אתמול חשבתי לכתוב פוסט לגבי אירועי ההתקפה על אתר אל על, הבורסה, ואתרי הבנקים, אבל בסוף החלטתי להמתין עם זה קצת ולפרסם את הפוסט אחרי שהכותרות באתרים הראשיים ירגעו.
בפוסט זה אנסה להיות כמה שפחות טכני ולהסביר את הדברים בצורה פשוטה.
ראשית, נתחיל עם ההתקפות על אל-על והבורסה. במדיה כולם מתלוננים מדוע אותם אתרים לא עשו משהו כשנודע להם (ב-2 בלילה) לגבי ההתקפה שהולכת לקרות והתשובה הפשוטה היא: אין להם הרבה מה לעשות. ל-אל-על לדוגמא יש 3 חבילות של כתובות (3 קלאסי C) עם חיבור לספק אינטרנט כלשהו. כשההתקפה קרתה, הקו עצמו פשוט נחנק מעומס הפניות המזוייפות, ואני מאמין שאותו דבר קרה לבורסה.
האם היה ניתן לעשות משהו? בתיאוריה, ניתן היה לשים חומת אש רצינית או להגדיר חוקים בחומת אש הקיימת אצל ספק האינטרנט שנותן להם את הקו כדי לעשות סינון ולהוריד את כל ההתקפה עצמה. תזכרו: לספק האינרנט ה"גדול" יש את העשרות ג'יגהביט קו וללקוח יש כמה עשרות מגהביט. אפשר לדמות את זה למצב הבא: מים מטונפים עם זבל מגיעים לכיוון הברזים שלי בבית. הפילטרים שיש לי בברזים יחנקו מאוד מהר מהמים המטונפים, אבל הפילטרים והתשתית של העיריה יכולים לסנן בקלות את המים המטונפים ולתת למים הנקיים לעבור אליי.
הבעיה, כמה שתישמע עצובה, זה ש..אין תשתית כזו לספקי אינטרנט הגדולים. כיום, לי, כעסק שמוכר שרתים וירטואליים, אם יש התקפה נגד התשתית של העסק, היא עוברת ישירות דרך התשתית של נטויז'ן אליי, ואצלנו צריכים לשבור את הראש איך להתמודד עם זה, וזה לא רק אצלי, זה אצל כולם. ספק האינטרנט שאתה מארח אצלו שרת ויש לך רוחב פס קטן, יכול להתריע לך שיש עליך התקפת DDoS אבל הוא לא יעמיד את רוחב הפס הגדול שלו שיספוג את ההתקפה ואתה תקבל תעבורה "נקיה", אלא רק יתריע ובמקרים מסויימים פשוט יחסום את התעבורה אליך.
מדוע זה כך? לספקי האינטרנט הגדולים פתרונים. יכול להיות שהם לא רוצים להשקיע בפתרונות שעולים סכומים גדולים ושהם לא מקבלים על זה כיסוי, אינני יודע, זה הביזנס שלהם.
משהו שחייב להיות ברור: התקפת DDoS אינה נפתרת בכך שלוקחים ציוד מסויים והוקוס פוקוס יש הגנה נגד התקפה. התקפה מאוד רצינית של DDoS כמו שהיתה נגד חברת ויזה העולמית ועוד אתרים גדולים – שום ציוד לא יעזור נגד זה, אלא אם יש מספיק רוחב פס וציוד שיתפוס את ההתקפה, וגם במקרה של ויזה הבינלאומית – זה לא עזר הרבה.
גם הבנקים התחילו להיות אתמול מותקפים רק שהם החליטו לעשות את הצעד הכי פשוט בעולם: לחסום כל גלישה לאתרי הבנק מחו"ל. כמה זה יעזור? אם השרתים של הבנקים נמצאים בחוות של הבנקים ויש קו (או סיב) בינם לספק אינטרנט כלשהו, זה יכול לעבוד – כל עוד יש איזה ציוד רציני של אצל הספק אינטרנט שיעצור את זה מבלי לגרוע מרוחב הפס של הבנק. אם אין, כל ההתקפה תעבור דרך הקו לשרתי הבנק (בין אם הם חסמו גישה מחו"ל או לא) ואז גם גולשים מישראל לא יוכלו להיכנס.
פריצות והתקפות לאתרים ושרתים הם לא דבר חדש, זה דבר שקורה כל הזמן. הפריצה לאותם אתרים שנגנבו מהם פרטים של עשרות אלפי כרטיסי אשראי זה גם דבר שקורה הרבה בעולם, וחברות האשראי בעולם יודעות להתמודד עם זה. אצלנו זה קרה בפעם הראשונה בגלל אותם אתרים שהיו כביכול "מוגנים" ואני משער שחברות האשראי כבר יתבעו את אותם אתרים בגין הנזק שנגרם להן, אבל מכאן והלאה אתרי המדיה השונים פשוט ניפחו את הנושא מעבר לכל פרופורציה. מראיינים ילד שמשתמש בסקריפטים מוכנים והוא מצידו מנפח את החזה ומצהיר שהוא "ישקול אולי להקל את ההתקפות" אם ישראל "תתנצל" על כל מיני דברים. חבר'ה, זה ילד משועמם, מדוע אתם נותנים לו במה?
כמו שאמרתי בעבר: גם בנקים וגם אתרים מסחריים רבים יש להם הגנות גרועות וידידי עידו קנר כתב על כך בעבר כמה קל ניתן "להזריק" מידע לתוך האתר גם אם יש חומת אש רצינית וחכמה. חברות האשראי מגלגלות עיניים ומבקשות "רגולציה", שזה נחמד, אבל זה יקח המון זמן, ולבינתיים אין שום הצעה קונקרטית איך להכריח אתרים לבנות קוד מאובטח. זה המצב כיום לצערי, ואם יהיה פתרון, אולי הוא יגיע מקהילת המפתחים עצמה (אני יודע, אני מפנטז…)
מעניין, חיכיתי לשמוע איזשהו פוסט בנושא כדי להבין קצת יותר את מה שקרה.
לפי מה שאתה אומר, הטיפול צריך להיות ברמת ספק האינטרנט ולא ברמת האתר?
האם אין אפשרות להבין את אופי הפנייה לשרת ולקלוט שמדובר בהתקפה , רוב הסיכויים ממחשב שהודבק באיזשהו ווירוס או משהו בנידון ?
טכנית אפשרי בהחלט, הבעיה שהקו עצמו נחנק, ואז אין אפשרות לקבל עוד נתונים או להוציא עוד נתונים, אז האתר פשוט חנוק.
The other option is to use services like networksolutions ddos protection which can reroute the traffic to a well connected server abroad which will filter the traffic and send clear traffic over a tunnel to the"real" server. Its just a matter of money.