W odpowiedzi na pytanie Internet Society Poland, polski CERT potwierdził, iż przejściowa niedostępność serwisów internetowych policji była spowodowana atakiem typu Distributed Denial of Service.

Zespoły CERT (ang. Computer Emergency Response Team) zajmują się badaniem, analizą i przeciwdziałaniem naruszaniu bezpieczeństwa systemów komputerowych w Internecie.

Atak typu Distributed Denial of Service (DDoS) polega na zablokowaniu usługi sieciowej poprzez zmasowane wysyłanie pakietów sieciowych w stronę serwerów obsługujących daną usługę (na przykład serwis internetowy). Wysyłanie pakietów odbywa się w sposób skoordynowany z wielu innych maszyn w Internecie, co pozwala na jednoczesne wykorzystanie bardzo wielu łącz do zablokowania usługi będącej celem ataku.

Atak rozpoczął się w godzinach wieczornych 17 maja. Według uzyskanych przez nas informacji, dostawca łącza internetowego dla serwisu internetowego Komendy Głównej Policji, Naukowa i Akademicka Sieć Komputerowa (NASK) podjął standardowe działania techniczne podejmowane w przypadku tego typu ataków.

Poniżej odpowiedzi na nasze pytania jakie uzyskaliśmy od polskiego zespołu CERT:

1) Czy mieliśmy do czynienia z atakiem DDoS czy ze zwykłą niewydolnością
infrastruktury technicznej leżącą poza obszarem dostawcy internetu?

Mamy do czynienia z atakami DDoS.

2) Czy i w jakim stopniu sieć NASK i/lub innych dostawców odczuła skutki ataku?

Atak przeprowadzany jest na serwis www.policja.pl. Jak na razie nic nie wskazuje na to, żeby skutki ataku w znaczący sposób dotyczyły również infrastruktury NASK lub innych operatorów. Odnotowywany jest charakterystyczny przy tego typu sytuacjach wzrost ruchu na łączach.

3) Czy i w jakim stopniu atak wpłynął na dostępność publicznych serwisów Policji?

Jak wiadomo (chociażby z przytaczanych przez Pana komunikatów medialnych) ten atak był skierowany na stronę WWW Policji. Nic nam nie wiadomo aby przy tej okazji inne serwisy Policji zostały skutecznie zaatakowane. Skutek ataku jest oczywisty - strona Policji jest w długich okresach niedostępna, automatycznie wszystkie informacje i serwisy dostępne w ramach tej strony również w czasie ataków są niedostępne.

4) Jaki był charakter czasowy ataku (dni i godziny)?

Atak z przerwami trwa od późnych godzin wieczornych 17/05/2007. Są to krótkie okresy ataku lub kilkugodzinne "sesje".

5) Czy i jakie działania zostały podjętę w tej sytuacji (np. łącza zapasowe, filtry BGP itp. itd.)?

W tej sprawie NASK jako operator wykonuje typowe działania, które może podjąć operator telekomunikacyjny w przypadku tego typu ataków. Dodatkowo w działania zaangażowany jest, działający w ramach NASK, zespół CERT Polska. Wykonywane są różne działania techniczne w sieci oraz cały czas kontaktujemy się z innymi operatorami oraz zespołami CERT-owymi w kraju i za granicą.

CERT nie ujawnia szczegółów podjętych działań technicznych.

• Polska Wikipedia na temat ataku typu DDoS
• Komentarz w serwisie Piotra Waglowskiego