Użytkowniku, broń się sam

Zapobieganie, a tym bardziej skuteczne reagowanie na ataki DDoS to walka z wiatrakami, do której nie kwapią się ani producenci sprzętu sieciowego, ani dostawcy usług internetowych. Być może nadszedł czas, by z problemem poradzili sobie użytkownicy Internetu.

Zapobieganie, a tym bardziej skuteczne reagowanie na ataki DDoS to walka z wiatrakami, do której nie kwapią się ani producenci sprzętu sieciowego, ani dostawcy usług internetowych. Być może nadszedł czas, by z problemem poradzili sobie użytkownicy Internetu.

Problemy z urządzeniami sieciowymi, a zwłaszcza z łączami zdarzają się stosunkowo często. Niejednokrotnie znikają one same, zanim administrator znajdzie ich przyczynę. Czasami jednak powodem problemów wcale nie jest infrastruktura, lecz rozproszony atak typu DDoS (Distributed Denial of Service). Symptomy są zazwyczaj bardzo podobne. Początkowo odczuwalne jest spowolnienie w dostępie do Internetu. Wkrótce potem występują kilkuminutowe przerwy w działaniu sieci. Bywa jednak, że brak komunikacji trwa wiele godzin, a nawet dni.

Napływający ruch skutecznie zapełnia całe dostępne pasmo łącza internetowego i znacznie obciąża urządzenia sieciowe ofiary, prowadząc nierzadko do ich unieruchomienia. W obu przypadkach sieć ofiary przestaje być dostępna z zewnątrz. W sytuacji gdy połączenie z Internetem jest niezbędne do funkcjonowania firmy, straty spowodowane atakami DDoS mogą być dotkliwe. Uniemożliwienie firmie komunikacji ze światem może też być jedynie środkiem do osiągnięcia innego celu: odwrócenia uwagi administratorów od właściwego ataku.

Po słynnych atakach DDoS na największe portale internetowe w 2000 r. oraz ostatnich atakach na szkieletowe serwery DNS wiemy już, że ataki DDoS są zagrożeniem realnym, wciąż nie wiemy jednak, jak się przed nimi skutecznie bronić. Ci, przeciwko którym choć raz wymierzono atak DDoS, nie zapomną ogarniającej ich bezradności i zaskoczenia, że uznawane powszechnie za skuteczne metody ochrony przed atakami, nie zdają w tej sytuacji egzaminu.

Duża farma u podstawy

Aby przeprowadzić skuteczny atak typu Distributed Denial of Service, intruz musi najpierw przejąć kontrolę nad kilkuset czy nawet kilkoma tysiącami komputerów w Internecie. Im bardziej są one rozproszone między różne sieci, tym większe prawdopodobieństwo jego powodzenia - rozproszenie utrudnia bowiem koordynację działań zaradczych. Liczy się także umiejscowienie komputerów w sieci, a zwłaszcza wielkość dostępnego im pasma sieciowego. Po uzyskaniu dostępu do komputerów włamywacz instaluje na nich łatwo dostępne i proste w użyciu oprogramowanie do prowadzenia ataków, np. Trinoo, Stacheldraht czy Trible Flood Network. Na polecenie włamywacza uśpione programy budzą się i są gotowe do wykonywania wskazanych zadań. Jednym z nich może być wysyłanie dużej liczby zwykłych lub odpowiednio spreparowanych pakietów w kierunku określonego adresu/adresów IP.

Czy zebranie odpowiedniego arsenału komputerów do przeprowadzenia ataku DDoS stanowi problem? Niestety, nie. Intruzi posługują się w tym celu specjalnym oprogramowaniem, które w zadanym przedziale adresów IP znajduje komputery mające znane luki w zabezpieczeniach. Następnie wykorzystuje je do zdobycia uprawnień administratora i automatycznie instalują oprogramowanie służące do przeprowadzania ataków. Do wykonania ataku DDoS nie potrzeba więc fachowej wiedzy. Nie trzeba też wiele czasu. W Akademickim Centrum Informatyki w Szczecinie (ACI) przeprowadziliśmy dokładną analizę działania jednego z takich narzędzi. Testy wykazały, że wyszukanie i przejęcie kontroli nad stu komputerami może zająć intruzowi około... 20 minut.

Powodów prowadzenia ataków DDoS może być wiele: od chęci zrobienia psikusa lub uprzykrzenia komuś życia, przez zwykły wandalizm, aż po celowe usunięcie z sieci niewygodnej zawartości, a nawet terroryzm. Na szczęście w większości przypadków powód jest błahy. Analiza ataków dokonanych w ramach Akademickiej Miejskiej Sieci Komputerowej w Szczecinie (AMSK) pozwoliła nam ustalić, że motywacją większości intruzów były tzw. wojny IRC-owe. Ich celem jest pozbawienie ofiary dostępu do Internetu na kilka minut, aby w tym czasie przejąć kontrolę nad zarządzanymi z jego sieci kanałami pogawędkowymi IRC (Internet Relay Chat). Osoby, które zajmują się tego typu procederem, to zazwyczaj nastolatki, dla których stanowi to niezłą zabawę. Stwierdziliśmy, że obszarami podwyższonego ryzyka są w rzeczywistości wszelkie serwisy świadczące usługi dostępu do kont systemowych, czyli firmy, oferujące klientom interaktywny dostęp do swojego systemu za pośrednictwem usług telnet czy SSH.

Zmasowane ataki DDoS trwające wiele godzin lub dni nie występują zbyt często. W zdecydowanej większości przypadków (ok. 80%), które badaliśmy w AMSK, ataki DDoS objawiały się sporadycznymi, kilkuminutowymi przerwami w dostępie do Internetu. Ataki długotrwałe stanowiły jedynie ok. 5% wszystkich DDoS. Ta prawidłowość wynika z faktu, że wraz z wydłużaniem czasu trwania ataku wzrasta prawdopodobieństwo namierzenia atakującego. Długotrwałe ataki DDoS wiążą się najczęściej z utratą kontroli intruza nad użytymi przez niego komputerami, a w większości przypadków atakujący nie chce się pozbywać zdobytych "zasobów".