Śledzenie IP

Niezwykłym mechanizmem, który był przedmiotem poważnych badań na początku do połowy 2000 roku, był IP Traceback. Problem z atakami DoS / DDoS polega na tym, że pakiety pochodzą z dużej liczby źródeł, a fałszowanie adresów IP maskuje te źródła. Oznaczenie śladowe w koncepcji jest stosunkowo prostym pomysłem. Każdy pakiet w Internecie przechodzi przez pewną liczbę routerów ISP. Moc przetwarzania, pamięć i pamięć są dostępne dla routerów do oznaczania pakietów z częściową informacją o ścieżce po ich przybyciu. Ponieważ ataki DoS / DDoS zazwyczaj obejmują dużą liczbę pakietów, mechanizm śledzenia nie musi oznaczać każdego pakietu, a jedynie wielkość próby, która statystycznie prawdopodobnie obejmuje pakiety ataku (np. 1 pakiet na każde 20 000 lub 0,005% ruchu IP). Ta funkcja umożliwiłaby ofierze zlokalizowanie przybliżonego źródła ataku bez pomocy zewnętrznych agencji, a nawet po zakończeniu ataku. Inna propozycja śledzenia mogłaby zdefiniować śledzenie ICMP wiadomość, która zostanie wysłana do strony ofiary, zawierająca częściowe informacje o trasie o próbkowanym pakiecie. Istnieje wiele problemów związanych ze śledzeniem, które muszą zostać rozwiązane, takich jak minimalna liczba zaznaczonych pakietów wymagana do odtworzenia ścieżki z powrotem do atakującego, faktyczny narzut przetwarzania i możliwość wykonania śledzenia podczas trwającego ataku. Ponadto każde rozwiązanie śledzenia wstecznego będzie wymagało zmiany dziesiątek tysięcy routerów w Internecie; jak skuteczne może być śledzenie w okresie stopniowego wdrażania? Zaletą jest oczywiście to, że rozwiązanie jest kompatybilne wstecz i nie ma negatywnych skutków dla użytkowników.

Client Puzzle Protocol

RSA Laboratories zaproponowało metody kryptograficzne jako potencjalną obronę przed atakami DDoS przeciwko serwerom WWW. W tym podejściu wykorzystanoby protokół puzzle klienta zaprojektowany, aby umożliwić serwerom przyjmowanie żądań połączeń od legalnych klientów i blokowanie ich od atakujących. Układanka kliencka to problem kryptograficzny generowany w taki sposób, aby był zależny od czasu i informacji unikalnych dla żądania serwera i klienta. W normalnych warunkach serwer akceptuje każde żądanie połączenia od dowolnego klienta. W przypadku wykrycia ataku serwer selektywnie akceptuje żądania połączenia, odpowiadając na każde żądanie układanką. Serwer przydziela zasoby niezbędne do obsługi połączenia tylko tym klientom, którzy poprawnie reagują na łamigłówkę w określonym czasie oczekiwania TCP. Klient działający w dobrej wierze doświadczy jedynie niewielkiego opóźnienia w uzyskaniu połączenia podczas ataku, podczas gdy atakujący zużyje niewiarygodną moc obliczeniową, aby kontynuować wysyłanie liczby żądań niezbędnych do zauważalnej przerwy w działaniu w miejscu docelowym, szybko renderując atak nieskuteczny (w efekcie odwrotna DoS). Ten schemat może być skuteczny przeciwko atakowi DDoS ze strony stosunkowo małej liczby hostów, z których każdy wysyła dużą liczbę pakietów, ale może mieć ograniczoną skuteczność przeciwko atakowi o małej objętości z dużej liczby systemów lub z botnetu.

Monitor ruchu rozproszonego

Jedną z proponowanych metod jest zbadanie sieci na poziomie ISP i zbudowanie pewnego rodzaju inteligentnego, rozproszonego monitora ruchu sieciowego; w pewnym sensie byłoby to jak IDS dla Internetu. Dostawcy usług internetowych, punkty peering i / lub główne serwery hostów miałyby sprzęt monitorujący ruch korzystający z IP i Internetu do komunikacji, podobnie jak dzisiejsze protokoły routingu. Każdy węzeł bada pakiety i ich zawartość, wykonując statystyczną analizę ruchu, aby poznać normalne wzorce. Urządzenia te miałyby wystarczającą inteligencję, aby móc wykryć zmiany w poziomie ruchu i ustalić, czy zmiany te odzwierciedlają normalny stan, czy nie. Jako przykład załóżmy, że taki sprzęt na Amazon.com miał zidentyfikować atak DoS przeprowadzony przez dostawcę usług internetowych w Gondwanaland; sieć monitorowania ruchu odcięłaby ruch do Amazona pochodzący od tego ISP tak blisko ISP, jak to możliwe. W ten sposób rozproszona sieć monitorów może wyłączyć ruch u źródła. Sprzęt musiałby być informowany o zmianach w poziomie ruchu spowodowanych normalnymi zdarzeniami, takimi jak nowa reklama Super Bowl na YouTube lub nowy pokaz mody na stronie internetowej Victoria Secret. Sprzęt musiałby również uniemożliwić społeczności atakujących działanie pod przykrywką tych normalnych zdarzeń.

Inne narzędzia w trakcie opracowywania lub rozpatrywania

Odpowiedzi na ataki DDoS nie ograniczają się do wymienionych wyżej kroków obronnych. Rzeczywiście, proaktywne reakcje na zapobieganie atakom DDoS i ich wykrywanie są aktywnym obszarem badań. Te propozycje są jedynie próbkami niektórych sposobów radzenia sobie z atakami DDoS; pierwszy dodaje nowy sprzęt do Internetu, drugi wymaga zmiany oprogramowania serwera WWW i klienta, a dwa ostatnie wymagają stopniowej zmiany oprogramowania odpowiednio we wszystkich routerach i hostach internetowych. Aktualizacja przeglądarek internetowych jest prawdopodobnie najbardziej praktyczną strategią, mimo że w dystrybucji znajdują się miliony egzemplarzy; zdecydowana większość pochodzi tylko od kilku dostawców, a użytkownicy i tak często dokonują aktualizacji.

Wykorzystywane działania obronne oprogramowania

Istnieje wiele kroków obronnych, które można podjąć w celu uniknięcia lub złagodzenia problemów z powodu ataków Code Red / NIMDA, które wykorzystują oprogramowanie. Kilka z tych zaleceń budzi kontrowersje z powodu ich domniemanego bojkotu produktów określonego dostawcy.

* Jeśli używasz IIS, rozważ użycie oprogramowania serwera alternateWeb. Jeśli korzystanie z IIS jest niezbędne, utrzymuj IIS i system operacyjny w najnowszej wersji łaty. Na przykład zbiorcza łatka Microsoft IIS nie czyści systemu wielu backdoorów wykorzystywanych do exploitów.

* Jeśli używasz Internet Explorera, rozważ użycie alternatywnego oprogramowania przeglądarki. Jeśli musisz użyć IE, zabezpiecz go przed automatycznym wykonaniem MIME. Należy zauważyć, że jeszcze we wrześniu 2012 r. US-CERT zgłaszał niezałatane luki w zabezpieczeniach IE6, IE7, IE8 i IE9, a niektóre organy (np. Rząd Niemiec) odradzały stosowanie jakiejkolwiek wersji IE.

* Wyłącz wszystkie nieużywane konta na serwerach i innych systemach. W szczególności włącz konto Gość lub dostęp anonimowy tylko wtedy, gdy jest to absolutnie konieczne.

* Wyłącz JavaScript, Java i ActiveX w przeglądarkach, chyba że jest to absolutnie konieczne.

* Nie wykonuj ani nie otwieraj żadnych załączników wiadomości e-mail, chyba że są oczekiwane, znane i zweryfikowane.

* Używaj najbardziej aktualnych plików sygnatur antywirusowych.

* Usuń powiązanie udostępniania plików i drukarek z TCP / IP. W niektórych przypadkach będzie to wymagało instalacji NetBEUI do udostępniania plików i drukarek.

Działania dostawcy usług internetowych

Dostawcy usług internetowych dają ostatnią nadzieję na pokonanie rozprzestrzeniania się ataku DDoS. Chociaż dostawca usług internetowych nie może wziąć odpowiedzialności za blokowanie systemów hosta każdego klienta, dostawcy usług internetowych mają i powinni przyjąć odpowiedzialność za zapewnienie, że ich sieć nie przenosi pakietów zawierających oczywiście „złe” pakiety. Niektóre kroki, które mogą podjąć dostawcy usług internetowych, to:

  1. Jak wspomniano, osoby atakujące zwykle wykorzystują fałszowanie adresów IP przy użyciu prywatnego adresu RFC 1918 lub innego adresu zastrzeżonego. O dziwo, wielu dostawców usług internetowych kieruje te pakiety. Rzeczywiście, w ich tablicy routingu nie ma wpisu informującego, gdzie wysłać pakiety; przekazują je jedynie domyślnemu dostawcy usług internetowych. Każdy pakiet zawierający dowolny RFC 1918 lub zarezerwowany adres IP w polu Adres źródłowy IP lub Adres docelowy powinien zostać natychmiast odrzucony.
  2. Wykonaj filtrowanie adresu wejściowego (i wyjściowego). Filtrowanie Ingress oznacza, że ​​dostawcy usług internetowych powinni sprawdzać każdy przychodzący pakiet do swojej sieci z witryny klienta i sprawdzać pole Adres źródłowy IP, aby upewnić się, że identyfikator NET odpowiada identyfikatorowi NET ID przypisanemu do tego klienta. Wykonanie tego będzie wymagało dodatkowej konfiguracji na routerze i może nawet spowodować niewielki spadek wydajności, ale kompromis jest z pewnością wart wysiłku. Dostawcy usług internetowych powinni również przeprowadzić filtrowanie wychodzące, aby sprawdzić swoje pakiety wychodzące do dostawców usług nadrzędnych i równorzędnych.
  3. Wyłącz transmisje IP.
  4. Zwróć szczególną uwagę na głośne systemy (serwery) i klientów.
  5. Edukuj klientów na temat bezpieczeństwa i współpracuj z nimi, aby chronić siebie.

Większość społeczności ISP wykonuje co najmniej niektóre z tych kroków. Użytkownicy powinni nalegać, aby ich dostawcy usług internetowych zapewniali przynajmniej te zabezpieczenia i nie powinni robić interesów z tymi, którzy ich nie zapewniają. RFC 3013 i północnoamerykańska grupa operatorów sieci (NANOG) są dobrym źródłem informacji dla dostawców usług internetowych

Działania w sieci lokalnej

Nawet jeśli użytkownicy zablokują swoje systemy, aby żadna luka nie została niezabezpieczona i żadna ekspozycja nie była chroniona, sama sieć lokalna nadal może być zagrożona. Lokalni menedżerowie sieci i administratorzy sieci mogą podjąć kilka kroków w celu ochrony wszystkich swoich użytkowników, a także reszty społeczności internetowej:

  1. Każda sieć podłączona do Internetu powinna przeprowadzić filtrowanie adresu wyjściowego na routerze. Filtrowanie wyjściowe oznacza, że ​​router powinien sprawdzić pole Adres źródłowy każdego wychodzącego pakietu IP wysłanego do Internetu, aby upewnić się, że identyfikator NET odpowiada identyfikatorowi NET w sieci. Historycznie zapory ogniowe były używane do ochrony sieci przed atakami ze świata zewnętrznego. Ale te ataki pochodzą skądś, więc strony powinny również używać zapory ogniowej do ochrony świata zewnętrznego.
  2. Sieci powinny blokować przychodzące pakiety adresowane na adres rozgłoszeniowy (all-one HOST ID). Nie ma uzasadnionego powodu, aby zewnętrzne urządzenie sieciowe wysyłało komunikat rozgłoszeniowy do każdego hosta w sieci.
  3. Aby zapobiec używaniu witryny jako punktu wzmocnienia transmisji, wyłącz funkcję Directed Broadcast na routerze, chyba że jest to absolutnie niezbędne. Jeśli jest to konieczne, ponownie sprawdź sieć, aby sprawdzić, czy nie ma lepszego sposobu lub czy zasięg transmisji można zminimalizować. Nawet tam, gdzie użyteczne są transmisje bezpośrednie, zwykle są one potrzebne tylko w przedsiębiorstwie i nie są wymagane dla hostów na zewnątrz.
  4. RFC 1918 definiuje trzy bloki w przestrzeni adresów IP, które są zarezerwowane dla prywatnych sieci IP; adresy te nie powinny być kierowane przez Internet. Atakujący często używają fałszowania adresów IP, zazwyczaj za pomocą jednego z prywatnych adresów RFC 1918 lub jednego z innych zarezerwowanych adresów. Zapory ogniowe powinny natychmiast odrzucić każdy pakiet zawierający dowolny RFC 1918 lub zastrzeżony adres IP w polu Adres źródłowy lub Adres docelowy; takie pakiety nigdy nie powinny być wysyłane do Internetu.
  5. Zablokuj wszystkie nieużywane porty aplikacji w zaporze, w szczególności takie porty jak IRC (6665–6669 / tcp) i te, o których wiadomo, że są powiązane z oprogramowaniem DDoS.
  6. Użyj stanowych zapór ogniowych, które mogą lepiej badać pakiet w kontekście całej wymiany pakietów. Bezstanowe zapory ogniowe patrzą tylko na pakiety zgodnie z prostym zestawem reguł, ale nie są świadome całkowitego ruchu pakietów w sieci (np. Filtr pakietów bezstanowych może przekazywać pakiet odpowiedzi echa ICMP, który ma zostać wysłany, ponieważ reguły na to pozwalają; filtr pakietów stanowych przekaże pakiet tylko wtedy, gdy reguła na to zezwoli i pojawi się odpowiednie żądanie echa ICMP).
  7. Użyj funkcji wykrywania włamań i zapobiegania włamaniom, aby chronić sieć. Na przykład osobiste oprogramowanie zapory może być zainstalowane na każdej stacji roboczej, aby pomóc wykryć atak na pojedyncze systemy; ta strategia jest szczególnie przydatna w witrynach, które mają dużą liczbę systemów przed zaporą ogniową (np. uczelnie). To nie przypadek, że tak wiele demonów znajduje się na komputerach uniwersyteckich i uniwersyteckich, które zostały zniszczone (tj. Przejęte przez hakerów).
  8. Regularnie monitoruj aktywność sieci, aby szybko wykryć aberracje w ruchu.
  9. Poinformuj użytkowników o zdarzeniach, na które należy uważać w ich systemach, oraz o tym, jak zgłaszać wszelkie nieprawidłowości, które mogłyby wskazywać, że ktoś lub coś sfałszowało ich system. Edukuj dział pomocy technicznej i wsparcie techniczne, aby pomóc użytkownikom, którzy składają takie raporty. Posiadaj system gromadzenia danych wywiadowczych w organizacji, aby takie raporty mogły być koordynowane centralnie w celu wykrycia trendów i opracowania odpowiedzi.
  10. Postępuj zgodnie z procedurami NIST, US-CERT i innymi najlepszymi praktykami.

Działania użytkownika i administratora systemu

Należy podjąć następujące kroki, aby zminimalizować ryzyko, że dany system zostanie naruszony i zaatakowany lub użyty jako odskocznia do atakowania innych:

  1. Bądź na bieżąco z lukami w zabezpieczeniach dla całego sprzętu, systemów operacyjnych oraz aplikacji i innego oprogramowania witryny. To brzmi jak zadanie herkulesowe, ale niezbędne jest zabezpieczenie sieci. Zastosuj łatki i aktualizacje tak szybko, jak to możliwe. W miarę możliwości ujednolicaj określony sprzęt, systemy operacyjne i oprogramowanie, aby pomóc w rozwiązaniu problemu.
  2. Użyj oprogramowania zapory hosta na stacjach roboczych, aby wykryć atak.
  3. Często monitoruj systemy w celu przetestowania pod kątem znanych luk w systemie operacyjnym. Regularnie sprawdzaj, które porty TCP / UDP są używane, używając komendy netstat -a; każdy otwarty port powinien być powiązany ze znaną aplikacją. Wyłącz wszystkie nieużywane aplikacje.
  4. Regularnie monitoruj dzienniki systemowe i szukaj podejrzanych działań.
  5. Użyj dostępnych narzędzi do okresowego audytu systemów, w szczególności serwerów, aby upewnić się, że nie wystąpiły nieautoryzowane / nieznane zmiany w systemie plików, rejestrze, bazie danych kont użytkowników i tak dalej.
  6. Każdy system kliencki musi korzystać z oprogramowania antywirusowego, które stale się aktualizuje, aby być na bieżąco z ciągle zmieniającym się krajobrazem zagrożeń. Skuteczne narzędzia anty-malware obejmują integrację z przeglądarkami w celu automatycznego blokowania dostępu do stron internetowych, o których wiadomo, że zawierają niebezpieczny kod. Takie narzędzia integrują się również z klientami e-mail, aby blokować automatyczne otwieranie załączników. Użytkownikom nie należy zezwalać na wyłączanie oprogramowania antywirusowego.
  7. Nie pobieraj oprogramowania z nieznanych, niezaufanych stron. Jeśli to możliwe, poznaj autora kodu. Co więcej, pobierz kod źródłowy, przejrzyj go i skompiluj w wiarygodnym systemie zamiast pobierać pliki binarne lub pliki wykonywalne.

8. Bądź na bieżąco i przestrzegaj zaleceń NIST, US-CERT, laboratoriów antywirusowych, dostawców sprzętu i oprogramowania oraz innych źródeł najlepszych praktyk.

OBRONA PRZED ROZPOWSZECHNIANYMI ATAKAMI ODNOŚNIE USŁUGI

Podobnie jak w przypadku ataków DoS, strona nie może samodzielnie bronić się przed atakami DDoS. Członkowie społeczności internetowej muszą współpracować, aby chronić każdą witrynę przed staniem się źródłem ataków lub przekazywaniem ataków. W tej sekcji omówiono niektóre sposoby zapobiegania rozprzestrzenianiu się ataków DDoS poprzez ograniczenie dystrybucji narzędzi i ograniczenie rozprzestrzeniania się szkodliwych pakietów ataków. Chociaż nie zostało to tutaj szczegółowo omówione, należy zwrócić uwagę na reakcje na atak DDoS. Jak omówiono później, ofiary takiego ataku powinny prowadzić szczegółowe dzienniki wszystkich podejmowanych działań i wykrytych zdarzeń. Dzienniki te mogą okazać się nieocenione w zrozumieniu ataku, zapobieganiu innym atakom w pierwotnym celu i innych oraz w działaniach organów ścigania w celu wyśledzenia sprawców.

NIMDA

Kolejna ewolucja pojawiła się we wrześniu 2001 roku i została nazwana NIMDA. NIMDA (administrator wstecz) był wyjątkowy, ponieważ wykorzystywał wiele słabych punktów w kodzie Microsoft, a mianowicie IIS, Internet Explorer (IE) i interfejs aplikacji komunikatów (MAPI). W rezultacie NIMDA miał cztery wyraźne propagacje wektorów:

  1. IIS. Po znalezieniu serwera WWW atakujący próbował wykorzystać różne luki w IIS, w tym sadmind IIS, root.exe Code Red II lub inny program typu backdoor, lub IIS Directory Traversal. Jeśli się powiedzie, atakujący użył Trivial File Transfer Protocol (tftp) z cmd.exe, aby wysłać kod robaka (admin.dll) do ofiary.
  2. Przeglądarka internetowa. Robak na zainfekowanym serwerze utworzył swoją kopię w pliku o nazwie readme.eml. Robak zmienił również każdy plik treści WWW w zainfekowanej witrynie za pomocą małego kodu JavaScript wskazującego ten plik. Gdy użytkownik przejrzał serwer zainfekowany Web, kod JS zainfekowanej strony został aktywowany i plik readme.eml został pobrany. Wrażliwe wersje Internet Explorera automatycznie wykonałyby ten plik, podczas gdy większość innych przeglądarek nie.
  3. Email. NIMDA wysłał się na wszystkie adresy e-mail znalezione w InBox i książce adresowej zainfekowanego serwera w zakodowanym MIME pliku o wielkości 56 KB o nazwie readme.exe. Plik zawierał sekcję „audio / x-wav”, która zawierała robaka. Klienci poczty e-mail używający przeglądarki IE 5.1 ​​lub wcześniejszej do wyświetlania HTML automatycznie wykonają załącznik, jeśli wiadomość zostanie otwarta lub wyświetlona w podglądzie.
  4. Udziały sieciowe. W zainfekowanym systemie robak skopiował się do wszystkich lokalnych katalogów hosta ofiary i do wszystkich otwartych, zapisywalnych udziałów sieciowych. Robak ustawiał również udziały na hoście ofiary.

Ponadto konto GUEST w zainfekowanym systemie zostało aktywowane i stało się członkiem grupy Administrator. (Co ciekawe, po lecie rosnącej liczby robaków DDoS prawie cała taka aktywność przestała istnieć po 11 września na wiele miesięcy.) Przez lata ataki DDoS trwały nadal, ale ma to podwójny cel. Niektóre ataki DDoS mają na celu znokautować serwer lub sieć z sieci

sposób, mianowicie przez zassanie całej przepustowości lub innych zasobów. Inne ataki wykorzystują jednak obronę strony docelowej przed sobą; wykonując rozpoznanie, aby zrozumieć, w jaki sposób witryna zareaguje na różne bodźce, atakujący może faktycznie wysłać spreparowany zestaw pakietów do strony docelowej, co spowoduje, że cel sam się ograniczy przepustowość i / lub dopuszczalne adresy źródłowe.