MENU
21. 5. 2019
Tomáš Sekera
E-books

Jak přežít útoky DDoS

Ataky typu DDoS (Distributed Denial of Service, distribuované odmítnutí služby) jsou strašákem pro mnoho organizací – rizika jsou totiž významná, ať už jde o ekonomické ztráty, ztrátu reputace či maskování jiné nekalé aktivity. Dá se takový útok přežít s minimálními následky?

DDoS útok (Distributed Denial of Service) je pro hackery stálým „evergreenem“ a jeho obliba nadále stoupá. Mimo jiné i proto, že ho mohou hackeři lehce obchodovat a „prodávat zájemcům jako službu“. Primárním úkolem tohoto útoku je znepřístupnit on-line službu oprávněným uživatelům. On-line službou mohou být e-shop, elektronické bankovnictví, webová stránka, aplikace SaaS nebo jakýkoliv jiný typ síťové služby.

Důvody útoku přitom mohou být různé: konkurenční boj a poškození značky, msta nespokojeného nebo bývalého zaměstnance, „aktivistické působení“, zastrašování pracovníků IT a vedení, vydírání oběti nebo „jen“ bezdůvodné hackerství.

Typy DDoS

Útoky DDoS lze identifikovat na různých vrstvách modelu OSI (Open Systems Interconnection). Útoky jsou vedené buď na vrstvách infrastruktury (vrstva 3 a 4), nebo na prezentační a aplikační vrstvě (vrstva 6 a 7). V obou případech je však primárním záměrem útočníka znepřístupnit on-line služby legitimním uživatelům a poškodit oběť.

Útoky na infrastrukturních vrstvách

Nejčastější formou DDoS útoků jsou tzv. volumetrické útoky vedené přes IP protokol a protokoly TCP/UDP modelu OSI. Při těchto útocích dochází k přetížení serverů a zahlcení přístupových linek či síťových zařízení (např. routerů a firewallů) falešným datovým provozem. Servery dané služby jsou zahlcené a nemohou zpracovávat legitimní síťový provoz. Útočníci využívají velké množství počítačů a dalších síťových zařízení rozptýlených v rámci internetu. Všechna tato řešení cílí na jednu konkrétní on-line službu zvolenou útočníkem. Existuje několik kategorií takovýchto útoků: ACK Flood Attack, ICMP Flood Attack, Multi-vector Attack, SYN Flood Attack, UDP Flood Attack apod., všechny naštěstí vykazují typické znaky a lze je relativně snadno odhalit.

Aplikační útoky

V případě aplikačního útoku nejde o významné zvýšení objemu přenášených dat – útočník si bere na mušku některou ze známých zranitelností cílového systému, jejíž zneužití vede k přetížení nebo pádu aplikačního serveru. Útoky jsou složitější a „simulují“ legitimního uživatele. Mezi nejrozšířenější útoky tohoto typu patří HTTP Flood Attack, Slowloris Attack, WordPress pingback Attack apod.

Možnosti ochrany

Existují tři základní způsoby, jak reagovat na probíhající DDoS útok.

Nedělat nic

Toto je nejčastější reakce toho, kdo není připraven. Obvyklým následkem je selhání všech poskytovaných služeb vlivem kombinace následujících faktorů:

  • Přetížení, respektive vyčerpání systémových prostředků serveru.
  • Přetížení, respektive vyčerpání systémových prostředků síťového prvku.
  • Saturace internetového připojení.

Filtrování

Filtrace DDoS útoku vyžaduje specializované zařízení, které v sobě integruje detektor a mitigátor. Detektor zjistí (a v čase aktualizuje) vektor útoku, analyzuje, jaké společné znaky má síťový provoz generovaný útokem, a předává je mitigátoru, který na jejich základě selektivně zahazuje nežádoucí datové packety.  Nutné je ale poznamenat, že cílem není filtrovat všechen nežádoucí provoz, ale udržet v provozu chráněnou službu, na kterou se útok vede.

Kapacita tohoto zařízení a kapacita jeho internetového připojení určují, jak silný útok je možné filtrovat. Pokud dojde k vyčerpání této kapacity, začnou se projevovat stejné nežádoucí jevy jako v případě saturovaného internetového připojení. Reakce „nedělat nic“ a „filtrovat“ mají jeden společný nepříjemný ekonomický efekt: obvykle někdo musí zaplatit za nechtěné datové přenosy způsobené útokem.

Blackholing

Poslední šancí je obětovat cíl útoku pro záchranu ostatních služeb a infrastruktury. K tomuto kroku se obvykle přistupuje v okamžiku vyčerpání kapacity filtrace či internetového připojení, anebo pokud náklady na filtraci převyšují zisk z provozu chráněné služby. V praxi to funguje tak, že se IP adresa cíle útoku u ISP nasměruje do tzv. blackhole (tedy že veškerý síťový provoz směřující na ni se zahazuje) a informace o tomto stavu se předává i do sousedních autonomních systémů (RTBH, Remotely Triggered Black Hole Filtering). Až do odvolání tohoto opatření pak sice tato IP adresa nefunguje, ale také pro ni nepřitéká z internetu žádný provoz (ani útok).

Ochrana svépomocí

A jaká konkrétní opatření pro minimalizaci dopadů DDoS útoků můžete udělat sami?

Být co nejmenším cílem

Menší terč se hůře trefuje. Vše, co nemusí být z internetu vidět, ať není vidět. Prověřte všechny otevřené porty a protokoly na vašich veřejných IP adresách. Jsou potřeba? Pokud ne, zakažte je pokud možno ještě na straně ISP (před úzkým hrdlem internetového připojení). Například pokud provozujete pouze webový server, můžete rovnou blokovat UDP a nepotřebné porty TCP. Nezapomeňte na zabezpečení aktivních síťových prvků. Například aplikovat pravidla CoPP (Control Plane Policing), a omezit tak čerpání systémových prostředků (třeba proti TTL Expiry Attacks).

Monitoring

Musíte vědět, co se v síti děje. Na první pohled je to samozřejmost, avšak v praxi se monitoring široce podceňuje a opomíjí. V kontextu DDoS útoků je nutné znát odpovědi na následující otázky:

  • Probíhá nějaký útok?
  • Kam útok směřuje (může mít více vektorů)?
  • Jde z hlediska poskytovaných služeb o kritickou situaci?

U běžného síťového řešení je třeba sledovat internetové připojení (PPS, BPS, NetFlow), síťové prvky (PPS, BPS a systémové prostředky) a servery (RPS, CPS, PPS, BPS a systémové prostředky) a dále klíčové metriky poskytovaných služeb, jako jsou například dostupnost, chybovost, latence, jitter a podobně. U návrhu monitoringu nezapomeňte zohlednit vliv saturace internetového připojení či vliv zátěže jednotlivých síťových prvků. Monitoring musí fungovat především v době útoku.

Filtrace a konektivita

Pro filtraci je třeba implementovat specializované zařízení s dostatečnou kapacitou na útoky, kterým má čelit, a dostatečně dimenzovat internetové připojení. Toto zní logicky a jednoduše, ale má to jeden háček. Pokud totiž provozujete například služby s běžnými toky do 1 Gb/s a chcete přežít útoky o síle do 30 Gb/s, musíte své filtrování a připojení k internetu dimenzovat na 31 Gb/s, což bude navíc zřejmě znamenat i výměnu většiny síťových prvků. A cenovka se vám v takovém případě líbit moc nebude. Navíc investiční náklady se účetně promítají do nákladů několik let. Pro jeho správu, aktualizaci a provoz potřebujete kvalifikovaný personál, který musí být okamžitě dostupný právě v době incidentu.

Krizové plány

Štěstí přeje připraveným. Je dobré si připravit scénáře, podle kterých budete rozhodovat o dalším postupu v době útoku. Zkuste se zamyslet, zda vaše plánování zahrnuje odpovědi na následující otázky:

  • Které služby jsou kritické pro naši činnost?
  • Jaké jsou dopady jejich nefunkčnosti?
  • Lze je ekonomicky kvantifikovat?
  • Do jaké výše má smysl investovat do jejich ochrany/filtrace?
  • Jak se měří a vyhodnocuje jejich funkčnost (SLA)?
  • S kým se spojíme v případě potíží?

Dále je dobré zvážit i možnosti extrémních opatření pro případ dlouhodobého útoku:

  • Kde jsou vaši zákazníci?
  • Je možné omezit konektivitu na konkrétní region(y)?
  • Je možné implementovat filtraci podle GeoIP?

Ochrana v cloudu

Jak již bylo zmíněno výše, útoky je možné filtrovat jen do kapacity filtrovacího zařízení a jeho internetového připojení. Právě proto je výhodnější ochranu provozovat v cloudu, kde se konektivita a výkon dimenzují podstatně snadněji. A filtrace útoků probíhá ještě před jejich vstupem do vlastní sítě. Jedním takovým cloudovým řešením je ryze český FlowGuard (www.flowguard.io) od společnosti ComSource.

Detekce útoku a mitigace dat

Ochranu proti DDoS útokům lze rozdělit na dvě části – na detekci a na mitigaci datového toku. FlowGuard využívá unikátní samoučící se mechanismy, díky kterým spolehlivě identifikuje nebezpečná data. Pokud je identifikován útok, dochází k aktivaci obranného mechanismu, kdy je datový tok přesměrován do masivní infrastruktury, tzv. scrubbing centra. Zde jsou infikovaná data očištěna od nebezpečného obsahu a do síťové infrastruktury chráněné on-line služby odcházejí jen legitimní datové toky.

FlowGuard Website Protection

Služba chránící před útoky pro provozovatele webových stránek a aplikací. Vhodná především pro e-shopy, různé komunitní portály a provozovatele veřejných služeb. Přesměrování síťového provozu do cloudu pomocí DNS. Kromě ochrany před útoky na aplikační vrstvě služba obsahuje i další nástroje, jako jsou například load balancing, rate limiting, caching, SSL offloading atd.

FlowGuard Infrastructure Protection

Služba chránící před útoky pro provozovatele síťové infrastruktury s vlastním autonomním systémem. Vhodná pro poskytovatele internetového připojení či obchodní společnosti. Přesměrování síťového provozu do cloudu pomocí BGP a z cloudu přes privátní trasu nebo GRE tunel. V závislosti na rozsahu poskytované ochrany umožňuje trvalé přesměrování, přesměrování jen v případě potřeby nebo hybridní řešení s vlastním CPE zařízením.

Autor Petr Kadlec, pro časopis Security World

Sdílejte tento článek na sociálních sítích

Kam dál