Безопасность в Интернет

Очень многие из вас просят меня рассказать об одном из самых распространенных видов сетевых атак -- "отказ в обслуживании" (DoS -- Denial of Service). В сегодняшнем выпуске -- статья Михаила Ганева об основных типах DoS-атак и методах борьбы с ними.

Атаки типа "отказ в обслуживании"

Из чисто информационной сети, предназначенной для обмена информацией по электронной почте и обеспечения доступа к удаленным файловым архивам, Интернет стремительно превращается в серьезный рынок услуг, в который инвестируются немалые суммы денег. Так, например, на март 2000 г. 15 основных Интернет-компаний в Европе охватывали рынок, оцениваемый примерно в $30 млрд. В Интернете развивается рекламный бизнес, онлайновые аукционы, игорный бизнес, электронная коммерция. Посещаемость крупнейших серверов достигает 1 млн в день (онлайновый аукцион eBay (EBAY), данные на март 2000 г.).

Коммерциализация заставляет уделять внимание вопросам обеспечения безопасности сетевых ресурсов. Если сбой или недоступность информационного сервера небольшой компании практически никак не отразится на ее финансовом состоянии, то успешная атака через Интернет ( как это было в феврале 2000 г. с серверами Yahoo, CNN, eBAY, которые стали недоступными для пользователей Интернета на период от 0,5 до 3 часов, об этом инциденте -- в #6 и #7 моей рассылки -- А.Б.), может повлечь за собой серьезные финансовые потери. По оценкам Института компьютерной безопасности США, деятельность хакеров нанесла США в 1999 г. ущерб в размере 10 млрд долл., а 59% всех компаний сообщили, что подвергались атакам из сети Интернета.

Атаки типа "отказ в обслуживании" ( Denial of Service -- DoS) являются одними из наиболее распространенных в Интернете. Официальной информации по частоте их проведения в Интернете нет, но есть все основания утверждать, что такие атаки на более менее крупные информационные ресурсы проводятся как минимум ежедневно. Цель атакующих -- сделать недоступным из Интернета тот или иной ресурс. Чаще всего это просто блокирование доступа, иногда вывод этого ресурса из строя ( наиболее известное последствие для последнего -- синий экран на компьютерах под управлением Microsoft систем). Иногда DoS-атака может являться частью другой, более широкомасштабной и сложной акции, направленной на взлом ресурса.

Блокирование каналов связи и маршрутизаторов осуществляется с помощью мощного потока пакетов ( flood), полностью забивающего всю ширину канала или входной маршрутизатор и не дающего возможности для прохождения пакетов пользователей. При этом атаки проводятся с систем с быстрыми сетевыми интерфейсами, расположенных на высокоскоростных каналах.. При определенных условиях DoS-атака может создать серьезные проблемы на маршрутизаторах, использующих динамические роутинговые протоколы, поскольку с ее помощью можно вызвать автоматическое переключение роутеров на запасные маршруты.

Относительно недавно появились программы для проведения распределенных DoS-атак (TRINOO, TFN и др.)), которые позволяют осуществлять единовременную атаку на какой-либо ресурс из разных мест с централизованным управлением из одной точки. Для этого специальные агенты внедряются на компьютеры в различных местах и по команде по сети из центра начинают бомбить пакетами заданный хост.

Атаки, использующие ошибки в реализации стека протоколов TCP/IP в операционной системе. Основой таких атак является генерация последовательности сетевых пакетов, при обработке которой проявляется искомая ошибка реализации. Как результат, можно получить стремящуюся к бесконечности загрузку процессора, захват ядром или приложением всей доступной памяти. В качестве примера можно привести Teardrop и Land. Как правило, для проведения такой атаки требуется послать один пакет. Однако по мере устранения ошибок в реализации сетевого стека такие атаки реализуются все реже и реже.

Атаки, направленные на переполнение ресурсов операционной системы или приложений. Поскольку каждая система или работающее на ней приложение имеют ограничения по множеству параметров, как например, максимальное количество одновременных соединений, файловых дескрипторов и т.д., атакующий пытается заставить программу превысить этот ресурс. Последствием такой атаки обычно является неспособность атакуемого сервиса обслужить штатных абонентов, а в идеале - полная неспособность атакуемой системы к сетевой деятельности. Иногда атаке подвергается входной маршрутизатор, который бомбардируется маленькими перекрывающимися фрагментами. В результате запросы пользователей не проходят к серверу, расположенному за маршрутизатором, из-за переполнения внутренних ресурсов маршрутизатора. Как правило, после прекращения атаки все приходит в норму само собой, но в некоторых случаях ситуация может потребовать вмешательства администратора.

Рецепта эффективной защиты от таких атак, к сожалению, не существует. Но можно предпринять ряд мер, направленых на снижение вероятности таких атак.

Проблема блокирования каналов связи и маршрутизаторов наиболее эффективно может быть решена только на уровне провайдеров. В первую очередь, с помощью механизма "контроля качества сервиса" (Quality of Service). Имеющиеся на сегодняшний день технические средства позволяют выделить гарантированную ширину канала под каждый конкретный сервис. Однако применение таких ограничений может повлиять на использование жизненно важных протоколов, например DNS в случае установления максимальной ширины канала для UDP пакетов. Кроме того, ограничение ширины канала для UDP сильно испортит или даже блокирует работу по многочисленным мультимедийным протоколам, а также для телефонии. Тем не менее из двух зол выбирают меньшее. Другой способ борьбы -- установление фильтров по IP адресам источников в случае обнаружения атак с этих хостов. При этом не стоит забывать, что установка подробных фильтров не всегда может помочь, поскольку эта информация в заголовках пакетов может быть легко подделана.

Механизм контроля полосы пропускания поддерживается маршрутизаторами Cisco. Существуют неплохие реализации такого матобеспечения для FreeBSD и Linux. Следует отметить, что для протокола TCP средств роутеров CISCO явно недостаточно, поскольку для эффективной защиты роутер должен отслеживать состояние каждого проходящего через него соединения, что недопустимо для магистрального маршрутизатора. Один из способов борьбы -- фильтрация внутреннего трафика (из внутренних сетей в Интернет), в котором используются подмененные IP адреса ( адреса, не относящиеся к внутренним сетям ). Такой прием применяется довольно часто, поскольку в большинстве случаев для атаки используется только первоначальный SYN пакет, обратный трафик ( который не дойдет до хоста отправителя ) роли не играет. Более подробно этот вопрос освещен в RFC 2267.

Еще одним механизмом повышения "живучести" провайдеров является использование последними различных магистральных каналов ( multihome), что позволяет автоматически в случае вывода из строя одного канала переключиться на другой. Эффективной борьба с таким типом DoS-атак может быть только при тщательном контроле за использованием всех основных сетевых ресурсов. После печально известных взломов серверов Yahoo и CNN, Федеральное Бюро Расследований США взяло под свое наблюдение большое количество сетей в США ( особенно в edu домене).

Конечные пользователи повлиять на пропускную способность канала провайдера не в состоянии. При обнаружении ими такой атаки большую роль сыграет хорошо налаженное взаимоотношение с провайдером, который может быстро установить соответствующие фильтры и включить запись статистики ( как правило из-за экономии места на диске такая статистика пишется только при необходимости).

Защита от атак, использующих ошибки в стеке TCP/IP, как правило, заключается в своевременном получении информации о таких уязвимых местах (недостатка в списках рассылки или серверах, где можно найти такую информацию, нет) и в установке патчей (или коррекции конфигурации). Помочь может также установка межсетевого экрана, который в состоянии запретить доступ в сеть большинству таких опасных пакетов.

Защита от атак, основанных на переполнении ресурсов системы или приложения, -- в правильном выборе ресурсов системы. К сожалению, большая часть серверных компонентов сервисов и операционных систем не обеспечивает контроля за количеством соединений с одного адреса. Этим может воспользоваться атакующий, создав несколько тысяч соединений с сервером (законных с точки зрения политики доступа). Как правило, такая атака приводит к полной блокировке сервиса, а в некоторых случаях и всей работы сервера. Если в такой атаке задействовано несколько машин (источников соединений), то последствия будут скорее всего печальными. В этой ситуации единственная надежда на грамотного администратора, предусмотревшего достаточный запас производительности аппаратной части, ресурсов в ядре, скорости обработки запросов на соединения операционной системой и поведением приложения в этой ситуации. Если скорость работы велика, ядро содержит достаточно выделенного места под таблицы, файловые дескрипторы и т.п., а приложение отбрасывает соединения, превышающие максимальный лимит, то сервер вполне в состоянии устоять при такой атаке.

Для того чтобы бороться с DoS-атаками, необходимо уметь их обнаруживать. Это далеко не тривиальная задача -- многие сервисы протоколируют только установленные соединения. Например, при использовании популярного Web-сервера APACHE можно ничего и не обнаружить простым взглядом на системный журнал, поскольку там отображаются только полученные запросы. То есть, до тех пор, пока сервер не получит от клиента что-то вроде GET /, в логах не видно ничего, в то время, как соединение будет жить довольно долго, занимая свою строку в ограниченных по объему системных таблицах.

Отдельно надо сказать о системах обнаружения атак (IDS -- Intrusion Detection Systems). В настоящее время существует довольно большое число коммерческих систем, которые позволяют обнаруживать такие атаки по целому ряду признаков. Иногда IDS интегрируется с межсетевым экраном или роутером. Опасность от такой "интеграции " трудно переоценить -- она дает возможность злоумышленнику заставить межсетевой экран фильтровать трафик от "честных" сетей. К сожалению, протестировать эффективность IDS ( в большинстве своем весьма и весьма недешевых) нам пока не довелось. Но очевидно, что возможность сбора и анализа подозрительного сетевого трафика снижает время реакции службы безопасности и позволяет с минимальной задержкой принять соответствующие меры.

Подведем итоги вышесказанного: полностью защититься от атак "отказ в обслуживании" нельзя. Но можно снизить вероятность успешной атаки или время, которое необходимо затратить на восстановление нормальной работы и доступности системы. Для этого может быть полезным ряд рекомендаций.

• Привлечение серьезных технических специалистов и специалистов в области информационной безопасности для наиболее сложных работ (выбор систем защиты, их настройка, информационное сопровождение, анализ статистики при взломе ( если он таки произошел)).
• Использование по возможности более широкого канала связи с провайдером.
• Использование "серьезного" провайдера, с хорошими каналами ( желательно несколькими), грамотно и быстро отвечающими на запрос о помощи администраторами.
• Использование надежных и эффективных операционных систем на сервере, не прельщаясь графическими интерфейсами, проверенного матобеспечения.
• Использование квалифицированного системного администратора, желательно подчиняющегося службе безопасности.
• Наличие межсетевого экрана достаточной производительности и хорошими техническими характеристиками.

Еще раз обращаю ваше внимание, что статью о том как осуществляются DoS-атаки на практике и к чему это может привести, вы можете прочитать в #6 и #7 моей рассылки.
Тем, кто хотел бы получить более подробную информацию по этой теме, я рекомендую скачать архив книги "Атака через Internet" здесь.

Искренне ваш, Андрей Бочаров