ΠΑΝΕΠΙΣΤΗΜΙΟ ΠΑΤΡΩΝ. Αναγνώριση Επιθέσεων Άρνησης Εξυπηρέτησης για την υπηρεσία του Παγκόσµιου Ιστού (World Wide Web) ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ.

Transcript

1 ΠΑΝΕΠΙΣΤΗΜΙΟ ΠΑΤΡΩΝ ΠΟΛΥΤΕΧΝΙΚΗ ΣΧΟΛΗ ΤΜΗΜΑ ΗΛΕΚΤΡΟΛΟΓΩΝ ΜΗΧΑΝΙΚΩΝ ΚΑΙ ΤΕΧΝΟΛΟΓΙΑΣ ΥΠΟΛΟΓΙΣΤΩΝ Αναγνώριση Επιθέσεων Άρνησης Εξυπηρέτησης για την υπηρεσία του Παγκόσµιου Ιστού (World Wide Web) ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ τoυ ΚΑΚΚΟΥ ΒΑΣΙΛΕΙΟΥ του ΙΩΑΝΝΗ ΑΜ: 4540 ΦΟΙΤΗΤΗΣ ΤΜΗΜΑΤΟΣ ΗΛΕΚΤΡΟΛΟΓΩΝ ΜΗΧΑΝΙΚΩΝ ΚΑΙ ΤΕΧΝΟΛΟΓΙΑΣ ΥΠΟΛΟΓΙΣΤΩΝ ΕΠΙΒΛΕΠΩΝ ΚΑΘΗΓΗΤΗΣ: Κ. ΕΡΜΑΤΑΣ ΕΥΑΓΓΕΛΟΣ ΑΡΙΘΜΟΣ ΙΠΛΩΜΑΤΙΚΗΣ ΕΡΓΑΣΙΑΣ: /2008 ΠΑΤΡΑ, ΟΚΤΩΒΡΙΟΣ 2008

2 ΠΙΣΤΟΠΟΙΗΣΗ Πιστοποιείται ότι η διπλωµατική εργασία µε θέµα: Αναγνώριση Επιθέσεων Άρνησης Εξυπηρέτησης για την υπηρεσία του Παγκόσµιου Ιστού (World Wide Web) του φοιτητή του Τµήµατος Ηλεκτρολόγων Μηχανικών και Τεχνολογίας Υπολογιστών: Κάκκου Βασίλειου του Ιωάννη (Α.Μ ) παρουσιάστηκε δηµόσια και εξετάσθηκε στο Τµήµα Ηλεκτρολόγων Μηχανικών και Τεχνολογίας Υπολογιστών στις από την εξεταστική επιτροπή: Επιβλέπων: κ. ερµατάς Ευάγγελος Συνεξεταστής: κ. Λογοθέτης Μιχαήλ Ο Επιβλέπων Καθηγητής Ο ιευθυντής του Τοµέα Καθηγητής Ε. ΕΡΜΑΤΑΣ Κ.ΓΚΟΥΤΗΣ 1

3 2

4 Αριθµός ιπλωµατικής εργασίας: Τίτλος: Αναγνώριση Επιθέσεων Άρνησης Εξυπηρέτησης για την υπηρεσία του Παγκόσµιου Ιστού (World Wide Web) Φοιτητής: Κάκκος Βασίλειος Επιβλέπων: ερµατάς Ευάγγελος Περίληψη Τα τελευταία χρόνια, ιδιαίτερα µετά το 2000, έχει παρατηρηθεί µια αξιοσηµείωτη αύξηση στις διαδικτυακές επιθέσεις εισβολής και στις DDoS επιθέσεις, µε ιδιαίτερα σηµαντικές οικονοµικές επιπτώσεις. Στην παρούσα διπλωµατική αναλύουµε εκτενώς το πρόβληµα των DoS και DDoS επιθέσεων και µελετάµε πιθανές µεθόδους αντιµετώπισης του. Ιδιαίτερα ασχολούµαστε µε µια πρωτοποριακή µέθοδο ανίχνευσης DDoS επιθέσεων η οποία χρησιµοποιεί παραπλανητικούς υπερσυνδέσµους για να εντοπίζει πιθανά προγράµµατα-χρήστες. Επίσης αναλύουµε τα πειραµατικά αποτελέσµατα που προέκυψαν από προσοµοιώσεις επιθέσεων µε χρήση αυτής της µεθόδου. Abstract In recent years, especially after the year 2000, there has been observed a sudden increase of Network-based intrusion and DDoS attacks, causing very significant financial losses. The present thesis analyses thoroughly the DoS and DDoS attack problem and studies possible means of countering such attacks. Especially an innovative method is proposed, that uses decoy hyperlinks in order to trace possible attackers. Also the experimental results that derived from the use of this method are analysed. 3

5 ΠΕΡΙΕΧΟΜΕΝΑ Πρόλογος...5 Κεφάλαιο 1 DoS και DDOS επιθέσεις...6 Εισαγωγή Χαρακτηρισµός µιας DoS επίθεσης Κατηγοριοποίηση των DoS επιθέσεων Καθορισµός των επιθέσεων DDoS Στρατηγική µιας επίθεσης DDoS ταξινόµηση Ταξινόµηση µε βάση το βαθµό αυτοµατοποίησης Ταξινόµηση µε βάση την εκµεταλλευόµενη αδυναµία Ταξινόµηση µε βάση τη δυναµική του ρυθµού της επίθεσης Ταξινόµηση µε βάση τον αντίκτυπο Προβλήµατα αντιµετώπισης DDoS και ταξινόµηση τους Καταχώρηση µε βάση τη δραστηριότητα Ταξινόµηση µε βάση τη θέση τοποθέτησης...25 Κεφάλαιο 2 WEB-DoS Εισαγωγή WEB-DoS Ανίχνευση WEB-DOS µε χρήση υπερσυνδέσµων παγίδων Κατασκευή των παραπλανητικών υπερσυνδέσµων Επιλογή των παραπλανητικών ιστοσελίδων Προτεινόµενος αλγόριθµος...36 Κεφάλαιο ιαδικασία εισαγωγής υπερσυνδέσµων-παγίδων Η εφαρµογή HTTP-NAVIGATOR Κεφάλαιο 4 Πειραµατική διαδικασία και αποτελέσµατα Πειραµατική διαδικασία Πειραµατική διαδικασία στον library.panteion.gr Πειραµατική διαδικασία στο library.panteion.gr/accessible...64 Κεφάλαιο 5 Συµπεράσµατα Σύγκριση των αποτελεσµάτων Μετρήσεις στο library.panteion.gr Μετρήσεις στο library.panteion.gr/accessible Σύγκριση των 2 δοµών Γενικές παρατηρήσεις...80 ΒΙΒΛΙΟΓΡΑΦΙΑ...83 ΠΑΡΑΡΤΗΜΑ

6 Πρόλογος Η διπλωµατική αυτή έχει ως στόχο την µελέτη των DoS και κυρίως των DDoS διαδικτυακών επιθέσεων καθώς και την παρουσίαση των πειραµατικών αποτελεσµάτων που προκύπτουν από τη χρήση µιας νέας µεθόδου για την αναγνώριση τους. Στη µέθοδο αυτή η αναγνώριση της επίθεσης γίνεται µε την εισαγωγή υπερσυνδέσµων παγίδων οι οποίοι ενώ είναι διαφανείς σε κανονικούς χρήστες είναι ευπρόσιτοι σε κακόβουλη κίνηση. Στο πρώτο µέρος της εργασίας αναφερόµαστε γενικά στα χαρακτηριστικά των DoS και DDoS επιθέσεων και στον τρόπο λειτουργίας τους. Στη συνέχεια τις κατηγοριοποιούµε και αναφερόµαστε στις γενικές αρχές αντιµετώπισης τους. Στο δεύτερο µέρος ασχολούµαστε ιδιαίτερα µε τις WEB DoS επιθέσεις. Αναφερόµαστε γενικά στα χαρακτηριστικά τους και σε άλλες προτεινόµενες µεθόδους αντιµετώπισής τους. Στο τρίτο µέρος αναλύουµε τη µέθοδο της εισαγωγής υπερσυνδέσµων παγίδων. Περιγράφονται, επίσης, δύο σηµαντικοί παράγοντες του συστήµατος αναγνώρισης: ο τύπος του υπερσυνδέσµου παγίδα και η συνάρτηση επιλογής της θέσης των υπερσυνδέσµων. Στη συνέχεια στο επόµενο κεφάλαιο επικεντρωνόµαστε στην πειραµατική διαδικασία. Αρχικά συζητάµε τους στόχους και τα ερωτήµατα στα οποία θέλουµε να δώσουµε απαντήσεις. Μετά αναφερόµαστε στους ιστοτόπους που χρησιµοποιήθηκαν για τις προσοµοιώσεις καθώς και τους λόγους που οδήγησαν σε αυτή την επιλογή. Στην συνέχεια παρουσιάζουµε τα αποτελέσµατα από τις µετρήσεις και τα σχεδιαγράµµατα που προκύπτουν από αυτές. Στο τελευταίο κεφάλαιο πραγµατοποιούµε συγκρίσεις για τις διάφορες µετρήσεις και αναλύουµε τα συµπεράσµατα που προκύπτουν από αυτές. 5

7 Κεφάλαιο 1 DoS και DDOS επιθέσεις Εισαγωγή Οι DoS επιθέσεις αποτελούν µια από τις σηµαντικότερες απειλές και µεταξύ των δυσκολότερων προβληµάτων ασφάλειας στο σηµερινό ιαδίκτυο. Ιδιαίτερου ενδιαφέροντος είναι οι DDOS επιθέσεις (DDoS), των οποίων οι επιπτώσεις µπορούν να είναι ιδιαίτερα σηµαντικές. Με ελάχιστη ή καµία προειδοποίηση, µια επίθεση DDoS µπορεί εύκολα να εξαντλήσει τους υπολογιστικούς και επικοινωνιακούς πόρους του θύµατός της µέσα σε ένα µικρό χρονικό διάστηµα. Λόγω της σοβαρότητας του προβλήµατος πολλοί µηχανισµοί αντιµετώπισης έχουν προταθεί για την καταπολέµησή τους. Η κύρια λειτουργία µιας DoS επίθεσης είναι η φθορά των υπηρεσιών του διαδικτύου. Η DoS επίθεση προσπαθεί να περιορίσει την πρόσβαση σε ένα υπολογιστή ή µια υπηρεσία αντί να υπονοµεύσει την ίδια την υπηρεσία. Στόχος της είναι να κάνει ένα δίκτυο ανίκανο να παράσχει την υπηρεσία του µε φυσιολογικό τρόπο, µε το να επηρεάζει είτε το εύρος ζώνης του δικτύου είτε τη συνεκτικότητα του. Για να το επιτύχει αυτό, αποστέλλει σε ένα θύµα µια ροή πακέτων µε ρυθµούς πληµµύρας που καταναλώνει τη δικτυακή ή την επεξεργαστική δυνατότητα του θύµατος µε αποτέλεσµα να µην είναι δυνατή η πρόσβαση σε αυτό από τους κανονικούς πελάτες του. Στο όχι τόσο µακρινό παρελθόν, έχουν υπάρξει κάποιες µεγάλης κλίµακας επιθέσεις που στόχευαν χώρους διαδικτύου µεγάλης ζήτησης και που προκάλεσαν σε πολλές περιπτώσεις ζηµιές εκατοµµυρίων ευρώ. Μια DDoS επίθεση, είναι µια σχετικά απλή, όµως πολύ ισχυρή τεχνική επίθεσης µε στόχο την δέσµευση των πόρων του ιαδικτύου. Οι DDoS επιθέσεις αποτελούν µια πολύπλοκη διάσταση στο πρόβληµα DoS και µετατρέπουν το πρόβληµα της πρόληψης και του µετριασµού τέτοιων επιθέσεων δυσκολότερο και τον αντίκτυπό του αναλογικά µεγαλύτερο. Οι DDoS εκµεταλλεύονται την έµφυτη αδυναµία της αρχιτεκτονικής του διαδικτύου, δηλαδή το ανοικτό πρότυπο πρόσβασης των πόρων του, το οποίο 6

8 κατά τραγική ειρωνεία, συµβαίνει επίσης να είναι και το µεγαλύτερο πλεονέκτηµά του. Οι DDoS επιθέσεις αποτελούνται από ροές πακέτων από ανόµοιες πηγές. Αυτές χρησιµοποιούν την ισχύ ενός µεγάλου αριθµού συντονισµένων διαδικτυακών hosts για να καταναλώσουν κάποιο κρίσιµο πόρο στο θύµα τους και έτσι αυτό δεν µπορεί να εξυπηρετήσει τους νόµιµους πελάτες του. Η κίνηση συνήθως είναι τόσο συγκεντρωτική ώστε να είναι δύσκολο να διακρίνει κανείς τα νόµιµα πακέτα από τα πακέτα της επίθεσης. Στη χειρότερη περίπτωση, ο όγκος της κίνησης που οφείλεται στην επίθεση µπορεί να είναι µεγαλύτερος από τη δυνατότητα διαχείρισης του συστήµατος του θύµατος. Εκτός αν ληφθούν µέτρα, ένα θύµα DDoS µπορεί να αντιµετωπίσει από τερµατισµό λειτουργίας του συστήµατος και καταστροφή αρχείων έως µερική ή συνολική απώλεια υπηρεσιών. Το µεγάλο πλεονέκτηµα των DDοS επιθέσεων είναι ότι δεν υπάρχει κανένα προφανές χαρακτηριστικό DDoS ροής που θα µπορούσε να είναι άµεσα και εξολοκλήρου χρησιµοποιήσιµο για την ανίχνευση και το φιλτράρισµά τους. Οι επιθέσεις πετυχαίνουν το επιθυµητό τους αποτέλεσµά χάρις την καταιγιστική ποσότητα πακέτων επίθεσης, των οποίων το είδος µπορεί να ποικίλει έτσι ώστε να αποφευχθεί ο χαρακτηρισµός και η εξακρίβωση της προέλευσης της. Εξαιρετικά περίπλοκα, φιλικά προς το χρήστη και ισχυρά πακέτα εργαλείων DDoS είναι διαθέσιµα σε πιθανούς χρήστες που αυξάνουν τον κίνδυνο αντιµετώπισης µιας DoS ή DDoS επίθεση. Τα DDoS προγράµµατα επίθεσης έχουν πολύ απλές δοµές λογικής και απαιτούν µικρά µεγέθη µνήµης πράγµα που κάνει σχετικά εύκολη την εφαρµογή όπως και το κρύψιµο τους. Οι επιτιθέµενοι συνεχώς τροποποιούν τα εργαλεία τους για να παρακάµψουν τα συστήµατα ασφάλειας που αναπτύσσονται από τους χειριστές συστηµάτων και τους ερευνητές, οι οποίοι είναι σε συνεχή επιφυλακή για να τροποποιήσουν την προσέγγισή τους για το χειρισµό νέων επιθέσεων. Ο τοµέας DDoS εξελίσσεται γρήγορα, µε συνέπεια να γίνεται όλο και πιο δύσκολο να έχουµε µια σφαιρική άποψη γύρω από το πρόβληµα. Αν και δεν υπάρχει κάποια συγκεκριµένη µέθοδος αντιµετώπισης όλων των DDoS 7

9 επιθέσεων, υπάρχουν διάφορα µέτρα αντιµετώπισης που επικεντρώνονται κυρίως είτε στο να καθιστούν την πραγµατοποίηση της επίθεσης δυσκολότερη είτε στο να ανιχνεύουν τον υπεύθυνο επιτιθέµενο. 1.1 Χαρακτηρισµός µιας DoS επίθεσης Μια DoS επίθεση µπορεί να περιγραφεί ως µια επίθεση που σχεδιάζεται για να καταστήσει έναν υπολογιστή ή ένα δίκτυο ανίκανο παροχής των κανονικών του υπηρεσιών. Μια επίθεση DoS θεωρείται ότι πραγµατοποιείται µόνο όταν η πρόσβαση σε έναν υπολογιστή ή σε ένα πόρο δικτύου εµποδίζεται σκόπιµα ή υποβαθµίζεται ως αποτέλεσµα κακόβουλων ενεργειών που πραγµατοποιούνται από έναν άλλο χρήστη. Αυτές οι επιθέσεις δεν βλάπτουν απαραιτήτως τα δεδοµένα άµεσα ή µόνιµα, αλλά σκόπιµα υποβιβάζουν τη διαθεσιµότητα των πόρων. Οι πιο κοινές επιθέσεις DoS στοχεύουν στο εύρος ζώνης ή τη συνεκτικότητα των υπολογιστών δικτύου. Οι επιθέσεις στο εύρος ζώνης πληµµυρίζουν το δίκτυο µε τόσο µεγάλη ποσότητα κίνησης που όλοι οι διαθέσιµοι πόροι του δικτύου καταναλώνονται µε αποτέλεσµα αιτήµατα νόµιµων χρηστών να µην µπορούν να ικανοποιηθούν κατευθείαν, µε συνέπεια υποβιβασµό της παραγωγικότητας. Οι επιθέσεις που στοχεύουν τη συνεκτικότητα πληµµυρίζουν έναν υπολογιστή µε τόσο µεγάλη ποσότητα αιτηµάτων σύνδεσης, ώστε όλοι οι διαθέσιµοι πόροι του λειτουργικό συστήµατος να καταναλώνονται, και ο υπολογιστής να µην µπορεί πλέον να επεξεργαστεί τα αιτήµατα των νόµιµων χρηστών. 1.2 Κατηγοριοποίηση των DoS επιθέσεων. Οι DoS οι επιθέσεις µπορούν να ταξινοµηθούν σε πέντε κατηγορίες µε βάση το επίπεδο πρωτοκόλλου στο οποίο πραγµατοποιείται η επίθεση. 8

10 DoS επιθέσεις που πραγµατοποιούνται στο επίπεδο συσκευών δικτύου και περιλαµβάνουν επιθέσεις που να µπορούν να προκληθούν είτε µε την εκµετάλλευση προβληµάτων ή αδυναµιών στο λογισµικό, ή µε την προσπάθεια να εξαντληθούν οι πόροι υλικού των συσκευών του δικτύου. Ένα παράδειγµα εκµετάλλευσης µιας συσκευής δικτύου είναι αυτή που προκαλείται από ένα buffer overrun error σε µια ρουτίνα ελέγχου του κωδικού πρόσβασης. Χρησιµοποιώντας αυτό το πρόβληµα ορισµένοι 7xx δροµολογητές Cisco θα µπορούσαν να τερµατίσουν τη λειτουργία τους µε το να συνδεθούν οι επιτιθέµενοι µε τους δροµολογητές µέσω Telnet και να χρησιµοποιήσουν εξαιρετικά µεγάλους προσωπικούς κωδικούς. Στο επίπεδο OS οι DoS επιθέσεις εκµεταλλεύονται τον τρόπο µε τον οποίο τα λειτουργικά συστήµατα εφαρµόζουν τα πρωτόκολλα. Ένα παράδειγµα αυτής της κατηγορίας επιθέσεων DoS είναι το Ping of Death. Σε αυτήν την επίθεση, ICMP αιτήµατα ηχούς που έχουν συνολικά µεγέθη δεδοµένων µεγαλύτερα από το µέγιστο τυποποιηµένο µέγεθος IP στέλνονται στο θύµα. Αυτή η επίθεση έχει συχνά σαν αποτέλεσµα τον τερµατισµό λειτουργίας του υπολογιστή του θύµατος. Οι βασισµένες στο επίπεδο εφαρµογής επιθέσεις προσπαθούν να θέσουν έναν υπολογιστή ή µια υπηρεσία εκτός λειτουργίας εκµεταλλευόµενες συγκεκριµένα προβλήµατα στις εφαρµογές δικτύων οι οποίες τρέχουν στον host στόχο ή µε τη χρησιµοποίηση τέτοιων εφαρµογών έτσι ώστε να εξαντληθούν οι πόροι του θύµατός τους. Είναι επίσης δυνατό ο επιτιθέµενος να αναζητεί σηµεία υψηλής αλγοριθµικής πολυπλοκότητας και να τα εκµεταλλευθεί προκειµένου να καταναλώσει όλους τους διαθέσιµους πόρους σε έναν αποµακρυσµένο Host. Ένα παράδειγµα τέτοιας επίθεσης είναι η finger bomb. Ένας κακόβουλος χρήστης θα µπορούσε να αναγκάσει τη ρουτίνα να είναι κατ' επανάληψη εκτελέσιµη στο hostname, έτσι ώστε να εξαντλήσει τους πόρους του Host. Στις επιθέσεις πληµµύρας δεδοµένων, ένας επιτιθέµενος προσπαθεί να εκµεταλλευτεί το διαθέσιµο εύρος ζώνης σε ένα δίκτυο, host ή συσκευή στο 9

11 µέγιστο βαθµό του, µε την αποστολή τεραστίων ποσοτήτων δεδοµένων και έτσι να το αναγκάζει να επεξεργάζεται εξαιρετικά µεγάλα ποσά δεδοµένων. Ένας επιτιθέµενος θα µπορούσε να προσπαθήσει να καταναλώσει το διαθέσιµο εύρος ζώνης σε ένα δίκτυο απλά µε το να βοµβαρδίσει το θύµα µε κανονικά, αλλά χωρίς νόηµα πακέτα µε ψευδείς διευθύνσεις προέλευσης. Ένα παράδειγµα είναι η πληµµύρα από ping. Οι DoS επιθέσεις που βασίζονται στα χαρακτηριστικά γνωρίσµατα Πρωτοκόλλου εκµεταλλεύονται ορισµένα τυποποιηµένα χαρακτηριστικά γνωρίσµατα ενός πρωτοκόλλου. Παραδείγµατος χάριν διάφορες επιθέσεις εκµεταλλεύονται το γεγονός ότι οι IP διευθύνσεις προέλευσης µπορούν να αλλοιωθούν. ιάφοροι τύποι DoS επιθέσεων έχουν εστιάσει στο DNS, και πολλές από αυτές περιλαµβάνουν επίθεση στη DNS κρυφή µνήµη στους κεντρικούς υπολογιστές. 1.3 Καθορισµός των επιθέσεων DDoS Μια επίθεση DDoS χρησιµοποιεί πολλούς υπολογιστές για να προωθήσει µια συντονισµένη επίθεση DoS ενάντια σε έναν ή περισσότερους στόχους. Χρησιµοποιώντας την τεχνολογία πελατών/εξυπηρετητών, ο δράστης είναι σε θέση να πολλαπλασιάσει την αποτελεσµατικότητα µιας DoS σηµαντικά µε την εκµετάλλευση των πόρων πολλών ακούσιων υπολογιστών συνεργών, οι οποίοι χρησιµεύουν σαν πλατφόρµες για την επίτευξη της επίθεσης. Η επίθεση DDoS είναι η πιο εξελιγµένη µορφή DoS επίθεσης. Ξεχωρίζει από τις άλλες επιθέσεις λόγω της δυνατότητάς της να αναπτύσσει τα όπλα της µε έναν διανεµηµένο τρόπο µέσω του ιαδικτύου και να αθροίζουν αυτά τις δυνάµεις τους για να δηµιουργήσουν µεγάλων διαστάσεων κίνηση. Οι DDoS επιθέσεις δεν προσπαθούν ποτέ να «σπάσουν» το σύστηµα του στόχου, κάνοντας κατά συνέπεια οποιοδήποτε παραδοσιακό µέτρο ασφάλειας ανεπαρκές. Ο κύριος στόχος της DDoS επίθεσης είναι να προκληθεί ζηµιά σε ένα θύµα είτε για προσωπικούς λόγους, είτε για το υλικό κέρδος, είτε για τη δηµοσιότητα. 10

12 Οι DDoS επιθέσεις εκµεταλλεύονται κυρίως την αρχιτεκτονική του ιαδικτύου και αυτό είναι που τις κάνει ακόµα ισχυρότερες. Το ιαδίκτυο σχεδιάστηκε έχοντας υπόψη τη λειτουργικότητα του και όχι την ασφάλεια. Η κατασκευή του αφήνει ανοιχτά διάφορα ζητήµατα ασφάλειας που µπορούν να εκµεταλλευτούν οι επιτιθέµενοι. Πιο αναλυτικά α) Η ασφάλεια του ιαδικτύου είναι ιδιαίτερα αλληλοεξαρτώµενη. Ανεξάρτητα του πόσο ασφαλές µπορεί να είναι το σύστηµα ενός θύµατος, εάν αυτό το σύστηµα θα είναι ή όχι θύµα DDoS εξαρτάται από το υπόλοιπο ιαδίκτυο. β) Οι πόροι του ιαδικτύου είναι περιορισµένοι. Κανένας host του ιαδικτύου δεν έχει απεριόριστους πόρους οι οποίοι να µην µπορούν να καταναλωθούν από έναν ικανοποιητικό αριθµό χρηστών γ) Πολλοί ενάντια σε λίγους. Εάν οι πόροι των επιτιθεµένων είναι περισσότεροι από τους πόρους των θυµάτων η επιτυχία της επίθεσης είναι σχεδόν σίγουρη. δ) Η πληροφόρηση και οι πόροι δεν παρατίθενται. Το µεγαλύτερο µέρος της πληροφόρησης που απαιτείται για την εξασφάλιση µιας υπηρεσίας βρίσκεται στους τερµατικούς hosts. Συγχρόνως προκειµένου να έχουµε υψηλό εύρος ζώνης, σχεδιάζονται στο ενδιάµεσο δίκτυο δροµολογήσεις µε µεγάλο ρυθµό απόδοσης. Έτσι, οι επιτιθέµενοι µπορούν να εκµεταλλευτούν τους άφθονους πόρους ενός δικτύου προκειµένου να πληµµυρίσουν ένα θύµα µε µηνύµατα. Μια DDoS επίθεση αποτελεiται από τέσσερα στοιχεία: Τον πραγµατικό επιτιθέµενο(attacker). Τους χειριστές (handlers) ή τους κύριους, οι οποίοι αποτελούνται από hosts στους οποίους τρέχει ένα ειδικό πρόγραµµα ικανό να ελέγχει πολλαπλούς πράκτορες. 11

13 Τους πράκτορες (agents) ή zombie hosts επίθεσης, οι οποίοι είναι υπονοµευµένοι hosts που τρέχουν ένα ειδικό πρόγραµµα που είναι αρµόδιο για την παραγωγή µιας ροής πακέτων προς το προοριζόµενο θύµα. Εκείνες οι µηχανές είναι συνήθως εξωτερικές στο δίκτυο του θύµατος, για να αποφευχθεί αποτελεσµατική απάντηση από το θύµα, και εξωτερικές στο δίκτυο του επιτιθεµένου, για να αποφύγει την ευθύνη εάν η επίθεση επισηµανθεί. Το θύµα(victim) ή το στόχο host. Παράδειγµα 1.1 Αρχιτεκτονική µιας DDOS επίθεσης 1.4 Στρατηγική µιας επίθεσης Τα ακόλουθα βήµατα πραγµατοποιούνται κατά την προετοιµασία και εκτέλεση µιας επίθεσης DDoS: 1. Επιλογή των πρακτόρων. Ο επιτιθέµενος επιλέγει πράκτορες που θα εκτελέσουν την επίθεση. Αυτοί οι υπολογιστές πρέπει να έχουν κάποιο κενό ασφάλειας το οποίο ο επιτιθέµενος µπορεί να χρησιµοποιήσει για να αποκτήσει πρόσβαση σε αυτούς. Πρέπει επίσης να έχουν άφθονους πόρους που θα τους επιτρέψουν να παράγουν ισχυρές ροές επίθεσης. Στην αρχή 12

14 αυτή η διαδικασία εκτελείτο χειροκίνητα, αλλά σύντοµα αυτοµατοποιήθηκε µε τη χρήση εργαλείων ανίχνευσης. 2. Υπονόµευση. Ο επιτιθέµενος εκµεταλλεύεται τα κενά ασφάλειας και τις αδυναµίες των υπολογιστών των πρακτόρων και εγκαθιστά τον κώδικα επίθεσης. Επιπλέον προσπαθεί να προστατεύσει τον κώδικα από την ανακάλυψη και απενεργοποίηση. Αυτοµεταδιδόµενα εργαλεία όπως τα Ramen Worm και το Code Red σύντοµα αυτοµατοποίησαν αυτό το στάδιο. Οι ιδιοκτήτες και οι χρήστες των συστηµάτων που γίνονται πράκτορες δεν έχουν συνήθως καµία γνώση ότι το σύστηµά τους έχει υπονοµευθεί και ότι θα συµµετάσχουν σε µια επίθεση DDoS. Κατά τη συµµετοχή σε µια επίθεση DDoS, κάθε πρόγραµµα πρακτόρων χρησιµοποιεί µόνο ένα µικρό ποσό από τους πόρους (µνήµη και εύρος ζώνης)των πρακτόρων, έτσι ώστε οι χρήστες των υπολογιστών να αντιλαµβάνονται ελάχιστη αλλαγή στην απόδοση. 3. Επικοινωνία. Ο επιτιθέµενος επικοινωνεί µε ένα αριθµό χειριστών για να προσδιορίσει ποιοι πράκτορες λειτουργούν τη δεδοµένη στιγµή, για πότε να προγραµµατίσουν τις επιθέσεις, ή πότε να αναβαθµίσει τους πράκτορες. Ανάλογα τον τρόπο µε τον οποίο ο επιτιθέµενος διαµορφώνει το δίκτυο για την επίθεση DDoS οι πράκτορες µπορούν να καθοδηγηθούν να επικοινωνήσουν µε έναν ενιαίο χειριστή ή µε πολλούς χειριστές. Η επικοινωνία µεταξύ του επιτιθεµένου και του χειριστή και µεταξύ του χειριστή και των πρακτόρων µπορεί να είναι µέσω των πρωτοκόλλων TCP, UDP, ή ICMP. 4. Επίθεση. Σε αυτό το βήµα ο επιτιθέµενος διατάζει την εκκίνηση της επίθεσης. Το θύµα, η διάρκεια της επίθεσης καθώς επίσης και ειδικά χαρακτηριστικά γνωρίσµατα της επίθεσης όπως τύπος, µήκος, αριθµοί των θυρών κ.λπ..., µπορούν να ρυθµιστούν. Η ποικιλία των ιδιοτήτων των πακέτων επίθεσης µπορεί να είναι πολύ χρήσιµη για τον επιτιθέµενο, προκειµένου να αποφευχθεί η ανίχνευση. Το πολύ γνωστό πολυχρηστικό, on line σύστηµα συνοµιλίας IRC χρησιµοποιήθηκε για την επικοινωνία µεταξύ επιτιθέµενου και οι πράκτορων, 13

15 από τη στιγµή που τα δίκτυα συνοµιλίας IRC επιτρέπουν στους χρήστες τους να δηµιουργήσουν δηµόσια, ιδιωτικά και µυστικά κανάλια. Ένα δίκτυο DDoS βασισµένο στο IRC, έχει παρόµοιο πρότυπο επίθεσης µε αυτό του χειριστήπρακτόρων εκτός από το ότι αντί της χρήσης ενός προγράµµατος χειριστή που εγκαθίσταται σε έναν δίκτυο, ένας IRC server παρακολουθεί τις διευθύνσεις των συνδεδεµένων πρακτόρων και χειριστών και διευκολύνει την επικοινωνία µεταξύ τους. Η ανακάλυψη ενός συµµετέχοντος οδηγεί στην ανακάλυψη του καναλιού επικοινωνίας, αλλά οι ταυτότητες των άλλων συµµετεχόντων προστατεύονται. Το IRC προσφέρει διάφορα άλλα πλεονεκτήµατα για την πραγµατοποίηση µιας επίθεσης DDoS, που παρέχουν τρία σηµαντικά οφέλη: προσφέρει έναν υψηλό βαθµό ανωνυµίας, είναι δύσκολη η ανίχνευση και παρέχει ένα ισχυρό, εγγυηµένο σύστηµα παράδοσης. Επιπλέον, ο επιτιθέµενος δεν χρειάζεται πλέον να διατηρήσει έναν κατάλογο πρακτόρων, αφού µπορεί απλά να συνδεθεί στον IRC server και να δει ένα κατάλογο όλων των διαθέσιµων πρακτόρων. Το λογισµικό πρακτόρων που είναι εγκατεστηµένο στο δίκτυο IRC επικοινωνεί συνήθως µε το κανάλι IRC και ειδοποιεί τον επιτιθέµενο όταν ο πράκτορας είναι συνδεδεµένος. Σε µια βασισµένη στο IRC DDoS επίθεση, οι πράκτορες αναφέρονται συχνά ως Zombie Bots ή Bots.. Υπάρχουν διάφορα γνωστά εργαλεία επίθεσης DDoS. Η αρχιτεκτονική αυτών των εργαλείων είναι πολύ παρόµοια και στην πραγµατικότητα µερικά εργαλεία έχουν κατασκευαστεί κατευθείαν µε δευτερεύουσες τροποποιήσεις άλλων εργαλείων. 1.5 DDoS ταξινόµηση Για να είµαστε σε θέση να καταλάβουµε τις επιθέσεις DDoS είναι απαραίτητο να κάνουµε µια ταξινόµηση. 14

16 1.5.1 Ταξινόµηση µε βάση το βαθµό αυτοµατοποίησης. Με βάση το βαθµό αυτοµατοποίησης της επίθεσης DDoS οι επιθέσεις µπορούν να ταξινοµηθούν σε χειροκίνητες, ηµιαυτόµατες και αυτόµατες. Οι πρώτες επιθέσεις DDoS ήταν χειροκίνητες. Αυτό σηµαίνει ότι η στρατηγική DDoS περιλάµβανε την ανίχνευση των αποµακρυσµένων υπολογιστών για αδυναµίες, διείσδυση σε αυτές και εγκατάσταση του κώδικα της επίθεσης. Όλα αυτά τα βήµατα έγιναν αργότερα αυτοµατοποιηµένα, µε την χρήση των ηµιαυτόµατων και αυτόµατων επιθέσεων DDoS. Στις ηµιαυτόµατες επιθέσεις, η επίθεση DDoS ανήκει στο πρότυπο επίθεσης χειριστών πρακτόρων. Ο επιτιθέµενος ανιχνεύει και υπονοµεύει τους χειριστές και πράκτορες µε τη χρησιµοποίηση αυτοµατοποιηµένων script. O τύπος επίθεσης, η διεύθυνση του θύµατος και η αρχή της επίθεσης διευκρινίζονται από τις µηχανές των χειριστών. Οι ηµιαυτόµατες επιθέσεις µπορούν να διαιρεθούν περαιτέρω σε επιθέσεις µε άµεση επικοινωνία και επιθέσεις µε έµµεση επικοινωνία. Επιθέσεις µε άµεση επικοινωνία συµπεριλαµβάνουν τις επιθέσεις, κατά τη διάρκεια των οποίων ο πράκτορας και ο χειριστής χρειάζεται να ξέρουν ο ένας την ταυτότητα του άλλου προκειµένου να επικοινωνήσουν. Αυτή η προσέγγιση περιλαµβάνει την κωδικοποίηση των διευθύνσεων IP των µηχανών χειριστών. Το κύριο µειονέκτηµα αυτής της προσέγγισης είναι ότι η ανακάλυψη ενός υπονοµευµένου υπολογιστή µπορεί να εκθέσει ολόκληρο το DDoS δίκτυο. Επιθέσεις µε έµµεση επικοινωνία χρησιµοποιούν έµµεσες µεθόδους επικοινωνίας για να επιτευχθεί µεγαλύτερη ικανότητα επιβίωσης της DDoS επίθεσης. Ένα αντιπροσωπευτικό παράδειγµα αυτού του είδους επιθέσεων είναι οι βασισµένες στο IRC επιθέσεις DDoS που συζητήθηκαν νωρίτερα. Στις αυτοµατοποιηµένες επιθέσεις DDoS η επικοινωνία µεταξύ των υπολογιστών του επιτιθεµένου και του πράκτορα αποφεύγεται εντελώς. Στις περισσότερες περιπτώσεις η φάση επίθεσης περιορίζεται σε µια ενιαία εντολή. Όλα τα χαρακτηριστικά γνωρίσµατα της επίθεσης, παραδείγµατος χάριν ο τύπος επίθεσης, η διάρκεια και η διεύθυνση του θύµατος, 15

17 προγραµµατίζονται εκ των πρότερων στον κώδικα της επίθεσης. Με αυτό τον τρόπο, ο επιτιθέµενος έχει ελάχιστη έκθεση και η πιθανότητα εντοπισµού του είναι µικρή Ταξινόµηση µε βάση την εκµεταλλευόµενη αδυναµία. Οι DDoS επιθέσεις σύµφωνα µε την εκµεταλλευοµένη αδυναµία διαιρούνται στις ακόλουθες κατηγορίες: επιθέσεις πληµµυρών, επιθέσεις ενίσχυσης, επιθέσεις εκµετάλλευσης του πρωτοκόλλου και επιθέσεις αλλοιωµένων πακέτων. Σε µια επίθεση πληµµύρας, τα zombies στέλνουν µεγάλη ποσότητα IP κίνησης σε ένα σύστηµα θύµα έτσι ώστε να καταναλώσουν το εύρος ζώνης του. Η επίδραση των ροών πακέτων που στέλνονται από τα zombies στο σύστηµα θύµα ποικίλλει από απλή επιβράδυνση του συστήµατος ή ακόµα και τερµατισµό της λειτουργίας του κατά τον κορεσµό του εύρους ζώνης του δικτύου. Μερικές από τις πιο γνωστές επιθέσεις πληµµύρας είναι οι UDP και οι επιθέσεις πληµµυρών ICMP. Μια επίθεση πληµµύρας UDP είναι δυνατή όταν ένας µεγάλος αριθµός πακέτων UDP στέλνεται σε ένα σύστηµα θύµα. Αυτό έχει κατά συνέπεια τον κορεσµό του δικτύου και τη µείωση του διαθέσιµου εύρους ζώνης για ικανοποίηση των νόµιµων αιτηµάτων υπηρεσιών στο θύµα σύστηµα. Σε µια επίθεση πληµµύρας DDoS UDP, τα πακέτα UDP στέλνονται είτε σε τυχαίες είτε σε διευκρινισµένες θύρες στο σύστηµα του θύµατος. Τυπικά, οι επιθέσεις πληµµυρών UDP είναι σχεδιασµένες να επιτίθενται σε τυχαίες θύρες του θύµατος. Μια επίθεση πληµµυρών UDP είναι πιθανή όταν ένας επιτιθέµενος στέλνει ένα πακέτο UDP σε µια τυχαία θύρα στο σύστηµα θύµα. Όταν το σύστηµα θύµα λαµβάνει ένα πακέτο UDP, καθορίζει ποια εφαρµογή αναµένεται στη θύρα προορισµού. Όταν αντιληφθεί ότι καµία εφαρµογή δεν αναµένεται στη θύρα, θα δηµιουργήσει ένα πακέτο ICMP τύπου «προορισµός απρόσιτος» στη δοσµένη διεύθυνση προέλευσης. Εάν αρκετά πακέτα UDP παραδίδονται στις θύρες του θύµατος, το σύστηµα θα καταρρεύσει. Με τη 16

18 χρήση ενός εργαλείου DDoS η IP διεύθυνση πηγής των πακέτων επίθεσης µπορεί να αλλοιωθεί και µε αυτό τον τρόπο η αληθινή ταυτότητα των zombies δεν αποκαλύπτεται. Οι επιθέσεις πληµµύρας ICMP εκµεταλλεύονται το Πρωτόκολλο µηνυµάτων ελέγχου του διαδικτύου (ICMP), το οποίο επιτρέπει στους χρήστες να στείλουν ένα πακέτο ηχούς σε έναν αποµακρυσµένο host για να ελέγξουν εάν είναι ενεργός. Πιο συγκεκριµένα κατά τη διάρκεια µιας επίθεσης πληµµυρών DDoS ICMP οι πράκτορες στέλνουν τους µεγάλους όγκους πακέτων ICMP_ECHO _ REPLY στο θύµα. Αυτά τα πακέτα ζητούν απάντηση από το θύµα και αυτό έχει σα συνέπεια τον κορεσµό του εύρους ζώνης της σύνδεσης δικτύου του θύµατος. Κατά τη διάρκεια µιας επίθεσης πληµµυρών ICMP η IP διεύθυνση πηγής µπορεί να αλλοιωθεί. Στις επιθέσεις ενίσχυσης ο επιτιθέµενος ή οι πράκτορες εκµεταλλεύονται το χαρακτηριστικό γνώρισµα διευθύνσεων µετάδοσης IP που βρίσκεται στους περισσότερους δροµολογητές για να ενισχύσουν και να ανακλάσουν την επίθεση και να στείλουν µηνύµατα σε µια εκπεµπόµενη διεύθυνση IP. Αυτό οδηγεί την υπηρεσία δροµολογητών που εξυπηρετεί τα πακέτα µέσα στο δίκτυο να τα στείλει σε όλες τις διευθύνσεις IP που ανήκουν στο πλαίσιο της εκπεµπόµενης διεύθυνσης. Με αυτό τον τρόπο η κακόβουλη κυκλοφορία που παράγεται µειώνει το εύρος ζώνης του συστήµατος του θύµατος. Σε αυτόν τον τύπο DDoS επίθεσης, ο επιτιθέµενος µπορεί να στείλει το εκπεµπόµενο µήνυµα άµεσα, ή µε τη χρήση των πρακτόρων προκειµένου να αυξηθεί ο όγκος της επιτιθέµενης κίνησης. Εάν το εκπεµπόµενο µήνυµα στέλνεται άµεσα, ο επιτιθέµενος µπορεί να χρησιµοποιήσει τα συστήµατα του ίδιου του δικτύου µετάδοσης ως πράκτορες χωρίς να χρειαστεί να διεισδύσει σε αυτούς ή να εγκαταστήσει οποιοδήποτε λογισµικό πρακτόρων. Μερικές ιδιαίτερα γνωστές επιθέσεις ενίσχυσης, είναι οι επιθέσεις Smurf και Fraggle. Οι ενδιάµεσοι κόµβοι που χρησιµοποιούνται καθώς η επίθεση προχωράει στις επιθέσεις ενίσχυσης αποκαλούνται ανακλαστήρες. Ένας ανακλαστήρας είναι οποιοσδήποτε IP host που θα επιστρέψει ένα πακέτο εάν του σταλεί ένα πακέτο. Έτσι, οι Web Servers, οι DNS Servers, και οι δροµολογητές είναι ανακλαστήρες, δεδοµένου ότι επιστρέφουν SYN ACKs ή RSTs σαν απάντηση 17

19 σε SYN ή άλλα πακέτα TCP. Ένας επιτιθέµενος στέλνει τα πακέτα που απαιτούν απαντήσεις στους ανακλαστήρες. Τα πακέτα έχουν αλλοιωµένες τις διευθύνσεις προέλευσής τους έτσι ώστε αυτές να αντιστοιχούν στη διεύθυνση κάποιου θύµατος. Οι ανακλαστήρες επιστρέφουν πακέτα απάντησης στο θύµα σύµφωνα µε αυτά που ορίζουν τα πακέτα επίθεσης. Τα πακέτα επίθεσης ουσιαστικά ανακλώνται σαν κανονικά πακέτα προς το θύµα. Τα ανακλώµενα πακέτα µπορούν να πληµµυρίσουν τη σύνδεση του θύµατος εάν ο αριθµός των ανακλαστήρων είναι αρκετά µεγάλος. Τελικά οι ανακλαστήρες αναγνωρίζονται ως οι διευθύνσεις προέλευσης των πακέτων πληµµύρας που παραλαµβάνονται από το θύµα. Ο χειριστής του ανακλαστήρα αφ' ετέρου, δεν µπορεί εύκολα να εντοπίσει τον υπεύθυνο που ενεργοποιεί τον ανακλαστήρα, επειδή η κίνηση που στέλνεται στον ανακλαστήρα δεν έχει τη διεύθυνση προέλευσης του υπεύθυνου, αλλά τη διεύθυνση του θύµατος. Η αρχιτεκτονική επίθεσης των επιθέσεων ανακλαστήρων είναι πολύ παρόµοια µε αυτή που χρησιµοποιείται στις άµεσες επιθέσεις. Εντούτοις, υπάρχουν διάφορες σηµαντικές διαφορές. Μια επίθεση ανακλαστήρων απαιτεί ένα σύνολο προκαθορισµένων ανακλαστήρων. Οι ανακλαστήρες θα µπορούσαν επίσης να είναι διασκορπισµένοι στο διαδίκτυο, επειδή ο επιτιθέµενος δεν χρειάζεται να εγκαταστήσει κάποιο λογισµικό πρακτόρων. Τα ανακλώµενα πακέτα είναι κανονικά πακέτα µε νόµιµες διευθύνσεις προέλευσης και δεν µπορούν να φιλτραριστούν µε βάση µηχανισµούς βασισµένους στη διαδροµή. Οι επιθέσεις Smurf στέλνουν κίνηση αιτήµατος ηχούς ICMP µε αλλοιωµένη διεύθυνση προέλευσης έτσι ώστε αυτή να είναι η διεύθυνση του θύµατος στόχου σε διάφορες διευθύνσεις µετάδοσης IP. Οι περισσότεροι hosts σε ένα δίκτυο IP θα δεχτούν αιτήσεις ηχούς ICMP και θα απαντήσουν στη διεύθυνση προέλευσης, δηλαδή σε αυτήν την περίπτωση, στη διεύθυνση του θύµατος. Σε ένα δίκτυο µετάδοσης, θα µπορούσαν ενδεχοµένως να 18

20 υπάρξουν εκατοντάδες υπολογιστές που να απαντούσαν σε κάθε ICMP πακέτο. Η χρήση ενός δικτύου προκειµένου να αποσπάσει πολλές απαντήσεις σε ένα µοναδικό πακέτο έχει ονοµαστεί ενίσχυση. Σε αυτόν τον τύπο επίθεσης το συµβαλλόµενο µέρος που βλάπτεται δεν είναι µόνο ο στόχος θύµα αλλά και οι ενδιάµεσες συσκευές µετάδοσης (ενισχυτές). Οι επιθέσεις Fraggle είναι παρόµοιες µε τις Smurf εκτός από το ότι χρησιµοποιούν τα πακέτα ηχούς UDP αντί για ICMP. Οι επιθέσεις Fraggle παράγουν επιπλέον περισσότερη επιβλαβή κίνηση και µπορούν να δηµιουργήσουν ακόµη πιο καταστρεπτικά αποτελέσµατα από µια Smurf επίθεση. Οι επιθέσεις που εκµεταλλεύονται το Πρωτόκολλο ουσιαστικά εκµεταλλεύονται ένα συγκεκριµένο χαρακτηριστικό γνώρισµα ή κάποιο σφάλµα εφαρµογής κάποιου πρωτοκόλλου εγκατεστηµένου στο θύµα προκειµένου να καταναλώσουν υπερβολικά ποσά από τους πόρους του. Ένα αντιπροσωπευτικό παράδειγµα επιθέσεων που εκµεταλλεύονται το Πρωτόκολλο είναι οι επιθέσεις TCP SYN. Οι επιθέσεις TCP SYN εκµεταλλεύονται την έµφυτη αδυναµία της τριπλής χειραψίας που χρησιµοποιείται στην οργάνωση της σύνδεσης TCP. Ένας κεντρικός Server, όταν λαµβάνει ένα αρχικό SYN (συγχρονισµός/έναρξη) αίτηµα από έναν πελάτη, στέλνει πίσω ένα SYN/ACK (συγχρονισµός/αναγνώριση) πακέτο και περιµένει τον πελάτη να στείλει το τελικό ACK (αναγνώριση). Ένας επιτιθέµενος αρχίζει µια επίθεση πληµµύρας SYN µε το να στείλει ένα µεγάλο αριθµό πακέτων SYN και στη συνέχεια δεν αναγνωρίζει ποτέ τις απαντήσεις, ουσιαστικά αφήνοντας τον κεντρικό Server να αναµένει ανύπαρκτο ACK. Θεωρώντας ότι ο κεντρικός Server έχει µόνο µια περιορισµένη σειρά αναµονής στον buffer για τις νέες συνδέσεις, η πληµµύρα SYN οδηγεί τον κεντρικό Server στο να καταστεί ανίκανος να επεξεργαστεί άλλες εισερχόµενες συνδέσεις δεδοµένου ότι η σειρά αναµονής υπερφορτώνεται. 19

21 Άλλα παραδείγµατα επιθέσεων που εκµεταλλεύονται το Πρωτόκολλο είναι οι PUSH+ACK επιθέσεις, οι επιθέσεις αίτησης CGI και οι επιθέσεις σε Server επικύρωσης. Οι επιθέσεις µε χρήση παραµορφωµένων πακέτων στηρίζονται σε ανακριβώς διαµορφωµένα πακέτα IP που στέλνονται από πράκτορες στο θύµα προκειµένου να τερµατίσει το σύστηµα του θύµατος τη λειτουργία του. Οι επιθέσεις αυτές µπορούν να διαιρεθούν σε δύο τύπους επιθέσεων: Επιθέσεις διευθύνσεων IP και επιθέσεις επιλογών πακέτων IP. Σε µια επίθεση διεύθυνσης IP, το πακέτο περιέχει την ίδια διεύθυνση IP προέλευσης και προορισµού. Αυτό έχει σα συνέπεια τη σύγχυση του λειτουργικού συστήµατος του θύµατος και σαν τελικό αποτέλεσµα τον τερµατισµό της λειτουργίας του. Σε µια επίθεση επιλογών IP πακέτων, ένα παραµορφωµένο πακέτο µπορεί να έχει τυχαίους προαιρετικούς τοµείς στην IP και να θέση όλα τα bits του QoS σε ένα. Αυτό θα είχε κατά συνέπεια τη χρήση πρόσθετου χρόνου επεξεργασίας από το θύµα προκειµένου να αναλύσει την κίνηση. Εάν αυτή η επίθεση συνδυαστεί µε χρήση πολλαπλών πρακτόρων, θα µπορούσε να οδηγήσει στον τερµατισµό της λειτουργίας του συστήµατος του θύµατος Ταξινόµηση µε βάση τη δυναµική του ρυθµού της επίθεσης Ανάλογα µε τη δυναµική DDoS ρυθµού της επίθεσης οι επιθέσεις µπορούν να διαιρεθούν σε συνεχούς ρυθµού και επιθέσεις µεταβλητού ρυθµού. Οι επιθέσεις συνεχούς ρυθµού περιλαµβάνουν τις επιθέσεις που µετά την εκκίνηση τους εκτελούνται µε µέγιστο ρυθµό και χωρίς σταµάτηµα ή µείωσή τους. Ο αντίκτυπος µιας τέτοιας επίθεσης είναι άµεσος. Οι επιθέσεις µεταβλητού ρυθµού όπως δείχνει το όνοµά τους παρουσιάζουν, ποικιλία ρυθµού επίθεσης και έτσι αποφεύγουν την ανίχνευση και άµεση απάντηση. Με βάση το µηχανισµό µεταβολής του 20

22 ρυθµού τους χωρίζονται σε επιθέσεις µε αυξανόµενο ρυθµό και µε κυµαινόµενο ρυθµό. Οι επιθέσεις αυξανόµενου ρυθµού οδηγούν βαθµιαία στην εξάντληση των πόρων του θύµατος, καθυστερώντας κατά συνέπεια την ανίχνευση της επίθεσης. Οι επιθέσεις κυµαινόµενου ρυθµού έχουν ένα κυµαινόµενο ρυθµό που καθορίζεται από την συµπεριφορά του θύµατος και την απάντηση του στην επίθεση, µε κατά περιόδους µείωση του ρυθµού προκειµένου να αποφευχθεί η ανίχνευση Ταξινόµηση µε βάση τον αντίκτυπο Με βάση τον αντίκτυπο µιας επίθεσης DDoS µπορούµε να τις διαιρέσουµε σε αποδιοργανωτικές επιθέσεις DDoS και σε επιθέσεις υποβάθµισης. Οι αποδιοργανωτικές επιθέσεις αποσκοπούν στην πλήρη άρνηση της υπηρεσίας του θύµατος στους πελάτες του. Ο στόχος των επιθέσεων υποβάθµισης είναι να καταναλώσουν κάποια µερίδα πόρων του θύµατος. Αυτό έχει σαν αποτέλεσµα την καθυστέρηση της ανίχνευσης της επίθεσης και συγχρόνως πολύ υψηλή ζηµία στο θύµα. 1.6 Προβλήµατα αντιµετώπισης DDoS και ταξινόµηση τους Οι DDoS επιθέσεις αποτελούν ένα πρόβληµα µε δύσκολη αντιµετώπιση. Κατ' αρχήν, δεν υπάρχουν κοινά χαρακτηριστικά των ροών πακέτων των DDOS επιθέσεων που να µπορούν να χρησιµοποιηθούν για την ανίχνευσή τους. Επιπλέον, η κατανεµηµένη φύση των επιθέσεων DDoS καθιστά εξαιρετικά δύσκολο το να καταπολεµηθούν ή να ανιχνευτούν οι πηγές τους. Επίσης, τα αυτοµατοποιηµένα εργαλεία που καθιστούν την πραγµατοποίηση µιας 21

23 επίθεσης DDoS πιθανή µπορούν εύκολα να αποκτηθούν από οποιονδήποτε. Οι επιτιθέµενοι µπορούν επίσης να χρησιµοποιήσουν ψεύτικες IP διευθύνσεις προκειµένου να κρύψουν την αληθινή ταυτότητά τους, και αυτό κάνει την ανίχνευση της προέλευσης των επιθέσεων DDoS ακόµα δυσκολότερη. Τέλος, δεν υπάρχει ικανοποιητικό επίπεδο ασφάλειας σε όλους τους υπολογιστές στο ιαδίκτυο, ενώ υπάρχουν κενά ασφάλειας στους Hosts του ιαδικτύου. Μπορούµε να ταξινοµήσουµε τους µηχανισµούς αντιµετώπισης DDoS χρησιµοποιώντας δύο διαφορετικά κριτήρια. Στην πρώτη περίπτωση ταξινοµούµε τους µηχανισµούς αντιµετώπισης DDoS σύµφωνα µε τη δραστηριότητα που πραγµατοποιείται. Κατά συνέπεια έχουµε τις ακόλουθες τέσσερις κατηγορίες: Πρόληψη εισβολής, Ανίχνευση εισβολής, Ανοχή και µετριασµός εισβολής, και Απάντηση στην εισβολή. Η δεύτερη ταξινόµηση διαιρεί τους µηχανισµούς προστασίας σύµφωνα µε την θέση στην οποία ενεργούν. Έτσι έχουµε: ίκτυο θύµατος Ενδιάµεσο δίκτυο, και ίκτυο πηγής. 22

24 1.6.1 Καταχώρηση µε βάση τη δραστηριότητα Πρόληψη εισβολής Η καλύτερη στρατηγική µετριασµού των αποτελεσµάτων µιας οποιασδήποτε επίθεσης είναι να αποτραπεί εντελώς η επίθεση. Σε αυτό το στάδιο εµείς προσπαθούµε να σταµατήσουµε την επίθεση DDoS από το να πραγµατοποιηθεί. Υπάρχουν πολλοί µηχανισµοί αντιµετώπισης DDoS που προσπαθούν να αποτρέψουν τα συστήµατα από το να επιτεθουν: Με τη χρησιµοποίηση συντονισµένων φίλτρων σε παγκόσµιο επίπεδο, τα επιτιθέµενα πακέτα µπορούν να σταµατήσουν, προτού αυξηθούν σε τεράστια ποσά. Ανίχνευση εισβολής Με την εκτέλεση της ανίχνευσης εισβολής, ο Host και ένα δίκτυο µπορούν να προφυλαχθούν από το να αποτελέσουν µια πηγή επίθεσης σε δίκτυα όπως και από το να αποτελέσουν το θύµα µιας επίθεσης DDoS. Τα συστήµατα ανίχνευσης εισβολής ανιχνεύουν τις επιθέσεις DDoS είτε µε τη χρησιµοποίηση µιας βάσης δεδοµένων γνωστών σηµάτων ή µε το να αναγνωρίζουν τις ανωµαλίες στη συµπεριφορά του συστήµατος. Η ανίχνευση ανωµαλιών στηρίζεται στην ανίχνευση συµπεριφορών που είναι µη φυσιολογικές σε σχέση µε συγκεκριµένα πρότυπα. Πολλά συστήµατα και προσεγγίσεις ανίχνευσης ανωµαλιών έχουν αναπτυχθεί για να ανιχνεύσουν τα ασθενή σηµάδια παρουσίας DDoS. Απάντηση στην εισβολή Μόλις προσδιοριστεί µια επίθεση, η άµεση αντίδραση είναι να προσδιοριστεί η πηγή της επίθεσης και να εµποδιστεί η κίνηση που οφείλεται σε αυτή. Το τµήµα που αφορά τον περιορισµό της κίνησης γίνεται συνήθως µε χειροκίνητο 23

25 έλεγχο (π.χ. µε το να ενηµερωθούν οι χειριστές δροµολογητών και να επιτρέψουν τη χρησιµοποίηση καταλόγων ελέγχου πρόσβασης) µιας και αυτοµατοποιηµένο σύστηµα αντιµετώπισης µπορεί να προκαλέσει περαιτέρω υποβάθµιση υπηρεσιών σε περίπτωση απάντησης σε ένα ψεύτικο συναγερµό. Αυτοµατοποιηµένα συστήµατα αντιµετώπισης εισβολής υπάρχουν, αλλά χρησιµοποιούνται µόνο µετά από µια περίοδο αυτοδιδασκαλίας (για αυτούς που υιοθετούν το νευρωνικά δίκτυα έτσι ώστε να εντοπίσουν την κίνηση DDoS) ή εξέτασης (για αυτούς που λειτουργούν µε στατικούς κανόνες). Τεχνικές βελτίωσης της ικανότητας προσδιορισµού της πηγής της επίθεσης, µπορούν να επισπεύσουν τη σύλληψη των υπευθύνων για την επίθεση και να αποτρέψουν άλλες προσπάθειες επίθεσης. Υπάρχουν πολλές προσεγγίσεις που στοχεύουν στην ανίχνευση και τον προσδιορισµό της πραγµατικής πηγής της επίθεσης. Ανοχή και µετριασµός εισβολής Η έρευνα για την ανοχή στην εισβολή αποδέχεται ότι είναι αδύνατο να αποτραπούν ή να σταµατήσουν οι DDoS επιθέσεις εντελώς και εστιάζει στην ελαχιστοποίηση του αντίκτυπου της επίθεσης και στη µεγιστοποίηση της ποιότητας των υπηρεσιών. Η ανοχή στην εισβολή µπορεί να διαιρεθεί σε δύο κατηγορίες: ανοχή σφάλµατος και ποιότητα της υπηρεσίας (QoS). Η ανοχή σφαλµάτων είναι ένας καλά ανεπτυγµένος ερευνητικός τοµέας του οποίου τα σχέδια είναι ενσωµατωµένα στις περισσότερες κρίσιµες υποδοµές και εφαρµόζονται σε τρία επίπεδα: υλικό, λογισµικό και σύστηµα. Η ιδέα της ανοχής σφαλµάτων είναι ότι µε την αντιγραφή των υπηρεσιών του διαδικτύου και τη διαφοροποίηση του σηµείου πρόσβασής σε κάθε αντίγραφο, το δίκτυο µπορεί να συνεχίσει να παρέχει τις υπηρεσίες του όταν κίνηση πληµµύρας καταναλώνει τη µια σύνδεση στο δίκτυο. Με τον όρο ποιότητα υπηρεσίας (QoS) εννοούµε την εξασφάλιση της δυνατότητας ενός δικτύου να παράσχει προβλέψιµα αποτελέσµατα για ορισµένους τύπους εφαρµογών ή κίνησης. Πολλές τεχνικές παροχής QoS σε 24

26 εισβολή και συστήµατα QoS ανεκτικά σε εισβολή έχουν αναπτυχθεί προκειµένου να µετριαστούν οι επιθέσεις DDoS Ταξινόµηση µε βάση τη θέση τοποθέτησης Με βάση τη θέση τοποθέτησης, διαιρούµε τους αµυντικούς µηχανισµούς σε εκείνους που τοποθετούνται στο θύµα, το µεσάζοντα ή στο πηγαίο δίκτυο. Μηχανισµοί που τοποθετούνται στο δίκτυο θύµα. Ιστορικά, τα περισσότερα από τα συστήµατα για την αντιµετώπιση επιθέσεων DDoS έχουν σχεδιαστεί για να λειτουργούν στην πλευρά των θυµάτων, δεδοµένου ότι αυτή η πλευρά υπέστη το µέγιστο αντίκτυπο της επίθεσης. Το θύµα έχει το µεγαλύτερο κίνητρο να τοποθετήσει ένα σύστηµα αντιµετώπισης DDoS, και ίσως να θυσιάσει ένα ποσοστό από την απόδοση και τους πόρους του για αυξανόµενη ασφάλεια. Όλοι αυτοί οι µηχανισµοί αυξάνουν τη δυνατότητα του θύµατος να αναγνωρίσει ότι είναι ο στόχος µιας επίθεσης, και να κερδίσει περισσότερο χρόνο για να αποκριθεί. Μηχανισµοί ενδιάµεσων-δικτύων. Μηχανισµοί αντιµετώπισης DDoS που τοποθετούνται στο µεσάζοντα δίκτυο είναι αποτελεσµατικότεροι από τους µηχανισµούς που τοποθετούνται σε ένα δίκτυο θύµατος επειδή η επεξεργασία της κίνησης της επίθεσης µπορεί να πραγµατοποιηθεί πιο εύκολα και να οδηγήσει σε ανίχνευση των επιτιθέµενων. Εντούτοις αυτοί οι µηχανισµοί αντιµετώπισης παρουσιάζουν διάφορα µειονεκτήµατα που αποτρέπουν την ευρεία χρήση τους όπως το ότι η αύξηση της απόδοσης του ενδιάµεσου δικτύου προκαλεί µεγαλύτερη δυσκολία να ανιχνευτεί η επίθεση αφού το ενδιάµεσο δίκτυο συνήθως δεν αντιµετωπίζει καµία επίδραση από την επίθεση. 25

27 Μηχανισµοί δικτύων πηγής. Μηχανισµοί αντιµετώπισης DDoS που τοποθετούνται στο δίκτυο προέλευσης µπορούν να σταµατήσουν τις ροές επίθεσης προτού να εισέλθουν στον πυρήνα του ιαδίκτυου και προτού να αθροιστούν µε άλλες ροές επίθεσης. Όντας κοντά στις πηγές, µπορούν να διευκολύνουν την ευκολότερη ανίχνευση και έρευνα της επίθεσης. Ο µηχανισµός δικτύου πηγής έχει το ίδιο µειονέκτηµα µε τον µηχανισµό ενδιάµεσου δικτύου. Αντιµετωπίζει µεγάλη δυσκολία εντοπισµού της επίθεσης αφού αυτή έχει µικρή επίδραση στο δίκτυο της πηγής. Αυτό το µειονέκτηµα µπορεί να εξισορροπηθεί από τη δυνατότητά του να θυσιάσει µερικούς από τους πόρους και την απόδοσή του για καλύτερη DDoS ανίχνευση. Εντούτοις, ένα τέτοιο σύστηµα µπορεί να περιορίσει τη νόµιµη κίνηση από ένα δίκτυο στην περίπτωση αναξιόπιστης ανίχνευσης επίθεσης. Ολοκληρώνοντας την περιγραφή του προβλήµατος των DDoS επιθέσεων αξίζει να επισηµάνουµε ότι αυτές δεν είναι µόνο µια σοβαρή απειλή για συνδεµένα µε καλώδιο δίκτυα αλλά και για τις ασύρµατες υποδοµές. 26

28 Κεφάλαιο 2 WEB-DoS 2.1 Εισαγωγή Στην συγκεκριµένη εργασία, θα ασχοληθούµε µε ένα µηχανισµό ανίχνευσης επιθέσεων που προσοµοιώνουν την κίνηση ενός φυσιολογικού χρήστη και κατά τις οποίες δηµιουργούνται τυχαίες αιτήσεις για σελίδες σε ένα ιστότοπο θύµα. Πρόκειται δηλαδή για µηχανισµό προστασίας του οποίου στόχος είναι η ανίχνευση της επίθεσης στον ιστότοπο θύµα. Όπως είναι λογικό, είναι πολύ δύσκολο να γίνει σωστή και έγκαιρη αναγνώριση µιας επίθεσης µε τέτοια χαρακτηριστικά, ενώ ταυτόχρονα θα πρέπει να εξασφαλίζεται και η σωστή αναγνώριση ενός νόµιµου χρήστη. Ο στόχος των επιθέσεων WEB-DoS είναι όχι µόνο να τερµατίσουν τη λειτουργία ενός Server, µε τo να εξαντλήσουν τους πόρους του, αλλά και να χρησιµοποιήσουν τους πόρους του έτσι ώστε λιγότεροι χρήστες να µπορούν να εξυπηρετηθούν. Κατά τη διάρκεια µιας επίθεσης WEB-DoS (επίσης γνωστής ως πληµµύρα HTTP), ένα πρόγραµµα ζητά µια ιστοσελίδα από έναν κεντρικό υπολογιστή χρησιµοποιώντας µια από τις ακόλουθες µεθόδους: Συνεχώς ζητά την ίδια σελίδα. Ζητά µια τυχαία ιστοσελίδα από τον Server. Ζητά διάφορες τυχαίες ιστοσελίδες, που συνδέονται µεταξύ τους, µε τη χρήση ενός σχεδίου πλοήγησης. Κατά συνέπεια, µια WEB-DoS επίθεση όχι µόνο προσπαθεί να τερµατίσει τη λειτουργία του Server αλλά και εν αγνοία του διαχειριστή µειώνει τον αποτελεσµατικό αριθµό χρηστών που µπορούν να εξυπηρετηθούν. Αν και αυτοί οι τύποι επιθέσεων είναι νέοι δεν είναι ασυνήθιστοι και υπάρχει τουλάχιστον ένα εργαλείο, το οποίο αντιµετωπίζει τέτοιες απλές επιθέσεις. Η 27

29 εργασία που παρουσιάζεται σε αυτό το έγγραφο στοχεύει στην ανίχνευση της τρίτης περίπτωσης επίθεσης. Πρόσφατα, διάφοροι ανιχνευτές WEB-DoS παρουσιάστηκαν και µπορούν να ταξινοµηθούν σε δύο κατηγορίες. Ο πρώτος τύπος ανιχνευτών είναι βασισµένος στη χρήση των προτύπων πλοήγησης που αποθηκεύονται µέσα στα logs του Server. Ένα πρότυπο πλοήγησης προέρχεται από τα clickstreams και αντιστοιχείται σε κάποιο αποθηκευµένο πρότυπο. Αυτή η προσέγγιση θα µπορούσε να χρησιµοποιηθεί για να ταξινοµήσει οποιαδήποτε δραστηριότητα σε δύο τύπους χρήστη: µια ανθρώπινη δραστηριότητα και µια βασισµένη σε πρόγραµµα. Οι Mukund και Karypis παρουσίασαν τρεις αλγόριθµους περικοπής που χρησιµοποιούνται στη µείωση των καταστάσεων του Κ βαθµού του µοντέλου Markov. Αυτοί εξετάζουν στη µέθοδό τους σε τρία σύνολα δεδοµένων και δείχνουν ότι η προτεινόµενη µέθοδος ξεπερνά και το 1ου και το Κ-στου βαθµού µοντέλο Markov. Οι Ghosh και Acharyya βρίσκουν το µοντέλο Markov 1ου βαθµού ανεπαρκές να περιγράψει ακριβώς τη συµπεριφορά των χρηστών και οι υψηλότερου βαθµού αλυσίδες του Markov είναι πάρα πολύ σύνθετες και υπολογιστικά επίπονες. Αντ' αυτού, προτείνουν µια µέθοδο δηµιουργίας και χαρτογράφησης των ιστοσελίδων σε «δέντρα» που ο χρήστης διασχίζει. Αυτή η προσέγγιση έχει το πλεονέκτηµα ότι τα πρότυπα πλοήγησης προέρχονται από τις έννοιες των σελίδων παρά από τις ίδιες τις σελίδες. Οι Ypma και Heskes προτείνουν ένα µίγµα κρυµµένων Markov µοντέλων για τη διαµόρφωση της συµπεριφοράς των πλοηγών. Τα θέµατα σελίδων εξάγονται από τις σελίδες µε βάση τα clickstreams των πλοηγών. Συνεπώς, ο τύπος του πλοηγού αναγνωρίζεται µε βάση αυτά τα θέµατα. Επίσης ενσωµάτωσαν προγενέστερη γνώση για τη συµπεριφορά χρηστών στις µήτρες µετάβασης προκειµένου να επιτευχθούν τα καλύτερα αποτελέσµατα. 28

30 Στη δεύτερη κατηγορία, παρουσιάζονται αρχιτεκτονικές που είναι ανθεκτικές σε DoS. Μια λύση είναι η Secure Overlay Services (SOS), µια αρχιτεκτονική που κρύβει την αληθινή θέση του Server, παρέχοντας έτσι κάλυψη από τις DoS επιθέσεις. Αν και η προτεινόµενη αρχιτεκτονική δεν απαιτεί τροποποιήσεις στο Server ή τους πελάτες, οι πελάτες πρέπει να γνωρίζουν το SOS. Χρησιµοποιήθηκαν επίσης Turing Tests για να επιτρέψουν µόνο στους ανθρώπινους χρήστες να έχουν πρόσβαση στις SOS υπηρεσίες (παράδειγµα 2.1.1). Είναι κατανοητό ότι το SOS δεν στοχεύει δηµόσια ανοικτές υπηρεσίες όπως οι εµπορικοί ιστοχώροι. Ένα σηµαντικό µειονέκτηµα των µηχανισµών γραφικής επικύρωσης είναι ότι καθιστούν αδύνατο για τους τυφλούς χρήστες να χρησιµοποιήσουν τις υπηρεσίες. Αυτό το πρόβληµα αντιµετωπίζεται µε το Kill - Bots, ένα βασισµένο στον πυρήνα του Linux σύστηµα που σχεδιάζεται για να ανιχνεύσει και να εµποδίσει τις WEB- DoS επιθέσεις. Το Kill - Bots συνδυάζει ένα µηχανισµό δύο επιπέδων επικύρωσης που περιλαµβάνει γραφικές δοκιµές και έναν αλγόριθµο ελέγχου αποδοχής ο οποίος προστατεύει τον ίδιο το Server από την υπερφόρτωση. Σε αυτή την εργασία µια νέα µέθοδος ανίχνευσης WEB-DoS επιθέσεων παρουσιάζεται και αξιολογείται. Ο προτεινόµενος ανιχνευτής είναι βασισµένος στις διαφορές αντίδρασης µεταξύ ανθρώπινου χρήστη και υπολογιστή παρουσία των υπερσυνδέσµων παγίδων στις Ιστοσελίδες. Οι υπερσύνδεσµοι ενώ είναι αόρατοι στα ανθρώπινα µάτια ακολουθούνται από χρήστες µηχανές. 29

31 Παράδειγµα Turing test για αποτροπή δηµιουργίας λογαριασµού από αυτοµατοποιηµένο πρόγραµµα Παράδειγµα Ο επιτιθέµενος ζητάει µία µόνο σελίδα. 30

32 Παράδειγµα Ο επιτιθέµενος ζητά πολλές τυχαίες σελίδες. Παράδειγµα Ο επιτιθέµενος ζητάει διάφορες σελίδες έχοντας συγκεκριµένο σχέδιο πλοήγησης. 31

33 2.2 WEB-DoS Οι WEB-DoS επιθέσεις έχουν ταξινοµηθεί σε τρεις κατηγορίες. Η πρώτη κατηγορία, όπου η ίδια σελίδα ζητείται συνεχώς, είναι εύκολη στην ανιχνεύση. Ένα απλό κατώτατο όριο µπορεί να εφαρµοστεί για να µπλοκαριστεί αποτελεσµατικά µια IP για µια µικρή χρονική περίοδο. Ένα γνωστό εργαλείο αντιµετώπισής της είναι το dos_evasive. Στη δεύτερη κατηγορία WEB-DoS επιθέσεων, µια ιστοσελίδα πρώτα αναλύεται, οι υπερσύνδεσµοι της συγκεντρώνονται και έπειτα αυτές οι σελίδες ζητούνται τυχαία. Αυτή η µορφή επίθεσης έχει επίσης εύκολη ανίχνευση µε τη χρησιµοποίηση της ποικιλίας και του µήκους του click-stream ως δείκτη επίθεσης. Η τρίτη κατηγορία είναι η πιο περίπλοκη, ειδικά υπό µορφή διανεµηµένης επίθεσης. Σε αυτό το σενάριο, ένα πρόγραµµα συγκεντρώνει όλους τους συνδέσµους υπερκειµένου από τον ιστοχώρο και κατόπιν δηµιουργεί τυχαία διαδροµές πλοήγησης που στη συνέχεια ζητά από το Server. Ο Server υπό φυσιολογικές συνθήκες καταγράφει αυτό το φαινόµενο ως τεράστια κίνηση αλλά εάν η επίθεση πραγµατοποιηθεί από πολλαπλές διευθύνσεις IP, θα ήταν πολύ δύσκολη η ανίχνευσή της. Σε αυτήν την περίπτωση, τεχνικές µοντελοποίησης της πλοήγησης στο WEB θα µπορούσαν να χρησιµοποιηθούν για να ανιχνευθούν τέτοιες επιθέσεις. Εντούτοις, πειραµατικά αποτελέσµατα σε πραγµατικά δεδοµένα µε τη χρησιµοποίηση µοντέλων Markov έδειξαν ότι αυτό δεν είναι δυνατό, ειδικά στην περίπτωση όπου το πρόγραµµα επίθεσης ξεκινά από την αρχική σελίδα του ιστοχώρου και προχωράει µέχρι 3-5 επίπεδα. Αυτό συµβαίνει επειδή σε αυτήν την περίπτωση οι πιθανότητες τείνουν να είναι οµοιόµορφες. 32

34 2.3 Ανίχνευση WEB-DOS µε χρήση υπερσυνδέσµων παγίδων Η προτεινόµενη µέθοδος περιλαµβάνει δύο ενέργειες: Την εισαγωγή κρυµµένων υπερσυνδέσµων (παγίδες) σε ένα αριθµό ιστοσελίδων που δείχνουν σε µια παραπλανητική ιστοσελίδα και ένα µηχανισµό που ανιχνεύει τους χρήστες που κάνουν πλοήγηση µέσω των κρυµµένων υπερσυνδέσµων. Αυτή η διαδικασία απαιτεί µερικές από τις σελίδες του WEB Server να τροποποιηθούν. Η µέθοδος είναι διαφανής ως προς τον πελάτη, δεν υιοθετεί τη χρήση µηχανισµών επικύρωσης, όπως οι γραφικές δοκιµές, και δεν απαιτεί ειδικό λογισµικό από την πλευρά του πελάτη. Οι σηµαντικές πτυχές της προτεινόµενης µεθόδου είναι: Κατασκευή των παγίδων προκειµένου να ελαχιστοποιηθεί η περίπτωση λάθους ανίχνευσης. Επιλογή ενός ελάχιστου αριθµού συνδέσεων και σελίδων σαν δολώµατα προκειµένου να µεγιστοποιηθεί η πιθανότητα µια WEB-DoS επίθεση να τους επιλέξει. Κατασκευή ενός αλγορίθµου που θα µπορούσε να ανιχνεύσει WEB-DoS επιθέσεις Κατασκευή των παραπλανητικών υπερσυνδέσµων Οι παραπλανητικοί υπερσύνδεσµοι πρέπει να κατασκευαστούν µε τέτοιο τρόπο ώστε να µην είναι ανιχνεύσιµοι από τους ανθρώπινους χρήστες, ενώ αυτοµατοποιηµένα προγράµµατα να µην είναι σε θέση να τους διακρίνουν από τους πραγµατικούς υπερσυνδέσµους. Ένας µεγάλος αριθµός διαφορετικών τύπων παραπλανητικών υπερσυνδέσµων µπορούν να δηµιουργηθούν: Μερικά pixels κρυµµένα σε µια εικόνα σε µια ιστοσελίδα. 33

35 Ένας υπερσύνδεσµος είναι αόρατος στους ανθρώπινους χρήστες εάν το κείµενό του έχει το ίδιο χρώµα µε το background της σελίδας. Υπερσύνδεσµοι χωρίς κείµενο. Κρυµµένοι πίνακες που περιλαµβάνουν τέτοιες συνδέσεις θα µπορούσαν να χρησιµοποιηθούν προκειµένου να περιληφθούν τέτοιοι κρυµµένοι υπερσύνδεσµοι. Παράδειγµα κρυφού υπερσυνδέσµου Επιλογή των παραπλανητικών ιστοσελίδων Η διαδικασία της εισαγωγής παραπλανητικών υπερσυνδέσµων στις ιστοσελίδες όχι µόνο κοστίζει και είναι χρονοβόρα αλλά απαιτεί επίσης και εκτενείς δοκιµές. Λαµβάνοντας υπόψη ότι οι σύγχρονοι ιστοχώροι αποτελούνται από περισσότερες από 500 ιστοσελίδες, το ερώτηµα που ανακύπτει είναι πόσοι παραπλανητικοί υπερσυνδέσµοι πρέπει να επιλεχτούν και πού να τοποθετηθούν ώστε µια επίθεση να τους επιλέξει µε καλή πιθανότητα; Για τη λύση αυτού το προβλήµατος, εργαστήκαµε θεωρώντας έναν ιστότοπο ως µη-κατευθυνόµενο γράφο G(V,E). Στην ουσία, ένας γράφος είναι ένα διατεταγµένο ζεύγος των πεπερασµένων συνόλων V και E. Τα στοιχεία του συνόλου V ονοµάζονται κόµβοι ή κορυφές (nodes ή vertices) και τα στοιχεία του E ονοµάζονται ακµές (edges). Κάθε ακµή του συνόλου Ε συνδέει δύο διαφορετικούς κόµβους του V και δηλώνεται ως (i,j) όπου i και j είναι οι κόµβοι που συνδέονται. Εφόσον, στο γράφο που χρησιµοποιήσαµε, οι ακµές δεν ήταν κατευθυνόµενες, ο γράφος ονοµάζεται µη-κατευθυνόµενος (undirected graph). Πιο συγκεκριµένα, αναπαραστήσαµε τον ιστότοπο ως 34

36 γράφο όπου οι κόµβοι του V αναπαριστούν τις σελίδες που τον απαρτίζουν και οι ακµές αναπαριστούν τους υπερσυνδέσµους που οδηγούν από σελίδα σε σελίδα. Εφόσον ο χρήστης µπορεί να χρησιµοποιήσει το back button του φυλλοµετρητή του για να κινηθεί από µια σελίδα στην προηγούµενη, ο γράφος είναι υποχρεωτικά µη-κατευθυνόµενος. Στο σχήµα που ακολουθεί, φαίνεται ένα παράδειγµα αναπαράστασης ενός ιστότοπου µε µηκατευθυνόµενο γράφο. Σχήµα Τυπική παρουσίαση ενός ιστοτόπου ως µη-κατευθυνόµενο γράφο G(V,E). Σε αυτό το παράδειγµα, ο ιστότοπος αποτελείται από 9 σελίδες που αποτελούν το σύνολο V={Α, Β, C, D, E, F, G, H, I. Το σύνολο των ακµών είναι το E= { (A, B), (A, C), (A, D), (E, C), (C, F), ( D, F), (E, G), (F, H), (F, I), (H, I). Μπορούµε λοιπόν, µε βάση αυτή την αναπαράσταση να διαπιστώσουµε εύκολα ποιες σελίδες είναι ιεραρχικά ανώτερες από τις υπόλοιπες ή περιέχουν περισσότερους υπερσυνδέσµους, καθώς και σε ποιες σελίδες οδηγούν περισσότεροι υπερσύνδεσµοι. Αυτά τα στοιχεία µπορούν να βοηθήσουν πολύ στο σχεδιασµό και την τοποθέτηση των υπερσυνδέσµων παγίδων. 35

37 2.3.3 Προτεινόµενος αλγόριθµος Μετά την εισαγωγή των υπερσυνδέσµων παγίδων στον ιστότοπο, µπορεί να εξαχθεί ένας προτεινόµενος αλγόριθµος για την ανίχνευση µιας επίθεσης πληµµύρας ΗΤΤΡ όπως αυτές που περιγράψαµε παραπάνω. Επειδή µπορεί να υπάρχει ένα µικρό ποσοστό χρηστών που από λάθος µπορεί να ακολουθήσουν έναν υπερσύνδεσµο παγίδα, είναι χρήσιµο να υπάρχει µια white-list όπου να περιλαµβάνονται διευθύνσεις IP από όπου η κίνηση επιτρέπεται. Σε αυτή τη λίστα θα µπορούν επίσης να περιλαµβάνονται µηκακόβουλα bots όπως αυτά που προέρχονται από µηχανές αναζήτησης (GoogleBot, MSNbot και άλλα). Θα µπορούσαµε να γράψουµε τον παρακάτω ψευδοκώδικα: IF(HIT == DECOY) IF( SOURCE_IP!= BOT ) DoS=1 ENDIF ENDIF Παράδειγµα Ψευδοκώδικας ανίχνευσης επίθεσης. Στην ουσία, ο ψευδοκώδικας περιγράφει τη διαδικασία κατά την οποία εάν ανιχνευθεί ότι ακολουθήθηκε ένας υπερσύνδεσµος-παγίδα, η διεύθυνση IP από την οποία προέρχεται, ελέγχεται µε βάση τις IP που επιτρέπεται να συνεχίσουν την περιήγηση. Αν δεν περιέχεται στην white-list τότε έχουµε πιθανότατα επίθεση κατά του ιστότοπου. Κατόπιν, µπορούµε να απαγορεύσουµε την πρόσβαση στον ιστότοπο από διευθύνσεις IP από τις οποίες παρατηρούνται συχνές επιθέσεις. Έπειτα, µπορούµε να γράψουµε απλούς κανόνες και να τους συµπεριλάβουµε στο αρχείο παραµέτρων του διαδικτυακού εξυπηρετητή µας όπου να µπλοκάρονται οι διευθύνσεις IP από τις οποίες έχουµε συχνές επιθέσεις ή να γράψουµε κανόνες στο firewall που µας προστατεύει. Για παράδειγµα, στον Apache µπορούµε να χρησιµοποιήσουµε τα mod_access και mod_rewrite, σε συστήµατα Linux µπορούµε να χρησιµοποιήσουµε το iptables DROP κλπ. 36

38 Κεφάλαιο ιαδικασία εισαγωγής υπερσυνδέσµων-παγίδων Για την διεκπεραίωση της πειραµατικής διαδικασίας υπερσύνδεσµοι παγίδες εισήχθησαν στον ιστότοπο library.panteion.gr µε τη χρήση ενός php script. Ουσιαστικά χρησιµοποιήσαµε µια βάση traps µε τη χρήση του εγκατεστηµένου PHPMyAdmin µε το οποίο µπορούσαµε να ελεγχουµε τις επιλογές µας µε γραφικό τρόπο. Η βάση όπως φαίνεται στο παράδειγµα CREATE DATABASE TRAPS ; CREATE TABLE `site_semantic_traps` ( `id` int(11) NOT NULL auto_increment, `page_id` int(11) NOT NULL, `traps` int(11) NOT NULL, PRIMARY KEY (`id`) ) ENGINE=MyISAM DEFAULT CHARSET=utf8 ; Παράδειγµα Το SQL script που δηµιουργεί τη βάση traps. περιέχει ένα πίνακα µε 3 στοιχεία: Το στοιχείο id Το στοιχείο page_id. Το στοιχείο traps, όπου αποθηκεύουµε τον αριθµό των υπερσυνδέσµων-παγίδων που θα εισαχθούν σε κάθε σελίδα. Το στοιχείο id αποτελεί και το πρωτεύον κλειδί του πίνακα και αυξάνεται κατά 1 µε κάθε καινούργια εγγραφή και είναι ο αύξων αριθµός εγγραφής. Όπως 37

39 είναι φυσικό, έχει τεθεί να µην µπορεί να πάρει την τιµή NULL, καθώς κάτι τέτοιο απαγορεύεται να συµβεί σε πρωτεύον κλειδί πίνακα. Το στοιχείο page_id αποθηκεύει τον κωδικό της σελίδας. Για παράδειγµα για τη σελίδα ng=el&id=14 το page_id = 14. Στο στοιχείο traps αποθηκεύουµε τον αριθµό των υπερσυνδέσµων-παγίδων που θέλουµε να εισάγουµε στη συγκεκριµένη σελίδα. Το γραφικό περιβάλλον στο οποίο µπορούµε να ελέγξουµε τον πίνακα φαίνεται στο παράδειγµα Παράδειγµα Το γραφικό περιβάλλον µέσω του οποίου µπορούµε να ελέγξουµε τον πίνακα. Στη συγκεκριµένη περίπτωση παρατηρούµε ότι έχουµε 5 καταχωρήσεις µε 50 traps η κάθε µια. 38

40 Όπως φαίνεται µια επιλογή µπορεί να αφαιρεθεί άµεσα από τον πίνακα (παράδειγµα 3.1.3) ενώ για να προσθέσουµε µια καταχώρηση επιλέγουµε την εισαγωγή (παράδειγµα3.1.4) Παράδειγµα ιαγραφή της επιλογής µε id=6 από τον πίνακα. 39

41 Παράδειγµα Περιβάλλον δηµιουργίας στοιχείου για τον πίνακα. 3.2 Η εφαρµογή HTTP-NAVIGATOR. Για να προσοµοιώσουµε την κίνηση χρηστών στο διαδίκτυο χρησιµοποιήσαµε την εφαρµογή http-navigator. Η εφαρµογή αυτή είναι δηµιουργηµένη σε Java και για να την εκτελέσουµε χρησιµοποιήσαµε το Eclipse. Η εφαρµογή αποτελείται από 6 κλάσεις και χρησιµοποιεί τη βιβλιοθήκη HTTPClient, ώστε να δηµιουργήσει τυχαία πρότυπα διαδικτυακής κίνησης. Στη συγκεκριµένη εφαρµογή έχουµε τη δυνατότητα να επιλέξουµε τον αριθµό των χρηστών που εξοµοιώνουµε, τον αριθµό των επιτυχών αιτήσεων σελίδας κάθε χρήστη καθώς και τη σελίδα στην οποία ξεκινάει η προσοµοίωση και τη χρήση ή µη τυχαίας καθυστέρησης ανάµεσα στα http-requests. Οι κλάσεις της εφαρµογής είναι: 40