Hlavní navigace

CSIRT: DDoS útoků v poslední době přibývá, obrana je složitá

Martin Vyleťal 5. 3. 2013

Vznikl v České republice „český botnet“? A jaké cíle si útočníci využívající DDoS útoky nejčastěji vybírají? Ptali jsme se členů bezpečnostního týmu CSIRT.

Provozovatelé velkých českých zpravodajských serverů v průběhu pondělí čelili rozsáhlému DDoS útoku, který přicházel v několika vlnách. Servery se potýkaly s úplnými výpadky nebo se na ně čtenáři dostali jen s velkými obtížemi.

Podle pracovníků bezpečnostního týmu CSIRT.CZ, který pomáhá řešit bezpečnostní incidenty, počet podobných útoků v poslední době roste.

Národní CSIRT České republiky alias CSIRT.CZ řeší situaci okolo DDoS útoků až tehdy, pokud se na něj obrátí někdo z poškozených a poskytne mu informace o útoku. Nicméně je možné z podobných incidentů, které CSIRT v minulosti řešil, a z veřejně dostupných informací dovodit, za jakým účelem podnikl někdo tyto útoky právě na tuzemské zpravodajské servery?

V některých případech lze odvodit, proč bylo útočeno na konkrétní server/službu, a to na základě charakteru útoku, zdroje, cíle apod. Občas se také někdo z „útočníků“ zpětně k danému útoku vyjádří a poodhalí tak motiv a cíl. Některé útoky jsou zcela zjevné, např. znepřístupnění určitého webu v určitou dobu (když je očekáváno zveřejnění zajímavých informací), znepřístupnění části sítě a pod. V tomto konkrétním případě žádné informace tohoto typu zatím nemáme.

Agendy a databáze řešených incidentů z prostředí CSIRT týmů mohou poskytnout vodítka pro odhalení motivů a důvodů konkrétních útoků.

DDoS útoky asi nejvíc proslavila hacktivistická skupina Anonymous, která je využívala jako formu digitální blokády či demonstrace. Jaké jiné motivy mohou útočníci využívající DDoS mít? A jaké si nejčastěji vybírají cíle? Dají se DDoS útoky využít v rámci kriminální činnosti?

Kromě klasického znepřístupnění konkrétní služby, serveru nebo sítě může být cílem např. shození určitého stroje (pád operačního systému), nebo tzv. „průzkum bojem“ pro lepší zacílení dalších budoucích útoků apod. Nejčastějšími cíli jsou webové portály médií nebo základní služby Internetu (DNS). DDOS útoky lze využít v rámci kriminální činnosti.

Někteří vydavatelé, kteří byly útokem postiženi, hovoří o tom, že do útoku byly zapojené hlavně počítače z Česka. Jsou DDoS útoky na tuzemské servery vedeny obvykle ze zahraničí? Jaký důvod mohli mít útočníci proto, že do útoku zapojili právě počítače z Česka?

Zde nedokážeme jednoznačně odpovědět. DDOS útoky, při kterých jsme byli požádáni o spolupráci při řešení, měly zdroje útoků doma i v zahraničí, přičemž nelze jednoznačně říci, že ze zahraničí se útočí více než z České republiky.

Pozoruje CSIRT.CZ v posledních měsících v Česku nárůst počtu DDoS útoků?

Jistý vzestupný trend zde je. Souvisí s trendem ve využívání botnetů, které do útoků tohoto typu vnesly zcela nový rozměr – mnoho zdrojů útoku, jejich relativně snadné získání, distribuovanost, „management“ apod.

Pro útočníky dnes není problém připravit opravdu velký DDoS, využívající sítě botnetů se stovkou tisíc počítačů. Dá se vůbec proti tak velkým útokům nějak efektivně bránit?

Obrana je bohužel složitá a obvykle se skládá z kombinace mnoha metod a technik – navýšení kapacity připojení, filtry, analýza příchozího provozu apod. Tyto základní obranné prvky ale ve výsledku mohou mít stejný efekt jako útok samotný – díky extrémně přísné obraně se ke službě nedostane ani korektní provoz (požadavek od uživatele).

Podle údajů americké firmy Prolexic se stupňuje síla DDoS útoků – výjimkou nejsou ataky o datovém toku 50+ GBps. Jaké typy DDoS útoků jsou mezi útoky na cíle v ČR nejvíce zastoupeny?

Nejčastější jsou útoky na webové portály.

MIF16

V únoru postihl podobný útok vedený převážně z počítačů umístěných v Česku web Viry.cz. Nevznikl nám tady nějaký „český botnet“?

Na začátku února byl CSIRT.CZ požádán o pomoc při eliminaci útoku na forum.viry.cz. Podle poskytnutých informací byly tři ze čtyř největších zdrojových sítí z České republiky. K tomuto incidentu jsme ale nedostali všechny potřebné informace, proto nemůžeme s jistotou říci, jaké bylo celkové složení IP adres. CSIRT.CZ byl požádán pouze o pomoc při řešení těchto největších zdrojů nežádoucího provozu. Z dat, která máme, tedy nemůžeme určit, zda pocházely z nějakého „českého botnetu“.

Našli jste v článku chybu?
Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Podnikatel.cz: 5 věcí, které o EET ještě nevíte

5 věcí, které o EET ještě nevíte

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

Vitalia.cz: Očkované a neočkované děti spolu ve školce

Očkované a neočkované děti spolu ve školce

Vitalia.cz: Tipy: Kde zaručeně koupíte dobré maso

Tipy: Kde zaručeně koupíte dobré maso

DigiZone.cz: LG OLED65E6: první pohled

LG OLED65E6: první pohled

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Vitalia.cz: 7 příčin neplodnosti u žen: pravda a mýty

7 příčin neplodnosti u žen: pravda a mýty

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

Lupa.cz: Poučný příběh jednoho rozšíření pro Chrome

Poučný příběh jednoho rozšíření pro Chrome

DigiZone.cz: ČT začne vysílat z Hradce Králové

ČT začne vysílat z Hradce Králové

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...