Hlavní navigace

Útok DoS mířil na několik českých webů, které Active 24 nesmí jmenovat

Marek Janouš

Útok do sítě Active 24 nebyl silný a dařilo se jej pohlcovat. Mířil na konkrétního zákazníka, kterého nelze jmenovat. Nejsou informace o možné souvislosti s potížemi platební brány „GP webpay“.

Včera vydal CSIRT.CZ stručnou zprávu o zaznamenaném probíhajícím útoku DoS. Ing. Tomáš Hála, „Linux Teamleader“ v hostingové společnosti Active 24, poskytl Lupě podrobnější popis případu, ve kterém ovšem vynechává to, co prozradit nemůže:

V naší síti jsme útok zaznamenali ve středu cca od 18.45 do 22 hodin a pak znovu ve čtvrtek ráno cca od 9 do 11.15. Útok se poté změnil na jiný typ, který probíhal přes HTTP, nebyl tak intenzivní a ustal kolem čtvrté ranní v pátek. Přijali jsme adekvátní protiopatření a naše služby nebyly nijak omezeny.

Útok mířil na jednu konkrétní IP adresu našeho hostingu, kterou sdílejí stovky zákazníků. Nešlo tedy o žádného velkého zákazníka jako v případě březnových útoků (tenkrát šlo o portál www.ihned.cz).

Známe web, na který útok cílil, ale prozatím tuto informaci nezveřejňujeme — nejprve věc řešíme přímo s naším zákazníkem.

Náš bezpečnostní tým ACTIVE24‑CSIRT útok analyzoval a dospěl k doméně fkfkfkfa.com, která byla k útoku zneužívána. Na náš podnět a na intervenci národního týmu CSIRT.CZ byla tato doména vyřazena z DNS. Není však vyloučeno, že se útok bude opakovat s jinou doménou.

K nám přicházel zejména přes zahraniční linky, které zahltil a bylo nutné přistoupit k RTBH, na což máme zavedené postupy. Samotné síťové prvky naší infrastruktury neměly větší problém tento útok odbavit, respektive filtrovat. Částečně přicházel útok i přes NIX.CZ, zřejmě ze sítě RETN, ale domníváme se, že tato síť v útoku figuruje čistě jako tranzitní provider a není zdrojem útoku, navíc tato část útoku nebyla zdaleka tak významná. Roli RETN v něm bych tedy zbytečně nezveličoval.

Máme indicie, že minimálně středeční vlna útoku se týkala několika dalších českých společností peerujících v NIX.CZ, ale nemám svolení je zveřejnit a nemám k tomu jiné detaily než interní statistiky provozu v NIX.CZ, které jsou neveřejné.

Zajímavé je, že nás útok zastihl právě v době, kdy se účastníme cvičení obrany proti kybernetickým útokům „Cyber Coalition 2013“, které organizuje NATO a cvičení probíhá po celý tento týden.

Zároveň se potvrzuje užitečnost záměru NIX.CZ vybudovat takzvané bezpečné VLAN a možnosti RTBH na L2 v rámci NIXu — viz článek na Root.cz.

Jak už bylo řečeno dříve, jde o jiný typ útoku, než jaký byl použit v březnu. Tento útok zneužívá otevřené DNS resolvery nebo autoritativní DNS servery, které nemají implementovánu podporu response rate limiting. Princip spočívá v tom, že útok zesiluje původně malý datový tok (DNS dotaz) na výrazně větší (DNS odpověď) do takových hodnot, které jsou schopny zahltit prakticky jakoukoliv datovou linku. Ve světě byly zaznamenány útoky, které generovaly až stovky Gbps balastního provozu.

O možné souvislosti s problémy platební brány GP webpay nemáme žádné informace. Napovědět by mohlo, kdyby sama GP webpay zveřejnila technické detaily nebo je sdílela alespoň s národním týmem CSIRT.CZ.

My se snažíme maximum informací obratem sdílet, aby se správci jiných sítí mohli na případný útok připravit a zmírnit tak jeho následky a aby se mohly sbírat indicie k pátrání po skutečném zdroji útoku.

Našli jste v článku chybu?
Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

DigiZone.cz: R2B2 a Hybrid uzavřely partnerství

R2B2 a Hybrid uzavřely partnerství

DigiZone.cz: Optimedia: hybridní kampaň Nescafé

Optimedia: hybridní kampaň Nescafé

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru