Login at Forum PWSZ w Tarnowie

Wiele osób ostatnio spotyka się z określeniem DDoS. Nie każdy wie jednak dokładnie, co to jest DDoS i na czym konkretnie polega. Poniżej postaram się przedstawić definicję i parę szczegółów związanych z atakiem (tak, atakiem) DDoS. Termin ten zawsze pojawia się w kontekście cyberprzestępców i dokonywanych przez nich ataków, które zazwyczaj mają na celu unieruchomienie jakiejś usługi poprzez ciągłe i długotrwałe dokonywanie zapytań i wysyłania żądań do danego serwera bądź systemu internetowego.

Poniżej może trochę historii związanej z pojawieniem się i rozpowszechnieniem ataków typu DDoS. Pierwsze ataki tego typu zaczęły pojawiać się w lutym 2000 roku. Zostało wtedy unieruchomionych wiele serwisów internetowych należących do korporacji internetowych i medialnych.
Rozproszone ataki typu odmowa usługi (z języka angielskiego: Distributed Denial of Service) - bo tak się one nazywają - wykorzystują skoordynowane w czasie ataki DoS dokonywane z dużej ilości hostów. W jaki sposób jednak udaje się zmusić na tyle dużą liczbę komputerów do współpracy, że umożliwia to unieruchomienie serwisów takich gigantów, jak: Yahoo, eBay, CNN.

Przygotowanie tego typu ataku jest zazwyczaj mrówczą i czasochłonną pracą wielu crackerów (cracker to nie to samo co haker), polegającą na włamywaniu się do wielu słabych zabezpieczonych komputerów, najczęściej prywatnych komputerów podłączonych bezpośrednio do internetu, które zazwyczaj nie posiadają zabezpieczenia. Włamania do nich nie stanowią zatem problemu dla wyspecjalizowanego crackera.
Gdy włamywacz dostanie się do systemu, na tych stacjach roboczych instalowane jest oprogramowanie służące do ataku, które potrafi w sposób skoordynowany w czasie (na podstawie otrzymania z centralnego punktu polecenia) uruchomić atak DoS (Denial of Service) na podany w poleceniu system, serwer bądź inną usługę sieciową.

Obecnie w sieci jest mnóstwo programów, których zainstalowanie w systemie umożliwia przez crackera w sposób zdalny wykorzystanie naszego komputera do przeprowadzenia ataku typu DoS. Właśnie tutaj rolą administratora sieci (systemów) jest sprawdzenie, czy na komputerach dostępnych w naszej sieci nie zostało zainstalowane oprogramowanie "pomagające" włamywaczowi w działaniu. Najczęściej odbywa się to właśnie poprzez tzw. systemy IDS, które wykrywają transmisje pomiędzy stacjami klienckimi a serwerami, czyli stacjami dokonywującymi ataków.

Liczba ataków DDoS wciąż rośnie. Na przestrzeni ostatnich lat i miesięcy mieliśmy mnóstwo przykładów skutecznych (gdyż tego typu ataki zazwyczaj są skuteczne, jeżeli zostały do jej przeprowadzenia wykorzystywane potężne klastry botnetów) ataków DDoS, które potrafiły na kilka, kilkanaście godzin czy dni unieruchomić dane serwisy internetowe, co (jak było w przypadku Allegro) doprowadziło do dużych strach u sprzedających.
Nie oszukujmy się, ale liczba ataków DDoS wciąż będzie rosła, ze względu na ich skuteczność oraz łatwość w wykonywaniu. Wciąż zwiększa się także liczba prywatnych komputerów podłączanych do internetu, które nie są zabezpieczone odpowiednim oprogramowaniem, które są łatwym obiektem do wykorzystania przez włamywaczy.

Przeprowadzenie ataku DDoS nie wymaga od agresora zbyt dużej i zaawansowanej wiedzy na ten temat a jedynie cierpliwości i wytrwałości w opanowywaniu kolejnych słabo zabezpieczonych stacji roboczych. Połączenie tych elementów już powoduje (i wciąż będzie powodować) lawinowy wzrost ataków tego typu, dlatego warto interesować się tymi zagadnieniami, a kwestie zabezpieczenia naszego domowego komputera powinny być dla nas priorytetem.

Czyli wniosek z tego taki, że skoro atak DDoS jest z reguły skuteczny, to nie ma przed nim zabezpieczenia? Teoretycznie skuteczniejszym zabezpieczeniem przed tym atakiem mogłoby być jedynie zwiększenie przepustowości łączy czy serwera na którym jest hostowana nasza strona. Tylko kogo na to stać, jeżeli mówimy o małych i średnich firmach - czy takie firmy są też podatne na takie ataki?

Generalnie w praktyce jest właśnie tak, iż najczęściej nie ma przed nim skutecznego zabezpieczenia. Jak pokazuje przykład Allegro z ostatniego roku, kiedy to oberwało ono potężnym atakiem DDoS - nawet tzw. serwery lustrzane czy usługi dedykowane jako "Anty DDoS" okazały się w tym przypadku nieskuteczne.
Jakiś czas temu znani dostawcy usług hostingowych, jak np. OVH wprowadzili dla swoich klientów zabezpieczenie przeciwko atakom typu DDoS. Najczęściej tego typu zabezpieczenie polega na analizowaniu wszystkich pakietów a następnie odpowiednim filtrowaniu nieodpowiednich pakietów IP a przepuszczaniu wszystkich pozostałych.

admin napisał(a):Teoretycznie skuteczniejszym zabezpieczeniem przed tym atakiem mogłoby być jedynie zwiększenie przepustowości łączy czy serwera na którym jest hostowana nasza strona.

Jest to raczej tylko tak jak piszesz - rozwiązanie teoretyczne. Fakt faktem, im wyższa przepustowość łącza, tym większego "zaplecza" komputerów atakujących potrzeba, aby przeprowadzić skuteczny atak DDoS, który zablokuje daną stronę internetową bądź serwer. Jako ciekawostkę można podać, iż w 2013 roku większość (ponad połowa) wszystkich przeprowadzanych ataków DDoS osiągała przepustowość na poziomie 1 Gb/s. Teraz pozostaje pytanie, czy wszyscy dostawcy usług hostingowych gwarantują nam taką przepustowość? Co ciekawe, większość ataków trwało dość krótko (poniżej godziny) co wystarczyło, aby skutecznie unieruchomić dany serwer. Coraz bardziej powiększa się także liczba ataków przeprowadzanych z szybkością 10 i 20 Gb/s.

Wracając jeszcze do samego ataku, słyszałem o przypadkach, gdzie ogromne obciążenie powodował źle napisany skrypt PHP, co zostało odebrane jako atak DDoS. Artykuł napisałem na podstawie własnych wiadomości, czasami weryfikując je na podstawie artykułów dostępnych w sieci. Jako student Informatyki, myślę, że informacja ta przyda się wielu osobom.