Kiedy atak DDoS (Distributed Denial of Service) dociera do firmowej sieci, upływa cenny czas, zanim administratorzy IT ustalą, że to nie awaria serwera czy aplikacji jest przyczyną problemów z dostępnością usług. Jeszcze dłużej trwa, zanim podjęte działania zapobiegawcze przyniosą efekty. Nawet ataki ilościowe (nazywane również objętościowymi), mimo poważnych skutków, nie są od razu wykrywane przez użytkowników czy wewnętrzne systemy monitorowania. Ataki w warstwie aplikacji są jeszcze trudniejsze do wykrycia, ponieważ ich skala jest znacznie mniejsza.

Jeśli działania zapobiegawcze zostaną podjęte zbyt późno, skala „zniszczeń” będzie większa. Przykładowo, tablica wpisów o stanach połączeń w firewallu zostanie przepełniona, co może spowodować restart tego urządzenia lub przerwę w jego działaniu. Z punktu widzenia hakera dzięki temu atak DDoS będzie bardziej efektywny - usługi przestaną być dostępna dla użytkowników.

Zobacz również:

• Ministerstwo Cyfryzacji ostrzega przed rosnącym zagrożeniem atakami DDoS

Metody wykrywania ataków

Szereg metod umożliwia działom IT śledzenie tego, co dzieje się w sieci. Popularnym podejściem jest analizowanie próbek przepływów sieciowych, ponieważ praktycznie wszystkie routery obsługują jakąś formę technologii Flow, np. NetFlow, IPFIX czy sFlow. W tym procesie router próbkuje pakiety i eksportuje datagramy zawierające informacje o pakietach. Jest to powszechnie dostępna technologia i adekwatna do śledzenia trendów w ruchu sieciowym. Jednakże do celów głębokiej i szybkiej analizy bezpieczeństwa poleganie na próbkach jest poważnym uproszczeniem, ponieważ nie uwzględnia się dużej części informacji (w próbkowaniu może być sprawdzany, np. jeden pakiet na tysiąc). W efekcie urządzenie analizujące przepływy potrzebuje więcej czasu, aby ustalić, że dzieje się coś złego, unikając fałszywych alarmów.

Mechanizmy ochrony przed DDoS z reguły wykorzystują urządzenia do analizy przepływów, które w przypadku wykrycia ataków reagują, przekazując ruch, który normalnie trafiłby do atakowanej sieci, do specjalnych urządzeń, które następnie wykonają określone operacje na tym ruchu sieciowym. Ta metoda dobrze skaluje się od strony przechwytywania ruchu do analizy, a reaktywny model umożliwia przekazywanie tylko wrogiego ruchu, dzięki czemu możliwe jest ograniczenie wykorzystania łączy sieciowych. Jednak czas do podjęcia reakcji jest liczony w minutach.

Większości użytkownikom to wystarczy, ale w przypadku krytycznych aplikacji i usług może okazać się nie do zaakceptowania. Wtedy można sięgnąć po rozwiązania anty-DDoS, które są wpięte bezpośrednio w łącza sieciowe. Charakteryzują się one wysoką wydajnością i błyskawicznym wykrywaniem ataków. Działania zapobiegawcze mogą zostać podjęte w czasie poniżej sekundy. Takie umiejscowienie urządzeń umożliwia stałe przetwarzania przychodzącego ruchu (asymetryczne), ale możliwe jest również sprawdzanie ruchu wychodzącego (symetryczne). Należy jednak pamiętać o zapewnieniu odpowiedniej skalowalności takiego rozwiązania, które powinno być dostosowane do rzeczywistej skali ataków DDoS.

Jest jeszcze trzecia metoda – dublowanie pakietów. Umożliwia ona zbieranie pełnych informacji do analizy, a jednocześnie nie musi działać bezpośrednio na łączach sieciowych. Umożliwia wykrywanie anomalii w ruchu, który może wchodzić do sieci w różnych punktach. Używanie tej metody w dużych sieciach jest wyzwaniem, ale z drugiej strony jest to świetny sposób na zbudowanie centralnego rozwiązania do analizy i usuwania skutków ataków.

Metryki wydajności

Przepustowość to metryka ważna dla większości osób, ale jak zwykle diabeł tkwi w szczegółach. Urządzenia sieciowe przetwarzają pakiety, który z reguły mają różne rozmiary. Małe pakiety zużywają mniej przepustowości, podczas gdy duże wymagają większej przepustowości. Głównym ograniczeniem urządzeń sieciowych jest liczba pakietów, którą są w stanie przetworzyć w czasie jednej sekundy (Packets per Second). Wysyłając wiele małych pakietów z dużą częstotliwością, atakujący szybko może wyczerpać zasoby obliczeniowe urządzeń sieciowych. Dotyczy to w szczególności tradycyjnej infrastruktury zabezpieczeń, jak zapory sieciowe i systemy IDS/IPS. Ze względu na specyfikę działania tych systemów – rejestrują stany połączeń – są one bardziej podatne również na duże ataki, wykorzystujące, np. różne techniki zalewania.

W publikowanym cyklicznie przez Verizon raporcie Data Breach Investigations autorzy odnotowują, że średnia liczba pakietów na sekundę w atakach DDoS stale i szybko rośnie (w 2014 r. zwiększyła się aż 4,5-krotnie w porównaniu z 2013 r.). Raport podaje średnie wartości (w 2014 r. było to 37 Mpps), pokazujące trend, ale obserwowane wiele ataków o znacznie większych nasileniu. O ile średnie wartości pokazują trend, aby właściwie przygotować sieć na odparcie ataku DDoS, trzeba raczej kierować się skrajnymi wartościami.

Skalowalność

Ponieważ ataki DDoS stają się coraz większe, potrzebne są rozwiązania dysponujące odpowiednią przepustowością oraz mocą obliczeniową, aby skutecznie zapobiegać negatywnym skutkom tych ataków. Ważne jest także odpowiednie skalowanie infrastruktury analitycznej. Technologie Flow skalują się dość dobrze, ale wiąże się to z dużymi kompromisami: wydłużeniem czasu reakcji i spadkiem szczegółowości analiz.

Parametry wydajności podawane przez producentów rozwiązań w praktyce z reguły okazują się niższe. Poza tym obserwacje pokazują, że coraz więcej ataków przychodzi z różnych kierunków, przykładowo atakujący stosują jednocześnie kilka metod ataku. Parametry techniczne są dobrym wskaźnikiem, czy dane rozwiązanie spełni potrzeby, ale zawsze należy je zweryfikować serią testów, aby sprawdzić, jak będzie się zachowywać w środowisku produkcyjnym użytkownika.

Zwiększający się odsetek ataków wielowektorowych pokazuje, jak ważne jest zweryfikowanie wydajności. Samodzielna symulacje prostego ataku, np. zalewania pakietami SYN, umożliwia sprawdzenie, jak wydajnie pracują procesory (moc obliczeniowa), oczywiście przy założeniu, że atak jest zwalczany sprzętowo. Sprawdzenie, jak system radzi sobie z symultanicznym atakiem w warstwie aplikacji (np. atakiem wykorzystującym HTTP GET) pokaże, jakie są granice możliwości testowanego rozwiązania. Regularne sprawdzanie wydajności zabezpieczeń sieci ma duże znaczenie, aby dobrze przygotować się na ewentualny, złożony atak.

Zasłona dymna

Mniej więcej 75% ataków DDoS jest przeprowadzanych w połączeniu z innymi naruszeniami firmowego bezpieczeństwa, podają eksperci z Kaspersky Lab. Te dodatkowe ataki nie zawsze są przeprowadzane przez sprawców kampanii DDoS, ale mogą zostać nie wykryte przez dział IT, zajęty zwalczaniem zmasowanego ataku. W wielu przypadkach są to jednak skoordynowane działania, nawet jeśli pochodzą z różnych źródeł. Wniosek z tego jest prosty. Mimo że ataki DDoS są wysoce szkodliwe, działy IT nie powinny przeznaczać 100% zasobów do ich zwalczania. Zamiast tego należy cały czas śledzić całość firmowego bezpieczeństwa.

Firma Kaspersky Lab przeprowadził ankietę wśród firm, z której wynika, że podczas połowy czasu trwania ataków DDoS, pozostają one nieodczuwalne dla użytkowników. Natomiast przez jedną czwartą czasu usługi są kompletnie niedostępne. Jedna czwarta ataków kończy się utratą danych, ale możliwe, że jest to skutek ataków „towarzyszących”. Najczęstszym celem ataków DDoS są firmowe strony WWW, kolejnych portale dla klientów, na trzecim miejscu znalazły się usługi komunikacyjne.

Ważny, jak DNS

DNS jest jednym z najważniejszych elementów sieci, także w kontekście ataków DDoS. Podstawową sprawą jest nie używanie własnego serwera DNS w konfiguracji, w której odpowiada on na wszystkie żądania, niezależnie skąd pochodzą (tzw. open resolver). Takie otwarte serwery DNS hakerzy chętnie wykorzystują jako narzędzia do przeprowadzania ataków DDoS.

Serwer DNS może również stać się celem ataku. W takim przypadku obsługiwane przez niego strony internetowe mogą stać się nie dostępne, chociaż jako takie będą działać bez zarzutu. Większość wpisów domen następuje w dwóch serwerach DNS, ale często to nie wystarcza. Dlatego własny serwer DNS należy objąć takim samym typem równoważenia obciążenia, co serwery WWW i inne zasoby. Można również skorzystać z oferty firm, które umożliwiają redundancję usług DNS. Przykładowo, wiele firm korzysta z sieci CDN (Content Delivery Network), aby w sposób rozproszony dostarczać swoim klientom pliki, co jest dobrym sposobem ochrony przed atakami DDoS.

Jest jeszcze wiele elementów, które warto objąć ochroną w warstwie sieci. Wszystkie firmowe routery powinny odrzucać śmieciowe pakiety, blokować protokół ICMP (jeśli nie ma potrzeby używania go). Warto też dobrze skonfigurować zapory sieciowe. Przykładowo, jest dość oczywiste, że firmowe strony internetowe nie będą odpytywać przypadkowych serwerów DNS, dlatego nie ma powodu, aby przepuszczać pakiety używające portu 53 UDP. Należy blokować wszystko, co to tylko można, na brzegu sieci. Jest to miejsce, w którym najczęściej firmy dysponują największą przepustowością. Jeszcze lepiej, jeśli ochroną przed DDoS może zająć się dostawca Internetu. Wielu operatorów sieciowych oferuje takie usługi, umożliwiając swoim klientom biznesowym kontakt z centrum utrzymania sieci (NOC), aby zapewnić, że niechciany ruchu jest blokowany i klienci otrzymają pomoc w razie ewentualnych ataków.

Oprócz stosowania środków zapobiegawczych potrzebne są również działania, które pomogą w usunięciu skutków ataków. Przykładowo, strony internetowe często są generowane w sposób dynamiczny. To oznacza, że nawet atak wykorzystujący niewielką objętość łączy sieciowych może doprowadzić do przeciążenia bazy danych czy serwerów wykonujących skrypty. Dlatego warto w jak najszerszym zakresie stosować mechanizmy dostarczające treści z pamięci podręcznej, zamiast generowania ich za każdym razem dynamicznie. Dobrym rozwiązaniem jest też przygotowanie treści, które będą dostarczane statycznie, jeśli w wyniku ataku nie będzie to możliwe dynamicznie.