Η ιστορία του Denial of Service

Η ιστορία του Denial of Service

Κυριολεκτικά, Denial of Service σημαίνει »άρνηση εξυπηρέτησης». Στη γλώσσα των υπολογιστών σημαίνει να τίθεται εκτός λειτουργίας ένας απομακρυσμένος υπολογιστής. Αυτό το άρθρο είναι μια αναδρομή στην ιστορία και εξέλιξη του DoS τα τελευταία χρόνια.

Ιδιαιτερότητες

Η ουσιαστική ιδιαιτερότητα των επιθέσεων DoS είναι ότι μέσω μιας σύνδεσης TCP/IP, άρα και μέσω του Internet, μπορεί να θέσει κανείς έναν υπολογιστή εκτός λειτουργίας σε οποιοδήποτε μέρος του κόσμου και αν βρίσκεται. Οι επιθέσεις DoS είχαν πάντα ως στόχο αδυναμίες και bugs της εφαρμογής του πρωτοκόλλου TCP/IP. Παρ΄ όλο που αυτές οι αδυναμίες ήταν γνωστές από πολύ καιρό, δεν χρησιμοποιήθηκαν για τέτοιους σκοτεινούς σκοπούς, παρά μόνο όταν εμφανίστηκαν τα κατάλληλα, εξειδικευμένα προγράμματα που τις εκμεταλλευόταν.

Ενα επίσης περίεργο χαρακτηριστικό είναι ότι, παρ΄ όλο που και τα συστήματα UNIX εκ κατασκευής δεν ήταν ιδιαίτερα ασφαλή από τέτοιου είδους επιθέσεις, έχει γίνει περισσότερο λόγος για τα συστήματα με λειτουργικό Windows. Αυτό ίσως οφείλεται στο ότι το βασικό χαρακτηριστικό μιας επίθεσης DoS, η μπλε »οθόνη του θανάτου», ήταν ένα προνόμιο των Windows.

Επίσης θα έπρεπε να αναφέρουμε ότι για το μέσο χρήστη, μια επίθεση DoS δεν ήταν εύκολα αναγνωρίσιμη, ώστε να δώσει κανείς περισσότερη σημασία, ακριβώς γιατί η μπλε οθόνη του θανάτου ήταν συχνός σύντροφος κάθε χρήστη Windows.

Τύποι Επιθέσεων

Land

Τρόπος λειτουργίας:

Πρόκειται για έναν σχετικά σύνθετο τρόπο επίθεσης, ο οποίος βασίζεται στη δημιουργία ενός πακέτου δεδομένων με ίδιο port εισόδου και εξόδου. Αν το πακέτο αυτό σταλεί στο ανοικτό port ενός δικτύου, λόγω των πολλών IP-Stacks, οδηγεί τον server σε κατάρρευση.

Ιστορικό

Το Land ήταν γνωστό από τα τέλη του 1997. Εχει εμφανιστεί με διάφορες μορφές και χρησιμοποιείται μέχρι σήμερα.

Παρατηρήσεις

Οι επιπτώσεις από επίθεση τέτοιου τύπου είναι περιορισμένες, λόγω του ότι οι επιθέσεις DoS είναι ήδη γνωστές στους Sysops και έτσι μπορούν να τις αναγνωρίσουν εύκολα και να λάβουν μέτρα. Στη διάδοση του Land έπαιξε ρόλο το ότι οι πολύ διαδεδομένοι CISCO Routers παρουσίαζαν πρόβλημα με το συγκεκριμένο τρόπο επίθεσης.

ΟΟΒ

Τρόπος λειτουργίας

Αυτός ο τρόπος επίθεσης βασίζεται σε μια αδυναμία του NetBIOS της Microsoft: Τη χρονική στιγμή που μέσω του Port 139 κατέληγαν στο σύστημα δεδομένα που ήταν διαφορετικά από τα αναμενόμενα, είχαμε ένα εντυπωσιακό crash.

Ιστορικό

Το πρώτο OOB utility ήταν το WiNuke και είδε το φως της ημέρας στις 7 Μαΐου του 1997. Διαδόθηκε αρκετά γρήγορα και έγινε πολύ αγαπητό, ενώ κυκλοφορούσαν updates μέχρι και τις αρχές του 1998. Τέλος στη διάδοσή του έβαλαν τα Windows 98, όπου το συγκεκριμένο bug του NetBIOS είχε διορθωθεί.

Παρατηρήσεις

Λόγω του εξαιρετικά πρωτόγονου bug, στο οποίο βασίστηκε ο συγκεκριμένος τρόπος επίθεσης, υπήρξε πληθώρα utilities που το εκμεταλλεύτηκαν. Πολλά από αυτά εξελίχθηκαν και σε μαζικά nuke που χρησιμοποιήθηκαν πολύ στο IRC και σε άλλα τέτοιου είδους services. Απέκτησαν δε την ονομασία »Good Night Kisses», καθώς συνήθως αποτελούσαν φιλοφρόνηση για κάποιον που εγκατέλειπε το chat.

Ping of Death

Τρόπος λειτουργίας

Τα πακέτα IP έχουν μέγεθος, συμπεριλαμβανομένου του IP Header, 65.535 bytes. Τα πακέτα αυτά διαχωρίζονται σε IP fragments που επανενώνονται στον παραλήπτη με τη χρήση μιας συγκεκριμένης παραμέτρου που συνοδεύει το fragment.

Αυτή η παράμετρος περιέχει όλη την πληροφορία για το fragment, πού θα τοποθετηθεί, πού ανήκει κλπ. Είναι πιθανό με αυτόν τον τρόπο, στο τελευταίο fragment να δοθεί παράμετρος, η οποία μαζί με το υπόλοιπο fragment να δίνει μια τιμή μεγαλύτερη από 65.535. Αυτά τα Ping είχαν ως αποτέλεσμα ένα Buffer Overflow. Αυτή η μέθοδος επίθεσης μπορεί να πραγματοποιηθεί τόσο με Ping και ICMP, όσο και με UDP ή TCP.

Παρ΄ όλο που μια πραγματική εντολή Ping δεν επιτρέπει πακέτα μεγέθους πάνω από 65.507 bytes ( συν 20 bytes IP-Header και 8 bytes ICMP-Header), η καινοτομία που περιγράψαμε παραπάνω, ήταν άλλο ένα χαρακτηριστικό των Windows.

Ιστορικό

Εμφανίστηκε στις αρχές του 1997 και είχε αντίκτυπο σε οτιδήποτε χρησιμοποιούσε IP-Stacks: PC, WC, Routers, εκτυπωτές, καφετιέρες.

Παρατηρήσεις

Το Ping of Death ήταν το πρώτο είδος επίθεσης με το οποίο έβγαζε κανείς κάποιον εκτός μάχης με τη χρήση μιας και μόνο απλής εντολής.

Smurf

Τρόπος Λειτουργίας

Αν στείλει κανείς ένα Ping προς μια διεύθυνση broadcast, τότε λαμβάνει μια αρκετά μεγάλη ποσότητα απαντήσεων. Αν παραποιήσει κανείς τη διεύθυνση του αποστολέα και βάλει στη θέση της τη διεύθυνση ενός υποψήφιου θύματος, το μόνο που χρειάζεται μετά είναι η μαζική αποστολή πακέτων Ping. Στέλνοντας, λοιπόν, κανείς 1.000 πακέτα ανά δευτερόλεπτο στη διεύθυνση broadcast, 1.000 servers θα απαντήσουν σε αυτό το broadcast, το οποίο σημαίνει ότι ο υπολογιστής-στόχος θα λάβει 1.000.000 πακέτα ανά δευτερόλεπτο, με αποτέλεσμα όλη αυτή η κίνηση να τον θέσει εκτός λειτουργίας.

Ιστορικό

Παρ΄ όλο που το πρόβλημα ήταν γνωστό από παλιά και ονομαζόταν ICMP Storm, διαδόθηκε ουσιαστικά με την εμφάνιση του Smurf τον Οκτώβριο του 1997.

Παρατηρήσεις

Πολλοί providers έχουν ταλαιπωρηθεί από αυτήν την ιστορία, με αποτέλεσμα να μείνουν εκτός λειτουργίας για πολλές ημέρες. Πάντως, η λύση του συγκεκριμένου προβλήματος είναι αρκετά απλή, αρκεί να μην επιτρέψει κανείς στους routers τη μεταβολή των IP-Broadcasts σε Ethernet-Broadcasts.

SYN-Flooding

Τρόπος Λειτουργίας

Οι συνδέσεις TCP δημιουργούνται από μια »χειραψία τριών δρόμων» (three way handshake). Οι επιθέσεις με τη μέθοδο του SYN-Flooding εκμεταλλεύονται τη διαδικασία αυτήν και έχουν ως βασικό χαρακτηριστικό το βομβαρδισμό του θύματος με πακέτα που έχουν μη πραγματική διεύθυνση αποστολέα. Ετσι, κατά την αποστολή του SYN-πακέτου, η απάντηση του υπολογιστή-θύματος στέλνεται στο πουθενά. Σε κανονικές συνθήκες αυτή η διαδικασία οδηγείται μετά από λίγο σε timeout και η σύνδεση αναφέρεται ως μη πραγματοποιήσιμη. Στην περίπτωση επίθεσης ο χρόνος μέχρι το timeout χρησιμοποιείται για το βομβαρδισμό με τέτοια απατηλά πακέτα, που έχουν ως αποτέλεσμα το γνωστό blue screen of death.

Ιστορικό

Το SYN-Flooding έγινε μόδα το φθινόπωρο του 1996.

Teardrop

Τρόπος λειτουργίας

Εχει μεγάλες ομοιότητες με το Ping of Death, καθώς χρησιμοποιεί και αυτό τα IP-Fragments. Υπερκαλύπτοντας τα IP-Fragments, εξασθενούσε τα Windows και το Linux, οδηγώντας τους υπολογιστές-στόχους σταδιακά σε ένα εντυπωσιακό crash.

Ιστορικό

Εμφανίστηκε τέλη του 1997.

Παρατηρήσεις

Ενα patch έβαλε τέλος στο χάος που προκάλεσε το συγκεκριμένο πρόγραμμα