Jak skutecznie bronić się przed atakami DoS/DDoS?
- Patryk Królikowski,
- 20.08.2012, godz. 08:45
Ataki Denial of Service (DoS) i Distributed Denial of Service (DDoS) znane są od wielu lat, jednak w ostatnich miesiącach ich popularność wzrosła za sprawą ruchu Anonymous. Warto przypomnieć, na czym polegają zagrożenia tego typu i w jaki sposób ewoluowały. Po serii ataków, także na polskie witryny, jak grzyby pod deszczu na rynku zaczęły pojawiać się rozwiązania, które według ich dostawców - zapewniają skuteczną ochronę. Czy faktycznie po ich zakupie można czuć się bezpiecznym? Czy obrona przed DoS/DDos jest możliwa?
Ataki DoS - wytwór mediów czy rzeczywistość?
Aby odpowiedzieć na to pytanie, warto przyjrzeć się wynikom badań, których w ostatnim czasie powstaje coraz więcej. I tak, np. z badań firmy Radware (2011 - Global Application & Network Security Report) wynika, że 76% ataków DDoS przeprowadzanych w 2011 r. generowało ruch nieprzekraczający 1 Gb/s. Zaledwie 9% z ponad 40 analizowanych ataków wywoływało ruch na poziomie 10 Gb/s. Co również interesujące, utrzymuje się trend wskazujący na coraz większą przewagę ataków kierowanych na konkretne usługi, nad tymi typowo sieciowymi (brute force). Mamy zatem głównie do czynienia z tzw. celowanymi atakami warstwy siódmej.
Analizując wyniki innych badań, np. firm Prolexic czy Arbor, można zauważyć, że z jednej strony ulega skróceniu czas samego ataku, a z drugiej - stopniowo rosną zarówno wolumin ruchu, jak i jego intensywność - wzrost PPS (Packets-Per-Second). Z kolei Yankee Group szacuje, że w USA ok. 150 tys. USD wynosi średnia strata przypadająca na firmę, spowodowana skutecznym atakiem.
DoS/DDoS w pigułce
- SYN Flooding
- MAC Flooding
- ICMP Flooding
- Ping of Death
- Smurf Attack
- TCP RST Attack
W dużym uproszczeniu możemy wyróżnić dwie główne grupy ataków DoS/DDos: ataki warstwy trzeciej i czwartej (typowo sieciowe) oraz ataki warstwy aplikacyjnej. W praktyce, napastnicy obecnie łączą je. Sprawcy wychodzą ze słusznego założenia, że im więcej technik w jednym ataku, tym będzie on skuteczniejszy. Dla celów poglądowych pozostańmy jednak przy tym rozróżnieniu.
Zarzucić sieci
Najczęściej DoS kojarzony jest z atakami pierwszego rodzaju, tj. generowaniem ruchu sieciowego o dużym wolumenie, z którego obsługą nie jest w stanie poradzić sobie infrastruktura atakującego.
Z reguły wąskim gardłem w atakach DoS stają się urządzenia sieciowe: routery, firewalle, a jeżeli te zawiodą, to ofiarą pada serwer, do którego ostatecznie dotrze ruch. Czasami, jeżeli urządzenia i serwery radzą sobie z przetwarzaniem ruchu, zostaje wysycone całe dostępne pasmo, a efekt dla użytkownika usługi jest taki sam. Wysycenie łącza za pomocą jednego komputera czy blokowanie sprzętu takimi bardzo prostymi w sumie atakami rzadko kiedy było skuteczne.