Bojan Ždrnja, konzultant za računalnu sigurnost tvrtke Infigo IS pojasnio je za rep.hr što su to DDoS napadi kojima je trenutno izložen portal Index.hr
Kako Infigo IS surađuje s Indexom, Ždrnja nije htio komentirati konkretni slučaj, već je za rep.hr pojasnio problem DDoS napada i mogućnosti obrane od njih.
Gospodine Ždrnja, što su točno DDoS napadi?
Pod DDoS (Distributed Denial of Service) napadima smatramo bilo kakve napade koji legitimnim korisnicima onemogućavaju korištenje nekakvog servisa. U slučaju web poslužitelja to je pristup web stranicama. Sami DDoS napadi mogu jednako tako biti usmjereni na bilo koji resurs, dok je god krajnji rezultat jednak. Drugim riječima, u nekom jednostavnom slučaju DDoS napad svodi se na iskorištenje veze na Internet (što u konačnici legitimnim korisnicima sprječava pristup web stranicama), dok je u kompleksnijim slučajevima riječ o simulaciji upita legitimnih korisnika u velikom broju. S ovim zadnjim napadima se srećemo sve češće, a na žalost ih je i dosta teško detektirati te se od istih obraniti.
Koliko je znanja i opreme potrebno za izvođenje DDoS napada?
Budući da je riječ o distribuiranom napadu, napadač prvo treba steći kontrolu nad određenim brojem računala koja će se kasnije koristiti tijekom napada. U ovu se svrhu obično koriste specijalizirani trojanski konji. Nakon toga napadač kroz specijalnu infrastrukturu koja se naziva C&C (Command & Control) zadaje naredbe svim inficiranim računalima koja zatim napadaju neki cilj.
Iako ovaj kompletan postupak nije jednostavan, na Internetu postoje već gotovi paketi koji se mogu iskoristiti u ovu svrhu što znači da napadač ne treba puno znanja, no još uvijek nije riječ o trivijalnom napadu.
Mogu li se DDoS napadi zamijeniti s navalom posjetitelja? Google je zbog velikog broja upita o Michaelu Jacksonu nakon njegove smrti prvi čas mislio da je pod DDoS napadima.
DDoS napadi se mogu zamijeniti s navalom posjetitelja - ako je DDoS napad dobro napravljen zapravo je vrlo teško razlikovati legitimne od nelegitimnih upita. To je i najveći problem prilikom detekcije ovakvih napada budući da se u svrhu zaštite želi blokirati promet koji dolazi od malicioznih/inficiranih računala.
U slučaju Googlea stvari su malo lakše budući da Google koristi geografski distribuirane poslužitelje tako da čak i ako dođe do napada iz, recimo Njemačke, biti će napadnuti samo Googleovi poslužitelji u Njemačkoj. To se ne može zanemariti ali na ostatak svijeta takav napad neće imati utjecaja.
Kako se portal može zaštititi od DDoS napada?
Kao prvi korak potrebno je voditi računa o tome da su svi poslužitelji i aplikacije na zadnjoj dostupnoj inačici, odnosno da su sve zakrpe instalirane. Zatim, potrebno je aplikacije napraviti tako da je što teže provoditi automatske upite koji bi moglo dovesti do nedostupnosti poslužitelja. Npr. na nekim se dijelovima može koristiti CAPTCHA (mehanizam koji omogućava provjeru korisnika odnosno da li čovjek za računalom ili program).
Osim toga, postoje određeni mehanizmi koji se mogu implementirati ili na sam poslužitelj ili na neki poslužitelj ispred (npr. proxy poslužitelj) koji omogućavaju kontrolu broja upita. Konačno, za detekciju nekih napada koriste se IDS (Intrusion Detection System) sustavi.