Download - 481948.Sincek-Vrbanec_-_DDoS

Transcript

  • 7/24/2019 481948.Sincek-Vrbanec_-_DDoS

    1/5

    Distribuirani napad uskraivanjem usluga

    Dario incek, Tedo VrbanecUiteljski fakultet Sveuilita u Zagrebu, Odsjek u akovcu

    Ulica dr !nte Starevi"a ##, akovec, $rvatskaTelefon% &'(') *+ '' '' a-% &'(') *+ '' .# /01ail% 2dariosincek3 tedovrbanec45g1ailco1

    Saetak Iskustvo je autora da je u Hrvatskoj postotak

    korisnika raunalno-komunikacijske tehnologije sa znanjem

    i iskustvom, ili ak samo sa eljom za uenjem o

    sigurnosnim pitanjima koritenja Interneta, njegovih usluga

    i openito raunalnih mrea, zanemariv !aicima, ak i

    prosjenim korisnicima "roj i opseg prijetnji koje dolaze s

    Interneta i ostalih mrenih resursa najee je nepoznat

    #nogo je razloga$ od nedovoljnog o"razovanja, ignoriranja

    prijetnji, nezainteresiranosti krajnjih korisnika, %ema

    rada je jedan mali segment tih prijetnji koji se naziva

    distri"uirani napadi uskraivanjem usluga &englDistributed

    Denial of Service , ''oS(, a koji predstavljaju povelikpro"lem sistem i)ili mrenim administratorima

    I. UVOD

    DDoS na6ad jedan je od 6roble1a s koji1a se svre1ena na vrije1e susre"u 1noga 6o6ularna 7eb ali idruga sjedita na 8nternetu U a6solutno1 broju korisnika8nterneta koji se ne6restano 6ove"ava, nisu 6roble1 onidobrona1jerni, ve" se, iako relativno slabo 9astu6ljeni,6ove"ava a6solutan broj oni: koji ga nastoje9lou6otrijebiti na ra9ne naine Oni se sve vie udru;uju OST

    Sigurnost se kao te1a 6rovlai kro9 itav ovaj radStoga je 6okuaj1o definirati% @Sigurnost je 6rocesodr;avanja 6ri:vatljivog nivoa ri9ikaA FGH =ad ka;e1oda je sigurnost 6roces, 1isli1o na to da njegova

    i16le1entacija 9a:tjeva na6oran trud, odricanje,u6o9oravanje, edukaciju, brojna 6rogra1ska i sklo6ovskarjeenja i usluge koje na1 o1ogu"avaju @biti u tokuA snajnoviji1 6rijetnja1a koje se svakodnevno javljajuIre1a FGH kada se govori o sigurnosti i 9atitiinfor1acijski: sustava i 1re;a uvrije;eno je nekoliko6rinci6a koji danas vrijede kao osnovni 6ostulati%

    G Sigurnost je 6roces Sigurnost nije 6roi9vod, uslugaili 6rocedura, ve" sku6 koji i: sadr;i 0 u9 jo 1nogoele1enata i 1jera koje se stalno s6rovode

    . >e 6ostoji a6solutna sigurnost* U9 ra9liite 1etode 9atite, treba i1ati u vidu i

    ljudski faktor, sa svi1 slabosti1a

    Ta naela vrijede kako 9a ku"nog korisnika tako i 9aorgani9acije be9 ob9ira na nji:ov o6seg djelatnosti>adalje, 6roces sigurnosti 9asniva se na etiri osnovna

    koraka% 6rocjena, 9atita, otkrivanje i odgovorFGH Jnogina6adi us1jereni su na unitenje infor1acija,1ani6ulaciju, 6rislukivanje, one1ogu"avanjedostu6nosti 9ajedno s ostali1 ne6o6ularni1 radnja1akoje ukljuuju infor1acije 6a su stoga 6ovjerljivost,cjelovitost i ras6olo;ivost sastavni ele1enti sigurnostiFGH

    Iodruje 1etoda 9atite veo1a je slo;eno te stoga nije6otrebno ula9iti u dublje anali9e i s6ecijali9acije ti:1etoda, jer klasifikacija 1etoda 9atite od DDoS na6adasadr;i na desetke 6rinci6a i rjeenja Jetode 9atite ovise

    o na6adi1a i 6rijetnja1a, 6a one evoluiraju 9ajedno snji1a 8ako se 1iljenja ra9ila9e, ve"ina autora s1atra da6ostoje etiri osnovne gru6e 1etoda 9atita%

    kri6tografske 1etode, 6rogra1ske 1etode, organi9acijske 1etode i fi9ike 1etode

    II. INTERNET

    8nternet je neraskidivo 6ove9an s DDoS na6adi1aesta je 9abluda korisnika 6oistovje"ivanje 8nterneta i

    Korld Kide Keba &KKK) =ao to 9na1o, KKK iliskra"eno 7eb, tek je jedna od usluga koje na1 nudi8nternet Iored 7eba, tu su i telnet, Usenet, TI, e01ail,c:at, 8J, 8EL, s6o1eni1o naj6o9natije 8SOBOS8 F.H

  • 7/24/2019 481948.Sincek-Vrbanec_-_DDoS

    2/5

    &teorija) i TLIB8I &6raksa) referentni 1odeli 6redstavljajunain na koji funkcioniraju 1re;e i 8nternet Oni sera9likuju, ali je 6rednost u to1e to i: 1o;e1o dovesti uve9u Oni su a6straktni i 6raktini o6is di9ajna 6rotokolako1unikacijski: i raunalni: 1re;a, 6redstavljeni uobliku seda1 odnosno etiri sloja

    Osi1 najva;niji: usluga i 6rotokola na koji1a 8nternet6oiva, u njegovo funkcioniranje ukljuuju se i portoviiliko1unikacijska vrata >ajjednostavnije reeno, portovidefiniraju nain odr;avanja ve9e i91e?u raunala,6oslu;itelja, klijenata, itdPortje broj na koji se 6ojedinaa6likacija 6o9iva 6riliko1 6oetkaBtrajanja ko1unikacijete o1ogu"ava istovre1enu ko1unikaciju ra9liiti:a6likacija i91e?u dvaju &ili vie) raunala Me9 konce6taporta bilo bi te;e utvrditi kojoj a6likaciji 6ri6ada neki6aket koji sti;e s 8nterneta

    888 >!I!D8

    leda li se 8nternet kro9 6ri91u korisnosti i 6rijetnji,1nogi1a je jasno da je ovo osjetljivo 6odruje 6odlo;norelativi91u >ai1e, 1nogi bi 8nternet definirali kaosredstvo olakanog 6ristu6a i ra91jene infor1acija te1e?usobne ko1unikacije >avedeno bis1o 1ogliokarakteri9irati kao 6o9itivnu stranu 8nterneta no sada"e1o govoriti o negativni1 strana1a 8nterneta tj ovrsta1a na6ada

    Osoba koja inicira na6ad na9iva se na6ada >a6ada1ora 6osjedovati naj1anje tri svojstva%

    1etodu, 6riliku i 1otiv

    =ako bi se 1ogle 6odu9eti efikasne 1jere 9atite va;noje ra9u1jeti osnovni 6rinci6 i 1etode koje na6adaikoriste da @osvojeA raunalni sustav ili 1re;u @U osnovi,na6adi su akcije us1jerene na ugro;avanje sigurnostiinfor1acija, raunalni: sustava i 1re;aA FGH Iostojera9ne vrste na6ada, no one se o6"enito 1ogu klasificiratiu etiri osnovne kategorije% 6rekidanje, 6resretanje,i91jena i generiranje ne6ostoje"eg sadr;aja >aje"evrste na6ada su na6adi kra?e identiteta, TLI i UDIna6adi te na6adi na a6likacije i usluge a6likacijskog sloja

    8V >!I!D8 US=E!N8V!>C/J USU! &DoS)

    Irije definiranja distribuiranog na6ada uskra"ivanje1usluga, 6otrebno je 6rika9ati osnovne infor1acije o@obino1A na6adu uskra"ivanje1 usluga &DoS, englDenial of Service) i njegovoj strukturi DoS su aktivnosti6odu9ete od strane 9lona1jerni: korisnika s cilje1one1ogu"avanja is6ravnog funkcioniranja ra9liiti:raunalni: iBili 1re;ni: resursa i1e odre?ene usluge6ostaju nedostu6ne drugi1 &legalni1) korisnici1a, nanain da se o6etovano i u najkra"i1 1ogu"i1 ra91aci1atra;i neka &naje"e legalna) usluga, ne do9voljavaju"i, neekaju"i i ne oekuju"i od 6oslu;itelja ili 1re;e dau9vrati odgovor, ve" se svjesno o6tere"uje snaga6oslu;itelja od kojeg se neto tra;i kao i ko1unikacijskikanal koji1 je na6adana infrastruktura 6ove9ana na

    8nternet, a s 6osljedico1 @i9gladnjivanjaA resursa &LIUciklusi, 1e1orija i ko1unikacijski kanal) F*H

    injenica da je 8nternet i9gra?en od konanog broja1re;ni: ko16onenata te da raunalni sustavi ne ras6ola;us neogranieni1 koliina1a 6rocesne 1o"i, 6ridonosiis:odi1a ovakvi: na6ada 8ako je naje"e ra9log9lona1jeran, na6adi uskra"ivanje1 usluga nisuorijentirani 6re1a stjecanju 6ristu6a nedo9voljeni1infor1acija1a i 6odatci1a ili drugi1 sigurnosni1 tefinancijski1 iskoritavanji1a >a6adai DoS na6adei9vravaju 6rvenstveno kako bi se 1e?usobno doka9ali ilikako bi nanijeli tetu na6adnuti1 organi9acija1a 89 ti:na6ada oni ne1aju nikakvu financijsku korist, alina6adnute organi9acije esto 1ogu i1ati velike tetetete se 1jere u financijski1 brojka1a kao re9ultatne1ogu"nosti 6oslovanja i 6otrebe 9a ulaganje1 usigurnosnu 9atitu, ali i u nefinancijski1 1jera1a 6rie1u se 6rvenstveno 1isli na gubitak ugleda 1e?uklijenti1a i 6artneri1a F*H

    >a6adi uskra"ivanje1 usluga naje"e se obavljaju odstrane udaljeni: na6adaa 6a se globalno dijele na dvije

    sku6ine 6re1a sloju, odnosno, nivou sed1o0slojnog8SOBOS8 1odela na kojeg su us1jereni >a taj nainobino i: se dijeli u dvije sku6ine%

    na6adi us1jereni na a6likacijski sloj i na6adi us1jereni na 1re;ne resurse, odnosno

    1re;ni sloj F*H

    V D8STE8MU8E!>8 >!I!D8 US=E!N8V!>C/JUSU! &DDoS)

    Ovaj na6ad 6redstavlja jedan od najkontrover9niji:,

    najko16leksniji: te najo9biljniji: na6ada 89ra9 DDoSo9naava oblik na6ada uskra"ivanje1 usluga u koje1 sui9vori 1re;nog 6ro1eta &na6ada) distribuirani na vie1jesta dilje1 8nterneta Ta raunala i9 koji: se obavljana6ad nisu u vlasnitvu na6adaa, ve" ;rtava koja, u6ravilu, nisu svjesne da se njeno raunalo koristi 9ana6ade 6rotiv drugi: raunala i sustava >aje"e se radio raunali1a koja sadr;e neku ranjivost to o1ogu"ujena6adau ra9bijanje sustava 9atite te irenje9lona1jernog koda >akon toga raunalo je u vlastina6adaa koji jedno1 naredbo1 6okre"e DDoS na6ad s1nogi: 6rovaljeni: raunala na ciljano raunalo F(H

    DDoS na6ad ukljuuje 1noge strane 0 dobavljae

    6rogra1ske 6odrke koji 6o;uruju 6lasiranje nesigurne6rogra1ske 6odrke na tr;ite, korisnika koji ne6ri1jenjuje 9akr6e koje se i9daju kao odgovor naeventualne 6ro6uste u 6rogra1i1a i o6eracijski1sustavi1a, te ne a;urira antivirusne 6rogra1e i ne koristivatro9id, 8SI0ovi &8SI P engl Internet Service Provider,6ru;atelj 8nternet usluga) koji auto1atski ne 6regledavajudodatke e06ote kako bi otkrili 9lo"udan kQd ili blokiraliko1unikacijska vrata &englport) na raunali1a klijenata,osobe koje iskoritavaju naku6ljenu ranjivost u sustavutako da 6iu i ire 9lo"udni kQd i na kraju ga koriste 9a6okretanje DDoS na6ada &glavni 1o9ak) i ;rtve DDoSna6ada Svaka od ovi: strana bi 1ogla 6odu9eti odre?enekorake i s1anjiti vjerojatnost DDoS na6ada F#H

    DDoS na6adi ukljuuju 6rvotno 6rovaljivanje u stotineili tisu"e raunala 6ute1 8nterneta >akon toga, na6adainstalira DDoS 6rogra1 na sve nji:, i1e 9adobije

  • 7/24/2019 481948.Sincek-Vrbanec_-_DDoS

    3/5

    kontrolu nad nji1a 9a 6okretanje koordiniranog na6adana krajnju ;rtvu Ti na6adi obino iskoritavaju ka6acitetus1jerivaa ili 1re;ne resurse to 6rekida 6ove9anost1re;e i korisnika Da bi 6okrenuo DDoS na6ad,9lona1jerni korisnik 6rvo 1ora i9graditi 1re;u raunalakoja "e se koristiti 9a stvaranje velikog 6ro1eta koji je6otreban da bi se one1ogu"ila usluga legiti1ni1korisnici1a Da bi stvorili ovu 1re;u, na6adai otkrivaju

    ranjive a6likacije &kao to su n6r 7eb stranice) ili6oslu;itelje Eanjivi 6oslu;itelji su oni koji sadr;esiste1sku 6rogra1sku 6odrku s 6o9nati1 ranjivosti1a,ne sadr;e antivirusne 6rogra1e, sadr;e antivirusne6rogra1e stariji: inaica ili oni koji nisu is6ravnokonfigurirani >a6adai iskoritavaju takve ranjivosti6oslu;itelja kako bi dobili 6ristu6 Sljede"i korakna6adaa je instaliranje novi: 6rogra1a &alati 9ai9vravanje na6ada) na ugro;ene 6oslu;itelje Ioslu;iteljiu koji1a su 6okrenuti takvi alati 9a i9vravanje na6adana9ivaju se zombi raunala &engl zombies), a 1oguobaviti svaki na6ad koji i1 naredi na6ada Jnotvo9o1bi raunala na9iva se @vojska 9o1bijaA &engl zombi

    army) Iored 6oslu;itelja, na6ada jo vie, ali 6o skoroisto1 6rinci6u 6reu9i1a kontrolu nad tisu"a1a osobni:raunala, nji:ove korisnike dodatno 1a1e"i ra9ni1sadr;aji1a na o6asna 7eb sjedita ili na instaliranje1aligne 6rogra1ske 6odrke 6rikriveni: funkcija

    >a6ad 6oinje 6robijanje1 u slabo osigurana raunala,koriste"i 6o9nate greke u standardni1 1re;ni1 uslu;ni16rogra1i1a te slabu konfiguraciju u o6eracijski1sustavi1a >a svako1 sustavu, nakon 6rovale, na6adaobavlja neke dodatne korake Irvi korak je instaliranje6rogra1a kako bi se 6rikrila 6rovala u sustav te kako bi sesakrili svi tragovi njegovi: naknadni: aktivnosti >a6ri1jer, standardne naredbe 9a 6rika9ivanje 6rocesa kojisu 6okrenuti, 9a1ijenjeni su inaico1 koja ne 6rika9uje6rocese na6adaa Svi ti alati i1aju 9ajedniki na9iv@rootkitA, jer nakon instalacije 6reu9i1ajuad1inistratorske ovlasti Tada se instalira 6oseban 6roceskoji se koristi 9a udaljenu kontrolu raunala Ovaj 6roces6ri1a naredbe 6reko 8nterneta i kao odgovor na ovenaredbe 6okre"e na6ad 6ute1 8nterneta 6re1a odre?enoj;rtvi Ee9ultat ovoga auto1ati9iranog 6rocesa je stvaranje1re;e koja se sastoji od rukovoditeljski: &engl master) i6osredniki: &engl slave, daemon) strojeva Svakina6ada 1ora raditi s adrese koja se naje"e i6ak 1o;e6ove9ati s njegovi1 identiteto1 Stoga "e o6re9nina6ada 6oeti ra9bijanje sa sa1o nekoliko raunala, a9ati1 i: koristiti 9a ra9bijanje vie novi: raunala te

    6onavljanje1 ovog ciklusa s1anjiti 1ogu"nost da budeotkriven Vrije1e na6ada 9a na6adaa traje sa1o jednunaredbu koja 6okre"e 6akete naredbi da svi 9arobljenistrojevi 6okrenu odre?eni na6ad na odre?eni cilj F(H

    V T!=SO>OJ8C! DDoS >!I!D!

    =ako bi ralanili taksono1iju distribuiranog na6adauskra"ivanje1 usluga, 6ro1atra1o sredstva koja sekoriste 9a 6ri6re1u na6ada, karakteristike na6ada i uinakna6ada na ;rtvu FRH Uku6nost taksono1ije vidljiva je nasl G

    *lasi+ikacija prema stupnju automatizacije

    Tijeko1 6ri6re1a 9a na6ad, na6ada 1ora 6rona"i6otencijalno raunalo 0 agenta i 9ara9iti ga 9lokobni1

    kQdo1 Oslanjaju"i se na stu6anj auto1ati9acije 6riliko1na6ada, ra9likuje1o% runi, 6olu0auto1ati9irani iauto1ati9irani DDoS na6ad

    Runi napad

    Sa1o rani DDoS na6adi su s6adali u ovu kategoriju>a6ada je skenirao udaljena raunala kako bi 6ronaaoranjivost, 6rovalio u nji: i instalirao 9lokoban kQd Zati1

    bi u6ravljao raunalo1 i i9vrio na6adPolu-automatizirani napadDDoS 1re;a se ovdje sastoji od rukovoditelja i agenata

    < 6osredniki: raunala >a6ada 6ostavljaauto1ati9irane skri6te 9a skeniranje i ko16ro1itiranje ti:raunala i instalaciju 1alicio9nog kQda Tada koristiraunala 0 rukovoditelje kako bi odredio vrstu na6ada i;rtvinu adresu i kako bi 9a6ovijedao na6ad svoji1agenti1a &6osredniki1 raunali1a) koji alju 6akete;rtvi Oslanjaju"i se na 1e:ani9a1 ko1unikacije koji seus6ostavlja i91e?u raunala 0 agenta i raunala 0rukovoditelja, 6oluauto1ati9irane na6ade dijeli1o nana6ade s direktno1 ko1unikacijo1 i na6ade s

    indirektno1 ko1unikacijo1>a6adi s direktno1 ko1unikacijo1Tijeko1 na6ada s direktno1 ko1unikacijo1, raunalo

    0 agent i raunalo 0 rukovoditelj 1e?usobno 1oraju 9natiidentitet jedan drugog kako bi 1ogli ko1unicirati To se6osti;e tako da se 8I adresa raunala 0 rukovoditeljakQdira &engl hard-coding) u 1alicio9an kQd koji sekasnije instalira raunalu 0 agentu Svako raunalo 0 agenttada javlja s6re1nost raunali1a 0 rukovoditelji1a koja9ati1 s6re1aju 8I adrese agenata u datoteku 9a budu"uu6otrebu >edostatak ovog 6ristu6a je to to 6ronala9akjednog ko16ro1itiranog raunala 1o;e dovesti dora9otkrivanja cijele DDoS 1re;e Ioto agenti irukovoditelji sluaju 1re;ne ve9e, 6odlo;ni suidentifikaciji 1re;ni: skenera

    >a6adi s indirektno1 ko1unikacijo1>a6adi s indirektno1 ko1unikacijo1 6ostavljaju nivo

    nei9ravnosti kako bi se 6ove"alo 6re;ivljavanje DDoS1re;e >edavni na6adi 6rika9uju 6ri1jer na6ada kojikoriste 8EL kanale 9a ko1unikaciju agentBrukovoditelj=oritenje 8EL usluga 9a1jenjuje funkciju rukovoditeljajer 8EL kanal nudi dostatnu anoni1nost 9a na6adaaDDoS agenti us6ostavljaju vanjske ve9e sa standardni1uslu;ni1 6ortovi1a koje koriste legalne 1re;ne uslugeZbog toga se ko1unikacija agenta s kontrolno1 toko1teko 1o;e ra9likovati od legalnog 1re;nog 6ro1eta!genti ne sadr;e sluni 6ort koji se inae lako otkriva6o1o"u 1re;ni: skenera >a6ada kontrolira agente6o1o"u 8EL ko1unikacijski: kanala Dakle, otkrivanjejednog agenta ne 1o;e voditi nika1o dalje, ve" sa1o doidentifikacije jednog ili vie 8EL 6oslu;itelja i i1enakanala koje koristi DDoS 1re;a Daljnje otkrivanjeagenata od ove toke ovisi o 1ogu"nosti 6ra"enja agenatakoji su trenutno s6ojeni na 8EL 6oslu;itelj Iored 8EL6oslu;itelja, i usluge trenutni: 6oruka 8J &engl Instantessaging) 6odlo;ne su ti1 9lou6oraba1a >e 6ostojividljiv ra9log 9ato na6adai ne bi 1oglikoristitiB6rena1ijeniti i druge legiti1ne usluge 9a slinesvr:e

    !utomatizirani napadi

    !uto1ati9irani DDoS na6adi dodatno auto1ati9irajufa9u na6ada te tako i9bjegavaju 6otrebu 9ako1uniciranje1 i91e?u raunala 0 na6adaa i raunala 0agenata Vrije1e 6oetka na6ada, vrsta na6ada, trajanje

  • 7/24/2019 481948.Sincek-Vrbanec_-_DDoS

    4/5

    na6ada i adresa ;rtve su 6red06rogra1irane u1alicio9no1 kQdu Oito je da takva 6ostava1e:ani9a1a na6ada nudi 1ini1alno i9laganje na6adaa,jer je na6ada ukljuen sa1o u 6okretanju jedne naredbe 06oetak na6ada S6ecifikacija kQdiranog na6ada6odra9u1ijeva sa1o jednu svr:u DDoS 1re;e >o,1e:ani91i irenja obino ostavljaju stra;nji ula9 &englbackdoor) na ukljueno1 raunalu te tako o1ogu"avaju

    lak 6ristu6 u budu"nosti i eventualnu 6ro1jenu1alicio9nog koda Iolu0auto1ati9irani i auto1ati9iranina6adi ukljuuju raunala 0 agente koriste"i auto1atskete:nike skeniranja i irenja

    Ire1a strategija1a skeniranja ra9likuje1o na6ade kojise te1elje na sluajno1 skeniranju, skeniranju 6o6isa6odataka &engl hitlist), to6oloko1 skeniranju,ra91jerno1 skeniranju i skeniranju lokalne 6od1re;e>a6adai obino ko1biniraju fa9e skeniranja iiskoritavanja te tako dobivaju ve"u 6o6ulaciju agenata

    Ire1a 1e:ani91u irenja u 1alicio9no1 kodura9likuje1o na6ade koji 6ostavljaju irenje i9 sredinjegi9vora, 6otajno irenje i autono1no irenje Tijeko1

    na6ada sa irenje1 i9 sredinjeg i9vora 1alicio9an kod jes1jeten na sredinje1 6oslu;itelju ili nekoliko nji:>akon ko16ro1itiranja raunala 0 agenta ifra se6reu9i1a sa sredinjeg i9vora kro9 1e:ani9a1 9a 6rijenosdatoteka Tijeko1 na6ada sa 6otajni1 irenje1, ifra 9ana6ad se 6reu9i1a sa raunala koje se koristilo 9aiskoritavanje sustava Zara;eno raunalo tada 6ostajei9vor 9a sljede"i korak irenja Iotajno irenje lakeo6staje od na6ada sa irenje1 i9 sredinjeg i9vora jerkoristi vie toaka te tako i9bjegava sa1o jednu tokukoja 1o;e 9naiti neus6je: >a6adi sa autono1ni1irenje1 i9bjegavaju korak 6ovratka datoteka tako toalju u6ute 9a na6ad direktno u 1etu do1a"ina tijeko1

    fa9e iskoritavanja*lasi+ikacija prema iskoritenoj ranjivostiDistribuirani na6adi uskra"ivanje1 usluge iskoritavaju

    ra9liite strategije kako bi uskratili uslugu ;rtvi ili;rtvini1 klijenti1a Ire1a ranjivosti na koju se ciljatoko1 na6ada ra9likuje1o 6rotokolarne na6ade i na6adegrubo1 silo1

    Protokolarni napadi

    Irotokolarni na6adi iskoritavaju s6ecifinu 9naajkuili i16le1entacijski @bugA nekog 6rotokola koji seinstalira na ;rtvino raunalo kako bi se dobio 6ristu6njegovi1 i9vori1a Iri1jeri ukljuuju TLI S> na6ad,L8 9a:tjev 9a na6ad i autentifikacijski na6ad na

    6oslu;itelju U TLI S> na6adu 9naajka koja seiskoritava jest dodjeljivanje ve"e koliine 6rostora u redu9a ve9u od1a: nakon to 6ri1atelj da 9a:tjev 9a TLIS> >a6ada inicira viestruke ve9e koje nikada nisu9avrene te tako is6unjava red 9a ve9u u beskonanost Una6adu L8 9a:tjeva, na6ada troi vrije1e LIU0a ;rtvetako to i9daje viestruke L8 9a:tjeve =od na6ada saustanovljivanje1 vjerodostojnosti 6oslu;itelja, na6adaiskoritava injenicu da 6roces 6rovjere vjerodostojnosti6ot6isa troi 9naajno vie resursa nego generiranjela;nog 6ot6isa On alje 1nogobrojne la;ne 9a:tjeve 9a6rovjero1 vjerodostojnosti 6oslu;itelju te tako ve;enjegove resurse

    "apadi grubom silom>a6adi grubo1 silo1 &engl Brute #orce) i9vode se

    tako da se 6okre"e velika koliina 6rividno legiti1ni:transakcija =ako @upstreamA 1re;a 1o;e donijeti ve"i

    6ro1et nego ;rtvina 1re;a 1o;e 6odnijeti, ona iscr6ljuje;rtvine resurse >a6ade grubo1 silo1 dalje dijeli1o sob9iro1 na sadr;aje 6aketa i ;rtvine usluge na na6ade s1ogu"no"u filtriranja i na na6ade be9 1ogu"nostifiltriranja >a6adi s 1ogu"no"u filtriranja su la;ni 6aketii 6aketi 9a nekritine slu;beBusluge ;rtvinog rada, te se1ogu filtrirati u vatro9idu &engl fire$all) >a6adi be91ogu"nosti filtriranja koriste 6akete koji alju 9a:tjeve

    legiti1ni1 usluga1a od strane ;rtve Tako se filtriraju svi6aketi koji odgovaraju 6ot6isu na6ada to vodi trenutnoj9abrani 6ristu6a odre?enoj slu;bi i 9a na6adae, ali i 9a;rtve Iri1jeri takvi: na6ada su $TTI 9a:tjev 9a6o6lavo1 Keb 6oslu;itelja ili D>S 9a:tjev 9a 6o6lavo1i1eniki: 6oslu;itelja

    ranica i91e?u 6rotokolarnog na6ada i na6ada grubo1silo1 vrlo je tanka Irotokolarni na6adi 6re6lavljuju;rtvine resurse 9a:tjevi1a 9a suvini1 6ro1eto1, a loedi9ajnirane odrednice 6rotokola na do1a"ini1a se estokoriste 9a @odbijeneA na6ade sirovo1 snago1 6o6ut D>Sna6ada ili Smurfna6ada Ea9lika je u to1e to ;rtva 1o;eu1anjiti uinke 6rotokolarni: na6ada 1ijenjaju"i

    6ostavljene 6rotokole 9a njegovu stranicu, ali je 9atobes6o1o"na kod na6ada grubo1 silo1, jer oni9lou6otrebljavaju legalne i legiti1ne usluge &na6adi be91ogu"nosti filtriranja) ili 9bog svoji: vlastiti:ogranieni: resursa &;rtva ne 1o;e nita 6rotiv na6adakoji 9a1jenjuje iroko6ojasnu 1re;u) >a6adi sirovo1snago1 1oraju stvoriti 1nogo ve"i o6seg 6aketa 9ana6ad nego 6rotokolarni na6adi kako bi 1ogli ;rtvinanijeti tetu Iro1jeno1 6ostavljeni: 6rotokola ;rtva6odi;e granicu ot6ornosti

    *lasi+ikacija prema dinamici mjera napada

    Ire1a dina1ici 1jera na6ada ra9likuje1o ne6rekidne i6ro1jenjive 1jere na6ada

    "eprekidne m%ere napadaVe"ina 6o9nati: na6ada 6ostavlja ne6rekidne 1jere

    na6ada Eaunala0agenti generiraju 6akete 9a na6ad6uno1 snago1 Ova neoekivana 6o6lava o1eta ;rtvineusluge vrlo br9o te vodi k otkrivanju na6ada

    Prom%en%ive m%ere napada

    Iro1jenjive 1jere na6ada su o6re9nije u svoje1na1jetanju i 1ijenjaju 1jere na6ada kako bi i9bjegleotkrivanje i odgovor Ire1a 1e:ani91u 6ro1jene 1jerana6ada ra9likuje1o na6ade sa rastu"i1 1jera1a i na6adesa nestalni1 1jera1a =od na6ada ije 1jere 6oste6enorastu s6orije se iskoritavaju ;rtvini resursi Iro1jenastanja ;rtve 1o;e biti tako s6ora i 6ostu6na da se ni

    nakon du;eg 6erioda na6ad ne 1o;e otkriti >a6adi snestalni1 1jera1a 6rilago?avaju 1jere na6ada 6re1a;rtvino1 6onaanju, 6onekad s1anjuju"i uinak kako bise i9bjeglo otkrivanje na6ada >a krajnje1 1jestu jeekstre1ni sluaj 6ulsni: na6ada Tijeko1 6ulsni: na6adaagenti 0 do1a"ini u vre1enski1 intervali1a 6rekidajuna6ad kako bi ga nastavili kasnije !ko je ta akcijasi1ultana 9a sve agente, tada ;rtva do;ivljava 6ovre1ene6rekide ve9e sa slu;ba1a !ko su agenti 6odijeljeni nagru6e koje su koordinirane tako da je jedna gru6a uvijekaktivna, tada ;rtva do;ivljava stalno uskra"ivanje usluge

    *lasi+ikacija prema utjecaju

    Ovisno o utjecaju DDoS na6ada na ;rtvu ra9likuje1o

    raskidaju"e i odu9i1aju"e na6ade

  • 7/24/2019 481948.Sincek-Vrbanec_-_DDoS

    5/5

    Raskida%u&i napadi

    Lilj ovi: na6ada je da se ;rtvine usluge 6ot6unouskrate nje9ini1 klijenti1a Svi do sada 6o9nati na6adis6adaju u ovu sku6inu na6ada

    'duzima%u&i napadi

    Lilj ovi: na6ada bila bi 6otronja neki: &6ret6ostavi1okonstantna) dijelova ;rtvini: resursa =ako ovi na6adi ne

    vode 6ot6uno1 uskra"ivanju usluge, 1ogu ostatineotkriveni ve"i dio vre1ena S druge strane, tetananesena ;rtvi 1o;e biti ogro1na >6r, na6ad koji u9i1a*' ;rtvini: resursa 1ogao bi dovesti do uskra"ivanjausluge odre?eno1 6ostotku klijenata ili bi joj 6alakvaliteta

    >eki klijenti, ne9adovoljni kvaliteto1, 1ogu6ro1ijeniti svog dobavljaa usluge i ;rtva gubi 6ri:od

    Sl. 1. Taksonomija DDoS napada

    V8 Z!=CU!=

    U :rvatsko1 govorno1 6odruju, u 6ostoje"oj 8LTliteraturi, te1a DDoS je vrlo slabo 9astu6ljena, kao isigurnosti 8LT uo6"e S ob9iro1 na 6risutnost i 6osljedice6ojave DDoS, autori s1atraju da joj se 6osve"uje 6re1alo6a;nje tetnost ovi: na6ada, 6osebno u gos6odarstvu,dr;avni1 usluga1a i uslu;no1 sektoru o6"enito, nala;enu;nost osvje"ivanja korisnika o 6osljedica1a isti:, te

    edukacije o naini1a s1anjenja 1ogu"nosti da i sa1i&nena1jerno i nesvjesno) ne 6ostanu dio sustava koji6rovodi distribuirane na6ade uskra"ivanje1 usluga

    LITERATURA

    FGH Ileskonji", D i dr, Sigurnost raunarskih sistema imre(a, Jikro knjiga, Meograd, .''+

    F.H 0, 'SI model, Kiki6edeia, . o;ujak .'G',:tt6%BBen7iki6ediaorgB7ikiBOS8W1odel X, veljaa.''

    F*H 0, "apadi uskra&ivan%em resursa, YL/ET:r, G+

    kolovo9 .''R :tt6%BB777cert:rBdocu1ents6:6idP.#* X,veljaa .''

    F(H 0,DDoS napad, YL/ET:r, .R rujan .''[:tt6%BB777cert:rBdocu1ents6:6idP*(+ X,veljaa .''

    F#H L:andler, C, Security in )yberspace* )ombattingDistributed Denial of Service !ttacks , Universit\ ofOtta7a, :tt6%BB777uoltjcaBarticlesBvolGG0.B.''*0.''(GG0.uoltjL:andler.*G0.RG6df X, veljaa.''

    FRH Jirkovic, C, Jartin, C, Eei:er, I,! +a,onomy ofDDoS !ttacks and DDoS Defense echanisms-).! )SD +echnical Report no/ 010023, D0K!EDIroject $o1e Iage,:tt6%BB777lasrcsuclaeduBddos BX, veljaa .''

    http://en.wikipedia.org/wiki/OSI_modelhttp://www.cert.hr/documents.php?id=253http://www.cert.hr/documents.php?id=347http://www.uoltj.ca/articles/vol1.1-2/2003-2004.1.1-2.uoltj.Chandler.231-261.pdfhttp://www.uoltj.ca/articles/vol1.1-2/2003-2004.1.1-2.uoltj.Chandler.231-261.pdfhttp://www.lasr.cs.ucla.edu/ddoshttp://www.lasr.cs.ucla.edu/ddoshttp://en.wikipedia.org/wiki/OSI_modelhttp://www.cert.hr/documents.php?id=253http://www.cert.hr/documents.php?id=347http://www.uoltj.ca/articles/vol1.1-2/2003-2004.1.1-2.uoltj.Chandler.231-261.pdfhttp://www.uoltj.ca/articles/vol1.1-2/2003-2004.1.1-2.uoltj.Chandler.231-261.pdfhttp://www.lasr.cs.ucla.edu/ddos

Top Related

Basic Buffer Overflows Explained

Basic Buffer Overflows Explained

How Computer Monitors Work

How Computer Monitors Work

Fortran

Fortran

Aesops Fables

Aesops Fables

The Best American Humorous Short Stories

The Best American Humorous Short Stories

Who Killed God

Who Killed God

The Last Carnival I Ever Saw

The Last Carnival I Ever Saw

Explore The Levels of Creation

Explore The Levels of Creation

Languages
Pages
Legal

Copyright © 2022 FDOCUMENTS