Karácsonykor, a lehető legrosszabb időpontban csapott le egy pár emberből álló társaság DDoS támadással teljesen megbénítva az Xbox Live és a PSN szervereit, játszhatatlanná téve a frissen vett játékok egy részét és megölve azok szórakozását, akik az ünnepek alatt egy kis online kikapcsolódásra vágytak. De hogy sikerülhetett mindez, és egyáltalán mi az a DDoS?
Mi az a DDoS?
A DDoS, vagy más néven elosztott szolgáltatásmegtagadással járó támadás (Distributed Denial of Service) leegyszerűsítve annyit tesz, hogy a célpont szervereit olyan óriási nagy forgalommal terheli le, hogy az nem képes ellátni azokat a felhasználókat, akik tényleg használni szeretnék a szolgáltatást. A hatás lehet egyszerű lassulás, a legjellemzőbb azonban a leállás, vagy akár teljes összeomlásról is beszélhetünk, ha megfelelően nagy támadás indult.
Egy túlterheléses támadás legegyszerűbb változata, ha az operációs rendszer parancssorán keresztül minél többször megpingeled, vagyis válaszjelzést kérsz a hálózat másik végén lévő géptől. A probléma ezzel persze az, hogy a támadónak jóval nagyobb szávszélességre van szüksége, mint a célpontnak, ami egy mezei, otthoni felhasználó esetében nem túl valószínű, így ezt a metódust egy egyetem vagy kutatóintézet számítógépének feltörésével lehet hatékonyabbá tenni, az ilyen helyeken ugyanis komolyabb kapcsolatot használnak, azonban ez sem gyakori.
Ma a legelterjedtebb módszer egy DDoS támadás végrehatásához egy botnet használata. A botnet egy zombi, tehát feltört gépekből álló hálózat, amit egy ember, vagy csapat kénye-kedve szerint irányíthat, jellemzően az egyes felhasználók tudta nélkül. Ennek segítségével több ezer, tízezer vagy még több gép egyszerre esik neki a célpont szervereinek, ezek együttes ereje pedig képes azokat túlterhelni. Maga a támadás történhet a már említett, szimpla pingeléses módszerrel vagy ennek egy szofisztikáltabb és jóval hatékonyabb változatával is. Ehhez egy rosszul konfigurált DNS szerver kell, amire egy meghamisított fejléccel ellátott, UDP protokollon keresztül küldött csomaggal óriási méretű adatokat irányíthatunk a célpont felé, megsokszorozva a támadás hatékonyságát.
Kis kitérő: a DNS, tehát Domain Name System szerver fő feladata, hogy a megadott webcímet a saját vagy más DNS szerverek adatbázisának segítségével IP címre fordítsa. Ami pedig az UDP protokollt illeti, erről most csak annyit kell tudni, hogy ez az internet egyik alap csomagküldési módszere, amely gyors, de megbízhatatlan, mivel nem tartozik ehhez az úgynevezett kézfogás, kapcsolatfelvételi protokoll, amit kihasználva kártékony lehet az ember.
Fontos megjegyezni, hogy az elosztott szolgáltatásmegtagadással járó támadás, a DDoS nem hackelés. Habár a folyamatban legtöbbször részt vesznek ténylegesen feltört számítógépek, maga a támadás során a célpont értékes információit nem lopják el, csupán elárasztják a szervereit.
Így néz ki vizualizálva egy DDoS támadás.
Hogyan csinálhatom?
A botneteket annak idején sokszor a gyűlölt spam e-mailek küldésére használták, de ahogy egyre jobbak lettek az ezt szűrő algoritmusok, úgy helyeződött át a hangsúly a túlterheléses támadásokra; ma már, ahogy azt 2014-ben többször is láttuk, előszeretettel élnek ezzel a kisebb-nagyobb csapatok, hiszen egyszerű és látványos az eredmény, ráadásul nem kell különösebb szakértelem a részükről, a támadásokat ugyanis rendelni szokták. A botnetek gazdái nem kizárólag magánakciókban utaznak, hanem üzletszerűen kínálják fel a szolgáltatásukat. A Trend Micro 2012-es kutatása szerint az orosz feketepiacon nevetségesen alacsony összegért, mindösszesen egy dollárért bérelhetünk egy botnetet egy órára, míg a Kaspersky 2009-es adatai szerint 50 dollárért egy teljes napig ostromolhatunk -- nyilván a költségek változnak a támadás mértékének és komplexitásának függvényében (több ezer dollárról is beszélhetünk), s minden bizonnyal az elmúlt években az árak is változtak, de amit egész biztosan kijelenthetünk, hogy megfizethető egy DDoS támadás. Mellesleg teljes botnetek is vásárolhatók, már 700 dollárért is.
Ezért sikerülhetett a Lizard Squadnak és más csapatoknak terrorizálni a nagyobb cégeket, mert viszonylag kis befektetéssel nagy sikereket tudtak elérni; az Incapsula tavaly végzett kutatása szerint óránként 40 ezer dollár is lehet a bevételkiesés. A támadók oldaláról igazából csak pénz kell, nem hackerek, csak unatkozó, másokkal kibabrálni akarok fiatalok, túl sok pénzzel a kezükben. Script kiddie a gyűjtőnevük, és nyugodtan mondhatjuk, hogy ennek a szubkultúrának a legalján helyezkednek el, hiszen valódi tudást nem mutatnak fel, csak mások tollával, vagyis jobban mondva, programjaival ékeskednek.
Hogyan lehet védekezni?
Ahhoz, hogy védekezzünk egy túlterheléses támadás ellen, először tudni kell, hogy pontosan milyen típussal állunk szemben, merthogy nemcsak egy fajta DDoS létezik. Két nagy csoportra oszthatjuk a támadásokat: az OSI modell szerinti hálózati vagy szállítási réteget célzó Layer 3, illetve Layer 4 támadás, valamint az alkalmazásrétegre korlátozódó Layer 7 támadás. Természetesen ezeken belül vannak különböző, specifikus módok a túlterhelésre, de most koncentráljuk csak a két nagy típusra.
Előbbiről azt kell tudni, hogy ez a gyakoribb változat, a klasszikus értelemben vett túlterhelés, aminek során rengeteg gép esik neki a szervernek vagy szervereknek. Ez ellen bizonyos mértékben lehet védekezni, mégpedig a terhelés elosztásával, a tűzfal megfelelő konfigurációjával, illetve a direkt az ilyen feladatokra specializálódott cégek segítségével. Teljes védelem persze nincs, de mérsékelhető a kimaradás.
Más tészta a Layer 7 támadás, ez ellen ugyanis már sokkal nehezebb védekezni. Ez jóval komolyabb, mint a nyers erőre támaszkodó Layer 3 vagy Layer 4 variáció, ugyanis az oldalak és szerverek bizonyos sebezhetőségeit célozza, például random nevekkel és jelszavakkal bombázva a login-képernyőt, vagy a keresőt terhelve le. Ezek a támadási fajták ráadásul gyorsan változnak, kis erőforrást igényelnek, nem nagy forgalommal járnak, és csak megfelelően hatékony szűréssel csökkenthető a hatásuk.
A DDoS támadás tehát nem olyan dolog, ami ellen könnyen, mondjuk pár tűzfal felhúzásával védekezni lehetne; nincs egyetlen olyan módszer sem, ami teljes, 100%-os védelmet tudna garantálni, s mivel viszonylag egyszerű egy ilyet végrehajtani, valószínűleg népszerű fog maradni még egy ideig. Sajnos…