Μπορεί να μην είμαστε hackers, αλλά καλό είναι να γνωρίζουμε μερικά πράγματα. Τον τελευταίο καιρό έχουν γίνει πολλές συζητήσεις για το θέμα των επιθέσεων DoS χάρη στις οποίες είναι δυνατή η σχετικά εύκολη απενεργοποίηση ενός κόμβου Internet, ακόμη και από άτομα με μικρές τεχνικές γνώσεις. Ας μην ξεχάσουμε και μερικές ομάδες που πρόσφατα απασχόλησαν τις διεθνείς αρχές για την εφαρμογή των επιθέσεων σε διάφορες σελίδες. Οι ομάδες αυτές ήταν γνωστές με τα ονόματα Lulzsec και Anonymous. Σε αυτό το tutorial θα περιγράψουμε τα κυριότερα είδη αυτών των επιθέσεων που απασχόλησαν κατά καιρούς τις αρχές και οι οποίες έχουν ως κοινό χαρακτηριστικό την αποστολή στο θύμα (τον server που αποτελεί τον στόχο της επίθεσης) ενός τόσο μεγάλου αριθμού πλαστών αιτημάτων σύνδεσης ώστε δεν μπορεί πλέον να διαχειριστεί το παραμικρό και διακόπτει τη λειτουργία του.
Οι κυριότερες μορφές επιθέσεων αυτής της μορφής είναι οι παρακάτω και τις αναλύουμε ξεχωριστά:
Οι κυριότερες μορφές επιθέσεων αυτής της μορφής είναι οι παρακάτω και τις αναλύουμε ξεχωριστά:
Ping of Denial (γνωστή και ως Ping of Death)
Πρόκειται για την παλαιότερη και πιο διαδεδομένη μορφή επίθεσης. Για καθαρά τεχνικούς λόγους κάθε server συνδεδεμένος με το Internet πρέπει να μπορεί να δεχθεί μηνύματα ping στα οποία απαντά αποστέλλοντας μια σειρά από μηνύματα pong χάρη στα οποία μετράται η ταχύτητα ανταπόκρισής του. Για την επίθεση αυτή ο επιτιθέμενος απλώς αποστέλλει πάρα πολλά μηνύματα ping τα οποία ο server είναι υποχρεωμένος να απαντήσει, δαπανώντας φυσικά υπολογιστική ισχύ και bandwidth. Αν τα μηνύματα ping είναι πάρα πολλά τότε ο αποδέκτης τους καθυστερεί σημαντικά στην εκτέλεση άλλων εργασιών (π.χ. αποστολή web σελίδων) διότι είναι πολύ απασχολημένος στέλνοντας pong, ενώ αν ο φόρτος γίνει πολύ μεγάλος είναι πιθανό να διακόψει τελείως τη λειτουργία του.
Δυστυχώς, η άμυνα από το Ping of Death είναι εξαιρετικά δυσχερής, καθώς το Ping αποτελεί τη μέθοδο με την οποία ένας Η/Υ δηλώνει ότι είναι ενεργός μέσα στο δίκτυο. Δεν είναι λοιπόν δυνατόν να αρνηθεί να απαντήσει σε όποιο Ping δέχεται. Τελευταία, μερικά συστήματα έχουν αποκτήσει μεγάλους Ping buffers και έτσι μπορούν είτε να απαντούν σε πολλά Ping χωρίς να επηρεάζεται η λειτουργία τους, είτε να επεξεργάζονται όσα Ping δέχονται, αναγνωρίζοντας και αγνοώντας αυτόματα όποια από αυτά αποτελούν προϊόν επιθέσεως.
ICMP.
ICMP.
Το πρωτόκολλο ICMP χρησιμοποιείται για την επικοινωνία μεταξύ υπολογιστών, χωρίς να χρειάζεται η υλοποίηση ενός ισχυρότερου και πιο περίπλοκου (συνεπώς και πιο αργού) πρωτοκόλλου όπως το TCP. Το ICMP μεταφέρει πολύ λίγες πληροφορίες οι οποίες ενημερώνουν κάθε υπολογιστή για την κατάσταση της σύνδεσής του με άλλα μηχανήματα. Για να "κλείσει" τη σύνδεση ενός Η/Υ ο επιτιθέμενος δεν έχει παρά να του στείλει μέσω του ICMP ένα από τα ακόλουθα μηνύματα:
DESTINATION UNREACHABLE
TIME TO LIVE EXCEEDED
PARAMETER PROBLEM
PACKET TOO BIG
SOURCE QUENCH
Ουσιαστικά δηλαδή, ο επιτιθέμενος δηλώνει απλώς στο θύμα πως υπάρχει πρόβλημα και ο αποδέκτης διακόπτει τη σύνδεσή του. Θεωρητικά, αυτό το πρόβλημα μπορεί να αντιμετωπιστεί αν απενεργοποιηθεί (κλείσει) η ICMP port (στα windows αυτή είναι η default επιλογή). Δυστυχώς, με τον τρόπο αυτό μειώνεται η ταχύτητα σύνδεσης ενός Η/Υ με το δίκτυο. Έτσι, πολλοί administrators προτιμούν να διατηρούν αυτή τη δυνατότητα εν λειτουργία, παρ' όλους τους κινδύνους που συνεπάγεται κάτι τέτοιο.
TIME TO LIVE EXCEEDED
PARAMETER PROBLEM
PACKET TOO BIG
SOURCE QUENCH
Ουσιαστικά δηλαδή, ο επιτιθέμενος δηλώνει απλώς στο θύμα πως υπάρχει πρόβλημα και ο αποδέκτης διακόπτει τη σύνδεσή του. Θεωρητικά, αυτό το πρόβλημα μπορεί να αντιμετωπιστεί αν απενεργοποιηθεί (κλείσει) η ICMP port (στα windows αυτή είναι η default επιλογή). Δυστυχώς, με τον τρόπο αυτό μειώνεται η ταχύτητα σύνδεσης ενός Η/Υ με το δίκτυο. Έτσι, πολλοί administrators προτιμούν να διατηρούν αυτή τη δυνατότητα εν λειτουργία, παρ' όλους τους κινδύνους που συνεπάγεται κάτι τέτοιο.
Fragmentation
Αποτελεί τον πιο μοντέρνο, και γι' αυτό πιο δύσκολο στην αντιμετώπιση, τρόπο επιθέσεως. Όταν δύο Η/Υ επικοινωνούν με το πρωτόκολλο TCP/IP ουσιαστικά ανταλλάσσουν αρχεία τα οποία ο αποστολέας "τεμαχίζει" σε μικρότερα κομμάτια τα οποία και αποστέλλει στον παραλήπτη ο οποίος τα συναρμολογεί, ανασυνθέτοντας το αρχικό αρχείο. Τα πακέτα αυτά περιέχουν μια σειρά από στοιχεία ελέγχου μέσω των οποίων ο παραλήπτης ελέγχει αν τα δεδομένα έφτασαν σε καλή κατάσταση. Σε περίπτωση που διαπιστωθεί κάποιο πρόβλημα, τότε ο παραλήπτης επικοινωνεί με τον αποστολέα και του ζητάει να ξαναστείλει τα πακέτα που αλλοιώθηκαν κατά τη μεταφορά.
Εκμεταλλευόμενος αυτό το χαρακτηριστικό, ο επιτιθέμενος στέλνει συνεχώς πακέτα με λανθασμένα στοιχεία ελέγχου. Έτσι, υποχρεώνει τον παραλήπτη να σπαταλά υπολογιστική ισχύ και bandwidth, ζητώντας συνεχώς την επανάληψη της αποστολής τους.
Αν και έχουν βρεθεί κάποια αντίμετρα για τις επιθέσεις Fragmentation, κανένα από αυτά δεν είναι αρκετά αποτελεσματικό. Αν η επίθεση συνεχιστεί για μεγάλο χρονικό διάστημα ή αν γίνεται από μια γρήγορη γραμμή, τελικά το θύμα θα υποχρεωθεί να αποσυνδεθεί από το δίκτυο.
E-mail bombing
Αν και από πολλούς δεν θεωρείται ως Denial of Service Attack, το E-mail bombing είναι πολύ αποτελεσματικό όταν χρησιμοποιείται εναντίον υπολογιστών οι οποίοι διαχειρίζονται mail. Το μόνο που έχει να κάνει κανείς είναι να τους στείλει τόσα πολλά (σε μέγεθος και αριθμό) email μηνύματα, ώστε ο φόρτος των εργασιών διαχείρισής τους να οδηγήσει το σύστημα σε κατάρρευση.
Port Flooding
Όλοι οι υπολογιστές διαθέτουν μια σειρά από λογικές πόρτες μέσω των οποίων μπορεί ένα άλλο μηχάνημα να συνδεθεί μαζί τους για να εκτελέσει μια σειρά από εργασίες. Για παράδειγμα, στο UNIX η πόρτα 25 χρησιμοποιείται από την υπηρεσία.
Teardrop
Καταρχήν για να καταλάβουμε αυτού του είδους την επίθεση ας πούμε μερικά πράγματα για το πρωτόκολλο TCP/IP. Κάθε πακέτο σε κάποιο δίκτυο έχει ένα καθορισμένο μέγεθος. Αυτό ονομάζεται MTU (Maximum Transmission Unit). Αυτό το μέγεθος είναι το μεγαλύτερο που μπορεί το δίκτυο να στείλει. Έτσι εάν θέλουμε να στείλουμε ένα πακέτο που έχει μέγεθος μεγαλύτερο από το επιτρεπτό MTU θα πρέπει να το χωρίσουμε σε μικρότερα μέρη.
UDP flood attack
Η επίθεση UDP flood (UDP flood attack) είναι μία υποπερίπτωση των επιθέσεων άρνησης υπηρεσιών (Denial of Service - DOS) στην οποία χρησιμοποιούνται πακέτα UDP. Η αντίστοιχη μορφή επίθεσης υπάρχει και για πακέτα TCP και μάλιστα είναι πολύ πιο συνηθισμένη.
Μία επίθεση UDP flood περιλαμβάνει την αποστολή ενός πολύ μεγάλου αριθμού UDP πακέτων σε τυχαίες πόρτες ενός υπολογιστή. Ο υπολογιστής που δέχεται την επίθεση θα πρέπει αρχικά να διαπιστώσει εάν κάποια από τις υπηρεσίες του ακούει στην συγκεκριμένη πόρτα και εάν δεν ακούει να απαντήσει με ένα πακέτο ICMP Destination Unreachable. Άρα λοιπόν, η εισροή μεγάλου αριθμού UDP πακέτων στον υπολογιστή που υφίσταται την επίθεση τον αναγκάζει να απαντήσει με εξίσου μεγάλο αριθμό πακέτων ICMP, γεγονός που τελικά εμποδίζει άλλους απλούς χρήστες από το να χρησιμοποιήσουν τις υπηρεσίες του υπό επίθεση υπολογιστή.
Ο επιτιθέμενος μπορεί στο πεδίο Source Address των πακέτων UDP να μην χρησιμοποιήσει την δικιά του διεύθυνση IP, αλλά κάποια άλλη τυχαία διεύθυνση. Με τον τρόπο αυτό παραμένει ανώνυμος και ο υπολογιστής που δέχεται την επίθεση δεν μπορεί να τον εντοπίσει. Επιπροσθέτως τα πακέτα ICMP που στέλνει ο υπολογιστής που υφίσταται την επίθεση δεν τον επηρεάζουν καθόλου. Η αντιμετώπιση αυτής της απειλής μπορεί να γίνει με κατάλληλη ρύθμιση του firewall ούτως ώστε απλά να αγνοεί τα πακέτα που προορίζονται για πόρτες στις οποίες δεν ακούει κάποια συγκεκριμένη υπηρεσία.
Η επίθεση Smurf είναι ένα είδος επίθεσης άρνησης εξυπηρέτησης (DOS - Denial of Service) και πήρε το όνομά της από το πρώτο πρόγραμμα που την υλοποίησε (Smurf στα Αγγλικά σημαίνει στρουμφάκι). Σε μία τέτοια επίθεση, ο επιτιθέμενος χρησιμοποιεί την διεύθυνση IP broadcast διαφόρων δικτύων για να πλημμυρίσει το θύμα με πακέτα ping ICMP Echo Reply.Κατά την έναρξη μίας επίθεσης Smurf, ο επιτιθέμενος στέλνει μία πληθώρα πακέτων ping ICMP Echo Request σε διευθύνσεις IP broadcast διαφόρων δικτύων. Τα πακέτα αυτά έχουν τροποποιηθεί κατάλληλα ούτως ώστε στο πεδίο source της κεφαλίδας IP να αναγράφεται η διεύθυνση IP του θύματος και όχι του επιτιθέμενου. Επίσης, δεδομένου ότι στάλθηκαν στην διεύθυνση IP Broadcast των διαφόρων δικτύων, τα λαμβάνουν όλοι οι υπολογιστές που ανήκουν σε αυτά. Αυτό έχει ως συνέπεια όλοι οι υπολογιστές να απαντούν στο ping με πακέτα ICMP Echo Reply, τα οποία έχουν ως διεύθυνση προορισμού την διεύθυνση IP του θύματος. Άρα λοιπόν το θύμα πλημμυρίζει με πακέτα ping και οδηγείται σε κατάρρευση.
Η επίθεση Smurf ουσιαστικά επιτρέπει στον επιτιθέμενο να εκμεταλλευτεί άλλα δίκτυα υπολογιστών και με την αποστολή σχετικά λίγων πακέτων ping να πετύχει τον στόχο του. Τα δίκτυα υπολογιστών χρησιμεύουν ουσιαστικά στον πολλαπλασιασμό των πακέτων του επιτιθέμενου και την αποστολή αυτών στο θύμα. Τα δίκτυα τα οποία χρησιμοποιούνται κατ' αυτόν τον τρόπο ονομάζονται Ενισχυτές Smurf (Smurf Amplifiers), διότι ενισχύουν την επίθεση.
SMURF attack
Η επίθεση Smurf είναι ένα είδος επίθεσης άρνησης εξυπηρέτησης (DOS - Denial of Service) και πήρε το όνομά της από το πρώτο πρόγραμμα που την υλοποίησε (Smurf στα Αγγλικά σημαίνει στρουμφάκι). Σε μία τέτοια επίθεση, ο επιτιθέμενος χρησιμοποιεί την διεύθυνση IP broadcast διαφόρων δικτύων για να πλημμυρίσει το θύμα με πακέτα ping ICMP Echo Reply.Κατά την έναρξη μίας επίθεσης Smurf, ο επιτιθέμενος στέλνει μία πληθώρα πακέτων ping ICMP Echo Request σε διευθύνσεις IP broadcast διαφόρων δικτύων. Τα πακέτα αυτά έχουν τροποποιηθεί κατάλληλα ούτως ώστε στο πεδίο source της κεφαλίδας IP να αναγράφεται η διεύθυνση IP του θύματος και όχι του επιτιθέμενου. Επίσης, δεδομένου ότι στάλθηκαν στην διεύθυνση IP Broadcast των διαφόρων δικτύων, τα λαμβάνουν όλοι οι υπολογιστές που ανήκουν σε αυτά. Αυτό έχει ως συνέπεια όλοι οι υπολογιστές να απαντούν στο ping με πακέτα ICMP Echo Reply, τα οποία έχουν ως διεύθυνση προορισμού την διεύθυνση IP του θύματος. Άρα λοιπόν το θύμα πλημμυρίζει με πακέτα ping και οδηγείται σε κατάρρευση.
Η επίθεση Smurf ουσιαστικά επιτρέπει στον επιτιθέμενο να εκμεταλλευτεί άλλα δίκτυα υπολογιστών και με την αποστολή σχετικά λίγων πακέτων ping να πετύχει τον στόχο του. Τα δίκτυα υπολογιστών χρησιμεύουν ουσιαστικά στον πολλαπλασιασμό των πακέτων του επιτιθέμενου και την αποστολή αυτών στο θύμα. Τα δίκτυα τα οποία χρησιμοποιούνται κατ' αυτόν τον τρόπο ονομάζονται Ενισχυτές Smurf (Smurf Amplifiers), διότι ενισχύουν την επίθεση.
HTTP Flood
Οι επιθέσεις τύπου HTTP Flood αποτελούν ένα νέο είδος επιθέσεων άρνησης εξυπηρέτησης που παρουσιάζουν σημαντικές ποιοτικές διαφορές από τις SYN Flood επιθέσεις. Οι HTTP Flood επιθέσεις αφορούν την υπηρεσία του παγκόσμιου ιστού (World Wide Web) και έχουν δύο στόχους:
- Να δεσμεύσουν τους διαθέσιμους χρήστες που μπορεί να εξυπηρετήσει ο διακομιστής χωρίς να μπορεί έτσι ένας κανονικός χρήστης να χρησιμοποιήσει την υπηρεσία του παγκόσμιου ιστού.
- Να μειώσουν συστηματικά τον πραγματικό αριθμό των χρηστών που μπορούν να εξυπηρετηθούν καθώς και την ταχύτητα πρόσβασης στις ιστοσελίδες μειώνοντας έτσι την ποιότητα των υπηρεσιών που παρέχονται.
Ο πρώτος στόχος γίνεται εύκολα αντιληπτός αφού ο διακομιστής θα παράγει κάποια προειδοποίηση ή κάποιο σφάλμα. Ο δεύτερος στόχος όμως δεν είναι απαραίτητο πως θα παράγει κάποια προειδοποίηση και έτσι η επίθεση μπορεί να πραγματοποιείται για μεγάλα χρονικά διαστήματα χωρίς να γίνεται αντιληπτή.
Στην απλή μορφή τους και σε χαμηλό επίπεδο οι HTTP Flood επιθέσεις δεν έχουν καμία διαφορά από τις SYN Flood επιθέσεις. Οι HTTP Flood επιθέσεις μπορούν να χωριστούν σε τρεις κατηγορίες:
Στην απλή μορφή τους και σε χαμηλό επίπεδο οι HTTP Flood επιθέσεις δεν έχουν καμία διαφορά από τις SYN Flood επιθέσεις. Οι HTTP Flood επιθέσεις μπορούν να χωριστούν σε τρεις κατηγορίες:
- Επιθέσεις που ζητούν συνέχεια την ίδια σελίδα
- Επιθέσεις που ζητούν συνέχεια τυχαίες σελίδες
- Επιθέσεις που μιμούνται την πλοήγηση κανονικών χρηστών
Στην πρώτη κατηγορία, ο επιτιθέμενος ζητάει από το διακομιστή συνέχεια την ίδια σελίδα. Η αναγνώριση αυτού του τύπου της επίθεσης είναι ιδιαίτερα εύκολη. Μπορούν να χρησιμοποιηθούν απλοί κανόνες που εφαρμόζονται σε στατιστικές μετρήσεις. Για αυτή την περίπτωση υπάρχει το εργαλείο mod_evasive (Jonathan Zdziarki) το οποίο είναι διαθέσιμο σαν module για τον Apache Web Server και το οποίο είναι σχετικά αξιόπιστο.
Στη δεύτερη κατηγορία, ο επιτιθέμενος αρχικά αναλύει το δικτυακό τόπο και εξάγει τους υπέρ-συνδέσμους αυτού. Στη συνέχεια, ζητάει τους υπέρ-συνδέσμους αυτούς με τυχαίο τρόπο. Η αναγνώριση της επίθεσης αυτής είναι σχετικά εύκολη αφού μπορεί να πραγματοποιηθεί μετρώντας τη διασπορά των ιστοσελίδων για κάθε πλοήγηση δηλαδή την ακολουθία σελίδων για κάθε χρήστη (clickstream).
Στην τρίτη κατηγορία, ο χρήστης αναλύει το δικτυακό τόπο, εξάγει τους υπερσυνδέσμους αυτού, και τη σύνδεση των ιστοσελίδων μεταξύ τους, δηλαδή δημιουργεί το έγγραφο που αναπαριστά το δικτυακό τόπο. Βασισμένος σε αυτή την πληροφορία, ο επιτιθέμενος δημιουργεί τυχαία πρότυπα πλοήγησης και ανακτά τις σελίδες από τον διακομιστή με βάση αυτά τα πρότυπα. Από τη μεριά του διακομιστή αυτό φαίνεται σαν μια κανονική πλοήγηση από ένα χρήστη. Ιδιαίτερα στην περίπτωση μιας κατανεμημένης επίθεσης με τυχαία πρότυπα πλοήγησης, η αναγνώριση της είναι ιδιαίτερα δύσκολη.
ICMP Flooding
Ο επιτιθέμενος στέλνει ICMP Echo Request πακέτα σε όλους του χρήστες που βρίσκονται κάτω από ένα δίκτυο χρησιμοποιώντας τη διαδικτυακή διεύθυνση του δρομολογητή. Οι χρήστες με την σειρά τους απαντάνε στις αιτήσεις αυτές και έτσι δημιουργείται ένας μεγάλος αριθμός πακέτων (ICMP Echo Reply) προς επεξεργασία από τον δρομολογητή με αποτέλεσμα να μειωθεί η αποδοτικότητα του.
SYN Flooding
Το πρωτόκολλο SYN-ACK αποτελεί τη βάση κάθε έναρξης σύνδεσης μέσα στο Internet. Όταν ένας Η/Υ θέλει να συνδεθεί με έναν άλλο του αποστέλλει ένα πακέτο SYN στο οποίο ο server απαντάει με ένα πακέτο ACK (acknowledge). Όταν ο Η/Υ που ζήτησε τη σύνδεση λάβει το ACK θεωρεί ότι η σύνδεση έχει ολοκληρωθεί και αρχίζει τη μετάδοση των δεδομένων. Σε μια επίθεση SYN Flooding ο επιτιθέμενος στέλνει συνεχώς πακέτα SYN αλλά όχι ACK. Έτσι, ο server που δέχεται την επίθεση είναι υποχρεωμένος για περιμένει για κάποιο χρονικό διάστημα το ACK, δεσμεύοντας φυσικά με την αναμονή αυτή ένα μέρος των διαθέσιμων πόρων του. Αν το ACK δεν έρθει ποτέ, το θύμα θα τερματίσει την αναμονή και θα ασχοληθεί με άλλες δραστηριότητες. Γι' αυτό ο επιτιθέμενος συνήθως στέλνει έναν συνεχώς αυξανόμενο αριθμό πακέτων SYN, δεσμεύοντας όλο και περισσότερους πόρους του θύματος στην αναμονή των ACK τους και οδηγώντας σιγά σιγά τον server του θύματος στην κατάρρευση.
Δυστυχώς δεν είναι πρακτικά δυνατόν να αμυνθεί κανείς σε επιθέσεις αυτής της μορφής, καθώς το πρωτόκολλο SYN-ACK αποτελεί τη βάση κάθε σύνδεσης μέσα στο Internet. Γι' αυτό και η μόνη απάντηση που έχει προταθεί μέχρι σήμερα είναι να θέτει ο administrator κάθε μηχανήματος ένα όριο στον αριθμό των συνδέσεων τις οποίες θα εξυπηρετεί ο server, αγνοώντας πολλά από τα SYN που λαμβάνει. Δυστυχώς όμως, με τον τρόπο αυτό κινδυνεύουν να μην εξυπηρετηθούν και οι νόμιμοι χρήστες του συστήματος αφού δεν είναι εύκολο να ξεχωρίσει κανείς τα αποδεκτά από τα κακόβουλα SYN.
Τρόποι απόκρυψης της επίθεσης.
Η απόκρυψη του Η/Υ από τον οποίο γίνεται η επίθεση είναι απαραίτητη όχι μόνο διότι ο επιτιθέμενος επιθυμεί να παραμείνει κρυφή η ταυτότητά του, αλλά και επειδή μόνο έτσι θα μπορέσει να επαναλάβει τις επιθέσεις του αρκετές φορές ώστε να αποβούν καρποφόρες (αν ο διαχειριστής του στόχου παρατηρήσει ότι όλα τα προβληματικά πακέτα έρχονται από την IP διεύθυνση ΧΧ.ΧΧΧ.Χ.ΧΧΧ τότε απλώς θα διακόψει την επικοινωνία μαζί της, λύνοντας αμέσως το πρόβλημα της επίθεσης). Για τον λόγο αυτό οι επιτιθέμενοι ακολουθούν συνήθως την τεχνική του IP Spoofing μέσω της οποίας πλαστογραφούν τη διεύθυνση αποστολής των πακέτων τα οποία δέχονται τα θύματά τους. Το IP Spoofing συνήθως γίνεται από μηχανήματα UNIX διότι αυτό το λειτουργικό σύστημα δίνει μεγαλύτερες ελευθερίες στους χρήστες του απ' ό,τι ένα κλειστό λειτουργικό όπως τα Windows (ουσιαστικά ο επιτιθέμενος μπορεί να κάνει τα πακέτα να δηλώνουν ως σημείο προέλευσης όποια IP διεύθυνση επιθυμεί). Για το ΙΡ Spoofing θα αναφερθούμε σε επόμενα tutorial αναλυτικότερα.
Οι επιθέσεις Denial of Service ως μέσο εισβολής σε ένα σύστημα
Για τους περισσότερους ειδικούς, οι επιθέσεις DoS θεωρούνται πολύ ενοχλητικές, αλλά όχι θανάσιμα επικίνδυνες για ένα σύστημα. Ο επιτιθέμενος μπορεί ίσως να διακόψει τη λειτουργία ενός μηχανήματος για μερικές ώρες, αλλά δεν έχει τη δυνατότητα να αποκτήσει πρόσβαση σε αυτό και να τροποποιήσει δεδομένα σε κάποιο από τα άλλα μηχανήματα τα οποία μοιράζονται το ίδιο δίκτυο. Δυστυχώς, αυτό δεν είναι αλήθεια. Μια καλή και δοκιμασμένη τεχνική (χρησιμοποιήθηκε από τον Kevin Mitnick για να εισβάλει στο σύστημα του διώκτη του κ. Tsutomu Shinomura) είναι η εισβολή σε ένα δίκτυο μέσω επίθεσης DoS σε έναν από τους servers του. Όταν το μηχάνημα αυτό πάψει να λειτουργεί, τότε ο επιτιθέμενος επικοινωνεί με άλλα μηχανήματα του ίδιου δικτύου "υποκρινόμενος" ότι τα πακέτα που στέλνει προέρχονται από το αχρηστευμένο και εκτός λειτουργίας πλέον μηχάνημα. Με τον τρόπο αυτό αυξάνονται σημαντικά οι πιθανότητες να επιτευχθεί πρόσβαση στα άλλα μηχανήματα του δικτύου, καθώς η εντολή πρόσβασης δεν δίνεται από έναν τρίτο, αλλά από μια έμπιστη πηγή (ένα μηχάνημα εντός του δικτύου).
Συμπεράσματα
Όπως φανερώνουν τα παραπάνω στοιχεία, οι τρόποι επίθεσης DoS σε έναν κόμβο Internet είναι τόσοι πολλοί και οι δυνατότητες άμυνας τόσο περιορισμένες που είναι να απορεί κανείς γιατί μέχρι σήμερα τα κρούσματα ήταν τόσο λίγα. Δυστυχώς όμως αυτή η "ανακωχή" δεν προβλέπεται να διαρκέσει για πολύ. Όλο και περισσότεροι hackers (ειδικά από χώρες του τρίτου κόσμου) επιτίθενται σε επιχειρήσεις και στη συνέχεια τις εκβιάζουν, ζητώντας την καταβολή ποσών που φτάνουν μέχρι και τα 100.000 δολάρια, για να μην κοινοποιήσουν όσα στοιχεία ανακάλυψαν στους ανταγωνιστές τους. Αν λοιπόν λάβει κανείς υπ' όψιν του το χαμηλό βιοτικό επίπεδο των χωρών αυτών, αλλά και τη συνεχιζόμενη "ελαφρότητα" με την οποία αντιμετωπίζεται το θέμα της ασφάλειας από τις περισσότερες επιχειρήσεις, τότε επιθέσεις όπως αυτές που περιγράφηκαν παραπάνω θα γίνονται όλο και συχνότερες και πιο εντυπωσιακές.
0 σχόλια:
Δημοσίευση σχολίου
Σημείωση: Μόνο ένα μέλος αυτού του ιστολογίου μπορεί να αναρτήσει σχόλιο.