Generátor Kybernetických Útoků
Total Page:16
File Type:pdf, Size:1020Kb
Rok / Year: Svazek / Volume: Číslo / Number: Jazyk / Language 2017 19 2 CZ Generátor kybernetických útoků Generator of Cyber Attacks Jakub Frolka, Peter Halaška, Jan Hajný, David Smékal [email protected], [email protected], [email protected], [email protected] Fakulta elektrotechniky a komunikačních technologií VUT v Brně DOI: - Abstract: The article deals with the security of computer networks based on TCP / IP protocol suite, in particular, testing the resistance to DDoS attacks and tools for generating malicious traffic. In the article the selected tools Hping3, Mausezahn and Trafgen are analyzed. For these tools the results of comparative measurements are presented. Based on the results of the experimental tests, the main contribution of this paper is design and implementation of the new tool for generation of DDoS attacks and its subsequent performance testing for individual attacks. The tool also has a unique web interface for its easier usage. VOL.19, NO.2, APRIL 2017 Rok / Year: Svazek / Volume: Číslo / Number: Jazyk / Language 2017 19 2 CZ Generátor kybernetických útoků Generator of Cyber Attacks Jakub Frolka, Peter Halaška, Jan Hajný, David Smékal [email protected], [email protected], [email protected], [email protected] Fakulta elektrotechniky a komunikačních technologií VUT v Brně DOI: - Abstract: The article deals with the security of computer networks based on TCP / IP protocol suite, in particular, testing the resistance to DDoS attacks and tools for generating malicious traffic. In the article the selected tools Hping3, Mausezahn and Trafgen are analyzed. For these tools the results of comparative measurements are presented. Based on the results of the experimental tests, the main contribution of this paper is design and implementation of the new tool for generation of DDoS attacks and its subsequent performance testing for individual attacks. The tool also has a unique web interface for its easier usage. 53 VOL.19, NO.2, APRIL 2017 Generátor kybernetických útokù Jakub Frolka, Peter Hala¹ka, Jan Hajný, David Smékal Fakulta elektrotechniky a komunikačních technologií VUT v Brně Email: [email protected], [email protected], [email protected], [email protected] Abstrakt { Èlánek se zabývá bezpečností počítačových jící kapitole popsány a porovnány, pomocí výsledků měření sítí založených na protokolové sadě TCP/IP, konkrétně pro útoky SYN flood a UDP flood z hlediska poètu paketù testováním odolnosti proti DDoS útokùm a nástroji na za sekundu (p/s) a vytížení linky (MB/s). generování ¹kodlivého provozu. V èlánku jsou analyzovány Většinu nástrojù pro generování síťového provozu lze vybrané nástroje, Hping3, Mausezahn a Trafgen. Dále ovládat pouze z pøíkazového øádku. Ty nástroje, které ob- jsou pro tyto nástroje uvedeny výsledky porovnávacích sahují grafické rozhraní, jsou èasto zpoplatněny, to je jeden měření. Na základě získaných výsledkù z experimentálních z hlavních dùvodù, který vedl k vytvoření nového nástroje, testù, je hlavním přínosem èlánku návrh vlastního nástroje jenž je popsán v pøedposlední kapitole. Nově vytvoøený pro generování DDoS útokù a jeho následné výkonnostní nástroj, který nese název DosGen, je založen na jádru ná- testování pro jednotlivé útoky. Vytvoøený nástroj také stroje Trafgen. Pro DosGen byly vytvoøeny ¹ablony útokù obsahuje unikátní webové rozhraní pro jeho snadnější a následně vytvoøeno webové ovládací rozhraní, které uži- ovládání. vateli zjednodu¹uje jeho ovládání. Tento nástroj byl také otestován a jeho výsledky prezentovány. 1 Úvod 2 Nástroje pro DoS útoky S neustálým roz¹iøováním možností datových komunikací V souèasné době existuje mnoho nástrojù na provedení a Internetu samotného je potøeba se věnovat i jejich ne- DoS/DDoS útokù vytvoøených v rùzných programovacích dílné souèásti a to kybernetickým útokùm. Velkým po- jazycích, podporující rùzné typy útokù. Pro úèely tohoto dílem jsou zastoupeny útoky založeny na bezpečnostních èlánku byly vybírány nástroje, které jsou vytvoøeny v ja- dírách TCP/IP (Transmission Control Protocol/Internet zyce C a jsou volně ¹iøitelné pod licencí GNU GPL (GNU Protocol) protokolù, které mají za úkol omezení, nebo General Public License). úplné odepření dostupnosti služeb. Tyto útoky nazýváme DoS (Denial of Service) útoky. Rozšířenou variantou DoS 2.1 Hping3 útokù jsou DDoS (Distributed Denial of Service), kdy je využíváno infikovaných zařízení tzv. agentù (botù). Pro- Hping3 je nástroj urèený pro generování a analýzu pa- tože DDoS útoky pochází z více zařízení, je těžší identi- ketù patřící protokolové sadě TCP/IP. Je urèen pro tes- fikovat nežádoucí komunikaci v té žádoucí a následně se tování a ověření zabezpečení počítačových sítí, směrovaèù, proti ní bránit [1, 2]. Dle bezpečnostního reportu firmy firewallù a dalších. Také umožňuje vytváření uživatelských Radware [3] tvoøily v roce 2014 a 2015 právě útoky DDoS skriptù pro manipulaci a analýzu paketù, pomocí jazyka největší podíl v¹ech kybernetických útokù. Z DDoS útoku Tcl (Tool Command Language). Dále podporuje zobrazení je konkrétně útok typu SYN flood nejvíce rozšířený [3, 4]. odpovědí od zaøízení na kterých byl prováděn útok, po- V souèasnosti se pozornost soustředí na výzkum, vývoj dobně jako nástroj ping protokolu ICMP (Internet Control a implementaci hardwarových generátorù provozu [5, 6]. Message Protocol) a jeho odpovědi. Jeho výchozím podpo- Tato zařízení, přestože velmi výkonná, jsou složitě rozšíři- rovaným protokolem je TCP, ale podporuje i protokoly telná a neobsahují nejnovější typy útokù. Tyto slabiny IP, ICMP a UDP (User Datagram Protocol) s libovolným hardwarových generátorù se v tomto èlánku snažíme od- nastavením jednotlivých položek v jejich hlavièkách. Pro- stranit použitím softwarových generátorù. Ty doposud ne- gram je volně ¹iøitelný pod licencí GNU GPL, disponuje byly podrobněji zkoumány především z výkonnostních dù- textovým rozhraním a je urèen pro operační systémy Li- vodù. V tomto èlánku v¹ak pøedstavíme výsledky, které nux, FreeBSD, Solaris, Windows a další. Jeho autorem je potvrzují dostateèný výkon těchto generátorù, pokud jsou Salvatore Sanfilippo [8]. správně nakonfigurovány. Z velkého množství nástrojù byly vybrány nástroje, které umožňují generovat útoky SYN 2.2 Mausezahn flood, UDP flood, RST flood, ICMP flood, ARP flood, DNS flood a DHCP starvation. Ètenáø může najít více po- Jedná se o rychlý generátor síťového provozu, který je drobností o útocích například v [3, 7]. Vybranými nástroji využíván k testování VoIP (Voice over Internet Proto- jsou Hping3, Mausezahn a Trafgen, které jsou v následu- col) a multicastových sítí, ale také na ověření zabezpečení 5354 VOL.19, NO.2, APRIL 2017 a odolnosti počítačových systémù a sítí. Může být také { procesor: Intel R Xeon R L5520 @ 2,27 GHz, použit pro hledaní chyb síťových aplikací, testování počí- 8 MB cache, 4 jádra, taèových sítí pøi nestandardních situacích (jaké jsou napø. { RAM: 32 GB, pøi vlivu záplavy záměrně po¹kozených paketù, nebo zá- těžových testù). Podporuje základní protokoly jakou jsou { NIC: 1 GbE, 10 GbE, ARP (Address Resolution Protocol), IP, ICMP (částečně), { OS: Linux Ubuntu 14.04.3 LTS, 64bit, kernel: TCP, UDP a další. Program je volně ¹iøitelný pod licencí 3.13.0-68-generic. GNU GPL, disponuje textovým rozhraním (podobnému k CISCO příkazovému prostředí). Nástroj je urèen vý- • Měřící zařízení: Spirent Avalanche 3100. hradně pro operační systém Linux a jeho autorem je Her- bert Haas. Od smrti autora roku 2011 je udržován vývo- jářským týmem sady nástrojù Netsniff-NG, kterou je sou- Útok částí [9, 10]. 2.3 Trafgen Server Spirent Avalanche 3100 192.168.2.10 192.168.2.1 Trafgen je také, jako Mausezahn, součástí sady nástrojù Netsniff-NG. Jedná se o rychlý generátor síťového provozu Obrázek 1: Schéma zapojení zařízení v laboratoøi. urèený k výkonnostnímu testování počítačových sítí a také k funkčnímu testování softwaru vkládáním na vstup pro- Server obsahující operační systém Ubuntu byl použit gramu náhodných, chybných nebo neoèekávaných dat. Ná- jako generátor DoS útokù pro testování jednotlivých ná- stroj implicitně využívá maximální poèet procesù, podle strojù. Vybrané nástroje byly postupně použity pro ge- toho, kolik je dostupných procesorù (jader) na daném za- nerování útokù, které byly cíleny proti měřícímu zařízení, řízení, toto implicitní nastavení je také umožněno manu- které emulovalo běžný server poskytující služby uživa- álně změnit. Trafgen také umožňuje sestavení jednotlivých telùm. Jako měřící zaøízení byl použit Spirent Avalanche paketù pomocí vlastního nízkoúrovňového konfiguračního 3100 s programem Spirent TestCenter Layer 4{7 Appli- jazyku. cation, který je urèen na zátěžové a bezpečnostní testování Mezi hlavní výhody nástroje Trafgen patří jeho funkce síťových infrastruktur, webových aplikací, Triple Play sys- na principu tzv. zero-copy modelu. To znamená, že jádro témù a dalších [5]. Měřící zařízení Avalanche pøi jednot- operačního systému (kernel), pøi odesílání paketù nemusí livých útocích sbíral statistiky, které jsou na konci této z jeho prostoru odevzdávat kopii do uživatelského prostoru kapitoly prezentovány. a opačně. Tím dochází ke zkrácení režijního èasu a snížení Aby mohly být vybrané nástroje porovnatelné, musí být nároku na systémové zdroje daného zařízení. Jeho jedinou testovány za stejných podmínek. Jednou z nich je velikost nevýhodou je nemožnost sestavení plnohodnotné relace ko- odesílaných paketù. munikace. Nástroj Mausezahn implicitně podporuje TCP SYN pa- Nástroj je volně ¹iøitelný pod licencí GNU GPL,