Az internet és az infokommunikációs eszközök (IKT) elterjedésével ma már szinte minden számítógépeken és az ezeket összekapcsoló hálózatokon keresztül működik. A társadalom is egyre inkább támaszkodik rájuk és használja ezeket a technológiákat, mivel használatuk napjainkban megkerülhetetlenné vált. A globális internet és világhálózat kialakulásával és elterjedésével összhangban egyre több kiberbűnözői csoport és terrorista csoport jelent meg a kibertérben. Ezek a csoportok a kiberteret egyfajta fegyverként alkalmazzák céljuk elérése érdekében. A kiberbűnözői csoportok elsődleges célja általában a vagyonszerzés vagy az anyagi kár okozása. A terrorista csoportok vonatkozásában a toborzás, támogatók szerzése, propaganda, eszme terjesztése, valamint a figyelemfelkeltés, más néven a soft tevékenységek a jellemzőek. A technológia dinamikus és permanens fejlődésével a különböző támadási módszerek is egyre szofisztikáltabbá, fejlettebbé váltak. Az új támadási módszerek ellen a védekezés igen nehézkes, a támadás felelősét (kombattáns) pedig szinte lehetetlen azonosítani, megnevezni. Cikkemben egy speciális támadási formát, a szolgáltatásmegtagadással járó túlterheléses támadást (Denial of Service) és annak fajtáit szeretném ismertetni.

A túlterheléses támadás meghatározása

A számítógépeken keresztül elkövetett bűnözés egyidősnek tekinthető a számítógépek megjelenésével, azonban a bűnözés felerősödését a gépek hálózatba történő kapcsolása jelentette. Ezeknek a hálózatba kapcsolt informatikai rendszereknek a sebezhetősége ennek következtében jelentős mértékben megnőtt, mivel a támadónak már nem szükséges fizikailag megközelíteni a célpontot, hanem elegendő a hálózatban fellelhető sérülékenységeket, biztonsági réseket kihasználnia. Ilyen veszélyforrást jelenthet egy hibásan megírt alkalmazás, mely esetben a hiányosságokat kihasználva átvehető a rendszer felett az irányítás vagy működésképtelenné tehető az adott rendszer. Ezen rendszerek ellen számos támadási forma sikeresen alkalmazható (például: malwarek). Mivel az informatikai rendszerek kapacitása nem végtelen, ezért az egyik legelterjedtebb támadási módszernek számít a túlterheléses támadás (Denial of Service). A szolgáltatásmegtagadással járó támadásról 1990-es évek óta beszélhetünk, mely ellen univerzális értelemben vett védelem a mai napig nem alakult ki, ezért napjainkban is előszeretettel alkalmazott támadási forma. A támadás lényege, hogy a támadó egy darab számítógép segítségével a célrendszer számára annyi kérést, csomagot küld, hogy azt az adott rendszer már nem tudja kiszolgálni, ezért a szolgáltatás működésképtelenné válik. Felhasználói szemszögből működésképtelennek tekinthető egy rendszer, ha válaszideje meghaladja a felhasználó tűréshatárának maximumát, így nem is szükséges teljesen működésképtelenné tenni azt.

A támadók később felismerték, hogy a támadás egyetlen számítógéppel történő kivitelezése több időt és energiát vesz igénybe, ezért megjelent a túlterheléses támadáson belül az elosztott túlterheléses támadás (Distributed Denial of Service). Ezen támadási forma esetében a támadó már nem egy, hanem több számítógépet (zombigép) alkalmaz a támadás kivitelezésére, mely következtében gyorsabban, kevesebb ráfordított energiával képes elérni a kívánt eredményt. Egy DDoS támadás sikeres végrehajtásához 2 dolog szükséges: a célpontnál nagyobb erőforrásokkal rendelkezzen a támadó, valamint a célpont valamely sérülékenységét sikeresen ki tudja használni. Egy DDoS támadás során a komolyabb támadóerő és a nehezebb kivédés érdekében a támadók sok esetben botneteket használnak. A botnetek főbb jellemzője, hogy számtalan gépet foglalnak magukban és a világ minden táján megtalálhatóak, ezért kiiktatásuk szinte lehetetlen feladat. Az internet segítségével feltérképezhetőek nyílt forrásból azok a gépek, melyek bárki számára hozzáférhetőek. Ezeket a gépeket fertőzik meg kártékony, rosszindulatú programmal, ezzel válnak ezek a gépek egyfajta zombi gépekké. Zombi gépek alatt azokat a gépeket értjük, melyek az interneten keresztül a hacker vagy egy vírus az irányítása alatt tart és szükség esetén ezekről az eszközökről indítja meg a támadást. Egy botnet hálózat mérete igény szerint lehet több tíz ezres vagy akár több milliós is, melyeket általában e-mail spamküldésre és elosztott túlterheléses támadásra használnak.

A DDoS támadások használatának egyik nagy előnye a jelentős méretű károkozás mellett a könnyed megvalósíthatóságában rejlik. A DDoS támadás észlelése is egyre nehezebbé a válik a botnetek, illetve a különböző IP címek használatának köszönhetően. A DDoS támadásnak két fajtája különböztethető meg: magas sebességű (High DDoS), és alacsony sebességű (Low DDoS) támadás. Magas sebességű DDoS támadás esetében a hálózati forgalom és a kérések száma különbözik a normál forgalomtól, ebből kifolyólag ezt a fajta támadást könnyebb felismerni, észlelni. Az alacsony sebességű DDoS támadás esetében a hálózati forgalom mérete hasonlít a normál állapothoz, ezért ezt a támadási formát sokkal nehezebb felismerni. Jelenleg két részre oszthatóak a DDoS támadás észlelési módszerek: csomag alapú ellenőrzésre és áramlás alapú ellenőrzésre. Csomag alapú ellenőrzéshez kiválóan alkalmas a Wireshark vagy a TCP dump, melyek a hálózati forgalom rögzítésére alkalmasak. Az észlelési folyamat során a csomag fejléce kimarad, és a rendellenességet a csomagterhelés elemzésével azonosítják. Manapság, mivel a csomagokat is titkosítják, ezért a csomagterhelés elemzése szinte lehetetlen feladatnak minősül. Az áramlás alapú ellenőrzés statisztikai adatokon alapul a hálózati forgalom vonatkozásában. Jelenleg néhány hálózati eszköz (útválasztók, kapcsolók) hálózati protokollokon keresztül (NetFlow) gyűjtik és továbbítják a hálózati folyamatokat. Az áramlás azonos attribútumokkal rendelkező csomagok hálózati halmazát jelenti (forrás és cél IP címek). A magas mintavételi arány miatt a hálózati áramlás nem képes rögzíteni a kommunikációs módot, ezért néhány támadási módszert (alacsony sebességű DDoS támadás) nem képes észlelni.

DDoS támadások általában ismert és népszerű weboldalak ellen fordulnak elő. Az egyik legnagyobb DDoS támadást a GitHub szenvedte el 2018 márciusában, amikor 1,35 TBps forgalmat generáltak a weboldalon. A támadás nagy hálózati megszakítást és gazdasági károkat okozott. További nagy volumenű DDoS támadásként említhető a 2019 januárjában az Imperva nevű cég ellen elkövetetett két DDoS támadás. Az első esetben a támadó 500 millió csomagot, míg a második esetben 580 millió csomagot küldött a támadó másodpercenként a szolgáltatás leállásához. Összehasonlításképp a GitHub szervere 129,6 millió csomagot kapott másodpercenként. 2018-ban érte DDoS támadás a Wikipédia szerverét is, mely következtében az oldal 3 teljes hónapig működésképtelen volt. Ezek az incidensek jól reprezentálják a DDoS támadás súlyosságát és jelentőségét.

DDoS alkalmazása különböző hálózati rétegekben

A hálózati réteg vonatkozásában az ICMP (Internet Control Message Protocol) az IP fontos segédprotokollja, melyen keresztül megvalósítható a DDoS támadás. Az ICMP működésének lényege, hogy az egyik végpont a másik végpont működőképességének ellenőrzésére küld egy „Echo Request” ICMP üzenetet. A másik végpont az „Echo Reply” üzenettel válaszol az üzenet átvétele után. Ez az üzenetváltás megy végbe a legtöbb operációs rendszerben a ping parancs utasítására. Ezek a csomagok mérete igen kevés (általában 74 byte méretűek), ebből kifolyólag nem terhelik jelentősen sem a hálózatot, sem a végpontok számítási kapacitását. A támadás kivitelezése során a támadó „Echo Request” csomagokat küld a célpont számára egyszerre nagyszámú végpontot használva. A támadó a végpontok számától és a rendelkezésükre álló sávszélességtől függően a célpont sávszélessége túlterhelhető, így az általa nyújtott szolgáltatások jelentős mértékben lelassulnak, a megszokott működés lehetetlenné válik. Ezt a támadási formát ICMP floodingnak is szokás nevezni.

Az alkalmazási rétegben a HTTP (Hypertext Transfer Protocol) a legismertebb DDoS támadási módszer. A HTTP kliens szerver modellt követő, tranzakció alapú technológia. A kliens a lekérni kívánt weboldal azonosítóját (URL: Unified Resource Locator) elküldi a szervernek, a szerver pedig a válaszüzenetében továbbítja a kért objektumot. Ha a támadó képes ilyen, sok erőforrást igénybe vevő csomagot előállítani és azt nagyszámú végpontról egy időben elküldeni a kiszolgáló számára, akkor jelentős zavart okozhat a kiszolgáló adatbázis kezelőjének. Szélsőséges esetben ez akár a kiszolgáló leállását is eredményezheti. A helyzetet súlyosbítja, hogy egy HTTP kérés mérete néhány 100 byte, így nagyon rövid idő alatt sok is elküldhető belőle, míg a válasz összeállítása nagy teljesítményű számítógépek használata mellett is több időt vesz igénybe.

A Syn Flood módszer a TCP kapcsolat kiépülését, egészen pontosan a három-utas kézfogást támadja meg. Egy ilyen kapcsolat, ha minden rendben megy, úgy néz ki, hogy a kliens küld a szervernek egy Syn csomagot, amire a szerver egy Syn-ack csomaggal válaszol. Ez jelenti azt, hogy a szerver tudja fogadni a beérkező kapcsolatot. A szerver a Syn-ack csomagot értelemszerűen arra a címre küldi, ahonnan a Syn-t kapta, ezt az információt pedig onnan tudja meg, hogy mi van a Syn csomag fejlécébe írva. A támadók ezt kihasználva hamis IP címmel töltik ki ezt a részt, a szerver így olyan gépekhez akar csomagot küldeni, akik vagy nem is léteznek, vagy ha léteznek is, nem számítanak Syn-ack-ra és eldobják azt. A szerver egy előre beállított timeout értékig vár mielőtt bármi ilyen félig kiépült kapcsolatot bezárna, ez lehetőséget biztosít a támadónak arra, hogy a szervert ilyen hamis kapcsolódási kérésekkel túltöltse, ezáltal a szabályos kapcsolatok kiépülését jelentősen lelassítsa, vagy akár teljesen ellehetetlenítse.

Összefoglalás

A fentebb leírtak alapján megállapítható, hogy a DoS, mint támadási módszert igen gyakran alkalmazzák a kibertérben. A támadási módszer a könnyű kivitelezhetősége és a szinte lehetetlen elhárítása következtében nagyon kedvelt a hackerek, bűnözők körében. Ennek a támadásnak számos fajtája, módszere ismert, melyet mindig a célba vett rendszer sajátosságaiból kiindulva szoktak kiválasztani. A DoS-on belül ma már sokkal elterjedtebb a DDoS, mely olyan erőforrással és sebességgel képes megtámadni egy adott rendszert, mely a DoS vonatkozásában elképzelhetetlen. Ezért a jövőben a DoS valószínűleg végérvényesen háttérbe fog szorulni és a DDoS támadások fognak még szélesebb körben elterjedni. Elég csak megemlíteni a tézis igazolására az Észtország ellen 2007-ben elkövetett támadást, melyet DDoS támadással hajtottak végre, mely az ország 2004-től teljes mértékben elektronikusan működő közigazgatási rendszerét több hétre ellehetetlenítette. Biztosak lehetünk tehát abban, hogy a jövőbeni információs műveletek és a hibrid hadviselés vonatkozásában ez a támadási forma továbbra is megkerülhetetlen lesz és szerves részét fogja képezni a kibertérben végbemenő cselekményeknek.

Hasonló témájú cikkeink ide kattintva érhetők el.

Előző cikkA mexikói kábítószer-kereskedelem legjelentősebb szereplői
Következő cikkA mexikói kormány kábítószerbűnözés elleni stratégiájának változása 2006-tól napjainkig