DDoS: jak przetrwać lawinę

Atak odmowy obsługi DDoS może zablokować infrastrukturę praktycznie każdej organizacji. Powszechnie kojarzony jest z nawałem żądań wysycającym całe dostępne pasmo łączy, ale arsenał napastników wykracza poza prostą lawinę pakietów. Przedstawiamy ataki i metodę obrony przed nimi.

Wśród ataków DDoS (rozproszonych ataków odmowy obsługi) nadal królują ataki wolumetryczne, w których do dostępnej z Internetu infrastruktury firmy wysyłane są olbrzymie ilości pakietów TCP, UDP, a także gotowe żądania pobrania wybranego elementu, np. z firmowej strony WWW lub odwołania do aplikacji. Napastnicy zazwyczaj wybierają rzadziej używany element o dość dużym rozmiarze, m.in. powszechnie dostępny plik PDF, a następnie wielokrotnie automatycznie ponawiają pobieranie tego pliku. Inne podobne ataki, których celem jest całkowite wysycenie łącza od operatora do atakowanej organizacji, w większości przypadków charakteryzują się prostotą i coraz większą skalą. Obrona przed atakami odmowy obsługi staje się niezbędna.

Robert Dąbrowski, CISSP, Manager Systems Engineering w firmie Fortinet Polska, mówi: „Organizacja musi się bronić, przy czym zachowanie ciągłości działania jest jedną z potrzeb w tym zakresie. Napastnicy mogą przecież próbować przedostać się z zewnątrz, blokować serwery czy prokurując niepokój atakiem DDoS, zamaskować inne prowadzone działanie, takie jak kradzież danych”.

Zobacz również:

  • Ministerstwo Cyfryzacji ostrzega przed rosnącym zagrożeniem atakami DDoS
  • Dzięki nowym przepisom, walka z nadużyciami w komunikacji elektronicznej będzie łatwiejsza
  • Dobre wyniki finansowe Fortinet

Pierwsza linia obrony – operator

Blokowanie podobnych incydentów po stronie atakowanej organizacji jest coraz trudniejsze i wymaga współpracy ze strony operatora. Ograniczenie ataków na trzeciej i czwartej warstwie po stronie operatora umożliwia skuteczne odciążenie łączy oraz odblokowanie serwisów.

Robert Dąbrowski mówi: „Obrona po stronie operatora obejmuje głównie ataki wolumetryczne. Zainstalowane w tej infrastrukturze sondy poszukują symptomów ataku, analizując informacje o ruchu. Po wykryciu szczytu obciążenia właściwego dla ataku wolumetrycznego operator może wprowadzić blackholing i zablokować ruch związany z atakiem na konkretne adresy IP. Zablokowanie ruchu do atakowanego adresu nie jest jedyną możliwością po stronie operatora, gdyż udaje się ograniczyć pasmo per IP. Dzisiejsze łącza mają coraz większą przepustowość, ale jeszcze niedawno zdarzało się, że organizacja docelowa dysponowała łączem rzędu 20–30Mbit/s. Takie łącze napastnicy mogą bardzo łatwo wysycić i zablokować, a zatem współpraca ze strony operatorów jest pierwszą rubieżą obrony przed atakami DDoS wolumetrycznymi. Nie jest to jednak jedyna obrona” – wyjaśnia.

Centrum czyszczenia ruchu

Część ataków wykraczających poza typową wolumetryczną lawinę połączeń można odfiltrować za pomocą przeznaczonych do tego celu usług antyDDoS. Usługa nazywana popularnie „scrubbing center” polega na tym, że cały ruch usługowy jet przekierowany do data center usługodawcy, który ma za zadanie go przyjąć na swoje serwery, przeprowadzić analizę, a następnie wychwycić ruch mający znamiona ruchu legalnego. Ten ruch zostaje przekierowany do łącza klienta, a pozostały zostaje zablokowany. Jest to jednak usługa, która wymaga przekierowania całego ruchu od chronionej usługi do data center usługodawcy, a nie każda organizacja będzie chciała się zdecydować na przekazanie wszystkich takich połączeń stronie trzeciej. Osobny problem stanowi obrona przed atakiem DDoS w warstwie siódmej prowadzonym w obrębie szyfrowanego połączenia SSL. Koszt samej usługi zależy od jej parametrów, w tym przyjmowanego ruchu, a zatem w typowej formie rozliczeń za pasmo jest trudno przewidywalny dla usługobiorcy.

Robert Dąbrowski wyjaśnia: „Usługa czyszczenia ruchu jest coraz popularniejsza, ale nie do końca zastąpi przeznaczone do tego celu rozwiązanie. Dość często klient prosi nas o testy usług anty-DDoS świadczonej przez usługodawcę. W testach okazuje się, że szczyty obciążeń w warstwie aplikacji lub próby blokady usługi przez przekroczenie liczby dostępnych socketów nadal dochodzą do sieci klienta. Gdyby scrubbing center pracowało poprawnie, taki ruch nie miałby prawa pojawić się w badanej sieci. Osobny problem stanowią koszty. Jeśli organizacja może spodziewać się DDoS o paśmie rzędu 200–300 Gbit/s, to za obronę przed takim atakiem będzie musiała zapłacić. Scrubbing center jest dość problematyczną usługą, gdyż duży atak wolumetryczny może być kosztowny, jeśli firma jest rozliczana w modelu opłaty za analizowany ruch. Z kolei instytucje finansowe i rządowe niekoniecznie są zainteresowane przekierowaniem całego ruchu do zewnętrznej firmy za granicą, niekiedy na innym kontynencie”.

Ostatnia linia obrony w firmowej sieci

Po uruchomieniu obrony przed największymi atakami wolumetrycznymi mamy do czynienia z sytuacją, w której do serwerów już nie docierają lawiny masowych połączeń w typowych atakach zajmujących pasmo, ale nadal serwery są atakowane w sposób, który wciąż umyka operatorom. W odróżnieniu od urządzeń IPS chroniących przed atakami wykorzystującymi błędy i podatności obrona przed atakami DDoS nie musi polegać na wykrywaniu pakietów, których zawartość wskazuje na wykorzystanie konkretnych podatności lub narzędzi. W praktyce obrona w sieci firmowej polega na analizie metadanych oraz charakterystyce ilościowej przyjmowanego ruchu.

Jak informuje Robert Dąbrowski: „Urządzenia rozpoznają anomalie w samym protokole, analizując setki parametrów we wszystkich warstwach, włącznie z siódmą. Zbudowany w ten sposób zestaw parametrów charakteryzuje ruch normalny, właściwy dla stanu, w którym ataku nie ma. Odchylenia od tego stanu są analizowane i mogą wskazać nam atak”.

Jest to skomplikowany sposób obliczeń, który wymaga dużej mocy obliczeniowej i dlatego w podobnych urządzeniach z powodzeniem stosuje się bardzo szybkie układy z programowalnymi bramkami logicznymi (FPGA). Dla wszystkich analizowanych parametrów przy użyciu specjalnych algorytmów wyliczany jest próg minimalny oraz maksymalny, a także ruch estymowany. Jeśli niektóre parametry ruchu rzeczywistego, obserwowanego w danej chwili przez urządzenie, przekroczą wartości minimalne, to procesor ruchu zaczyna analizować ruch rzeczywisty i wylicza estymowany, który w danej chwili może się pojawić. Jeśli ruch rzeczywisty przekroczy estymowany, to nadwyżka tego ruchu będzie blokowana, przy czym opracowane zostały specjalne mechanizmy, by nie blokować ruchu pochodzącego od klientów, którzy nie są związani z samym atakiem. Metoda zakłada tworzenie specjalnych list określających adresy lub ich klasy i jeśli źródło ruchu znajduje się na tej liście, to nie ulegnie zablokowaniu. Blokowanie ruchu po przekroczeniu progów określających atak dotyczy tych źródeł, które nie znajdują się w tabeli normalnie aktywnych klientów. Metoda ta sprawia, że blokada ataku DDoS nie powoduje odcięcia klientów, którzy mimo trwającego ataku chcą skorzystać z serwisu dostępnego przez internet.

Jak obronić się przed atakami powolnymi

Przed atakami zwalniającymi najskuteczniej bronią systemy zlokalizowane możliwie blisko samego serwera. Systemy te potrafią skutecznie wychwycić źródła, które próbują zablokować serwery przez otwieranie połączeń podtrzymywanych przez specjalnie spreparowane odwołania POST lub GET i bardzo powolnej transmisji, wolniejszej nawet od najwolniejszego łącza mobilnego. Występują także progi minimalnej liczby danych. Jeśli w otwartym połączeniu informacja nie jest przesyłana, to istnieje podejrzenie, że właśnie mamy do czynienia z atakiem zwalniającym. Gdy takie podejrzane połączenia zostaną wykryte, adres IP trafia na pewien czas na karną listę i zostaje zablokowany. W miarę kolejnych ataków czas blokady ulegnie wydłużeniu.

Najlepsza obrona przed atakami

Firmy potrzebują obrony przed atakami odmowy obsługi i niezależnie od rozwiązań ściśle operatorskich chcą korzystać z urządzeń zlokalizowanych w firmowej serwerowni. Z naszego punktu widzenia adresowanie tych potrzeb jest kontynuacją sprawdzonych technologii. Tam, gdzie to jest tylko możliwe, polegamy na sprzęcie i korzystamy z bardzo szybkich układów FPGA. Cały ruch jest przetwarzany za pomocą układów FPGA, które możemy odpowiednio skalować. Jeśli wiemy, że jeden procesor może przyjąć 4 Gbit/s ruchu full duplex, to niezależnie od liczby sesji równoległych ten ruch zostanie przetworzony i maksymalnie 4 Gbit/s per procesor zostanie dostarczone do docelowej sieci. Liczymy przy tym tylko ruch legalny, który dotrze do serwera chronionego, a nie ruch całościowy, jaki dochodzi do urządzenia.

Obrona przed atakami odmowy obsługi jest komplementarna wobec usług operatorów telekomunikacyjnych, którzy mogą obronić firmę przed częścią ataku wolumetrycznego, ale nie radzą sobie z atakami powolnymi lub odbywającymi się w warstwie siódmej. Nasze rozwiązania do celów obrony przed atakami odmowy obsługi nie korzystają w ogóle z sygnatur ataków, ale analizują anomalie w protokołach, w tym takich jak HTTP, i SIP, analizując setki parametrów. Zbudowane przy tym reguły umożliwiają również budowę list poprawnych klientów – w razie wykrycia ataku odmowy obsługi takie adresy nie będą blokowane, by nie odcinać połączenia klientom korzystającym z usługi.

Urządzenia instalowane on premises stanowią zatem uzupełnienie usług operatorskich i radzą sobie z wykrywaniem także tych ataków, przed którymi nie obroni operator, nawet jeśli nadzwyczaj skutecznie stosuje blackholing i usuwa znaczącą większość pasma ataków wolumetrycznych. Wielokrotnie obserwowaliśmy ataki, które dotarły do naszych urządzeń, mimo że przed nimi znajdowały się specjalne usługi anty-DDoS świadczone przez specjalizowanych operatorów. Urządzenia te nie poradzą sobie jednak z silnym atakiem wolumetrycznym, który całkowicie wysycił łącze od operatora telekomunikacyjnego. W takim przypadku niezbędne będzie wsparcie operatora, który odfiltruje przynajmniej część niepożądanego ruchu.

Strategia uzupełniania usług zewnętrznych jest słuszna i najlepszym przykładem jest to, że potentaci chmurowych rozwiązań operatorskich oferują także urządzenia instalowane on premises.

Robert Dąbrowski, CISSP, Manager Systems Engineering w firmie Fortinet Polska

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200