Jak přežít útoky DDoS

Ataky typu DDoS (Distributed Denial of Service, distribuované odmítnutí služby) jsou strašákem pro mnoho organizací – rizika jsou totiž významná, ať už jde o ekonomické ztráty, ztrátu reputace či maskování jiné nekalé aktivity. Dá se takový útok přežít s minimálními následky?

DDoS útok (Distributed Denial of Ser-vice) je pro hackery stálým „evergreenem“ a jeho obliba nadále stoupá. Mimo jiné i proto, že ho mohou hackeři lehce obchodovat a „prodávat zájemcům jako službu“. Primárním úkolem tohoto útoku je znepřístupnit on -line službu oprávněným uživatelům. On -line službou mohou být e-shop, elektronické bankovnictví, webová stránka, aplikace SaaS nebo jakýkoliv jiný typ síťové služby. Důvody útoku přitom mohou být různé: konkurenční boj a poškození značky, msta nespokojeného nebo bývalého zaměstnance, „aktivistické působení“, zastrašování pracovníků IT a vedení, vydírání oběti nebo „jen“ bezdůvodné hackerství. Typy DDoSÚtoky DDoS lze identifikovat na různých vrstvách modelu OSI (Open Systems Inter-connection). Útoky jsou vedené buď na vrstvách infrastruktury (vrstva 3 a 4), nebo na prezentační a aplikační vrstvě (vrstva 6 a 7). V obou případech je však primárním záměrem útočníka znepřístupnit on -line služby legitimním uživatelům a poškodit oběť.

■Útoky na infrastrukturních vrstvách

Nejčastější formou DDoS útoků jsou tzv. volumetrické útoky vedené přes IP protokol a protokoly TCP/UDP modelu OSI. Při těchto útocích dochází k přetížení serverů a zahlcení přístupových linek či síťových zařízení (např. routerů a firewallů) falešným datovým provozem. Servery dané služby jsou zahlcené a nemohou zpracovávat legitimní síťový provoz. Útočníci využívají velké množství počítačů a dalších síťových zařízení rozptýlených v rámci internetu. Všechna tato řešení cílí na jednu konkrétní on -line službu zvolenou útočníkem. Existuje několik kategorií takovýchto útoků: ACK Flood Attack, ICMP Flood Attack, Multi-vector Attack, SYN Flood Attack, UDP Flood Attack apod., všechny naštěstí vykazují typické znaky a lze je relativně snadno odhalit.

■Aplikační útoky

V případě aplikačního útoku nejde o vý-znamné zvýšení objemu přenášených dat – útočník si bere na mušku některou ze zná-mých zranitelností cílového systému, jejíž zneužití vede k přetížení nebo pádu aplikačního serveru.Útoky jsou složitější a „simulují“ legitim-ního uživatele. Mezi nejrozšířenější útoky tohoto typu patří HTTP Flood Attack, Slow-loris Attack, WordPress pingback Attack apod.

Možnosti ochrany

Existují tři základní způsoby, jak reagovat na probíhající DDoS útok:

■ Nedělat nic. Toto je nejčastější reakce toho, kdo není připraven. Obvyklým následkem je selhání všech poskytovaných služeb vlivem kombi-nace následujících faktorů:

Přetížení, respektive vyčerpání systémových prostředků serveru.

Přetížení, respektive vyčerpání systémových prostředků síťového prvku.

Saturace internetového připojení.

■Filtrování. Filtrace DDoS útoku vyžaduje specializované zařízení, které v sobě integruje detektor a mitigátor. Detektor zjistí (a v čase aktualizuje) vektor útoku, analyzuje, jaké společné znaky má síťový provoz generovaný útokem, a předává je mitigátoru, který na jejich základě selektivně zahazuje nežádoucí datové packety. Nutné je ale poznamenat, že cílem není filtrovat všechen nežádoucí provoz, ale udržet v provozu chráněnou službu, na kterou se útok vede. Kapacita tohoto zařízení a kapacita jeho internetového připojení určují, jak silný útok je možné filtrovat.

Pokud dojde k vyčerpání této kapacity, začnou se projevovat stejné nežádoucí jevy jako v případě saturovaného internetového připojení. Reakce „nedělat nic“ a „filtrovat“ mají jeden společný nepříjemný ekonomický efekt: obvykle někdo musí zaplatit za nechtěné datové přenosy způsobené útokem.

■Blackholing. Poslední šancí je obětovat cíl útoku pro záchranu ostatních služeb a infrastruktury. K tomuto kroku se obvykle přistupuje v oka-mžiku vyčerpání kapacity filtrace či internetového připojení, anebo pokud náklady na filtraci převyšují zisk z provozu chráněné služby. V praxi to funguje tak, že se IP adresa cíle útoku u ISP nasměruje do tzv. blackhole (tedy že veškerý síťový provoz směřující na ni se zahazuje) a informace o tomto stavu se předává i do sousedních autonomních systémů (RTBH, Remotely Triggered Black Hole Filtering).

Až do odvolání tohoto opatření pak sice tato IP adresa nefunguje, ale také pro ni ne-přitéká z internetu žádný provoz (ani útok).Ochrana svépomocí a jaká konkrétní opatření pro minimalizaci dopadů DDoS útoků můžete udělat sami?

■Být co nejmenším cílem. Menší terč se hůře trefuje. Vše, co nemusí být z internetu vidět, ať není vidět. Prověřte všechny otevřené porty a protokoly na vašich veřejných IP adresách. Jsou potřeba? Pokud ne, zakažte je pokud možno ještě na straně ISP (před úzkým hrdlem internetového připojení).Například pokud provozujete pouze webový server, můžete rovnou blokovat UDP a nepotřebné porty TCP. Nezapomeňte na zabezpečení aktivních síťových prvků. Například aplikovat pravidla CoPP (Control Plane Policing), a omezit tak čerpání systémových prostředků (třeba proti TTL Expiry Attacks).

■Monitoring. Musíte vědět, co se v síti děje. Na první pohled je to samozřejmost, avšak v praxi se mo-nitoring široce podceňuje a opomíjí. V kontextu DDoS útoků je nutné znát odpovědi na následující otázky: Probíhá nějaký útok? Kam útok směřuje (může mít více vektorů)? Jde z hlediska poskytovaných služeb o kritickou situaci? U běžného síťového řešení je třeba sledovat internetové připojení (PPS, BPS, NetFlow), síťové prvky (PPS, BPS a systémové prostředky) a servery (RPS, CPS, PPS, BPS a systémové prostředky) a dále klíčové metriky poskytovaných služeb, jako jsou například dostupnost, chybovost, latence, jitter a podobně. U návrhu monitoringu nezapomeňte zohlednit vliv saturace internetového připojení či vliv zátěže jednotlivých síťových prvků. Monitoring musí fungovat především v době útoku. Filtrace a konektivita: Pro filtraci je třeba implementovat specializované zařízení s dostatečnou kapacitou na útoky, kterým má čelit, a dostatečně dimenzovat internetové připojení. Toto zní logicky a jednoduše, ale má to jeden háček. Pokud totiž provozujete například služby s běžnými toky do 1 Gb/s a chcete přežít útoky o síle do 30 Gb/s, musíte své filtrování a připojení k internetu dimenzovat na 31 Gb/s, což bude navíc zřejmě znamenat i výměnu většiny síťových prvků. A cenovka se vám v takovém případě líbit moc nebude. Navíc investiční náklady se účetně promítají do nákladů několik let. Pro jeho správu, aktualizaci a provoz potřebujete kvalifikovaný personál, který musí být okamžitě dostupný právě v době incidentu.

Krizové plány

Štěstí přeje připraveným. Je dobré si připravit scénáře, podle kterých budete rozhodovat o dalším postupu v době útoku. Zkuste se zamyslet, zda vaše plánování zahrnuje odpovědi na následující otázky:

■Které služby jsou kritické pro naši činnost?

■Jaké jsou dopady jejich nefunkčnosti?

■Lze je ekonomicky kvantifikovat?

■Do jaké výše má smysl investovat do jejich ochrany/filtrace?

■Jak se měří a vyhodnocuje jejich funkčnost (SLA)?

■S kým se spojíme v případě potíží? Dále je dobré zvážit i možnosti extrémních opatření pro případ dlouhodobého útoku:

■Kde jsou vaši zákazníci?

■Je možné omezit konektivitu na konkrétní region(y)?

■Je možné implementovat filtraci podle GeoIP?

Ochrana v cloudu

Jak již bylo zmíněno výše, útoky je možné filtrovat jen do kapacity filtrovacího zařízení a jeho internetového připojení. Právě proto je výhodnější ochranu provozovat v cloudu, kde se konektivita a výkon dimenzují podstatně snadněji. A filtrace útoků probíhá ještě před jejich vstupem do vlastní sítě. Jedním takovým cloudovým řešením je ryze český FlowGuard (www.fl owguard.io) od společnosti ComSource.

Detekce útoku a mitigace dat

Ochranu proti DDoS útokům lze rozdělit na dvě části – na detekci a na mitigaci datového toku. FlowGuard využívá unikátní samoučící se mechanismy, díky kterým spolehlivě identifikuje nebezpečná data. Pokud je identifikován útok, dochází k aktivaci obranného mechanismu, kdy je datový tok přesměrován do masivní infrastruktury, tzv. scrubbing centra. Zde jsou infikovaná data očištěna od nebezpečného obsahu a do síťové infrastruktury chráněné on-line služby odcházejí jen legitimní datové toky.

■FlowGuard Infrastructure Protection – Služba chránící před útoky pro provozovatele síťové infrastruktury s vlastním autonomním systémem. Vhodná pro poskytovatele internetového připojení či obchodní společnosti. Přesměrování síťového provozu do cloudu pomocí BGP a z cloudu přes privátní trasu nebo GRE tunel. V závislosti na rozsahu poskytované ochrany umožňuje trvalé přesměrování, přesměrování jen v případě potřeby nebo hyb-ridní řešení s vlastním CPE zařízením.

■FlowGuard Website Protection – Služba chránící před útoky pro provozovatele webových stránek a aplikací. Vhodná především pro e-shopy, různé komunitní portály a provozovatele veřejných služeb. Přesměrování síťového provozu do cloudu pomocí DNS. Kromě ochrany před útoky na aplikační vrstvě služba obsahuje i další nástroje, jako jsou například load balancing, rate li-miting, caching, SSL offloading atd.