You are on page 1of 18

DDoS napad

CCERT-PUBDOC-2008-09-240

Revizija 1.02 CCERT-PUBDOC-2008-09-223 Stranica 2/18
Sigurnosni problemi u raunalnim programima i operativnim sustavima
podruje je na kojem CARNet CERT kontinuirano radi.
Rezultat toga rada je i ovaj dokument, koji je nastao suradnjom CARNet CERT
a i LS&Sa, a za koji se nadamo se da e Vam koristiti u poboljanju sigurnosti
Vaeg sustava.



CARNet CERT, www.cert.hr
Nacionalno sredite za sigurnost raunalnih mrea i sustava.


LS&S, www.LSS.hr
Laboratorij za sustave i signale pri Zavodu za elektronike sustave i obradbu
informacija Fakulteta elektrotehnike i raunarstva Sveuilita u Zagrebu.


















Ovaj dokument je vlasnitvo CARNeta (CARNet CERTa). Namijenjen je za javnu objavu, njime se moe
svatko koristiti, na njega se pozivati, ali samo u izvornom obliku, bez ikakvih izmjena, uz obavezno navoenje
izvora podataka. Koritenje ovog dokumenta protivno gornjim navodima, povreda je autorskih prava
CARNeta, sukladno Zakonu o autorskim pravima. Poinitelj takve aktivnosti podlijee kaznenoj odgovornosti
koja je regulirana Kaznenim zakonom RH.

Revizija 1.02 CCERT-PUBDOC-2008-09-223 Stranica 3/18
Sadraj
1. UVOD ............................................................................................................................................................. 4
2. DOS NAPAD ................................................................................................................................................... 5
2.1. OSNOVNA OBILJEJA ..................................................................................................................................................................... 5
2.2. METODE DOS NAPADA ................................................................................................................................................................. 6
2.2.1. ICMP fwuds ..................................................................................................................................................................... 6
2.2.2. Teardrop napad ............................................................................................................................................................. 6
2.2.3. Stalni DoS napadi.......................................................................................................................................................... 7
2.2.4. Poplavljivanje na razini aplikacije ............................................................................................................................ 7
2.2.5. Nuke .................................................................................................................................................................................. 7
3. DDOS NAPAD ................................................................................................................................................ 8
3.1. OPA OBILJEJA ............................................................................................................................................................................ 8
3.1.1. Otkrivanje ranjivih posluitelja .................................................................................................................................. 9
3.1.2. irenje zlonamjernog koda ....................................................................................................................................... 10
3.2. METODE DDOS NAPADA ............................................................................................................................................................ 10
3.2.1. Peer-to-peer napad ..................................................................................................................................................... 10
3.2.2. DNS Backbone DDoS napad .................................................................................................................................... 11
3.2.3. Tipini DDoS napad .................................................................................................................................................... 11
3.2.4. DRDoS napad ............................................................................................................................................................... 11
3.3. USPOREDBA DOS I DDOS NAPADA ........................................................................................................................................... 12
4. POZNATI DDOS NAPADI ............................................................................................................................. 14
4.1. DDOS NAPADI U SVIJETU ............................................................................................................................................................ 14
4.2. DDOS NAPADI U HRVATSKOJ ..................................................................................................................................................... 14
5. KAKO SE BRANITI ........................................................................................................................................ 15
5.1. TEHNIKA ZATITA ...................................................................................................................................................................... 15
5.2. ZAKONSKA ZATITA ..................................................................................................................................................................... 15
6. ALATI VEZANI UZ DDOS NAPAD ................................................................................................................ 16
6.1. IZVRAVANJE NAPADA ................................................................................................................................................................. 16
6.2. OBRANA OD NAPADA .................................................................................................................................................................. 17
7. ZAKLJUAK ................................................................................................................................................. 18
8. REFERENCE .................................................................................................................................................. 18











Revizija 1.02 CCERT-PUBDOC-2008-09-223 Stranica 4/18
1. Uvod
Budui da u dananje vrijeme o Internetskim uslugama ovise razne tvrtke, djelatnosti, organizacije pa i obini
korisnici, uskraivanje usluga nekog posluitelja dovodi do velikih gubitaka. Zbog toga moemo rei da su se
Distribuirani Denial of Service [DDos] napadi pojavili kao jedna od najatraktivnijih, ako ne i najveih slabosti
Interneta.
Izraz DoS (eng. Denial of Service) oznaava napad uskraivanja usluga. Takav napad karakterizira namjerno
generiranje velike koliine mrenog prometa da bi se zasitili mreni resursi i posluitelji. Zbog prevelikog
optereenja oni vie nisu u stanju pruati namijenjene usluge. Posljedica toga je nemogunost legitimnih
korisnika da koriste mrene usluge poput: e-mail, weba i sl.
Izraz DDoS (eng. Distributed Denial of Service) oznaava oblik napada uskraivanjem usluga u kojem su izvori
mrenog prometa (napada) distribuirani na vie mjesta diljem Interneta. Ta raunala iz kojih se obavlja napad
nisu u vlasnitvu napadaa, ve neka rtva koja u pravilu i nije svjesna da se njeno raunalo koristi za napade
protiv drugih raunala i sustava. Najee se radi o raunalima koja sadre neku ranjivost to omoguuje
napadau razbijanje sustava zatite te irenje zlonamjernog koda. Nakon toga raunalo je u vlasti napadaa
koji jednom naredbom pokree DDoS napad s mnogih provaljenih raunala na ciljano raunalo. Postoje razni
alati koji omoguavaju automatizirano izvoenje napada, ali i alati koji slue u svrhu zatite od takvih napada.
U ovom dokumentu ukratko je opisan DoS napad, kao i njegove osnovne vrste. Zatim je dan opis DDoS
napada i nekih metoda tog napada. Slijedi usporedba DoS i DDoS napada prema nainu izvoena napada,
prednostima te koritenim raunalima. Takoer prikazan je kratak pregled poznatijih sluajeva DDoS napada
u Hrvatskoj i svijetu. Na kraju su opisani osnovni alati za automatizaciju DDoS napada, kao i za zatitu od
napada.

Revizija 1.02 CCERT-PUBDOC-2008-09-223 Stranica 5/18
2. DoS napad
DoS (eng. Denial of Service) napad ili napad uskraivanja usluga je pokuaj napadaa da uini nedostupnim
raunalo korisnicima kojima su namijenjene njegove usluge. Iako naini, motivi i ciljevi DOS napada mogu
varirati, openito napad se sastoji od napora jedne ili vie osoba kako bi trajno ili privremeno sprijeila
efikasno funkcioniranje Internet stranice ili usluge. Poinitelji DoS napada obino ciljaju lokacije ili usluge
web posluitelja kao to su banke i DNS posluitelji. Jedan od uobiajenih metoda napada ukljuuje zasienje
ciljanog ureaja s vanjskim komunikacijskim zahtjevima na nain da ureaj ne moe odgovoriti ili odgovara
tako polako da postaje nedostupan. DoS napad je implementiran kako bi prisilio raunalo da iskoristi resurse
tako da ne moe pruiti usluge namijenjene korisnicima.
Izvoenje denial-of-service napada smatra se krenjem Internet Proper Use Policy pravila, ali takoer oznaava
i krenje zakona pojedinih nacija.
2.1. Osnovna obiljeja
United States Computer Emergency Readiness Team definira simptome DoS napada kao:
neuobiajena sporost mree (prilikom otvaranja datoteke ili pristupanja web stranicama),
nedostupnost odreene web stranice,
nemogunost pristupa bilo kojoj web stranici,
drastino poveanje broja primljenih spam poruka elektronike pote (ovaj tip DoS napada se
naziva "Mail-Bomb").
Vano je za napomenuti da ne spadaju svi gubici usluga, ak ni oni izazvani nedozvoljenim radnjama, u
skupinu DoS napada. Neke metode napada mogu ukljuivati uskraivanje usluga kao jednu komponentu
cjelokupnog napada.
Denial-of-service napad takoer moe dovesti do problema u granama (eng. branches) mree oko
napadnutog raunala. Na primjer, komunikacijski kapacitet (eng. bandwidth) jednog usmjerivaa izmeu
Interneta i LAN-a (eng. Local area network) moe biti potpuno iskoriten prilikom napada kako bi se
kompromitirala cijela mrea. Kada je napad proveden, cijela regija Interneta moe biti ugroena ak i bez
znanja ili namjere napadaa zbog nepravilne konfiguracije ili slabe mrene infrastrukture.
DoS napad karakterizira eksplicitan pokuaj napadaa da sprijei legitimnim korisnicima usluga
koritenje tih usluga. Napadi mogu biti usmjereni na bilo koji mreni ureaj, ukljuujui usmjerivae,
posluitelje elektronike pote ili DNS (eng. Domain Name System) posluitelje.
DoS napad moe biti poinjen na razliite naine, a pet osnovnih tipova napada su:
1. Potronja raunalnih resursa, kao to su komunikacijski kapacitet, diskovni prostor, ili
procesorsko vrijeme.
2. Poremeaj konfiguracijskih podataka, kao to je usmjeravanje informacija.
3. Poremeaj informacija o stanju (eng. state information), kao to je neeljeno ponovno
postavljanje (eng. reset) TCP veze.
4. Poremeaj fizike komponente mree.
5. Prekid komunikacije izmeu legitimnih korisnika, tako da oni vie ne mogu komunicirati na
odgovarajui nain.
DoS napad moe ukljuivati izvrenje zlonamjernih programa namijenih za:
maksimalno koritenje procesora kako bi se spreavala bilo koja operacija,
pokretanje pogreke u mikroprocesoru,
pokretanje pogreke u redoslijedu naredbi kako bi raunalo prelo u nestabilno stanje,
iskoritavanje pogreke u operacijskom sustavu da bi se uzrokovalo izgladnjivanje
(eng. resource starvation) tj. koritenje svih dostupnih objekata tako da pravi posao ne
moe biti zavren,
ruenje samog operacijskog sustava,
pokretanje posebno oblikovanih HTML datoteka koje navode korisnika da posjete web
stranice mnogo puta sve dok se ne prekorai doputeni komunikacijski kapacitet.


Revizija 1.02 CCERT-PUBDOC-2008-09-223 Stranica 6/18
2.2. Metode DoS napada
Postoje razne metode izvoenja DoS napada, a najvanije su ukratko opisane u nastavku.
2.2.1. ICMP fwuds
ICMP fwuds se odnosi na napade poplavljivanjem, slanjem velikog broja paketa na posluitelje
kako bi se iskoristili svi raspoloivi resursi.
Smurf napad je jedna posebna inaica poplavljujuih (eng. flooding) DoS napada na javni
Internet. On iskoritava loe konfigurirane mrene ureaje koji omoguuju slanje paketa na sve
posluitelje odreene mree putem adrese razailjanja (eng. broadcast). Mrea tada slui kao
smurf pojaalo. U tom napadu, poinitelji alju veliki broj IP paketa s izvorinih adresa koje su
lairane da bi izgledale kao adresa rtve. Komunikacijski kapacitet mree se brzo iskoristi to
spreava legitimne pakete da stiu do svog odredita. Primjer takvog napada prikazan je na slici 1.



Slika 1. Scenarij "Smurf" napada

Ping poplavljivanje temelji se na slanju mnogo ping paketa, obino koristei "ping -f" naredbu.
Vrlo se jednostavno pokree, a primarni uvjet je da napada ima pristup veoj irini pojasa nego
rtva.
Prilikom SYN poplavljivanja alje se niz TCP / SYN paketa, esto s lairanom adresom poiljatelja.
Svaki od tih zahtjeva rtva tretira kao zahtjev za vezu, to uzrokuje napola otvorene veze slanjem
natrag TCP / SYN-ACK paketa te ekanjem paketa s adrese poiljatelja. Meutim, budui da je
adresa poiljatelja lana, odgovor nikad ne dolazi.
2.2.2. Teardrop napad
Teardrop napad ukljuuje slanje oteenih IP fragmenata s preklapanjem (eng. overlapping) na
ciljano raunalo. Nedostatak u kodu za TCP / IP fragmentaciju u brojnim operacijskim sustavima
uzrokuje nepravilno rukovanje fragmentima te pad sustava kao rezultat toga. IP (eng. Internet

Revizija 1.02 CCERT-PUBDOC-2008-09-223 Stranica 7/18
Protocol) paket koji je preveliki za usmjeritelj dijeli se na fragmente. U fragmente paketa upisuje se
udaljenost od poetka prvog paketa, to omoguuje ponovno sastavljanje paketa na drugoj strani.
U ovom napadu napada postavlja zbunjujuu udaljenost u jedan od fragmenata. Ako posluitelj
koji prima takav paket nema plan za takav sluaj rezultat e biti pad sustava. Ovim napadom
ugroeni su Windows 3.1.x, Windows 95 i Windows NT operacijski sustavi, kao i inaice Linux
operacijskog sustava s jezgrom (eng. kernel) starijom od 2.0.32 i 2.1.63.
2.2.3. Stalni DoS napadi
Stalni DoS napadi (PDoS Permanent Denial of Service) je napad koji oteti sustav tako jako da
zahtijeva zamjenu ili ponovnu instalaciju fizikih komponenti raunala (eng. hardware). PDoS
napad iskoritava sigurnosne nedostatke na udaljenim upravljakim sueljima bilo da su to
usmjerivai, pisai ili drugo mreno sklopovlje. Za razliku od DDoS napada, koji je usmjeren na
uskraivanje usluga ili rada web stranica, PDoS je usmjeren izravno na unitavanje raunalnih
komponenti.
Razvio ga je tim programera pod vodstvom jednog od zaposlenika Hewlett-Packard-Systems
Security Lab-a Rich Smitha. Takoer, razvili su i alat PhlashDance koji se koristi za detekciju i prikaz
PDoS ranjivosti.
2.2.4. Poplavljivanje na razini aplikacije
Razne ranjivosti koje omoguuju DoS stanja, kao to je prepisivanje spremnika (eng. buffer
overflow), mogu uzrokovati zauzee prostora na disku ili zauzimanje svih raspoloivih resursa
memorije ili CPU vremena. Neke vrste DoS napada se oslanjaju prvenstveno na brute force
napad, poplavljujui cilj s tokom paketa te zasiujui vezu ili preoptereujui resurse raunala.
Poplavljivanje zasiivanjem resursa oslanja se na injenicu da napada ima na raspolaganju veu
irinu pojasa od rtve. est nain postizanja ovog napada danas je distribuirani DoS napad
koritenjem botnet-a. Botnet je izraz koji se koristi za skupinu ugroenih raunala (zvanih Zombi
raunala) na kojima je pokrenut zlonamjerni kod. Ostala poplavljivanja mogu koristiti odreene
vrste zahtjeva da bi zasitili resurse, na primjer, okupiranje maksimalnog broja otvorenih veza ili
punjenje rtvinog diskovnog prostora.
"Banana napad je jo jedan posebni tip DoS napada, a ukljuuje preusmjeravanje odlaznih
korisniinih poruka natrag klijentu, spreavanje vanjskog pristupa, kao i poplavljivanje klijenta
poslanim paketima.
'Pulsing zombie' je izraz koji se odnosi na posebnu vrstu DoS napada kada je mrea podvrgnuta
viestrukim ping porukama. Takvo stanje rezultira degradiranom kvalitetom usluga i poveanim
koritenjem resursa. Ovu vrstu napada je teko otkriti.
2.2.5. Nuke
Nuke je stari DoS napad raunalnih mrea koji se sastoji od slanja fragmentiranih ili oteenih
ICMP paketa na cilj. Postie se pomou modificiranog ping alata za viekratno slanje tih paketa
ime usporavaju zahvaeno raunalo sve dok ne doe do potpunog prekida.
Poseban primjer nuke napada je WinNuke, koja iskoritava ranjivosti u NetBIOS modulu u
operacijskom sustavu Windows 95. Slanjem niza out-of-band podataka na TCP prikljuak (eng.
port) 139 ciljanog ureaja uzrokuje zakljuavanje raunala i prikaz Blue Screen of Death poruke
(tj. prestanak rada operacijskog sustava raunala).










Revizija 1.02 CCERT-PUBDOC-2008-09-223 Stranica 8/18
3. DDoS napad
Distribuirani napad uskraivanja usluga (DDoS - distributed denial of service) nastaje kada vie (prethodno)
kompromitiranih sustava poplavljuje resurse ciljanih sustava, obino jednog ili vie web posluitelja.
Napada poinje DDoS napad iskoritavanjem ranjivosti jednog sustava te stvara DDoS gospodara (eng.
master). Zatim komunicira s ostalim sustavima koji su ranjivi te uitava posebne alate na mnoge, a ponekad i
tisue, sustava iju je ranjivost uspio iskoristiti. Jednom naredbom napada pokree brojne napade
poplavljivanja paketima na ciljano raunalo to uzrokuje uskraivanje usluga.
Razni zlonamjerni programi mogu u sebi nositi mehanizme DDoS napada, a jedan od poznatih primjera za to
je raunalni virus MyDoom iji se mehanizam pokree u odreeno vrijeme odreenog datuma. Korisniki
sustav, rtva, moe takoer biti ugroen zlonamjernim programom iz vrste trojanaca (eng. trojan), koji od
napadaa preuzima Zombi agenta.
3.1. Opa obiljeja
DDoS napadi ukljuuju provaljivanje u stotine ili tisue raunala putem Interneta. Nakon toga, napada
instalira DDoS program na sve njih, ime dobije kontrolu nad njima za pokretanje koordiniranog napada
na krajnju rtvu. Ti napadi obino iskoritavaju kapacitet usmjerivaa ili mrene resurse to prekida
povezanost mree i korisnika. Scenarij jednog DDoS napada prikazuje slika2.



Slika 2. DDoS napad

Revizija 1.02 CCERT-PUBDOC-2008-09-223 Stranica 9/18

Da bi pokrenuo DDoS napad, zlonamjerni korisnik prvo mora izgraditi mreu raunala koja e se koristiti
za stvaranje velikog prometa koji je potreban da bi se onemoguila usluga legitimnim korisnicima. Da bi
stvorili ovu mreu, napadai otkrivaju ranjive aplikacije (kao to su npr. web stranice) ili posluitelje.
Ranjivi posluitelji su oni koji sadre operacijske sustave i sistemske programe s poznatim ranjivostima,
ne sadre antivirusne programe, sadre antivirusne programe starijih inaica ili oni koji nisu ispravno
konfigurirani. Napadai iskoritavaju takve ranjivosti posluitelja kako bi dobili pristup. Sljedei korak
napadaa je instaliranje novih programa (alati za izvravanje napada) na ugroene posluitelje.
Posluitelji u kojima su pokrenuti takvi alati za izvravanje napada nazivaju se zombi raunala (eng.
zombies), a mogu obaviti svaki napad koji im naredi napada. Mnogo zombi raunala naziva se vojska
zombija (eng. zombi army).
Znai, napad poinje probijanjem u slabo osigurana raunala, koristei poznate greke u standardnim
mrenim uslunim programima te slabu konfiguraciju u operacijskim sustavima. Na svakom sustavu,
nakon provale, napada obavlja neke dodatne korake. Prvi korak je instaliranje programa kako bi se
prikrila provala u sustav te kako bi se sakrili svi tragovi njegovih naknadnih aktivnosti. Na primjer,
standardne naredbe za prikazivanje procesa koji su pokrenuti su zamijenjeni inaicom koja ne prikazuje
procese napadaa. Svi ti alati imaju zajedniki naziv rootkit, jer nakon instalacije preuzimaju
administratorske ovlasti. Tada se instalira poseban proces koji se koristi za udaljenu kontrolu raunala.
Ovaj proces prima naredbe preko Interneta i kao odgovor na ove naredbe pokree napad putem
Interneta prema odreenoj rtvi. Rezultat ovoga automatiziranog procesa je stvaranje mree koja se
sastoji od rukovoditeljskih (eng. master) i posrednikih (eng. daemon) strojeva.
Svaki napada mora raditi s adrese koja se najee ipak moe povezati s njegovim identitetom. Stoga
e oprezni napada poeti razbijanje sa samo nekoliko raunala, a zatim ih koristiti za razbijanje vie
novih raunala te ponavljanjem ovog ciklusa smanjiti mogunost da bude otkriven.
Vrijeme napada za napadaa traje samo jednu naredbu koja pokree pakete naredbi da svi zarobljeni
strojevi pokrenu odreeni napad na odreeni cilj. Takoer, i kada napada odlui prekinuti napad on
treba poslati samo jednu naredbu.
3.1.1. Otkrivanje ranjivih posluitelja
Napadai mogu koristiti razne tehnike kako bi pronali ranjive posluitelje:
Skeniranje sluajnim odabirom (eng. Random scanning) ureaj na kojem je pokrenut
zlonamjerni kod proizvoljno odabire neku IP adresu iz zadanog adresnog prostoga te
provjerava ranjivost. Ako pronae ranjivi posluitelj pokree na njemu isti zlonamjerni
kod koji je pokrenut na njemu. Prednost ove tehnike je mogunost brzog irenja
zlonamjernog koda, a nedostatak stvaranje velike koliine prometa (lake ga je otkriti).
Skeniranje pomou popisa pogodaka (eng. hit-list scanning) prije poetka skeniranja
napada radi popis velikog broja potencijalno ugroenih raunala. Skeniranje se obavlja
po popisu, a kada se nae ranjivi ureaj na njemu se pokree zlonamjerni kod. Popis se
dijeli na dva djela i jedna se polovica preputa novom ugroenom raunalu. Prednost
ove metode je da se u vrlo kratkom vremenu zlonamjerni kod pokrene na svim ranjivim
ureajima na popisu, jer se popis podijeli i smanjuje svaki put kad se pronae novi
ranjivi ureaj.
Topoloko skeniranje (eng. Topological scanning) pri izvoenju napada ova metoda
koristi informacije (URL adrese) pohranjene na otkrivenom ranjivom raunalu kako bi
pronala nove ciljeve. Prednost ove tehnike je velika tonost te velika brzina stvaranja
vojske.
Skeniranje lokalne podmree (eng. Local subnet scanning) ova vrsta skeniranja djeluje
u podruju iza vatrozida, dijelu koji se smatra zatienim od skeniranja. Posluitelj trai
ugroena raunala u svojoj lokalnoj mrei. Prednosti metode su u tome to se moe
koristiti u kombinaciji s drugim metodama te postie velike brzine.
Skeniranje razmjene (eng. Permutation scanning) sva raunala dijele zajedniki popis
IP adresa. Nakon to je otkriveno i napadnuto novo ranjivo raunalo, ono poinje
skeniranje s proizvoljnog mjesta u popisu. Moe se koristiti u kombinaciji s drugim
metodama te postie velike brzine.

Revizija 1.02 CCERT-PUBDOC-2008-09-223 Stranica 10/18
3.1.2. irenje zlonamjernog koda
Metode za irenje zlonamjernog koda te izgradnju mree za napad moemo podijeliti u tri
osnovne skupine:
I. irenje sredinjeg izvora (eng. Central source propagation) nakon otkrivanja ranjivog
sustava informacije o tome su prenesene do sredinjeg izvora pa se zlonamjerni kod prenosi
do novog kompromitiranog sustava.
II. irenje ulanavanjem unazad (eng. Back-chaining propagation) u ovoj metodi napada
sam prenosi alat za izvoenje napada do novog ranjivog sustava.
III. Autonomno irenje (eng. Autonomous propagation) posluitelj prenosi alat za napad do
novo otkrivenog ranjivog sustava u trenutku kada razbije sustav.
Slika 3 daje grafiki prikaz metoda irenja zlonamjernog koda. Uz slike naznaeni su koraci koji se
izvode prilikom toga:
1. iskoritavanje ranjivosti,
2. prijenos povratnih informacija,
3. irenje koda na ciljano raunalo tj. prenoenje alata za napad,
4. ponavljanje radnje s sljedeim ranjivim raunalom.


Slika 3. Metode irenja zlonamjernog koda

3.2. Metode DDoS napada
DDoS napad moemo podijeliti u dvije osnovne grupe: tipini i reflektirani DDoS napad. Osim toga,
postoje jo neki oblici napada koji su posebno istaknuti u nastavku.
3.2.1. Peer-to-peer napad
Napadai su otkrili nain iskoritavanja nekoliko nedostataka u peer-to-peer (veza jedan-na-jedan)
posluiteljima za pokretanje DDoS napada. Prilikom izvoenja napada, napada nalae klijentima
velikih peer-to-peer vorita za dijeljenje datoteka da se iskljue iz svojih peer-to-peer mrea i spoje
na rtvino raunalo. Kao rezultat toga, nekoliko tisua raunala moe se agresivno pokuati
povezati s ciljanim raunalom. Iako tipini web posluitelj moe obraivati nekoliko stotina veza u
sekundi prije nego to mu performanse ponu opadati, veina web posluitelja pada gotovo
odmah pri pet ili est tisua veza / sec. Prilikom peer-to-peer napada web stranica moe biti
pogoena sa 750.000 veza u kratkom vremenu.

Revizija 1.02 CCERT-PUBDOC-2008-09-223 Stranica 11/18
3.2.2. DNS Backbone DDoS napad
DNS Backbone DDoS napad je napad u kojem se zlonamjerni korisnik koristi DDoS napadom kako
bi razbio jedan ili vie DNS posluitelja. DNS (eng. Domain Name System) posluitelj slui za
prevoenje tekstualnih imena posluitelja u IP adrese. Izvoenje ovog napada moe biti vrlo
tetno jer dolazi do velikog gubitka prometa. Napad se izvodi kao i obini DDoS napad samo to se
usmjerava protiv DNS posluitelja.
3.2.3. Tipini DDoS napad
U tipinom DDoS napadu vojska napadaa se sastoji od zombi gospodara i zombi robova.
Posluitelji su komprimirani ureaji koji su nastali tijekom procesa skeniranja i sadre zlonamjerni
kod. Napada koordinira i nareuje gospodaru koji zatim proslijedi naredbu robovima. Konkretnije,
napada alje naredbu za napad gospodaru i aktivira sve procese napada na tim ureajima, koji su
u stanju hibernacije, ekanja na odgovarajuu naredbu da se probude i ponu napad. Zatim
gospodari, potaknuti ovim procesima, alju naredbe za napad robovima nareujui im da ponu
DDoS napad na ciljani ureaj. Na taj nain, robovi poinju slati veliki obujam paketa na ciljani
ureaj, poplavljujui svoje sustave beskorisnim optereenjem i iskoritavaju svoje resurse. Slika 4
prikazuje ovu vrstu DDoS napada.


Slika 4. Tipini DDoS napad

U sluajevima DDoS napada, koriste se lairane IP adrese izvora u paketima. Napadai preferiraju
koritenje takvih krivotvorenih izvornih IP adresa iz dva glavna razloga. Prvi je skrivanje identiteta
zombi strojeva da bi napadai sakrili svoj identitet. Drugi razlog odnosi se na izvoenje napada,
kada napadai ele onemoguiti bilo koji pokuaj filtriranja prometa na raunalu rtvi.
3.2.4. DRDoS napad
DRDoS (eng. distributed reflected denial of service) ukljuuje slanje lanih zahtjeva na vrlo velik
broj raunala koja odgovaraju na njih. Izvorina adresa unutar zahtjeva postavljena je tako da svi
odgovori idu na ciljano raunalo. Time dolazi do iskoritavanja resursa te uskraivanja usluga.
DRDoS napad generira istu koliinu prometa kao i DDoS napad, ali koristi efikasniju metodu za
postizanje toga. Slika 5 prikazuje korake DRDoS napada. Kada posluitelj prima SYN paket
odgovora SYN / ACK paketom to su prva dva koraka za uspostavu veze. Pri napadu alje se SYN

Revizija 1.02 CCERT-PUBDOC-2008-09-223 Stranica 12/18
paket bilo kojem od javno dostupnih posluitelja s lairanom izvornom IP adresom koja pokazuje
na ciljanu rtvu napada. Primatelj SYN paketa generira SYN / ACK i alje ga rtvi. Na ovaj nain
posluitelj se koristi da bi odraavao pakete na ciljanu mreu, a ne za slanje paketa izravno na cilj
kao to je sluaj u DDoS.
Slino kao i kod DDoS napada koristi se velik broj posluitelja za slanje SYN paketa koji zatim
generiraju veliku koliinu prometa. U odnosu na DDoS napad, DRDoS je napad koji moe
uzrokovati vie tete s manjim brojem posluitelja. Posluitelji koji reflektiraju ne moraju biti
ranjivi, tj. na njih ne treba provaljivati pa se za napad moe koristiti veliki broj posluitelja koji su
inae dobro zatieni.



Slika 5. DRDoS napad

Jedna od mogunosti zatite sustava od DRDoS napada je filtriranje SYN/ACK paketa. Ako se
pretpostavi da je ciljano raunalo zapravo posluitelj ono nema razloga primati SYN/ACK pakete
(posluitelji primaju samo SYN i ACK pakete). Ipak takvim postupkom filtriranja paketa mogue je
odbaciti neke korisne pakete.
3.3. Usporedba DoS i DDoS napada
Vrlo je vano primijetiti razliku izmeu DoS i DDoS napada. Ako napada izvodi napad iz jednog
posluitelja taj napad e biti klasificiran kao DoS napad. U stvari, bilo koji napad na uporabljivost bi se
trebao klasificirati kao Denial of Service napad. S druge strane, ako je jedan napada koristi tisuu zombi
sustava za istovremeno pokretanje napada taj napad e biti klasificiran kao DDoS napad. Znai, DoS
napad se provodi s jedne te iste IP adrese, dok pri DDoS napadu radi se o vie IP adresa.

Revizija 1.02 CCERT-PUBDOC-2008-09-223 Stranica 13/18
Jo jedna vana razlika izmeu DoS i DDoS napada je u tome to kod DDoS napada postoji mogunost
da vlasnik nekog raunala ne zna da sudjeluje u napadu. Takva raunala nazivamo gospodari, a oni
upravljaju robovima. Razlike izmeu DoS i DDoS napada prikazuje slika 6.
DDoS napad moe napraviti daleko vie tete mrenim operatorima, davateljima usluga, ali i obinim
korisnicima Internet usluga. Svakim novim prikljuivanjem raunala na Internet javlja se mogunost
stvaranja novog gospodara ili roba.
Glavne prednosti napadaa koji koristi DDoS napad su:
vie raunala moe generirati vie prometa od jednog,
vie napada raznih raunala tee je otkloniti od napada jednog raunala,
ponaanje svakog raunala koje napada moe biti upravljano sa nekim od alata za
automatizaciju napada to je tee pronai i otkloniti.



Slika 6. Razlika izmeu DoS i DDoS napada

U sigurnosti raunalnih mrea, povratni radarski signal je neeljeni efekt napada uskraivanja usluga. U
ovoj vrsti napada, napada laira izvorinu adresu u IP paketima poslanim na rtve. U veini sluajeva,
rtva ne moe razlikovati lairane i legitimne pakete, tako da rtva odgovara na lairani paket kao to bi i
inae. Ovi paketi su odgovor poznat kao povratni radarski signal.





Revizija 1.02 CCERT-PUBDOC-2008-09-223 Stranica 14/18
4. Poznati DDoS napadi
Od prve pojave DDoS napada izvedeni su brojni napadi ove vrste koji su ugrozili gotovo sve posluitelje
prikljuene na Internet. Pregled nekih ozbiljnijih i poznatijih napada dan je u nastavku.
4.1. DDoS napadi u svijetu
Prvi veliki DRDoS napad koji ukljuuje DNS posluitelje kao reflektore se dogodio u sijenju 2001. Cilj
napada bio je Register.com, a izveden je lairanjem zahtjeva za MX zapise od AOL.com (DNS adresom
mail posluitelja). Trajao je oko tjedan dana prije nego je mogao biti praen do napadakog posluitelja i
iskljuen. Koristio je popis nekoliko desetaka tisua DNS zapisa koji su nastali godinu dana ranije.
U veljai, 2001, grupa studenata NUI Maynooth sveuilita napala je posluitelj irskog vladinog odjela za
financije (Government's Department of Finance) .
U srpnju 2002, analizom je utvreno da je iskoritena ranjivost posluitelja projekta Honeynet Project
Reverse Challenge te je stvoren jo jedan DDoS agent, koji provodi nekoliko srodnih DNS napada,
ukljuujui i optimiziran oblik DRDoS napada.
U dva navrata do sada, napadai su obavili DNS Backbone DDoS Attacks na sredinje DNS posluitelje.
Jedan od tih DDoS napada izveden je 21. listopada 2002. kada su napadnuti kljuni DNS posluitelji. Svih
13 DNS posluitelja ciljani su istovremeno, a na 9 posluitelja izazvano je stanje uskraivanja usluga. Ovaj
pokuaj je zabiljeen kao prvi napad koji je usmjeren kako bi onemoguio funkcioniranje Interneta u
cijelosti. Slika 7 prikazuje razinu prometa (eng. traffic index) u razdoblju od 24h u vrijeme ovog napada.
Iskazan je preko ljestvice od 0, jako sporo, do 100, jako brzo. Rauna se usporeujui trenutne odgovore
sa svim prijanjim odgovorima tog usmjerivaa u zadnjih 7 dana.
Drugi napad na DNS posluitelje dogodio se 6. veljae 2007., ali ni na jednom od posluitelja nije
izazvano DoS stanje. Voditelj tehnikog odjela IANA-e John Crain izjavio je da je u utorak ujutro
zabiljeen nagli rast prometa prema sredinjim DNS posluiteljima.



Slika 7. Razina prometa u vrijeme DDoS napada na DNS posluitelje

U kolovozu 2008. dogodio se jo jedan ozbiljniji DDoS napad. U tjednima koji su vodili do petodnevnog
gruzijsko-ruskog rata izveden je DDoS napad usmjeren na posluitelje gruzijske vlade. Nosio je poruku:
win+love+in+Russia" ("osvojiti+ljubav+u+Rusiji"), a uinkovito je preopteretio i iskljuio vie
posluitelja. Ciljane web stranice ukljuivale su i web stranicu gruzijskog predsjednika (Mikhail
Saakashvili) i National Bank of Georgia. Iako su teke sumnje stavljene na rusku bandu RBN (eng. Russian
Business Network), ruska vlada odbacila je tvrdnje, navodei da je mogue da su pojedinci u Rusiji ili
negdje drugdje sami pokrenuli napade.
4.2. DDoS napadi u Hrvatskoj
21. travnja 2001. zabiljeen je najvei napad na hrvatske Internet posluitelje zbog kojeg je Hrvatska bila
"odsjeena" od Interneta. U subotu naveer oko 18 sati jo nepoznati poinitelj ili poinitelji DDoS
napadom na HT-ove usmjerivae oteali su pristup sadrajima web stranica izvan Hrvatske. Nakon to je

Revizija 1.02 CCERT-PUBDOC-2008-09-223 Stranica 15/18
prvi napad zaustavljen, pola sata iza ponoi, kasnije je uslijedilo jo nekoliko napada. Autor ili autori
napada jo nisu locirani, a prema istraivanjima napadi su pristigli iz 23 zemlje svijeta. Nakon to je u
subotu napadnut HT, ve u nedjelju je izvren DDoS napad i na drugi najvei hrvatski ISP, Iskon.
No, kako su tada i Iskon i ostali domai ISP-ovi (osim CARNet-a) svoje Internet usluge pruali
preko HT-ove veze svaki napad na HT-ov Hinet bio je na tetu i svim ISP-ovima.
Neki od poznatijih DDoS napada na hrvatske web stranice su napadi na dvije popularne web stranice:
www.auti.hr i www.oglasnik.hr. Napade je navodno izvela grupa maloljetnika iz Tuzle traei odreeni
novani iznos kako bi prestali s ometanjem rada web stranica.
5. Kako se braniti
Zbog toga to DDoS napada komunikacijsku infrastrukturu ak i ako je primarno usmjeren na posluitelj, te
zbog toga to u napad ukljuuje ogroman broj kompromitiranih raunala, izuzetno je vano nai uinkovit
nain obrane od njega. U nastavku dokumenta opisne su neke osnovne metode tehnike zatite, kao i
zakonska regulativa.
5.1. Tehnika zatita
Prvo i najvanije pravilo kojega se treba pridravati kako bi se sustav zatitio od napada je osigurati
dovoljnu razinu sigurnosti posluitelja. Pri tome postoje neke osnovne metode koje se trebaju provesti:
napraviti popis svih procesa koji su pokrenuti na posluitelju kao i popis svih mrenih prikljuaka
na kojima se pruaju usluge,
onemoguiti sve procese osim onih koji su potrebni za normalan rad posluitelja kako bi pruio
predviene usluge,
uvesti filtriranje paketa (npr. pomou programa IPFilter).
Filtriranje paketa ima mnoge prednosti, a jedna od njih je i izuzetno vana funkcija onemoguavanja
lairanja izvorne adrese (iznimno efikasno protiv DRDoS napada). Takoer je mogue blokirati pakete koji
dolaze s nepoznatih odredita kao i osigurati nadzor nad pristupom uslugama (definirati prava pristupa
pojedinog korisnika uslugama).
Usmjerivai povezani na Internet mogu biti konfigurirani tako da skeniraju pakete (provjera IP adrese,
porta) prije ulaska u interne mree. Takoer se mogu koristiti kako bi se osigurala mrea nekog poduzea
kao potencijalnog izvora izvora DDoS napada. To se postie filtriranjem odlaznih paketa te provjerom IP
adrese svih paketa. Usmjeriva moe takoer biti koriten kako bi se ograniio broj odlaznih TCP SYN
paketa, ali ovu koritenje ove opcije preporua se samo boljim poznavateljima mrenih protokola jel
nepravilna konfiguracija moe dovesti do blokiranja legitimnog prometa.
Jo jedan nain zatite je koritenje vatrozida (eng. firewall), koji radi na slian nain kao i usmjerivai za
filtriranje prometa.
Opisani naini zatite ne brane sustav od napada, ali osiguravaju da sustav ne sudjeluje u napadu (ne
postane zombi, rob ili gospodar). Kako bi sprijeili sam DDoS napad na sustav postoje takoer neke
metode koje je potrebno provesti:
distribuirati web stranicu preko viestrukih posluitelja (vrlo skupo),
povezivanje na Internet preko vie pristupnih toaka,
ugradnja alata za praenje napada.
Do sada, programeri nisu uspjeli razviti 100% uinkovit obrambeni mehanizam. Svi mehanizmi koji su
prezentirani mogu se suprotstaviti ili samo odreenim DDoS napadima ili su na kraju ipak na neki nain
ugroeni od strane napadaa. Stoga, brojne organizacije i pojedinci uporno rade na razvoju novih
obrambenih mehanizama. Raunala mamci (eng. Honeypots) su vana metoda za prepoznavanje,
spreavanje i obranu od DDoS napada.
5.2. Zakonska zatita
Konvencija o kibernetikom kriminalu predstavlja oblik meunarodnog ugovora. Meunarodni ugovori
vaan su izvor meunarodnog prava kojim se ureuju meusobni odnosi izmeu subjekata
meunarodnog prava. Konvenciju o kibernetikom kriminalu donijelo je Vijee Europe 23. studenoga
2001. godine, a stupila je na snagu 1. srpnja 2004. godine. Konvenciju je potpisalo 38 drava (meu njima

Revizija 1.02 CCERT-PUBDOC-2008-09-223 Stranica 16/18
i nelanice Vijea Europe: Kanada, Japan, Juna Afrika i Sjedinjene Drave), a ratificiralo ju je 11 drava:
Albanija, Bugarska, Cipar, Danska, Estonija, Hrvatska, Luksemburg, Maarska, Makedonija, Rumunjska i
Slovenija.
Republika Hrvatska je ratificirala Konvenciju te njene odredbe unijela u svoj Kazneni zakon donoenjem
Zakona o izmjenama i dopunama kaznenog zakona koji je stupio na snagu 1. listopada 2004. godine.

Povreda tajnosti, cjelovitosti i dostupnosti raunalnih podataka, programa ili sustava
lanak 223.
(1) Tko oteti, izmjeni, izbrie, uniti ili na drugi nain uini neuporabljivim ili nedostupnim tue
raunalne podatke ili raunalne programe, kaznit e se novanom kaznom ili kaznom zatvora do tri
godine.
(2) Tko unato zatitnim mjerama neovlateno pristupi raunalnim podacima ili programima ili
neovlateno presree njihov prijenos, kaznit e se novanom kaznom ili kaznom zatvora do tri godine.
(3) Tko onemogui ili otea rad ili koritenje raunalnog sustava, raunalnih podataka ili programa ili
raunalnu komunikaciju, kaznit e se novanom kaznom ili kaznom zatvora do tri godine.
(4) Ako je kazneno djelo iz stavka 1., 2. ili 3. ovog lanka poinjeno u odnosu na raunalni sustav, podatak
ili program tijela dravne vlasti, javne ustanove ili trgovakog drutva od posebnog javnog interesa, ili je
prouzroena znatna teta, kaznit e se kaznom zatvora od tri mjeseca do pet godina.
(5) Tko neovlateno izrauje, nabavlja, prodaje, posjeduje ili ini drugome dostupne posebne naprave,
sredstva, raunalne programe ili raunalne podatke stvorene ili prilagoene za injenje kaznenog djela iz
stavka 1., 2. ili 3. ovog lanka, kaznit e se novanom kaznom ili kaznom zatvora do tri godine.
(6) Posebne naprave, sredstva, raunalni programi ili podaci stvoreni, koriteni ili prilagoeni za injenje
kaznenih djela, a kojima je poinjeno kazneno djelo iz stavka 1., 2. ili 3. ovog lanka oduzet e se.
(7) Za pokuaj kaznenog djela iz stavka 1., 2. i 3. ovoga lanka poinitelj e se kazniti.

6. Alati vezani uz DDoS napad
Kada se govori o alatima vezanim uz DDoS napad mora se napraviti podjela alata na one koji automatiziraju
izvravanje napada i one koji slue za otkrivanje napada. U nastavku je pregled nekih poznatijih alata koji
slue u obje svrhe.
6.1. Izvravanje napada
Postoje brojni alati koji automatiziraju izvravanje DDoS napada, a neki od najpoznatijih su:
1. Jedan od poznatijih programa za DDoS napade trinoo (trin00) je skup programskih paketa koji
slue za izvoenje DDoS napada. Osnovni dio programa ima zadau razailjati veliki broj UDP
paketa na ciljano raunalo, to znai da radi na principu UDP poplavljivanja. Kako raunalo
pokuava odgovoriti na te brojne lane zahtjeve (porukom "ICMP port unreachable") dolazi do
zasienja resursa te na kraju do uskraivanja usluga. Dostupan je za Windows i Linux operacijske
sustave.
2. Nakon alata trinoo poeo je razvoj alata Tribe Flood Network (TFN) koji radi na principu ICMP,
UDP i SYN poplavljivanja te "Smurf" napada. Nedostatak alata je u tome to je dostupan samo za
operacijske sustave Linux i Solaris.
3. Kombiniranjem karakteristika programa trinoo i TFN nastaje novi alat za izvoenje DDoS napada
nazvan Stacheldraht. Prednost alata je u tome to omoguuje automatsko lairanje izvorne
adrese. Stacheldraht ima implementirane iste tehnike napada kao i alat TFN, a dostupan je za
operacijske sustave Linux i Solaris.
4. Program Trinity omoguuje pokretanje vie tipova poplavljivanja na ciljanu web stranicu,
ukljuujui UDP i SYN.
5. Vrlo slian programu trinoo razvijen je i program Shaft koji omoguava izvoenje raznih napada
poplavljivanjem. Takoer ima mogunost kontrole veliine paketa te trajanja napada.

Revizija 1.02 CCERT-PUBDOC-2008-09-223 Stranica 17/18
6. Alat Tribe Flood Network 2K (TFN2K) je sloenija inaica alata TFN dizajnirana kako bi
onemoguila filtriranje paketa, omoguila udaljeno pokretanje naredbi i skrivanje izvorne IP
adrese s koje dolazi napad.
Postoje i mnogi noviji alati za izvravanje napada kao to su: Mstream, Omega, Trinity, Derivatives,
myServer i Plague.
6.2. Obrana od napada
Budui da su razvijeni razni programi koji olakavaju izvoenje DDoS napada postoje i mnogi koji slue
za obranu. Neki alati koji se mogu iskoristit kao oruje u borbi protiv DDoS napada su:
1. Program DdoSPing je skener koji moe otkriti rad programa trinoo, Stacheldraht i TFN.
Nedostatak programa je u tome to otkriva rad navedenih programa samo ako imaju izvorno
namjetene postavke (eng. default) to se vrlo lako moe promijeniti.



Slika 8. Suelje programa DdoSPing

2. Program find_ddos takoer se koristi za skeniranje sustava kako bi pronaao trinoo,
Stacheldraht, TFN2K i TFN programe.
3. Program dds (eng. Distributed DoS Scanner) omoguava otkrivanje aktivnosti programa trinoo,
Stacheldraht i TFN. Dostupan je za sljedee operacijske sustave: Linux (kernel inaica 2.2.x),
Solaris (inaice 2.6 i vee), Digital Unix 4.0d, IMB AIX 4.2, FreeBSD 3.3. i OpenBSD 2.6.
4. Program gag skenira sustav kako bi otkrio Stacheldraht program, dok ostale programe ne moe
detektirati. Navedeni alat dostupan je za iste operacijske sustave kao i alat dds.
5. Alat RID je jo jedan od skenera koji otkriva prisutnost trinoo, Stacheldraht i TFN programa.
Kao to je prikazano, veina alata za obranu od DDoS napada radi na jednakom principu: skeniraju
sustav kako bi otkrili aktivnosti nekog od alata za automatiziranje DDoS napada.





Revizija 1.02 CCERT-PUBDOC-2008-09-223 Stranica 18/18
7. Zakljuak
DDoS napad jedna je od potekoa s kojima se susreu gotovo sve web stranice i posluitelji spojeni na
Internet. Izvoenje napada u dananje vrijeme vrlo je jednostavno i nije potrebno veliko struno znanje, zbog
mnogih alata koji automatiziraju cijeli proces pripreme i napada. Zahvaljujui tome, u vrlo kratkom vremenu,
mogue je stvoriti ogromnu mreu raunala koji ekaju jednu naredbu kako bi zapoeli napad.
Budui da je opasnost od DDoS napada velika potrebno je provesti odgovarajue mjere zatite raunalnog i
komunikacijskog sustava. Veliki problem stvara injenica da korisnik nehotice ili bez svog znanja moe
sudjelovati u izvravaju DDoS napada. Tomu pridonose programi koji imaju zadatak prekivanja zlonamjernog
koda koji e pokrenuti napad s ranjivog raunala.
Kako bi se sustav zatitio i kako bi se sprijeilo sudjelovanje u DDoS napadu, potrebno je provesti mjere
zatite poput filtriranja prometa te koritenja vatrozida. Ipak te mjere nisu dovoljna zatita kako bi se sustav
zatitio i od toga da postane cilj nekog DDoS napada. Ne postoji nikakva sigurna zatita, ali razvijeni su brojni
alati koji mogu otkriti napad. Stoga se dopunska zatita sastoji od prepoznavanja napada i brze reakcije na
njega.




8. Reference
[1] DoS napad, http://en.wikipedia.org/wiki/Denial-of-service_attack, rujan 2008
[2] DDoS napad, http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_7-
4/dos_attacks.html, rujan 2008
[3] DDoS napad, http://www.cert.org/homeusers/ddos.html, rujan 2008
[4] DDoS Attack tools, http://staff.washington.edu/dittrich/misc/ddos/, rujan 2008
[5] KONVENCIJA O KIBERNETIKOM KRIMINALU I KAZNENI ZAKON REPUBLIKE HRVATSKE,
http://www.vojkovic.info/PDF/zbpdf_zb200601_123-136.pdf