Varnostne rešitve in storitve Distribuirani napadi onemogočitve storitve s preplavljanjem Aleš Časar casar@uni-mb.si Univerza v Mariboru, Računalniški center Slomškov trg 15, 2000 Maribor Brdo pri Kranju, 19. in 20. maj 2003 1/12
Vsebina opis distribuiranih napadov onemogočitve storitve s preplavljanjem vplivi napadov na opremo zaznavanje napadov protiukrepi zaključek Brdo pri Kranju, 19. in 20. maj 2003 2/12
DoS Napadi onemogočitve storitve (DoS): cilj napada je navadno pripeljati opremo na strani ciljne žrtve v stanje, da ji zmanjka potrebnih virov za zagotavljanje storitve - onemogočiti storitev žrtve napada so lahko tudi na poti od napadalca do cilja če napadalec uporabi lažni naslov, se cilj lahko odzove na ta naslov in tako posredno ``napade'' še dodatne žrtve preplavljanje (flood) distribuirani napadi napad na množico ojačevalcev z lažnim naslovom žrtve - ojačevalci se množično odzovejo žrtvi napad iz množice računalnikov, ki jo napadalec navadno upravlja iz ene točke Brdo pri Kranju, 19. in 20. maj 2003 3/12
Vplivi napadov na elemente omrežja računalnik 100 Mb/s stikalo usmerjev usmerjevalnik alnik usmerjevalnik alnik usmerjevalnik alnik stikalo 100 Mb/s računalnik Brdo pri Kranju, 19. in 20. maj 2003 4/12
Vrste usmerjevalnikov strojni pretok paketov glede na topologijo omrežja strojni pretok paketov s pomočjo podatkovnih tokov programski pretok paketov s pomočjo podatkovnih tokov programski pretok paketov z obdelavo vsakega paketa posebej Brdo pri Kranju, 19. in 20. maj 2003 5/12
Zaznavanje napadov Pomembno je spremljati: obremenjenost omrežne opreme obremenjenost povezav vrsto prometa, ki se pretaka po omrežju (podatkovne tokove) Koristno je informacije o prenašanih podatkovnih tokovih eksportirati na zunaji strežnik, na katerem se podatke da arhivirati, delati razna poročila ter jih grafično predstaviti. Slika namreč lahko pove več kot 1000 besed. Brdo pri Kranju, 19. in 20. maj 2003 6/12
Podatki in paketi Število prenesenih podatkov (bitov) na sekundo Število prenesenih paketov na sekundo Brdo pri Kranju, 19. in 20. maj 2003 7/12
Tokovi in obremenitve Število novih podatkovnih tokov na sekundo Obremenitev usmerjevalnika Brdo pri Kranju, 19. in 20. maj 2003 8/12
Promet Promet do/od napadenega računalnika Promet do/od strežnika za zbiranje informacij o podatkovnih tokovih Brdo pri Kranju, 19. in 20. maj 2003 9/12
Protiukrepi Popolna obramba je samo dovolj zmogljiva oprema, ki prenese vse, kar se lahko do nje prebije preko povezav, na katerih nikoli ne pride do zasičenja. Če dogajanje na omrežju spremljamo, lahko pogosto s preprostimi ukrepi nevtraliziramo napad. Raje naj pride do zasičenja povezav kot odpovedi opreme. Napad poskušamo zaustaviti čim prej, kar se da daleč od naše hrbtenice omrežja. Brdo pri Kranju, 19. in 20. maj 2003 10/12
Napadalci Napadalci se radi skrivajo za: IPv4 skozi IPv4 in posebej IPv6 skozi IPv4 tuneli ''bouncerji'' računalniki, v katere so vdrli IRC in omrežji botov (botnet-i) Izsledimo jih navadno precej težko. Pomaga nam: navadno napadalec pozna cilj in nista predaleč sodelovanje med različnimi operaterji analiza podatkovnih tokov z izvori/ojačevalci napada razumevanje obnašanja napadalcev Brdo pri Kranju, 19. in 20. maj 2003 11/12
Zaključek Predstavitev je nastala na podlagi raziskovanja razmer v omrežju Univerze v Mariboru. Rezultati dela so veliko boljše poznavanje omrežja in opreme, učinkovitejše nastavitve opreme, lažje planiranje. Predstavljena je ena izmed mnogih oblik različnih napadov. V nadaljevanju bi se kazalo posvetiti še drugim vrstam napadov, dodatnim analizam zbranih podatkov, morebitnemu avtomatskemu reagiranju ob napadih... Brdo pri Kranju, 19. in 20. maj 2003 12/12