В сентябре 1998 года специалисты по компьютерной безопасности ВМФ США
сообщили о скоординированных атаках, осуществляемых из не менее чем 15
точек одновременно и направленных на закрытые ресурсы ВМФ США. А 5 марта
1999 года представитель Пентагона заявил, что за последние несколько
месяцев многие военные компьютеры подвергались атакам со стороны
злоумышленников, преимущественно из России. В день фиксировалось от 80
до 100 атак с тенденцией к увеличению этого числа. В процессе
расследования было зафиксировано, что:
как правило, атаки осуществлялись одновременно из нескольких точек
Internet;
атаки осуществлялись высококвалифицированными специалистами, терпеливо и
методично изучающими уязвимости атакуемых систем;
атаки распределялись во времени, что не позволяло эффективно
обнаруживать их при помощи имеющихся систем обнаружения вторжений
[А11еп1-99].
Данный подход имеет для атакующей стороны следующие преимущества
Скрытость. Работа сразу с нескольких адресов существенно затрудняет
обнаружение нападающих стандартными механизмами (межсетевыми экранами,
системами обнаружения атак и т. д.). Необходимо применение механизма
корреляции данных, которым обладают далеко не все современные защитные
средства.
"Огневая мощь". Координация атак сразу из нескольких точек сети позволяет
за короткий промежуток времени реализовать более мощную атаку, чем это
было бы возможно в случае осуществления аналогичной атаки из одной
точки. Как и в предыдущем случае (скрытости), существующие методы
обнаружения и блокирования распределенных атак малоэффективны.
Получение разнообразных данных. Работая с различных адресов, в т. ч.
находящихся в различных сетях, можно получить больше данных о целевом
объекте атаки по сравнению с аналогичными действиями, реализуемыми из
одной точки. Таким образом можно выяснить наиболее короткие маршруты
движения пакетов до цели атаки, "доверенные" отношения с различными
узлами сети и т. д. Например, из узла А злоумышленник может получить
доступ к цели атаки при помощи программ типа "троянский конь", а из узла
В - не может.
Сложность блокирования. Указанные особенности затрудняют блокирование
распределенных атак.
В зафиксированных в 1998-1999 годах случаях распределенные атаки
использовали несколько сотен демонов. Согласно данным одного из
потерпевших, в февральском инциденте 2000 года участвовало до 10 тысяч
демонов. Эти демоны устанавливаются путем использования на скомпрометиро
ванных узлах различных уязвимостей, в т. ч. и позволяющих получить на
узле с установленным демоном права администратора (root). Как только де
мон установлен, он уведомляет об этом "мастера" (обычно трех или
четырех). После получения определенных команд от злоумышленника "мастер'
программирует "демона" на выполнение соответствующих действий против
жертвы. Эти команды содержат следующую информацию:
адрес жертвы;
тип атаки;
продолжительность атаки.
Злоумышленник может организовать посылку большого объема данных сразу из
всех узлов, которые задействованы в распределенной атаке. В этом случае
атакуемый узел "захлебнется" огромным трафиком и не сможет обрабатывать
запросы от нормальных пользователей. Именно так и случилось начале
февраля 2000 года. В случае с обычной реализацией аналогичной атаки
необходимо иметь достаточно "толстый" канал доступа в Internet, чтобы
реализовать лавину пакетов на атакуемый узел. Для распределенной атаки
выполнение этого условия уже не является обязательным. Достаточно иметь
обычное модемное соединение (dial-up) с Internet. Поддержание лавины или
шторма пакетов достигается за счет большого числа таких относительно
медленных соединений.
Можно даже подсчитать количество зомбированных узлов, достаточное для
выведения Internet-cepвepa из строя. При обычном DSL-соединении 128
Кбит/с число пакетов, которые могут быть посланы за одну секунду,
составит не более 800 (128 / <средний размер IP-пакета в Кбит>). Так как
минимальный размер IP-пакета равен 20 байтам (только заголовок), то
DSL-соединение позволяет послать 128 000 / 20 / 8 = 800 пакетов. Все
остальное зависит уже от производительности Internet-cepBepa. Например,
согласно тестам компании TopLayer Networks [Мюррей1-02], компьютер
Pentium 1 с MS IIS 5.0 может обрабатывать 100-120 пакетов в секунду.
Следовательно, один домашний компьютер с DSL-соединением может вывести
из строя 6-7 непроизводительных Web-серверов. При росте мощности
компьютера для Web-cepeepa растет и число узлов, участвующих в атаке.
Особая опасность инструментальных средств, реализующих распределенные
атаки, в том, что они настолько просты в использовании, что могут быть
доступны даже неопытным пользователям (script kiddies), решившим
"насолить" своему соседу.
Атаки, построенные по данной схеме, очень трудно обнаружить. Сетевые
системы обнаружения атак очень неуверенно обнаруживают их, особенно если
соединения между агентами и серверами зашифрованы. Системы обнаружения
атак уровня узла более пригодны для этой цели. Опознать такие атаки
можно на этапе установки агента. Впоследствии это сделать намного
труднее, поскольку агент действует как часть ОС. Особенно опасно
внедрение агентов для "открытых" ОС, таких как Linux и OpenBSD, т. к.
агент может быть внедрен в ядро операционной системы, что сделает задачу
обнаружения такого агента очень непростой. В традиционной атаке
злоумышленнику придется периодически "посещать" скомпрометированный узел
(например, по протоколу Telnet или при помощи SSH). Это может быть
замечено путем анализа журналов регистрации или автоматизированными
защитными средствами. В случае распределенной атаки такой проблемы не
возникает, поскольку агент уже установлен, и нет необходимости
периодически посещать скомпрометированный узел - все сделает заранее
запрограммированный ("зомбированный") агент.
