Ataki DDoS: wykrywanie i zwalczanie
-
- 14.04.2014
Ataki typu DDoS zdarzają się coraz częściej, a ich skala i skomplikowanie narastają. Potrafią skutecznie utrudnić działanie firmowej strony internetowej czy innych zasobów informatycznych. Warto więc wiedzieć, jak z nimi skutecznie walczyć.
Podstawowy atak DoS polega na bombardowaniu pojedynczego adresu IP ogromną ilością ruchu sieciowego. Jeśli adres IP wskazuje na serwer WWW, ta maszyna lub urządzenie sieciowe, do którego jest podłączona (router lub przełącznik), będą przeciążone lub w ogóle przestaną odpowiadać. Prawidłowy ruchu skierowany do tego serwera nie będzie do niego docierał, a strona internetowa będzie niedostępna.
Atak rozproszony to specjalny typ kampanii DoS. Zasady są te same, jednakże wrogi ruch jest generowany z wielu źródeł, ale jednocześnie sterowany z jednego, centralnego punktu. Jeśli źródeł ataku jest wiele i są rozproszone, często po całym świecie, taki atak jest trudniejszy do zablokowania. Nie wystarczy bowiem wycięcie komunikacji pochodzącej z pojedynczego adresu IP.
Zobacz również:
- Ponad pół miliona kont Roku w niebezpieczeństwie po ataku
- AI ma duży apetyt na prąd. Google znalazł na to sposób
- Ministerstwo Cyfryzacji ostrzega przed rosnącym zagrożeniem atakami DDoS
DDoS dla każdego
Ataki tego typu stają się coraz poważniejszym problemem. Według kwartalnych raportów publikowanych przez firmę Prolexic, w ostatnich dwunastu miesiącach liczba ataków DDoS wzrosła o 22 procent. Kampanie trwają dłużej – zamiast 28,5 godziny obecnie średnia wynosi 34,5 godziny (wzrost o 21 procent). Średni ruch generowany podczas ataku wynosi ok. 2 GB/S i jest o mniej więcej o 25 % większy, niż w 2012 r. Rekordowy dotychczas był atak na Spamhaus, organizację zajmującą się zwalczaniem spamu. W marcu 2013 r. wrogi ruch sieciowy skierowany do serwerów tej organizacji sięgał 300 GB/s. Jednak według firmy Arbor większość ataków (ponad 60 %) wciąż nie przekracza 1 GB/s. Mimo to one również stanowią problem.
Także od strony technicznej upadła większość barier. Obecnie możliwe jest wynajęcie botnetu składającego się z dziesiątków czy nawet setek tysięcy zainfekowanych komputerów, które można wykorzystać za stosunkowo niewielką opłatą do przeprowadzenia ataku. Ponieważ nawet domowi użytkownicy korzystają obecnie z łączy internetowych o sporej przepustowości, sumaryczna siła takiego ataku może być ogromna. Do kupienia są również gotowe pakiety narzędziowe, jak Low Orbit Ion Cannon czy RussKill, których może posłużyć się każda osoba z minimalną wiedzą.
System wczesnego ostrzegania
Podstawową kwestią jest umiejętność identyfikowania ataków na serwery. Im szybciej właściciel potrafi rozpoznać, że problemy z jego stroną internetową są spowodowane przez DDoS, tym szybciej może podjąć przeciwdziałania. W tym celu administratorzy powinni wiedzieć, jak wygląda typowy profil ruchu przechodzącego przez dany serwer. Im lepiej pozna się specyfikę ruchu, tym łatwiej i szybciej uda się wykryć anomalie.
Większość ataków DDoS rozpoczyna się od gwałtownych skoków natężenia ruchu, co jest łatwe do wykrycia i odróżnienia od dużego wzrostu ruchu spowodowanego przez uprawnionych użytkowników. W większych organizacjach warto wyznaczyć osobę, która będzie odpowiedzialna za koordynowanie działań, gdy dojdzie do wykrycia ataku.
Nadmiarowa przepustowość
Ogólnie posiadanie łączy szybszych niż wydaje się, że faktycznie jest potrzebne, ma sens. Pozwala bowiem zachować płynną łączność z serwerem WWW, gdy nastąpi niespodziewany wzrost ruchu spowodowany, np. kampanią reklamową, nową specjalną ofertą czy wzmiankowaniem o firmie w mediach. Jednak nawet kilkukrotnie nadmiarowe łącze nie uchroni przed atakiem DDoS. Ma natomiast tę zaletę, że daje czas potrzebny na reakcję, zanim atakowany serwer przestanie odpowiadać.
Ochrona pogranicza
Jeśli firma utrzymuje serwer WWW we własnych zasobach, może zastosować kilka technicznych sztuczek, które ograniczą niekorzystny wpływ ataku, szczególnie w jego początkowej fazie. Niektóre z nich są bardzo proste, oto przykłady:
- ustawienie limitu ruchu na routerze, co zapobiegnie przeciążeniu serwera WWW,
- dodanie filtrów na routerze, które będą powodowały odrzucanie pakietów pochodzących z oczywistych źródeł ataku,
- ustawienie krótszego czasu wygaszania półotwartych połączeń,
- odrzucanie podrobionych bądź zniekształconych pakietów,
- ustawienie niższego progu dla odrzucania pakietów SYN, ICMP oraz UDP (zapobiega zalewaniu tego typu pakietami).
Niestety, te środki wystarczały w przeszłości. Obecnie ataki DDoS są z reguły zbyt duże lub zbyt złożone, żeby dało się je w znaczący sposób ograniczać opisanymi metodami. Jednakże dają kolejne, cenne minuty na podjęcie działań zaradczych.
Kontakt z dostawcą Internetu
Jeśli serwer znajduje się poza siecią lokalną, kolejnym krokiem jest kontakt z ISP bądź dostawcą usług hostingowy, aby poinformować o ataku i poprosić o pomoc. Warto mieć odpowiedni numer alarmowy pod ręką, żeby w razie potrzeby móc szybko zareagować. W zależności od siły ataku, usługodawca mógł go już samodzielnie wykryć. Może się nawet zdarzyć, że również infrastruktura ISP czy firmy hostingowej będzie przeciążona w wyniku ataku.
Z reguły większe szanse oparciu się atakowi DDoS ma serwer WWW umieszczony w kolokacji niż we własnym centrum danych. Wynika to z faktu, że usługodawcy mają dużo bardziej rozbudowaną infrastrukturę, szybsze łącza i mocniejsze routery niż klienci. Ponadto taka specjalistyczna firma najczęściej zatrudnia również lepiej wykwalifikowanych pracowników, mających już doświadczenie z atakami DDoS. Ma to również dodatkową zaletę: wrogi ruch sieciowy będzie skierowany do centrum danych usługodawcy i nie będzie obciążał korporacyjnego LAN’u, więc przynajmniej część zasobów (serwer pocztowy czy telefonia IP) będzie funkcjonować normalnie.
Jeśli atak będzie wystarczającą duży, usługodawca zastosuję metodę zwaną null route, co oznacza, że cały ruch skierowany do danego serwera WWW będzie odrzucany. Globalna propagacja zmian w protokole BGP przez usługodawcę jest kwestią kilku minut, po których całych ruch do atakowanej strony nie będzie przekazywany przez routery. Próba obsłużenia wzmożonego ruchu generowanego przez kampanię DDoS może być bardzo kosztowana dla operatora sieciowego czy firmy hostingowej, ponieważ zużywa znaczną część współdzielonych zasobów (przede wszystkim sieć), z których korzystają również inni klienci.
Gdyby na tym kończyła się historia, to atak DDoS należałoby uznać za skuteczny. Żeby strona znów była online, ISP bądź firma hostingowa powinni przekierować ruch do filtrów, które odsieją niechciane pakiety, zanim właściwy ruch zostanie przekazany do serwera. Wykorzystuje się do tego narzędzia, które potrafią porównać ruch podczas ataku z normalnym ruchem i wykryć różnice.
Jeśli samodzielnie, bądź wspólnie z ISP nie uda się zwalczyć ataku, warto skorzystać z pomocy specjalistów. Specjalistyczne firmy oferujące tego usługi dysponują łączami rzędu kilkudziesięciu gigabajtów (np. PEER 1 może obsłużyć 20 GB/s ruchu). Jednak nawet to jest za mało w przypadku takich ataków, jak ten, który spotkał Spamhaus.
Telefon do specjalisty
W przypadku dużych ataków ich samodzielnie pokonanie i utrzymanie serwerów online jest raczej niewykonalne. W takich sytuacjach do dyspozycji są usługi specjalistycznych firm. Dysponują one rozbudowaną infrastrukturą i szeregiem technologii, w tym filtrowania ruchu, które pozwolą zapewnić ciągłość działania serwerów. Można nawiązać z nimi kontakt bezpośrednio bądź poprzez ISP czy firmę hostingową. Często bowiem takie podmioty mają podpisane umowy o współpracy. Jeśli klient potrzebuje wsparcia przy zniwelowaniu ataku, można łatwo przekierować ruch do specjalistycznej firmy, wykorzystując protokół BGP.
Centra danych przystosowane do zwalczania ataków DDoS są w stanie przetwarzać ogromne ilości ruchu i przesyłać oczyszczoną transmisję do miejsca przeznaczenia. Skutkiem ubocznym są większe opóźnienia w komunikacji między użytkownikiem a serwer, ale alternatywą jest całkowity brak dostępu.
Usługi zwalczania ataków DDoS nie są bezpłatne. Do użytkownika należy oszacowanie, czy opłaca mu się skorzystanie z tych usług czy wzięcie atakującego na przeczekanie i powrót do działalności, gdy atak się zakończy. Miesięczna subskrypcja takich usług na wypadek ewentualnych ataków kosztuje co najmniej 2-3 tysiące złotych. Jednakże jednorazowy koszt jest znacznie większy, a czas reakcji istotnie się wydłuży. Ofertę tego typu mają zagraniczne, jak również polskie firmy, m.in. przedsiębiorstwa hostingowe.
Rozpoznanie ataku
Rozwiązania zapobiegające skutkom atakom DDoS, a bazujących na infrastrukturze chmurowej, są dostępne na żądanie. To oznacza, że klient może skorzystać z nich w momencie, gdy stanie się celem ataku. Jak jednak szybko ustalić, że właśnie rozpoczął się atak? Czasami jest to trudne do zdiagnozowania. Można wykorzystać do tego celu różne narzędzia monitorujące, które pomogą rozpoznać, czy dana sytuacja to już atak czy jedynie wzmożony ruch użytkowników.
Pierwszą opcją są wewnętrzne narzędzia do monitorowania serwerów, sieci i pozostałych komponentów infrastruktury. Wybór jest bardzo duży, ale jednym z popularniejszych systemów jest Nagios, który potrafi monitorować wewnętrzną infrastrukturę, wydajność aplikacji, usług, systemów operacyjnych i sieci, a także śledzić wiele różnych parametrów infrastruktury sieciowej.
Przykładowo, system może monitorować usługę HTTP w celu sprawdzania, czy serwer WWW funkcjonuje poprawnie. Jeśli zostaną wykryte jakieś problemy, większość programów ma wbudowaną funkcję powiadamiania w czasie rzeczywistym. Ponieważ ataki DDoS z reguły za cel mają serwery WWW bądź aplikacje, system monitorujący HTTP może wskazywać, np. spowolnienie działania, wysokie wykorzystanie pamięci i procesorów czy całkowitą awarię. W takich sytuacjach z pewnością dzieje się coś złego i może to być kampania DDoS.
Monitorowanie serwerów i infrastruktury jest pomocne, ale powiadomienie o wykrytych problemach nie zawsze musi wskazywać na atak DDoS. Nietypowe skoki ruchu sieciowego mogą być również spowodowane przez zwykłych użytkowników. Zadaniem administratora jest ocena otrzymanych raportów i ewentualne uruchomienie procedury zwalczania ataków.
Drugą opcją, którą może wybrać administrator, jest wykorzystanie zewnętrznych rozwiązań do monitorowania działających w chmurze. W odróżnienie od narzędzi sieciowych, które są z reguły instalowane w środowisku użytkownika, zewnętrzne rozwiązania do monitorowania wydajności są oferowane przez podmioty trzecie z różnych lokalizacji na całym świecie. Pierwotnie przeznaczeniem tych narzędzi było monitorowanie, czy infrastruktura ISP bądź firmy hostingowej działa zgodnie z tym, jak została zaprojektowana. Długi czas odpowiedzi czy awarie mogą wskazywać, że dostawca bądź pojedynczy serwer są niedostępne. Najwięcej korzyści z tych narzędzi będą czerpać firmy, które nie utrzymują serwerów WWW we własnych zasobach, ale korzystają z chmur, takich jak Amazon EC2.
Tego typu systemy najczęściej zawierają:
- wirtualną przeglądarkę do podstawowego monitorowania dostępności i wydajności serwerów WWW i aplikacji,
- rzeczywiste przeglądarki do sprawdzania wydajności aplikacji i serwerów WWW, wykrywania błędów i pogorszenia parametrów usług,
- usługi sieciowe, jak DNS, FTP, e-mail, i inne.
Z perspektywy DDoS, stosowanie zewnętrznych narzędzi monitorujących ma sens. Przeznaczeniem takiego rozwiązania jest stałe monitorowanie stron internetowych, usług, aplikacji i informowanie użytkownika o braku dostępności, wolniejszym działaniu i innych problemach. Wszystkie te objawy potencjalnie wskazują na kampanię DDoS.
Trzeba jednak pamiętać, że zewnętrzne narzędzia monitorujące również nie są niezawodne, jeśli chodzi o wykrywanie ataków. Owszem, takie rozwiązanie poinformuje administratora o wykrytych problemach, ale samo nie potrafi ustalić ich przyczyn. Tymczasem nietypowy ruch w firmowej sieci i dłuższe czasy odpowiedzi mogą być spowodowane różnymi czynnikami. Dlatego należy dokładnie analizować otrzymywane alerty, zanim rozpocznie się działania zaradcze.
Atak DDoS może spotkać każdego i jest raczej kwestią kiedy to nastąpią niż czy w ogóle. Dlatego warto podjąć środki zapobiegawcze, które ułatwiają zmierzenie się z tą kryzysową sytuacją.
Centralny punkt zbierania danych i analiza trendów
W szybkim zidentyfikowaniu ataku DDoS pomogą właściwe mechanizmy zbierania danych i monitorowania. Bardzo ważne jest szybkie wykrycie, ponieważ ataki DDoS bywają bardzo skomplikowane. Należy przynajmniej monitorować następujące parametry:
- wielkość ruchu wchodzącego i wychodzącego,
- parametry serwerów, jak obciążenie procesorów i interfejsów sieciowych, liczbę operacji I/O na nośnikach danych oraz pamięć operacyjną,
- główne źródła i cele komunikacji sieciowej w rozbiciu na protokoły i porty sieciowe,
- w przypadku strony internetowej należy również monitorować, jakie adresy URL są najczęściej żądane, nagłówki HTTP oraz porównanie proporcji między ruchem HTTP i HTTPS.
Wszystkie wymienione metryki, a także wiele innych, powinny być przesyłane do centralnego repozytorium w celu wykrycia korelacji i porównania. To pozwala wykryć niepokojące trendy, zlokalizować źródło oraz metodę ataku.
Wielowarstwowe filtrowanie
Należy być przygotowanym zarówno na ataki o dużej skali (wiele zapytań w warstwie sieci, które są ogólnie łatwe do zidentyfikowania jako zagrożenie), jak również na te mniejsze, ale za to bardziej złożone (mniej zapytań w warstwie aplikacji, ale bardzo trudnych do odróżnienia od zwykłego ruchu). Niektóre narzędzia i techniki bardzo dobrze sprawdzają się i skalują w zwalczaniu dużych ataków, ale nie przynoszą pożądanych rezultatów, gdy kampania DDoS jest realizowana w warstwie aplikacji. Są również odwrotne przypadki. Niestety, obecnie rysuje się trend wzrostowy liczby ataków, które są jednocześnie duże i skomplikowane. Można z nimi walczyć, stosując zaawansowaną technologię i filtrowanie na różnych warstwach.
Przygotowania na wypadek ataku
Atak DDoS nie tylko bezlitośnie odkrywa wąskie gardła w sieci i infrastrukturze zabezpieczeń, ale także w niezwykły sposób pozwala zidentyfikować błędy w aplikacjach. Szczególnie jeśli chodzi o kwestie związane z optymalizowaniem wydajności i konfiguracje. Jeśli nie wykonano poprawnych testów, może się zdarzyć, że atak DDoS będzie pierwszym poważnym stress testem danej aplikacji. W efekcie administrator przekona się, że np. konfiguracja bazy danych jest daleka od optymalnej, a serwer WWW nie jest skonfigurowany do obsługi wystarczającej liczby otwartych połączeń.
Niezależnie, jakie błędy wyjdą na wierzch, bardzo szybko okaże się, jak skuteczna była optymalizacja strony internetowej. Zawsze dobrym pomysłem jest robienie testów wydajnościowych według własnego harmonogramu, a nie według narzuconego przez atakujących.
Ochrona serwera DNS
Serwer rozpoznawania nazw jest częstym celem ataków DDoS. Tymczasem większość administratorów, nawet doświadczonych, nie poświęca mu wystarczającej uwagi. Niejedna firma przeznaczyła znaczne kwoty na infrastrukturę (centrum danych, serwery WWW, systemy równoważące obciążenie, bazy danych, itd.), ale wykorzystuje jednocześnie tylko mało wydajne maszyny do obsługi zapytań DNS. A przecież jest to newralgiczny komponent, który firmy wykorzystują nie tylko do kierowania swoich klientów na stronę internetową, ale również w codziennych operacjach biznesowych.
Skuteczny atak DDoS na serwer DNS, czyniący go niedostępnym, może stworzyć wrażenie, że biznes jest offline lub został zamknięty (strony internetowe, połączenia VPN, FTP, VoIP, e-mail, itd.). Jest to jeden z najłatwiejszych do wykonania ataków, a przy tym jeden z trudniejszych do zwalczenia. Jednym z potwierdzonych, negatywnych efektów takiego ataku na firmę jest pogorszenie rankingu korporacyjnych witryn w wyszukiwarkach internetowych. Dobrym środkiem zapobiegawczym w przypadku DNS jest z outsourcing tej usługi, np. w chmurze. Wybór jest bardzo duży, żeby wymienić kilka najbardziej znanych nazw: Neustar (UltraDNS), DynDNS, Verisign, Amazon (Route 53) czy Community DNS.
