Útok, kterému postupně čelily stránky médií, bank či mobilních operátorů, měl podle Filipa dvě fáze. Nejdříve útočníci zahlcovali servery požadavky na spojení, které směřovaly přímo na cíl, zatímco zdrojová adresa byla podvržená. V dalším dějství pak vyzkoušeli taktiku posílání požadavků na spojení serverům s kvalitním připojením, přičemž jako zdrojovou adresu uváděli servery, které chtěli shodit.

Oslovené servery pak odpovídaly na požadavek na spojení právě postiženým serverům, čímž je zahltily, podle Filipa tak působily jako jakýsi reflektor.

„Zajímavé je, že téměř všichni napadení v první fázi nebo ti, kteří byli zneužiti jako reflektor v druhé fázi, se shodují v tom, že útoky přicházely víceméně z jednoho směru ze zahraničí, a to silou o řádu set tisíců až miliónů packetů za vteřinu. Nejčastěji je skloňována ruská síť RETN, ale hovoří se i o jiných sítích. A to je právě to nečekané,“ napsal Filip.

Centrální, nebo distribuovaný?

Připomněl, že při klasickém útoku typu DDoS (Distributed Denial of Service - distribuované odmítnutí služby), který využívá botnet, tedy síť počítačů napadených zvláštním virem, přicházejí požadavky na spojení z mnoha různých směrů a nejde obvykle určit jeden dominantní směr.

V případě takového útoku na český internet by bylo v útočníkově zájmu využít co nejvíce počítačů v Česku, protože jsou nejblíže cíli a mají nejlepší spojení. K tomu ale podle Filipa - kromě „odrazů“ v druhé fázi - nedošlo.

Zdá se tedy, že šlo spíše o útok typu DoS (Denial of Service), který pracuje na stejném principu zahlcení serverů enormním množstvím požadavků, není však tzv. distribuovaný, to znamená, že nevyužívá pro svůj účel zotročené počítače nic netušících uživatelů, nýbrž pochází z jednoho centra.

Více o útoku DDoS naleznete zde

„Netvrdím tedy, že nešlo o distribuovaný útok, ale rozhodně byla primární útočící síť, nebo alespoň její dominantní část, poměrně geograficky omezená. Spíše mě to tedy vede k myšlence, že jde spíše o DoS než DDoS. Opět je pochopitelně možné, že si onu infrastrukturu někdo pronajal na stejném principu jako botnet,“ napsal šéf CZ.NIC.

„Podotýkám, že jde spíše o technickou nuanci, která nám patrně nijak zásadně nepomůže v pátrání po skutečném útočníkovi,“ upozornil Filip.

Vlastní kanón na testování serverů

Podle něj podniknutí takového útoku, který pochází z jediného centra, není nic složitého.

„V rámci našeho bezpečnostního týmu jsme postavili řešení, které je schopno vygenerovat tok o síle cca deseti miliónů packetů za vteřinu. Tedy více, než kolik bylo emitováno v proběhlých útocích. Packety generuje menší farma v podstatě běžných PC, takže náklady na pořízení takového generátoru jsou velmi nízké,“ podotkl Filip s tím, že se sdružení CZ.NIC přihlásili zájemci, kteří by se rádi nechali takovému útoku vystavit, aby si otestovali své vlastní systémy.

„Útoky, kterých jsme byli v nedávné minulosti svědky, mohly klidně vycházet z jednoho centra, sami jsme si takové centrum během pár hodin dokázali postavit,“ uzavřel Filip s tím, že ve hře je i možnost, že sice šlo o botnet, ale geograficky omezený.