Tak byl to DDoS nebo spíše DoS útok?

Ondřej Filip , 11. březen 2013 06:29 1 komentářů

Odborná i všeobecná média chrlí v současné době velké množství článků na téma kybernetických útoků z minulého týdne. Téměř všechny články označují útok jako DDoS, mluví se o pronájmu botnetů a podobně. Minulý týden jsem já a především moji kolegové strávili analýzou celého problému a z dosud známých dat bych si dovolil jít proti tomuto mediálnímu proudu a představit jinou teorii opřenou o důkaz proveditelnosti. Dopředu podotýkám, že jde spíše o technickou nuanci, která nám patrně nijak zásadně nepomůže v pátrání po skutečnému útočníkovi.

Především musím uvést, že útok měl vlastně dvě různé fáze. V té první v začátku týdne šlo o klasický SYN Flood útok s podvrženou zdrojovou adresou. Tedy, že útočník či útočnici emitovali velmi rychle úvodní packety TCP komunikace (SYN), které směřovaly přímo na cíl. V druhé fázi emitovali útočníci SYN packety se zdrojovou adresou cíle, které směřovaly na některé české servery s kvalitním připojením. Tyto servery odpovídaly druhým packetem úvodní TCP sekvence neboli SYNACK a tím zahlcovaly cíl, působily tedy jako jakýsi reflektor.

Nicméně co zajímavé je, že téměř všichni napadení v první fázi nebo ti, kteří byli zneužiti jako reflektor v druhé fázi, se shodují v tom, že útoky přicházely víceméně z jednoho směru ze zahraničí a to silou o řádu set tisíců až miliónů packetů za vteřinu. Nejčastěji je skloňována ruská síť RETN, ale hovoří se i o jiných sítích. A to je právě to nečekané. Při klasickém DDoS útoku, který používá botnet, přicházejí packety z různých směrů a obvykle nejde žádný dominantní směr určit. Pokud by útočník využil takovýto botnet, jistě by měl největší zájem o zapojení uzlů právě z našeho území, které mají k cíli nejlepší spojení. Ale k tomu pravděpodobně (krom toho odrazu z druhé fáze) nedošlo. Netvrdím tedy, že nešlo o distribuovaný útok, ale rozhodně byla primární útočící síť (nebo alespoň její dominantní část) poměrně geograficky omezená. Spíše mě to tedy vede k myšlence, že jde spíše o DoS než DDoS. Opět je pochopitelně možné, že si onu infrastrukturu někdo pronajal na stejném principu jako botnet.

A pokud se někdo zamýšlíte nad tím, zdali je možné takový útok uskutečnit pouze z jednoho centra, tak vězte, že to není nic moc komplikovaného. V rámci našeho bezpečnostního týmu jsme postavili řešení, které je schopno vygenerovat tok o síle cca deseti miliónů packetu za vteřinu. Tedy více, než kolik bylo emitováno v proběhlých útocích. Packety generuje menší farma v podstatě běžných PC, takže náklady na pořízení takového generátoru jsou velmi nízké. Trochu náročnější je mít kvalitní přípojku do Internetu a dostatečně silný router. Tok takového útoku je totiž cca 5Gbps a to již přeci jenom každý doma nemá. V současné době toto řešení používáme pro testování vlastní infrastruktury a již se nám přihlásili první zájemci, kteří by si rádi otestovali jejich vlastní systémy.

Tedy útoky, kterých jsme byli v nedávné minulosti svědky, nemusely nutně pocházet ze zavirovaných počítačů nic netušících lidí, mohly klidně vycházet z jednoho centra, sami jsme si takové centrum během pár hodin dokázali postavit. Nicméně pochopitelně netvrdím, že to nemohla být nějaká geograficky omezená část botnetu. Každopádně bych se přimlouval, aby toto první písmenko bylo v té zkratce dDoS co nejmenší.

Text byl původně psán pro blog sdružení CZ.NIC.


Komentáře

Aleš Kapica #1
Aleš Kapica 11. březen 2013 09:01

Paráda. Někdo se nechá otestovat, jiný se zlehka uklepne a hned zas budou mít média o čem psát.

RSS 

Komentujeme

Když chatboty mluví mezi sebou

Pavel Houser , 25. červen 2018 16:15
Pavel Houser

Jak se spolu dokážou dohodnout Siri, Alexa a Cortana? Kdyby programy o sobě věděly, že jsou umělé in...

Více







RSS 

Zprávičky

JavaScript mezi programátory stále vede

Pavel Houser , 25. červen 2018 14:50

Rostoucí počet plánuje přejít od samoobslužných a lokálních cloudových řešení k velkým cloudovým pos...

Více 0 komentářů

Cleverlance Group má roční obrat 951 milionů Kč

Pavel Houser , 25. červen 2018 14:17

Projekty: E-shop pro automobily s operativním leasingem, mezibankovní aplikace a chatbot....

Více 0 komentářů

Český Google spustil nový portál pro startupy v regionech

ČTK , 25. červen 2018 13:14

Více než polovina všech českých start-upů vzniká v Praze, dalších 15 % v Brně......

Více 0 komentářů

Kalendář

04. 08.

09. 08.
Black Hat USA 2018
09. 08.

12. 08.
DEF CON 26
06. 09.

07. 09.
Humusoft Technical Computing Camp 2018

Starší zprávičky

Praha spustila server s daty o městě

ČTK , 25. červen 2018 08:00

Použitá data Operátor ICT získává zejména z městských společností....

Více 0 komentářů

Útočníci se snaží zneužít fotbalovou horečku

Pavel Houser , 23. červen 2018 11:59

Nová phishingová kampaň se snaží lákat oběti ke stažení infikovaného rozpisu a výsledků fotbalového ...

Více 0 komentářů

Systém pro STK by měl za 120 mil. Kč nadále provozovat AutoCont

ČTK , 22. červen 2018 10:00

V novém smluvním období by firma měla zajistit také propojení s obdobnými systémy jednotlivých člens...

Více 0 komentářů

Divize firmy Deutsche Telekom T-Systems ruší 10 000 míst

ČTK , 22. červen 2018 09:00

Na 6000 míst z celkového počtu má být zrušeno v Německu v průběhu příštích tří let....

Více 0 komentářů