DDoS incorporated

Ako ste sinoć i rano jutros pokušali doći do ovog web site-a, vjerojatno ste uočili da je to gotovo nemoguća misija.

Naime, moj pružatelj web hosting usluga je bio meta DDoS napada koji je uzrokovao potpuni prekid u funkcioniranju određenog broja domena, među kojom se našla i strsljen.org. Ja sam, na žalost, samo mogao dijagnosticirati memorijski zakucan server, a provider je ubrzo objavio da su svjesni problema i da rade na njegovom otklanjanju:

ddos_info

Tehničari su problem riješili danas u ranim jutarnjim satima po našem vremenu, a na sve moje mailove su uredno i brzo odgovorili. O samom opsegu napada nisu detaljno izvijestili, ali radi se o web hosting kompaniji koja hosta preko 600000 domena (ne, nemam koju nulu viška), pa sumnjam da je zahvaćen bio samo jedan od njihovih N servera. Iako bih rado vidio analizu ovog DDoS napada, znam da mi neće dati na uvid taj izvještaj.

Za one koji slučajno ne znaju, DDoS ili Distributed Denial of Service je napad uskraćivanjem usluge gdje veliki broj zaraženih računala zasipa odredišni server sa velikim brojem zahtjeva. Uslijed abnormalno velikog broja zahtjeva koji u jedinici vremena dolaze na server, dolazi do djelomičnog ili potpunog prekida u radu servisa na napadnutom serveru. Ono što je posebno nezgodno u ovakvom tipu napada je da u napadu sudjeluju stotine ili hiljade računala rasutih po cijelom svijetu.

ddos_hydra
DDoS hidra: koju glavu odrezati?

 

Kontrola ove vojske malih štetočina se često radi kroz botnet mreže. Oni koji su nekad provodili dane na raznoraznim irc mrežama, sjetit će se irc botova koji su radili sve i svašta. Kako su irc botovi preglomazni komadi softvera da bi ih se što neprimjetnije i elegantnije širilo kroz internet krvotok, neki pamenjakovići su se dosjetili pisati vrlo rudimentarne komade koda koji ne rade ništa pametno nego se sa inficiranog računala spajaju na određenu irc mrežu i određeni zaštićeni irc kanal. Tamo sjede i čekaju gazdu da napiše nešto ovako:

.syn 192.168.0.10

Onda svaki od tih tzv irc dronova počinje sa syn flood napadom na navedenu IP adresu. Svaki od njih sam za sebe ne može ništa loše napraviti, ali kad ih se skupi 6000 i krenu u ofanzivu, napadnuti serveri se nađu u ozbiljnim problemima. DDoS napad nije trivijalno zaustaviti jer su napadači rasuti po svijetu i nemoguće je ručno blokirati sve te silne IP adrese, a blokiranje cijelih ISP-ova kojima te adrese pripadaju bi dovelo do još većeg rusvaja. Postoje specijalizirani komadi opreme koji služe kao zaštita od ovih napada i koje ozbiljne kompanije implementiraju u svoju infrastrukturu, ali definicija "ozbiljne kompanije" je vrlo rastezljiv pojam u današnjem svijetu.

DDoS napada ima raznih vrsta, intenziteta i oblika, ali svi se baziraju na istom konceptu: svi na jednog! Anonimno, naravno. Hrabro, zar ne?

Najgore u cijeloj priči je da vlasnici zaraženih računala uglavnom nisu ni svjesni da su nosioci ovakvog malicioznog softvera niti trenutka kad se napad dešava. Problem je i što irc dronovi na zaraženom računalu miruju i na sve načine skrivaju svoje prisustvo sve dok se ne aktiviraju. Nekad davno su se virusi pisali da naprave štetu na računalu na kojem se nalaze. Danas se virusi pišu da skupljaju informacije i nanose štetu nekim udaljenim metama.

Da internet funkcionira kako bi trebalo, svaki zaraženi stroj bi se nakon otkrivanja automatski skidao s interneta pa tek onda postavljala pitanja, ali, na žalost, to nije tako. Kako sviju boli kifla dok sami ne dobiju po glavi (zvuči poznato?), velike kompanije troše gomilu novaca za implementaciju zaštite protiv DDoS napada, troše se veliki resursi za identifikaciju i skidanje s mreže raznih botneta, pišu se tužbe protiv nepoznatih napadača, a sve u cilju da se spriječi ono što se sinoć desilo (i još uvijek traje) sa hostmonster web hosting providerom.

ddos_zatoichi
bez odlučnosti i jake volje da se problem sasiječe u korijenu, nema stvarnog rješenja

 

Ne postoji zajednički stav ni dogovor kako se ovakve stvari rješavaju. Ne postoji dosljednost i volja da se, bez milosti, sa mreže skidaju svi hostovi koji su uključeni u neki od ovih napada. Situacija je kaotičnija nego što mislite, a ipak stvari funkcioniraju.... Većinu vremena... A kad ne funkcioniraju, zaduženi sistemci udaraju glavom u zid od sreće i pokušavaju dovesti u normalu jedno takvo nenormalno ponašanje.

Što svatko od nas može napraviti? Za početak, koristite antivirusni softver, koristite kućne firewalle, redovito nadograđujte operacijski sustav i sam antivirusni softver. To je goli minimum. Ako postanete meta DDoS napada, sve što možete je kontaktirati svoj ISP. Sami nećete puno napraviti.

Isto tako ja mogu uglavnom čekati. Uvjeren sam da ekipa koja uspješno posluje i hosta toliki broj domena ima načina da riješi ovakve napade. Situacija je puno bolja nego sinoć i upozorenje o napadu je skinuto, ali da li će se ponoviti, teško je reći.

Uglavnom, ukoliko budete imali problema sa pristupom na ovaj website u toku dana, znate u čemu je stvar.