De ce sunt folosite astfel de atacuri și mai ales de către cine, și care este mecanismul de funcționare DDoS vei afla în cele ce urmează.
Despre DDoS
Pentru a putea înțelege mai exact ce este DDoS trebuie mai întâi să definim termenul de server. Un server este un calculator, asemănător celor uzuale (desktop), dar mult mai performant, care are acces la internet prin intermediul unei lățimi de bandă cu mult superioară unei conexiuni de internet casnice, și are rolul de a stoca și face accesibil în mod public sau privat conținutul unei aplicații web, adică un sait de internet.
Principalul aspect care stă la baza a ceea ce DDoS reprezintă este faptul că orice calculator, în speță server, își are propriile limitări, astfel că poate asigura acces la resursele interne doar unui număr limitat de utilizatori. Iar această limitare este impusă în primul rând de lățimea de bandă a conexiunii la internet, apoi de faptul că resursele de memorare și procesare ale serverului pot devini insuficiente pentru a putea servi toți utilizatorii care doresc să acceseze siteul. Rezultatul: atunci când serverul își atinge limita maximă de procesare, memorare sau trafic pe internet - iar acestea sunt în concordanță cu componentele și specificul părții hardware - serverul nu mai poate servi noi cereri, deci este scos din uz.
Acest lucru se poate întâmpla natural, când nu numar foarte mare de utilizatori trimit cereri de comunicare sau access catre o resursă a unui server, peste limitele serverului respectiv. Însă atunci când majoritatea acestor cereri nu sunt inițiate de către utilizatori reali, ci de către o persoana sau un grup de persoane cu diverse interese, atunci acest proces de îngreunare a serverului este considerat un atac informatic.
În funcție de modul în care sunt inițiate cererile către server, atacul poate fi clasificat drept DoS (Denial of Service) - când toate cererile sunt executate de către un singur calculator sau o rețea de calculatoare - sau DDoS - atunci când cererile către server sunt inițiate de pe calculatoare sau rețele diferite, cu IP-uri diferite, localizate în variate zone geografice.
Care este scopul atacurilor DDoS și cine sunt cei care le inițiază
Ținând cont că astfel de atacuri nu afectează conținutul serverului țintă (adică a website-ului și a datelor private ale utilizatorilor care folosesc situl), ci doar face dificilă sau chiar împiedică accesul utilizatorilor la sit, apare întrebarea: care sunt motivele pentru care cineva ar vrea să realizeze un astfel de atac?
Poate că în mod direct atacul DDoS pare fără niciun scop și fără nicio daună, dar la o analiză a aspectelor indirecte care conclud ca urmare a atacului, se poate deduce că urmările unui astfel de atac pot avea uneori implicații, deși temporare, totuși deosebit de grave. De exemplu:
- se poate submina economic concurența - imaginați-vă de exemplu că de Black Friday situl emag.ro (care este lider în retail-ul online românesc) cade datorită unui atac DDoS, cumpărătorii de produse online fiind nevoiți să își realizeze comenzile online pe alte magazine e-commerce.
- se poate împiedica accesarea unor saituri, pagini sau servere militare, guvernamentale etc., iar acest lucru în situații de criză/urgență ar fi dezastros.
- se poate limita sau bloca accesul la servicii publice din online.
- se poate bloca accesul la anumite resurse pe internet.
Cine sunt cei care realizează astfel de atacuri? Pai pot fi persoane care realizând această activitate obțin foloase materiale, fie direct din căderea serverului respectiv, fie indirect - fiind angajați în acest sens, sau persoane care doresc să aducă prejudiciu de imagine unei companii, agenții sau instituții, respectiv persoane și folosesc astfel de mijloace drept un atac terorist sau de intimidare.
Cum funcționează un atac DDoS
Atacurile DDoS sunt destul de frecvente, și mă refer în special în cazul companiilor, instituțiilor ș.a. importante, asta și pentru că un atac executat în mod distribuit, de pe mii sau zeci de mii de calculatoare, nu poate fi respins, mai ales dacă este executat într-un mod foarte organizat și strategic, rezultând în scoaterea din uz a resursei online.
Trimiterile de cereri sau de mesaje de interacționare cu serverul pot fi executate de pe orice calculator, fie el cu Windows sau cu un alt sistem de operare. De exemplu folosind comanda tracert în Windows se poate prelua adresa IP a serverului pe care există un site, iar acest IP poate fi folosit ulterior pentru a trimite pachete de date server-ului folosind comanda ping. Odată ce serverul va accepta interacțiuna cu calculatorul de pe care s-a inițiat cererea - care este asemănătoare cu accesarea sitului în browser-, va folosi automat și resurse proprii pentru a realiza această operație.
DDoS presupune utilizarea mai multor calculatoare reale, distribuite aleator la nivel global sau doar într-o anumită regiune, iar obținerea de acces la toate aceste calculatoare nu se poate realiza decât prin intermediul unor programe de tip troian - adică acele programe care, fiind descărcate din surse nesigure, conțin pe lângă aplicația propriu zisă și alte programe care persistă pe ascuns în sistem, și care pot fi ulterior activate să realizeze operația de accesare a unui server (în principiu un site), la un anumit interval de timp și după anumite criterii. Un astfel de calculator, pe care există un program care poate fi activat și îndrumat să participe la atacul DDoS de la distanță, asta fără consimțământul sau știrea utilizatorului care folosește sistemul respectiv, se numește botnet.
Atacurile DDoS nu se pot realiza fară un numar mare de calculatoare botnet care să lanseze sistematic cereri către server, pentru că singura modalitate prin care se permite accesările multiple de către firewal-ul serverului este ca IP-urile calculatorelor care fie diferite. Iar botnet poate fi oricine care descarcă software din surse nesigure, cum ar fi torentele, site-urile nepopulare de găzduire fișiere etc.
Odată ce o persoană rău intenționată instalează troian-ul pe un număr mare de calculatoare, acesta poate lansa atacul DDoS, transmitând tuturor calculatoarelor infectate specificații legate de țintă, frecvența atacurilor, durată atac, plus alte detalii. Cel care inițiază atacul DDoS nici măcar nu trebuie să inițieze accesarea serverului țintă, fiind într-o măsura sau alta aproape total ferit de consecințele rezultate. În schimb, calculatoarele botnet vor fi cele care vor desfășura întreaga acțiune, de obicei pe asuns, fără ca utilizatorul calculatorului să poată sesiza ceva neobișnuit.