Vlákno názorů k článku DDoS útok na servery Internet Info: pohled administrátora od Milan Novák - Divím se, že takové útoky trvají jen chvíli....

Divím se, že takové útoky trvají jen chvíli. Proč útočník sám od sebe přestane? Přejde na snadnější cíle?

U pronájmu botnetu platíte za hodinu provozu. Pokud je útok neúčinný a potřebujete přehodnotit strategii, tak je ekonomičtější útok přerušit, připravit nový a teprve pak si znovu pronajmout botnet.

Jako provozovatel botnetu pak nechcete, aby byly boty v provozu neustále. Pokud je stav botu "hele Pepo, ten počítač jede dneska jak z pr.ele", tak ještě uniknout pozornosti může. U stavu "už týden je to nějaké pomalé" roste riziko, že uživatel spustí antivirus (respektive zjistí, že spustit nejde) nebo zavolá někoho, kdo mu počítač zkontroluje. To máte jak s cizopasníky - zabít hostitele není dobrá strategie.

A v neposlední řadě je tu řada operátorů na cestě, kteří si dříve nebo později provozu všimnou a začnou ho řešit. Čím déle útočíte, tím pravděpodobněji někdo zjistí, že se něco děje. Jinak řečeno - pokud začne útočit botnet z počítačů zákazníků UPC, tak si toho UPC po čase všimne. Ten čas závisí na tom, jak silný a jak dlouho trvající útok je. Pokud někdo v UPC na nočním reportu zjistí, že provoz je dvojnásobný než obvykle, tak ho to asi zaujme. Pokud tenhle stav uvidí několik dní za sebou, tak mu možná i dojde co se děje a může zkusit něco dělat. Zkrátka jako provozovatel botnetu chcete, aby na straně útočníka (vašich botů) nebyl statisticky pozorovatelný problém. Takže na jednotlivých podsítích chcete buď mít botů málo, nebo je nemít v provozu dlouho.

A jaký je důvod aby se botnet omezoval na jednu síť? Je mnohem jednodušší mít segmentově neutrální lapač chudáků než to cílit na nějaký omezený okruh IP adres. Ostatně i blikování útoku z nějakého omezeného okruhu adres je poměrně jednoduché.

Proč by se měl botnet omezovat na jednu síť? Prakticky se to dělá tak, že se rozesílá malware, láká se na web s malware nebo se útočí přímo po síti na počítač. Nikdo se úmyslně neomezuje.

Jenže v praxi se to stejně omezí na několik stovek ostrůvků. Pokud se malware šíří emailem, pak se nakažení lidé dost často znají a obvykle k sobě mají fyzicky blízko. Pokud se šíří přes web, tak to jsou lidé se společnými zájmy a i tam to jsou často skupinky, co se navzájem znají. Útok po sítí obvykle funguje tak, že napadnete jeden počítač a pak ty okolo.

Zkrátka nakonec můžete skončit s botnetem o statisících počítačů, ale rozházených jen po stovkách podsítí. Na jedné podsíti se vám tak toulá několik set až tisíců botů. To už by mohlo stačit na to, aby byl útok odhalen díky statistice.

Samozřejmě je pak ještě možnost udělat botnet s milionem botů, podle IP geolokace a traceroute vytipovat příliš velké koncentrace botů na podsíti a tam pak některé z nich deaktivovat tak, aby jich nikdy nepracovalo více než nějaké kritické množství. Ale to se vám pak může velikost scvrknout.