«Αναγνώριση επιθέσεων web σε web-servers»

Transcript

1 ΠΑΝΕΠΙΣΤΗΜΙΟ ΠΑΤΡΩΝ ΤΜΗΜΑ ΗΛΕΚΤΡΟΛΟΓΩΝ ΜΗΧΑΝΙΚΩΝ ΚΑΙ ΤΕΧΝΟΛΟΓΙΑΣ ΥΠΟΛΟΓΙΣΤΩΝ ΤΟΜΕΑΣ: ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΙ ΤΕΧΝΟΛΟΓΙΑΣ ΠΛΗΡΟΦΟΡΙΑΣ (Τ&ΤΠ) ΕΡΓΑΣΤΗΡΙΟ ΕΝΣΥΡΜΑΤΗΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΣ Διπλωματική Εργασία του φοιτητή του Τμήματος Ηλεκτρολόγων Μηχανικών και Τεχνολογίας Υπολογιστών της Πολυτεχνικής Σχολής του Πανεπιστημίου Πατρών Στυλιανού Γεώργιου του Κωνσταντίνου Αριθμός Μητρώου: 5780 Θέμα «Αναγνώριση επιθέσεων web σε web-servers» Επιβλέπων Δερματάς Ευάγγελος Αριθμός Διπλωματικής Εργασίας: Πάτρα, Μάρτιος 2013

2 ΠΙΣΤΟΠΟΙΗΣΗ Πιστοποιείται ότι η Διπλωματική Εργασία με θέμα «Αναγνώριση επιθέσεων web σε web-servers» Του φοιτητή του Τμήματος Ηλεκτρολόγων Μηχανικών και Τεχνολογίας Υπολογιστών Στυλιανού Γεώργιου του Κωνσταντίνου Αριθμός Μητρώου: 5780 Παρουσιάστηκε δημόσια και εξετάστηκε στο Τμήμα Ηλεκτρολόγων Μηχανικών και Τεχνολογίας Υπολογιστών στις.../../ Ο Επιβλέπων Δερματάς Ευάγγελος Καθηγητής Ο Διευθυντής του Τομέα Φακωτάκης Νίκος Καθηγητής ii

3 Αριθμός Διπλωματικής Εργασίας: Θέμα: «Αναγνώριση επιθέσεων web σε web-servers» Φοιτητής: Στυλιανού Γεώργιος Επιβλέπων: Δερματάς Ευάγγελος Περίληψη Οι επιθέσεις στο Διαδίκτυο και ειδικά οι επιθέσεις άρνησης εξυπηρέτησης (Denial of Service, DoS) αποτελούν ένα πολύ σοβαρό πρόβλημα για την ομαλή λειτουργία του Διαδικτύου. Αυτό το είδος επιθέσεων στοχεύει στην διατάραξη της καλής λειτουργίας ενός συστήματος, καταναλώνοντας τους πόρους του ή προκαλώντας υπερφόρτωση στο δίκτυο, καθιστώντας το ανίκανο να παρέχει στους πελάτες του τις υπηρεσίες για τις οποίες προορίζεται. Η αντιμετώπιση των επιθέσεων αυτών έχει απασχολήσει πολλούς ερευνητές τα τελευταία χρόνια και έχουν προταθεί πολλές διαφορετικές μέθοδοι πρόληψης, ανίχνευσης, και απόκρισης. Στα πλαίσια της παρούσας διπλωματικής επιχειρείται αρχικά ο ορισμός και η ταξινόμηση των επιθέσεων DoS και DDoS, με ιδιαίτερη αναφορά στις επιθέσεις DoS στον Παγκόσμιο Ιστό. Στη συνέχεια αναλύονται διάφοροι τρόποι αναγνώρισης επιθέσεων, με κύριους άξονες την αναγνώριση υπογραφής και την ανίχνευση ανωμαλιών. Γίνεται εμβάθυνση στο πεδίο της ανίχνευσης ανωμαλιών και πραγματοποιείται η μελέτη ενός συστήματος που ανιχνεύει ανωμαλίες σε δεδομένα κίνησης δικτύου που περιέχουν επιθέσεις. iii

4 Πίνακας περιεχομένων Εισαγωγή... 1 Επιθέσεις DoS και DDoS Επιθέσεις DoS Προσδιορισμός των επιθέσεων DoS Ταξινόμηση των επιθέσεων DoS Επιθέσεις DDoS Προσδιορισμός των επιθέσεων DDoS Στρατηγική των επιθέσεων DDoS Εργαλεία επίθεσης DDoS Εργαλεία επιθέσεων DDoS που βασίζονται στους agents Εργαλεία επιθέσεων DDoS που βασίζονται στο IRC Ταξινόμηση των επιθέσεων DDoS Ταξινόμηση με βάση το βαθμό αυτοματοποίησης Ταξινόμηση με βάση τις αδυναμίες που εκμεταλλεύονται Ταξινόμηση με βάση τη δυναμική του ρυθμού της επίθεσης Ταξινόμηση με βάση το αποτέλεσμα της επίθεσης Προβλήματα άμυνας σε επιθέσεις DDoS και ταξινόμηση Ταξινόμηση με βάση την αμυντική δράση Πρόληψη επίθεσης Ανίχνευση επίθεσης Απόκριση σε επίθεση Ανοχή σε επίθεση και άμβλυνση της επίθεσης Ταξινόμηση με βάση το χώρο δράσης iv

5 Επιθέσεις Web DoS Επιθέσεις Web DoS Τεχνικές αναγνώρισης Web DoS επιθέσεων Αναγνώριση επιθέσεων με μοντέλα χρηστών Αναγνώριση επιθέσεων με στατιστικές μεθόδους & τεστ Turing Αναγνώριση με Decoy Hyper-Links Συστήματα ανίχνευσης ανωμαλιών Συστήματα ανίχνευσης ανωμαλιών και γενίκευση Ανίχνευση επίθεσης Αρχιτεκτονικές Αναγνώριση υπογραφής Λειτουργία βάσει προδιαγραφών Ανίχνευση ανωμαλιών Υβριδικά συστήματα Θεωρητικό υπόβαθρο Ανίχνευση ανωμαλιών Αλγόριθμοι Συστήματα που βασίζονται σε κανόνες Περιγραφική στατιστική Προσανατολισμένοι γράφοι Νευρωνικά δίκτυα Support Vector Machines Ανάκτηση πληροφορίας Συνδυασμός πολλαπλών αισθητήρων Ανοσολογικό σύστημα Κατηγορίες ανωμαλιών Δεδομένα κίνησης δικτύου για αναγνώριση επιθέσεων Δεδομένα κίνησης δικτύου για αναγνώριση επιθέσεων των DARPA/ΜΙT Laboratories Κριτική για τα δεδομένα κίνησης δικτύου των DARPA/MIT Laboratories v

6 Μελέτη συστήματος ανίχνευσης ανωμαλιών NETAD Ανάλυση του συστήματος Φιλτράρισμα της κίνησης του δικτύου Παράμετροι του συστήματος Μοντέλα του συστήματος Βαθμός ανωμαλίας του συστήματος Πειραματικά αποτελέσματα Επίδραση της συνάρτησης υπολογισμού του βαθμού ανωμαλίας Επίδραση των επιθέσεων στην εκπαίδευση Ανάλυση των αναγνωρισμένων επιθέσεων Συμπεράσματα Βιβλιογραφία vi

7 Κεφάλαιο 1 Εισαγωγή Το Διαδίκτυο αποτελεί μια από τις πιο σημαντικές καινοτομίες στη σύγχρονη ιστορία. Όμως αν και οι περισσότεροι άνθρωποι χρησιμοποιούν το Διαδίκτυο για δημιουργικούς σκοπούς, κάποιοι το χρησιμοποιούν ως μέσον για να προβούν σε κακόβουλες πράξεις. Καθώς το Διαδίκτυο συνδέει περισσότερους χρήστες μεταξύ τους και οι υπολογιστές γίνονται ολοένα και περισσότερο διαδεδομένοι στην καθημερινή ζωή, το Διαδίκτυο και οι υπολογιστές που συνδέονται σε αυτό γίνονται δελεαστικοί στόχοι επιθέσεων. Η ασφάλεια υπολογιστών συχνά στοχεύει στην πρόληψη των επιθέσεων χρησιμοποιώντας συνήθως επαλήθευση ταυτότητας, φιλτράρισμα και τεχνικές κρυπτογράφησης, αλλά μια άλλη σημαντική παράμετρος είναι και η ανίχνευση επιθέσεων από τη στιγμή που τα μέτρα πρόληψης παρακαμφθούν. Όπως συμβαίνει σε ένα χρηματοκιβώτιο τράπεζας οι μεγάλες ατσάλινες πόρτες προλαμβάνουν τις εισβολές, ενώ οι ανιχνευτές κίνησης και θερμότητας ανιχνεύουν τυχόν εισβολές. Η πρόληψη και η ανίχνευση συμπληρώνουν η μια την άλλη για να παρέχουν ένα ασφαλέστερο περιβάλλον. Για να ανιχνευτεί μια επίθεση ή μια απόπειρα επίθεσης, χρειάζεται η επεξεργασία μεγάλου όγκου δεδομένων που συλλέγονται από το δίκτυο, τους εξυπηρετητές, ή τα συστήματα αρχείων, ώστε να βρεθεί, αν υπάρχει, ύποπτη δραστηριότητα. Υπάρχουν δυο βασικές προσεγγίσεις για την επίλυση αυτού του προβλήματος: η αναγνώριση υπογραφής (που καλείται και ανίχνευση κακομεταχείρισης), όπου γίνεται αναζήτηση προτύπων που σηματοδοτούν την ύπαρξη γνωστών επιθέσεων, και η ανίχνευση ανωμαλιών, όπου γίνεται αναζήτηση αποκλίσεων από την κανονική συμπεριφορά. Η αναγνώριση υπογραφής είναι αποτελεσματική σε γνωστές επιθέσεις, αλλά έχει το προφανές μειονέκτημα ότι δεν μπορεί να ανιχνεύσει νέες επιθέσεις. Αν και η ανίχνευση ανωμαλιών μπορεί να ανιχνεύσει νέες επιθέσεις, έχει το μειονέκτημα ότι δεν μπορεί να διακρίνει τον σκοπό τους. Μπορεί μόνο να ειδοποιήσει για κάποιο ασυνήθιστο γεγονός, όχι απαραίτητα εχθρικό, και για τον λόγο αυτό μπορεί να δημιουργήσει λανθασμένους συναγερμούς. 1

8 Οι μέθοδοι αναγνώρισης υπογραφής είναι απόλυτα κατανοητές και ευρέως διαδεδομένες. Χρησιμοποιούνται σε συστήματα βασισμένα στους εξυπηρετητές, όπως είναι οι ανιχνευτές ιών, και σε συστήματα βασισμένα στο δίκτυο. Τα συστήματα αυτά χρησιμοποιούν ένα σύνολο κανόνων, που κωδικοποιούν τη γνώση που προέρχεται από ειδικούς στην ασφάλεια, για να ελέγχουν αρχεία ή δικτυακή κίνηση ώστε να αναγνωρίσουν πρότυπα που συναντώνται σε επιθέσεις. Καθώς ανακαλύπτονται νέες αδυναμίες και επιθέσεις, το σύνολο των κανόνων θα πρέπει να ανανεώνεται με μη αυτόματο τρόπο. Για να ανακαλύψουν οι ειδικοί στην ασφάλεια υπολογιστών νέες άγνωστες επιθέσεις, γενικά αναγνωρίζουν κάτι το οποίο είναι ασυνήθιστο, και έχει ως επακόλουθο τη διενέργεια περαιτέρω ανάλυσης. Κάποιες από αυτές τις αναλύσεις οδηγούν στην ανακάλυψη νέων επιθέσεων, ενώ άλλες έχουν ως αποτέλεσμα λανθασμένους συναγερμούς. Η ανίχνευση κάποιου ασυνήθιστου γεγονότος είναι ουσιαστικά η ανίχνευση ανωμαλιών. Με βάση την εμπειρία τους, οι ειδικοί στην ασφάλεια μαθαίνουν ένα κανονικό μοντέλο και το χρησιμοποιούν για να ανιχνεύουν περίεργα συμβάντα. Όμως ένα μοντέλο επιτρεπτής συμπεριφοράς, αντί να διδαχτεί, μπορεί επίσης και να οριστεί από τον άνθρωπο. Για παράδειγμα, το firewall ουσιαστικά είναι ένα χειροκίνητα γραμμένο σύνολο πολιτικών που ορίζει ποια δικτυακή κίνηση θεωρείται κανονική και κατά συνέπεια επιτρεπτή. Είναι επιθυμητό οι υπολογιστές να έχουν τη δυνατότητα να ανιχνεύουν ασυνήθιστα συμβάντα, με τρόπο παρόμοιο με τον άνθρωπο που μαθαίνει από την εμπειρία του. 2

9 Κεφάλαιο 2 Επιθέσεις DoS και DDoS 2.1. Επιθέσεις DoS Οι επιθέσεις Denial of Service (DoS) αποτελούν αδιαμφισβήτητα ένα πολύ σοβαρό πρόβλημα για το Διαδίκτυο και οι συνέπειες τους έχουν αναλυθεί διεξοδικά στη βιβλιογραφία των δικτύων υπολογιστών. Ο κύριος στόχος μιας επίθεσης DoS είναι η παρεμπόδιση των παρεχόμενων υπηρεσιών, περιορίζοντας την πρόσβαση σε ένα σύστημα ή υπηρεσία αντί της διακοπής της ίδιας της υπηρεσίας. Αυτό το είδος επίθεσης στοχεύει στο να καταστήσει ένα δίκτυο ανίκανο να παρέχει κανονικά τις υπηρεσίες του, στοχεύοντας είτε στο εύρος καναλιού του δικτύου είτε στη συνδεσιμότητα του. Οι επιθέσεις αυτές επιτυγχάνουν το σκοπό τους αποστέλλοντας στο θύμα μια σειρά από πακέτα που υπερφορτώνουν το δίκτυό του ή τους υπολογιστικούς πόρους του. Έτσι εμποδίζουν την πρόσβαση στο δίκτυο από τους φυσιολογικούς χρήστες. Στο κοντινό παρελθόν έχουν επιχειρηθεί κάποιες επιθέσεις μεγάλης κλίμακας προσβάλλοντας δικτυακούς τόπους μεγάλου βεληνεκούς. Η κατανεμημένη επίθεση DoS (DDoS - Distributed Denial of Service), είναι μια σχετικά απλή, αλλά ταυτόχρονα πολύ ισχυρή τεχνική που προσβάλλει διαδικτυακούς πόρους. Η επίθεση DDoS αποτελεί μια πολυδιάστατη επίθεση DoS, εντείνοντας το πρόβλημα των DoS και καθιστώντας την πρόληψη και αντιμετώπισή τους πιο δύσκολη. Σαφώς και οι συνέπειές τους είναι αναλογικά πιο καταστροφικές. Η επίθεση DDoS εκμεταλλεύεται την εγγενή αδυναμία της αρχιτεκτονικής του Διαδικτύου, το ελεύθερο μοντέλο πρόσβασης στους πόρους, το οποίο αποτελεί κατά ειρωνεία και το μεγαλύτερο πλεονέκτημά του. Οι DDoS επιθέσεις χαρακτηρίζονται από τη ροή πακέτων προερχόμενων από διάφορες πηγές. Αυτές οι επιθέσεις δεσμεύουν τη δύναμη ενός τεράστιου αριθμού συντονισμένων τερματικών του Διαδικτύου για να καταναλώσουν κάποιους κρίσιμους πόρους στο στόχο και να εμποδίσουν την εξυπηρέτηση των κανονικών πελατών. Η συμφόρηση είναι συνήθως τόσο συγκεντρωμένη που καθιστά δύσκολη τη διαλογή των πακέτων επιθέσεων από τα κανονικά πακέτα. Επιπλέον η κλίμακα 3

10 της επίθεσης μπορεί να είναι μεγαλύτερη από αυτή που το σύστημα μπορεί να διαχειριστεί. Αν δεν έχουν ληφθεί τα απαραίτητα μέτρα, το σύστημα που θα δεχθεί μια τέτοια επίθεση, μπορεί να έχει δυσάρεστες επιπτώσεις, από ξαφνικό τερματισμό και αλλοίωση δεδομένων μέχρι και μερική ή ολική αδυναμία εξυπηρέτησης των πελατών. Δεν υπάρχουν συγκεκριμένα χαρακτηριστικά των πακέτων των DDoS επιθέσεων που θα μπορούσαν να χρησιμοποιηθούν άμεσα και καθολικά για τον εντοπισμό και τη διαλογή τους. Οι επιτιθέμενοι επιτυγχάνουν το σκοπό τους με τον όγκο των πακέτων που αποστέλλουν, ενώ υπάρχει η δυνατότητα παραμετροποίησης όλων των χαρακτηριστικών τους για να αποφευχθεί ο εύκολος εντοπισμός τους. Στη διάθεση των εν δυνάμει επιτιθέμενων βρίσκονται ιδιαίτερα έξυπνα, φιλικά προς τον χρήστη, αλλά ταυτόχρονα και πολύ ισχυρά εργαλεία επιθέσεων DDoS αυξάνοντας έτσι την πιθανότητα να υποστεί κάποιο σύστημα τις επιπτώσεις μιας επίθεσης DoS ή DDoS. Οι εφαρμογές που πραγματοποιούν επιθέσεις DDoS είναι απλά και έξυπνα δομημένες και καταλαμβάνουν πολύ μικρό χώρο στη μνήμη γεγονός που καθιστά σχετικά εύκολη την εκτέλεση και απόκρυψή τους. Αυτοί που προκαλούν τέτοιες επιθέσεις συχνά τροποποιούν τις εφαρμογές που χρησιμοποιούν, ώστε να παρακάμπτουν τα συστήματα ασφαλείας που αναπτύσσουν οι διαχειριστές συστήματος και οι ερευνητές του τομέα αυτού. Οι τελευταίοι βρίσκονται σε συνεχή εγρήγορση, έχοντας αναλάβει το δύσκολο έργο να αναπτύσσουν αποτελεσματικά μέτρα ασφαλείας, για να προλαμβάνουν τις συνέπειες νέων επιθέσεων. Το πεδίο των επιθέσεων DDoS είναι ταχύτατα αναπτυσσόμενο, για αυτό και γίνεται συνεχώς πιο δύσκολο να γίνει μια καθολική εκτίμηση του προβλήματος. Αν και δεν υπάρχει ένας σαφής τρόπος αντιμετώπισης όλων των τύπων επιθέσεων DDoS, έχουν αναπτυχθεί κάποια μέτρα προστασίας που επικεντρώνονται είτε στο να δυσχεραίνουν μια επίθεση, είτε στο να αντιλαμβάνονται ότι πραγματοποιείται κάποια επίθεση. Παρακάτω γίνεται μια προσπάθεια ανάλυσης της δομής του πεδίου των επιθέσεων DDoS, παρουσιάζοντας τις συνήθεις τεχνικές που χρησιμοποιούνται και ταξινομώντας τους τύπους επιθέσεων DDoS, αλλά και τους αμυντικούς μηχανισμούς που επωμίζονται την αντιμετώπισή τους. Η ταξινόμηση των επιθέσεων περιλαμβάνει υπαρκτούς αλλά και θεωρητικούς επιθετικούς μηχανισμούς. Σε κάθε κατηγορία επίθεσης γίνεται προσδιορισμός ειδικών και σημαντικών χαρακτηριστικών. Γίνεται επίσης προσπάθεια για ταξινόμηση των δημοσιευμένων προσεγγίσεων που αφορούν τους αμυντικούς μηχανισμούς. Το γεγονός ότι εκτίθενται οι αδυναμίες κάποιων συστημάτων ασφαλείας δεν έχει ως στόχο την κριτική τους, αλλά την επισήμανση των προβλημάτων που παρουσιάζονται, με απώτερο σκοπό την επίλυση τους Προσδιορισμός των επιθέσεων DoS Σύμφωνα με τις WWW Security FAQ [4] μια επίθεση DoS μπορεί να περιγραφεί ως μια επίθεση που προσπαθεί να καταστήσει ένα σύστημα ή δίκτυο ανίκανο να παρέχει τις υπηρεσίες για τις οποίες προορίζεται. Μια επίθεση DoS θεωρείται ότι 4

11 πραγματοποιείται μόνον όταν η πρόσβαση σε κάποιο πόρο συστήματος ή δικτύου παρεμποδίζεται σκόπιμα ή υποβαθμίζεται ως αποτέλεσμα κακόβουλης ενέργειας από κάποιον άλλο χρήστη. Οι επιθέσεις αυτές δεν καταστρέφουν απαραίτητα τα δεδομένα, άμεσα ή μόνιμα, αλλά μειώνουν σκόπιμα τη διαθεσιμότητα των πόρων. Οι πιο κοινές επιθέσεις DoS στοχεύουν στο εύρος ενός δικτύου υπολογιστών ή στη συνδεσιμότητα του. Οι επιθέσεις στο εύρος του δικτύου προκαλούν τεράστια συμφόρηση στο δίκτυο. Με αυτόν τον τρόπο όλοι οι διαθέσιμοι πόροι του δικτύου καταναλώνονται και έτσι τα αιτήματα των κανονικών χρηστών δεν καταφθάνουν στο σύστημα που παρέχει υπηρεσίες, με αποτέλεσμα μειωμένη παραγωγικότητα. Οι επιθέσεις που στοχεύουν στη συνδεσιμότητα του δικτύου πλημμυρίζουν ένα σύστημα με υπερβολικό όγκο αιτημάτων σύνδεσης, έτσι ώστε όλοι οι διαθέσιμοι πόροι του λειτουργικού συστήματος να καταναλωθούν και το σύστημα να μην μπορεί πλέον να επεξεργαστεί τα αιτήματα σύνδεσης των κανονικών χρηστών Ταξινόμηση των επιθέσεων DoS Οι επιθέσεις DoS είναι δυνατόν να ταξινομηθούν σε πέντε κατηγορίες βασισμένες στο επίπεδο πρωτοκόλλων που προσβάλλεται όπως φαίνεται στο Σχήμα 2.1 [5]. Στις επιθέσεις DoS στο Επίπεδο Συσκευής Δικτύου περιλαμβάνονται επιθέσεις που μπορεί να προκληθούν είτε από εκμετάλλευση κάποιων ελαττωμάτων ή αδυναμιών του λογισμικού, είτε από προσπάθεια εξάντλησης των πόρων υλικού των συσκευών δικτύου. Σχήμα 2.1. Ταξινόμηση απομακρυσμένων επιθέσεων Άρνησης Εξυπηρέτησης Ένα παράδειγμα εκμετάλλευσης μιας συσκευής δικτύου είναι αυτό που προκαλείται από υπερχείλιση του buffer στη ρουτίνα ελέγχου του password. Κάνοντας χρήση τέτοιων μεθόδων κάποιοι δρομολογητές Cisco 7xx [6] ήταν δυνατόν να «καταρρεύσουν» με σύνδεση σε αυτά μέσω telnet και εισαγωγή υπερβολικά μεγάλων password. Στο Επίπεδο Λειτουργικών Συστημάτων οι επιθέσεις DoS εκμεταλλεύονται τον τρόπο με τον οποία τα λειτουργικά συστήματα διαχειρίζονται τα πρωτόκολλα. Ένα 5

12 παράδειγμα αυτής της κατηγορίας επιθέσεων είναι η επίθεση Ping of Death [7]. Σε αυτή την επίθεση, αποστέλλονται στο θύμα αιτήματα ICMP echo που έχουν συνολικό μέγεθος μεγαλύτερο από το μέγιστο επιτρεπόμενο του πρωτοκόλλου IP. Η επίθεση αυτή έχει ως αποτέλεσμα την κατάρρευση του συστήματος του θύματος. Οι επιθέσεις στο Επίπεδο Εφαρμογών προσπαθούν να θέσουν εκτός λειτουργίας ένα σύστημα ή υπηρεσία, είτε με εκμετάλλευση κάποιων ελαττωμάτων σε εφαρμογές δικτύου που εκτελούνται στο σύστημα-στόχο, είτε χρησιμοποιώντας αυτές τις εφαρμογές για να εξαντλήσουν τους πόρους του συστήματος. Είναι επίσης δυνατόν ο επιτιθέμενος να εντοπίσει στο λογισμικό κάποια σημεία με μεγάλη πολυπλοκότητα αλγόριθμου και να τα εκμεταλλευτεί προς εξάντληση όλων των διαθέσιμων πόρων σε ένα απομακρυσμένο σύστημα. Ένα παράδειγμα τέτοιας επίθεσης, είναι το finger bomb [8]. Ένας κακόβουλος χρήστης θα μπορούσε να εκτελεί αναδρομικά τη ρουτίνα finger στο σύστημα στο οποίο θέλει να επιτεθεί, και να εξαντλήσει ενδεχομένως τους πόρους του συστήματος. Στις επιθέσεις data flooding, ο κακόβουλος χρήστης προσπαθεί να χρησιμοποιήσει πλήρως το διαθέσιμο εύρος σε ένα δίκτυο, σύστημα, ή συσκευή, αποστέλλοντας μαζικά δεδομένα, με αποτέλεσμα να επεξεργάζεται εξαιρετικά μεγάλο όγκο δεδομένων. Κάποιος κακόβουλος χρήστης θα μπορούσε να χρησιμοποιήσει το διαθέσιμο εύρος ζώνης ενός δικτύου απλά «βομβαρδίζοντας» το, με κανονικά, αλλά άσκοπα πακέτα με παραπλανητικές διευθύνσεις αποστολέα. Ένα τέτοιο παράδειγμα είναι το ping flood. Το απλό flooding συναντάται συχνά στη μορφή των επιθέσεων Distributed Denial of Service (DDoS), οι οποίες αναλύονται παρακάτω. Οι επιθέσεις DoS βασισμένες σε χαρακτηριστικά πρωτοκόλλων εκμεταλλεύονται συγκεκριμένα πρότυπα χαρακτηριστικά πρωτοκόλλων. Για παράδειγμα κάποιες επιθέσεις εκμεταλλεύονται το γεγονός ότι η διεύθυνση IP του αποστολέα μπορεί να γίνει παραπλανητική (IP Spoofing). Κάποιοι τύποι επιθέσεων DoS επικεντρώθηκαν στο DNS (Domain Name System), και πολλές από αυτές κάνουν επίθεση στo DNS cache σε name servers. Ένας επιτιθέμενος χρήστης που είναι κάτοχος ενός name server, μπορεί να εξαναγκάσει τον name server ενός θύματος να καταχωρήσει λανθασμένες εγγραφές (queries) που αφορούν τον δικτυακό τόπο του ίδιου του επιτιθέμενου. Ένας τέτοιος ευάλωτος name server-θύμα θα αναφερόταν στον server του επιτιθέμενου και θα καταχωρούσε την απάντηση [9] Επιθέσεις DDoS Προσδιορισμός των επιθέσεων DDoS Σύμφωνα με τα WWW Security FAQ [4] αναφέρεται σχετικά με τις επιθέσεις Distributed Denial of Service (DDoS) ότι: Μια επίθεση DDoS χρησιμοποιεί πολλούς υπολογιστές για να εξαπολύσει μια συντονισμένη επίθεση DoS ενάντια σε έναν ή περισσότερους στόχους. Χρησιμοποιώντας την τεχνολογία πελάτη/εξυπηρετητή, ο δράστης έχει τη δυνατότητα να πολλαπλασιάσει σημαντικά την αποτελεσματικότητα της επίθεσης DoS, χρησιμοποιώντας τους πόρους πολλών ανυποψίαστων 6

13 υπολογιστών-συνεργών, οι οποίοι δρουν ως πλατφόρμες επιθέσεων. Η επίθεση DDoS είναι η πιο εξελιγμένη μορφή επιθέσεων DoS. Διαφοροποιείται από τις άλλες επιθέσεις από την ικανότητά της αναπτύσσει τα όπλα της με έναν κατανεμημένο τρόπο στο Διαδίκτυο και να συγκεντρώνει αυτές τις δυνάμεις, για να δημιουργήσει ολέθρια συμφόρηση. Οι επιθέσεις DDoS δεν προσπαθούν ποτέ να διασπάσουν το σύστημα του θύματος, καθιστώντας κάθε παραδοσιακό μηχανισμό ασφαλείας ανεπαρκή. Ο βασικός στόχος μιας επίθεσης DDoS είναι να προκαλέσει ζημιά στο θύμα για προσωπικούς λόγους, για οικονομικά οφέλη, ή για δημοτικότητα. Οι επιθέσεις DDoS εκμεταλλεύονται βασικά την αρχιτεκτονική του Διαδικτύου και αυτό είναι που τις κάνει πολύ ισχυρές. Το Διαδίκτυο σχεδιάστηκε με γνώμονα κυρίως τη λειτουργικότητα και όχι την ασφάλεια. Η σχεδίαση του προκαλεί αρκετά κενά ασφάλειας, τα οποία μπορούν να αξιοποιηθούν για επιθέσεις από κακόβουλους χρήστες. Πιο αναλυτικά: Η ασφάλεια του Διαδικτύου είναι σε μεγάλο βαθμό αλληλοεξαρτώμενη. Ανεξαρτήτως του πόσο ασφαλές μπορεί να είναι ένα σύστημα, το αν θα αποτελέσει θύμα μιας επίθεσης DDoS εξαρτάται από το υπόλοιπο Διαδίκτυο [10]. Οι διαδικτυακοί πόροι είναι περιορισμένοι. Κανένα διαδικτυακό σύστημα δεν έχει απεριόριστους πόρους. Οι πόροι αυτοί αργά ή γρήγορα μπορεί να καταναλωθούν από έναν ικανό αριθμό χρηστών. Πολλοί εναντίον λίγων. Αν οι πόροι των επιτιθέμενων είναι περισσότεροι από αυτούς των θυμάτων τους, τότε η επιτυχία της επίθεσης είναι σχεδόν βέβαιη. Οι πληροφορίες και οι πόροι δεν είναι αλληλένδετα. Οι περισσότερες πληροφορίες που χρειάζονται οι υπηρεσίες βρίσκονται σε τερματικά συστήματα. Παράλληλα για να έχουμε μέγιστη διεκπεραιωτική ικανότητα (throughput), σχεδιάζονται δίαυλοι υψηλού εύρους ζώνης στο ενδιάμεσο δίκτυο. Έτσι οι επιτιθέμενοι μπορούν να εκμεταλλευθούν τους άφθονους πόρους ενός ανυποψίαστου δικτύου για να πλημμυρίσουν το θύμα με μηνύματα Στρατηγική των επιθέσεων DDoS Μια επίθεση Distributed Denial of Service (DDoS) αποτελείται από τέσσερα στοιχεία όπως φαίνεται στο Σχήμα 2.2: 7

14 Σχήμα 2.2. Αρχιτεκτονική των επιθέσεων DDoS Τον πραγματικό επιτιθέμενο. Τους handlers ή masters, που είναι οι υπολογιστές στους οποίους εκτελείται ένα ειδικό πρόγραμμα, ικανό να ελέγχει πολλαπλούς agents. Τους attack daemon agents ή zombie εξυπηρετητές που είναι υπολογιστές στους οποίους εκτελείται ένα ειδικό πρόγραμμα και είναι υπεύθυνοι για τη δημιουργία ροής πακέτων προοριζόμενης για το θύμα. Οι υπολογιστές αυτοί είναι συνήθως εκτός του δικτύου του θύματος, για να αποφευχθεί αποδοτική αντίδραση από το θύμα, και εκτός του δικτύου του επιτιθέμενου, για να αποφευχθεί η νομική του ευθύνη αν γίνει προσπάθεια για τον εντοπισμό του. Το θύμα ή σύστημα-στόχο. Κατά την προετοιμασία και εκδήλωση μιας επίθεσης DDoS ακολουθούνται τα παρακάτω βήματα: 1. Επιλογή των agents. Ο επιτιθέμενος επιλέγει τους agents που θα κάνουν την επίθεση. Αυτά τα συστήματα θα πρέπει να έχουν κάποιες αδυναμίες που θα εκμεταλλευτεί ο επιτιθέμενος ώστε να αποκτήσει πρόσβαση. Θα πρέπει επίσης να έχουν άφθονους πόρους που θα τους επιτρέψουν να εξαπολύσουν ισχυρές επιθέσεις. Αρχικά η διαδικασία αυτή εκτελούνταν χειροκίνητα, όμως σύντομα αυτοματοποιήθηκε με χρήση εργαλείων σάρωσης. 2. Κατάληψη των agents. Ο επιτιθέμενος εκμεταλλεύεται τα κενά ασφαλείας και τις αδυναμίες των συστημάτων των agents και εισάγει των κώδικα επίθεσης. Επιπλέον, προσπαθεί να αποτρέψει τον εντοπισμό και την απενεργοποίηση του κώδικα. Αυτοδιαδιδώμενα εργαλεία όπως το Ramen Worm [11] και το Code Red [12] γρήγορα αυτοματοποίησαν αυτή τη φάση. Οι κάτοχοι και χρήστες των συστημάτων agent συνήθως δεν έχουν επίγνωση ότι το σύστημά 8

15 τους έχει καταληφθεί και ότι λαμβάνουν μέρος σε μια επίθεση DDoS. Κάθε εφαρμογή των agents που συμμετέχει σε μια επίθεση DDoS, χρησιμοποιεί μόνο ένα μικρό ποσοστό πόρων (στη μνήμη αλλά και στο εύρος ζώνης), έτσι ώστε οι χρήστες των συστημάτων αυτών να έχουν ελάχιστη μείωση στην απόδοση. 3. Επικοινωνία. Ο επιτιθέμενος επικοινωνεί με έναν οποιοδήποτε αριθμό χειριστών (handlers) για να προσδιορίσει ποιοι εκ των agents είναι διαθέσιμοι, πότε να προγραμματίσει την επίθεση, ή πότε να αναβαθμίσει τους agents. Ανάλογα με το πώς ρυθμίζει ο επιτιθέμενος το δίκτυο της επίθεσης, μπορεί να υποδείξει στους agents να επικοινωνούν με έναν ή περισσότερους handlers. Η επικοινωνία μεταξύ επιτιθέμενου και handler, και μεταξύ handler και agents μπορεί να γίνεται μέσω των πρωτοκόλλων TCP, UDP ή ICMP. 4. Επίθεση. Σε αυτό το βήμα ο επιτιθέμενος προστάζει την εκδήλωση της επίθεσης. Το θύμα, η διάρκεια της επίθεσης, καθώς και κάποια χαρακτηριστικά της επίθεσης όπως ο τύπος, το μέγεθος, το TTL, τα port numbers κλπ, μπορούν να παραμετροποιηθούν. Το πλήθος των ιδιοτήτων των πακέτων επίθεσης μπορεί να λειτουργήσει προς όφελος του επιτιθέμενου, ώστε να αποφευχθεί η έγκαιρη αναγνώριση της επίθεσης. Το σύστημα ανταλλαγής ηλεκτρονικών μηνυμάτων μεταξύ πολλών χρηστών, Internet Relay Chat (IRC) από τη στιγμή που επέτρεπε στους χρήστες του τη δημιουργία δημοσίων, ιδιωτικών και κρυφών καναλιών, άρχισε να χρησιμοποιείται για την επικοινωνία μεταξύ του επιτιθέμενου και των agents [13]. Ένα δίκτυο επίθεσης DDoS που βασίζεται στο δίκτυο του IRC είναι παρόμοιο με το μοντέλο επίθεσης DDoS agent-handler, με τη διαφορά ότι αντί να γίνεται χρήση ενός προγράμματος handler εγκατεστημένου σε κάποιον server του δικτύου, ένας server του IRC εντοπίζει τις διευθύνσεις των συνδεδεμένων handlers και agents και εγκαθιδρύει επικοινωνία μεταξύ τους. Η ανακάλυψη ενός και μόνο συμμετέχοντα στην επίθεση, οδηγεί στην ανακάλυψη του καναλιού επικοινωνίας, αλλά τα στοιχεία των υπολοίπων συμμετεχόντων είναι προστατευμένα. Το IRC προσφέρει πολλές διευκολύνσεις για την πραγματοποίηση μιας επίθεσης DDoS, τρεις εκ των οποίων είναι πολύ σημαντικές: μπορεί να παρέχει υψηλό βαθμό ανωνυμίας, δυσχεραίνει την αναγνώριση της επίθεσης και προσφέρει ένα ισχυρό και εγγυημένο σύστημα επίθεσης. Επιπλέον ο επιτιθέμενος δεν χρειάζεται να διατηρεί λίστα των agents, αφού πολύ απλά μπορεί να συνδεθεί στον server του IRC και να έχει μια λίστα όλων των διαθέσιμων agents [14]. Το εγκατεστημένο λογισμικό του agent που αφορά το δίκτυο του IRC συνήθως επικοινωνεί μέσω του καναλιού του IRC με τον επιτιθέμενο και τον ειδοποιεί για το πότε ο agent είναι διαθέσιμος για επίθεση. Σε μια επίθεση DDoS η οποία βασίζεται στο IRC, οι agents συχνά αναφέρονται ως Bots ή Zombie Bots Εργαλεία επίθεσης DDoS Υπάρχουν διάφορα γνωστά εργαλεία επιθέσεων DDoS. Η αρχιτεκτονική τέτοιων εφαρμογών είναι παρόμοια, και στην πραγματικότητα κάποια εργαλεία προκύπτουν από άλλα εργαλεία με μικρές διαφοροποιήσεις. Σε αυτήν την παράγραφο γίνεται 9

16 παρουσίαση της λειτουργικότητας κάποιων εξ αυτών. Για τους σκοπούς της παρουσίασης τα εργαλεία επιθέσεων DDoS διαχωρίζονται σε αυτά που βασίζονται στους agents και σε αυτά που βασίζονται στο IRC Εργαλεία επιθέσεων DDoS που βασίζονται στους agents Το Trinoo [15] θεωρείται το πρώτο εργαλείο επίθεσης DDoS που χρησιμοποιήθηκε και διαδόθηκε ευρέως. Το Trinoo [16] είναι ένα εργαλείο επίθεσης που εξαντλεί το εύρος ζώνης και μπορεί να χρησιμοποιηθεί για να εξαπολύσει συντονισμένες επιθέσεις UDP flood προς μία ή περισσότερες διευθύνσεις IP. Η επίθεση χρησιμοποιεί πακέτα UDP σταθερού μεγέθους και στοχεύει τυχαία ports στο σύστημα του θύματος. Συνήθως το Trinoo agent εγκαθίσταται σε κάποιο σύστημα που είναι ευάλωτο σε σφάλματα buffer overrun. Αυτό το bug στο λογισμικό επιτρέπει στον επιτιθέμενο να κάνει απομακρυσμένη μεταγλώττιση και εκτέλεση της εγκατάστασης του agent μέσα στο δευτερεύον buffer του συστήματος του θύματος. Ο handler χρησιμοποιεί τα πρωτόκολλα TCP ή UDP για να επικοινωνεί με τους agents και έτσι τα συστήματα ανίχνευσης επίθεσης μπορούν να εντοπίσουν την επίθεση μόνο μέσω ανίχνευσης της κίνησης UDP. Το κανάλι αυτό μπορεί να είναι κρυπτογραφημένο αλλά και να προστατεύεται με κωδικό. Ο κωδικός όμως για την ώρα δεν αποστέλλεται σε κρυπτογραφημένη μορφή και έτσι μπορεί να εντοπιστεί. Το Trinoo δεν κάνει παραποίηση των διευθύνσεων των πηγών, μπορεί όμως εύκολα να επεκταθεί για να υποστηρίζει αυτή την λειτουργία. Το Trinoo s attack daemons κάνουν επιθέσεις UDP Flood προς το θύμα-στόχο. Το Tribe Flood Network (TFN) [17], το οποίο δημιουργήθηκε το 1999, είναι ένα εργαλείο επίθεσης DDoS, που δίνει τη δυνατότητα στον επιτιθέμενο να διεξάγει επιθέσεις εξάντλησης του εύρους ζώνης, αλλά και επιθέσεις εξάντλησης των πόρων. Χρησιμοποιεί μια διεπαφή γραμμής εντολών για την επικοινωνία του επιτιθέμενου με κεντρικό πρόγραμμα ελέγχου, δεν προσφέρει όμως καμία δυνατότητα για κρυπτογράφηση της επικοινωνίας μεταξύ agents και handlers, ή μεταξύ handlers και επιτιθέμενου. Επιπλέον του UDP flooding του Trinoo επιτρέπει επίσης TCP SYN και ICMP flood, καθώς επίσης και επιθέσεις smurf. Η πρόσβαση στους handlers πραγματοποιείται χρησιμοποιώντας κλασσικές συνδέσεις TCP όπως το telnet ή το ssh. Άλλα εναλλακτικά εργαλεία είναι αυτά που κάνουν ICMP tunneling όπως το LOKI [18,19]. Η επικοινωνία μεταξύ του handler και των daemons επιτυγχάνεται με αποστολή πακέτων ICMP ECHO REPLY, που σε σχέση με τα πακέτα UDP, είναι πιο δύσκολο να εντοπιστούν και συχνά μπορούν να διαπεράσουν συστήματα firewall. Το TFN εξαπολύει συντονισμένες επιθέσεις Denial of Service που είναι εξαιρετικά δύσκολο να αντιμετωπιστούν αφού μπορεί να δημιουργήσει πολλαπλά είδη επιθέσεων, να δημιουργήσει επίσης και πακέτα με παραπλανητικές διευθύνσεις πηγών IP (spoofed IP addresses), και να επιλέγει τυχαία σε ποια ports θα επιτεθεί. Είναι ικανό να παραποιεί ένα, όλα, ή ακόμα και τα τελευταία 8 από τα 32 bit της διεύθυνσης IP της πηγής. Κάποιες από τις επιθέσεις που μπορεί να πραγματοποιήσει το TFN είναι: επίθεση smurf, UDP flood, TCP SYN flood, ICMP echo request flood και επίθεση directed broadcast ICMP. Το TFN2K [20] είναι ένα εργαλείο επίθεσης DDoS που βασίζεται στην αρχιτεκτονική του TFN. Το εργαλείο επίθεσης TFN2K προσθέτει τη δυνατότητα 10

17 κρυπτογραφημένης ανταλλαγής μηνυμάτων μεταξύ όλων των συνθετικών μερών της επίθεσης [21]. Η επικοινωνία μεταξύ του πραγματικού επιτιθέμενου και κεντρικού προγράμματος ελέγχου είναι κρυπτογραφημένη με βάση τον αλγόριθμο CAST-256 [22]. Επιπλέον, το TFN2K εκτελεί κρυφές ασκήσεις για να αποκρύψει τον εαυτό του από τα συστήματα ανίχνευσης επίθεσης. Το TFN2K μπορεί να πραγματοποιήσει: smurf, SYN, UDP και ICMP echo flood επιθέσεις. Ο τύπος της επίθεσης μπορεί να μεταβάλλεται κατά τη διάρκεια της επίθεσης. Οι εντολές αποστέλλονται από το κεντρικό πρόγραμμα προς τους agents μέσω TCP, UDP, ICMP ή με όλους τους τρεις τρόπους τυχαία, κάνοντας ακόμα πιο δύσκολο το έργο να εντοπιστεί το TFN2K σαρώνοντας το δίκτυο. Τα πακέτα εντολών μπορούν να ανακατευτούν με έναν οποιοδήποτε αριθμό παραπλανητικών πακέτων, τα οποία αποστέλλονται σε τυχαίες IP διευθύνσεις, έτσι ώστε να αποφευχθεί ο εντοπισμός. Σε δίκτυα που έχουν τη δυνατότητα να φιλτράρουν τα εισερχόμενα πακέτα [23], το TFN2K έχει τη δυνατότητα να αλλάζει τα χαρακτηριστικά των πακέτων και να τα κάνει να φαίνονται ως πακέτα τα οποία στάλθηκαν από γνωστά στο δίκτυο συστήματα. Η επικοινωνία μεταξύ των handlers και των agents είναι κρυπτογραφημένη και κωδικοποιημένη με τον αλγόριθμο base- 64. Υπάρχει ένας επιπρόσθετος τύπος επίθεσης που ονομάζεται επίθεση TARGA. Στην επίθεση TARGA αποστέλλονται ελαττωματικά πακέτα IP τα οποία σε αρκετά δίκτυα TCP/IP μπορούν να προκαλέσουν καθυστέρηση ή τερματισμό. Μια άλλη επιλογή είναι η επίθεση MIX, η οποία συνδυάζει επιθέσεις UDP, SYN και ICMP echo reply flooding [24]. Το Stacheldraht [25] (γερμανικός όρος για το συρματόπλεγμα) βασίζεται σε μια πρώιμη έκδοση του TFN και προσπαθεί να διορθώσει κάποια από τα αδύναμα σημεία του. Συνδυάζει χαρακτηριστικά του Trinoo (αρχιτεκτονική handler/agent) με χαρακτηριστικά του πρωτότυπου TFN. Έχει επίσης τη δυνατότητα να κάνει αυτόματα αναβαθμίσεις στους agents. Αυτό σημαίνει ότι ο επιτιθέμενος μπορεί να βάλει το αρχείο εγκατάστασης σε κάποιον server και μόλις το κάθε σύστημα agent ενεργοποιείται (η συνδέεται με το Διαδίκτυο), ο agent ψάχνει αυτόματα για αναβαθμίσεις και τις εγκαθιστά. To Stacheldraht παρέχει επίσης μια ασφαλή σύνδεση telnet με συμμετρική κωδικοποίηση κλειδιού μεταξύ του συστήματος του επιτιθέμενου και των handlers. Η επικοινωνία πραγματοποιείται με πακέτα TCP και ICMP. Στις επιθέσεις που μπορεί να προκαλέσει το Stacheldraht περιλαμβάνονται: επιθέσεις Smurf, UDP flood, TCP SYN flood, ICMP echo request flood και ICMP directed broadcast. Οι νεότερες εκδόσεις του προγράμματος έχουν περισσότερες δυνατότητες και διαφορετικές υπογραφές. Το εργαλείο mstream [26] χρησιμοποιεί παραπλανητικά πακέτα TCP, με το ACK flag επιλεγμένο, για να επιτεθεί στον στόχο. Το mstream είναι ένα απλό εργαλείο επίθεσης TCP ACK flooding από σημείο σε σημείο, που μπορεί να κατακλύσει τους πίνακες που χρησιμοποιούνται από γρήγορες ρουτίνες δρομολόγησης σε κάποιους μεταγωγείς. Η επικοινωνία δεν είναι κρυπτογραφημένη, πραγματοποιείται με πακέτα TCP και UDP και ο επιτιθέμενος συνδέεται μέσω telnet στο σύστημα zombie. Η πρόσβαση στον κωδικό του handler είναι προστατευμένη. Η εφαρμογή αυτή έχει ένα χαρακτηριστικό που δεν απαντάται σε κάποιο άλλο από τα εργαλεία επιθέσεων DDoS. Ενημερώνει τον ή τους handler για όλους τους συνδεδεμένους χρήστες για την πρόσβαση, επιτυχή ή μη. Ο στόχος βάλλεται με πακέτα ACK και στέλνει TCP RST σε διευθύνσεις IP οι οποίες δεν υφίστανται. Οι δρομολογητές θα επιστρέψουν 11

18 μήνυμα λάθους μέσω του πρωτοκόλλου ICMP, προκαλώντας μεγαλύτερη έλλειψη εύρους ζώνης. Έχει πολύ περιορισμένες δυνατότητες ελέγχου και μπορεί να δημιουργήσει παραπλανητικές IP αλλάζοντας τυχαία και τα 32 bit της διεύθυνσης IP της πηγής. Το Shaft [27] είναι ένα παράγωγο του εργαλείου Trinoo. Χρησιμοποιεί το πρωτόκολλο UDP για την επικοινωνία μεταξύ handlers και agents, και τα μηνύματα δεν είναι κρυπτογραφημένα. Το Shaft παρέχει επιλογές επίθεσης UDP, ICMP και TCP flooding. Οι επιθέσεις αυτές είναι δυνατόν να γίνουν μεμονωμένα, ή μπορούν να συνδυαστούν για να σχηματίσουν μια επίθεση UDP/TCP/ICMP flooding. Το Shaft παραμετροποιεί τυχαία τη διεύθυνση IP και το port number της πηγής στα πακέτα που στέλνει. Το μέγεθος των πακέτων παραμένει σταθερό κατά τη διάρκεια της επίθεσης. Ένα νέο χαρακτηριστικό του προγράμματος δίνει τη δυνατότητα για αλλαγή της διεύθυνσης IP και του port number του handler σε πραγματικό χρόνο κατά τη διάρκεια της επίθεσης, κάνοντας το έργο των εργαλείων εντοπισμού ιδιαίτερα δύσκολο. Ένα χαρακτηριστικό γνώρισμα του Shaft είναι και η ικανότητα του να εναλλάσσει τους κεντρικούς server ελέγχου και τα ports σε πραγματικό χρόνο καθιστώντας ακόμη πιο δύσκολη την ανίχνευση της επίθεσης από τα εργαλεία ελέγχου επίθεσης. Επιπλέον το Shaft παρέχει στατιστικά που αφορούν την επίθεση flood. Τα στατιστικά αυτά είναι χρήσιμα στον επιτιθέμενο αφού τον ενημερώνουν για το πότε το σύστημα του θύματος έχει τεθεί εκτός λειτουργίας και του δίνουν τη δυνατότητα να γνωρίζει πότε πρέπει να σταματήσει να προσθέτει συστήματα zombie στην επίθεση DDoS Εργαλεία επιθέσεων DDoS που βασίζονται στο IRC Τα εργαλεία επιθέσεων DDoS που βασίζονται στο IRC αναπτύχθηκαν μετέπειτα από τα εργαλεία επίθεσης agent-handler. Αυτό έχει ως αποτέλεσμα πολλά εργαλεία που βασίζονται στο IRC να είναι πιο εξελιγμένα, αφού ενσωματώνουν κάποια από τα πιο σημαντικά χαρακτηριστικά που απαντώνται σε πολλά εργαλεία επίθεσης agenthandler. Το Trinity v3 [28], εκτός από τις μέχρι τώρα γνωστές επιθέσεις UDP, TCP SYN, TCP ACK και TCP NUL packet flood, εισάγει τις επιθέσεις TCP fragment flood, TCP RST packet flood, TCP random flag packet flood και TCP random flag packet flood, ενώ έχει τη δυνατότητα τυχαίας παραμετροποίησης και των 32 bit της διεύθυνσης IP της πηγής [29]. Δημιουργεί επίσης πακέτα TCP flood με random control flags, και με τον τρόπο αυτό παρέχεται από το Trinity v3 ένα μεγαλύτερο σύνολο επιθέσεων που βασίζονται στο TCP. Στην ίδια γενιά με το Trinity ανήκει και το myserver [27], που βασίζεται σε εξωτερικά προγράμματα για να κάνει επιθέσεις DoS, όπως επίσης και το Plague [27], που παρέχει δυνατότητα επιθέσεων TCP ACK και TCP SYN flooding. Το Knight είναι ένα εργαλείο επίθεσης DDoS που βασίζεται στο IRC, το οποίο δεν έχει μεγάλες απαιτήσεις και είναι αρκετά ισχυρό. Η πρώτη αναφορά σε αυτό έγινε τον Ιούλιο του 2001 [29]. Το Knight παρέχει δυνατότητα επιθέσεων SYN, UDP flood και urgent pointer flood [30]. Είναι σχεδιασμένο να εκτελείται σε λειτουργικά συστήματα Windows και έχει χαρακτηριστικά όπως έναν αυτόματο updater μέσω 12

19 http ή ftp, μια γεννήτρια checksum και άλλα. Το εργαλείο Knight συνήθως εγκαθίσταται χρησιμοποιώντας ένα πολύ γνωστό πρόγραμμα τύπου trojan horse που ονομάζεται Back Orifice [29]. Ένα άλλο εργαλείο επιθέσεων DDoS, το οποίο βασίζεται στο Knight, είναι το Kaiten [27], που μπορεί να κάνει επιθέσεις UDP, TCP flood, και επιθέσεις SYN και PUSH+ACH. Μπορεί επίσης να παραμετροποιήσει τυχαία και τα 32 bit της διεύθυνσης IP της πηγής Ταξινόμηση των επιθέσεων DDoS Για να γίνουν κατανοητές οι επιθέσεις DDoS, κρίνεται απαραίτητη η ύπαρξη κάποιας πρότυπης ταξινόμησης. Προτείνεται μια ταξινόμηση των επιθέσεων DDoS που συνδυάζει αποδοτικά τις ταξινομήσεις που προτείνονται από τους Mirkovic et al. [31], Lee [32] και πολλά πρόσφατα ερευνητικά αποτελέσματα. Η ταξινόμηση αυτή φαίνεται στο Σχήμα 2.3 και αποτελείται από δυο μέρη. Στο πρώτο μέρος οι επιθέσεις ταξινομούνται με βάση το βαθμό αυτοματοποίησης, τις αδυναμίες που εκμεταλλεύονται, το ρυθμό της επίθεσης και το αποτέλεσμά της. Στο δεύτερο μέρος αναγνωρίζονται συγκεκριμένα χαρακτηριστικά κάθε κατηγορίας του πρώτου μέρους. Σχήμα 2.3. Ταξινόμηση των επιθέσεων DDoS Ταξινόμηση με βάση το βαθμό αυτοματοποίησης Με βάση το βαθμό αυτοματοποίησης μιας επίθεσης, οι επιθέσεις DDoS μπορούν να ταξινομηθούν σε χειροκίνητες, ημιαυτόματες και αυτόματες επιθέσεις DDoS. Οι πρώτες επιθέσεις DDoS γίνονταν χειροκίνητα. Αυτό σημαίνει ότι η στρατηγική των επιθέσεων DDoS περιλάμβανε τη σάρωση των απομακρυσμένων συστημάτων για αδυναμίες, την παραβίασή τους και την εγκατάσταση σε αυτά του κώδικα επίθεσης. Όλα αυτά τα βήματα αργότερα αυτοματοποιήθηκαν, με τις ημιαυτόματες και αυτόματες επιθέσεις DDoS. 13

20 Στις ημιαυτόματες επιθέσεις, η επίθεση DDoS ακολουθεί το μοντέλο επίθεσης agent-handler. Ο επιτιθέμενος σαρώνει και καταλαμβάνει τους handlers και τους agents με τη χρήση αυτοματοποιημένων script. Ο τύπος της επίθεσης, η διεύθυνση του θύματος και ο τρόπος εισβολής κατά την επίθεση επιλέγονται από τα συστήματα των handlers. Οι ημιαυτόματες επιθέσεις μπορούν να διαχωριστούν περεταίρω σε επιθέσεις με άμεση επικοινωνία και σε επιθέσεις με έμμεση επικοινωνία. Οι επιθέσεις με άμεση επικοινωνία περιλαμβάνουν επιθέσεις, κατά τη διάρκεια των οποίων ο agent και ο handler πρέπει να γνωρίζουν ο ένας την ταυτότητα του άλλου για να επικοινωνήσουν. Αυτή η προσέγγιση προϋποθέτει το hard coding των διευθύνσεων IP των συστημάτων των handlers. Το μεγαλύτερο μειονέκτημα της προσέγγισης αυτής είναι ότι με τον ανακάλυψη ενός συστήματος που έχει καταληφθεί, μπορεί να αποκαλυφθεί ολόκληρο το δίκτυο της επίθεσης DDoS. Στις επιθέσεις με έμμεση επικοινωνία η επικοινωνία γίνεται έμμεσα έτσι ώστε να είναι μεγαλύτερη η πιθανότητα να επιβιώσει η επίθεση. Ένα αντιπροσωπευτικό παράδειγμα αυτού του είδους των επιθέσεων είναι οι επιθέσεις DDoS που βασίζονται στο IRC, και οι οποίες έχουν αναλυθεί σε προηγούμενη ενότητα. Στις αυτόματες επιθέσεις DDoS, αποφεύγεται εντελώς η επικοινωνία μεταξύ του επιτιθέμενου και των agents. Στις περισσότερες περιπτώσεις η φάση της επίθεσης περιορίζεται σε μια απλή εντολή. Όλα τα χαρακτηριστικά της επίθεσης όπως το είδος της, η διάρκειά της και η διεύθυνση του θύματος, είναι προγραμματισμένα από πριν στον κώδικα της επίθεσης. Με τον τρόπο αυτό ο επιτιθέμενος έχει ελάχιστη έκθεση και μικρότερη πιθανότητα να αποκαλυφθεί η ταυτότητά του. Σε αυτή την προσέγγιση οι μηχανισμοί αναπαραγωγής συνήθως αφήνουν ανοιχτή την backdoor στο σύστημα που έχει καταληφθεί, κάνοντας δυνατή τη μελλοντική πρόσβαση και τροποποίηση του κώδικα επίθεσης Ταξινόμηση με βάση τις αδυναμίες που εκμεταλλεύονται Οι επιθέσεις DDoS σύμφωνα με τις αδυναμίες που εκμεταλλεύονται μπορούν να διαχωριστούν στις κατηγορίες που ακολουθούν: στις επιθέσεις flood, στις επιθέσεις amplification, στις επιθέσεις που εκμεταλλεύονται πρωτόκολλα και στις επιθέσεις με παραποιημένα πακέτα. Στην επίθεση flood, τα συστήματα zombie αποστέλλουν μεγάλο όγκο κίνησης IP στο σύστημα-θύμα με σκοπό να προκαλέσουν συμφόρηση στο εύρος ζώνης του συστήματος του θύματος. Το αποτέλεσμα των πακέτων που αποστέλλονται από τα συστήματα zombie στο σύστημα του θύματος ποικίλει προκαλώντας από επιβράδυνση ή κατάρρευση του συστήματος μέχρι κορεσμό του εύρους ζώνης του δικτύου. Κάποιες πολύ γνωστές επιθέσεις flood είναι οι επιθέσεις UDP flood και οι επιθέσεις ICMP flood. Μια επίθεση UDP flood πραγματοποιείται όταν ένα μεγάλο πλήθος από πακέτα UDP αποστέλλεται στο σύστημα του θύματος. Αυτό έχει ως αποτέλεσμα τον κορεσμό του δικτύου και την εξάντληση του διαθέσιμου 14

21 εύρους ζώνης για τις κανονικές αιτήσεις υπηρεσιών στο σύστημα-θύμα. Σε μια επίθεση DDoS UDP flood, τα πακέτα UDP αποστέλλονται σε τυχαία ή σε συγκεκριμένα ports του συστήματος. Συνήθως οι επιθέσεις UDP flood είναι σχεδιασμένες να επιτίθενται σε τυχαία ports. Μια επίθεση UDP flood εκδηλώνεται όταν ο επιτιθέμενος αποστέλλει ένα πακέτο UDP σε κάποιο τυχαίο port του θύματος. Όταν το σύστημα θύμα λάβει ένα πακέτο UDP, προσδιορίζει για ποια εφαρμογή προορίζεται στο port προορισμού. Όταν αντιληφθεί ότι καμία εφαρμογή δεν περιμένει στο port αυτό, δημιουργεί ένα destination unreachable ICMP πακέτο [14] και το αποστέλλει στην πλαστή διεύθυνση της πηγής. Αν παραδοθεί ένας ικανός αριθμός πακέτων UDP στα ports του θύματος, το σύστημα καταρρέει. Με τη χρήση ενός εργαλείου επίθεσης DDoS, η διεύθυνση IP των πακέτων παραποιείται και έτσι αποφεύγεται η αποκάλυψη της πραγματικής ταυτότητας των δευτερευόντων θυμάτων. Επίσης τα πακέτα ICMP που δημιουργούνται από το σύστημα-θύμα δεν αποστέλλονται πίσω στα συστήματα zombie. Οι επιθέσεις ICMP flood εκμεταλλεύονται το πρωτόκολλο Internet Control Message Protocol (ICMP), το οποίο επιτρέπει στους χρήστες να στέλνουν ένα πακέτο echo σε έναν απομακρυσμένο εξυπηρετητή για να ελέγξουν αν είναι ενεργός. Ειδικότερα κατά τη διάρκεια μιας επίθεσης DDoS ICMP flood οι agents στέλνουν μεγάλο όγκο πακέτων ICMP_ECHO_REPLY ( ping ) στο θύμα. Τα πακέτα αυτά απαιτούν απόκριση από το θύμα και αυτό έχει ως αποτέλεσμα τον κορεσμό του εύρους ζώνης του δικτύου του θύματος [15]. Κατά τη διάρκεια μιας επίθεσης ICMP flood η διεύθυνση IP της πηγής μπορεί να είναι παραποιημένη. Στις επιθέσεις amplification ο επιτιθέμενος ή οι agents εκμεταλλεύονται το χαρακτηριστικό broadcast IP address, το οποίο συναντάται στους περισσότερους δρομολογητές, για να ενισχύσουν και να αναμεταδώσουν την επίθεση και να στείλουν μηνύματα σε ένα broadcast IP address. Αυτό υποδεικνύει στους δρομολογητές που διαχειρίζονται τα πακέτα του δικτύου να τα στείλουν σε όλες τις διευθύνσεις IP εντός της εμβέλειας broadcast address. Με τον τρόπο αυτό η κακόβουλη συμφόρηση που δημιουργείται μειώνει το εύρος ζώνης του συστήματος-θύματος. Σε αυτό το είδος της επίθεσης DDoS, ο επιτιθέμενος μπορεί να στείλει το μήνυμα broadcast άμεσα, ή με τη χρήση των agents έτσι ώστε να αυξήσει τον όγκο της κίνησης που δημιουργεί. Αν το μήνυμα broadcast αποστέλλεται άμεσα, ο επιτιθέμενος μπορεί να χρησιμοποιήσει τα συστήματα που βρίσκονται εντός του δικτύου broadcast ως agents χωρίς να είναι αναγκαίο να εισβάλλει σε αυτά ή να εγκαταστήσει σε αυτά κάποιο λογισμικό agent. Κάποιες γνωστές επιθέσεις amplification είναι η Smurf και οι επιθέσεις Fraggle. Οι ενδιάμεσοι κόμβοι που χρησιμοποιούνται για να εξαπολύσουν την επίθεση στις επιθέσεις amplification ονομάζονται reflectors [33]. Ένας reflector μπορεί να είναι οποιοσδήποτε IP εξυπηρετητής που θα επιστρέψει ένα πακέτο αν δεχθεί κάποιο πακέτο. Έτσι οι web servers, οι DNS servers και οι δρομολογητές είναι reflectors, αφού επιστρέφουν SYN ACK ή RST αν δεχθούν πακέτα SYN ή άλλα πακέτα TCP. 15

22 Ένας επιτιθέμενος αποστέλλει στους reflectors πακέτα που απαιτούν απόκριση. Σε αυτά τα πακέτα ορίζεται ως διεύθυνση πηγής η διεύθυνση IP του θύματος. Οι reflectors αποστέλλουν πακέτα ανταπόκρισης στο θύμα ανάλογα με το είδος των πακέτων επίθεσης που λαμβάνουν. Τα πακέτα επίθεσης επιστρέφονται απαραίτητα μέσα στα κανονικά πακέτα προς το θύμα. Τα επιστρεφόμενα πακέτα μπορούν να προκαλέσουν κορεσμό στη σύνδεση του θύματος εφόσον ο αριθμός των reflectors είναι αρκετά μεγάλος. Σημειωτέον ότι ως διευθύνσεις πηγής των πακέτων επίθεσης που λαμβάνονται από το θύμα, αναγνωρίζονται οι διευθύνσεις των reflectors. Από την άλλη ο χειριστής ενός συστήματος reflector, δεν μπορεί εύκολα να εντοπίσει το σύστημα που το χρησιμοποιεί, αφού η κίνηση που αποστέλλεται στον reflector δεν έχει τη διεύθυνση του συστήματος slave, αλλά μόνο τη διεύθυνση πηγής του θύματος. Η αρχιτεκτονική των επιθέσεων με reflectors είναι παρόμοια με την αρχιτεκτονική των άμεσων επιθέσεων. Υπάρχουν όμως κάποιες σημαντικές διαφορές [34]. Η επίθεση με reflectors απαιτεί την ύπαρξη ενός συνόλου προκαθορισμένων reflectors. Οι reflectors μπορούν επίσης να είναι διασκορπισμένοι στο Διαδίκτυο, γιατί ο επιτιθέμενος δεν είναι απαραίτητο να εγκαταστήσει κάποιο λογισμικό agent. Τα ανακλώμενα πακέτα είναι κανονικά πακέτα με κανονικές διευθύνσεις πηγής και δεν μπορούν να φιλτραριστούν με μηχανισμούς που βασίζονται στη δρομολόγηση των πακέτων. Οι επιθέσεις Smurf στέλνουν κίνηση ICMP echo request με παραπλανητική διεύθυνση πηγής [35] του θύματος στόχου, σε ένα πλήθος διευθύνσεων IP broadcast. Σε ένα δίκτυο IP οι περισσότεροι εξυπηρετητές είναι δυνατόν να δεχτούν ICMP echo requests [35] και να απαντήσουν στη διεύθυνση πηγής, που στην προκειμένη περίπτωση, είναι η διεύθυνση του θύματος. Σε ένα δίκτυο broadcast, ενδεχομένως να υπάρχουν εκατοντάδες συστήματα που θα απαντήσουν σε κάθε ICMP πακέτο. Η χρήση ενός δικτύου με σκοπό να αποσπαστούν πολλές απαντήσεις σε ένα μόνο πακέτο έχει χαρακτηριστεί ως amplifier [36]. Σε αυτό το είδος επίθεσης το μέρος που πλήγεται δεν είναι μόνο το θύμα, του οποίου χρησιμοποιείται η παραπλανητική διεύθυνση πηγής, αλλά και οι ενδιάμεσες συσκευές εκπομπής που χρησιμοποιούνται (amplifiers). Οι επιθέσεις Fraggle είναι παρόμοιες με τις επιθέσεις Smurf, εκτός από το γεγονός ότι χρησιμοποιούν πακέτα UDP echo αντί των πακέτων ICMP echo. Οι επιθέσεις Fraggle δημιουργούν ακόμα μεγαλύτερη κακόβουλη κίνηση και μπορούν να έχουν ακόμα πιο καταστροφικές επιπτώσεις από μια απλή επίθεση Smurf. Οι επιθέσεις εκμετάλλευσης πρωτοκόλλων εκμεταλλεύονται ένα συγκεκριμένο χαρακτηριστικό ή κάποιο σφάλμα υλοποίησης ενός εγκατεστημένου στο θύμα πρωτοκόλλου, με σκοπό να καταναλώσουν υπερβολικά μεγάλο μέρος των πόρων του συστήματος του. Ένα αντιπροσωπευτικό παράδειγμα των επιθέσεων εκμετάλλευσης πρωτοκόλλων είναι οι επιθέσεις TCP SYN. 16

23 Οι επιθέσεις TCP SYN εκμεταλλεύονται την εγγενή αδυναμία του handshaking τριών κατευθύνσεων που απαιτείται στην εγκαθίδρυση μιας σύνδεσης TCP. Ένας εξυπηρετητής, κατά τη λήψη μιας αίτησης SYN (synchronize/start) από έναν πελάτη, αποστέλλει πίσω ένα πακέτο SYN/ACK (synchronize/acknowledge) και περιμένει τον πελάτη να στείλει ένα τελικό πακέτο ACK (acknowledge). Ένας επιτιθέμενος ξεκινά μια επίθεση SYN flooding στέλνοντας έναν μεγάλο αριθμό πακέτων SYN χωρίς να βεβαιώνει ποτέ καμία από τις απαντήσεις, αφήνοντας με τον τρόπο αυτό τον εξυπηρετητή να αναμένει για τα ανύπαρκτα ACK πακέτα [37]. Λαμβάνοντας υπόψη ότι ο εξυπηρετητής έχει περιορισμένο buffer queue για νέες συνδέσεις, η επίθεση SYN Flood έχει ως αποτέλεσμα ο εξυπηρετητής να είναι ανίκανος να επεξεργαστεί άλλες εισερχόμενες συνδέσεις καθώς η ουρά αναμονής υπερφορτώνεται [38]. Άλλα παραδείγματα επιθέσεων εκμετάλλευσης πρωτοκόλλων είναι οι επιθέσεις PUSH+ACK, οι επιθέσεις CGI request και οι επιθέσεις πιστοποίησης εξυπηρετητή. Οι επιθέσεις παραποιημένων πακέτων [32] βασίζονται σε IP πακέτα, τα οποία έχουν δημιουργηθεί με σφάλματα, και αποστέλλονται από τους agents στο θύμα με σκοπό να προκαλέσουν κατάρρευση του συστήματος του. Οι επιθέσεις παραποιημένων πακέτων μπορούν να χωριστούν σε δυο τύπους επιθέσεων: τις επιθέσεις IP address και τις επιθέσεις επιλογής IP πακέτων. Σε μια επίθεση IP address, το πακέτο περιέχει τις ίδιες διευθύνσεις IP πηγής και προορισμού. Αυτό έχει ως αποτέλεσμα τη σύγχυση του λειτουργικού συστήματος του θύματος και τελικά την κατάρρευση του συστήματος του θύματος. Σε μια επίθεση επιλογής IP πακέτων, σε ένα παραποιημένο πακέτο μπορεί να καταχωρούνται τυχαία τιμές σε επιλεγμένα πεδία του πακέτου IP και όλα τα bits που αφορούν το QoS να τίθενται στο δυαδικό 1. Αυτό έχει ως αποτέλεσμα τη απαίτηση επιπλέον χρόνου επεξεργασίας από το θύμα προκειμένου να αναλυθεί η κίνηση. Αν αυτή η επίθεση συνδυαστεί με τη χρήση πολλαπλών agents, μπορεί να οδηγήσει στην κατάρρευση του συστήματος του θύματος Ταξινόμηση με βάση τη δυναμική του ρυθμού της επίθεσης Με βάση τη δυναμική του ρυθμού της επίθεσης οι επιθέσεις DDoS μπορούν να χωριστούν σε επιθέσεις με συνεχή ρυθμό και σε επιθέσεις με μεταβαλλόμενο ρυθμό. Οι επιθέσεις με συνεχή ρυθμό αποτελούν τις επιθέσεις που μετά την εκδήλωση τους, πραγματοποιούνται με πλήρη ισχύ και χωρίς διακοπή ή μείωση της ισχύος τους. Το αποτέλεσμα μιας τέτοιας επίθεσης είναι πολύ γρήγορο. Οι επιθέσεις με μεταβαλλόμενο ρυθμό όπως υποδεικνύει το όνομά τους, μεταβάλλουν το ρυθμό της επίθεσης και για τον λόγο αυτό αποφεύγεται ο εντοπισμός τους και η άμεση ανταπόκριση. Με βάση το μηχανισμό μεταβολής 17

24 του ρυθμού αυτές διαφοροποιούνται σε επιθέσεις με αυξανόμενο ρυθμό και επιθέσεις με κυμαινόμενο ρυθμό. Οι επιθέσεις με αυξανόμενο ρυθμό σταδιακά οδηγούν στην εξάντληση των πόρων του θύματος, και για το λόγο αυτό καθυστερείται η ανίχνευση της επίθεσης. Οι επιθέσεις με κυμαινόμενο ρυθμό έχουν ρυθμό ο οποίος ορίζεται από τη συμπεριφορά και ανταπόκριση του θύματος στην επίθεση, και κατά περίπτωση μειώνεται ο ρυθμός τους για να αποφευχθεί ο εντοπισμός τους Ταξινόμηση με βάση το αποτέλεσμα της επίθεσης Με βάση το αποτέλεσμα μιας επίθεσης DDoS μπορούμε να διαχωρίσουμε τις επιθέσεις DDoS σε διασπαστικές επιθέσεις και επιθέσεις υποβάθμισης. Οι διασπαστικές επιθέσεις οδηγούν σε ολοκληρωτική άρνηση εξυπηρέτησης του συστήματος του θύματος στους πελάτες του. Ο στόχος των επιθέσεων υποβάθμισης είναι να καταναλώνουν ένα μέρος των πόρων του συστήματος του θύματος. Αυτό έχει σαν αποτέλεσμα την καθυστέρηση της ανίχνευσης της επίθεσης και ταυτόχρονα μια μεγάλη καταστροφή στο σύστημα του θύματος Προβλήματα άμυνας σε επιθέσεις DDoS και ταξινόμηση Οι επιθέσεις DDoS είναι ένα πρόβλημα δύσκολο να επιλυθεί. Καταρχήν δεν υπάρχουν κοινά χαρακτηριστικά των επιθέσεων DDoS που να μπορούν να χρησιμοποιηθούν για την αναγνώρισή τους. Επιπλέον, η κατανεμημένη φύση των επιθέσεων DDoS δυσκολεύει την καταπολέμηση και την ανίχνευσή τους. Άλλωστε τα αυτοματοποιημένα εργαλεία που πραγματοποιούν την επίθεση DDoS, μπορούν εύκολα να βρεθούν στο Διαδίκτυο. Οι επιτιθέμενοι μπορούν επίσης να χρησιμοποιήσουν παραπλανητικές διευθύνσεις IP για να αποκρύψουν την πραγματική τους ταυτότητα, και αυτό κάνει την ιχνηλάτηση των επιθέσεων DDoS ακόμα πιο δύσκολη. Τέλος, δεν υπάρχει επαρκές επίπεδο ασφάλειας σε όλα τα συστήματα που είναι συνδεδεμένα στο Διαδίκτυο, καθώς υπάρχουν διατηρούμενα κενά ασφαλείας στους εξυπηρετητές του Διαδικτύου. Οι μηχανισμοί άμυνας στις DDoS επιθέσεις μπορούν να κατηγοριοποιηθούν χρησιμοποιώντας δυο διαφορετικά κριτήρια. Η πρώτη κατηγοριοποίηση ταξινομεί τους αμυντικούς μηχανισμούς των DDoS επιθέσεων σύμφωνα με τη δράση που επιτελούν. Έτσι προκύπτουν οι ακόλουθες τέσσερις κατηγορίες: Πρόληψη επίθεσης Αναγνώριση επίθεσης Ανεκτικότητα και άμβλυνση επίθεσης, και 18

25 Απόκριση στην επίθεση Η δεύτερη κατηγοριοποίηση διαχωρίζει τις επιθέσεις DDoS ανάλογα με τον τόπο εκδήλωσης, καταλήγοντας στις τρεις κατηγορίες αμυντικών μηχανισμών που ακολουθούν: Δίκτυο του θύματος Ενδιάμεσο Δίκτυο Δίκτυο πηγής Σχήμα 2.4. Ταξινόμηση των μηχανισμών άμυνας DDoS Η κατηγοριοποίηση αυτή των αμυντικών μηχανισμών στις επιθέσεις DDoS απεικονίζεται στο Σχήμα 2.4. Στη συνέχεια αναλύονται εκτενώς οι τεχνικές που χρησιμοποιούνται σε κάθε μια από τις κατηγορίες της πρώτης κατηγοριοποίησης και 19