DDoS útoky a projekt Fénix

Jistě se vám již stalo, že jste se nemohli dostat na nějaký web, případně jste slyšeli o tom, že byly některé webové stránky vyřazeny z provozu takzvaným DDoS útokem. Co to ale DDoS útoky jsou, kdo za nimi většinou stojí a proč jsou prováděny?

Již samotný název prozrazuje, jak se takový DDoS útok projeví. Jedná se o zkratku anglického sousloví "Denial of Service", tedy odmítnutí služby. Pokud je na server proveden daný útok, web přestane odpovídat, tedy poskytovat své služby. První "D" v názvu značí zkratku slova "Distributed" - to znamená, že útok provádí větší množství uživatelů zároveň.

Pokud se skupina pachatelů rozhodne zaútočit na server, domluví se, že daný web navštíví ve stejný moment. K DDoS útokům se ale dají využít i nedostatečně zabezpečené počítače nic netušících uživatelů. Takové počítače bývají již dopředu zavirovány – většinou takzvaným "backdoorem". Jedná se malware, který běžný uživatel jen ztěží rozpozná. Při podezření na infekci věnujte pozornost příznakům, jako je snížení výkonu procesoru, zhoršení přístupu na internet nebo problémové chování aplikací. Stoprocentní jistotou je ale vždy konzultace s IT profesionálem. Základním požadavkem bezpečnosti ale zůstává zabezpečený počítač a aktualizovaný antivirus.

Za pozornost stojí, že zejména v tomto roce se staly trendem i DDoS útoky, spuštěné velkým množstvím botnetů, tvořenými zranitelnými IoT (Internet of things) zařízeními. Do domácí sítě připojení kamery s defaultním nastavením, to je jako jít do lesa s medvědy potření medem.

Zahlcení serveru útočníkovy požadavky

Servery jsou dimenzovány na očekávanou zátěž. V průběhu DDoS útoků selhává komunikace, server nestihne odbavit kromě útočníkových i zákaznické požadavky. Některé servery v závislosti na konfiguraci přestanou zobrazovat stránky s obsahem nejen po dobu útoku, ale že některé jejich prvky zůstávají nefunkční i po jeho odeznění.

DDoS i DoS útoky jsou specifické zejména tím, že nejsou trestným činem ani ničím nelegálním. Útočníci se navštívením webu nedopouštějí trestné činnosti. Nedochází při něm ani ke zcizení či zneužití jakýchkoliv údajů – útočníci "jen" nadlimitně zahltí daný server. DDoS útoky jsou často dílem nejrůznějších aktivistů, kteří svými činy chtějí vyjádřit nesouhlas s provozovateli daných webů nebo s jejich obsahem. Může se ale také jednat například o formu konkurenčního boje. V zahraničí se dokonce objevily případy, kdy byl DDoS útok ve skutečnosti jakousi guerilla reklamou na anti-DoS produkt. Cílem DDoS útoků se ale stávají i zpravodajské servery nebo dokonce banky. Někdy je za zastavení DDoS útoku vyžadováno výkupné, v rámci zachování anonymity většinou v kryptoměně bitcoin.

Jak poznat, že se váš server stal předmětem DDoS útoku? Prvním a hlavním příznakem je pád serveru, nebo jeho výrazné zpomalení. Operační systémy Windows a Linux disponují službou Netstat, která vám pomůže zjistit, zda jste se stali oběťmi útoku. Stačí otevřít příkazový řádek a zadat výraz "netstat-an". DDoS útok poznáte podle výpisu IP adres, připojených do sousedících portů. Důležité je i sledování trafficu, který v případě DDoS útoku abnormálně narůstá.

Cloudové služby

Jak se proti DDoS útokům bránit? V IT světě bohužel platí, že jen máloco je stoprocentní. Velice důležitá je prevence. Nejmodernější routery dokáží automaticky rozpoznat abnormální chování v podobě nezvykle vysokého počtu požadavků a dokáží zablokovat přístup z dané adresy. Majitelé některých serverů se snaží DDoS útokům předcházet preventivním zablokováním přístupu z určitých zemí, například z Číny nebo Ruska. Vhodným krokem je i posílení výkonů serveru, tedy dimenzovat ho na dvoj- až trojnásobek běžného provozu. Toto opatření se vyplatí i u e-shopů, které bývají zatížené v době před vánočními svátky, nebo u zpravodajských serverů. Částečným řešením může být i využití cloudových služeb.

V případě již probíhajícího útoku je potřeba součinnost s vaším poskytovatelem připojení. Ten provede úkony, potřebné k tomu, aby byl provoz přesměrován a serverová kapacita posílena. Je-li útok veden ze zahraničí, dojde k odpojení zahraničních linek. Pochopitelně probíhá i snaha o rozpoznání zdroje a jeho přímou blokaci. Dále je možné vyřadit z provozu náročnější prvky webu a informovat návštěvníky o nedostupnosti.

V České republice vznikl v roce 2013 v odpovědi na masivní DoS útoky na významná česká média projekt Fénix. Zaštiťuje ho sdružení NIX.CZ - neutrální hardwarová platforma pro vzájemné propojování sítí v Internetu. Jak již název projektu napovídá, jeho cílem je pomoci povstat obětem DoS útoků z popela – tedy umožnit dostupnost internetových služeb subjektů, zapojených do této aktivity. Technicky je to velmi složité, ale zjednodušeně se vzájemně participující sítě propojují za předem daných podmínek tak, aby v případě masivního zahlcení sítě zdroj útoku koordinovaně odpojili a zajistili funkčnost „vnitřního internetu“ tak, aby většina provozu zůstala zachována.

Dalo by se říci, že se jedná o jakýsi elitní klub, ovšem v tom nejlepším smyslu slova. Členové musí splnit řadu administrativních i technických podmínek a celý projekt zároveň stojí na vzájemné důvěře a zapálení pro společnou věc. Členstvím v projektu Fénix tak provozovatelé nejen splní důležitý preventivní krok, ale také jim bude zaručeno, že v případě útoku nezůstanou na celý problém sami.