DDOS útok trochu jinak

A teď jednou zase z toho mého IT soudku… Při prohlídce logů na zdejším serveru, jsem dostal nápad, jak provést DDOS útok, nebo třeba cílené klikání na reklamu, nebo nějaký odkaz, jen za pomoci domény druhého řádu a „správně“ nakonfigurovaného webového serveru, u kterého bohatě stačí, že bude zapnutý jen pár týdnů. Nebudu zacházet do úplných detailů, protože se sám zatím pohybuji z velké části na teoretické rovině a nemůžu proto dát žádný konkrétní příklad. Nicméně jsem si téměř 100% jistý, že to bude fungovat.

Takžě k věci… Jde o to, že když máte webový server, kde je špatně zabezpečený formulář, řekněme, u návštěvní knihy (bez nutnosti přihlašování, ověřování přes Capcha, atp.), nebo třeba nezabezpečenou MediaWiki, můžete si být jistí, že se Vám taková stránka brzy začne plnit spamem. Když toto necháte několik týdnů běžet, tak se Vám na webovém serveru vytvoří stovky až gigabajty textu. To většinou bývá dost nemilá situace – člověk pak tráví spoustu času tím, že promazává databázi, připadá si jak popelka a proklíná všechny spammery na světě.

Jak to ale využít pro svůj prospěch?

Jde o to předvídat a naprogramovat si tento nezabezpečený web tak, aby v budoucnu sloužil svému účelu. Chceme-li tedy udělat DDOS útok na nějaký konkrétní web, musíme si na něm vybrat nějaký skript, který zatěžuje server (třeba tím, že na něm spouští nějakou výpočetně náročnou úlohu). Takový skript by zároveň měl umožňovat zadávání nějakých parametrů GET metodou. Řekněme tedy, že na webu example.net, na který chcete útočit, je skript search.php, který přes GET metodu přijímá parametr word a protože není uplně šťastně napsaný (má třeba chybně indexovanou databázi, nebo tam těch dat je zkrátka už moc a není na to odladěn), tak vyhledává poměrně dlouho a zatěžuje tím o trochu víc systémové prostředky. To většinou není žádný problém… Dokud nezačně DDOS útok.

Na svém serveru (ideálně tak, aby šlo o doménu třetího řádu – např. ddos.asocial.cz) si pak vytvoříte třeba onen nezabezpečený formulář, který bude vytvářet při každém novém příspěvku novou stránku se svou vlastní URL, která bude ve formátu ddos.asocial.cz/search.php?search=xyz (kde xyz budou buď náhodné znaky, nebo třeba i cílené dle nějakého slovníku, atp.). Druhá možnost je použít známý CMS (Mediawiki, Joomla, WordPress, Drupal, atd.), na který útočníci rádi útočí a ten si poupravit tak, aby vytvářel URL v takovémto formátu. Nemělo by to pak trvat dlouho a stránky se Vám začnou plnit spamem. Zde platí, že čím víc spamu a čím déle to necháte indexovat vyhledávači, tím větší to bude DDOS. Ve chvíli, kdy si řeknete, že by to mohlo stačit (což si časem určitě řeknete, protože nejprve to začne DDOSem na Váš server), uděláte to, že v nastavení DNS u vašeho registrátora, změníte CNAME domény třetího řádu tak, aby odkazoval na doménu vaší oběti. Všechny indexované a všemožně po webu rozšířené odkazy na spam, na Vašich stránkách, rázem pošlete na jiný web a ke všemu na jeho špatně napsaný skript. V mém hypotetickém příkladu se tedy URL ddos.asocial.cz/search.php?search=xyz díky DNS přesměruje na example.net/search.php?search=xyz. Mám vyzkoušeno, že poměrně dost lidí deně na některou z vašich URL klikne a pokud by to nestačilo, může se tento postup prostě opakovat, do té doby, kdy to stačit bude (nebo dokud vám nezruší doménu, nebo vás nezavřou).

Možná, že to není žádná novinka a jenom znovuobjevuju kolo… V tom případě budu rád, když mi o tom dáte vědět třeba do mailu (patok@asocial.cz), nebo do diskuse pod článkem.