Ataki typu DoS (Denial of Service) polegają na takim przeciążeniu atakowanego systemu lub infrastruktury dostępowej do niego, żeby zabrakło zasobów do obsługi zwykłych zleceń - w efekcie usługa lub serwer stają się niedostępne, co niejednokrotnie prowadzi do poważnych strat finansowych. Co gorsza, do ataku jest wykorzystywany zwykły ruch sieciowy, który pochodzi od wielu różnych komputerów. Dlatego ataki DoS, a szczególnie DDoS (Distributed Denial of Service, czyli rozproszone DoS) są zaliczane do najgroźniejszych i najskuteczniejszych, a walka z nimi jest bardzo trudna. Dobrze znane przykłady, które poruszyły opinię publiczną, to np. atak na serwery instytucji rządowych i banków Estonii w 2007 roku, niedawny atak na serwery instytucji rządowych w USA w lipcu 2009 roku czy atak na serwery australijskiej firmy bukmacherskiej Sportingbet. Nie są to jednak przypadki odosobnione - niemal co miesiąc media donoszą o przeprowadzeniu tego rodzaju ataków na kolejne cele.

Podstawowym narzędziem wykorzystywanym do prowadzenia ataku DoS jest tzw. botnet, czyli rozproszona sieć komputerów, które wykonują zadania zlecone przez jego zarządcę. Choć znane są przypadki w pełni jawnego wykorzystywania botnetów do rozproszonego przetwarzania danych w modelu cloud computing (jednym z najgłośniejszych jest program SETI@Home mający na celu wykorzystanie komputerów domowych do poszukiwania śladów życia w kosmosie), obecnie najczęściej tego terminu używa się w odniesieniu do budowanych przez cyberprzestępców sieci łączących komputery realizujące zadania bez wiedzy i zgody właściciela - tzw. komputery zombie. Są one wykorzystywane do różnych form działalności przestępczej, m.in. rozsyłania spamu, łamania haseł czy wreszcie prowadzenia ataków DDoS.

Najpopularniejszymi metodami ataku DoS są SYN Flood, UDP Flood, Teardrop, Ping of Death i Smurfing. Wszystkie one polegają na zalaniu atakowanej maszyny większą liczbą pakietów IP, niż jest ona w stanie obsłużyć. W niektórych metodach pakiety te są niepoprawne lub nie tworzą prawidłowych sesji, co dodatkowo zwiększa obciążenie maszyny ofiary ponad jej możliwości. W efekcie serwer nie może realizować swoich zadań, a usługa staje się niedostępna dla wszystkich lub dla znacznej części internautów.

Ochronią nas wysokie progi

Jeśli atak DoS wykorzystuje podatności istniejące w aplikacjach i systemach operacyjnych, do ochrony wystarczy zainstalowanie odpowiednich łat i poprawek. Jednak najczęściej ataki polegają na nadużyciu integralnych mechanizmów działania protokołu IP i protokołów warstw wyższych. Obrona jest wówczas bardzo trudna, ponieważ wymaga odróżniania w czasie rzeczywistym pakietów związanych z atakiem od tych związanych z codzienną komunikacją. Jest to zadanie niezmiernie trudne, a w przypadku serwisów internetowych przyjmujących połączenia z całego świata może być nawet niewykonalne.

[...]

Autor jest inżynierem systemowym w firmie McAfee Polska.