✕ סגור 
צור קשר
תודה על ההתעניינות .

Thank you! Your submission has been received!

Oops! Something went wrong while submitting the form

סוגי מתקפות בעולם הסייבר: DOS - חלק א'

טל בן שושן
|
קלה
|
Nov 6, 2018
alt="facebook"alt="linkedin"
להרשמה לניוזלטר

Denial of Service הינה התקפה הממוקדת בהשבתה או מניעה של שירות מסוים, והיא שונה במהותה הסוגי התקפות שונות כגון חורי אבטחה, הזרקת נתונים ועוד.

: DOS קיימות 2 סוגי התקפות

DOS – התקפה של שירות מסוים על ידי תוכנה, צורה בה התוקף משתמש בחולשה במערכת על מנת להשביתה, התוקף מבקש שוב ושוב מהשרת את אותה הבקשה עד שזה יוצר עומס על השרת וגורם לשירות להיות לא זמין.

DDOS – קיצור של Distributed Denial of Server הוא שימוש של כמה מחשבים (זומבים, מחשבים) כנגד מטרה אחת או כמה מטרות.

ככל שיותר מחשבים צורכים שירות מהשרת כך עולים הסיכויים שהשירות יקרוס. לדוגמה, אם התוקף שולט על 10,000 מחשבים, כל המחשבים פונים לשירות שגם ככה כבד. כאשר כל אותם 10,000 מחשבים מבקשים את השירות בו-זמנית - השירות יקרוס.

הקלות בה ניתן להשתמש ב- DOS נובעת מכך שהמתקפה אינה מסתמכת על חולשות אבטחה בהכרח, עלותה נמוכה והיא ניתנת לשימוש גם על ידי אנשים ללא ידע כלל באבטחת מידע.

? DOS מיהם הקורבנות של התקפות

פעמים רבות התקפות DOS יפעלו כנגד חברות משחקים (סוני או Xbox) ולרוב יתרחשו במועדים בהם יש את כמות השחקנים הגדולה ביותר למשל בחגים.

צורה נוספת היא כנגד ספקיות רשת דווקא בעונת החגים בה המטרה היא למנוע מהמשתמשים לגלוש, לקנות, לשחק ברשת וכו’. לאחר בדיקה ומעבר על כתבות רבות, נמצא כי התוקפים אוהבים דווקא את הזמנים האלו  על מנת “להציק” למשתמשים ברשת האינטרנט ולראות אותם מתלוננים ברשת על התקלות והבעיות.

ב-DOS  קיימות גם התקפות "שלא בכוונה" - תארו לכם אתר כמו https://slashdot.org, בו אחד מהכתבים באתר מוצא כתבה בבלוג טכנולוגי קטן ומפרסם קישור של הבלוג בכתבה הראשית שעלתה היום לאתר.

כעת משתמשי https://slashdot.org (כמות לא מבוטלת) קוראים את הכתבה וניגשים לבלוג הקטן הזה, לרוב בלוג קטן ישב על “שרתים” יחסית חלשים עם מינימום תעבורה, כוח עיבוד וזיכרון וברגע שכל כך הרבה משתמשים לגיטימיים שרוצים לקרוא את הכתבה, ניגשים אליו, האתר פשוט קורס מהעומס האדיר שלפתע נחת על האתר. לתופעה הזו קוראים  Slashdot Effect.

דוגמא נוספת היא של utube.com , חברה ליצירת צינורות, משתמשים רבים הקישו את הכתובת של האתר הזה על מנת לגשת ליוטיוב, אבל האתר הקטן של החברה ליצירת צינורות לא מגיע לכוח השרתים של יוטיוב המקורי וכך היה קורס כל הזמן.

מפות

במהלך הזמן, בכתבות בחדשות או באתרים כנראה נתקלתם במפה המציגה התקפות עולמיות.

המפות האלו אינן “חיות” באותו הרגע, אלא מציגות חבילות מידע שעברו לא מזמן ברשת ונבדקו על ידי אותה החברה.

לרוב כלי זה ישמש ככלי מכירתי המציג את גודל המתקפות המתחרשות באופן גלובלי וליצור את התחושה שמדברים עליה בעולם הסייבר ” הכפר הגלובלי”.

החברות לרוב משתמשות ב- HoneyPot , פיירוואלים, שרתים, תוכנות הפזורות בחברות אשר משתמשות בשירותים שלהם כמו צ’ק פוינט, פורטינט או נורס ועל ידי כך יודעות אילו מתקפות בוצעו על אותם ארגונים ואיפה בעולם.

: ניתן למצוא מפות כאלו במקומות רבים, להלן מספר דוגמאות

http://map.norsecorp.com/

ThreatPortal

https://threatmap.fortiguard.com/

https://cybermap.kaspersky.com/

cyber-map

ניקח דוגמא דווקא מהארץ, לפני כמה שנים התפרסמה כתבה על תוקף ידוע אשר ביצע התקפות DOS בצורה גלויה, אי שם ב-2004, כנגד ספקיות אינטרנט ישראליות.

למה אני מציין דווקא את הדוגמה הזו? מכיוון שזו הפעם הראשונה בה נתקלתי בהתקפה רחבת היקף כנגד ספקיות ישראליות

YNET מתוך

התקפה מסוג DOS היא התקפה שמונעת מתן שירות של אתר או אפליקציה אל הלקוח. תארו לכם שיש לכם חנות אינטרנטית של מתנות לחג, בדיוק שבוע לפני חג הפסח, כאשר אנשים קונים מתנות לחג, יש לכם מתחרה גדול שאם תורידו אותו לכמה ימים או שעות תוכלו להרוויח את הקונים ואפילו לפגוע באותו המתחרה, אז אתם יוזמים התקפת מניעת שירות ובדיוק לפני החג מונעים מקהל הלקוחות שלו לקנות אצלו. כנראה שהלקוחות שמעוניינים באותם המוצרים ימצאו את עצמם קונים ממכם.זו הסיבה שהתקפה מסוג זו כל כך מסוכנת ופוגעת בעסקים ובחברות רבות.

או ברוחב פס Gbps -התקפת מניעת שירות נמדדת ב

רוחב פס הוא נפח התעבורה המקסימלי שמחזיק השרת או קבוצת השרתים המארחים את האפליקציה, לדוגמה אם תרכשו שרת בישראל תקבלו בין 10Mbit  ל 1000Mbit או 1Gbps רוחב פס, זאת אומרת שבזמן נתון השרת יכול לספק 1Gbps הורדה או העלאה לשרת.

רוחב הפס שמקבלים כאשר משכירים שרתים בחו”ל הוא לרוב 1Gbps  או 100Mbit  - מתייחס למהירות החיבור של השרת.

רובם גם יגבילו את רוחב הפס הכללי בחודש, לרוב המגבלה בשרתים בחו”ל הם 1TB – 5TB בחודש, זאת בגלל שהשרת שלכם נמצא בארון משותף ומהירות החיבור היא 1Gbps .

ככל שההתקפה מגיעה מיותר מחשבים עם רוחב פס גדול יותר כך הם “ישתו” את רוחב הפס של השרת המארח את האתר או האפליקציה, ויגרמו לקריסתו או למניעת השירות שלו.

אם נבדוק את נפח התקיפות הגדולות ביותר שאירעו ב-2004, באותה התקופה של הכתבה שפרסמתי למעלה (2004) הוא היה 8Gbps , ב- 2008 עמד על כ- 35 Gbps וב- 2011 הגיע ל60Gbps, עד כה התקפות גדולות, כיום ההתקפות הגדולות ביותר שנצפו הגיע ל 500Gbps.

אם 500Gbps נשמע לכם גדול,  Githubחטפו ב- 2018 את מתקפת ה DDOS הגדולה בעולם-  1.3TB לשנייה אחת

? כיצד התקפה כזו גדולה פוגעת באתר אחד

התוקפים השתמשו בחולשה במערכת “מטמון” מסוג Memcache D למערכות SQL, כאשר משתמש נכנס לאתר אשר משתמש ב-Memcache השרת קודם כל פונה ומבצע שאילתה לMemcache, רק אם לMemcache -אין את השאילתה הזו, השרת מבקש משרת הSQL או משירות ה SQL שנמצא עליו ( הסיכוי שכל המשתמשים קוראים את המאמרים החדשים באתר ולא גולשים למאמרים משנת 2004 גדול יותר ולכן מערכת מטמון מסוג זה מהירה יותר)

בשירות עצמו לא קיימת מערכת אימות שכן אינו חשוף לעולם והוא נמצא בשרת בלבד ומתשאל את שירות ה- SQL. כעת התוקף מבצע חיפוש מעמיק ברשת לשרתים המשתמשים בשירות MemcacheD, התוקף פונה לשירות ומזייף את ה- Source IP שלמעשה כתובת ה- IP היא Github, הבקשה נשלחת והתגובה מגיע מפורט UDP בחבילה בגודל של 1,400 בייט

סה”כ התעבורה בשנייה אחת הייתה 1.35TB במשך 8 דקות - שימוש זה נקרא Amplifications Attack  שעליו אסביר בחלק הבא. בנוסף, נפרט את על סוגי ההתקפות השונות ונציג כלים שבאמצעותם גורמים עוינים עושים שימוש.

מאת: טל בן שושן, יועץ לאבטחת מידע

Denial of Service הינה התקפה הממוקדת בהשבתה או מניעה של שירות מסוים, והיא שונה במהותה הסוגי התקפות שונות כגון חורי אבטחה, הזרקת נתונים ועוד.

: DOS קיימות 2 סוגי התקפות

DOS – התקפה של שירות מסוים על ידי תוכנה, צורה בה התוקף משתמש בחולשה במערכת על מנת להשביתה, התוקף מבקש שוב ושוב מהשרת את אותה הבקשה עד שזה יוצר עומס על השרת וגורם לשירות להיות לא זמין.

DDOS – קיצור של Distributed Denial of Server הוא שימוש של כמה מחשבים (זומבים, מחשבים) כנגד מטרה אחת או כמה מטרות.

ככל שיותר מחשבים צורכים שירות מהשרת כך עולים הסיכויים שהשירות יקרוס. לדוגמה, אם התוקף שולט על 10,000 מחשבים, כל המחשבים פונים לשירות שגם ככה כבד. כאשר כל אותם 10,000 מחשבים מבקשים את השירות בו-זמנית - השירות יקרוס.

הקלות בה ניתן להשתמש ב- DOS נובעת מכך שהמתקפה אינה מסתמכת על חולשות אבטחה בהכרח, עלותה נמוכה והיא ניתנת לשימוש גם על ידי אנשים ללא ידע כלל באבטחת מידע.

? DOS מיהם הקורבנות של התקפות

פעמים רבות התקפות DOS יפעלו כנגד חברות משחקים (סוני או Xbox) ולרוב יתרחשו במועדים בהם יש את כמות השחקנים הגדולה ביותר למשל בחגים.

צורה נוספת היא כנגד ספקיות רשת דווקא בעונת החגים בה המטרה היא למנוע מהמשתמשים לגלוש, לקנות, לשחק ברשת וכו’. לאחר בדיקה ומעבר על כתבות רבות, נמצא כי התוקפים אוהבים דווקא את הזמנים האלו  על מנת “להציק” למשתמשים ברשת האינטרנט ולראות אותם מתלוננים ברשת על התקלות והבעיות.

ב-DOS  קיימות גם התקפות "שלא בכוונה" - תארו לכם אתר כמו https://slashdot.org, בו אחד מהכתבים באתר מוצא כתבה בבלוג טכנולוגי קטן ומפרסם קישור של הבלוג בכתבה הראשית שעלתה היום לאתר.

כעת משתמשי https://slashdot.org (כמות לא מבוטלת) קוראים את הכתבה וניגשים לבלוג הקטן הזה, לרוב בלוג קטן ישב על “שרתים” יחסית חלשים עם מינימום תעבורה, כוח עיבוד וזיכרון וברגע שכל כך הרבה משתמשים לגיטימיים שרוצים לקרוא את הכתבה, ניגשים אליו, האתר פשוט קורס מהעומס האדיר שלפתע נחת על האתר. לתופעה הזו קוראים  Slashdot Effect.

דוגמא נוספת היא של utube.com , חברה ליצירת צינורות, משתמשים רבים הקישו את הכתובת של האתר הזה על מנת לגשת ליוטיוב, אבל האתר הקטן של החברה ליצירת צינורות לא מגיע לכוח השרתים של יוטיוב המקורי וכך היה קורס כל הזמן.

מפות

במהלך הזמן, בכתבות בחדשות או באתרים כנראה נתקלתם במפה המציגה התקפות עולמיות.

המפות האלו אינן “חיות” באותו הרגע, אלא מציגות חבילות מידע שעברו לא מזמן ברשת ונבדקו על ידי אותה החברה.

לרוב כלי זה ישמש ככלי מכירתי המציג את גודל המתקפות המתחרשות באופן גלובלי וליצור את התחושה שמדברים עליה בעולם הסייבר ” הכפר הגלובלי”.

החברות לרוב משתמשות ב- HoneyPot , פיירוואלים, שרתים, תוכנות הפזורות בחברות אשר משתמשות בשירותים שלהם כמו צ’ק פוינט, פורטינט או נורס ועל ידי כך יודעות אילו מתקפות בוצעו על אותם ארגונים ואיפה בעולם.

: ניתן למצוא מפות כאלו במקומות רבים, להלן מספר דוגמאות

http://map.norsecorp.com/

ThreatPortal

https://threatmap.fortiguard.com/

https://cybermap.kaspersky.com/

cyber-map

ניקח דוגמא דווקא מהארץ, לפני כמה שנים התפרסמה כתבה על תוקף ידוע אשר ביצע התקפות DOS בצורה גלויה, אי שם ב-2004, כנגד ספקיות אינטרנט ישראליות.

למה אני מציין דווקא את הדוגמה הזו? מכיוון שזו הפעם הראשונה בה נתקלתי בהתקפה רחבת היקף כנגד ספקיות ישראליות

YNET מתוך

התקפה מסוג DOS היא התקפה שמונעת מתן שירות של אתר או אפליקציה אל הלקוח. תארו לכם שיש לכם חנות אינטרנטית של מתנות לחג, בדיוק שבוע לפני חג הפסח, כאשר אנשים קונים מתנות לחג, יש לכם מתחרה גדול שאם תורידו אותו לכמה ימים או שעות תוכלו להרוויח את הקונים ואפילו לפגוע באותו המתחרה, אז אתם יוזמים התקפת מניעת שירות ובדיוק לפני החג מונעים מקהל הלקוחות שלו לקנות אצלו. כנראה שהלקוחות שמעוניינים באותם המוצרים ימצאו את עצמם קונים ממכם.זו הסיבה שהתקפה מסוג זו כל כך מסוכנת ופוגעת בעסקים ובחברות רבות.

או ברוחב פס Gbps -התקפת מניעת שירות נמדדת ב

רוחב פס הוא נפח התעבורה המקסימלי שמחזיק השרת או קבוצת השרתים המארחים את האפליקציה, לדוגמה אם תרכשו שרת בישראל תקבלו בין 10Mbit  ל 1000Mbit או 1Gbps רוחב פס, זאת אומרת שבזמן נתון השרת יכול לספק 1Gbps הורדה או העלאה לשרת.

רוחב הפס שמקבלים כאשר משכירים שרתים בחו”ל הוא לרוב 1Gbps  או 100Mbit  - מתייחס למהירות החיבור של השרת.

רובם גם יגבילו את רוחב הפס הכללי בחודש, לרוב המגבלה בשרתים בחו”ל הם 1TB – 5TB בחודש, זאת בגלל שהשרת שלכם נמצא בארון משותף ומהירות החיבור היא 1Gbps .

ככל שההתקפה מגיעה מיותר מחשבים עם רוחב פס גדול יותר כך הם “ישתו” את רוחב הפס של השרת המארח את האתר או האפליקציה, ויגרמו לקריסתו או למניעת השירות שלו.

אם נבדוק את נפח התקיפות הגדולות ביותר שאירעו ב-2004, באותה התקופה של הכתבה שפרסמתי למעלה (2004) הוא היה 8Gbps , ב- 2008 עמד על כ- 35 Gbps וב- 2011 הגיע ל60Gbps, עד כה התקפות גדולות, כיום ההתקפות הגדולות ביותר שנצפו הגיע ל 500Gbps.

אם 500Gbps נשמע לכם גדול,  Githubחטפו ב- 2018 את מתקפת ה DDOS הגדולה בעולם-  1.3TB לשנייה אחת

? כיצד התקפה כזו גדולה פוגעת באתר אחד

התוקפים השתמשו בחולשה במערכת “מטמון” מסוג Memcache D למערכות SQL, כאשר משתמש נכנס לאתר אשר משתמש ב-Memcache השרת קודם כל פונה ומבצע שאילתה לMemcache, רק אם לMemcache -אין את השאילתה הזו, השרת מבקש משרת הSQL או משירות ה SQL שנמצא עליו ( הסיכוי שכל המשתמשים קוראים את המאמרים החדשים באתר ולא גולשים למאמרים משנת 2004 גדול יותר ולכן מערכת מטמון מסוג זה מהירה יותר)

בשירות עצמו לא קיימת מערכת אימות שכן אינו חשוף לעולם והוא נמצא בשרת בלבד ומתשאל את שירות ה- SQL. כעת התוקף מבצע חיפוש מעמיק ברשת לשרתים המשתמשים בשירות MemcacheD, התוקף פונה לשירות ומזייף את ה- Source IP שלמעשה כתובת ה- IP היא Github, הבקשה נשלחת והתגובה מגיע מפורט UDP בחבילה בגודל של 1,400 בייט

סה”כ התעבורה בשנייה אחת הייתה 1.35TB במשך 8 דקות - שימוש זה נקרא Amplifications Attack  שעליו אסביר בחלק הבא. בנוסף, נפרט את על סוגי ההתקפות השונות ונציג כלים שבאמצעותם גורמים עוינים עושים שימוש.

מאת: טל בן שושן, יועץ לאבטחת מידע

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
טל בן שושן
בואו נעבוד ביחד
צרו קשר