DDoS nebo DoS? Aneb jak se dá udělat útok

Odborná i všeobecná média chrlí v současné době velké množství článků na téma kybernetických útoků z minulého týdne. Téměř všechny články označují útok jako DDoS, mluví se o pronájmu botnetů a podobně. Minulý týden jsem já a především moji kolegové strávili analýzou celého problému a z dosud známých dat bych si dovolil jít proti tomuto mediálnímu proudu a představit jinou teorii opřenou o důkaz proveditelnosti. Dopředu podotýkám, že jde spíše o technickou nuanci, která nám patrně nijak zásadně nepomůže v pátrání po skutečnému útočníkovi.

Především musím uvést, že útok měl vlastně dvě různé fáze. V té první v začátku týdne šlo o klasický SYN Flood útok s podvrženou zdrojovou adresou. Tedy, že útočník či útočnici emitovali velmi rychle úvodní packety TCP komunikace (SYN), které směřovaly přímo na cíl. V druhé fázi emitovali útočníci SYN packety se zdrojovou adresou cíle, které směřovaly na některé české servery s kvalitním připojením. Tyto servery odpovídaly druhým packetem úvodní TCP sekvence neboli SYNACK a tím zahlcovaly cíl, působily tedy jako jakýsi reflektor.

Nicméně co zajímavé je, že téměř všichni napadení v první fázi nebo ti, kteří byli zneužiti jako reflektor v druhé fázi, se shodují v tom, že útoky přicházely víceméně z jednoho směru ze zahraničí a to silou o řádu set tisíců až miliónů packetů za vteřinu. Nejčastěji je skloňována ruská síť RETN, ale hovoří se i o jiných sítích. A to je právě to nečekané. Při klasickém DDoS útoku, který používá botnet, přicházejí packety z různých směrů a obvykle nejde žádný dominantní směr určit. Pokud by útočník využil takovýto botnet, jistě by měl největší zájem o zapojení uzlů právě z našeho území, které mají k cíli nejlepší spojení. Ale k tomu pravděpodobně (krom toho odrazu z druhé fáze) nedošlo. Netvrdím tedy, že nešlo o distribuovaný útok, ale rozhodně byla primární útočící síť (nebo alespoň její dominantní část) poměrně geograficky omezená. Spíše mě to tedy vede k myšlence, že jde spíše o DoS než DDoS. Opět je pochopitelně možné, že si onu infrastrukturu někdo pronajal na stejném principu jako botnet.

A pokud se někdo zamýšlíte nad tím, zdali je možné takový útok uskutečnit pouze z jednoho centra, tak vězte, že to není nic moc komplikovaného. V rámci našeho bezpečnostního týmu jsme postavili řešení, které je schopno vygenerovat tok o síle cca deseti miliónů packetu za vteřinu. Tedy více, než kolik bylo emitováno v proběhlých útocích. Packety generuje menší farma v podstatě běžných PC, takže náklady na pořízení takového generátoru jsou velmi nízké. Trochu náročnější je mít kvalitní přípojku do Internetu a dostatečně silný router. Tok takového útoku je totiž cca 5Gbps a to již přeci jenom každý doma nemá. V současné době toto řešení používáme pro testování vlastní infrastruktury a již se nám přihlásili první zájemci, kteří by si rádi otestovali jejich vlastní systémy.

Tedy útoky, kterých jsme byli v nedávné minulosti svědky, nemusely nutně pocházet ze zavirovaných počítačů nic netušících lidí, mohly klidně vycházet z jednoho centra, sami jsme si takové centrum během pár hodin dokázali postavit. Nicméně pochopitelně netvrdím, že to nemohla být nějaká geograficky omezená část botnetu. Každopádně bych se přimlouval, aby toto první písmenko bylo v té zkratce dDoS co nejmenší. :-)

Váš ONdŘEJ FILIP

Autor:

Komentáře (11)

  1. m říká:

    to je sice pěkné, ale možná ještě důježitější otázka než „jak“ je „kdo“ a „proč“. nic si tady na základě útoku propaguje další svoji službu, ale podle některých informací to vypadá, že je do útoků zapleteno (skrze nkcb a jednu firmu).

  2. m říká:

    pardon, překlep, s/nkcb/nckb/. já vím, teorie je to trochu divoká.. info pochází od někoho z diskusí k útokům na lupě (k článku Weby českých bank ochromil DDoS útok, NBÚ žádá od postižených data)

  3. Pavel Polák říká:

    Taky jste ještě zapomněl na židy a zednáře! A celý dDoS byla vlastně reklama na ochranu proti ChemTrails…

  4. Luk říká:

    Faktem je, že útoky přicházejí v době, kdy se ve vládě připravuje projednávání návrhu zákona o kybernetické bezpečnosti. Čili to může pomoci na svět „konspirační teorii“, že si mohla útoky objednat přímo vláda (nebo NBÚ) proto, aby měl návrh hladkou cestu ke schválení. Nemusí to samozřejmě tak být, ale po podobných útocích bude protlačení zákona a rozšíření kompetencí NBÚ (a tedy nezbytně i jeho finanční a personální posílení) o poznání hladší, než kdyby se nic nestalo.

  5. frr říká:

    Použít jako generátor paketů nějaký server v přezíravém či dokonce nepřátelském zahraničí má ten smysl, že Vám tamní provider a bezpečnostní složky nebudou nápomocni v dohledání, odkud byl server na dálku ovládán. Jinak mít k dispozici gigabit na serveru v hostingu asi není až takový problém… a vyrobit na koleně tupý syn flooding generátor je taky koncepčně trivka. Ještě pořád má vanilkový linux generátor paketů jako volitelný modul v kernelu? Možná k tomu není ani potřeba umět programovat…
    Jo a díky moc za informace od pramene – konečně někdo řekl, o co šlo doopravdy.

  6. Ondřej Surý říká:

    Linuxový pktgen neumí generovat obsah paketů.

  7. V.Mlich říká:

    To, ze SYNy proudily do NIXu po jednom dratu jeste nemusi nic znamenat. Co kdyz ten virus byl ruskojazycny? Kazdopadne by to chtelo, kdyz NIX zapoji do sveho routru dalsi drat, mel by s provozovatelem routru na jeho druhe strane mit uzavrenou dohodu, ze kdyz jde utok z jeho smeru, sejme okamzity traffic ze svych downlinku, aby napomohl odhaleni zdroje. NIX takove smlouvy nedela?

  8. shamot říká:

    spis by me zajimalo, jak je mozne, ze nekdo posila do internet pakety s podvrzenou zdrojovou adresou a provider tyto pakety vesele do internetu posle. Cekal bych, ze je celkem bezne zapnuta ochrana, kdy router odroutuje pouze pakety, ktere odpovidaji zdrojovou adresou interfacu, ze ktere jdou.

  9. VS říká:

    V současné době toto řešení používáme pro testování vlastní infrastruktury a již se nám přihlásili první zájemci, kteří by si rádi otestovali *SVÉ* vlastní systémy.

  10. Me říká:

    Jinými slovy, první fáze byl DoS, druhá fáze kde byly zapojeny další uzly byl DDoS, protože na cílový server přicházely SYNACK z více uzlů. Jestli ty SYNACK byly důsledkem zaslání SYN z jednoho cíle čímž došlo k „ovládnutí/zneužití“ zrcadel nebo výsledkem zadání příkazu „attack now“ v nějakém programu který ovládá nakažené počítače v botnetu je asi jedno. Spíš je důležité že v tom druhém DDoS nebyl použit botnet, ale zneužity nenakažené servery, což je jistě zajímavá nuance.

Zanechte komentář