Ataki DDoS groźne nie tylko dla firm

Przeczytaj także: Ataki ddos: jak chronić firmę?

Atak DDoS polega na zaatakowaniu jednego celu przez wiele komputerów jednocześnie po to, by doprowadzić do sytuacji, w której jego zasoby staną się niedostępne dla użytkowników, dla których są przeznaczone. W ostatniej dekadzie zwiększyła się liczba ataków DDoS, a stojące za nimi motywacje i cele ewoluowały.

Początek roku 2000: w centrum uwagi

Chociaż trudno dokładnie stwierdzić, kiedy doszło do pierwszego prawdziwego ataku DDoS, pierwszy rozproszony atak na dużą skalę miał miejsce w 1999 roku i był on skierowany przeciw serwerowi IRC Uniwersytetu Minnesoty. Zainfekowanych zostało 227 komputerów, a atak sprawił, że serwer uniwersytecki był bezużyteczny przez dwa dni.

W lutym 2000 roku wiele popularnych witryn, w tym Yahoo!, eBay, CNN, Amazon.com i ZDNet.com, zostało sparaliżowanych na kilka godzin. Straty Yahoo! w ciągu trzech godzin awarii wyniosły 500.000 USD, ruch w witrynie CNN.com spadł o 95%, a ze strony ZDNet praktycznie w ogóle nie dało się skorzystać. Straty związane z awarią były ogromne.

O wywołanie tych ataków został oskarżony (i aresztowany) 15-letni Kanadyjczyk, znany jako Mafiaboy. Co go do tego popchnęło? Młodzieńczy bunt i przekora – nastolatek chciał po prostu pokazać, co potrafi. W tym celu skanował sieć, aby znaleźć podatne hosty. Wykorzystując znalezione luki, instalował oprogramowanie zamieniające hosty w zombie, a następnie rozprzestrzeniał atak w taki sposób, że zombie wyszukiwały luki w kolejnych celach i wykonywały ten sam proces.

2005: czas na łupy

Na początku pierwszej dekady XXI wieku, jeśli haker chciał utworzyć botneta do przeprowadzenia ataku DDoS, musiał podejmować te same kroki co Mafiaboy. Wraz z pojawieniem się robaków internetowych, kroki te zostały zautomatyzowane, co umożliwiło hakerom uruchamianie ataków na dużą skalę. W sierpniu 2005 roku 18-letni Farid Essabar, który nigdy nie studiował informatyki, został aresztowany za rozesłanie robaka MyTob. Robak otwierał „tylne drzwi” zainfekowanego hosta z systemem MS Windows, łącząc się ze zdalnym serwerem IRC i czekał na polecenia. Rozprzestrzeniał się samoistnie przy ponownym uruchamianiu systemów, kopiując się na współdzielone zasoby, otwierając drogę do dużych ataków DDoS z udziałem wszystkich zainfekowanych hostów i wykonując polecenia przesyłane przez sieć IRC. Atak był na żywo relacjonowany w CNN, w pewnym momencie zainfekowana została także sieć komputerowa stacji telewizyjnej.

Jakie tym razem były intencje hakerów? Tak naprawdę nie chodziło o sparaliżowanie korporacyjnych sieci, ale o wymuszenie od firm tysięcy dolarów z wykorzystaniem groźby skierowania ataku DDoS na ich sieć. Krótko mówiąc, firmy, do których docierały takie groźby, wolały płacić szantażystom, niż radzić sobie potem z konsekwencjami ataku DDoS.

2010: DDoS a haktywizm

W 2010 roku w największych mediach obszernie relacjonowano zaawansowane ataki DDoS motywowane kwestiami politycznymi i ideologicznymi, takie jak szeroko nagłośnione serie incydentów związanych z projektem WikiLeaks czy grupą Anonymous. W tym roku liczba ataków radykalnie się zwiększyła – po raz pierwszy przekraczając barierę 100 Gb/s, czyli około 22 tysiące razy tyle co przeciętna przepustowość łącza dostępna wtedy dla zwykłego użytkownika internetu w USA.

W grudniu 2010 r. znacząco wzrosła presja na WikiLeaks, aby witryna przestała publikować tajne depesze amerykańskiej dyplomacji. W reakcji na te naciski grupa Anonymous ogłosiła swoje poparcie dla WikiLeaks i w ramach tzw. „Operacji Payback” przypuściła serię ataków DDoS na serwery takich firm jak Amazon, PayPal, MasterCard i Visa, w odwecie za działania skierowane przeciw WikiLeaks. Ataki te doprowadziły 8 grudnia do zawieszenia witryn firm MasterCard i Visa.

Narzędzie, z którego korzystano przy atakach grup Anonymous/WikiLeaks, to program o nazwie Low Orbit Ion Cannon (LOIC). Mimo że początkowo było to narzędzie open source stworzone z myślą o testowaniu aplikacji internetowych pod kątem obciążeń, w tym przypadku zostało ono wykorzystane do przeprowadzenia ataku DDoS.