Anyaország, Tudomány és technika :: 2021. szeptember 22. 10:53 ::

További infók az előválasztási bénázáshoz: biztosan nem volt túlterheléses támadás

Én ugyan abszolút laikus vagyok e téren, viszont felhívtam egy kedves barátomat, akinek szakértelme megkérdőjelezhetetlen, webfejlesztéssel és weboldalak üzemeltetésével 10 éve, felhő alapú rendszerekkel 4 éve, banki informatikai tanácsadással 1 éve foglalkozik - írja Varga Bíró Tamás a Pesti Srácok oldalán, alább olvasható az összeállítása. Az erőltetetten butácska kérdésekre adott válaszokból érdekes helyzet rajzolódik ki, és a végén még portálunk szakértőjét is megszólaltatjuk.

- Elképzelhetőnek tartod-e, hogy túlterheléses támadás történt az ellenzéki előválasztás szerverén?

- Nézd, a naplófájlokra ugyan nincsen rálátásom, viszont a sajtóban elhangzottak, valamint a kutakodásaim alapján semmi esélyt nem látok arra, hogy ilyesmi történhetett. Az elovalasztas.hu és az eleve.hu domainek is egy Cloudflare nevű cég “védelmében” állnak jelenleg, ami egy népszerű és ingyenes, túlterheléses támadás ellen védő szolgáltató. Még az ingyenes csomagjuk is 100 tbps védelmet biztosít. A 100 tbps az 100 terabit, azaz 12,5 terabyte per secundumos sebességet jelent.

- Tudod rólam, hogy ostobácska vagyok ilyen téren, szóval egy szavadat se értem. Ez magas szintű védelmet jelent? Illetve… ez milyen szintű védelmet jelent?

- Ez annyi, mintha másodpercenként letöltenénk egy gépről 2700 DVD-t. 100 terabit 12,5 terabyte, 12500 gigabyte, 4,7 gigával számolva egy DVD-t. Na, jó, legyen „csak” 2650 DVD.

- Az oszt igen! Mi következik ebből? Szerinted mi történt?

- Ha túlterheléses támadás történt, azt nem a Cloudflare, hanem az általa elrejtett szerver felé tehették volna meg, így kikerülve ezt a védelmet. Ehhez szükséges megérteni, hogyan működik az internet és a Cloudflare, mint szolgáltató. Várj, elmesélem.

- Az jó lenne! Lehetőleg úgy, hogy az olvasóim is értsék. Egyszóval, hogy én is értsem.

- Amikor a böngészőbe beírod egy weboldal címét, akkor egy DNS (domain name service) feloldás történik. A könnyen megjegyezhető domain-névből egy sok számból álló IP-cím lesz. Azt, hogy melyik weboldal melyik IP-címen van eltárolva, DNS-szerverek tárolják el. Ez mindenféle felhasználói beavatkozás nélkül megtörténik.

- Fogjuk rá, hogy értem.

- Alapesetben beírod a címet, a böngésződ erre megtudja, hogy mi a szerver IP-címe, akivel neki beszélgetnie kell, hogy megkapd a weboldalt, amit keresel. Na és annak a szervernek elküldi a kérést, hogy “hé, kérem szépen ennek a weboldalnak a címlapját!”.

- Na, jó, így már tényleg értem. Azt hiszem… talán…

- A Cloudflare szolgáltatása ebbe a beszélgetésbe áll bele. Sok-sok gépük van, ami úgynevezett proxyként tud működni. Nem nála van a weboldal, de tudja, hogy kitől kell elkérnie. Viszont annak a gépnek az adatait veled már nem osztja meg. Ebben az esetben a böngésződ a Cloudflare egyik gépéhez fordul, hogy szeretnéd megnézni ezt az oldalt. A háttérben a Cloudflare pedig elkéri az oldalt attól a szervertől, akinél az valójában van.

- Hogyan következik ebből az, hogy nem kormányzati támadás történt az előválasztás szervere ellen?

- Magyarországon a BIX, azaz a Budapest Internet Exchange az, ahol a nemzetközi internetforgalom kicserélődik. Ez olyan, mint a Posta Ferihegyen. A nemzetközi gerinchálózatról ide érkezik be az internetforgalom, és a nemzetközi irányba is innen indul a forgalom. Amennyiben többszáz gigás forgalom indult volna, mint ezt állítják, ennek látszódnia kellene a BIX grafikonján.

- Ez, ahogy laikusként látom, állandó értéket mutat, semmi kilengés semmilyen irányban az átlaghoz képest.

- Nyilván ez a teljes magyarországi forgalom. Amennyiben Magyarországon vannak az előválasztás szerverei, vagy csak szervere, és tényleg akkora volt a forgalom, mint állítják, igen, itt láthatnánk egy kiugrást.

- Várj, várj! Egyáltalán van-e rá esély, hogy megtudjuk, hol fut az előválasztás szoftvere? Mert ez azért eléggé kardinális kérdés.

- Mivel itt kettő (de ha akarom, három) domainről beszélünk, közel tudunk kerülni a válaszhoz, bár erre sajnos garancia nem sok van, hiszen az oldalt menet közben költöztethették is. Viszont vannak olyan, az interneten elérhető szolgáltatások, amelyektől régebbi DNS-adatokat is meg tudunk szerezni, ha korábban látókörükbe került a domain. Ez olyan, mint amikor egy 10 évvel korábbi telefonkönyvet nézegetsz. Lehet, hogy akit keresnél, már nem lakik ott, vagy más lett a telefonszáma.

- És akkor ez annyit jelent, hooogy…?

- Az egyik ilyen szolgáltató a Securitytrails.com, az ő adatbázisukban viszont érdekes információkra bukkanhatunk.

- Mégpedig?

- Mutatom. Ugye, ahogy mondtam, jelenleg az elovalasztas.hu a Cloudflare védelmét élvezi. Ezt az alábbi kép is bizonyítja.

Viszont az MX sorban a DotRoll magyar szolgáltatót találjuk – ez azt jelenti, hogy a …@elovalasztas.hu email címekre írt üzeneteink a Cloudflare nélkül, a DotRoll szerverein landolnak.

- És kié ez a DotRoll?

- Ha a történelmi adatokat szeretnénk megnézni, sok érdekeset nem találunk, szinte üres a történet:

Viszont a választási szoftver nem az elovalasztas.hu -n, hanem az eleve.hu domainen fut, ami már érdekesebb történettel rendelkezik.

- Merthogy? Csak vigyünk most már bele egy kis columbós izgalmat, mert most veszítettük el az olvasók kétharmadát.

- Igyekszem, de tényleg ennyire bonyolult a dolog. Szóval, az előválasztás.hu-t megnyitva, az online szavazás átdob az https://eleve.hu/idopont/elovalasztas2021 oldalra. Semmi izgi, Cloudflare.

Ellenben a historical data alatt már beszédesebb adatok vannak.

Ez azt jelenti, hogy a domain korábban az EZIT Kft. gépein futott, egészen pontosan 2021-01-07 és 2021-08-24 között. Utána került elrejtésre a Cloudflare mögé.

- Lehet valamit tudni erről az EZIT Kft-ről?

- Az Ezit-nek a BIX-ben vannak szervertermei, többek között a Pestisrácok, és a 444 is náluk tárolja a weboldalait. Nem vicc, egy teremben van a négyes és a pées!

- Na, jó, most rúgtak ki engem még onnan is, ahová fel se vettek… Gyorsan folytasd, de valami nagyon, nagyon, nagyon, de nagyon érdekessel és meghökkentővel!

Okés! Íme, az Ezit grafikája szombatról:

Amin tényleg látszik egy ugrás, viszont ez még mindig nem az a mennyiség, ami miatt le kellene a rendszernek halnia. Hétfőn is látszik a lekérések méretében egy ugrás. Amit tudunk, hogy az eleve.hu domain mögött állt a 193.32.232.143 IP-jű gép, amit a történelmi adatokból láthatunk. Ez az ezit.hu egyik hosting-szervere, ezen a gépen fut többek között az ahang.hu domain is.

- Az IP-cím alapján lehet tudni, ki a működtető?

- Igen, így van, erről is szolgáltat adatot a fentebb említett szolgáltató.

- Akkor foglaljuk össze, amit eddig tudunk!

- Jó. szóval, amit eddig sikerült kideríteni:

Cloudflare-t használ az elovalasztas.hu és az eleve.hu is.

Egyszer, régen az Eleve.hu domain egy 193.32.232.143 IP-re mutatott.

Ez az IP-cím az Ezit szervere.

Ezen a szerveren több ahang-os cucc mellett az elovalasztas.hu domain is fut.

Summa summarum: a szerverük Magyarországon van, és a grafikon alapján tényleg történt nagyobb terhelés, mint ami a megszokott, de korántsem akkora, hogy az DDOS, azaz túlterheléses támadás legyen.

- Magyarán csak egy kutya közönséges rendszerösszeomlás volt?

- Pontosan. Mivel az elovalasztas.hu elérhető volt, és az eleve.hu domain ugyanazon a szerveren van, ha az elovalasztas.hu elérhető, összeomlásról nem beszélhetünk. De erről én leginkább az Ezit kft-t kérdezném meg.

Tehát még egyszer: a jelekből, miszerint az előválasztás.hu elérhető volt, és a mögötte futó eleve.hu rendszer lett NEM elérhető, a látott grafikák alapján azt mondanám: nem látom valószínűnek, hogy terheléses támadás történt. Csupán a látogatók egyszerre túl sokan nyitották meg az oldalt. Mármint a fogadó kapacitáshoz mérten túl sokan.

Némi infó az Ezitről:

És a jogelődről:

A Kuruc.info szakértőjének véleménye:

A cikkben egy tévedés van, de azt a kommenteknél valaki ki is elemezte: a BiX pont nem a nemzetközi, hanem a nemzeti forgalom határon belül tartására lett kitalálva több tíz éve. Ide csatlakozik a CloudFlare is, hiszen nekik is van Magyarországon is szervereik.

Amit sajnálok, az, hogy egyetlen újságíró sem fordult konkrétan a Cloudflare-hez, hogy megkérdezzék tőlük, az adott esetben elképzelhetőnek tartják-e, hogy tényleg túlterheléses támadás érte az eleve.hu-t, illetve, ha nem, akkor nem zavarja-e őket, hogy mindenhol az 530-as hibaüzenetes cloudflare-es képernyőfényképpel közlik a hírt, mintha ők lennének ennyire bénák...