Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Zamyšlení nad nedávnými DDoS útoky na české webové servery
květen 30
Zamyšlení nad nedávnými DDoS útoky na české webové servery

V dubnu a květnu proběhlo několik DDoS útoků na široce používané webové servery v Česku. Nějaké novinové servery, free maily, mobilní operátory a internetová bankovnictví. Četl jsem o několika vlnách, obvykle to způsobilo někahodinové výpadky, než se s tím správci dokázali nějak porvat. Útoky přicházely údajně z východních, rusky mluvících oblastí.

Zamysleme se, proč to někdo dělal, co ho k tomu vlastně vedlo, a co to vlastně znamenalo. Na první pohled to nejspíš nemělo vůbec smysl. Když si uvědomíte, že napadeno bylo více různých služeb ze stejné kategorie, tzn. různých konkurentů, tak to nejspíš nikomu moc prospět nemohlo. DDoS útoky navíc trvají obvykle jen nějakou krátkou dobu, několik hodin například. Těžko to může znamenat nějaké extrémní dlouhodobé ztráty zákazníků, nebo příjmů ze služeb.

Co je vlastně DDoS? Je to zkratka pro distributed denial of service, tedy útok, při kterém se útočník snaží shodit servery oběti, případně je alespoň přetížit, aby tím poškodil výkon služby, kterou oběť provozuje. Typicky se při zátěži jeho web servery buď restartují, vypnou, nebo jenom nestíhají plnit legitimní požadavky zákazníků v nějakém "rozumném" čase.

Je to tedy něco jiného než útok typu vniknutí (intrusion). Každý by chtěl raději posbírat nějaká data uživatelů, kreditní karty, hesla a podobně, nebo umístit do sítě oběti nějaké trojany a backdoory. Jenže to už není tak jednoduché jako obyčejné zahlcení.

Proti tomu, aby došlo k zahlcení serverů samozřejmě existuje jednoduchá obrana - omezení počtu současných požadavků, nejspíš na nějakém předsunutém firewallu, nebo přímo na web serveru, který by si s tím uměl poradit dříve, než pošle požadavek do aplikace. Tím samozřejmě omezíte i legitimní uživatele, ovšem alespoň si neshodíte servery. Uživatele to ideálně pouze přibrzdí.

Distribuovaný (D - distributed) útok dělají proto, že potřebují vygenerovat velikou zátěž. A to s jedním nebo dvěma stroji nezvládnou. Nehledě na to, že by je brzo někdo vyblokoval na firewallu. Takže zapnou útok v jedné chvíli z velikého počtu počítačů. Samozřejmě to nejsou jejich vlastní. Ale nejspíš nějaké infikované internetové stroje, které mají útočníci pod svou kontrolou. Tomu se říká zombie.

Z toho taky plyne, že info o zdroji DDoS útoku je k ničemu. Možná to trošku ukazuje, které stroje byly asi majoritně infikovány, ale to nemusí mít nic společného s identitiou skutečných útočníků.

Proč by někdo dělal DDoS? Moožná, aby poškodil někomu službu, naštval jeho zákazníky. Takže řekněme konkurence. Jenže v našem případě to bylo napadeno více vzájemně konkurenčích služeb. Nehledě na to, že by si asi někdo všiml, kdyby například seznam nejel, zatímco centrum by valil na plné pecky a ještě by se tím někde chlubili. Takže takovou nekalou konkurenci žádná normální firma dělat nebude.

Jiný důvod? Někdy se pomocí DDoS a jeho různých modifikací podaří najít nějakou díru na skutečný průnik. Ale to je velmi málo pravděpodobné.

Samozřejmě vyvstává otázka, jestli to třeba nemohlo být jenom maskování nějakého skutečného průniku. Pochybuju. Pokud by dělali průnik, proč by na sebe ještě takto upozorňovali. I po DDoS každá rozumná firma udělá nějaký bezpečnostní audit a penetrační testy.

Takže proč? Protože to je reklama. Ukazuje to, jak jsou úžasní, kolik zombíků mají ve své moci, jací jsou to machři.

Na koho tu reklamu cílí? Tak buď jsou to prostě děcka a cílí tu reklamu na tu kozatou spolužačku z vedlejší lavice. Nebo jsou to spíš profesionální hackeři, kteří se tím živí.

Jejich potenciálními zákazníky jsou zájemci o spam, tzn. prodejci fejk léků, fejk hodinek, fejk čehokoliv. A co hůř, zákazníkem jsou zajisté tajné služby různých zemí.

Uvědomte si, jaká to je paráda. Tohle se rychle rozjede, počítejte s tím. Poslat vojáky a napadnout nějakou konkurenční zemi je moc vidět a je to hlavně riskantní, protože to taky můžete kurva prohrát. Ale koupit si od nějakého hackera službu Zombie(tm) a nechat si tam pustit nějaký svůj softík, to nejde vystopovat a ani pořádně prokázat. Kód programů je mezinárodní, milého hackara nakonec potká někde kamion a tradá!

Bojte se. Takhle to chodí a bude to čím dál tím horší. Bezpečnost vlastních sítí je to, co teďka musíte začít chránit!

 

Comments

There are no comments for this post.

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments