Od 30 listopada portal gazeta.pl stał się niedostępny dla większości użytkowników Internetu za granicą Polski. Cytując gazetawyborzcza.pl (jeden z kilkunastu serwisów, który działa):
Zaczęło się w czwartek o godz. 19. Aż 80 tys. komputerów, głównie z zagranicy, zaczęło jednocześnie łączyć się z adresem www.gazeta.pl, czyli główną stroną portalu. Początkowo z adresów na Łotwie, w Rosji, Hiszpanii, Iranie, wczoraj też z innych krajów azjatyckich. To pierwszy atak takiej skali na portal Gazeta.pl. Jak podała w komunikacie Agora, tylko przez łącza Netii ruch był 500 razy większy niż normalnie. W sumie atak zmniejszył ruch na portalu o mniej więcej 30 proc.
Atak typu DDoS polega w skrócie na (wg. redaktorów Gazety Wyborczej):
[...] zanim w przeglądarce wyświetli nam się dana strona, serwer “odpytuje” nasz komputer o adres, na który ma wysłać dane. Tymczasem hakerzy wysyłają na serwer komunikaty spreparowane bez owego adresu, na który serwer wciąż czeka. Gdy takich fałszywych połączeń jest kilkadziesiąt tysięcy, serwer może nie wytrzymać obciążenia.
Opis być może dobry dla nieinformatyków, ale nie do końca prawdziwy. DDoS to skrót od anielskiej nazwy Distributed Denial of Service, czyli atak z wielu komputerów mający na celu “zatkanie” lub przerwę w pracy serwera lub usługi. Opis o tyle nieprawdziwy, że hakerzy przeciwnie do powyższego opisu, wysyłają adres, ale inny niż ten, z którego wysłali pakiet. W obecnej chwili nie jest znana metoda DDoS, jaką zastosowali atakujący w stosunku do portalu Agory ale można przypuszczać, że chodzi tutaj o atak typu SYN (ICMP, UDP czy te na poziomie aplikacji można stosunkowo szybko i łatwo pokonać). Na czym dokładnie polega atak DDoS typu SYN?
By poznać mechanizm DDoS SYN trzeba wiedzieć na początku w jaki sposób komputery komunikują się przez Internet. Nie będę wnikał we wszystkie warstwy sieci, pisał o kablach czy adresach IP ani wdawał się w szczegóły protokołów. W najbardziej popularnym protokole komunikacji w Internecie TCP/IP sposób “dogadywania” się, tzw. handshake między dwoma komputerami wygląda mniej więcej tak: nadawca wysyła pakiet SYN do odbiorcy. Ten ostatni odpowiada pakietem SYN/ACK, nadawca zwraca ACK i następuje przekaz danych. Ze względu na 3 kroki ten sposób nazywa się “three-way handshake”. Obie końcówki tego połączenia rezerwują część swoich zasobów (pamięć, port, czas procesora) na obsługę każdego z połączeń. Każdy z pakietów SYN czy ACK zawiera dane nadawcy i adresata (adres IP). Jeśli teraz nadawca pakietu SYN tak go zmodyfikuje, że zastąpi swój adres nadawcy innym adresem, serwer do którego dedykowany jest pakiet SYN zwróci pakiet SYN/ACK do niewłaściwego komputera. Ten ostatni “wiedząc”, że nie on wysłał SYN zignoruje pakiet SYN/ACK. Jednak serwer, który wysłał SYN/ACK wciąż będzie czekał na odpowiedź. I teraz łatwo sobie wyobrazić, że jeśli 80 tysięcy komputerów z tym samym czasie będzie bombardować serwer przerobionymi pakietami SYN to łatwo może dojść do wyczerpania zasobów serwera.
W jaki sposób 80 tysięcy komputerów może atakować w tym samym czasie jeden serwer? Najczęściej dzieje się tak za pomocą małych programów (trojanów, wirusów czy innych robaków), które przeważnie niewidocznie i bez wiedzy użytkownika komputera instalują się “w tle” systemu operacyjnego (często pod pretekstem udogodnień, programów erotycznych czy zupełnie niewidocznie) i mając zapisane czas i miejsce ataku, o zaprogramowanej godzinie przystępują do działania. Dla nieświadomego użytkownika objawia się to spowolnieniem łącza internetowego czy też ciągłym ruchem na karcie sieciowej/modemie, kiedy on sam z Internetu nie korzysta. Komputery takie często nazywa się zombie.
Ofiarami ataku padają najczęściej serwery WWW znanych firm czy instytucji. W roku 2000 zaatakowane zostały serwery CNN i Yahoo. W 2004 z wykorzystaniem wirusa MyDoom zaatakowane zostały serwery firm SCO i Microsoft. Najsłynniejszym jednak był atak na serwery DNS rejestratora domen Register.com z 2001 roku. Pod pozorem pytania o rekord MX serwera AOL.com tysiące serwerów DNS wysyłało do Register.com zapytania przez ponad tydzień zanim atak nie został odparty.
Obrona przed atakiem DDoS nie jest prosta i wymaga dobrego planowania i organizacji. Wymaga to najczęściej stworzenia zapasowej podsieci, na którą serwery mogą się przełączyć w przypadku ataku. Pomaga zaimplementowanie odpowiednich ustawień w systemach operacyjnych, gdzie przykładowo Linux ma takie zabezpieczenia już na poziomie jądra systemu (SYN cookie). Pomagają dedykowane zabezpieczenia, takie jak firewalle (Check Point FW1 NGX czy Cisco PIX), switche i routery. Jako ostateczne rozwiązanie, administratorzy zaatakowanych serwerów komunikują się z administratorami sieci, w których znajdują się komputery zombie prosząc o odcięcie ich od Internetu. To długi i pracochłonny proces, wymagający dokładnej analizy ruchu sieciowego, ale jeden z najbardziej skutecznych.
Na dzień dzisiejszy wydaje się, że administratorzy portalu gazeta.pl nie byli dobrze na taką okoliczność przygotowani.
Zabezpieczyć powinni się także użytkownicy komputerów, które mogą być potencjalnie wykorzystane jako tzw. zombie. Jako pakiet standardowy każdy użytkownik powinien mieć zainstalowany Service Pack 2 (jeśli mowa o Windows XP), stale uaktualniany program antywirusowy, włączoną zaporę połączenia sieciowego i bezpieczną przeglądarkę (np. IE7 czy Firefox 2.0). Od czasu do czasu należy też przeskanować komputer programami takimi jak SpyBot czy Windows Defender.
Dlaczego portal padl tak naprawde, nie dowiemy sie nigdy. To co zostalo opisane, wcale nie musi byc prawda choc wszystko wskazuje, ze faktycznie byl to atak DoS z zagranicy.
Pozostaje pytanie - dlaczego padl?
Co z detekcja anomalii w ruchu i filtrowaniem ich na brzegu sieci? Przeciez sa do tego narzedzia np. Cisco Anomaly Detector i Cisco Anomaly Guard (widzialem je w akcji, sprawuja sie rewelacyjnie). Oszczednosci? (bo sa to zabawki potwornie drogie).
Switche nie maja tu wiele do rzeczy. Z definicji sa to urzadzenia drugiej warstwy, nie wiedzace o czyms takim jak adres IP czy flagi w pakietach. Routery tez niewiele dadza jesli nie maja wbudowanego chocby mechanizmu list kontrolnych. Zreszta szansa na to, ze pierwszy padnie dedykowany router jest nikla (choc widzialem Catalysta 6513, ktorego polozyl na lopatki pecet wysylajacy 20000 pakietow UDP na sekunde).
Obrona przed atakami DoS jest prosta, ale faktycznie wymaga planowania i znajomosci swojej sieci.
Polecam:
http://www.securityfocus.com/infocus/1729
Cisco
Ludzie, portal wcale nie musiał paść. Po prostu ruch wynikajacy z ataku totalnie zapchal lacza jakie posiadał portal - stad nie można było się na niego dobić. To co napisales o zrobieniu drugiej podsieci i przygotowaniu się na atak jest oczywiste, ale niesmowicie ciezkie do realizacji, gdyz wymga zaangazowania srodkow technicznych zdecydowanie wiekszych niz potrzebnych na biezace funlkcjonowanie serwisu.
Zawsze masz problem czy warto tyle inwestowac na taki jeden incydent, bo a nuz Ci sie uda.
I zupelnie inaczej sprawa sie ma, gdy masz komercyjny serwis, gdzie wszystko musisz placic ciezka kase, a zupenie inaczej, gdy masz hosting producenta systemow operacyjnych, ktory de facto dowolny sprzet moze miec za darmo, czyli w barterze za swoje produkty lub na mocy porozumien miedzyproducenckich.
Tak wiec łatwo się generalizuje i ocenia, gdy nie dotyczy to Twoich finansów.
Atak jaki był na gazete jest bardzo ciezki do odparcia, gdyz ataluja Cie komputery z wielu sieci z calego swiata, tak wiec odcinanie sie od nich nie ma sensu, bo musialbys sie oddciac od wszystkiego, powiadanmienie administratorow zajeloby Ci kilka dni. Grzebanie w atakowanych pakietach jest trudne ze wzgledu na wolumen ruchu, ktory de facto wylacza Ci serwis i zabija urzadzenia itd itp.
Piszac o standardzie SP2 do XP nie masz pojecia ile hostrow na swiecie stoi jeszcze na publicznych adresach z Windows-em 98 na pokladzie. I niestety to, ze przejecie ich jest banalem wynika wlasnie z niedbalstwa producenta systemu. CZyli mamy samonakrecanie biznesu, gowniany system wymusza kupowanie zabezpieczen, w ktorych najlepszy oczywiscie stara sie byc…….producent systemu itd itp.
@Barni: Dla uzytkownika koncowego zapchane lacze do poratlu czy nie odpowiadajacy serwer www to jest to samo, efektem jest nie otwierajaca sie strona. Co do stworzenia podsieci, to nie jest az tak ciezkie i przy odpowiednim planowaniu mozna wykorzystac istniejaca infrastrukture (chocby podpierajac sie VLANami, klastrami, DNS round-robin i podobnymi). Ponadto do zakupow zabezpieczen powinny przekonac GW obecne i mozliwe w przyszlosci spadki z dochodow z reklam. To jest czysta ekonomia. I nie twierdze, ze od razu trzeba kupowac najwiekszego PIXa, mozna wiele rzeczy zrobic z limitowanym budzetem.
Jesli komentarzem o “hostingu producenta systemow operacyjnych” nawiazywales do MS, to nawet sam nie wiesz jak daleko sie mylisz.
W atakach typu DDoS odcinanie poszczegolnych podsieci to tak naprawde jedyne mozliwe wyjscie. I mozna dosc dokladnie celowac, mimo ze to moze zajac dosc dlugo. Czasami jednak zdarza sie, ze zaatakowane serwisy odcinaja pol kontynentu, jak to zdarzylo sie w przypadku GW pozbawiajac np. mnie dostepu.
A co do SP2 i w98, czy starasz sie mnie przekonac, ze to znow wina systemu/ukladu i BG? To ze GW nie miala wystarczajacych zabezpieczen i planu obrony i ktos to sprobowal wykorzystac to wina slabosci Windows 98?? Zarty jakies …
@Michal: Odcinanie podsieci wcale nie jest jedynym wyjsciem. Jesli admin wie jak wyglada normalny ruch do jego systemow, to co nie pozadane wysle do Null0. Niedawny atak DDoS na Servage ewidentnie pokazal, ze mozna byc przygotowanym: kilka punktow styku szkieletu z Internetem, urzadzenia potrafiace rozpoznac anomalie w ruchu i w razie potrzeby wyslac je do Null0 i oczywiscie synchronizacja dzialan z dostawcami. Wolno, bo wolno, ale dzialali caly czas.
Podobnie UCD nie raz bylo ofiara DDoS’ow i jakos nigdy nie musielismy uciekac sie do tak drastycznych metod jak wycinanie calych podsieci.
Barni ma rowniez troche racji. Gros “zombie” to komputery z Windows i zaden SP2 do XP tu nie pomoze (zalozymy sie?) na systemie dzialajacym na konfiguracji “out-of-the-box”. Teraz jesli wezmiemy pod uwage, ze MS ma 90-95% rynku desktopow i wiekszosc stanowia maszyny uzywane przez Jasia Kowalskiego, ktory o komputerach wie tyle, ze sa…
Oczywiscie nie jest wina MS, ze admini Gazety dali ciala, ale gdyby MS sie staral sie bardziej w przeszlosci, zorganizowanie ogromnego botnetu nie byloby tak proste jak obecnie i moze ten, i wiele innych atakow, nie mialby miejsca.
BTW: VLANy tez nie sa remedium na wszystko, jak wielu ludzi sadzi. http://tinyurl.com/56bwd
Najwiekszy odkryty dotad botnet skladal sie ze 100k aktywnych zombie (lacznie bylo ich podobno 1.5m!). Na taka sile nic nie pomoze, nawet pacierz przed dobranocka.
jak marny artykul tak marne komentarze :].
recepta poki co http://www.akamai.com ;-)..