|
|
|
DISCLAIMER:
Si ricorda che il Web Admin del sito ed il provider non si
ritengono responsabili in nessun modo del cattivo utilizzo
che chiunque dovesse fare di tutto il materiale contenuto
nel sito. Lo scopo della Security Check Community è
quello di condividere ed approfondire le conoscenze della
comunità.
|
|
|
|
|
| Hacking/Documentazione |
| INTRODUZIONE
AL DDOS
|
Attacchi: Distributed Denial of Services (16 Febbraio 2000)
A meno che non siate vissuti isolati nelle scorse settimane, avrete sicuramente sentito parlare
dei sabotaggi recentemente effettuati contro alcuni dei principali siti Internet.
Numerosi BIG della Rete sono stati messi in ginocchio da quello che sembra essere stato il più
massiccio attacco mai lanciato contro importanti portali e siti web.
Yahoo! è stato il primo a subirli, avendo riportato un blackout di tre ore domenica 6 febbraio.
Buy.Com non era raggiungibile la mattina di lunedì 7, CNN ed eBay non lo erano nel pomeriggio,
mentre Amazon e Zdnet sono rimasti isolati parecchie ore la notte di lunedì.
Articoli tecnici hanno spiegato il fenomeno come un Distributed Denial of Services attack (DDoS):
un genere di attacco nel quale i cosiddetti pirati (crackers) attivano un numero elevatissimo di
false richieste da più macchine allo stesso server consumando le risorse di sistema e di rete del
fornitore del servizio. In questo modo il provider *affoga* letteralmente sotto le richieste e non
è più in grado di erogare i propri servizi, risultando quindi irraggiungibile.
Alcuni dei network provider coinvolti hanno dichiarato di essere stato sommersi da oltre 1 Gb al
secondo di traffico.
Anche se questo genere di attacco non è affatto nuovo sulla Rete, non ne erano mai stati rilevati
su così vasta scala e su così tanti obiettivi importanti quasi in contemporanea.
Gli antenati degli attuali attacchi si manifestavano andando ad esaurire risorse hardware della
vittima, quali lo spazio su disco, la memoria e la CPU: ciò era ottenibile spedendo pochi pacchetti
malformati che mandavano in crash il sistema remoto. Il più noto tra le utility di questo genere è
stato nuke e il più popolare WinNuke, che mandava in crash il famoso OS della casa di Redmond
(WinNuke è ancora in grado di mandare in crash molte macchine desktop Win95 e server NT se non hanno
applicato le opportune patch, N.d.R.).
Il primo (e il più abusato) prodotto di DoS che ha acquisito notorietà è stato lo smurf attack che
tutt'oggi è in grado di paralizzare reti con tecnologie non aggiornate (generalmente piccole/medie
aziende e ISP locali).
In seguito è venuto The LowDown, conosciuto anche come Network Saturation Attack o Bandwidth
Consumption Attack: un nuovo attacco DoS in grado di inondare un network di un numero impressionante
di pacchetti. I router e server che subiscono l'attacco, nel tentativo di gestire correttamente il
traffico compiono un eccessivo lavoro che li mette in crisi. Ovviamente l'eccesso di traffico ostile
rende impossibile anche il traffico lecito (posta, web, ecc.) bloccando quindi in pochi minuti intere
reti.
La generazione successiva (l'attuale) è appunto quella dei Distributed Denial of Service (DDoS) attack.
Spingendo all'eccesso l'idea del network saturation attack, il DDoS ripete lo stesso approccio
utilizzando però diversi punti d'ingresso contemporanei: in questo modo un cracker è in grado di
mettere in ginocchio sistemi più grandi che sarebbero indifferenti ad un singolo flood. Per effettuare
questo genere di operazione si deve poter installare un proprio agente sui sistemi da cui si vuole
scatenare l'attacco stesso.
È quindi una tecnica che viene preparata per tempo, attrezzandosi con un pool di macchine compromesse
da poter scagliare contro il sistema vittima.
David Dittrich ha fatto un eccellente lavoro descrivendo i diversi tools attualmente usati per questo
genere di attacco. L'analisi di questi prodotti è disponibile su http://staff.washington.edu/dittrich/misc;
nello specifico:
- Trinoo - http://staff.washington.edu/dittrich/misc/trinoo.analysis
- Tribe Flood Network - http://staff.washington.edu/dittrich/misc/tfn.analysis
- Stacheldraht - http://staff.washington.edu/dittrich/misc/stacheldraht.analysis
- TFN2K - http://packetstorm.securify.com/distributed/TFN2k_Analysis.htm
Su http://www.hackernews.com/bufferoverflow/00/dosattack/dosattack.html è disponibile un'interessante
descrizione - più divulgativa delle precedenti - sui vari tipi di denial of service attack.
La principale domanda cui tutti cercano di rispondere è chi sia stato a effettuare questi attacchi e perché.
Inoltre sono stati organizzati diversi incontri per cercare di capire come sono condotti questi attacchi
e come sia possibile difendersi.
Sulla Rete sono disponibili alcune note sul workshop del CERT (=Computer Emergency Response Team) presso:
http://www.cert.org/reports/dsit_workshop.pdf
e alcune note esplicative su:
- http://staff.washington.edu/dittrich/talks/cert/
Il CERT ha inoltre pubblicato un avviso a questo riguardo proprio lo scorso mese di gennaio:
- http://www.cert.org/advisories/CA-2000-01.html
Tra le diverse ipotesi prese in considerazione vi è anche quella di un'azione portata avanti dai servizi
segreti americani per sensibilizzare l'opinione pubblica sulla questione della sicurezza su Internet e far
approvare più rapidamente il nuovo testo di legge (Electronic law enforcement) attualmente allo studio del
parlamento americano, che introdurrebbe severe restrizioni e controlli sulla Rete. Maggiori dettagli su
questa ipotesi presso http://listserv.syr.edu/scripts/wa.exe?A2=ind0002&L=foi-l&F=&S=&P=9484
In realtà questi attacchi sono resi possibili dall'attuale implementazione del protocollo TCP/IP. Per una
scelta di realizzazione, infatti, non è stata posta particolare sicurezza sull'identificazione del mittente
di ogni pacchetto e se questo da una parte consente garanzie di anonimato, dall'altro può essere sfruttato
con apposite tecniche per far credere che il pacchetto provenga da sistemi differenti da quello effettivo.
Queste limitazioni saranno in parte superate dalla prossima adozione di IPv6.
Ad oggi non esiste una soluzione unica al problema ma esistono molti modi per tutelarsi; nei paragrafi che
seguono ne presentiamo alcuni.
Network Incoming Filtering
Tutti gli ISP dovrebbero implementare dei filtri in ingresso sui propri router e firewall in modo da bloccare
i pacchetti che contengano informazioni alterate sulla loro provenienza (in gergo SPOOFED).
Anche se questo accorgimento non impedisce il verificarsi di un attacco, consente di ricostruire la provenienza
dei pacchetti in maniera più semplice e veloce.
Per maggiori informazioni sui filtri in ingresso:
RFC 2267 su http://info.internet.isi.edu/innotes/rfc/files/rfc2267.txt
Limit Network Traffic
La maggior parte dei router consente oggi di limitare la quantità di banda usata da un particolare servizio.
Questa capacità è spesso definita come traffic shaping o Quality of Service (QoS) ed è implementabile anche
utilizzando una piccola macchina Linux come gateway.
La Cisco chiama questa capacità Committed Access Rate (CAR).
Sfruttando questa caratteristica, per esempio, è possibile configurare i propri sistemi in modo da fornire più
banda ai servizi web a discapito di altri servizi (per esempio ftp).
Com'è facilmente intuibile, questa capacità può essere usata anche in maniera reattiva per fermare un DDoS.
Per esempio se l'attacco usa pacchetti ICMP o pacchetti TCP SYN è possibile configurare i sistemi in modo da
limitare la banda utilizzabile da questi pacchetti.
Per maggiori informazioni:
http://www.cisco.com/warp/public/707/newsflash.html
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/12cgcr/qos_c/qcpart4/qcpolts.htm
Intrusion Detection Systems e Host Auditing Tools
È possibile utilizzare un Intrusion Detection System o un tool di auditing per identificare malintenzionati
mentre cercano di comunicare con i loro sistemi slave, master o agent. Ciò consente di sapere se alcune macchine
all'interno della propria rete sono utilizzate per lanciare un genere di attacco conosciuto ma non sempre sono
in grado di identificare nuove varianti o prodotti nuovi.
La maggior parte delle soluzioni commerciali sono ormai in grado di riconoscere Trinoo, TNF o Stacheldraht.
L'FBI fornisce gratuitamente un prodotto chiamato "find_ddos" che cerca all'interno del filesystem prodotti di
DDoS quali Trinoo, TNF, TNF2K e Stacheldraht
Il prodotto è disponibile solo in formato binario sia per Solaris (Sparc e Intel) che per Linux (Intel):
http://www.fbi.gov/nipc/trinoo.htm
(non dimentichiamo che l'assenza di sorgenti rende l'applicativo non controllabile e quindi, potenzialmente,
potrebbe contenere delle backdoors, N.d.R.)
Network Auditing Tools
Sono numerosi i programmi che consentono l'analisi di una intera rete aziendale per verificare la presenza di
agenti per DDoS.
Dave Dittrich, Marcus Ranum e altri esperti hanno sviluppato un prodotto di cui rilasciano anche i sorgenti
denominato dds:
http://staff.washington.edu/dittrich/misc/ddos_scan.tar
con il quale è possibile identificare Trinoo, TFN e Stacheldraht.
|
|
|
|
|
