denial-of-service attack
Kommentaari jätmiseks loo konto või logi sisse
-
Tänaseks esiuudiseks välisagentuuridel on Microsofti langemine häkkerite rünnaku ohvriks, mis põhjustas rea Microsofti internetilehtede rivist väljalangemise mitmeteks tundideks.
Kas keegi spets võiks lahtikirjutada, selle suhteliselt uut liiki rünnaku modus operandi? -
Tegelikult ei ole DoS (denial-of-service) tüüpi rünnakud üldse mitte uued. Avalikkuse ette jõudnutest tuleb kindlasti ära märkida rünnak YHOO pihta möödunud aasta algul. Eestis oli viimane tuntum case sügisel, kui ühele Ida-Viru teenusepakkujale sihitur ründes sai kannatada kogu suurema teenusepakkuja välisühendus.
Põhimõtteliselt on modus operandi järgmine. Rünnaku sihtmärgiks võetud serveri/arvutivõrgu suunas saadetakse suur hulk üheaegseid päringuid, millede töötlemine viib serveri (ajutiselt või alaliselt) rivist välja. Tüüpiliselt aga ei ole põhiline probleem mitte serveri vaid võrguühenduse jõudlus: "toru" saab lihtsalt täis ja teenust ei ole võimalik osutada. Moodsamal juhul kasutatakse ründe hajutamist, ehk niinimetatud distributed DoS-i (ülaltoodud YHOO juhtum). Sellisel juhul asuvad ründajad üle maailma ja ka võrgu operaatori jaoks on efektiivne blokeerimine raskendatud.
MSFT puhul ei rünnatud otseselt mitte veebi- vaid nimeservereid. Nimeserverid tegutsevad Interneti teeviitadena, "tõlkides" inimestele arusaadava www.lhvdirect.com-i võrguseadmete jaoks numbrilisele kujule 212.107.48.147 (IP-aadress). Kuna ligipääs nimeserveritele oli blokeeritud, ei olnud kogu maailma jaoks olemas ka microsoft.com-i. MS ise väidab, et viga oli marsruuteri konfiguratsioonis. Igal juhul oli tegemist sealsete võrguinseneride hoolimatusega: kõik 4 MS nimeserverit asusid võrgutopoloogiliselt lähestikku ja olid seeläbi lihtsaks märklauaks.
Vt. ka Microsoft Notwork: The Anatomy of a DoS. -
Thnx Rx,
tundub, et mõnusamalt seletada pole võimalik, loomulikult, kes tahab loeb lisaks Sinu linkidel veel kusagilt juurde,
igal juhul suured tänud -
väike täpsustus Rx-i loole.Ründajad siiski ei istu üle maailma vaid ründaja istutab neti peal viletsa turvalisusega kompuutritesse programmijupi,mis aktiviseerub kui....nohh ühesõnaga,üks poiskene istub kodus ja klikib oma arvutist võibolla sadadesse ulatuvatesse kompuutritesse istutatud sala hostile,siis need hostid võtavad üheaegselt ühendust rünnatava weebsaidiga,weebsaidi server aga kutsungile vastata ei oska,sellest siis suur segadus.Rünnatav weebsait saaks nagu palju-palju klikke,mis ei näi mitte kuskilt tulevat.Nohh,klikkide pealt saadavale reklaamirahale peaks niisugune loll nali küll hästi mõjuma...
jahh,kui oli see sama jama,mida kunagi yahoo kallal prooviti,siis millegi uuega küll tegemist ei ole.Ei tea kas see yahoo-sell pisteti ikka vanglasse kaa või?Või pääses alaealiseks olemise tõttu?Ei ole selle loo lõpust midagi kuulnud.... -
ahhsoojahh,et mitte spetsialiste jälle mu sõnakasutuse pärast närvi ajada,siis õigem oleks vist ütelda mitte päringud ega klikkimised,millele rünnatav server ei oska vastata,kuigi üritab nagu iga korraliku klikkija puhulgi....vaid see sõna on ping'imine
:-) -
teremere
Servereid mitte ei pingita surnuks üldjuhul (kuigi ka see on võimalik). Tegemist on ikkagi päringutega. Webiserverite puhul siis küsitakse mõnda suuremat arvutamist / andmebaasipäringuid tegevat lehte. Ja webiserveritele ei valmista mitte mingit muret see, et nad ei tea, kustkohast tulnud on päring, vaid see, et neil on liiga palju samaaegseid päringuid töötlemisel, mille tõttu ei suudeta vastata päris klientidele, kes ikka tahaksid lehte kah näha.
Ja ma usun, et Rx mõtleski nii, et rünnaku korraldaja on üks, lihtsalt on ründavaid arvuteid palju ja üle maailma. -
ardoh,
seda ma tean kohe päris kindlasti,et webiserverite põhimureks on, et nad ei tea, kustkohast on tulnud nn.päring...ja "seetõttu on need päringud samaaegsel töötlemisel,mille tõttu ei suudeta vastata päris klientidele, kes ikka tahaksid lehte kah näha."
nn.vastatavate päringute suure hulga puhul poleks asi sugugi nii hull...
PS.kuidas seda päringut inglise keelde tõlgitakse? -
teremere
Aitab juba sinu "teadmistest". Mismõttes webiserver ei tea, kustkohast tuleb päring? IP aadress, kust päring tuleb, on ju webiserverile teada .. mis siis teadmata on?
Ja üldse, abiks lugeda Rx -i antud DoS faq -i:
1.0 What are Denial of Service (DoS) attacks?
Denial of service attacks are simple and usually quite effective. An attacker attempts to overwhelm a service with requests, similar to a 5 year old constantly tugging on his mother's sweater while she is trying to have a phone conversation, you can only do so many things at a time. For example if you have a mail server capable of receiving and delivering 10 messages a second an attacker simply sends 20 messages per second, chances are the legitimate traffic (as well as a lot of the malicious traffic) will get dropped, or the mail server might stop responding entirely. Typically attackers will go for high visibility targets such as the web server, or for infrastructure targets like routers and network links.
Ja päring on inglise keeles request. -
ardoh: suured tänud kena definitsiooni eest.
Muide IP aadressi maskeerimine on lihtne probleem. Ehk tuleb meelde 1.5 aastat tagasi Eesti netiserveritesse tehtud ulatuslik request? See pärines justkui Iisraelist...
Rünnaku objektideks on kogu neti riistvara. Sinu poolt mainitud asjad on meedias rohkem kajastamist läinud.
Võid ohvriks olemist ise proovida: pane arvuti netti üles enne tulemüüri installeerimist... -
Aitab juba minu "teadmistest"...?
:-D
"Mismõttes webiserver ei tea, kustkohast tuleb päring?"...ma siiski igaks juhuks sulle seltama ei hakka,mine tea proovid veel kodus ise järgi teha.So,request genied...
:-) -
so ardoh jahh,
request was denied....not genied of course. -
Ping ei kõlba vähegi tõsisemaks ründamiseks küll kuigi hästi, seda on imelihtne blokeerida. Seda tüüpi attackiga saavad isegi Privadori tulemüürid väikese sättimise peale väga libedalt hakkama :).
-
tarmo,
kõik on imelihtne kui sa tead,mida sa teed.Seda tüüpi attackiga näe microsoft hakkama siiski ei saanud...
"ping"-e (ICMP echo packets;UDP echo packets... ) siiski ei ole vaja blokeerida:-)blokeerida on vaja eelkõige "Invalid Source IP Addresses",jõudu tööle... -
teremere
IP spoofing on probleem, aga mitte webiserverite jaoks. Mina osutasin just webiserveritele. point @ "seda ma tean kohe päris kindlasti,et webiserverite põhimureks on, et nad ei tea, kustkohast on tulnud nn.päring.". Spoofitud ip aadressitega tegelevad muud tulemüürid, ruuterid jms masinad. -
ardoh,
no kui juba tähenärimiseks läks,siis minu teadmiste hulka ei kuulu teadmine,et tulemüür on masin...:-)
samuti jääb mulle mõistmatuks,kuidas masinasse "ruuter" installida tulemüür,mis tegeleks näiteks "IP spoofingu" probleemiga?Nii et minu "tarkus" on nüüd küll jahh,pean tunnistama,otsas...
olen nimelt rumala peaga arvanud, et tulemüür peaks masinas nimega (web-i,neti)server asjaga tegelema...
:-D -
teremere
Tulemüüriks võib nimetada nii tarkvara kui ka tarkvaraga varustatud masinat. Enamasti ongi tulemüür eraldiseisev masin, millel muud ülesannet ei olegi, kui ebameeldivate tegelaste tõrjumine ja korralike klientide lubamine soovitud teenusteni.
Ja meil on vist erinev arusaam mõistest "webiserver". Mina mõtlen webiserveri all arvutit, mille põhiülesanne on teenindada http(s) päringuid, Sina vist igasugust netti ühendatud masinat. Minu versiooni korral on tulemüür(id) ja webiserver(id) erinevad arvutid ning võltsitud ip aadressiga ja muud sedasorti päringud ei jõua webiserverini. Jah, ka webiserverisse on vastav tarkvara installeeritud, aga see on ainult lisaabinõu turvalisuse tõstmiseks.
Ja ruuter võib olla nii eraldi selleks otstarbeks mõeldud seade (Cisco jms) või lihtsalt üks arvuti, mis on sellist ülesannet täitma pandud. Ja ka ruuterid peavad olema valmis rünnaku vastu, mis on nende pihta suunatud .. -
nohh ardoh,
kahepeale saame siis asja rahvale ikka ära seletatud...:-)
sinu DoS faq:"Typically attackers will go for...web server,...routers and network links."
Nii et jahh,ma siiski ei pea igat netti ühendatud arvutit webi serveriks,nagu seda vast ei tee ka su DoS-faq.
Nohh,kui keegi kasutab tõepoolest "lihtsalt üks arvuti, mis on sellist ülesannet täitma pandud" "ruuterite" ja networklinkide asemel,siis jahh ei pruugi DoS attack olla suunatud vaid web serveri vastu...Aga nohh,milleks raisata aega mingite vereringe-komponentidega,kui südamesse,webi serverisse torkamine tundub olevat efektiivsem võimalus,et http päringud mõneks ajaks seisma panna.Ja me vaidlus sai alguse sellest,et sa väitsid,et tegemist on väga paljude nn.http päringutega ehk requestidega webi serverite aadressil.Ei ole nii,on nii et tegemist on webi serverite ( Typically attackers will go for...web server..) "ping"-imisega,(ICMP echo packets;UDP echo packets... )
Erinevate "echo packets"-ite järgi on erinevail DoS attackidel isegi ju erinevad hellitusnimed:DDOS, SMURF, FRAGGLE, TRINOO
Nohh,nüüd peaks asi küll isegi Graafikule selge olema...:-)
..kui sul, ardoh pole juhuslikult midagi lisada?Nohh,oli meeldiv sinuga sarvi kokku lüüa.Et su pea ka minu omast pehmem ei ole...
:-) -
Ja mitte-IT-inimestel oli meeldiv võimalus nii mõnigi asi selgel ja populaarsel kujul puhtas maakeeles omale selgeks saada :-)))
Thanks, ardoh & teremere! -
Kena keik, teremere,
aga alati ei ole veebiserver kui "süda" kergesti haavatav. Nii võib see olla ainult väikese workload-i ja/või madalat käideldavust nõudvate teenuste juures. Suuremad "serverid" koosnevad ikkagi sadadest või tuhandetest füüsilistest arvutikastidest, milest siis spetsiaaltarkvara ja/või riistvara abil cluster on loodud. Selline cluster ehk 'kobar' paistab meile Internetist üheainsa "serverina". Paremal juhul on kobarasse kuuluvad serverid ka geograafiliselt hajutatult, et suurendada kättesaadavust ka võrguseadmetele suunatud ründe korral. -
teremere
Nää, juba hakkame jõudma oma jutus enamvähem samasse kohta. Siiski: webiserverite ründamiseks DoS -i abil kasutatakse siiski kõige sagedamini http päringutega ülekoormamist. Tahestahtmata on lehekülgi, mille loomiseks on vaja teha väga laialdasi andmebaasipäringuid, mis võtavad aega & koormavad protsessorit. Suure hulga samaaegsete päringute korral on võimalik tõsta webiserveri load average nii kõrgele, et ta ei suuda enam järgnevaid päringuid ära teenindada. Või siis sureb üldse ära eriti musta stsenaariumi korral.
Tavaliselt on tulemüürid seadistatud pidevalt korduvate korral lisama päringute algkoha blokeeritud hostide nimekirja. Siit ka DDoS -i põhjus: päringud tulevad erinevatest arvutitest ja ükski neist ei ületa kriitilist piiri, mille korral blokeeritud saaks.
Ja Rx -il on täiesti õigus, et südat polegi kõige mõttekam alati rünnata. Seda näitas ka Microsofti juhtum, kui ei rünnatud mitte webiserverit vaid DNS -i ehk nimeserverit. Webiserverite vastu suunatud rünnakuga oleks sama suurte tagajärgede saavutamine märgatavalt keerulisem olnud, see oleks tähendanud tuhandete arvutite töö häirimist ühe sõlmpunkti asemel.
Teine näide oli umbes poolteist aastat tagasi, kui ühe sõlmpunkti vastu toime pandud rünnaku tagajärjel kogu Eesti välisühendus häiritud.
