DDoS: 20 lat od pierwszego ataku

Czy nauczyliśmy się skutecznie bronić przed atakami odmowy dostępu do usługi (DDoS)?

22 lipca 1999 roku jest jedną z czarnych dat w historii Internetu. Tego dnia sieć komputerowa University of Minnesota została zaatakowana przez 114 innych komputerów zainfekowanych skryptem Trin00. Był to pierwszy szeroko znany atak typu DDoS. Od tego czasu ataki tego typu stały się najpopularniejszymi zagrożeniami sieci i systemów komputerowych, przed którymi muszą się chronić firmy, uczelnie i instytucje.

Dwadzieścia lat temu złośliwy kod spowodował, że zainfekowane komputery przesłały duże pakiety danych na serwer University of Minnesota, zapychając uniwersytecką sieć komputerową i powodując jej paraliż na ponad dwa dni. Skrót DDoS pochodzi od angielskiego określenia Distributed Denial of Service, co można przetłumaczyć jako rozproszona odmowa usługi. To jedna z najprostszych metod szeroko wykorzystywanych przez cyberprzestępców do blokowania internetowych serwisów i łączy internetowych. Pierwszy atak z użyciem skryptu Trin00 został przeprowadzony za pośrednictwem sieci zainfekowanych maszyn nazywanych „Masters” i „Daemons”. Cyberprzestępca wysłał instrukcje na kilka komputerów „Masters”, a te następnie przekazały instrukcje setkom komputerów „Daemons”, które zalały pakietami danych uniwersytecki adres IP. Z perspektywy zaatakowanej sieci widoczne były jedynie adresy IP demonów, których właściciele nie mieli pojęcia, że ich komputery zostały wykorzystane do ataku na amerykańską uczelnię.

Pod groźbą DDoS

Od tego momentu ataki DDoS stały się popularnym narzędziem wśród cyberprzestępców, którzy znaleźli łatwy sposób na wymuszanie pieniędzy od firm. Groźby ataku na ich strony internetowe nie są trudne do spełnienia. Oferty usług DDoS można znaleźć bez problemu w Darknecie, gdzie 24-godzinny atak DDoS na pojedynczy cel można zlecić już za 400 dolarów. Hakerzy uczynili z tego rodzaju ataków lukratywny biznes, a ofiarami ich ataków stały się m.in. tacy giganci jak Yahoo, Amazon i CNN, a nawet doskonale zabezpieczone serwery gier Sony, PlayStation Network, Battle.net, czy League of Legends. Każda z tych sieci została zalana pakietami danych, które uniemożliwiły jej obsługę klientów. Atak tego typu może narazić firmy na gigantyczne straty finansowe i wizerunkowe, dlatego szybko rozwija się rynek cyberochrony, który chroni przed tego rodzaju atakami. W 2018 roku wartość tego rynku szacowano na 2 miliardy euro.

Wszystko to rodzi ważne pytanie, czy można zrobić więcej, aby bronić się przed atakami DDoS. Narzędzia dostarczane przez wyspecjalizowane firmy sprawdzają się dość dobrze, jednak cyberprzestępcy szukają coraz to nowych sposobów na sparaliżowanie firm. I kolejne głośne ataki pokazują, że czynią to zabójczo skutecznie. Firmy nie powinny więc zastanawiać się, czy do ataku dojdzie, tylko kiedy.

Wezwanie do działania

Naturę ataków DDoS od lat badają naukowcy z George Mason University pod kierownictwem Erika Osterweila. Specjaliści podkreślają, że nie ma prostych rozwiązań, a rozwój internetu rzeczy oraz botów sprzyja bardziej złoczyńcom niż administratorom sieci. Oczywiście, administratorzy powinni korzystać z profesjonalnych cyberzabezpieczeń, dbać o regularne aktualizowanie i łatanie oprogramowania, oraz kształtować właściwe nawyki wśród użytkowników ich sieci. Ale to są podstawy, bez których nie sposób funkcjonować w świecie cyfrowym.

Szansę na poprawę bezpieczeństwa naukowcy widzą we współpracy dostawców usług internetowych. Siłą ataków DDoS jest to, że atak i obrona są asymetryczne. Atak DDoS jest zazwyczaj uruchamiany z wielu demonów na całym świecie, a tymczasem ofiara broni się w jednym miejscu – w zaatakowanym węźle. Naukowcy stawiają więc pytanie, czy można zmodyfikować sieci tak, aby zawierały rodzaj rozproszonej obrony przed tymi atakami. Dlatego jednym ze sposobów cyberobrony może być zaangażowanie dostawców usług internetowych w filtrowanie fałszywych pakietów danych. Innym pomysłem jest śledzenie pakietów danych podczas podróży przez Internet. Każdy dostawca usług internetowych może oznaczyć próbkę pakietów danych. Pozwoliłoby to ofiarom i organom ścigania śledzić źródło ataku, nawet po jego zakończeniu.

W jedności siła, dlatego te i inne pomysły mogą sprawić, że Internet stanie się bezpieczniejszym miejscem. Naukowcy wzywają do działania, jednak na razie lepiej mobilizują się mistrzowie zła i ich demony.