De denial-of-service aanvallen waarmee de sites van Mastercard, Visa en vandaag nog het openbaar ministerie en de politie neergehaald zijn, zijn wereldnieuws. De cyberoorlog schijnt losgebarsten te zijn en de geest van WikiLeaks kan niet meer in de fles gestopt worden. Er is nogal wat gebeurd op webgebied in de afgelopen week. Maar wij willen natuurlijk ook de technische details een beetje in de gaten houden. DoS-aanvallen is nogal een breed begrip. Zo valt nuken er ook onder. Watvoor denial-of-service aanvallen bestaan er eigenlijk allemaal?

De smurfenaanval

Jaja, we zuigen het niet uit de duim. De smurfenaanval of ICMP flood is een manier om een excessieve hoeveelheid netwerkverkeer te creëren op het netwerk van het slachtoffer. De naam is ontleend aan de naam van de eerste exploit die deze techniek gebruikt. Die heette 'smurf.c'. Dit type aanval is een flood-aanval die via ping commando’s werkt. Er worden massa’s ping requests gestuurd naar bepaalde IP-adressen. Die IP-adressen zijn gespoofd om te verwijzen naar bronadressen van het slachtoffer.

Doorgaans zal er vervolgens een echo reply worden verstuurd door de ongelukkige ontvanger, wat de druk op het netwerk verdubbelt. Dat wordt dan nog eens vermenigvuldigd met het aantal hosts dat reageert op de requests, wat variabel is. In een Multi-access netwerk kan het voorkomen dat er honderden computers reageren per pakketje. Reken dus maar uit hoe effectief een dergelijke aanval is.

Gelukkig is er wel een kruid gewassen tegen deze vorm van een DoS aanval. De eerste manier om deze DoS-aanval te stoppen is om de individuele hosts te configureren om simpelweg niet te reageren op Ping commando’s. Een tweede manier is om routers zo te configureren dat ze geen pakketjes doorsturen naar broadcast adressen. Veel netwerken zijn dan ook niet meer bevattelijk voor de smurfenaanval.

De peer-to-peer aanval

Door fouten in peer-to-peer servers kunnen ‘hackers’ distributed denial-of-service aanvallen lanceren. De aanvaller trekt indirect aan de touwtjes, maar hoeft niet zelf verbinding te maken met het netwerk dat als doelwit dient. Hij laat (potentieel duizenden) gebruikers die verbonden zijn met een peer-to-peer netwerk, ineens met een ander netwerk verbinden. Dat kan bijvoorbeeld een webserver zijn.

Hoewel een webserver doorgaans honderden verbindingen per seconde wel aankan, worden duizenden in een seconde de meeste servers wat te veel. De servers kunnen dus wat hebben en worden slechts wat langzamer in sommige gevallen, maar vanaf 5.000 tot 6.000 connecties per seconde leggen de meeste web servers toch echt wel spontaan het loodje.

Deze aanval kan gepareerd worden door in het P2P protocol aan te geven welke poorten wel en niet gebruikt mogen worden. Wanneer poort 80 geblokkeerd wordt, is het vaak al heel beperkt mogelijk om websites aan te vallen.

De Teardrop aanval

Een Teardrop DoS draait om IP-pakketjes zonder enige vorm van coherentie. Deze worden met grote hoeveelheden (gedeeltelijk) dubbele data tegelijkertijd naar het doelwit gestuurd. Door een bug in de code van TCP/IP fragmentatieherstel die voorkomt in veel besturingssystemen, waaronder Windows 3.1, Windows 95, Windows NT, maar ook in Linux versies vóór 2.0.32 en 2.1.63, waren veel systemen bevattelijk hiervoor. Tegenwoordig valt dat wel mee.

Phlashing

Dit is een DoS-aanval die permanente schade veroorzaakt. Hij is namelijk gericht op de hardware zelf. Dat kan een router, printer of andere netwerkhardware zijn. Om het apparaat in kwestie de dienst te laten staken, wordt de firmware van het apparaat vervangen door malafide code. Het apparaat wordt dus geflasht en is vervolgens corrupt.

Het gevolg hiervan is dat het apparaat vervangen of gerepareerd moet worden en tot die tijd niet meer werkt. Voor deze DoS-aanval zijn aanzienlijk minder middelen benodigd. Er is maar één computer voor nodig met één (breedband)verbinding, terwijl voor het neerhalen van de websites van Visa en Mastercard al meer dan duizend computers met breedbandconnectie nodig waren. Maar ja, die krijg je doorgaans dan weer niet plat met een aanval als Phlashing. Er is namelijk wel een beveiligingslek nodig om hardware te flashen.

DDoS met een botnet

Dit is de distributed denial-of-service aanval waarmee WikiLeaks gewraakt wordt. De websites van Mastercard en Visa zijn ermee platgegooid, maar ook de websites van het openbaar ministerie en de politie zijn neergehaald door deze DDoS variant, nadat bekend werd dat de zestienjarige Jeroenz0r was opgepakt.

Het woord ‘distributed’ zegt het al. Hier zijn meerdere computers voor nodig. In tegenstelling tot de peer-to-peer aanval zijn er bij wraakacties van WikiLeaks sympathisanten veel verschillende mensen betrokken die allemaal hun breedbandverbinding gebruiken om zoveel mogelijk onzin naar de webserver te sturen van bijvoorbeeld Mastercard.

In het geval van de WikiLeaks represailles, werd iedereen die voor openheid van overheden is opgeroepen om de DDoS-tool Low Orbit Ion Cannon te downloaden en simpelweg de website van Mastercard in te vullen. Zo ontstaat er als het ware een botnet van 'zombiecomputers' met een breedband verbinding. Aangezien internetconnecties steeds meer capaciteit bieden, is het inmiddels een stuk makkelijker om webservers neer te halen. Vijf jaar geleden was dit nog ondenkbaar, omdat er dan wel heel veel computers en breedbandverbindingen voor nodig waren.

Je kunt je afvragen wat er wel niet platgelegd kan worden met behulp van een botnet als ZeuS. Eén persoon zou aan de touwtjes trekken van potentieel miljoenen computers in plaats van iets over de duizend, waarmee Mastercard al platgelegd kon worden.

Bron: Techworld