Az elmúlt hetekben többször is előkerült a “terheléses támadás” kifejezés, az informatikával nem foglalkozók közül sokan talán most először hallották a szókapcsolatot az operatív törzstől. Érdemes így szánnunk rá néhány percet, hogy megértsük, mi is ez pontosan, hogyan zajlik és hogyan védhető ki.

A köznyelvben terheléses támadásként vagy túlterheléses támadásként emlegetett módszer az ún. DDoS támadás, vagyis a Distributed Denial of Service. (Fordítják szolgáltatásmegtagadással járó támadásnak és elosztott szolgáltatásmegtagadással járó támadásnak is, de ezek már végképp túl hosszú szószörnyek ahhoz, hogy kényelmesen használjuk.)

Mi értelme a terheléses támadásnak?

Egy ilyen támadásnak egy célja van: hogy valamilyen szolgáltatás, weboldal, rendszer elérhetetlenné váljon.

A mögöttes cél sokféle lehet. Az Anonymous csoport hekkerei rendszeresen támadják például olyan országok kormányzati oldalait, ahol emberi jogokat sértenek. Az üzleti életben használható arra a támadás, hogy egy adott szolgáltatásban megrendüljön a bizalom, vagy egyszerűen egy konkurens szolgáltatás felé terelje az ügyfeleket. És persze használják arra is, hogy eltereljék a figyelmet egy veszélyesebb támadásról.

Minden online szolgáltatás, a legegyszerűbb weboldalaktól a legbonyolultabb rendszerekig, limitált számú kérést tud kiszolgálni. Ez a gyakorlatban azt jelenti, hogy például egy weboldal a szerver adottságainak és a rendelkezésre álló sávszélességnek megfelelően csak adott számú látogatónak képes megjelenni, egy adott korlát felett egyszerűen nem tudja elküldeni és fogadni a szükséges adatokat.

A legyegyszerűbb analógia erre talán a forgalmi dugó. Mondhatjuk, hogy Budapestet minden hétfő reggel terheléses támadás éri, amikor az agglomerációban élők egyszerre özönlenek a városba vezető főbb utakra. Itt feltorlódnak, képtelenek tovább haladni, és Budapest ideiglenesen elérhetetlenné válik a számukra.

A gyakorlatban egy DDoS támadás kivitelezése nagyon egyszerű. Egy szerver megakasztásához értelemszerűen nem elengendő az, ha valaki egy böngésző előtt ülve az F5-öt nyomogatja, komolyabb erőforrásokra van szükség.

Bottal ütik a nyomát

Itt jönnek a képbe az úgynevezett botnetek, amit a “robot” és “network” szavakból képzünk, magyarul pedig általában zombihálózatként emlegetünk.

Egy komoly túlterheléses támadáshoz érvényesülnie kell a nevében szereplő “distributed”, vagyis “elosztott” feltételnek, ami annyit jelent, hogy a kéréseket nem egy, hanem több eszköz küldi a szervernek.

A támadók ehhez használják az akár több millió eszközt összefogó botneteket.

A botnet tagjai jellemzően PC-k, laptopok és hasonló eszközök, de ma már az sem ritka, hogy a netre csatlakoztatható IoT eszközöket használjanak fel – okoshűtő, okosporszívó, okosminden, tudod. 2019-ben például az Imperva biztonsági cég azonosított egy olyan túlterheléses támadást, amiben több mint 400 ezer IoT eszközt használtak fel egy streaming szolgáltatás bedöntéséhez, másodpercenként 292 ezer lekérdezést küldve.

Ahhoz persze, hogy az eszközöket utasíthassák a támadók arra, hogy lekérdezéseket küldjenek a célpont felé, meg kell szerezniük felettük az irányítást.

Ezt például egy malware, az eszközökre telepített kártékony kód segítségével tehetik meg, egy sor klasszikus módon, például weboldalakról vagy e-mailekből fertőzve meg a gépeket. Ezeket a kódokat persze a vírusirtók, tűzfalak aktívan szűrik, de a kiberbiztonsági fegyverkezési versenyben a védelem mindig csak szalad az újabb és újabb módszerek után.

Bőven lehetséges, hogy akár a te egyik eszközöd, mondjuk amiről ezt a cikket olvasod, tagja egy botnetnek. És ha bevonják egy DDoS támadásba, észre sem veszed, a háttérben futó folyamat nem feltűnőbb, mintha frissülne egy weboldal a böngésződben, – az egyes eszközöknek nem kell túl sok erőforrást befektetniük, hisz több százezer vagy millió is lehet belőlük.

Védekezés a túlterheléses támadás ellen

A terheléses támadások elleni védekezés nem egyszerű.

Épp a jellege miatt, mert a támadáshoz átlagos eszközök tízezreit használják, nem lehet egyszerűen letiltani az onnan érkező lekérdezéseket úgy, hogy mindenki más számára elérhető maradjon a weboldal.

Az egyik alapvető módszer, hogy ha a rendszer ilyen támadást érzékel, az érintett szerver(ek) erőforrásait úgy osztja el, hogy csak az érintett domain váljon elérhetetlenné. Erre akkor van szükség, ha egy szerveren több tárhely, weboldal, domain is osztozik, így a többi oldalt nem érinti a támadás. 

Azonban ez a módszer csak akkor működik, ha domaint, és nem az IP-címet célozza a támadás, ebben az esetben a teljes szervert érinti.

Az aktív védekezés része lehet, hogy a tűzfal folyamatosan figyeli a beérkező lekéréseket, és azokat a címeket, ahonnan túl sok és túl gyakori lekérdezés érkezik, tiltólistára helyezi. Ezzel együtt pedig olyan külső adatbázisokat figyel, ahol a már azonosított botnetekben található IP-címek szerepelnek, és ez alapján is automatikusan tilt. 

Ez a módszer egészen jó eséllyel célozza csak a támadásban részt vevő IP-címeket, de nem lehetetlen, hogy ártatlan felhasználók is belekerülnek a “szórásba”.

Emellett pedig, ha olyan botnetet használnak a támadók, amelyek címeit még nem azonosították, és figyelnek arra, hogy az elosztás miatt ne legyenek elkülöníthetőek a támadók az ártatlan felhasználóktól, a tűzfal nem sokat tud tenni.

Végül lehetőség van arra is, hogy ha kifejezetten nagy támadás zajlik, adott időre a szerverteremben lekapcsolják azt vagy azokat a hálózatokat, ahonnan a támadás érkezik. Ezzel biztosan elérhetetlenné válik a szolgáltatás a támadásban részt nem vevő sok felhasználó számára is, és azt sem garantálja semmi, hogy csak egyetlen hálózatot használjanak a támadók.

Az egyetlen biztos módszer, ha a botneteket felderítik a biztonsági szakemberek, és hatástalanítják az ártalmas kódokat, illetve listázzák az érintett IP-címeket – ezzel viszont csak hálózatonként számolható fel a veszély.

Ami hápog, nem mind kacsa

A túlterheléses támadás épp azért nehezen kivédhető, mert olyannyira hasonlít a szerver felől nézve a mindennapi működéshez, a rendellenesség csak annyi, hogy egyszerre sok lekérdezés érkezik.

Ilyen nagy terhelés azonban kialakulhat organikusan, anélkül is, hogy szó lenne bármilyen támadásról.

Egy weboldal könnyen elérhetetlenné válhat, ha mondjuk egy ünnepi időszakban hirtelen a szokásos látogatószám sokszorosa esik be egy webshop felületére (pl. Black Friday), ha sokezer könyvelő egyszerre akarja leadni a május 20-i bevallást, vagy ha tárgyfelvétel van a Neptunban.

És ugyanez történhet, ha egy online kampány túl jól sikerül, ha egy szolgáltatás frissítésekor valamilyen hiba miatt indulnak automatikusan lekérdezések, vagy ha egy ország miniszterelnöke egy élő interjúban egyetlen weboldalra irányítja a lakosságot.