Hlavní navigace

Reálné ohrožení Internetu nebo novinářská kachna?

Michal Krsek

V průběhu včerejška se i do českého agenturního zpravodajství dostala informace o tom, že DNS kořenové servery Internetu byly napadeny DDoS útokem. Raději ponechme bez dalšího komentáře zprávu ČTK, která je dost mimo. Ale co se vlastně stalo? Byl Internet ohrožen a kdo by za případný výpadek nesl zodpovědnost?

Co se vlastně stalo? V noci z pondělí na úterý našeho času se nějaký útočník pokusil pomocí DDoS útoku (útok, jež má za cíl znefunkčnit daný systém a který je veden z více – typicky desítek až desítek tisíc – počítačů) vyřadit z provozu DNS kořenové nameservery Internetu. Těchto serverů je třináct – z nich bylo sedm vyřazeno z provozu na tři hodiny, dostupnost služeb dalších dvou byla omezena, takže pouze čtyři si zachovaly plnou funkčnost. Vzhledem k funkcionalitě DNS systému byl dopad tohoto útoku na koncové uživatele marginální.

Přestože mluvíme o serverech, většina kořenových nameserverů je systémem několika počítačů, což zaručuje jednak potřebný výkon (jen systém „F“ zodpoví za den 272 milionů DNS dotazů) a jednak funkčnost v případě výpadku jednoho z počítačů. Důkazem může být právě nameserver „F“, jenž je provozován na dvou strojích HP v následující konfiguraci: HP ES40 AlphaServer, 4×500 MHz Alpha, 8 GB RAM. Kořenové servery jsou rozptýleny po celém světě – deset z nich je po celém území USA, dva jsou v Evropě (Londýn, Stockholm) a jeden v Japonsku (Tokio). Navíc konfigurace systémů jsou různé (většina jich běží na „velkých“ unixových strojích) – tudíž není možné útočit na jednu specifickou chybu.

Přestože je moderní navážet se do software, který DNS zabezpečuje, BIND (Berkeley Internet Name Domain server), útoky nebyly vedeny přes nějakou konkrétní chybu v implementaci, ale pomocí ICMP (služební protokol Internetu – zabezpečuje například funkčnost příkazů ping a traceroute). Přestože nejsou známy podrobnosti, ICMP útok je fakticky veden většinou na síťovou infrastrukturu v „okolí“ daných serverů, protože odfiltrování tohoto protokolu na nejbližším směrovači sice odlehčí serveru, který je obětí útoku, nicméně zatíží dotyčný směrovač tak, že faktická dostupnost služby pro koncové uživatele je stejně nulová. Pokud je takový útok dostatečně masivní, je třeba ho řešit společně s poskytovatelem (či poskytovateli) konektivity – proto odstranění následku trvá až hodiny.

Jak už bylo zmíněno výše, důsledky útoku pro koncové uživatele byly marginální. Podle odhadů provozovatelů obětí útoku zůstalo pouze 6 procent DNS dotazů nezodpovězeno, což je sice více než obvyklá nula, nicméně neodpovídá to faktu, že půlka systémů byla několik hodin mimo provoz. Ač to útočník pravděpodobně neměl v úmyslu, podařilo se mu prokázat robustnost uspořádání DNS. Toto uspořádání má kromě technických výhod i výhody „sociální“. Rozptýlenost tohoto systému po celé zeměkouli nabízí rozložení know-how – takže „ve službě“ je vždy nejméně jeden nejsilnější tým spravující daný systém.

Přestože se v minulosti vyskytly útoky na jednotlivé kořenové nameservery, byl pondělní útok nejrozsáhlejším v historii a také nejúspěšnějším (předchozím útočníkům se nikdy nepovedlo zastavit více než procento dotazů).

EBF17

Výsledkem útoku bude podle mého názoru další posílení odolnosti infrastruktury kořenových nameserverů proti útokům, zcela podle pravidla – „Co tě nezabije, to tě posílí“. Takže se ani „uživatelé internetu“, ani ti, kteří si stále myslí, že Internet se píše s velkým „I“, nemusí bát.

Paradoxně jsou na celé věci nejsmutnější komentáře v agenturním zpravodajství v České republice.

Anketa

Povede se někdy vyřadit útokem z provozu všechny kořenové nameservery?

Našli jste v článku chybu?