Особенности DDoS атак в беспроводных сетях — HackZona.Ru

Аномалия типа "отказ в обслуживании" DoS (от англ. Denial of Service) является, как правило, cетевой атакой, проводимой злоумышленником в отношении сетевого объекта, чье aункционирование он желает нарушить (например, замедлить или прекратить)

Особенности DDoS атак в беспроводных сетях

Тип статьи:
Авторская
Источник:

Аномалия типа «отказ в обслуживании» DoS (от англ. Denial of Service) является, как правило, cетевой атакой, проводимой злоумышленником в отношении сетевого объекта, чье aункционирование он желает нарушить (например, замедлить или прекратить). Наиболее характерным проявлением DoS является «затопление» или flooding канала связи или конкретного сетевого устройства огромным количеством сетевых пакетов. В зависимости от типа пакетов, это может привести к перегрузке канала и, как следствие, невозможности прохождения по нему легитимного трафика, либо к повышенной загрузке устройства (заполнению доступного объема оперативной памяти и загрузке ресурсов процессора). DoS может быть проведен не только путем отправки огромного числа пакетов. Возможны ситуации, когда его можно вызвать малым числом пакетов. Это возможно в случае наличия специфической уязвимости в программной или аппаратной реализации устройства. Обнаружение DoS в случае отправки огромного числа пакетов не представляет трудностей, в отличие от DoS, проводимого с помощью незначительного количества пакетов. Необходимо отметить, что существует еще разновидность DoS, называемая распределенная DoS (от англ. Distributed Denial of Service, DDoS). Этот тип DoS характерен участием огромного числа атакующих сетевых устройств (рис. 1).


Поскольку среда передачи в беспроводных сетях является общедоступной, любой из абонентов может занять ее для эксклюзивного доступа. Ситуация очень похожа на принцип работы коаксиального Ethernet, когда в случае выхода из строя терминатора или одного из сетевых адаптеров вставала вся сеть. В Интернете довольно просто обнаружить несколько свободно распространяемых устройств, генерирующих в диапазоне 2,4 ГГц сигнал достаточной мощности для вывода из строя WiFiсети.

На рис. 2 представлен обзор DoS атак, которые можно осуществить в беспроводных сетях WiFi стандарта IEEE 802.11. Результаты этого обзора основаны на DoS-атаках, описанных в литературе. Показано, что DoS-атаки в беспроводных сетях могут поражать физический и канальный уровни, протоколы аутентификации, уязвимые места операционной системы, а также драйверы и программное обеспечение.

Атаки на физический уровень

Оборудование стандарта IEEE 802.11 использует нелицензированный спектр частот. Оборудование IEEE 802.11b/g использует 14 каналов по 5 МГц каждый в диапазоне частот от 2.412 ГГц до 2.484 ГГц. Оборудование IEEE 802.11a использует восемь каналов по 20 МГц каждый в диапазоне частот от 5.15 ГГц до 5.35 ГГц и четыре канала по 20 МГц в диапазоне частот 5.725 ГГц 5.825 ГГц. Любая помеха на эти диапазоны частот нарушит радиосвязь между устройствами IEEE 802.11 и приведет к отказу в обслуживании. Когда помехи производятся преднамеренно для нарушения связи, это называется как радио, или радиочастотная помеха (от англ. RFjamming). Это обозначает, что источник помех находится в пределах распространения (рис. 3) и обусловлено двумя основными факторами. Во-первых, близость источника помех к приемнику, и во-вторых мощность передачи.

Для успешного проведения атаки, источник помех (или атакующий) должен сгенерировать сигнал, достаточно мощный, способный заглушить основные частоты. При генерации сигнала-помехи атакующий может нацеливаться на определенную узкую полосу частот, или если позволяет мощность, более широкую. Сигнал-помеха может передаваться непрерывно или рассчитываться таким образом, чтобы воздействовать в наиболее критические моменты (например, некоторые системы обнаружения и предотвращения вторжений в беспроводных сетях пытаются предотвратить действия злоумышленника, производя проверку подтверждений ACK, что является эффективным предотвращением атак на беспроводную сеть). Используемая атакующим стратегия определяется частично, путем оценки вида сигнала, генерируемого оборудованием, характеристикой используемых антенн, доступной мощностью, и опасением перед обнаружением и захватом нападающего. РЧ-атаки являются шумовыми и атакующий может быть установлен путем использования спектральных анализаторов. Беспроводные сети, как правило, уязвимы от РЧ-помех. Беспроводная связь по своей натуре является радиовещанием. A такой радиосигнал легко заглушить или перехватить. Атакующий физически может подслушать или воздействовать на беспроводную сеть.

Подслушивание: Подслушивание перехват и чтение сообщений чужими приемниками. Мобильные устройства и сети разделяют беспроводную среду. Большинство радиосоединений использует ВЧ-спектр и радиопередачу по своей природе. Вещаемые по радио волнам сигналы могут быть легко перехвачены приемниками, настроенными на соответствующую частоту. Таким образом, переданные сообщения могут подслушиваться и подмениваться поддельными сообщениями.

Вмешательство и глушение: Радиосигнал может быть заглушен, вызывая искажение или потерю передаваемого сообщения. Если атакующий имеет мощный передатчик, генерируемый им сигнал может «заглушить» передаваемый сигнал и разрушить связь.

Наиболее распространенными типами таких сигнальных помех являются случайный шум и пульсация. Беспроводные сети стандарта IEEE 802.11 используют диапазон частот 2.4 ГГц, в то время как стандарт IEEE 802.16 использует полосы частот на 211 ГГц и на 1066 ГГц на физическом уровне. DoS атака производится на физический уровень при использовании радиооборудования или источника сильного шума, способного заглушить физический канал, что в свою очередь ставит под угрозу сервисную доступность. Однако этот вид нападения не распространен, поскольку для этого необходимо специализированное оборудование, которое может быть обнаружено радиоанализатором.

Для того, чтобы провести РЧатаку в:

• IEEE 802.11, атакующий должен быть близко к атакуемой точке доступа;

• IEEE 802.16, атакующий должен быть близко к атакуемой базовой станции;

• WMN, атакующий может провести атаку в любом месте.

Из-за большой зоны покрытия и достаточно плотного расположения маршрутизаторов беспроводной сети, сети WMN более уязвимы от DoS-атак физического уровня. В настоящее время стандарт IEEE 802.11 использует методы расширения спектра методом прямой последовательности DSSS (от англ. Direct Sequence Spread Spectrum) и псевдослучайной перестройки рабочей частоты FHSS (от англ. Frequency Hopping Spread Spectrum). Стандарт IEEE 802.16 использует ортогональное частотное разделение каналов OFDM (от англ. Orthogonal Frequency Division Multiple Access) и масштабируемый доступ SOFDMA (от англ. Scalable OFDM access). Сети WMN используют OFDM и технологию UWB (от англ. Ultra wide band) для радиопередачи. Ни один из этих технологий не является достаточным для предотвращения РЧ-атак на широкополосные беспроводные сети.

Атаки на канальный уровень

Беспроводные сети восприимчивы не только к атакам на физический уровень, но и к отсутствию защиты целостности и установления подлинности пакетов управления и контроля протокола канального уровня MAC, а также от атак на несущую.

Атаки на канальном уровне позволяют атакующему разрывать выборочные соединения с точкой доступа. Наиболее распространенные варианты этих атак — отказы от ассоциации и от аутентификации (англ. deauthentication/disassociation). При осуществлении данного типа атак злоумышленник посылает служебные пакеты «отказ от ассоциации» от MAC-адреса точки доступа к клиенту и наоборот. Поскольку дополнительная аутентификация данных пакетов не требуется, клиент разрывает текущее соединение с точкой доступа. Подобные атаки часто осуществляются как подготовительная фаза атак на клиентов беспроводных сетей.

Базовый стандарт 802.11 определяет два типа сетей, отличающихся конфигурацией: фиксированной (англ. Infrastructure Network) и произвольной (англ. Ad Hoc Network) структуры. На их основе строятся различные варианты топологии: «точка-точка», «точка-много точек»,

«каждый с каждым», «звезда», «мост» и т. д. Сеть с фиксированной структурой (рис. 4) состоит из терминалов (обычно компьютеров с беспроводным сетевым адаптером) и базовых станций, получивших названиеточек доступа AP. В такой сети точка доступа выполняет роль моста между беспроводной и кабельной сетями, обеспечивая прием, накопление и передачу данных абонентам. К магистральной линии точки доступа подключаются с помощью стандартной проводной линии Ethernet. Подобно сотовым ячейкам, множество точек доступа образуют систему связи, которая обеспечивает последовательную ретрансляцию данных из одной ячейки в другую.

Дальность действия приемопередатчиков зависит от высоты подъема антенны и обычно составляет от 20 до 500 м. Одна точка доступа обеспечивает обслуживание от 15 до 250 абонентов в зависимости от конфигурации сети и технологии доступа. Увеличить емкость сети можно, просто добавив новые точки доступа, при этом не только расширяется зона обслуживания, но и снижается вероятность перегрузки. Для непрерывной связи при передвижении абонента (хэндовера) точки доступа должны образовывать перекрывающиеся смежные соты. Конфигурация, состоящая из одной точки доступа вместе с находящимися в радиусе ее действия терминалами, получила название базового сервисного набора BSS (от англ. Basic Service Set). Несколько перекрывающихся BSS образуют расширенный сервисный набор ESS (от англ. Extended Service Set), позволяющий построить подсеть. Расстояние между станциями и точками доступа обычно не превышает 100 м (оно зависит от скорости передачи), а полная протяженность WLAN ограничена длиной магистральной линии проводной распределенной сети.

Атака детектирование несущей. Физически, чтобы уменьшить корректировку MAC операций, стандарт IEEE 802.11 назначает это объекту управления станцией SME (от англ. Station Management Entity) следящего за параметрами сети (уровней опроса и контроля). Эти два уровня контролируемые SME называются объектами управления MAC уровнем MLME (от англ. MAC Layer Management Entity) и физическим уровнем PLME (от англ. PHY Layer Management Entity). Взаимодействие объектов управления представлено на рис. 5.

Возможно использовать дополнительный режим PLME, при котором используемая беспроводная сетевая карта переводится в тестовый режим и непрерывно передает определенную битовую последовательность на выделенном канале. Таким образом, когда атакующая станция (точка доступа) начинает передавать эту последовательность, все станции в пределах зоны покрытия при оценке состояния физического канала CCA (от англ. Clear Сhannel Assessment) будут сигнализировать о занятости, пока атакующий узел не прекратит. Экспериментальные исследования показывают, что эффект такой атаки практически мгновенен и приводит к полному прекращению передачи данных.

На рис. 6 представлен эффект от CCA-атаки, наблюдаемого в течение некоторого времени при наблюдении спектральным анализатором WiSpy компании Metageek. LLC и графы были продемонстрированы с помощью EaKiu. Каждый рисунок представляет собой анализ 2.4 ГГц спектра, используемого оборудованием IEEE 802.11b/g. По оси x отложены частоты канала (каналы с 1 по 14), по оси z — время, а по оси y — амплитуда сигнала.

Спектральный анализ показывает эффективность проведения CCA-атак в «изъятии» канала беспроводной сети. Однако, такие атаки являются шумными, имеют характерные особенности и могут быть легко обнаружены.

Атаки на сетевой уровень

Множество атак, нацеленных на сетевой уровень, в большой степени изучены и освещены в научноисследовательских работах. Нападая на протоколы маршрутизации, атакующие могут парализовать трафик в сети, проникать в соединение между исходным и конечным устройствами, и таким образом управлять транспортным потоком сети. Транспортные пакеты могут быть перенаправлены по неоптимальному или даже по несуществующему пути, что приведет к существенной задержке или более того — потере информационного пакета. Атакующие могут создать циклы маршрутизации, что приведет с сильной перегрузке в определенных областях сети.

По сравнению со стандартами IEEE 802.11 и IEEE 802.16, сетевой уровень мэш-сетей WMN (от англ. Wireless Mesh Network) очень уязвим от различных DoS-атак, вследствие множества устройств в структуре сети, поскольку число соединений увеличивает расходы на маршрутизацию. DoS-атаки на сетевом уровне могут серьезно разрушить механизм маршрутизации и ухудшить производительность, исчерпывая ресурсы сети. DoS-атаки сетевого уровня в WMN могут поглощать весь трафик, идущий к заданному узлу, выборочные пакеты или нарушить таблицу маршрутизации. Распределенные DoS-атаки (DDoS) осуществимы в WMN из-за его сложной многопутевой структуры. Поскольку стандарты IEEE 802.11 и IEEE 802.16 являются сетями широкополосного беспроводного доступа с одним единственным соединением, DDoS-атаки в них не возможны. Это означает, что на сетевом уровне, стандарты IEEE 802.11 и IEEE 802.16 более безопасны по сравнению с WMN.

Основные виды атак, осуществляемые на сетевом уровне могут быть классифицированы следующим образом:

• Атака раскрытие местоположения: атакующий собирает информацию относительно местоположения узлов, структуры сети и карты маршрутизации. Как правило, проводится перед атакой для планирования сценария нападения.

• Атаки перегрузки таблицы маршрутизации: происходят, когда атакующий узел рекомендует маршруты к несуществующим узлам. Это обычно происходит в алгоритмах маршрутизации, которые периодически обновляют информацию о маршрутизации. Атакующий пробует создать маршруты, препятствующие остальным.

• Атака в фазе обслуживания маршрутизации: эти атаки передают ложные контрольные сообщения, как например сообщение о нарушениях в канале.

• Атаки на некоторые протоколы маршрутизации: предназначены некоторым особым протоколам маршрутизации, путем изменения в них исходного маршрута.

• Атака с помощью туннелирования: совместная атака двух злоумышленников путем использования процедуры туннелирования и последующей трансляцией пакетов по этому туннелю.

• Атака потребление ресурсов (известна как атака «лишение сна»): Атакующий или скомпрометированный узел может уменьшить срок службы аккумулятора устройства жертвы, отправляя ненужные запросы.

• Атаки в фазе поиска маршрутизации: злоумышленные атаки маршрутизации, которые служат для открытия и обслуживания маршрутизации в обход стандартных протоколов маршрутизации.

• Атака отравления кэша маршрутизации: атакующий использует в своих интересах различные способы обновления таблицы маршрутизации для перенаправления интересующего трафика.

• Атака в фазе пересылки данных: атакующие узлы совместно с стандартным протоколом маршрутизации участвуют в пересылке данных, но не согласно таблице маршрутизации. Атакующий узел может спокойно уничтожить пакеты данных, изменить содержание и тд.

Атаки на транспортный уровень
Целью протоколов транспортного уровня, таких как TCP в сетях связи, является установление непрерывной связи и достоверной доставки пакетов, а также управления потоками и перегрузками. Подобно протоколам TCP в Интернете, мобильное устройство уязвимо от классической атаки SYN-flooding, которая заключается в отправке большого количества SYN-запросов (запросов на подключение по протоколу TCP) в достаточно короткий срок. Однако, беспроводные сети имеют более высокий уровень ошибок в канале по сравнению с проводными сетями. Поскольку у TCP нет никакого механизма, чтобы различить, была ли потеря пакета вызвана перегрузкой, случайной ошибкой, или злоумышленной атакой, протокол постепенно уменьшает окно до прекращения потерь.

• Атака SYN-flooding: является DoS-атакой. Согласно процессу «трёхкратной пересылки» протокола TCP, клиент посылает пакет с установленным флагом SYN (англ. synchronize). В ответ на него сервер должен ответить комбинацией флагов SYN+ACK (англ. acknowledges). После этого клиент должен ответить пакетом с флагом ACK, после чего соединение считается установленным. Принцип атаки заключается в том, что злоумышленник, посылая SYN-запросы, переполняет на сервере (цели атаки) очередь на подключение. При этом он игнорирует SYN+ACK пакеты сервера, не высылая ответные пакеты, либо подделывает заголовок пакета таким образом, что ответный SYN+ACK отправляется на несуществующий адрес. В очереди подключений появляются так называемые полуоткрытые соединения (англ. halfopen connection), ожидающие подтверждения от клиента. По истечении определенного таймаута эти подключения отбрасываются. Задача злоумышленника заключается в том, чтобы поддерживать наполненность очереди таким образом, чтобы не допустить новых подключений. Из-за этого легитимные клиенты не смогут установить связь, либо устанавливают её с существенными задержками.

• Перехват сессии: основан на том факте, что большинство соединений защищены при установке сессии, но не после того. В атаке перехвата TCP-сессии злоумышленник маскируется под IP-адрес жертвы и продолжает сессию с интересующим узлом. Перехват сессии по UDP аналогичен TCP, за исключением того, что злоумышленнику нет необходимости вычислять порядковые номера пакетов, поскольку данный протокол работает без установления соединения.

Атаки на прикладной уровень
По сравнению с другими уровнями прикладной уровень также уязвим с точки зрения безопасности. На этом уровне содержатся пользовательские данные, обычно поддерживаемые множеством протоколов, таких как HTTP, SMTP, TELNET и FTP, которые содержат множество уязвимостей. Атаки на прикладной уровень привлекательны для злоумышленников тем, что информация, содержащаяся в приложениях является основной целью для проведения атаки.

• Атаки с помощью вредоносных программ: специально разработанные злоумышленниками вирусы, черви, программы-шпионы и трояны могут поражать как операционные системы, так и приложения пользователей. Такие программы обычно распространяются через сеть и вызывают перегрузки или даже сбои в работе компьютерной сети и системы в целом.

• Атаки отказа: вся или часть коммуникационной системы перестает отвечать на внешние запросы.

Многоуровневые атаки
Некоторые атаки могут быть направлены на несколько уровней, вместо какого-то одного. Примерами многоуровневых атак являются отказ в обслуживании DoS, «человек по середине» и имитирующие атаки.

•Отказ в обслуживании: такие атаки запускаются на нескольких уровнях. На физическом уровне атакующий может использовать заглушающий сигнал, способный нарушить соединение. На канальном уровне, злоумышленники могут перехватывать каналы связи, создавая препятствие для доступа другим узлам канала. На сетевом уровне, процесс маршрутизации может быть прерван путем изменения пакетов управления, выборочной потери, переполнения

таблицы, или «отравления». На транспортном и прикладном уровнях, атакующий может использовать SYN flooding, перехват сессии, и вредоносные программы, вызывающие DoS-атаку.

• Имитирующие атаки: могут быть запущены с другого идентичного узла с таким же MAC или IP-адресом. Имитирующие атаки, как правило, являются первым шагом большинства нападений, и используются для осуществления более сложной атаки.

• Атака «человек по середине»: атакующий находится между передатчиком и приемником и перехватывает любую пересылаемую информацию. В некоторых случаях атакующий исполняет роль передатчика для соединения с приемником, или роль приемника, чтобы ответить передатчику.

Нравится
Не нравится

Комментарии

Нет комментариев. Ваш будет первым!