17. 6.
2019
Nedávno se na nás obrátil správce sítě jedné české firmy, která poskytuje připojení k Internetu a webový hosting s tím, že na jeho servery je z naší sítě prováděn DoS útok, tedy útok na odepření služby, například přetěžováním výpočetních zdrojů. Že prý jen během dopoledne jsme v několika cca pětiminutových intervalech vždy navázali do jeho sítě TCP spojení, kterým jsme posílali až dva gigabity za sekundu datového toku. Nemůže jít o běžný provoz, protože spojení bylo navázáno z naší sítě. I dali jsme se do zkoumání problému.
Bylo nám divné, že se datový provoz podle stěžovatele odehrával vždy v rámci jednoho TCP spojení. Pokud takové spojení příjemci dat vadí, má možnost je uzavřít nebo alespoň nepřijímat data tak rychle, jak je druhá strana vysílá. DoS útoky na zahlcení sítě se navíc lépe dělají nad UDP nebo jiným nespojovaným protokolem, který nemá vestavěné řízení toku dat. Ale TCP spojení bylo navázáno námi, takže jsme hledali, co je to za provoz. Reklamovaná IP adresa na naší straně patřila fakultnímu datovému archívu ftp.fi.muni.cz/ftp.linux.cz. Nejprve krátká odbočka od tématu:
Letos v lednu jsme nasadili pro datový archív nový hardware. Je to po několika generacích tohoto serveru první, který má "pouze" jeden procesor (socket). Desetigigabitové optické připojení jsme nahradili metalickým (10Gbase-T) a server dostal systémové disky NVMe. Server má více paměti a je celkově rychlejší. O současné konfiguraci, aktuálním provozu a minulých konfiguracích tohoto serveru se můžete dočíst na samostatné stránce.
Zpět k DoS útoku: ftp.linux.cz z principu poskytovaných služeb odesílá velká data uživatelům, přičemž dva gigabity za sekundu po dobu pár minut není nic, co bychom považovali za nadstandardní provoz. Po nahlédnutí do systémových logů byla příčina jasná: z webového hostingu stěžovatele si prostě někdo v to dopoledne postupně stahoval z našeho serveru několik instalačních ISO souborů linuxové distribuce CentOS, kterou mimo jiné na našem serveru také zrcadlíme.
A co směr navazovaného spojení? Ne každý síťový protokol se chová jako HTTP, že má jedno TCP spojení navazované od klienta k serveru. Například další protokol pro přenos souborů, FTP, se chová jinak: má řídící spojení, navazované od klienta k serveru, a pak datové spojení, které může být navazované i od serveru ke klientovi. A tato vlastnost způsobila, že správce té vzdálené sítě viděl provoz iniciovaný z naší strany. A protože si neuvědomil, že ne všechno je HTTP, považoval toto za jasný útok.
Je vidět, že i zkvalitňování služeb a nasazování rychlejšího hardwaru se občas někde může projevit negativně.
