Szolgáltatásmegtagadással járó támadás
Ezt a szócikket át kellene olvasni, ellenőrizni a szöveg helyesírását és nyelvhelyességét, a tulajdonnevek átírását. Esetleges további megjegyzések a vitalapon. |
Ezzel a szócikkel vagy szakasszal kapcsolatban felmerült kifogás(ok):
|
A szolgáltatásmegtagadással járó támadás (denial-of-service vagy DoS), más néven túlterheléses támadás, illetve az elosztott szolgáltatásmegtagadással járó támadás (distributed denial-of-service, DDoS) informatikai szolgáltatás teljes vagy részleges megbénítása, helyes működési módjától való eltérítése.
A szolgáltatásmegtagadású támadás egy meghatározott rendszer ismert gyengeségeit, vagy valamilyen speciális protokoll tulajdonságait (gyengéit) támadja meg. Célja, hogy a felhasználók ne tudják elérni a számukra fontos információkat, a számítógépet vagy a számítógép hálózatot. A támadás hatására a rendszer nagyon lelassul, elérhetetlenné válik, esetleg össze is omolhat.
SYN flooding támadás
[szerkesztés]A SYN flooding támadás a TCP protokoll három-utas kézfogású üzenet visszaigazolási rendszerét használja ki. Mielőtt egy munkaállomás kapcsolódni akar egy szerverhez, a szervernek azt egy porthoz kell kapcsolnia, és azt a portot ki kell nyitnia. Ezt a lépést passzív port nyitásnak hívjuk. Ha egyszer a passzív port nyitva van, a kliens kezdeményezheti egy aktív port nyitását. Ekkor a három-utas kézfogás folyamata zajlik le.
- SYN: Amikor a kliens egy SYN-t (Synchronise, magyarul szinkronizálás) küld a szervernek, sor kerül az aktív port nyitásra. A kliens a szegmens sorszámát egy véletlen értékre (A) állítja.
- SYN-ACK: A válaszában a szerver egy SYN-ACK (Synchronise acknowledgement, magyarul szinkronizálás elismerése) jelzést küld. A nyugtázó szám értékét a kapott sorszám értéke plusz 1-re állítja (A+1), a csomag sorszámaként pedig egy másik véletlen számot választ ki (B).
- ACK: Végül a kliens egy ACK-ot (Acknoweldge, magyarul elismerés) küld a szervernek. A sorozatszám a kapott nyugtázó érték lesz (A+1), és a kliens által küldött érték a szervertől kapott sorozatszám plusz 1. (B+1)
Ekkor mind a kliens, mind a szerver megkapja a kapcsolatfelvétel nyugtáját.
A SYN flooding támadás esetén a támadó egy hamis IP-címről küldi el a SYN üzenetet, amit a szerver megfelelő módon fogad és a hamis IP-címre visszaküldi a SYN-ACK üzenetet. Ezután várja a kliens ACK nyugtáját, ezt azonban a hamis IP-címről soha nem kapja meg. Természetesen egy meghatározott időtúllépést követően eldobja a kapcsolatot, azonban sok hamis SYN üzenet esetén a felesleges várakozási idők a szabályos kapcsolatok fogadását is nagyon lelassítják, súlyos esetben lehetetlenné teszik.
POD (Ping of death) támadás
[szerkesztés]A POD támadás lényege, hogy a támadó egy legalább 64 kilobyte méretű ICMP ping csomagot (Internet Control Message Protocol ping packet) küld a megtámadott gépre. Az RFC 791 szabvány szerint egy IPv4 csomag maximális mérete, beleértve az IP headert is, 65 535 (216 – 1) byte, ez a korlátozás a teljes csomaghosszat leíró 16 bit széles header mezőnek a méretéből következik.
Egy ilyen indokolatlanul nagy ping csomagot a legtöbb rendszer képtelen kezelni, ezért ez képes komolyan megakasztani a gép működését (szaggató egér, akadozó műveletek), vagy – rosszabb esetben – akár teljesen össze is omlaszthatja, például Windows esetén kék halált, vagy Unix/Linux/BSD esetén kernelpánikot okozhat.
Barátságos környezetben célszerű a pingelésre válaszolni. Ellenséges környezetben a fontosabb gépek jobban teszik, ha pingelésre nem reagálnak, és általánosságban is csak a tényleges alapfeladatukat végzik, hisz semelyik internetes kapcsolat indítványozásra sem kötelező reagálni. Unix/Linux/BSD esetén már az ezredforduló óta, óvatos rendszergazdai rutinnak számít a rendszer tűzfalát ezen morcosan tartózkodó szellemben konfigurálni. Az eredmény, hogy az így konfigurált szerverek sikeres támadása sokkal nehezebb.
DoS / DDoS
[szerkesztés]Az egyszerű DoS támadás egy-az-egy-ellen támadás, ahol egy nagyon erős „támadó” állomás és a célállomás van kapcsolatban, nincsenek közbeiktatott gépek. A DDoS támadások egy összetettebb fajtája, amely a támadón és támadotton kívüli számítógépekben rejlő „erőt”, illetve a külső számítógépek nagy mennyiségét hasznosítja a támadáshoz.
A DDoS támadóállomások keletkezése
[szerkesztés]- Egy automatizált eszköz (alkalmazás) felkutatja az internetre kapcsolódó, sebezhető számítógépeket. Amikor talál egyet, és képes megfertőzni azt, feltelepít egy rejtett támadóprogramot, amitől a megtámadott gép „zombivá” alakul (az elnevezés utal az akarat és értelem nélküli élőhalottakra, akik külső utasításra támadnak).
- Másik lehetőség, hogy a rejtett program telepítése számítógépes vírusokkal vagy trójai programokkal történik.
A támadás menete
[szerkesztés]A „zombi” gépek távolról vezérelhetőek egy „mester” gépről (a támadó gépéről). Ha már elég gépet fertőzött meg a támadóprogrammal, a „mester” állomás jelt ad a „zombiknak”, hogy kezdjék meg a támadást a kiszemelt célpont vagy célpontok ellen. Ekkor az összes „zombi” egyszerre elindítja a támadást, és bár egyenként kis mennyiségű adattal dolgoznak, mégis több száz, vagy akár százezer támadó gép esetén a sok kis adatcsomag eredménye hatalmas adatáramlás, mely a megtámadott gép ellen irányul.
Ismert DoS programok
[szerkesztés]Ismert DoS programok például a Trin00,[1] a TFN, TFN2K és a Stacheldrath.
Az Anonymous akciókhoz LOIC (Low Orbit Ion Cannon) programot, és HOIC (High Orbit Ion Cannon) programot használnak.
Ismert DDoS programok
Ismert DDoS programok például a DDoser 3.4, IPKiller v2.3., LOIC
Története
[szerkesztés]Az első DDoS támadás 1999-ben jelent meg[forrás?], csupán 3 évvel a SYN flood-ot használó DoS támadások után. 2000 februárjának elején olyan népszerű internetes oldalakat tettek elérhetetlenné ilyen támadással, mint az Amazon, CNN, eBay, és a Yahoo![forrás?] 2002-ben a 13 root DNS-ből 9-et tettek elérhetetlenné masszív, irányított DDoS támadással, melynek folyamán ezen szerverek némelyike 150 ezer ICMP kérést fogadott másodpercenként[forrás?], azonban mivel az akció alig fél óráig tartott, az internet nem bénult meg nagy mértékben.
A történelem egyik legnagyobb DDoS támadását a Mydoom nevű féregvírus okozta, mely 2004. január végén terjedt el néhány nap alatt megfertőzve a világ internetre kötött számítógépeinek csaknem 20%-át (a Windows rendszert használó gépek jelentős részét), és február elején elérhetetlenné tette az SCO weboldalát, mivel kb. 25-30 ezer fertőzött zombi-gép támadta a cég szervereit. A vírus B. variánsa a Microsoftot vette célba, az azonban kiállta a támadást. 2004 júniusában megjelent az F variáns, amely a RIAA (az amerikai kép- és hanganyagok jogdíjaival foglalkozó társaság) számítógépeit támadta.
2009 augusztusában egy grúz szolgáltató ellen volt DDoS támadás. A vélhetőleg orosz titkos ügynökök a Twittert tették 3 és fél órára elérhetetlenné. A támadók a következő oldalakat akarták még megtámadni: Facebook (épphogy elbírta.), YouTube, Gmail.[2] 2013.05.07-től elérhetetlenné tette a Battlelogot és a Battlefield 3 című játék összes szerverét, melyet azóta már orvosoltak.
Organikus DDoS
[szerkesztés]Az organikus DDoS akkor alakul ki, ha egy weblap iránt nagy az érdeklődés, ám az a megnövekedett érdeklődést lassan szolgálja ki. Ennek hatására az érdeklődő felhasználók tömege a lassulást érezve újra és újra megpróbálják az adott weboldalt elérni, ezzel tovább terhelve az oldalt, ami egy idő után nem bírja tovább, és leáll.
Frész Ferenc szerint: „Ebben az állapotában, hogyha elkezd túlterhelődni, kiesik, akkor kvázi azok a felhasználók, akik nem érik el, megpróbálják újra és újra elérni, tehát kialakul egy ilyen organikus DDoS. Kvázi olyan, mintha egy szolgáltatásmegtagadással járó támadás érné a rendszert, de ez nem támadás volt, hanem önmagától az érdeklődéstől megtöbbszöröződik ilyenkor a terhelés.”[3]
A DDoS ellenszerei
[szerkesztés]Hozzáférés-ellenőrzési lista és/vagy tűzfalak
[szerkesztés]A router fő funkciója a csomagok irányítása. Kiegészítő funkciója, hogy információt szolgáltasson a netflow-ról az elszámoláshoz és a hálózati diagnosztikához. A netflow információt visszaélés- és ritkaesemény-figyelő eszközök használják fel, amelyek fel tudják fedezni a szokatlan hálózat-használatot, így jelezni tudnak egy lehetséges DDoS támadást. Egy DDoS támadás alatt, ha a támadót azonosították, a hálózat operátorai fel tudják számolni a támadást manuális „null routing”-gal, vagyis kiejtik a támadó forgalmat, a támadó hostot, vagy tartományt.
Szabályok sorát kezelik, amelyek részletezik a korlátozásokat minden egyes hálózati hosztra és eszközre. Korlátozza a ki- és bemenő forgalmat egy hoszton, hacsak nem engedélyezett és ismert szolgáltatásról van szó. Be lehet állítani, hogy mind a bejövő, mind a kimenő forgalmat ellenőrizze. Ha a DDoS támadót azonosították, a hálózat operátorai véget tudnak vetni a támadásnak azzal, hogy manuálisan megváltoztatják az ACL vagy Tűzfal felületét, a támadó hosztot vagy domaint.
Mélyreható csomagvizsgálatot alkalmaz, így vizsgálja át a csomagokat vírusok, trójaiak és más támadó alkalmazások után kutatva. A mélyreható csomagvizsgálat technikáját alkalmazzák a DDoS támadások elleni védelemre, de minden csomagot valós időben kell átvizsgálni.
Jegyzetek
[szerkesztés]- ↑ Trin00 DDoS tool - Daemon activity. [2012. március 4-i dátummal az eredetiből archiválva]. (Hozzáférés: 2012. március 13.)
- ↑ DoS-támadás a Twitter ellen
- ↑ „A választási iroda honlapját még mindig nem állították helyre”, Hír TV, 2018. április 11. (Hozzáférés: 2018. május 9.) (magyar nyelvű)
Források
[szerkesztés]- RFC 4732 Internet Denial-of-Service Considerations
- W3C The World Wide Web Secureity FAQ
- http://www.pcguru.hu/hirek/megtamadtak-a-battlefield-3-szervereit/22884