הסבר פשוט: DDoS על שרתי DNS

מה זו המתקפה המדוברת שקרתה אתמול? מה זה DNS, מה זה DDoS (מתקפת מניעת שירות מבוזרת), מה הקשר ביניהם ולמה זה מנע ממני לראות את Black Mirror :@?

בהמשך המאמר גם המתקדמים יוכלו להצטרף אלינו עם תאוריות קונספירציה מגניבות על מה הסיבה למתקפה, ועל מומחי אבטחה שטוענים ש"מישהו מנסה להוריד את האינטרנט" (WTF; אבל מבטיח שיהיו יותר אינטליגנטיות מתגובות בוואלה).

אמ;לק לטכנולוגים: ספקית שירותי DNS מהמובילות בעולם, Dyn, הייתה תחת מתקפת DDoS אימתנית, שנוצרה ככה"נ ע"י בוטנטי Mirai (שיודעים להשתלט על מכונות IoT ולהוציא נפחי תעבורה הזויים). זה גרם לכל מי שהשתמש בשירותים של Dyn, כולל כמות עצומה של אתרים פופולריים, להיות לא נגישים.

בליל ה־21/10/2016 “נחסמה” גישה לשירותים רבים ברחבי האינטרנט, ביניהם שירותי ענק עם מליוני משתמשים, כמו Twitter, CNN, BBC, PayPal, Amazon, Netflix, Spotify, Reddit, GitHub ועוד.

אתרי חדשות רנדומליים יפטרו את עצמם מהעניין כשיגידו לכם שהייתה מתקפה על משהו שגרם לאיכסה באינטרנט. אבל בואו ננסה להיות קצת יותר רציניים ולהבין לעומק מה לעזאזל גרם לטירוף הזה לקרות.

מתקפת מניעת שירות מבוזרת, או DDoS

דמיינו שאתם מוכרים בירה ישראלית מדהימה בשרונה מרקט, ומציעים טעימות בחינם לאנשים – גם כי אתם נחמדים אש, אבל מן הסתם גם מתוך כוונה שאנשים יטעמו בירה או שתיים ואז ישלמו בכספם.¹ אבל הו אז מגיעים לשם חבורה של יצורים מעיקים, שפשוט מתחילים לאכול לכם את הראש ולבקש לטעום מכל פאקינג בירה שיש לכם במלאי. כל פעם שאתם באים לתת שירות ללקוח אחר, לגיטימי, אחד הקופים מנפנף בבקבוק בירה וצועק לכם “ומה זה?!?!? טעים הדבר הזה?!?” ומטיח את הכוס על הבר. בלית ברירה אתם מסמנים ללקוח האחר שימתין, וחוזרים בצער לנסות לרצות את חבורת הדגנרטים.

סיוט הבלהות שאתם עוברים נקרא DDoS, או Distributed Denial of Service, או בעברית: “מתקפת מניעת שירות מבוזרת”. אתם תקועים עם מספר גדול של לקוחות לא לגיטימיים שבכלל לא רוצים את השירות שאתם מציעים (קניית בירה), בעודם לוקחים לכם משאבים בלי שהם באמת צריכים אותם. בכך הם גורמים לכם עומס, ולא מאפשרים לכם לשרת את הלקוחות האמתיים שלכם.

בהקבלה לאתרי אינטרנט: מישהו רע (התוקף) השתלט על המון מכונות (לדוגמה, מחשבים) שמחוברות לאינטרנט. בעגה המקצועית כל אותן מכונות נקראות “זומבים” (נשבע לכם, לא מסתלבט) או “בוטנטים”. דמיינו שיש לו כמה מאות אלפים כאלו.

לתוקף הרשע נמאס מהאתר הכי טוב ברשת, nyan.cat, מכיוון שבעל האתר החליף את המוזיקה המעולה שהייתה בו קודם. הוא מבקש מכל צבא הזומבים שלו לבצע הורדה של הסרטון הכי כבד באותו אתר. כל שנייה. האתר מצליח להתמודד עם הבקשה הראשונה, העשירית והמאה. אבל בבקשה האלף הוא כבר לא יצליח להחזיר תשובה, כי הוא יהיה עסוק בלתת שירות עבור כל אותם 999 האנשים הקודמים.

זה DDoS.

אתם בטח שואלים את עצמכם “כמה עומס כבר ניתן לגרום לאתר ככה?” – התשובה היא שהמתקפה האחרונה הגדולה המתועדת היא כשהאתר מקבל 600 ג’יגה־בייט של בקשות – כל שנייה(!)

ספר הטלפונים של האינטרנט (DNS)

החלק השני הוא קצת יותר מסובך. נתחיל בכך שנבין מה קורה, ממש ממש בגדול, כשאתם נכנסים לאתר אינטרנט. נניח ל־ynet.co.il ² (למה אתם עושים לעצמכם את זה?!)

דמיינו מחשב דומה לשלכם שיושב במקום כלשהו בעולם, נניח באוסטרליה. המחשב הזה, שנקרא “שרת”, ממש דומה לשליח אוכל – מטרתו היא להאזין לבקשות שהוא מקבל, ולהחזיר לכל בקשה תשובה מתאימה. כשנזמין מג’ירף את המנה המלזית, השליח יקבל את הבקשה, ויביא לנו את המנה הביתה. באופן דומה נוכל לבקש משרת אינטרנט “תביא לנו את הדף של וואלה כיף!”, והוא יביא את דף הבית. אנחנו יכולים לבקש את הסרטון השני בכתבה “האם האנושות תכחד מחר? צפו:”, והוא יביא לנו את הסרטון. למחשב הזה נקרא “השרת של אתר ynet.co.il”.

לכל מחשב שמחובר לרשת האינטרנט יש כתובת מסוימת שספקית האינטרנט שלו נתנה לו. השם של זה כנראה מוכר לכם, “כתובת IP”, והיא מורכבת מ־4 חלקים שמופרדים בנקודה, בעלי 1–3 ספרות כל אחד.³ כשאנחנו רוצים לשלוח בקשה לאותו מחשב, במקרה הזה לשרת של אתר ynet.co.il, אנחנו נהיה חייבים לספק בדרך כלשהי את כתובת ה־IP שלו. או שמא?

כשאני רוצה להתחיל להזמין את המנה המלזית שלי מהשליח של ג’ירף, אני קודם כל צריך לברר את מספר הטלפון שלהם. אני מסתכל בספר הטלפונים המהודר שלי (נו, תזרמו), ואני מוצא את הרשומה “ג’ירף – 03.0000000”. עכשיו אני יכול להתקשר ולהזמין.

אותו דבר בדיוק קורה עם ynet.co.il: אני צריך להבין מה הכתובת שלהם. מה אני עושה? במקום שיהיה לנו ספר טלפונים ידני ומעפאן, האינטרנט המופלא מצא פתרון מדהים: DNS, או Domain Name Server. ה"שירות" הזה מאפשר לכם, בתהליך אוטומטי לחלוטין, לשאול: “מה כתובת ה־IP של ynet.co.il?” ולקבל בחזרה את התשובה.

בואו נסכם: כשאני רוצה להזמין מג’ירף, אני יודע שאני צריך להתקשר ל"ג’ירף". אני פותח ספר טלפונים, מוצא את “ג’ירף”, משיג את המספר שלהם, מתקשר, מזמין מנה מלזית, מקבל לבית. כשאני רוצה לקבל את העמוד הראשי של ynet.co.il (נו, היפותטית), המחשב שלי (ברקע) מוצא בעזרת DNS איפה נמצא “ynet.co.il”, משיג את הכתובת “88.221.144.18” (ה־IP), מבקש ממנו לקבל את דף הבית, ואנחנו מקבלים אלינו את דף הבית. יאי. ככה לא צריך ספר טלפונים לאתרי אינטרנט או לזכור את כל המספרים המציקים האלו בעל־פה.

ברכותיי! אתם יודעים את העיקרון שעומד מאחורי DNS! קחו לעצמכם מנה מלזית (גם עוגייה זה בסדר) ונמשיך הלאה.

אז מה קרה?

קול! עכשיו כשאנחנו יודעים בכלליות מה זה DDoS ומה זה DNS אפשר לדבר דוגרי. בואו נחבר סיפור מהחלקים שהשגנו עד כה:

ישנה חברה בשם Dyn שאחראית על נתינת שירותי DNS לאתרים. החברה עברה DDoS, כנראה מהכבדים שנראו עד כה בהיסטוריה. האתרים Twitter, Paypal, Netflix ושאר החברים השתמשו בשירותיהם של Dyn, ולכן לא יכולתם למצוא אותם.

זו אחת ההצהרות שיצאה מהחברה: “המורכבות של ההתקפות מקשה עלינו מאוד. ההתקפות כל־כך מבוזרות, הן באות מעשרות מליוני כתובות IP מרחבי העולם”.

אז מה קורה כשחברה כמו Dyn שמחזיקה את היכולת לענות לכם על “מה הכתובת של…” לא מסוגלת לספק שירות? בדיוק מה שקורה כשאין לכם את הספר טלפונים – אתם לא יכולים להתקשר לג’ירף!⁴ (או להיכנס לאתר אינטרנט, כי אין לכם את הכתובת האמתית שלו). עכשיו אתם בטח מגרדים את הראש ממש ושואלים את עצמכם מי יוזם את כל העניין הזה, ואיך יכול להיות שהוא השתלט על כל־כך הרבה מחשבים? אז לגבי “מי יוזם את כל זה” לא תהיה לי תשובה חד משמעית כנראה, אחד הדברים שעלולים לקרות ב־DDoS מתוכנן היטב. אבל לגבי כמות המחשבים?

לפי דיווחים אחרונים, נעשה שימוש בתכנה זדונית בשם Mirai⁵, שהייתה אחראית על אחת ההתקפות הגדולות שהכרנו עד עצם היום הזה. הרעיון הכללי הוא פשוט ומוכר: התוכנה הזדונית מנסה להתחבר לכל מני מכונות IoT (נתבים, מצלמות וכד’) בעזרת שם משתמש וסיסמה שבאים עם אותן מכונות מהמפעל (יש לתוכנה רשימה מוכנה מראש של שמות משתמש וסיסמה), ולהדביק אותם בקוד זדוני.⁶ בגלל חוסר המודעות שיש לעניין האבטחה של המוצרים האלו, הסיסמאות האלו עובדות לעתים מאוד קרובות, ובחלק מהפעמים הם אפילו צרובות ממש על פיסת החומרה. כך ניתן להשיג גישה למאות ולמיליוני מכשירים המחוברים לרשת.

פינת הקונספירציות

נסגור עם פינת “קונספירציות מתקבלות על הדעת” (לא מגיב 28 בנענע10, חייזרים לא מנסים לתקשר איתנו באמצעות DDoS):

• ברוס שנייר, מומחה אבטחה עם שם בינ"ל, טוען שלאחרונה אנחנו רואים המון מתקפות DDoS כנגד “תשתיות בסיסיות שגורמות לאינטרנט לעבוד”. טענתו הכללית היא שמישהו שם בחוץ “בודק איך להפיל את האינטרנט”, ועם כמה הזוי ולא מקצועי שזה נשמע, לבחור יש נקודה לא רעה. המתקפות לאחרונה מתבצעות בצורה אגרסיבית מאוד, כזו שלטענתו “מכריחות את השירותים לחשוף את יכולותיהם ההגנתיות”. “מי יעשה דבר שכזה?” הוא טוען, וממשיך לפרט: “לא נראה שזה מעשה ידיו של אקטיביסט, קרימינל או חוקר. לאפיין תשתיות ליבה נשמע כמו דבר שנהוג לעשות בריגול ובאיסוף מודיעין. זה לא מתאים לחברה מסחרית. יותר מזה, הגודל וההיקף של הבדיקות האלו – ובמיוחד ההתמדה שבהן – מצביעות על שחקנים לאומיים. זה נראה כאילו מפקדה צבאית מנסה לכייל את הנשקים שלה למקרה של מלחמת סייבר. זה מזכיר לי את התכנית של ארה"ב במלחמה הקרה לטוס בגובה רב מעל ברית המועצות ולכפות עליהם להפעיל את מערכות ההגנה האווירית שלהם, לצורך מיפוי היכולות של ברית המועצות.”
• לפני יומיים פורסמה באתר האבטחה KerbsOnSecurity מאמר על חברה בשם BackConnect שאמורה להגן על חברות מפני מתקפות DDoS. המאמר הלא מחמיא תיאר איך BackConnect פורצת לזומבים שמנסים לעשות DDoS על אתרים שהיא משרתת לצורך איסוף מידע עליהם, ועושה דברים לא לגיטימיים נוספים.⁷ מספר שעות לאחר עליית הכתבה לאתר, הוא הותקף ב־640Gb לשנייה. באופן לא קשור(?) המתקפה על Dyn התחילה מספר שעות אחרי ש־Doug Madory, חוקר אבטחת מידע שעובד בחברה, הרצה בפגישה בטקסס על המאמר מ־KerbsOnSecurity, שהוא היה שותף לכתיבתו.

לקריאה נוספת:

• מי גורם לאינטרנט של הדברים להיות תחת מתקפה? קריאה על Mirai של כרבע שעה
• שווה לקרוא על שיטות להגנה מ־DDoS (חפשו DDoS Mitigation).
• לינק מעולה (ת’ ל־Ori Gill ול־Ran Rubinstein על ההפניות) לחשיבה נוספת על מי מאחורי ההתקפה, והאם התיאוריות שהוצגו כאן מחזיקות מים