Većina ljudi identifikuje ove crve sa klasičnim virusima, ali je zapravo njihova priroda sasvim drugačija: za razliku od klasičnih virusa koji obično prave manju ili veću štetu na kompjuterima koji su inficirani, crvi koriste inficirani kompjuter kao oružje za izvođenje DDoS (Distributed Denial Of Service attack) napada na određeni server, a da vlasnik kompjutera toga uopšte nije svestan.

Kako se izvodi DDoS napad?

U pripremnoj fazi, veliki broj računara („agenata”, nazivaju ih još i „zombiji”) inficira se crvima koji su zapravo aplikacije koje čekaju na komandu za napad i IP adresu mete, mirujući u međuvremenu ili pokušavajući da zaraze druge računare. Kada su uslovi za napad postignuti, izvođač napada korišćenjem klijenta (upravljačkog programa) daje komandu za početak napada zajedno sa adresom mete. Agenti započinju otvaranje velikog broja lažnih konekcija ka meti, izazivajući tako ogroman protok podataka koji obično dovodi do toga da meta postane nedostupna za prave korisnike usled preopterećenja, čime je cilj napada postignut. Primer za ovo je napad koji je izveden na „Yahoo”, kada je generisan lažni saobraćaj od 1 Gb/s.

Preteča DDoS napada su DoS napadi koji su se izvodili sa samo jednog računara, te ih je bilo relativno lako zaustaviti zabranom uspostavljanja konekcije s njim. Međutim, vremenom su se usavršavale strategije, napadi su postali sve sofisticiraniji i otporniji na protivmere, tako da za njih, kada jednom započnu, nema leka. Ono što je uopšte i omogućilo DDoS napade bile su upravo sigurnosne rupe u operativnim sistemima koje su omogućavale hakerima da u početku ručno, a kasnije i automatski inficiraju druge nezaštićene računare na Mreži. U početku su najviše bili zaražavani računari koji su radili pod operativnim sistemima Unix ili Linux, ali u poslednje vreme Windows platforma, kao najraširenija među korisnicima, biva najčešća meta zlonamernih hakera. Činjenica da je većina osnovnih instalacija operativnih sistema, bez instaliranja sigurnosnih zakrpa, podložna napadima crva govori o ozbiljnosti ovog problema. Najugroženiji su računari koji su neprekidno na Internetu i imaju stalnu IP adresu, te u ovakvim slučajevima treba preduzeti sve mere predostrožnosti.

Kako ih sprečiti?

Zašto je toliko teško ako ne i nemoguće zaustaviti DDoS napade? Pre svega, zbog činjenice da u napadu učestvuje mnogo računara i teško je odrediti koji su od njih napadači a koji stvarni posetioci napadnutog sajta. I napadači i posetioci sajta šalju sasvim legitimne pakete, tako da ih je nemoguće razlikovati. Ako bi sve konekcije bile prekinute, to bi upravo i označilo uspeh napada - sajtu niko ne može pristupiti. Jedna od ideja je da se napad prekine tako što se detektuju paketi koji služe za komunikaciju između klijenta i agenata, ali se sa razvojem strategija napada menjaju i načini komunikacije klijent-agent: od prvih vrsta paketa koji su bili jednostavni za detektovanje i koji su bili upućivani van standardnih komunikacionih protokola, došlo se do toga da se najnoviji DDoS napadi koordinišu putem IRC kanala, gde je gotovo nemoguće razlikovati komunikaciju klijent-agent od uobičajenog chata. Takođe, nekada su se hakerski alati poput Trin00 i Tribal Flood Network mogli naći na gotovo svakom hakerskom sajtu i bili su napravljeni tako da ih može koristiti svako, bez ikakvog posebnog „hakerskog” znanja. Na njima je lako mogao da se primeni reverzni inženjering i da se otkrije način njihovog rada, a time i da se naprave alati koji mogu da ih neutralizuju. Današnji sofisticiraniji klijenti po pravilu su u rukama svojih tvoraca, a i ako nisu, sadrže brojne efikasne zaštite od reverznog inženjeringa, tako da se sa sigurnošću ne zna ni kako rade. Jedino što ostaje jeste da se računari stalno priključeni na Mrežu maksimalno zaštite od sigurnosnih propusta korišćenjem „zakrpa”, kako se crvi poput Ramena, Nimde ili Liona ne mogu spolja instalirati na njihov sistem.

Ko su žrtve DDoS napada?

Najveće žrtve su napadnuti sajtovi, koji zbog prestanka rada od nekoliko sati do nekoliko dana trpe veliku materijalnu štetu, ali ništa manje žrtve nisu ni vlasnici inficiranih računara, koji ni krivi ni dužni predstavljaju oruđe za nečije prljave ciljeve, kao ni obični posetioci sajtova koji zbog napada ne mogu da pristupe željenom sadržaju. Za sada je jedini cilj DDoS napada izbacivanje pojedinih sajtova iz sistema, i nije poznato da je bilo ikakve novčane satisfakcije za napadače, ali bi se moglo desiti da u budućnosti ovakvi napadi na neki način omoguće krađu vrednih informacija, poput onih o brojevima kreditnih kartica. Procenjuje se da je dosadašnja šteta od DDoS napada u Americi oko 1,2 milijarde dolara, što je dovelo do uključivanja FBI-ja u čitavu stvar i određivanja kazne za počinioce u iznosu od 250 000 dolara i 5 do 10 godina zatvora.

Zajednički zaključak stručnjaka za mrežnu sigurnost jeste da od DDoS napada nema zaštite i da je jedino moguće raditi na ispravljanju sigurnosnih propusta na računarima priključenim na Mrežu. Da bi se Internet učinio imunim na ovakve napade treba mu potpuno promeniti koncepciju i strukturu, što za sada ne dolazi u obzir. Preostaje, dakle, jedino delanje u skladu sa narodnom poslovicom: „Bolje sprečiti nego lečiti”.