System wczesnego ostrzegania

Niektóre organizacje korzystają z sieci specjalnych sensorów, które zbierają informacje o przygotowywanych atakach, tworząc system wczesnego ostrzegania. W Polsce takim systemem jest Arakis, którego rozwinięcie Arakis-gov wspiera zabezpieczenia sieciowe ponad 50 instytucji państwowych.

Mniej znanym atakiem, o którym Arakis informował, były próby przełamania zabezpieczeń nieprawidłowo skonfigurowanych routerów Linksys. Cyberprzestępcy poszukują publicznie dostępnych serwerów web proxy i ruch związany z takimi działaniami był dość często rejestrowany przez sensory Arakisa. Do poszukiwań wykorzystywane są automaty skanujące szeroki zakres portów (od 1 czy 12 aż do 56670/TCP; nie ograniczają się do standardowych portów 8080, 8000 i 3128 TCP). Najprostszym sposobem jest żądanie połączenia poprzez GET z wybraną stroną, taką jak yahoo.com, lub na numeryczne adresy IP.

Najciekawszym raportem zgłaszanym przez Arakisa były echa ataków odmowy obsługi przeprowadzanych przeciw serwerom w innych krajach, przykładem może być DDoS przeciw dwóm chińskim serwerom, którego ślady obserwowano w maju 2008r. Efekt ataku zaobserwowano, gdyż część adresów używanych przy spoofingu IP przypadkowo pokrywało się z adresami sond systemu i zarejestrowano odpowiedzi SYN+ACK z atakowanych serwerów na atak TCP SYN flood.

W ciągu kilku lat pracy, system Arakis sprawdził się w zadaniach, które przed nim były stawiane. Już w pierwszym roku operatorzy obsłużyli ponad 10 tysięcy alarmów, średnio 26 na dzień. Dzięki informacjom, których dostarczał, na pewno umożliwił lepsze zrozumienie wielu ataków internetowych i usprawnił naprawę niektórych ludzkich błędów, popełnianych czasami przez administratorów. Doświadczenie zdobyte przy Arakisie umożliwiło utworzenie systemu Arakis-gov, który chroni instytucje państwowe.