Szolgáltatásmegtagadással járó támadás

A szolgáltatásmegtagadással járó támadás (angolul denial-of-service vagy DoS), közismert nevén túlterheléses támadás, valamint annak elosztott változata, az elosztott szolgáltatásmegtagadással járó támadás (distributed denial-of-service, DDoS) egy olyan informatikai támadási forma, amelynek célja egy adott online szolgáltatás teljes vagy részleges megbénítása, annak rendeltetésszerű működésétől való eltérítése révén.

A „DoS” című lap ide irányít át. Hasonló címmel lásd még: DOS.

A szolgáltatásmegtagadásos támadások egy célpontként kiválasztott rendszer ismert sebezhetőségeit, vagy egy adott hálózati protokoll sajátosságait használják ki. A támadás elsődleges célja, hogy a legitim felhasználók számára megakadályozza a hozzáférést a számukra fontos információkhoz, a célba vett számítógéphez vagy a teljes számítógép-hálózathoz. A támadás következtében a megtámadott rendszer erőforrásai (például sávszélesség, processzoridő, memória) kimerülnek, ami a szolgáltatás drasztikus lelassulásához, elérhetetlenné válásához, súlyosabb esetekben pedig a rendszer teljes összeomlásához vezethet. A támadásoknak több típusa létezik, melyek a hálózati verem különböző rétegeit célozhatják, a sávszélességet felemésztő volumetrikus támadásoktól kezdve a szerveralkalmazások logikáját kihasználó, alacsonyabb forgalmú, de annál kifinomultabb alkalmazásréteg-támadásokig.

SYN flooding támadás

SYN flooding támadás

Bővebben: SYN flood

A SYN flooding, vagy magyarul SYN-áradat, egy klasszikus protokollalapú DoS támadás, amely a TCP protokoll alapvető működési mechanizmusát, a háromfázisú kézfogást (three-way handshake) használja ki. Mielőtt egy kliens kapcsolatot létesítene egy szerverrel, a szervernek egy hálózati portot kell lefoglalnia a kommunikációhoz és figyelő (listening) állapotba kell helyeznie azt. Ezt a folyamatot passzív portnyitásnak nevezzük. Amint a szerver készen áll a kapcsolatok fogadására, a kliens kezdeményezheti az aktív portnyitást, amely a háromfázisú kézfogás folyamatával valósul meg.

1. SYN: A folyamat azzal kezdődik, hogy a kliens egy SYN (Synchronize) csomagot küld a szervernek. Ebben a csomagban a kliens beállít egy kezdő sorszámot (sequence number), ami egy véletlenszerűen generált érték, jelöljük ezt A-val. Ezzel jelzi kapcsolódási szándékát.
2. SYN-ACK: A szerver, miután fogadta a SYN csomagot, lefoglal bizonyos erőforrásokat a leendő kapcsolat számára (ezt nevezik félig nyitott kapcsolatnak), majd válaszul egy SYN-ACK (Synchronize-Acknowledgement) csomagot küld vissza. Ebben a nyugtázási számot (acknowledgement number) a klienstől kapott sorszám plusz egyre állítja (A+1), miközben a saját sorszámaként egy másik, szintén véletlenszerűen generált értéket választ (jelöljük B-vel).
3. ACK: Végül a kliens egy ACK (Acknowledgement) csomaggal nyugtázza a szerver válaszát. Ennek a csomagnak a sorszáma a korábban kapott nyugtázási érték lesz (A+1), a nyugtázási száma pedig a szervertől kapott sorszám eggyel megnövelt értéke (B+1).

Amikor a szerver megkapja ezt az ACK csomagot, a kapcsolat véglegesen létrejön, és megkezdődhet az adatcsere.

A SYN flooding támadás során a támadó nagy mennyiségű SYN kérést küld a célszerver felé, azonban ezeket hamisított, nem létező vagy elérhetetlen forrás IP-címekről indítja. A szerver a protokollnak megfelelően minden egyes SYN kérésre válaszol egy SYN-ACK csomaggal, és lefoglalja az erőforrásokat a félig nyitott kapcsolat számára. Ezt követően várja a harmadik lépést, a kliens ACK nyugtáját. Mivel a forrás IP-címek hamisítottak, a várt ACK csomag soha nem érkezik meg. A szerver egy ideig várakozik (ezt az időtúllépést a rendszer konfigurációja határozza meg), mielőtt felszabadítaná a lefoglalt erőforrásokat. A támadás lényege, hogy annyi hamisított SYN kérést zúdít a szerverre, hogy annak minden erőforrása (például a kapcsolati táblája) betelik a félig nyitott kapcsolatokra való várakozással. Ennek eredményeként a szerver nem tud új, legitim kapcsolódási kéréseket fogadni, így a szolgáltatás elérhetetlenné válik a valós felhasználók számára.

POD (Ping of death) támadás

A Ping of Death (POD), azaz a „halál pingje” támadás egy mára már történelminek számító DoS-típus, amely az IP-protokoll csomagfragmentációs mechanizmusának egy korai implementációs hibáját használta ki. A támadás lényege, hogy a támadó egy olyan ICMP (Internet Control Message Protocol) ping csomagot küld a célgépre, amelynek teljes mérete meghaladja a szabvány által megengedett maximumot.

Az RFC 791 szabvány szerint egy IPv4 csomag maximális mérete, beleértve az IP-fejlécet is, 65 535 (2¹⁶ – 1) bájt. Ez a korlátozás az IP-fejlécben található, a csomag teljes hosszát leíró 16 bites mező méretéből adódik. A Ping of Death támadás során a támadó egy ennél nagyobb, illegális méretű csomagot küld, amit azonban fragmentumokra (töredékekre) bontva továbbít. A célállomás hálózati alrendszere fogadja ezeket a fragmentumokat, és megpróbálja összeilleszteni őket az eredeti csomaggá. Mivel a végeredményként kapott csomag mérete túllépi a megengedett maximális értéket, a legtöbb korabeli operációs rendszer hálózati vereme nem tudta ezt a helyzetet kezelni. A puffer-túlcsordulás miatt a rendszer instabillá válhatott, ami a működés komoly akadozásához (például szaggató egérmozgás), vagy legrosszabb esetben a rendszer teljes összeomlásához vezetett. Ez Windows rendszereken kék halált, Unix/Linux/BSD alapú rendszereken pedig kernelpánikot okozhatott.

Napjaink modern operációs rendszerei már évtizedek óta védettek az ilyen típusú támadásokkal szemben, a hálózati implementációk megfelelően ellenőrzik a beérkező fragmentumokból összeállított csomagok méretét. Ennek ellenére a csomagfragmentáción alapuló támadások (pl. Teardrop) elvétve még ma is előfordulhatnak, amelyek nem a méretet, hanem a fragmentumok helytelen átfedését használják ki. A szerverek biztonságának növelése érdekében bevett gyakorlatnak számít a tűzfalak olyan konfigurálása, hogy azok ne válaszoljanak a külső hálózatról érkező ICMP kérésekre (pingekre), ezzel is csökkentve a potenciális támadási felületet.

DoS / DDoS

A DoS és DDoS támadások közötti alapvető különbség a támadásban részt vevő gépek számában rejlik. Az egyszerű DoS támadás egyetlen forrásból indul, ahol egy jellemzően nagy kapacitású támadó állomás próbálja túlterhelni a célpontot. Ezzel szemben a DDoS egy sokkal összetettebb és hatékonyabb támadási forma, amely több, földrajzilag elosztott számítógép együttes erejét használja fel. Ezeket a kompromittált gépeket, melyek egy botnetet alkotnak, a támadó egyidejűleg veti be a célpont ellen.

A DDoS támadóállomások keletkezése

A DDoS támadások végrehajtásához használt, kompromittált eszközökből álló hálózatok, azaz botnetek, többféle módon jöhetnek létre:

• Automatizált szkennelő eszközök folyamatosan pásztázzák az internetet sebezhető, nem megfelelően védett eszközök után kutatva. Amikor egy ilyen eszközt (legyen az egy szerver, személyi számítógép vagy akár egy IoT-eszköz) találnak, egy ismert biztonsági rést kihasználva megfertőzik azt, majd feltelepítenek egy rejtett kártevő programot. Ez a program teszi az eszközt egy távolról vezérelhető „zombivá”, amely a támadó utasítására cselekszik.
• Egy másik gyakori módszer, amikor a felhasználók maguk telepítik a kártevőt, például számítógépes vírusokkal fertőzött szoftverek, e-mailes csatolmányok vagy megtévesztő trójai programok révén. A fertőzés után az eszköz csendben csatlakozik a botnet vezérlő (Command & Control, C&C) szerveréhez, és várja az utasításokat.

A támadás menete

A „zombi” gépekből álló botnetet a támadó egy központi „mester” gépről vagy egy elosztott vezérlőinfrastruktúráról irányítja. Amikor a támadó elegendő számú eszközt vont az irányítása alá, parancsot ad a botnetnek a támadás megindítására egy vagy több kiszemelt célpont ellen. Ekkor az összes „zombi” eszköz egyszerre, összehangoltan kezdi el küldeni a kártékony adatforgalmat. Bár egy-egy eszköz forgalma önmagában csekély lehet, a több ezer, esetenként több százezer vagy akár millió fertőzött gép által generált együttes adatfolyam hatalmas terhelést ró a célpont infrastruktúrájára, amely rövid időn belül képtelenné válik a legitim kérések kiszolgálására.

Ismert DoS programok

A korai DoS és DDoS támadásokhoz olyan eszközöket használtak, mint a Trin00,^[1] a Tribal Flood Network (TFN), a TFN2K és a Stacheldraht. Később az Anonymous hacktivista csoport akciói tették széles körben ismertté a LOIC (Low Orbit Ion Cannon) és a kifinomultabb HOIC (High Orbit Ion Cannon) nevű, felhasználóbarát felülettel rendelkező támadóeszközöket.

Ismert DDoS programok

A modern DDoS támadásokhoz gyakran használnak bérelhető botneteket (stresszer vagy booter szolgáltatások), de egyszerűbb eszközök, mint a DDoser vagy az IPKiller is elérhetőek. A LOIC a mai napig népszerű az önkéntes alapú, hacktivista támadásokban.

Története

Az első dokumentált DDoS támadások 1999-ben jelentek meg^[forrás?], mindössze három évvel az első, SYN flood-ot alkalmazó DoS támadások után. A technika gyorsan elterjedt, és 2000 februárjában egy nagyszabású támadássorozat keretében olyan, akkoriban meghatározó internetes oldalakat tettek órákra elérhetetlenné, mint az Amazon, a CNN, az eBay és a Yahoo!^[forrás?]. 2002-ben az internet gerincét alkotó 13 root DNS szerverből kilencet ért masszív DDoS támadás, amely során egyes szerverek másodpercenként 150 ezer ICMP kérést is meghaladó terhelést kaptak.^[forrás?] Bár a támadás csak rövid ideig tartott, rávilágított az internetes infrastruktúra sebezhetőségére.

A történelem egyik legjelentősebb, kártevő által vezérelt DDoS eseményét a Mydoom féregvírus okozta 2004-ben. A vírus rendkívül gyorsan terjedt, néhány nap alatt a világ internetre kötött Windows rendszert használó számítógépeinek jelentős részét megfertőzte, és február elején egy hatalmas botnetet hozott létre. Ezt a botnetet az SCO Group weboldalának megbénítására használta, amely napokig elérhetetlen volt. A vírus B variánsa a Microsoft weboldalát vette célba, de a vállalat sikeresen elhárította a támadást.

Azóta a DDoS támadások mérete és komplexitása exponenciálisan növekedett. 2009 augusztusában politikai indíttatású támadás érte a Twittert, amely több órára megbénult. A támadás valójában egy grúz blogger ellen irányult, de a támadók a Facebook, YouTube és Gmail szolgáltatásokat is célba vették.^[2] 2013 májusában a Battlefield 3 játékszervereit és a hozzá kapcsolódó Battlelog platformot érte komoly támadás, amely napokig tartó szolgáltatáskiesést okozott. Az elmúlt években a támadások volumene elérte a terabit per másodperc (Tbps) nagyságrendet is, miközben az alkalmazásréteget célzó, kifinomult támadások (millió kérés per másodperc, RPS) is egyre gyakoribbak.

Organikus DDoS

Az organikus DDoS egy olyan jelenség, amikor egy szolgáltatás túlterhelődését nem szándékos támadás, hanem a felhasználói érdeklődés hirtelen, váratlan megugrása okozza. Ez akkor fordul elő, ha egy weblap iránt rövid idő alatt rendkívül nagy lesz az érdeklődés (például egy fontos hír, egy népszerű termék bevezetése vagy egy online jegyértékesítés miatt), de az oldal infrastruktúrája nincs felkészítve a megnövekedett forgalom kezelésére.

A folyamat öngerjesztővé válhat: a szerver a terhelés hatására lelassul, a felhasználók pedig a lassulást érzékelve türelmetlenül, újra és újra megpróbálják betölteni az oldalt, frissítik a böngészőt, ezzel tovább növelve a szerverre nehezedő terhelést. Ez a felerősödő forgalom végül a szolgáltatás teljes leállásához vezethet, hasonlóan egy valódi DDoS támadás hatásaihoz.

Frész Ferenc informatikai biztonsági szakértő szavaival: „Ebben az állapotában, hogyha elkezd túlterhelődni, kiesik, akkor kvázi azok a felhasználók, akik nem érik el, megpróbálják újra és újra elérni, tehát kialakul egy ilyen organikus DDoS. Kvázi olyan, mintha egy szolgáltatásmegtagadással járó támadás érné a rendszert, de ez nem támadás volt, hanem önmagától az érdeklődéstől megtöbbszöröződik ilyenkor a terhelés.”^[3]

A DDoS ellenszerei

A DDoS támadások elleni védekezés komplex, többrétegű stratégiát igényel, mivel nincs egyetlen, minden támadástípus ellen hatásos megoldás.

Hozzáférés-ellenőrzési lista (ACL) és tűzfalak

Az alapszintű védelmet a hálózati útválasztók (routerek) és tűzfalak biztosíthatják. Az ACL-ek (Access Control Lists) segítségével egyszerű szabályok hozhatók létre, amelyek korlátozzák bizonyos IP-címekről vagy hálózatokról érkező forgalmat. Ha egy támadás forrása egyértelműen azonosítható, a hálózati operátorok manuálisan blokkolhatják a támadó IP-címeket (ezt a gyakorlatban „null routing”-nak vagy feketelyuk-szűrésnek nevezik). Ez a módszer azonban csak kis volumenű, kevés forrásból induló támadások ellen hatékony. Egy nagyméretű, elosztott támadás esetén, ahol a forrás IP-címek folyamatosan változnak és hamisítottak, ez a technika hatástalan. A tűzfalak segíthetnek a protokoll-alapú támadások (pl. SYN flood) szűrésében, de a nagy sávszélességet igénylő volumetrikus támadások könnyen túlterhelhetik magát a tűzfalat is.

Illetéktelen hálózati behatolást jelző rendszer (IDS/IPS)

A behatolásérzékelő (IDS) és -megelőző (IPS) rendszerek a hálózati forgalom mélyreható elemzésével (Deep Packet Inspection, DPI) képesek felismerni az ismert támadási mintázatokat, például vírusok, trójaiak vagy specifikus támadóeszközök által generált forgalmat. Míg az IDS csak riasztást küld, az IPS aktívan be is avatkozhat a kártékony csomagok blokkolásával. Ezek a rendszerek hatékonyak lehetnek az alkalmazásréteg-támadások és a kifinomultabb protokoll-alapú támadások ellen, de a hatalmas adatforgalommal járó volumetrikus támadások valós időben történő elemzése és szűrése komoly kihívást jelent számukra.

Dedikált DDoS-elhárító szolgáltatások és CDN-hálózatok

A modern, nagyméretű DDoS támadások ellen a leghatékonyabb védelmet a felhőalapú, dedikált DDoS-elhárító szolgáltatók és a tartalomelosztó hálózatok (Content Delivery Network, CDN) nyújtják. Ezek a szolgáltatók hatalmas, globálisan elosztott hálózati infrastruktúrával rendelkeznek, amely képes elnyelni és megszűrni a legnagyobb támadási forgalmat is. A védeni kívánt szolgáltatás forgalmát átirányítják ezen a hálózaton, ahol speciális "tisztítóközpontok" (scrubbing centers) elemzik a beérkező adatfolyamot, és leválasztják a kártékony forgalmat a legitim felhasználói kérésekről. Csak a "megtisztított" forgalom jut el a tényleges szerverig. Ez a megközelítés védelmet nyújt mind a volumetrikus, mind a protokoll- és alkalmazásréteg-támadások ellen.