Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:mrezna_forenzika:napadi_na_udp [2022/01/08 00:14]
nrudelic [Zaključak]
+++ racfor_wiki:mrezna_forenzika:napadi_na_udp [2024/12/05 12:24] (trenutno)
@@ Redak 10: / Redak 10: @@
 UDP (User Datagram Protocol) je protokol transportnog sloja OSI modela. Za razliku od TCP protokola, UDP je beskonekcijski i nepouzdan protokol stoga nije potrebno uspostavljati vezu za razmjenu paketa. UDP koristimo za stvarno-vremene servise kao računalni gaming, video i audio komunikaciju, streaming itd. Kako je za sve te potrebe bitan vrlo brzi prijenos podataka i velika performansa, UDP dopušta odbacivanje umjesto obrade zakašnjelih paketa. Također ne postoji provjera grešaka unutar UDP-a stoga se dodatno poveća propusnost.
-Zaglavlje UDP-a sastoji se od 8 bajtova fiksiranih podatak (Slika 1). Sastoji se od izvornišnih vrata, odredišnih vrata, duljine datagrama i kontrolne sume. Duljina polja za UDP vrata iznosi 16 bitova što omogućava raspon vrata od 0 do 65535. Vrata se koriste za razlikovanje različitih korisničkih procesa i zahtjeva. Duljina podataka označava duljinu zaglavlja zajedno sa duljinom podataka.
+Zaglavlje UDP-a sastoji se od 8 bajtova fiksiranih podatak (Tablica 1). Sastoji se od izvorišnih vrata, odredišnih vrata, duljine datagrama i kontrolne sume. Duljina polja za UDP vrata iznosi 16 bitova što omogućava raspon vrata od 0 do 65535. Vrata se koriste za razlikovanje različitih korisničkih procesa i zahtjeva. Duljina podataka označava duljinu zaglavlja zajedno s duljinom podataka.
 {{:racfor_wiki:razno:udp-datagram.jpg|Slika 1. Zaglavlje UDP protokola}}
@@ Redak 16: / Redak 16: @@
 ===== Vrste napada =====
-Iskorištavanje UDP protokola najviše se koristi za napade uskraćivanja usluge. U nastavku biti će pojašnjeni UDP obmana, UDP otimanje, UDP oluje i skeniranje UDP portova.
+Iskorištavanje UDP protokola najviše se koristi za napade uskraćivanja usluge. U nastavku bit će pojašnjeni UDP obmana, UDP otimanje, UDP oluje i skeniranje UDP portova.
 ==== UDP obmana ====
 Napad UDP obmana iskorištava činjenicu da je UDP 'stateless' protokol. Kod protokola UDP, IP adresa je jedini način identifikacije računala. Pojednostavljeni primjer napada prikazan je na slici 2.
-Napadač ima cilj predstaviti se kao drugo računalo. Kako bi u tome uspio, sastavlja UDP paket u kojemu mijenja izvorišnu IP adresu u IP adresu žrtvinog računala. Takav paket koji sadrži 'spoofanu' IP adresu šalje se poslužitelju koji zatim šalje odgovor s najčešće velikim teretom prema žrtvinoj IP adresi. Poslužitelj ne zna kako je došlo do promjene izvorišne IP adrese te automatski odgovara na zahtjev. U ovome napadu, neposredni poslužitelj se koristi kako bi generirao paket koji je nekoliko puta veći od zahtjeva. Tako se efektivno povećava teret napada koji se šalje žrtvi. Faktor povećanja tereta jeee omjer veličine odgovora i zahtjeeva koji varira ovisno o korišptenom protokolu. Tako ako se koristi DNS veličina odgovora može biti 28 do 54 puta veća od veličinee zahtjeva. Primjerice ako napadač pošalje teret od 64 bajta prema DNS poslužitelju, poslužitelj može kreirati preko 3400 bajta neželjenog prometa prema žrtvi.
+Napadač ima cilj predstaviti se kao drugo računalo. Kako bi u tome uspio, sastavlja UDP paket u kojemu mijenja izvorišnu IP adresu u IP adresu žrtvinog računala. Takav paket koji sadrži 'spoofanu' IP adresu šalje se poslužitelju koji zatim šalje odgovor s najčešće velikim teretom prema žrtvinoj IP adresi. Poslužitelj ne zna kako je došlo do promjene izvorišne IP adrese te automatski odgovara na zahtjev. U ovome napadu, neposredni poslužitelj se koristi kako bi generirao paket koji je nekoliko puta veći od zahtjeva. Tako se efektivno povećava teret napada koji se šalje žrtvi. Faktor povećanja tereta je omjer veličine odgovora i zahtjeva koji varira ovisno o korištenom protokolu. Tako ako se koristi DNS veličina odgovora može biti 28 do 54 puta veća od veličine zahtjeva. Primjerice ako napadač pošalje teret od 64 bajta prema DNS poslužitelju, poslužitelj može kreirati preko 3400 bajta neželjenog prometa prema žrtvi.
 {{:racfor_wiki:mrezna_forenzika:udp-spoofing.png?650}}
 ==== UDP otimanje ====
-Napad UDP otimanje iskorištava to što UDP protokol nema servis oporavljanja od grešaka, ne garantira isporuku, integritet podataka, ne provjerava je li paket dupliciran te ne koristi resolijed paketa i sinkronizaciju. Kako je većinom korišten gdje je brzina isporuke paketa bitnija od sigurnog primanja paketa, ne koriste se redni brojevi kao kod TCP protokola.
+Napad UDP otimanje iskorištava to što UDP protokol nema servis oporavljanja od grešaka, ne garantira isporuku, integritet podataka, ne provjerava je li paket dupliciran te ne koristi redoslijed paketa i sinkronizaciju. Kako je većinom korišten gdje je brzina isporuke paketa bitnija od sigurnog primanja paketa, ne koriste se redni brojevi kao kod TCP protokola.
 U ovoj vrsti napada napadač sluša vezu i čeka klijentove UDP zahtjeve. Na odabrani klijentov UDP zahtjev odgovara prije poslužitelja sa spoofanim paketom (Slika 3). Kako nema nikakve provjere klijent misli kako je paket dobio od poslužitelja. Na taj način moguće je poslati željeni teret prema klijentu koji može sadržavati maliciozne namjere.
 {{:racfor_wiki:mrezna_forenzika:udp-hijacking.png}}
 ==== UDP oluje ====
-UDP oluje su tip napada uskraćivanja usluge, zagušenja poslužitelja i mreže. U tim napadima veliki broj UDP paketa se šalje prema žrtvinom poslužitelju/računalu s ciljem preoptereećivanja te onemogućavanja mogućnosti procesuiranja i odgovaranja na pakete.
+UDP oluje su tip napada uskraćivanja usluge, zagušenja poslužitelja i mreže. U tim napadima veliki broj UDP paketa se šalje prema žrtvinom poslužitelju/računalu s ciljem preopterećivanja te onemogućavanja mogućnosti procesuiranja i odgovaranja na pakete.
 UDP oluja također iskorištava postojanje poslužitelja 'UDP Small Services' koji su korisni za općenitu dijagnostiku (Tablica 1).
@@ Redak 34: / Redak 34: @@
 | echo   | 19/udp     | Poslužitelj vraća podatke koje je poslao klijent|
 | daytime    | 13/udp | Poslužitelj vraća vrijeme i datum|
-| chargen    | 19/udp| Poslužitelj odgovara s datagramom koji sadrži string ascii karaktera|
+| chargen    | 19/udp| Poslužitelj odgovara s datagramom koji sadrži string ASCII karaktera|
 | time| 37/udp | Poslužitelj vraća vrijeme kao 32-bitni broj |
-Primjer napada prikazan je na slici 3. Za napad potreban je samo jedan paket koji napadač šalje jednom od poslužitelja servisa. U ovom slučaju napadač šalje posredniku chargen paket sa lažiranom izvorišnom adresom gdje se predstavlja kao poslužitelj echo. Na taj način servisi echo i chargen kreću se 'ping-pongati' paketima te dovode do zagušenja mreže i/ili samih poslužitelja. Obično napadač pošalje nekoliko paketa kako bi pojačao djelovanje napada. Petlja paketa izvodi se sve dok jedno računalo ne završi s radom.
+Primjer napada prikazan je na slici 3. Za napad potreban je samo jedan paket koji napadač šalje jednom od poslužitelja servisa. U ovom slučaju napadač šalje posredniku chargen paket s lažiranom izvorišnom adresom gdje se predstavlja kao poslužitelj echo. Na taj način servisi echo i chargen kreću se 'ping-pongati' paketima te dovode do zagušenja mreže i/ili samih poslužitelja. Obično napadač pošalje nekoliko paketa kako bi pojačao djelovanje napada. Petlja paketa izvodi se sve dok jedno računalo ne završi s radom.
 {{:racfor_wiki:mrezna_forenzika:udp-storm.png?400|}}
 ==== Skeniranje UDP portova ====
-Skeniranje portova je uobičajena tehnika koju napadači koriste za otkrivanje otvorenih vrata i slabih točaka u mreži. Napad pomaže napadačima da pronađu otvorene portove te shvate da li poslužitelj na tom portu prima ili šalje podatke. Takođr moguće je otkriti postoje li sigurnosni sustavi poput vatrozida unutar sustava.
+Skeniranje portova je uobičajena tehnika koju napadači koriste za otkrivanje otvorenih vrata i slabih točaka u mreži. Napad pomaže napadačima da pronađu otvorene portove te shvate da li poslužitelj na tom portu prima ili šalje podatke. Također moguće je otkriti postoje li sigurnosni sustavi poput vatrozida unutar sustava.
-Kod skeniranja UDP portova, napadačev cilj je otkriti koji se UDP poslužitelji vrte na računalu. Napadač šalje paket na port te ako je port zatvoren većinom se generiraju poruke "ICMP port unreachable" (ne uvijek). Otvoreni portovi nee šalju nikakav odgovor te ako se ne dobije ICMP poruka smatra se da je port otvoren. No, ako se ne dobije poruka ne može se uvijek zaključiti da je port otvoren jer je UDP nepouzdan protokol. Dolazi do komplikacija pri skeeniranju ako je računalo udaljeno jer je veća mogućnost gubitaka datagrama. Stoga potrebno je osigurati retransmisiju. Također, neki operacijski sustavi ograničavaju brzinu slanja ICMP poruka, stoga generiraju ograničen broj ICMP poruka u sekundi. Tako ova tehnika otkrivanja slabosti sustava postaje jako spora i teško sa sigurnošću izvediva. Jedan od alata koji se koristi je program Nmap koji prilagođava brzinu slanja brzini primljenih odgovora.
+Kod skeniranja UDP portova, napadačev cilj je otkriti koji se UDP poslužitelji vrte na računalu. Napadač šalje paket na port te ako je port zatvoren većinom se generiraju poruke "ICMP port unreachable" (ne uvijek). Otvoreni portovi ne šalju nikakav odgovor te ako se ne dobije ICMP poruka smatra se da je port otvoren. No, ako se ne dobije poruka ne može se uvijek zaključiti da je port otvoren jer je UDP nepouzdan protokol. Dolazi do komplikacija pri skeniranju ako je računalo udaljeno jer je veća mogućnost gubitaka datagrama. Stoga potrebno je osigurati retransmisiju. Također, neki operacijski sustavi ograničavaju brzinu slanja ICMP poruka, stoga generiraju ograničen broj ICMP poruka u sekundi. Tako ova tehnika otkrivanja slabosti sustava postaje jako spora i teško sa sigurnošću izvediva. Jedan od alata koji se koristi je program Nmap koji prilagođava brzinu slanja brzini primljenih odgovora.
 ===== Neki poznati UDP napadi =====
 ==Napad na Google (2020.)==
-U 2020. godini izmjeren je rekordan UDP amplifikacijski napad s izvorišten u nekoliko kineskih pružatelja internetskih usluga. S tri pružatelja internetskih usluga napad na tisuće Googleovih IP adresa trajao je 6 mjeseci te je dosegao 2.5 Tbps propusnosti. Napad je koristio nekoliko mreža za spoofanje 167 milijuna paketa po sekundi prema 180,000 izloženih CLDAP, DNS i SMTP poslužitelja.
+U 2020. godini izmjeren je rekordan UDP amplifikacijski napad s izvorištem u nekoliko kineskih pružatelja internetskih usluga. S tri pružatelja internetskih usluga napad na tisuće Googleovih IP adresa trajao je 6 mjeseci te je dosegao 2.5 Tbps propusnosti. Napad je koristio nekoliko mreža za spoofanje 167 milijuna paketa po sekundi prema 180,000 izloženih CLDAP, DNS i SMTP poslužitelja.
 ==AWS DDoS napad (2020.)==
-U veljači 2020. godine AWS (Amazon Web Services) pogođen je napadom uskraćivanja usluge. Ovo je najveći napad uskraćivanja usluge ikad, a napadao je nepoznatog AWS korisnika koristeći CLDAP reflection. Ova tehnika se oslanja na ranjivost CLDAP poslužitelja trećee strane te amplificira teret poslan prema žrtvinoj IP adresi 56 do 70 puta. Napad je trajao tri dana te je dosega čak 2.3 terabajta po sekundi.
+U veljači 2020. godine AWS (Amazon Web Services) pogođen je napadom uskraćivanja usluge. Ovo je najveći napad uskraćivanja usluge ikad, a napadao je nepoznatog AWS korisnika koristeći CLDAP reflection. Ova tehnika se oslanja na ranjivost CLDAP poslužitelja treće strane te amplificira teret poslan prema žrtvinoj IP adresi 56 do 70 puta. Napad je trajao tri dana te je dosega čak 2.3 terabajta po sekundi.
 ==Mirai Krebs i OVH DDos napad (2016.)==
-U rujnu 2016. godine Brian Krebs, cybersecurity stručnjak, napadnut je DDoS napadom. Krebs je zabilježio 269 DDoS napada od srpnja 2012. godine no ovaj napad je bio tri puta veći od ijednog napada ikada prije. Izvor napada bio je Mirai botnet koji se služio s više od 600,000 zaraženih IoT uređaja (IP kamere, ruteri, video-playeri). Sljedeći Mirai botnet napad dogodio se 19. rujna kada je napadnut najveći Europski hosting pružatelj OVH koji uslužuje 18 milijuna aplikacija za preko milijun klijenata. Napad je izveden s procjenjeno 140,000 botova koji su generirali teret od 1.1 terabit po sekundi. Napad je trajao 7 dana.
+U rujnu 2016. godine Brian Krebs, cybersecurity stručnjak, napadnut je DDoS napadom. Krebs je zabilježio 269 DDoS napada od srpnja 2012. godine no ovaj napad je bio tri puta veći od ijednog napada ikada prije. Izvor napada bio je Mirai botnet koji se služio s više od 600,000 zaraženih IoT uređaja (IP kamere, ruteri, video-playeri). Sljedeći Mirai botnet napad dogodio se 19. rujna kada je napadnut najveći Europski hosting pružatelj OVH koji uslužuje 18 milijuna aplikacija za preko milijun klijenata. Napad je izveden s procijenjeno 140,000 botova koji su generirali teret od 1.1 terabit po sekundi. Napad je trajao 7 dana.
 ===== Zaključak =====
-Zbog svog načina rada UDP podilazi mnogim opasnostima iskorištavanja. Kroz razne prikazano je kako je vrlo lako moguće onesposobiti mrežu, računalo ili servis koristeći lažirano UDP zaglavlje. Obrana od napada ovakve vrste mora se riješiti na aplikacijskom sloju OSI modela. Ovaj wiki dokument približava UDP obmanu, otimanje, oluje i skeeniranje UDP portova. Svaki napad je opasan te može dovesti do katastrofalnih posljedica. Najpoznatiji napadi UDP protokolom prikazani su kako bi se dočarao stupanj opasnosti ovakve ranjivosti.
+Zbog svog načina rada UDP podilazi mnogim opasnostima iskorištavanja. Kroz razne prikazano je kako je vrlo lako moguće onesposobiti mrežu, računalo ili servis koristeći lažirano UDP zaglavlje. Obrana od napada ovakve vrste mora se riješiti na aplikacijskom sloju OSI modela. Ovaj wiki dokument približava UDP obmanu, otimanje, oluje i skeniranje UDP portova. Svaki napad je opasan te može dovesti do katastrofalnih posljedica. Najpoznatiji napadi UDP protokolom prikazani su kako bi se dočarao stupanj opasnosti ovakve ranjivosti.
 ===== Literatura =====
-[1] [[http://books.google.hr/books?id=mFJe8ZnAb3EC&printsec=frontcover#v=onepage&q&f=false|Plass, Jan L., Roxana Moreno, and Roland Brünken. Cognitive Load Theory. Cambridge University Press, 2010.]]
+[1] [[Sigurnost u Internetu, FER, predavanja 2020.]]
-[2] [[http://www.google.com/books?id=duWx8fxkkk0C&printsec=frontcover#v=onepage&q&f=false|Mayer, Richard E. The Cambridge handbook of multimedia learning. Cambridge University Press, 2005.]]
+[2] [[https://www.greycampus.com/opencampus/ethical-hacking/network-or-tcp-session-hijacking|Network or TCP Session Hijacking [mrežno, pristupljeno 07.01.2021.]]]
-[3] [[http://www.cogtech.usc.edu/publications/kirschner_Sweller_Clark.pdf|Kirschner, P. A, Sweller, J. and Clark, R. E. Why minimal guidance during instruction does not work: An analysis of the failure of constructivist, discovery, problem-based, experiential, and inquiry-based teaching. Educational psychologist 41, no. 2, pp 75-86, 2006]]
+[3] [[https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency/udp-reflection-attacks.html|UDP Reflection Attacks [mrežno, pristupljeno 07.01.2021.]]]
+[4] [[http://www.faadooengineers.com/online-study/post/cse/network-management-and-securuty/582/udp-session-hijacking|UDP Session Hijacking [mrežno, pristupljeno 07.01.2021.]]]
+[5] [[https://www.cloudflare.com/learning/ddos/udp-flood-ddos-attack/|How does a UDP flood attack work?
+ [mrežno, pristupljeno 07.01.2021.]]]
+[6] [[https://www.a10networks.com/blog/5-most-famous-ddos-attacks/|Five Most Famous DDoS Attacks [mrežno, pristupljeno 07.01.2021.]]]
+[7] [[https://www.fortinet.com/resources/cyberglossary/what-is-port-scan|What is an Online Port Scanner and How to Prevent Attacks [mrežno, pristupljeno 07.01.2021.]]]
+[8] [[https://success.qualys.com/discussions/s/article/000006121|How does UDP port scanning and service detection work? [mrežno, pristupljeno 07.01.2021.]]]
+[9] [[https://www.cloudflare.com/learning/ddos/glossary/ip-spoofing/|What is IP spoofing? [mrežno, pristupljeno 07.01.2021.]]]

racfor_wiki/mrezna_forenzika/napadi_na_udp.1641600897.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)