Hlavní navigace

Útok DoS mířil na několik českých webů, které Active 24 nesmí jmenovat

Marek Janouš 29. 11. 2013

Útok do sítě Active 24 nebyl silný a dařilo se jej pohlcovat. Mířil na konkrétního zákazníka, kterého nelze jmenovat. Nejsou informace o možné souvislosti s potížemi platební brány „GP webpay“.

Včera vydal CSIRT.CZ stručnou zprávu o zaznamenaném probíhajícím útoku DoS. Ing. Tomáš Hála, „Linux Teamleader“ v hostingové společnosti Active 24, poskytl Lupě podrobnější popis případu, ve kterém ovšem vynechává to, co prozradit nemůže:

V naší síti jsme útok zaznamenali ve středu cca od 18.45 do 22 hodin a pak znovu ve čtvrtek ráno cca od 9 do 11.15. Útok se poté změnil na jiný typ, který probíhal přes HTTP, nebyl tak intenzivní a ustal kolem čtvrté ranní v pátek. Přijali jsme adekvátní protiopatření a naše služby nebyly nijak omezeny.

Útok mířil na jednu konkrétní IP adresu našeho hostingu, kterou sdílejí stovky zákazníků. Nešlo tedy o žádného velkého zákazníka jako v případě březnových útoků (tenkrát šlo o portál www.ihned.cz).

Známe web, na který útok cílil, ale prozatím tuto informaci nezveřejňujeme — nejprve věc řešíme přímo s naším zákazníkem.

Náš bezpečnostní tým ACTIVE24‑CSIRT útok analyzoval a dospěl k doméně fkfkfkfa.com, která byla k útoku zneužívána. Na náš podnět a na intervenci národního týmu CSIRT.CZ byla tato doména vyřazena z DNS. Není však vyloučeno, že se útok bude opakovat s jinou doménou.

K nám přicházel zejména přes zahraniční linky, které zahltil a bylo nutné přistoupit k RTBH, na což máme zavedené postupy. Samotné síťové prvky naší infrastruktury neměly větší problém tento útok odbavit, respektive filtrovat. Částečně přicházel útok i přes NIX.CZ, zřejmě ze sítě RETN, ale domníváme se, že tato síť v útoku figuruje čistě jako tranzitní provider a není zdrojem útoku, navíc tato část útoku nebyla zdaleka tak významná. Roli RETN v něm bych tedy zbytečně nezveličoval.

Máme indicie, že minimálně středeční vlna útoku se týkala několika dalších českých společností peerujících v NIX.CZ, ale nemám svolení je zveřejnit a nemám k tomu jiné detaily než interní statistiky provozu v NIX.CZ, které jsou neveřejné.

Zajímavé je, že nás útok zastihl právě v době, kdy se účastníme cvičení obrany proti kybernetickým útokům „Cyber Coalition 2013“, které organizuje NATO a cvičení probíhá po celý tento týden.

Zároveň se potvrzuje užitečnost záměru NIX.CZ vybudovat takzvané bezpečné VLAN a možnosti RTBH na L2 v rámci NIXu — viz článek na Root.cz.

Jak už bylo řečeno dříve, jde o jiný typ útoku, než jaký byl použit v březnu. Tento útok zneužívá otevřené DNS resolvery nebo autoritativní DNS servery, které nemají implementovánu podporu response rate limiting. Princip spočívá v tom, že útok zesiluje původně malý datový tok (DNS dotaz) na výrazně větší (DNS odpověď) do takových hodnot, které jsou schopny zahltit prakticky jakoukoliv datovou linku. Ve světě byly zaznamenány útoky, které generovaly až stovky Gbps balastního provozu.

WT100

O možné souvislosti s problémy platební brány GP webpay nemáme žádné informace. Napovědět by mohlo, kdyby sama GP webpay zveřejnila technické detaily nebo je sdílela alespoň s národním týmem CSIRT.CZ.

My se snažíme maximum informací obratem sdílet, aby se správci jiných sítí mohli na případný útok připravit a zmírnit tak jeho následky a aby se mohly sbírat indicie k pátrání po skutečném zdroji útoku.

Našli jste v článku chybu?
DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Lupa.cz: Jak důležitá je u firemních počítačů spotřeba?

Jak důležitá je u firemních počítačů spotřeba?

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Podnikatel.cz: Poslanci chtějí sebrat majetek Bakalovi

Poslanci chtějí sebrat majetek Bakalovi

Vitalia.cz: Když všichni seli řepku, on vsadil na dýně

Když všichni seli řepku, on vsadil na dýně

DigiZone.cz: Test: brýle pro virtuální realitu Exos Urban

Test: brýle pro virtuální realitu Exos Urban

DigiZone.cz: Pure má tři nové přijímače DAB

Pure má tři nové přijímače DAB

DigiZone.cz: O2 TV doplnilo kanály HBO v HD

O2 TV doplnilo kanály HBO v HD

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu