Autorem odborného článku k hlavnímu tématu je Tomáš Přibyl, externí redaktor.

Jednou z největších hrozeb dnešní doby v ICT je nedostupnost. S rozvojem mobilních zařízení nebo cloudových služeb nabývá právě zajištění dostupnosti na důležitosti. Jedním z nejnebezpečnějších útoků je proto DoS – Denial of Service, odepření služby.

Ucpaný přístup

Podstata útoků DoS je naprosto jednoduchá. Namísto přímého útoku proti cíli jej agresor zablokuje. Nejčastěji obsadí (přivlastní si) nějaké zdroje, které je nesmírně obtížné chránit: důvodem je jejich podstata. Třeba komunikační linky slouží ke komunikaci, nejsou na nich žádné zranitelné prvky nebo jakékoliv překonfigurovatelné objekty. Útočník pak zneužívá toho faktu, že kapacita komunikačních linek není neomezená. Tím, že je obsadí, stává se pánem situace. V reálném světě je to obdoba blokády silnic nebo ucpaného potrubí. Útoky DoS zkrátka nepronikají perimetrem, ale pouze brání v přístupu/využívání nějakého systému.

Dalším nebezpečím DoS útoků je, že jsou relativně jednoduché. Rozhodně jsou jednodušší než pokusy o vlámání se do systému. Zpravidla také jde o zlomyslný, záměrný a předem pečlivě připravený útok. Situaci pak útočníkům usnadňuje i skutečnost, že neexistuje dlouhodobě spolehlivá ochranná metoda.

Ztráty přitom vznikají v různých oblastech: útok snižuje dostupnost určité služby, což často vede k odlivu tržeb či návštěvníků (tedy možných zákazníků). Dále pak lze ke ztrátám přičíst nutnost provedení následné analýzy a především vlastní řešení problému.

Čtyřikrát DoS

V současné době rozeznáváme čtyři metody provedení DoS útoků, s nimiž se lze v praxi setkat. První z nich je útok za pomocí obsazení přenosové kapacity. Je to velmi účinná a jednoduchá metoda, kdy dojde k zablokování přístupu k určité službě. Útočník zkrátka vytvoří takový provoz, který plně vytíží přístupovou cestu, čímž vytěsní ostatní (regulérní) uživatele. Jednou z možností je zahltit přístupovou cestu, pokud má útočník k dispozici silnější linku. To je ale spíše vzácnost, a tak využije několika linek slabších k tomu, aby přístup zahltil nebo alespoň výrazně ztížil. Druhá varianta je ale zase složitější na koordinaci a znalosti útočníka.

Další metodou útoku je přivlastnění systémových zdrojů. „Cílem hry“ v daném případě není zahltit přístupovou linku, ale spotřebovat limitované
zdroje oběti. Tedy třeba procesorový čas, paměť serveru či volné místo na disku. Útočník v takovém případě vytváří (korektně či nekorektně) stav, kdy získává podstatnou část systémových zdrojů, takže na regulérní uživatele zbude jen zanedbatelná kapacita.

Třetí metodou DoS útoku je zneužití chyb v programech. Tyto chyby přitom mohou být známé nebo nově objevené. V prvním případě jde zpravidla o servery, jejichž správci zanedbávají záplatování. Vlivem chyby nedokáže program zpravidla reagovat na neobvyklou situaci a dochází k jeho zhroucení, zacyklení, pádu či jinému nekorektnímu chování. Důsledek je ale zřejmý: regulérní uživatel služby k ní nemůže získat přístup.

Čtvrtou a zároveň posledním metodou provedení DoS útoku je napadení DNS a systémů směrování paketů. V podstatě dojde k tomu, že na DNS serverech proběhnout změny záznamů o IP adresách – tyto jsou upraveny tak, že veškerý provoz je měněn ve prospěch útočníka nebo spřízněného subjektu (který ze situace samozřejmě získává nemalý prospěch) nebo že žádosti vedou do „slepé uličky“ (tady sice útočník přímý prospěch nezískává, ale postižený subjekt utrpí škodu). Při provedení tohoto útoku je zneužívána skutečnost, že manipulace se směrovacími tabulkami není nijak obtížná, neboť protokoly RIPv1 nebo BGPv4 mají velmi slabou autentizaci. K akceptování změny jim tak stačí jen požadavek z podvržené IP adresy, která bývá pohříchu jediným autentizačním prvkem. Útočník pak relativně snadno umístí nesprávnou informaci do odkládací
paměti jmenného serveru. A všem žadatelům jsou následně poskytovány mylné informace ohledně směrování.

Někdy se také uvádí ještě pátá metoda DoS útoku, a to útok na DNS servery, jejichž zneprovoznění znamená ztrátu většiny internetového i e-mailového provozu. Ve skutečnosti ale nejde o metodu útoku, nýbrž o cíl útoku. Vlastní DoS útok proti DNS serverům je pokaždé vedený některým z výše uvedených způsobů.

Útok ze všech směrů

Speciálním typem DoS útoků jsou pak distribuované útoky – Distributed DoS, zkráceně DDoS. Jejich nebezpečnost se násobí tím, že jsou vedeny z různých směrů, přičemž zpravidla využívají metody obsazení přenosové kapacity. V případě DDoS je velmi obtížné zastavit útočníka, protože své síly rozloží tak, aby působily z mnoha směrů. Podobný útok ovšem vyžaduje značné technologické znalosti. Navíc je zde problém distribuce útočných nástrojů a koordinace jejich aktivity. Běžné DoS útoky totiž zvládne díky snadno dostupným nástrojům na internetu kdekdo. „Odměnou“ útočníkovi za zvládnutí technologie a techniky DDoS je pak skutečnost, že výsledný útok je zpravidla úspěšný a těžko odstranitelný.

Co s tím můžeme dělat?

Proti DoS/DDoS útokům se velmi špatně brání. To ale neznamená, že bychom neměli dělat nic nebo že se nic udělat nedá. Na následujících řádcích několik takovýchto rad a tipů je.

Instalujte dostupné bezpečnostní záplaty. Vypněte nepoužívané nebo nepotřebné služby. Implementujte filtry směrování. Znemožněte zápis na disk a zaveďte kvóty, aby jejich absenci nemohl útočník využít ve svůj prospěch. Nastavte kontrolu nezvykle vysokého využití procesoru, pevného disku, paměti apod. Dbejte na fyzickou bezpečnost.

Na routeru je vhodné nastavit pravidlo, že žádný první paket z jakékoliv IP adresy není vpuštěn dále. Toto příliš nepomáhá u DoS, ale hodně u DDoS, které často falšují IP adresu odesílatele (a zpravidla ji používají právě pouze jednou než vygenerují další). Přitom regulérní komunikace dotčena není, protože TCP zajišťuje při běžném provozu poslání prvního paketu i podruhé.

Aktivujte na firewallu službu filtrující všechny UDP požadavky. Nedoporučuje se zakázat všechny UDP (v interní síti totiž můžete odmítnout i legitimní aplikace), ale stačí zákaz přístupu UDP služeb z internetu. Tím zabráníte příchodu UDP paketů s podvrženými parametry.

Vytvořte a dodržujte kvalitní politiku přístupu k systému na administrátorské úrovni. A nezapomeňte se připravit na možnost DoS útoku a vypracovat krizový plán pro případ, že by k něčemu podobnému došlo. V jeho rámci si zajistěte kvalitní kontakt na poskytovatele připojení, protože s jeho pomocí je možné incident zvládnout mnohem rychleji a jednodušeji.