zastita web sajta

Ko i kako napada sajtove?

June 30, 2014
Marko Uskoković

U ovom tekstu opisaćemo različite (D)DoS tehnike, pojasniti tipove DDoS napada, oblike ranjivosti servera, alate za napade, kao i ko sve vrši napade i ko su najčešće mete. Tekst je namenjen ljudima koji se zanimaju za IT security rizike kako bi ih bolje razumeli i bolje obezbedili svoje digitalno dobro.

Ko vrši napade?

Script-kiddies

Veliki broj alatki i skripti kojima se mogu iskoristiti propusti u programima i na veb sajtovima dostupni su na Internetu. Vredni i pametni hakeri ih koriste da bi razumeli te propuste i naučili kako da ih ne prave, a tzv. script-kiddies ih koriste zarad sopstvene zabave, da bi zadivili drugare, osvetili se nekome ko ih je uvredio na društvenim mrežama, da bi ponizili suparničku navijačku grupu i slično. Napadi koje obavljaju script-kiddies mogu onemogućiti pristup sajtu, narušiti mu izgled, kompromitovati naloge, lozinke i privatne informacije registrovanih članova. U svetu je bilo slučajeva u kojima su ovakvi napadi bili usmereni i na velike sajtove (Yahoo, eBay, CNN) sa manjim ili većim posledicama, a bilo je i slučajeva privođenja napadača i osuđivanja na uslovnu ili zatvorsku kaznu (npr. maloletnik Michael Calce i osamnaestogodišnjak Jeffrey Lee Parson).

Haktivisti

Haktivista je izraz nastao 1995. godine od reči “hakovati” i “aktivista” i opisuje osobu koja koristi računare i računarske mreže da bi izrazila protest ili nanela štetu političkim, ekonomskim i drugim društvenim subjektima. Haktivisti često vrše deface napade koji narušavaju izgled i sadržaj sajtova da bi na njima ostavili poruke koje tako dolaze do posetilaca, a hakovanjem dolaze i do informacija koje su inače skrivene od javnosti i obelodanjuju ih. Ako se uzme u obzir da su njihove aktivnosti u suštini oblici civilne neposlušnosti, često usmerene protiv diktatorskih vlada, globalizma i kapitalizma, nije čudno što mediji i državni organi haktiviste uglavnom predstavljaju kao sajber-teroriste. Napadi na sajtove, međutim, nisu glavne aktivnosti haktivista – češće se organizuju u cilju širenja određenih ideja i informacija, suzbijanja cenzure i poboljšanja zaštite privatnosti.

Anonimusi

Maska Gaja Foksa

Maska Gaja Foksa

Anonymous je decentralizovana virtualna zajednica haktivista, bez vođe, članstva i autoritativne komande okupljena oko ideje slobodnog i otvorenog Interneta. Anonimusi su od 2004. godine organizovali brojne akcije usmerene protiv cenzure, kontrole i nadgledanja Interneta, protiv Sajentološke crkve, sajtova sa dečijom pornografijom, vlada i organizacija koje su podržale SOPA i PIPA zakone i ACTA sporazum. Na meti su bile i kompanije koje su uskratile svoje servise Wikileaks-u i sajtovi vlada nekoliko država koje su ga cenzurisale. Aktivni su i van mreže – učestvuju na građanskim protestima i uličnim demonstracijama širom sveta, kao što su Occupy i 99% protesti, sakrivajući svoj identitet stilizovanim Gaj Foks maskama, čime žele da pošalju poruku da pripadaju većoj grupi nezadovoljnih i da nisu usamljeni u svojim idejama.

Komunikacija i koordinacija aktivista putem društvenih mreža i IRC-a je otvorena i najavljenim akcijama svako se može priključiti. Dovoljno je, svojevoljno, instalirati program kao što je LOIC i tako pomoći da targetirani sajt bude oboren. Takav, neformalan i nehijerarhijski sistem u kojem delaju pojedinci je doprineo tome da se Anonimusi u poslednje vreme sve češće pominju kao pokret, a ne kao neka određena grupa haktivista.

Botnet

Kako radi botnet (izvor: Wikipedia)

Kako radi botnet (izvor: Wikipedia)

Botnet, u kontekstu ilegalnih mrežnih i računarskih aktivnosti, je skup kompromitovanih računara i/ili računara zaraženih virusima, trojancima i drugim mallware softverom kojima određena osoba ili grupa ljudi može da kontroliše računare i izvršava kod i komande koje želi. Primeri aktivnosti koje se obavljaju pomoću botnet-ova su slanje SPAM-a, krađa ličnih i poverljivih informacija kao što su brojevi kreditnih kartica, napadi na druge računare i DDoS napadi. Vlasnici računara koji su deo botnet-a gotovo nikad ne znaju da imaju udela u takvim aktivnostima, a identitet napadača je teško utvrditi.

Veličine botnet-ova su različite, od 200-500 računara do stotina hiljada. Zainteresovanim klijentima koji žele da naude konkurenciji ili protivnicima, botnet-ovi su dostupni putem DDoS servisa i booter-a (npr. ddossite.biz i top10booters.com) po cenama koje se kreću od 10 do 100 dolara na sat. Plaćanje se vrši putem PayPal-a, Moneypak-a, Webmoney-ja i sličnih payment servisa ili Bitcoin-ima.

Ko su mete napada?

Prema izveštaju Quarterly Global DDoS Attack Report Q1 2014 (izvor) firme Prolexic koja se bavi mitigacijom DDoS napada, u prva tri meseca 2014. godine najveći broj napada u svetu je bio usmeren protiv industrije medija i zabave (49.8%), što uključuje i novinske i televizijske kuće. Na drugom mestu sa 17% su softverske i tehnološke kompanije, slede kompanije koje pružaju bezbednosne servise (12%) i finansijske servise (9%).

Napadi na medije su posebno osetljiva tema jer se mogu povezati sa cenzurom. Onemogućavanjem pristupa sajtovima, guši se pravo na slobodno izražavanje i otežava širenje informacija. Čak je i PirateBay osudio DDoS napad jedne grupe Anonimusa na Virgin media u 2012. godini navodeći: “Verujemo u otvoren i slobodan Internet, gde svako može izraziti svoje mišljenje. Čak i ako se uopšte se ne slažemo s njima, pa čak i ako oni nas mrze. Zato se nemojte protiv njih boriti koristeći njihove ružne metode. DDoS i blokade su oblici cenzure.

Tipovi DoS napada

Denial-of-Service (uskraćivanje usluge) ili skraćeno DoS napadi su aktivnosti koje napadač obavlja kako bi onemogućio regularan rad servera i servisa kojima se isporučuje neki sadržaj ili pruža neka usluga. Iskorišćavanjem propusta u operativnom sistemu, veb serveru ili aplikaciji koja se koristi za služenje sajta, izaziva se pad servera ili trošenje svih raspoloživih resursa (memorija, CPU, prostor na disku, mrežni protok) što dovodi do nedostupnosti sajta.

Kada je poznato da određena verzija softvera ili veb aplikacije ima propust koji se može iskoristiti za DoS, verovatno je na Internetu dostupan i program ili skripta kojim i neiskusni napadač (script-kiddie) može bez mnogo truda izazvati nedostupnost ili otežati rada sajta. Administratori i vebmasteri mogu dosta povećati otpornost svojih sajtova na ovakve tipove napada redovnim ažuriranjem softvera i korišćenjem osnovnih alatki za sprečavanje iskorišćavanja propusta. Međutim, postoje i DoS napadi protiv kojih je teško zaštititi se.

Flood napadi

Flood (plavljenje servisa) je napad u kom se šalje veliki broj legitimnih ili lažiranih zahteva ka određenom servisu, čime se troše resursi servera pa se regularnim korisnicima otežava ili onemogućava pristup. Mogu se obavljati na sva četiri nivoa TCP/IP modela.

MAC flood

Danas redak i uglavnom prevaziđen oblik napada na sloj mrežnog pristupa u kom se šalju eternet paketi sa lažiranim MAC adresama u cilju popunjavanja MAC tabela svičeva ili zauzimanja kompletne memorije rutera. Može izazvati prekid komunikacije u jednom mrežnom segmentu ili omogućiti napadaču da prisluškuje komunikaciju drugih korisnika te mreže radi pribavljanja informacija potrebnih za izvođenje drugih napada.

ICMP Flood

Internet Control Message Protocol (ICMP), jedan od osnovnih protokola međumrežnog sloja komunikacije kojim se šalju poruke o greškama i dijagnostikuju stanja na mreži, može se iskoristiti za napad u kom se šalje veliki broj ICMP paketa. Osim što ti paketi mogu popuniti raspoloživi mrežni protok, može se desiti da meta napada svojom ograničenom procesorkom snagom i memorijom ne može da postigne da obradi sve pakete, pa se tako izaziva nedostupnost. Pošto slanje ICMP poruka ne zahteva uspostavljanje konekcije niti bilo kakav handshake, napadač može lažirati izvorišnu IP adresu ICMP paketa i tako prikriti svoj identitet i otežati mitigaciju napada. ICMP protokol je neophodan za ispravno funkcionisanje Interneta pa ga je nemoguće u potpunosti zabraniti mrežnim filtriranjem. Ipak, dobro podešavanje mrežnih filtera je prvi korak u borbi protiv ovog tipa napada.

UDP Flood

UDP flood napadi su danas najčešći tip flood napada, pošto za slanje UDP paketa nije potrebno prethodno ostvariti konekciju, te je lako lažirati izvorišnu IP adresu paketa. Masovnim slanjem velikih UDP paketa sa različitih izvora na određenu destinaciju može joj se zagušiti link, kako dolaznim saobraćajem, tako i povratnim ICMP porukama o tome da destinacioni port nije dostupan. Čak i ako napadač nema na raspolaganju veliki mrežni protok za slanje tolikog saobraćaja koji može zagušiti Internet link mete, moguće je generisati ogroman broj paketa koje meta napada ne može da stigne da obradi i tako izazvati nedostupnost servisa. Alatke kao što su LOIC (Low Orbit Ion Cannon) i UDP Unicorn su među popularnijim programima otvorenog koda za masovno izvođenje UDP flood napada, laki su za korišćenje i ne zahtevaju skoro nikakvo predznanje da bi se pokrenuo napad.

Ovaj tip napada se može neutralisati podešavanjem mrežnog filtriranja u ključnim delovima mreže, ali se identitet napadača često vrlo teško utvrđuje.

SYN Flood

SYN flood DoS napad zloupotrebljava način na koji se uspostavljaju TCP konekcije. Da bi se klijent povezao na server, najpre šalje SYN paket čime zahteva povezivanje na određeni TCP port. Server zatim prihvata konekciju slanjem SYN-ACK paketa klijentu i odvaja memoriju za informacije o toj konekciji, kako bi naredni klijentovi paketi sa postavljenim ACK flegom mogli biti obrađeni kao deo TCP konekcije. Ovaj proces uspostavljanja konekcije se zove “three-way handshake”.

Prilikom izvođenja SYN flood napada, šalju se hiljade SYN paketa sa lažiranom izvorišnom IP adresom. Server šalje SYN-ACK pakete lažiranim IP adresama koji će najverovatnije biti ignorisani na destinaciji, jer ona nije ni tražila uspostavljanje konekcije, ali će neko vreme (podrazumevano 60 sekundi) na serveru biti odvojena memorija za novu, poluotvorenu konekciju. Pošto se u ovom stanju napravi veliki broj konekcija, postoji mogućnost trošenja kompletne memorije ili portova na serveru, tako da legitimni korisnici ne mogu da koriste servise koje pruža server.

SYN flood napadi su čest tip napada, lako se pokreću čak i osnovnim alatkama za dijagnostiku mreže (npr. hping), a identitet napadača je prikriven lažiranim izvorišnim IP adresama paketa. Srećom, postoji više standardnih metoda borbe protiv ovakvog tipa napada (opisani u RFC 4987).

Fragmented IP napadi

Fragmentacija IP paketa je osnovni mehanizam IP protokola za prenos paketa većih od MTU (maximum transmission unit) vrednosti mreže preko koje se prenos obavlja. Takvi paketi se dele u fragmente dovoljno male da mogu da stanu u PDU (protocol dana unit) te mreže, a zatim se na destinaciji sakupljaju u kompletan IP paket. Zaglavnje IP paketa sadrži polje koje naznačava da postoji još podataka u fragmentu koji se prenosi zasebno. Ti dodatni fragmenti često nisu podložni paketskom filtriranju mrežnih filtera i sistema za prevenciju upada, ili se filtriranje obavlja samo na prvom fragmentu. Ovakvim kompleksnim napadima iskusni napadač može sastaviti takav niz IP fragmenata koje server po prijemu sastavi u paket kakav inače ne bi prošao kroz zaštitni sloj mreže. Istorijski “ping-of-death” i “teardrop” napadi su se zasnivali na slanju fragmentiranih paketa koji su izazivali buffer-overflow operativnog sistema servera kom su upućeni. Noviji “Rose Fragmentation Attack” i “New Dawn” napadi izazivaju preterano trošenje memorije i procesorskog vremena za obradu fragmentiranih paketa tako da server ne može da postigne da obradi legitimne pakete. TCP fragmentation napadom se naziva napad u kom se deo TCP paketa zameni kasnijim fragmentom paketa, tako da aplikacija dobije TCP paket koji bi inače bio zabranjen paketskim filterom, ali koji je propušten jer je filtriran samo prvi fragment paketa.

Sockstress napad

Sockstress napad za izazivanje DoS-a iskorišćava propuste u TCP protokolu. Napadač uspostavlja legitimnu konekciju ka serveru, ali zatim šalje paket sa window size vrednošću 0 kojom naznačava da mu je bafer za prijem pun i da server treba da sačeka sa daljim slanjem podataka. Server drži otvorenu konekciju dokle god mu klijent šalje takve pakete i time se zauzimaju resursi servera. Uspostavljanjem dovoljno velikog broja ovakvih konekcija, regularni korisnici neće moći da ostvare nove konekcije sa serverom i servisi tog servera će biti nedostupni. Alatke za izvođenje ovog napada su javno dostupne i malo je predznanja neophodno da bi se on izveo. Otežavajuća okolnost po napadača je što mora ostvariti legitimnu TCP konekciju, pa je lako utvrditi odakle napad dolazi. Prevencija ovakvih napada bez uticaja na normalan rad TCP protokola je teško ostvariva, pa se kao mera zaštite mora koristiti limitiranje broja konekcija.

HTTP Flood napadi

Kada sajt bez ograničenja pruža kompleksne funkcionalnosti koje troše dosta sistemskih resursa (npr. pretraga baza podataka složenim upitima), napadač može poslati veliki broj zahteva za tim servisom i tako opteretiti server do te mere da ni jednostavni zahtevi ne mogu biti obrađeni. Takođe, veb sajtovi se često hostuju na deljenim serverima, sa malo resursa ili pomoću neoptimizovanih CMS-ova, tako da se naletom velikog broja zahteva i ka jednostavnim stranicama može zagušiti server. Često se dešava da neki tekst ili slika malog sajta osvane na velikim sajtovima kao što su Slashdot i Facebook pa veliki broj korisnika odjednom dođe na sajt i uguši ga. HTTP flood napadi ne koriste, dakle, uvek ranjivosti servera ili aplikacija, već se iskorišćava neskalabilnost i nedovoljna snaga hosting servisa da bi se omeo rada sajta. Optimizacija veb aplikacije i mogućnost skaliranja mogu povećati otpornost sajta na ovakve nalete i napade.

HTTP Fragmentation napad

U ovakvom napadu uspostavlja se konekcija ka veb serveru, ali se HTTP zahtevi šalju u malim fragmentima što je sporije moguće, kako bi se veb server što duže držao zauzetim obradom pojedinih zahteva. Sa dovoljno ovakvih sporih zahteva, sajt se guši legitimnim posetiocima i sporo se učitavaju stranice, slike i drugi sadržaji. Ukoliko u napad nije uključen botnet, napadača je lako otkriti i blokirati, a u suprotnom neophodno je skaliranje aplikacije i hosting servisa tako da se može izdržati veći broj konekcija. Takođe, od koristi može biti i fino podešavanje limita trajanja HTTP konekcija i crnih i belih lista, kako se legitimnim korisnicima ne bi narušio rad, a predugačke konekcije prekidale pre nego što zaguše sajt.

Tipovi DDoS napada

Distributed Denial-of-Service (distribuirano uskraćivanje servisa) ili skraćeno DDoS su napadi na servere koji dolaze sa velikog broja mašina istovremeno kako bi se povećao intenzitet i uspešnost napada. S obzirom na to da se u botnet-ovima često nalaze desetine i stotine hiljada računara, ovakvi napadi mogu biti tolikog obima da se popuni Internet link ne samo servera koji služe sajt, već i link provajdera na čijoj mreži se hostuje sajt. Najveći zabeleženi DDoS napad izveden je u februaru 2014. kada je kompaniju za distribuciju sadržaja CloudFlare pogodio napad ukupne veličine 400 Gbit/s.

Često se za DDoS napad u isto vreme koristi više faktora napada tako da njegovo ublažavanje i zaustavljanje bude teže izvodljivo. Prilikom DDoS napada može se videti i stotine hiljada različitih IP adresa koje šalju pakete na jedan server, te je jedini način za blokiranje ovog napada i osposobljavanje Internet linka provajdera da se blokira (blackhole-uje) kompletna komunikacija koja ide ka tom serveru i da se susedni i nadređeni ruteri obaveste da to isto urade. Na taj način se blokiranje može propagirati ostalim mrežama, ali se sajt time ostavlja nedostupnim. Ukoliko se sajt pomeri na drugu IP adresu, napadač će verovatno posle nekog vremena preusmeriti svoj napad. Napad i odbrana sajta se tako pretvara u igru mačke i miša, dok se ne pronađe drugi način za mitigaciju tog konkretnog napada ili dok napad ne prođe.

Direktni DDoS napadi

Pod direktnim DDoS napadima se smatraju napadi kojima se iscrpi Internet link mete direktnim slanjem npr. UDP paketa od napadača do mete. Ovakvi DDoS napadi se izvode sa velikog broja zaraženih mašina koje su deo nekog botnet-a ili masovnim regrutovanjem aktivista koji dobrovoljno učestvuju u napadu na metu, kao što je to bilo tokom #OpBlackout i #OpPayback akcija Anonimusa. Direktnim DDoS napadima se lakše ulazi u trag IP adresama sa kojih stižu paketi, ali to ne pomaže da se utvrdi ko stoji iza napada, jer se paketi koje šalje botnet ne razlikuju od paketa koje šalje korisnik koji dobrovoljno učestvuje u napadu.

Reflektivni DDoS napadi

Reflektivni DDoS napadi potiču sa relativno malog broja mašina koje šalju pakete sa lažiranom izvorišnom IP adresom ka velikom broju legitimnih, nezaraženih servera širom Interneta. Odgovore na te pakete, ti serveri će poslati na lažiranu izvorišnu adresu, koja je, u stvari, meta napada. Često se za ovaj napad zloupotrebljavaju serveri poznatih sajtova koji imaju velike kapacitete linkova. Meta može biti zagušena brojem paketa koji joj stižu na obradu ili količinom protoka koji se stvara tokom ovog napada.

Amplifikovani DDoS napadi

Amplifikovani DDoS napadi su reflektivni napadi kod kojih je odgovor servera nekoliko puta veći od paketa koji je poslat, tako da napadaču nije potreban link velikog kapaciteta da bi ostvario veliki napad. Poslednjih godina, ovi napadi predstavljaju glavni vektor napada na sajtove.

ICMP napadi

Da bi se tokom ICMP flood napada generisao veliki broj ICMP paketa koji mogu da zaguše metu, napadač mora imati pristup mreži sa velikim protokom i velikom broju računara. Pošto to nije uvek slučaj, koristi se ICMP amplification ili Smurf napad – ICMP echo request paket sa lažiranom izvorišnom IP adresom se šalje na broadcast adresu loše podešene mreže, tako da svi uređaji iz te mreže odgovore ICMP echo reply paketom na lažiranu adresu, koja je, ustvari, meta napada. Ovakvi napadi se lako organizuju kada se locira ranjiva mreža, a sprečavaju se dobrim mrežnim podešavanjima.

ICMP reflection napadi su još jedan oblik ICMP flood napada koji se obavlja tako što se na zatvorene portove javno dostupnih računara na Internetu šalju UDP paketi ili zahtevi za uspostavljanje TCP konekcije, pri čemu se paketi tako formiraju da se kao izvorišna IP adresa stavlja adresa mete, na koju će onda biti poslat veliki broj ICMP paketa o nedostupnosti porta (type 3, code 3). Ovakvi napadi su česti, lako se organizuju i dostupan je veliki broj gotovih skripti i programa koje ih pokreću. Neutrališu se dobrim podešavanjima paketskih filtera, ali se identitet napadača teško utvrđuje.

UDP napadi

Predstavnik UDP reflektivnih i amplifikovanih napada je Fraggle napad, koji funkcioniše slično Smurf-u ali se na broadcast adresu mreže šalje veliki broj UDP paketa sa lažiranom izvorišnom adresom tako da se povratni paketi svih mašina u toj mreži šalju na metu napada. Slanjem paketa na UDP port 7 (echo), postiže se reflektivni napad jer se ka meti prosleđuje ista količina podataka koju je napadač poslao. Korišćenjem CHARGEN servisa za generisanje nasumičnog niza karaktera, međutim, može se uloženi protok uvećati i 358 puta. Važno je napomenuti da meta napada uopšte ne mora da koristi ove dijagnostičke UDP servise da bi se napad uspešno izveo.

DNS amplifikacija

DNS amplifikacija je popularni reflektivni i amplifikovani DDoS napad koji koristi otvorene rekurzivne DNS servere za jednostavno pojačavanje napada. Lažiranjem izvorišne IP adrese DNS zahteva, odgovori se upućuju na metu napada i veoma često se stižu skroz do samog servera, s obzirom na to da je u pitanju tako uobičajen paket kao što je DNS odgovor. Koeficijent amplifikacije ovakvih napada zavisi od organizovanosti napadača i od odabira DNS zapisa sa kojima će biti vršen napad. Na primer, upit za IP adresom hosta ga.me gotovo da ne daje amplifikaciju jer se vraća samo jedan rezultat pa je veličina odgovora približna veličini upita, ali zato upit za IP adresom hosta www.jrdga.info (15 bajtova + zaglavlja) vraća 256 IP adresa veličine 32 bita. Ovaj DNS zapis je legitiman ali je očigledno formiran prvenstveno radi izvođenja DNS amplifikovanih napada. Iako je amplifikacija od 20-50 puta uloženog protoka daleko manja od amplifikacije koju može da ostvari CHARGEN amplifikovani napad, DNS je daleko rasprostranjeniji i mnogo češće se ne filtrira, te ga je lakše iskoristiti za stvarni napad. CloudFlare je u 2012. godini prijavio da je pretrpeo napad od 65Gbps izazvan DNS amplifikacijom.

NTP amplifikovani napad

NTP (Network Time Protocol) servis se koristi za sinhronizaciju vremena računara na Internetu. Uobičajen je na velikom broju servera i mrežnih uređaja i vrlo često je javno dostupan jer mu je i svrha da računari i uređaji mogu jedni sa drugima da se sinhronizuju. Korišćenjem MONLIST dijagnostičke komande NTP-a, koja na zahtev veličine 8 bajtova vraća do 1648 bajtova (lista do 600 poslednjih servera sa kojima je vršena sinhronizacija), napadači su u februaru 2014. godine uspeli da pokrenu DDoS napad ukupnog kapaciteta 400Gbps. Korišćeno je preko 4500 javno dostupnih NTP servera širom sveta.

Da bi se ovakvi napadi sprečili neophodno je da svi NTP serveri na svetu onemoguće ili filtriraju MONLIST i slične komande ili da se u svim mrežama na svetu spreči lažiranje izvorišnih IP adresa. Iako je filtriranje ulaznih paketa (Network Ingress Filtering) opisano još 2000. godine u RFC2827 procenjuje se da je lažiranje IP adresa  još uvek moguće na četvrtini mreža na Internetu.

SNMP amplifikovani napad

Simple Network Management Protocol (SNMP) se takođe može iskoristiti za amplifikaciju napada, sa uvećanjima protoka od 650 do 1700 puta. Napadi ovog tipa su već uočavani, ali su, zbog manje rasprostranjenosti servera sa otvorenim SNMP servisom, srećom, retki.

Ranjivosti servera

Apache Killer

Ubica Apača je ime ozbiljnog propusta Apache HTTPD, najzastupljenijeg veb servera na Internetu. Propust je otkriven u avgustu 2011. godine u verzijama pre 2.2.21 i omogućavao je napadaču da slanjem jednostavnog HTTP zahteva kojim se traže preklopljeni delovi nekog dokumenta, izazove pad servera koji služi sajt, tako što bi Apache HTTPD pojeo svu raspoloživu memoriju. Iako je dosta vremena prošlo od objavljivanja popravljene verzije, dosta veb servera još uvek izvršava starije, pa je neophodno da administratori tih servera ažuriraju softver ili primene konfiguraciju koja sprečava takve problematične zahteve.

RFI/LFI

Uključivanje udaljenih fajlova (Remote File Inclusion, RFI) je ranjivost koja se često može pronaći u veb sajtovima pisanim u PHP-u, a nastaje usled nevalidiranja ulaznih podataka. Kada postoji takav propust, napadač može postići da server na kome se hostuje sajt izvši proizvoljni kod koji se nalazi na nekom udaljenom serveru. Tako može pristupiti bazi podataka koju sajt koristi, izmeniti sadržaj sajta i pokrenuti napad na druge servere. Uključivanje lokalnih fajlova (Local File Inclusion, LFI) je sličan napad, ali se kod postavlja na sam server.

SQL Injection

Ubacivanje SQL koda je takođe posledica slabe ili nepostojeće validacije ulaznih podataka, zbog koje sajt može ostati bez baze podataka ili ona može biti kompromitovana ili ukradena. Dobri programeri će proveriti svaki ulazni podatak koje korisnici šalju tako da se eventualni specijalni i komandni karakteri pravilno obrade i ne izazovu neželjeno ponašanje.

WordPress pingback

WordPress kao najpopularnija blog platforma, imao je 2013. godine udela u DDoS napadima na sajtove. U pitanju nije bilo iskorišćavanje propusta u kodu sajta, već zloupotrebljavanje mogućnosti međusobnog obaveštavanja (pingback) WordPress instalacija o tome da je neki članak jednog bloga pomenut na drugom blogu. Kada primi ovakav pingback, WordPress pristupi navedenoj stranici da bi proverio da li je članak zaista tu. Ova funkcija se često koristi zbog socijalnog povezivanja i podrazumevano je uključena u svakoj instanci WordPress-a. Sa više od 100 miliona sajtova koji se zasnivaju na ovoj platformi, lako je, pokretanjem jednostavne skripte, napraviti pravi botnet i pokrenuti napad na željeni sajt koji će se veoma brzo ugušiti prevelikim brojem zahteva.

Alatke za napad

  • Slowloris je alatka za sprovođenje DoS napada koja sporo šalje HTTP zahteve, zauzimajući tako resurse servera i sprečavajući legitimne korisnike da pristupe sajtu. Postoji u verziji za Linux i za Windows, a ima i grafički interfejs za lako korišćenje.
  • R.U.D.Y. (R-U-Dead-Yet?) je alatka koja izaziva DoS sporim slanjem HTTP POST zahteva. Takođe dolazi u više varnijanti, uključujući i GUI verzije za Linux i Windows.
  • Tor’s Hammer je alatka za sporo slanje HTTP POST zahteva, nalik pomenutoj alatki R.U.D.Y., koja slanjem zahteva kroz Tor mrežu pruža i anonimnost.
  • ByteDos je Windows GUI alatka kojom se jednostavno mogu pokrenuti SYN i ICMP flood napadi uz mogućnost sakrivanja identiteta napadača.
  • Hping je moćan generator i analizator TCP/IP paketa kojim se, osim testiranja i istraživanja, mogu sprovesti i napadi na razne servise. Dostupan je za različite operativne sisteme i nalazi se u repozitorijumima najpopularnijih distribucija Linux-a.
  • LOIC (Low Orbit Ion Cannon) je alatka za testiranje opterećenja mreže i servera koja je postala popularna među Anonimusima za pokretanje DDoS napada. Haktivisti ga dobrovoljno instaliraju na svoj računar kako bi se pridružili napadu, a koordinacija se obavlja putem IRC kanala. Alatka ne zahteva gotovo nikakvo predznanje da bi se podržao neki DDoS napad, ali ne pruža ni anonimnost, tj. lažiranje izvorišne IP adrese prilikom napada. U nekim zemljama je kažnjivo i samo korišćenje ovog softvera. Postoje i novije varijante ovog programa, npr. HOIC (High Orbit Ion Cannon) i Mobile LOIC koje omogućavaju haktivistima veći broj tipova napada i više funkcionalnosti.
  • DNS flooder toolkit je skup alatki za sprovođenje DNS amplification napada.
  • itsoknoproblembro je maliciozna RFI/LFI alatka opšte namene koja omogućava napadaču da na kompromitovanom serveru izvršava proizvoljne Perl skripte, pri čemu se komande i skripte kriptuju ne bi li se zaobišli eventualni IPS i drugi zaštitni mehanizmi. Jednom kada se postavi na server, alatka čeka nalog napadača o daljim aktivnostima i predstavlja gradivnu jedinicu botnet-ova sastavljenih od kompromitovanih servera.
  • Darkness (Optima) je napredan bot softver kog su razvili ruski sajber-kriminalci, za sprovođenje DDoS napada, kompromitovanje naloga socijalnih mreža i e-mail naloga, za proksiranje i tunelovanje proizvoljnog saobraćaja kroz zaražene mašine na Internetu itd. Cena ovog softvera se kreće od 450 do 999 dolara u zavisnosti od broja dodataka, ažuriranja, nivoa tehničke podrške i slično.

Bez komentara

Leave a Reply

Your email address will not be published. Required fields are marked *

mCloud mailing lista
Da li želiš da se prijaviš na mCloud mailing listu i svake nedelje dobijaš informacije o našim tekstovima na blogu i novostima iz mCloud-a?
Nemoj više prikazivati