Nowe Technologie

Komu grożą ataki DDoS

Ostatnia aktualizacja: 10.06.2013 08:41
Skrót DDoS robi ostatnio karierę w mediach i często pojawia się w kontekście przerw w działaniu znanych serwisów internetowych. Na czym polega ta technika i kto powinien obawiać się ataku internetowych zombie?
Komu grożą ataki DDoS
Foto: Glow Images/East News

„Atak na strony internetowe rządu i ministerstw w Holandii” (Onet), „Policja ma podejrzanego o ataki na Allegro” (TVN24), „Hakerzy zaatakowali strony internetowe straży miejskich w kilku miastach” (Gazeta Wyborcza). To tylko kilka nagłówków, które pojawiły się w mediach w ciągu ostatnich tygodni. Wszystkie historie łączy jedna cecha wspólna – serwisy zniknęły z sieci w wyniku ataku przy pomocy techniki DDoS. Co oznacza ten skrót?

Zbyt wielu klientów na raz

Pełne rozwinięcie to Distributed Denial of Service czyli rozproszona odmowa usługi. Ta technika jest dosyć często stosowana przez cyberprzestępców do paraliżowania stron www. Zasadę działania najłatwiej wyjaśnić przez analogię do niewielkiej restauracji. Gdy rośnie liczba klientów, właściciel jest zadowolony. Jednak jeśli w lokalu zjawi się kilkaset osób na raz, personel nie będzie w stanie ich obsłużyć i w praktyce restauracja przestanie działać.

Podobny zalew „klientów” czyli wizyt na danej stronie celowo wywołują cybersprzestępcy, stosując atak DDoS. Odwiedziny strony pochodzą od tzw. komputerów zombie. Maszyny zainfekowane złośliwym oprogramowaniem na dany sygnał próbują połączyć się ze wskazanym adresem, bez wiedzy swoich właścicieli. Serwer, na którym działa strona nie jest w stanie obsłużyć tak wielu zapytań i użytkownik, który chce odwiedzić witrynę, dostaje informację, że serwis jest niedostępny.

Każdy serwer w swej istocie jest komputerem podłączonym nieustannie do sieci – tłumaczy Bartłomiej Juszczyk, właściciel marki hostingowej Group5. Na żądanie internauty przesyła pliki tworzące stronę www do przeglądarki. Kiedy zapytań jest za dużo, wyczerpuje się pamięć RAM i moc obliczeniowa procesora. Podobny efekt osiągniemy, kiedy na zwykłym komputerze uruchomimy zbyt wiele programów na raz. W końcu nie będzie w stanie ich obsłużyć.

W przypadku mniejszych serwisów, działających na hostingu współdzielonym, atak DDoS może w krótkim czasie wyczerpać limity parametrów, przyznanych przez firmę hostingową. Konto danego klienta jest automatycznie wyłączane, by zapewnić dostateczne zasoby pozostałym stronom, znajdującym się na serwerze. Właściciel zaatakowanej strony oprócz przerwy w działaniu serwisu zwykle musi liczyć się z dodatkowymi opłatami za przekroczenie limitu transferu.

Dla idei albo dla pieniędzy

Zwykle trudno ustalić kto daje sygnał do ataku na konkretną stronę, zdecydowanie łatwiej jest wskazać potencjalne ofiary. Pierwsza grupa to strony rządowe, witryny organizacji czy dużych firm, które są atakowane z powodów ideologicznych lub politycznych.

Druga grupa to serwisy e-commerce, dla których przerwa w działaniu strony jest szczególnie dotkliwa i wiąże się z utratą potencjalnych klientów. Im większa firma, tym prawdopodobieństwo ataku jest większe, chociaż nie zawsze właściciele małych przedsiębiorstw mogą czuć się bezpiecznie. Zdarza się, że strony są atakowane przez konkurencję lub byłych pracowników. W przypadku takich ataków motywem może być chęć zaszkodzenia firmie lub zwykły szantaż.

Zdarza się, że przed atakiem właściciel strony dostaje informację od cyberprzestępców o tym, że taki atak jest planowany. Anonimowy autor wiadomości żąda pieniędzy za odstąpienie od ataku lub – później – za jego zaprzestanie. Warto pamiętać, że takie działanie jest przestępstwem, ściganym przez prawo i warto każdą taką sytuację zgłaszać właściwym władzom.

Jak nie dać się atakowi zombie

Najłatwiej jest zabezpieczyć własny komputer, aby nie stał się narzędziem w rękach cyberprzestępców i nie posłużył do ataku. W tym celu wystarczy aktualizować oprogramowanie antywirusowe i unikać podejrzanych stron internetowych. Niestety, ochrona własnej strony internetowej przed atakiem DDoS nie jest już taka łatwa.

Podstawową ochronę dają zapory sieciowe, instalowane na serwerze. Ich zadaniem jest blokowanie ruchu, który zostaje zidentyfikowany jako budzący podejrzenia lub wykraczający poza normy. Ograniczeniem zapór jest fakt, że podczas ataku system potrafi zablokować dostęp prawdziwym użytkownikom, którzy po prostu chcą odwiedzić daną stronę.

Dobrym rozwiązaniem jest przygotowanie wersji strony www, zawierającej tylko podstawowe informacje. Taką „minimalistyczną” wersję strony, bez grafiki i innych plików wykorzystujących zasoby serwera, można uruchomić w razie ataku DDoS w miejsce głównego serwisu – tłumaczy Bartłomiej Juszczyk z Group5. Dzięki temu zmniejsza się ryzyko, że serwer zostanie przeciążony, a użytkownicy otrzymają informację, że strona działa, tylko ma przejściowe problemy. Prosta wersja witryny może przykładowo zawierać dane kontaktowe, pod którymi klienci mogą uzyskać dodatkowe informacje.

Kolejnym rozwiązaniem są tzw. mirrory czyli serwery lustrzane. Każdy z nich zawiera te same dane. Gdy ruch na stronie gwałtownie wzrasta, pliki są pobierane nie z jednego, ale z kilku serwerów. Dzięki temu transfer rozkłada się równomiernie pomiędzy maszynami i żaden z nich nie jest nadmiernie obciążony. Mirrory są stosowane nie tylko w celu ochrony przed atakami DDoS. Serwery lustrzane pozwalają na obsłużenie naturalnego ruchu na stronie, przykładowo w sytuacji, gdy wielu internautów chce jednocześnie pobrać duży plik.

Serwery lustrzane to rozwiązanie dla większych serwisów. Najlepszym rozwiązaniem dla właścicieli niewielkich stron lub sklepów internetowych jest skonsultowanie się z firmą, zapewniającą hosting. Pracownicy najlepiej potrafią ocenić ryzyko i znaleźć rozwiązanie, które najlepiej zabezpieczy witrynę przed atakiem internetowych zombie. 



autor: Maciek Kurek

Czytaj także

Serwisy znikają z sieci

Ostatnia aktualizacja: 02.05.2013 00:00
Złożone systemy informatyczne wymagają wyrafinowanych ataków? Nic bardziej mylnego. Ostatnie wydarzenia w polskiej sieci pokazały, że najprostszy atak typu DDoS stał się aktualnie największym zagrożeniem poprawnego funkcjonowania witryn internetowych.
rozwiń zwiń
Czytaj także

Ewolucja zagrożeń

Ostatnia aktualizacja: 26.05.2013 11:18
W najnowszym raporcie eksperci z Kaspersky Lab analizują rozwój zagrożeń IT w pierwszym kwartale 2013 roku. Trzy pierwsze miesiące roku obfitowały w ważne incydenty, zwłaszcza te dotyczące cyberszpiegostwa i cyberbroni.
rozwiń zwiń
Czytaj także

Coraz sprawniej kradną nasze pieniądze

Ostatnia aktualizacja: 27.05.2013 09:58
Stawki cyberprzestępców są bardzo zróżnicowane. Przykładowo wysłanie spamu do 1000 adresatów to koszt ok. 3$. Zakup zestawu do stworzenia exploita to już koszt rzędu 2500$.
rozwiń zwiń
Czytaj także

Jak zidentyfikować klientów ze złośliwym IP

Ostatnia aktualizacja: 31.05.2013 10:55
Identyfikacja nieprawidłowego zachowania urządzeń podłączonych do sieci to kluczowe zadanie dla każdego przedsiębiorstwa, które chce się zabezpieczyć przed zaawansowanymi zagrożeniami o długotrwałym działaniu (ang. Advanced Persistent Threats – APT).
rozwiń zwiń