Hlavní navigace

CSIRT.CZ: útoky z minulého týdne se nedostaly k cílovým serverům

Martin Vyleťal

Ve většině případů došlo k přetížení firewallů, load balancerů nebo podobných zařízeních, odhaluje dokument rekapitulující události z minulého týdne.

Sdružení CZ.NIC, které provozuje bezpečnostní tým CSIRT.CZ, dnes vydalo oficiální zprávu (PDF, 126 KB), rekapitulující útoky, kterým v průběhu minulého týdne čelily postupně zpravodajské servery, Seznam.cz, banky a telekomunikační operátoři.

Zatím podle ní není zřejmé, zdali se jednalo o DDoS či DoS útok. Už v pondělí přitom Ondřej Filip, předseda sdružení CZ.NIC, naznačil, že útok mohl být veden z jednoho centra.

V průběhu útoků se obecně hovořilo o útocích typu DDOS (Distributed Denial of Service). V současné chvíli, kdy máme soustředěno velké množství informací a souvisejících dat, není zcela jasné, jestli útok byl opravdu typu DDOS nebo DOS. Většina útoků byla soustředěna na www služby.

Zpráva také připomíná, že většina toku při útocích přicházela přes ruskou síť RETN, která ale se zástupci CSIRTu či tuzemských ISP zatím příliš nekomunikuje.

Většina toku při útocích přišla přes síť RETN (http://www.retn.net/en/). Ačkoliv napadené strany, ISP i CSIRT.CZ zkoušeli kontaktovat provozovatele této sítě, nepodařilo se nikomu získat relevantní pomoc (data, zablokování útočníků). Je přitom pravděpodobné, že RETN disponuje daty, která by mohla pomoci blíže specifikovat útočníka (MRTG grafy provozu, poměr odeslaných paketů vs tok atd.)

Autoři zprávy tvrdí, že útoky měly poměrně slabý charakter, minimálně z pohledu ISP, kteří s útokem měli problém pouze ve vztahu ke koncovým sítím.

Tip Content Machovec

Útok svou silou nijak neohrožoval chod páteřních sítí providerů a jejich infrastrukturu. Podle dostupných informací hovoříme o datových tocích do 1Gbps (maximální zaznamenaný tok 1,5 mil. paketů za sekundu). Útoky způsobily problémy až v koncových sítích.

Zpráva také odhalila, že se útoky ve většině případů nedostaly ani k cílovému serveru, což však nemění nic na skutečnosti, že útok odhalil slabá místa v síťové architektuře koncových sítí.

Podle informací, které máme k dispozici, se ve většině případů útok ani k cílovému serveru nedostal, ale přetížil systém před – obvykle firewall, load balancer nebo podobné zařízení. Zcela nepopiratelně útoky odhalily řadu slabých míst v síťové architektuře koncových sítí.

Zdroj: Rekapitulace (D)DOS útoků ze dnů 4. 3. – 7. 3. (PDF, 126 KB)

Našli jste v článku chybu?
13. 3. 2013 19:02
PT (neregistrovaný)

Skutecne doporucuju venovat veci trochu cas a prislusne veledilo si precist. Zaujaly me nasledujici body:

1) Popis udalosti mi prijde jako by ho vytvarel nekdo na zaklade toho co si precetl v novinach.

2) Je pekne ze bylo odhaleno, ze utoky jsou ze site RETN, nicmene reakce z jejich strany zadna. Tedy nejak mi unika smysl vytvareni CSIRT tymu, kdyz presne to co CSIRT deklaruje, ze ma delat stejne neni schopen realne zajistit.

3) Pise se tam, ze spravci v sitich svou roli zvladali dobre - aby …

14. 3. 2013 10:39

Vzhledem k tomu, ze neexistuje neco jako neomezene systemove zdroje je nutne se s tim tak trosku smirit - vzdy bude existovat nejaky limit, jehoz prekonani bude znamenat problem. Pokud nekdo zautoci s cilem nekoho poskodit, je pravdepodobne, ze to nejake dopady mit bude - je to jen otazka toho, kolik prostredku utocnik vynalozi.