"Mi čakamo. Prej ali slej bo naredil napako."
Z Gorazdom Božičem, vodjo slovenskega CERT, organizacije, ki spremlja in ukrepa ob internetnih napadih, smo se pogovarjali o napadih DDOS, orožjem zadnje vojne med podporniki in nasprotniki organizacije Wikileaks.
Za začetek morda - kaj sploh je napad DOS, kaj DDOS in kakšna je razlika med njima?
Zelo na kratko: DOS pomeni Denial Of Service, torej je to vsak napad, ki kakorkoli onemogoči računalnik, spletni strežnik ali kar infrastrukturo (usmerjevalnike, strežnike DNS ...). DDOS pa doda besedico Distributed, kar pomeni, da v takem napadu sodeluje več ali kar množica napadalcev.
Napadi DOS in DDOS v resnici niso nič novega, mar ne?
Seveda, eden prvih je bil kar zelo kratek programček v perlu, udp.pl, ki ga Google še danes brez težav najde. Začelo pa se je s Trinoo, TNT in Stacheldraht programi. Prvi napadi so temeljili na pošiljanju (pre)velikih paketov ICMP (te uporablja ping) in t. i. SYN flood, kjer so pošiljali množico paketov SYN, ne da bi čakali na odgovor (ACK). Zaradi tipične konfiguracije sistemov, spomnim se takratnih Solarisov, so strežniki zaradi prekoračitve medpomnilnika nehali delovati. Danes se večinoma uporabljajo napadi s (pre)velikimi paketi UDP, ki zasedejo vso pasovno širino do strežnika, in aplikacijski napadi, ki poskušajo z zahtevami preobremeniti sam strežnik.
Kakšni so sploh cilji takih napadov?
Različno, od medsebojnih napadov "mularije", za zabavo, do primerov, ko je v ozadju denar. Recimo spletne igralnice v Ameriki, ki so večinoma registrirane nekje "off shore", na Bahamih. Konkurenca je huda, zato se igralnice gredo DDOSanje konkurence. Po nekaj urah, ko je igralnica nedostopna, verjetno kar nekaj uporabnikov izgubi živce in se odloči za zamenjavo igralnice.
Ali pa naš, slovenski primer izpred nekaj let, ko se je tak boj vnel med dvema ponudnikoma igralnih strežnikov, ki sta za dostop (na črno, seveda) zaračunavala. Zaradi "zDOSanega" enega strežnika so se igralci preselili na drugega.
Kaj pa državno "DOSanje"?
V zadnjih napadih na Iran, kjer so bili cilj nuklearni objekti oz. organizacije, so zelo verjetno sodelovali Američani, da. No, tega seveda ni moč enostavno dokazati, čeprav je v preiskavi sodeloval tudi slovenski CERT. Si pa predstavljam, da bi bilo v primeru vojaškega napada ene države na drugo verjetno smiselno raziskati internetno strukturo napadenega in mu z natančno usmerjenimi "DDOS napadi" vsaj za nekaj časa ohromiti komunikacijsko infrastrukturo. Verjetno bi bilo smiselno napasti ključne usmerjevalnike na hrbtenici in DNS strežnike. Mimogrede, napadi DNS strežnikov so znani, tudi pri nas je bil pred leti DOSan SiOLov strežnik.
Več berite v januarski številki revije Monitor
