BezpieczeĹstwo systemĂłw komputerowych

[ Pobierz całość w formacie PDF ]

Ataki zdalne
Atak tego typu wykorzystuje wewnętrzne właściwości protokołu IP, w związku
z czym może być przeprowadzony na dowolnej platformie sprzętowej.
Implementacje tego protokołu nie różnią się znacznie między sobą, przez co
pojedynczy schemat ataku może być użyty przeciw różnym systemom
operacyjnym. Często wykorzystuje błędy w jądrze, a także w konkretnych
serwerach.
SYN Flood
W atakach tego typu cały problem tkwi w mechanizmie działania procesu
potrójnego potwierdzania połączenia TCP (ang. three way handshake).
W wyniku powiększania się Internetu, większość połączeń jest daleko
dystansowych, więc pakiety w drodze do miejsca przeznaczenia przechodzą przez
wiele maszyn. Rezultat jest taki, że pakiety te mogą być znacznie opóznione lub
nawet zgubione. Aby zestawić połączenie na łączach, gdzie występują duże
opóznienia, serwer musi poczekać na potwierdzający pakiet ACK od klienta. Jeśli
go nie otrzyma, ponowi wysłanie własnego pakietu ACK. Zanim serwer odrzuci
żądanie połączenia, sytuacja ta może się powtórzyć kilkukrotnie, z reguły 5-6 razy.
Za ka dym razem, gdy serwer ponawia wysłanie własnego pakietu ACK, czas jego
oczekiwania na odpowiedz zwiększa się dwukrotnie, tak więc jeśli serwer pozwala
na 6 prób i zaczyna od opóznienia 3 sek., to zanim odrzuci żądanie będzie czekał na
odpowiedz klienta przez:
3 + 6 + 12 + 24 + 48 + 96 = 189 sek.
BEZPIECZECSTWO SYSTEM�W KOMPUTEROWYCH 65
Ataki na systemy komputerowe
czyli ogólnie:
(2n-1) � k
gdzie n to liczba prób, a k początkowy czas opóznienia.
Oto przykładowa droga jaką pokonuje pakiet wysłany poprzez połączenie TPSA
z Częstochowy do hosta matinf.pcz.czest.pl oraz czasy poszczególnych opóznień
(jest to skrócony wynik komendy traceroute bez adresów IP)18:
1 * * *
2 pa1.czestochowa.ppp.tpnet.pl 840.056 ms 139.709 ms 129.889 ms
3 do-czest-kop.wct2.katowice.tpnet.pl 179.940 ms 129.740 ms 129.949 ms
4 213.25.12.185 139.811 ms 139.658 ms 139.958 ms
5 do-war-cst4.r1.tpnet.pl 149.982 ms 171.137 ms 158.555 ms
6 do-kraacmm.r1.tpnet.pl 189.888 ms 229.506 ms 500.040 ms
7 do-r1.lodzcen.tpnet.pl 250.363 ms 329.760 ms 460.055 ms
8 z-TPNet-l-e3.lodz.pol34.pl 369.733 ms 249.826 ms 259.896 ms
9 212.191.127.154 279.866 ms 420.326 ms 529.401 ms
10 z-katowic-e1.czestochowa.pol34.pl 1390.029 ms 1159.877 ms 1649.802 ms
11 gw-pcz-pol34.pcz.czest.pl 920.338 ms 309.774 ms 449.916 ms
12 212.87.224.57 369.880 ms 1189.826 ms 1179.922 ms
13 matinf.pcz.czest.pl 369.882 ms 329.811 ms 329.873 ms
Jest to typowe miejsce ataku DOS typu SYN Flood, który polega na wysyłaniu
pakietów SYN do serwera z fałszywym adresem zwrotnym (ang. return address),
który nie istnieje albo należy do maszyny obecnie wyłączonej lub odłączonej od
sieci. Serwer odpowie własnym pakietem ACK i będzie oczekiwał na potwierdzenie
od klienta, które nigdy nie nadejdzie. Wobec tego serwer będzie ponawiał wysłanie
własnego pakietu 5-6 razy, za każdym razem dwukrotnie zwiększając czas
oczekiwania. W rezultacie gniazdko przez jakiś czas zostaje zablokowane.
18
yródło: opracowanie własne
BEZPIECZECSTWO SYSTEM�W KOMPUTEROWYCH 66
Ataki na systemy komputerowe
Pojedyncze takie przypadki nie są zagrożeniem, natomiast gdy haker wysyła tysiące
takich żądań, problemy mogą być widoczne. Efekt działania takiego ataku jest
uzależniony od stopnia jego nasilenia oraz od słabości samego systemu. Ze względu
na ograniczoną ilość gniazdek obsługiwanych przez system, zablokowanie ich
wszystkich uniemożliwia prawidłowe działanie serwera, ponieważ następuje
zapełnienie kolejki połączeń oczekujących, a co się z tym wiąże blokuje ruch
wychodzący i przychodzący,
czyli dla innych użytkowników maszyna jest niedostępna. Dodatkowo duża ilość
otwartych gniazdek powoduje użycie znacznej ilości pamięci, co uszczupla zasoby
dla uruchomionych programów, a w najgorszym razie, zwłaszcza przy słabszych
systemach, może doprowadzić do ich załamania. Od kiedy zablokowane porty są
z powrotem po paru minutach dostępne, w celu przedłużenia blokady należy atak
podtrzymywać, dopóki serwer się nie zatrzyma, co w tym przypadku i tak trwa do
zresetowania go przez administratora.
Początkowo ten rodzaj ataku uznawany był za niemożliwy do wyśledzenia
z powodu fałszywego adresu zwrotnego, po którym rozpoznawano nadawcę. Haker
mógł dodatkowo utrudniać serwerowi wykrywanie i ignorowanie fałszywych [ Pobierz całość w formacie PDF ]