Palvelunestohyökkäyksen havaitseminen ja torjuminen Seminaariraportti Tampereen teknillinen yliopisto Tietoliikennetekniikan laitos Seminaari, Tietoliikenteen turvallisuus (8306400 TLT-3700) Kevätlukukausi 2005 Jukka Koskinen (toim.) versio 1 20.2.2006 Copyright (c) 2006 Jukka Koskinen, Tuukka Komssi, Jani Peltotalo, Sami Peltotalo, Tommi Viitanen Tämän teoksen käyttöoikeutta koskee lisenssi Creative Commons Nimi mainittava-sama lisenssi 1.0 Finland
Sisältö 1 Johdanto...1 1.1 Seminaari... 1 1.2 Raportin sisältö ja kirjoittajat... 2 2 Palvelunestohyökkäyksen hajautettu toteutus...2 2.1 Johdanto... 2 2.2 Palvelunestohyökkäyksien historia...3 2.3 Hyökkääjän motiivit... 4 2.4 Agenttiverkoston luominen... 4 2.4.1 Hyökkääjän piiloutuminen... 4 2.4.2 Haavoittuvien koneiden etsiminen... 5 2.4.3 Haavoittuviin koneisiin murtautuminen... 7 2.4.4 Haittaohjelman levittäminen... 7 2.5 Agenttiverkoston hallinta... 8 2.5.1 Suorat komennot... 8 2.5.2 Epäsuorat komennot... 8 2.5.3 Haittaohjelman päivitys... 9 2.5.4 Hyökkäysvaihe... 9 2.5.5 Tottelija... 9 2.6 Yhteenveto... 10 3 DoS/DDoS-hyökkäysmenetelmät...10 3.1 Johdanto... 10 3.2 IP spoofing... 10 3.3 DoS/DDoS-hyökkäysmenetelmät... 11 3.3.1 Haavoittuvuuksien hyväksikäyttö... 11 3.3.2 Protokollaa vastaan hyökkääminen... 11 3.3.3 Middlewarea vastaan hyökkääminen... 12 3.3.4 Sovelluksia vastaan hyökkääminen... 12 3.3.5 Infrastruktuuria vastaan hyökkääminen... 12 3.3.6 Kaistan ryöstämishyökkäys... 13 3.4 DDoS-työkaluja... 13 3.5 Hyökkäystyökalupakkien komponentteja... 14 3.6 Trendejä... 15 4 Tietoverkon suojaaminen DoS-vaikutukselta...15 4.1 Johdanto... 15 4.2 DoS-vaikutukselta suojautumisen haasteet... 16 4.3 Ennaltaehkäisevät toimenpiteet DoSilta suojautumiseksi... 17 4.3.1 Hyökkäyksen mahdollisuuden pienentäminen... 17 4.3.2 Verkon kestävyyden parantaminen... 19 4.4 Yhteenveto... 20 5 DoS-hyökkäyksen torjunta kohteessa...20 5.1 Reagointi... 20 5.1.1 Hyökkäyksen havaitseminen... 21 5.1.2 Hyökkäykseen vastaamisen valmistelu... 23 5.1.3 Hyökkäysvaste... 23 5.2 Käynnissä olevan hyökkäyksen käsittely... 24 5.2.1 Kohteena... 24 5.2.2 Lähteenä... 25 ii
6 DDoS-työkalujen analysointi...25 6.1 Johdanto... 25 6.2 DDoS-liikenne... 25 6.3 Julkaistut DDoS-työkaluanalyysit... 26 6.4 DDoS-analyysi... 26 6.4.1 Tarkoitus ja toiminta... 27 6.4.2 Sisäiset sormenjäljet... 27 6.4.3 Ulkoiset sormenjäljet... 28 6.4.4 Verkkoliikenteen sormenjäljet... 29 6.4.5 DDoS-analyysin julkaiseminen... 30 6.5 Yhteenveto... 31 7 DDoS-tutkimushankkeita...31 7.1 Johdanto... 31 7.2 Tutkimushankkeita... 31 7.2.1 Pushback... 31 7.2.2 Jäljitys (Traceback)... 32 7.2.3 D-WARD... 32 7.2.4 NetBouncer... 33 7.2.5 Secure Overlay Services (SOS)... 33 7.2.6 Vaivannäyttö... 33 7.2.7 DefCOM... 34 7.2.8 COSSACK... 34 7.2.9 Pi... 34 7.2.10 SIFF... 35 7.2.11 Hop-Count Filtering (HCF)... 35 7.2.12 Paikallisuus ja entropia... 35 7.2.13 Kohteessa sijaitsevien DoS-suodattimien empiirinen analyysi... 35 7.2.14 MAFIC... 36 7.3 Tutkimusennusteita... 37 8 Kaupallisia DDoS-torjuntaan soveltuvia tuotteita...37 8.1 Johdanto... 37 8.2 Tuotteilta vaadittavat ominaisuudet... 38 8.3 Verkon tasolla toimivia tuotteita... 38 8.4 Tuotteiden ominaisuuksien vertailu... 41 9 Lähteet...43 iii
1 Johdanto Tämä dokumentti on editoitu kooste seminaarikirjoitelmista, jotka syntyivät keväällä 2005 Tampereen teknillisen yliopiston (TTY) kurssilla. Tässä luvussa esitellään hieman seminaaria sinänsä, tarjolla olleita aiheita sekä dokumentin sisältöä. 1.1 Seminaari Lukuvuodesta 2003-2004 alkaen TTY:llä on laajennettu tietoturvallisuuden opetusta. Uusien luentokurssien lisäksi opetusohjelmaan tuli kaksi seminaaria. Niille valitaan aina jokin rajattu aihe, joka syksyn seminaarissa liittyy tietojenkäsittelyyn ja keväällä tietoliikenteeseen. Kun seminaarit syksyllä 2003 ja keväällä 2004 pidettiin ensimmäisen kerran, aiheena olivat kaksi eräänlaista perusongelmaa, tietojenkäsittelyn tietoturvassa ohjelmointi, ja tietoliikenteen puolella tietoverkossa tapahtuvat turvaloukkaukset. Jälkimmäinen aihe rajattiin tunkeutumisen havaitsemiseksi. Toisella kierroksella eli lukuvuonna 2004-2005 syksyn seminaariin valittiin teknisen tietojenkäsittelyn toinen ydinalue, johon kaikki ohjelmat tukeutuvat ja joka itsekin on ohjelma, nimittäin käyttöjärjestelmä. Käsillä oleva tietoliikenteeseen liittyvä seminaari kevätlukukaudella 2005 siirtyi tunkeutumisen havaitsemisaiheessa syvemmälle kaikkein vaikeimmalle alueelle, jolla lopullista vastausta on turha havitella, mutta jossa on tärkeää saada edes osittaista edistystä. Otsikoksi asetettiin Palvelunestohyökkäyksen havaitseminen ja torjuminen. Havaitseminen sinänsä on harvoin vaikeaa, mutta siihen liittyy monia asioita, joilla on vaikutusta torjunnan onnistumiseen. Seminaarin pääasiallisen lähdemateriaalin muodosti uusi kirja [MDDR04]: Jelena Mirkovic, Sven Dietrich, David Dittrich, Peter Reiher: Internet Denial of Service: Attack and Defense Mechanisms. Prentice Hall PTR, 2004, ISBN 0-13-147573-8. Muita lähteitä oli ja on edelleen mahdollista löytää helposti esim. kirjan yhden tekijän ylläpitämältä sivulta: D.Dittrich: Distributed Denial of Service (DDoS) Attacks/tools http://staff.washington.edu/dittrich/misc/ddos/ Yleisesti tutkintovaatimuksena on kaksi omaa seminaarityötä ja -esitelmää sekä aktiivinen, oppiva osallistuminen seminaari-istuntoihin. Koska aihepiiri oli tällä kerralla erityisen rajattu eikä osallistujiakaan ollut monta, molemmat seminaarityöt pohjautuivat lähdekirjaan kuitenkin siten että jälkimmäistä varten piti tarkastella muutakin aineistoa. Kurssilla vieraili tutkija András Korn Budapestin teknillisestä yliopistosta. Hän esitelmöi seminaarin alkupuolella kahteen kertaan, ensin laajemmin IDS-aiheeseen liittyvästä DIAMONDtutkimushankkeestaan ja toiseksi SYN-tulvinnan torjuntaan soveltuvasta menettelystä [FeKo04]: G.Fehér, A. Korn: RESPIRE, a Novel Approach to Automatically Blocking SYN Flooding Attacks. Eunice'2004. 1
1.2 Raportin sisältö ja kirjoittajat Vaikka seminaarin peruslähteenä oli yksi kirja, aihepiiriä paloiteltiin esitysten aiheiksi hieman siitä poikkeavalla tavalla. Tunkeutumiset ja niiden havaitsemisen menetelmät olivat olleet esillä jo aiemmassa seminaarissa [KLPPV04], mutta palvelunestonkin tapauksessa tapahtuu yleensä ensin tunkeutumisia. Kahdessa ensimmäisessä esitelmässä tarkasteltiin, miten DoS ja erityisesti DDoS tapahtuu tietoverkossa ja miten hyökkäykset ovat kehittyneet. (Lähteenä oli kirjan Ch.4 ja täydennyksiä aiemmista luvuista tämän raportin luvut 2 ja 3). Toisena aihepiirinä oli verkon suojaaminen DoS-vaikutukselta ja DoS-hyökkäyksen varsinainen torjunta kohteessa (Ch.5 ja Ch.6 luvut 4 ja 5). Toisella kierroksella otettiin ensin ohjelmistonäkökulma DDoS:n "agentteihin" (lähtökohtana Ch.6:n loppupuoli luku 6). Sitten tarkasteltiin tutkimushankkeita verkon rakenteiden ja protokollien kehittämiseksi DoS:n torjumiseksi (lähtökohtana Ch.7 luku 7) ja kaupallisia ja muita DoS-torjuntaan soveltuvia ohjelmia (lähtökohtana Liite B luku 8). Näissä esitelmissä siirryttiin opetuksen tavoitteen mukaisesti myös ulos kirjasta ja haettiin tukea, täydennystä ja laajempaa näkemystä muualta. Tämä oli tavoitteena myös esitelmässä, jonka aiheena oli hyökkäyksen jäljittäminen ja sitä seuraavat toimet (lähtökohtana Ch.8). Tämän aiheen käsittely mutkistui teknisten ja lakiasioiden välimaastoon eikä valmistunut julkaistavaksi asti. Raportti koostuu siis johdantoluvun lisäksi 7 seminaarikirjoitelmasta neljältä kirjoittajalta. Raportin lukujen kirjoittajat ovat Tuukka Komssi 4, 8 Jani Peltotalo 2, 6 Sami Peltotalo 3, 7 Tommi Viitanen 5 Toimittaja on muokannut tekstejä kielen ohella mm. karsimalla niistä päällekkäisyyksiä ja lisäämällä ristiviittauksia. Raportin esitiedoiksi soveltuu TTY:n Tietoturvallisuuden jatkokurssi, jonka verkkoaineisto löytyy osoitteesta http://maso.atm.tut.fi. Siellä on käytettävissä aakkosellinen hakemisto, joka nopeuttaa asioiden löytämistä. 2 Palvelunestohyökkäyksen hajautettu toteutus 2.1 Johdanto Hajautettu palvelunestohyökkäys (Distributed Denial of Service, DDoS) jakaantuu kahteen vaiheeseen. Ensimmäinen vaihe on saada riittävän suuri määrä haavoittuvia koneita hallintaan. Tässä vaiheessa hyökkääjä etsii verkosta haavoittuvia koneita, kaappaa ne hallintaansa ja käyttää niitä hyökkäysvälineinään. Tämän jälkeen hyökkääjä siirtyy hyökkäysvaiheeseen, jonka päämäärä on hyvin erilainen, estää uhrikoneita tai -verkkoja tarjoamasta palveluita laillisille käyttäjilleen. Dataa ei uhrilta siis varasteta, mitään ei uhrikoneella muuteta eikä mitään luvatonta käyttöä esiinny. Uhri vain yksinkertaisesti hukkuu hyökkäysliikenteeseen eikä pysty palvelemaan normaaleja asiakkaitaan. Tapahtuu tavallinen Denial of Service eli DoS. Hyökkäysvaiheessa hyökkääjän on myös päätettävä, pannaanko uhri heti matalaksi vai hidastetaanko esimerkiksi uhrin verkkosivuston käyttöä. Jos sivusto toimii heikosti, 2
asiakastyytyväisyys saattaa olla jopa huonompi verrattuna tilanteeseen, jossa sivusto ei toimi ollenkaan. Tässä luvussa perehdytään hajautetun palvelunestohyökkäyksen toteutukseen. Luku pohjautuu kirjan [MDDR04] lukuihin 2, 3, 4.1 ja 4.2. Aluksi tarkastellaan hieman palvelunestohyökkäyksien historiaa (luku 2.2) ja esitellään hyökkääjien yleisimpiä motiiveja (luku 2.3). Luvussa 2.4 käsitellään agenttiverkoston luominen ja luvussa 2.5 agenttiverkoston hallinta. Lopuksi luku 2.6 sisältää yhteenvedon. 2.2 Palvelunestohyökkäyksien historia Ensimmäisiä etähallittavia DoS-hyökkäystyökaluja alkoi ilmestyä 1990-luvun puolivälissä. Aluksi työkalujen käytön edellytys oli pääsy isoihin koneisiin nopeassa verkossa. Tämä johti hillitsemättömään salasanavarkauteen yliopistoilla. Vuonna 1996 havaittiin TCP/IP-pinossa haavoittuvuus, joka mahdollisti TCP SYN-tulvahyökkäyksen (ks. luku 3.3.2). Tätä haavoittuvuutta hyödyntävistä DoS-työkaluista tuli suosittu ja tehokas tapa palvelimien hukuttamiseksi. Vuosien 1996 ja 1997 vaihteessa ensimmäiset laajamittaiset DoS-hyökkäykset IRC-verkkoja vastaan havaittiin (Internet Relay Chat). Esimerkiksi työkaluilla teardrop, boink ja bonk hyökkääjän oli mahdollista kaataa paikkaamattomia Windows-koneita käyttäneitä IRC-asiakkaita (vrt. luku 3.4). Vuonna 1997 havaittiin Microsoft Windowsin TCP/IP-pinossa useita haavoittuvuuksia, jotka kuitenkin paikattiin suhteellisen nopeasti. Vuonna 1997 keksittiin myös Smurf-hyökkäys (vrt. luku 3.4). Koska haavoittuvuuksiin reagointi oli kohtuullisen nopeaa, ja koska hyökkääjän kyky lähettää riittävästi liikennettä yhdeltä koneelta heikkeni laajakaistaisten yhteyksien yleistyessä ja verkkooperaattoreiden oppiessa puolustautumaan Smurf-hyökkäystä vastaan, kehitettiin ensimmäiset DDoS-hyökkäystyökalut vuoden 1998 puolivälissä. Kesällä 1999 havaittiin ensimmäiset laajamittaiset DDoS-hyökkäykset, jotka käyttivät työkaluja Trinoo, Tribe Flood Network (TFN) ja Stacheldraht [Ditb, TFN, Stacheldraht]. Melkein kaikissa vuonna 1999 toteutetuissa hyökkäyksissä kohteena oli joko IRC-asiakas tai IRC-palvelin. Vuoden 1999 loppupuolella havaittiin lisäksi uusi hyökkäystyökalu Shaft [DLD00]. Tammi- ja helmikuussa vuonna 2000 havaittiin monia isoja hyökkäyksiä verkkoinfrastruktuuria ja verkkosivustoja vastaan. Jopa FBI:n verkkosivusto onnistuttiin hukuttamaan kolmeksi tunniksi. Vuonna 2001 toteutettiin useita hyökkäyksiä DNS-järjestelmää vastaan (Domain Name Service) ja hyökkäyksien määrä ja laajuus jatkoivat kasvamistaan. Myös Microsoft joutui hyökkäyksien kohteeksi ehkäpä osin suuren markkina-asemansa johdosta. Luultavasti onnistuneiden hyökkäyksien siivittämänä lokakuussa vuonna 2002 aloitettiin laajamittainen hyökkäys Internetin tärkeimpiä DNS-palvelimia vastaan. Hyökkäyksen aikana yhdeksän kolmestatoista tärkeimmästä DNS-palvelimesta saatiin hukutetuksi. Onneksi hyökkäys kesti vain tunnin, mikä osaltaan esti hyökkäyksen lamaannuttavan vaikutuksen koko Internetin mittakaavassa. Vuoden 2003 alkupuolella havaittiin ensimmäistä kertaa DDoS-hyökkäyksien ja nopeasti laajalle leviävien matojen yhteistoimintaa. Vuonna 2004 massiiviset motivoitujen hyökkääjien tekemät DDoS-hyökkäykset jatkuivat ja Agobot ja Phatbot DDoS IRC-botit tulivat markkinoille (vrt. luku 3.4). Vuoden alkupuolella puolustajien ja jäljittäjien keskuudessa esiintyi spekulaatioita matojen kuljettamista troijalaisista, jotka pystyvät muodostamaan massiivisia agenttiverkkoja. 3
2.3 Hyökkääjän motiivit Ensimmäiset DoS-hyökkäykset olivat pääasiassa pieniä pahantahtoisia kepposia, kuten suosittujen web-sivustojen kaatamisia, joilla seikkailunhaluiset hyökkääjät hakivat tunnustusta ja maineensa kasvattamista hyökkäyskommuunin keskuudessa. Hyökkääjät myös kilpailivat keskenään DoS-herruudesta. IRC-kanavat olivat ja ovat yhä edelleen suosittuja resursseja hyökkääjille. DoS-hyökkäyksen motiivi voi myös olla poliittinen. Henkilö tai ryhmä voi aloittaa hyökkäyksen esimerkiksi vastustamansa organisaation tai hallituksen koneita ja verkkoja vastaan. Jos kohteena on yritys, voi hyökkäyksen takana olla kilpailija, joka haluaa haitata kilpailijansa liiketoimia. Hyökkäyksen taustalla saattaa myös olla halu peittää edellisten hyökkäysten jälkiä tai halu hyötyä rahallisesti kohteen resurssien edelleen myynnistä roskapostitukseen, kiristykseen tai muuhun rikolliseen toimintaan. Kohteen resursseja voidaan käyttää myös kolmatta osapuolta vastaan tehtävään hyökkäykseen. Hyökkääjän motivaatioista riippuu myös valittava hyökkäystapa. 2.4 Agenttiverkoston luominen Hyökkääjän tarvitsee siis löytää riittävä määrä haavoittuvia koneita hyökkäyksen tekijöiksi. Haavoittuvien koneiden etsimisen voi toteuttaa manuaalisesti, puoli-automaattisesti, tai automaattisesti esimerkiksi skriptien avulla. Jotta hyökkääjän paljastuminen olisi mahdollisimman epätodennäköistä, hän käyttää piiloutumisvälineinään käsittelijä-agentti -arkkitehtuuria ja ponnahduslautoja ( handler/agent architecture ja stepping stone ). Kun hyökkääjä on löytänyt verkosta riittävästi haavoittuvia koneita, tarvitsee niihin vielä onnistua murtautumaan ja hyökkäyksessä käytettävä haittaohjelma onnistua asentamaan ennen kuin hyökkääjä voi siirtyä hyökkäysvaiheeseen. Haavoittuvuuden hyödyntäminen noudattaa yleensä seuraavanlaista sykliä. Ensimmäisenä uusi haavoittuvuus havaitaan ja tiedon rajoitettu jakelu hyökkääjäpiireissä alkaa. Jonkin ajan kuluttua tieto uudesta haavoittuvuudesta leviää laajemmalle joukolle. Samalla automatisoituja työkaluja haavoittuvuuden hyödyntämiseksi ilmestyy, ja esimerkiksi skriptikidit alkavat käyttää kyseisiä työkaluja. Seuraavassa vaiheessa paikkaus ilmestyy ja kun kaikki haavoittuvuuden sisältämät koneet on paikattu, haavoittuvuuden hyväksikäyttö loppuu. 2.4.1 Hyökkääjän piiloutuminen Hyökkääjä käyttää siis käsittelijä-agentti -arkkitehtuuria (Kuva 1) ja ponnahduslautoja (Kuva 2) piiloutumiseen. Hyökkääjä välittää hyökkäystä koskevia tietoja ja/tai haavoittuvien koneiden etsimiseen liittyviä tietoja agenteille käsittelijöiden kautta. Käsittelijä-koneella on siis yhdenlainen haittaohjelma asennettuna ja agentti-koneella toisenlainen. Ponnahduslautoja käyttäessä hyökkääjä kirjautuu useisiin koneisiin peräkkäin ennen käsittelijään kirjautumista. Jos ponnahduslaudat valitaan eri maista ja eri mantereilta, on hyökkääjän jälkien seuraaminen aika hankalaa. Jotta hyökkääjän jälkiä voidaan seurata, tarvitsee jäljittäjän saada käyttöönsä eri maissa olevia lokitietoja. Tähän vaaditaan kyseessä olevien maiden poliisin lupa, ja se ei ole kaikissa maissa mahdollista. Eli valitsemalla oikeita maita hyökkääjä voi pysäyttää jälkiensä seuraamisen, eikä häntä onnistuta löytämään. Juhani Paavilaisen mukaan EU-maiden välillä lokitiedot välitetään poliisien välillä heti, ja tutkintapyyntö tehdään vasta perässä. 4
hyökkääjä DoS-liikenne käsittelijä käsittelijä käsittelijä agentit uhri Kuva 1. Käsittelijä-agentti arkkitehtuuri Entä jos tehdään luuppi, eli palataan samaan ponnahduslautaan? Millä lailla tämä sekoittaa hyökkäyksen jäljittäjää? Tähän asiaan käytetty kurssikirja ei anna yksiselitteistä vastausta, mutta luultavasti näin toimimalla vaikeutetaan entisestään jäljittäjän toimintaa. hyökkääjä ponnahduslauta Komento/kontrolliliikenne Komento/kontrolliliikenne käsittelijä käsittelijä käsittelijä Kuva 2. Ponnahduslauta hyökkääjän ja käsittelijöiden välissä 2.4.2 Haavoittuvien koneiden etsiminen Haavoittuvien koneiden etsintävaiheessa (skannaus) hyökkääjä lähettää muutamia paketteja nähdäkseen, onko kone hereillä ja sisältäisikö se mahdollisesti jonkun haavoittuvuuden. Hyökkääjän etsii koneita, joilla on laajakaistayhteys, hyvät resurssit ja jotka ovat huonosti ylläpidettyjä. Kuva 3 esittää yksinkertaisen skannausesimerkin. Siinä hyökkääjä etsii haavoittuvia koneita manuaalisesti kahden ponnahduslaudan taakse piiloutuen. Alkujaan haavoittuvien koneiden etsiminen perustui juuri tällaiseen manuaaliseen skannaukseen. Nykyään skannaustyökalut ovat kehittyneet ja skannauksesta on tullut automaattista. Kaksi kehittyneempää esimerkkiä on johonkin hyökkäystyökalupakkiin kuuluvan IRC DDoS-botin (esimerkiksi Power bot [Dite]) suorittama skannaus ja matojen suorittama skannaus. IRC DDoS -bottien tai matojen suorittaessa skannausta, skannattavan IP-osoitteen tai IPosoiteavaruuden valinta voi perustua esimerkiksi seuraaviin vaihtoehtoihin: 5
1. valitse satunnaiset 32 bittiä 2. valitse satunnaiset 8/16 ensimmäistä bittiä, ja iteroi sen jälkeen kaikki mahdolliset IPosoitteet 3. hyökkääjän määrittelemä osumalista IP-osoiteavaruuksia ponnahduslauta hyökkääjä ponnahduslauta 4. kaapatusta koneesta löytyvät tiedot, esimerkiksi verkko-ohjelmien lokitiedoista löytyvät IPosoitteet Komento/kontrolliliikenne Skannaus haavoittuva haavoittuva haavoittuva haavoittuva Kuva 3. Hyökkääjän suorittama manuaalinen skannaus Kuva 4 esittää IRC DDoS -bottien suorittamaa skannausta. IRC DDoS -bot on kaapatussa koneessa tausta-ajossa oleva asiakasohjelma, joka tarkkailee tiettyjä ennalta määrättyjä komentojonoja IRCkanavassa. Komentojen perusteella IRC DDoS-botti voi kutsua jonkun johonkin IRC-kanavaan, antaen tälle kanavan operaattorin oikeudet, se voi skannata jonkin osoiteavaruuden tai aloittaa DoShyökkäyksen. Kun IRC DDoS-botti suorittaa skannausta ja se löytää haavoittuvuuksia sisältäviä koneita, se ilmoittaa siitä IRC-kanavassa, jota tarkkailemalla hyökkääjä voi joko manuaalisesti tai skriptien avulla kerätä listaa haavoittuvista koneista. ponnahduslauta hyökkääjä bot IRC palvelin IRC palvelin IRC palvelin bot Komento/kontrolliliikenne Skannaus bot haavoittuva haavoittuva haavoittuva haavoittuva haavoittuva Kuva 4. IRC DDoS -botin suorittama skannaus Matojen suorittaessa skannausta, kuten Kuva 5, kaappaus ja haittaohjelman asennus suoritetaan 6
skannauksen kanssa samalla kertaa. Tämän ansiosta kaapattujen koneiden määrä kasvaa eksponentiaalisesti (jos haavoittuvia koneita on riittävästi). Jo pelkkä skannausliikenne saattaa aiheuttaa palveluneston monille käyttäjille. kaapattu kaapattu hyökkääjä ponnahduslauta kaapattu kaapattu Komento/kontrolliliikenne Skannaus kaapattu kaapattu Kuva 5. Matojen suorittama skannaus 2.4.3 Haavoittuviin koneisiin murtautuminen Haavoittuvan koneen löydettyään hyökkääjän täytyy murtautua kyseille koneelle. Yleensä tämä hoituu kyseessä olevaa haavoittuvuutta hyväksi käyttäen. Toinen tapa on käyttää heikkoa salasanaa. Tämä haavoittuvuus on siinä mielessä ongelmallinen, että sitä ei voida minkäänlaisella paikkauksella lieventää. Aivan liian usein hyökkääjä pystyy löytämään käyttäjätunnus/salasana - parin ja saa systeemin luvatta käyttöönsä. Kun hyökkääjä saa koneen haltuunsa, hän yleensä paikkaa hyödynnetyn haavoittuvuuden, jottei toinen hyökkääjä pysty sitä enää hyödyntämään. Jos hyökkääjä tarvitsee tulevaisuudessa pääsyn kaapatulle koneelle, hän aukaisee mahdollisesti takaportin tätä varten. 2.4.4 Haittaohjelman levittäminen Hyökkääjän tarvitsee päättää, kuinka hän haluaa levittää haittaohjelmansa verkkoon. Yksinkertaisin vaihtoehto on keskitetty lähde (Kuva 6). Hyökkääjä asettaa haittaohjelman esimerkiksi Web-sivulle, josta jokainen kaapattu kone kopioi sen. Tämän levittämistavan haittapuoli hyökkääjän kannalta on, että puolustajan on suhteellisen helppo identifioida haittaohjelman lähde ja sulkea se yhdessä ylläpitäjien kanssa. Esimerkiksi Trinoo [Ditb] ja Shaft [DLD00] käyttävät keskitettyä lähdettä haittaohjelman levittämisessä. W32/Leaves [CER01] ja W32/SoBig [Ley03] sen sijaan käyttävät useita keskitettyjä lähteitä vaikeuttaen hieman puolustajan toimia. keskitetty lähde 2 kopioi koodi hyökkääjä uhri seuraavat uhrit 1 - kaappaus 3 - toisto Kuva 6. Keskitetty lähde haittaohjelman levittämiseksi 7
Toinen vaihtoehto haittakoodin levittämiseksi on back-chaining tai pull (Kuva 7). Siinä uhri hakee haittakoodin hyökkääjän koneelta ja seuraavat uhrit edelliseltä uhrilta. 2 kopioi koodi hyökkääjä uhri seuraavat uhrit 1 - kaappaus 3 - toisto Kuva 7. Haittaohjelman haku edelliseltä uhrilta Kolmas vaihtoehto, autonomous, push tai forward propagation (Kuva 8), yhdistää haittakoodin levittämisen ja koneen kaappaamisen samaan prosessiin. Esimerkiksi matojen hyötykuormana voi olla DDoS-hyökkäystyökalu, jonka mato kopioi saastuttamalleen koneelle. hyökkääjä uhri seuraavat uhrit 1 kaappaus ja koodin kopiointi 2 - toisto Kuva 8. Haittaohjelman levittäminen kaappauksen yhteydessä 2.5 Agenttiverkoston hallinta Kun agenttiverkosto on luotu, hyökkääjä kommunikoi agenttiverkoston kanssa many-to-many tyyppisten kommunikointityökalujen kanssa. Kommunikoinnilla on kaksi tarkoitusta; välittää hyökkäyksen aloitus- ja lopetuskomennot sekä muut hyökkäykseen liittyvät yksityiskohdat sekä kerätä hyökkäykseen liittyvää statistiikkaa. Hyökkääjä voi käyttää kommunikoinnissa joko suoria komentoja (käsittelijä-agentti -arkkitehtuuri) tai epäsuoria komentoja esimerkiksi IRC-kanavaa hyväksi käyttäen. Hyökkääjän suorittamaan agenttiverkoston hallintaan kuuluvat haittaohjelman päivitys sekä komennot itse hyökkäysvaiheen aikana. 2.5.1 Suorat komennot Kuva 1 esittää suorien komentojen tilannetta, eli hyökkääjän komennot kulkevat mahdollisten ponnahduslautojen kautta käsittelijöille ja edelleen agenteille. Viestit voivat olla kryptaamattomia selkokielisiä, kryptattuja tai binäärimuotoisia. Joka tapauksessa käsittelijän ja agentin välisten viestien analysoinnilla voidaan saada tietoa haittaohjelmasta näkemättä sitä itseään. 2.5.2 Epäsuorat komennot Suorien komentojen käyttämisessä on muutamia haittapuolia hyökkääjän näkökulmasta. Koska käsittelijöiden täytyy pitää agenttien tiedot tallessa, ja koska agentti pitää tiedon käsittelijästään tallessa, saattaa hyökkäyksen tutkija saada koko DDoS-verkon selville saadessaan kaapatuksi yhden hyökkäykseen osallistuvan koneen. Lisäksi suorien komentojen sarja generoi normaalista poikkeavaa liikennettä, joka voidaan havaita verkon liikennettä tarkkailemalla. 8
Kuva 9 hyökkääjä välittää komentojaan IRC-kanavaa käyttäen. IRC-kanavan käytöllä on hyökkääjän kannalta monia etuja käsittelijä-agentti -arkkitehtuurin suoriin komentoihin verrattuna. IRC-palvelimia on valmiiksi olemassa ja niiden ylläpidosta ei tarvitse itse vastata. Hyökkäykseen käytettyä IRC-kanavaa ei myöskään ole helppo löytää tuhansien muiden IRC-kanavien joukosta. Vaikka se löydettäisiinkin, sen sulkeminen onnistuu vain IRC-palvelinten ylläpitäjien yhteistyöllä. ponnahduslauta hyökkääjä IRC palvelin IRC palvelin Komento/kontrolliliikenne IRC palvelin DoS-liikenne botit uhri Kuva 9. Epäsuorat komennot IRC-kanavaa käyttäen 2.5.3 Haittaohjelman päivitys Hyökkääjän täytyy myös aika ajoin päivittää haittaohjelmaansa. Koska haittaohjelma yleensä paikkaa käyttämänsä aukon, ei päivitys onnistu alkuperäistä haavoittuvuutta käyttäen. Yksinkertaisin vaihtoehto on välittää IRC DDoS -boteille ja agenteille tieto Web-sivusta, jolta haittaohjelman uusin versio on ladattavissa. Tulevaisuudessa myös P2P-verkkojen (peer-to-peer) käyttö saattaa olla yksi vaihtoehto. Esimerkiksi tällä hetkellä WASTE mahdollistaa RSA-suojatun liikennöinnin pienen luotetun ryhmän välillä. 2.5.4 Hyökkäysvaihe Hyökkäysvaiheessa hyökkääjän täytyy välittää tietoa hyökkäyksen kulusta. Vaikka eteneminen olisi kovakoodattu haittaohjelmaan, tarvitsee hyökkäyksen aloittaminen silti signaloida agenteille ja/tai IRC DDoS -boteille. Toinen vaihtoehto on hyökkäyksen eteneminen askel kerrallaan hyökkääjän komentojen mukaisesti. Hyökkäystyökalusta riippuen hyökkääjä ei välttämättä pysty lopettamaan hyökkäyksen etenemistä, tai hyökkäyksen kesto voi olla määritelty työkalun oletusasetuksilla tai hyökkääjän komentojen mukaan. Osittainen lopettaminen voisi olla tarpeellista jos uhri on jo kyykyssä, ja osaa IRC DDoS -boteista ja/tai agenteista tarvittaisiin toiseen hyökkäykseen. Samalla hyökkääjän paljastumisvaara kyseessä olevan hyökkäyksen yhteydessä vähenisi. 2.5.5 Tottelija Hyökkääjä voi käynnistää DDoS-hyökkäyksen myös ilman haittaohjelman asennusta haavoittuvalle koneelle. Hyökkääjä käyttää haavoittuvuutta (esim. WWW-selaimen aukot) saadakseen kohdekoneen hallintaansa ja käyttää sen omia ohjelmia (esim. pingiä) kolmatta osapuolta vastaan hyökätessään. Tottelijoita ( unwitting agent ) hyödyntävien hyökkäyksien havaitseminen ei ole helppoa, sillä ei ole haittaohjelmaa mitä etsiä, ei ole epäilyttäviä avoimia portteja ja lisäksi liikennekin näyttää lailliselta. 9
Esimerkki tottelijoita hyödyntäneestä DDoS-hyökkäyksestä on ICMP Echo Request -tulva www.whitehouse.gov -palvelinta vastaan 4.5.2001 (vrt. luku 3.4). Hyökkääjä käytti Microsoftin IIS-palvelinten haavoittuvuutta hyväkseen käynnistäessään ping-sovelluksen useilla Windows 2000- ja NT -koneilla. 2.6 Yhteenveto Tämän päivän Internetissä laajakaistaisia, tehokkaita ja huonosti päivitettyjä koneita löytyy yllin kyllin. DoS/DDoS-hyökkäyksien alkutaipaleella suurin osa agentti-koneista sijaitsi yliopistojen tiloissa, mutta nykyään yhä suurempi osa DDoS-hyökkäyksiin osallistuvista koneista sijaitsee ihmisten kotona. Kotikoneiden päivittäminen haavoittuvuuksien paikkaamiseksi onkin erittäin tärkeää DDoS-hyökkäyksiä vastaan taisteltaessa. Toinen tärkeä kehitysaskel on viranomaisten yhteistoiminta hyökkääjän jäljittämisvaiheessa, jos hyökkääjä valitsee tiettyjä koneita tietyistä maista, loppuu hänen jälkiensä seuraaminen kyseisiin koneisiin. On myös tärkeää muistaa että DDoS-hyökkäyksien puolustautuminen ja mahdollisten uhrikoneiden puhdistaminen uusia ennen havaitsemattomia DDoS-hyökkäyksiä vastaan saattaa olla erittäin hankalaa. Vastassa on taitavia ja terävä-älyisiä haastajia, jotka ottavat oppia aiemmista onnistuneista ja epäonnistuneista hyökkäyksistä uusia entistä parempia työkaluja kehittäessään. 3 DoS/DDoS-hyökkäysmenetelmät 3.1 Johdanto Palvelunesto (DoS) voidaan saada aikaan useilla eri keinoilla, joiden yhteisenä ajatuksena on rikkoa palvelu tai saada se toimimaan väärin. Usein samassa järjestelmässä on useita eri haavoittuvuuksia, joita hyökkääjä käy läpi, kunnes hän mahdollisesti saavuttaa tavoitteensa, eli kaataa palvelun. Mikäli palvelunestohyökkäys tehdään hajautetusti puhutaan DDoS-hyökkäyksestä, jota vastaan on tavallista DoS-hyökkäystä vaikeampi puolustautua. Tässä luvussa esitellään DoS/DDoS-hyökkäysmenetelmiä pohjautuen kurssikirjan [MDDR04] lukuihin 4.3-4.6. Luvussa 3.2 kerrotaan mitä IP spoofing tarkoittaa ja miksi sitä käytetään. Luvussa 3.3 käydään läpi erilaisia hyökkäysmenetelmiä ja luvussa 3.4 esitellään olemassa olevia hyökkäystyökaluja. Luku 3.5 listaa hyökkäystyökalupakeissa käytettäviä komponentteja ja luku 3.6 kertoo asiaan liittyviä trendejä. 3.2 IP spoofing Lähde-IP-osoitteen väärentämistä ( IP spoofing ) käytetään useissa palvelunestohyökkäyksissä. Hyökkäysohjelma väärentää lähdeosoitteen valiten joko satunnaisen IP-osoitteen, samaan aliverkkoon kuuluvan naapurin IP-osoitteen tai hyökkäyksen kohteena olevan uhrin IP-osoitteen. Satunnainen IP-osoite saattaa olla eksoottinen tai epäpätevä, jolloin sitä kantava paketti saattaa kaataa tai jumiuttaa reitittimen. IP-spoofingia käytetään, koska sillä piilotetaan hyökkääjän sijainti (DoS) tai piilotetaan agenttilaitteiden sijainti (DDoS). Myös tietyt hyökkäystyypit, esimerkiksi heijastushyökkäys, perustuvat lähdeosoitteen väärentämiseen. Heijastushyökkäys voidaan tehdä esimerkiksi 10
lähettämällä TCP SYN -paketti, jonka lähdeosoitteeksi asetetaan uhrin IP-osoite, useille palvelimille aiheuttaen TCP SYN ACK-tulva uhrille. Heijastushyökkäys voidaan tehdä myös lähettämällä kyselyitä, joiden lähdeosoitteeksi asetetaan niin ikään uhrin IP-osoite, useille DNSpalvelimille aiheuttaen vastaustulva uhrille. IP-spoofingilla voidaan myös yrittää ohittaa DDoS-puolustus lähinnä UDP-pohjaisissa hyökkäyksissä. Puolustus voi päästää verkkoon liikennettä vain tietyistä IP-osoitteista, jolloin hyökkääjä käyttää sallittuja osoitteita, tai puolustus voi perustua asiakkaiden tasavertaiseen kohteluun, jolloin hyökkääjä vaihtelee käyttämäänsä lähdeosoitetta. IP-spoofingia vastaan on vaikea puolustautua, sillä sitä ei voida estää päätelaitteiden TCP/IP API:ssa, koska ominaisuutta tarvitaan mm. mobile IP:ssä. Tästä huolimatta Windows XP sp2:sta kyseinen ominaisuus on poistettu. Verkon reunareitittimissä voidaan suodattaa liikennettä lähdeosoitteen perusteella, mutta tämäkin estää mobile IP:n käytön. Samasta aliverkosta väärennettyjä lähdeosoitteita voidaan estää tutkimalla reitittimissä pakettien MAC-osoitteita, mutta tämä on ylläpidon ja reitittimien kannalta erittäin työlästä. Hyökkääjän kannalta IP spoofing ei ole tarpeellinen tulvahyökkäyksissä, kun agentteja on huomattavan paljon (yli 10000). Kaiken kaikkiaan on myös syytä muistaa, että DDoS-hyökkäyksiä voidaan suorittaa ilman IP-spoofingia. 3.3 DoS/DDoS-hyökkäysmenetelmät Palvelunesto- eli DoS-hyökkäys voidaan tehdä käyttämällä useita eri menetelmiä. Karkeasti menetelmät voidaan jakaa esimerkiksi seuraavasti: haavoittuvuuksien hyväksikäyttö, protokollaa vastaan hyökkääminen, middlewarea vastaan hyökkääminen, sovelluksia vastaan hyökkääminen, verkon infrastruktuuria vastaan hyökkääminen ja kaistan ryöstämishyökkäys. 3.3.1 Haavoittuvuuksien hyväksikäyttö Palvelunestohyökkäykset voivat yksinkertaisimmillaan perustua käyttöjärjestelmien haavoittuvuuksien hyväksikäyttöön. Esimerkiksi Windows 95- ja NT-käyttöjärjestelmissä sekä joissain Linux-kerneleissä viallisesti fragmentoitujen pakettien vastaanotto jumiuttaa, kaataa tai aiheuttaa järjestelmän uudelleenkäynnistyksen. Viallinen fragmentointi voi tarkoittaa esimerkiksi fragmenttien pientä päällekkäisyyttä tai negatiivista offsettia. Näitä haavoittuvuuksia vastaavia hyökkäyksiä ovat nimeltään bonk, boink, teardrop ja newtear. Haavoittuvuuksiin perustuvat hyökkäykset ovat hankalia, koska laite voidaan kaataa tai jumiuttaa yhdellä tai kahdella paketilla, mutta toisaalta nämä hyökkäykset on kuitenkin helppo torjua yksinkertaisesti paikkaamalla kyseinen haavoittuvuus. Uutinen Digitoday:ssä 8.3.2005 kertoi, että vanha land-hyökkäys jumiuttaa Windows XP sp2:n ja Windows Server 2003:n puoleksi minuutiksi kuluttaen kaiken prosessoritehon. Land-hyökkäyksessä uhrille lähetetään TCP SYN -paketti, jossa lähde ja kohde IP-osoitteet ovat samat, jolloin uhri yrittää vastata itselleen, mikä jumiuttaa koneen. 3.3.2 Protokollaa vastaan hyökkääminen Kenties paras esimerkki protokollaa vastaan hyökkäämisestä on TCP SYN -tulva. TCP-yhteydenmuodostuksessa palvelin, saatuaan SYN-paketin, varaa transmission control blockin (TCB), johon se tallettaa tietoja asiakkaasta. Palvelin varaa resurssit kunnes ACK- tai RST-paketti saapuu asiakkaalta tai timeout tapahtuu. Hyökkäys perustuu siihen, että hyökkääjä jättää TCP-yhteydet puoliksi avatuiksi, eli hyökkääjä ei vastaa SYN ACK -viestiin ACK-viestillä. Hyökkääjä generoi tasaisen virran IP-spoofattuja SYN-paketteja kuluttaen palvelimen TCB-muistin ja estäen näin uusien yhteyksien avaamisen palvelimelle. Jotta hyökkäys olisi mahdollinen on palvelimelta 11
(uhrilta) löydyttävä ainakin yksi avonainen TCP-portti. Hyökkäys voidaan toteuttaa suhteellisen pienellä määrällä SYN-paketteja, esim. 10 kpl/min riittää. Toinen TCP:tä hyödyntävä hyökkäystyyppi on, että hyökkääjä lähettää suuren määrän TCP SYN - paketteja satunnaisiin portteihin kuluttaen uhrin verkkoresurssit eikä niinkään TCB-muistia. Tämä on kuitenkin harvinainen hyökkäystyyppi. Naptha-hyökkäyksessä hyökkääjä luo uhriin suuren määrän TCP-yhteyksiä aiheuttaen paljon tilatietoa kernelin TCB-tauluun. Yhteydet ylläpidetään vastaamalla keep-alive-paketteihin, mutta muuten niihin ei lähetetä dataa. Hyökkääjä ei käytä TCP/IP API:a, jolloin se ei itse joudu varaamaan TCB-muistia. Lähdeosoitteen väärentäminen on myös mahdollista. Protokolliin kohdistuvat hyökkäykset on vaikea torjua, koska uusi korjattu versio protokollasta täytyy asentaa sekä palvelimelle, että asiakkaille. Toinen tapa torjua hyökkäyksiä on käyttää protokollaa älykkäästi, esim. palvelin voi ottaa käyttöön TCP SYN -keksit (ks. luku 4.3.1). 3.3.3 Middlewarea vastaan hyökkääminen Palvelunestohyökkäykset voidaan tehdä myös algoritmeissa, kuten tiivistefunktioissa, jotka normaalisti suorittavat toimintansa ajallisen keston suhteen lineaarisesti kullekin peräkkäiselle syötteelle. Hyökkääjä lähettää dataa, jonka uhri prosessoi haavoittuvalla tiivistefunktiolla. Data on sellaista, että algoritmin haavoittuvuus tulee esiin ja esim. peräkkäisten syötteiden prosessoinnin ajallinen kesto muuttuu lineaarisesta eksponentiaaliseksi. Tällä tavoin hyökkääjä kuluttaa palvelimen CPU-kapasiteetin ja esim. normaali sekunnin murto-osien laskutoimitus kestääkin useita minuutteja Tämän tyyppiset hyökkäykset ovat hankalia torjua, jos laite/sovellus on riippuvainen haavoittuvasta middlewaresta, jota ei kenties voida muokata tai poistaa. 3.3.4 Sovelluksia vastaan hyökkääminen Palvelunestohyökkäys voidaan tehdä tiettyä sovellusta, esim. Web-palvelinta vastaan. Hyökkääjä voi lähettää Web-palvelimelle pyyntöjä enemmän kuin se sietää. Web-palvelimen sietoraja voisi olla esim. 1000 kpl/s, jolloin hyökkääjälle riitäisi valjastaa esim. 10000 agenttia lähettämään pyynnön palvelimelle joka kymmenes sekunti. Tämä saisi palvelimen hylkäämään suurimman osan laillisista pyynnöistä suuresta kuormasta johtuen. Sovelluksia vastaan tehtyjä hyökkäyksiä on hankala torjua, koska hyökkäysliikenne näyttää aivan normaalilta lailliselta liikenteeltä. Hyökkäys ei toisaalta välttämättä rampauta kokonaan uhrina olevaa laitetta, vaan ainoastaan kyseinen sovellus saattaa olla poissa toiminnasta. 3.3.5 Infrastruktuuria vastaan hyökkääminen Hyökkääjä voi kohdentaa hyökkäyksensä myös verkon infrastruktuuria, esim. reitittimiä tai DNSpalvelimia vastaan. Hyökkäjän kannalta nämä ovat kiinnostavia kohteita, sillä vaikutus ulottuu kerralla useisiin käyttäjiin/palvelimiin. Hyökkääjä voi saada DNS-palvelimen tallettamaan väärää tietoa, jolloin asiakkaiden pyyntöihin vastataan väärillä tiedoilla ja esim. asiakkaan Web-liikenne ohjautuu vääriin paikkoihin. Uutinen Digitodayssä 5.4.2005 kertoi, että maaliskuussa tehdyissä DNS-tietojen väärennyshyökkäyksissä hyökkääjät saivat ohjatuksi ainakin yli kahdeksan miljoonaa sivupyyntöä vakoiluohjelmaa levittäneille palvelimille. Hyökkääjät väärensivät tietoja noin 500-1000 yrityksen nimipalveluissa, joiden Windows-pohjaiset nimipalvelimet olivat alttiita väärennöksille. Hyökkääjä voi aiheuttaa reitittimelle pakettitulvan kuluttaen sen CPU:ta ja alentaen sen kytkentäkapasiteettia. Toinen hyökkäystyyppi on reititysprotokollien haavoittuvuuksien hyödyntäminen, esim. täytetään reititystaulut epäoleellisilla tiedoilla, jolloin kriittisille tiedoille ei ole tilaa tai reitittimen toiminta hidastuu huomattavasti. Hyökkääjä voi myös ohjata reitittimen 12
kytkemään paketit vääriin paikkoihin tai hän voi tehdä reitittimestä epävakaan päivittämällä reititystietoja todella taajaan. Infrastruktuuria vastaan kohdennettuja hyökkäyksiä voidaan torjua tekemällä varareittejä ja lisäämällä laitteiden kapasiteettia, mikä ei kuitenkaan aina ole taloudellisesti mahdollista. 3.3.6 Kaistan ryöstämishyökkäys Mikäli hyökkääjällä on riittävä määrä agentteja valjastettuna, voi hän lähetetään uhrille mitä tahansa paketteja (esim. UDP-tulva) kultakin agentilta niin paljon kuin mahdollista kuluttaen uhrilta kaiken verkon kaistan. Uhri ei voi yksin suojautua tältä, koska lailliset paketit hukkuvat jo verkossa, joten hän tarvitsee ISP:n tukea. Joissakin tapauksissa hyökkäysliikenne voidaan tunnistaa ja ISP voi suodattaa sen pois. Helposti tunnistettavaa hyökkäysliikennettä voi olla esim. suuret UDP-paketit lähetettyinä tuntemattomiin portteihin. Mikäli tunnistaminen ei ole mahdollista voi ISP joutua oman etunsakin nimissä suodattamaan kaiken asiakkaalle kohdennetun liikenteen, jolloin asiakkaan laillinenkin liikennöinti estyy täysin. 3.4 DDoS-työkaluja Tässä luvussa esitellään muutamia yleisesti käytettyjä DDoS-työkaluja. Trinoo perustuu käsittelijä-agentti -arkkitehtuuriin, jossa hyökkääjä lähettää komentoja käsittelijöille TCP-yhteyksien yli ja käsittelijät puolestaan komentavat agentteja UDP-yhteyksien yli. Hallintayhteydet on suojattu salasanoilla, jottei toinen hyökkääjä voi riistää laitteita itselleen. Trinoolla voidaan generoida UDP-tulva, jolloin tietyn pituisia UDP-paketteja lähetetään tietyllä aikavälillä satunnaisiin portteihin yhteen tai useampaan kohteeseen. Tribe Flood Network (TFN) perustuu hieman erilaiseen käsittelijä-agentti -arkkitehtuuriin, jossa hyökkääjä lähettää komennot käsittelijän kautta agenteille komentoriviltä. Tällöin hyökkääjä ottaa ensin yhteyden käsittelijälle esim. SSH:lla. Käsittelijä puolestaan komentaa agentteja ICMP Echo Reply -paketeilla, joissa kontrollidata on salattu. TFN:llä voidaan generoida UDP-tulva, TCP SYN - tulva, ICMP Echo -tulva tai Smurf-hyökkäys. Smurf-hyökkäyksessä lähetetään verkon broadcastosoitteeseen esim. ICMP Echo Request, jonka lähdeosoitteeksi väärennetään hyökkäyksen kohteen IP-osoite, jolloin uhrille muodostuu ICMP Echo Reply -tulva. Stacheldraht yhdistää Trinoon ja TFN:n ominaisuuksia ja lisää salatun kommunikoinnin hyökkääjän ja käsittelijöiden välille. Lisäksi työkalussa on agenttien automaattinen päivitysmahdollisuus. Stacheldrahtilla voidaan generoida samat hyökkäykset kuin TFN:llä. Shaft on samankaltainen edellämainittujen kanssa, mutta lisänä on käsittelijöiden ja agenttien porttien vaihto lennosta, jolloin laitteiden jäljittäminen on hankalampaa. Shaft käyttää UDPyhteyksiä käsittelijöiden ja agenttien välillä ja etäyhteys hyökkääjältä käsittelijään muodostetaan telnetillä. Jokainen komento käsittelijältä agentille pitää sisällään lipun, jossa on salasana ja lippunumero. Niiden on oltava oikeat kullekin agentille, jotta komento ajettaisiin. Näin Shaft pitää lukua kustakin agentistaan. Käsittelijät voivat myös antaa erikoiskomennon agenteille, minkä avulla hyökkääjä voi kerätä tilastoja agenttien hyökkäystoiminnasta ja agenttiverkon laajuudesta. Työkalulla voidaan generoida UDP-tulva, TCP SYN -tulva ja ICMP-tulva. TFN2K on kehitetty versio TFN:stä. Se pitää sisällään useita ominaisuuksia, joilla liikenne on tehty erittäin vaikeaksi tunnistaa ja suodattaa. TFN2K käyttää mm. useita protokollia, mukaan luettuna UDP, TCP ja ICMP, kuljettamaan liikennettään ja IP-spoofingia piilottamaan todellisen liikenteen lähteen. IP-spoofauksessa voidaan valita joko satunnainen tai tietty verkkoavaruus. TFN:n hyökkäysten lisäksi työkalulla voidaan geneoida haavoittuvuushyökkäyksiä lähettämällä epämuodostettuja ja viallisia paketteja. 13
Mstream perustuu niin ikään käsittelijä-agentti -arkkitehtuuriin, jossa käsittelijöitä voi kontrolloida yksi tai useampi hyökkääjä käyttäen salasanalla suojattuja etäyhteyksiä. Liikenne hyökkääjän ja käsittelijöiden välillä ja käsittelijöiden ja agenttien välillä on konfiguroitavissa ja vaihtelee merkittävästi tapauskohtaisesti. Työkalu käyttää IP-spoofingia, jolloin lähdeosoite väärennetään satunnaiseksi. Mstreamilla voidaan generoida TCP ACK -tulva, jolla voidaan kuluttaa esim. palvelimen verkkoresursseja ja aiheuttaa TCP RST -viestin lähetyksiä kuluttaen palvelimen uplinkkaistaa. Trinity on ensimmäinen IRC-hallittu DDoS-työkalu. Kaapatut koneet liittyvät tiettyyn IRC-kanavaan ja odottavat sieltä komentoja, minkä ansiosta hyökkääjä voi käyttää täysin laillista IRC-palvelinta agenttien käskyttämiseen. Trinityllä voidaan generoida edellä mainittuja tulvahyökkäyksiä, TCP RTS -tulva tai viallisesti fragmentoituja IP-paketteja. Agobot ja sen jälkeläinen Phatbot tunnetaan hyökkäystyökalujen niin sanottuna Sveitsin armeijan linkkuveitsenä. Phatbotilla voidaan generoida TCP SYN -tulva, UDP-tulva, ICMP-tulva, Targatulva (satunnainen IP-protokolla, viallisesti fragmentoidut paketit, IP spoofing), Wonk-tulva (yksi TCP SYN -paketti, jonka perään 1023 TCP ACK -pakettia) ja HTTP GET -tulva. HTTP GET - tulvassa pyyntö lähetetään tuntien viiveellä, jolloin laajalle levittäytyneenä hyökkäys on lähes mahdotonta havaita ja estää puolustusmekanismeilla. Stacheldraht ja TFN2K olivat kaikkein suosituimpia vuosina 1999-2001. Ramen-mato kuljetti mukanaan Stacheldrahtin-agenttikoodia ja 1iOn-mato puolestaan sisälsi TFN2K:n agenttikoodin. Agobot/Phatbot oli erittäin laajasti käytetty vuosina 2003-2004. 3.5 Hyökkäystyökalupakkien komponentteja Hyökkäystyökalupakit pitävät sisällään useita eri komponentteja eri tarkoituksia varten. Seuraavaksi luetellaan yleisimmät komponentit, jotka useimmat hyökkäystyökalupakit sisältävät osittain tai kokonaan, ja kerrotaan niiden käyttötarkoituksista. Windows network service -ohjelma: Esim. Firedaemon on ohjelma, joka rekisteröi tietyt ohjelmat ajettaviksi palvelimina, jolloin ne voivat hyväksyä sisääntulevia yhteyksiä. Tälläisiä ohjelmia ovat mm. takaporttiohjelmat ja FTP-palvelin. Skannausohjelmat: Näitä ovat mm. synscan, mscan ja nmap. Skannausohjelmilla etsitään esim. verkossa olevien laitteiden avoinaisia portteja. DoS-ohjelmat: Vaikka nämä ohjelmat alkavat jo näyttää vanhanaikaisilta, voi esim. yksinkertainen UDP- tai SYN-tulvaohjelma, synk4, olla tehokas joitakin järjestelmiä vastaan. FTP-palvelin: Asentamalla FTP-palvelimen kaapatulle koneelle hyökkääjä voi ladata sinne tiedostoja, esim. laitonta materiaalia, jota voidaan edelleen jakaa toisen kategorian ohjelmilla, kuten Warez-botilla. Tämä komponentti ei varsinaisesti liity DoS-hyökkäyksiin. IRC tiedostopalvelu (Warez) -bot: Warezilla voidaan jakaa laitonta materiaalia käyttäen hyödyksi IRC:n tiedostonjakoprotokollaa (Direct Client-to-Client). Tämäkään komponentti ei varsinaisesti liity DoS-hyökkäyksiin. IRC DDoS-bot tai DDoS-agentti: Hyökkäystyökalupakit pitävät usein myös sisällään DDoSohjelmia, kuten Stacheldraht ja TFN sekä IRC-botteja, kuten Gtbot ja knight. Paikalliset hyväksikäyttöohjelmat: Näillä ohjelmilla hankitaan esim. kaapatussa koneessa tavallisen käyttäjän ajamana rootin oikeudet. Käyttäjän salasana on ensin hankittu esim. kaappaamalla verkon liikennettä. Etähyväksikäyttöohjelmat: Skanneriohjelmien rinnalla on usein ohjelmia, joilla hankitaan pääsy verkkoon tai käytetään verkossa olevaa laitetta ponnahduslautana toiseen verkkoon. 14
Järjestelmän lokien puhdistajat: Sen jälkeen kun hyökkääjä on päässyt tunkeutumaan koneeseen hän usein haluaa tuhota tiedot murtautumisesta. On olemassa työkaluja, joilla voidaan puhdistaa tekstimuotoisia lokitiedostoja, kuten Unixin syslog, tai binäärisiä lokitiedostoja, kuten Unixin lastlog. Troijan hevoset: Näillä hankitaan murrettuun koneeseen takaportti tai piilotetaan hyökkääjän ajamat ohjelmat, verkkoyhteydet tai tiedostot. Hyökkääjä voi korvata Unix-järjestelmässä esim. ohjelmat ls, find, ps, top, netstat tai ifconfig omilla ohjelmillaan, jotka toimivat tavallisesta poikkeavasti ja hyökkääjän kannalta suotuisasti. Nuuskijat: Asentamalla nuuskijoita hyökkääjä voi kuunnella verkon liikennettä ja varastaa käyttäjätunnuksia ja salasanoja selväkielisistä protokollista, kuten telnet, ftp, IMAP ja POP. Jotkut nuuskijat, kuten Phantom, tallettavat selville saamansa tiedot linkkaamattomiin tiedostoihin, jotka eivät näy hakemistolistauksessa, tai tiedostoihin, jotka sijaitsevat jopa eri laitteissa. 3.6 Trendejä Trendinä on, että kilvanjuoksu hyökkääjien ja puolustajien välillä jatkuu. Yhtä pian kuin keksitään pätevä puolustus jollekin hyökkäykselle, hyökkääjä muuttaa taktiikkaansa ja löytää keinon läpäistä puolustuksen. Puolustuksessa on alettu esim. käyttää liikenteen suodatusta lähde-ip-osoitteen perusteella, mutta yhä useammat hyökkäykset käyttävät nykyään aliverkko-ip-spoofingia, jolla suodatus voidaan kiertää. Puolustukset, joilla etsitään komento- ja kontrolliliikennettä perustuen tunnettujen DDoS-työkalujen tuntomerkkeihin, ovat saaneet aikaan sen, että hyökkääjät ovat alkaneet salata liikennettä. Tällöin sitä on vaikeampaa tunnistaa ja myös samalla estetään toisia kilpailevia hyökkääjiä kaappaamasta omia hyökkäyslaitteita. Puolustajien tulee aina pitää mielessään, että heillä on älykkäitä ja ripeäliikkeisiä vastustajia, joten heidän itsekin tulee olla toiminnassaan sellaisia. Todennäköisesti koskaan ei tulla keksimään kaiken kattavaa DDoS-puolustusta, mutta niillä voidaan kuitenkin huomattavasti vähentää hyökkäysten määrää, mikäli ainoastaan kaikkein älykkäimmät hyökkäykset pääsevät puolustuksesta läpi. Kehittynyttä hyökkäystä/hyökkääjää vastaan puolustautuessa tulee päästä hyökkääjän pään sisälle ja hyökkäystyökalun ominaisuudet ja mahdollisuudet tulee tarkoin kartoittaa. Hyökkääjä joutuu usein ennen hyökkäystään testaamaan työkaluaan tai tutkimaan hyökättävän verkon heikkouksia. Seuraamalla aktiivisesti verkossa tapahtuvaa toimintaa voidaan päästä siis hyökkääjän jäljille. Hyökkääjä voi paljastua myös yksinkertaisesti ilman torjuntaohjelmia, hän voi esim. toistuvasti testata onko hyökkäyksen kohteena oleva Web-palvelin kaatunut jättäen samalla jäljen palvelimen lokitiedostoihin. 4 Tietoverkon suojaaminen DoS-vaikutukselta 4.1 Johdanto Tämä luku tarkastelee kirjan [MDDR04] pohjalta, kuinka DoS- ja DDoS-hyökkäykseltä voidaan suojautua näkökulman ollessa hyökkäyksen lopullinen uhri. Yleisessä katsannossa suojaus kannattaisi kohdistaa kaikkiin internetissä sijaitseviin koneisiin, jolloin DDoS-hyökkääjän olisi erittäin vaikeaa saada riittävän suurta määrää agentteja haltuunsa DDoS-hyökkäyksen 15
suorittamiseksi. Käytännössä tätä on lähes mahdoton toteuttaa, sillä internetissä tulee varmasti aina olemaan koneita, jotka eivät käytä uusimpia päivityspaketteja tai ovat jättäneet auki portteja, jotka mahdollistavat koneen valtaamisen. Lisäksi tulevaisuudessa voimakkaasti kasvava uusien internetin käyttäjien (noviisien) määrä todennäköisesti vain lisää potentiaalisten agenttien lukumäärää. Tässä luvussa tarkastellaankin suojautumista erityisesti yrityksen tietoverkon näkökulmasta eli mitä toimenpiteitä yritys voi tehdä tietoverkon suojaamiseksi DoS- ja DDoS-hyökkäyksien vaikutuksilta. 4.2 DoS-vaikutukselta suojautumisen haasteet Jos uhrin verkkoyhteyden hukuttamiseen käytettävät paketit olisi helppo erottaa muusta liikenteestä, puolustumekanismien olisi suhteellisen helppo suodattaa nämä paketit. Näin ei valitettavasti ole, sillä hyökkäykseen ei tarvita mitään erityisen tyyppisiä paketteja. Hyökkääjät voivat käyttää tyypiltään vaihtelevia paketteja, jotka sulautuvat muun liikenteen joukkoon. Lisäksi hyökkääjien on mahdollista väärentää pakettien osoitetietoja ehkäistäkseen agenttien jäljittämisen. Tätä menetelmää kutsutaan lähdeosoitteen väärentämiseksi (ks. luku 3.2). Lähdeosoitteen väärentämisen seurauksena hyökkäyksen kohde luulee pakettien tulevan luotettavasta lähteestä. Kirjan mukaan seuraavat tunnuspiirteet kuvaavat puolustamisen haasteellisuutta hyökkäysten näkökulmasta: Yksinkertaisuus Liikenteen vaihtelu Lähdeosoitteen väärentäminen ('IP spoofing') Suuri volyymi Lukuisat agentit Heikkoudet internetin topologiassa Yksinkertaisuudella tarkoitetaan sitä, että DoS- tai DDoS-hyökkäykseen käytettäviä työkaluja on suhteellisen helppoa ladata internetistä ja ottaa käyttöön. Liikenteen vaihtelulla taasen viitataan siihen, että laillisen liikenteen ja hyökkäyksestä aiheutuvan liikenteen erottaminen ja suodattaminen on äärimmäisen vaikeaa hyökkäykseen käytettävän liikenteen vaihdellessa ja muuttuessa jatkuvasti. Lisäksi lähdeosoitteen väärentäminen tekee agenttien löytämisestä erittäin hankalaa, kun pakettien tunnistetiedot voidaan muuttaa siten, että ne näyttävät tulevan laillisista lähteistä. Hyökkäyksestä aiheutuva liikenteen korkea volyymi tekee myös liikenteen profiloimisen äärimmäisen hankalaksi. Puolustusmekanismit eivät esimerkiksi pysty prosessoimaan jokaista tulevaa pakettia liikenteen erittäin suuren määrän takia. DDoS-hyökkäyksen todellinen voima on kuitenkin siinä, että hyökkäyksen apuna käytettäviä agentteja voi olla lukematon määrä ja ne voivat sijaita missäpäin tahansa. Viimeisenä tunnuspiirteenä voidaan nähdä internetin topologiassa olevat heikkoudet. Nykyisessä 'hub-andspoke' -topologiassa on muutamia hyvin kriittisiä linkkejä, joiden toimivuudesta suurin osa internetiä on riippuvainen. Vaikka nämä keskittimet on luotu kestämään hyvin suurta liikennettä, riittävän laajan hyökkäyksen avulla DDoS-hyökkääjä voi periaatteessa onnistua lamauttamaan ne, seurauksen ollessa jopa koko internetin toimimattomuus. Puolustaminen sinänsä asettaa ensimmäisenä haasteena sen, tiedetäänkö mitä puolustetaan. Yrityksen sisällä on ymmärrettävä hyvin, miten yrityksen tietoverkko toimii ja miten se on organisoitu. Tämä auttaa yritystä tunnistamaan tietoverkon mahdolliset heikkoudet, jotka voivat olla alttiina hyökkäykselle. Lisäksi yrityksen tietoverkon ymmärtämiseen liittyy esimerkiksi, kuinka tärkeä verkko on yrityksen päivittäiselle toiminnalle, kuinka paljon verkon palvelukyvyn menettäminen maksaisi yritykselle ja mitkä palvelut ovat muita palveluita tärkeämpiä. Lisäksi on 16
otettava huomioon, että verkon palvelukyvyn menetyksellä voi olla suoranaisen liiketoiminnan menetyksen lisäksi vaikutusta yrityksen maineeseen ja jopa brandiin. Kun yritys oikeasti ymmärtää tietoverkonsa nykyisen tilan sekä sen todellisen merkityksen liiketoiminnalle, yrityksen on todennäköisesti helpompi perustella investoinnit verkon palvelukyvyn takaamiseksi, vaikkei tähän päivään mennessä olisi suuria ongelmia esiintynytkään. Joka tapauksessa hyväksi havaittu yleinen tapa parantaa tietoturvallisuutta on pitää tietoverkko yksinkertaisena, hyvin organisoituna ja hyvin ylläpidettynä. Näistä voidaan johtaa monta DoS-ennaltaehkäisyn tapaa, joita tämän luvun loppuosa tarkastelee. 4.3 Ennaltaehkäisevät toimenpiteet DoSilta suojautumiseksi Kuten riskienhallinnassa yleensäkin, ennaltaehkäisevät toimet ovat elintärkeitä. DoS-hyökkäyksen ennaltaehkäisy on luonnollisesti toivottavaa, niin kauan kuin se on mahdollista tehdä. Ensimmäinen tärkeä kohta, jonka kirja nostaa esiin on se, että vaikka ennaltaehkäisevät toimenpiteet eivät suojaisikaan verkkoa täydellisesti, kohtuullisen korkea suojaus voi turhauttaa hyökkääjän luopumaan aikeistaan tai ainakin etsimään helpompia kohteita. Seuraavaksi tarkastellaan, mitä lähestymistapoja kirjaa ehdottaa DoS- ja DDoS-hyökkäyksiltä suojautumiseen. Luvut 4.3.1 ja 4.3.2. jakavat ennaltaehkäisyn toimenpiteet karkeasti kahteen lajiin: estetään tai kestetään hyökkäyksiä. 4.3.1 Hyökkäyksen mahdollisuuden pienentäminen Hyökkäyksen mahdollisuuden eliminoiminen tai pienentäminen tarkoittaa muutoksia internetin protokolliin, sovelluksiin tai servereihin. Ennaltaehkäisevän suojautumisen toimenpiteinä on siis päivittää ja korjata ohjelmistoista tunnistettuja tietoturva-aukkoja, korjata huonojen protokollien rakennetta, kehittää resurssien hallintaa ja vähentää tunkeutumisen mahdollisuutta järjestelmään. Suuri osa näistä toimista on eräänlaista perushygienaa. Ennaltaehkäisevä suojautuminen eliminoi useimmat tietoturva-aukkojen kautta tapahtuvat hyökkäykset sekä useimmiten nostaa selvästi tietoverkon suojautumisen astetta tehden DoS-hyökkäykset suhteellisen vaikeaksi. Tietoverkon tietoturvan parantaminen ei silti suojaa täysin DDoS-vaikutukselta. Ensimmäinen vaihe verkon hygienian ylläpitämiseksi ovat ohjelmistojen tietoturva-aukkojen paikkaaminen ja suorituksen mahdolliset käärimiset eri tavoin rajattuun ajoympäristöön. Ohjelmistojen ja käyttöjärjestelmien valmistajien uusimmat korjauspäivitykset tulee asentaa järjestelmään. Usein yrityksen on mahdollista torjua suhteellisen tehokkaasti tietoturva-aukkoja hyödyntävät DoS-hyökkäykset pitämällä ohjelmistojen tietoturvapäivitykset ajantasalla. Ongelmana tässä on kuitenkin se, että usein yritykset eivät päivitä välittömästi uusimpia tietoturvapäivityksiä, koska niiden on ensin varmistuttava, ettei päivityksistä aiheudu lieveilmiöitä, jotka aiheuttavat yritykselle jopa taloudellisia menetyksiä. Toisaalta uusimmatkaan päivitykset eivät suojaa järjestelmään tunkeutumisilta, jos tietoturvapolitiikassa esimerkiksi ei ole määritelty riittäviä vaatimuksia salasanoille. Esimerkiksi Phatbot-haittaohjelma kykenee tunnistamaan serverit, joissa ei ole riittävän hyviä salasanoja (vrt. luku 3.4). Tietoverkon organisoinnilla on myös merkittävä vaikutus siihen, kuinka helposti DDoS-hyökkäys voi onnistua kyseisessä verkossa. Ensinnäkin verkon kriittiset palvelut ja pullonkaulat on tunnistettava ja niihin on kohdistettava erityistoimenpiteitä. Kirjan mukaan tietoverkko pitäisi organisoida siten, että kriittiset sovellukset ovat levittäytyneet useille servereille, jotka sijaitsevat eri aliverkoissa. Tällöin hyökkääjän tulisi vaikuttaa kaikkiin servereihin saavuttaakseen DDoS-vaikutuksen. Lisäksi yrityksen ei tulisi käyttää servereitä, joilla on useita tehtäviä, vaan kullakin serverillä tulisi olla vain yksi tehtävä ja hyvin määritelty toiminnallisuus. Hyvin organisoitu verkko on myös kestävämpi ja kykenee toipumaan hyökkäyksistä nopeasti, sillä 17