Védekezés a DDoS támadás ellen
Mi az a DDoS támadás?
A DDoS a Distributed Denial of Service angol kifejezés rövidítése.
Egy az egyben magyarra fordítva nem túl értelmes “elosztott kiszolgálás megtagadás” fordítást kapjuk.
Épp ezért inkább ugy jellemeznénk ezt a támadási formát, hogy addig terhelni az erőforrásokat, amíg az elérhetetlenné nem válik.
A támadás célja:
A támadó célja rendszerint az, hogy egy adott szolgáltatás, ami jellemzően egy weboldal elérhetetlen legyen, lehetőleg minél hosszabb időre.
Jellemzően háromféle csoportot szoktak támadni.
1: Webáruházakat, ilyenkor a konkurencia úgy gondolja, hogy a versenytársak kiiktatásával piaci előnyhöz juthat.2: Választások közeledtével gyakori, hogy politikusok weboldalait támadják.
3: Az egész szervert: Feltételezhető, hogy ezeket a támadásokat más konkurens tárhelyszolgáltatók indítják, úgy gondolják, hogy a támadás hatására majd felmondanak az ügyfelek, és ebből ők majd nagyot kaszálnak. (persze ez csak feltételezés, közel sem biztos hogy ez a valóság)
A legtöbb ügyfél ezt elolvasva már nyugodtan hátra is dölne, hogy hol érdekel engem ez, hiszen nekem nincs webáruházam, és politikus sem vagyok.
Sajnos a helyzet nem ennyire egyszerű, mivel a tárhelyeket ugyanaz a szerver szolgálja ki, jó esély van arra, hogy egy nagyobb támadás esetén a többi ügyfél weboldalára is hatással van.
Jobb esetben csak lassulás tapasztalható, de rosszabb esetben akár elérhetetlenné válnak a weboldalak.
Sok esetben a támadók hülyeséget csinálnak, főleg ami a politikai indíttatású támadásokat illeti, hiszen szerverünkön nem csak egy párt képviselői bérelnek tárhelyet, hanem gyakorlatilag minden pártból van egy képviselő, vagy polgármester weboldala a szerverünkön.
Igy amikor az ellenzéket támadják, azzal együtt saját párttársuknak is problémákat okoznak ( a háborúban ezt hívják baráti tűznek)
Hogy kiviteleznek egy ilyen támadást:
Sajnos egy ilyen támadás kivitelezése viszonylag egyszerű, igaz egy alapszintű támadást visszaverni sem nehéz.
A dolog lényege, hogy a weboldal, vagy a szerver felé annyi kérést küldenek amennyit a szerver már nem tud teljesíteni.
Kéréseket küldeni, ugye nem nehéz, képzeljük el, hogy otthon vagyunk a párunkkal, és megkérjük, hozzon egy pohár vizet.
Ezt egyik félnek sem túl megterhelő teljesíteni. De egészen más a helyzet, ha másodpercenként kezdünk el kiabálni, hogy hozz egy pohár vizet. (és itt ebben az esetben a feladat akkor van elvégezve, ha ténylegesen oda hozták a pohár vizet)
Valószínű, hogy igen hamar elérjük azt a pontot amikor a kérést már nem fogja teljesíteni a párunk.
Ebből talán mindenki érzi, hogy kéréseket küldeni, sokkal egyszerűbb, sokkal kisebb terheléssel jár, mint teljesíteni azokat.
A támadók, ehhez hasonló kérésekkel bombázzák a szervert, másodpercenként akár több ezer kérést küldenek el.
Megfelelő védelem nélkül, akár 1db számítógéppel is térdre lehet kényszeríteni akár egy egész szervert.
Persze a támadok jellemzően nem 1db gépről támadnak, hanem 10-100 vagy akár több ezer gépről.
Ehhez sima otthoni számítógépeket fertőznek meg, a fertőzött gépek tagjai lesznek egy úgynevezett Zombi hálózatnak.
Ezek a hálózatok hierarchikus rendszerben épülnek fel. A támadó gépe, és a támadó gépek közé beiktatnak több vezér gépet.
A támadó a vezér gépeknek küld utasítást, akik utána a támadó gépeket utasítják az összehangolt támadásra.
A rendszer felépítésének köszönhetően, szinte lehetetlen kideríteni ki a tényleges támadó.
Hiába tesz valaki feljelentést a támadók ellen, ha a rendőrség fel is derti, hogy milyen IP címről érkezett a támadás, és kivonulnak egy lakásra, ott csak meglepődött embereket fognak találni, akiknek fogalmuk sincs hogy a miközben a youtubet nézték, vagy a Fortnite val játszott, közben a gépük épp weboldalakat támadott. Még ha a rendőrség ezeket a gépeket is átvizsgálja és sikerül kideríteni, hogy honnan kapta a gép a parancsot, az eredmény megintcsak egy gyanutlan átlag emberhez vezetne, akinek a legnagyobb bűne az, hogy a torrentről letöltötte Total_Commander_crack.exe fájlt, amivel a crackelés mellet sikeresen megfertőzte a saját gépét. De természetesen érkezhet levélben is a csali, régen sokan kattintottak rá linkekre amiket emailben kaptak, és híres emberek meztelen képeit ígérték cserébe.
A webáruház üzemeltetők és a politikusok építik ki a hálózatot?
Természetesen nem! De sajnos nem olyan nehéz igénybe venni a zombi hálózat gépeit. Aki tudja hol keresse, az könnyen találhat olyan hirdetéseket, ahol már akár pár dollárért vállalják, hogy a kívánt weboldalt megtámadják.
Az alábbi hirdetés legnagyobb csomagja kb: 18.000 Ft ért vállalja, hogy 3 órán keresztül támad egy megadott célpontot (weboldalt)
Természetesen, az is benne van a pakliban, hogy fizetünk de nem kapunk semmit, és még csak a rendőrségre sem mehetünk, hiszen mit mondunk nekik?
Épp egy konkurens weboldalt akartam megtámadni…. 
Mekkora a volt eddig a világ legnagyobb ilyen Botnet (zombi hálózata)?
A Necurs-t több mint 9 millió személyi számítógépből toborozták össze a kiberbűnözők, ezzel pedig a világ legnagyobb botnete volt. A csalók főleg személyes információk ellopására és hamis gyógyszerészeti e-mailek küldésére használták fel a hálózatot. A felderítése és ártalmatlanítása közel 8 évet vett igénybe, amibe a Microsoft is részt vett.
Egy ekkora hálózattal nem 1 szervert, és még csak nem is a teljes google hálózatát lehetne megbénítani, ezzel akár egy egész ország internet hálózata megbénítható lenne!
Védekezés a támadás ellen:
Talán a fenti leírásból is kiderült, hogy nem egyszerű védekezni egy ilyen támadás ellen. A védekezés sikerességét elsősorban a támadás nagysága határozza meg (hogy hány IP címről jön a támadás)
Sajnos a támadás sok esetben öngerjesztő is, mert ahogy elkezd lassulni a szerver a támadás miatt, ugy a normális látogatók akiknek lassabban töltődik be a weboldal mint a megszokott, újra és újra rákattintanak a frissítés gombra, ezzel ők maguk is részévé válnak a támadásnak. A rendszernek különbséget kell tudnia tennie, a valós látogatói kérés között és a támadó kérései között.
A védelem cégünknél 3 lépcsőben épül fel.
1: Clod linux – Ez az operációs rendszer nagyon pontosan képes szabályozni az erőforrás elosztást, épp ezért amennyiben a támadás egy domain név ellen irányul, az erőforrás szabályozás miatt, csak ezt a weboldalt fogja érinteni a folyamat, a többi weboldalnál nem jelentkezik semmilyen lassulás.
(Természetesen a szerver tűzfala ebben az esetben is kifejti a védelmi mechanizmust, és megpróbálja megakadályozni a támadást, a dolog lényege, hogy ezt a kisebb támadás, csak az adott tárhelyet érinti)
Sajnos sok esetben a támadok nem a domain nevet támadják, hanem az IP címet, ebben az esetben pedig minden tárhelyet érint a támadás.
2: Az imunify360 tűzfala, folyamatosan figyeli a szerverre érkező kéréseket, és amennyiben a kérések száma percenként átlépi az előre beállított értéket, egyből tiltólistára helyezi az IP címet. Emellett egy külső folyamatosan frissülő adatbázisból is elemzi az IP címeket. Ebben az adatbázisban olyan IP címek találhatóak amelyek korábban részt vettek ilyen támadásokban. Ezeket a címeket automatikusan tiltja a szerver.
3: Szerverterem: Nagyon nagy támadás esetén a szerverterem rendszerei is közbe avatkoznak, azt az internetes hálózatot ahonnan a támadás jelentős része érkezik lekapcsolják 1-2 órára. Sajnos ez egy nagyon drasztikus beavatkozás mert ebben az esetben nem csak a támadók nem érik el a szervert, hanem akár rendes látogatók sem. Szerencsére magyar internet hálózatokból viszonylag ritkán érkezik támadás, de azért volt már rá példa.
Itt azt kell megérteni, hogy két lehetőség közül lehet választani. És a kisebbik rossz az, hogy bizonyos hálózatokból elérhetetlenné válik a szerver.
1: Bizonyos hálózatokból nem érhető el a szerver (weboldal)
2: Semmilyen hálózatból nem lesz elérhető a szerver (weboldal).
Milyen gyakori egy ilyen támadás?
Régebben sokkal gyakoribb volt: 2008-2015 között évente akár 10-15 alkalommal is kaptunk támadásokat.
Szerencsére ma már egyre ritkább! Ez talán annak is betudható, hogy a politikusok többsége átköltözött a Facebookra, mivel ott sokkal könnyebb maguknak követőket szerezni, és azokat elérni.
Vagy az is lehet, hogy a webáruházak üzemeltetői rájöttek, hogy attól, hogy a konkurenciát megbénítják pár órára, nem fognak a bevételeik érezhetően növekedni, (főleg nem hosszútávon).
És talán azok a tárhely szolgáltatók is, akik ilyen támadásokkal próbáltak ügyfelekhez jutni, rájöttek, hogy ezzel a megoldással, nem lehet ügyfeleket szerezni. Ha fel is mondd 1-2 ügyfél, a támadás miatt, annak hogy az ügyfél a támadó céget válassza nagyon kicsi az esélye, hiszen csak Magyarországon több ezer cég foglalkozik tárhely szolgáltatással, világviszonylatban pedig több százezer. Azaz az ügyfélszerzésre az esély Magyarországon kb.: 5000:1 A támadó jobban jár ha a támadásra szánt pénzt reklámra költi.
Sajnos még igy is évente 2-4 támadás történik, szerencsére ezt ügyfeleink egyre kevésbé veszik észre.
