Za kulisy událostí – Co minulý týden potkalo český internet, zažila ve větším měřítku už loni středoevropská investiční skupina Penta.
„S největší vlnou útoků jsme se potkali vloni v létě. Protože jsme registrováni na Kypru, máme řadu našich serverů umístěných na Kypru a náš poskytovatel internetu situaci neměl šanci zvládnout,“ vysvětluje Michal Pronay, šéf IT v Pentě. „Ve špičce se na nás valilo až 4,5 milionu paketů za vteřinu,“ popsal pro Insider.
IT oddělení Penty v prvé řadě posilovalo samozřejmě hardware a upravovalo software redakčního systému svého webu. „Nemusíte mít všechno dynamicky generované z databáze, ale do prvního útoku a velké zátěže na server to mnoho lidí neřeší,“ říká Pronay.
IT oddělení urychleně připravilo takzvaný crawler, který dynamický obsah překládá na statický, a pokud to jde, uživatelům podsouvá statickou verzi stránky. Tato metoda „cachování“ stránek je dnes i v řadě zdarma dostupných redakčních systémů (například Wordpress) vcelku běžná. Správci ji často nemají aktivní, protože ztěžuje ladění vzhledu a obsahu webu.
„Řada útočníků jen používala někým připravený script s grafickým rozhraním, do kterého se vyplnila adresa cíle, a script se staral o vygenerování zátěže. Tito útočníci v podstatě nebyli schopni se rychle a jednoduše adaptovat na změnu situace, takže se dal pomocí blokování IP adres částečně omezit jejich dopad. Nástroje na zvládnutí takové jednoduché první vlny DDoS útoků má v sobě dnes už řada chytřejších routerů,“ podotýká Pronay, ale také připouští, že ani to nestačilo.
Nakonec se Penta obrátila na specializovanou společnost, která se stará o obranu webových serverů před DDoS útoky. Kvůli referencím zvolili VistNet.
Metod ochrany, které VistNet a další podobné firmy nabízejí, je mnoho. Registrovat se lze online a základní verze ochrany vyjde na 200 dolarů měsíčně. Jedním z postupů je například vložení javascriptu, kdy servery VistNetu kontrolují dostupnost chráněné webové aplikace. Jakmile získají dojem, že je na ni veden útok, vloží před cílovou stránku něco na způsob vstupní stránky, která obsahuje uvítací text a požaduje jen kliknutí k tomu, abyste se dostali na cílovou stránku. Proč? Jednoduché DDoS útoky to zmate, neadaptují se na změnu podmínek, a útok tak zachytí vlastně servery vámi objednané záchranářské firmy.
Základem ale je přesměrovat DNS záznamy služeb, jež mají být chráněny, na IP adresy, které dodá firma. Její serverová farma umístěná v řadě páteřních uzlů (a často i v blízkosti útočících sítí) se pak stará o filtrování provozu. Oprávněné požadavky přepošle dále na servery zákazníka a to, co vyhodnotí jako útok typu DDoS, vyhodí. Server chráněného klienta přijímá jen požadavky z ochranné serverové farmy, vše ostatní může jeho firewall zahazovat (což mu jde většinou hodně rychle). Zabezpečení takto může fungovat jak pro nešifrované, tak (za určitých úprav) i pro zabezpečené HTTPS spojení.
Z toho je zřejmý potenciální problém. Pokud již útok probíhá nebo útočník zná skutečnou cílovou IP adresu serveru, který chce napadnout, protože měl možnost si ji předem zjistit, je těžké tento postup použít bez přerušení poskytování služby. Je nutné serveru přidělit novou IP adresu, která již bude před DDoS útokem chráněna, a staré „kompromitované“ se zbavit.
Ačkoliv si VistNet poradí s většinou běžných útoků, i tato služba je někdy krátká. To když útočí profesionálové a jdou nekompromisně za svým cílem. „Byl to útok ve dvou vlnách,“ vzpomíná na loňskou zkušenost Pronay. „V té první, zkušební vlně si jen osahali, jaké postupy ochrany VistNet používá. A v druhé vlně, která přišla záhy potom, službu vyřadili z provozu masivním útokem na její slabá místa. Ačkoliv útok nebyl směřovaný na nás, ale na jiného klienta služby, i my jsme byli nějakou dobu nedostupní, než dal VistNet situaci do pořádku.“ Tehdy ale služba zareagovala férově. Klientům v e-mailu vysvětlila, co se stalo, a načrtla opatření, které učiní, aby se příště nedalo této slabiny zneužít. A všem postiženým klientům přidala kredit na používání služby.
Útoky typu DDoS se staly běžnou součástí „podnikání“ na internetu, jeho šedé zóny. Ve světě je docela běžné, že provozovatelé e-shopů či třeba elektronických kasin a sázkových kanceláří se setkávají s vydíráním DDoS útoky nebo nátlakem vedeným touto formou. I proto se zvětšuje počet služeb, které nabízejí ochranu a zabezpečení. Také české weby si budou muset zvykat na to, že občas buďto nebudou úplně komfortně dostupné, nebo bude potřeba platit specialistům za používání sofistikované obrany tak, jako jsme si na osobních počítačích zvykli používat antiviry.
Patrick Zandl
Pozn. red.: Na úvodním obrázku vidíte, jak VistNet reaguje na typické DDoS útoky. Zdroj: vistnet.com
