Acest articol reprezintă punctul meu de vedere cu privire la două tipuri de atacuri DDoS, unul folosit în trecut şi celălalt în prezent.
Atacul DDoS – Distributed Denial of Service – reprezintă, de obicei, folosirea mai multor calculatoare (servere) infectate sau nu, pentru a lansa atacuri asupra potenţialelor ţinte cu scopul de a le bloca resursele, făcându-le indisponibile scopurilor pentru care au fost create.
Una din metodele DDoS din trecut, a fost atacul de tip “Supernova”, care exploata vulnerabilităţi ale hub-urilor dc++ neprotejate, adică te foloseai de userii care se aflau pe un hub fără acordul acestora, pentru a lansa atacuri flood de mare intensitate.
Pe la începuturi, hub-uri uriaşe din România erau vulnerabile: Cosmopolitan – peste 16.000 de useri, Bodega cu grătar – peste 10.000 de useri etc.
Dacă aveai o gândire malefică, luai progrămelul “Supernova”, încărcai o lista cu doar câteva astfel de hub-uri mari… şi puneai jos aproape orice site din România când acesta era “atins” de câteva zeci de mii de utilizatori.
Erai doar tu, o persoană, un singur calculator şi făceai pagube imense.
Atacurile dc++ şi-au pierdut din atractivitate, deoarece:
– în zilele noastre nu prea se mai găsesc hub-uri vulnerabile
– hub-urile şi-au pierdut mult din popularitate
Atacurile dc++ au fost şi rămân şi în zilele noastre unele din cele mai puternice tipuri de blocare distribuită a serviciului, după cum a demonstrat şi TK în urmă cu ceva timp, folosind exploituri noi şi acelaşi principiu.
O metodă a zilelor noastre de lansare a unor atacuri DDoS imense, este “Reflexia DNS”.
Cum funcţionează aceasta:
O să explic pe înţelesul tuturor, chiar dacă nu asta este metoda reală, ci principiul.
Să spunem că deschid CMD, adică apăsăm în Windows 7, XP etc butonul start, scriem cmd şi dăm click pe enter pentru a deschide Command Prompt. Mai departe dăm ping într-un site, de exemplu: ping cik.ro, după care primim răspuns.
În cazul atacurilor de tip reflexie DNS, acest răspuns este de 8 ori mai mare decât ce trimitem noi.
Dar ce se întâmplă când modificăm headerele IP şi interogăm serverele DNS ?
Păi răspunsul nu mai vine către noi, ci către ţinta aleasă, amplificat de 8 ori.
Un botnet (reţea de calculatoare infectate) care poate trimite, să zicem, o cantitate de 1 Gbps, cu ajutorul reflexiei DNS o să trimită 8 Gbps, o cantitate mult mai greu de filtrat.
Cel mai mare atac DNS de până acum a fost de peste 300 Gbps şi s-a îndreptat către un site care luptă împotriva spam-ului (Spamhaus). S-a vorbit că acest atac uriaş a încetinit Internetul, deoarece a afectat direct un provider Tier 1, adică una din reţelele care stau la baza lui.
Specialiştii nu au căzut de acord asupra cauzelor şi remediilor în cazul acestor atacuri:
Unii spun că de vină sunt servere DNS nesecurizate, alţii afirmă că trebuie cercetat mai la rădăcină şi dacă nu ar putea fi spoofate IP-urile, nu ar exista nici astfel de atacuri.
Ambele teorii sunt corecte şi până nu se va găsi o rezolvare, aceste atacuri vor creşte din ce în ce mai mult în intensitate.
Foto: Nick Hughes