Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri Hosting zadarmo od WebSupport.sk

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Prihlásenie

Štítky

Vyhľadávanie

You are here

Domov

Smurf attack - DDoS na IPv6 LAN

Môže byť postupne silnejúci DDoS útok, ktorý zneužíva podvrhnutie IP adries efektívne zorganizovaný aj na IPv6 LAN? Primárnym cieľom je zahltiť cieľovú stanicu sieťovou prevádzkou natoľko, že nebude na danej sieti prístupná. Útočník zahájením počiatočného útoku s malým množstvom zdrojov môže docieliť nevyžiadanú produkciu obrovského množstva sieťových paketov ďalšími stanicami na sieti... Ako budú na túto udalosť reagovať operačné systémy?

Upozornenie: Všetky publikované informácie a postupy slúžia výhradne na študijné účely, prevádzané len na sieťach, ktoré patria pod vaše vlastníctvo, ak týmto konaním priamo, či nepriamo nezasiahnete ich používateľov. Vykonávanie týchto postupov na sieťach s reálnou prevádzkou môže byť ilegálne a v každom prípade ide o amorálne počínanie. Autor článku nenesie žiadnu zodpovednosť za škody, ktoré môžu vzniknúť v dôsledku realizácie týchto postupov.

Útočník sfalšuje svoju zdrojovú IPv6 adresu, ktorá podnieti útok, na adresu obete nachádzajúcu sa na rovnakej sieti. Následne začne odosielať ICMPv6 echo request pakety na multicastovú adresu pre všetky uzly na sieti – FF02::1. Prirodzenou reakciou týchto uzlov je odpovedať za pomoci ICMPv6 echo reply. Odpovede už budú smerovať na obeť a tá môže byť zahltená, keďže na danej sieti môžu byť až stovky počítačov. Útok zvyčajne smeruje na stanicu, ktorá poskytuje nejaké služby napr. FTP server, či DHCP server. Môže sa tak jednať o podporný útok napr. spôsob vyradenia DHCPv6 servera, po ktorom môže nasledovať iný útok ako nasadenie falošného DHCPv6 servera v rámci IPv6 LAN siete.


model
Obrázok 1 – Smurf Dos/DDoS útok v praxi.

Na realizáciu tohto útoku je možné použiť nástroje smurf6 a rsmurf6 z balíka THC-IPv6. Nástroj smurf6 podľa autorov okrem zaplavovania siete dokáže aj účinne vyťažiť systémové zdroje. Na simuláciu bol tak z tohto hľadiska zvolený práve on.

Simulácia útoku mohla prebehnúť iba z principiálneho hľadiska, keďže na otestovanie plnej sily útoku je potrebná IPv6 LAN s dostatočným množstvom počítačov. K systému Windows 7 boli postupne pripojené ešte ďalšie 2 stanice – počítač so systémom Microsoft Windows XP Professional SP3 a ďalší počitač so systémom Linux Debian 7. Keďže Windows XP v základnej konfigurácií nepodporuje protokol IPv6, musela byť podpora pridaná manuálne. Jedná sa o elementárnu záležitosť priamo podľa postupu zverejneného na stránkach Microsoftu.


model
Obrázok 2 - Ilustrácia sieťovej topológie.

Následne bol zahájený samotný útok, na počítači útočníka, cieľom bol už spomínaný počítač slúžiaci ako FTP/DHCPv6 server. V úlohe obete bude v tomto prípade vystupovať počítač so systémom Linux Debian. Ten prevádzkoval FTP server. Program generoval veľké množstvo IMCPv6 echo request paketov na multicastovú adresu pre všetky uzly na IPv6 LAN, kde bola podvrhnutá zdrojová IPv6 adresa, tá sa tak vydávala za adresu servera, na ktorý bol celý útok smerovaný (IPv6 adresa FTP servera).

Zároveň bolo sledované i správanie ďalších staníc na sieti, ktoré by mali odpovedať na ICMPv6 echo request paketmi ICMPv6 echo reply smerovanými už na skutočný server, obeť tohto útoku, na základe už spomínanej podvrhnutej IPv6 adresy. Táto adresa bola uvedená ako odosielateľ (resp. zdroj) ICMPv6 echo request paketov.

Počítač so systémom Windows 7 však na výzvy ICMPv6 echo request smerované na multicast nereagoval. Ani na jeden ICMPv6 echo request neodpovedal paketom ICMPv6 echo reply. Situácia bola totožná i po deaktivovaní zabudovaného Windows firewallu.


model
Obrázok 3 - Systém Windows zaznamenával pakety ICMPv6 echo request, no neodpovedal na ne.

Počítač so systémom Windows XP podobne na ICMPv6 echo request pakety šírené prostredníctvom multicastu nereagoval. Situácia sa zmenila po vypnutí Windows firewallu. Následne začal systém odpovedať na všetky výzvy a tak sa aktívne zapojil do DDoS útoku na server. Prietok paketov rozhraním serveru sa náhle zvýšil. Avšak za použitia jedného zapojeného počítača nešlo o stav, ktorý by dokázal narušiť chod serveru, resp. nejakým zásadným spôsobom výrazne zvýšil spotrebu systémových zdrojov.


model
Obrázok 4 - Po vypnutí Windows XP firewallu, tento systém začal na ICMPv6 echo requesty reagovať paketmi echo reply.

V ďalšej simulácií bol namiesto počítača so systémom Windows 7, ktorý sa do útoku nezapájal (bol imúnny), pripojený ešte jeden počítač s operačným systémom Linux Debian 7. Ten sa do útoku zapojil a na podvrhnuté ICMPv6 pakety echo request reagoval paketmi ICMP echo reply. Je logické, že tento DDoS útok má reálny dopad len na sieťach s desiatkami až stovkami počítačov. V laboratórnych podmienkach nebolo možné dosiahnuť tento stav, ide tak len o demonštráciu princípu. Okrem spomínaných staníc sa do útoku zapojil i Cisco smerovač 2911 (Cisco IOS 15.2(4)M4.


model
Obrázok 5 - Systém Linux Debian 7 sa zapojil do útoku okamžite.

Záver

Zásadné sú fakty o tom ako k útoku pristupujú jednotlivé operačné systémy, ktoré implementujú protokol ICMPv6. Ako už bolo povedané systém Windows 7 sa do tohto DDoS útoku nezapája. Systém Windows XP len po vypnutí zabudovaného firewallu a Linux Debian je spoluúčastníkom automaticky. Jedná sa o vôbec jediný z mnou experimentálne overených IPv6 link-local útokov, voči ktorému je imúnny systém Windows 7 automaticky. Je samozrejmé, že na systéme Linux (konkrétne Debian 7) sa dá proti tomuto útoku efektívne chrániť správnou konfiguráciou iptables, či použitím ďalších voľne dostupných bezpečnostných nástrojov. V základnom stave je však systém náchylný na zapojenie sa do útku a je tak dôležité a veľmi potrebné venovať zabezpečeniu systému vysokú mieru pozornosti. Prekvapujúco Windows je v tomto prípade dostatočne chránený a to už v základnom stave - v prípade Windows XP už spomínaným Windows Firewallom a v prípade Windows 7 sa stará o ochranu priamo samotný kernel.


Podporte nás


Páčil sa Vám tento článok? Ak áno, prosím podporte nás ľubovoľnou čiastkou. Ďakujeme!


ITC manažer Security-portal.cz Spamy.cz PHP Fushion Soom.cz
Hoax.cz Antivirove centrum Crypto-world.info SPYEMERGENCY.com