Mi az a DDoS?

Ahhoz, hogy megértsük az elosztott szolgáltatásmegtagadásos támadásokat, nézzük, hogy mi okozhatja egy rendszer túlterhelődését és hogyan használják ki ezt a támadók a DDoS során.  

Túlterhelés során olyan sok lekérdezést intéznek az informatika szolgáltatás felé, amelyeket kapacitás hiányában nem képes már elvégezni, így a nyújtott szolgáltatás akadozni fog vagy teljesen leáll és elérhetetlenné válik a felhasználók számára. 

Kapcsolódó

Egy példán keresztül bemutatva ezt úgy kell elképzelni, mint a csatornarendszert Budapest alatt, amely normál körülmények között tökéletesen képes elvezetni az esővizet. Ám egy villámárvíz eseten, amikor hirtelen nagy mennyiségű, gyorsan érkező csapadék kerül a vízelvezető csövekbe,  túlterhelődik, nem képes eredeti hatékonysággal ellátni a feladatát. 

A kiszolgáló akkor válhat túlterhelté, ha az alkalmazásnál indulás előtt nem mérték fel megfelelően a terhelés mértékét, vagy nem biztosították a megfelelő erőforrást, nem végezték el a szükséges terhelésre vonatkozó konfigurációkat. Az is előfordulhat, hogy nem volt hajtottak végre terhelésteszteket a kiszolgálón és/vagy az elé épített védelmi vonalon, így tulajdonképpen a felhasználók és a támadók voltak a „tesztelők”. A rossz beállításokat használják ki a támadók a szolgáltatásmegtagadásos támadások során is (Denial of Service- DOS), amelyekkel rendszereket, szolgáltatásokat, hálózatokat terhelnek le, olyan mértékben, hogy az használhatatlanná válnak. A támadás indítható egy rendszerből, vagy azok egy csoportjából is, utóbbi esetben beszélhetünk elosztott szolgáltatásmegtagadásos (Distributed Denial of Service, vagy rövide DDoS) támadásról. A rendszer túlterheléséhez tehát nem feltétlenül szükséges „megtámadni”, a nem megfelelően kialakított, szükséges beállításokkal és védelemmel rendelkező szolgáltatás leállhat a nagyobb felhasználói látogatottság miatt is. Azonban a rendszer ilyen jellegű hiányosságait könnyen kihasználhatják a támadók is.

Egy támadás esetében cél elsősorban a zavarkeltés, zsarolás, amelynek hátterében állhat az anyagi haszonszerzés reménye vagy ideológiai megfontolás is. Elsősorban a támadók nem hosszú kiesést akarnak okozni, hanem pillanatnyi zavart, amelyet akár arra is használhatnak, hogy elvonják a figyelmet egy másik, komolyabb támadásról. 

Előfordulhat az is, hogy zsarolás eszközeként használják. A Covid-19 miatt pedig világszerte nagy mértékben megnőtt a távmunkát bevezető szervezetek száma, mellyel a sebezhetőségek is nőttek, ezt pedig előszeretettel használják ki a kiberbűnözők.

A DDoS-támadások egyre csábítóbb megoldásnak számítanak, hisz kevés ráfordítással is nagy haszonra lehet szert tenni. Sokszor a támadott szervezetek inkább fizetnek, mert a szolgáltatásuk lassulása vagy megállása nagyobb bevétel- és presztízsveszteséggel jár, mint a követelt összeg. A Kaspersky felmérése szerint 2021 második negyedévében naponta átlagosan 500-800 DDoS-támadásról számoltak be.

Kép: Kaspersky

Támadás, elvitelre

Ráadásul az ilyen támadás elindításához  nem feltétlenül szükséges komolyabb informatikai tudás: a dark weben egy bizonyos összegért – függően például a támadás kívánt időtartalmától, a célponttól és annak védelmétől – meg is rendelhető. Egy gyenge védelemmel rendelkező weboldal 24 óráig tartó támadása már 60 dollárért megrendelhető a Dark Web Price Index 2020 szerint. Az itt folytatott üzletek nehezen lekövethetők, ezért nehéz megállapítani, hogy egy-egy támadás hátterében ki vagy kik állnak valójában. A támadó azonosítását nehezíti továbbá az is, ha a DDoS-t botnetek segítségével hajtják végre. 

A botnetek (robot network), vagyis zombigép-hálózatok olyan rosszindulatú szoftverekkel (például vírussal) fertőzött számítógépekből állnak, amelyeket a kiberbűnözők távolról képesek irányítani, a tulajdonos tudta nélkül. Egy ilyen ismert rosszindulatú kód például a Mirai, amely gyenge biztonsági beállításokkal rendelkező IoT eszközöket fertőzött meg 2016-ban, ezzel létrehozva egy zombigép-hálózatot. (IoT, vagyis Internet- of- things eszközök alatt értünk olyan, mindennapokban használt eszközöket, amelyek interneten keresztül is elérhetőek és képesek kommunikálni egymással akár önállóan is.) A kód segítségével 2016 októberében elsöprő erejű DDoS-támadást indítottak a Dyn domain- névkiszolgáló ellen. A Dyn-támadás felhasználók millióit bénította meg, lelassítva vagy leállítva az internetkapcsolatokat, megszakítva a szolgáltatást Észak-Amerikában és Európa egyes részein olyan jelentős webhelyek esetében, mint az Amazon, a Netflix, a Paypal és a Reddit. A közeledő amerikai elnökválasztással többen kifejezték félelmüket, hogy a botnet egy olyan nemzetállam műve lehet, amely az országot megbénító támadásra készül, ezzel akadályozva a szavazást. Kiderült azonban, hogy a Mirai készítői eredetileg pár huszonéves fiatal volt, akik egy online játékban való előnyszerzésre készítették, majd megosztották a forráskódját egy fórumon, így elérhetővé vált más hackerek számára is - kevésbé ártatlan szándékokkal.

A támadó (botmaster) a megfertőzött számítógépeket, amelyek a zombigép- hálózat részei (botok) távolról irányítva különböző támadásokat indít a kiszemelt rendszerek ellen (victim)- akár DDoS támadásokat is.
A támadó (botmaster) a megfertőzött számítógépeket, amelyek a zombigép- hálózat részei (botok) távolról irányítva különböző támadásokat indít a kiszemelt rendszerek ellen (victim)- akár DDoS támadásokat is.
Kép: Napi.hu

Aláírás: A támadó (botmaster) a megfertőzött számítógépeket, amelyek a zombigép- hálózat részei (botok) távolról irányítva különböző támadásokat indít a kiszemelt rendszerek ellen (victim)- akár DDoS támadásokat is.

 Könnyen előfordulhat, hogy egy chatfelületen terjedő vagy játékba rejtett kártékony kód által a mi gépünk is egy zombigép-hálózat részévé válik, és akár felhasználják ilyen támadásra is, anélkül, hogy tudnánk róla. Ugyanakkor, vannak jelek, amik arról árulkodhatnak, hogy egy ilyen kártékony kód fertőzte meg a gépünket, mint például a hosszú betöltési idő, gyakori összeomlások és gyanús hibaüzenetek. Ilyen esetben érdemes lehet egy vírusirtó programmal átvizsgálni a gépünket.

Fegyver akár egy egész ország ellen

Azon túl, hogy a nagyvállalatoknak is komoly veszélyt jelenthet egy ilyen támadás, akár egy országnak is. Erre jó példa Észtország 2007-es esete, amivel kapcsolatban nagyon sokan Oroszország felelősségét hangsúlyozták, s melyet egy szovjet hősi emlékműnek az áthelyezése váltott ki. Elosztott túlterheléses támadás érte a bankok, elektronikus hírközlő szervezetek és kormányzati szervek online szolgáltatásait. Az online lekéréseken túl hatalmas mennyiségű spam e-mailekkel árasztották el a rendszereket, valamint tovább fokozták a zavart a weboldalak megváltoztatásával. Ennek következtében a bankautomaták és az online banki szolgáltatások szórványosan nem működtek, a kormányzati alkalmazottak nem tudtak e-mailen keresztül kommunikálni, illetve az elektronikus hírportálok nem tudtak híreket közzétenni. 

A zavargások egy szovjet hősi emlékmű áthelyezésével kezdődtek.

A zavargások egy szovjet hősi emlékmű áthelyezésével kezdődtek.

Ebből látható, hogy számítógéppel is lehet háborút vívni: így a NATO 2016-ban a kiberteret is műveleti térré nyilvánította.

Az eset kapcsán nyilvánvalóvá vált, mennyire fontos a kritikus információs infrastruktúrák védelme, hisz ezek működése alapvető fontosságú és nélkülözhetetlen a társadalom működtetéséhez, leállásuk pedig veszélyt jelenthet az ország gazdaságára és védelmére. A 2017-ben Dr. Kovács László és Dr. Krasznay Csaba által publikált Digitális Mohács című tanulmányban olvasható a forgatókönyve egy olyan elképzelt összehangolt kibertámadásnak, amely az országot hasonló, térdre kényszerített helyzetbe hozhatná, mint az 1526-os mohácsi csata. Az elképzelt szcenárióba a DDoS is szerepet kap, mint látványos informatikai támadás.

Ezek kapcsán látható, hogy az elektronikus térből érkező támadások fokozott figyelmet igényelnek.