Анатомия распределённой атаки

7 и 8 февраля 2000 г. были зафиксированы перебои в работе нескольких популярных Internet-серверов. Проведенное ФБР расследование показало, что указанные серверы вышли из строя из-за огромного числа адресованных им запросов: они просто не смогли обработать трафик такого объема. Например, трафик на сервере Buy превысил в 24 раза среднестатистические показатели и в 8 раз максимально допустимую нагрузку на сервер. Что же это за атаки и как они были организованы?

Предупреждение о распределенных атаках (distributed attacks) появилось еще в сентябре 1998 г., когда Naval Surface Warfare Center (http://www.nswc.navy.mil), проанализировав несколько зафиксированных в 1998 г. случаев, выпустил посвященный им отчет.

Распределенная атака строится следующим образом (см. рисунок). Злоумышленник управляет небольшим числом так называемых “мастеров” (master), каждый из которых в свою очередь управляет большим числом “демонов” (daemon). Именно эти “демоны” используются для непосредственной атаки на выбранную жертву.

В зафиксированных в 1998 - 1999 гг. распределенных атаках использовалось несколько сотен демонов. Согласно данным одной из пострадавших в февральском инциденте компаний, в распределенной атаке на нее участвовало до 10 тыс. “демонов”. Эти “демоны” устанавливаются на скомпрометированных (взломанных) узлах, позволяющих злоумышленнику получить права администратора (root). Как только “демон” установлен, он уведомляет об этом “мастера” (обычно трех или четырех). После получения определенных команд от злоумышленника “мастер” программирует “демона” на выполнение определенных действий, направленных против жертвы. Эти команды содержат различную информацию, в том числе:

- адрес жертвы;

- тип атаки;

- продолжительность атаки.

Получив команду, “демон” начинает атаку и в дальнейшем обходится без связи с “мастером”. Следует заметить, что эти атаки не являются чем-то совершенно новым. Все их отличие от известных атак - в механизме реализации. Они используют распределенную (клиент-серверную) технологию, которую используют большинство современных приложений. Но, к сожалению, эта технология может быть использована не только во благо, но и во вред. За последнее время зафиксирован не один случай разработки распределенных анализаторов протоколов (sniffers), сканеров безопасности (security scanners) или программ типа “отказ в обслуживании” (denial of service).

Особенность распределенных атак состоит в том, что, в отличие от “стандартных” атак, с их помощью эффективно достигаются четыре цели:

- Скрытность. Ведение атаки сразу из нескольких адресов существенно затрудняет обнаружение злоумышленников стандартными методами (с использованием межсетевых экранов, систем обнаружения атак и т. д.).

- “Огневая мощь”. Одновременное нападение сразу из нескольких точек сети позволяет организовать более мощную атаку, чем при нападении из одной точки. Наиболее опасными становятся атаки типа “отказ в обслуживании”. Существующие методы обнаружения и блокирования этих атак неэффективны.

- Получение разнообразных данных. Атакуя из нескольких узлов, зачастую находящихся в различных сетях, можно получить больше данных о “жертве”, чем при нападении из одной точки. Например, узнать самые короткие маршруты пакетов до цели атаки, установить “доверительные” отношения с различными узлами сети и т. д. Например, из узла A злоумышленник может получить доступ к цели атаки при помощи программ типа “троянский конь”, а из узла B - не может.

- Сложность блокирования. Обнаружение и блокирование одного или нескольких “мастеров” или “демонов” не приводит к прекращению атаки, поскольку каждый “демон” действует независимо от других и, получив соответствующие команды от “мастера”, уже не нуждается в дальнейшей связи с ним, т. е. работает автономно, что существенно затрудняет обнаружение и блокирование всех “демонов”, участвующих в распределенной атаке.

Злоумышленник может направить большой объем данных сразу со всех узлов, которые задействованы в распределенной атаке. В этом случае атакуемый узел захлебнется огромным трафиком и не сможет обрабатывать запросы нормальных пользователей. Именно это и было осуществлено в начале февраля. При обычной атаке необходимо иметь достаточно “толстый” канал доступа в Internet, чтобы обрушить лавину пакетов на атакуемый узел. При распределенной атаке это условие уже не является необходимым. Достаточно иметь dialup-соединение с Internet. Лавина пакетов образуется за счет использования большого числа относительно медленных соединений.

Для координации нападения злоумышленник использует десятки и сотни незащищенных узлов. Эти узлы могут быть подключены к различным провайдерам и находиться в разных странах и даже на разных материках, что существенно затрудняет обнаружение злоумышленника, координирующего атаку. Идентификации отдельных узлов, участвующих в скоординированной атаке, недостаточно для получения информации о том, кто и откуда инициировал нападение. Кроме того, на каждом из узлов нет полного списка компьютеров, участвующих в атаке. Поэтому выявление одного узла не приводит к прекращению всей атаки.

Особая опасность распределенных атак кроется в том, что они реализуются на основе простых в использовании инструментальных средств, которые доступны даже неопытным пользователям.

Как защититься от распределенных атак?

- Ознакомьтесь с принципами реализации распределенных атак.

- Определите персонал, с которым необходимо связаться в случае обнаружения распределенной атаки или если возникнет подозрение, что ваша система скомпрометирована и может содержать “мастера” или “демоны”.

- Регулярно читайте бюллетени, выпускаемые организациями, работающими в области информационной безопасности. Это позволит вам вовремя узнавать о появлении новых уязвимых моментов и методов, применяемых злоумышленниками. Для облегчения поиска уязвимых мест в вашей сети используйте автоматизированные средства анализа защищенности, например системы Internet Scanner и System Scanner компании Internet Security Systems.

- Своевременно устраняйте уязвимые места в программном обеспечении своей сети. Это позволит вам снизить риск взлома системы и не оставит злоумышленникам шансов установить на ваши узлы “мастера” или “демоны” для организации распределенных атак.

- Для обнаружения распределенных атак, а также для идентификации “мастеров” и “демонов”, установленных в вашей сети, используйте средства обнаружения атак и анализа защищенности. Например систему RealSecure и уже названную систему Internet Scanner.

- Используйте межсетевые экраны и защитные механизмы маршрутизаторов и другого сетевого оборудования. Если это и не поможет обнаружить источник распределенной атаки, то хотя бы выявит сам факт ее реализации и позволит своевременно на нее отреагировать.

- Оперативно откликайтесь на сообщения ваших пользователей о подозрительных событиях в системе.

- Разработайте план обеспечения непрерывной работы и восстановления, который позволит в случае нарушения функционирования ваших систем из-за распределенных атак быстро вернуться к нормальной работе.

- Обучите ваш персонал в специализированных организациях, занимающихся повышением квалификации в области сетевой безопасности. В России такой организацией является авторизованный учебный центр (Authorized Training Center, ATC) компании Internet Security Systems, организованный при НИП “Информзащита”.

С Алексеем Лукацким, руководителем отдела Internet-решений Научно-инженерного предприятия “Информзащита”, можно связаться по адресу: luka@infosec.ru.