Sdružení CZ.NIC, které provozuje bezpečnostní tým CSIRT.CZ, dnes vydalo oficiální zprávu (PDF, 126 KB), rekapitulující útoky, kterým v průběhu minulého týdne čelily postupně zpravodajské servery, Seznam.cz, banky a telekomunikační operátoři.
Zatím podle ní není zřejmé, zdali se jednalo o DDoS či DoS útok. Už v pondělí přitom Ondřej Filip, předseda sdružení CZ.NIC, naznačil, že útok mohl být veden z jednoho centra.
V průběhu útoků se obecně hovořilo o útocích typu DDOS (Distributed Denial of Service). V současné chvíli, kdy máme soustředěno velké množství informací a souvisejících dat, není zcela jasné, jestli útok byl opravdu typu DDOS nebo DOS. Většina útoků byla soustředěna na www služby.
Zpráva také připomíná, že většina toku při útocích přicházela přes ruskou síť RETN, která ale se zástupci CSIRTu či tuzemských ISP zatím příliš nekomunikuje.
Většina toku při útocích přišla přes síť RETN (http://www.retn.net/en/). Ačkoliv napadené strany, ISP i CSIRT.CZ zkoušeli kontaktovat provozovatele této sítě, nepodařilo se nikomu získat relevantní pomoc (data, zablokování útočníků). Je přitom pravděpodobné, že RETN disponuje daty, která by mohla pomoci blíže specifikovat útočníka (MRTG grafy provozu, poměr odeslaných paketů vs tok atd.)
Autoři zprávy tvrdí, že útoky měly poměrně slabý charakter, minimálně z pohledu ISP, kteří s útokem měli problém pouze ve vztahu ke koncovým sítím.
Útok svou silou nijak neohrožoval chod páteřních sítí providerů a jejich infrastrukturu. Podle dostupných informací hovoříme o datových tocích do 1Gbps (maximální zaznamenaný tok 1,5 mil. paketů za sekundu). Útoky způsobily problémy až v koncových sítích.
Zpráva také odhalila, že se útoky ve většině případů nedostaly ani k cílovému serveru, což však nemění nic na skutečnosti, že útok odhalil slabá místa v síťové architektuře koncových sítí.
Podle informací, které máme k dispozici, se ve většině případů útok ani k cílovému serveru nedostal, ale přetížil systém před – obvykle firewall, load balancer nebo podobné zařízení. Zcela nepopiratelně útoky odhalily řadu slabých míst v síťové architektuře koncových sítí.
Rekapitulace:
čtvrtek 7.3. – DDoS útok zasáhl weby mobilních operátorů, na možný atak se chystají i e-shopy
středa 6.3. – Weby českých bank ochromil DDoS útok, NBÚ žádá od postižených data
úterý 5.3. – DDoS útoky pokračují, jejich cílem se stal Seznam.cz
pondělí 4.3. - Česká média zaplavily vlny DDoS útoku, přicházel z Ruska
Zdroj: Rekapitulace (D)DOS útoků ze dnů 4. 3. – 7. 3. (PDF, 126 KB)