על הפרק: התקפות הגברה

סוג חדש של התקפות מניעה (DDoS) מאיים לפגוע בפעילות התקינה של רשת האינטרנט. מדובר בהתקפות שעושות מניפולציה על פרוטוקולי תקשורת נפוצים בכדי לייצר נפחי תעבורה של מאות גיגות במטרה למנוע גישה לאתרים ושירותים מקוונים

photo by: shutterstock.com

סוג חדש של מתקפות מניעת שירות (DDoS) מאיים לשבש את תעבורת רשת האינטרנט העולמית באמצעות הצפה של תעבורת נתונים בנפחים שטרם נראו. מדובר במתקפה המכונה "מתקפת הגברה" (Amplification Attack) על פרוטוקול זמן בשם NTP הנחשב לאחד הנפוצים ברשת האינטרנט. בשונה מהתקפת DDoS רגילה, בווקטור החדש מנצלים התוקפים פרוטוקולים ידועים לצורך הגברה של נפח ההתקפה.

דוגמא להתקפה כזו ניתן היה לקבל בחודש פברואר האחרון כאשר התקפה על לקוח של חברת CloudFlare הגיעה לנפח של 400Gbps (גיגהבייט/שנייה) למשך שעתיים רצוף. מדובר בהתקפה שהאטה למעשה את תעבורת רשת האינטרנט בכל אירופה. זהו אותו וקטור התקפה שבו השתמשו בתקיפת ארגון Spamhaus בשנה שעברה, רק בעוצמה גדולה יותר. Spamhaus הוא ארגון שמבצע ניטור אחרי ספאמרים בכל העולם מתוך מטרה להפחית את תפוצת הספאם בעולם ובשל כך נחשב למטרה לגיטימית בעיני ההאקרים להתקפות מניעת שירות.

"במהלך חודש פברואר האחרון, ראינו גל של שימוש בהתקפות הגברה על שרתי NTP. מדובר בעלייה של 371 אחוזים. למעשה, ההתקפות הגדולות ביותר שראינו ברשת שלנו השנה היו התקפות מסוג זה", אמר בכיר בחברת Akamai Technologies, אחת החברות הידועות בעולם בהגנה מפני מתקפות DDoS.

מומחים נוספים בתחום הסייבר מדגישים את העובדה שהתקפות ההגברה על שרתי NTP הופכות להיות יותר ויותר פופולריות מכיוון שהאקרים יכולים לשלוח 100Gbps או אפילו יותר לשרת מסוים על ידי שימוש לרעה במספר קטן יחסית של שרתים פגיעים. נתון נוסף הוא שלא מדובר בהתקפות שממוקדות רק במגזר אחד. במקום זאת, חברות מתחומים שונים כמו פיננסים, מסחר אלקטרוני, משחקים, תקשורת, מדיה, חינוך , ביטחון וספקי ענן מהוות מטרות לגיטימיות.

סימולציות שנעשו על ידי חברת Prolexic הראו כי התקפות אלה מייצרות תגובות מוגברות של פי 300 כשזה מגיע לרוחב פס ופי 50 מנפח התעבורה. הסטטיסטיקה מראה כי בהשוואה לינואר, בחודש פברואר רוחב הפס המרבי הממוצע של התקפת DDoS עלה ב-217 אחוזים, בעוד ממוצע הנפח של ההתקפה גדל ב-807 אחוזים.

מהי מתקפת NTP amplification ?

לפני שנצלול להתקפות הגברה על שרתי זמן, חשוב לציין כי עד היום, אחת השיטות הנפוצות לביצוע מתקפת DDoS היא שימוש ברשתות בוטנטים. בוטנט היא תוכנה זדונית אותה משתילים במחשב או שרת תמימים באמצעות שיטות כמו שליחת ספאם, הנדסה חברתית או Spear phishing. לאחר שהבוטנט הושתל בהצלחה, הוא מאפשר להאקר לבצע פעולות שונות באותו מחשב ללא ידיעת המשתמש. האקרים שעוסקים בתחום זה, לרוב אלו ארגוני פשיעה, יוצרים רשתות של עשרות אלפי בוטנטים כאלו, אותם הם משכירים למרבה במחיר. כלומר, אם ארגון או אדם מסוים רוצה לבצע התקפת DDoS, הוא משכיר מהם כמות מסוימת של בוטנטים רק לזמן התקיפה.

למרות ששיטה זו נפוצה עד היום, המודעות לנושא הסחר בבוטנטים בקרב חברות אבטחת מידע ומדינות הביאה לעליה בסיכון שבשימוש וקטור התקפה זה. מגבלה נוספת של שיטה זו טמונה בכך שהיא נסמכת על מחשבים או שרתים שצריכים להיות מחוברים לרשת. אם המשתמש מכבה את המחשב או מנתק אותו מהרשת, היעילות של הבוטנט המושכר יורדת לאפס.

כמו כן, בגלל שהשתלת בוטנטים היא פעולת "ריסוס" (התקפה לא ממוקדת שפונה למיליוני גולשים ועובדת בשיטת 'מצליח'), בחלק גדול מהמקרים הבוטנט מותקן על מחשב במדינה שבה אין רוחב פס גדול למשתמש. במקרה כזה, היעילות של הבוטנט נמוכה מאד בהתקפת DDoS. אם רוצים למשל התקפה בנפח 50Gbps, צריך 50,000 בוטים שמסוגלים לשלוח 1Mbps לקורבן. במציאות, היחס הוא הוא 1:10. כלומר, צריך להשכיר כמות גדולה פי עשרה של בוטנטים מהנפח שרוצים לייצר. במקרה של התקפות DDoS גדולות, מדובר במאות אלפי בוטנטים כדי ליישם מתקפה כזו. זה גם יקר וגם מוחצן מידי, עובדה המעלה את הסיכון ביישום ההתקפה. לעומת התקפות אלו, התקפות הגברה לא דורשות הרבה בוטנטים כדי להגיע לאותו נפח התקפה ומכאן היתרון שלהן.

תפקידו של פרוטוקול הזמן ברשת (NTP) הוא לסנכרן את הפעילות של כל המחשבים באותה רשת. הוא גם משמש למשל לסנכרון של יחסי לקוח-שרת (client-server) או לקוח – לקוח (P2P), מודלים נפוצים בפיתוח אפליקציות מבוססות רשת. בהיבט ההתקפה, היתרונות בפרוטוקול זה טמונים בתפוצה שלו ובכך שהוא מבוסס על תעבורת UDP שאינה דורשת תהליך "לחיצת יד".

התקפת הגברה על שרת NTP מתחילה בשרת הנשלט על ידי תוקף ברשת שמאפשרת זיוף כתובות רשת (IP Source Address Spoofing). מדובר ברשת שלא פועלת לפי תקינה BCP38 של ארגון IETF. במצב כזה, התוקף יוצר מספר גדול של מנות UDP מזויפות עם כתובת IP מזויפת של המקור כדי להציג מציאות כאילו המנות מגיעות מהיעד אותו רוצים להתקיף.

מנות UDP אלו נשלחות לשרתי Network Time Protocol שתומכים בפקודת MONLIST. לפקודה הזו יש תפקיד מוגדר - היא גורמת לשרת הזמן להחזיר רשימה של עד 600 כתובות IP אחרונות שניגשו אליו. אם לשרת ה-NTP יש רשימה מלאה של כתובות כאלו, נפח התגובה לבקשת MONLIST יהיה גדול פי 206 פעמים מהבקשה. מכיוון שכתובת המקור מזויפת ומצביעה על כתובת שאותה רוצים לתקוף, ופרוטוקול ה-UDP אינו דורש לחיצת יד (תהליך הזדהות), התגובה המוגברת נשלחת ישירות למטרה המיועדת. באופן תיאורטי, תוקף עם חיבור של 1Gbps יכול ליצור התקפת DDoS של יותר מ 200Gbps.

אם נחזור להתקפה של חודש פברואר האחרון, כדי להפיק כ-400Gbps של תנועה, התוקף השתמש ב-4,529 שרתי NTP הפועלים ב-1,298 רשתות שונות, כך על פי פרסום באתר CloudFlare. בממוצע, כל אחד מהשרתים האלה שלח 87Mbps של תנועה לקורבן המיועד ברשת של CloudFlare. למרבה הפלא, התוקף השתמש בשרת אחד בלבד שפעל ברשת שאפשרה זיוף כתובות IP. ממנו, למעשה, נשלחו הבקשות לאותם אלפי שרתי זמן בעולם.

תופעה מתרחבת

לצד התקפות הגברה על שרתי NTP, ישנן התקפות המשתמשות באותו עיקרון לניצול פרוטוקולי DNS, SNMP או CHARGEN. שרת DNS אחראי על ההמרה בין כתובת IP של אתר לשם (דומיין) שלו. כלומר, כאשר רושמים בדפדפן כתובת של אתר, שרת ה-DNS עושה המרה לכתובת ה-IP שלו. בתהליך הזה נשלחת תגובה משרת ה-DNS ללקוח שרוצה לגלוש לאתר מסוים. ההגברה של תגובת השרת בהתקפות מסוג זה יכולה להגיע למדדים של עד פי 50. גם במקרה זה התגובה היא בפרוטוקול UDP.

פרוטוקול CHARGEN מיועד למטרות בדיקה, ניפוי (debugging), ומדידה והוא מאפשר העברת נתונים בין מחשב לשרת. גם כאן, באמצעות זיוף כתובת היעד, אפשר להשתמש בו לשליחת נתונים משירות אחד במחשב אחד לשירות אחר במחשב אחר. פעולה זו גורמת ללולאה אינסופית ויוצרת התקפות מסוג מניעת שירות. ההתקפה יכולה לצרוך כמויות גדולות של רוחב פס ברשת, ולגרום לירידה בביצועים או לכיבוי מוחלט של מקטעי רשת מושפעים. התקפה על פרוטוקול CHARGEN יכולה להגיע להגברה של עד פי 359 מהתעבורה המקורית של הבקשה.

לעומת ה-NTP, ה-DNS או ה-CHARGEN, התקפת SNMP היא המסוכנת ביותר מבחינת יכולת ההגברה שלה שיכולה להגיע לפי 650 או יותר מהתעבורה המקורית. SNMP הוא פרוטוקול שאחראי לניהול התקני רשת בכל רשת מחשבים, ולכן מדובר בפרוטוקול נפוץ מאד. כדי לקיים התקפה כזו, התוקף סורק את הרשת למציאת התקנים מארחים (Hosts) העושים שימוש בפרוטוקול, ואז באמצעות זיוף כתובת ה-IP של מקור הבקשה, הוא גורם לאותם מארחים לשלוח את התשובה לכתובת הקורבן.

לפי מחקר שערך כריסטיאן רוסו (Christian Rossow), חוקר אבטחת מידע מאוניברסיטת Ruhr בגרמניה, קיימים מעל 4.83 מיליון התקנים מסוג זה. המחקר של רוסו שעסק בהתקפות הגברה, חשף 12 פרוטוקולים נפוצים שהאקרים יכולים לנצל לטובת הגברה של מתקפות DDoS, ביניהם גם הפרוטוקולים שהוזכרו בכתבה זו. אין ספק כי מדובר בתופעה מדאיגה. לדברי מנכ"ל חברת CloudFlare, מתיו פרינס, התקפות הגברה משולבות על הפרוטוקולים NTP, SNMP ו-DNS יכולות להביא לשיבוש של חלקים מרשת האינטרנט העולמית.

הפתרון: אכיפת תקינה ושיתוף פעולה בינלאומי

אז מה אפשר לעשות? ליישם תקינה. כפי שצוין קודם לכן, ארגון IETF המשמש ככוח משימה להנדסה באינטרנט הוציא כבר בשנת 2000 תקינה שאוזכרה קודם לכן תחת השם BCP38 שמטרתה למנוע זיופים של כתובות IP. הבעיה היא שכמו כל תקינה, אם לא מיישמים אותה, היא לא שווה הרבה.

נכון לחודש פברואר האחרון פרסם ארגון בשם Spoofer Project נתונים המצביעים על כך שכ-25 אחוזים מהמערכות האוטונומיות (AS) ברשת האינטרנט אינן מיישמות תקינה זו. בצורה מופשטת, ניתן לומר כי כל מערכת אוטונומית מייצגת רשת מחשבים. ביניהן גם רשתות של ספקי אינטרנט בעולם. איפה נמצאת ישראל? ובכן, לפי הנתונים של הארגון, גם בישראל לא בדיוק מיישמים את התקינה המדוברת.

פעולה נוספת שאפשר לעשות היא לשתף מידע בצורה גלובלית סביב התמודדות עם התקפות אלו. גם במקרה זה, כמו בסוגים אחרים של מתקפות סייבר, לגיאוגרפיה אין משמעות. שרתים שנמצאים במדינה אחת יכולים לייצר מתקפה בכמה מדינות אחרות. מכאן, שיש צורך ביישום תקינה ואכיפה שלה. בנוסף, יש צורך בשיתוף פעולה גם ברובד המשפטי והטכני. ברובד הטכני מדינה צריכה שתהיה לה את האפשרות 'להוריד' שרתים שמייצרים התקפות כאלו במדינה אחרת בשיחת טלפון. בצורה כזו, ההתקפה יכולה גדע בעודה באיבה לפני שהיא מגיעה לממדים של 400Gbps או יותר. ברובד המשפטי, צריך כלים שיאפשרו סגירת מעגל הפללה מהיר בינלאומי מהרגע שמזהים את יוצר ההתקפה (אם מזהים) ועד הפללת החשודים.

You might be interested also