestać używać adresów nadzorowanych sieci. Jednak gdy teleskopy pakietów zostaną
umieszczone w różnych losowo wybranych maÅ‚ych sieciach, może być ci¹żko ujść uwadze
sieciowych astronomów.
160 Część II Zagrożenia
Programy zombi wykorzystywane do ataków DDoS to tylko wierzchołek góry lodowej.
Wielu hakerów skonstruowało roboty sieciowe (ang. botnets, od bots  robots  roboty),
czyli grupy botów, zombi, itp., które wykorzystują do swoich nieuczciwych poczynań.
Najbardziej znanym jest naturalnie, opisany wcześniej, atak DDoS. Botnety są również
używane do rozproszonego wyszukiwania słabych miejsc. Dlaczego wykorzystywać do
tego celu swój komputer, skoro można wykorzystać setki komputerów innych osób?
Marcus Leech snuł domysły na temat wykorzystania robaków do łamania haseł lub roz-
proszonego rozszyfrowywania [Leech, 2002] internetowej wersji Chińskiej Loterii
[Quisquater i Desmedt, 1991]. Kto wie, czy takie rzeczy już nie mają miejsca?
Botnety tworzone są za pomocą tradycyjnych środków: koni trojańskich, a w szczegól-
noÅ›ci robaków. Jak na ironi¹, jednym z popularniejszych koni trojaÅ„skich jest kon-
struktor robotów. Osoba, która go używa, myśli, że buduje własną sieć botów, a tak na
prawd¹ jej bot (i jej komputer) staje si¹ cz¹Å›ciÄ… czyjegoÅ› botnetu.
Wykorzystywanie robaków do budowy botnetów  jednym z tego przykładów5 jest
slapper  może być ryzykowne z powodu potencjalnej możliwości lawinowego ich
rozprzestrzeniania si¹ [Staniford et al., 2002]. Niektóre robaki nawet poszukujÄ… innych,
zainstalowanych wcześniej robaków oraz przejmują boty należące do kogoś innego.
Program główny porozumiewa si¹ z robotami na wiele różnych sposobów. Jednym z fa-
woryzowanych sposobów komunikacji są kanały IRC, już przystosowane do masowej
komunikacji. Nie trzeba zatem tworzyć dodatkowej infrastruktury komunikacyjnej. Po-
lecenia są oczywiście zaszyfrowane. Wśród poleceń są też takie, które każą robotowi
uaktualnić swój kod. W końcu jaką korzyść przynoszą nieaktualne roboty?
0 A n
W literaturze kryptograficznej opisywane są dwa rodzaje napastników. Pierwszy jest
przeciwnikiem pasywnym, podsÅ‚uchujÄ…cym caÅ‚Ä… komunikacj¹ sieciowÄ…, a jego zadanie
polega na zebraniu tak wielu tajnych informacji, jak to możliwe. Drugi jest aktywnym
intruzem, który wedle własnego uznania zmienia treść komunikatów, umieszcza w stru-
mieniach danych swoje własne pakiety lub usuwa komunikaty. Wiele z prac teoretycznych
bazuje na modelu systemu w postaci sieci gwiazdzistej z napastnikiem w jej środku.
W takim modelu każdy komunikat (pakiet) w¹druje do napastnika, który może go od-
notować, zmodyfikować, powielić, porzucić, itd. Napastnik może też tworzyć komuni-
katy i wysyłać je tak, by wyglądały, że pochodzą od kogoś innego.
Napastnik musi si¹ ulokować w sieci mi¹dzy komunikujÄ…cymi si¹ ofiarami w ten sposób,
by mógł obserwować przechodzące pakiety. Pierwszy publicznie opisany aktywny atak na
protokół TCP, który opieraÅ‚ si¹ na odgadywaniu numeru sekwencyjnego, zostaÅ‚ opisany
w 1985 roku przez Morrisa [1985]. W tamtych czasach ataki te były interesujące z teore-
tycznego punktu widzenia, dziś istnieją programy, które przeprowadzają takie ataki au-
tomatycznie. Programy, takie jak Hunt, Juggernaut czy IP-Watcher, służą do przechwy-
tywania połączeń TCP.
5
CERT Advisory CA-2002-27 z 14 września 2002  przyp. aut.
Rozdział 5. Klasy ataków 161
Niektóre ataki aktywne muszÄ… pozbawić komunikacji jednÄ… z upoważnionych stron (cz¹sto
za pomocÄ… ataku odmowy usÅ‚ug) i podawać si¹ za niÄ… drugiej stronie. Aktywny atak na
obie strony istniejącego połączenia TCP jest trudniejszy, ale również został już wykonany
[Joncheray, 1995]. Powodem tego utrudnienia jest to, że obie strony połączenia TCP [ Pobierz całość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • razem.keep.pl