Updated 21 feb 2000


De laatste dagen is het probleem van de zogenaamde gedistribueerde
aanvallen erg actueel geworden door de lamlegging van de systemen
van onder andere Yahoo, Amazon, eBay en Datek. In dit artikel
willen we ingaan op de problematiek en de mogelijke preventie van zulke
aanvallen.

Hoe werkt het

Als een kwaadwillend persoon een host of netwerk op het internet wil saboteren zijn er een aantal mogelijkheden.


Sinds jaar en dag kennen we de zogenaamde pingfloods, waarbij een computer ICMP^[1] ping
requests stuurt naar een andere
computer op het netwerk. Deze stuurt dan een antwoord, een ICMP reply, terug.
Wordt dit voortdurend gedaan, dan wordt de lijn van het slachtoffer (en die van de aanvaller) verstopt. Een 'probleem' voor de aanvaller is dat zijn eigen bandbreedte groot genoeg moet zijn om die van het slachtoffer te kunnenverstoppen^{[ href=/golink.php3?url=http://www.cert.org/advisories/CA-96.26.ping.html target=_blank>2]}. Een
situatie waarin dit soort aanvallen vaak worden toegepast is bij ruzies tussen gebruikers van de IRC chat-netwerken.

Een andere techniek is de zogenaamde
syn-flood
^{[ href=/golink.php3?url=http://www.cert.org/advisories/CA-96.21.tcp_syn_flooding.html
target=_blank>3]}.
Deze aanval is meer op hosts dan op netwerken gericht, omdat het niet de verbinding dicht laat slibben, maar een host zoveel aanvragen voor een verbinding stuurt, zonder daadwerkelijk een verbinding te maken, dat de host geen bronnen voor nieuwe verbindingen meer heeft en dus feitelijk geen zinnige communicatie meer kan verrichten. Voor een effectieve syn-flood aanval is gewone inbelverbinding voldoende.

Een zogenaamde smurf attack misbruikt slechte instellingen van andere netwerken, door aan een ping request naar een broadcast adres te sturen. Hierdoor komt er door 1 request een veelvoud van antwoorden terug, waardoor de benodigde bandbreedte aan de kant van de aanvaller geminimaliseerd is. Natuurlijk zouden de antwoorden normaliter bij de aanvaller zelf aankomen, maar dit wordt vermeden
door een vals afzendadres (dat van de aan te vallen host) te gebruiken in de
ICMP request pakketten. Dit wordt
ip-spoofing
^{[ href=/golink.php3?url=http://www.cert.org/advisories/CA-96.21.tcp_syn_flooding.html
target=_blank>4]}
genoemd. Door de aanval door meerdere computers te laten uitvoeren is deze veel effectiever. Een smurf-attack victimiseert zowel het aangevallen netwerk als de misbruikte netwerken doordat er
potentieel ontzettend veel bandbreedte door wordt opgeslokt.


Een al enige jaren gebruikte manier om gedistribueerde aanvallen te coordineren is die van de zogenaamde 'bot-networks'. Bot-networks bestaan uit zogenaamde irc-robots die met elkaar in verbinding staan en waarmee vanaf 1 plek een aantal machines opdracht
gegeven kan worden om een bepaalde handeling te verrichten, zoals bijvoorbeeld 'val host X aan door zoveel mogelijk pings te sturen'. Dit is ook de reden dat op gecompromitteerde hosts vaak de Eggdrop bot door de krakers geinstalleerd wordt.
Het is in sommige kringen '3L33t' om een zo groot mogelijk bot-network te hebben om daarmee mensen te kunnen aanvallen^{[ href=/golink.php3?url=http://www.nfr.net/firewall-wizards/mail-archive/1999/Feb/0086.html
target=_blank>5]}.

Nieuwe ontwikkelingen

Sinds enige tijd zijn er een aantal tools om bovenstaande technieken te
combineren: een gedistribueerde aanval, met een combinatie van ICMP ping
flooding, syn flooding, UDP flooding, smurf-attacks en een combinatie van
andere methoden om zwakheden in de TCP/IP logica van sommige operating
systems te exploiteren, zoals Land en Teardrop. Het gaat hier om de tools TFN,
Stacheldraht en trin00. De werkwijze van de aanvallers is als volgt: op een
aantal gekraakte hosts worden de 'agents', die de eigenlijke aanval gaan doen
geinstalleerd. Deze kunnen van 1 of meerdere plekken door een 'client' worden
bestuurd, als een leger door een generaal. Sommige tools gebruiken
versleutelde communicatie tussen de client en de agents en toegangscontrole
door middel van wachtwoorden. Het effect hiervan is enorm: 1 persoon kan
vanuit zijn luie stoel een ander network of host totaal verlammen. Het
aangevallen netwerk is zo goed als weerloos. Bij een ICMP of UDP^{[ href=/golink.php3?url=http://www.whatis.com/udp.htm target=_blank>6]} flood heeft filteren
van de afzendadressen op de routers, firewall of hosts weinig zin: het verkeer
komt toch aan en verstopt de verbindingen van het slachtoffer. Sommige ISP's
willen in een dergelijke noodsituatie de aanvallende ip-adressen of netwerken
op hun border-routers filteren, zodat het verkeer aan de rand van het netwerk
al gestopt wordt, voordat het het netwerk van de klant(en) kan bereiken.

Preventie

Wat kan er toch gedaan worden? Hiervoor is het nodig dat alle beheerders
van internetsystemen actie ondernemen. Als eerste is het wenselijk dat
'ICMP directed broadcasts' op routers gefilterd worden, om te voorkomen
dat netwerken worden misbruikt om smurf-attacks^{[ href=/golink.php3?url=http://www.cert.org/advisories/CA-98.01.smurf.html target=_blank>7]} op andere netwerken uit
te voeren. Dit is zowel in het belang van het eigen netwerk, als van het
hele internet. Vervolgens
dient te worden gezorgd dat alleen de eigen ip-adressen het eigen netwerk kunnen
verlaten (egress filtering)^[8]. Verder dient er natuurlijk voor
te worden gezorgd dat de hosts in het eigen netwerk goed beveiligd zijn,
zodat deze niet gekraakt en als aanvalsbasis gebruikt kunnen worden. Ook is
het aan te raden om software die de aanwezigheid van gedistribueerde
aanvalssoftware op een systeem probeert te detecteren te installeren^{[ href=/golink.php3?url=http://www.sans.org/y2k/solaris.htm target=_blank>9]}. Zorg dat de
gebruikte hosts immuun zijn voor bekende aanvallen op de TCP/IP stack en
syn-floods. Beperk de maximum grootte van inkomende en uitgaande ICMP pakketten tot 1500. Sluit onnodige UDP services zoals
echo en chargen af^[10]. Stel indien mogelijk aan beide kanten van de internet verbinding icmp traffic-shaping in op
de (Cisco) routers. Scan het eigen netwerk met bijvoorbeeld
gag ^[11]. Scan hosts met bijvoorbeld find_ddos ^[12].

Het probleem van de gedistribueerde aanvallen is voorlopig geen definitief
halt toe te roepen, maar door de inzet van elke beheerder van internet systemen
en netwerken kan een hoop ellende vermeden worden.

Verwijzingen:

[1] Wat is ICMP

[2]
CERT: Ping flood attacks.

[3]
CERT: tcp syn flooding

[4]
CERT: tcp syn flooding

[5]
Bot networks

[6] Wat is UDP

[7] CERT: Smurf Attacks

[8] SANS: Egress/Ingress filtering

[9] SANS: detectie clients/servers

[10] CERT: UDP Port Denial-of-Service Attack


[11] GAG: een netwerk DDoS scanner onder unix


[ target=_blank>12] NIPC host-based DDoS scanner

Meer informatie over de tools en preventie is te vinden op:


www.sans.org/giac.htm

href=/golink.php3?url=http://www.cert.org/advisories/CA-99-17-denial-of-service-tools.html
target=_blank>www.cert.org/advisories/CA-99-17-denial-of-service-tools.html


www.sans.org/y2k/TFN.htm

www.sans.org/y2k/stacheldraht.htm

packetstorm.securify.com/papers/contest/

href=/golink.php3?url=http://www.caida.org/NGI/Security/0798/mt0015.htm target=_blank>www.caida.org/NGI/Security/0798/mt0015.htm


Cisco synflood protection

Cisco Internet Security Advisories


Changing the Default for Directed Broadcasts in Routers
RFC 2267, Network Ingress Filtering Defeating Denial of Service Attacks which employ IP Source Address Spoofing