DDoS – definicja dla nietechnicznych

cyberataki
DDoS
Krzysztof Surgut
19.06.2015 Krzysztof Surgut

W mediach coraz częściej pojawia się informacja o atakach hakerskich. Powoli liderem stają się ataki określane skrótem DoS lub DDoS. Wiele osób niezwiązanych ze światem informatycznym zadaje mi pytanie:


Co to jest atak DDoS?


Już sam sposób wymawiania tego skrótu jest różny, raz słyszę [didos], innym razem [dedos], a ostatnio nawet [dedeos].

Wikipedia pod skrótem atak DDoS ma zapisane: (ang. Distributed Denial of Service – rozproszona odmowa usługi) – atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów, przeprowadzany równocześnie z wielu komputerów (np. zombie).

Ale co to oznacza w praktyce i na czym to tak naprawdę polega?

Ale tak na “chłopski rozum”, jak dla ośmiolatka. Postaram się krótko i precyzyjnie opisać atak DDoS, w wersji bardziej ze świata realnego niż Internetu – w nawiasach podaję odpowiedniki ze świata cyberprzestrzeni.

Wyobraźmy sobie sklep, najlepiej HipermarketDrzwi (łącze internetowe), przez które wchodzą i wychodzą Klienci (przesyłane są pakiety informacji i otwierają się strony WWW sklepu internetowego).

Wejścia pilnują Ochroniarze (firewall’e), którzy obserwują wchodzących i wypatrują “intruzów/złodziei” (analizują sesje komputerowe i wyszukują oznak, że to są próby ataków hakerskich).

Jakie są “słabe punkty” takiego Hipermarketu (sklepu internetowego)?

  • Hipermarket (sklep internetowy) musi obsłużyć określoną liczbę klientów, w przeciwnym wypadku będzie generował realną stratę – każda nieudana transakcja zakupowa Klienta oznacza rzeczywistą stratę pieniędzy,
  • Klienci Hipermarketu muszą być obsłużeni w odpowiednio krótkim czasie, w przeciwnym razie zaczną się denerwować lub pójdą do innego hipermarketu (sklepu internetowego),
  • Ochroniarze pilnujący wejścia do Hipermarketu mają ograniczoną podzielność uwagi (firewall’e mają ograniczone możliwości monitorowania ruchu internetowego),
  • Ochroniarze potrafią zidentyfikować tylko niektórych intruzów/złodziei – typują ich po specyficznym zachowaniu, ubiorze czy porównują ich twarze z bazą danych przestępców (firewall potrafi rozpoznać tylko ograniczone rodzaje ataków hakerskich, ma dostęp do wybranych sygnatur ataków, itd.),
  • przez wejście do Hipermarketu, w tym samym momencie, może przejść ograniczona liczba klientów – ograniczeniem jest wielkość i przepustowość Drzwi (łącze internetowe sklepu internetowego może przepuścić tylko określoną liczbę danych w danym momencie).


Jak w praktyce wygląda atak hakerski DDoS na Hipermarket (sklep internetowy)?


Wyobraźmy sobie, że konkurencja Hipermarketu postanowiła utrudnić mu życie i sprawić, że Klienci będą niezadowoleni, a tym samym poszukają innego hipermarketu (sklepu internetowego).

Samo wysłanie “intruzów/złodziei” do takiego Hipermarketu raczej nie przyniesie dużego efektu. Ochroniarze (firewall’e) mają wystarczająco dużo czasu na wypatrzenie takich delikwentów, przyglądnięcie się im i uruchomienie procedur związanych z ochroną (firewall ma dość czasu na analizę wszystkich danych przechodzących przez łącze internetowe i ich weryfikację oraz ma możliwość uruchomić wszystkie mechanizmy obronne).

Atak DDoS jest dużo bardziej “toporny” w swojej idei, niż próba włamania czy kradzieży towaru (danych). Zadaniem ataku DDoS jest sprawienie, aby realni Klienci, chcący zrobić zakupy w Hipermarkecie (sklepie internetowym), nie mieli takiej możliwości.

Tutaj pojawiają się 2 podstawowe scenariusze takiego ataku DDoS.

Atak na Wejście

W przypadku takiej formy ataku DDoS celem są Drzwi (łącze internetowe) do Hipermarketu. Atak polega na skierowaniu do wejścia Hipermarketu (na łącze internetowe) tak dużej ilości „fałszywych Klientów”, aby wejście przestało spełniać swoją funkcję – realni Klienci nie mogą dostać się do środka, ponieważ „nie mieszczą się” już w Drzwiach (wysyłanie takiej ilości danych, aby łącze internetowe wysyciło się, czyli nie było w stanie przyjąć większej ilości danych).

Tutaj jest parę metod “ściągania fałszywych Klientów” (masowe wysyłanie pakietów danych na łącze internetowe) – np. wystarczy wysłać do okolicznych mieszkańców informację, że w Hipermarkecie “rozdają towar za darmo dla co 100-nego Klienta”. Wtedy każdy z tych mieszkańców powiadomi wszystkich swoich znajomych i rodzinę o takiej akcji i wszyscy razem ruszą do Drzwi wejściowych Hipermarketu (w sieciach komputerowych stosuje się tak zwany efekt wzmacniania pakietów, gdzie wysyłając jeden pakiet, zwrotnie otrzymuje się nawet 1000-razy więcej). Każdy z przybyłych będzie stał przy wejściu, tłoczył się i odliczał wchodzących Klientów.

Efekt takiego działania?

Wejście do Hipermarketu (sklepu internetowego) staje się zatłoczone. Ochroniarze mają pełne ręce roboty (firewall’e działają często na granicy swoich technicznych możliwości), tym samym ich czujność i jakość działania jest mocno ograniczona, a w przypadku dużego natłoku praktycznie nieskuteczna – to daje okazje do realnej kradzieży towaru z Hipermarketu. Ale to osobny wątek takiego scenariusza, gdy atak DDoS jest jedynie po to, aby ukraść coś z Hipermarketu (włamać się do sieci komputerowej czy systemu komputerowego), bądź zająć Ochroniarzy, aby przeprowadzić inne działanie (hakerskie).

Jeżeli Ochroniarze nie mają przygotowanych scenariuszy działania na taką sytuację natłoku, to najczęściej przestają spełniać swoją funkcję (firewall wyczerpuje swoją moc obliczeniową i przepuszcza wszystkie informacji bez weryfikacji).

Co to oznacza dla realnych Klientów hipermarketu?

Przychodzą do “swojego Hipermarketu” i zastają olbrzymią kolejkę przy Drzwiach („zatkane” łącze internetowe). Stają na końcu kolejki i po jakimś czasie rezygnują, aby do niego wejść (sesja internetowa Klienta przeterminowuje się, co oznacza że strona WWW sklepu internetowego nie otwiera się).

Jednocześnie cała gawiedź, która przyszła do Hipermarketu z powodu “promocji” nie robi żadnych zakupów, tylko czeka i obserwuje – po pewnym czasie odchodzi (sesje internetowe przeterminowują się, a realnemu użytkownikowi nie otwiera się strona WWW sklepu internetowego).

Po jakimś czasie, realny Klient Hipermarketu próbuje ponownie dostać się do “swojego Hipermarketu”. Historia się powtarza – staje w kolejce, po czym rezygnuje (sesja przeterminowuje się i strona WWW sklepu internetowego nie otwiera się).

Co w takim wypadku robi realny Klient Hipermarketu?

Idzie do innego hipermarketu (sklepu internetowego) i robi tam swoje zakupy. W dodatku jest tak rozgoryczony faktem niedostania się do “swojego Hipermarketu”, że przestaje go lubić i kolejne zakupu robi w konkurencyjnym hipermarkecie.

Atak na Sprzedawcę

Niedopuszczenie do obsługi realnych Klientów wcale nie musi oznaczać tłoku przy Drzwiach do Hipermarketu. Jest też inny rodzaj ataku – Atak na Sprzedawcę (atak DDoS typu Slow).

Zadaniem takiego ataku jest takie zaabsorbowanie uwagi Sprzedawcy (procesor i pamięć systemu komputerowego) Hipermarketu (sklepu internetowego), aby nie miał on czasu i/lub możliwości obsłużenia realnych Klientów.

Wyobraźmy sobie, że konkurencja wysyła do Hipermarketu specjalnie przeszkolonych “fałszywych Klientów”, których zadaniem jest absorbowanie uwagi Sprzedawcy (procesor i pamięć systemu komputerowego), aby nie zdążył on obsłużyć realnych Klientów.

Jeżeli do Hipermarketu przeniknie odpowiednio duża liczba “fałszywych Klientów” to realny Klient będzie na straconej pozycji.

Wyobraźmy sobie “fałszywego Klienta”, który będzie mówił do Sprzedawcy – “A może mi Pani przynieść tamtą wersję produktu? O nie! Ta jest niedobra, może jednak tamta? No nie wiem”. A za chwilę, gdy pierwszy “fałszywy Klient” udaje zakup, kolejny “fałszywy Klient” dopytuje się u Sprzedawcy – “…a czy dostanę ten produkt w kolorze burgundowym, w rozmiarze XXX? NIE! To oburzające, jak Pani tak może odnosić się do Klienta…” itd.

W tym samym czasie realny Klient stoi grzecznie w kolejce i czeka na swoją kolej. Jednak ilość “fałszywych Klientów” jest tak duża, a jednocześnie ich aktywność tak absorbująca Sprzedawcę, że nie jest on w stanie obsłużyć realnego Klienta (strona WWW sklepu internetowego nie otwiera się lub działa bardzo, bardzo wolno).

Co robi realny Klient?

Złości się i wychodzi z Hipermarketu, nie robiąc żadnych zakupów.


Efekt DDoS


Jaki jest efekt obu typów ataków DDoS na Hipermarket (sklep internetowy)? Hipermarket nie sprzedaje, czyli ponosi stratę. Jak każdy sklep, także i Hipermarket musi przecież opłacać czynsz (łącze internetowe, moc obliczeniowa serwerów), Sprzedawców (prąd do systemów komputerowych, aktualizację oprogramowania), Ochroniarzy (informatycy oraz ich oprogramowanie) oraz wiele innych rzeczy. A atak DDoS sprawia, że na koniec całego procesu Hipermarket (sklep internetowy) nie może sprzedawać swoich produktów.

A teraz wyobraźmy sobie, że opisane wyżej ataki DDoS mogą trwać wiele dni lub tygodni, ponieważ koszt realizacji takich ataków DDoS jest bardzo niski. Można zadać sobie pytanie, po co ktoś atakuje Hipermarket (generuje ataki DDoS)? Ale odpowiedź na to pytanie to już osobne opowiadanie.

Krzysztof Surgut
Krzysztof Surgut krzysztof.surgut@dataspace.pl Przez ostatnie 15 lat współrealizował zaawansowane, ogólnopolskie projekty telekomunikacyjne i informatyczne (m.in. w Dialog, HAWE). Ekspert z zakresu systemów transmisji danych, VoIP, IPTV, systemów bezpieczeństwa oraz systemów radiowych. Współtwórca pierwszego w Polsce Scrubbing Center.
General
Atak DoS ma ponad 40 lat! Pierwszym był...
Bezpieczeństwo IT
Rośnie liczba cyberataków
   /   Bezpieczeństwo IT   /   DDoS – definicja dla nietechnicznych