Największe ataki DDoS, czyli jak poradzić sobie z terabajtami zapytań na sekundę

Zacznijmy od historii z polskiego podwórka, gdzie Allegro walczyło DDoS-em już w 2013 roku. Polski gigant e-commerce zmagał się z powtarzającymi się sesjami ataków, które były wręcz książkowym przykładem wykorzystania botnetu do zaspamowania serwerów ofiary. Atakowany serwer Allegro przydzielał każdemu nowemu użytkownikowi jakąś część swoich zasobów. A że zapytania nie były liczone w tysiącach, a milionach to pamięć, czas procesora oraz pasmo sieciowe szybko się wyczerpywały.

Przedstawicielka serwisu wspominała, że ochrona przed atakami DDoS została już wcześniej zaplanowana, ale mimo zastosowanej tarczy nie udało się odfiltrować ruchu. A właśnie to jest kluczowym zadaniem w przypadku obrony przed DDoS-ami. Jednym z liderów polskiego rynku w tej sferze jest Exatel, który opracował autorską TAMĘ – oprogramowanie do rozdzielania ruchu bezpiecznego od tego nadchodzącego z komputera hakera. Kiedy to się powiedzie standardowy zwykli użytkownicy mogą się nawet nie zorientować, że ktoś atakuje czytaną przez nich stronę. Dodatkowo, taką ochronę można mieć już za nieco ponad tysiąc złotych miesięcznie.

Siła ataku, z którym zmagało się wówczas Allegro miała nie przekraczać 10 Gbps. Atak nie należał więc do szczególnie intensywnych, a mimo to pozbawił dostępu do aukcji znaczną część użytkowników. Za atak odpowiadać miała osoba ukrywająca się pod nickiem Infinity. Swoje usługi wyceniała na zaledwie 25 dol. za godzinę. A to bardzo mało w porównaniu do strat, jakie ponieść mogło Allegro. Właśnie ta dysproporcja pomiędzy kosztami ataku, a potencjalnymi stratami powinna skłonić zarządzających do zainwestowania odpowiednią ochronę.

Co ciekawe, Allegro niedawno padło ofiarą ogromnego zainteresowania użytkowników, które z przymrużeniem oka można potraktować jako DDoS. Przed dwoma laty w oficjalnym sklepie Huawei na Allegro pojawił się smartfon Honor 7C za złotówkę. Mega okazja! Oczywiście bardzo ograniczona, bo w sprzedaży było tylko 610 sztuk. Do sklepu rzuciło się jednak pół Polski. Chętni na zrobienie interesu życia odświeżali stronę co sekundę, więc ta wkrótce padła. I to nie tylko część dotycząca Huawei’a – niedostępna była cała platforma.

W ciągu kilkunastu sekund stronę z oferta próbowało obejrzeć prawie 600 tysięcy osób. Spodziewaliśmy się wzmożonego ruchu w związku z tą promocją, zresztą na co dzień na Allegro sprzedaje się ponad 1,2 miliona przedmiotów, więc jesteśmy przygotowani na duży ruch w serwisie, ale zainteresowanie klientów tą ofertą przeszło nasze oczekiwania – mówił wówczas Paweł Klimiuk, dyrektor komunikacji korporacyjnej Allegro.

W przypadku Allegro mówiło się o ruchu 6 gigabitów na sekundę. To jednak nic porównaniu z największym atakiem w historii Internetu, w którym serwery Githuba musiały się zmierzyć z ruchem rzędu 1,3 terabita na sekundę. Kolosalna różnica. Inny jest również wynik ataku. Amerykańska usługa, gdzie programiści dzielą się wytworami swojej pracy nie upadła pod naporem ataku. Z racji na ogromną intensywność trwał on jednak zaledwie 20 minut.

Atakujący zdołali osiągnąć tak kosmiczną intensywność ataku, dzięki wykorzystaniu podatności serwerów Memcached. Serwery te wspierają mechanizm buforowania danych, ale kiedy są niezabezpieczone i dostępne w publicznej sieci charakteryzują się wysyłaniem dużych odpowiedzi na stosunkowo małe zapytania. Testy pokazują, że na wysłaną wiadomość o wielkości 15 bajtów, odpowiadają pakietem o wielkości 750 kilobajtów! Tworzy to raj dla hakerów, którzy mogą podszyć się pod atakowany adres. W ten sposób wszystkie odpowiedzi trafiały na serwery Githuba, choć serwis wcale o nic nie pytał.

Idealnie sprawdziłaby się tu TAMA. Pośród wielu filtrów posiada ona także te zdolne obronić użytkowników przed atakami wykorzystującymi podatność Memcache.

Repozytorium programistów zaskakująco często trafiało na celownik hakerów. W 2015 roku pokazać swoją siłę chcieli chińscy hakerzy, nieoficjalnie wspierani przez rząd. Komunistyczni włodarze nie byli bowiem zadowoleni z faktu, że na Githubie znajdują się programy, pomagające w obchodzeniu cenzury, zwanej Wielką Chińską Zaporą.

Tym razem nie wykorzystano jednak sieci bezwolnych botnetów, a komputery użytkowników popularnej w Państwie Środka wyszukiwarki Baidu. Ta wstrzykiwała w przeglądarkę kod, który następnie wysyłał zapytania http na serwery Githuba. Atakujący mieli więc do dyspozycji miliony Chińczyków, którzy niczego nieświadomie wysyłali pakiety danych poza chińską Zaporę. Tym razem atak trwał kilka dni, kiedy Github był niedostępny dla użytkowników.

Dwa lata przed atakiem na Githuba, oczy świata przyciągnęła próba sprowadzenia do pionu usługi Spamhaus. Specjalizuje się ona w odsiewaniu spamerskich wiadomości z poczty mailowej, więc można się domyślać, że jej popularność była nie w smak grupom, które na spamie robiły interesy. To one najprawdopodobniej zleciły atak brytyjskiemu nastolatkowi, który był w stanie wygenerować ruch na poziomie 300 Gbps. Nie wyłączył on jednak Spamhausa z działania – ruch udało się bowiem bezpiecznie przekierować.

Ciekawych ataków jest znacznie więcej. W 2007 roku Rosja zaatakowała estońskie witryny należące do rządu. Bałtycki kraj już wtedy pozwalał swoim obywatelom na załatwianie ogromnej części swoich sprawunków przez sieć, więc atak był szczególnie dotkliwy.

Właśnie tak wrażliwa infrastruktura powinna być szczególnie chroniona. W Polsce odpowiada za nią Exatel, który – oprócz nadzoru nad siecią OST112 (z której korzysta policja, straż pożarna czy pogotowie ratunkowe) - w swoim portfelu klientów posiada m.in. Ministerstwo Spraw Wewnętrznych i Administracji, Ministerstwo Obrony Narodowej oraz jednostki administracji publicznej takie jak: urzędy marszałkowskie i wojewódzkie, starostwa oraz urzędy miejskie.

Nie zawsze jednak atak motywowany jest kwestiami politycznymi, a jego celem są usługi strategiczne. Świetnym tego przykładem jest pierwszy atak DDoS na dużą skalę. Ochrzczono go mianem Mafiaboy’a – od nicka 15-latka, który w 2000 roku postanowił zaatakować witryny Yahoo, eBay’a czy CNN. Samodzielnie wyszukiwał podatne komputery, a następnie dodawał je do rosnącego w siłę botnetu. Jego atak spowodował wielomilionowe straty i długą niedostępność części witryn. Mafiaboy zyskał jednak ogólnoświatową sławę.

Właśnie ta sytuacja pokazuje, że nawet kiedy strona nie angażuje się w spory ideologiczne czy państwowe, to może się stać ofiara ataku dla żartu. Hakerzy lubią przechwalać się swoimi umiejętnościami i udowadniać, że mogą pokrzyżować szyki nawet największym. Dlatego dobrze mieć po swojej stronie „dobrych hakerów”. Tak zwane „białe kapelusze” od lat ulepszają zabezpieczenia, aby surfowanie po internecie pozbawione było odmów dostępu, a ruch komputerów-zombie nie przeszkadzał prawdziwym użytkownikom.

*Tekst powstał we współpracy z Exatelem.