UNIVERZITET U KRAGUJEVCU
FAKULTET TEHNIČKIH NAUKA U ČAČKU
SEMINARSKI RAD
Tema: Zaštita od DDOS-a
Studijski program
:
Osnovne akademske studije - informacione tehnologije
Predmet
: Bezbednost i zaštita računarskih mreža
Profesor
:
Studenti
:
Dr Marjan Milošević
Nenad Janković 60/2018
Nikola Petrašinović 63/2018
2021. godina
4
Slika 1. Slikovit prikaz DDoS napada saobraćajnom gužvom
2.1. Kako ddos radi?
Napadi se izvode pomoću mreže uređaja koji su povezani na internet. Ove mreže se sastoje od
računara i drugih uređaja (kao što su IoT uređaji) koji su zaraženi malverom, što omogućava da ih
napadač kontroliše daljinski. Ovi pojedinačni uređaji se nazivaju botovi (ili zombiji), a grupa
botova se naziva botnet. Kada se botnet uspostavi, napadač je u mogućnosti da usmeri napad
slanjem daljinskih instrukcija svakom botu. Kada botnet cilja na žrtvin server ili mrežu, svaki bot
šalje zahteve na IP adresu cilja, što potencijalno dovodi do preopterećenja servera ili mreže, što
rezultuje uskraćivanjem usluge normalnom saobraćaju. Zbog toga što je svaki bot legitiman
internet uređaj veoma je teško odvojiti normalan saobraćaj od lažnog.
2.2. Kako indetifikovati ddos napad?
Najteži deo DDoS napada je to što nema nikakvih upozorenja za predstojeći napad. Izuzetak je
kada neke velike hakerske grupe šalju pretnje pre napada ali uglavnom napadači pokreću napad bez
ikakvih upozorenja. Vreme koje prođe od početka napada do njegovog indetifikovanja predstavlja
glavni gubitak žrtve. Neki od tragova koji otkrivaju da je DDoS napad u toku:
Sa jedne IP adrese se šalje veliki broj zahteva za kratak vremenski interval
Server šalje 503 odgovor zbog prekida usluge
TTL (time to live) na ping zahtevu istekne
Iznenadno spor pristup internetu
Neobične poruke o greškama itd.
5
2.3. Motivi i mete ddos napada
Ugroženi su svi koji imaju veb sajt - državne institucije, kompanije, pa čak i pojedinci. Motivi su
različiti: hakerski aktivizam (politički protest), ucena, uznemiravanje, privlačenje pažnje, zabava i
ostvarivanje konkurentske prednosti (naročito u onlajn igricama).
Hakerski aktivizam - Najpoznatija hakerska grupa koja se bavi hakerskim aktivizmom je
Anonymous. Ova grupa je čak i uputila peticiju Beloj kući da se DDoS napadi legalizuju
kao forma građanskog protesta. Smatraju da građanima treba da bude dozvoljeno da iskažu
nezadovoljstvo tako što će na kratko usporiti saobraćaj ili oboriti određeni sajt umesto da se
okupljaju i protestvuju lično. DDoS napade izveli su protiv ISIS-a, protiv Turske zbog
podrške ISIS-u, protiv S.Arabije, protiv PayPal-a itd. Hakerski aktivizam obično ima jasnu
misiju, a to je uglavnom neka socijalna promena.
Iznuda - Hakeri zarađuju dosta novca tako što DDoS napadima određeni sajt postaje njihov
talac i često se žrtve odlučuju da plate kako bi napadi prestali.
Diverzija - DDoS napadi se ponekad koriste i kako bi se skrenula pažnja. Dok je sajt pod
udarom i dok se vodi borba za zaustavljanje napada, napadači koriste priliku ili da ubace
malver ili da ukradu podatke.
Sticanje konkurentske prednosti - DDoS napadi su česti kod onlajn igrica i online
nagradnih igara, gde nekoliko minuta zastoja može jednom takmičaru da osigura pobedu ili
obezbedi prednost.
Zabava - Deca koja misle da su ili žele da budu hakeri, napadaju manje sajtove iz čiste
zabave. Oni nisu preterano vešti, ali ni ne moraju to da budu, jer mogu lako da dođu do
skripti i da ih upotrebe.
Jedna od najpoznatijih meta DDoS napada je Sony Playstation. Iz kompanije kažu da se napadi
dešavaju bukvalno svakoga dana. Nekada su većeg, a nekada manjeg obima. Takođe, i Microsoft
Xbox je često bio na meti ovih hakera. DDoS napade je relativno lako izvesti, teško ih je sprečiti i
generalno su veoma efikasni. Druge kompanije koje nisu direktna meta napada su ponekad
kolateralna šteta. Kada je saobraćaj preopterećen, i drugi sajtovi koje je hostovao isti provajder
mogu postati nedostupni.
3. PODELA DDOS NAPADA?
3.1. Napadi protokola
Protokol napadi iskorišćavaju način na koji serveri obrađuju podatke kako bi preopteretili svoju
metu. U nekim varijacijama, botnet šalje serveru pakete podataka. Server će onda čekati potvrdu od
izvora IP adrese, koju nikad neće dobiti, ali će nastaviti da prima sve više podataka koje treba da
7
4. NAJČEŠĆI DDOS NAPADI I
4.1. UDP FLOOD
Napad u kojem napadač preplavljuje nasumične portove na ciljanom hostu sa IP paketima koji
sadrže UDP datagrame. Prijemni host proverava da li postoje aplikacije povezane sa ovim
datagramima i ne pronalazeći nijednu šalje nazad paket „Destination Unreachable“. Kako se sve
više i više prima UDP paketa šalje odgovor za iste, sistem postaje preopterećen sa gubitkom
mogućnosti da izvrši interakciju sa ostalim klijentima. U okviru UDP flood napada, napadač može
da lažira IP adresu paketa, kako bi se uverio da povratni ICMP paketi ne stignu do svog izvora,
postižući anonimnost napada.
Slika 2. Prikaz UDP FLOOD napada
UDP (user datagram protocol) predstavlja mrežni protokol bez veze i sesije. Pošto UDP saobraćaj
ne zahteva trosmerno rukovanje kao TCP, on radi sa nižim troškovima resursa i idealan je za
saobraćaj koji ne treba da se proverava. Međutim, ova ista svojstva doprinose lakoj zloupotrebi
UDP protokola. U nedostatku početnog rukovanja, da bi se uspostavila važeća veza, veliki obim
saobraćaja može da se pošalje preko UDP kanala na bilo koji host, bez ugrađene zaštite koja bi
ograničila brzinu pristizanja saobraćaja. To znači da ne samo da su UDP flood napadi visoko
efikasni, već i da se mogu izvršiti uz pomoć relativno malo resursa. Jedna vrsta UDP FLOOD
napada naziva se “napad alfabetskom supom”. UDP ne definiše specifične formate paketa, pa stoga
napadači mogu da kreiraju velike pakete (ponekad i preko 8 KB), popune ih proizvoljnim tekstom
ili brojevima (otuda „alfabetska supa“) i pošalju ih napadnutom hostu. Kada žrtva primi pakete
ispunjene smećem na datom portu, proverava da li neka aplikacja iščekuje te pakete. Kada utvrdi
da nijednoj apikaciji nisu potrebni pristigli paketi žrtva odgovara sa ICMP paketom nedostupno
odredište.
