"Sieciowy teleskop" obsługiwany przez Cooperative Association for Internet Data Analysis (CAIDA) w San Diego gromadzi statystyki o atakach typu DoS (Denial of Service) i tych z użyciem robaków Code Red i Code Red 2, monitorując ruch obciążający fragment Internetu.

Dokładniejsza informacja o rozmiarach i czasie ataków internetowych może pomóc w zrozumieniu ich natury i rzeczywistych kosztów. Powinno to być pomocne np. towarzystwom ubezpieczeniowym w szacowaniu ryzyka dotyczącego stopnia narażenia klientów na takie niebezpieczeństwa i w rezultacie w odpowiednim sporządzaniu umów.

Zobacz również:

• Nie żyje jeden z najsłynniejszych hakerów na świecie
• Hakerzy włamali się do znanego polskiego sklepu internetowego

CAIDA monitoruje ruch skierowany do dużej puli adresów IP na Uniwersytecie Kalifornijskim w San Diego. Adresów tych jest na tyle dużo, że pula stanowi ok. 1/256, czyli 0,4 proc. wszystkich światowych adresów. Typowe ataki dużej skali DoS i przy użyciu robaków z dużym prawdopodobieństwem będą wykorzystywać niektóre adresy z tej puli. Dla porównania monitoruje się dwie mniejsze pule adresów.

Oto sposób, w jaki działa sieciowy teleskop. W większości ataków DoS adres źródłowy jest fałszowany przez oprogramowanie, które generuje mniej lub bardziej przypadkowy, podstawiony adres. Prawdopodobne staje się więc, że w ataku zostaną podstawione adresy z monitorowanej przez CAIDA puli. Kiedy przekaz będący atakiem DoS dociera do celu, komputer-ofiara przesyła pakiety z powrotem - pod fałszywy, podstawiony adres. CAIDA wyszukuje tego typu odpowiedzi i rejestruje ich wzorce.

Z kolei robaki, takie jak Code Red, infekują systemy i replikują się przez rozsyłanie pod celowe lub zupełnie przypadkowe adresy. Tym samym mogą trafić pod adresy z puli z szybkością i w czasie, które mówią, jak robak rozprzestrzenia się po całym Internecie. CAIDA bada te pakiety i rejestruje ich wzorce.

Sieciowy teleskop ma swoje ograniczenia. W większości przypadków nie można wyśledzić ataków DoS używających "reflektorów" ("nieświadomych" niczego komputerów wykorzystywanych do kamuflażu i spotęgowania siły rażenia), ponieważ swoje odpowiedzi wysyłają one do ofiary.

Im większy teleskop tym lepiej. Użycie mniejszych, monitorujących skromniejsze pule adresów, prowadzi zarówno do niedoszacowania natężenia ataku, jak i opóźnień w jego wykryciu. Specjaliści z CAIDA radzą tym, którzy chcieliby prowadzić podobne badania, a nie dysponują rzeczywiście dużą liczbą adresów, by tworzyli sieć rozproszonych mniejszych teleskopów. Używane adresy nie powinny przy tym należeć do intensywnie wykorzystywanych.

Obserwacje CAIDA prowadzą do ważnych wniosków. Wyniki sugerują, że komputery używane w domu i małych biurach połączone z Internetem przez DSL lub modemy kablowe odgrywają dużą rolę w rozprzestrzenianiu Code Red i są także celem wielu ataków DoS.

Monitorując ruch przez pierwsze trzy tygodnie lutego 2001 CAIDA zanotowała ponad 12 tys. ataków DoS wymierzonych w ponad 5 tys. celów. Szacuje się, że od 10 do 20 proc. tych ataków była skierowana przeciw użytkownikom domowym, niektóre regularnie tygodniami. Specjaliści przypuszczają, że te ostatnie mogły być rodzajem zemsty na konkretnych osobach za ich wyczyny np. w chat roomach.

W dodatku wiele komputerów domowych zostało zarażonych i stało się źródłami rozprzestrzeniania Code Red i Code Red 2. Ich użytkownicy często nie uaktualniają oprogramowania zabezpieczającego i zbyt słabo dbają o ochronę. Specjaliści z CAIDA uważają, że twórcy zabezpieczeń powinni ułatwić ich stosowanie przez uproszczenie sposobu ich użycia i większe zautomatyzowanie pewnych aspektów bezpieczeństwa.

Chociaż zestawienia CAIDA sugerują, że ataki DoS zdarzają się częściej podczas dni pracy, od poniedziałku do piątku, to teraz stają się one stałym zagrożeniem. Z badań wynika, że w każdej chwili jest atakowanych 20 osób.