NAPADI USKRAĆIVANJA SERVISA (DoS) I DISTRIBUIRANI DoS napadi

Denial of Service (DoS) / Distribuirani Denial of Service (Ddos) attacks

Doc. dr Gojko Grubor, Aleksandra Pešić dipl. inž. poslovne informatike

Sažetak: Tehnologija korišćena u DoS napadima nastavlja da se širi i napreduje. Koristi se za napadanje infrastrukture Interneta. Denial of service (DoS) napadi predstavljaju graciozni manevar oblikovanja paketa, koji se sastoje od niza in or a ija koje će iti poslate sa uređaja koji ne i znao kako da ih o radi, što dovodi do gašenja siste a ili restarta. Cilj DOS-a je da onesposo i uređaj ili režu, tako da eksterni korisni i više ne aju pristup režni resursi a. Metode za sprečavanje napada nisu se značajno promenile tokom proteklih godina, ali su postale mnogo sofisticiranije sa Distributed Denial of Service (DDoS) napadom koji predstavlja najnoviju generaciju Denial of service. Zbog toga DoS napadi ostaju ozbiljna pretnja korisnicima, organizacijama i infrastrukturi Interneta. Ključne reči: Denial of service (DoS) napadi, infrastrukture Interneta, Distributed Denial of Service (DDoS) napadi, korisnici, organizacije Abstract: The technology used in DoS attacks continues to grow and prosper. It is used for attacking the Internet infrastructure. Denial of Service (DoS) attacks represent a graceful maneuver design packages, which consist of a series of information which will be sent to the device that would not know how to process them, leading to system shutdown or reboot. The goal of DoS is to disable the device or network so that external users no longer have access to network resources. Methods to prevent the attacks were not significantly changed over the years, but they became more sophisticated with Distributed Denial of Service (DDoS) attack, which represents the latest generation of Denial of Service. Because of that, DoS attacks remain a serious threat to users, organizations, and Internet infrastructure.

Key words: Denial of service (DoS) attacks, Internet infrastructure, Distributed Denial of Service (DDoS) attacks, users, organizations 1. UVOD Internet se sastoji od više stotina iliona računara raspoređenih širo sveta. Milioni ljudi svakodnevno koriste dostupne servise Interneta, kako na ličnom tako i na profesionalnom planu. U reženi računari i ranjivosti standardnih režnih i Internet protokola, eđuti , čini režne čvorove lako eto za zlona erne korisnike koji pokušavaju da iskoriste svoje resurse, veštine i otiva iju da pokrenu napad odbijanja servisa - DoS (Denial-of -service) protiv njih. DoS napad je zlona erni pokušaj jedne oso e ili grupe ljudi da prouzrokuje napad na žrtvu, sajt ili režni čvor i na taj način uskrati uslugu klijenti a. Kada ovakav pokušaj potiče od jednog hosta

na reži, on predstavlja DoS napad. S druge strane, takođe je oguće da veliki roj zlona ernih hostova koordiniraju napad poplavljivanjem žrtve o ilje paketa, tako da se napad odvija istovre eno sa više distribuiranih tačaka. Ovaj tip napada zove se distribuirani DoS ili DDoS napad. udući da u današnje vre e rojne ko panije, delatnosti, organiza ije pa i o ični korisni i, zavise od Internet usluga, uskraćivanje usluga nekog servera dovodi do velikih gu itaka. og toga, ože se reći da su distribuirani DoS napadi – (DDoS) postali jedan od najatraktivnijih za kompjuterske kriminalce, a istovremeno jedna od najvećih ranjivosti Interneta. 2. DDoS NAPAD Tipični DoS napadi pokušavaju da is rpe resurse žrtve. Ti resursi mogu biti propusni opseg reže, računarska oć ili struktura podataka operativnog sistema. Da bi pokrenuo DDoS napad, napadač prvo ora da izgradi režu robotizovanih računara tzv. botnet, koju će koristiti da proizvede veliki obim sao raćaja potre an da se uskrate usluge korisni i a računara. Da i kreirali ovu režu napada, napadači oraju da otkriju ranjive lokacije ili hostove na reži. Ranjivi hostovi su o ično oni koji ne aju odgovarajući antivirus program ili ga ne ažuriraju redovno kao ni operativni sistem. Ranjivi hostovi su tada lake mete za eksploataciju od strane napadača koji koriste datu ranjivost da do iju pristup i kontrolu nad ti hostovi a. Sledeći korak za napadača je da instalira nove alate (eng. attack tools) na kompromitovani host u napadnutoj reži. Hostovi na kojima su pokrenuti attack tools su poznati kao zombiji (eng. zombies), postaju deo botnet-a i mogu da obavljaju bilo koji vid napada pod kontrolom napadača. Više zombija zajedno čine takozvanu armiju zombija, odnosno, botnet. Iako je faza pripreme za napad veo a važna, otkrivanje ranjivih hostova i instaliranje attack tools-a, postao je veoma jednostavan proces.

2.1 PROPAGIRANJE ZLONAMERNOG KODA

Za širenje zlonamernog kôda i izgradnju botnet reže za napad mogu se identifikovati tri grupe mehanizama [1]:

Centralni izvor propagacije napada (Central Source Propagation) U ovo ehaniz u, posle otkrića ranjivog sistema koji će postati jedan od zo ija, date su instruk ije centralnom izvoru tako da se kopija alata za napad (attack toolkit) prenosi iz centralne lokacije na novi kompromitovani sistem. Nakon prenošenja Toolkit-a, instalacija attack tool-a se auto atski odvija na ovo siste u, kontrolisana od strane skriptovanog ehaniz a. To pokreće novi iklus napada, gde novoin i irani siste traži druge ranjive računare na koji a ože da instalira set alata (Toolkit) za napad, koristeći isti pro es kao napadač. Kao i drugi file-transfer mehanizmi, ovaj ehaniza o ično koristi HTTP, FTP i remote-procedure call (RPC) protokole. Gra ički prikaz ovog ehaniz a je prikazan na slici 1.

Slika 1. Centralni izvor propagacije napada 19

Propagacija ulančavanjem unazad (Back-chaining propagation): U ovom mehanizmu napadač prebacuje Toolkit za napad u novi kompromitovani sistem. Pre iznije rečeno, attack tools koji su instalirani na siste u napadača uključuju posebne metode za uspostavljanje veze sa kompromitovanim sistemom i slanje datoteke na njega koje sadrže attack tools. Ovu kopiju back-channel fajla mogu podržati jednostavni port skeneri (port listeners) koji sadrže kopiranu datoteku ili potpuni intruder-installed Web serveri, koje instalira napadač, a koriste Trivial File Transfer Protocol (TFTP). Ovaj mehanizam je prikazanna slici 2.

Slika 2. Propagacija napada ulančavanjem unazad 19

Anonimna propagacija (Autonomous propagation): U ovom mehanizmu, napadajući host prenosi Toolkit za napad na novi ko pro itovani siste tačno u momentu kada provaljuje u taj sistem. Ovaj mehanizam se razlikuje od prethodnih po to e što sa i napadači instaliraju attack tools u kompromitovani host, a ne izvor eksternog fajla. Anonimna propagacija je prikazanana slici 3.

Slika 3. Anonimna propagacija napada 19

Posle izgradnje reže za napad, napadači koriste komandno kontrolne ašine (handler) da naznače vrstu napada i adresu žrtve i čekaju odgovarajući trenutak kako i otpočeli napad. ati , daljinski izdaju ko ande za pokretanje određenog napada na agente ili da “pro ude” daemons-e, istovremeno, kako su već programirani da rade. Mašine agenti (roboti, zombiji) zauzvrat počinju da šalju obilje paketa na računar žrtve i time preplavljuju siste žrtve paketima poruka i nepotrebnim opterećenje is rpljuju njegove resurse. Na taj način, napadači će učiniti računar žrtve nedostupni legitimnim korisnici a i do iti neograničen pristup, tako da ogu naneti proizvoljnu štetu. O i sao raćaja ože iti toliko visok da reže koje povezuju ašine za napad sa žrtva a, takođe, trpe opterećenje i pokazuju niže performanse. Tada pružanje usluga preko ovih reža više nije oguće i na taj način korisni i ostaju uskraćeni za servise tih reža. Dakle, reža koja je opterećena teretom napada ože se s atrati još jednom žrtvom DDoS napada. Ceo postupak za izvođenje DDoS napada je uglavno auto atizovan zahvaljujući različiti attack tools. O postojanju prvog kontrolisanog DDoS alata izvestio je CERT Coordination Center (CERT/CC), početko 1998, a nazvan je "Fapi". To je alat koji ne o ez eđuje jednostavne kontrole za postavljanje DDoS reže i ne radi najbolje sa režo od 10 hostova i više. Sredinom 1999 stigao je Trinoo. Kasnije te godine prijavljeno je postojanje Tribe Flood Network (TFN) i njegove novije verzije TFN2K (ili TFN2000). Stacheldraht (ne ački izraz za " odljikave ži e") je evoluirao od poslednja dva alata (Trinoo i TFN). Ovaj alat je izuzetan jer ima punu kontrolu nad karakteristikama i Blowfish-encrypted kontrolni kanal za napadača. Štaviše, početko 2000 je mutirao u StacheldrahtV4, a kasnije u Stacheldraht v1.666 [2]. Međuti , razvoj attack tool-a se nije zaustavio, a nogi alati su kasnije uvedeni, kao što su Mstream, Omega, Trinity, Derivatives, myServer, i Plague [3]. Dave Dittrich i njegovi partneri su obezbedili najsveobuhvatnije analize na Trinoo, Tribe Flood Network, Stacheldraht, Shaft, i Mstream DDoS attack tools [4]. Kroz ovaj rad je zarobljeno dosta malicioznih kôdova, napravljena su zapažanja o DDoS attack tool-u, ponuđena su rešenja, kao i predlozi za otkrivanje i odbranu.

2.2 DDoS NAPAD TAKSONOMIJE

Kao što je već rečeno, DDoS napad se odvija kada su brojne ko pro itovane ašine, inficirane zlonamernim kodom, istovremeno i koordinirane pod kontrolo jednog napadača u ilju proboja sistema zaštite žrtve, is rpljivanja njenih resursa i uskraćivanja usluga korisnicima. Postoje uglavnom dve vrste DDoS napada [5]:

1. Tipični DDoS napadi, 2. Distribuirani DoS (reflektor DRDoS) napadi.

2.2.1 Tipični DDoS napadi

U tipično DDoS napadu, armija (botnet) napadača sastoji se od master zombija i slave zombija. Hostovi o e kategorije su ugrožene ašine koje su nastale tokom procesa skeniranja i koje su zaražene zlonamernim kôdom. Koordinate napadača i nared e master zombija, zauzvrat, koordiniraju i pokreću slave zombije. Pre iznije, napadač šalje ko andu za napad master zo ija i aktivira sve napade na one pro ese ašina koji su u hi erna iji, čekajući odgovarajuće komande da se probude i počnu da napadaju. ati , master zo i, kroz te pro ese, šalje napad na slave zombije, naređujući i da pokrenu DDoS napad na računar žrtve. Na taj način, ašine agenti (eng. slave zombies) počinju da šalju veliki roj paketa na računare žrtve, preplavljujući (eng. flooding) njihov sistem i nepotre ni opterećenje is rpljuju njihove resurse. Ova vrsta DDoS napada prikazana je na slici 4.

Slika 4. Primer DDoS napada 19

U slučaju DDoS napada, lažne (spoofed) izvorne IP adrese se koriste u paketima sao raćaja napada. Napadač pre erira da koristi takve lažne izvorne IP adrese iz dva razloga prvo, napadač želi da sakrije identitet zo ija, tako da žrtva ne ože da prati napad unazad do njega. Drugi razlog se odnosi na učinak napada. Napadač želi da o eshra ri svaki pokušaj žrtve da iltrira zlona erni sao raćaj na firewall-u.

2.2.2 DRDoS napadi

a razliku od tipičnih DDoS napada, u DRDoS napadu botnet se sastoji od master zombija, slave zombija i reflektora [6]. Scenario ovog tipa napada je isti kao kod tipičnih DDoS napada do određene aze. Napadači i aju kontrolu nad master zombijima, koji, pak, imaju kontrolu nad slave zo iji a. Razlika u ovoj vrsti napada je što slave zo iji na čelu sa master zombijima šalju veliki roj paketa sa IP adrese žrtve, kao izvorne IP adrese na druge ‘’zdrave’’ ašine (poznate kao reflektori), ohrabrujući ove ašine da se povežu sa žrtvo . Onda re lektori šalju

žrtvi veći o i sao raćaja, kao odgovor na njegovu parolu za otvaranje nove veze, jer oni veruju da je žrtva host. Dakle, u DRDoS napadu, napad je pokrenut od strane ne kompromitovanih ašina koje nesvesno pokreću napad. Upoređujući štetnost dva scenarija DDoS napada, treba napomenuti da DRDoS napad nanosi veću štetu nego tipičan DDoS napad. Prvi razlog je što DRDoS napad i a više ašina koje učestvuju u napadu, pa se i napad više distri uira. Drugi razlog je taj što DRDoS napad stvara veći o i sao raćaja z og svoje distri utivne prirode. Gra ički odel DRDoS napada je prikazan na slici 5..

Slika 5. Primer DRDoS napada 19

2.3 POZNATI I DOKUMENTOVANI DDoS NAPADI

Ovaj rad bi bio nepotpun bez osvrta na neke od najpoznatijih, dokumentovanih DDoS napada. [7], [8]:

Apache2 Ovaj napad se pokreće protiv Apache Web server, gde klijent pita za uslugu slanjem zahteva sa brojnim HTTP zaglavlji a. Međuti , kada Apache Web server primi veliki roj takvih zahteva, ne ože da im odgovori i dolazi do opterećenja i rušenja.

ARP Poison: Address Resolution Protocol (ARP) Poison napadi zahtevaju da napadač i a pristup LAN-u žrtve. Napadač obmanjuje host ašine u određenom LAN-u, šaljući i pogrešne MAC adrese za hostove, sa već poznate IP adrese. Napadač ože ovo postići kroz sledeći pro es u reži se prate "ARP –ovi’’ koji šalju zahteve za uspostavljanje veze. Či takav zahtev stigne, zlonamerni napadač pokušava da odgovori što je rže oguće ka ispitivanom hostu u ilju o ane tražene adrese.

Back: Ovaj napad je pokrenut protiv Apache Web servera, koji je preplavljen zahtevima koji sadrže veliki roj prednje kose rte “/” (eng. front-slash) znakova u URL adresi. Kada server pokušava da o radi sve ove zahteve, nije u stanju da o radi druge legiti ne zahteve i ti e ne pruža uslugu svoji klijenti a.

CrashIIS: žrtva napada CrashIIS je najčešće Microsoft Windows NT IIS Web server. Napadač šalje žrtvi neispravan GET zahtev, koji ože da sruši web server.

DoSNuke: U ovoj vrsti napada, Microsoft Windows NT žrtva je preplavljena "out-of-band" podacima (MSG_OOB). Paketi se šalju od strane napadajućih ašina sa oznako

"urg" zbog MSG_OOB oznake. Kao rezultat toga, dolazi do opterećenja, a ašina žrtve ože prikazati "plavi ekran s rti."

Land: u land napade, napadač šalje žrtvi TCP SYN paket koji sadrži istu IP adresu kao i izvor odredišne adrese. Takav paket potpuno zaključava siste žrtve.

Mailbomb: U napadu Mailbomb, pošta žrtve je preplavljena o ilje poruka, što dovodi do pada sistema.

SYN Flood: SYN Flood napad se javlja u toku troslojnog pregovaranja (eng. three-way handshake) koji o eležava početak jedne TCP konekcije. U troslojnom pregovaranju klijent traži novu vezu slanje TCP SYN paketa na server. Nakon toga, server šalje SYN/ACK paket nazad klijentu i postavlja zahtev za vezu. Na kraju, klijent potvrđuje SYN/ACK paket. Ako se napad o ogući, napadač šalje o ilje TCP SYN paketa žrtvi i obavezuje ga da otvori noštvo TCP veza i da odgovori na njih. Tada napadač ne izvršava treći korak koji sledi, čineći da žrtva ne ože da prihvati ilo kakve nove dolazne veze, jer je njegov redosled čekanja veza pun polu otvorenih TCP konekcija.

Ping of Death: U Ping of Death napadu, napadač stvara paket koji sadrži više od 65.536 ajta, što je grani a koju IP protokol de iniše. Ovaj paket ože da izazove različite vrste oštećenja na ašini koja ga pri a, kao što su pad siste a i restart.

Process Table Ovaj napad koristi unk iju pojedinih režnih usluga za generisanje novog procesa svaki put kada je nova TCP/IP konek ija podešena. Napadač pokušava da napravi što je više oguće nedovršenih veza sa žrtvo kako i pri orao siste žrtve da generiše o ilje pro esa. Dakle, zato što roj pro esa koji je pokrenut na siste u ne ože iti ezgranično veliki, napad čini žrtvu nesposo no da odradi ilo koji drugi zahtev.

Smurf Attack: U "smurf" napadu, računar žrtve je preplavljen Internet Control Message Protocol (ICMP) "echo-reply" paketa. Napadač šalje veliki roj ICMP "echo-request" paketa na emitovane adrese brojnih pod reža. Ovi paketi sadrže adresu žrtve kao izvornu IP adresu. Svaka ašina, koja pripada ilo kojoj od ovih pod reža, odgovara slanjem ICMP "echo-reply" paketa ka žrtvi. Smurf napadi su veo a opasni, jer snažno distribuiraju napade.

SSH Process Table: Kao kod Process Table napada, ovaj napad se sastoji od stotinu veza us erenih ka žrtvi sa Secure Shell (SSH) protokolom bez završenog pro esa prijavljivanja. Na ovaj način, daemon preko SSH kontaktira sistem žrtve gde pokreće mnogo SSH procesa koji iscrpljuju resurse.

Syslogd: syslogd napad razbija syslogd program na Solaris 2.5 serveru slanjem poruke sa nevažećo izvorno IP adresom.

TCP Reset: U TCP Reset napadi a, reža nadgleda "tcpconnection" zahteve ka žrtvi. Či nađe takav zahtev, napadač šalje lažni TCP RESET paket žrtvi i o avezuje ga da o ustavi TCP konekciju.

Teardrop: Dok paket putuje od izvorne ka odredišnoj ašini, ože se dogoditi da se podeli na manje fragmente, tokom procesa fragmentacije. Teardrop napad stvara tok IP fragmenata sa svojim offset poljem za preopterećenja. Destina ioni host koji pokušava da ponovo sastavi ove rag ente na posletku se ruši ili restartuje.

UDP Storm: U User Datagram Protocol (UDP) za uspostavljanje veze bez konecije, karakter servisa za generisanje ("chargen") generiše niz znakova svaki put kada pri i UDP paket, dok eho servisa radi na bilo koji znak koji primi. Eksploatisanjem ove dve usluge, napadač šalje paket sa izvora lažne IP adrese, tako da izgleda kao da je od žrtve na drugoj ašini. ati , eho servisa ivše ašine šalje podatke o tom paketu nazad ka

ašini žrtve, a ašina žrtve, zauzvrat, reaguje na isti način. Dakle, kreira se konstantan tok nekorisnog opterećenja koji opterećuje režu.

Prvi DoS napad dogodio se protiv Panix-a, Njujorškog najstarijeg i najvećeg Internet Service Provider-a (ISP), 6. septembra 1996. [9]. Napad je io us eren ka različiti računari a na reži provajdera, uključujući i e-poštu, vesti i We servere, korisničke "user" ašine, kao i i ena servera. Panix napad je bio SYN Flood tip napada, koji proizilazi iz slučajnih IP adresa usmerenih ka serverskim SMTP (Simple Mail Transfer Protocol) portovima. Preciznije, Panix računari su bili preplavljeni, u proseku, 150 SYN paketa u sekundi (50 po hostu), tako da Panix nije mogao da odgovori na legiti ne zahteve. Pošto su napadači koristili lažne izvorne IP adrese u sao raćaju njihovih paketa, nije ilo oguće pratiti maliciozne adrese i filtrirati ih. Iz tog razloga, napad nije io od ah uočen. Rešenje leži u korišćenju pose ne strukture, umesto punog Transmission Control Block (TCB), da i se održale polu otvorene veze sve dok za poslednji paket ne bude primljen ACK. Na taj način, Listen red je dovoljno veliki za sve SYN zahteve, pre isteka polu otvorenih veza. Timeout, s druge strane, io je prilagođen na 94 sekunde. Međuti , iako je Panix prevazišao ovaj napad, nova pretnja (DoS napadi) i dalje brinu administratore.

2.4 PROBLEMI KOJE IZAZIVAJU DDoS NAPADI I PROTIVMERE

Rezultati DDoS napada mogu biti katastrofalni. DDoS napadi imaju dve karakteristike - oba su distribuirani napadi i napadi uskraćivanja servisa. Distribuiranost (D) znači da veliki napadi i aju veliki uti aj na žrtve, a DoS znači da je njihov cilj da uskrate pristup žrtvi ka određeno resursu (servisu). To nije previše teško, jer je Internet dizajniran sa brojnim sigurnosnim propustima. Prvo, dostupan propusni opseg je jedan od "dobara Interneta" koje napadači pokušavaju da iskoriste. Poplavljivanje u reži po oću nekorisnih paketa, na pri er, sprečava legiti ne ICMP echo pakete da putuju preko reže. Drugo, napadači pokušavaju da iskoriste snagu procesora. Generisanjem nekoliko hiljada nepotrebnih procesa na siste žrtve, napadači uspevaju da u potpunosti zauz u e orije i pro es ta ele. Na ovaj način žrtvin računar ne ože da izvrši ilo koji pro es i dolazi do rušenja siste a. Koristeći ovu etodu, napadač uspeva da spreči pristup korisnicima servisa žrtve i re eti postojeće veze. Konačno, napadači pokušavaju da zauzmu resurse žrtve, tako da niko drugi ne ože da i pristupi. Na pri er, ostavljajući TCP veze polu otvorene, napadači uspevaju da iskoriste strukturne podatake žrtve i kada to urade, niko drugi ne ože da uspostavi TCP konek iju sa žrtvo . Uti aj ovih napada je katastro alan, pogotovo kada žrtve nisu pojedin i, već ko panije. DDoS napadi sprečavaju žrtve, ilo da koriste Internet ili da stignu do drugih ljudi. Shodno tome, kada je žrtva provajderInternet servisa (ISP), rezultati takvog napada su daleko ozbiljniji. ISP klijenti neće iti zadovoljeni. -poslovanje je takođe na vrhu "hit" liste ugroženih. Biti van reže za nekoliko sati ože dovesti do gu itka velike su e nov a za ISP. Konačno, činjeni a da ko panije koriste Internet sve više i više za rekla iranje ili za pružanje ro a i usluga (e-trgovina) povećava ozbiljnost takvih incidenata.

2.5 MEHANIZMI ODBRANE

Od sa og početka, svi legiti ni korisni i su pokušali da odgovore na ove pretnji. Univerzitetska zajednica i korporacije za proizvodnju softvera, predložile su nekoliko metoda odbrane od DDoS pretnji. Uprkos naporima, konzistentno rešenje je i dalje nedostižno. Napadači su uspeli da

otkriju druge ranivosti protokola i, što je još gore, iskoristili su odbrambene mehanizme u cilju razvijanja napada. Oni otkrivaju etode za prevazilaženje ovih ehaniza a, ili ih koriste za stvaranje lažnih alar a i za izazivanje katastro alnih posledi a. Brojni stručnja i su pokušali da klasi ikuju DDoS mehanizme odbrane sa ciljem da ih razjasne. Ova klasifikacija korisnicima daje ukupan pogled na situa iju i po aže progra eri a da po oću odbranbenih mehanizama smanjuju pretnje. Osnovna razlika je iz eđu preventivnih i reaktivnih odbrambenih mehanizama.

2.5.1 Preventivni mehanizmi

Preventivni ehaniz i pokušavaju da eli inišu ogućnost DDoS napada ili da potpuno o oguće poten ijalne žrtve da izdrže napad bez uskraćivanja legitimnih usluga korisnicima. To znači iz enu kon igura ije siste a radi eliminisanja ogućnosti prihvatanja DDoS napada ili nevoljnog učestvanja u DDoS napadu. Hostovi tre a da se čuvaju od nelegiti nog pro eta iz ili ka ašini. Redovni ažuriranje protokola i so tvera, ože o s anjiti ranjivosti računara. Redovno skeniranje mašine je takođe neophodno u ilju otkrivanja ilo koje ano alije. Pri eri mehanizama sistema zaštite uključuju automatski monitoring pristupa računaru i aplika ija a, instaliranje bezbednosnih popravki, logičku arijeru (firewall) sistema, antivirusne programe, i sisteme za detekciju i sprečavanje upada (IDPS). Savremeni trend su bezbednosne kompanije koje nude Cloud Computing usluge zaštite, u realno vre enu skeniraju reže korisnika na ranjivosti, otklanjaju ih i čuvaju režu korisnika obavestavaju korisnike o svakom slučaju napada da bi preduzeli odgovarajuće mere. Nekoliko senzora i režnih skenera prate režni sao raćaj i šalju podatke na server kako i se utvrdilo "zdravlje" reže. Siste zaštite računara s anjuje ogućnost da ude ne sa o žrtva napada, već i zo i. Sve ove ere nikada ne ogu iti 100 posto efikasne, ali svakako smanjuju frekvenciju i snagu DDoS napada. Mnoge druge mere se mogu preduzeti u cilju smanjenja botnet-a napadača ili ograničenja njihove " oći". Studiranje metoda napada ože dovesti do pronalaženja rupa u protokoli a. Na primer, administratori mogu prilagoditi svoje network gateways u ilju iltriranja ulaznog i izlaznog sao raćaja. Izvorna IP adresa izlaznog sao raćaja tre a da pripada pod reži, dok izvorna IP adresa ulaznog sao raćaja ne tre a. Na ovaj način, u anjuje se sao raćaj sa lažnih IP adresa na reži [10]. Štaviše, toko poslednjih nekoliko godina, predloženo je nekoliko tehnika za testiranje siste a na oguće nedostatke, pre njihovog slanja na tržište. Tačnije, za eno ko ponenti siste a sa malicioznim, moguće je otkrijti da li siste ože da preživi napad [11]. Ako sistem padne, ranjivost je otkrivena i programeri to mogu da isprave. S druge strane, ehaniz i za sprečavanje DoS napada o ogućavaju žrtvi da izdrži pokušaje napada bez odbijanja legitimnih usluga korisnicima. Do sada, predložene su dve etode za ovaj scenario. Prva se odnosi na politiku koja povećava privilegije korisnika u skladu sa njihovo ponašanje . Kada se veri ikuje identitet korisnika, onda ne a opasnosti. Svaka nelegiti na ak ija od onih korisnika ože dovesti do njihovog pravnog gonjenja. Drugi etod je o ično isuviše skup, to podrazu eva povećanje e ektivnih resursa u tolikoj meri da su DDoS e ekti ograničeni. U većini slučajeva pri ena takvih era je praktično ne oguća.

2.5.2 Proaktivni i reaktivni mehanizmi

Proaktivni mehanizmi ili sistemi za rano upozoravanje (Early Warning Systems) će pokušati da otkriju napad i da odmah reaguju na njega. Dakle, oni proaktivno ograničavaju uticaj napada na žrtvu. Opet, postoji opasnost od karakterisanja legiti ne veze kao napada. Iz tog razloga neophodno je da analitičari režnog sao raćaja budu veoma oprezni. Glavne strategije detekcije su detekcija na bazi potpisa (hash vrednost, karakterističan zapis) otkrivanja anomalija i hibridni sistem. Prednost prve metode je u to e što ože lako i pouzdano da detektuju poznate napade, ali ne može da prepozna nove napade. Štaviše, aza podataka potpisa mora uvek da bude ažurna da se održi pouzdanost sistema. Metode zasnovane na ano aliji upoređuju parametre pos atranog režnog sao raćaja sa atributima normalnog sao raćaja. Otuda je oguće otkrivanje i novih napada. Međuti , u ilju sprečavanja lažnog alar a, odel "nor alnog sao raćaja" ora uvek da ude ažuriran i prag kategorizacije ano alija ora iti pravilno podešen. Konačno, hi ridni siste i ko inuju o e ove metode. Ovi siste i ažuriraju svoje aze potpisa sa otkriveni napadi a uočenih detek ijo ano alije. Opet je velika opasnost, jer napadač ože da prevari siste koji okarakteriše nor alan sao raćaj kao napad. U to slučaju Intrusion Detection System (IDS) postaje sredstvo napada. Tako IDS dizajneri oraju iti veo a pažljivi, jer njihovo istraživanje ože da izazove bumerang. Nakon otkrivanja napada, reaktivni ehaniz i reaguju na njega. Relje uti aja napada je pri arna riga. Neki ehaniz i reaguju ograničavanje stope prihvaćenog sao raćaja. To znači da je legiti ni sao raćaj, takođe, lokiran. U to slučaju rešenje su traceback tehnike koje pokušavaju da identi ikuju napadača prateći trag unazad. Ukoliko su napadači identi ikovani, uprkos njihovi napori a da sakriju svoju adresu, onda je lako iltrirati njihov sao raćaj. Filtriranje je e ikasno sa o ako otkrivanje napadača pokaže kao ispravno. U svakom drugom slučaju iltriranje ože postati alat napadača. Univerzitet u Vašingtonu daje pri er napada na metod detekcije. Dave Dittrich i njegov tim od 40 ljudi otkrili su da je više od 30 njihovih siste a ilo zo iji, eksploatisani od strane jednog napadača [12]. Kontrolo sao raćaja reže, Dittrich-ov tim nalazi direktorijum i imena datoteka neuo ičajnih za Windows operativne sisteme kako se napadač vodi na reži, kao i port preko kog su svi ovi fajlovi vodili komunikaciju.

2.6 MOGUĆI PROBLEMI U ODBRANI

Razvoj alata za detekciju i odbranu je veoma komplikovan. Dizajneri oraju da isle unapred o svakoj ogućoj situa iji, jer svaka sla ost se ože eksploatisati. Problemi uključuju:

DDoS napad poplavljuje žrtve sa paketi a. To znači da žrtve ne ogu da se o rate neko drugo kako i potražile po oć. Dakle, oguće je da susedna reža ude napadnuta, ali to niko ne bi znao i niko ne bi mogao da pomogne. Shodno tome, svaki pro le ože iti rešen samo ako se rano otkrije napad. Iznenadno povećanje protoka sao raćaja i bez ikakvog upozorenja, ukazuje na prve faze napada [10, 13, 14]. Iz tog razloga mehanizmi odbrane moraju brzo da reaguju.

Svaki pokušaj iltriranja dolaznog sao raćaja znači da potencijalno i legiti ni sao raćaj ože biti od ačen. ako je legiti ni sao raćaj od ačen, postavlja se pitanje kako će aplikacije koje čekaju in or a iju reagovati. S druge strane, ako je roj zo ija u hiljada a ili ilioni a, njihov sao raćaj će preplaviti reže i potrošiti eo propusni opseg. U to slučaju iltriranje je nekorisno, jer ništa ne ože da putuje preko reže.

Napad paketima o ično koristi lažne IP adrese. Otuda je teže ući u trag njihovo izvoru. Osi toga, oguće je da ruteri i ISP ne ogu da sarađuju u to pokušaju. Ponekad napadači, po oću spoofing-a (prisluškivanja) izvorne IP adrese, naprave lažne ar ije. Paketi mogu da proizilaze iz hiljada IP adresa, ali broj zombija je samo nekoliko desetina, na primer.

Odbrambeni mehanizmi koji se primenjuju u sistemima, razlikuju se u softveru i arhitekturi. Takođe, siste o se upravlja od strane korisnika sa različiti nivoi a znanja. Programeri moraju da dizajniraju platformu nezavisno od svih ovih parametara.

2.7 SAVREMENE TENDENCIJE U ODBRNI PROTIV DDoS NAPADA

Do sada, programeri nisu uspeli da razviju 100 posto efikasan mehanizam odbrane. Svi ehaniz i koji su prikazani ogu da se suprotstave sa o određeni DDoS napadima ili da udu ko pro itovani od strane napadača. og toga, progra eri trenutno rade na DDoS sistemima diverzije. Honeypots (za ke tipa ćupa eda) su najbolji predstavnici u ovoj kategoriji (slika 6).

Slika 6.Model Honeypot-a 19

2.7.1 Honeypots

Postoje dve osnovne vrste honeypots-a: honeypots niske interakcije i honeypots visoke interakcije. Prvi se odnosi na emulaciju usluga i operativnih sistema. To je lako i bezbedno da se sprovede. Napadači ne s eju da ko uni iraju sa osnovni operativni siste o , sa o sa spe i ični servisima. Iz tog razloga, ovaj tip honeypots-a ne ože da pruži detaljne in or a ije za ak ije napadača i on se lako ože otkriti. Međuti , oni ogu da otkriju neiskorišćene pokušaje ko unika ije ka IP adresa a. U to slučaju se aktivira alar , upozoravajući da neko pokušava da pravi ko pro ise ili da napada režu. Ako napad nije usmeren protiv e uliranog servisa onda se okreće o honeypots visoke interakcije. Honeynet nije so tversko rešenje koje se ože instalirati na računar, ali je deo arhitekture reže. U okviru te reže, svaka aktivnost je za eležena, a napadači se nalaze u klop i. Šifrovane SSH sesije, e-mail, fajl upload, i svaki ogući pokušaj napadača je zarobljen. Štaviše, Honeywall kapija o ogućava dolazni sao raćaj, ali kontroliše odlazni sao raćaj koristeći IPS (Intrusion Prevention System) tehnologiju [15].

2.8 ROUTE FILTER TEHNIKE

Različiti predlozi za od ranu od DDoS napada potiču iz BGP (Border Gateway Protocol) zajednice. U vre e kada su protokoli rutiranja dizajnirani, progra eri se nisu okusirali na ez ednost, već na efikasne mehanizme rutiranja i izbegavanja usmeravanja petlji. U početku, napadači su svoju pažnju us eravali ka ruteru. Dobijanjem pristupa ruteru, oni su ogli us eriti sao raćaj preko „uskog grla“ (bottlenecks) režnog sao raćaja, da pristupaju kritični poda i a i da ih menjaju. Kriptografska autenti ika ija u lažava ove pretnje. og autentifikacije susednih rutera, ažuriranje rutiranja dolazi iz pouzdanog izvora i ne postoji ogućnost da neko ruteru da pogrešnu in or aciju rutiranja kako bi ugrozio režu. S druge strane, filteri rutiranja su neophodni za sprečavanje kritičnih ruta i pod reža da se oglašavaju i da sumnjive rute budu u ačene u ta ele rutiranja. Na taj način, napadači ne znaju put ka kritični serveri a i su njive rute se ne koriste. Tehnike filtriranja ruta Blackhole routing i sinkhole routing mogu se koristiti kada je reža pod napado . Ove tehnike pokušavaju privre eno da u laže uti aj napada. Prva us erava rutiranje sao raćaja na nepostojeći (null) inter ejs. Na prvi pogled, to i ilo savršeno za "Blackhole" zlonamerni sao raćaj. Ukoliko žrtve znaju tačnu IP adresu napada, onda oni ogu da ignorišu sao raćaj koji potiče iz tih izvora. Na ovaj način, uti aj napada je ograničen, jer žrtve ne zauzimaju vreme CPU-a ili memorije kao posledicu napada. Sa o se režni propusni opseg troši. Međuti , ako se IP adrese napadača ne mogu razlikovati i sav sao raćaj je blackholed, onda je legiti ni sao raćaj, takođe, opao. U to slučaju, ova ilter tehnika ne uspeva. Sinkhole routing podrazu eva rutiranje su njivog sao raćaja na važeću IP adresu, gde se ože analizirati. Tu se sao raćaj za koji se utvrdi da je zlona eran od a uje (us erava na null inter ejs), u suprotno se us erava na sledeći skok (hop). Sniffer na Sinkhole ruteru ože da sni a sao raćaj i da ga analizira. Ova tehnika nije toliko ozbiljna kao prethodna. Efikasnost svakog ehaniz a zavisi od jačine napada. Konkretno, sinkholing ne ože da reaguje na teške napade efikasno kao blackholing. Međuti , to je sofisticiranija tehnika, jer je selektivnija u od a ivanju sao raćaja. Filtriranje zlona ernog sao raćaja čini se kao e ikasna protiv era protiv DDoS-a. Što se filtriranje primenjuje liže napadaču, to je e ikasnije. To je prirodno, zato što kada je sao raćaj filtriraju žrtve, oni "prežive", ali je ISP reža već poplavljena. Shodno to e, naj olje rešenje i ilo iltriranje sao raćaja na izvoru, drugi reči a, iltrirati sao raćaj zo ija. Do sada su objavljene, tri ogućnosti iltritanja, sa aspekta kriterijuma za filtriranje. Prvi je filtriranje na izvornoj IP adresi. Ovo i io naj olji etod iltriranja, ako is o svaki put znali ko je napadač. Međuti , to nije uvek oguće, jer napadači o ično koriste lažne IP adrese. Štaviše, DDoS napadi o ično potiču od hiljada zo ija i skoro da ne postoji način otkrivanja svih IP adresa koje vrše napad. čak i ako se otkriju sve ove IP adrese, primena filtera koji odbacuje hiljade IP adresa je praktično ne oguća. Druga ogućnost iltriranja je iltriranje na servisu. Ova taktika pretpostavlja da znamo mehanizam napada. U ovo slučaju, ože o iltrirati sao raćaj ka određeno UDP portu ili TCP konekciji ili ICMP porukama. Ali ako je napad usmeren ka veo a često portu ili servisu, ora o ili da odbacimo svaki paket (čak i ako je legitiman) ili da trpimo napad. Konačno, postoji ogućnost iltriranja odredišnih IP adresa. DDoS napadi se o ično upućuju ograničeno roju žrtava, tako da izgleda da je lako od a iti sav sao raćaj pre a nji a. li to znači da je legiti ni sao raćaj takođe od ačen. U slučaju napada velikih raz era, to ne i tre alo da ude pro le , jer će žrtve u rzo srušiti i ISP neće oći da služi nikome. Dakle, iltriranje sprečava rušenja sistema žrtve, jednostavno držeći ih izolovani .

Fred Baker i Paul Ferguson su razvili tehniku koja se zove her etičnost iltriranja u lažavanje DoS napada ( eng. Ingress Filtering for Mitigating DoS attacks ), a kasnije, i DDoS napada, takođe. Posle Panix napada i nekoliko drugih napada, Paul Ferguson je napisao RFC 2267, koja je postala Best Current Practices (BCP) u RFC 2827. [16] Ova RFC predstavlja metod korišćenja prodora za iltriranje sao raćaja protiv DoS napada koji koriste lažne IP adrese i pokušati da se propagira „iza“ ("behind") tačke agregacije ISP-a. Ovaj etod sprečava napad iz lažnih izvornih IP adresa, ali se ništa ne ože učiniti protiv napada sa važećo adreso izvora. Međuti , u tom slučaju, ako se otkrije napad, lako je ući u trag napadaču. Konačno, iako ovo rešenje o ogućava reži da se zaštiti od drugih napada, takođe ože stvoriti neke pro leme, kao na primer, multihoming [17]. Iz tog razloga, RFC 2827 je ažurirao Fred Baker u BCP 84/ RFC 3704. Ovaj RFC opisuje i procenjuje trenutan prodor mehanizma filtriranja, ispituje neke implementacije vezane za prodor filtriranja i predstavlja neka rešenja za prodor iltriranja sa multihoming-om. Prema ovom RFC, prodor mehanizma filtriranja tre a sprovesti na više nivoa kako i za ranili korišćenje lažne adrese i kako bi napadači postali vidljiviji, čak i ako su predstavljeni kao asymmetric/multihomed reže [18].

2.9 HIBRIDNE METODE I SMERNICE

Trenutno istraživači pokušavaju da ko inuju prednosti svih etoda ranije navedenih, u ilju smanjenja njihovih nedostatka. Kao rezultat toga, nekoliko mehanizama koji sprovode dve ili više ovih tehnika su predložene za u lažavanje uti aja DDoS napada. Naj olje rešenje za problem DDoS-a izgleda sledeće r ve moraju da o kriju da u napadnu e o je ranije mogu e. Zatim moraju slediti unazad IP adrese koje su izazvale napad zombija i upozoriti administratore o vojim akcijama. Na aj način, napad e može efika no ankcioni a i. Međuti , kao što s o ranije videli, to je trenutno ne oguće. Nedostatak 100 posto e ikasnog alata na eće neophodnost privatnih upozorenja. Korisnici moraju da brinu za svoju bezbednost. Neki osnovni predlozi su sledeći:

Sprečiti instala iju distri uiranih attack tools na siste i a. To će po oći da se ograniči zombi armija (botnet). Takođe, potre no je redovno ažurirati protokole i operativne sisteme. Na taj način ože o sprečiti eksploata iju siste a eli inišući rojne sla osti našeg siste a.

Korišćenje firewalls u gateways za filtriranje dolaznog i odlaznog sao raćaja. Nije logično da dolazni paketi sa izvornom IP adresom pripadaju pod reži, a odlazni paketi sa izvorne IP adrese ne pripadaju pod reži.

Primena IDS sistema za otkrivanje še atskih napada.

Primena antivirusnih programa za skeniranje zlonamernog kôda u sistemu.

3. ZAKLJUČAK

DDoS napad jedan je od pro le a sa koji a se susreću gotovo sve We strani e i serveri povezani na Internet. S obzirom da Internet nije stabiln, da se on brzo menja, samo znači da će DDoS protivmere brzo postati zastarele. Sa a realiza ija napada u današnje vre e je vrlo jednostavan pro es i nije potre no stručno znanje, z og nogih dostupnih alata koji

auto atizuju eo pro es. ahvaljujući tome, u vrlo kratkom vremenu, oguće je stvoriti ogro nu režu računara koji čekaju jednu ko andu kako i započeli napad. Međuti , osnovno pitanje je da li DDoS napadi predstavljaju pro le u reži ili je to individualni problem ili i jedno i drugo. ko su napadi uglavno pro le za režu, rešenje ože da ude u pro eni Internet protokola. Konkretno, ruteri ogu iltrirati zlona erni sao raćaj, napadači ne bi mogli da lažiraju IP adrese i ne bi bilo propusta u rutiranju protokola. Ako su napadi uglavno rezultat pojedinačnih ranjivosti siste a, rešenje ože proisteći iz efikasnog IDS sistema, antivirusnog programa, ili od neranjivosti firewall-a. Napadači tada ni bi mogli da kompromituju sistem u cilju stvaranja "zombi" armije. Očigledno je, da i reže i pojedini hostovi predstavljaju pro le . Shodno to e, protiv ere tre a uzeti sa o e strane. Jer napadači će sarađivati u ilju izgradnje savršene etode napada, legiti ni korisni i i progra eri ez ednosti takođe tre a da sarađuju protiv pretnje. Rešenje će nastati ko inovanje o e reže i pojedinačne protiv ere. LITERATURA: [1] http://www.caida.org/research/security/#code-red, (posećeno 24.04.2012). [2] https://www.cdt.org/issue/security-surveillance, (posećeno 24.04.2012). [3] http://static.usenix.org/events/lisa2000/full_papers/dietrich/dietrich_html/, (posećeno 14.04.2012). [4] http://staff.washington.edu/dittrich/, (posećeno 10.04.2012). [5] T. Peng, C. Leckie, and K. Ramamohanarao, "Detecting Distributed Denial of Service

Attacks Using Source IP Address Monitoring," The University of Melbourne, Australia, 2003.

[6] Steve Gibson, "Distributed Reflection Denial of Service Description and Analysis of a Potent, Increasingly Prevalent, and Worrisome Internet Attack," February 2002.

[7] http://www.ll.mit.edu/mission/communications/ist/index.html, (posećeno 10.04.2012).

[8] Yanet Manzano, "Tracing the Development of Denial of Service Attacks: A Corporate Analogy," 2003, http://www.acm.org/crossroads/xrds10-1/tracingDOS.html

[9] http://www.panix.com/press/synattack.html, (posećeno 10.03.2012). [10] http://www.cert.org/advisories/CA-1996-21.html, (posećeno 14.04.2012). [11] Charalampos Patrikakis, Thomas Kalamaris, Vaios Kakavas, "Performing Integrated

System Tests Using Malicious Component Insertion," Electronic Notes in Theoretical Computer Science, Volume 82 No. 6 (2003).

[12] https://www.paypalobjects.com/html/computerworld-011402.html, (posećeno 14.04.2012).

[13] http://www.cert.org/advisories/CA-1998-01.html, (posećeno 12.04.2012). [14] http://www.cert.org/incident_notes/IN-99-07.html#trinoo, (posećeno 12.04.2012). [15] Nathalie Weiler, "Honeypots for Distributed Denial of Service Attacks," [16] P. Ferguson and D. Senie, "Network Ingress Filtering: Defeating Denial of Service Attacks

which employ IP Source Address Spoofing," RFC 2827, May 2000. [17] P. Ferguson and D. Senie, "Network Ingress Filtering: Defeating Denial of Service Attacks

which employ IP Source Address Spoofing," RFC 2267, January 1998. [18] F. Baker and P. Savola, "Ingress Filtering for Multihomed Networks," RFC 3704, 2004. [19] http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_7-

4/dos_attacks.html (posećeno 10.03.2012).