Кой атакува SCO?

[Godfather]

Отворих тази тема тук, защото "новината" пряко засегна цялото линукс общество с идиотските обвинения от страна на SCO.

 

Не бях срещал по смешно съобщение, отнасящо се до проблем със сигурността и то публикувано от компания с неввроятни претенции и самочувствие:

The SCO Group, Inc., (Nasdaq: SCOX) the owner of the UNIX operating system, today confirmed that on Wednesday, December 10, 2003 at approximately 4:20 a.m. Mountain Time, it experienced a large scale distributed denial of service (DDoS) attack. The attack caused the company's Web site (www.sco.com) and corporate operational traffic to be unavailable during the morning hours including e-mail, the company intranet, and customer support operations. The company's Web site remains unavailable while this DDoS attack continues to take place. The company is working with its Internet Service Provider to restore www.sco.com to legitimate Internet users.

...

This specific type of DDoS attack, called a "syn attack," took place when several thousand servers were compromised by an unknown person to overload SCO's Web site with illegitimate Web site requests. The flood of traffic by these illegitimate requests caused the company's ISP's Internet bandwidth to be consumed so the Web site was inaccessible to any other legitimate Web user.

 

Така се смях на тези глупости (болдвания от мен текст показва най-големите от тях), че просто даже в началото не повярвах, че това са го писали те.

Повечето security специалисти, след като сигурно са се скъсали и те от смях, писаха в коментари, че тази атака си е просто една измислица на SCO в отчаяния си опит да обърнат някои от водените дела.

 

Не е за вярване докъде може да стигне човешката простотия, дори отвъд Атлантика

[furiozo]

i kvo neveroqtno ima v tva ?

[Godfather]

i kvo neveroqtno ima v tva ?

1. Безкрайно смешно е твърдението, че един "SYN FLOOD" (най-стария тип DoS атака - с нея започват учебниците може да скапе the company intranet, and customer support operations. Това означава, че или SCO хабер си нямат от елементарнa защита на периметъра (firewall, дори елементарни ACL) или лъжат като дърти цигани.

 

2. По времето когато www.sco.com (216.250.128.12) е бил "down" дори да приемем някаква теза за запълване на техния bandwidth - остава интересен факта, че много хора са сваляли без проблеми от ftp.sco.com (216.250.128.13) - който е от същата мрежа.

 

3. Една бърза справка в whois.arin.net, показва, че тези IP са част от мрежите на canopy.com и center7.com - все компании с гръмки 24х7 business critical operations and services. Ами как да повярва човек, че през тяхната мрежа ще мине такъв елементарен и стар трик.

 

Както и да го погледне човек - този път SCO наистина се "осраха" с извинение, ама израза ми се струва идеално точен.

[-k-]

Ха, Godfather, ами то в SCO останаха ли други работещи освен адвокати ? Щото аз си представям една такава сложна стратегия: оставят се на някаква DoS-атака, за да могат после да плачат в ролята на невинна жертва и да печелят симпатия от общественото мнение в САЩ... "Помоооощ, бият ни (интранета), грабят ни (интелектуалната собственост), ох, и неЙо отзад ни ... /автоцензура/ (искат и сорс-кода да им покажем)"...

[Godfather]

Ха, Godfather,  ами то в SCO останаха ли други работещи освен адвокати ? Щото аз си представям една такава сложна стратегия: оставят се на някаква DoS-атака, за да могат после да плачат в ролята на невинна жертва и да печелят симпатия от общественото мнение в САЩ... "Помоооощ, бият ни (интранета), грабят ни (интелектуалната собственост), ох, и нещо отзад ни ... /автоцензура/ (искат и сорс-кода да им покажем)"...

Хехе, ами то и на децата стана ясно, че е така, ама да бяха го направили поне като хората - да бяха измислили нещо по-смислено.

Аз обаче си мисля, че тая история я е измислил PR отдела, без дори ни най-малко да се посъветва с някой от IT отдела (ако въобще е останал такъв ).

 

Аз използвах повода да се разходя из сайта им - човек, който не е в бранша би си помислил, че това е флагмана на IT индустрията и фирмички като IBM, HP, че и дори Microsoft са някакви там недоносчета.

 

Разгледах и сайта на center7 (доставчика им) и не разбрах защо една от най-често споменаваните думи в раздела products е Linux

[furiozo]

i kak se zashtitava ot DDoS

ne si misli che go kazvam za da se praa na typ, naistina neznam

[thc]

Dobur vupros!Chel sum za podobni ataki i kato nachinaesht sushto mi e interesno za nachini za zashtita ot tiah.shte sum blagodaren ako niakoi napishe neshto po vuprosa

[Godfather]

i kak se zashtitava ot DDoS

ne si misli che go kazvam za da se praa na typ, naistina neznam

Темата е дълга и много интересна.

 

По принцип DoS или Denial of Service е група атаки, които предизвикват изчерпването на даден мрежов (обикновено bandwidth) или системен (процесорно, време, памет и т.н.) ресурс с единствената цел "да направим мръсно" на някой

Класическия пример е т.нар. "SYN FLOOD" атака, която представлява засипване на жертвата с tcp пакети с вдигнат SYN флаг - това е стартов пакет за иницииране на tcp конекция. Жертвата отговяря с пакет от типа SYN,ACK и остава в "очакващо положение" за отговор. Това състояние се характеризира със заделяне на определено количество ресурси на ядрото, които остават в това състояние известно време (въпрос на таймери). Понеже атакуващия въобще и не смята да отговаря с ACK пакет, а продължава да бълва SYN пакети, системните ресурси на ядрото (или по-точно TCP/IP стека) се изчерпват , при което машината "умира" или по-точно мрежовата и част.

Това разбира се е вече минало, защото в съвременните ядра на Linux, FreBSD и т.н. и CiscoIOS този проблем отдавна е решен.

 

Този тип атаки имат една кофти страна, че изпълнението им не изисква пълно създаване на TCP връзка, т.е. пакетите могат да са spoof-нати, или IP адреса на източника да е фалшив, т.е. не можем да определим източника на атаката. Освен това такива пакети се зъдават много лесно с инструменти като hping да речем.

 

Най-лошият вариант на DoS атака е т.нар. DDoS или разпределена (distributed) DoS атака. В този случай атакуващия е "хакнал" известно количество машинки из мрежата и е инсталирал "зомби" клиенти за DDoS. Тези зомбита се управляват естествено от master машината на атакуващия и създават синхронизирано мощен поток от кофти пакети към жертвата.

 

Защитата от подобен род атаки е изключително трудна (имам в предвид съвременни DDoS атаки), но обикновено сериозните мрежи разполагат с IDS системи, които реагират в подобни случаи и динамично настройват съответния border router и/или firewall, така, че атаката да бъде спряна нпоне на външния периметър.

Интересното е, че ако всяко ISP си конфигурира правилно т.нар. egress филтри, които да "режат" всички spoof-нати пакети, излизащи от тяхната мрежа - подобен род атаки няма да могат да се осъществяват въобще. За съжаление положението с ISP-тата по света не стои така, дори и у нас

 

Уф, цяла лекция стана, дано не съм бил отегчителен

[boizon]

Защитата от подобен род атаки е изключително трудна (имам в предвид съвременни DDoS атаки), но обикновено сериозните мрежи разполагат с IDS системи, които реагират в подобни случаи и динамично настройват съответния border router и/или firewall, така, че атаката да бъде спряна нпоне на външния периметър.

Не че съм фен на SCO, нито съм фен на GNU/Linux, обаче сам казваш, че защитата е трудна.

Всъщност цялата идея както на egress (не позволяващи напускане на пакети със невалидни ip-та филтри), така и на ingress филтрите (те пък са наобратно, както и подсказва и името им), не е да спре DoS атаките, а да направи back-trace до източника им. Ако пък имаш пуснат някакъв IP tunneling идеята е неприложима в повечето случаи - например wap gateway в твоето адресно пространство. Почти всички големи производители на backbone routers имат имплементирани такива механизми (Unicast RPF при Cisco доколкото си спомням).

Всъщност ефективна защита засега няма - така че защо SCO да не са станали жертва на такава атака ?

Що касае DDoS атаките колкото и да е (може би) смешно те започнаха да стават масово явление след 1999-2000 поради факта, че Майкрософт си оправиха tcp/ip стека и raw sockets - след появата на Win XP нещата се усложняват още повече. Иначе повечето (дотогава и доколкото са съществували) DDoS атаки са били осъществявани от *NIX базирани машини.

[Godfather]

Момчета, четете текста надве-натри и после стават недоразумения.

 

...обаче сам казваш, че защитата е трудна

Да, но не и за организации, претенфиращи да са "върха на сладоледа", както твърдят сайтовете на SCO и техните service providers, още повече пък с "древната" SYN FLOOD атака.

 

Ами нека да анализираме това изречение:

The attack caused the company's Web site (www.sco.com) and corporate operational traffic to be unavailable during the morning hours including e-mail, the company intranet, and customer support operations.

Хайде за сайта www.sco.com съм съгласен - това си е най-уязвимата система. Как да си обясним твърдението, че тази DDoS атака е парализирала корпоративния интранет? Както вече казах, или SCO са много зле със защитата на периметъра, или просто и откровено лъжат (ако им мине номера).

 

Всъщност цялата идея както на egress (не позволяващи напускане на пакети със невалидни ip-та филтри), така и на ingress филтрите (те пък са наобратно, както и подсказва и името им), не е да спре DoS атаките, а да направи back-trace до източника им

Колега, тука вече малко се обърка с филтрите . Ingress и egress филтрите имат съвсем различно приложение. Единствената преграда пред spoof пакетите е и си остават egress филтрите, а последните нямат (поне не директно) нищо общо с проследяването, освен ако не се логват от рутера. От своя страна пък основата на DoS и DDoS атаките са именно спуфнатите пакети. Така, че egress филтрите са основния инструмент за борба с DoS, но той може да е ефективен само ако се прилага от всички ISP-та.

Тунелът прехвърля пакети само между две мрежи. В този случай ако има спуфнат пакет, той или ще си остане в периметъра на тези мрежи, или пак ще трябва да мине през съответен border router/firewall, където може да му се приложи egress филтър . Всъщност IP тунел от интранет мрежа навън се нарича "огромна дупка в сигурността", а функциите на подобен механизъм по правило се изпълняват от VPN (най-често IPSec) с всички необходими за целта технологии за автентикация, вкл. и PKI , които сами по себе си изключват възможността за какъвто и да било спуфинг.

Всъщност ефективна защита засега няма

Напротив - има и това е комплекс от неща, наречени "защита на периметъра", която обхваща основни системи като border routers, firewalls, IDSs, Honeypots и други повече или по-малко екзотични технологии. Всичко опира до това как е защитена твоята и на твоите доставчици мрежа(мрежи).

Ако ситуацията беше толкова безпомощна, щяхме всеки ден да наблюдаваме интернет "затъмнения".

[ARPAnet]

Въпроса ми не е специално по темата, но ми е интересно какво мислите по него :

 

Не е ли е възможно подобна атака просто да ти запуши bandwidth-a , и по този начин пак да си останеш Offline ?

Защото все пак всеки си има ограничения, и ако например dl канала ти е Full, не виждам какво може да направиш, освен да изревеш на ISP-то си.

[Godfather]

Не е ли е възможно подобна атака просто да ти запуши bandwidth-a , и по този начин пак да си останеш Offline ?

Защото все пак всеки си има ограничения, и ако например dl канала ти е Full, не виждам какво може да направиш, освен да изревеш на ISP-то си.

Това е един от основните проблеми - запълването на bandwidth-а. За малки организации става лесно, но я си представете, че имате 155Mbit/s канал. Тогава потенциалните атакуващи ще трябва да впрегнат хиляди зомбирани хостове за да могат да запълнят такава лента.

 

В повечето случаи, ако лентата на жертвата е запълнена - то на доставчика от по-горно ниво по принцип би трябвало да е на порадък по-висока, което ще рече, че атаката може много лесно да бъде спряна на външния периметър на самия доставчик . Големи ISP-та, които имат много мегабити интернет свързаност би трябвало да са основните играчи при "разбиването" на подобни атаки, защото техния ресурс е практически невъзможно да бъде "изяден".

Естествено подобни проблеми могат да се случат и на "големите", но чрез атаки от друг тип. Например наскоро бяха окрити едни уязвимости на CiscoIOS: чрез специално форматирани пакети може да се блокира нормалната работа на рутера, което обаче е съвсем друг тип атака.

 

Това разбира се е в общи линии положението на нещата

[furiozo]

qvno ne se izrazih qsno, az razbiram kakvo e DDoS, vyprosa mi beshe kak se zashtitava ot neq

ako izvleka otgovor ot posta ti toi bi bil "s IDS", koeto moje i da e vqrno no e nqkak ... stil Microsoft

[ZGAN]

men me floodiha s DDoS. Mnooo kofti piniz zadrusti mi i 2ta kanala...i duhah supata obshto zeto to kolkoto razbrah nemojelo da se zashtiti tva shtoto butalo modema parvo....ne razbiram chak tolkova mnooo ma ne e li tuka ...kat ti padne modema....mai obshto vzeto nqma znachenie kakvo ima zled nego tam linux uniz ala bala ?

[Godfather]

qvno ne se izrazih qsno, az razbiram kakvo e DDoS, vyprosa mi beshe kak se zashtitava ot neq

ako izvleka otgovor ot posta ti toi bi bil "s IDS", koeto moje i da e vqrno no e nqkak ... stil Microsoft

Извинявай furiozo ама и твоя въпрос беше малко в "стил Micro$oft"

ОК, хайде сега по-серизно, ама темата наистина е много обширна.

Ето само един малък пример за настройка параметрите на линукс ядрото, които се борят срещу SYN FLOOD атаки:

 sysctl -w net.ipv4.tcp_syncookies=1
sysctl -w net.ipv4.tcp_max_syn_backlog=1280

Първия ред включва syncookies - инструмент, който не позволява заделяне на TCP буфери, докато не се изпълни изцяло handshake-a.

Втория ред увеличава размера на backlog опашката (обикновено тази стойност е 1024).

Това е за линукс. FreeBSD си има свестни настройки по default - всеки може да пробва SYN FLOOD или дори просто един nmap scan срещу такава машина и да види какво ще покаже конзолата (респективно логовете) .

 

Това е само за "SYN FLOOD" и то за атакуваната машина. С подходящ IDS, атаката може да се спре още в самия border router, което е най-правилния начин. Например със Snort се открива атаката, след което се подава на линукс firewalla (iptables) следното правило: iptables -A FORWARD -p tcp --syn -s $ATACKER -j DROP, където $ATACKER е IP адреса на атакуващия, който се подава от IDS-a.

 

За останалите атаки може да се напише цяла книга...