Hlavní navigace

Reálné ohrožení Internetu nebo novinářská kachna?

Michal Krsek 25. 10. 2002

V průběhu včerejška se i do českého agenturního zpravodajství dostala informace o tom, že DNS kořenové servery Internetu byly napadeny DDoS útokem. Raději ponechme bez dalšího komentáře zprávu ČTK, která je dost mimo. Ale co se vlastně stalo? Byl Internet ohrožen a kdo by za případný výpadek nesl zodpovědnost?

Co se vlastně stalo? V noci z pondělí na úterý našeho času se nějaký útočník pokusil pomocí DDoS útoku (útok, jež má za cíl znefunkčnit daný systém a který je veden z více – typicky desítek až desítek tisíc – počítačů) vyřadit z provozu DNS kořenové nameservery Internetu. Těchto serverů je třináct – z nich bylo sedm vyřazeno z provozu na tři hodiny, dostupnost služeb dalších dvou byla omezena, takže pouze čtyři si zachovaly plnou funkčnost. Vzhledem k funkcionalitě DNS systému byl dopad tohoto útoku na koncové uživatele marginální.

Přestože mluvíme o serverech, většina kořenových nameserverů je systémem několika počítačů, což zaručuje jednak potřebný výkon (jen systém „F“ zodpoví za den 272 milionů DNS dotazů) a jednak funkčnost v případě výpadku jednoho z počítačů. Důkazem může být právě nameserver „F“, jenž je provozován na dvou strojích HP v následující konfiguraci: HP ES40 AlphaServer, 4×500 MHz Alpha, 8 GB RAM. Kořenové servery jsou rozptýleny po celém světě – deset z nich je po celém území USA, dva jsou v Evropě (Londýn, Stockholm) a jeden v Japonsku (Tokio). Navíc konfigurace systémů jsou různé (většina jich běží na „velkých“ unixových strojích) – tudíž není možné útočit na jednu specifickou chybu.

Přestože je moderní navážet se do software, který DNS zabezpečuje, BIND (Berkeley Internet Name Domain server), útoky nebyly vedeny přes nějakou konkrétní chybu v implementaci, ale pomocí ICMP (služební protokol Internetu – zabezpečuje například funkčnost příkazů ping a traceroute). Přestože nejsou známy podrobnosti, ICMP útok je fakticky veden většinou na síťovou infrastrukturu v „okolí“ daných serverů, protože odfiltrování tohoto protokolu na nejbližším směrovači sice odlehčí serveru, který je obětí útoku, nicméně zatíží dotyčný směrovač tak, že faktická dostupnost služby pro koncové uživatele je stejně nulová. Pokud je takový útok dostatečně masivní, je třeba ho řešit společně s poskytovatelem (či poskytovateli) konektivity – proto odstranění následku trvá až hodiny.

Jak už bylo zmíněno výše, důsledky útoku pro koncové uživatele byly marginální. Podle odhadů provozovatelů obětí útoku zůstalo pouze 6 procent DNS dotazů nezodpovězeno, což je sice více než obvyklá nula, nicméně neodpovídá to faktu, že půlka systémů byla několik hodin mimo provoz. Ač to útočník pravděpodobně neměl v úmyslu, podařilo se mu prokázat robustnost uspořádání DNS. Toto uspořádání má kromě technických výhod i výhody „sociální“. Rozptýlenost tohoto systému po celé zeměkouli nabízí rozložení know-how – takže „ve službě“ je vždy nejméně jeden nejsilnější tým spravující daný systém.

Přestože se v minulosti vyskytly útoky na jednotlivé kořenové nameservery, byl pondělní útok nejrozsáhlejším v historii a také nejúspěšnějším (předchozím útočníkům se nikdy nepovedlo zastavit více než procento dotazů).

Výsledkem útoku bude podle mého názoru další posílení odolnosti infrastruktury kořenových nameserverů proti útokům, zcela podle pravidla – „Co tě nezabije, to tě posílí“. Takže se ani „uživatelé internetu“, ani ti, kteří si stále myslí, že Internet se píše s velkým „I“, nemusí bát.

Paradoxně jsou na celé věci nejsmutnější komentáře v agenturním zpravodajství v České republice.

Anketa

Povede se někdy vyřadit útokem z provozu všechny kořenové nameservery?

Našli jste v článku chybu?

29. 10. 2002 10:46

Bukovansky Richard (neregistrovaný)
No, ja osobne bych obavu mel, protoze to pry byl docela amatersky utok, takze od nejakych profiku DDoS-aru by se dalo ocekavat vetsi zahlceni serveru, ne-li jejich polozeni se...
Asi jsem paranoik...

28. 10. 2002 18:17

major Terazky (neregistrovaný)
Čo také si vojín Krsek predstavujetě pod slovom "marginální" :))
Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV

Podnikatel.cz: S.r.o. využívá cizí auto. Jak je to s daněmi?

S.r.o. využívá cizí auto. Jak je to s daněmi?

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?