De afgelopen week stond ‘denial-of-service’ (DoS) – onder meer bij Yahoo! – volop in het nieuws. Een bepaald doel wordt bestookt met een ware stortvloed aan data. Dat doel, meestal één of meerdere routers in een netwerk, kan die informatiestroom niet aan en weigert vervolgens dienst. De aanval kan zowel vanaf servers als vanaf clients worden uitgevoerd, legt Fred Mohbach uit. Voor het treffen van maatregelen tegen dergelijke aanvallen verwijst hij naar de ‘Bug Traq-mailinglist’.
Het treft me bijzonder dat dit blad, dat toch al vele jaren bestaat, nog steeds niet het verschil ziet tussen hackers en crackers. (Computable Online, 9 januari). De eerstgenoemden zijn IT-deskundigen, die uit hun computersystemen en netwerken halen wat erin zit. De laatstgenoemden
pogen andermans computers en netwerken onderuit te halen. Hetzelfde verschil dus als tussen een politieagent en een inbreker.
Ik schaam me er nog steeds niet voor om al meer dan 29 jaar tot de eerste categorie (die van hackers) te mogen worden gerekend. Vervolgens wordt vermeld wat een ‘denial-of-service’ (DoS) is. Dat zou een aanval vanaf meerdere servers zijn, die een bepaald doel bestoken met een ware stortvloed aan data. Dat doel, meestal één of meerdere routers in een netwerk, kan die informatiestroom niet aan en weigert vervolgens dienst.
Helaas, dit is slechts één (niet zo goed) voorbeeld. Die ‘servers’, waavandaan de aanval wordt uitgevoerd, kunnen ook clients (desktops, werkstations, enzovoort) zijn.
De stortvloed aan data hoeft zich niet te uiten in het aantal KB/s maar kan ook bestaan uit het aantal IP-pakketten/seconde. Het doelwit is vaak geen router maar een server.
Vollopende procestabellen
In het algemeen heeft een DoS tot doel om een bepaalde service (bijvoorbeeld webserver, ftp of e-mail) op een of meer servers ontoegankelijk te maken voor reguliere gebruikers. De meest
gebruikte methode is het slechts ten dele openen van een TCP-sessie. Daarbij wordt een poging gedaan een sessie te openen en het daaropvolgende ‘acknowledge’-bericht te ontvangen. Het voor het definitief openen van de sessie benodigde derde bericht wordt door de
aanvaller expres niet verzonden. Daardoor lopen op servers (veelal met een soort-van-besturingssysteem van een bekende monopolist) bepaalde procestabellen vol. Hierdoor krijgen reguliere gebruikers niet of nauwelijks de kans om een normale sessie te openen. Daarmee is dan ook het doel van de aanvaller bereikt: de server stort niet in, maar kan evenmin zijn normale werk meer doen.
Deze eenvoudige methode heeft als voordeel boven de door Computable beschreven methode, dat er veel minder bandbreedte nodig is om een server ‘plat’ te krijgen. In plaats van een verbindingskanaal compleet te moeten volstoppen, volstaan slechts twee pakketjes (één verzonden en één ontvangen) per tijdframe. Dit tijdframe is dan de hoeveelheid tijd tussen het opnemen en het vrijgeven van een regel in zo’n procestabel.
Op de Bug Traq-mailinglist staan enkele van dergelijke aanvallen duidelijk beschreven, zodat elke systeembeheerder weet op welke wijze hij zijn maatregelen hiertegen kan treffen. Ook de rekenvoorbeelden met de benodigde bandbreedtes staan hierin vermeld. Nu zal wel niet iedereen
gelukkig zijn met zo’n discussieforum, waarin deze technieken uitgebreid worden besproken. Anderzijds heeft een dergelijk forum in ieder geval als voordeel dat niet iedere systeembeheerder zelf het wiel opnieuw moet uitvinden, maar kan voortbouwen op de kennis van zijn vakgenoten.
Bug Traq-mailinglist
Dit laatste is dan ook de doelstelling van deze mailinglist. Opvallend is dat slechts circa 35.000 personen zich hierop hebben geabonneerd (wereldwijd). Hoe komen dan al die andere systeembeheerders aan hun informatie, die zij nodig hebben voor de beveiliging van hun netwerken, Internettoegang, enzovoort?
Toegegeven, dit aantal is al een behoorlijke toename ten opzichte van zes maanden geleden, toen pas 28.000 personen zich hadden geabonneerd. Aan de andere kant is het aantal abonnees veel te laag en het excuus ‘wij zijn geabonneerd op de ‘security mailinglist’ van leverancier X is daarbij niet meer dan een schaamlap, omdat nogal wat leveranciers de in dit kader van belang zijnde meldingen vaak pas weken of maanden te laat doorgeven. Zulke beheerders abonneren zich dus op een berichtendienst die vrijwel permanent achterloopt.
Wie zich op Bug Traq wil abonneren, kan volstaan met de volgende aanwijzingen:
- zoek de website http://www.securityfocus.com/;
- kies ‘forums’ in de keuzebalk bovenin (dat moet trouwens ‘fora’
heten); - kies vervolgens ‘bugtraq’ op de verschijnende lijst,
- kies tenslotte ‘FAQ’, waarin de complete gebruiksaanwijzing staat.
Fred Mobach, Echteld
