Zpět na seznam článků     Číst komentáře (34)     Verze pro tisk

DDoS útoky, které ochromily velké české servery

Autor: .cCuMiNn.   
5.3.2013

Začátkem března 2013 byl na české zpravodajské servery a také na nejnavštěvovanější český portál Seznam.cz namířen zatím nejdrtivější DDoS útok v historii českého internetu. Právě díky nedostupnosti domovské stránky Seznam.cz v dopoledních hodinách dne 5.března 2013 pocítil jeho dopad nejeden český uživatel. Zvláště pak ten, pro kterého jsou Internet a Seznam.cz synonymem.


Bezprostředně po začátcích útoků, jejichž první vlna zasáhla 4.března kolem deváté hodiny ranní zpravodajské servery Novinky.cz, iDNES.cz, IHNED.cz, Lidovky.cz, Denik.cz, ale také například poskytovatele hostingových služeb Active24, se začaly objevovat první vyjádření provozovatelů dotčených serverů, které za zdroj útoku označovaly mimo jiné systémy umístěné v České republice. To prý znemožňovalo rychlý zákrok v podobě odstřižení zahraničních přístupů.

Následovala druhá vlna útoků, která ochromila servery E15.cz, Živě.cz, Mobilmania.cz a další weby Mladé fronty. Kolem půl čtvrté odpoledne pak proběhla ještě jedna vlna útoků, která opět znepřístupnila již jednou zasažené weby.

Od poskytovatelů dotčených serverů se postupně začaly objevovat zprávy, že je celý útok veden z Ruska, což zmátlo čtenáře, kteří si dříve přečetli zprávy o českém původu útoků. Podle informací, které mám k dispozici, šlo o útok typu SYN flood, během kterého nedochází k plnému navázání TCP spojení mezi zdrojovým a cílovým systémem. To znamená, že IP adresa zdroje může být spoofovaná a jakékoliv pokusy o odfiltrování útočících strojů na základě IP adresy tak nepřichází v úvahu. A to je právě případ masového DDoS útoku, který znepřístupnil české servery. Zdrojové IP adresy útočících paketů byly náhodně generovány a obranné mechanismy založené na filtrování IP adres tak selhaly. Je to také důvod, proč se v prvních chvílích objevovaly informace o zapojení českých strojů a teprve později se na základě síťového trafiku podařilo zdroj útoků vystopovat do Ruska.


Jak se navazuje TCP spojení – handshake

TCP je spojovaná transportní služba, a jako taková musí před vlastní výměnou dat nejprve navázat spojení mezi klientem a serverem. Slouží k tomu proces zvaný trojcestný handshaking (potřesení rukou). Během navazování spojení se obě strany prostřednictvím datagramů s nastavenými příznaky SYN a ACK nejprve dohodnou na číslu sekvence a potvrzovacím čísle.

Jednotlivé kroky procesu

  • Klient odešle serveru datagram s nastaveným příznakem SYN. Ten obsahuje náhodně vygenerované číslo sekvence a potvrzovací číslo 0.
  • Server vrátí klientovi datagram s nastavenými příznaky SYN a ACK. Jako potvrzovací číslo použije číslo sekvence z obdrženého SYN datagramu zvětšené o jednotku a vygeneruje nové náhodné číslo jako číslo sekvence.
  • V poslední třetí fázi odešle klient serveru datagram s nastaveným příznakem ACK v němž použije své původní číslo sekvence zvětšené o jednotku a jako potvrzovací číslo použije číslo sekvence z odpovědi serveru rovněž zvětšené o jednotku.

Teprve v této chvíli si klient se serverem mohou skrze navázané spojení začít vyměňovat data, přičemž při přenosu používají dohodnutá čísla sekvence.



SYN flood

DDoS útok typu SYN flood zneužívá výše popsaného trojcestného procesu pro navázání TCP spojení. V prvním kroku totiž útočící systémy odesílají na cílový server datagramy s nastaveným SYN příznakem a podvrženou zdrojovou IP adresou. Server na tuto spoofovanou IP adresu odesílá datagram s příznaky SYN a ACK a čeká na odpověď, které se ovšem nedočká.


5.března 2013, tedy den po útocích na české zpravodajské servery se v dopoledních hodinách spustil nový útok, kterému se podařilo skoro na dvě hodiny znepřístupnit domovskou stránku Seznam.cz. Další stopování útočících strojů je nyní na provozovatelích ruských sítí.

Vlastimil Pečínka ze společnosti Seznam.cz zveřejnil na twitteru tento graf zobrazující nárůst síťového provozu během útoků.

Uvidíme, zda a jak se do celé věci zapojí náš národní CSIRT. Zda bude vyvíjet tlak na ruskou stranu, aby celý incident vyšetřila, nebo zda bude jen nečině přihlížet a řešení celé záležitosti ponechá na samotných provozovatelích napadených serverů. Přitom právě toto je případ útoku, na kterém by si CSIRT mohl udělat jméno a potvrdit, že je užitečným článkem v boji proti kybernetickým útokům.


Líbil se Vám článek?
Budeme potěšeni, pokud vás zaujme také reklamní nabídka

Social Bookmarking

     





Hodnocení/Hlasovalo: 1.26/34

1  2  3  4  5    
(známkování jako ve škole)