DDoS: Jak się bronić?

W dzisiejszych czasach ataki typu Distributed Denial of Service (DDoS) są jednymi z częściej spotykanych cyberprzestępstw w Internecie. Co chwila przeczytać można o kolejnych przeprowadzonych atakach. Wiele firm dużych jak i mniejszych zastanawia się jak się bronić? Obawy są całkowicie uzasadnione ponieważ obecnie nawet mało doświadczony użytkownik może dokonać takiego ataku. W Internecie dostępne są serwisy, które za odpowiednią opłatą oferują usługi przeprowadzania kampanii DDoS. Cena uzależniona jest bardzo często od mocy i czasu trwania takiego ataku. Zatem potencjalnym atakującym może być każdy, duże organizacje propagandowe, konkurent w biznesie, niezadowolony klient czy były pracownik firmy.

Typu ataków DDoS.

Ogólnie metody ataków definiuje się na trzy sposoby:

Ataki volumetryczne

Których zadaniem jest wygenerowanie tak dużego ruchu aby wysycić całe dostępne pasmo obiektu atakowanego. W tym wypadku jest to najczęściej punkt styku z Internetem. Ich miarą są Bits per second, a tak naprawdę dziś mówimy o atakach typu Gigabits per second. Efektem tego jest uniemożliwienie dostępu do serwisów w wyniku wysycenia całego dostępnego pasma.

Ataki protokołowe

W których poprzez wykorzystanie technik takich jak Sync Flood, Ping od Death itp., dochodzi do wysycenia zasobów urządzania odbierającego taki atak, jak np router, firewall’a czy serwera aplikacyjnego. Miarą jest ilość pakietów na sekundę. W ten sposób w wyniku przeciążanie urządzenia ilością zapytań każde kolejne są już odrzucane, aplikacja staje się niedostępna.

Ataki aplikacyjne

W których atakujący starają się wykonać, wykorzystując różne luki w zabezpieczeniach aplikacji, zapytania mające na celu przeciążyć konkretną funkcję aplikacji doprowadzając ją do”crashu”.

Ataki rosną w siłę.

W ostatnich latach obserwowany jest znaczny wzrost liczby oraz siły ataków. Na stronie http://www.digitalattackmap.com/ można w sposób graficzny obejrzeć historię przepływu i natężenie ruchu związanego z DDoS. Widać też doskonale podział na typy przeprowadzonych ataków.

DDoS_jak_sie_bronic_mapka

Źródło: http://www.digitalattackmap.com

 

Dodatkowo rosnąca ilość urządzeń podłączonych do Internetu jak i coraz większe przepustowości łącz oferowane klientom, są czynnikami sprawiającymi, że ataki przybierają na sile. Przy użyciu złośliwego softu, bądź luk w oprogramowaniu hakerzy budują armie zainfekowanych komputerów (dziś także innych urządzeń) nad którymi zyskują kontrolę i są w stanie zaplanować precyzyjną kampanie DDoS. Na blogu firmy Cloudflare można poczytać o przypadkach ataków na klientów owej firmy, polecam artykuł:  „Technical Details Behind a 400Gbps NTP Amplification DDoS Attack” opisujący przypadek ataku DDoS o sile 400Gbps przy użyciu protokołu NTP. Ciekawostką jest, że do przeprowadzenia takiego DDoS’a atakujący potrzebował jedynie 4500 serwerów NTP.  Zakładając (różni mówią o różnych liczbach), że do Internetu jest podłączonych ok 6 bilionów urządzeń, liczba 4,5 tysiąca wydaje się być garstką. Widać zatem, że możliwości są duże.

Jak się bronić przed DDoS?

Tak naprawdę nie ma uniwersalnego rozwiązania, każdy z typów wymaga innego podejścia i narzędzi. Z pewnością trzeba podejść do tego kompleksowo i rozważając konkretne rozwiązanie, wziąść pod uwagę przed jakimi typami ataków będzie ono nas chronić. Obecnie praktycznie każdy producent sprzętu sieciowego związanego z bezpieczeństwem posiada w swoim portfolio rozwiązania anty DDoS’owe. Pamiętać jednak należy, że zainstalowanie sprzętu firmy X na styku z Internetem nie rozwiążę problemu całkowicie. Temat jest bardziej złożony, tylko zapewnienie rozwiązań dla każdego typy ataków może skutecznie nas ochronić. Nikt nie jest w stanie przewidzieć jakiego z jakiego typu DDoS’em przyjdzie mu się zmierzyć.

Ataki volumetryczne (te dość często spotykane) to takie, które najszybciej da się dostrzec, ale zarazem są tymi, którymi klient końcowy nie jest w stanie sam sobie poradzić. Kiedy w momencie ataku jego moc znacznie przewyższa możliwości łącza (zakładając z jego pełną nadmiarowością) żadne zainstalowane lokalnie rozwiązanie nic tu nie pomoże, bo wszystko zatyka się już o krok wcześniej, na styku z Internetem. łącza utylizowane na 100% niepożądanym ruchem nie są w stanie obsłużyć ruchu właściwego, wszystkie witryny, serwisy firmy są niedostępne. Co w takim wypadku zrobić? Tutaj z pomocą może przyjść nam operator z usług którego firma korzysta. Jego możliwości pod kątem obsługi ruchu są znacznie większe (w końcu przyszło od niego tyle ruchu), zatem jest on nadal w stanie panować nad swoją infrastrukturą i ma możliwości podjęcia aktywnych działań. Jest w stanie np wycinać prefiksy z których przychodzi niepożądany ruch. Jeśli np. biznes firmy zamyka się jedynie w granicach kraju, operator może wygasić rozgłaszanie prefiksów firmy poza jego obszar. Obecnie kolejni operatorzy buduje tzw „scrubbing centers” które są dedykowanymi ośrodkami do przetwarzania ruchu płynącego do klienta przy użyciu specjalistycznego sprzętu (np. Arbor Networks) do ochrony przed DDoS. Oferowane jako usługa dodatkowa może być skutecznym narzędziem do obrony przed atakami volumetrycznymi ale również przed pozostałymi dwoma typami. Innymi narzędziem mogą byś usługi oferowane m.in. przez wspomnianą już wcześniej firmę CloudFlare. Głównym obszarem działania firmy jest oferowanie usług mających poprawić performance witryn klienta.

ddos_jak_sie_bronic_cloudflare

Źródło: https://www.cloudflare.com

Dodatkowo jednak oferują rozwiązania z obszaru bezpieczeństwa skupiając się właśnie na ochronie przed DDoS. W skrócie działa to na zasadzie usługi proxy. Cały ruch idący na stronę klienta przechodzi przez „chmurę” cloudflare i tam poddawany jest analizie pod kątem zagrożeń.

Sprawa wygląda inaczej jeśli korzysta się z rozwiązań chmury publicznej. Np. Amazon Web Services (AWS), w dokumencie „AWS Best Practices for DDoS Resiliency” opisuje dokładnie jak przy pomocy ich rozwiązań przygotować się i radzić sobie z DDoS. Polecam również ciekawy artykuł „Atak DDoS – historia prawdziwa” opublikowany na computerworld.pl, gdzie opisany jest przypadek historia ataku na firmę CrownPeak hostującą swoje usługi na AWS. Wniosek z tego artykuł:

Podsumowując zdarzenie specjaliści CrownPeak stwierdzili, że gdyby aplikacja utrzymywania byłaby we własnym centrum danych, prawdopodobnie nie byłoby możliwości zatrzymania ataku. Warto pamiętać o założeniach dotyczących finansowania całej operacji. Na koniec dnia, całkowite opłaty dla AWS pozwalające odpierać atak przez 36 godzin wyniosły mniej niż 1500 USD.

Bedąc entuzjastą rozwiązań cloud, nie mogę niepozwolić sobie na stwierdzenie, że to jeden z dobrych powodów, dla których warto przenieść się do chmury ;-).

Ataki protokołowe  w tym wypadku problemem nie jest ilość ruchu, a ilość pakietów celowanych bardzo często w losowe porty. Np. poprzez tzw. UDP Flood, w którym generowana jest masa zapytań na zupełnie losowe porty, można doprowadzić do przeciążenia urządzenia odbierającego taki atak. Odbiorca z każdym razem stara się powiązać odebrany pakiet na danym porcie z aplikacją i w odpowiedzi odsyła Destination Unreachable. W miarę coraz większej ilości zapytań i odpowiedzi system ulega przeciążeniu. W takim wypadku filtrowanie na poziomie portów nie pomoże, gdyż są one losowe.  Niezbędne jest rozwiązanie, mogące dokonać głębszej inspekcji (Deep Packet Inspection- DPI) poprzez przeglądanie zawartości pola „Data” oraz nagłówka pakietów. Dzięki temu możliwa będzie analiza pod kątem IP reputation, podejrzanych atrybutów bądź zachowania. Przy tego typu zagrożeniach skorzystać można zarówno z usług „scrubbing centers”, czy też usług w firm typu CloudFlare, ale również rozważyć instalację sprzętu u siebie.

Ataki aplikacyjne to typ, który zyskuje obecnie na popularności, w dodatku jest bardzo trudny do zaobserwowania po stronie infrastruktury sieciowej, gdyż nie objawia intensywnym ruchem, ani ogromną ilością sesji, ich celem są aplikacje. Atak tego typu charakteryzuje się tym, że podejmowane są próby wywoływania zapytań w celu np. zdobycia danych chronionych, albo poprostu zdestabilizowania aplikacji i doprowadzeniu do przerwy w jej działaniu (np. 2 miliony potwierdzeń zamówienie czegoś na stronie w ciągu sekundy). Ostatnimi czasy ataki tego typu stają coraz bardziej skomplikowane, zdarza się, że wykorzystywanych jest kilka mechanizmów razem. Po raz kolejny świetnie sprawdzą się tu usługi typu „scrubbing centers”, czy specjalistyczny sprzęt typu DPI. Czasem jest tak, że wraz z wykupieniem usługi „oczyszczania” ruchu przez operatora, proponuje on instalację jeszcze dodatkowo modułu u klienta, dzięki współpracy urządzeń u klienta i w scrubbing center dużo szybciej udaje się wykryć potencjalny atak.

Podsumowanie.

Moim zdaniem każda firma, która prowadzi dziś biznes w Internecie, nie powinna ignorować zagrożeń związanych z DDoS. Temat należy potraktować kompleksowo i skupić się na rozwiązaniach oferujących zabezpieczenie zarówno przed atakami w warstwie sieci jak również w warstwie aplikacji. Droga na skróty, bądź zaklinanie rzeczywistości twierdzeniami typy „kto by nas zaatakował” może bardzo szybko przynieść marne żniwo. Gama rozwiązań jest bardzo duża, pytajcie zatem swoich operatorów, wasze firmy hostingowe, dostawców chmury czy oferują usługi anty DDoS. Bo jeśli tak to bardzo często zaoferują wam kompleksową usługę zabezpieczenia przed wszystkimi typami ataków. Poza tym rozważcie usługi dostępne w Internecie:

ddos_jak_sie_bronic_uslugi_w_sieci

 

Tego typy rozwiązania również oferują kompleksową ochronę.Plusem tego, jest, że otrzymuje się to jako usługe, nie ponosząc kosztów związanych z zakupem i utrzymaniem sprzętu. Jeśli jednak zdecydujecie na budowanie rozwiązania u siebie, możliwości są duże (np. Arbor Networks, F5), dodatkowo musicie dobrać rozwiązanie do ochrony przed atakami volumetrycznymi. Każda koncepcja jest dobra jeśli tylko zapewni pełną ochronę.

Łukasz od kilkunastu lat zajmuje się sieciami komputerowymi i systemami teleinformatycznymi, pracując obecnie jako inżynier wsparcia sprzedaży. Od pewnego czasu intensywnie zainteresowany rozwiązaniami Public Cloud i wszystkim as a Service. W wolnym czasie biega i prowadzi bloga https://www.lukado.eu