Contenuti

w/arc DDOS: che mostri sono?

A meno che non siate vissuti isolati nei mesi scorsi, avrete sicuramente sentito parlare dei sabotaggi recentemente effettuati contro alcuni dei principali siti Internet.
Numerosi BIG della Rete sono stati messi in ginocchio da quello che sembra essere stato il più massiccio attacco mai lanciato contro importanti portali e siti web.
Yahoo! è stato il primo a subirli, avendo riportato un blackout di tre ore domenica 6 febbraio 2000.
Buy.Com non era raggiungibile la mattina di lunedì 7, CNN ed eBay non lo erano nel pomeriggio, mentre Amazon e Zdnet sono rimasti isolati parecchie ore la notte di lunedì.

Articoli tecnici hanno spiegato il fenomeno come un Distributed Denial of Services attack (DDoS): un genere di attacco nel quale i cosiddetti pirati (crackers) attivano un numero elevatissimo di false richieste da più macchine allo stesso server consumando le risorse di sistema e di rete del fornitore del servizio. In questo modo il provider “affoga” letteralmente sotto le richieste e non è più in grado di erogare i propri servizi, risultando quindi irraggiungibile.

Alcuni dei network provider coinvolti hanno dichiarato di essere stati sommersi da oltre 1 Gb al secondo di traffico.
Anche se questo genere di attacco non è affatto nuovo sulla Rete, non ne erano mai stati rilevati su così vasta scala e su così tanti obiettivi importanti quasi in contemporanea.
Gli antenati degli attuali attacchi si manifestavano andando ad esaurire risorse hardware della vittima, quali lo spazio su disco, la memoria e la CPU: ciò era ottenibile spedendo pochi pacchetti malformati che mandavano in crash il sistema remoto. Il più noto tra le utility di questo genere è stato Nuke e il più popolare WinNuke, che mandava in crash il famoso OS della casa di Redmond (WinNuke è ancora in grado di mandare in crash molte macchine desktop Win95 e server NT se non hanno applicato le opportune patch).

Il primo (e il più abusato) prodotto di DoS che ha acquisito notorietà è stato lo smurf attack che tutt’oggi è in grado di paralizzare reti con tecnologie non aggiornate (generalmente piccole/medie aziende e ISP locali).
In seguito è venuto The LowDown, conosciuto anche come Network Saturation Attack o Bandwidth Consumption Attack: un nuovo attacco DoS in grado di inondare un network di un numero impressionante di pacchetti. I router e server che subiscono l’attacco, nel tentativo di gestire correttamente il traffico compiono un eccessivo lavoro che li mette in crisi. Ovviamente l’eccesso di traffico ostile rende impossibile anche il traffico lecito (posta, web, ecc.) bloccando quindi in pochi minuti intere reti.

La generazione successiva (l’attuale) è appunto quella dei Distributed Denial of Service (DDoS) attack. Spingendo all’eccesso l’idea del network saturation attack, il DDoS ripete lo stesso approccio utilizzando però diversi punti d’ingresso contemporanei: in questo modo un cracker è in grado di mettere in ginocchio sistemi più grandi che sarebbero indifferenti ad un singolo flood. Per effettuare questo genere di operazione si deve poter installare un proprio agente sui sistemi da cui si vuole scatenare l’attacco stesso.

È quindi una tecnica che viene preparata per tempo, attrezzandosi con un pool di macchine compromesse da poter scagliare contro il sistema vittima.
David Dittrich ha fatto un eccellente lavoro descrivendo i diversi tools attualmente usati per questo genere di attacco. L’analisi di questi prodotti è disponibile su http://staff.washington.edu/dittrich/misc; nello specifico:

Sulla Rete sono disponibili alcune note sul workshop del CERT (Computer Emergency Response Team) presso: http://www.cert.org/reports/dsit_workshop.pdf e alcune note esplicative su: http://staff.washington.edu/dittrich/talks/cert/

Il CERT ha inoltre pubblicato un avviso a questo riguardo proprio lo scorso mese di gennaio: http://www.cert.org/advisories/CA-2000-01.html

Tra le diverse ipotesi prese in considerazione vi è anche quella di un’azione portata avanti dai servizi segreti americani per sensibilizzare l’opinione pubblica sulla questione della sicurezza su Internet e far approvare più rapidamente il nuovo testo di legge (Electronic law enforcement), che introduce severe restrizioni e controlli sulla Rete. Maggiori dettagli su questa ipotesi presso http://listserv.syr.edu/scripts/wa.exe?A2=ind0002&L=foi-l&F=&S=&P=9484

In realtà questi attacchi sono resi possibili dall’attuale implementazione del protocollo TCP/IP. Per una scelta di realizzazione, infatti, non è stata posta particolare sicurezza sull’identificazione del mittente di ogni pacchetto e se questo da una parte consente garanzie di anonimato, dall’altro può essere sfruttato con apposite tecniche per far credere che il pacchetto provenga da sistemi differenti da quello effettivo. Queste limitazioni saranno in parte superate dalla prossima adozione di IPv6.

Ad oggi non esiste una soluzione unica al problema ma esistono molti modi per tutelarsi; qui di seguito ne presentiamo alcuni..

Network Incoming Filtering

Tutti gli ISP dovrebbero implementare dei filtri in ingresso sui propri router e firewall in modo da bloccare i pacchetti che contengano informazioni alterate sulla loro provenienza (in gergo SPOOFED).
Anche se questo accorgimento non impedisce il verificarsi di un attacco, consente di ricostruire la provenienza dei pacchetti in maniera più semplice e veloce.

Limit Network Traffic

La maggior parte dei router consente oggi di limitare la quantità di banda usata da un particolare servizio.
Questa capacità è spesso definita come traffic shaping o Quality of Service (QoS) ed è implementabile anche utilizzando una piccola macchina Linux come gateway.
La Cisco chiama questa capacità Committed Access Rate (CAR).
Sfruttando questa caratteristica, per esempio, è possibile configurare i propri sistemi in modo da fornire più banda ai servizi web a discapito di altri servizi (per esempio ftp).
Com’è facilmente intuibile, questa capacità può essere usata anche in maniera reattiva per fermare un DDoS.
Per esempio se l’attacco usa pacchetti ICMP o pacchetti TCP SYN è possibile configurare i sistemi in modo da limitare la banda utilizzabile da questi pacchetti.
Per maggiori informazioni http://www.cisco.com/warp/public/707/newsflash.html

Intrusion Detection Systems e Host Auditing Tools

È possibile utilizzare un Intrusion Detection System o un tool di auditing per identificare malintenzionati mentre cercano di comunicare con i loro sistemi slave, master o agent. Ciò consente di sapere se alcune macchine all’interno della propria rete sono utilizzate per lanciare un genere di attacco conosciuto ma non sempre sono in grado di identificare nuove varianti o prodotti nuovi.
La maggior parte delle soluzioni commerciali sono ormai in grado di riconoscere Trinoo, TNF o Stacheldraht.
L’FBI fornisce gratuitamente un prodotto chiamato “find_ddos” che cerca all’interno del filesystem prodotti di DDoS quali Trinoo, TNF, TNF2K e Stacheldraht.

Network Auditing Tools

Sono numerosi i programmi che consentono l’analisi di una intera rete aziendale per verificare la presenza di agenti per DDoS.
Dave Dittrich, Marcus Ranum e altri esperti hanno sviluppato un prodotto di cui rilasciano anche i sorgenti denominato dds: [http://staff.washington.edu/dittrich/misc/ddos_scan.tar] http://staff.washington.edu/dittrich/misc/ddos_scan.tar con il quale è possibile identificare Trinoo, TFN e Stacheldraht.