Popularna cyberbroń

Ataki Denial of Service (DoS ang. odmowa usługi) polegają na wysłaniu do systemu tak dużej liczby żądań nawiązania połączeń TCP lub informacji bezzwrotnych w postaci pakietów UDP, że ich przetworzenie przekracza moc obliczeniową serwera lub pojemność łącza internetowego, którym serwer jest podłączony do globalnej sieci. System przestaje odpowiadać na żądania użytkowników.

Najgroźniejszą i najpopularniejszą odmianą ataków DoS, są ataki rozproszone, czyli Distributed Denial of Service (DDoS). Ponieważ za pomocą jednego komputera trudno wygenerować liczbę informacji zdolną do zablokowania serwera lub łącza internetowego, hakerzy angażują wiele komputerów, które jednocześnie zaczynają wysyłać pakiety wymierzone w atakowany serwer. Do ataków DDoS najczęściej wykorzystywane są botnety, czyli sieci utworzone z domowych pecetów, zainfekowaneych wcześniej trojanami. Biorąc pod uwagę, że duże botnety składają się z setek tysięcy maszyn, podłączonych do sieci szybkim, stałym łączem o przepustowości kilkudziesięciu megabitów, wygenerowanie ruchu, który przekroczy pojemność łącza atakowanego serwera, nie jest trudne.

W 2013 roku atak DDoS zdarzał się średnio co dwie minuty, czyli ćwierć miliona takich zdarzeń rocznie. Także nasz kraj nie jest od nich wolny. W kwietniu 2013 roku haker skutecznie zablokował dostęp do serwisu Allegro oraz mBanku, w sierpniu 2013 roku przez kilka dni użytkownicy mieli problemy z dostaniem się na stronę transakcyjną banku BZWBK.

Ataki DDoS są tak częste, bo stosunkowo łatwo je przeprowadzić. Gotowe narzędzia można ściągnąć z internetu, atak można zamówić także jako usługę na czarnym rynku. Gdy policja złapała hakera, który sparaliżował Allegro i mBank, okazało się, że dokonał tego za pomocą laptopa podłączonego do zwykłego domowego łącza. Ataki DDoS są coraz lepiej zaplanowane, choć wciąż dominują ataki niekomercyjne, to nierzadko stoją za nimi profesjonalni cyberprzestępcy, którzy szantażują firmy w celu wymuszenia haraczu. Nie brakuje także dowodów na inwestycje władz różnych krajów w dostosowanie technik DDoS np. do celów wojskowych.

O tym, że atak DDoS może sparaliżować nie tylko wybraną ofiarę, ale także infrastrukturę internetu, można było się przekonać wiosną 2013 roku. W marcu został zorganizowany najpotężniejszy, jak dotąd, atak DDoS. Jego celem były serwery organizacji Spamhaus, która tworzy listy serwerów rozsyłających spam, dzięki którym dostawcy usług internetowych blokują ok. 90 proc. niechcianej poczty. Marcowy atak był skutkiem sporu Spamhausu z kontrowersyjną holenderską firmą hostingową Cyberbunker (działającą w potężnym, 5-piętrowym, podziemnym bunkrze zbudowanym w czasach zimnej wojny przez NATO). Firma chwali się na swojej stronie WWW, że hostuje wszystko poza „dziecięcą pornografią i serwisami związanymi z terroryzmem”. Cyberbunker, oprócz tego, że nie wnika w działania klientów, zapewnia też najwyższe fizyczne bezpieczeństwo serwerów. Raz ponoć próbowała tam wejść jednostka antyterrorystyczna, ale musiała zrezygnować po tym, jak obsługa odmówiła otwarcia wrót, odpornych na eksplozję nuklearną. Spamhaus podpadł Holendrom, umieszczając na pewien czas Cyberbunker na swojej czarnej liście, co utrudniało działanie klientom.

Nieporozumienia doprowadziły do odwetu – 18 marca 2013 roku Spamhaus padł ofiarą ataku DDoS. Ruch przychodzący nagle zwiększył się do 90 Gb/s i systematycznie wzrastał aż do zawrotnego poziomu 300 Gb/s. Nie wytrzymała tego strona WWW organizacji. Serwery udostępniające czarne listy spamerów przetrwały tylko dzięki temu, że są mirrorowane w 80 lokalizacjach na całym świecie. To zapobiegło czarnemu scenariuszowi, jakim byłby niekontrolowany zalew spamu, który dodatkowo obciążyłby sieć.

Dla porównania, typowa miejska sieć szkieletowa dostawcy usług internetowych ma przepustowość od 10 do 40 Gb/s. Łącza między największymi ośrodkami mają po 100 Gb/s. Typowy atak DDoS ma natężenie 50 Gb/s, a wcześniejszy rekord DDoS wyniósł 100 Gb/s.

Spamhaus, nie mogąc sobie poradzić samodzielnie z atakiem, zwrócił się o pomoc do CloudFlare – firmy specjalizującej się w zwalczaniu ataków DDoS. Jako że jedynym sposobem obrony przed DDoS jest zredukowanie obciążenia serwerów, CloudFlare zaangażował swoje 23 centra obliczeniowe, które podstawiono pod adresami serwerów Spamhaus, tak by mogły przyjąć na siebie zalew informacji. Dodatkowego wsparcia, udzielił także Google, który dysponuje rozbudowaną infrastrukturą serwerową na całym świecie.

Rozproszenie ruchu w sieci, generowanego przez atakującego, jest możliwe dzięki technologii Anycast, która pozwala na utworzenie wielu klonów atakowanego serwera i podłączenie ich do sieci pod wspólnym IP, co pozwala na rozładowanie ataku na wiele łączy i serwerów.

Jednak skala ataku była tak wielka, że przeciążyła nie tylko serwery ofiary, ale także całą infrastrukturę internetu, która została zakorkowana pakietami wygenerowanymi przez atakujących hakerów. Opóźnienia zaczęły się pojawiać na routerach sieci szkieletowej, które nie nadążały z przekierowaniem pakietów, oraz na samych łączach, gdyż ilość danych przekraczała przepustowość światłowodów. Atak doprowadził także do przeciążenia punktów wymiany (Internet Exchange) w Amsterdamie i Londynie, czyli kluczowych dla działania internetu miejsc, gdzie łączą się ze sobą światłowody różnych operatorów sieci szkieletowych.

To przeciążenie spowodowało, że konsekwencje ataku odczuli także internauci niezwiązani w żaden sposób ze Spamhausem. Źle działały przede wszystkim te usługi, które wymagają dużych przepustowości, jak np. serwis z filmami Netflix. Poza tym użytkownicy skarżyli się na wydłużenie czasu odpowiedzi na zapytania do serwerów i obniżenie prędkości pobierania danych.

Aby osiągnąć tak dużą intensywność ataku, napastnicy w pomysłowy sposób wykorzystali elementy architektury samego internetu, mianowicie serwery DNS.

DNS jest usługą, która tłumaczy numeryczne adresy IP serwerów internetowych (np. 217.74.70 184) na frazy łatwe do zapamiętania przez użytkowników, czyli nazwy domen (np. pcformat.pl). Dodatkowo DNS dostarcza dodatkowych informacji usprawniających działanie sieci, np. o tym, który serwer odpowiada za obsługę poczty w danej domenie, gdzie znajduje się strona WWW itp.

System DNS działa w taki sposób, że w odpowiedzi na zapytanie przesyła dużo więcej danych, niż wynosi samo zapytanie. Maksymalnie może to być 512 bajtów, kilkadziesiąt razy więcej niż samo zapytanie. Odpowiedź na typowe zapytanie do serwera DNS wraca do odbiorcy, więc objętość odpowiedzi nie ma znaczenia. Ten mechanizm można jednak wykorzystać do wzmocnienia ataku. W jaki sposób? Przez sfałszowanie adresu IP źródła zapytania. W miejsce adresu IP komputera generującego zapytanie wstawiany jest adres serwera, który jest obiektem ataku. W ten sposób pakiet z odpowiedzią na zapytanie DNS zamienia się w pocisk. Biorąc pod uwagę fakt, że atakujący zazwyczaj dysponuje botnetem złożonym z setek, tysięcy zainfekowanych trojanami komputerów, ostrzał atakowanego serwera po wzmocnieniu przez DNS staje się huraganowy. Aby osiągnąć natężenie ataku rzędu 300 Gb/s, wystarczy, żeby komputery zombi sprzęgnięte w botnecie wygenerowały ruch 15 Gb/s.

Według szacunków firmy CloudFlare, w ataku na Spamhaus wykorzystano aż 30 tys, serwerów DNS. Były to tzw. otwarte resolvery, czyli serwery tłumaczące nazwy, które są dostępne dla każdego zazwyczaj przez błędną konfigurację lub zaniedbanie administratora.

Po doświadczeniach ataku na Spamhaus organizacja CERT (Computer Emergency Response Team), zajmująca się zwalczaniem zagrożeń w sieci, wydała rekomendację dotyczącą zabezpieczenia otwartych DNS-ów, tak by nie można było ich używać do ataków DDoS. Miejmy nadzieję, że administratorzy wezmą ją sobie do serca, bo zamiast obiecywanego szybkiego internetu dla każdego będziemy mieli regularnie powtarzający się Dzień Bez Internetu.