211service.com
Pirmais DDoS uzbrukums notika pirms 20 gadiem. Tas ir tas, ko mēs esam iemācījušies kopš tā laika.
Tehnikas kundze; dators: Wikimedia commons
1999. gada 22. jūlijs ir draudīgs datums skaitļošanas vēsturē. Tajā dienā datoram Minesotas Universitātē pēkšņi tika uzbrukts 114 citu datoru tīkls, kas bija inficēts ar ļaunprātīgu skriptu Trin00.
Šis kods lika inficētajiem datoriem nosūtīt universitātei liekas datu paketes, pārslogojot tās datoru un neļaujot tai apstrādāt likumīgus pieprasījumus. Tādā veidā uzbrukums uz divām dienām izsita universitātes datoru.
Šis bija pasaulē pirmais izplatītais pakalpojuma atteikuma (DDoS) uzbrukums. Taču nepagāja ilgs laiks, līdz taktika izplatījās. Nākamajos mēnešos par upuriem kļuva daudzas citas vietnes, tostarp Yahoo, Amazon un CNN. Katra tika pārpludināta ar datu paketēm, kas neļāva tai pieņemt likumīgu trafiku. Un katrā gadījumā ļaunprātīgās datu paketes nāca no inficētu datoru tīkla.
Kopš tā laika DDoS uzbrukumi ir kļuvuši izplatīti. Ļaunprātīgi dalībnieki arī veic ienesīgu darījumu, izspiežot aizsardzības naudu no vietnēm, kurām viņi draud uzbrukt. Viņi pat pārdod savus pakalpojumus tumšajā tīmeklī. 24 stundu DDoS uzbrukums vienam mērķim var maksāt tikai 400 USD.
Taču upura izmaksas var būt milzīgas, jo tiek zaudēti ieņēmumi vai sabojāta reputācija. Tas savukārt ir radījis kiberaizsardzības tirgu, kas aizsargā pret šāda veida uzbrukumiem. 2018. gadā šī tirgus vērtība bija satriecoši 2 miljardi eiro. Tas viss rada svarīgu jautājumu par to, vai var darīt vairāk, lai aizsargātos pret DDoS uzbrukumiem.
Šodien, 20 gadus pēc pirmā uzbrukuma, Ēriks Osterveils no Džordža Meisona universitātes Virdžīnijā un kolēģi pēta DDoS uzbrukumu būtību, to attīstību un to, vai tīkla arhitektūrā ir pamata problēmas, kas jārisina, lai padarītu to drošāku. Viņi saka, ka atbildes nebūt nav viennozīmīgas: lētu, kompromitējamu robotprogrammatūras ainava ir kļuvusi tikai auglīgāka ļaundariem un vairāk kaitē interneta pakalpojumu operatoriem.
Vispirms nedaudz fona. DDoS uzbrukumi parasti attīstās pakāpeniski. Pirmajā posmā ļaunprātīgs iebrucējs inficē datoru ar programmatūru, kas paredzēta izplatīšanai tīklā. Šis pirmais dators ir pazīstams kā galvenais dators, jo tas var kontrolēt visus nākamos datorus, kas kļūst inficēti. Pārējie inficētie datori veic faktisko uzbrukumu un ir pazīstami kā dēmoni.
Parasti upuri šajā pirmajā posmā ir universitāšu vai koledžu datortīkli, jo tie ir savienoti ar plašu citu ierīču klāstu.
DDoS uzbrukums sākas, kad galvenais dators nosūta dēmoniem komandu, kas ietver mērķa adresi. Pēc tam dēmoni uz šo adresi sāk sūtīt lielu skaitu datu pakešu. Mērķis ir apgrūtināt mērķi ar satiksmi uzbrukuma laikā. Mūsdienās lielākie uzbrukumi sūta ļaunprātīgas datu paketes ar ātrumu terabiti sekundē.
Uzbrucēji bieži dara daudz pūļu, lai slēptu savu atrašanās vietu un identitāti. Piemēram, dēmoni bieži izmanto paņēmienu, ko sauc par IP adreses viltošanu, lai slēptu savu adresi internetā. Arī galvenos datorus var būt grūti izsekot, jo tiem ir jānosūta tikai viena komanda, lai izraisītu uzbrukumu. Un uzbrucējs var izvēlēties izmantot dēmonus tikai valstīs, kurām ir grūti piekļūt, lai gan tie paši var atrasties citur.
Aizstāvēties pret šāda veida uzbrukumiem ir grūti, jo tam ir nepieciešama dažādu operatoru saskaņota darbība. Pirmā aizsardzības līnija ir vispirms novērst dēmonu tīkla izveidi. Tas prasa, lai sistēmas administratori regulāri atjauninātu un labotu izmantoto programmatūru un veicinātu labu higiēnu sava tīkla lietotāju vidū, piemēram, regulāri mainot paroles, izmantojot personiskos ugunsmūrus un tā tālāk.
Interneta pakalpojumu sniedzēji var arī nodrošināt zināmu aizsardzību. Viņu loma ir datu pakešu pārsūtīšanā no vienas tīkla daļas uz citu atkarībā no adreses katras datu paketes galvenē. Tas bieži tiek darīts, maz vai neņemot vērā datu paketes izcelsmi.
Bet tas varētu mainīties. Galvenē ir ne tikai mērķa adrese, bet arī avota adrese. Tātad teorētiski interneta pakalpojumu sniedzējs var pārbaudīt avota adresi un bloķēt paketes, kurās ir acīmredzami viltoti avoti.
Tomēr tas ir skaitļošanas ziņā dārgi un laikietilpīgi. Tā kā interneta pakalpojumu sniedzēji ne vienmēr ir DDoS uzbrukuma mērķi, viņiem ir ierobežots stimuls izmantot dārgas mazināšanas procedūras.
Visbeidzot, pats mērķis var veikt pasākumus, lai mazinātu uzbrukuma sekas. Viens acīmredzams solis ir filtrēt sliktās datu paketes, tiklīdz tās tiek saņemtas. Tas darbojas, ja tos ir viegli pamanīt un ja ir pieejami skaitļošanas resursi, lai tiktu galā ar ļaunprātīgas trafika apjomu.
Taču šie resursi ir dārgi, un tie ir pastāvīgi jāatjaunina ar jaunākajiem draudiem. Lielāko daļu laika viņi sēž neizmantoti un sāk darboties tikai tad, kad notiek uzbrukums. Un pat tad viņi var netikt galā ar lielākajiem uzbrukumiem. Tāpēc šāda veida mazināšana ir reti sastopama.
Vēl viena iespēja ir problēmas risināšanai uzticēt mākoņpakalpojumu, kas ir labāk aprīkots, lai novērstu šādus draudus. Tādējādi tiek centralizētas DDoS mazināšanas problēmas tīrīšanas centros, un daudzi no tiem tiek galā labi. Bet pat viņiem var rasties grūtības tikt galā ar lielākajiem uzbrukumiem.
Tas viss liek uzdot jautājumu, vai var paveikt vairāk. Kā var uzlabot mūsu tīkla infrastruktūru, lai risinātu principus, kas nodrošina DDoS problēmu? jautājiet Osterveilam un citiem. Un viņi saka, ka pirmā uzbrukuma 20. gadadienai vajadzētu piedāvāt labu iespēju sīkāk izpētīt problēmu. Mēs uzskatām, ka ir jāizpēta, kādi pamati ļauj un saasina DDoS, viņi saka.
Viens svarīgs novērojums par DDoS uzbrukumiem ir tas, ka uzbrukums un aizsardzība ir asimetriskas. DDoS uzbrukums parasti tiek palaists no daudziem dēmoniem visā pasaulē, tomēr aizsardzība lielākoties notiek vienā vietā — mezglā, kas tiek uzbrukts.
Svarīgs jautājums ir par to, vai tīklus varētu vai vajadzētu modificēt, lai ietvertu sava veida izkliedētu aizsardzību pret šiem uzbrukumiem. Piemēram, viens no turpmākajiem virzieniem varētu būt atvieglot interneta pakalpojumu sniedzējiem viltotu datu pakešu filtrēšanu.
Vēl viena ideja ir nodrošināt datu pakešu izsekojamību, kad tās ceļo pa internetu. Katrs interneta pakalpojumu sniedzējs varētu atzīmēt datu pakešu paraugu — iespējams, vienu no 20 000 — to maršrutēšanas laikā, lai vēlāk varētu rekonstruēt viņu ceļojumu. Tas ļautu cietušajam un tiesībaizsardzības iestādēm izsekot uzbrukuma avotam pat pēc tam, kad tas ir beidzies.
Šīs un citas idejas var padarīt internetu par drošāku vietu. Bet viņiem ir nepieciešama vienošanās un vēlme rīkoties. Osterveils un kolēģi uzskata, ka ir pienācis laiks rīkoties: šis ir aicinājums rīkoties: pētnieku kopiena ir mūsu labākā cerība un vislabāk kvalificēta, lai pieņemtu šo aicinājumu.
Atsauce: arxiv.org/abs/1904.02739 : DDoS 20 gadi: aicinājums uz rīcību