Distribuerte tjenestenektangrep benytter seg av en brute-force variant av de vanlige DoS angrepene. Store nettverk av kompromitterte maskiner (botnets) koordineres for å utføre et angrep. Disse nettverkene av infisterte maskiner kan blant annet utføre DDoS angrep, sende ut søppel-epost (spam) og distribuere malware.

Motivasjon

Økonomiske fordeler

Høsten 2011 ble Hong Kong stock exchange utsatt for DDos angrep. Angriperen gjorde et angrep mot en webside som publiserte viktige meldinger til og fra markedet. Som et resultat av dette måtte man stoppe kjøp og salg av aksjer for sju store firma. Siden var nede i over et døgn.

Angrepet ble utført via et botnet, men grunnet de enorme økonomiske tapene ble det gjort grundig etterforsking av angrepet og en gjerningsmann ble arrestert, siktet for å ha stått bak angrepet.

Politiske motiver

De senere årene har den løst sammensette gruppen Anonymous stått for diverse DDos angrep mot politiske meningsmotstandere. Dette har vært politimyndigheter, offentlige sider (USA, Israel, Tunisia, Uganda med flere), firma (PayPal, Visa, Mastercard med flere), scientologikirken, med mer.

Konkurrenter

I forbindelse med ferier, eller rett før ferier har man sett et oppsving i DDos angrep mot selskap som tilbyr reiser, opphold og andre tjenester relatert til ferietiden. Dette er angrep som med stor sansynlighet er bestillt av konkurrerende reisebyråer og operatører. Man har også sett tendenser til at disse bestillte angrepene gjerne har kommet rett i etterkant av store reklamekampanjer / epost utsendinger som reklamerer for f.eks reiser.

Virkemåte

DDoS angrep benytter seg som nevnt av store botnet, sammenkoblede, infiserte maskiner. Disse zombiemaskinene styres fra en eller flere kommandomaskin(er) som angriperen benytter seg av for å iverksette angrepet.

Et DDoS angrep består da av to faser:

Opprette botnet

Dette gjøres ved å infisere maskiner med malware, trojaner eller en orm som tar over maskinen. Når maskinen er tatt over kan brukeren laste opp angrepskode for å utføre angrepet. I noen tilfeller følger angrepskoden med som endel av malware eller ormen. Eksempler på kjente uønsket programvare er: zeus (trojaner), conficker (orm), flame (malware) og redcode (orm).
For de utålmodige kan man også leie botnet for en rimelig penge. Man kan leie pr.time, eller flere dager, alt etter som hva som passer best. Priser ligger fra $5 - $200 pr. time, alt etter hvor stort og avansert botnettet er.

Mange av botnetene er infisert med hyllevare angrepsverktøy som gjør det mulig å utføre forskjellige typer angrep rett ut av boksen.

Et eksempel på en sånn verktøykasse er PhatBot som leveres med 2 typer SYN flood angrep, 1 UDP variant, en ICMP, en HTTP GET flood samt noen varianter av disse. PhatBot har også kommandoer for å scanne etter mål, og hente informasjon.

• harvest.emails, gjør at den kontrollerte maskinen begynner å samle inn epost adresser fra det infiserte systemet.
• waste.getedu, gjør at det infiserte maskinen sender tilbake informasjon om nettverket dersom den er på et .edu nett.

Dette er 2 av nærmere 100 kommandoer som var tilgjengelige i PhatBot på et gitt tidspunkt, og viser hvor enkelt og tilrettelagt det er for å utføre DDoS angrep.

Utføre selve angrepet via botnet

Hvilken type angrep som blir utført vil variere med hvor sofistikert botnet man har tilgjengelig. Noen botnet lar deg laste opp spesifikk angrepskode før angrepet startert, mens andre har mer generiske angrepsverktøy tilgjengelig som ble installert når maskinen ble tatt over. Angrep kan være alt fra vanlige httpforespørsler, til klasiske angrep (smurf) eller nyere varianter som beskrevet under.

En av tingene som skiller DDoS fra DoS er at det ikke er noe poeng i å forfalske avsenderadressen lenger. Siden angrepet utføres av maskinen til en intetanende uskyldig bruker, vil det være vanskelig å spore hvem som faktisk har utført angrepet.

Hvem kan angripes

Alle websider som er koblet til internett er et potensielt mål for et DDoS angrep. En hvilken som helst adresse kan angripes, også adresser som er bak en NAT boks. Angrepet kan da etterligne reel trafikk, eller selve ruteren som utfører NAT kan angripes.

Selvom du patcher og gjør de tradisjonelle tiltakene for å sikre systemene dine vil du fortsatt være sårbar for flooding angrep.

Nye typer angrep

TCH-SSL-DOS

Dette er et angrep som kan brukes mot websider som bruker SSL, derav navnet. Angrepet benytter seg av en feil i SSL protokollen, samt det faktum at en SSL sesjon krever mye mer ressurser på serversiden en på klientsiden.

The tool departs from traditional DDoS tools: It does not require any bandwidth and just a single attack computer (“bot”)

Dersom en server støtter SSL-Regeneration kan angriperen spørre servereren gjentatte ganger om nye krypteringsnøkler. Siden det er mer ressurskrevende for serveren å generere nye nøkler en det er for klienten å initiere denne nøkkelforespørslen vil man med relativt lite ressurser kunne lykkes i et tjenestenektangrep.

Apache killer

Et angrep hvor angriperen sender ugyldige HTTP headeren Range: Bytes. Dette er et felt som lar en klient laste ned en fil stykkevis og delt, ved å spesifisere hvilken byte-ranges som skal lastes ned. Når Apache må prosessere mange byte-ranges vil den komprimere hver range med gzip, noe som tar mye minne. Om ikke det er satt begrensninger på tillatt minne pr.prosess vil serveren gå tom for minne, og kræsje. Problemet ble patchet i Apache versjon 2.2.20, og fikset i versjon 2.2.21.

Vulnerable hash tables

Opprinnelig et problem som ble påpekt i 2003, men som har økt i omfang. Problemet oppstår når en hashfunksjon ikke generer unike verdier, og det oppstår en såkallt hash-kollisjon. Når en hash-kollisjon oppstår må programmet løse denne på en måte, noe som vil kreve ekstra ressurser fra systemet. Om en angriper greier å fremprovosere store mengder hash-kollisjoner vil offeret tilslutt bruke alle tilgjengelige ressurser på å løse kollisjonene, og får ikke svart på andre legitime forespørsler.

DDoS statistikk

Opphavsland

Vi ser at russland, ukraina, thailand og malaysia er de landene som står for store deler av botnet trafikken. I tillegg til usa, indonesia og polen. Dette gjør det mulig å bruke opprinnelsesland som et filter for å filtrere trafikk. Om en bruker brannmurer hvor en kan gi score basert på trafikkens egenskaper, vil det være fornuftig å gi ekstra oppmerksomhet til trafikk fra noen av de overnevnte landene dersom du ikke selv er i et av disse.

Type offer

Netthandel, trading og spill siter står for over halvparten av de som blir angrepet av DDoS angrep.

Type angrep

HTTP Flood er enorme mengder http forespørsler til en enkelt side, gjentatt posting av autentiseringsskjema, eller gjentatt nedlasting av en fil.

UDP Flood er når det sendes store mengder små UDP pakker.

Tid på døgnet

Statistikker tyder på at DDoS angrep starter i 09 tiden, og foregår jevnt utover arbeidsdagen, for så å nå en topp rundt 16.

Referanser

• http://en.wikipedia.org/wiki/Anonymous_(group)
• http://en.wikipedia.org/wiki/Timeline_of_notable_computer_viruses_and_worms
• http://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=20658
• http://en.wikipedia.org/wiki/Agobot
• http://www.securelist.com/en/analysis/204792221/DDoS_attacks_in_H2_2011
• http://www.securityweek.com/hash-table-collision-attacks-could-trigger-ddos-massive-scale