Vojnové konflikty modernej histórie už nie sú iba o ťažkých bojoch na fronte. Boj sa prenáša aj do kybernetického priestoru, kde zúčastnené strany môžu vyradením dôležitej infraštruktúry získať nemalú výhodu. Aj v súčasnosti sme svedkami konfliktu, kde dochádza k snahám narušiť chod systémov v rôznych odvetviach. Jedným zo spôsobov útoku, ktoré môžeme pozorovať je DDoS.
Čo je DDoS útok?
DDoS alebo Distributed Denial of Service je skratka zložená z dvoch pojmov “denial of service” čo môžeme chápať ako odmietnutie služby a “distributed” čiže distribuovaný – založený na väčšom množstve používateľov.
Cieľom útoku je znefunkčniť server extrémnym množstvom dopytov až do chvíle kým server nebude schopný tieto dopyty spracovávať. Nie je to teda nič iné ako zahltenie systemu. Tento útok by sa dal prirovnať napríklad k štrajku poľnohospodárov, kde cieľom bolo zahltiť dôležité dopravné uzly veľkým objemom strojov. Tieto komunikačné uzly jednoducho neboli prispôsobené na takú veľkú záťaž a dochádzalo k zápcham. Nebavíme sa pritom o nelegálnej činnosti, ale iba o situácií, že chcú všetci naraz prejsť rovnakým úsekom.
Rovnako tak to je pri DDoS útoku. Nemusí sa však nutne jednať o nelegálnu činnosť, keď si veľké množstvo ľudí budú chcieť v jeden moment napríklad prehliadať stránku. Môže to mať znaky DDoS útoku, ale nemusí to tak v konečnom dôsledku byť.
Samozrejme, keď sa bavíme o DDoS útoku v jeho skutočnej podstate, tak sa jedná o sofikovaný systém ako docieliť tento útok a často sa medzi útočníkov môžu dostať aj nič netušiaci používatelia. Napríklad ako spomínal kolega Juraj vo svojom článku, každý mohol “prispieť” k znefunkčneniu ruských ale aj slovenských webov.
Útokom nie je možné získať žiaden prístup alebo ukradnúť dáta. Ide čisto iba o znefunkčnenie systému.
DDoS útoky v súčasnosti
Niekoľko takto riadených DDoS útokov sa podarilo aj ukrajinskému ľudu. Podarilo sa im znefunkčniť web ruskej štátnej spravodajskej služby RT News. Taktiež bolo zaznamenaných viacero útokov na weby ruskej vlády. Tá ako obranu voči DDoS útokom použila opatrenie známe ako geofencing na zablokovanie prístupu k stránkam, ktoré kontroluje. Jednou z týchto domén je napríklad primárna doména ruskej armády mil.ru. Tento web je momentálne blokovaný pre návštevníkov mimo Ruska. Tí, ktorí sa pokúsia dostať na web dostanú HTTP error 418. Zaujímavosťou je, že tento kód chyby začal google používať v 90. rokoch ako žart “ 418 – I’m a Teapot”.
Globálny charakter útokov
Vedenie poľských železníc nedávno informovalo o problémoch vo viacerých miestnych dispečingoch zodpovedných za riadenie železničnej dopravy. Preverujú možnosť hackerského útoku. V tejto súvislosti očakávajú niekoľkohodinové meškanie diaľkových aj regionálnych vlakov.
Poľský minister pre infraštruktúru Andrzej Adamczyk informoval, že problém má „globálny charakter“ a netýka sa len Poľska. Ubezpečil, že vlaková doprava sa vráti do normálu, ale je zrejmé, že časť vlakov sa v deň útoku do premávky nedostane.
Médiá zverejnili dohady, že za zatiaľ nepotvrdeným počítačovým útokom je Rusko. Kremeľ podľa nich dlhé roky školil celý štáb ľudí, ktorých úlohou je destabilizovať ostatné krajiny aj v oblasti kritickej infraštruktúry. Takýmto útokom boli pomerne nedávno vystavené aj Spojené štáty, pripomenul web Bezprawnik.pl. Podľa neho sa „teraz v súvislosti s ruskou inváziou na Ukrajinu stáva cieľom Poľsko“. (Zdroj: TASR a SME.sk)
Klasifikácia útokov
Útoky môžeme rozdeliť podľa vrstvy a to na útoky na úrovni infraštruktúry a na aplikačnej vrstve.
Útok na vrstvu infraštruktúry
Útok na úrovni 3. a 4. (OSI) vrstvy sú najbežnejším typom útoku. Ide o záplavy používateľských datagramových paketov (UDP). Tieto útoky sú zvyčajne veľkého objemu a ich cieľom je preťaženie kapacity siete alebo aplikačných serverov. Našťastie, toto sú typy útokov, ktoré majú jasné podpisy a sú ľahšie odhaliteľné.
Útok na aplikačnej vrstve
Aj keď sú tieto útoky menej časté, bývajú sofistikovanejšie. Útoky na aplikačnej vrstve majú zvyčajne malý objem v porovnaní s útokmi na vrstve infraštruktúry, a zameriavajú sa na konkrétne časti aplikácie, čím sa stávajú nedostupnými pre používateľov. Napríklad záplava požiadaviek HTTP na prihlasovaciu stránku alebo drahé vyhľadávacie API.
Ako sa brániť?
Minimalizovať plochu útoku
Jednou zo základných techník na zmiernenie a prevenciu DDoS útokov je minimalizácia plochy, na ktorú možno zaútočiť. Útočníkovi sa obmedzia možnosti miesta útokov. V praxi to znamená napríklad uzavretie portov, na ktorých neočakávame žiadnu komuníkaciu – “zamurujeme” vstupné dvere, ktoré nie sú potrebné.
Identifikovať čo je a čo nie je normálny traffic
Základom je, aby sme boli schopní prijať len toľko návštevnosti, koľko dokáže náš server zvládnuť a obslúžiť bez ovplyvnenia dostupnosti. Zároveň by mal byť systém automaticky schopný sledovať prístupnosť stránky a včas notifikovať správcu v prípade výrazného spomalenia alebo úplného výpadku.
Použiť brány Firewall
Brána firewall je jednou z najlepších obrán proti DDoS útokom. Filtruje sieťovú premávku, aby sa zabránilo škodlivému prístupu.
SYN Cookies
Vnútorne modifikuje chovanie TCP protokolu tak, že k vlastným zdrojom serveru sa pristupuje až po overení platnosti adresy. Implementácia tejto obrany je bežná na Linuxových systémoch.
