2021. október 28., csütörtök

DDoS támadások

 A tudást jóra is rosszra is lehet használni, én oktatási céllal teszem ezt fel! Az elosztott szolgáltatás megtagadással járó támadás (Distributed Denial-of-Service) ezt a módszert használja, mert az ártó szándékú csomagok (forgalom) számítógépek százairól, ezreiről vagy akár millióiról is érkezhet egyszerre. Ha csak egyetlen forrása van a támadásnak, azt nevezzük simán szolgáltatás megtagadással járó támadásnak (angolul DoS attack). Az elosztott szolgáltatás megtagadási (DDoS) támadás egy rosszindulatú kísérlet egy megcélzott szerver, szolgáltatás vagy hálózat normál forgalmának megzavarására azáltal, hogy a célpontot vagy a környező infrastruktúrát internetes forgalom áradatával túlterheli. A DDoS-támadások úgy érik el a hatékonyságot, hogy több kompromittált számítógépes rendszert használnak támadási forgalom forrásaként. A kihasznált Gépek között lehetnek számítógépek és egyéb hálózati erőforrások. Valójában a DDoS támadás olyan, mint egy váratlan forgalmi dugó, amely eltorlaszolja az autópályát, és nem találja a módját, hogy a rendes forgalom célba érjen.

Hogyan működik a DDoS támadás?

A DDoS támadásokat az internetre csatlakozó gépek hálózatán hajtják végre. Ezek a hálózatok olyan számítógépek és egyéb eszközökből (IT-eszközökből) vannak, így vannak rosszindulatú programokkal fertőzöttek meg , a támadók távolról irányíthatják őket. Ezek az egyes eszközöket botoknak (vagy zombiknak) nevezik, a robotok egy csoportját pedig botnetnek. A botnet létrehozása után a támadó képes támadást irányítani azáltal, hogy távoli utasításokat küld az egyes botoknak. Amikor az áldozat szerverét vagy hálózatát célozza meg a botnet, minden bot kérést küld a cél IP-címére , ami potenciálisan túlterhelt teheti a szervert vagy a hálózatot, ami a normál forgalom szolgáltatásmegtagadását biztosíti . Mivel minden bot legitim internetes eszköz, nehéz lehet a támadási forgalom kizárása a normál forgalomtól.

Hogyan lehet azonosítani a DDoS támadást?

A DDoS-támadások legnyilvánvalóbb tünete, hogy egy állandó vagy szolgáltatástalan hirtelen lelassul vagy elérné válik. De mivel számos ok – a forgalom ilyen jogos megugrása – hasonló teljesítményproblémákat okozhat, általában további vizsgálatra van szükség. A forgalomelemző eszközöknek észlelni a DDoS-támadás néhány árulkodó jelét. Gyanús mennyiségű forgalom egyetlen IP-címről vagy IP-tartományból. Az egyetlen viselkedési profilt (eszköztípust, földrajzi elhelyezkedést vagy webböngés-verziót) megosztó felhasználók forgalomára. Különös forgalmi minták, például kiugrások a nap páratlan óráiban vagy természetellenesnek tűnő minták (pl. 10 percenkénti kiugrás) A DDoS-támadásnak más, specifikusabb jelei vannak, amelyek a támadás típusától függően változhatnak.

Melyek a DDoS támadások gyakori típusai?

A különböző típusú DDoS-támadások a hálózati kapcsolat különböző összetevőit célozzák. A különböző DDoS-támadások működésének megértéséhez tudnia kell, hogyan jön létre a hálózati kapcsolat. Az internetes hálózati kapcsolat számos különböző összetevőből vagy „rétegből” áll. A ház alapjaitól való felépítéshez hasonlóan a modellben minden rétegnek más a célja. Az alábbiakban bemutatott OSI-modell egy fogalmi keretrendszer, amelyet hálózati kapcsolat leírására használnak 7 különböző rétegben.

https://www-cloudflare-com.translate.goog/learning/ddos/what-is-a-ddos-attack/?_x_tr_sl=en&_x_tr_tl=hu&_x_tr_hl=hu&_x_tr_pto=nui,op,sc

Példátlan méretű és intenzitású túlterheléses (DDoS) támadás ért több magyarországi vállalatot és szervezetet. A támadást a Magyar Telekom erre létrehozott csoportja észlelte a KIBEV tehetetlen. Többnyire orosz, kínai és vietnami hackerek állhattak a túlterheléses támadás mögött, melynek fő célpontjai a hazai pénzügyi intézetek lehettek, de a Magyar Telekom hálózatát is erősen leterhelte a támadásikísérlet. A támadás több hullámban érkezett külföldi szervereken keresztül. A tapasztalt intenzitás tízszerese volt az eddig megszokott hasonló hackertámadások intenzitásának, így bátran nevezhető minden idők egyik legnagyobb támadássorozatának a hazai infrastruktúra és intézményrendszer ellen. Világosan látszik, hogy az elmúlt időszakban a támadások mértéke nagyon intenzíven nő.  A legnagyobb mértékű támadás során akár másodpercenként (sic!) 2.3 terabit adatmennyiséggel próbálják leterhelni a szervereket. A Nemzeti Kibervédelmi Intézet vagy tehetetlen, vagy késve reagál. A biztonsághoz SOC (Security Operations Center) kapacitást  kellene kiépíteni, vagy esetleg szolgáltatásként is igénybe lehet venni. Magyarországon ez az építkezés még csupán az elmúlt pár évben indult el és még sok szervezetnél nem vesznek igénybe ilyen szolgáltatást. A támadáskor több százezer IP címről ömlik befelé a hihetetlen mennyiségű adatcsomag, ami leterheli a hálózati kommunikációért felelős eszközöket és kitömi a rendelkezésre álló a sávszélességet. Ilyenkor minden beszerezhető információ létfontosságú, és gyorsan kell reagálni. Fontos az információmegosztás minősége is. A Nemzeti Kibervédelmi Intézet néhány jótanáccsal szolgál a mezei felhasználóknak.
https://nki.gov.hu/it-biztonsag/tanacsok/

A sérülékenységek ismerete fontos feladat.
https://nki.gov.hu/figyelmeztetesek/serulekenysegek/

Már a linux sem biztonságos

A sudo egy hatékony segédprogram, amelyet a legtöbb, ha nem az összes Unix és Linux alapú operációs rendszer tartalmaz. A segítségével a felhasználók képesek programokat futtatni akár egy másik felhasználó biztonsági privilégiumaival is. Maga a sebezhetőség 10 éven keresztül rejtőzött a forráskódban. 2011 júliusában vezették be (commit 8255ed69) és az összes korábbi verzió 1.8.2-től az 1.8.31p2-ig ─ beleértve a stable verziókat 1.9.0-től 1.9.5p1-ig ─ alapértelmezett konfigurációjában megtalálható a probléma. A sebezhetőség sikeres kihasználásával bármely jogosultsági szinten lévő lokális felhasználó képes root jogosultságot szerezni a sebezhető gazdagépen. A Qualys biztonsági kutatói a sebezhetőséget Ubuntu 20.04 (sudo 1.8.31), Debian 10 (sudo 1.8.27) és a Fedora 33 (sudo 1.9.2) operációs rendszerek esetében tesztelték, azonban az más operációs rendszerek és disztribúciók esetében is kihasználható lehet.
Amint a Qualys kutatócsoport megerősítette a sérülékenységet, felelősségteljesen nyilvánosságra hozta a biztonsági rést és felvette a kapcsolatot a sudo írójával és a nyílt forráskódú disztribúciókkal.

https://blog.qualys.com/vulnerabilities-threat-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit

A virtuális pc sérülékenysége

A VMware Workstation segítségével Linux, illetve MS Windows környezetben hozhatunk létre és futtathatunk virtuális PC-t. A most ismertetett sérülékenységek kihasználásához előzetes hozzáférés szükséges, azonban a CVE-2020-4005 számon nyilvántartott sérülékenység csak más sérülékenységekkel együtt (pl. a most nyilvánosságra került CVE-2020-4004) használható ki. Sikeres kihasználás esetén a támadó emelt szintű hozzáférést, illetve tetszőleges kódfuttatási jogosultságot szerezhet.


Az Apache HTTP Server hibái

Az Apache HTTP Server egy ingyenes és nyílt forrású webszerver. A fenti számú sérülékenységek sikeres kihasználásával a jogosultsággal nem rendelkező, távoli támadó un. fájl-bejárásos támadást hajthat végre. Az Apache HTTP szervereket érintő sérülékenységek váltak ismertté, amelyeket kihasználva a jogosultsággal nem rendelkező, távoli támadó ún. fájl-bejárásos támadást hajthat végre. Az ilyen típusú támadások lehetővé teszik a korlátozott elérésű könyvtártartalmak megismerésének, illetve módosításának lehetőségét is. A most nyilvánosságra került sérülékenységek kritikus kockázati  besorolásúak.

Érintett verziók:

Apache HTTP Server 2.4.49 verzió – csak a CVE-2021-41733 sérülékenység érinti
Apache HTTP Server 2.4.50 verzió – csak a CVE-2021-42013 sérülékenység érinti
A gyártó honlapján közzétette a hibák javítását tartalmazó frissítéseket.

A WordPress hiba

A WordPress nyílt forráskódú, PHP alapú tartalomkezelő és blog rendszer, ami a MySQL adatbáziskezelőt használja adattárolásra. A File Manager lehetővé teszi, hogy közvetlenül a backend-ben legyenek elvégezhetőek a különböző fileműveletek (pl.: szerkesztés, törlés, tömörítés, feltöltés). A most ismertetett sérülékenység hátterében a connector.minimal.php szkript által nem megfelelően elvégzett fájlkiterjesztés ellenőrzés áll. Sikeres kihasználás esetén a támadó tetszőleges kódfuttatási jogosultságot szerezhet az érintett weboldal vonatkozásában, illetve káros tartalmú fájlokat tölthet fel oda.
A WordPress tartalomkezelő File Manager pluginját érintő – magas kockázati besorolású – sérülékenység vált ismertté, amelyet kihasználva a távoli támadó tetszőleges kódfuttatási jogosultságot szerezhet az érintett weboldal vonatkozásában, illetve káros tartalmú fájlokat tölthet fel a támadott oldalra.
Érintett verziók:

WordPress File Manager  6.9 előtti verziók
A kapcsolódó frissítés elérhető a gyártó által biztosított hozzáférésen keresztül.

Általában a DDos (elosztott szolgáltatásmegtagadás) több címből származik, így nem kell egyetlen IP-címet leírnia. Csak tiltsd le a feszítőfát, hozz létre egy hurkot a hálózatban
Gnu ping ping -b -f <cím>

https://www.guru99.com/ultimate-guide-to-dos-attacks.html1

A DDos véletlenszerű csomagokat generál hamisított IP-címekkel. 

Íme egy példa

https://packetstormsecurity.com/files/25599/nemesy13.zip.html

Veszélyes csak tesztelésre!

Nemesy – ez az eszköz véletlenszerű csomagok generálására használható. Windowson működik. Ez az eszköz letölthető a http://packetstormsecurity.com/files/25599/nemesy13.zip.html címről . A program jellegéből adódóan, ha van vírusirtója, azt nagy valószínűséggel vírusként észleli.
Land és LaTierra – ez az eszköz IP-hamisításra és TCP-kapcsolatok megnyitására szolgál.
Blast – ez az eszköz letölthető a http://www.opencomm.co.uk/products/blast/features.php címről
Párduc – ez az eszköz használható az áldozat hálózatának elárasztására UDP-csomagokkal.
Botnetek – ezek az interneten feltört számítógépek sokasága, amelyek felhasználhatók elosztott szolgáltatásmegtagadási támadások végrehajtására.

Nézzük meg, hogyan hajtják végre a DoS támadásokat és milyen technikákat alkalmaznak. A támadások öt gyakori típusát vizsgáljuk meg.

Ping of Death
A ping parancsot általában egy hálózati erőforrás elérhetőségének tesztelésére használják. Úgy működik, hogy kis adatcsomagokat küld a hálózati erőforrásnak. A ping of death ezt kihasználja, és a TCP/IP által megengedett maximális határ (65 536 bájt) feletti adatcsomagokat küld. A TCP/IP-töredezettség a csomagokat kis darabokra bontja, amelyeket a szervernek küldenek. Mivel a küldött adatcsomagok nagyobbak, mint amennyit a kiszolgáló kezelni tud, a szerver lefagyhat, újraindulhat vagy összeomolhat.

Törpe

Ez a fajta támadás nagy mennyiségű Internet Control Message Protocol (ICMP) ping forgalmi célpontot használ egy internetes műsorszórási címen. A válasz IP-címét a szándékolt áldozat címére hamisítják. Az összes válasz az áldozatnak kerül elküldésre a pingeléshez használt IP helyett. Mivel egyetlen internetes műsorszórási cím legfeljebb 255 gazdagépet támogathat, a törpetámadás egyetlen pinget 255-ször erősít fel. Ennek következtében a hálózat olyan mértékben lelassul, hogy már nem lehet használni.

Puffer túlcsordulás

A puffer egy ideiglenes tárolóhely a RAM-ban, amely az adatok tárolására szolgál, hogy a CPU manipulálni tudja azokat, mielőtt visszaírná a lemezre. A pufferek méretkorlátozással rendelkeznek. Az ilyen típusú támadások több adattal töltik meg a puffert, amelyet tárolni tud. Ez a puffer túlcsordulását okozza, és megsérti a benne tárolt adatokat. A puffertúlcsordulásra példa az e-mailek küldése 256 karakterből álló fájlnevekkel.

Könnycsepp

Ez a fajta támadás nagyobb adatcsomagokat használ. A TCP/IP töredékekre bontja őket, amelyeket a fogadó gazdagépen állítanak össze. A támadó úgy manipulálja a csomagokat, ahogy elküldik őket, hogy átfedjék egymást. Ez a szándékolt áldozat összeomlását okozhatja, amikor megpróbálja újra összeállítani a csomagokat.

SYN támadás

A SYN a szinkronizálás rövid formája. Ez a fajta támadás kihasználja a háromirányú kézfogást a TCP használatával történő kommunikációhoz. A SYN támadás úgy működik, hogy elárasztja az áldozatot hiányos SYN üzenetekkel. Ez azt eredményezi, hogy az áldozat gép olyan memóriaerőforrásokat foglal le, amelyeket soha nem használ, és megtagadja a hozzáférést a jogos felhasználóktól.
Botnetek – ezek az interneten feltört számítógépek sokasága, amelyek felhasználhatók elosztott szolgáltatásmegtagadási támadások végrehajtására.

Csak biztonságos szeparált és zárt környezetben szabad kipróbálni!

 Tesztelési céllal indítsunk DOS-támadást ebben a gyakorlati forgatókönyvben a Nemesy segítségével adatcsomagokat generálunk, és elárasztjuk a célszámítógépet, útválasztót vagy szervert. Ahogy fentebb említettük, a Nemesyt a vírusirtó illegális programként fogja észlelni. Ehhez a gyakorlathoz le kell tiltania a víruskeresőt. 
Töltse le a Nemesy-t a http://packetstormsecurity.com/files/25599/nemesy13.zip.html webhelyről
Csomagolja ki és futtassa a Nemesy.exe programot A következő felületet kapod Végső útmutató a DoS (szolgáltatásmegtagadási) támadásokhoz Adja meg a cél IP-címet ebben a példában; a fenti példában használt cél IP-t használtuk.
A 0 a csomagok száma végtelent jelent . Beállíthatja a kívánt számra, ha nem akar végtelen adatcsomagokat küldeni a méret mező határozza meg az elküldendő adatbájtokat, a késleltetés pedig az időintervallumot ezredmásodpercben. Kattintson a küldés gombra A következő eredményeket kell látnia
Végső útmutató a DoS (szolgáltatásmegtagadási) támadásokhoz A címsor mutatja az elküldött csomagok számát; Kattintson a leállítás gombra, hogy leállítsa a program adatcsomagok küldését. Figyelemmel kísérheti a célszámítógép feladatkezelőjét a hálózati tevékenységek megtekintéséhez.

Következtetés
A szolgáltatásmegtagadási támadás célja, hogy megtagadja a jogos felhasználók hozzáférését egy erőforráshoz, például hálózathoz, szerverhez stb.
Kétféle támadás létezik, a szolgáltatásmegtagadás és az elosztott szolgáltatásmegtagadás.
Szolgáltatásmegtagadási támadás végrehajtható a SYN Flooding, Ping of Death, Teardrop, Smurf vagy puffer túlcsordulás használatával az operációs rendszerek, az útválasztó konfigurációja, a tűzfalak és a behatolásérzékelő rendszerek biztonsági javításai használhatók a szolgáltatásmegtagadási támadások elleni védelemre.

A tesztelés sikeres!

http://www.gregthatcher.com/Azure/Ch5_HowToStopADenialOfServiceAttack.aspx?AspxAutoDetectCookieSupport=1

Hogyan blokkolhatja a támadást a webhelyéről
A támadás blokkolása az útválasztó(k) csomagszűrőivel
Ez messze a legjobb módszer, és ha megteheti, akkor nagyjából kész is van, kivéve, hogy még mindig jó ötlet felvenni a kapcsolatot a többi internetszolgáltatóval, akik a támadás áldozatai. A legtöbb internetszolgáltatónak van egy csomó útválasztója. A legjobb eredmény elérése érdekében tegye ezt a "határmenti" útválasztó(k)on (azokon, amelyek a hálózat és a külvilág határán vannak), vagy a terhelés csökkentése érdekében a támadott géphez legközelebb eső útválasztón.

Íme néhány külső cikk, amelyet hasznosnak találhat:

A hozzáférési listák beállításának alapjai
IP hozzáférési listák konfigurálása
Wikipédia-cikk a szabványos ACL-ekről
A legtöbb cikk a Cisco útválasztókra vonatkozik. Ha Ön (vagy internetszolgáltatója) nem Cisco útválasztót használ, az útválasztója minden bizonnyal hasonló parancsokkal rendelkezik. pl. itt van egy parancs egy Pix tűzfalhoz: shun 216.36.50.65

Íme néhány parancs egy Cisco útválasztóhoz:

Router_A(config)#access-list 1 deny 216.36.50.65 0.0.0.0
Router_A(config)#access-list 1 deny 69.163.239.247 0.0.0.0
A Router_A(config)#access-list 1 bármilyen lehetőséget engedélyez
Ha az Ön támadója technikailag fejlettebb, mint az enyém, érdemes áttekintenie a Cisco stratégiáit az elosztott szolgáltatásmegtagadási (DDoS) támadások elleni védelemre .

A támadás blokkolása a Windows tűzfal konfigurálásával.
Ha nem tudja blokkolni a hacker forgalmat útválasztókon keresztül a fent leírtak szerint, akkor valószínűleg ez a legjobb alternatíva. Íme egy cikk, amely bemutatja, hogyan állíthatja be a Windows tűzfalat Speciális biztonsággal grafikus felület segítségével . Én személy szerint inkább egy cmd promptot használok, és létrehozok egy szkriptet, amely így néz ki:

netsh advfirewall tűzfal törlés szabály name="disallow Hacker IP"

# figyelmen kívül hagyja a tördelést, ennek mind egy sorban kell lennie
netsh advfirewall tűzfal add szabály name="disallow Hacker IP" action=block enable=yes profile=any 
localip=any protocol=any dir=in remoteip=67.219.58.161,69.163.239.247,174.122.60.235,216.36.57.157

        
Megjegyzés: Ha a fejlesztőgépe _nem_ Windows 2008 Server R2 rendszerű gép, akkor előfordulhat, hogy a futtatáshoz módosítania kell néhány paramétert, mivel a netsh parancs paraméterei látszólag Windows-verziónként eltérőek.

A szkript használatának van néhány előnye:

Ha olyan platformra telepít, mint az Azure , akkor ezt egy indítási szkriptként is megvalósíthatja, így minden olyan webszerepkör-példányra telepítve lesz, amely a webkiszolgáló kódját futtatja. A netstat és a PowerShellhez hasonló parancsfájl-környezet használatával létrehozhat egy szkriptet, amely automatikusan blokkolja az IP-címeket, ha hackertámadást észlel.



Nincsenek megjegyzések:

Megjegyzés küldése