Opasnosti DoS napada

Zlonamerni korisnici često upotrebljavaju neobezbeđene ili pogrešno konfigurisane DNS servere za napade na sisteme širom globalne Mreže. Upoznajmo osnovni scenario takvog napada.

Većinu korisnika ne zanimaju tehnički detalji rada DNS‑a, pa ovom servisu nije posvećena dovoljna medijska pažnja. No, njegove slabosti otvaraju niz mogućnosti za zlonamerno delovanje na Internetu. Čak i mnogi računarski obrazovani korisnici, pa i sistem administratori, smatraju DNS jednostavnim i dosadnim i ne posvećuju mu dovoljno pažnje koju, zbog svog značaja za funkcionisanje Interneta, s pravom zaslužuje.

Neobezbeđeni DNS

Loše konfigurisani i neobezbeđeni DNS serveri mogu biti iskorišćeni na različite načine, bilo kao direktni ciljevi napada ili kao sredstvo za napad na druge računarske sisteme bilo gde u svetu. Poslednjih godina u udarnim vestima o napadima na sisteme velikih banaka, medijskih kuća i vodećih svetskih kompanija, može se čuti i pročitati da su napadači koristili loše konfigurisane DNS servere, ili su na neki način, u DNS sistemima, izmenili IP adrese internet servisa koji su bili meta napada.

Nedavno je svetom prostrujala vest da je na anti‑spam provajdera Spamhaus izvršen najveći DDoS (Distributed Denial of Service) napad u istoriji Interneta. Za napad je optužen holandski hosting provajder Cyberbunker čiji su serveri za slanje elektronske pošte prethodno stavljeni na crnu listu od strane servisa Spamhaus. Kako je moguće da jedan hosting provajder generiše saobraćaj od preko 300 gigabita u sekundi?

Prema izveštaju Open Resolver Project u svetu ima više od 20 miliona loše konfigurisanih i neobezbeđenih DNS servera koji mogu biti iskorišćeni kao „pojačavači“ napada, koji generišu mnogostruko veću količinu podataka od inicijalne. Naime, standardni DNS upit je veličine oko 30 bajtova, dok odgovor koji šalje DNS server može biti od 100 do 200 puta veći. Obično se DNS upit šalje putem UDP protokola, koji ne zahteva uspostavljanje dvosmerne komunikacije, što omogućava napadačima da se lažno predstave (spoofing) kao da upit dolazi sa IP adrese žrtve napada, a ne sa IP adrese sa koje je u stvari poslat. DNS server u odgovoru šalje znatno veću količinu podataka, ali na IP adresu žrtve. Ako uzmemo u obzir da je jedan DNS server u stanju da obradi i pošalje odgovore na stotine hiljada DNS upita u svakoj sekundi, onda možete zamisliti koliki saobraćaj može da proizvede nekoliko stotina pa i hiljada loše konfigurisanih DNS servera. Cloudflare je objavio da je u napadu na njihovu internet infrastrukturu, koji je po obimu bio znatno manjeg intenziteta od napada na Spamhaus, učestvovalo više od 65000 DNS servera.

Preusmereni saobraćaj

Pomenimo još jedan napad koji se takođe odnosi na DNS servere, ali je drugačije koncipiran. Napadači, koji se predstavljaju kao Syrian Electronic Army (SEA), uspeli su da, koristeći prava pristupa partnerske firme za registraciju internet domena, promene podatke u DNS sistemu poznatog australijskog provajdera Melbourne IT i na taj način preusmere internet korisnike velikog broja poznatih kompanija, među kojima su New York Times, Washington Post, Financial Times, Twitter i neke servise BBC‑ja, AP‑a i Reuters‑a, ka serverima koji su pod kontrolom napadača. Pretpostavlja se da je ovaj napad imao za cilj samo političku „vidljivost“ na Internetu, ali ovaj i slični napadi mogu imati mnogo veće i ozbiljnije posledice.

Preusmeravanje internet saobraćaja, recimo New York Times‑a, znači i mogućnost preusmeravanja elektronske pošte na servere koji su kontrolisani od strane napadača, a samim tim i otvoren pristup elektronskoj komunikaciji putem i‑mejla. U slučaju Melbourne IT takva promena je bila brzo primećena, ali je veoma verovatno da bi takav scenario kod manje opreznih DNS operatera bio otkriven tek danima, a možda i mesecima kasnije.

Poznato je da su česti slučajevi preusmeravanja korisnika servisa na internet lokacije koje kontrolišu napadači i koje se po svom izgledu i sadržaju ne razlikuju od originalnih servisa kojima je korisnik želeo da pristupi. Mnogo je načina za realizaciju ovakvih napada, ali je izmena DNS zapisa servisa banaka, internet prodavnica i drugih servisa gde se od korisnika traži da unesu osetljive podatke o svom identitetu ili brojeve kreditnih kartica i bankovnih računa, čest i veoma efektivan način da se u kratkom vremenskom roku „prevari“ veliki broj korisnika.

DoS i DDoS

Najčešći tip napada na DNS servis su: DoS i DDoS napadi, upotreba DNS servera za amplificirani DDoS napad na druge internet servise, presretanje i izmena DNS paketa (man in the middle), „Trovanje keša“ (cache poisoning) i izmena DNS zapisa i zonskog fajla. Iako je Internet globalna mreža na koju su povezane milijarde različitih uređaja i koja omogućava brzu razmenu podataka, resursi Interneta su ipak ograničeni. Internet linkovi, kapaciteti mrežnih uređaja, računarski procesori i uređaji za skladištenje podataka imaju svoje limite koji mogu biti iskorišćeni kao meta napada.

Veoma česta vrsta napada su incidenti u kojima su delovi sistema lišeni odgovarajućih resursa koji su potrebni za njihov normalan rad. Koristeći ranjivost standardnih internet protokola napadači mogu da pokrenu napad uskraćivanja servisa, (Denial of Service (DoS) napad), čiji je cilj da onemogući sistem da pruža usluge korisnicima. Iako DoS napadi najčešće ne dovode do krađe ili gubitka značajnih podataka, oni ipak žrtvu napada mogu koštati mnogo vremena i novca.

Najčešće mete ovakvih napada su Web serveri banaka, medijskih kuća, vladinih institucija ili internet trgovina, ali su takođe česti i napadi na DNS infrastrukturu i servise elektronske pošte. DoS napadi se izvršavaju tako što napadač šalje veliku količinu podataka ka žrtvi napada, ili informacije koje mogu prouzrokovati pad sistema. U oba slučaja, napadač sprečava legitimne korisnike sistema da koriste servise ili resurse koji su im potrebni.

DoS napad je zlonamerni pokušaj jedne osobe ili grupe ljudi da prouzrokuje napad na sistem žrtve i na taj način uskrati uslugu klijentima. Kada ovakav pokušaj potiče sa jedne lokacije, on predstavlja DoS napad. Dodatni oblik DoS napada je Distributed Denial of Service (DDoS) napad za koji je karakteristično da višestruki sistemi, sa različitih lokacija, sinhronizovano vrše DoS napad na jedinstvenu metu napada. Suštinska razlika je u tome da je, umesto napada sa jedne lokacije (kao u DoS scenariju), sistem žrtve napadnut sa mnogo lokacija odjednom.

Velika mreža kompromitovanih računara

Distribucija sistema sa kojih se napad izvršava daje napadaču mnogo prednosti. On, pre svega, može da koristi značajne resurse za realizaciju veoma ozbiljnog napada. Osim toga, gotovo je nemoguće detektovati lokaciju odakle napad dolazi, pošto su ti sistemi distribuirani širom sveta. Mnogo je teže blokirati napade koji dolaze sa više sistema i lokacija, a u praksi je skoro nemoguće identifikovati pravog napadača, pošto je on najčešće sakriven iza mnogo kompromitovanih sistema.

Savremeni sistemi imaju mehanizme za zaštitu od većine DoS napada, ali zbog specifičnosti DDoS napada on se i dalje smatra ozbiljnom pretnjom. Ukoliko je DDoS napad izveden sa dovoljnom količinom resursa nije ga moguće uspešno zaustaviti.

Pokretanje DDoS napada zahteva izgradnju mreže računara koji su pod kontrolom napadača (takozvani botnet). Za širenje zlonamernog koda i „izgradnju“ botnet mreže koriste se različiti mehanizmi, ali je suština u zloupotrebi nepažnje internet korisnika koji ostavljaju svoje sisteme nezaštićene od potencijalnih neovlašćenih upada ili širenja zlonamernog koda. Mnogi korisnici Interneta bili su saučesnici DDoS napada, a da toga nisu bili svesni. Stoga je veoma bitno voditi računa da je antivirusni program funkcionalan i sa najnovijom bazom virusa, da su sve ispravke (pečevi) vezani za sigurnost sistema instalirani i da su svi mogući pristupi sistemima dobro obezbeđeni. U protivnom, lako se može desiti da otvaranjem sumnjive i‑mejl poruke ili posete stranice sajta koja sadrži zlonamerni kod, vaš računar postane „zombi“, tj. deo botnet mreže koja je pod kontrolom napadača. O detaljima – sledećeg meseca.

Tekst je realizovan u saradnji s Registrom nacionalnog internet domena Srbije, RNIDS

Žarko Kecić

(Objavljeno u PC#244)