“Atak na strony internetowe rządu i ministerstw w Holandii” (Onet), “Policja ma podejrzanego o ataki na Allegro” (TVN24), “Hakerzy zaatakowali strony internetowe straży miejskich w kilku miastach” (Gazeta Wyborcza). To tylko kilka nagłówków, które pojawiły się w mediach w ciągu ostatnich tygodni. Wszystkie historie łączy jedna cecha wspólna – serwisy zniknęły z sieci w wyniku ataku przy pomocy techniki DDoS. Co oznacza ten skrót?
Zbyt wielu klientów na raz
Pełne rozwinięcie to Distributed Denial of Service czyli rozproszona odmowa usługi. Ta technika jest dosyć często stosowana przez cyberprzestępców do paraliżowania stron www. Zasadę działania najłatwiej wyjaśnić przez analogię do niewielkiej restauracji. Gdy rośnie liczba klientów, właściciel jest zadowolony. Jednak jeśli w lokalu zjawi się kilkaset osób na raz, personel nie będzie w stanie ich obsłużyć i w praktyce restauracja przestanie działać.
Podobny zalew “klientów” czyli wizyt na danej stronie celowo wywołują cyberprzestępcy, stosując atak DDoS. Odwiedziny strony pochodzą od tzw. komputerów zombie. Maszyny zainfekowane złośliwym oprogramowaniem na dany sygnał próbują połączyć się ze wskazanym adresem, bez wiedzy swoich właścicieli. Serwer, na którym działa strona nie jest w stanie obsłużyć tak wielu zapytań i użytkownik, który chce odwiedzić witrynę, dostaje informację, że serwis jest niedostępny.
Każdy serwer w swej istocie jest komputerem podłączonym nieustannie do sieci
– tłumaczy Bartłomiej Juszczyk, właściciel marki hostingowej Group5. Na żądanie internauty przesyła pliki tworzące stronę www do przeglądarki. Kiedy zapytań jest za dużo, wyczerpuje się pamięć RAM i moc obliczeniowa procesora. Podobny efekt osiągniemy, kiedy na zwykłym komputerze uruchomimy zbyt wiele programów na raz. W końcu nie będzie w stanie ich obsłużyć.
W przypadku mniejszych serwisów, działających na hostingu współdzielonym, atak DDoS może w krótkim czasie wyczerpać limity parametrów, przyznanych przez firmę hostingową. Konto danego klienta jest automatycznie wyłączane, by zapewnić dostateczne zasoby pozostałym stronom, znajdującym się na serwerze. Właściciel zaatakowanej strony oprócz przerwy w działaniu serwisu zwykle musi liczyć się z dodatkowymi opłatami za przekroczenie limitu transferu.
Dla idei albo dla pieniędzy
Zwykle trudno ustalić kto daje sygnał do ataku na konkretną stronę, zdecydowanie łatwiej jest wskazać potencjalne ofiary. Pierwsza grupa to strony rządowe, witryny organizacji czy dużych firm, które są atakowane z powodów ideologicznych lub politycznych.
Druga grupa to serwisy e-commerce, dla których przerwa w działaniu strony jest szczególnie dotkliwa i wiąże się z utratą potencjalnych klientów. Im większa firma, tym prawdopodobieństwo ataku jest większe, chociaż nie zawsze właściciele małych przedsiębiorstw mogą czuć się bezpiecznie. Zdarza się, że strony są atakowane przez konkurencję lub byłych pracowników. W przypadku takich ataków motywem może być chęć zaszkodzenia firmie lub zwykły szantaż.
Zdarza się, że przed atakiem właściciel strony dostaje informację od cyberprzestępców o tym, że taki atak jest planowany. Anonimowy autor wiadomości żąda pieniędzy za odstąpienie od ataku lub – później – za jego zaprzestanie. Warto pamiętać, że takie działanie jest przestępstwem, ściganym przez prawo i warto każdą taką sytuację zgłaszać właściwym władzom.
Jak nie dać się atakowi zombie
Najłatwiej jest zabezpieczyć własny komputer, aby nie stał się narzędziem w rękach cyberprzestępców i nie posłużył do ataku. W tym celu wystarczy aktualizować oprogramowanie antywirusowe i unikać podejrzanych stron internetowych. Niestety, ochrona własnej strony internetowej przed atakiem DDoS nie jest już taka łatwa.
Podstawową ochronę dają zapory sieciowe, instalowane na serwerze. Ich zadaniem jest blokowanie ruchu, który zostaje zidentyfikowany jako budzący podejrzenia lub wykraczający poza normy. Ograniczeniem zapór jest fakt, że podczas ataku system potrafi zablokować dostęp prawdziwym użytkownikom, którzy po prostu chcą odwiedzić daną stronę.
Dobrym rozwiązaniem jest przygotowanie wersji strony www, zawierającej tylko podstawowe informacje. Taką “minimalistyczną” wersję strony, bez grafiki i innych plików wykorzystujących zasoby serwera, można uruchomić w razie ataku DDoS w miejsce głównego serwisu – tłumaczy Bartłomiej Juszczyk z Group5. Dzięki temu zmniejsza się ryzyko, że serwer zostanie przeciążony, a użytkownicy otrzymają informację, że strona działa, tylko ma przejściowe problemy. Prosta wersja witryny może przykładowo zawierać dane kontaktowe, pod którymi klienci mogą uzyskać dodatkowe informacje.
Kolejnym rozwiązaniem są tzw. mirrory czyli serwery lustrzane. Każdy z nich zawiera te same dane. Gdy ruch na stronie gwałtownie wzrasta, pliki są pobierane nie z jednego, ale z kilku serwerów. Dzięki temu transfer rozkłada się równomiernie pomiędzy maszynami i żaden z nich nie jest nadmiernie obciążony. Mirrory są stosowane nie tylko w celu ochrony przed atakami DDoS. Serwery lustrzane pozwalają na obsłużenie naturalnego ruchu na stronie, przykładowo w sytuacji, gdy wielu internautów chce jednocześnie pobrać duży plik.